NEU!

Cloud Computing:
OpenStack & CloudStack
MFT: Sichere Alternative
zum FTP-Dateitransfer
JETZT MIT

ADMIN IT-Praxis & Strategie

Arch Linux 2013.04.01

03/2013 Mai – Juni

Web Security
Server und Homepage schützen
Web Application Firewall mit Nginx
Schutz gegen SQL-Injections
Drive-by-Attacken erklärt

SSD-Benchmarks
Richtig testen und messen
mit dem TKperf-Tool
Arch Linux
Schlankes Linux
fast from Scratch

ZFS
Der große Workshop zum
Solaris-Dateisystem für FreeBSD
03

Icewarp Retro Computing

4 196360 509805

Die Exchange- OpenVMS auf einer

Alternative im Test VAX im Emulator
D EUR 9,80
nnn%X[d`e$dX^Xq`e%[\ A EUR 10,80 - BeNeLux EUR 11,25
CH sfr 19,60 - E / I EUR 12,75
 JXZb^Xjj\ < ; @ KF I @ 8 C

JXZb^Xjj\
;`\Nliq\ce[\jj\e#nXjdXe_\lk\`d@K$AXi^feM\e[fiCfZb$@ee\eek#
i\`Z_\e `e [Xj I\Z_\ek\Z_e`b$BXdYi`ld qli•Zb1 :fdglk\i jk\Zbk\e
efZ_`e[\eB`e[\ijZ_l_\e#[X[fd`e`\ik\@9DY\i\`kj[\eCfZ_bXik\e$
dXibk#[\ilej[`\/'$Q\`Z_\e$Q\`c\le[[\e8lj[ilZbJkXg\cm\iXiY\`$
kle^m\i\iYk_Xk#[\edXe[XdXcjnikc`Z_e\_d\edljjk\%NXjj`Z_
XejZ_c`\\e[ Y\` [\e DX`e]iXd\j n`\[\i_fc\e jfcck\# q\`Z_e\k\ j`Z_
[XdXcjjZ_feXY1DXe^\cjbfdgXk`Yc\i8ck\ieXk`m\enXi[\i8en\e[\i
[\i>\]Xe^\e\[\j8eY`\k\ij#nXim\i[Xddk#[\jj\eGif[lbk\qlbXl$
]\ele[jfmfij`Z_j\cY\i`dd\i__\i\N\Z_j\c_•i[\eql\ii`Z_k\e%

<j]fc^k\[XjG:$Q\`kXck\i1\`e\viX[\i;\q\ekiXc`j`\ile^%Dfefgfc`jk\e
^XY\jXlZ_`e[`\j\iQ\`k#Xcc\emfiXeD`Zifjf]k#[fZ_\ekjkXe[\`e\Xlj^\gi€^k\;`m\ij`k€k^\iX[\`d
?Xi[nXi\j\bkfi#le[\jY`c[\k\ej`Z_Y\]i\`k\<ebcXm\e#\knXd`kFg\eJfliZ\`dI\Z_\eq\ekild%

?\lk\_Xklej[`\>\jZ_`Z_k\`dJZ_iXlY\e^Xe^[\i;`Xc\bk`bXl]\`e\__\i\<Y\e\^\]•_ik#`e[\i
Q\ekiXc`j`\ile^n`\[\i^if^\jZ_i`\Y\en`i[%;\eenXj8dXqfele[>ff^c\#;ifgYfof[\i[`\K\$
c\bfdXeY`\k\e#j`e[ql\`eXe[\i`ebfdgXk`Yc\Dfefgfc`jk\e$F]]\ik\e#[`\d`k[\dj\cY\em\i^`]k\k\e
B[\icfZb\en`\[`\@9D$KXY\cc`\idXjZ_`e\]•i@9D$CfZ_bXik\e%;`\>i\[\i8eY`\k\i`jk[XY\`Xcc\j
Xe[\i\Xcj\`e\>\n€_i]•i9\jk€e[`^b\`k%@d>\^\ek\`c#[\i\`e\f[\iXe[\i\_XkjZ_feb\`e\Jbilg\c
d\_i#[`\\`e\?Xe[#Xlj[\idXeYiXmXcc\jbXl]k\#d`jjcXle`^qli•Zbqlq`\_\e1>ff^c\jk\cckj\`e\e
I\X[\i\`e#le[n\ij`Z_d`k[\dM\ijgi\Z_\e`e[\jj\eLe`m\ijldcfZb\ec`\#[fikbee\\iXcc\j
m\ibe•g]\ele[bfejfc`[`\i\e#[\ijfcca\kqkj\_\e#nf\iYc\`Yk%

<`e\?f]]ele^Yc\`YkkifkqXcc\d1;\iFg\e$JfliZ\$>\[Xeb\#\`edXc`e[\iN\ck#_XkXlZ_Y\`d:cfl[
:fdglk`e^jZ_fed\_iXcjeli[\e=l`e[\iK•i%?`ek\iFg\eJkXZbm\ijXdd\ckj`Z_\`e\^cfYXc\
:fddle`kpd`k.'''D`k^c`\[\ieXlj(''C€e[\iele[/,'Fi^Xe`jXk`fe\e#Xlj^\jkXkk\kd`k('D`c$
c`fe\e;fccXi%:cfl[JkXZbY`\k\k\`e\qn\`k\Fg\e$JfliZ\$8ck\ieXk`m\#Fg\eE\YlcXjk\cck\`e\[i`kk\
]i\`\Nfcb\Y\i\`kle[<lZXcpgklj\`e\m`\ik\%I\[?Xk#[\in\ckn\`k^ik\Fg\e$JfliZ\$8eY`\k\i#
\ekn`Zb\ck\`e^Xeq\jGfik]fc`fmfe:cfl[$Cjle^\e#[`\Xl]]i\`\eJkXe[Xi[jXl]YXl\ele[j\cYjk
bfdd\iq`\cc\8e^\Yfk\`ek\^i`\i\e%Fne:cfl[bXee;ifgYfo\ij\kq\ele[jfn\`k\i%;Xj`jk[`\GXiXc$
c\cjkiX\qliJXZb^Xjj\%

@ c\j\iYi`\]\7X[d`e$dX^Xq`e%[\ nnn%]XZ\Yffb%Zfd&X[d`edX^Xq`e nnn%kn`kk\i%Zfd&X[dX^q

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * *

 J < IM @ : < @e_Xck

ADMIN '*&)'(*
IT-Praxis & Strategie

N\Yj\im\ile[?fd\gX^\XYj`Z_\ied`k
M\ijZ_c•jj\cle^le[=`i\nXccj%D\_i[Xql
`d8;D@E$JZ_n\iglebkXYJ\`k\)-

+)
J`Z_\i\9Xeb
>i\\eJHCjZ_•kqk
;Xk\eYXeb\emfi
JHC$@ea\Zk`fe$8e^i`]]\e%

Cf^`e E\kqn\ib JZ_n\iglebk1N\YJ\Zli`kp

 / Mfi^\c\j\e  (/ <

 `jq\`k )- J
 `Z_\ij\im`\ik
9•Z_\iqliGfjk^i\JHC$8[d`e`jkiXk`fe ;\i@Z\nXig$ JJC$M\iY`e[le^\elek\i8gXZ_\)
le[qliI\[$?Xk$Q\ik`]`q`\ile^% DX`cj\im\i]•i \`ei`Z_k\e%
N`e[fnj1\`e\
 0 F
 J;:$9\i`Z_k 8ck\ieXk`m\ *) 9iXe[jZ_lkq
Efk`q\emfe[\iFg\eJfliZ\;XkX:\e$ qlD`Zifjf]k E^`eoXcj=ifek\e[$>Xk\nXple[N\Y
k\i:fe]\i\eZ\% <oZ_Xe^\6 8ggc`ZXk`fe=`i\nXcc%

 (' 9
 iXeZ_\e$E\nj )) G
 fjkqljk\cc\i
E\l\jmfe=`id\ele[Gifa\bk\e% =•iGfjk]`o$8[d`e`jkiXkfi\e1JgXd[liZ_
>i\p$le[N_`k\c`jk`e^d`kGfjk^i\p
 (- N
 XZ__le[ Y\b€dg]\e%
9\elkq\i$8ZZflekjmfeC;8Gql=i\\@G8
d`^i`\i\e%

+) J
 `Z_\i\9Xeb
J\im`Z\ JHC$@ea\Zk`fejd`k>i\\eJHCn`ibjXd
 *  [`kfi`Xc
< YcfZb\e%
 + @e_Xck
 - ?\]k$:; +/ J
 Z_lkqXlji•jkle^
(*' @dgi\jjldle[MfijZ_Xl JZ_lkqmfi;i`m\$Yp$8e^i`]]\e%

+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

 @e_Xck J < IM @ : <

--
Q\`kdXjZ_`e\
;XjFg\eMDJ$9\$
ki`\Yjjpjk\dXl]\`$
e\i\dlc`\ik\eM8O`ejkXcc`\i\e%

/+ 0-
Ql[\eNliq\ce >lk^\j`Z_\ik6
8lj]•_ic`Z_\iNfib$ N\cZ_\8e]fi[\ile^\e
j_fgqlijZ_cXeb\e q\ekiXc`j`\ik\jGXjjnfik$
8iZ_$C`elo$;`jki`Ylk`fe% DXeX^\d\ek\i]•cc\edljj%

Befn$_fn K\jk J\Zli`kp

,- KiXejgfik^\j`Z_\ik  .) J

 kfggl_i 0) C
 •Zb\e_X]k\J`Z_\i_\`k
;Xk\ed`k[\i=KG$8ck\ieXk`m\D=K KBg\i]ÆdX^\jZ_e\`[\ik\G\i]fi$ 8e^i`]]\Xl]JJC
j`Z_\im\ij\e[\e% dXeZ\$K\jkj]•iJJ;jle[=\jkgcXkk\e% dXZ_\e`d@ek\i$
e\k[`\Ile[\%
-' N
 fcb\eble[\ ./ Q
 \ekiXc$G\ijg\bk`m\ N`\^if`jk[`\
I\[?Xkj:cfl[$le[M`iklXc`j`\ile^j$ Jpjk\d:\ek\i)'()JG(1E\kqn\ib\le[ >\]X_ile[nXj
gfik]fc`f`d|Y\iYc`Zb% :cfl[Y\jj\im\inXck\e% `jkefZ_j`Z_\i6

-- Q
 \`kdXjZ_`e\ /+ Q
 l[\eNliq\ce 0- >
 lk^\j`Z_\ik6
I\`j\`ej^fc[\e\:fdglk`e^$Q\`kXck\i1 8iZ_C`elo1@ejkXccXk`fejnfibj_fg]•i 8e]fi[\ile^\eXe\`eq\ekiXc`j`\ik\j
Fg\eMDJXl][\iM8O% [`\YXccXjkjkf]]Xid\C`elo$;`jki`Ylk`fe% GXjjnfik$DXeX^\d\ek%

M`iklXc`j`\ile^ 9Xj`Zj =i\\O

(') :
 cfl[$HlXik\kk ((' v
 e[\ile^\edX^\jZ_e\`[\ik ((. =
 i\\O
:cfl[JkXZb`jkele8gXZ_\$Gifa\bk% DpJHC$JZ_\dX€e[\ile^\e`dcXl]\e[\e 8ik`b\cle[Nfibj_fgjXlj[\i=i\\O%
NXjdXZ_k[`\Bfeblii\eq6 9\ki`\Y%
((/ 8
 jkifefd`jZ_
('- 9
 €i\ejkXib6 ((+ @ dJlZ_\i Q=Jlek\i=i\\9J;Æ;Xk\ej`Z_\i_\`kXl]
Fg\eJkXZb$ =•iM`d$Bee\ile[jfcZ_\#[`\\jn\i$ e\l\eN\^\e%
Nfibj_fg#K\`c+1 [\enfcc\e1JlZ_\ele[<ij\kq\e`e=`c\j%
NXj`jke\l`d
>i`qqcp$I\c\Xj\
[\j:cfl[$
:fdglk`e^$
=iXd\nfibj6

auf Seite 6
Mehr Infos

UʘÃÌ>>̈œ˜Ã‡
ÊvØÀÊ
ÀV…ʈ˜ÕÝÊÓä£Î°ä{°ä£
UÊ6iÀȜ˜ÊvØÀÊÎÓÊ՘`ÊÈ{Ê ˆÌ
UÊ
ÕÃv؅ÀˆV…iÀʘÃÌ>>̈œ˜ÃܜÀŽÃ…œ«Ê>ÕvÊ-iˆÌiÊn{

NNN
N% 8 ; D @ E $ D 8>
8>8
>8Q@E%;< 8;D@E 8L J >8 9 < '
'*
' * $)' ( * ,
J < IM @ : < ?\]k$:;

?\]k$:;
Auf dem beiliegenden Datenträger finden Sie die neueste
Version der Arch-Linux-Distribution R(T, mit der Sie ein
Versi
Linux-System von Grund auf selbst installieren können.
Linu

◗ Ins
Installations-CD für Arch Linux 2013.04.01
◗ Version für 32 und 64 Bit
Ver
◗ Lin
Linux-Kernel 3.8.4
◗ Eig
Eigenes Paketmanagement-System mit Community-
Repository
Rep

Meh
Mehr Informationen zur Installation von Arch Linux sind
im A
Artikel ab Seite 84 zu finden.
Lege
Legen Sie einfach die CD in das Laufwerk ein und starten
Sie den Rechner. Möglicherweise müssen Sie noch im
BIOS die richtige Boot-Reihenfolge einstellen, damit das
Laufwerk vor der Festplatte an die Reihe kommt.
Lauf ■

@e]f
R(T 8iZ_c`elo1R_kkg1&&nnn%XiZ_c`elo%fi^T
?
CD KAPUTT en kostenlos eine
n Ihn
Wir schicke t:
E-Mail genüg
Ersatz-CD zu, .de
agazin
info@admin-m

- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

 ZAHLEN SIE NUR
WAS SIE AUCH NUTZEN!

0, 03 € *

PRO STUNDE
ab

VOLLE KOSTENKONTROLLE
■ NEU: Keine Einrichtungsgebühr!
■ NEU: Kein Basispreis!
HÖCHSTE FLEXIBILITÄT
■ NEU: Keine Mindestvertragslaufzeit! ■ vCore-Anzahl, Arbeits- und Festplatten-
speicher unabhängig voneinander
■ Für kurze Zeit: bis zu 30,– € buchbar – für nur 0,01 € pro Stunde
Startguthaben!* und Einheit!
■ Stundengenaue, leistungsbezogene ■ NEU: Bis zu 8 vCore und 32 GB RAM
Abrechnung!
■ Per Mausklick bis zu 99 virtuelle
■ Unlimited Traffic, ohne Drosselung. Maschinen zubuchen – ohne Migration!
■ Parallels® Plesk Panel 11 inklusive,
ohne Limitierung der Domainzahl.
AUSFALLSICHER
■ Redundante Speicher- und Recheneinheiten
VOLLER ROOT-ZUGRIFF schützen Ihren Cloud-Server automatisch
■ Komfort und Funktionsumfang eines vor Ausfällen.
Root-Servers, mit dedizierten Ressourcen.

0 26 02 / 96 91
0800 / 100 668 1und1.info

* 1&1 Cloud Server ohne monatliche Basiskosten. Performance Features für 0,01 €/Stunde und Einheit buchbar. Mindestabnahme je 1 Einheit vCore, Arbeitsspeicher, Festplattenspeicher
(=0,03 €/Stunde). Persönliche Preiskalkulation unter hosting.1und1.de/cloud-server-config. Startguthaben wird ausschließlich mit der ersten Monatsrechnung verrechnet. Preise inkl. MwSt.
CF > @ E 9•Z_\i
@K$IXk^\Y\i`dI\[Xbk`fej$:_\Zb
Mfi^\c\j\e
;`\j\eDfeXk`e[\iC\j\jklY\1[`\e\l\8l]cX^\\`e\j?Xe[YlZ_jqli
Gfjk^i\JHC$8[d`e`jkiXk`fele[\`e<$9ffbqliGi•]le^XcjI\[?Xk:\ik`$
]`\[Jpjk\d8[d`e`jkiXkfi%A\ej$:_i`jkfg_9i\e[\c#Fc`m\i=ifdd\c
Dank des eingeschränkten Vertrauens
in den von Oracle betreuten Mitbewer-
ber MySQL hat PostgreSQL nach wie
vor Zulauf. Dazu kommt ein recht ho-
hes Entwicklungstempo, dem die beiden
PostgreSQL-Spezialisten Peter Eisentraut
und Bernd Helmle jetzt mit einer dritten
Auflage ihres Klassikers „PostgreSQL Ad-
ministration“ Rechnung tragen.
Die Vorgängerauflage reichte bis zur Ver-
sion 9.0, aktuell ist 9.2.x. In den beiden
Minor-Releases seither ist allerhand pas-
siert, was auch das Buch reflektiert. Als
große Neuerung kam mit der Version 9.1
synchrone Replikation dazu. Ebenfalls
neu sind Unlogged Tables, die sich sehr
schnell füllen lassen, allerdings bei einem
Crash verloren gehen. Außerdem wurden
Foreign Tables ergänzt, mit deren Hilfe
man beispielsweise externe CSV-Files
wie Tabellen in die Datenbank einbin-
den kann.
Die Version 9.2 brachte dann Index-
only-Scans, Replikationen mit mehreren
Slaves (Cascading Replication), neue
Datentypen für Wertebereiche wie etwa
Zeiträume, JSON als Datentyp und eine
bessere Performance.
Auf die meisten dieser Neuerungen geht
die Neuauflage ein, die ansonsten dem
bewährten Aufbau folgt und von der In-
Gfjk^i\JHC
G\k\i<`j\ekiXlk#9\ie[?\cdc\1
Gfjk^i\JHC8[d`e`jkiXk`fe
*%8l]cX^\
FËI\`ccp$M\icX^)'(*
@J9E10./$*$/-/00$*-($,
*0*J\`k\e2+,<lif
/ 8L J >8 9 < '* $)' ( * 8;D@E
stallation über Konfiguration, Wartung,
Backup, Monitoring, Rechteverwaltung,
Tuning und Hochverfügbarkeit alle we-
sentlichen Bereiche der Datenbankadmi-
nistration anschaulich erklärt. Damit ist
der Titel für den Einsteiger wie für den
erfahrenen DBA eine wertvolle Wissens-
quelle.
I\[$?Xk$Q\ik`]`q`\ile^
Zu den beliebten LPIC-Zertifizierungen
gibt es eine ganze Reihe von Büchern.
Anders sieht es mit den Zertifizierungen
aus, die Red Hat für das eigene Enter-
prise Linux anbietet, das in der Praxis
von Unternehmen durchaus eine große
Rolle spielt. Die Standard-Zertifizierung
ist hierbei der Red Hat Certified Engineer,
der den Grad eines Red Hat Certified
System Administrator voraussetzt. Zu
Letzterem ist jetzt ein deutschsprachiges
E-Book erschienen, das den Interessier-
ten auf die Prüfung vorbereiten will.
Das „Kompendium zur EX200-Prüfung
auf Deutsch“ von Markus Frei ist bei
Amazon im Kindle-Format erhältlich.
Als E-Book passt es sich der Bildschirm-
größe und den Schrifteinstellungen an,
der Umfang entspricht jedoch etwa 80
Buchseiten.
I?:J8
DXiblj=i\`1
I\[?Xk:\ik`]`\[Jpjk\d
8[d`e`jkiXkfiI?:J8 
B`e[c\<[`k`fe[\lkjZ_
8J@E19''9FFDG+L
<knX/'J\`k\e20#00<lif
In einer kurzen Einführung beschreibt
der Autor den Inhalt der Prüfung und
geht auch auf die beiden Klone der Red-
Hat-Distribution, CentOS und Oracle Li-
nux, ein. Grundlage ist die aktuelle Ver-
sion 6.4, deren Neuerungen im E-Book
auch noch kurz aufgeführt sind. Auch ein
paar Hinweise dazu, wie und wo die 450
Euro teure, praktische Prüfung abzulegen
ist, fehlen nicht.
Im Weiteren geht das E-Book nachein-
ander die auf der Exam-Seite R_kkg1&&
nnn%i\[_Xk%Zfd&kiX`e`e^&Zflij\j&
\o)''T aufgeführten Lernziele durch:
Kommandozeilen-Basics, Dateisysteme
(inklusive LVM, ACLs, LUKS), User-
Management und Security einschließlich
SELinux. Dabei gibt es jeweils erst eine
kurze Erklärung zum Thema und dann
die entsprechenden Befehle auf der Kom-
mandozeile.
Grundsätzlich ist das Buch für die Prü-
fungsvorbereitung brauchbar, insbeson-
dere, wenn man mit der Systemadmi-
nistration von Linux-Rechnern schon
vertraut ist. Selbst wenn man keine
Prüfung ablegen will, eignet sich das
Buch als Nachschlagewerk, das kleine
Howto-Anleitungen der Art „Wie lege
ich LVM-Volumes an?“ enthält. Manch-
mal wären dabei allerdings eine etwas
ausführlichere Erklärung der Konzepte
wünschenswert.
Erschienen ist das Buch im Selbstverlag,
was an manchen Stellen sichtbar wird,
wenn etwa noch redaktionelle Kommen-
tare des Autors zu finden sind oder es
kleine Inkonsistenzen bei Schreibweisen
gibt. Das ist bei einem Preis von 9,99
Euro aber zu verschmerzen. Dafür hat
man dann per E-Mail direkten Kontakt
zum Autor, der auf Anfragen prompt re-
agiert und eine korrigierte Version seines
E-Books zur Verfügung stellt. ■
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

Efk`q\emfe[\iFg\eJfliZ\;XkX:\ek\i:fe]\i\eZ\
GiXbk`b\i`d;`Xcf^
;`\a€_ic`Z_\Fg\eJfliZ\;XkX:\ek\i:fe]\i\eZ\]•_ik\XlZ_`e[`\j\dAX_in`\[\i8[d`ejXljXcc\iN\ckql
\`e\d`ek\i\jjXek\eMfikiX^jgif^iXddeXZ_E•ieY\i^%A\ej$:_i`jkfg_9i\e[\c
8YY`c[le^(19c`Zb`e\`e\eKX^le^jiXldn€_i\e[[\iFg\eJfliZ\;XkX:\ek\i:fe]\i\eZ\`eE•ieY\i^#ql[\i
•Y\i(('8[d`ejXlj^Xeq<lifgXle[8d\i`bXXe^\i\`jknXi\e%
„International“ ist ein beliebtes Konfe-
renz-Attribut, selbst wenn es nicht immer
zutrifft. Die Open Source Data Center
Conference schmückt sich nicht damit,
obwohl es gerade hier die Entwicklung
reflektieren würde, denn der Anteil von
Referenten und Besucher aus aller Welt
(8YY`c[le^() und damit auch die Menge
englischsprachiger Vorträge nehmen ste-
tig zu. Der Veranstaltung mit ihrem über-
wiegend hochkarätigen Programm kam
das auch in diesem Jahr auf jeden Fall
zugute.
8lj[\iGiXo`j
So berichtete wieder einmal Kristian
Köhntopp aus seiner spannenden Praxis
im Rechenzentrum eines großen Hotel-
zimmervermittlers mit über 2000 MySQL-
Instanzen, für die ein Upgrade auf das
aktuelle Release 5.6 ansteht. In dieser
Größenordnung ist das natürlich nur mit
Automatisierung zu bewältigen, und so
entstanden eigens dafür modifizierte
Loadbalancer und Puppet-Skripte.
In die Kerbe Automatisierung schlugen
übrigens etliche Referenten, darunter
etwa Schlomo Schapiro (8YY`c[le^ )),
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
der ein interessantes Konzept erläu-
terte, sämtliche Aufgaben des System-
managements inklusive Konfiguration,
Deployment und Tests auf der Basis von
Softwarepaketen zu erledigen. Eckdaten
für die Konfiguration können in seiner
Umgebung aus einem Namensschema für
Hosts abgeleitet werden und die Abhän-
gigkeiten der Pakete sorgen dafür, dass
umfangreiche Installations- und Konfigu-
rationsketten abgearbeitet werden.
Wer sich für Storage interessierte, dem
hatte die OSDC ebenfalls allerhand zu
8YY`c[le^)1JZ_cfdfJZ_Xg`ifY\`j\`e\i
Gi€j\ekXk`feXl][\iFJ;:)'(*%
FJ;: CF > @ E
bieten: Der DRBD-Schöpfer Philipp Reis-
ner stellte die Neuerungen der kommen-
den Version DRBD 9.0 vor, deren we-
sentlicher Fortschritt die Erweiterung von
zwei oder drei auf bis zu 32 Knoten ist.
Das eröffnet völlig neue Use Cases, wie
beispielsweise voll redundante Speicher-
netze als Schicht unter einer Ebene mit
plattenlosen Applikationsservern.
Außerdem stellte Martin Loschwitz das
verteilte Dateisystem Ceph anschaulich
vor, während sich Dr. Udo Seidel den
Konkurrenten GlusterFS vornahm. Beide
kann man durchaus als DRBD-Alterna-
tive verstehen. Die Zukunft bleibt hier
also spannend.
EXZ_[\ebc`Z_\j
In gewisser Weise am entgegengesetzten
Ende – nämlich nicht bei der Rechenzen-
trumspraxis, sondern beim Nachdenken
darüber – setzte ein weiterer, hoch inte-
ressanter Vortrag an, gehalten vom stu-
dierten Philosophen und Open-Source-
Verfechter Nicholas Mailer. Unter dem
Titel Deconstructing the Cloud beschäf-
tigte er sich mit den Mehrdeutigkeiten
wolkiger Begriffswelten, die einerseits
Bequemlichkeit und Performanz ver-
sprechen, andererseits zu innovations-
hemmender Machtkonzentration führen,
Privatisierungstendenzen im Internet
verschleiern, den einzelnen Anwender
einem Monopol ausliefern oder Daten-
schutzprobleme heraufbeschwören. Ge-
rade in einer Veranstaltung, die leicht
in technischen Details ertrinken könnte,
war dieser Vortrag ein Highlight.
Wie in bisher jedem Jahr war die Kon-
ferenz vom Veranstalter, der Netways
GmbH, hervorragend organisiert, Cate-
ring und Unterbringung perfekt. Man
kann sich nur wünschen, dass das auch
im kommenden Jahr so gut gelingt, wenn
die OSDC statt in Nürnberg erstmals in
Berlin ausgerichtet werden wird. ■
8;D@E 8L J >8 9 < '* $)' ( * 0
 CF > @ E E\nj
++++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte

E\l\Jf]knXi\le[Gif[lbk\

9
 iXeZ_\e$E\nj
E\l\8;D@E$8gg]•ij`GX[ C`elo=fle[Xk`fen`ccJ;EjkXe[Xi[`j`\i\e
Ab sofort ist in Apples Store eine kostenlose App verfügbar, die Im OpenDaylight-Projekt der Linux Foundation versammeln
das ADMIN-Magazin aufs iPad bringt. Eine kostenlose Ausgabe sich zahlreiche namhafte Hard- und Softwarehersteller, um
des Hefts liegt der App bei. gemeinsam Standards für Software Defined Networking (SDN)
Das ADMIN-Magazin ist ab sofort nicht nur im digitalen Abo zu entwickeln. Als Platin- und Gold-Member haben sich bereits
verfügbar, sondern auch als App fürs iPad und iPhone. Unter führende Unternehmen wie Big Switch Networks, Brocade,
der Adresse R_kkgj1&&`kle\j%Xggc\% Cisco, Citrix, Ericsson, IBM, Juniper Networks, Microsoft, NEC,
Zfd&Xgg&`[-')'/,')-T lässt sich Red Hat und VMware bei dem Projekt registriert. Ihr gemein-
die kostenlose App aus Apples sames Ziel ist es, eine offene Plattform und darauf aufbauende
Store auf dem Gerät installie- kommerzielle Technologien und Produkte zu entwickeln, die
ren (alternativ im Store nach Software-gestützte Netze ermöglichen. Solche Netze können
„ADMIN-Magazin“ suchen). gerade bei Service-Providern und Cloud-Anbietern die Kosten
In der App lassen sich Einzel- senken und die Effizienz erhöhen, indem sie beispielsweise
hefte kaufen, aber auch kom- Änderungen oder Erweiterungen in einem virtualisierten Netz
plette Abos abschließen. Die ohne Arbeiten an der Verkabelung zulassen.
komplette ADMIN-Ausgabe Das Thema erlebt aus diesem Grund gegenwärtig einen Hype:
01/2013 „Enterprise-Linux“ Einer Prognose von GigaOM Research zufolge soll der globale
kann in der App kostenlos SDN-Markt von 320 Millionen Dollar bis zum Jahr 2018 auf 2,45
heruntergeladen werden. Der- Milliarden Dollar wachsen. Allerdings ist die Lage momentan
zeit ist die Anzeige für Tablets ;Xj8;D@E$DX^Xq`e`jkeleXlZ_Xl] noch unübersichtlich und viele Anbieter setzen auf inkompati-
optimiert, Verbesserungen für [\d`GX[m\i]•^YXi%8cj<`eq\c_\]k ble Standards. Was die OpenDaylight-Initiative hier tatsächlich
Smartphones sind in Arbeit. f[\i`d8Yf% auszurichten vermag, bleibt abzuwarten.

FiXZc\C`elo-%+Yi`e^k;KiXZ\le[O=J
Die Firma Oracle hat Version 6.4 der eigenen Linux-Distribution
freigegeben. Im Wesentlichen handelt es sich dabei – wie bei
CentOS – um einen Klon von Red Hat Enterprise Linux 6.4. Zu-
sätzlich zum Red-Hat-Kernel bietet Oracle aber den „Unbreaka-
ble Enterprise Kernel Release 2“ an, einen laut Oracle besonders
zuverlässigen Linux-Kernel, der auf der Version 3.0.36 basiert.
Neu im aktuellen Release ist außerdem der offizielle Support
des XFS-Dateisystems, der Kunden mit der Premium-Support-
Option zur Verfügung steht. Ebenso gibt es für registrierte
Kunden im Unbreakable Linux Network (ULN) einen Download
des DTrace-Frameworks, das Oracle von Solaris auf Linux por-
tiert hat. Damit lassen sich diverse Subsysteme in Kernel und
Userspace zur Laufzeit tracen, etwa zur Performance-Messung,
ohne dass nennenswerter Overhead entsteht.
Als Technology Preview gibt es einige Features, die nur mit
dem Unbreakable Kernel zur Verfügung stehen, etwa krypto-
grafische Signaturen für Kernel-Module, Linux-Container (LXC),
Transcendent Memory (Tmem) und DRBD-Replikation. Andere
als Technology Preview enthaltene Features stammen wiede-
rum von der Red-Hat-Distribution und funktionieren nur mit
dem ausgelieferten Red-Hat-Kernel. Dies sind etwa KVM-Live-
Snapshots und Parallel NFS.
Fg\eJkXZbÙ>i`qqcpÈm\i]]\ekc`Z_k
Wie die OpenStack Foundation mitteilt, ist das neueste Open-
Stack-Release mit dem Projektnamen „Grizzly“ verfügbar. Es
handelt sich um das siebte Release des Cloud-Computing-
Frameworks mit insgesamt 230 neuen Features, die unter an-
derem für bessere Skalierbarkeit der damit aufgebauten Clouds
sorgen sollen. Neu ist etwa eine Abstraktion namens „Cell“, die
mehrere Knoten einer Cloud zu einer Einheit zusammenfasst,
die sich somit einfacher verwalten lassen. Auch die „NoDB“-
Architektur, die die Verwaltung von einer zentralen Datenbank
entkoppelt, soll zur besseren Skalierbarkeit beitragen.
Die Netzwerkkomponente von OpenStack wurde so erweitert,
dass sich nun eine Vielzahl von Software-Defined-Networking-
Technologien verwenden lassen, zum Beispiel das freie Open-
vswitch, Cisco UCS/Nexus, Linux Bridge, Nicira und OpenFlow.
Durch die Verteilung von L3/L4-Switching und DHCP-Diensten
auf mehrere Knoten sollen die Netzwerkdienste zuverlässiger
funktionieren und besser skalieren. Eine API für Load-Balan-
cing-as-a-Service soll künftig weitere Verbesserungen in dieser
Richtung erleichtern.
Mehr als 45 Firmen, die der OpenStack Foundation angehören,
haben zum aktuellen OpenStack-Release beigetragen, darunter
Red Hat, Rackspace, IBM, HP, Intel, Canonical und VMware.

(' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

en immer auf http://www.admin-magazin.de

O\en`i[C`elo$=fle[Xk`fe$Gifa\bk
MobyDick7
Wie die Linux Foundation mitteilt, übernimmt sie künftig von VoIP made in Germany
Citrix die Entwicklung des Xen-Hypervisors als sogenanntes
Collaborative Project. Auf der Linux-Plattform gehörte Xen einst
zu den Pionieren im Bereich Virtualisierung, verlor aber im Lauf
der Jahre gegenüber der Neuentwicklung KVM an Boden. Als
Community-Projekt soll Xen nun wieder mehr Bedeutung erlan-
gen. Entsprechende Unterstützung aus der Computerindustrie
soll die Xen-Entwicklung dadurch bekommen, dass eine ganze
Reihe von Firmen als Gründungsmitglieder dem Xen-Projekt
beitreten. Das sind etwa Amazon Web Services, AMD, Bro- DEG Zentrale 2

mium, Calxeda, CA Technologies, Cisco, Citrix, Google, Intel, HomeOffice Benjamin Ritter

DEG Vertrieb 1

Oracle, Samsung und Verizon. DEG Zentrale 1

Für Anwender interessante Verbesserungen, die in letzter Zeit DEG Entwicklung 1

ins Xen-Projekt eingeflossen sind, sind unter anderem Nested

Virtualization (VMs in VMs), Unterstützung für ARM-Prozes-
soren, ein neuer Virtualisierungsmodus PVH, der die Vorteile
von Hardware- und Paravirtualisierung vereint, sowie Mirage
OS, das ein Cloud-Betriebssystem schaffen will, das ohne Gast-
Betriebssystem auskommt.

Linuxbasierende Telefonanlage für

?G$J\im\id`kJdXikg_fe\$:GLj
HP hat das weltweit erste kommerziell erhältliche Moonshot-
jede Unternehmensgröße
System vorgestellt. Es arbeitet mit Prozessoren, die sonst in
Smartphones und Tablets zum Einsatz kommen, und spart so Mit der MobyDick Telefonanlage haben Sie alle Fäden selbst in
Strom und Platz. Nach Angaben von HP braucht das System der Hand. Außerdem verbinden Sie die Features modernster
bis zu 89 Prozent weniger Energie, benötigt 80 Prozent weniger Telefonie mit den Vorteilen von Voice over IP.
Platz und kostet 77 Prozent weniger als herkömmliche Server.
Diese neue Server-Kategorie wurde in jahrelanger Arbeit in
den HP Labs entwickelt, um die IT-Herausforderungen durch Die neuen MobyDick7 Features:
Social Media, Cloud Computing, Mobility und Big Data zu Freie Wahl des Arbeitsplatzes
bewältigen. Integrieren Sie jedes beliebige Endgerät (BYOD)
Das HP-Moonshot-System besteht aus dem HP-Moonshot-1500- FollowMe Konzept - Ihre Endgeräte folgen Ihnen
Chassis und ProLiant-Moonshot-Servern, die für bestimmte Intuitives User Interface
Anwendungen optimiert sind. Die Server sind erhältlich mit
Offene Telefonieplattform
Chips verschiedener Hersteller, die jeweils auf eine spezifische
Mobility Client für iOS und Android
Arbeitslast zugeschnitten sind. HP-Moonshot-Server nehmen
Plattformunabhängiger CTI Client Koste
bis zu 1800 Server pro Rack auf und beanspruchen damit nur nlose
Call Center Funktionen Comm
ein Achtel des Raums, den herkömmliche Server benötigen. unity
Virtuelle Konferenzräume Versio
Das löst das Problem des Platzmangels in Rechenzentren. Die n
einzelnen Chassis teilen sich traditionelle Komponenten wie Print-to-Fax Gateway
Daten- und Speichernetzwerk, das Fernwartungssystem iLo, Virtuelle oder Serverlösung
Energieversorgung und Lüftung. Das verringert die Komplexität
und reduziert den Platz- und Energiebedarf.
Der erste HP-ProLiant-Moonshot-Server enthält den Prozessor
Intel Atom S1200 und unterstützt Arbeitslasten für Web-Hos-
ting. Das HP-Moonshot-1500-Chassis ist 4,3 Höheneinheiten Mehr Informationen finden Sie unter:
hoch und ausgestattet mit 45 Intel-basierten Servern, einem http://www.pascom.net/MD7
Netzwerk-Switch sowie unterstützenden Komponenten. Das
http://community.pascom.net
HP-Moonshot-System ist ab sofort in den USA und Kanada
verfügbar. In Europa, Asien und Lateinamerika wird es ab
Mai erhältlich sein. Der Preis für das Chassis, 45 HP-ProLiant- pascom
Moonshot-Server und einen integrierten Switch liegt bei 50 600 Netzwerktechnik GmbH & Co. KG
Euro. Berger Straße 42
94469 Deggendorf
Tel.: +49 991 27006 - 0
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8L J >8 9 < '* $)' ( * ((
 CF > @ E E\nj
++++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
J\Zli`kp$I\gfikmfe@9D
Auch in diesem Jahr hat IBM wieder seinen weltweiten
X-Force-Sicherheitsreport veröffentlicht. Den Beobachtern der
IBM-Forscher zufolge führen die Liste der Bedrohungen nach
wie vor Angriffe auf Webapplikationen an. Darunter mit 53
Prozent an erster Stelle Cross-Site-Skripting-Attacken, gefolgt
von SQL-Injections. Die meisten Angreifer benutzen dafür vor-
gefertigte Toolkits, die in großem Umfang verfügbar sind. Der
überwiegende Teil der von IBM beobachteten Angriffe richtete
sich auf Ziele in den USA (46 Prozent) gefolgt von England
(8 Prozent), Australien und Indien (je 3 Prozent).
Q=J]•iC`elo\`ejXkqY\i\`k
Wie der Projektleiter Brian Behlendorf in seiner Ankündigung
erklärt, ist ZFS für Linux mit der gerade erschienenen Version
0.6.1 reif für den produktiven Einsatz. Neben einer Reihe von
Bugfixes gibt es im neuen Release von ZFS-on-Linux auch einige
neue Features, etwa die Kompatibilität zum Linux-Kernel 3.9.
Der ZFS-Port arbeitet aber auch mit Kernels der Versionsreihe
2.6 zusammen. Im Gegensatz zum ZFS auf Solaris verwendet
ZFS-on-Linux bisher keine 128 Bit breiten Zeigeradressen, son-
dern beschränkt sich auf 64 Bit. In Zukunft soll sich dies aber
ändern.
Aufgrund der inkompatiblen Lizenzen, unter denen der Linux-
Kernel und der ZFS-Code stehen, gilt eine Aufnahme von ZFS
in den Kernel-Quellcodebaum als unmöglich. ZFS als separates
Paket oder als Quellcode zu verteilen, ist dagegen ein gangbarer
Weg. Eine Zeit lang hatte die Firma KQ Infotech ebenfalls an
einem ZFS-Port auf Linux gearbeitet. Mittlerweile ist das Projekt
aber eingestellt und die Arbeit in ZFS-on-Linux eingeflossen.
<ijk\E8J$Jpjk\d\Xl]9ki]j$9Xj`j
Netgear präsentiert eine komplett neu gestaltete Produktfamilie
mit den Modellen ReadyNAS 100, 300 und 500. Sie bauen auf
neue Hardware und erstmals auf das zukunftsweisende Linux-
Filesystem Btrfs.
Die neue NAS-Serie von Netgear hat mit ReadyNAS OS 6 ein
völlig neues Betriebssystem erhalten. Es bietet eine neue Ober-
fläche sowie eine Fülle an integrierten und im Genie-Marktplatz
erhältlichen Applikationen. Die komplette Serie nutzt erstmals
in diesem Segment Btrfs als Filesystem und bietet als Backup-
funktion unlimitierte Snapshots, wie man sie bisher nur aus
dem Enterprise-Segment kennt.
Die Snapshots lassen sich monats-, wochen-, tage- oder stun-
denweise ausführen und sind rein inkrementell, nehmen also
wesentlich weniger Platz ein als eine reine Kopie der Daten.
Dazu rundet eine ins System integrierte, Cloud-basierte Repli-
kation die Backup-Funktionalität ab.
Hardwareseitig sind die Lösungen mit neuen, effizienten Pro-
zessoren und mehr RAM als bisher ausgestattet. Ein Festplat-
ten-Einbausystem ohne Schrauben erleichtert den Austausch
von 3,5-Zoll- oder auch 2,5-Zoll-SATA- oder SSD-Festplatten;
() 8L J >8 9 < '* $)' ( * 8;D@E
Das Spam-Aufkommen blieb im vergangenen Jahr überwie-
gend konstant. Unter den Spam-Verbreitern führt Indien mit
20 Prozent, gefolgt von den USA mit 8 Prozent. 2012 zählten
die Forscher insgesamt 8 168 öffentlich bekannt gewordene
Schwachstellen, das sind 14 Prozent mehr als 2011.
Wenig überraschend stehen gerade Mobilgeräte stark im Fokus
der Sicherheitsexperten. Dennoch wagt IBM die Prognose, dass
Mobilgeräte bis 2014 sicherer sein werden als Desktop-Compu-
ter – trotz des Trends zu BYOD, dem sich die so gut wie alle der
2000 von IBM befragten Kunden anschließen wollen.
:cfl[JkXZbn`i[8gXZ_\$Gifa\bk
Seit Ende März ist CloudStack ein vollwertiges Apache-Projekt.
Ähnlich wie mit OpenStack lassen sich auch mit CloudStack
eigene Clouds als Infrastructure as a Service (IaaS) realisieren.
Im praktischen Einsatz wurden mit CloudStack bereits Cloud-
Installationen mit mehr als 30 000 Nodes aufgebaut. Ursprüng-
lich war CloudStack von der Firma Cloud.com programmiert
worden, die 2011 von Citrix gekauft wurde. Im August 2011 hatte
Citrix den CloudStack-Code zuerst unter der GPL-Lizenz veröf-
fentlicht und später unter der Apache-Lizenz neu lizenziert.
Chip Childers, der Vizepräsident von Apache CloudStack kom-
mentiert die Aufnahme des Frameworks unter die Apache-
Top-Level-Projektes so: „Als CloudStack ein Inkubator-Projekt
wurde, war es schon als Cloud-Management-Plattform mit aus-
gereiftem Code etabliert. Seitdem hat sich unsere Arbeit darauf
konzentriert, eine starke Community rund um den Code zu
entwickeln und die Steuerungsmechanismen zu etablieren, die
von einem Top-Level-Projekt bei Apache erwartet werden.“
hochwertige, größere Lüfter sorgen für einen fast lautlosen
Betrieb. Neben Gigabit-LAN verfügt jedes Modell auch über
einen oder mehrere eSata-Anschlüsse, zwei USB-3.0- sowie
einen USB-2.0-Port. Ab der ReadyNAS-300-Serie ist zusätzlich
ein HDMI-Port für den direkten Anschluss an beispielsweise
Smart-TVs vorhanden.
Die 300-Serie richtet sich an kleine Büros, Remote Offices
sowie virtualisierte Umgebungen mit einer Nutzerzahl von
bis zu 25 Clients. Sie wird als 2-Bay-, 4-Bay- und 6-Bay-
Variante bestückt und unbestückt auf den Markt kommen.
In den Geräten der 300er-Serie arbeitet ein Intel Atom Dual
Core Prozessor mit 2,1 GHz. Das größte und leistungsstärkste
Modell von Netgears neuer NAS-Serie ist das ReadyNAS 516.
Es wird bestückt sowie unbestückt als 6-Bay-Version auf den
Markt kommen. Herzstück ist hierbei ein Intel i3 Dual Core
Prozessor mit 3,3 GHz und 4 GByte RAM. Die ReadyNAS 516
ist auf maximal 250 Anwender ausgerichtet und somit optimal
für kleine bis mittlere Unternehmen geeignet. Die Preise der
kleinen Modelle beginnen bei 220 Euro, die größten Modelle
sind für rund 2100 Euro zu haben.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

en immer auf http://www.admin-magazin.de ++++ neueste Nachrichten immer auf http://www.
E\l\JgXiZ$J\im\imfeFiXZc\
Oracle hat eine neue Serie von Servern mit Sparc-CPU vorge-
stellt. Die neuen Mid-Range- und High-End-Modelle T5 und
M5 laufen unter Solaris und verwenden die neue Sparc-CPU
T5, die Oracle als den „schnellsten Mikroprozessor der Welt“
bezeichnet, der 17 Weltrekorde halte. Das Modell Sparc T5-8
wird von Oracle als der schnellste Rechner für die hauseigene
Datenbank und das schnellste Einzelsystem für Oracle Middle-
ware gepriesen.
Die Geschwindigkeit des Spitzenmodell M5-32 soll die seines
Vorgängers um das Zehnfache übertreffen. T5- und M5-32-
Modelle enthalten außerdem die Overhead-arme Virtualisie-
rungslösung Oracle VM Server for Sparc und ohne zusätzliche
Supportkosten das Oracle Enterprise Manager Ops Center 12c.
Im Einstiegsbereich komplettieren Systeme mit der Sparc-T4-
CPU die Modellpalette.
K\Xdm`\n\i/]•iC`elo]\ik`^
Wie die Firma Teamviewer mitteilt, ist die neueste Version
8.0.17147 des gleichnamigen Remote-Desktop- und Sharing-
Tools für Linux verfügbar. Neu ist unter anderem die Übergabe
eines Remote-Desktops von einem Anwender zum anderen. So
können beispielsweise mehrere Mitarbeiter Support-Sitzungen
per Remote-Desktop voneinander übernehmen. Sitzungen las-
sen sich in Bild und Ton zur Dokumentation aufzeichnen. Die
Tonaufzeichnung funktioniert derzeit allerdings nur mit der
Windows-Version.
Neu in Teamviewer ist außerdem die Basic-Authentifizierung
für Proxies, über die die Verbindung laufen kann. Webcams
werden für einen Videochat parallel zu den Desktop-Sessions
unterstützt. Statt bisher vier verschiedener RPM-Pakete gibt
es jetzt nur noch eins für alle RPM-Distributionen (Red Hat,
CentOS, Fedora, Suse). TeamViewer ist jetzt auch auf Multiarch-
Systemen (Debian 7, 64 Bit) lauffähig.
LYlekl$Jlggfik]•i;\cc$J\im\i
Die Firmen Canonical und Dell haben eine Vereinbarung zum
Support von Ubuntu Linux auf Dell-Serversystemen geschlos-
sen. Als Ergebnis werden die Dell-Poweredge-Server 11G und
12G auf die Liste der für Ubuntu Server 12.04 LTS zertifizierten
Hardware aufgenommen, während Dell umgekehrt Ubuntu auf
die Liste unterstützter Betriebssysteme setzt.
Im Vorfeld der Vereinbarung haben Entwickler die Ubuntu-
Unterstützung spezifischer Poweredge-Komponenten verbes-
sert, etwa für PCIe-SSD-Speicher, 4K-Block-Festplatten, Booten
per EFI, Web Services Management, Vergabe der Namen für
Netzwerk-Interfaces und PERC (Poweredge RAID Controller).
Das Management der Poweredge-Server kann optional über
das Betriebssystem und Dell Openmanage erfolgen, für das
es Ubuntu-Pakete gibt. Empfohlen wird aber das Out-of-Band-
Management über die Server-Hardware per IPMI, DRAC und
den Lifecycle-Controller.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
E\nj CF > @ E
G:$8YjXkqj`ebkn\`k\i
Der weltweite Absatz an Personalcomputern ist im ersten Quar-
tal 2013 auf den tiefsten Wert seit Sommer 2009 gesunken. Im
ersten Quartal 2013 wurden weniger als 80 Millionen Einheiten
abgesetzt (79,2 Millionen), das sind 11,2 Prozent weniger als
im gleichen Quartal des Vorjahres. Nach den Zahlen des Markt-
forschers Gartner resultiert die Absatzflaute besonders aus den
sinkenden Verkäufen an Heimanwender. Im Sektor professio-
nell genutzter PC war dagegen sogar ein leichter Zuwachs zu
verzeichnen.
In der Rangfolge der Hersteller führt HP (14,8 Prozent Marktan-
teil) vor Lenovo (14,7) und Dell (11,0). Diese Zahlen enthalten
Netbooks, aber keine Tablets. Weil gerade private Anwender al-
te PCs hauptsächlich durch andere Geräte ersetzen, erlebte der
US-Markt im sechsten Quartal in Folge sinkende Absatzzahlen
in diesem Sektor.
Dasselbe Phänomen betrifft auch Zentraleuropa, ja selbst Ost-
europa und Afrika. Hoffnungen setzten die Hersteller auf ul-
traleichte Notebooks mit Touchscreen, die beispielsweise mit
Windows 8 ausgestattet sind. Nach den Erkenntnissen von
Gartner sind die Verbraucher aber nach wie vor nicht willens,
zum jetzigen Zeitpunkt mehr Geld für Touchscreen-Geräte zu
bezahlen.
JNeEU tzUt
Ka VM -uSfe
n r
V tualisie rv
e er-
n
uunirnd rung
teTre rm
Lin uxin
s2ic he4.1 :
2.0 rn3!
Linux Schulungen 2013 – Nicht verpassen!
• Linux-Crashkurs für Administratoren: 13.05., 01.07., 14.10.
• Erweiterungen programmieren für Check_MK: 03.06, 07.10.
• Fortgeschrittenes Monitoring mit Nagios und Check_MK: 10.06., 09.09.
• Linux als Server im Inter- und Intranet: 24.06.
• Systemmonitoring mit Nagios & Check_MK: 08.07.
• Softwarepaketierung unter Linux mit RPM: 17.07.
• Storage-LVM, MD, Multipathing, iSCSI: 26.08.
• Linux-Administration für Fortgeschrittene: 02.09.
• Neueste Entwicklungen in Check_MK, 23.09.
Gerne machen wir auch Inhouse-Schulungen direkt bei Ihnen vor Ort.
Fragen Sie uns nach einem Angebot zu Ihrem Wunschthema.
Tel.: 089-1890435-0
info@mathias-kettner.de
8;D@E 8L J >8 9 < '* $)' (* (*
www.mathias-kettner.de
dedizierter
1Gbit/s
Port
 CF > @ E 8[d`e$Jkfip
D`^iXk`femfeC;8Gql=i\\@G8
ŸMfc_XBXmXc\ebXmX#()*I=
NXZ__le[
;`\Ldjk\ccle^\`e\iq\ekiXc\e9\elkq\i$8lk_\ek`]`q`\ile^mfe\`e\d
i\`e\eC;8G$J\im\iXl][`\@[\ek`kp$DXeX^Xd\ek$Cjle^=i\\@G8`jk\`e$
]XZ_\i#XcjjfdXeZ_\i8[d`e[\ebk%9\XZ_k\kdXe\`e`^\n\e`^\Glebk\#
jfbcXggk[\iLdjk`\^`eb•iq\jk\iQ\`kd`kn\e`^8l]nXe[%K_fijk\eJZ_\i]
In vielen Umgebungen existiert ein
LDAP-Server zur Verwaltung der Benut-
zer- und Gruppenkonten. Oft kommt
dieser Server dann auch zum Einsatz,
wenn es um die Authentifizierung der
Benutzer geht. Dies setzt jedoch voraus,
dass die Benutzerobjekte im LDAP über
ein Passwort-Attribut verfügen. Dieses
Attribut erfordert natürlich besonderen
Schutz. So sollte es nur vom Benutzer
selbst und von einem LDAP-Administ ra-
tor veränderbar sein. Über entsprechende
Access-Control-Listen lässt sich sowas re-
lativ einfach sicherstellen.
GifYc\db`e[GXjjnfik
Trotzdem ist eine Benutzer-Authentifizie-
rung auf Basis des Passwort-Attributes
nicht ganz unkritisch. Sie findet im ein-
fachsten Fall mittels eines sogenannten
Simple Bind statt. Hierbei wandert das
Passwort des Benutzers im Klartext zum
LDAP-Server, der dann den Benutzer
mit dem übermittelten Passwort zu au-
thentifizieren versucht. Klappt dies, so
ist der Benutzer auf dem Client-System
angemeldet, ansonsten gibt es eine Feh-
lermeldung. Eine sichere Konfiguration
erfordert also in jedem Fall auch eine
Übertragung des Benutzerpasswortes
über einen gesicherten Kommunikati-
(- 8L J >8 9 < '* $)' ( * 8;D@E
onskanal. Dieser könnte beispielsweise
auf Applikationsebene mittels SSL/TLS
realisiert werden.
Neben der Simple-Bind-Methode un-
terstützt LDAPv3 auch eine Authenti-
fizierung auf Basis von SASL (Simple
Authentication and Security Layer, RFC
4422). Darunter fallen eine ganze Reihe
von Methoden zur Verifizierung eines
Benutzers, zum Beispiel mit Hilfe eines
Kerberos-Tickets oder eines X.509-Client-
Zertifikates. Das Setup und die Konfigu-
ration einer solchen Umgebung gestaltet
sich jedoch nicht immer leicht. Dies liegt
unter anderem auch daran, dass es ein
korrektes Mapping zwischen dem Benut-
zerobjekt im LDAP, repräsentiert durch
einen Distinguished Name (dn) und dem
passenden Kerberos-Principal oder X.509-
Client-Zertifikat geben muss.
Alternativ dazu besteht die Möglichkeit,
die Authentifizierung direkt über einen
Kerberos-Server durchzuführen und den
LDAP-Server lediglich für die Account-
Informationen des Benutzers abzufragen.
Allerdings ist auch ein solches Setup
recht komplex und unhandlich; jeder,
der bereits einmal die Schmerzen beim
Einsatz der Kerberos-Client-Tools gespürt
hat, weiß, wovon ich rede.
Das bereits in der Admin-Story 03/2012
R(T erwähnte Open-Source-Projekt Free-
IPA R)T hat es sich zum Ziel gesetzt, eine
einfach zu konfigurierende, aber dennoch
sichere Identity-Management-Lösung für
Linux- und Unix-Umgebungen zu entwi-
ckeln. Doch wie gelingt der Umstieg von
einem bereits vorhandenen LDAP-Server
auf die Identity-Management-Lösung
FreeIPA?
Bei der Migration sind einige Punkte be-
sonders zu beachten:
■ Wie migriert man bestehende Benut-
zer- und Gruppenobjekte?
■ Wie werden die Benutzerpasswörter
migriert?
■ Welche Clients sollen auf das neue
Identity-Management-System zugrei-
fen?
Für die Migration der Benutzer und Grup-
pen stellt FreeIPA ein eigenes Kommando
zur Verfügung:
ipa migrate-ds ldap://ldap.tuxgeek.de:389
Dieser Aufruf migriert sämtliche Benutzer
und Gruppen aus den beiden Containern
»ou=People« und »ou=Group« in das
lokale FreeIPA-System. Sind die Benut-
zer und Gruppen in anderen Containern
untergebracht, so lassen sich diese über
die beiden Optionen »--user-container«
und »--group-container« mit übergeben.
Sollen nur Objekte mit einer bestimm-
ten Objektklasse auf das neue System
übertragen werden, so existieren hierfür
die Optionen »--user-objectclass« und
»--group-objectclass«. Dies ist besonders
dann sinnvoll, wenn in den Containern
Gruppen oder Benutzer existieren, die
man nicht auf dem neuen System haben
möchte und diese anhand einer bestimm-
ten Objektklasse identifizieren kann. Hier
ein etwas komplexeres Beispiel:
ipa migrate-ds --user-container=emea-5
users --group-container=emea-groups --user-5
objectclass=employee --group-objectclass=5
groupOfNames,groupOfUniqueNames ldap://ldap.5
tuxgeek.de:389
Wer einzelne Benutzer oder Gruppen
ausschließen möchte, kann dies auch
auf Basis der Benutzer- und Gruppenna-
men tun. Hierfür existieren die Optionen
»--exclude-users« und »--exclude-groups«.
Eine weitere interessante Option lautet
»--user-ignore-objectclass« beziehungs-
weise »--user-ignore-attribute«, womit
einzelne Attribute respektive Objektklas-
sen von der Migration ausgeschlossen
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

werden. Dies ist besonders dann sinnvoll,
wenn diese Informationen auf dem Free-
IPA-System nicht mehr benötigt werden.
Für Gruppen existieren entsprechende
Parameter. Eine Übersicht der Optionen
liefert »ipa help migrate-ds«.
Als etwas komplexer stellt sich die Migra-
tion der Benutzerpasswörter auf das Free-
IPA-System dar. Auf dem LDAP-Server
existieren diese üblicherweise als Hash
im »userPassword«-Attribut, manchmal
liegen die Passwörter auch im Klartext-
format vor. FreeIPA verwendet jedoch
Kerberos zur Authentifizierung der Be-
nutzer. Um einen korrespondierenden
Kerberos-Hash zu den migrierten Benut-
zerkonten zu erzeugen, gibt es wieder
mehrere Möglichkeiten:
■ Die Benutzer werden gezwungen, ihre
Passwörter nach der Migration zu än-
dern. Hierbei wird dann auf Basis des
geänderten Passwortes ein passender
Kerberos-Hash angelegt.
■ Die Benutzer werden aufgefordert,
eine Migrationswebseite auf dem Free-
IPA-System aufzurufen und dort ihr
Passwort einzugeben. Im Anschluss
wird hieraus dann ebenfalls ein Kerbe-
ros-Hash generiert und im Directory-
Server gespeichert.
■ Clients, auf denen der System Security
Services Daemon (SSSD) als Client-
Komponente läuft, können auf den
FreeIPA-Migrationmodus zurückgrei-
fen, um einen Passwort-Hash für ihren
Kerberos-Principal zu erzeugen. Der
Migrationmode ist auf dem FreeIPA-
Server wie folgt aktivierbar:
ipa config-mod --enable-migration=TRUE
Auf dem Client-System meldet sich
der Benutzer dann regulär über das
FreeIPA-System an, das für die Au-
G8DVJJJ
EJJVJJJ
8en\e[le^il]k
G8DVJJJle[
EJJVJJJXl]
8YY`c[le^(1<`e\8en\e[le^m\in\e[\kqli8lk_\ek`]`q`\ile^[\eJJJ;#[\id`k[\e9XZb\e[j•Y\i\`e\
j`Z_\i\M\iY`e[le^bfddle`q`\ik%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
thentifizierung Kerberos verwendet.
Diese schlägt natürlich fehl, da das
migrierte Benutzerkonto zu diesem
Zeitpunkt noch über keinen Kerberos-
Hash verfügt. Der SSSD-Client führt
dann selbstständig eine LDAP-Simple-
Bind-Anmeldung am FreeIPA-System
mit dem vom Benutzer zuvor einge-
gebenen Passwort durch. Dies erfolgt
über einen sicheren TLS-Kanal. Die
Konfiguration hierfür erfolgt bei der
Konfiguration des SSSD-Clients. Das
FreeIPA-System fängt das übermittelte
Passwort ab, stellt fest, dass der Be-
nutzer zwar über ein Kerberos-Princi-
pal, nicht jedoch über einen Kerberos-
Passwort-Hash verfügt, und erzeugt
diesen. Die Verbindung wird getrennt
und SSSD führt selbstständig und für
den Benutzer komplett transparent
eine Kerberos-basierte Anmeldung
durch (8YY`c[le^().
Die zuletzt aufgeführte Variante ist die
eleganteste Lösung für die Migration der
Benutzerpasswörter auf das Identity-Ma-
nagement-System. Einzige Voraussetzung
dafür ist, dass auf dem Client-System der
System Security Services Daemon (SSSD)
zum Einsatz kommt.
:c`\ek$Jf]knXi\
Der SSSD R(T stellt die bevorzugte
Möglichkeit dar, Linux-Systeme an das
Identity-Management-System anzubin-
den. Dies gilt nicht nur wegen der sehr
einfachen Migration der Passwörter. Der
SSSD bietet daneben eine Vielzahl von
Vorteilen. So hält er beispielseise die vom
FreeIPA-System erhaltenen Informationen
in einem lokalen Cache vor. Eine Anmel-
dung am System ist damit also auch dann
möglich, wenn der Client offline ist. Der
KCJ$BXeXc
@G8$9XZb\e[
d`kC;8Gle[
B\iY\ifj
JJJ;$:c`\ek
d`k@G8$9XZb\e[
`gXd`^iXk\$[j
C\^XZp
C;8G$J\im\i
8[d`e$Jkfip CF > @ E
Cache enthält dabei nicht nur Benutzer-,
sondern auch Sudo- und Automounter-
Informationen.
Mit Hilfe des SSSD ist es ebenfalls mög-
lich, Host-based-Access-Control-Regeln
und andere sicherheitsrelevante Einstel-
lungen auf einem Client umzusetzen.
Dazu zählt beispielsweise die Auswer-
tung von SELinux-User-Mappings oder
SSH-Host- und User-Keys. Der Client
stellt hierfür im Frontend eine PAM-
Schnittstelle (»pam_sss«) und eine NSS-
Schnittstelle (»nss_sss«) zur Verfügung
(siehe 8YY`c[le^(). Im Backend kann er
mit unterschiedlichen Providern kommu-
nizieren, in diesem Fall mit dem FreeIPA-
System. Die Konfiguration des Clients
erfolgt mit »ipa-client-install«.
Sollen auch ältere Linux-Systeme, für
die der SSSD nicht verfügbar ist, oder
andere Unix-Maschinen an das Identity-
Management-System angeschlossen
werden, besteht die Möglichkeit, die An-
bindung über die reguläre LDAP- und
Kerberos-Schnittstelle zu realisieren. Da-
bei kommen die klassischen PAM- und
NSS-Bibliotheken »pam_krb5« und »nss_
ldap« ins Spiel. In diesem Fall stehen
die erweiterten Features des SSSD, wie
das Caching der Account-Informationen,
nicht zur Verfügung.
Ich hoffe, der Artikel hat gezeigt, dass die
Migration von einer rein LDAP-basierten
Benutzer-Authentifizierung hin zu einem
modernen und leicht zu verwaltenden
Identity-Management-System kein He-
xenwerk ist. Wer nähere Information zu
dem besprochenen System sucht, der fin-
det diese unter R(T. (ofr) ■
@e]fj
R(T K_fijk\eJZ_\i]#;\iJpjk\dJ\Zli`kp
J\im`Z\j;X\dfe#8;D@E'*&)'()#R_kkg1&&
nnn%X[d`e$dX^Xq`e%[\&;
 Xj$?\]k&)'()&'*&
;\i$Jpjk\d$J\Zli`kp$J\im`Z\j$;X\dfeT
R)T =i\\@G81R_kkg1&&nnn%]i\\`gX%fi^&gX^\&
DX`eVGX^\T
;\i8lkfi
K_fijk\eJZ_\i]XiY\`k\kXcjGi`eZ`gXc:fejlckXek
]•i I\[ ?Xk% <i `jk f]k Xcj
MfikiX^\e[\i Xl] Bfe]\i\e$
q\e Xeqlki\]]\e% N\ee `_d
e\Y\e[\i8iY\`kle[=Xd`c`\
efZ_Q\`kYc\`Yk#e`ddk\iXe
DXiXk_fec€l]\ek\`c%
8;D@E 8L J >8 9 < '* $)' ( * (.
 E < KQ N < I B @Z\nXig
Ÿ8c`eXJ_`cq_pXm`Z_plk\#()*I=
J`Z_\i\<$DX`cjd`k@Z\nXigDX`cj\im\i('
<`jq\`k
N\iD`Zifjf]k$J\im\i\`ej\kqk#m\in\e[\k]•i<$DX`cd\`jk\ej<oZ_Xe^\%
;fZ_[Xjdljje`Z_kj\`e#[\ee\j^`YkXlZ_8ck\ieXk`m\en`\[\e@Z\$
nXig$DX`cj\im\i%K_fdXjAffj
Der Icewarp-Server R(T des gleichnami-
gen Unternehmens bietet neben einer
E-Mail-Funktion auch Instant-Messaging,
Groupware-Funktionen, VoIP-Server so-
wie eine Webschnittstelle für Adminis-
tratoren und Anwender. Ebenfalls an
Bord ist ein Spam- und Virenschutz. An
die Anwendung lassen sich Outlook so-
wie verschiedene Smartphone-Systeme
anbinden. Der Hersteller wirbt mit über
50 000 installierten Servern, die mehr
als 50 Millionen Anwender mit E-Mail
versorgen. Der Server bietet die meisten
Funktionen, die auch Exchange-Server
kennen. So steht der Icewarp Mailserver
in direkter Konkurrenz zu Exchange oder
Lotus Notes.
Icewarp Server ist modular aufgebaut.
Administratoren können einzelne Funk-
tionen getrennt aktivieren und konfigu-
rieren, und auch das Lizenzmodell ist
modular. Unternehmen können also nicht
benötigte Funktionen ausklammern und
Lizenzgebühren sparen.
Der Icewarp Mailserver bietet vor allem
die Unterstützung für SMTP und POP/
IMAP. Das heißt, der Server kann über
herkömmliche Wege E-Mails versenden
und bereitstellen. Mit diesen Protokollen
(/ 8L J >8 9 < '* $)' ( * 8;D@E
lassen sich alle bekannten E-Mail-Clients
anbinden. Die E-Mail-Dienste lassen sich
auch mit TLS und SSL verschlüsseln.
Der Server legt ein Archiv für ein- und
ausgehende E-Mails an, auf das Anwen-
der selbst zugreifen dürfen. Der Server
schützt natürlich archivierte E-Mails vor
unbeabsichtigter Löschung. Die Konfigu-
ration erfolgt in der Verwaltungsoberflä-
che (8YY`c[le^(), der Zugriff durch die
Clients. Icewarp Mailserver kann auch
intelligenter mit E-Mail-Anhängen umge-
hen als viele andere E-Mail-Systeme.
8kkXZ_d\ekjcfbXc
^\jg\`Z_\ik
Verschicken Anwender intern eine E-Mail
mit einem Anhang, speichert der Server
die Datei lokal und versendet nur einen
Link. Das heißt, wenn Anwender eine
E-Mail an mehrere Anwender versenden,
ist nur eine Kopie der entsprechenden Da-
tei notwendig. Ein Zugriff auf die Dateien
ist auch über Netzwerkfreigaben oder
per FTP möglich. Mit dieser Methode
sparen Unternehmen Speicherplatz, vor
allem bei vielen und großen Dateianhän-
gen. Bei Exchange zum Beispiel liegt die
Datei immer komplett im Postfach des
entsprechenden Anwenders und vergrö-
ßert die ohnehin fragilen Datenbanken.
Auch öffentliche Ordner lassen sich mit
Icewarp nutzen. Der Zugriff kann dabei
über Outlook, einen anderen Client oder
den eingebauten Webclient erfolgen.
Ein echter Vorteil von Icewarp liegt in der
Datenspeicherung. Während Exchange
immer noch das veraltete Jet-System zur
Datenspeicherung nutzt, verwendet der
Icewarp-Server echte Datenbanksysteme
zur Speicherung. Anbinden lassen sich
über diesen Weg Microsoft SQL Server,
MySQL oder Oracle. Der Server kann
mit Clients auch über das lizenzierte
Exchange-Activesync-Protokoll kommu-
nizieren. Das heißt, Anwender müssen
sich generell nicht umstellen und können
weiterhin mit Outlook und ihrem aktuel-
len Smartphone arbeiten. Auch andere
Clients lassen sich problemlos anbinden.
Dazu unterstützt Icewarp Mailserver eine
Vielzahl an Protokollen und Diensten.
8Zk`m\;`i\Zkfipf[\iC;8G
Die Benutzerdaten verwaltet der Icewarp-
Server in Active Directory, er unterstützt
aber auch OpenLDAP. Generell erfolgt die
Verwaltung der Benutzer in Icewarp, der
Server kann Daten aber aus dem Active
Directory einlesen, wenn der Administra-
tor Benutzer anlegt. Flexibler ist hierbei
Icewarp, aber einfacher ist die Verwal-
tung mit Exchange: Dort haben Adminis-
tratoren nur eine Oberfläche zur Verwal-
tung der Benutzer und E-Mail-Postfächer,
sowie als einzigen Verzeichnisdienst
das Active Directory. Benutzerkonten
aus dem Active Directory sind auf dem
Mailserver sofort verfügbar und können
E-Mails senden und empfangen sowie am
Instant Messaging teilnehmen.
Wie Exchange beherrscht Icewarp auch
die Verwendung von Regeln. Diese lassen
sich serverseitig festlegen und auch an
Benutzer, E-Mail-Domänen oder ganze
Gruppen binden. Natürlich können
Anwender auch selbst Regeln für ihre
E-Mails anlegen. Administratoren kön-
nen Benutzerregeln überprüfen und bei
Bedarf auch deaktivieren. Auch Richt-
linien lassen sich hinterlegen, die al-
lerdings nicht so umfangreich sind wie
die Activesync- oder Geräterichtlinien
in Exchange (8YY`c[le^ )). Es lassen
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 @Z\nXig E < KQ N < I B

8YY`c[le^)1@Z\nXiglek\ijk•kqkXlZ_I`Z_kc`e`\e#€_ec`Z_n`\<oZ_Xe^\#XY\i
e`Z_kjfld]Xe^i\`Z_%

8YY`c[le^(1;\i@Z\nXig$J\im\ic€jjkj`Z_XlZ_•Y\i\`e\N\YjZ_e`kkjk\cc\
m\inXck\e%

sich zum Beispiel keine so umfassenden lokal installierte Clients oder die Web- Eine weitere Funktion des Icewarp Mail-
Einstellungen vornehmen und Hardware schnittstelle verwenden. Den Chat-Ver- Servers ist die Anbindung an SMS. An-
oder Funktionen auf Smartphones sper- lauf speichert der Server, sodass dieser wender können über ihren E-Mail-Client
ren. Allerdings können Administratoren auf allen Clients verfügbar ist. Der IM- auf SMS von Mobiltelefonen antworten
vorgeben, wie sicher die Kennwörter der Server kann auch auf andere Systeme und diese über diesen Weg auch emp-
Anwender sein sollen. Auch die erwei- im Internet zugreifen. Hier unterstützt fangen. Um diese Funktion zu nutzen,
terte Konfiguration für das Versenden Icewarp zum Beispiel ICQ, Google Talk, müssen Unternehmen zusätzlich noch
von E-Mails oder das Relaying sind in Yahoo oder den Facebook-Chat. Welche ein GSM-Modem einsetzen.
Exchange umfangreicher und vor allem Netzwerke sich anbinden lassen, können VoIP-Anrufe können Anwender auch pro-
stabiler. Administratoren in der Verwaltung des blemlos in der Webschnittstelle tätigen.
Da Icewarp viele Funktionen und Stan- Servers festlegen. Die IM-Funktion baut Dazu nutzt der Client Java. Das heißt,
dards unterstützt, sind auch viele Sys- auf XMPP (Jabber) auf. Unternehmen, Anwender müssen Java auf dem Client
temdienste im Einsatz, die sich getrennt die Exchange statt Icewarp verwenden, installiert haben und eine Kommunika-
überwachen und auch deaktivieren las- brauchen im Gegensatz dazu zusätzlich tion mit dem Server erlauben. Für Voice
sen. Die Anzeige erfolgt in der Verwal- den Lync-Server. over IP lassen sich auch kostenlose SIP-
tungskonsole oder der Webschnittstelle.
Administratoren können einzelne Dienste
deaktivieren, Einstellungen ändern und
auch die Protokollierung anpassen. Auf
diesem Weg lässt sich auch die Sicher-
heit erhöhen, indem man nicht genutzte
Systemdienste deaktiviert. Im Test blieb
bei regem Betrieb gelegentlich der SMTP-
Dienst hängen und funktionierte erst
nach einem Neustart wieder. Manche Ad-
ministratoren starten deshalb den Dienst
in regelmäßigen Abständen neu.

@ejkXekD\jjX^`e^#JDJle[
Mf@G
Über die Mail-Funktionen hinaus bietet
Icewarp auch Instant Messaging und
Voice over IP (VoIP). Für die Chat-Funk-
tion können die Anwender entweder 8YY`c[le^*1@Z\nXig\icXlYk[`\M\inXckle^[\iJpjk\d[`\ejk\`e[\iBfejfc\%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * (0

 E < KQ N < I B @Z\nXig

Clients und kommerzielle Anwen- sisch, Deutsch, Japanisch und

dungen wie Bria von Counterpath Chinesisch. Die Webschnittstelle
R)T verwenden. unterstützt durchgehend die rechte
Maustaste und lässt sich weitge-
D`^i`\i\emfe<oZ_Xe^\ hend intuitiv bedienen.
le[:f% Da in vielen Unternehmen Outlook
zum Einsatz kommt, bietet der Her-
Neben der einfachen Migration steller auch ein Tool an, mit dem
von POP-fähigen E-Mail-Servern sich der Server an Outlook anbin-
liefert der Hersteller auch Werk- den lässt. Outlook Sync arbeitet
zeuge aus, mit denen Administra- mit aktuellen Outlook-Versionen
toren von Exchange oder Kerio zu zusammen und erlaubt auch eine
Icewarp Mailserver migrieren kön- Installation auf Remotedesktop-
nen. Die Verwaltung von Icewarp Servern (Terminalserver). Mit dem
Mailserver erfolgt entweder über Plugin verwalten Anwender neben
eine Windows-Verwaltungskonsole ihren E-Mails auch ihre Termine,
oder mit einer webbasierten Ver- 8YY`c[le^+1;`\XlkfdXk`jZ_\Bfe]`^liXk`femfeDX`cZc`\ekj`jk`e Kontakte, Aufgaben, Notizen und
waltungsoberfläche, ähnlich zur [\iM\inXckle^jbfejfc\jk\l\iYXi% Journale direkt in Outlook. Die Da-
Outlook Web App in Exchange Ser- ten sind aber auf dem Server ge-
ver 2010. Zur Verwaltung stehen auch arbeiten. Da der Server auch CalDAV, speichert und auch für andere Clients zu-
Befehlszeilentools zur Verfügung. Leider WebDAV und GroupDAV unterstützt, gänglich, zum Beispiel wenn Anwender
beherrscht der Icewarp Mailserver keine stehen hier Unternehmen alle Wege of- mobil mit der Webschnittstelle arbeiten
Powershell-Kommandos. fen. Icewarp hat Exchange Activesync wollen. Die Synchronisierung zwischen
Wie Exchange beherrscht Icewarp auch bei Microsoft lizenziert. Das heißt, alle Outlook und dem Server erfolgt automa-
Auto Discovery zur Konfiguration der aktuellen Smartphone-Typen bis hin tisch im Hintergrund. Auch Einstellungen
Mailclients. Anwender müssen nur ihre zu Windows Phone 8 lassen sich mit für das eigene Postfach, Abwesenheits-
E-Mail-Adresse und das Kennwort im dem Microsoft-Protokoll schnell und nachrichten, Regeln und das Sortieren
Client angeben. Die Anbindung an den einfach anbinden. Hier gibt es keine von E-Mails nehmen Anwender in Out-
Server durch die entsprechende Anwen- Unterschiede zur Anbindung an einen look über Outlook Sync vor.
dung erfolgt automatisch. Das heißt, die Exchange-Server. Neben der Exchange-
Anwender müssen nicht die IP-Adresse Activesync-Technologie beherrscht der BXc\e[\i#BfekXbk\#
oder den Server-Namen eingeben, um Server auch die Open-Source-Alternative
8l]^XY\ele[AflieXc\
sich mit dem Server zu verbinden. Die SyncML. Wie bei Exchange lassen sich
Auto-Discovery-Funktion lässt sich auch die mobilen Geräte über den Server auch Neben den Kommunikationsmöglichkei-
auf Smartphones ausdehnen. Die Kon- aussperren und remote löschen. ten E-Mail, IM, SMS und VoIP lassen
figuration dieser Funktion findet in der Bestandteil des Servers ist ein eigener sich mit dem Server auch Termine ver-
Verwaltungskonsole statt. Desktop-Client, der ähnlich wie Thun- walten, Ereignisse planen und Ressour-
Neben Outlook können Anwender auch derbird funktioniert (8YY`c[le^,). Alle cen reservieren, ebenfalls ähnlich wie
mit anderen Clients wie iCal, Thunder- Schnittstellen sind in über 20 Sprachen in Exchange. Auch Aufgaben und Noti-
bird, Sunbird oder Novell Evolution übersetzt, darunter Englisch, Franzö- zen können Anwender mit dem Icewarp
Mailserver nutzen. Zusätzlich zu Outlook
versteht sich der Server auch mit anderen
Clients, die zum Beispiel FreeBusy oder
iMIP beherrschen. Anwender können
Daten ihres Postfachs für andere Benut-
zer freigeben und Rechte verteilen. Dazu
kommt eine globale Adressliste, wie sie
auch in Exchange im Einsatz ist.

JgXd$le[M`i\ejZ_lkq
Zum Lieferumfang des Icewarp-Servers
gehört auch ein Antispam-Modul, sowie
ein Virenschutz auf Basis von Kaspersky.
Zwar bietet auch Exchange einen inte-
grierten Spamschutz, dieser findet in
8YY`c[le^,1;\i@Z\nXig$J\im\iY`\k\k\`e\\`^\e\N\YjZ_e`kkjk\cc\#€_ec`Z_n`\FlkcffbN\Y8gg% Unternehmen aber wenig Anklang und

)' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


8YY`c[le^-1@Z\nXig$J\im\iY`\k\k\`e\eM`i\ejZ_lkqmfe
BXjg\ijbpXe%
ist selten alleine im Einsatz. Im Gegen-
satz zu Exchange ist bei Icewarp auch
ein Virenschutz auf Basis der Kaspersky-
Engine dabei (8YY`c[le^ -). Microsoft
bietet erst mit Exchange Server 2013 ei-
nen integrierten Virenschutz an.
Allerdings ist der Virenschutz nicht kos-
tenlos, sondern muss lizenziert werden.
Unternehmen, die bereits eigene Antivi-
ren-Gateways einsetzen, können so zum
Beispiel den Server kaufen, aber auf den
Virenschutz verzichten. So kostet zum
Beispiel eine Lizenz für 100 Benutzer
ohne Virenschutz etwa 2400 Euro, mit
Spam- und Virenschutz aber 3100 Euro.
Die Verwaltung dieser Funktionen erfolgt
direkt in der Verwaltungskonsole, es sind
keine eigenen Werkzeuge notwendig.
Das Antispam-Modul arbeitet mit ver-
schiedenen Technologien, zum Beispiel
der Open-Source-Software Spamassassin.
Klassifiziert der Server eine E-Mail als
Spam, legt er sie in den Spam-Ordner des
Benutzerpostfachs ab. Dieses ist über alle
Clients zugreifbar. Seine Definitionsda-
teien aktualisiert der Server automatisch
im Hintergrund.
Integriert ist auch eine Intrusion-Pre-
vention-Lösung. Sie erkennt, wenn
8YY`c[le^.1
@Z\nXig$J\im\i
Y`\k\k\`e\e
`ek\^i`\ik\e
JgXdjZ_lkq#
[\i[\dJZ_lkq
mfe<oZ_Xe^\
•Y\ic\^\e`jk%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
E-Mail-Server aus dem Inter-
net häufig vergeblich versu-
chen, eine Verbindung aufzu-
bauen. Das Gleiche gilt für Be-
nutzeranfragen. Icewarp kann
dann die IP-Adressen solcher
mutmaßlichen Angreifer sper-
ren. Die Einstellungen dazu
sind bereits gesetzt, aber Ad-
ministratoren können jeder-
zeit Anpassungen vornehmen.
Nach der Einrichtung ist der
Schutz noch nicht aktiviert.
Das heißt, Administratoren
müssen zunächst Hand anle-
gen, um den Server optimal
zu schützen.
@Z\nXigk\jk\ele[bXl]\e
Der Hersteller bietet auf Anfrage Test-
versionen und -Installationen an. Wer
keinen kompletten Server installieren
will, kann Icewarp auch in der Cloud
testen. Beim gehosteten Modell müssen
sich Administratoren nicht um den Server
kümmern, können aber über die Web-
schnittstelle den Server verwalten. Der
Preis des Icewarp-Servers liegt beim Ein-
satz von 100 Benutzern mit aktiviertem
Viren- und Spamschutz bei etwa 3000
Euro. Unternehmen, die nur 15 Benut-
zer anbinden und auf den integrierten
Spam- und Virenschutz verzichten, müs-
sen etwa 500 Euro ausgeben.
Unternehmen, die sich für die Cloud-
Variante entscheiden, müssen bei der Li-
zenzierung von 100 Anwendern mit Kos-
ten von insgesamt 400 Euro pro Monat
rechnen. Der Support bietet eine garan-
tierte Reaktionszeit von 48 Stunden. Auf
Wunsch lassen sich gegen Aufpreis auch
schnellere Reaktionszeiten vereinbaren.
Der Hersteller stellt auch ein eigenes Fo-
rum zur Verfügung. Wer Informationen
zum Icewarp-Server sucht, wird im Inter-
net aber nicht allzu oft fündig.
=Xq`k
Der Icewarp Mailserver ist auf jeden Fall
ein ernst zu nehmender Konkurrent für
Exchange und andere E-Mail-Systeme.
Was gefällt, ist die Datenspeicherung in
echte Datenbank-Server, der platzspa-
rende Umgang mit Dateianhängen und
die Unterstützung gängiger Formate für
@Z\nXig E < KQ N < I B
den Zugriff auf E-Mails und Co. Auch
die zahlreichen Protokolle und Funk-
tionen sowie der modulare Aufbau sind
nützlich. Der integrierte IM-Server sowie
die weiteren Funktionen wie Spam- und
Virenschutz sind teilweise besser als in
Exchange, aber nicht kostenlos zu haben.
Für eine Migration liefert Icewarp eigene
Tools mit.
Für kleinere Umgebungen ist der Server
durchaus eine Alternative. Im Enterprise-
Umfeld kann die Anbindung von Zusatz-
tools an Outlook oder die Verwendung
mehrerer Server etwas Probleme berei-
ten, zum Beispiel wenn der SMTP-Dienst
überlastet ist. Wegen der vergleichsweise
geringen Verbreitung ist Hilfe bei Pro-
blemen im Internet nur schwer zu finden
und Administratoren sind bei Problemen
auf den Support angewiesen. Wenn die-
ser erst nach 48 Stunden reagiert, besteht
die Gefahr, dass Anwender zwei Tage
nicht mit dem Mail-System arbeiten kön-
nen. Das heißt, vor dem Einsatz sollten
Unternehmen zunächst genau testen und
nur genau die Funktionen nutzen, die
auch notwendig sind.
In jedem Fall ist es eine Überlegung wert,
bei der Anschaffung eines neuen E-Mail-
Servers den Icewarp Mailserver in die Al-
ternativen mit einzubeziehen. Allerdings
ist es aus Sicht des Autors kaum emp-
fehlenswert, eine bestehende Exchange-
oder Lotus-Infrastruktur zu migrieren,
wenn die Umgebung funktioniert. Einige
Unternehmen nutzen Icewarp Mailserver
nicht als Haupt-E-Mail-Server, sondern
als Gateway zwischen Exchange und
dem Internet. So profitieren sie von den
Sicherheitsfunktionen und nutzen weiter-
hin ihr bestehendes E-Mail-System. (ofr)
■
@e]fj
R(T @Z\nXig1
R_kkg1&&nnn%`Z\nXig%ZfdT
R)T 9i`X1
R_kkg1&&nnn%Zflek\igXk_%Zfd&Yi`X%_kdcT
;\i8lkfi
K_fdXjAffj`jk]i\`Y\il]c`Z_\i@K$:fejlckXekle[
j\`k•Y\i)'AX_i\e`e[\i@Kk€k`^%E\Y\ej\`e\e
Gifa\bk\e jZ_i\`Yk \i giXo`jeX_\ =XZ_Y•Z_\i
le[ =XZ_Xik`b\c ile[ ld N`e[fnj le[ Xe[\i\
D`Zifjf]k$K_\d\e% Fec`e\ ki`]]k dXe `_e lek\i
R_kkg1&&k_fdXjaffj%jgXZ\j%c`m\%ZfdT%
8;D@E 8L J >8 9 < '* $)' ( * )(
 E < KQ N < I B Gfjk^i\p
Ÿ8e[i\p9Xp[X#()*I=

JgXd[liZ_>i\p$le[N_`k\c`jk`e^d`kGfjk^i\pY\b€dg]\e

Gfjkqljk\cc\i möglich abzusetzen, auch um den Preis,

>\^\eJgXdÆ\`e\[\i_Xike€Zb`^jk\eGcX^\e[\j@ek\ie\kjÆ\ekn`Zb\ce
bei Problemen keinen zweiten Versuch
?\ijk\cc\i`dd\ie\l\>\^\ed`kk\c%;`\j\i9\`kiX^q\`^k#n`\j`Z_Gfjk$ unternehmen zu können. Das kann ein
^i\p`eGfjk]`o`ek\^i`\i\ec€jjk#nfiXlj\`e\n`ible^jmfcc\Cjle^]•i kundiger Admin zu seinem Vorteil im
>i\p$le[N_`k\c`jk`e^\ekjk\_k%:_i`j9`ee`\ Anti-Spam-Kampf ausnutzen.

Spammer fluten Mailserver in jeder
Sekunde mit Unmengen unerwünschter
Post. Ham, der erwünschte Anteil, macht
dagegen nach konservativen Schätzun-
gen nur noch fünf bis zehn Prozent des
Mailaufkommens im Internet aus. Für die
Spammer rechnet sich ihr Geschäft, das
sie noch immer mit den Empfängern ma-
chen, die auf Links in den Mails klicken
und damit gefälschte Arzneimittel und
Ähnliches kaufen.
J`cm\i9lcc\k
Wenn man sich schon jahrelang mit dem
Problem beschäftigt hat, ist es womöglich
schwer zu glauben, aber man kann sofort
95 Prozent allen Spams loswerden (8Y$
Y`c[le^(). Die Aussage stößt oft auf Un-
glauben. Doch der Autor dieses Beitrags
geht noch weiter: Mit einer Wunderwaffe
und einer Handvoll zusätzlicher Zeilen in
der Mailserver-Konfiguration lässt sich
der Anteil auf 97 oder mehr steigern.
Die angesprochene Wunderwaffe ist das
Greylisting. Aber wie funktioniert es? Der
empfangende SMTP-Server beantwortet
einfach alle Mails von erstmals auftau-
chenden Absendern mit einem temporä-
ren SMTP-Fehlercode. Die Fehlermeldung
könnte so etwas bedeuten wie: „Tut mit
wirklich leid, aber im Moment ist kein
Plattenplatz mehr frei, versuche es doch
ein bisschen später noch einmal.“ Oder:
„Ich habe gerade ein internes Konfigurati-
onsproblem und kann die E-Mail deshalb
nicht sofort zustellen. Versuch es doch in
einem Augenblick wieder.“
Beim Greylisting geht man nun davon
aus, dass es Spammer darauf anlegen, so
viele E-Mails wie möglich so schnell wie
möglich zu versenden. Meistens benut-
zen sie kompromittierte Mailserver, deren
Sicherheitslücken schon bald geschlossen
werden könnten. Außerdem könnte die
benutzte IP-Adresse auf einer Sperrliste
landen. Deshalb sind Spammer gezwun-
gen, so viele Mails in so kurzer Zeit wie
Bcl^\NX_c
Es gibt eine ganze Reihe von Greylisting-
Implementierungen und normalerweise
sind sie einfach anzuwenden. Jon Atkins
stellt zum Beispiel eine clevere Qmail-
Version bereit R(T. Dieser Beitrag konzent-
riert sich aber auf Postgrey R)T, dass sich
nahtlos in Ubuntus Default-Mailserver
Postfix integriert und voll kompatibel mit
Debian ist.
Wie funktioniert es im Einzelnen? So-
bald ein entfernter Delivery Agent eine
neue Verbindung zum Mailserver auf-
baut, schlägt die Greylisting-Software
in einer Datenbank (das kann auch ein
Verzeichnis mit Symlinks sein) nach, ob
und wann sich dieser Agent schon einmal
mit dem Mailserver verbunden hat. Au-
ßerdem überprüft sie, ob der Admin diese
Adresse oder die zugehörige Domain in
einer Whitelist führt.
Bestand in letzter Zeit keine Verbindung
zu dem fraglichen Agent, landet dessen

)) 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


IP-Adresse zusammen mit einem Zeit-
stempel in der Datenbank. Erfolgt kein
zweiter Verbindungsversuch in einem
bestimmten Intervall (zum Beispiel fünf
Minuten), gilt der Absender als Spammer
und wird ausgesperrt. Die Idee dabei ist:
Legitime Mailversender kommen wieder,
anders als Spammer, die verzweifelt ver-
suchen, riesige Mengen Mail um jeden
Preis abzusetzen.
KXY\cc\( zeigt QMails Retry-Time-Inter-
valle in Bezug auf einen seriösen Ab-
sender. Man sieht, dass es wichtig ist, in
Abhängigkeit vom benutzten Mailserver
die Zeitintervalle anzupassen, in denen
ein erneuter Verbindungsversuch erwar-
tet wird. Sonst könnten sich lange Warte-
zeiten bei der Zustellung ergeben.
@ejkXccXk`fe
Bei Ubuntu und Debian ist die Erweite-
rung von Postfix um Postgrey kein großes
Ding. Die leichtgewichtige Software in-
stalliert man mit:
# apt-get install postgrey
Die Integration von Postgrey in Postfix
besteht dann nur noch darin, die Zeile
»smtp_recipient_restrictions« in der Da-
tei »/etc/postfix/main.cf« zu finden und
am Ende ein Kommando an die Liste
8YY`c[le^(1Jfj`ebk[XjJgXdXl]bfdd\e#eXZ_[\d>i\pc`jk`e^Xbk`m`\iknli[\%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
anzuhängen (C`jk`e^(). Die Settings kön-
nen sich natürlich etwas unterscheiden,
wichtig ist die letzte Zeile. Sie besagt,
dass Postfix mit einer Software, die auf
Port 60 000 hört, eine Überprüfung star-
ten soll, bevor es die SMTP-Transaktion
abschließt. Die Portnummer ist im Be-
darfsfall änderbar, aber weil es sich um
»localhost« handelt, muss man auf keine
Firewall Rücksicht nehmen.
Danach wird Postfix neu gestartet. In
diesem Fall wäre auch ein einfacher Re-
load genug, aber der Restart stellt sicher,
das Postfix seine gesamte »main.cf« neu
einliest.
# /etc/init.d/postfix restart
Postgrey kann nun während des E-Mail-
Dialogs mit anderen Servern zu Postfix
sprechen.
Gfjk^i\pXl]j\kq\e
Für ein voll funktionsfähiges Setup
braucht man nur drei Konfigurationsfiles
zu beachten. Das erste, seltener benutzte,
ist »/etc/postgrey/whitelist_recipients«.
Es erlaubt einigen Empfängern, den ge-
samten Mechanismus zu umgehen. Das
ist etwa für einige öffentliche Adressen
interessant, die immer Post empfangen
sollen wie »postermaster« oder »abuse«.
Gfjk^i\p E < KQ N < I B
Das zweite File, das häufiger gebraucht
wird, ist »/etc/postgrey/whitelist_cli-
ents«. Es regelt das Whitelisting für alle
eingehenden Mails. Man kann damit in-
dividuelle Adressen und Domains oder
IP-Adressen oder durch reguläre Aus-
drücke beschriebene Sender filtern. Man
kann damit sogar Präfixe von Absender-
adressen auf die Whitelist setzen wie
»chrisbinnie@« – wenn der Absender
mehrere Mail-Adressen mit demselben
Präfix, aber unterschiedlichen Domain-
Endungen hat. Das File könnte im Ergeb-
nis so aussehen:
Domain names:
debian.org
gmail,org
Regular Expressions 5
(all outbound GMail Boxes):
/^.*-out-.*\.google\.com$/
CIDR IP Adresses:
112.113.0.0/24
112.113.0.10
Das letzte Konfigurationsfile ist »/etc/de-
fault/postgrey«. Es enthält einige einstell-
bare Parameter. Das »POSTGREY_OPTS«-
Kommando
POSTREY_OPTS = 5
"--inet=60000 5
--delax=199 5
--auto-Whitelist_clients=5 5
--greylist-text" 
C`jk`e^(1@ek\^iXk`femfeGfjk^i\p`eGfjk]`o
01 smtpd_recipient_restrictions =
02 reject_non_fqdn_sender,
03 reject_non_fqdn_recipient,
04 reject_rbl_client bl.spamcop.net,
05 reject_rbl_client dnsbl.sorbs.net,
06 check_policy_service inet:127.0.0.1:60000
8;D@E 8L J >8 9 < '* $)' ( * )*
 E < KQ N < I B Gfjk^i\p

KXY\cc\(1HDX`c;\c`m\ipI\kip<m\ekj
<`ec`\]\ile^j$ J\ble[\e ;$??1DD1JJ <`ec`\]\ile^j$ J\ble[\e ;$??1DD1JJ <`ec`\]\ile^j$ J\ble[\e ;$??1DD1JJ
m\ijlZ_ m\ijlZ_ m\ijlZ_
( ' '$''1''1'' (* ,.-'' '$(-1''1'' ), )*'+'' )$(-1''1''
) +'' '$''1'-1+' (+ -.-'' '$(/1+-1+' )- ),'''' )$)(1)-1+'
* (-'' '$''1)-1+' (, ./+'' '$)(1+-1+' ). ).'+'' *$'*1'-1+'
+ *-'' '$'(1''1'' (- 0'''' ($'(1''1'' )/ )0(-'' *$'01''1''
)0 *(*-'' *$(,1'-1+'
, -+'' '$'(1+-1+' (. (')+'' ($'+1)-1+'
*' **-+'' *$)(1)-1+'
- ('''' '$')1+-1+' (/ ((,-'' ($'/1'-1+'
*( *-'''' +$'+1''1''
. (++'' '$'+1''1'' (0 ()0-'' ($()1''1''
*) */++'' +$('1+-1+'
/ (0-'' '$',1)-1+' )' (+++'' ($(-1'-1+' ** +'0-'' +$(.1+-1+'
0 ),-'' '$'.1'-1+' )( (-'''' ($)'1)-1+' *+ +*,-'' ,$'(1''1''
(' *)+'' '$'01''1'' )) (.-+'' )$'(1''1'' *, +-)+'' ,$'/1)-1+'
(( +'''' '$((1'-1+' )* (0*-'' )$',1+-1+' *- +0'''' ,$(-1'-1+'
() +/+'' '$(*1)-1+' )+ )((-'' )$('1+-1+' *. ,(/+'' -$''1''1''

stellt unter anderem den benutzten Port
ein. Bei dem darauffolgenden Parameter
sollte man einige Einstellungen auspro-
bieren, um passende Werte zu finden.
Der Delay-Schwellwert bezeichnet die
Zeit, die ein wiederkehrender Mailserver
verstreichen lassen muss, um sich erneut
verbinden zu dürfen. In diesem Fall wird
jeder entfernte Delivery Agent, der sich
vor Ablauf von 199 Sekunden erneut zu
konnektieren versucht, angewiesen, es
später wieder zu versuchen. Wenn er
es in der Vergangenheit bereits zu oft
versucht hat, wird er ganz ausgesperrt.
Der Default sind fünf Minuten, aber man
kann die Wartezeit für Ersteinlieferer pro-
blemlos auf 199 Sekunden kürzen.
Der Eintrag »--auto-whitelist-clients« ist
etwas komplizierter, man kann ihn aber
auch gänzlich weglassen. Wird er wirk-
sam, landet ein entfernter Agent, der
eine Reihe von Mails erfolgreich einge-
liefert hat, nach einer bestimmten War-
tezeit automatisch auf einer Whitelist.
Das kann ungünstigenfalls den gesamten
Spamschutz untergraben; man muss den
Parameter also mit Bedacht verwenden.
Die Art des Spam und auch der Anteil
interner Mails entscheiden darüber, ob
man diesen Parameter einsetzen kann
oder besser nicht.
C`jk`e^)1C`jkFg\e=`c\j
01 # lsof -i :60000
02 #
03 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE
NAME
04 postgrey 1081 postgrey 5u IPv4 4663 0t0
Riley:60000 (LISTEN)
Ein letzter Parameter, den man einstellen
sollte, ist:
POSTGREY_TEXT="Sorry, your mail server 5
has been greylistetd for five 5
minutes. Please come back later."
Das ist die Message, die dem entfernten
Delivery Agent übermittelt wird, wäh-
rend die Annahme der Mail verzögert
wird. Nachdem die Konfiguration ange-
passt ist, muss der Daemon neu gestartet
werden, damit die Änderungen wirksam
werden.
# /etc/init.d/postgrey restart
Um zu überprüfen, ob Postgrey läuft,
kann man »lsof« verwenden, das anzeigt,
ob jemand an Port 60 000 lauscht (C`$
jk`e^)). Bei Bedarf installiert man »lsof«
mit »apt-get install lsof«. Das wars. Zeigt
»lsof« einen Eintrag für den TCP-Port
60 000, ist alles in Ordnung.
I9Cj
Wenn man den Anteil geblockten Spams
von 95 noch auf 98 Prozent erhöhen will,
empfiehlt sich ein Blick auf die Real-
Time Blackhole Lists (RBLs) in Postfix.
RBLs sind von Dritten gepflegte Listen,
die Einzelpersonen oder Unternehmen
der Allgemeinheit zur Verfügung stellen,
und die Absender unerwünschter Mail
enthalten. Der Mailserver konsultiert
diese Listen am Beginn seines Dialogs,
um die Last niedrig zu halten, und kappt
die Verbindung, wenn er anhand der
TCP
Liste feststellt, dass die Gegenseite als
Spamversender gemeldet wurde. RBLs
funktionieren in den meisten Fällen zu-
verlässig und in Echtzeit. Die beiden »re-
ject_rbl_client«-Einträge in der »main.cf«
von Postfix erlauben es, im SMTP-Dialog
die danach angegebenen Server in Echt-
zeit abzufragen.
D\_i?Xd#n\e`^\iJgXd
Mit den in diesem Beitrag vorgestellten
Mitteln sollte sich das Spamaufkommen
auf jeden Fall deutlich reduzieren las-
sen. E-Mail ist immer noch ein wichtiges
Kommunikationsmittel und es ist eine
große Erleichterung, es ohne Einschrän-
kungen benutzen zu können. Der attrak-
tivste Aspekt des Greylistings ist dabei
jedoch seine zu vernachlässigende False-
Positive-Rate.
Hin und wieder mag sich ein Mailserver,
der abgewiesen und gebeten wird, es
später wieder zu versuchen, für ein paar
Stunden statt Minuten zurückziehen.
Aber davon abgesehen, ist Greylisting
ein zuverlässiges und ressourcenscho-
nendes Verfahren, Spam einzudämmen.
Wer es einmal eingesetzt hat, der kann
sich schon nach kurzer Zeit nicht mehr
vorstellen, wie er ohne es auskommen
konnte. (jcb) ■
@e]fj
R(T HDX`c>i\pc`jk`e^1R_kkg1&&nnn%afeXkb`ej%
Zfd&gX^\&jf]knXi\&^i\pc`jkT
R)T Gfjk^i\p1R_kkg1&&gfjk^i\`%jZ_n\`b\ik%Z_T
R*T Gfjk]`o1R_kkg1&&nnn%gfjk]`o%fi^T
R+THDX`cI\kipJZ_\[lc\1R_kkg1&&nnn%
c`]\n`k_hdX`c%fi^&cnh%_kdcT

)+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

 Leistungsexplosion im Server
Schnelle SSDs von Intel

Kennen Sie TKperf?

TKperf ist ein eigenentwickeltes Tool zum Testen

Wir setzen auf Leistung

der Geschwindigkeit von Festplatten und SSDs.
Lesen Sie mehr unter: www.thomas-krenn.com/tk_perf

Intel SSDs S3700

Überaus leistungsstarke SSDs aus der neuen Intel-Serie DC S3700 liegen
ab sofort bei der Thomas-Krenn.AG bereit für den Einbau in Ihre Server.
Die neuen 2,5“ SSDs glänzen durch absolute Top-Leistung und unerreichte Sicherheit.

DE: +49 (0) 8551 9150 - 0

Weitere Informationen erhalten Sie unter CH: +41 (0) 848207970
www.thomas-krenn.com/s_3700
AT: +43 (0)732 - 2363 - 0

Verkauf erfolgt ausschließlich an Gewerbetreibende, Firmen, Freiberufler (Ärzte, Rechtsanwälte etc.), staatliche Institutionen und Behörden. Druckfehler, Irrtümer und Änderungen in Preis und Ausstattung
vorbehalten. Unsere Versandkosten richten sich nach Gewicht und Versandart - mehr unter: www.thomas-krenn.com/versandkosten.Thomas-Krenn.AG, Speltenbach-Steinäcker 1, D-94078 Freyung
 N < 9 $J <: L I @ K P 8gXZ_\$JJC

ŸD`cfj
_BfaX

JJC$M\iY`e[le^\elek\i8gXZ_\)\`ei`Z_k\e
[`e
fm`Z_#(

J`Z_\i
)*I=

j\im`\ik
LdcXl\ie[\e;Xk\e[`\Y\e^\_i`^[\eKX^qlm\id`\j\e#
Y\ek`^\e8gXZ_\$8[d`e`jkiXkfi\ec\[`^c`Z_[i\`qlj€kqc`Z_\
;`i\bk`m\ele[\`e\?Xe[mfccBfddXe[fq\`c\eY\]\_c\%;Xj
i\`Z_kY\i\`kjXlj#ld[`\Bfddle`bXk`fed`k[\e9ifnj\ie
g\iJJCqlm\ijZ_c•jj\ce%K`dJZ_•idXee

Noch immer wandern täglich erschre-
ckend viele sensible Daten im Klartext
durch das Internet. Fängt ein Angreifer
etwa die Anmeldeinformationen für ein
Blog ab, kann er nicht nur den entspre-
chenden Benutzer ausspionieren, son-
dern auch in das Blog und somit oft in
den Webserver einbrechen. Als Admi-
nistrator sollte man daher tunlichst alle
sensiblen Bereiche einer Website absi-
chern. Das Mittel der Wahl heißt dabei
Transport Layer Security, kurz TLS. Mit
diesem Verfahren errichten Browser und
Webserver selbstständig eine verschlüs-
selte Verbindung, über die sie dann ihre
Kommunikation abwickeln. Die Vorgän-
gerversionen von TLS waren unter dem
Namen Secure Sockets Layer, kurz SSL,
bekannt, weshalb man noch heute häufig
allgemein von SSL-Verbindungen spricht.
Wie der Aufbau einer solchen verschlüs-
selten Verbindung abläuft, verrät der BX$
jk\eÙ8Y_ij`Z_\iÈ.
Im Apache-Webserver kümmert sich das
Modul »mod_ssl« um die Verschlüsselung
per SSL und TLS. Es liegt seit Version 2
dem Webserver bei und greift auf das
OpenSSL-Paket zurück R*T. Die darin
enthaltenen Bibliotheken implementie-
ren das SSL-Protokoll und führen somit
die eigentliche Verschlüsselung durch.
OpenSSL liegt den meisten Linux-Distri-
butionen von Haus aus bei. Windows-
Nutzer sollten direkt zum Apache-Binär-
paket mit integriertem OpenSSL greifen.
Die entsprechende Datei trägt die Be-
zeichnung »-openssl« und findet sich auf
der Download-Seite der Apache Foun-
dation R+T unter »Other files« im Ver-
zeichnis »binaries« und dann »win32«. In
CentOS 6.4 ist das Modul »mod_ssl« kein
Bestandteil des Apache2-Pakets, man
muss es daher explizit über das Paket
»mod_ssl« nachladen.
>\j`Z_kjbfekifcc\
Damit der Browser erfährt, mit wem
er eine verschlüsselte Verbindung ein-
geht, schickt der Webserver ihm ein
Zertifikat. Ein solches erstellen Admi-
nistratoren schnell mit dem Komman-
dozeilenprogramm »openssl« aus dem
OpenSSL-Paket. Windows-Nutzer des
Apache-Binärpakets finden es im »bin«-
Verzeichnis ihrer Apache-Installation.
Zertifikate basieren auf asymmetrischen
Kryptografieverfahren (Public Key Krypto-
grafie), bei dem jede Partei zwei Schlüs-
sel besitzt. Um ein Zertifikat zu erstel-
len, muss man zunächst für den Server
einen sogenannten privaten Schlüssel
generieren:
openssl genrsa -aes256 -out 5
privaterschluessel.pem 2048
Der Schlüssel ist in diesem Fall 2048 Bit
lang. Zur Sicherheit chiffriert ihn der
Befehl noch mit dem AES256-Verfahren,
weshalb man sich eine Passphrase (also
ein längeres Passwort) ausdenken und
eingeben muss. Mit dem privaten Schlüs-
sel in der Hand und der Passphrase im
Kopf lässt sich anschließend ein Zertifikat
erzeugen:
openssl req -new -x509 -days 365 -key 5
privaterschluessel.pem -out zertifikat.pem
Unter Windows muss man dabei expli-
zit auf die OpenSSL-Konfigurationsdatei
verweisen:

)- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


openssl req -config ..\conf\openssl.cnf 5
-new -x509 -days 365 -key privaterschluessel.5
pem -out zertifikat.pem
In jedem Fall erstellt der Befehl ein neues
Zertifikat (»-new«), dessen Aufbau dem
X.509-Standard folgt (»-x509«), 365 Tage
lang gültig ist und in der Datei »zertifi-
kat.pem« landet. Nach dem Aufruf des
Befehls bekommt man zahlreiche Fra-
gen gestellt. Auch wenn man die Vorga-
ben nur mit der Eingabetaste abnickt,
muss man bei der Frage zum »Com-
mon Name« unbedingt den Domainna-
men angeben, unter dem später die per
HTTPS gesicherten Seiten erreichbar sind.
Andernfalls verweigern die Browser der
Benutzer später den Verbindungsaufbau.
Liegt das Angebot etwa unter »https://
login.example.com«, lautet die Antwort
auf den Common Name »login.example.
com« (8YY`c[le^(). Das Zertifikat, den
privaten Schlüssel und dessen Passphrase
sollte man sichern beziehungsweise sich
gut merken, sie kommen später noch ein-
mal zum Einsatz.
KiXljZ_Xln\d
Ein selbst erstelltes Zertifikat hat den
Nachteil, dass es die Browser der Be-
nutzer zunächst als unsicher einstufen –
8Y_ij`Z_\i
KCJY\q`\_le^jn\`j\JJCj`e[bipgkf^iX]`jZ_\
E\kqn\ibgifkfbfcc\ ^\eXl ^\efdd\e jf^Xi
JXddcle^\e Xlj d\_i\i\e Gifkfbfcc\e % ;`\
mfe \`e\d 9ifnj\i ^\c`\]\ik\e ;Xk\e m\i$
jZ_c•jj\ckKCJle[jZ_`Zbkj`\[Xeem`XK:Gqld
N\Yj\im\ij`\_\8YY`c[le^) %JJCbXeejfd`k
e`Z_keli?KKG$M\ib\_i#jfe[\iegi`eq`g`\ccXlZ_
[`\ ;Xk\e mfe Xe[\i\e 8en\e[le^jgifkfbfc$
c\e n`\ \knX =KG Z_`]]i`\i\e% E\Y\e [\i M\i$
jZ_c•jj\cle^ mfe ;Xk\e \id^c`Z_k KCJ XlZ_
8lk_\ek`]`q`\ile^ le[ @ek\^i`k€kjbfekifcc\% <`e
9ifnj\i bXee jfd`k j`Z_\i j\`e# [Xjj \i •Y\i
\`e\ JJC$M\iY`e[le^ d`k [\d i`Z_k`^\e J\im\i
jgi`Z_k# [`\ m\ijZ_`Zbk\e @e]fidXk`fe\e e`\$
dXe[ d`kc\j\e bXee le[ [`\j\ ;Xk\e lem\i$
€e[\ik Y\`d >\^\e•Y\i Xebfdd\e% ;`\ [XY\`
a\n\`cj qld <`ejXkq bfdd\e[\e 8c^fi`k_d\e
[•i]\e [`\ Y\`[\e GXik\`\e `e >i\eq\e j\cYjk
n€_c\e% ;`\ M\ijZ_c•jj\cle^ [\i ;Xk\e •Y\i$
e`ddk`ea\[\d=Xcc\`ejpdd\ki`jZ_\jM\i]X_$
i\e#Y\`[\d\`e^\d\`ejXd\iJZ_c•jj\cjfnf_c
qldM\i$XcjXlZ_<ekjZ_c•jj\ce[`\ek%;\e^\$
_\`d\e 8ljkXljZ_ [`\j\j JZ_c•jj\cj jk\cck \`e
JZ_c•jj\cXljkXljZ_m\i]X_i\e j`Z_\i n`\ \knX
;`]]`\$?\ccdXeR(T %
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
8YY`c[le^(1;\i:fddfeEXd\`jke`Z_k[\i\`^\e\EXd\#jfe[\ie[\i;fdX`eeXd\%
schließlich könnte jeder ein solches Zer-
tifikat ausstellen. Die Benutzer müssen es
daher beim ersten Zugriff auf den Server
explizit als korrekt und vertrauenswürdig
einstufen. Bei einem öffentlich betriebe-
nen Webserver empfiehlt es sich deshalb,
das Zertifikat von einer entsprechenden
Zertifizierungsstelle, der Certificate Au-
thority, beglaubigen zu lassen. Es gibt
verschiedene kommerzielle Anbieter, der
?KKG ?KKG
JJC&KCJ JJC&KCJ
K:G K:G
@G @G
<k_\ie\k <k_\ie\k
8YY`c[le^)1JJCY`c[\k\`^\ekc`Z_\`e\\`^\e\
Qn`jZ_\ejZ_`Z_k`dGifkfbfccjkXg\c#`e[\iGiXo`j
q€_ckdXe\ja\[fZ_`e[\iI\^\cqliKiXejgfik$
Y\q`\_le^jn\`j\K:G$JZ_`Z_k%
D`k[\dGi€]`o¾_kkgj1&&½`e[\iLICq\`^k[\i
9\elkq\i\`e\j9ifnj\ijXe#[Xjj\i\`e\m\i$
jZ_c•jj\ck\M\iY`e[le^elkq\edZ_k\%;\eele
]fc^\e[\e8l]YXl\`e\iJJC$M\iY`e[le^Y\q\`Z_$
e\k dXe Xcj JJC$?Xe[j_Xb\% ;XY\` jZ_`Zbk [\i
:c`\ekqle€Z_jk\`e\8e]iX^\Xe[\eJ\im\i[Xj
jf^\eXeek\:c`\ek$?\ccf %;`\j\8e]iX^\\ek_€ck
lek\i Xe[\i\d [`\ ^\n•ejZ_k\ JJC$M\ij`fe
jfn`\ [`\ Y\mfiql^k\e 8c^fi`k_d\e ]•i [\e
JZ_c•jj\cXljkXljZ_# [`\ \`^\ekc`Z_\ M\ijZ_c•j$
j\cle^# [`\ 8lk_\ek`]`q`\ile^ le[ [`\ @ek\^i`$
8gXZ_\$JJC N < 9 $J <: L I @ K P
bekannteste dürfte Verisign Security sein
(mittlerweile ein Unternehmen von Sym-
antec, R,T). Die Browser bringen bereits
Unterschriften dieser Zertifikatsverwalter
mit und winken alle von ihnen unter-
schriebenen beziehungsweise ausgestell-
ten Zertifikate durch. Wenn die Zertifizie-
rungsstelle eine Zertifikatsanfrage haben
möchte, erstellt man diese mit folgendem
Befehl: 
k€kjgi•]le^% <`e jfcZ_\j 8c^fi`k_d\e$>\jgXee
Y\q\`Z_e\kdXeXcj:`g_\iJl`k\%
@ej\`e\i8eknfikJ\im\i$?\ccf k\`ck[\iJ\im\i
[\d:c`\ekd`k#]•in\cZ_\8c^fi`k_d\e\ij`Z_
\ekjZ_`\[\e_Xkle[c\^k^c\`Z_efZ_\`eQ\ik`]`$
bXk`dO%,'0$=fidXkY\`R)T%N`\Y\`\`e\i8lj$
n\`jbfekifcc\bXee[\i:c`\ek[Xd`k]\jkjk\cc\e#
fY[\iN\Yj\im\ikXkj€Z_c`Z_[\ia\e`^\`jk#d`k
[\d\ibfddle`q`\i\edZ_k\%
8YjZ_c`\\e[ _Xe[\ce :c`\ek le[ J\im\i \`e\e
^\d\`ejXd\eJ`kqle^jjZ_c•jj\cXlj%D`k[`\j\d
jf^\eXeek\e J\jj`fe B\p m\ijZ_c•jj\ce Y\`[\
GXik\`\e[Xee`_i\n\`k\i\Bfddle`bXk`fe%;\i
J\jj`feB\p^`ckXljjZ_c`\c`Z_]•i[`\Xbkl\cc\
J`kqle^# nXj \`e BXg\ie [liZ_ 8e^i\`]\i \i$
jZ_n\i\ejfcc%
;`\\ijk\M\ij`fe[\jJ\Zli\JfZb\kjCXp\i^\_k
•Yi`^\ej Xl] [`\ =`idX E\kjZXg\ qli•Zb# [`\
(00,[XjM\i]X_i\e\ijkdXcj`e`_i\d9ifnj\i
EXm`^Xkfi \`ej\kqk\% EXZ_ [\i [i`kk\e M\ij`fe
•Y\ieX_d [`\ @ek\ie\k <e^`e\\i`e^ KXjb =fiZ\
@<K= [`\N\`k\i\ekn`Zbcle^%J`\\i_fY[XjM\i$
]X_i\eql\`e\dJkXe[Xi[le[kXl]k\\j[XY\`
XlZ_ ^c\`Z_ efZ_ `e KiXejgfik CXp\i J\Zli`kp
KCJ ld%
8;D@E 8L J >8 9 < '* $)' ( * ).
 N < 9 $J <: L I @ K P 8gXZ_\$JJC
openssl req -new -key privaterschluessel.5
pem -out anfrage.csr
Die Anfrage in der Datei »anfrage.csr«
muss man dann der Certificate Authority
übermitteln. In einem Unternehmens-
netzwerk könnte man alternativ die ei-
genen Zertifikate vorab in die Browser
aufnehmen oder gar eine eigene Certifi-
cation Authority betreiben R-T.
In jedem Fall sollte jetzt eine Datei mit
dem Zertifikat und eine mit dem priva-
ten Schlüssel vorliegen. Das Duo sam-
melt man am besten in einem eigenen
Unterverzeichnis bei den übrigen Kon-
figurationsdateien. Letztgenannte liegen
auf Linux-Systemen meist unter »/etc/
apache2« oder »/etc/httpd«, unter Win-
dows normalerweise im Ordner »conf«
des Apache-Verzeichnisses. Dort erstellt
man dann ein Unterverzeichnis »ssl«
und kopiert das Zertifikat nebst privatem
Schlüssel hinein:
mkdir -p /etc/apache2/ssl
cp *.pem /etc/apache2/ssl
Im Normalfall erfordern diese Befehle
Root-Rechte.
9Xlk\`c
Um die verschlüsselten SSL-Verbindun-
gen kümmert sich das Apache-Modul
»mod_ssl«. Unter vielen, aber leider nicht
allen Linux-Distributionen ist es von
Haus aus aktiviert. Der Apache-Server
lädt »mod_ssl«, wenn in seinen Konfi-
C`jk`e^(1M`ikl\cc\i?fjkd`kKCJ
01 <VirtualHost *:443>
02 ServerName login.example.com
03 DocumentRoot "/var/www"
04
05 SSLEngine on
06 SSLCertificateFile /etc/apache2/ssl/zertifikat.
pem
07 SSLCertificateKeyFile /etc/apache2/ssl/
privaterschluessel.pem
08
09 <Directory "/var/www">
10 Options Indexes FollowSymLinks
11 </Directory>
12
13 CustomLog /var/log/apache2/ssl_request_log ssl_
combined
14 ErrorLog /var/log/apache2/ssl_error_log
15 TransferLog /var/log/apache2/ssl_access_log
16 </VirtualHost>
)/ 8L J >8 9 < '* $)' ( *
gurationsdateien irgendwo die folgende Anfragen via HTTPS trudeln normaler-
Zeile auftaucht: weise an Port 443 ein. Damit Apache dort
lauscht, muss man seine Konfiguration
LoadModule ssl_module modules/mod_ssl.so
um folgenden Abschnitt ergänzen:
Meist findet man sie in der zentralen
<IfModule mod_ssl.c>
»httpd.conf«, CentOS lagert die Zeile in Listen 443
die Datei »/etc/httpd/conf.d/ssl.conf« </IfModule>
aus. Wer die Standardkonfigurationsda-
teien verwendet, muss vor der oben ge- In welche Konfigurationsdatei dieser Ab-
nannten Zeile lediglich das Hash-Zeichen schnitt gehört, hängt von der Apache-
entfernen. Alternativ bieten einige Linux- Installation ab. Unter Debian-basierten
Distributionen, darunter Debian, Ubuntu Systemen steckt er bereits in der Datei
und Open Suse, das Skript »a2enmod« an, »/etc/apache2/ports.conf«, unter Open
das dynamisch ladbare Apache-Module Suse 12.3 hingegen in der Datei »/etc/
aktiviert. Der Benutzer Root aktiviert da- apache2/listen.conf« und bei CentOS in
mit »mod_ssl« via: »/etc/httpd/conf.d/ssl.conf«. Gegebe-
nenfalls muss man alle vorangestellten
a2enmod ssl
Hash-Zeichen »#« entfernen und so den
Unter Open Suse ist zusätzlich noch Abschnitt auskommentieren. Wer die
der Befehl »a2enflag SSL« notwendig. Standardkonfigurationsdatei verwendet,
Sofern das Skript »a2enmod« vorhan- wie sie etwa auch dem Windows-Binär-
den ist, sollte man es möglichst auch paket von Apache beiliegt, muss in der
nutzen. Die Distributionen setzen dann »httpd.conf« lediglich in der Zeile
meist mehrere, teilweise sogar automati-
#Include conf/extra/httpd-ssl.conf
siert erzeugte Konfigurationsdateien ein.
Debian etwa schaltet einzelne Module das Hash-Zeichen entfernen. Damit liest
über symbolische Links ein und aus. Apache die Datei »httpd-ssl.conf« im Un-
KXY\cc\(1D^c`Z_\8c^fi`k_d\e]•i¾JJC:`g_\iJl`k\½
B•iq\c 9\[\lkle^
8c^fi`k_d\e]•i[\eJZ_c•jj\cXljkXljZ_
bIJ8 IJ8
b;?i ;`]]`\$?\ccdXed`kIJ8$JZ_c•jj\c
b;?[ ;`]]`\$?\ccdXed`k;J8$JZ_c•jj\c
b<;? <g_\d\iXc$;`]]`\$?\ccdXek\dgfi€i\iJZ_c•jj\cf_e\Q\ik`]`bXk
bJIG JZ_c•jj\cXljkXljZ_g\iJ\Zli\I\dfk\GXjjnfi[JIG
8lk_\ek`]`q`\ile^jXc^fi`k_d\e
XELCC B\`e\8lk_\ek`]`q`\ile^
XIJ8 IJ8
X;JJ ;JJ
X;? ;`]]`\$?\ccdXe
M\ijZ_c•jj\cle^jXc^fi`k_dlj
\ELCC B\`e\M\ijZ_c•jj\cle^
ELCC N`\\ELCC
8<J 8<J
;<J ;<J
*;<J Ki`gc\$;<J
I:+ I:+
I:) I:)
@;<8 @;<8
8c^fi`k_d\eqli@ek\^i`k€kjgi•]le^D8:$;`^\jk$8c^fi`k_dlj
D;, D;,
J?8( J?8(
J?8 N`\J?8(
J?8),- J?8),-
J?8*/+ J?8*/+
8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 8gXZ_\$JJC N < 9 $J <: L I @ K P

terverzeichnis »extra«, die den die Seiten der Domain regelt

benötigten Abschnitt enthält. wie üblich ein »Directory«-
Abschnitt.
E\l\i>Xjk^\Y\i C`jk`e^ ( speichert man am
besten in einer eigenen Kon-
Damit Apache die HTTPS- figurationsdatei. In welches
Anfragen beantwortet, muss Verzeichnis sie gehört, hängt
ein neuer virtueller Host her. wieder von der Apache-In-
C`jk`e^ ( zeigt dafür ein ein- stallation ab. Debian-Admins
faches Beispiel: Nach dem legen sie unter »/etc/apa-
Festlegen von Servernamen che2/sites-available« ab und
und Document Root schal- benennen sie so wie »Server-
tet »SSLEngine On« die Ver- Name«. Anschließend muss
schlüsselung ein. Das Docu- man die Datei noch explizit
ment-Root-Verzeichnis sollte mit »a2ensite login.example.
man wohlüberlegt wählen: com« aktivieren, wobei »login.
Ist es beispielsweise identisch 8YY`c[le^*1J\cYjk\ijk\cck\Q\ik`]`bXk\n\`j\e[`\9ifnj\id`k\`e\i example.com« für den Namen
mit dem global festgelegten \ekjgi\Z_\e[\eD\c[le^qle€Z_jkqli•Zb% der neuen Konfigurationsda-
Document-Root-Verzeichnis, tei steht. Im Fall von Open
können Besucher die dortigen Seiten so- KeyFile« verrät die Datei mit dem priva- Suse spendiert man der Datei aus C`$
wohl über eine gesicherte als auch eine ten Schlüssel. Sofern man ein Zertifikat jk`e^( die Endung ».conf« und platziert
ungesicherte Verbindung abrufen. Das verwendet, in das der private Schlüssel sie dann im Verzeichnis »/etc/apache2/
ist normalerweise auch der Fall, wenn eingebettet ist, kann man »SSLCertificate- vhosts.d«. CentOS und dem Windows-
man beim SSL-Host die »DocumentRoot«- KeyFile« weglassen. Aus Sicherheits- Binärpaket von Apache liegt bereits eine
Direktive weglässt. Man sollte daher gründen sollte man jedoch den privaten Beispielkonfiguration für einen virtuellen
möglichst verschiedene Document Roots Schlüssel immer wie hier gezeigt in eine Host bei, die sich einfach gemäß C`jk`e^
verwenden oder den Zugriff auf die ent- eigene Datei auslagern. ( anpassen lässt. In CentOS findet man
sprechenden Teile der Website ander- Zugriffsversuche via SSL protokolliert sie in der Datei »/etc/httpd/conf.d/ssl.
weitig reglementieren, etwa über das die Log-Datei »/var/log/apache2/ssl_re- conf«, unter Windows liegt sie in der
Rewrite-Module. quest_log«. Fehlermeldungen wandern in Datei »httpd-ssl.conf« im Ordner »conf\
»SSLCertificateFile« deutet auf den Spei- die Datei »ssl_error_log«, alle Anfragen extra« der Apache-Installation.
cherort des Zertifikats, »SSLCertificate- sammelt »ssl_access_log«. Den Zugriff auf

KXY\cc\)18c`Xj$EXd\e]•i¾JJC:`g_\iJl`k\½
GXjjg_iXj\qldJkXik
B•iq\c 9\[\lkle^ Abschließend muss man Apache einmal
JJCm* 8cc\mfeJJC*%'lek\ijk•kqk\8c^fi`k_d\e neu starten, unter Debian etwa mit »/etc/
KCJm( 8cc\mfeKCJ(%'lek\ijk•kqk\8c^fi`k_d\e init.d/apache2 restart«. Apache fordert
<OG 8cc\\ogfik]€_`^\e8c^fi`k_d\e dabei die Passphrase für den privaten
<OGFIK+' <ogfik]€_`^\8c^fi`k_d\ed`k+'9`k Schlüssel ein. Verhindern kann man das
<OGFIK,- <ogfik]€_`^\8c^fi`k_d\ed`k,-9`k
CFN JZ_nXZ_\#XY\ie`Z_k\ogfik]€_`^\8c^fi`k_d\eJ`e^c\$;<J
J\im\iEXd\@[\ek`]`ZXk`fe
D<;@LD 8cc\8c^fi`k_d\ed`k()/9`k ;X[\i;fdX`eeXd\]\jk\i9\jkXe[k\`c[\jQ\i$
?@>? 8cc\8c^fi`k_d\e#[`\Ki`gc\$;<Jelkq\e k`]`bXkj`jk#bXeedXe\`^\ekc`Z_gif@G$8[i\jj\
`dd\ieli\`eQ\ik`]`bXkelkq\e%D`kXe[\i\e
IJ8 8cc\8c^fi`k_d\e#[`\\`e\eIJ8$JZ_c•jj\cXljkXljZ_m\in\e[\e
Nfik\ed•jjk\dXea\[\iJlY$ ;fdX`e\`e\
;? 8cc\8c^fi`k_d\e#[`\\`e\e;`]]`\$?\ccdXe$JZ_c•jj\cXljkXljZ_m\in\e[\e
\`^\e\@G$8[i\jj\jg\e[`\i\e%8Y_`c]\jZ_X]]k
<;? 8cc\8c^fi`k_d\e#[`\\`e\eJZ_c•jj\cXljkXljZ_d`k<g_\d\iXc$;`]]`\$ \`eM\i]X_i\eeXd\ejJ\im\iEXd\@e[`ZXk`fe#
?\ccdXem\in\e[\e
bliqJE@%;XY\`j\e[\k[\i9ifnj\iefZ_mfi
<:;? JZ_c•jj\cXljkXljZ_d`kk\cj<cc`gk`Z:lim\;`]]`\$?\ccdXe [\d9\^`ee[\i\`^\ekc`Z_\eM\ijZ_c•jj\cle^
8;? 8cc\8c^fi`k_d\e#[`\\`e\e8efepdflj$;`]]`\$?\ccdXe$JZ_c•jj\cXljkXljZ_ Y\`d :c`\ek$?\ccf# j`\_\ BXjk\e Ù8Y_ij`$
m\in\e[\e Z_\iÈ [`\LIC#Xl][`\\iql^i\`]\edZ_k\%
8<:;? 8cc\8c^fi`k_d\e#[`\\`e\eJZ_c•jj\cXljkXljZ_d`k<cc`gk`Z:lim\;`]]`\$ 8cc\ Xbkl\cc\e ^if\e 9ifnj\i lek\ijk•kq\e
?\ccdXem\in\e[\e JE@#8gXZ_\b\eek[XjM\i]X_i\ej\`k[\iM\i$
JIG 8cc\8c^fi`k_d\e#[`\\`e\eJZ_c•jj\cXljkXljZ_d`kJ\Zli\I\dfk\GXjj$ j`fe)%)%()ÆmfiXlj^\j\kqk\jbfddkFg\eJJC
nfi[JIG m\in\e[\e
XYM\ij`fe'%0%/`qld<`ejXkq%Ki`]]k[XjXl][`\
;JJ 8cc\8c^fi`k_d\e#[`\\`e\;JJ$8lk_\ek`]`q`\ile^m\in\e[\e \`^\e\ 8gXZ_\$@ejkXccXk`fe ql# bXee dXe `e
<:;J8 8cc\8c^fi`k_d\e#[`\\`e\<:;J8$8lk_\ek`]`q`\ile^m\in\e[\e a\[\d¾3M`iklXc?fjk5½$:fekX`e\i\`e\`^\e\j
XELCC 8cc\8c^fi`k_d\e#[`\b\`e\8lk_\ek`]`q`\ile^m\in\e[\e Q\ik`]`bXkXe^\Y\e%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * )0

 N < 9 $J <: L I @ K P 8gXZ_\$JJC
nur, indem man die Verschlüsselung
wieder entfernt. Damit ist der private
Schlüssel aber ungeschützt, was wiede-
rum ein Sicherheitsrisiko darstellt. Kom-
men mehrere per SSL gesicherte virtuelle
Hosts zum Einsatz, versucht Apache die
eingetippte Passphrase auch auf alle üb-
rigen privaten Schlüssel anzuwenden. Im
Idealfall muss man so nur einmal eine
Passphrase eintippen.
Sobald der User jetzt die verschlüsselte
Seite ansteuert – in den bisherigen Bei-
spielen »https://login.example.com«
– warnt der Browser bei einem selbst
erstellten Zertifikat vor mangelnder Si-
cherheit (8YY`c[le^*). Hier bleibt dem
Anwender nur, das Zertifikat per Hand
als vertrauenswürdig einzustufen. An-
schließend läuft die Kommunikation ver-
schlüsselt ab.
HlXc[\iNX_c
Neben den drei SSL-Direktiven aus C`$
jk`e^ ( kennt Apache noch ein paar
weitere. Besonders interessant ist »SSL-
CipherSuite«. Sie gibt an, welche Ver-
schlüsselungsalgorithmen der Webserver
für den SSL-Handshake akzeptiert. Der
Direktive folgt dabei eine durch Doppel-
punkte getrennte Liste mit den möglichen
Algorithmen. Angeben muss man dabei
jeweils mindestens einen Algorithmus
für den Schlüsselaustausch, die Authen-
tifizierung, die Verschlüsselung und die
8YY`c[le^,1;`\d^c`Z_\e8c^fi`k_d\ebfdY`eXk`fe\eq\`^k¾fg\ejjc½Xe%
*' 8L J >8 9 < '* $)' ( *
Integritätsprüfung. Ein Beispiel für eine
solche Auswahl wäre:
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:5
+MEDIUM:+LOW:+SSLv2:+EXP
Diese Liste sieht auf den ersten Blick
ziemlich wüst aus, erklärt sich aber
schnell: Jeder Algorithmus erhält ein
Kürzel, »RC4« steht beispielsweise für
den RC4-Algorithmus. Alle weiteren Kür-
zel stellt KXY\cc\( vor. Damit man sich
nicht die Finger wund tippt, gibt es net-
terweise noch Abkürzungen beziehungs-
weise Alias-Namen. So steht »SSLv2« für
alle vom SSL-2-Standard unterstützten
Algorithmen, »ALL« für alle möglichen.
Die übrigen Abkürzungen listet KXY\cc\
) auf. »Exportfähig« bezieht sich dabei
auf die Ausfuhrbeschränkungen der USA,
nach denen besonders starke Verschlüs-
selungsverfahren nicht exportiert werden
dürfen. »EXP« enthält somit nur Verfah-
ren mit geringer Schlüssellänge.
Schließlich darf man bestimmte Algorith-
men noch bevorzugen oder ausschlie-
ßen. Das zeigen die Sonderzeichen »+«,
»-« und »!« an, die den Kürzeln voran-
gestellt werden. »!« verbietet einen Al-
gorithmus, »!ADH« schließt im obigen
Beispiel folglich alle Algorithmen aus,
die Anonymous Diffie-Hellmann verwen-
den. Das Minuszeichen »-« entfernt eben-
falls einen Algorithmus, der sich aber
später in der Kette wieder hinzufügen
lässt. Mit dem Pluszeichen kann man
8;D@E
einen Algorithmus explizit an die ent-
sprechende Position der Liste setzen und
so die Reihenfolge beeinflussen. Im obi-
gen Beispiel würde der Webserver etwa
die Algorithmen aus der »HIGH«-Gruppe
denen der »MEDIUM«-Gruppe bevorzu-
gen. Abschließend kann man auch noch
mehrere vorgegebene Cipher-Suiten aus-
wählen, indem man zwischen den Kür-
zeln ein »+« einfügt. Im obigen Beispiel
wären mit »RC4+RSA« alle Cipher-Suiten
möglich, die »RC4« und »RSA« enthalten.
Das Beispiel ist übrigens gleichzeitig der
Standardwert unter Apache 2.2. Apache
2.4 übernimmt hingegen die Standardein-
stellungen von OpenSSL.
Welche Algorithmenkombinationen mit
einer Einstellung möglich sind, verrät der
Befehl »openssl ciphers -v«. Ihm hängt
man einfach den zu untersuchenden
Bandwurm an:
openssl ciphers -v 'ALL:!ADH:RC4+RSA:5
+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP'
Das Ergebnis ist eine Tabelle wie die aus
8YY`c[le^ ,. Die erste Spalte listet die
Namen der Cipher-Suiten auf, die zweite
nennt den SSL-Standard. Es folgen in
den weiteren Spalten die Algorithmen
für den Schlüsselaustausch, die Authen-
tifizierung, die Verschlüsselung und die
Integritätsprüfung.
Die großen Browser bevorzugen norma-
lerweise sichere Algorithmen, derzeit vor
allem AES, die jedoch mehr Rechenzeit
kosten. Administratoren, die stattdessen
auf schnellere, einfachere Verfahren set-
zen, leben gefährlich: So geriet zuletzt
RC4 in die Schlagzeilen. Mehr zu Pro-
blemen mit TLS verrät ein Artikel in der
Security-Rubrik dieses Hefts.
Man sollte daher nicht mit einer eigenen
»SSLCipherSuite«-Regel die vom Client
vorgeschlagenen, sicheren Verfahren
überstimmen. Beschleunigen kann man
die Codierung, indem man OpenSSL eine
eventuell vorhandene Kryptohardware
nutzen lässt. Das setzt allerdings voraus,
dass OpenSSL mit »Engine«-Unterstüt-
zung übersetzt wurde. Ab OpenSSL 0.9.7
ist dies standardmäßig der Fall. Welche
Hardwarebeschleuniger dann zur Verfü-
gung stehen, verrät:
openssl engine
Von diesen wählt man einen aus und
setzt den Namen in die Klammern hin-
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 kinderleicht
+ ausgereift
cket als Quelle für Zufallszahlen miss-
brauchen:

SSLRandomSeed startup egd:/pfad/zum/socket

Eine Referenz aller von »mod_ssl« be-

reitgestellten Direktiven steht für Apache
8YY`c[le^-18l][`\j\d:fi\`.lek\iFg\e 2.2 unter R.T bereit, während man für
Jlj\()%*^`Yk\jeli\`e:ipgkf$;\m`Z\]•i Apache 2.4 unter R/T nachschlägt.
_Xi[nXi\Y\jZ_c\le`^k\M\ijZ_c•jj\cle^%

=Xq`k
ter die Direktive »SSLCryptoDevice«, wie
etwa: Hat man erst einmal ein Zertifikat er-
zeugt, ist die Einrichtung von »mod_ssl«
SSLCryptoDevice rsax
schnell erledigt. SSL beziehungsweise IPTAM® PBX VoiP Telefon-
Zusätzlich lässt sich auch ein Cache für TLS verschlüsseln allerdings nur den
anlage mit bester ISDN-Integration
Session-Daten einrichten: Datenverkehr und bieten daher nur ei-
nen Sichtschutz für potenzielle Mitleser.
SSLSessionCache dbm:/tmp/cachedatei
Folglich reicht es nicht aus, nur einfach
In diesem Fall würde Apache die DBM- das SSL-Modul zu aktivieren. Die Web- Kinderleichte Administration
Datei »/tmp/cachedatei« verwenden. Anwendung muss zusätzlich die emp- ■ per CD auf einem Server
fangenen Daten vertraulich behandeln Ihrer Wahl
N•i]\cjg`\c und beispielsweise verschlüsselt in einer
■ oder als Fertiggerät
Datenbank ablegen. TLS ist somit nur
Die von TLS verwendeten Algorithmen ein kleiner Baustein in einer kompletten (Appliance)
greifen auf einen Zufallsgenerator zu- Sicherheitsstrategie. (ofr) ■ ■ Vorbildliche Dokumentation:
rück. Standardmäßig bildet »mod_ssl« www.iptam.com/wiki/
die Zufallszahl aus der aktuellen Uhr-
zeit, der Prozess-ID und einem zufällig @e]fj
gewählten, ein KByte großen Stück des R(T N`b`g\[`X$<`ekiX^qld;`]]`\$?\ccdXe$
Ausgereifte Funktionalität
internen Scoreboard-Speichers. Letztge- 8c^fi`k_dlj1 ■ Bequeme Bedienung
nannten nutzt Apache bei der Interpro- R_kkg1&&[\%n`b`g\[`X%fi^&n`b`&;`]]`\$?\ccdX über Web-Oberfläche
zesskommunikation. Das Ergebnis ist je- e$JZ_c:*9:jj\cXljkXljZ_T
■ Einspielen von Patches,
doch keine echte Zufallszahl. Aus diesem R)T N  `b`g\[`X$<`ekiX^qldO%,'0$JkXe[Xi[1
Lizenzerweiterung, ISDN-
Grund lässt sich mit »SSLRandomSeed« R_kkg1&&[\%n`b`g\[`X%fi^&n`b`&O,'0T
eine andere Quelle auswählen und so R*T F  g\eJJC1R_kkg1&&nnn%fg\ejjc%fi^T
Konfiguration mit 3 Klicks
die Sicherheit erhöhen. Im einfachsten R+T8gXZ_\;fnecfX[1R_kkg1&&_kkg[%XgXZ_\% ■ Und natürlich alle gängigen
Fall kann man die Zufallswerte aus einer fi^&[fnecfX[%Z^`T Funktionen: Voicemail, Instant
Datei holen, unter Linux etwa »/dev/ R,T M\i`j`^e1R_kkg1&&nnn%m\i`j`^e%[\T Messaging Server, Fax-Server,
random«: R-T D  \c[\jk\cc\ÆQ\ik`]`bXk\d`kFg\e:8 Konferenzräume, Warteschlangen,
SSLRandomSeed connect file:/dev/random
m\inXck\e#8;D@E'(&)'('1R_kkg1&&nnn% Sprachmenüs, Klingelgruppen,
X[d`e$dX^Xq`e%[\&;Xj$?\]k&)'('&'(& Durchsagefunktion, Konfiguration
»connect« zeigt hierbei an, dass Apache Q\ik`]`bXk\$d`k$Fg\e$:8$m\inXck\e& der Telefone über die Anlage ....
die Zufallszahl beim Aufbau einer Verbin-
dung abruft. Bei der Alternative »startup«
wäre dies nur beim Start des Webservers
R.T ;
)/cXe^lX^\)0&^\i$;<T
 fbld\ekXk`femfeDf[$JJC]•i8gXZ_\
)%)1R_kkg1&&_kkg[%XgXZ_\%fi^&[fZj&)%)&
selber
der Fall. »SSLRandomSeed« muss zudem
im globalen Server-Kontext stehen (also
df[&df[Vjjc%_kdcT
R/T;fbld\ekXk`femfeDf[$JJC]•i8gXZ_\
testen!
außerhalb des »<VirtualServer>«-Con- )%+1R_kkg1&&_kkg[%XgXZ_\%fi^&[fZj&)%+&
tainers). Neben einer Datei als Quelle df[&df[Vjjc%_kdcT Die IPTAM PBX 5
kann man auch ein Programm die Daten kostenlos
anliefern lassen. Dieses muss die Zufalls- ;\i8lkfi downloaden:
werte auf die Standardausgabe schrei- K`d JZ_•idXee `jk j\cYjkjk€e[`^\i ;`gcfd$ www.iptam.com
ben: @e]fidXk`b\ile[[\iq\`k_Xlgkj€Z_c`Z_Xcj]i\`\i Demosystem
8lkfi lek\in\^j% Ql j\`e\e 9•Z_\ie ^\j\cc\e online testen:
en:
SSLRandomSeed startup exec:/bin/meinprg
j`Z_qX_ci\`Z_\8ik`b\c#[`\`eQ\`kjZ_i`]k\ele[ www.iptam.com/demo
Auf Unix-Systemen kann man schließlich Xl] @ek\ie\kj\`k\e `e d\_i\i\e C€e[\ie m\i]$
noch die Daten aus einem Netzwerkso- ]\ekc`Z_knli[\e%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8L J >8 9 < '* $)' ( *

www.iptam.com *(
 N < 9 $J <: L I @ K P E^`eole[EXoj`
ŸI\]XkDXdlkfm#()*I=
E^`eoXcj=ifek\e[$>Xk\nXp
9iXe[jZ_lkq
|Y\i[`\C\`jkle^\e[\jE^`eo$N\Yj\im\ijnli[\jZ_fem`\c^\i\[\k%
N\e`^\iY\bXeekj`e[j\`e\=€_`^b\`k\eY\`dCfX[YXcXeZ`e^#Xcj[peX$
d`jZ_\i:XZ_\le[XcjN\Y8ggc`ZXk`fe=`i\nXcc%DXibljDXeqb\
Größere Webapplikationen bestehen
meistens aus mehreren Komponenten,
zum Beispiel Frontend, Application Ser-
ver und Daten-Backends. Dabei über-
nehmen Frontends einen Großteil der
Verarbeitung von Anfragen und können
mit richtigem Setup und Tuning dafür
sorgen, dass die Zugriffszeiten verkürzt,
die dahinterliegenden Application Server
entlastet und vor unberechtigten Zugrif-
fen geschützt werden.
Nginx hat sich in kurzer Zeit einen festen
Stammplatz in diesem Ensemble erar-
beitet und kann als Reverse Proxy, Sta-
tic Server und Loadbalancer auftreten.
Die freie Software überzeugt dabei mit
Performance, Stabilität und geringen An-
forderungen an Ressourcen. Ungefähr 30
Prozent der Top-10 000-Webseiten profi-
tieren schon davon R(T (8YY`c[le^().
Die folgende Liste gibt einen kleinen Ein-
blick in die Funktionen, die Nginx als
*) 8L J >8 9 < '* $)' ( * 8;D@E
Frontend erfüllen kann: Loadbalancing
und Hot Standby für Application Server,
Reverse Proxy, Static Server, Web/Proxy
Cache, SSL Offload und SNI, Header Clea-
nup, Web Application Firewall. Nginx ist
vor jeder Application-Server-Infrastruktur
einsetzbar, die via HTTP(S) angespro-
chen wird, bestehende Setups lassen sich
einfach erweitern (8YY`c[le^)).
E\ld`kJG;P
Neben dem Neueinlesen der Konfigura-
tion via »HUP«-Signal kann man auch das
Nginx-Binary im laufenden Betrieb ohne
Verbindungsabbrüche austauschen R)T.
Das neue SPDY-Protokoll ist in Nginx ab
Version 1.3.15 implementiert und wird
wahrscheinlich in die stabile Version 1.4
integriert werden, die im Mai zu erwarten
ist. Für ältere Versionen des 1.3-Zweigs
gibt es einen Patch R*T.
Es gibt Ansätze wie OpenResty R+T oder
Tengine R,T, die Nginx direkt an Da-
tenbanken und Caches wie Redis oder
Memcache anbinden und um Lua-Sup-
port erweitern. Downloads der stabilen
und Entwicklerversionen finden sich auf
Re^`eo%fi^T; aktuell sind 1.2.8 (stable)
und 1.3.16 (development).
Die Dokumentation im Wiki R-T ist um-
fassend, alle Optionen des Cores und
vieler Drittmodule sind dort inklusive
Beispielkonfigurationen, Best-Practice-
Guides und Howtos zu finden. Die Mai-
lingliste steht Neueinsteigern und Hard-
core-Anwendern gleichermaßen mit Hilfe
zur Selbsthilfe zur Verfügung. Selbst Igor
Sysoev, der Hauptentwickler von Nginx,
antwortet hier ab und zu auf technisch
anspruchsvolle Fragen.
CfX[YXcXeZ`e^
Loadbalancer sorgen für die Verteilung
von Anfragen auf dahinterliegende Server
oder Dienste. Nginx bringt dazu mehrere
Module mit, die die Last nach verschie-
denen Kriterien verteilen. Die Loadba-
lancer-Funktionen aus dem Upstream-
Modul lassen sich gut an die eigenen
Gegebenheiten anpassen. So können die
Anzahl der Fehlversuche und die Time-
outs für jeden Server im Loadbalancer-
Verbund einzeln eingestellt werden. Auch
eine Gewichtung der einzelnen Server ist
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

8YY`c[le^(1M\iYi\`kle^mfeE^`eo`d=\YilXi)'(*% 8YY`c[le^)19\`jg`\c$J\klgd`kE^`eoXcj=ifek\e[%
möglich. Im Fehlerfall lassen sich ein- sich in Nginx mit einem externen Modul
zelne Server aus dem Verbund als inak- realisieren R.T; die oben erwähnten Kon-
tiv (down) kennzeichnen. Fehlerseiten figurationsoptionen können weiterhin
können abgefangen und umgeleitet wer- genutzt werden. Der Administrator kann
den. Auch eine Konfiguration von Hot- die Gewichtung der einzelnen Server mit
Standby-Servern, die aktiv werden, wenn dem »weight«-Parameter anpassen und so
andere Server ausfallen, ist möglich. C`$ zum Beispiel Servern mit besserer Perfor-
jk`e^( zeigt ein Beispiel für eine solche mance mehr Anfragen zuweisen. Dieser
Konfiguration. Parameter darf zusätzlich zu allen oben
erwähnten Optionen benutzt werden.
CXjkm\ik\`cle^
?fkJkXe[Yp
Die Lastverteilung des Loadbalancers
kann nach Round Robin, Least Connec- Neben der Lastverteilung lassen sich mit
tion oder IP Hash erfolgen. Sticky Sessi- Nginx auch Hot-Standby-Szenarien auf-
ons, die eine Sitzung eines Anwenders bauen. Dabei läuft eine Fallback-Instanz
immer auf den gleichen Knoten umleiten, mit gleicher Codebasis parallel mit, die
sind dabei möglich. Beim Round-Robin- beim Ausfall eines Hauptservers sofort
Verfahren wird die Last fortlaufend und einspringt. Durch dieses Setup lassen
abwechselnd auf die dahinterliegenden sich Updates für Webanwendungen ohne
Server verteilt. Bei der Least-Connection- Downtime einspielen und insgesamt eine
Methode leitet Nginx die Anfragen an höhere Verfügbarkeit für kleine Systeme
den Server mit den wenigsten aktiven
Verbindungen weiter. Lastverteilung nach C`jk`e^(1CfX[YXcXeZ\i$Bfe]`^liXk`fe
dem IP-Hash-Verfahren ist nur in einigen 01 upstream backend { 13
02 server backend1.example.com
Fällen sinnvoll und sollte bei öffentlich
03 server backend2.example.com
erreichbaren Diensten nicht angewandt
fail_timeout=10s;
werden.
04 server backend3.example.com;
Session-Stickyness ist meist dort gefor- 05 server backend4.example.com
dert, wo interaktive Webapplikationen 06 server backend5.example.com
und Loadbalancing zusammenkommen. 07 }
Hierbei wird User X, der sich auf Server Y 08
eingeloggt hat, vom Loadbalancer immer 09 upstream fallback {
an diesen Server weitergeleitet, bleibt 10 server fallback1.example.com:8081;
11 }
also auf diesem Server für die Zeit der
12
Session „kleben“. Sticky Sessions lassen
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
E^`eole[EXoj` N < 9 $J <: L I @ K P
erreichen. Der Single Point of Failure
bleibt beim Loadbalancer, solange dieser
nicht ausfallsicher gemacht wird.
Ein Standard-Anwendungsfall für ein
Frontend ist die Reverse-Proxy-Funktiona-
lität, also das Weiterleiten vom Frontend
an dahinterliegende Backend-Systeme.
Das Proxy-Modul umfasst insgesamt
mehr als 40 Konfigurationsoptionen, die
unter R/T zu finden sind. Webserver-
Standards wie Rewrite-Regeln oder Htac-
cess beherrscht Nginx natürlich auch.
Wegen seiner guten Performance wird
Nginx häufig auch als Static Server einge-
setzt, der öffentlich zugängliche, statische
Ressourcen wie CSS, Javascript, Bilder,
Downloads oder Filme bereitstellt und
die Application Server damit entlastet.
Je nach Einsatzgebiet gibt es dazu viel-
fältige Tuning-Optionen, die das Auslie-
fern statischer Inhalte optimieren. Neben
OS-/Dateisystem-Optionen wie Sendfile
weight=5; 14 server {
max_fails=5 15 ...
16 proxy_intercept_errors on;
17 ...
down; 18 location / {
backup; 19 ...
20 error_page 502 @fallback;
21 proxy_next_upstream http_500 http_502
http_503 http_504 timeout error invalid_header;
22 proxy_pass http://backend;
23 ...
24 }
8;D@E 8L J >8 9 < '* $)' ( * **
 N < 9 $J <: L I @ K P E^`eole[EXoj`
können auch Expires-Zeiten global oder
dateibasiert gesetzt und der ausgehende
Traffic komprimiert werden. Für Nginx
gibt es zwei Module, die den Einsatz als
Streaming-Server für Videos (mp4/m4v/
m4a/flv) ermöglichen, auch das schnelle
Vorspulen (Seek) ist dabei möglich.
:XZ_`e^
Ein weiteres Schmankerl von Nginx ist
die Möglichkeit, Antworten der Backends
in einem Cache zwischenzuspeichern
und bei der nächsten Anfrage diese Res-
source aus dem Cache auszuliefern. Der
Cache kann auf URL-Parametern beru-
hen, die auf Wunsch die Query-Parame-
ter einschließen. Somit lassen sich auch
dynamische Abfragen der Art »/index.
do?arg1=hello&arg2=world« zwischen-
speichern. Den Cache kann man sehr gut
dazu verwenden, stärker frequentierte
Portale oder Content-Management-Sys-
teme zu beschleunigen. Wenn die Inhalte
sich nicht im Sekundentakt ändern, führt
der Cache in Peak-Zeiten zu einer spür-
baren Entlastung der dahinterliegenden
Server.
Der Autor hat Nginx zur Optimierung
des Hauptportals eines großen deutschen
Vergnügungsparks eingesetzt, das wäh-
rend der Saison im Schnitt pro Tag 30 000
Anwender besuchen. In Peak-Zeiten ru-
fen die Website aber einige Stunden lang
mehrere tausend Besucher je Minute auf
und treiben den Server dadurch regelmä-
ßig an die Grenze der Leistungsfähigkeit.
Nginx wurde als Caching-Server vorge-
schaltet und der Cache mit insgesamt
C`jk`e^)1Gifop$:XZ_\$Bfe]`^liXk`fe
01 server {
02
03 proxy_cache_path /srv/cache/nginx levels=1:2
keys_zone=cache:50m inactive=10m max_size=500m;
04
05
06 location / {
07 proxy_pass http://backend;
08 proxy_cache cache;
09 proxy_cache_key cache$request_
uri$is_args$args;
10
11 proxy_cache_valid 200 302 60m;
12 proxy_cache_valid 404 1m;
13 proxy_cache_use_stale error timeout
invalid_header updating;
14
*+ 8L J >8 9 < '* $)' ( *
1 GByte mit einer Verfallszeit von fünf
Minuten komplett in den RAM-Speicher
gelegt.
Durch diese Maßnahme werden 99 Pro-
zent der Anfragen direkt aus dem Cache
beantwortet, während das dahinter lie-
gende Webserver-Konstrukt aus Apache,
PHP und MySQL bei einer Load von 0,01
ausruhen konnte. Performance-Tests auf
dem Cache ergaben 100 000 Requests/
Sekunde bei 1000 parallelen Requests,
ohne dass sich die Grundlast des Ser-
vers nennenswert verändert hätte. Damit
kann selbst ein kleiner Denial-of-Service-
Angriff schon Mal unbemerkt ins Leere
laufen.
>\q`\ck\I\`e`^le^
Eine weitere Funktion, die sich mit dem
Zusatzmodul Cache Purge R0T realisieren
lässt, ist die Möglichkeit, den gesamten
Cache oder nur Teile davon zu leeren.
Damit kann man App-seitig den Caching-
Server steuern und bei Änderungen die
Cache-Inhalte mit dem nächsten Request
neu aufbauen lassen. So lassen sich ideal
APIs cachen, deren Antworten durch
GET-Parameter beeinflusst und nicht
ständig neu generiert werden müssen.
C`jk`e^) zeigt ein Beispiel einer Proxy-
Konfiguration.
Nginx bietet natürlich auch SSL-Ver-
schlüsselung und kann via SNI (Server
Name Indication) mit mehreren Zerti-
fikaten pro Server umgehen. Weiterhin
lassen sich HTTP-Header manipulieren
oder unterdrücken und damit zu rede-
freudigen Application-Servern die Unsitte
15 proxy_ignore_headers Set-Cookie;
16 proxy_ignore_headers Cache-Control;
17
18 }
19
20 location /nocache/ {
21
22 proxy_cache off;
23
24 }
25
26 location ~ /purge(/.*) {
27 allow 127.0.0.1;
28 deny all;
29 proxy_cache_purge cache cache$1$is_
args$args;
30 }
8;D@E
austreiben, sich unbedingt mit Version
und womöglich geladenen Modulen zu
melden.
EXoj`
Seit 2011 gibt es das Naxsi-Modul R('T,
das Nginx zu einer Web Application
Firewall (WAF) macht. Das Projekt be-
findet sich noch in der Entwicklung, wird
aber bereits produktiv eingesetzt und bie-
tet jetzt schon vielversprechende Funk-
tionen, um Webserver vor Skriptkiddies,
Scannern und sonstigen automatisierten
Tools, die rund um die Uhr auf der Suche
nach dankbaren Opfern sind, zu schüt-
zen. Mit Nginx als Grundlage lässt sich
Naxsi als hochperformante Standalone-
WAF betreiben. Für Debian steht Nginx
inklusive Naxsi in den Backports als In-
stallationspaket bereit, doch auch das
Selbstkompilieren auf dem Nginx-Weg
ist problemlos.
Naxsi bringt ein eigenes Core Ruleset mit
und ist mit anwenderspezifischen Regel-
sätzen erweiterbar. Die Konfiguration fin-
det innerhalb des Nginx-Kontexts statt.
Durch Scores für einzelne Regeln und an-
passbare Grenzwerte für Block-Aktionen
lässt sich die WAF an unterschiedliche
Umgebungen und Webapplikationen an-
passen.
Naxsi kann verschiedene Werte wie
URLs, Request-Parameter, Cookies, Hea-
der oder den POST-Body einzeln oder in
Kombination überprüfen und lässt sich
auf Location-Ebene in der Nginx-Konfi-
guration an- oder abschalten. Die auto-
matische Whitelist-Erstellung hilft dabei,
die Firewall vor beliebigen Applikationen
einzusetzen und dabei False-Positives zu
100 Prozent auszuschließen. Weitere
Tools wie NX-Utils und Doxi erleichtern
Administration, Reporterstellung und
Ruleset-Updates.
EO$Lk`cj
Naxsi ist als Modul in Nginx implemen-
tiert und als solches auch standalone ar-
beitsfähig, bringt aber die NX-Utils mit,
die für die Whitelist-Generierung und
Reports sehr sinnvoll sind. Zum einen
gibt es den Intercept-Modus, der es Naxsi
erlaubt, die von der WAF geblockten Re-
quests für spätere Reports und Whitelists
in einer Datenbank zu speichern, und den
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 Deployment
ohne Rennerei

 
    
Stellen Sie heterogene Infrastrukturen bereit und
     ! "##$#
%&#  ' 

 ()*

 + ,&- %&#- ##

Alle Ressourcen und Tools für Ihr erfolgreiches Deployment


  
stehen Ihnen online zur Verfügung (inklusive .ISO-Image):
www.technet.de/toolbox

. /012 3## #&##  4 #

8;D@E$D8>8Q@E
@DA8?I<J$89F
GiXbk`jZ_Xen\e[YXi\jN`jj\ele[Xlj]•_ic`Z_\
?`ek\i^ile[Y\i`Z_k\]•iXcc\@K$8[d`e`jkiXkfi\e
mfeC`elo#Le`ole[N`e[fnj%
JETZT ZUGRSEPIF EN
UND ÜBER 15% AREN!

@?I<MFIK<@C<
• -8lj^XY\e`dAX_i=i\`?Xlj
• `ebclj`m\-8;D@E$Jg\Z`Xcj
lek\iXe[\i\dql@Gm-le[JJ; 
XcjG;=$;fnecfX[`dN\ikmfe
•Y\i*,<lif

J@:?<IEJ@<J@:?@?I
>I8K@JDLCK@KFFC
A\kqkXYfee`\i\e1
nnn%X[d`e$dX^Xq`e%[\&XYf
Gi`ekXYf+0#0'<lif#[`^`kXc\j8Yfeli++#0'<lif
›K\c\]fe'.(*(&).'.).+›=Xo'.(*(&).'../-'(›<$DX`c1XYf7X[d`e$dX^Xq`e%[\›
 E^`eole[EXoj` N < 9 $J <: L I @ K P

Report-Modus, der die gespei- VAR:Cookie«, »$HEADERS_

cherten Events grafisch dar- VAR:Content-Type«, »$HEA-
stellt. Die NX-Utils befinden DERS_VAR:Connection«,
sich gerade im Umbau und »$HEADERS_VAR:Accept-En-
werden in einer späteren Ver- coding«.
sion bessere Reportaufberei- Der Score gibt an, mit wel-
tung und Filter bereitstellen, chem Wert das jeweilige Event
um die WAF-Events genauer bedacht wird. So lassen sich
analysieren zu können. Signaturen erstellen, die für
sich alleine noch nicht dazu
Df[`1C`m\mj% führen, dass die Firewall die
Verbindung blockert, sondern
C\Xie`e^ erst in der Summe mit ande-
Naxsi kann in zwei Modi be- ren Events. Scores und Check
trieben werden: Live und Lear- Rules lassen sich frei konfigu-
ning (8YY`c[le^*). Wie jede rieren und erweitern.
WAF oder IDS, die im Zweifel C`jk`e^ * zeigt ein Beispiel
Anfragen blocken, muss Naxsi für ein Naxsi-Regelset. Regel
für die jeweilige Applikation 1 in Zeile 1 prüft, ob die ge-
angepasst werden. Man weiß 8YY`c[le^*1Eli`dC`m\$Df[ljYcfZb`\ikEXoj`m\i[€Z_k`^\8e]iX^\e%;\i gebene URL aufgerufen wird.
aus Sysadmin-Sicht nie, mit C\iedf[lj_`c]kY\`[\iQljXdd\ejk\ccle^mfeI\^\ce% Suchpattern ist ein String. Der
welchen Schandtaten der UWA-Score wird um 8 erhöht,
Entwickler zu rechnen ist: So sind zwei einem Kurztext (»msg«), der Match Zone wenn die Regel zutrifft. Die Regel 2 testet,
KByte große Cookies, in denen Daten (»mz«), dem Score (»s«) und der Unique ob die gegebene Regular Expression im
wild codiert gespeichert werden, keine ID (»id«). BODY eines POST-Requests auftritt. Regel
Seltenheit und bringen selbst erfahrene Als Suchpattern sind Strings und Regular 3 prüft, ob der Authorization-Header die
WAF-Admins schnell an den Rand des Expressions erlaubt, wobei Strings aus gegebene Zeichenkette (Base64-encodier-
Wahnsinns. Für diese Fälle gibt es den Performance-Gründen im Allgemeinen tes Passwort »admin«) enthält, wenn die
Lernmodus, der es erlaubt, hinter einer zu bevorzugen sind. Match Zones kenn- URL »/manager« aufgerufen. Regel 4 tes-
Htaccess-geschützten Test-Domain die zeichnen die Bereiche eines Requests, in tet dann, ob der gegebene String (RFI) in
Applikation komplett durchzutesten und denen Naxsi nach den definierten Pattern den Request-Parametern, BODY oder im
aus den Abfragen und Events passende sucht. Match Zones sind kombinierbar Cookie vorkommt, egal es ein ob GET-
Whitelists zu generieren, die man dann und können über folgende Werte defi- oder POST-Request ist. Schließlich prüft
im Live-Betrieb in eine scharfgeschaltete niert werden: Regel 5, ob der gegebene String in URL,
WAF einspeist. ■ »URL«: Prüft auf das Suchpattern in BODY, ARGS oder im Cookie vorkommt.
Im Lernmodus werden Anfragen zwar der URL (Server-Pfad).
registriert, aber nicht geblockt. Da jede ■ »ARGS«: Sucht das Pattern in Request- :fi\Ilc\j\k
Anfrage legitim ist, können aus den False Argumenten.
Positives Whitelists generiert werden, die ■ »FILE_EXT«: Testet den Dateianhang Naxsi bringt ein eigenes Core Ruleset mit,
im Live-Betrieb dafür sorgen, dass dort auf das Suchmuster. das generische Signaturen gegen SQL In-
die False Positives nicht auftreten. ■ »BODY«: Prüft im Body eines POST- jections (SQLi), Remote File Inclusions
Wenn man Naxsi als Web Application Requests auf das Suchpattern; kann (RFI), Directory Traversal, Cross Site
Firewall vor Webapplikationen einsetzt, über »$BODY_VAR:VarName« weiter Scripting (XSS) und einige Evading-Tricks
die einen hohen Grad an Agilität aufwei- eingegrenzt werden. enthält und zuverlässig vor der Ausnut-
sen und sich laufend in Funktion und Um- ■ »HEADERS«: Sucht das Suchpattern zung eventueller Schwachstellen schützt.
fang ändern, muss man den Lernmodus im Header eines Requests und kann Die Standardinstallation hat im Test bei-
und die daraus entstehenden Whitelists weiter eingegrenzt werden: »$HEA- spielsweise alle Mod-Security-Bypasses
in den Deployment-Prozess integrieren. DERS_VAR:User-Agent«, »$HEADERS_ von Trustwaves Mod-Security-Challenge

C`jk`e^*1EXoj`$I\^\ce
I\^\ce 01 MainRule "str:/manager/html/upload" "msg:DN SCAN Tomcat" "mz:URL" "s:$UWA:8" id:42000217 ;

Die Naxsi-Regeln sind einfach im Auf-
bau, flexibel im Handling und um eini-
ges einfacher strukturiert als etwa die
Apache-Mod-Security- oder Snort-Rules.
Die Regeln bestehen aus einem Designa-
tor, einem Suchpattern (»str« oder »rx«),
02 MainRule "rx:type( *)=( *)[\"|']symbol[\"|']" "msg:DN APP_SERVER Possible RAILS - Exploit using
type=symbol" "mz:BODY" "s:$ATTACK:8" id:42000233 ;
03 MainRule "str:basic ywrtaw46ywrtaw4=" "msg:APP_SERVER Tomcat admin-admin credentials" "mz:$URL/
manager|$HEADERS_VAR:Authorization" "s:$ATTACK:8" id:42000216 ;
04 MainRule "str:http://" "msg:http:// scheme" "mz:ARGS|BODY|$HEADERS_VAR:Cookie" "s:$RFI:8" id:1100;
05 MainRule "str:/*" "msg:mysql comment (/*)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1003;

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * *.

 N < 9 $J <: L I @ K P E^`eole[EXoj`

erkannt und geblockt R((T. Das Core Rule-
set, bestehend aus circa 50 Regeln, sollte
immer geladen werden, auch wenn aus
diesem Bereich die meisten False Positi-
ves zu erwarten sind.
Bei Webseiten mit hohem Interaktionspo-
tenzial wird Naxsi anfänglich jede Menge
False Positives erzeugen. Für diesen Fall
gibt es die Möglichkeit des Whitelistings.
Die Whitelists gelten jeweils Location-
basiert, das heißt, man kann für unter-
schiedliche Bereiche oder Webapps auf
einem Server jeweils eigene Konfigu-
rationen pflegen. Die Whitelists lassen
sich einfach in einer Datei speichern und
dann via Include laden.
C`jk`e^+1¾c\Xie`e^$df[\%ilc\j½
01 #LearningMode; #Enables learning mode
02 SecRulesEnabled;
03 #SecRulesDisabled;
04 DeniedUrl "/RequestDenied";
C`jk`e^,1:_\ZbIlc\j
01 CheckRule "$SQL >= 8" BLOCK;
02 CheckRule "$RFI >= 8" BLOCK;
03 CheckRule "$TRAVERSAL >= 4" BLOCK;
04 CheckRule "$EVADE >= 4" BLOCK;
05 CheckRule "$XSS >= 8" BLOCK;
06
07 # UnWantedAccess -> see app-server.rules
08 CheckRule "$UWA >= 8" BLOCK;
09
10 # Identified Attacks
11 CheckRule "$ATTACK >= 8" BLOCK;
C`jk`e^-1EXoj`$Bfe]`^liXk`fem`X@eZcl[\j
01 server {
02 ...
03 include /etc/nginx/doxi-rules/rules.
conf;
04 ...
05 location /dev/ {
06 ...
07 include /etc/nginx/doxi-rules/
learning-mode.rules
Whitelist-Regeln sind ähnlich wie die De-
tection-Regeln aufgebaut. Der Designator
»BasicRule« ist vorgeschrieben, danach
folgt die Rule-ID, für die die Ausnahme
gelten soll, gefolgt von der Match Zone:
BasicRule wl:1000 "mz:$URL:/dontpanic/index.5
php|$ARGS_VAR:topic";
BasicRule wl:1005 "mz:$URL:/lib/exe/fetch.php5
|$ARGS_VAR:media";
Naxsi lässt sich auf Location-Level jeweils
zu- oder abschalten, selbst der Parallelbe-
trieb von Lernmodus und Livemodus für
verschiedene Locations ist möglich. Die
Konfiguration von Naxsi geschieht in drei
Schritten: Zuerst definiert der Adminis-
trator auf HTML-/Server-Level die zu la-
denden Regelsätze. Im Location-Kontext
wird die Firewall dann ein- und ausge-
schaltet oder in den Lernmodus versetzt.
Schließlich geben die Check Rules an, ab
welchem aufsummierten Score-Wert die
Firewall den Request blocken soll. Die
einzelnen Konfigurationsanweisungen
lassen sich in Dateien auslagern, sodass
man am Ende zu einer modularen Konfi-
guration gelangt (C`jk`e^+Y`j-).
;fo`Ilc\j
Man muss nicht tatenlos zusehen, wenn
die eigene Server-Infrastruktur Tag und
Nacht durch Bots nach Lücken abgesucht
wird. Aus diesem Grund wurden die Doxi
10
11 location /live/ {
12 ...
13 include /etc/nginx/doxi-rules/
active-mode.rules
14 include /etc/nginx/doxi-rules/
local_whitelist.rules
15 ...
Rules R()T für Naxsi entwickelt, die den
Ansatz verfolgen, bekannte Angriffe zu
blocken. Die Doxi-Regeln erkennen eine
Vielzahl an Scans nach aktuellen oder
älteren Lücken wie der Wordpress-Tim-
Thump-RFI R(*T und bieten einen guten
Schutz gegen Skriptkiddies und automa-
tisierte Angriffstools.
Dazu wurden 200 Webserver-spezifische
Regeln aus den Emerging-Threats-Rule-
sets in das Naxsi-Format konvertiert, die
via Sourcecode Repository frei verfügbar
sind. Angelehnt an Emerging Threats gibt
es folgende Regelsätze: »web_server.ru-
les«, »scanner.rules«, »app_server.rules«,
»web_apps.rules« und »malware.rules«.
Ähnlich wie bei Emerging Threats wer-
den Signaturen eingepflegt, wenn neue
Sicherheitslücken in populären Apps
oder Servern auftreten, und dann über
Naxsi-Mailingliste und das Doxi-Blog be-
kannt gegeben.
;fo`Kffcj
Um Naxsi-Installation auf dem neuesten
Stand halten zu können, sind die Doxi
Tools R(+T entstanden. Damit lassen sich
Rulesets automatisiert von einem Admin-
Rechner aus aktualisieren. Mit einem ein-
fachen, fünfzeiligen Fabric-Rezept kann
der Administrator so mehrere WAFs si-
multan mit neuen Regelsätzen versehen.
Die Doxi Tools sind produktiv nutzbar
und sollen in späteren Versionen ähnliche
Funktionen bereitstellen wie Oinkmaster
zum Update von Snort-Sensoren.
Da Naxsi die erkannten Events ins Nginx-
Errorlog schreibt, ist es mit einem kleinen
Filter möglich, die Application Firewall
mit Fail2Ban zu verbinden und Mehr-
fachversuche mit einem Ban auf IP-Ebene
zu honorieren (C`jk`e^.).

08 ... 16 }

09 } 17 }
C`d`kjle[8ljYc`Zb
Naxsi befindet sich noch in der Entwick-
C`jk`e^.1=X`c)YXe$Bfe]`^liXk`fe lung, ist aber schon stabil genug für den
01 # jail.conf 11 Produktiveinsatz. Momentan wird Naxsi
02 [naxsi] 12 # filter.d/naxsi.conf um Plugin-APIs erweitert, die die Mög-
03 13 lichkeit bieten sollen, individuelle De-
04 enabled = true
14 [INCLUDES]
05 port = http,https
tektoren und Module anzuflanschen, so
15 before = common.conf
06 filter = naxsi zum Beispiel CSRF-Schutz (Cross Site Re-
16
07 logpath = /var/log/nginx/error.log quest Forgery), ladbare Black-/Whitelists
17 [Definition]
08 maxretry = 6 oder DDoS-Protection à la Roboo. Einige
09 banaction = iptables-multiport-log 18 failregex = NAXSI_FMT: ip=Host
Features fehlen bisher, etwa das Filtern
10 action = %(action_mwl)s 19 ignoreregex = learning=1
ausgehender Antworten, zeitbasierte

*/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


8YY`c[le^+1EXoj`$I\gfik\`e\jJ\ejfij%
Thresholds, um Brute-Force-Angriffe zu
unterbinden, und Methodenfilterung
nach GET/POST/CONNECT.
C`m\$9\`jg`\c\
8YY`c[le^ + zeigt den Report einer
Naxsi-Firewall, die seit dem 15. März
automatisiert von mehreren Netzen aus
angegriffen wurde. Ab dem 21. März wur-
den auf den Firewalls die zugehörigen
Netze geblockt, ab dem 28. März wurden
die gleichen Angriffe von anderen IPs
aus weitergeführt, die dann 4 Tage später
wieder auf der Firewall geblockt wurden.
Ab dem 8 April wurden die Provider der
zum Angriff gehörenden IP-Ranges in-
formiert, seitdem ist die Angriffstatistik
wieder auf das normale Grundrauschen
gesunken. Der Angriff hat wertvolle Da-
ten geliefert und war harmlos, da per
SQL-Injections versucht wurde, mehrere
Dokuwiki-Instanzen zu kompromittieren.
Dokuwiki arbeitet aber dateibasiert ohne
Datenbanken, also: No SQL, No Injection.
8YY`c[le^, schlüsselt die verdächtigen
Muster nach den Angriffsarten auf.
C`jk`e^ / zeigt den kumulierten Report
(Doxi Result) für sechs Firewalls über
einen Zeitraum von vier Wochen. Zu se-
8YY`c[le^,18l]jZ_c•jj\cle^[\i8e^i`]]\eXZ_8ik\e%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
E^`eole[EXoj` N < 9 $J <: L I @ K P
Aufgaben möglich sind, falls doch mal
etwas schiefgehen sollte. Bei wildgewor-
denen Apachen kann das unter Linux
schnell schwierig werden.
Mit Naxsi im Gepäck bricht die Perfor-
mance von Nginx erwartungsgemäß
etwas ein, im Test auf einem Vierkern-
Server mit 2 GByte RAM um circa 30 Pro-
zent. Das Ergebnis eines entsprechenden
Benchmarks ist in 8YY`c[le^- zu sehen.
Weitere Infos und Benchmarks sind im
Zusammenhang mit den CeBIT-/OWASP-
hen sind Scans nach alten Sicherheitslü- Vorträgen unter R(.T zu finden.
cken (42 000 122, 42 000 089), diverse
Exploitscanner (42 000 227, 42 000 145, =Xq`k
42 000 181) und Versuche, via Brute-Force
Sicherheitslücken zu finden, auch wenn Nginx ist ein idealer Kandidat für den
die entsprechende Software nicht instal- Einsatz als Frontend vor Application-Ser-
liert ist. Im Schnitt laufen an normalen vern, egal ob auf der Basis von Apache
Tagen pro IP/Domain zwischen 50 und und PHP, Tomcat, JBoss, Rails, Django,
150 geblockte Anfragen auf, wenn die Flask, Node.js oder »${lieblings_app-
Angreifer-IP nach mehreren Versuchen server}«. Mit Nginx im Einsatz lassen
geblockt wurde, sonst liegt der Wert bei sich bestehende Webanwendungen im
durchschnittlich 300 bis 500 Angriffen je Optimalfall um einige Größenordnungen
Tag und IP/Domain.
8eq\`^\
G\i]fidXeZ\
Es gibt eine Reihe von
Benchmarks, die Nginx
mit anderen prominen-
ten Webservern verglei-
chen, siehe R(,T, R(-T.
Dabei behauptet sich
Nginx jeweils als einer
der schnellsten Open-
Source-Webserver.
Ein Server mit Nginx
bleibt normalerweise
selbst bei hoher Last
noch ansprechbar, so-
dass Login und Admin-
8;D@E 8L J >8 9 < '* $)' ( * *0
 N < 9 $J <: L I @ K P E^`eole[EXoj`

E^`eoGcX`emjE^`eo"EXoj` R('TEXoj`1R_kkg1&&Zf[\%^ff^c\%Zfd&g&eXoj`&T
*'''' R((T <i^\Ye`jj\[\iDf[$J\Zli`kpJHC@ea\Z$
k`fe:_Xcc\e^\1R_kkgj1&&Zf[\%^ff^c\%Zfd&
),'''
g&eXoj`&n`b`&EXoj`VMjVFY]ljZXk\[8kkXZb$
GXkk\iejT
)''''
R()T;fo`Ilc\j1R_kkgj1&&Y`kYlZb\k%fi^&
cXqpV[f^kfne&[fo`$ilc\j&jiZ&T
IGJ

(,'''
(''''
,'''
'
('' )'' *''
8YY`c[le^-1;\i<`ejXkq[\iN\Y8ggc`ZXk`fe=`i\nXccEXoj`Yi\djk[\eN\Yj\im\ild\knX*'Gifq\ek%
beschleunigen. Dabei gilt: Je mehr Besu-
cher eine Webseite hat, desto eher lohnt
sich der Einsatz. Zusätzlich stattet Naxsi
den Webserver mit Funktionen einer Web
Application Firewall aus, ohne zuviel
Performance einzubüßen. Mit Whitelists
und einer Lernfunktion der Firewall sind
damit alle Voraussetzungen erfüllt, den
Server im Internet gegen automatisierte
Exploitversuche zu schützen. (ofr) ■ R.T E^`eo$Jk`Zbp$Df[lc1R_kkg1&&Zf[\%^ff^c\%
@e]fj
R(T N\Yj\im\i$JkXk`jk`b\e1
R_kkg1&&n*k\Z_j%Zfd&k\Z_efcf^`\j&Zifjj&
n\YVj\im\i&iXeb`e^T
igj
R(*TNfi[Gi\jjK`dK_ldYI=@Mlce\iXY`c`kp
igj
lj\[Xj9fke\kI\Zil`kd\ekM\Zkfi1
R_kkg1&&\ifdXe^%qXkXq%Zfd&)'((&'0&)'&n
fi[gi\jj$k`dk_ldY$i]`$mlce\iXY`c`kp$lj\[$
Xj$Yfke\k$i\Zil`kd\ek$m\Zkfi&T
R(+T;fo`Kffcj1R_kkgj1&&Y`kYlZb\k%fi^&cXqpV
+'' ,'' -'' .'' /'' 0'' (''' [f^kfne&[fo`T
GXiXcc\c\Ql^i`]]\
R(,TE^`eomj%:_\ifb\\mj%8gXZ_\mj%C`^_k$
kg[1R_kkg1&&nnn%n_`jg\i[Xc\%e\k&(($e^`eo
$mj$Z_\ifb\\$mj$XgXZ_\$mj$c`^_kkg[%_kdcT
R)T :fekifcc`e^E^`eo1 R(-T8gXZ_\#E^`eo#MXie`j_Xe[>$N8E1
R_kkg1&&e^`eo%fi^&\e&[fZj&Zfekifc%_kdcT R_kkg1&&eYfem`e%nfi[gi\jj%Zfd&)'((&'*&
R*T J G;P]•iE^`eo1R_kkg1&&e^`eo%fi^& (+&XgXZ_\$mj$e^`eo$mj$mXie`j_$mj$^nXe&T
gXkZ_\j&jg[p&I<8;D<%kokT R(.T D8I<$jpjk\d$Gi€j\ekXk`fe\ele[$Mfi$
R+T Fg\eI\jkp1 ki€^\1
R_kkg1&&fg\ei\jkp%fi^&T R_kkgj1&&Y`kYlZb\k%fi^&dXi\jpjk\d&
R,T K`dJZ_•idXee#Dfkfikle`e^#;\iN\Yj\i$ mfiki$^\$gi$j\ekXk`fe\e&jiZ&T
m\iK\e^`e\#8;D@E')&)'(*
R-T E^`eo$N`b`1R_kkg1&&n`b`%e^`eo%fi^&DX`eT ;\i8lkfi
DXibljDXeqb\XiY\`k\kXcjJpjk\dXiZ_`k\bkle[
Zfd&g&e^`eo$jk`Zbp$df[lc\&T Jpjk\d\e^`e\\iY\`D8I<jpjk\d`eB`\c#\`e\d
R/T ?KKG$Gifop$Df[lc1R_kkg1&&n`b`%e^`eo%fi^& Xl]<$:fdd\iZ\le[D`kk\cjkXe[Xlj^\i`Z_k\k\e
?kkgGifopDf[lc\T ?fjk`e^$Lek\ie\_d\e% @e j\`e\i =i\`q\`k \ekn`$
R0T :XZ_\Gli^\1 Zb\ck \i N8=&@;J$J`^eXkli\e ]•i Fg\e$JfliZ\$
R_kkgj1&&^`k_lY%Zfd&=I`:BC<&e^oVZX$ Gifa\bk\ f[\i elkqk [Xj KX^\jc`Z_k ]•i NXjj\i$
Z_\Vgli^\&T jgfikXl][\iFjkj\\%

C`jk`e^/1;fo`I\jlckmfej\Z_jN8=j]•i*'KX^\
01 ID | Count 23 42000169 | 86 | DN SCAN Scanner Nmap
02 ------------------------------------ 24 42000243 | 80 | DN SCAN PHPMyAdmin - Scanner
03 42000122 | 2506 | DN SCAN WP Timthumb - Access
25 1006 | 75 | mysql keyword (&&)
04 42000004 | 1209 | DN APP_SERVER CGI_file access
26 1302 | 72 | html open tag
05 42000089 | 1202 | DN WEB_APPS XMLRPC - Access detected (misc
27 42000216 | 74 | DN APP_SERVER Tomcat admin-admin login
Wordpress/Magento-Vulns)
credentials
06 42000002 | 1182 | DN APP_SERVER PHP-file-access
07 42000227 | 977 | DN SCAN Scanner ZmEu exploit scanner 28 1102 | 68 | ftp:// scheme

08 42000059 | 740 | DN WEB_APPS Possible unwanted Upload / Access To 29 42000073 | 63 | DN SCAN Python-urllib UA, possible Scanner
mm-forms-community upload dir 30 1205 | 55 | backslash
09 42000003 | 337 | DN APP_SERVER ASP_file access
31 1312 | 52 | ~ character
10 1007 | 296 | mysql comment (--)
32 42000065 | 50 | DN WEB_APPS Magento XMLRPC-Exploit Attempt
11 42000082 | 292 | DN WEB_SERVER Tomcat - Manager - Access
33 42000222 | 47 | DN SCAN Open-Proxy ScannerBot (webcollage-UA)
12 42000077 | 242 | DN WEB_SERVER LIBWWW_perl-UA detected
34 42000031 | 20 | DN SCAN Muieblackcat scanner
13 42000071 | 187 | DN WEB_APPS PHPMYADMIN setup.php - Access
14 1011 | 152 | parenthesis, probable sql/xss 35 42000043 | 8 | DN SCAN WhatWeb Web Application Fingerprint

15 42000210 | 127 | DN APP_SERVER Tomcat Auth Brute Force attempt Scanner Default User-Agent Detected
(admin) 36 42000126 | 8 | DN WEB_APPS WordPress Uploadify-Access
16 42000020 | 121 | DN APP_SERVER ASPX_file access
37 42000151 | 8 | DN SCAN Scanner whatweb
17 42000145 | 113 | DN SCAN Scanner morfeus
38 42000229 | 7 | DN APP_SERVER ColdFusion - Vuln-URL-Access
18 42000181 | 112 | DN SCAN Scanner webster pro
administrator
19 42000244 | 112 | DN SCAN PHPMyAdmin - Scanner (2)
39 42000230 | 7 | DN APP_SERVER ColdFusion - Vuln-URL-Access
20 42000253 | 110 | DN WEB_SERVER possible INC - File - Access
21 1003 | 99 | mysql comment (/*) adminapi

22 1004 | 96 | mysql comment (*/) 40 42000248 | 7 | DN SCAN SQL-Injection Scanner CZxt2

+' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

 100 TB Server? Das war gestern!
1 GBit Full Flatrate - ohne Drosselung, keine Beschränkung!

Flexible Konfiguration des Servers

Volles Remote KVM Management
Tier III Datacenter in Deutschland

HP Enterprise Server L 2.0

Server HP ProLiant DL360e Gen8 IPv6 Subnetz (/64) Inkl.

CPU Intel XEON E5-2420 Betriebssysteme Debian 6.0, openSUSE 12.1,

Ubuntu 12.04,FreeBSD 9 und
Leistung 1 x 6 x 1,9 GHz Inkl. HT Neu! Windows 2012

CPU Ausbau bis 2 x 6 x 2,4 GHz Inkl. HT (19,99€ Aufpreis im Monat)

Inklusiv Leistungen 250 GB Backup-Speicher,
RAM 32 GB DDR3 ECC
Monitoring, Reset-
RAM Ausbau bis 192 GB DDR3 ECC und Rescue-System

Festplatten (7.200 rpm) 2 x 1 TB Enterprise-Edition Vertragslaufzeit 1 Monat

Festplatten Ausbau bis 4 x 3 TB Enterprise-Edition

VLANs möglich
Monatsgrundgebühr 149,99 €
Anbindung Neu! 1 GBit Full Flatrate

IPv4 Subnetz (/30) Inkl.

Einrichtungsgebühr 0,00 €

Kostenlos vorinstallierte Virtualisierungs-Lösung mit vSphere 5.1

Jetzt informieren & bestellen Tel.: 0211 / 545 957 - 330 www.webtropia.com

Windows Server 2012 powered by

PLATINUM PARTNER
 N < 9 $J <: L I @ K P >i\\eJHC
JHC@ea\Zk`fejd`k>i\\eJHCn`ibjXdYcfZb\e
ŸDXbjpdP\d\cpXefm#()*I=
J`Z_\i\9Xeb
JHC@ea\Zk`fejj`e[[`\_€l]`^jk\JZ_nXZ_jk\cc\mfe8en\e[le^\e#[`\
•Y\ijN\Y[\i{]]\ekc`Z_b\`kql^€e^c`Z_j`e[%>i\\eJHC`jk\`en`ibjXd\j
D`kk\c[X^\^\e#[XjXcj=`i\nXccqn`jZ_\e;Xk\eYXeble[8en\e[le^m\i$
[€Z_k`^\Hl\i`\jXlj]`ck\ik%=Xcbf9\ek_`e
Datenbanken zählen für die meisten
Firmen zu den unternehmenskritischen
Anwendungen. In ihnen sind oft Infor-
mationen über Kunden und Mitarbeiter
gespeichert, also nichts, was unkontrol-
liert in die Wildnis entfleuchen sollte.
Letzteres passiert leider immer wieder;
selbst großen Firmen, die über viel Fach-
personal und eine ausgeklügelte IT-Infra-
struktur verfügen. Kleine Unternehmen
mit wenigen Mitarbeitern sind oft noch
anfälliger, denn neben dem kostspieli-
gen Rechnerpool fehlen auch die nötigen
Fachkenntnisse.
Lek\iY\j\kqk
Gerade in kleinen und mittelständischen
Unternehmen sind oft Server anzutref-
fen, auf denen Webanwendungen und
Datenbankmanagementsysteme parallel
laufen. Fehler in der Webanwendung
können dazu führen, dass Server kom-
promittiert werden oder unberechtigte
Personen mittels SQL Injections die Da-
tenbank anzapfen; vor allem, wenn das
Personal fehlt, um Sicherheitslücken zu
erkennen und zeitnah zu stopfen. SQL-
Proxies wie GreenSQL bieten zwar kei-
+) 8L J >8 9 < '* $)' ( * 8;D@E
nen Schutz gegen feindliche Übernah-
men eines Servers, aber SQL Injections
können sie wirksam unterbinden.
GreenSQL R(T wird seit 2009 von der
GreenSQL LTD mit Sitz in Israel entwi-
ckelt. Bis zur Version 1.3 stand GreenSQL
unter einer Open-Source-Lizenz R)T.
2012 erschien die Version 2 unter einer
proprietären Lizenz mit einer kostenlosen
Express-Variante, die bereits einen guten
Basisschutz bietet. Die Firewall-Lösung
ist in C++ implementiert. Am Beispiel
eines Linux-Servers mit dem freien Bi-
bliothekssystem Koha soll die Variante
GreenSQL Security genauer betrachtet
werden. Die Security-Variante bietet ge-
genüber Express zusätzlich eine Alarm-
und Berichtsfunktion sowie Caching. Sie
lässt sich zwei Wochen lang kostenlos
testen.
GreenSQL wird zwischen Anwendung
und Datenbankmanagementsystem ge-
schaltet und fungiert als Reverse Proxy
beziehungsweise Datenbank-Firewall.
Die Sicherheitslösung läuft unter Linux
und MS-Windows und kann die Daten-
bankmanagementsysteme PostgreSQL,
MariaDB, MySQL und Microsoft SQL
Server schützen.
Im Firewall-Modus werden nur erlaubte
Anfragen an die Datenbank durchge-
reicht, unautorisierte Queries quittiert
GreenSQL mit einer leeren Ergebnis-
menge. Die kostenpflichtigen Varianten
Activity Monitoring und Data Masking
überwachen auch, wer welche Anfragen
an die Datenbank stellt oder maskieren
bestimmte Daten, beispielsweise von
Mitarbeitern oder Kunden. In der Regel
sollten potenzielle Angreifer nicht bemer-
ken, dass sie es mit einem Proxy anstelle
des DBMS zu tun haben.
@eY\ki`\YeX_d\
Im Idealfall verfügen Sie über drei Rech-
ner: einen Webserver, einen dedizierten
Server für GreenSQL und ein Daten-
bankserver. Es ist aber auch problemlos
möglich, alle Anwendungen auf einem
Rechner parallel laufen zu lassen.
Um GreenSQL zu installieren, laden Sie
die Anwendung herunter, machen sie
(unter Linux) mit »chmod 755 greensql.
bin« ausführbar und stoßen die Instal-
lation mit »./greensql.bin« an. Der In-
staller legt nun Gruppe und Nutzer
»greensql« an, verfrachtet alle Dateien
nach »/opt«, erstellt ein Startskript und
startet GreenSQL.
Anschließend ist die administrative Ober-
fläche im Webbrowser über »https://Ser-
ver:5000/« erreichbar und verlangt nach
einem Produktschlüssel. Ihn fordern
Sie nach der für den Download nötigen
Registrierung an. Wer GreenSQL nicht
von der Herstellerseite hat, kann diesen
Schritt jederzeit nachholen. Danach wer-
den Anwender aufgefordert, das Admin-
Passwort zu ändern, bevor Sie im Dash-
board landen (8YY`c[le^().
Als Erstes stellen Sie eine Verbindung
zum Datenbank-System her, bevor Sie
GreenSQL als Proxy aktiviren. Das ge-
schieht unter dem Menüpunkt »Databa-
ses«. Bevor die Parameter gespeichert
werden, können Sie mit einem Klick auf
den Button »Check Connection« prüfen,
ob die Datenbank erreichbar ist.
Im nächsten Schritt richten Sie einen
Proxy ein, über den die zukünftige Kom-
munikation mit der Datenbank läuft. Er
sitzt zwischen Anwendung und DBMS
und prüft jede Anfrage, bevor er sie an
die Datenbank weiterreicht oder verwirft.
Der Proxy muss dabei auf einem anderen
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

Port als die Datenbank lauschen. Sind be-
reits viele Webanwendungen installiert,
wenn Sie GreenSQL in Betrieb nehmen,
bietet es sich an, den Port der Datenbank
für den Proxy zu übernehmen und statt-
dessen dem DBMS einen anderen Port
zuzuweisen.
Die Datenbank, in der später die zu den
Firewall-Regeln gehörigen Queries und
andere Daten abgelegt werden, müssen
Sie normalerweise nicht von Hand anle-
gen, da GreenSQL sie auch automatisch
erstellt. Wer von Anfang an lieber ei-
gene Namen vergeben möchte, darf das
natürlich tun.
Sind die Datenbank verbunden und der
Proxy erstellt, erfordern vielleicht noch
die Datenbankanwendungen kleine An-
passungen, etwa, wenn der Proxy einen
anderen Port als ehemals die Datenbank
verwendet. Hier reicht es aus, in den
Konfigurationsdateien der einzelnen An-
wendungen Port und Server des DBMS
zu ändern.
Vorsicht ist mit dem beliebten Localhost
auf Linux-Systemen geboten, wenn Proxy
und Anwendung parallel auf einem Ser-
ver laufen. Hier werden oftmals Unix-
Sockets eingesetzt, die GreenSQL nicht
berücksichtigt. Dann fliegen die Queries
unter dem GreenSQL-Radar und wer-
den nicht geprüft. Ersetzt man »local-
host« durch 127.0.0.1, sollte alles wie
gewünscht funktionieren.
Während die erlaubten Queries bei selbst
entwickelten Datenbankanwendungen
prinzipiell bekannt sind, ist es bei erwor-
benen Anwendungen deutlich schwieri-
8YY`c[le^(1;Xj;Xj_YfXi[mfe>i\\eJHCY`\k\k\`e\eld]Xjj\e[\e|Y\iYc`Zb%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
ger, sich einen Überblick zu verschaffen.
Eine Suche nach Schlüsselwörtern wäre
zwar möglich, aber in der Praxis verteilen
sich Queries oftmals über viele Dateien,
werden dynamisch zusammengesetzt
oder die Entwickler greifen auf Techno-
logien wie Active Record oder PHP Data
Objects zurück.
JZ_lcYXeb[i•Zb\e
Um schnell an eine möglichst umfassende
Liste erlaubter oder unerlaubter Queries
zu kommen, lässt sich GreenSQL in einer
abgesicherten Umgebung im Lernmodus
betreiben. Unter »Database Security | Po-
licy« legen Sie eine neue Policy vom Typ
»Learning Mode« an und verknüpfen sie
auf Wunsch gleich mit einer Datenbank.
Die erlernten DB-Anfragen werden wäh-
rend des Lernprozesses in einer Query-
Group gespeichert, die Sie gleich aus dem
Formular heraus erstellen können. Eine
Query-Group darf Queries aller Proxies
und Datenbanken enthalten oder sich auf
ausgewählte Instanzen beschränken. Sie
kann jederzeit geändert werden.
»Source IP«, »Database User« und »Ap-
plication« helfen, die Flut der Anfragen
einzudämmen. Mit dem Punkt »Sche-
dule« schränken Admins die Zeit ein, in
der eine Regel gültig ist. Denkbar wäre
beispielsweise, dass nur während der Ge-
schäftszeiten überhaupt der Datenbank-
zugriff erlaubt ist.
Nun geben Sie noch einen Zeitraum an,
innerhalb dessen GreenSQL die erlaubten
Queries lernen soll. Wenn Nutzer jetzt
8YY`c[le^)1@e\`e\i`e`k`Xc\eC\ieg_Xj\n`i[>i\\eJHCd`kle \icXlYk\e
Hl\i`\jY\bXeek^\dXZ_k%
8;D@E
>i\\eJHC N < 9 $J <: L I @ K P
mit der zu schützenden Anwendung ar-
beiten, füllt sich die zur Policy gehörige
Query Group mit einem Grundstock er-
laubter oder verbotener Anfragen, der
sich später noch anpassen lässt (8YY`c$
[le^)).
?•k\i[\i;Xk\eYXeb
Um GreenSQL scharf zu schalten, sind
Policies der Typen »Database Firewall«
oder »Risk Based IDS/IPS« nötig. Die Po-
licies werden wie in anderen Firewall-
Systemen von oben abgearbeitet. Sobald
eine Vorgabe greift, wird sie akzeptiert
und der Vergleichsprozess abgebrochen.
Das bedeutet, wer nur einige Anfragen
verbieten aber ansonsten alles erlauben
möchte, sollte die Verbotsregel an den
Anfang setzen. Wer dagegen lieber alles
verbietet und nur wenig erlaubt, verfährt
genau andersherum.
Die Firewall gestattet oder sperrt den
Zugriff auf die Datenbank anhand von
Query- oder Table-basierenden Regeln.
Die Queries wurden beispielsweise zu-
sammengetragen, während GreenSQL im
Lernmodus lief, aber sie können auch
manuell eingegeben oder aus dem Log
übernommen werden.
Auch Firewall- und IDS-/IPS-Policies
lassen sich durch zusätzliche Einschrän-
kungen verfeinern. Bedient ein Server
mehrere Rechner, können IPs oder ganze
IP-Bereiche ausgeschlossen werden. Das
Gleiche gilt für Nutzer, Anwendungen
und Zeiten, in denen eine Regel gelten
soll. Entsprechende Einträge werden un-
8L J >8 9 < '* $)' ( * +*
N < 9 $J <: L I @ K P >i\\eJHC
8YY`c[le^*19\`le\icXlYk\8e]iX^\ec`\]\ik>i\\eJHC\`e\c\\i\<i^\Ye`jd\e^\#
bXggk[`\M\iY`e[le^qli;Xk\eYXebf[\igi€j\ek`\ik\`e\=\_c\id\c[le^%
ter »Database Security | Objects« vorge-
nommen.
Während es bei erlaubten Queries nicht
viel zu beachten gibt, darf der Adminis-
trator bei zu sperrenden Anfragen selbst
entscheiden, wie GreenSQL sich verhal-
ten soll. Wahlweise wird eine leere Ergeb-
nismenge zurückgeliefert, die Verbindung
zur Datenbank geschlossen oder ein SQL-
Fehler ausgegeben. Eine leere Ergebnis-
menge dürfte den gemeinen Nutzer am
wenigsten verwirren (8YY`c[le^*).
>i\\eJHCXcj@;J
Als IDS oder IPS wird GreenSQL zusam-
men mit einem Risiko-Profil betrieben.
Hier entscheiden nicht die Queries da-
rüber, ob eine Anfrage erlaubt ist, son-
dern die ausgeführte Aktion. Je nach
Konfiguration blockiert das IDS die Da-
tenbankverbindung und informiert einen
Administrator über den mutmaßlichen
Einbruchsversuch.
IDS und IPS haben gemeinsam, dass sie
SQL Injections erkennen können. Dazu
greifen sie auf eine von GreenSQL zu-
sammengetragene Datenbank bekannter
Angriffsmuster zurück. Ferner gelten alle
suspekten Anfragen als SQL Injection.
Sollte eine Anfrage fälschlich erkannt
werden, kann der Administrator sie der
Query-Gruppe Injections Patterns oder
einer anderen Gruppe zuordnen, die
GreenSQL als erlaubte Anfragen akzep-
tiert.
Die fein abgestuften Risiko-Profile legen
Sie ebenfalls unter »Database Security«
an. Sie sind nicht auf einzelne Queries
beschränkt, sondern beziehen sich auf
++ 8L J >8 9 < '* $)' ( *
8YY`c[le^+1@dI`j`bfgif]`c[•i]\e8[d`ej]\`eXY^\jkl]k]\jkc\^\e#n\cZ_\;9$
Fg\iXk`fe\e\icXlYkj`e[le[n\cZ_\e`Z_k%
Datenbankoperati-
onen, die Server,
Sicherheit oder Datenbanken betreffen.
Dazu zählen unter anderem, aktive Pro-
zesse oder Logs abzufragen, Passwörter
und Privilegien zu ändern, Datenbanken
und Tabellen auszugeben oder Informa-
tionen zu Datenbankschemata abzurufen
(8YY`c[le^+).
Cf^^`e^le[9\i`Z_k\
GreenSQL ist in der Lage, den Adminis-
trator bei verschiedenen Ereignissen zu
benachrichtigen. Dazu zählen beispiels-
weise Änderungen an den Systemeinstel-
lungen, Einbruchsversuche oder Verstöße
gegen Firewall-Regeln. Um die Funk-
tionalität zu aktivieren, sind unter dem
Punkt Alerts Kontaktlisten und SMTP-
Server einzurichten. Die Benachrichti-
gung selbst ist ebenso leicht konfigurier-
bar wie der Rest der Firewall-Lösung.
Neben einem aussagekräftigen Namen
sind der Typ des Alarms und ein Inter-
vall anzugeben. »System« informiert bei-
spielsweise über neu hinzugekommene
oder geänderte Policies, »Traffic« über
geblockte Queries und »Intrusion« über
alle Queries, die einen Einbruchsversuch
vermuten lassen.
Da hier schnell sehr viele Mails zusam-
menkommen können, erlaubt GreenSQL
den Versand gesammelter Meldungen.
Hier kommt das Intervall ins Spiel: Statt
mehrerer kurz aufeinanderfolgender
Mails werden mit dieser Einstellung nur
eine alle paar Minuten, Stunden oder ein-
mal pro Tag versandt. Wer ein Häkchen
bei »Verbose« setzt, erhält von GreenSQL
neben der Alarmmeldung auch den SQL-
Query, der sie veranlasste.
8;D@E
Dank umfangreicher Logging-Funktionen
können Sie bei Problemen schnell fest-
stellen, wo der Schuh drückt. Im Falle des
Bibliothekssystems Koha hatte GreenSQL
mit der Anweisung »set autocommit=1«
Schwierigkeiten, die dazu führten, dass
Koha den Dienst mit einer Fehlermeldung
quittierte. Die Lösung bestand darin, das
Log auszuwerten und GreenSQL die ent-
sprechende Query beizubringen. Für das
manuelle Lernen gibt es zwei Wege. Ent-
weder Sie fügen die Query unter »Data-
base Sequrity | Query Groups | Learned
Patterns« über den Punkt »Create New«
hinzu oder klicken auf den betreffenden
Eintrag im Log und ordnen das Pattern
einer Query Group zu.
GreenSQL loggt nicht nur Traffic und Ein-
bruchsversuche. Die Software gibt auch
Informationen zu Effizienzstatistiken,
Systemereignissen oder den populärs-
ten Queries aus. Neben eigenen Logfiles
sendet es auf Wunsch auch ausgewählte
Meldungen an den Syslog-Daemon, um
sie zum Beispiel mit einem Monitoring-
System auszuwerten.
Eine ausgefeilte Berichtsfunktion er-
möglicht es, Informationen aus den
Logs komfortabel aufzubereiten. Reports
können beispielsweise dazu dienen, Ent-
wicklungen zu dokumentieren oder Ent-
scheidungen zu unterstützen. GreenSQL
hat bereits viele Berichtsarten eingebaut,
sodass Admins sofort ausgeben kön-
nen, welche Queries lange verarbeitet,
am häufigsten angefragt oder geblockt
wurden und von welchen IP-Adressen
die meisten Einbruchsversuche erfolgten.
Die Berichte lassen sich als PDF oder im
Excel-Format exportieren.
Ist GreenSQL einmal eingerichtet, sollten
Sie die Konfiguration sichern. Ein Backup
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 >i\\eJHC N < 9 $J <: L I @ K P

ist mit den entsprechenden Punkten un-
ter »System | Backup & Restore« schnell
erstellt. Das Backup-Passwort wird nur
einmal abgefragt. Hier ist es sinnvoll,
sofort nach dem Backup ein Restore
durchzuführen. So prüfen Sie, ob sich
kein Tippfehler eingeschlichen hat. Im
Ernstfall bleiben Ihnen so böse Überra-
schungen erspart.
=Xq`k
Mit GreenSQL erhalten Administratoren
ein Werkzeug, das vor allem bei unter-
nehmenskritischen Webanwendungen
sinnvoll ist, die (noch) nicht intensiv auf
Schwachstellen abgeklopft wurden. Dazu
gehören neben frei im Web erhältlichen
Anwendungen auch Eigenentwicklun-
gen, die zunächst nur als Prototypen in
Betrieb genommen und dann doch pro-
duktiv weiterbetrieben wurden. SQL- und
Code-Injektionen zählen zu den höchst
kritischen Sicherheitslücken bei Web-
anwendungen und führen die Liste der
OWASP Top Ten 2013 an R*T.
GreenSQL liegt in verschiedenen Vari-
anten vor. Bereits die Express-Variante
bietet einen guten Basisschutz und dürfte
ausreichen, um ein Firmenblog oder mä-
ßig frequentierten Webshop zu schützen.
Die kostenpflichtigen Varianten bieten
zusätzliche Funktionen wie Alarmierun-
gen und Berichte, behalten im Blick wer
sich mit einer Datenbank verbindet und
verschleiern bestimmte Informationen.
Die Sicherheitslösung ist leicht zu in-
stallieren und innerhalb kurzer Zeit in
Betrieb zu nehmen. Eine umfangreiche
Dokumentation hilft, wenn ein Punkt
nicht klar ersichtlich ist.
Die Möglichkeit, Queries automatisch
zu lernen, erspart Administratoren viel
Arbeit und schützt davor, wichtige An-
fragen zu vergessen und später hinzu-
zufügen. Dadurch werden Ärger und
Gequengel seitens der Nutzer schon
frühzeitig minimiert. Die Entwickler ha-
ben von vornherein dafür gesorgt, dass
sich nur Nutzer aus dem zugehörigen
Netzwerk (Netmask 255.255.0.0) mit
dem GreenSQL-Server verbinden dürfen.
Es ist möglich, GreenSQL ohne weitere
Firewall-Regeln nur auf einer IP-Adresse
anzusiedeln oder auf Localhost zu be-
schränken. Zertifikate helfen die Echtheit
des Servers zu überprüfen.
GreenSQL schützt zwar nicht vor allen
Unwägbarkeiten des World Wide Web,
aber Angriffen auf Datenbankebene kann
die Sicherheitslösung einen Riegel vor-
schieben und so andere Sicherheitsvor-
kehrungen sinnvoll ergänzen. (ofr) ■
@e]fj
R(T >i\\eJHC1R_kkg1&&nnn%^i\\ejhc%ZfdT
R)T Fg\eJfliZ\>i\\eJHC1R_kkg1&&nnn%
^i\\ejhc%e\k&[fnecfX[$[fk$e\kT
R*T FN8JGKfgK\e)'(*1
R_kkgj1&&nnn%fnXjg%fi^&`e[\o%g_g&
KfgV('V)'(*$KXYc\Vf]V:fek\ekjT

8eq\`^\

Die heute führenden Spezialisten stammen oft aus der "Freie Software-Szene" und schulen seit
Jahren im Linuxhotel. Das erklärt die Breite und Qualität unseres Schulungsangebotes:
AJAX * Amavis * Android * Angriffstechniken * Apache * Asterisk * BaseX * BayesianAnalysis * Bind * C/C++ * Cassandra *
CiviCRM * Cloud * Cluster * ClusterFS * CouchDB * CSS3 * CUPS * Debian * DHCP * DNS * DNSSEC * Echtzeit Linux *
Embedded Linux * eXist-db * Faces * FAI * Firewall * Forensik * FreeBSD * FreeRADIUS * GeoExt * Git * Grails * GRASS *
Groovy * hadoop * Hochverfügbarkeit * HTML5 * Hudson * iSCSI * IPv6 * ITSM * Java * JavaScript * Jenkins * Kernel * KVM
* LDAP * LibreOffice * Linux * LPI * m23 * MacOSX * MapFish * Mapserver * Maven * Mikrocontroller * MVS/380 * MySQL *
Nagios * Node.js * OpenBSD * OpenLayers * OpenOffice * openQRM * OpenVPN * OPSI * OSGi * OTRS * Perl * PHP *
Postfix * PostgreSQL * Puppet * Python * QuantumGIS * R * Rails * RedHat * Routing * Request-Tracker RT * Ruby * Samba
* SAN * Scala * Scribus * Shell * Sicherheit * SNMP * Spacewalk * Spamfilter * SQL * Struts * Subversion * SuSE * TCP/IP *
Tomcat * Treiber * TYPO3 * Ubuntu * UML * Unix * Univention * Virenfilter * Virtualisierung * VoIP * WebGIS * Webservices *
Windows Autoinstall * Windowsintegration * x2go * xen * XML * Xpath * Xquery * z/OS * Zabbix * Zend

Fast 100% der Teilnehmer empfehlen uns weiter. Siehe www.linuxhotel.de

Ja, wir geben es zu und haben überhaupt kein schlechtes Gewissen dabei: Unsere Schulungen machen auch Spaß ;-)

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * +,

N < 9 $J <: L I @ K P
d
=%Zf
)*I
`e#(
Z_b
Xif
\pA
\i^
ŸJ
JZ_lkqmfi;i`m\$Yp$8e^i`]]\e
JZ_lkqXlji•jkle^
BcXjj`jZ_\JZ_lkqd\Z_Xe`jd\en`\=`i\nXccjle[M`i\ejZXee\ijg`\c\eXlZ_`eQlble]k\`e\n`Z_k`^\Ifcc\#j`\
Y`\k\eXY\ib\`e\eJZ_lkqmfi;i`m\$Yp$;fnecfX[j%;fZ_[`\j\g\i]`[\K\Z_e`bn€Z_jka€_ic`Z_`d[i\`jk\cc`^\e
Gifq\ekY\i\`Z_%K_fdXjQ\cc\i
Wie einfach ist die Welt für Angreifer
doch heute: Wo früher mühsam Firewalls
und andere Schutzeinrichtungen über-
wunden werden mussten, genügt es
heute, die Benutzer hinter der Firewall
auf einen mit Malware präparierten
Webserver zu locken. Das gelingt ganz
leicht, indem man entsprechende Links
per E-Mail, SMS oder Instant Messenger
verschickt. Die Kontaktdaten der poten-
ziellen Opfer lassen sich meist problem-
los über soziale Netzwerke, etwa Xing,
ausfindig machen. Und auch QR-Codes
eignen sich bestens zum Verteilen von
Malware-Links, schließlich sieht der Be-
nutzer dem Code nicht an, wohin dieser
sein Smartphone führt.
Die größte Schwachstelle – gleich nach
dem Benutzer – stellt heute aber das auf
jedem Arbeitsplatz und mobilen Gerät
installierte Web-2.0-Instrumentarium
+/ 8L J >8 9 < '* $)' ( *
;i`m\$Yp$8kkXZb\e
dar, bestehend aus Webbrowser und
zahlreichen Plugins wie beispielsweise
dem Flashplayer, Java und Adobe Rea-
der. Browser oder Plugins enthalten
praktisch immer Sicherheitslücken, die
mit speziellen auf dem Webserver in-
stallierten Angriffstools dann ausnutzbar
sind. Ziel ist es, den Client mit Malware
zu infizieren, um ihn als Brückenkopf
für den Zugang zu anderen Ressourcen
im Netzwerk zu missbrauchen oder um
ihn einem Bot-Netz hinzuzufügen. Die
Ausnutzung der Sicherheitslücke erfolgt
dabei in der Regel völlig transparent und
vom Benutzer unbemerkt – sozusagen
im Vorbeigehen. Daher auch der Name:
Drive-by-Download. Nach Einschätzung
der ENISA (European Network and In-
formation Security Agency) und des IT-
Branchenverbandes BITKOM, geht von
Drive-by-Downloads derzeit die größte
8;D@E
Bedrohung im Internet überhaupt aus.
Ausführliche Details dazu finden sich im
Report „ENISA Threat Landscape“, er-
hältlich unter R*T.
?\`ccfjlej`Z_\i
Geradezu legendär sind inzwischen die
Sicherheitslücken in der Java-Laufzeitum-
gebung und damit auch im Java-Plugin
für den Webbrowser: Seit fast einem Jahr
kommt Java praktisch nicht mehr aus den
Schlagzeilen. Kaum liefert der Hersteller
Oracle ein Sicherheitsupdate für Java,
wird auch schon die nächste Sicherheits-
lücke bekannt – und sofort ausgenutzt.
Das bestätigt auch eine Studie von Web-
sense aus dem März 2013. Sie kommt zu
dem Ergebnis, dass rund 94 Prozent aller
installierten Java-Plugins nicht auf dem
neuesten Stand sind R(T. Das Bundesamt
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

für Sicherheit in der Informationstechnik
(BSI) empfiehlt daher schon länger, Java
im Browser zu deaktivieren oder besser
gleich vollständig zu deinstallieren R)T.
;i`m\$Yp$JgXd
Analog zum Drive-by-Download kursiert
zwischenzeitlich auch Drive-by-Spam,
der den Computer auch ohne Umweg
über den Webbrowser mit Schadcode
infizieren kann. Drive-by-Spam-E-Mails
kommen in der Regel im HTML-Format
daher, der Schadcode wird dann mit Hilfe
von Javascript bereits während der Vor-
schauanzeige im E-Mail-Programm auf
dem Client nachgeladen.
Anders als bei klassischer E-Mail-Mal-
ware und Phishing-E-Mails, muss der
Benutzer hier also weder ein Attachment
öffnen oder ausführen. Er muss auch
nicht aktiv auf einen Link klicken. Statt-
dessen wird die Malware schon durch
bloßes Öffnen der Nachricht im E-Mail-
Programm aktiviert.
Wo immer möglich sollte daher die Vor-
schauanzeige von HTML-Nachrichten im
E-Mail-Client deaktivert werden. Dass
diese Angriffsmethode derzeit sehr po-
pulär ist, belegt nicht zuletzt eine Sta-
tistik des Managed-E-Mail-Security-An-
bieters Eleven vom Oktober 2012. Nach
Erkenntnissen von Eleven verlinkt heute
bereits jede zehnte Spam-E-Mail auf
Malware R+T.
:fdglk\i[\jFg]\ij
3_kdc5
¿%
3`]iXd\jiZ\m`c$j\im\i%Zfd&b`cc$d\%g_g5
3&Yf[p5
:c`\ek$JZXe
<ogcf`k
DXcnXi\
8YY`c[le^(1Jfm\ic€l]k\`e;i`m\$Yp$8e^i`]]%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
;i`m\$Yp$8kkXZb\e
Als Ausgangsbasis benötigt der Angreifer
zunächst einen Webserver. Diesen mietet
er entweder selbst bei einem der zahlrei-
chen Hosting-Anbieter oder in der Cloud
an oder er schleust seinen Code über
gehackte FTP-Zugangsdaten oder über
Sicherheitslücken in einer Webapplika-
tion eines bestehenden und möglichst
attraktiven Webangebots ein. Letzte-
res erfordert auf Seiten des Angreifers
zwar einen höheren Skill-Level, denn
zunächst müssen die Schwachstellen in
der Webapplikation ja identifiziert und
ausgenutzt werden. Aber der Aufwand
lohnt sich, denn je nach Attraktivitiät
und Bekanntheitsgrad des Webangebots,
lassen sich auf diese Weise natürlich we-
sentlich schneller viele Opfer finden – zu-
mal infizierte Websites zwischenzeitlich
auch durch SEO-Poisoning (Suchmaschi-
nenoptimierung für die optimale Plat-
zierung von Malware-Sites) schnell weit
oben in den Suchergebnissen von Google
& Co auftauchen.
C•Zb\e`eN\YXggc`bXk`fe\e
Die wenigsten Benutzer befürchten, sich
auf einer bekannten Website mit Schad-
code zu infizieren. Dabei sieht die Re-
alität ganz anders aus: So berichtet der
Websense Threat Report 2012 R,T bei-
spielsweise, dass 82 Prozent der bösarti-
gen Webseiten inzwischen auf kompro-
mittierten Hosts laufen – das Risiko, sich
_kkg1&&nnn%j\i`f\j\$n\Yj`k\%[\
_kkg1&&nnn%\m`c$j\im\i%Zfd
t
N\Y$J\im\i
[\j8e^i\`]\ij
N < 9 $J <: L I @ K P
auf einer seriösen Website Schadcode
einzufangen, ist also sehr hoch. Darü-
ber hinaus sind Webapplikationen, die
Sicherheitslücken enthalten, auch bes-
tens dokumentiert. Daher lassen sich ver-
wundbare Webserver auch leicht aufspü-
ren. Bevorzugte Angriffsziele sind dabei
immer wieder veraltete PHP-Versionen
oder Content-Management-Systeme wie
Wordpress, Typo3 und Joomla. Sehr in-
tensiv mit der Sicherheit von Webappli-
kationen beschäftigt sich das Open Web
Application Security Project OWASP
R-T, das alljährlich eine Top-10-Liste mit
den häufigsten Sicherheitslücken und
Schwachstellen in Webapplikationen
veröffentlicht.
B\`eDXe^\cXeKffcj
An frei verfügbaren Tools zur Vorberei-
tung eines Webserver-Angriffs herrscht
wahrlich kein Mangel. So offerieren Ha-
cking-Werkzeugkästen wie zum Beispiel
die Live-CDs Backtrack oder Kali-Linux
R.T, R/T in der Sektion Webapplikationen
zahlreiche Programme, die in der Lage
sind, Typ und Schwachstellen verschie-
dener Content-Management-Systeme zu
erkennen. Mit Tools wie dem dort eben-
falls verfügbaren »sqlninja« wird dann
der eigentliche Angriff auf das CMS oder
dessen Datenbank ausgeführt.
Seit vielen Jahren sind auf diversen Unter-
grundmärkten im Internet außerdem auch
kommerzielle Exploit-Kits erhältlich. Sie
werden per Software-Maintenance stets
auf dem aktuellen Stand gehalten und ga-
8YcXl]\`e\j;i`m\$Yp$;fnecfX[j
=•i [`\ MfiY\i\`kle^ \`e\j ;i`m\$Yp$;fne$
cfX[$8e^i`]]j n`i[ qle€Z_jk \`e N\Yj\im\i
bfdgifd`kk`\ik le[ [\i JkXikj\`k\ `e \`e\d
`=iXd\qlj€kqc`Z_\i:f[\Æd\`jk`eAXmXjZi`gk
Æ lek\i^\jZ_fY\e% ;\i :f[\ `d `=iXd\ m\i$
n\`jkXl]\`e\eXe[\i\eN\Yj\im\i#[\ilek\i
[\i Bfekifcc\ [\j 8e^i\`]\ij jk\_k% 8l] [`\$
j\d Y\]`e[\k j`Z_ [`\ 8e^i`]]jjf]knXi\# [`\
[`\M\ij`fe[\jN\YYifnj\ijle[[`\mfi_Xe$
[\e\eGcl^`ej[\iN\Yj\`k\eY\jlZ_\i\id`k$
k\ck le[ `_e\e [\e gXjj\e[\e <ogcf`k$:f[\
lek\ijZ_`\Yk% JfYXc[ [\i <ogcf`k \i]fc^i\`Z_
Xlj^\]•_iknli[\#n`i[[\i\`^\ekc`Z_\JZ_X[$
Zf[\#qld9\`jg`\c\`eKifaXe\i#eXZ_^\cX[\e
le[leY\d\ibkmfd9\elkq\iXl][\dJpjk\d
Xlj^\]•_ikÆjZ_fe`jk\jgXjj`\ik%
;`\8YY`c[le^(\ic€lk\ik[\ekpg`jZ_\e8YcXl]
\`e\i;i`m\$Yp$@e]\bk`fe%
8;D@E 8L J >8 9 < '* $)' ( * +0
 N < 9 $J <: L I @ K P ;i`m\$Yp$8kkXZb\e
8YY`c[le^)19\`jg`\c_X]k\8lj^XY\[\jJX]\$9ifnj`e^$;`\ejk\j%;`\j\J\`k\n`i[XcjDXcnXi\$JZ_c\l[\i^\i•^k%
rantieren teilweise sogar die permanente
Verfügbarkeit sogenannter Zero-Day-Ex-
ploits, also Sicherheitslücken, für die der
jeweilige Softwarehersteller aktuell noch
keinen Patch bereitstellt. Dabei wurden
die vor Jahren noch dominanten Kits
MPACK. Neosploit, Zeus und Eleonore
zwischenzeitlich von Exploit-Kits der
zweiten Generation abgelöst. Bekannte
Vertreter sind das Phoenix-Exploit-Kit
und vor allem das Black-Hole-Exploit-Kit
(BHEK2). Interessenten können Instan-
zen dieser Angriffstools in den einschlä-
gigen Untergrund-Foren auf täglicher
Basis (50 US Dollar pro Tag inklusive
50 000 Hits), per Monat (500 US Dollar
mit 70 000 Hits) oder pro Jahr (1500 US
Dollar mit unlimitierter Anzahl Domains)
mieten. Einen guten Überblick über den
Stand der Entwicklung bei Exploit-Kits
liefert das Poster Common-Exploit-Kits
2012 unter R0T und vor allem die Exploit
Table 2013 des Bloggers Mila, erhältlich
als Google-Apps-Tabelle unter R('T. Diese
listet die Funktionalitäten der verschie-
denen Malware-Kits unter Bezugnahme
auf die entsprechende CVE-ID auf. CVE
steht für Common Vulnerabilities and Ex-
posures und bezeichnet einen Industrie-
standard zur eindeutigen Benennung von
Sicherheitslücken in Computersystemen
und -software, die in Listenform von der
MITRE Corporation R((T gepflegt wird.
Le[nXj_`c]k6
Nachdem bis hierher ausführlich die
von Exploit-Kits ausgehenden Gefahren
zur Sprache kamen, ist es nun an der
Zeit, über geeignete Gegenmaßnahmen
zum Schutz vor Drive-by-Downloads zu
sprechen. Grundsätzlich kommen drei
Ansätze in Betracht, die ihre volle Wir-
,' 8L J >8 9 < '* $)' ( *
kung allerdings erst in Kombination aller
Maßnahmen erzielen:
Idealerweise beginnt die Absicherung
gegen Exploit-Kits und Drive-by-Down-
loads schon bei den eigenen Webservern.
Denn sind diese erst einmal als Malware-
Schleuder aufgefallen, ist es zum einen
schwer, das verlorengegangene Vertrauen
wiederzugewinnen. Zum anderen stellt
sich in einem solchen Fall natürlich
auch die Frage nach der Haftung des
Betreibers. Denn im Schadensfall muss
der Betreiber nachweisen, dass er beim
Betrieb des Webservers die „verkehrsüb-
liche Sorgfaltspflicht“ beachtet hat (§ 280
BGB, Schadensersatz wegen Pflichtverlet-
zung), die er in der Regel an seinen Ad-
ministrator delegiert. Erste Admin-Pflicht
muss also die regelmäßige Überprüfung
der eigenen Webservices auf Exploit-Kits
und Malware-Befall sein.
Doch natürlich müssen auch die eigenen
Client-Systeme vor Drive-by-Downloads
geschützt werden, indem die eingesetz-
ten Browser und Plugins immer auf dem
neuesten Stand gehalten werden. Das
wird umso schwieriger, wenn sich jeder
Benutzer seine individuellen Browser,
Plugins und Zusatzsoftware zusammen-
stellen darf. Es ist daher hilfreich, auch
die Benutzer im Rahmen einer Aware-
ness-Kampagne über die Gefahren aus
dem Web zu informieren und von der
Notwendigkeit der Einhaltung von Unter-
nehmens-Policies zu überzeugen. Denn
die beste Sicherheitstechnik nützt nichts,
wenn sie von den Benutzern nur als Be-
hinderung wahrgenommen wird und sie
dann aktiv versuchen, Sicherheitsmaß-
nahmen zu umgehen.
Einen dritten Ansatzpunkt schließlich
bieten Sicherheitsmaßnahmen am Über-
gang zum Internet, etwa durch den Ein-
8;D@E
satz von URL-Filtern und Virenscannern
auf dem Internet-Gateway. In Umgebun-
gen, in denen nach dem Bundesdaten-
schutzgesetz „besondere Arten personen-
bezogener Daten“ verarbeitet werden,
ist auch eine besondere Sorgfalt bei der
Bereitstellung von Internet-Zugängen
erforderlich. Zu den besonders schutz-
würdigen personenbezogenen Daten
zählen unter anderem Gesundheitsdaten,
Informationen über die rassische oder
ethnische Herkunft, politische, religiöse,
gewerkschaftliche und sexuelle Orien-
tierung. In diesen Umgebungen können
grafische Firewalls gute Dienste leisten.
Sie entkoppeln den Browser vollständig
vom Arbeitsplatz und werden daher auch
ReCoBs-Systeme (Remote Controlled
Browser Systems) genannt. Auch andere
sicherheitskritische Umgebungen, wie sie
bei der Verarbeitung von Gesundheits-
daten, Verschlusssachen (VS-NfD) oder
NATO-Restricted-Daten gegeben sind,
profitieren von einer solchen Lösung.
Doch dazu später mehr.
M\iYi\`kle^jn\^\]•i
DXcnXi\\`ejZ_i€eb\e
Da Sicherheit bekanntlich am Anfang
eines jeden Prozesses stehen sollte, ist
die wichtigste Maßnahme, bereits bei
der Entwicklung von Webapplikationen
entsprechende Sorgfalt walten zu lassen.
Das Bundesamt für Sicherheit in der In-
formationstechnik (BSI) hat zu diesem
Thema in Zusammenarbeit mit dem Si-
cherheitsdienstleister Securenet bereits
im Jahr 2006 einen Maßnahmenkatalog
und Best Practices für die Sicherheit
von Webanwendungen erstellt R()T, der
entsprechende Hinweise für Entwickler
liefert. Für bereits verfügbare Webappli-
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

kationen bietet der Markt entsprechende
Tools zur automatischen Sourcecode-
Analyse auf Sicherheitslücken, exem-
plarisch seien hier Fortify R(*T und IBMs
Rational AppScan R(+T genannt.
<ok\ie\:_\Zbj
Doch natürlich dürften die meisten Un-
ternehmen und Organisationen ihre Con-
tent-Management-Systeme, Shops und
andere Webapplikationen nicht selbst
entwickeln, sondern auf kommerzielle
oder Open-Source-Systeme zurückgreifen.
In diesem Fall können Penetrationstests
mit entsprechenden Tools Informationen
zum Sicherheitsstatus des Webservers
und der dort betriebenen Webapplika-
tionen zu Tage fördern. Mit Skipfish R(,T
hat Google einen Sicherheitsscanner für
Webapplikationen unter der Apache Li-
cense 2.0 freigegeben. Darüber hinaus
stellt Google mit der Safe-Browsing-API
R(-T eine Programmierschnittstelle für
Browserhersteller bereit, mit der URLs
gegen Googles permanent aktualisierte
Liste verdächtiger Phishing- und Mal-
ware-Seiten gecheckt werden können.
Es lohnt sich also regelmäßig nachzu-
sehen, ob die eigene Website geblockt
wird. Derzeit nutzen Chrome, Safari und
Firefox die Safe-Browsing-API, die man
über folgende URL auch im Browser auf-
rufen kann: R_kkg1&&nnn%^ff^c\%Zfd&
jX]\Yifnj`e^&[`X^efjk`Z6j`k\4dpj`k\%
ZfdT.
8YY`c[le^*1<`e9ifnj\i$:_\ZbÆ_`\i`e[\iM\ij`femfeHlXcpjÆgi•]klek\i che, IIS und Nginx
Xe[\i\dXl]m\iXck\k\Gcl^`ej%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
;i`m\$Yp$8kkXZb\e
Dabei ersetzt man mysite.com einfach
durch den eigenen Domainnamen oder
verwendet zum Testen eine bekannte
Malware-Domain, etwa von der Malware-
Domain-Liste R(.T.
Mit der Initiative S hat auch der Bran-
chenverband der Internetwirtschaft eco
eine Online-Plattform im Angebot, mit
der Unternehmen die Sicherheit ihrer
Website regelmäßig und automatisch
überprüfen lassen können. Die Regis-
trierung unter R(/T ist kostenlos und
setzt zur Verifizierung der Anforderung
lediglich den Zugriff auf eine bestimmte
E-Mail Adresse voraus (info@domain,
webmaster@domain, abuse@domain
oder initiative-s@domain). Auch die Uni-
versität von Kalifornien hat mit Wepawet
ein Analysetool für Domains (Javascript,
Flash und PDF-Dateien) entwickelt.
N\Y8ggc`ZXk`fe=`i\nXccj
Haben Sourcecode-Analyse und Penetra-
tionstest keine Hinweise auf Schwachstel-
len ergeben, bedeutet das natürlich nicht
zwangsläufig, dass der eigene Webserver
auch dauerhaft frei von Sicherheitslücken
ist. Für die aktive Absicherung von Web-
servern und Webapplikationen empfiehlt
sich daher die Installation einer Web Ap-
plication Firewall, kurz WAF. WAFs un-
tersuchen die Kommunikation zwischen
Webserver und Browser auf Anwen-
dungsebene (http, https) und bieten auf
diese Weise Schutz vor typischen Angrif-
fen wie Cross Site
Scripting (XSS),
SQL Injection und
bekannten Sicher-
heitslücken von
Webapplikationen.
WAFs werden ent-
weder als Reverse
Proxy vor dem
eigentlichen Web-
server oder als
Plugin direkt auf
dem Webserver
betrieben. Die be-
kannteste WAF aus
dem Open-Source-
Lager ist ModSe-
curity R(0T, die es
als Plugin für Apa-
gibt. ModSecurity
N < 9 $J <: L I @ K P
lässt sich bei den meisten Distributionen
einfach über die Paketverwaltung ein-
spielen. So genügt zur Installation unter
Debian/Ubuntu beispielsweise ein
sudo apt-get install 5
libapache2-modsecurity modsecurity-crs
Auch einige Hersteller von UTM-Firewalls
(etwa Sophos UTM) oder Load-Balancern
(wie Riverbed oder F5) bieten Produkte
mit integrierten WAFs an.
;\i:c`\ek$8ejXkq
Nachdem der eigene Webservice jetzt
gegen die Einschleusung von Exploit-
und Malware-Kits gesichert ist, kommt
jetzt eine Aufgabe ganz anderen Kalibers
an die Reihe: Der Schutz der Clients im
Netzwerk. Um das Ausmaß der potenziell
vorhandenen Sicherheitsprobleme zu er-
fassen, ist zunächst eine Inventarisierung
der eingesetzten Browser, Plugins und
eventuell anderer Internet-Software er-
forderlich. Client-Management-Systeme
wie ACMP (Aagon), OPSI (UIB), Altiris
(Symantec) oder Empirum (Matrix42)
verfügen über entsprechende Inventari-
sierungsmodule, mit deren Hilfe die ein-
gesetzte Software und deren Versions-
stände exakt erfasst und ausgewertet
werden können. Auf Basis dieser Infor-
mationen lässt sich dann eine Policy für
das Patch-Management der betroffenen
Applikationen ausrollen und ohne Mit-
wirkung der Benutzer durchsetzen.
Fec`e\$9ifnj\i$:_\Zb
Neben diesem – eher für Unternehmen
mit vielen Systemen interessanten – An-
satz, gibt es mit den Browser-Checks
aber auch Hilfsmittel für Heimanwen-
der oder Administratoren, die nur einen
oder einige wenige Rechner zu verwalten
haben. So bietet beispielsweise das Anti-
Botnet-Beratungszentrum, ebenfalls eine
Inititative des Internet-Branchenverban-
des eco, eine Überprüfung der eingesetz-
ten Browserversion und der installierten
Plugins an. Findet der Browser-Check
veraltete Plugins, können diese einfach
per Klick auf die entsprechende Schalt-
fläche aktualisiert werden. Leider funk-
tioniert das nur für populäre Plugins wie
Java, Flash & Co wirklich zuverlässig.
Wer speziellere Plugins wie zum Beispiel
8;D@E 8L J >8 9 < '* $)' ( * ,(
 N < 9 $J <: L I @ K P ;i`m\$Yp$8kkXZb\e
den Citrix Receiver einsetzt, muss sich
nach wie vor manuell um das Update
kümmern.
Gleiches gilt auch für den eher einfach
gestrickten Check-your-Plugin-Service
von Mozilla R)'T. Besser macht das der
Browser-Check von Qualys R)(T, der op-
tional für eine intensivere Untersuchung
die Installation eines eigenen Plugin an-
bietet.
Ist dieses Plugin installiert, werden nicht
nur die meisten Plugins zuverlässig er-
kannt, sondern es stehen – zumindest für
Windows – auch erweiterte Scan-Metho-
den zur Verfügung. Mit ihnen lassen sich
dann nicht nur der aktuelle, sondern alle
installierten Browser, sowie die Sicher-
heitseinstellungen des Betriebssystems
und der Status der Microsoft-Patches
überprüfen. Qualys bietet mit der Busi-
ness Edition zusätzlich eine – ebenfalls
kostenfreie – Version des Browser-Checks
für Administratoren an. Nach Registrie-
rung unter R))T kann man im Bereich
Settings des Dashboards eine MSI-Ver-
sion des Browser-Check-Plugins herun-
terladen, mit dem sich Windows-PCs von
zentraler Stelle mit dem Plugin versorgen
lassen. Alternativ gibt es dort auch eine
Download-URL für das Plugin und eine
Quick-Scan-URL, mit der die Benutzer
das Plugin unter der Unternehmens-ID
entweder selbst installieren oder einen
Scan ohne Plugin ausführen können. Die
Ergebnisse des Scans werden dann nicht
dem Benutzer sondern direkt im Dash-
board des Administrators angezeigt.
8lkfdXk`j`\ik\Lg[Xk\j
Einen anderen Ansatz verfolgt der Antivi-
rus-Hersteller F-Secure mit seinem neuen
Software-Updater. Kunden, die ihre Un-
ternehmensrechner bereits mit der F-
Secure-Cloudlösung Protection Service
for Businesses (PSB) verwalten R)*T,
können den Software-Updater nun zu-
sammen mit dem Antivirus-Client auf die
verwalteten Rechner ausbringen und auf
diese Weise von zentraler Stelle aus da-
für sorgen, dass keine veralteten Browser
und Plugins eingesetzt werden. Die Liste
der unterstützen Software R)+T kann sich
durchaus sehen lassen, denn neben den
üblichen Verdächtigen wie Java & Co fin-
den sich hier auch Kandidaten wie der
Foxit Reader und der VLC-Mediaplayer.
,) 8L J >8 9 < '* $)' ( * 8;D@E
8YY`c[le^+1;\ie\l\J`Z_\i_\`kjj\im`Z\9C8;<jfccDXcnXi\$@e]\bk`fe\en`ible^jmfccm\i_`e[\ie%
Mit BLADE (Block all Drive-by-Download
Exploits) entsteht gerade ein Projekt, das
mit Unterstützung der National Science
Foundation, des U.S. Army Research Of-
fice und des Office of Naval Research
gegründet wurde. BLADE besteht aus
einer Serie von Windows-Kernel-Erwei-
terungen, die versteckte Binärinstallati-
onen während eines Drive-by-Angriffs
erfolgreich verhindern sollen.
BLADE wird von den Initiatoren gerade
ausführlich mit den am häufigsten ein-
gesetzten Browsern und täglich neu
auftauchenden Malware-Links getestet,
dabei kamen in den vergangenen sechs
Monaten offenbar auch einige Zero-Day-
Angriffe zum Einsatz. Nach Angabe der
Tester hat BLADE bisher 100 Prozent der
Angriffe abgewehrt, zumindest lassen
die Ergebnisse des Evaluation Lab darauf
schließen, die regelmäßig unter R),T ver-
öffentlicht werden. Verfügbar ist BLADE
indes heute noch nicht, in der nächsten
Phase soll es aber eine freie Version zum
Download geben.
?KDC,#EfJZi`gk:f
Browsererweiterungen wie NoScript oder
FlashBlock können natürlich ebenfalls
helfen, einen Drive-by-Angriff zu ver-
hindern. Allerdings nützen diese Plugins
natürlich nichts, wenn man sie in einem
veralteten Browser installiert. Außerdem
ist ihr Einsatz nicht direkt gegen den
Schadcode gerichtet, sondern deaktiviert
Funktionen wie Javascript oder Flash ein-
fach pauschal. Da viele Websites ohne
Javascript praktisch unbenutzbar sind,
sind diese Tools daher wohl eher für IT-
Profis geeignet. Der kommende HTML5-
Standard wird ganz sicher zu mehr Si-
cherheit beitragen, denn viele Plugins
wie Flash zur Anzeige von Videos sind
dann schlicht nicht mehr erforderlich,
was die Zahl der Produkte mit Software-
Sicherheitslücken reduziert.
Ein weiterer Ansatz zum Schutz der
Clients besteht darin, nicht den lokal
installierten Browser und andere Inter-
net-Software zu verwenden. Stattdessen
wird der Browser aus einer gekapselten
Umgebung, zum Beispiel einer virtuellen
Maschine gestartet. Alternativ verwendet
man ein Live-Medium, zum Beispiel eine
Linux-Live-DVD oder einen USB-Stick,
und nutzt den dort installierten Browser.
Gegen den Einsatz eines Live-Mediums
spricht natürlich der durch den Reboot
erforderliche Aufwand und die Tatsa-
che, dass auch die Browser auf Live-CDs
schnell veralten. Mit Browser in the Box
bietet beispielsweise die Sirrix AG R)-T
eine Lösung an, bei der der Browser aus
einer lokalen VirtualBox-VM gestartet
wird. Die VM basiert auf einem gehär-
tetem Debian 6 Linux mit SELinux und
aktuellem Firefox-Browser. Die Einplatz-
version steht kostenfrei zum Download
zur Verfügung, die Enterprise-Variante
wird dagegen nur in Kombination mit
einem Web-Gateway und einem Manage-
mentsystem ausgeliefert.
8l]i•jk\eXd>Xk\nXp
Der Kampf gegen per Drive-by-Download
verbreitete Malware erinnert stark an das
bekannte Hase-und-Igel-Spiel, bei dem
der Igel (Angreifer) dem Hasen (Admin)
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
immer eine Nasenlänge voraus ist. Des-
halb ist es sinnvoll, sich nicht alleine
auf Mechanismen zu verlassen, die am
Client ansetzen. Denn auch am Internet-
Übergang lassen sich durchaus noch ei-
nige Mechanismen zur Verteidigung in
Stellung bringen.
Als erste und gleichzeitig wichtigste Maß-
nahme sollte auf dem Internet-Gateway
ein Webfilter aktiviert oder – wenn der
eingesetzte Firewall-Typ das nicht hergibt
– ein zusätzlicher Web-Proxy mit entspre-
chendem URL-Filter installiert werden.
Sofern Squid zum Einsatz kommt, steht
mit Squidguard ein guter URL-Redirector
zur Verfügung, für den es auch kostenlos
nutzbare Blacklists gibt R).T. Allerdings
werden die kostenfreien Blacklists häufig
nur als Hobby-Projekt gepflegt; aktuelle
Malware-Domains sind auf diesen Listen
daher eher nicht zu finden. Kommerzielle
Anbieter haben in diesem Bereich klar
die Nase vorn.
>iX]`jZ_\=`i\nXccj
Unter dem Begriff „grafische Firewall“
wird gemeinhin die Konzeption eines
Sicherheitssystems bestehend aus UTM-
Firewall und Terminalserver verstanden.
Dabei wird der Terminalserver an ein
separates Netzwerk-Interface der Firewall
angeschlossen und so in einer sogenann-
ten Demilitarisierten Zone (DMZ) vom
LAN isoliert. Für die Benutzer im LAN
werden nun sämtliche Netzwerkver-
bindungen in Richtung Internet auf der
Firewall blockiert, lediglich der Zugriff
über ein grafisches Protokoll (daher der
Name) auf den Terminalserver in der
8YY`c[le^,1Gi`eq`g\`e\i^iX]`jZ_\e=`i\nXcc1;\i9ifnj\ic€l]kXl]\`e\dK\id`eXcj\im\i`e[\i;DQ%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
DMZ wird gestattet. Für den Terminal-
serverzugriff kommen – abhängig von
der auf dem Terminalserver verwendeten
Plattform – verschiedene Protokolle, wie
VNC, RDP, PCoverIP, SPICE, NX und ICA
aber auch X11-Tunneling in Frage.
Der Benutzer startet dann den Browser
und gegebenenfalls andere Internet-
Software auf dem Terminalserver, für die
der Internet-Zugriff in der Firewall frei-
geschaltet ist. Idealerweise läuft als wei-
tere Schutzmaßnahme auf der Firewall
zusätzlich ein Web-Proxy mit aktiviertem
URL-Filter und Virenscanner. Die Benut-
zer auf dem Terminalserver sollten nach
dem Prinzip der geringsten Berechtigung
angelegt werden. Wird nun der Brow-
ser oder eines der Plugins per Drive-by-
Download angegriffen, bleibt der Scha-
den auf die Session im Terminalserver
begrenzt – der Angreifer müsste also
erst den Terminalserver und die Firewall
überwinden, um Zugang zum eigentli-
chen Client im LAN zu erhalten.
Eine Empfehlung zum Aufbau einer gra-
fischen Firewall findet sich zum Beispiel
im Maßnahmenkatalog M 4.365 beim BSI
unter R)/T. Für das Prinzip, den Browser
über eine grafische Firewall auf einen
Terminalserver auszulagern, hat das BSI
vor einigen Jahren den Begriff ReCoBs
eingeführt, der für „Remote Controlled
Browser System“ steht R)0T.
>iX]`jZ_\=`i\nXccj Thema
Flk$f]$k_\$9fo
Anbieter grafischer Firewalls sind bei-
spielsweise die Berliner m-privacy GmbH
mit dem Produkt TightGate-Pro und die
®
NETWAYS
8L J >8 9 < '* $)' ( * ,*
N < 9 $J <: L I @ K P ;i`m\$Yp$8kkXZb\e
8YY`c[le^-1J\Zli\M;Y`\k\k[\d9\elkq\im`ikl$
\cc\DXjZ_`e\e`e\`e\i^\_€ik\k\eLd^\Yle^Xe%
Ettlinger BWG Systemhaus Gruppe AG
mit secureVD. TightGate-Pro R*'T eignet
sich Angaben des Herstellers zufolge für
Nutzergruppen ab 10 Arbeitsplätzen und
besonders für den Einsatz im behördli-
chen Umfeld.
Das Funktionsprinzip einer grafischen
Firewall erläutert 8YY`c[le^ ,. Secu-
reVD R*(T (8YY`c[le^-) basiert auf ei-
ner UTM-Firewall, deren gehärtetes Be-
triebssystem um einen KVM-Hypervisor
erweitert wurde. Dadurch lassen sich
über die webbasierende Administrations-
oberfläche virtuelle Maschinen mit Win-
dows oder Linux direkt auf der Firewall
in Betrieb nehmen.
Dabei werden die virtuellen Netzwerk-
adapter der VMs mit dem physikalischen
DMZ-Interface der Firewall über eine
Bridge verbunden, sodass die virtuellen
Maschinen ebenfalls in der DMZ isoliert
sind. SecureVD kann daher grundsätz-
lich sowohl Server (wie zum Beispiel
Web-, FTP- und Mailserver) als auch
genauso gut Desktops virtualisieren. Da
für die Virtualisierung von Desktops auf
SecureVD sowohl Linux als auch Win-
dows unterstützt werden, können die
Anwender mit ihrer vom Arbeitsplatz
gewohnten Software arbeiten.
Wird auf dem virtuellen Windows-Desk-
top zusätzlich noch ein RDP-Server wie
zum Beispiel der XP/VS Terminal Server
for Windows von Thinstuff R*)T instal-
liert, dann können sich problemlos auch
mehrere Anwender einen einzelnen vir-
tuellen Desktop teilen. Jeder Anwender
erhält in diesem Fall seine ganz eigene
Session.
Ab der Version Standard unterstützt der
ThinStuff XP/VS Terminal Server darüber
hinaus auch noch die TSX RemoteApp
(Seamless Windows). Damit kann der
Browser oder jede andere Anwendung
über eine RDP-Verbindung aus der vir-
tuellen Maschine gestartet und dann di-
rekt am Arbeitsplatz angezeigt werden.
,+ 8L J >8 9 < '* $)' ( * 8;D@E
Das für viele Anwender umständliche
Handling mit zwei Desktops kann dann
entfallen.
=Xq`k
Die Verbreitung von Malware durch
Drive-by-Downloads ist bereits heute die
Methode der Wahl für Angreifer. Besse-
rung ist kurzfristig nicht in Sicht. Ad-
mins sollten sich dringend mit diesem
Thema auseinandersetzen. Doch ist die
Situation keineswegs aussichtslos, denn
durch einen sinnvollen Mix der im Arti-
kel vorgestellten Techniken und durch die
Aufklärung der Anwender kann dieser
Bedrohung begegnet werden. (jcb) ■ dfq`ccX%fi^&\e$LJ&gcl^`eZ_\ZbT
@e]fj
R(T N\Yj\ej\1R_kkg1&&Zfddle`kp%n\Yj\ej\%
Zfd&Ycf^j&j\Zli`kpcXYjT
R)T AXmX$JZ_nXZ_jk\cc\1R_kkgj1&&nnn%Yj`%
Yle[%[\&;<&Gi\jj\&Gi\jj\d`kk\`cle^\e&
Gi\jj\)'(*&Bi`kVJZ_nXZ_jk\cc\V
AXmX$.$('V(('()'(*%_kdcT
R*T < E@J8K_i\XkCXe[jZXg\1R_kkg1&&
nnn%\e`jX%\lifgX%\l&XZk`m`k`\j&
i`jb$dXeX^\d\ek&\mfcm`e^$k_i\Xk$
\em`ifed\ek&<E@J8VK_i\XkVCXe[jZXg\&
XkV[fnecfX[&]lccI\gfikT
R+T J gXdXl]DXcnXi\1R_kkg1&&nnn%
\c\m\e$j\Zli`kpYcf^%[\&)'()&('&[`\$qX_c$[
\j$dfeXkj$fbkfY\i$)'()T
R,T N\Yj\ej\)'()K_i\XkI\gfik1R_kkg1&&
nnn%n\Yj\ej\%Zfd&Zfek\ek&n\Yj\ej\$)'
()$k_i\Xk$i\gfik$[fnecfX[%XjgoT
R-T K _\Fg\eN\Y8ggc`ZXk`feJ\Zli`kpGif$
a\Zk1R_kkgj1&&nnn%fnXjg%fi^&`e[\o%g_g&
: Xk\^fip1FN8JGVKfgVK\eVGifa\ZkT
R.T 9 XZbkiXZb1R_kkg1&&nnn%YXZbkiXZb$c`elo%
fi^T
R/T BXc`C`elo1R_kkg1&&nnn%bXc`%fi^T
R0T : fddfe<ogcf`kB`kj1R_kkg1&&*%
Yg%Ycf^jgfk%Zfd&$lpDC>n.]'J@&
LB8Gnd@aZ+@&88888888=cn&Vk>[qO^]Pe@&
j(-''&(./'o()''V:fddfe<ogcf`k$
GXZbj)'()l(/%ag^T
R('T<ogcf`kGXZbKXYc\)'(*1R_kkgj1&&[fZj%
^ff^c\%Zfd&jgi\X[j_\\k&ZZZ6b \p4'8amjH
M*`JCX([<0<M>_a\L_mHKEI\bf*Z)o_Kdg_
CL<^ `[4'T
R((T :M<1R_kkg1&&Zm\%d`ki\%fi^T
R()T9J@$DXeX_d\ebXkXcf^1R_kkgj1&&nnn%
Yj`%Yle[%[\&J_Xi\[;fZj&;fnecfX[j&
;<&9J@&GlYc`bXk`fe\e&Jkl[`\e&N\YJ\Z&
N\YJ\ZVg[]%g[]6VVYcfY4glYc`ZXk`fe=`c\T
R(*T=fik`]p1R_kkg1&&nnn%j\Zli\e\k%
[ \&n  \Y$Xggc`ZXk`fe$j\Zli`kp&
l ej\i\$c\`jkle^\e&
jfliZ\$Zf[\$XeXcpj\$Xlkf%_kdcT
R(+T@9DIXk`feXc8ggJZXe1R_kkg1&&nnn$'(%
`Yd%Zfd&jf]knXi\&[\&iXk`feXc&XggjZXeT
R(,TJb`g]`j_1R_kkg1&&Zf[\%^ff^c\%Zfd&g&
jb`g]`j_T
R(-TN_Xk`jJX]\9ifnj`e^6R_kkgj1&&
[\m\cfg\ij%^ff^c\%Zfd&jX]\$Yifnj`e^T
R(.T DXcnXi\;fdX`eC`jk1R_kkg1&&nnn%
dXcnXi\[fdX`ec`jk%Zfd&d[c%g_gT
R(/T@e`k`Xk`m\J1R_kkgj1&&nnn%`e`k`Xk`m\$j%[\T
R(0TDf[\j\Zlik`kp1R_kkg1&&nnn%df[j\Zli`kp%
fi^T
R)'TDfq`ccXGcl^`e$:_\Zb1R_kkgj1&&nnn%
R)(THlXcpj9ifnj\i$:_\Zb1R_kkgj1&&
Yifnj\iZ_\Zb%hlXcpj%ZfdT
R))T9lj`e\jj<[`k`fe1R_kkg1&&nnn%hlXcpj%Zfd&
]fidj&Yifnj\iZ_\Zb$Ylj`e\jj$\[`k`feT
R)*T=$J\Zli\1R_kkg1&&nnn%]$j\Zli\%
Zfd&[\&n\Y&Ylj`e\jjV[\&jl`k\j&
gifk\Zk`fe$j\im`Z\&fm\im`\nT
R)+TG ifk\Zk`feJ\im`Z\]fi9lj`e\jj#
NfibjkXk`fe1RJ\Zli`kp_kkg1&&[fnecfX[%
]$j\Zli\%Zfd&n\YZclY&jlggfik\[)'
Xggc`ZXk`fej%g[]T
R),T9 C8;<1R_kkg1&&nnn%YcX[\$[\]\e[\i%fi^&
\mXc$cXYT
R)-TJ`ii`o8>1R_kkg1&&nnn%j`ii`o%[\T
R).TJhl`[^lXi[1R_kkg1&&nnn%jhl`[^lXi[%fi^&
YcXZbc`jkj%_kdcT
R)/T9J@>ile[jZ_lkq1R_kkgj1&&nnn%Yj`%Yle[%
[\&:fek\ek9J@&^ile[jZ_lkq&bXkXcf^\&d&
d'+&d'+*-,%_kdcT
R)0TI\:f9j1R_kkgj1&&nnn%Yj`%Yle[%
[\&;  <&K _\d\e&:pY\i$J`Z_\i_\`k&
:fek\ekV:pY\i$J`Z_\i_\`k&K_\d\e:J&
J`Z_\i_\`kjmfi]:*8+cc\&8bk`m\@e_Xck\&
jZ_lkqdf\^c`Z_b\`k\e&i\ZfYj&
bliq`e]fidXk`fe%_kdcT
R*'TK `^_k>Xk\$Gif1R_kkg1&&nnn%d$gi`mXZp%[\&
gif[lbk\&k`^_k^Xk\$gifT
R*(Tj\Zli\M;1R_kkg1&&nnn%j\Zli\m[%[\T
R*)TO G&MJK\id`eXcJ\im\i1R_kkg1&&nnn%
k_`ejkl]]%[\&gif[lZkj&ogmj$j\im\iT
;\i8lkfi
K_fdXjQ\cc\i`jk@K$:fejlckXekle[Y\jZ_€]k`^k
j`Z_ j\`k •Y\i (, AX_i\e d`k @K$J`Z_\i_\`k le[
Fg\eJfliZ\%<i`jk8lkfi$&:f$8lkfi[\i9•Z_\i
ÙFg\eMGEbfdgXbkÈle[ÙD`e[dXgg`e^d`k=i\\$
d`e[È%@di`Z_k`^\eC\Y\e`jk\i>\jZ_€]kj]•_i\i
\`e\jd`kk\cjk€e[`jZ_\e@K$Jpjk\d_Xlj\jle[`jk
[fikXlZ_]•i[\e>\jZ_€]kjY\i\`Z_@K$J`Z_\i_\`k
m\iXeknfikc`Z_%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 Not to Miss at ISC: Top 10 Reasons to Attend ISC’13
NEW Industry track NEW Distinguished speakers series | @ A great networking event
Human Brain Project | The largest HPC exhibition in Europe | @ Unmatched access to thought leaders
TOP500 awarding @ Relevant and practical information
@ Source of inspiration for new ideas and new ventures
@ Sessions organized into new dynamic formats
@ The latest information on the TOP500 systems
Tutorials June 16, 2013 @ Your next customer could be here
@ Meet with the specialists who can help solve your problems
@ Full and half-day tutorials
@ Gain insight to help advance your career
@ Cover a broad range of HPC areas of interest
@ Leipzig is the better Berlin

Exhibition June 17 – 19, 2013 Conference June 17 – 20, 2013

@ With almost 170 exhibitors from research institutions and industries
representing supercomputing, storage and networking, ISC’13 will Conference Highlights
stand out as the largest HPC exhibition in Europe in 2013. @ State of the Art in Petascale Applications
@ Four-Day Research Track
@ Parallel Programming Models and Tools
@ Analysis of Big Data: Hard Problems for HPC
The 2013 Keynotes @ Petascale Computing in the Cloud?
@ HPC Centers Subject to Change
@ Future Challenges of Large-Scale Computing @ Challenges for HPC
Prof. Dr. Bill Dally, Willard R. and Inez Kerr Bell Professor, @ Panel: Long-Term Investments into Parallel Programming
Stanford University & Chief Scientist and SVP of Research, NVIDIA @ Publication of the 41st TOP500 list
@ Moore’s Law in the Year 2020 @ ISC Think Tank series on Big Data
Stephen S. Pawlowski, Senior Fellow, Chief Technology Officer for the @ HPC in Asia Session
Datacenter & Connected Systems Group (DCSG) & General Manager @ Analyst Crossfire
for the Architecture Group & DCSG Pathfinding, Intel
NEW The Industry Track June 18 – 19, 2013
@ HPC Achievement & Impact 2013
@ The goal of the Industry Track is to help commercial firms make informed
Prof. Dr. Thomas Sterling, Professor, School of Informatics & Computing
decisions about acquiring and managing HPC systems.
and Chief Scientist & Associate Director, CREST, Indiana University

@ Fooling the Masses with Performance Results: Contributed Sessions

Old Classics & Some New Ideas @ Research Papers & Posters
Prof. Dr. Gerhard Wellein, Head of High Performance @ Birds-of-a-Feather Sessions (BoFs)
Computing Group, Erlangen Regional Computing Center
Vendor Sessions

Platinum Sponsors Partner

Gold Sponsors For more details,

please visit:
www.isc13.org
Silver Sponsors
 B E F N$ ? F N D=K

;Xk\ed`k=KG$8ck\ieXk`m\D=Kj`Z_\im\ij\e[\e
ŸLci`Z_Dl\cc\i#()*I=

KiXejgfik^\j`Z_\ik
=KG#[Xj=`c\KiXej]\iGifkfZfc#]\`\ik`e[\iXbkl\ccm\in\e[\k\eM\ij`fe[`\j\jAX_ij\`e\e)/%>\YlikjkX^2[`\
Mfi^€e^\i$M\ij`fejkXddk\^XiXlj[\dAX_i(0.(%Kifkqj\`e\j8ck\ijc\`jk\k=KG`dd\iefZ_ki\l\;`\ejk\#
[fZ_]•i[`\|Y\ikiX^le^j\ej`Yc\i;Xk\e^`Yk\jc€e^jkY\jj\i\8ck\ieXk`m\e%IfY\ikBfi_\ii

Nicht zuletzt die Sicherheitsbedenken
mit Blick auf FTP brachten inzwischen
eine Reihe von Weiterentwicklungen her-
vor, die in den Protokollen Secure FTP,
Secure Copy Protocol (SCP), FTP over
SSL (FTPS) und SSH File Transport Pro-
tocol (SFTP) mündeten. Neu hinzuge-
kommen ist das 2008 fertiggestellte Ver-
fahren Managed File Transfer (MFT). Das
Besondere an ihm ist die Verschlüsselung
aller zu übertragenen Dateien nicht nur
während des Versands, sondern auch bei
der Speicherung auf dem Server oder auf
bereitgestellten Sharepoints.
Der folgende Beitrag diskutiert die An-
forderungen an einen sicheren Datenver-
sand und stellt die Technik hinter MFT
vor.
;`\8e]fi[\ile^\e
Der Schutz von sicherheitsrelevanten
Daten sollte für jeden Anwender hohe
Priorität haben, nicht zuletzt fordert das
auch das Bundesdatenschutzgesetz in
§ 9 (Technische und organisatorische
Maßnahmen) und § 42a (Informations-
pflicht bei unrechtmäßiger Kenntniser-
langung von Daten). Dazu kommen zu-
sätzliche Bestimmungen wie sogenannte
Non-Disclosure-Agreements (NDA) und
Regularien wie PCI oder ISO. Last, but
not least nötigen auch interne und ex-
terne Compliance-Vorgaben wie der Sar-
banes Oxley Act (SOX), PCI-DSS, ISO
27001 und Basel II zu technischen und
organisatorischen Maßnahmen. Letztlich
müssen alle Unternehmen gewährleisten,
dass sie ihre Daten in motion (beim Da-
teitransfer) verschlüsselt übertragen und
at rest (bei der (Zwischen-)Speicherung)
sicher ablegen.
Auch das Bundesamt für Sicherheit in
der Informationstechnik (BSI) empfiehlt
in seinem Übersichtspapier Online-
Speicher vom November 2012: „Werden
schützenswerte Daten über ungeschützte
Netze übertragen, muss über den Einsatz
zuverlässiger Verschlüsselungsverfahren
intensiv nachgedacht werden.“ Das BSI
erwähnt in dem Papier explizit auch eine
bestimmte Funktion, die häufig in Zu-
sammenhang mit MFT-Systemen angebo-
ten wird: Cloud-Speicher, die Anwender
zum File Sharing oder zur Kollaboration
nutzen. Privat verwendet man dafür
zumeist Google Tools oder kostenlose
Cloud Services wie Dropbox, Duplicati
und andere. Auch Unternehmen greifen
auf diese Möglichkeiten zurück, sollten
aber eigentlich sichere Services und Tech-
nologien bevorzugen.
NXjDXeX^\[=`c\KiXej]\i
`jkle[bXee
Die Kernfunktionalitäten von MFT umfas-
sen die sichere Übertragung und Speiche-
rung von Daten, gekoppelt mit Reporting
und Audit der Datenaktivitäten. Darüber
hinaus unterscheidet sich MFT von allen
anderen Arten von Infrastrukturen da-
durch, dass es auch die Übertragung von
sehr großen Dateien ermöglicht. Mit MFT
tauschen Unternehmen große Datenmen-
gen mit Geschäftspartnern über verschie-
dene Standorte, Regionen und Zeitzonen
hinweg sicher, nachweisbar und schnell
über öffentliche Netze aus.
Dabei sind alle MFT-Lösungen ähnlich
aufgebaut: Sie bestehen aus einem Ser-
ver, auf dem Dateien beliebiger Größe
bereitgestellt werden und einem System,
das Zugriffs- und Nutzungsrechte verwal-
tet. Der wesentliche Unterschied zu un-
sicheren Technologien ist, dass Dateien
auf dem Server verschlüsselt gespeichert
werden und so für Unberechtigte nicht
zugänglich sind. Bei MFT können nur
die zugriffsberechtigten Empfänger die

,- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


verschlüsselt bereitgestellten Dateien
herunterladen und entschlüsseln. Die
Daten werden bereits beim Versender
verschlüsselt und erst beim Empfänger
wieder entschlüsselt. Dadurch sind Daten
nicht nur auf dem Transportweg, sondern
etwa auch in einem Zwischenspeicher
sicher.
Als Verschlüsselungsstärke des MFT-
Systems sollte man den sicheren 256-Bit-
AES-Standard wählen. Einige Lösungen
bieten als zusätzliche Sicherheitsoption
eine Datensegmentierung an, was bedeu-
tet, dass die Dateien vor dem Versand in
kleine Segmente aufgeteilt, in zufälliger
Reihenfolge versandt und erst beim Emp-
fänger wieder richtig zusammengesetzt
werden.
Managed heißt der File Transfer unter
anderem deshalb, weil der Download
von Dateien dem Versender meist ent-
weder proaktiv über Benachrichtigungen
per E-Mail mitgeteilt wird oder passiv in
einer persönlichen Übersicht überprüft







werden kann. Diese Funktion dient bei
vielen Lösungen als Nachweis über die
erfolgreiche Zustellung von Daten an den
Empfänger. Eine Protokollierung sorgt
für zusätzliche Sicherheit, da durch eine
Logfile-Analyse eine fehlerhafte Übertra-
gung oder ein nicht abgeholter Download
erkannt und der Versender entsprechend
informiert werden kann.
Häufig lässt sich auch noch die Gültigkeit
von Dateien beschränken. Dann ist eine
Datei nur bis zu einem gewissen Datum
herunterladbar oder es ist nur eine ge-
wisse Anzahl von Downloads möglich.
Solche Management-Funktionen stellen
im Vergleich zu FTP & Co. einen Mehr-
wert dar und erlauben einen belastbaren
Zustellungsnachweis.
<$DX`c$@ek\^iXk`fe
Bei MFT-Lösungen, die auf E-Mail ba-
sieren, unterliegen die zu versendenden
Dokumente nicht den meist eingestellten
D=K B E F N$ ? F N
Größenbeschränkungen. Das funktioniert
folgendermaßen: Werden große oder sen-
sible Informationen in Form von Anhän-
gen durch den Anwender versandt, dann
wird der Text der E-Mail und das Attache-
ment voneinander entkoppelt. Auf das
Attachement verweist dann nur ein Link
in der E-Mail, physikalisch bleibt es meist
lokal auf einem MFT-Laufwerk oder Ser-
ver verschlüsselt gespeichert. Der Emp-
fänger, der die E-Mail erhält, kann durch
Anklicken des Links die verschlüsselte
Datei vom MFT-Server des Versenders
herunterladen. Es ist auch möglich für
Dateien, die einer hohen Schutzklasse
unterliegen, noch eine Authentifizie-
rung vorzuschalten. Der Empfänger
meldet sich dann an einem MFT-Portal
mit seinen Login-Daten an und kann die
Datei erst nach der Verifizierung seiner
Zugriffsberechtigung herunterladen. Im
Normalfall bekommt der Versender eine
Nachricht über den erfolgreichen Down-
load des Anhangs. 
 
"


 " !"


$!
#!

#!

QR-Code scannen und

direkt online bestellen!
www.apps-und-tipps.de
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ,.
 B E F N$ ? F N D=K
von Technologien
Cf^^`e^ :fe]`^=`c\
KiXej]\i?`jkfip cf^+a zur Übertragung
Efk`]`ZXk`fej
von Dateien aus-
wählen, darunter
=KG =KG
j=KG j=KG WebDAV, UNC und
=KGJ =KGJ
N\Y;8M N\Y;8M ZIP.
A8;<
_kkg _kkg
=`c\jpjk\d =`c\jpjk\d
Andere in das
:C@
LE:
8G@
LE: E-Mail-System in-
Q@G Q@G
A@KC
I\Z\`m\ J\e[ tegrierte Lösun-
@D8G @D8G
GFG* GFG* gen erweitern das
ADJ ADJ E-Mail-User-Front-
end mit entspre-
CfZXc=`c\Jpjk\d&LE: chenden Buttons.
Hier muss der User
8YY`c[le^(1JZ_\dXk`jZ_\i8l]YXl[\iFg\e$JfliZ\$Cjle^]•iD=KA8;<% entscheiden, ob er
die Anhänge als
Eine in Exchange integrierte Lösung birgt schützenswert einstuft und dann vor dem
den Vorteil, auf eine regelbasierte Klas- Versand die entsprechende Funktion akti-
sifizierung setzen zu können. Hier ent- viert. Vergisst er diese Funktion, werden
scheiden die eingestellten Policies vor der die Anlagen unverschlüsselt versandt.
Übertragung, ob eine bestimmte Datei als Diese Lösung ist aus Sicht des Daten-
sicherheitsbedürftig eingestuft wird oder schutzes bedenklich und im Zweifels-
nicht. Mögliche Regeln richten sich bei- fall haftet das Unternehmen, wenn der
spielsweise nach der Absenderadresse, Anwender trotz Arbeitsanweisung den
der Empfängeradresse, dem Dateityp des Anhang nicht oder falsch klassifiziert hat
Anhangs, der Größe des Anhangs oder und damit sensible Daten in die falschen
dem ursprünglichen Speicherort des An- Hände gelangen.
hangs. So können beispielsweise auch in- Wenn Unternehmen und Anwender bis-
terne Mails anders behandelt werden als lang zumeist FTP zur Übertragung von
externe. Für den Empfang von Dateien Dateien genutzt haben, dann kann eine
fremder Unternehmen, stellen einige MFT-Lösung als eigenständige Applika-
MFT-Lösungen auch Widgets zur Verfü- tion durchaus sinnvoll sein. Diese MFT-
gung. Mit ihnen ist ein Dateiaustausch Systeme arbeiten häufig ähnlich wie
über interne MFT-Server möglich. E-Mail-Applikationen und versuchen de-
ren Usability zu kopieren. Dabei wird ein
9\`jg`\c\ lokaler Client oder eine Web-Applikation
genutzt, um Dateien zu versenden. Der
Die Software Policy Patrol MFT beispiels- Versender muss sich authentifizieren
weise integriert sich komplett in alle und kann dann dem Empfänger eine ver-
bekannten E-Mail-Systeme und klassifi- schlüsselte Nachricht im Stil einer E-Mail
ziert die Anlagen in ausgehenden Mails inklusive Anhang senden. Ist das MFT-
anhand der eingestellten Policies. Eine System Teil der täglichen Arbeit, dann
weitere Lösung, die MFT erfolgreich als spricht der Aufwand zum Beispiel für
Übertragungstechnologie einsetzt, ist die doppelte Verwaltung von Empfängern
ShieldShare des schwedischen Herstellers eher für ein integriertes MFT-System.
Blockmaster. Neben den kostenpflichti-
gen soll hier auch eine Open-Source- BfccXYfiXk`fele[=`c\
Lösung erwähnt werden, die MFT als
J_Xi`e^d`kD=K
Übertragungstechnologie einsetzt. JADE
(JobScheduler Advanced Data Exchange, Die MFT-Technologie geht bei einigen der
Nachfolger von SOSFTP) von SOS wurde angebotenen Lösungen über den sicheren
von Entwicklern aus Deutschland (SOS Datentransfer hinaus. Sie vereinheitlicht
GmbH), Frankreich (SOS Paris) und der dann häufig ansonsten parallel existie-
Schweiz (SOS AG) entwickelt und bietet rende Insellösungen wie File Sharing,
Privat-Usern eine sichere Alternative zu E-Collaboration, Online-Speicher und si-
Dropbox & Co. Mit JADE (8YY`c[le^() chere Datenräume. Eine Gesamtlösung,
kann der Anwender eine ganze Reihe die alle MFT-Bausteine anbietet, ist nicht
,/ 8L J >8 9 < '* $)' ( * 8;D@E
in jedem Fall sinnvoll und auch nicht von
jedem Administrator erwünscht. Deshalb
bieten auf dem Markt erhältliche Lösun-
gen zumeist auch nur Teile davon an.
Für Unternehmen entscheidend ist oft die
Usability. Ist die MFT nicht ergonomisch
in Standardapplikationen integriert, dann
führt der zusätzliche Aufwand häufig
dazu, dass Anwender die Software um-
gehen oder einfach nicht nutzen.
Sicheres File Sharing und sichere Daten-
räume als MFT-Zusatzfunktionen sind
Online-Speicher, die sich von den kosten-
losen Diensten wie Dropbox deutlich un-
terscheiden, da dort alle Daten verschlüs-
selt abgelegt sind. Da diese Dienste durch
das Unternehmen selbst gehostet wer-
den, bieten sie die Möglichkeit, Dateien
in einer privaten Cloud zu speichern.
Sie bestehen ebenfalls aus einem System
zur Datenverschlüsselung und einer Zu-
griffs- und Rechteverwaltung. Werden die
Daten der Teilnehmer lokal in einem Con-
tainer gespeichert, ist die Bearbeitung
auch ohne Internetverbindung möglich.
Besteht später wieder eine Verbindung,
werden die Daten dann synchronisiert
und gegebenenfalls auch entsprechend
versioniert.
=Xq`k
Letztlich lassen sich mit MFT große
Datenmengen sicher, also verschlüsselt
über unsichere öffentliche Verbindungen
austauschen. Zusätzliche Management-
Funktionen ermöglichen ein umfassendes
Reporting und Auditing und damit zum
Beispiel einen Nachweis einer erfolgrei-
chen Zustellung. Damit Compliance-An-
forderungen von nationalen und interna-
tionalen Gesetzen und Zertifizierungen
erfüllt werden, darf man das System nicht
umgehen oder manipulieren können. So
lässt sich verhindern, dass die Funktion
vergessen wird. Die Klassifizierung von
zu versendenden Dateien soll nicht dem
Anwender überlassen bleiben, sondern
automatisch durch Policies erledigt wer-
den. Hohe Usability und Integration in
vorhandene Workflows oder Standard-
Applikationen wie E-Mail-Systeme er-
höhen die Akzeptanz. File Sharing,
E-Collaboration und sichere Datenräume
nutzen die Grundfunktionen von MFT,
müssen aber für die Anwendung jeweils
entsprechend optimiert werden. (jcb) ■
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 Fixkosten 0,0 Ct

Festnetz ab 1,0 Ct
brutto pro Min.*

Features Freie Caller ID

EVN als CSV und mehr ...

Support Persönlicher Service

durch eigene Support - Rufnummer

Die Anbindung für Ihre SIP - Telefonanlage:

connectBasic – Der SIP - Telefonanschluss.

Die Anbindung für Ihre Telefon - Systeme
Nutzen Sie den SIP - Trunk connectBasic zur An-
bindung Ihrer SIP - fähigen Telefonanlage oder
Ihrer eigenen Telefonieserver, wie z.B. Asterisk.
Als Ergänzung oder Komplettlösung
Ohne Fixkosten – Keine Vertragslaufzeit
connectBasic hat keine Setup - Kosten, Grundge-
bühren oder Mindestumsätze.
100 Minuten Gratis - Test
* Stand 16.04.2013

connectBasic ist die ideale Möglichkeit, Ihre Lei- Überzeugen Sie sich von unserer Sprachqualität
tungen für ausgehende Gespräche zu erweitern und sichern Sie sich 100 Freiminuten ins deut-
oder bestehende, teure Leitungen zu ersetzen. sche Festnetz: www.outbox.de

Infos und Beratung: 0800 /688 269 24 www.outbox.de

 B E F N$ ? F N I\[?Xk:cfl[
I\[?Xkj:cfl[$le[M`iklXc`j`\ile^jgfik]fc`f`e[\i|Y\ij`Z_k
Nfcb\eble[\
Ÿ9i`Xe>l\jk#()*I=%Zfd
I\[?Xk_Xk`dCXl]\[\jAX_i\j)'()j\`e:cfl[$Gfik]fc`fdXjj`m\in\`$
k\ik%;`\j\Gif[lbk•Y\ij`Z_k_`c]k#I\[?XkjGif[lbk\`dBfek\okmfeMD$
nXi\:fqlY\n\ik\e%K_fdXj;i`cc`e^
Nachdem im Jahr 2011 in der IT passend
zum damaligen CeBIT-Motto „Die Wolke“
insbesondere für Cloud-Anbieter der
Startschuss für neue Geschäftsmodelle
fiel, schossen 2012 vor allem neue Cloud-
Produkte wie Pilze aus dem Boden. In
diesem Jahr könnte die Verwendung von
Cloud-Technologien auch für gewöhnli-
che Anwender normal werden. An der
inflationären Verwendung des Cloud-Be-
griffs hat sich zwar nicht viel geändert,
Entscheider sollten heute aber in der Lage
sein, zwischen den verschiedenen SaaS-,
PaaS- und IaaS-Angeboten, Online-Spei-
chern, Software-Produkten zum gezielten
Aufbau eigener Hybrid-Clouds, Virtuali-
sierungs-Management-Lösungen und in
modernen Betriebssystemen enthaltenen
Cloud-/Virtualisierungs-Funktionen zu
unterscheiden. Wer hier durchblickt,
kann eine individuelle Strategie zum
Aufbau eines eigenen Cloud-Angebots
entwickeln und die einschlägigen Ange-
bote bewerten.
Fasst man als Befürworter freier Software
und offener Standards Red Hat als Cloud-
Partner ins Auge, stellen sich angesichts
eines scheinbar recht unübersichtlichen
Produktportfolios R(T im Cloud-Segment
R)T Zweifel ein, ob das derzeitige Ange-
bot der Amerikaner einer erkennbaren
-' 8L J >8 9 < '* $)' ( * 8;D@E
Produktphilosophie unterliegt. Wer ge-
nau hinschaut, erkennt dann aber doch,
das Red Hats Cloud-Strategie einer über-
geordneten Vision folgt. Red Hat könnte
sich im Laufe des Jahres zum ersten An-
bieter entwickeln, der eine offene, hy-
bride und herstellerunabhängige Cloud-
Lösung realisiert, die ausschließlich auf
freier Software basiert und neben den
eigenen auch Produkte von VMware &
Co unter einer gemeinsamen Oberfläche
verwaltet.
I\[?XkjXbkl\cc\
Gif[lbkgXc\kk\
Wer Red Hats Produktpolitik rund um
die Geschäftsbereiche Enterprise Linux,
Enterprise Virtualization, JBoss Middle-
ware und Cloud Computing beobachtet
hat, dem dürfte aufgefallen sein, dass
der Bereich Cloud Computing im beson-
deren Fokus von Red Hats Engagement
im vergangenen Jahr stand. So hat der
Open-Source-Spezialist auf dem Red Hat
Summit R*T im Juni letzten Jahres gleich
mehrere neue Lösungen vorgestellt. Die
sind größtenteils seit Ende des Jahres
2012 offiziell verfügbar, sodass sich jetzt
ein klareres Bild von Red Hats Gesamtstra-
tegie im Cloud-Segment abzeichnet.
Die offiziell verfügbaren Cloud-Kreatio-
nen Red Hat Hybrid Infrastructure-as-a-
Service (IaaS) R+T, Red Hat Cloud mit
Virtualization Bundle R,T und Open IaaS
Architecture Service R-T sollen Unter-
nehmen beim Aufbau eigener privater
und/oder öffentlicher (hybrider) Clouds
unterstützen. Bereits seit November 2012
ist zudem Red Hats PaaS-Plattform Open-
Shift in einer Enterprise-Edition als kom-
merzielles Produkt erhältlich. OpenShift
Enterprise ermöglicht zum Beispiel RZ-
Betreibern, Red Hats PaaS-Dienst in ihre
eigene Infrastruktur einzubauen.
Die kurz vor Jahresende 2012 verkündete
Übernahme des US-Cloud-Spezialisten
Managed IQ komplettiert das Puzzle. Den
Nutzen der neuen IaaS-Kreationen zum
Aufbau eigener privater und öffentlicher
Clouds vermag allerdings nur zu beurtei-
len, wer die involvierten Basis-Produkte
und Komponenten kennt und funktional
in Red Hats Cloud Stack 8YY`c[le^ ()
einzuordnen weiß; denn CloudForms 1.1,
Deltacloud 1.0, Storage Server 2.0, JBoss
Middleware und Enterprise Virtualization
3.1 bilden das Fundament für die neuen
Produkte.
:cfl[d`kM`iklXc`qXk`fe
9le[c\
An oberster Stelle in Red Hats Cluster-
Stack finden sich die seit Ende Dezember
erhältlichen neuen Produkte, die ihrer-
seits Bundles existierender Technologien
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

8YY`c[le^(1I\[?Xkj:cfl[$8iZ_`k\bklij`\_kmfi#d`k?`c]\mfeI\[?Xkj;\ckXZcfl[$8G@e\Y\e[\e\`^\e\e
:cfl[$K\Z_efcf^`\eI?<M$Dle[Fg\eJkXZbXlZ_[`\a\e`^\eXe[\i\i?\ijk\cc\iXeqlY`e[\e%
sind, allen voran die Cloud-Management-
Suite CloudForms und Red Hat Enterprise
Virtualization sowie IaaS-Ressourcen und
Dienstleistungen.
Ein erster Blick gilt dem Programmgerüst,
bevor Funktionen und Prozeduren mit zu-
nehmender Komplexität sichtbar werden.
Red Hat Cloud mit Virtualization Bundle
ist ein Paket aus RHEV-Version 3.1 und
CloudForms 1.1, das Unternehmen den
Einstieg ins Cloud Computing dadurch
erleichtern soll, dass es die Virtualisie-
rungsstrategie gleich mit konsolidiert.
Unternehmen, die den Schritt zur Virtu-
alisierung ihrer Serverlandschaft bisher
noch nicht vollzogen haben, können die-
sen nach Red Hats Vorstellungen durch
den Einsatz des Virtualization Bundle
mit dem Aufbau einer Unternehmens-
Cloud kombinieren und durch das Zu-
sammenfassen zweier Projekte in einem
Zyklus die TCO senken – so die Idee.
Das Produkt-Bundle enthält sämtliche
Komponenten, die zum Aufbau und für
das Orchestrieren von Cloud- und Vir-
tualisierungsplattformen notwendig sind
und umfasst das Management virtueller
Maschinen, das Systemmanagement und
das Application Lifecycle Management.
?pYi`[@e]iXjkilZkli\$Xj$X$
J\im`Z\@XXJ
Red Hat Hybrid Infrastructure-as-a-Ser-
vice (8YY`c[le^ *) ist, wie der Name
unschwer erkennen lässt, ein klassisches
IaaS-Produkt, das Unternehmen helfen
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
I\[?Xk:cfl[ B E F N$ ? F N
8YY`c[le^)1I\[?Xk?pYi`[@e]iXjkilZkli\$Xj$
X$J\im`Z\jZ_c`\kXlZ_[Xj<`eY`e[\emfe:cfl[$
I\jjfliZ\e\`e\jI\[?Xk:\ik`]`\[GlYc`Z:cfl[
soll, die dem Aufbau hybrider Cloud- Gifm`[\ijeXZ_9\[Xi]d`k\`e%
Umgebungen eigentlich innewohnende
Komplexität zu reduzieren. Die Lösung nommen hat. Bereits im Mai desselben
packt die dazu fundamentalen Kompo- Jahres kündigte Red Hat an, OpenShift
nenten RHEV, das CloudForms-Famework unter einer Open-Source-Lizenz (Apache-
und RHEL als Gastbetriebssystem in ein Lizenz) zu stellen. Sämtliche OpenShift-
Paket, welches außerdem die Möglich- Komponenten rund um die Origin Server
keit einschließt, on-demand zusätzliche getaufte Community-Version sind seit
Cloud-Ressourcen von einem Red Hat Mai 2012 unter Github R0T verfügbar.
Certified Public Cloud Provider R.T ein- Laut Red Hat soll OpenShift den Markt
zubinden. für Platform-as-a-Service (PaaS) völlig
umkrempeln. OpenShift stellt Software-
Fg\eJ_`]kFi`^`e& Entwicklern zahlreiche Sprachen, Frame-
<ek\igi`j\ works und SQL- sowie NoSQL-Daten-
banken zur Verfügung und ermöglicht es
OpenShift R/T ist Red Hats seit Mai 2012 ihnen sogar, den Red Hat Certified Cloud
unter einer Community-Lizenz verfüg- Provider, bei dem ihre Anwendungen an-
bare Cloud-Anwendungsplattform. Der schließend laufen sollen, frei wählen zu
Platform-as-a-Service-Dienst (PaaS) stellt können (8YY`c[le^)). 
Entwicklern Deve-
lopement-Tools in
der Cloud zur Ver-
fügung, sodass sie
keine eigenen Um-
gebungen für ihre
Software-Projekte
aufzusetzen müs-
sen.
Die eigentliche
OpenShift-Platt-
form basiert auf
Technologien der
Firma Makara, ei-
nem Anbieter von
Cloud-Services, 8YY`c[le^*1I\[?Xk?pYi`[@e]iXjkilZkli\$Xj$X$J\im`Z\Y\[`\ekj`Z_
den Red Hat im m\ijZ_`\[\e\e@e]iXjkilbklibfdgfe\ek\e#K\Z_efcf^`\ele[Gif[lbk\eXlj[\d
Jahr 2011 über- I\[$?Xk$9XlbXjk\e%
8;D@E 8L J >8 9 < '* $)' ( * -(
 B E F N$ ? F N I\[?Xk:cfl[
Mit Beendigung der offiziellen Beta-Phase
im November letzten Jahres ist Open-
Shift (8YY`c[le^+) nun wie bei Red Hat
üblich auch als kommerzielles Produkt
unter der Bezeichnung OpenShift Enter-
prise R('T erhältlich und komplettiert Red
Hats Cloud-Portfolio im PaaS-Sektor. Mit
OpenShift Enterprise können Betreiber
von Rechenzentren die OpenShift-PaaS-
Dienste relativ einfach in ihre eigene In-
frastruktur integrieren und ihren Kunden
Entwicklungsinstanzen zuweisen.
OpenShift und OpenShift Enterprise
setzen auf zahlreiche Red-Hat-Techno-
logien auf, neben RHEL vor allem der
JBoss Enterprise Application Plattform
R((T. Im Unterschied zur Open-Source-
Version OpenShift Origin stellt OpenShift
Enterprise neben der reinen Webkonsole
R()T auch Zugang über Entwickler-IDEs,
REST-API und Kommandozeilen-Werk-
zeuge zur Verfügung.
OpenShift unterstützt derzeit die Pro-
grammiersprachen Java EE, PHP, Python,
Ruby und Perl. Ferner stellt OpenShift
Frameworks für verschiedene Program-
miersprachen zur Verfügung, die das Ent-
wickeln von Software beschleunigen, da-
runter Java EE, Spring, Seam, Rails, Rack,
Symfony, Zend, Django und Twisted. Zur
Datenspeicherung unterstützt OpenShift
alle wichtigen Datenbank-Management-
Systeme, darunter MySQL, SQLite und
MongoDB. Seit der Verfügbarkeit der Ver-
sion 7 des quelloffenen JBoss-Anwen-
dungsservers, der wiederum Basis der
JBoss Enterprise Application Platform 6
ist, unterstützt OpenShift auch Java EE 6,
wodurch OpenShift laut Red Hat besser
skalierbar und verwaltbar wird.
:cfl[=fidj(%(Xcj
DXeX^\d\ek$GcXkk]fid
CloudForms R(*T ist Red Hats offene, hy-
bride Cloud- und System-Management-
Plattform und damit das Kernstück aller
bisher vorgestellten Cloud-Lösungen mit
Ausnahme von OpenShift (8YY`c[le^,).
Die aktuelle Version 1.1 wurde ebenfalls
auf dem Red Hat Summit 2012 vorgestellt
und soll künftig auch Red Hats Network
Satellite R(+T ersetzen.
Unternehmen können mit CloudForms
eigene hybride Clouds erstellen, die sich
auf die gesamte Infrastruktur des Un-
ternehmens ausdehnen und dabei auf
-) 8L J >8 9 < '* $)' ( * 8;D@E
8YY`c[le^+1Fg\eJ_`]k<ek\igi`j\\id^c`Z_k\j\knXIQ$9\ki\`Y\ie#\`e\`^\e\jGXXJ$8e^\YfkXl]9Xj`j[\i
Fg\eJ_`]k$GcXkk]fidXl]qlj\kq\e%
verschiedene Infrastruktur-Bausteine für
private und öffentliche Clouds zurück-
greifen, die ihrerseits unterschiedliche
Virtualisierungstechnologien nutzen.
Ferner können Unternehmen mit Cloud-
Forms derartige Cloud-Mixes nicht nur
aufbauen, sondern auch verwalten und
zwar ohne dass sich das Unternehmen
an einen bestimmten Cloud-Anbieter bin-
den muss. In der technischen Produkt-
beschreibung der CloudForms-Version
1.0 R(,T findet sich ein hervorragender
Überblick der in Red Hats Cloud-Stack
vorgesehenen Komponenten. Demnach
sind für den Aufbau homogener Red-
Hat-Clouds neben CloudForms auch der
als Appliance konzipierte Storage Server
R(-T, die erwähnte JBoss Middleware,
Red Hat Enterprise Linux (RHEL) R(.T
und an der Basis Red Hat Enterprise Vir-
tualization (RHEV) R(/T elementar. Red
Hat strebt jedoch an, die Technik der
Clouds nicht ausschließlich auf die durch
RHEV zur Verfügung gestellte Technolo-
gien zu beschränken.
Fg\eJkXZb`ebclj`m\
Bekanntlich enthält Enterprise Linux auch
die quelloffene Cloud-Lösung Eucalytpus
R(0T; RHEL 7 wird zudem Open Stack 2.0
(Folsom) R)'T mitbringen. Offensichtlich
misst Red Hat OpenStack, wie der Beitritt
zur OpenStack-Foundation signalisiert,
ebenfalls eine große Bedeutung bei. Auf
dem Summit 2012 hat Red Hat übrigens
seine mit dem quelloffenen (und im Ge-
gensatz zu Eucalyptus und OpenNebula
auch herstellerunabhängigen) OpenStack
in Verbindung stehende Strategie umfas-
send erläutert R)(T.
Ein weiteres wichtiges Puzzleteil im Zu-
sammenhang mit Red Hats Vision her-
stellerunabhängiger, hybrider Clouds ist
die von Red Hat bereits im Jahr 2009 ins
Leben gerufene und im Jahr 2011 eben-
falls der Apache Software Foundation
übergebene Deltacloud-API R))T. Sie
wurde mit der Zielsetzung entwickelt,
die von den zahlreichen, unabhängigen
Cloud-Providern eingesetzten Virtuali-
sierungstechnologien, Storage Formate
und Protokolle so zu abstrahieren, dass
sich zum Beispiel mit CloudForms auch
herstellerunabhängige Clouds aufbauen
lassen. Seit August letzten Jahres ist Del-
tacloud in einer stabilen Version 1.0 ver-
fügbar und unterstützt eine beachtliche
Zahl an Cloud-Anbietern und Cloud-In-
frastruktur-Lösungen. Außer den eige-
nen Technologien RHEV-M und Open-
Stack gehören dazu auch Amazon
EC2, IBM SBC, VMware vSphere, Rack-
space, sowie die beiden anderen Open-
Source-Cloud-Stacks Eucalytpus und
OpenNebula.
I\[?Xk<ek\igi`j\
M`iklXc`qXk`fe*%(
Basis aller Cloud- und Virtualisierungs-
technologien von Red Hat ist die eben-
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

8YY`c[le^,1D`k:cfl[=fidj^\c`e^k[\i8l]YXlle[[XjM\inXck\e_pYi`[\i:cfl[$D`o\jXlj@e]iXjkilbkli$
9Xljk\`e\e%B•e]k`^jfcc:cfl[=fidjXlZ_I?E\ij\kq\ele[q\ekiXc\M\inXckle^jXl]^XY\emfdJf]knXi\$
DXeX^\d\ek•Y\i[XjJpjk\d$DXeX^\d\ekY`jqldI\gfik`e^nX_ie\_d\e%
falls seit Dezember 2012 in einer aktu-
alisierten Version 3.1 verfügbare Virtu-
alisierungsplattform Red Hat Enterprise
Virtualization (RHEV) R)*T für Server
R)+T und Desktops R),T. Dieser Beitrag
beschränkt sich auf die Neuerungen, die
RHEV 3.1 auf einen Level mit den Enter-
prise-Virtualisierern von VMware, Citrix
und Microsoft heben, denen RHEV 3.1
technologisch mit der Unterstützung von
bis zu 160 CPUs in virtuellen Maschinen
und bis zu 2 TByte Speicher sogar über-
legen ist.
Red Hats Enterprise Virtualization war
bekanntlich zu großen Teilen im Jahr
2008 aus der Akquisition des israelischen
Software-Herstellers Qumranet hervorge-
gangen, ebenso wie der seit Linux 2.6.20
offiziell im Kernel verankerte KVM-Hy-
pervisor sowie große Teile der in RHEV
verbauten Komponenten, inklusive der
auf dem Ovirt-Framework und dem
Spice-Protokoll basierenden Desktop-Vir-
tualisierung. Mit dem mittlerweile in ein
Community-Projekt überführten Ovirt-
Framework (8YY`c[le^-) lässt sich ein
leistungsfähiges Datacenter-Management
aus Linux-Hosts unter RHEL oder Fedora
aufbauen. Die konzeptionelle Vergleich-
barkeit mit VMware & Co gelingt Red
Hat aber erst mit RHEV 3.1, weil die Red-
Hat-Entwickler über die Jahre proprietäre
Code-Bestandteile (C#) erst durch Open-
Source-Code ersetzen mussten.
Eine typische RHEV-Umgebung besteht
aus einem (oder mehreren) Hypervisor-
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
I\[?Xk:cfl[
Hosts (RHEV-H) und dem Management-
System (RHEV-M), das nun endlich eine
reine Java-Anwendung ist. Eine un-
schöne Folge des Deals aus 2008 bestand
nämlich bis RHEV 3.0 darin, dass das
Management-System (Administrations-
konsole) zum Verwalten der Wirtssys-
teme nur auf Windows-Hosts lief, weil
es zwingend IE7, Dot-Net und ein Active
Directory voraussetzte. Wie die Adminis-
trationskonsole aussieht, lässt sich auch
ohne RHEV-Subscription einigermaßen
nachvollziehen, indem man einfach
das Ovirt-Framework unter Fedora in
stalliert.
RHEV 3.1 bringt weitere Verbesserungen
mit, etwa bei den unterstützten Speicher-
technologien, der Benutzerverwaltung,
der Skalierbarkeit und bei der Funk-
tionalität virtueller Desktops. Der KVM-
Hypervisor unterstützt in RHEV neueste
x86-Prozessoren.
Ferner supportet
RHEV 3.1 als Tech-
nologie-Preview
die Live-Migration
von Speicher. So
lassen sich virtu-
elle Festplatten
der VMs zwischen
verschiedenen
Speichersystemen
(SAN, iSCSI, NFS)
migrieren, ohne
die Maschine an-
zuhalten. 8YY`c[le^-1;XjFm`ik$=iXd\nfibXcjDXeX^\d\ek$N\ibq\l^%
8;D@E
B E F N$ ? F N
Red Hat Enterprise Virtualization 3.1 lässt
sich darüber hinaus mit der seit Juni 2012
verfügbaren Version 2.0 des auf Glus-
terFS R)-T aufsetzenden Red Hat Storage
Servers kombinieren. RHEV kann dann
den vom Storage Server zur Verfügung
gestellten Speicherplatz nutzen.
=Xq`k
Red Hats Unternehmensphilosophie,
selbst entwickelte oder durch strategische
Übernahmen erworbene Technologien
nach Abschluss der Testphase oder dem
Beseitigen von proprietären Bestandteilen
in Open-Source-Projekte zu überführen,
ist durchgängig zu beobachten und hat
Methode. Mit KVM, JBoss, Ovirt, Delta-
cloud, OpenShift seien nur einige popu-
läre Beispiele genannt. Viele der Techno-
logien sind aus strategischen Übernah-
men hervorgegangen, was zeigt, dass Red
Hat tief im Open-Source-Gedankengut
verwurzelt ist und die Idee von Open
Source mit den Anforderungen eines
wirtschaftlich agierenden Unternehmens
verbindet. Red Hat ist schließlich auch
wirtschaftlich der bedeutendste Open-
Source-Hersteller und einer der wenigen,
die stetig Gewinne erwirtschaften.
Das Übergeben von durch Red Hat wei-
terentwickelten Technologien an Open-
Source-Stiftungen zahlt sich für das
Unternehmen mehrfach aus. Zum einen
ermöglichen Community-Entwickler ei-
nen stetigen Know-How-Transfer, der
letztendlich allen zugute kommt und die
Produkte besser und bekannter macht.
Ferner ermöglichen Community-Projekte
einen herstellerübergreifenden Austausch
über Protokolle und Schnittstellen, was
Red-Hat-Produkte oft schneller in die
8L J >8 9 < '* $)' ( * -*
B E F N$ ? F N I\[?Xk:cfl[
8YY`c[le^.1I\[?XkjJkfiX^\J\im\ic`\^kjfnf_c]•i[\eMfi$Fik$<`ejXkqXcjXlZ_]•i[`\M\in\e[le^d`k
gi`mXk\ele[_pYi`[\e:cfl[jmfiÆ_`\iXcjjbXc`\iYXi\jE8J]•i8dXqfeN\YJ\im`Z\j%
Lage versetzt, sich als herstellerunab-
hängige Standards im Markt erfolgreich
zu etablieren.
Dieses Ziel verfolgen die Amerikaner
auch mit ihrer Cloud-Strategie hin zu ei-
ner offenen, hybriden und herstellerunab-
hängigen Cloud. Red Hats Cloud-Stratgie
hält somit, insbesondere im Zusammen-
hang mit vorkonfektionierten Lösungen
wie Red Hat Hybrid Infrastructure-as-a-
Service und Cloud with Virtualization
Bundle, Vergleiche mit kommerziellen
Lösungen wie etwa Microsoft System
Center oder VMware vCloud Suite durch-
aus stand.
Die neuen Produktkreationen enthalten
sämtliche Komponenten zum Aufbauen
und Verwalten von Clouds, von den ele-
mentaren Virtualisierungstechnologien
bis zu CloudForms, das nicht nur dem
Orchestrieren von Clouds dient, sondern
sich künftig zu einem zentralen System-
Management-Werkzeug entwickeln und
RHN Sattelite ablösen soll.
?\ijk\cc\i•Y\i^i\`]\e[\
JkXe[Xi[j
Bereits jetzt ist CloudForms die einzige
Management-Plattform für offene, hyb-
ride Clouds und hat dank Integration von
Deltacloud die besten Chancen, Red Hats
Open-Source-Cloud-Stack als Hersteller-
übergreifenden Standard zu etablieren,
der auch das Verwalten der Cloud-Lösun-
gen von Amazon, Microsoft und VMware
unter einer einheitlichen Oberfläche er-
-+ 8L J >8 9 < '* $)' ( *
laubt. Übrigens nennt Red Hat – obwohl
alle im Beitrag vorgestellten Produkte seit
Ende letzten Jahres offiziell verfügbar
sind – mit Ausnahme von RHEL und
RHEV – keine Preise und verweist auf das
Kontaktformular zur Sales-Abteilung. Der
Grund dürfte darin liegen, dass Cloud-
Computing im Einzelfall immer noch ein
hochgradig individuelles und projekt-
orientiertes Thema ist. Nichtsdestotrotz
versucht Red Hat, Produkt, Projektunter-
stützung, Beratung und Cloud-Ressour-
cen in Form des Open-IaaS-Architecture-
Service zu bündeln und das Vorgehen
so auch konzeptionell zu standardisieren
und damit für den Anwender kalkulierba-
rer zu machen. (jcb) ■ \ek\igi`j\$c`elo&T
@e]fj
R(T I\[?Xk:cfl[Gfik]fc`f1R_kkgj1&&[\%
i\[_Xk%Zfd&gif[lZkj&Zcfl[$Zfdglk`e^&
gfik]fc`f&T
R)T ;`\I\[?Xk:cfl[1R_kkg1&&[\%i\[_Xk%
Zfd&jfclk`fej&Zcfl[$Zfdglk`e^&
i\[$_Xk$Zcfl[&T
R*T I\[?XkJldd`k)'()1R_kkg1&&nnn%
i\[_Xk%Zfd&jldd`k&)'()&^Xcc\ip&T
R+T I\[?Xk@XXJ1R_kkg1&&[\%i\[_Xk%Zfd&
jfclk`fej&Zcfl[$Zfdglk`e^&`XXj&T
R,T I\[?Xk:cfl[M`iklXc`qXk`fe9le[c\1
R_kkg1&&[\%i\[_Xk%Zfd&jfclk`fej&
Zcfl[$Zfdglk`e^&Zcfl[$m`iklXc`qXk`feT
R-T I\[?XkFg\e@XXJ8iZ_`k\Zli\J\im`Z\1
R_kkg1&&[\%i\[_Xk%Zfd&i\jfliZ\c`YiXip&
[ XkXj_\\kj&i_$fg\e$`XXj$XiZ_`k\Zkli\$j\i
m`Z\T
8;D@E
R.T I  \[?Xk:\ik`]`\[:cfl[Gifm`[\i1
R_kkg1&&[\%i\[_Xk%Zfd&jfclk`fej&
Zcfl[$Zfdglk`e^&i\[$_Xk$Zcfl[&
]`e[$glYc`Z$Zcfl[%_kdcT
R/T Fg\eJ_`]k$GcXkk]fid1R_kkgj1&&fg\ej_`]k%
i\[_Xk%Zfd&Zfddle`kp&fg\e$jfliZ\T
R0T Fg\eJ_`]kXl]>`k_lY1
R_kkgj1&&^`k_lY%Zfd&fg\ej_`]kT
R('TFg\eJ_`]k<ek\igi`j\1R_kkg1&&nnn%i\[_Xk%
Zfd&XYflk&e\nj&gi\jj$XiZ_`m\&)'()&((&i\
[$_Xk$[\c`m\ij$`e[ljkipj$]`ijk$Zfdgi\_\ej
`m\$fg\e$fe$gi\d`j\$gcXk]fid$Xj$X$j\im`Z
\$f]]\i`e^$]fi$\ek\igi`j\jT
R((T A9fjj<ek\igi`j\D`[[c\nXi\1
R_kkg1&&[\%i\[_Xk%Zfd&gif[lZkj&
aYfjj\ek\igi`j\d`[[c\nXi\&
Xggc`ZXk`fe$gcXk]fid&T
R()TFg\eJ_`]kN\YZfejfc\1R_kkgj1&&fg\ej_`]k%
i\[_Xk%ZfdT
R(*T:cfl[=fidj1R_kkg1&&nnn%i\[_Xk%Zfd&
jfclk`fej&Zcfl[$Zfdglk`e^&i\[$_Xk$Zcfl[&
gi`mXk\$Zcfl[j$Zcfl[]fidj%_kdcT
R(+TI\[?XkE\knfibJXkk\c`k\1
R_kkg1&&nnn%i\[_Xk%Zfd&gif[lZkj&
\ek\igi`j\$c`elo&i_e$jXk\cc`k\&T
R(,T:cfl[=fidj(%'1R_kkg1&&[\%i\[_Xk%
Zfd&i_\Zd&i\jk$i_\Zd&aZi&
i\gfj`kfip&ZfccXYfiXk`fe&aZi1jpjk\d&
aZi1m\ij`feJkfiX^\&XX'X]+X-'X',)-'
((+]]X\'Z]Y)*Y\YZ&0&aZi1]ifq\eEf[\&
i_1i\jfliZ\=`c\T
R(-TI\[?XkJkfiX^\J\im\i1
R_kkg1&&[\%i\[_Xk%Zfd&gif[lZkj&
jkfiX^\$j\im\i&T
R(.T I\[?Xk<ek\igi`j\C`elo1
R_kkg1&&[\%i\[_Xk%Zfd&gif[lZkj&
R(/TI\[?XkM`iklXc`qXk`fe1R_kkg1&&[\%i\[_Xk%
Zfd&gif[lZkj&m`iklXc`qXk`fe&T
R(0T<lZXcpgklj`e=\[fiX(/1
R_kkgj1&&]\[fiXgifa\Zk%fi^&n`b`&=\Xkli\j&
<lZXcpgkljT
R)'TFg\eJkXZb`e=\[fiX(/1
R_kkg1&&]\[fiXgifa\Zk%fi^&n`b`&=\Xkli\j&
Fg\eJkXZbV=fcjfdT
R)(TM`[\fFg\eJkXZb$JkiXk\^`\1R_kkg1&&nnn%
fg\ejkXZb%fi^&jldd`k&jXe$[`\^f$)'()&
fg\ejkXZb$jldd`k$j\jj`fej&gi\j\ekXk`fe&
i\[$_Xk$j$Zcfl[$jkiXk\^pT
R))T;\ckXZcfl[1R_kkg1&&[\ckXZcfl[%XgXZ_\%fi^T
R)*TI\[?Xk<ek\igi`j\M`iklXc`qXk`fe1R_kkg1&&
[\%i\[_Xk%Zfd&gif[lZkj&m`iklXc`qXk`fe&T
R)+TI?<MJ\im\i1R_kkg1&&[\%i\[_Xk%Zfd&
gif[lZkj&m`iklXc`qXk`fe&j\im\i&T
R),TI?<M;\jbkfgj1R_kkg1&&[\%i\[_Xk%Zfd&
gif[lZkj&m`iklXc`qXk`fe&[\jbkfg&T
R)-T>cljk\i=J1R_kkg1&&nnn%^cljk\i%fi^&T
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 B E F N$ ? F N Fg\eMDJXl]M8O
ŸFc\?fl\e#()*I=
M8O$<dlcXk`fed`kFg\eMDJ
Q\`kdXjZ_`e\
<dlcXkfi\ekiXejgfik`\i\em\i^Xe^\e\:fdglk\iq\`k\e`e[`\>\^\enXik%
;Xjj[Xje`Z_kelid`k[\d:-+le[8kXi`]lebk`fe`\ik#q\`^k[`\Jf]knXi\
J@D?#[`\[XjFg\eMDJ$Jpjk\dXl]\`e\d\dlc`\ik\eM8O$:fdglk\in`\$
[\iqldC\Y\e\in\Zbk%Fc`m\i=ifdd\c
Die Computer von gestern üben auf viele
Leute von heute einen großen Reiz aus.
Und das nicht nur bei der Emulation von
Home-Computern und Spielekonsolen,
sondern insbesondere, wenn Rechner
wieder zum Leben erweckt werden, die
damals selbst für kleine Firmen uner-
schwinglich waren. Betrachtet man sich
ihre Leistungsdaten näher, reibt man sich
die Augen, denn selbst mancher Taschen-
rechner hat heute mehr zu bieten, von
Smartphones ganz zu schweigen.
Viele dieser Dinosaurier waren Meilen-
steine in der Entwicklung der Informa-
tionstechnologie und haben den Aufstieg
ganzer Firmen geprägt. Ein Beispiel da-
für sind die VAX-Maschinen der Digital
Equipment Corporation (DEC), die schon
mit der PDP-Reihe Computergeschichte
geschrieben hat. Bahnbrechend war aber
die VAX, die eine 32-Bit-Architektur mit
virtuellem Speicher einführte, die schon
bald zum Marktführer im Segment der
Business-Computer wurde.
-- 8L J >8 9 < '* $)' ( * 8;D@E
Passend zum neuen Computer veröffent-
lichte DEC ein neues Betriebssystem na-
mens VMS, das neben dem Support für
Benutzerterminals auch so fortschrittli-
che Features wie Clustering implemen-
tierte. VMS war auch für sein ausgefeiltes
Sicherheitskonzept bekannt, das etwa Ac-
cess Control Lists (ACLs) und Auditing-
Funktionen einschloss. Noch heute läuft
VMS als Betriebssystem auf manchem
Bank-Computer.
N`\[\iXl]\ijk\_le^
Neu erleben lässt sich all dies mit Hilfe
des Emulators SIMH, der nicht nur einen
VAX-Rechner nachbildet, sondern eine
ganze Reihe anderer Antiquitäten, darun-
ter die PDP-Reihe, den MITS Altair und
Rechner von Hewlett Packard oder Ho-
neywell. Geschrieben hat das Programm
der DEC-Veteran Bob Supnik, der heute
bei Unisys arbeitet. Die Anregung dazu
kam von seinem Kollegen Larry Stewart,
der darauf hinwies, dass die Computer-
geschichte zur Auslöschung verdammt
sei, wenn nicht jemand etwas dagegen
unternähme. Das war dann Supnik, der
die Anregung zum Anlass nahm, von
Assembler auf die Programmiersprache C
umzusteigen und damit das SIMH-Projekt
zu beginnen.
SIMH ist in den Paket-Repositories ei-
niger Linux-Distributionen vorhanden,
allerdings fehlen dabei manche Dateien.
Die Installation aus dem Quellcode ist
dagegen unproblematisch. Haben Sie das
etwa drei MByte große Zip-File herun-
tergeladen, sollten Sie sich mit dem Ent-
packen noch kurz zurückhalten und ein
Verzeichnis dafür anlegen. Ein solches
fehlt nämlich in dem Archiv. Wenn man
es einfach entpackt, sind alle enthaltenen
Dateien und Verzeichnisse schön im ak-
tuellen Verzeichnis verteilt.
J\cYjk•Y\ij\kqk
Liegen die Dateien dann zum Beispiel
im Verzeichnis »simh«, genügt es, in
dieses zu wechseln und »make« einzu-
geben. Wer nur den VAX-Emulator ha-
ben möchte, kann sich mit »make vax«
bescheiden. Das Ergebnis ist dann im
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 Fg\eMDJXl]M8O B E F N$ ? F N

Verzeichnis »BIN« zu finden tems von der CD auf die erste

und heißt eben »vax«. Am Festplatte zu schreiben:
besten kopieren Sie sich das
backup dua3:vms073.b/save_set 5
Binary in ein Verzeichnis, das dua0:
sich im Pfad befindet, also
zum Beispiel »/usr/bin« oder Ist das geschafft, können
»$HOME/bin«. Damit der Sie zum ersten Mal von der
Emulator auch Netzwerkfunk- Festplatte booten und dann
tionen besitzt, muss vor dem mit der Installation weiter-
Kompilieren das Entwickler- machen. [Strg]+[e] wechselt
Paket der Libpcap (auf De- zum Prompt des Emulators,
bian/Ubuntu »libpcap-dev«) wo »exit« das Programm been-
installiert sein. det. Nach einem Neustart von
Am saubersten ist es, für die »vax« bootet dieses Mal »boot
VAX-Emulation ein eigenes dua0:« das System von der
Verzeichnis anzulegen, zum 8YY`c[le^(1Fg\eMDJY\`d\ijk\e9ffkeXZ_[\i@ejkXccXk`feXl][\i=\jkgcXkk\% Platte (8YY`c[le^ (). Wieder
Beispiel »/home/oliver/vax«. müssen Sie das Datum ein-
Dorthin kopieren Sie die Firmware-Da- Beginn VAX-11/VMS. Später fiel zuerst geben, anschließend ein Label für die
tei »ka655x.bin«, die in »simh/VAX« zu die Zahl unter den Tisch und dann mo- System-Disk, bei dem Sie die Vorgabe
finden ist. Auch die Konfigurationsdatei dernisierte DEC zu Beginn der neunziger einfach übernehmen können. Als »drive
»vax.ini« muss dort liegen. In ihr ist die Jahre den Namen zu OpenVMS. Unter holding the OpenVMS distribution me-
Hardware-Konfiguration der virtuellen diesem Namen ist das System auch heute dia« geben Sie »DUA3« ein und bestätigen
VAX spezifiziert. Zuerst steht dort die noch erhältlich, wenn auch nur noch für anschließend mit »Y«.
Anweisung zum Laden der Firmware. die Itanium-Architektur.
Dann folgt eine Datei für das nichtflüch- Wer noch eine CD mit OpenVMS für VAX ;<:e\kfgk`feXc
tige (non-volatile/NV) RAM, in dem die herumliegen hat, kann davon ein CD-
Boot-Parameter dauerhaft gespeichert Image anfertigen. Alle anderen müssen Bei der folgenden Paketauswahl bestä-
werden. Die restlichen Anweisungen sind vermutlich den Weg über das OpenVMS- tigen Sie meistens einfach die Defaults
der Konfiguration der Disks sowie des Hobbyist-Programm gehen, bei dem man beziehungsweise wählen das angebotene
Netzwerk-Interfaces gewidmet. Ganz am sich anmeldet und dann eine Lizenz fürs Paket mit »Y« aus. Auf »DECnet« und
Ende stehen noch ein paar spezielle Boot- Betriebssystem und alle andere verfüg- »DECwindows« können Sie aber norma-
Anweisungen, zu denen dieser Artikel bare Software erhält. Bis vor kurzem lerweise verzichten. Am Ende möchte
später noch mehr verrät. musste man dort auch physische Instal- der Installer noch einmal eine Bestäti-
lationsmedien bestellen, jetzt bekommt gung, dann schreibt er die Daten auf die
MDJXl]M8O man auf Anfrage per E-Mail einen Down- Festplatte.
load-Link für Disk-Images. Ist die Installation abgeschlossen, müs-
Wer nun im Verzeichnis »vax« das Kom- Das Image muss, entsprechend der Kon- sen Sie sich Passwörter für die Accounts
mando »vax« aufruft, bekommt ein paar figuration in C`jk`e^(, unter dem Namen »SYSTEM«, »SYSTEST« und »FIELD« aus-
Debug-Meldungen präsentiert, gefolgt »cdrom.iso« im Verzeichnis »vax« liegen. denken. Der Einfachheit halber und da
von einer Sprachauswahl. Viele andere Der Befehl »boot dua3«, im Boot-Prompt es sich ja nicht um eine VMS-Installation
Optionen gibt es an dieser Stelle nicht, ausgeführt, startet dann von der CD das für ein Bankhaus handelt, geben Sie ein-
denn es fehlt noch ein Bootmedium mit System, das sich als »OpenVMS (TM) fach für alle Accounts das Gleiche ein.
einem Betriebssystem, von dem die VAX VAX Version X7G7« meldet und dann zur Am Ende verlangt der Installer mit »SCS-
wirklich booten kann. Aus der Emulation Eingabe des Datums auffordert. Hier- NODE name« nach einem Namen für den
gelangen Sie jederzeit mit einem Druck bei verzichtet es ganz auf modernen
auf [Strg]+[e] heraus und in einen Ein- Schnickschnack, sondern erwartet die C`jk`e^(1¾mXo%`e`½
gabe-Prompt zur Steuerung der Emula- Eingabe in genau einem Format, nämlich 01 load -r ka655x.bin 13
02 attach nvr nvram.bin 14 attach -r rq3 cdrom.iso
tion hinein. Die Eingabe von »help« zeigt »22-APR-2013 11:54«, also den Monat als
03 set cpu 64m 15
die verfügbaren Befehle, »exit« beendet dreibuchstabiges Kürzel. Anschließend
04 16 set rl disable
den Emulator. sucht das System erst einmal nach vor-
05 set rq0 ra92 17 set ts disable
Als Betriebssystem für die VAX soll hier handenen Devices. 06 set rq1 ra92 18
das gute alte VMS zum Einsatz kommen. Sind alle Geräte gefunden, insbesondere 07 set rq2 ra92 19 set xq
Zwar gibt es mit Ultrix auch ein Unix- die Disks DUA0 bis DUA2, bestätigen Sie 08 set rq3 cdrom mac=08-00-2B-AA-BB-CC
System für die VAX, aber dann könnte dies mit »YES« und landen dann in einer 09 20 attach xq eth0
man sich das alles sparen und gleich Art Minimal-VMS. Der erste Schritt der 10 attach rq0 d0.dsk 21

Linux verwenden. Wie die erste VAX 11/ OpenVMS-Installation besteht darin, ein 11 attach rq1 d1.dsk 22 set cpu idle
12 attach rq2 d2.dsk 23 boot cpu
780 heißt auch das Betriebssystem zu sogenanntes Save Set des Betriebssys-

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * -.

B E F N$ ? F N Fg\eMDJXl]M8O
Rechner, als »SCSSYSTEMID« geben Sie
einfach 1025 ein.
C`q\eq`\ile^
Anschließend erwartet der Installer die
Lizenzschlüssel, die Sie mit der Regis-
trierung für das OpenVMS-Hobbyist-
Programm als E-Mail zugesandt bekom-
men haben. Wählen Sie als Erstes den
Menüpunkt 1 und antworten dann auf
die Frage »Do you have your Product
Authorization Key?« mit »YES«. Nun
kopieren Sie der Reihe nach die Daten
aus der E-Mail in die Eingabemaske. Das
Betriebssystemprodukt ist in der Lizenz-
datei als »VAX-VMS« aufgeführt. In dem
Abschnitt finden Sie die Authorization
Number, die etwa so aussieht: »HOBBY-
IST-VA-KEY11234-123456«. Der Product
Name ist »VAX-VMS«, die Number of
Units ist 0. Kopieren Sie genauso das Ter-
mination Date (»TERMINATION_DATE«),
den Activity Table Code (»ACTIVITY«)
und die Checksumme (»CHECKSUM«).
Die Felder Version, Product Release Date,
Availability Table Code, Key Options,
Product Token und Hardware-ID lassen
8YY`c[le^)1EXZ_[\i@ejkXccXk`fed\c[\kj`Z_Fg\eMDJle[nXik\kXl]\ijk\
Cf^`ej%8l][\iJpjk\dbfejfc\^`Yk[XjJpjk\d[`\8l[`k$D\c[le^\eXlj%
-/ 8L J >8 9 < '* $)' ( *
Sie frei. Wenn Sie die Eingaben bestätigt
haben, prüft das System, ob sie korrekt
sind und bietet an, die Lizenz zu laden.
Ansonsten dürfen Sie die Eingaben korri-
gieren. Am Ende sollten Sie die folgende
Meldung zu sehen bekommen:
%LICENSE-I-LOADED, DEC VAX-VMS was 5
successfully loaded with 0 units
Wenn Sie das Lizenzierungs-Tool verlas-
sen, fordert der Installer Sie auf, die Zeit-
zone inklusive optionaler Sommerzeit zu
konfigurieren. Abschließend erzeugt er
ein neues System-Image und fährt VMS
herunter. Am Ende landen Sie wieder
auf der Firmware-Ebene und können ent-
weder neu booten oder mit [Strg]+[e]
in den Emulator wechseln und ihn mit
»exit« beenden.
8lkfdXk`jZ_Yffk\e
Um nicht bei jedem Booten neu das Boot-
Device angeben zu müssen, konfigurieren
Sie es in der Firmware beziehungsweise
dem NVRAM entsprechend um. Dazu
geben dort »set boot dua0« ein. Wenn
Sie nun den Emulator beenden, wieder
neu starten und
»show boot« ein-
geben, sollten Sie
das Boot-Device
»DUA0« sehen. Al-
lerdings bootet die
VAX beim Starten
nun noch immer
nicht automatisch.
Dazu fehlt noch
der Befehl »dep
bdr 0«, den Sie in
der Datei vax.ini
über die Zeile »set
cpu idle« stellen.
Er setzt das ent-
8YY`c[le^*1Fg\eMDJY\_\iijZ_kXlZ_K:G&@G#[XjXcj\`^\e\jGif[lbk
Xlj^\c`\]\ikn`i[%
8;D@E
sprechende Bit in dem Register, das dafür
sorgt, dass der Rechner automatisch vom
eingestellten Boot-Device startet. Wenn
Sie nun wieder »vax« starten, sollte das
installierte OpenVMS automatisch hoch-
fahren (8YY`c[le^)).
<ijk\jCf^`e
Jetzt können Sie sich zum ersten Mal
mit dem Account »system« und dem vor-
her vergebenen Passwort anmelden. Auf
der Systemkonsole ist der Login-Prompt
nicht automatisch zu sehen. Sie müssen
vorher die Eingabetaste drücken, damit
er sichtbar wird. Nun initialisieren und
mounten Sie die beiden anderen konfi-
gurierten Fesplatten:
$ initialize dua1: DATA1
$ initialize dua2: DATA2
$ mount/system dua1 data1
%MOUNT-I-MOUNTED, DATA1 mounted on _5
ADVAX$DUA1:
$ mount/system dua2 data2
%MOUNT-I-MOUNTED, DATA2 mounted on _5
ADVAX$DUA2:
Damit die Platten auch bei jedem Booten
gemountet werden, muss man sie in die
Startup-Datei »sys$manager:systartup_
vms.com« eintragen, die OpenVMS bei
jedem Neustart ausführt. Setzen Sie die
Terminaleinstellungen mit »set term/
vt100« und öffnen Sie dann mit »edit
sys$manager:systartup_vms.com« die
Datei im Editor. Mit den Maustasten und
sogar den Bildschirmscrolltasten können
Sie sich durch die Datei bewegen. Gehen
Sie ganz ans Ende und fügen Sie vor der
Zeile »$ EXIT« zwei neue Zeilen ein:
$ mount/system dua1 data1
$ mount/system dua2 data2
Die Dollarzeichen gehören dazu. Kom-
mentarzeilen werden dagegen mit »$!«
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

eingeleitet, wie Sie in den darüber-
liegenden Zeilen sehen können. Mit
[Strg]+[z] speichern Sie die Datei und
beenden den Editor. Alternativ gelangen
Sie mit [F4] in seinen Befehlsmodus. Dort
geben Sie »write« zum Speichern und
»exit« zum Beenden ein. Mit dem Befehl
»@sys$system:shutdown« fahren Sie das
System herunter, nachdem Sie ein paar
Fragen beantwortet haben.
Generell ist das Dateisystemkonzept von
VMS für Unix-Anwender sehr gewöh-
nungsbedürftig R*T. Es gibt keinen ein-
heitlichen Dateibaum, sondern mehrere
Drives (»duaX«), ähnlich wie bei DOS
und Windows. Das jeweils aktuelle Un-
terverzeichnis behält VMS aber bei, wenn
der Anwender das Drive wechselt. Befin-
det man sich also etwa in »dua1:[ofr]«
und wechselt dann nach »dua3«, geht
VMS vom Verzeichnis »dua3:[ofr]« aus.
Groß- und Kleinschreibung spielt dabei
übrigens keine Rolle. Die dazu gehörigen
Befehle heißen »set default« (Unix: »cd«)
und »show default« (»pwd«). Da sich
VMS-Befehle abkürzen lassen, solange
sie eindeutig sind, werden diese meist
zu »set def« und »sh def« verkürzt. Eine
Übersicht ist in KXY\cc\( auf der nächsten
Seite zu finden.
9\elkq\idXeX^\d\ek
Ähnlich wie bei Linux wird der System-
benutzer nur für administrative Aufga-
ben verwendet. Um einen neuen Account
anzulegen, wechseln Sie erst mit »set
def sys$system« ins Systemverzeichnis.
Mit »r authorize« gelangen Sie in das
Interface zum Editieren des User Autho-
rization File (UAF). Dort geben Sie den
folgenden Befehl ein:
UAF> add Login/password=temp/owner="Vorname5
Nachname"/dev=dua1/dir=[Homedir]/uic=[200,5
201]/flag=nodisuser/priv=all
Der letzte Teil »priv=all« gibt dem Be-
nutzer prinzipiell alle verfügbaren Pri-
vilegien, die er später mit »set proc/
priv=all« erlangen kann, wenn er einge-
loggt ist, ähnlich wie ein Sudo-Benutzer
bei Ubuntu Linux. Mit »exit« beenden
Sie das Editieren des UAF. Nun fehlt
noch das Home-Verzeichnis, das der Be-
fehl »create/dir dua1:[Homedir]« anlegt.
Die Berechtigungen setzt »set directory/
owner=Login dua1:[Homedir]«.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
Fg\eMDJXl]M8O
Wenn Sie nun neu booten, können Sie
sich mit dem neuen Benutzer-Account
einloggen und damit arbeiten.
E\kqn\ib
Damit die VAX keine Insel bleibt, soll sie
endlich auch Anschluss ans Netzwerk
finden. Mit dem beim Kompilieren ein-
gebauten Libpcap-Code kann der SIMH-
Emulator die im Rechner eingebaute
physische Netzwerkkarte nutzen. Aller-
dings müssen Sie dazu den Emulator mit
Root-Rechten starten oder auf anderem
Weg den entsprechenden Zugriff auf das
Device sicherstellen. Die Konfiguration
stand bereits in der zu Beginn vorgestell-
ten »vax.ini«. Mit normalen Benutzer-
rechten aufgerufen meldete SIMH damit
bisher immer:
vax.ini> attach xq eth0
File open error
Starten Sie »vax« nun mit Root-Rechten,
sollten Sie zu Beginn die Erfolgsmeldung
»Eth: opened eth0« sehen. Damit hat die
VAX nun eine Netzwerkkarte.
Lange Zeit war für Digital Equipment
dafür das hauseigene DECnet das Mittel
der Wahl, aber irgendwann beugte man
sich schließlich doch den Fakten und bot
den Kunden optional einen TCP/IP-Stack
an (heute sogar mit IPv6). Der setzt aber
etwas mehr Ressourcen voraus als der
DECnet-Stack, weshalb Sie vor der In-
betriebnahme erst noch ein neues Sys-
tem-Image mit mehr virtuellem Speicher
anlegen müssen. Dazu verwenden Sie
entweder den System-Account oder ver-
schaffen sich mit »set proc/priv=all« die
nötigen Privilegien. Wechseln Sie mit »set
def sys$system« ins Systemverzeichnis
und editieren Sie mit »edit modparams.
dat« (denken Sie im Fall von Bildschirm-
müll an das »set term/vt100«). Fügen Sie
der Datei die Zeilen
ADD_GBLPAGES=10000
ADD_GBLSECTIONS=100
ADD_NPAGEDYN=800000
ADD_NPAGEVIR=800000
MIN_SPTREQ=6000
hinzu und beenden Sie den Editor mit
[Strg]+[z]. Wechseln Sie mit »set def
sys$update« in das Update-Verzeichnis
und generieren Sie ein neues System:
@autogen getdata shutdown nofeedback
B E F N$ ? F N
Nach dem Shutdown landen Sie wieder
im Emulator-Prompt, wo Sie die Ma-
schine mit »boot cpu« neu booten. Log-
gen Sie sich wieder als Benutzer »system«
ein und starten Sie das System Genera-
tion Utility, um einen weiteren Parameter
zu ändern:
r sys$system:sysgen
SYSGEN> SET INTSTKPAGES 20
SYSGEN> WRITE CURRENT
SYSGEN> EXIT
Wenn Sie nun das System neu booten,
sind alle Voraussetzungen für die TCP/
IP-Installation erfüllt. Auf der Installati-
ons-CD gibt es ein Verzeichnis namens
»TCPIP_VAX051«, in dem die nötige
Software liegt. Mounten Sie die CD mit
»mount/over=id dua3:«, wechseln Sie
ins Unterverzeichnis »kit« von »TCPIP_
VAX051« und starten Sie die Installation:
set def [.TCPIP_VAX051.kit]
product install *
The following product has been selected:
DEC VAXVMS TCPIP V5.1-15 ....
Do you want to continue? [YES]
Ist die Installation abgeschlossen, li-
zenzieren Sie das Produkt. Das kön-
nen Sie wieder – wie oben beschrie-
ben – interaktiv machen oder direkt in
einem Aufruf, den Sie aus der E-Mail
des Hobbyist-Programms kopieren – das
ganze Attachment ist eine einzige Batch-
Datei, die Sie komplett ausführen könn-
ten, wenn Sie es nur schaffen würden,
sie in die VMS-Emulation zu kopieren.
8eq\`^\
C13
8;D@E 8L J >8 9 < '* $)' ( * -0
 B E F N$ ? F N Fg\eMDJXl]M8O
8YY`c[le^+1Jlggfik]•iFg\eMDJ^`Yk\jefZ_Y`j)')'%Hl\cc\1?G
Das TCP/IP-Produkt heißt jedenfalls UCX
und die nötige Kommandozeile reicht
von »$ LICENSE REGISTER UCX -« bis
»/CHECKSUM=...«. Anschließend lädt
»license load UCX« die Lizenz. Die me-
nügeführte Konfiguration startet der Be-
fehl »@sys$manager:tcpip$config«. Dort
stellen Sie die IP-Adresse (oder DHCP),
Netzwerkmaske, Nameserver und so wei-
ter ein. Sind Sie damit fertig, starten Sie
über den Punkt 6 im Hauptmenü die Ser-
vices. Geht alles gut, sieht das Ergebnis
aus wie in 8YY`c[le^*.
Damit Sie sich auf dem Rechner einlog-
gen können, aktivieren Sie den Telnet-
Daemon, den Sie im TCP/IP-Menü unter
»Client components« finden. Spätestens
hier sollte klar sein, dass die emulierte
VAX ohne weitere Maßnahmen im Inter-
net nichts zu suchen hat.
Um die TCP/IP-Dienste bei jedem Neu-
start des Systems zu aktivieren, tragen
Sie »@sys$manager:tcpip$config« in das
Startup-Skript ein (wie oben beim Moun-
ten der Disks beschrieben). Den Eintrag
gibt es schon, Sie müssen also nur das
Kommentarzeichen »!« vor dem Aufruf
entfernen.
G`e^:f%
Kommandos wie Ping gibt es auch unter
OpenVMS, sie sind aber nicht per Default
KXY\cc\(1MDJ$Jlim`mXc$B`k
Le`o$9\]\_c MDJ$G\e[Xek
Z[;`i J<K;<=R%;@IT
Z[;`i&JlY[`i J<K;<=R%;@I%JL9;@IT
Z[%% J<K;<=R$T
gn[ J?;<=
cj ;@I
db[`i :I<8K<&;@IR;@IT
id ;<C
.' 8L J >8 9 < '* $)' ( * 8;D@E
verfügbar. Deshalb 8YY`c[le^,1Jpjk\dDfe`kfi`e^`dFg\eMDJ$Jk`c%
müssen Sie dafür
zum Beispiel »run sys$system:tcpip$ping« sischen Minicomputer-Systems, das auf
ausführen. Alternativ dazu rufen Sie überflüssige Ornamente verzichtet (8Y$
»@sys$startup:tcpip$define_commands« Y`c[le^ ,). Natürlich erscheinen auch
auf, dann stehen die Befehle direkt zur viele Konzepte, wie etwa die Struktur
Verfügung. und die Navigation des Dateisystems
Die Kommunikation mit dem Host-Rech- veraltet. Seine Tauglichkeit als stabiler
ner, auf dem der Emulator läuft, ist bei Server hat OpenVMS in seiner mehr als
dieser Lösung ausgeschlossen, lässt sich 30-jährigen Geschichte jedoch ausrei-
aber mit Tunnel-Devices und ähnlichen chend bewiesen. Eine Neuinstallation
Hacks bewerkstelligen. Die Darstellung von OpenVMS wird man im Jahr 2013
dieses Wegs ist aber einem künftigen wohl niemandem mehr anraten, aber als
VMS-Artikel vorbehalten, genauso wie interessantes Studienobjekt taugt es im
die Verbindung der VAX mit einem Ter- Emulator allemal. Auch Jobangebote für
minal im Webbrowser. weiterhin laufende VMS-Installationen
Mit Netzwerkanschluss geht schon vie- sind noch gelegentlich zu finden.
les leichter, aber auch nicht unbedingt Die Firma DEC verpasste es am Ende,
von selbst. So ist es heute schon relativ sich rechtzeitig von der VAX zu verab-
schwierig, noch FTP-Server zu finden, schieden. Zwar konnte der Konzern mit
die Binaries für VMS/VAX führen. Dabei Rechnern auf Alpha-Basis sein Leiden
muss man sich gerade am Anfang per noch etwas verlängern, aber am Ende
Bootstrapping erst einmal hocharbeiten. blieb nur noch der Verkauf an den Kon-
Am besten ist es, sich zuerst ein binäres kurrenten Compaq. Über diese Zwischen-
Wget vom FTP-Server zu holen, dann station ist das „geistige Eigentum“ mitt-
hat man später schon leichter Zugriff auf lerweile in den Besitz der Firma HP ge-
HTTP-Server. Auch Binärprogramme von langt, die das DEC-Erbe heute verwaltet.
Tar und Unzip erweisen sich als hilfreich. OpenVMS selbst ist noch lange nicht tot.
Compiler beziehungsweise Interpreter für Sogar für VAX-Systeme leistet HP noch
BASIC, PASCAL, C und COBOL gibt es im bis 2016 Support, für Itanium-Systeme
Rahmen des Hobbyist-Programms eben- gar bis 2020 (8YY`c[le^+, R+T). ■
falls. Batch-Programme schreibt man mit
der mitgelieferten DIGITAL Command
Language (DCL). @e]fj
R(T J@D?1R_kkg1&&j`d_%kiX`c`e^$\[^\%Zfd&T
=Xq`k R)T Fg\eMDJ?fYYp`jkGif^iXd1R_kkg1&&nnn%
fg\emdj%fi^&gX^\j%g_g6gX^\4?fYYp`jkT
Wer sich etwas näher mit OpenVMS be- R*T Fg\eMDJ#Fi^Xe`q`e^=`c\jn`k_;`i\Z$
schäftigt, wird überrascht sein, wie ko- kfi`\j1R_kkg1&&_.('''%nnn.%_g%Zfd&
härent das Betriebssystem bei der Benut- [fZ&.*(]`eXc&-+/0&-+/0gifV''/%_kdc
zung auftritt – vor allem wenn man das [`i\ZkjVZ_T
Chaos der über die Jahre gewachsenen R+T?GFg\eMDJJ\im`Z\JlggfikIfX[dXg1
Linux-Distributionen gewohnt ist. Dazu R_kkg1&&_.('''%nnn.%_g%Zfd&fg\emdj&
kommt der spröde Charme eines klas- g[]&fg\emdjVifX[dXgj%g[]T
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
SOFTWARE-MAGAZIN
mit Windows-Installer J e tz t n e u
m it DV D
Direkt online bestellen! n u r 9,8 0 ¤ !
www.smart-software-magazin.de
 K < JK KBg\i]
KBg\i]ÆdX^\jZ_e\`[\ik\G\i]fidXeZ\$K\jkj]•iJJ;jle[?;;j
Jkfggl_i
ŸFiZ\X;Xm`[#()*I=
JJ;$?\ijk\cc\im\ijlZ_\eBle[\ed`kC\`jkle^j[Xk\eqlY\\`e[ilZb\e%
N\i\j^\eXl\in`jj\edZ_k\#d`jjkj\cY\i#qld9\`jg`\cd`k\`e\ijkXe$
[Xi[`j`\ik\eK\jkjl`k\#[`\[Xj]i\`\KffcKBg\i]`dgc\d\ek`\ik%>\fi^JZ_eY\i^\i
Solid State Drives (SSDs) sind über ih-
ren Status als Nischenprodukt hinaus-
gewachsen und treten parallel zu tradi-
tionellen Festplatten (HDDs) mit gestei-
gerter Attraktivität in puncto Kapazität
und Preis vermehrt in Server-Systemen
auf. Ob SSDs einen Performance-Schub
bringen, hängt immer auch vom jeweili-
gen Einsatzzweck ab, da sich die Anfor-
derungen an Speichersysteme grundle-
gend unterscheiden können. Anwender
müssen sich im ersten Schritt für SSDs,
HDDs oder eine Kombination der beiden
Technologien entscheiden. Steht der Ent-
schluss fest welches Medium zum Einsatz
kommt, bleibt immer noch die Auswahl
eines geeigneten Modells offen.
J\cY\ik\jk\e
Bereits zu diesem Zeitpunkt sollte man
darauf achten, dass die Geschwindigkeit
der ausgewählten Hardware den aktuel-
len und künftigen Performance-Anforde-
rungen entspricht. Aussagekräftige und
C`jk`e^(1KBg\i]$I\jlckXk
01 $ sudo tkperf ssd intelDCS3700 /dev/sdb -nj 2
-iod 16 -rfb
02 !!!Attention!!!
03 All data on /dev/sdf will be lost!
04 Are you sure you want to continue? (In case you
really know what you are doing.)
05 Press 'y' to continue, any key to stop:
06 y
07 Starting SSD mode...
08 Model Number: INTEL SSDSC2BA200G3
09 Serial Number: BTTV241303MG200GGN
.) 8L J >8 9 < '* $)' ( *
transparente Performance-Tests erleich-
tern diese Suche nach der richtigen SSD
oder HDD wesentlich. Aus der Sicht des
Endanwenders ist ein Test umso wert-
voller, je mehr Informationen er daraus
gewinnen kann. Oft reichen die Herstel-
lerangaben zur Performance eines Geräts
nicht aus, da weder die zum Testen be-
nutzte Software noch ein genauer Testab-
lauf spezifiziert ist.
Die „Storage Networking Industry Asso-
ciation“ (SNIA) hat mit der „Solid State
Storage Performance Test Specification“
ein Dokument veröffentlicht, das eine
konkrete Testbeschreibung für SSDs im
Enterprise-Bereich liefert R(T. Die Spe-
zifikation geht in ihren Tests speziell
auf die besonderen Eigenschaften von
SSDs ein und beschreibt, auf welchem
Weg sich korrekte und reproduzierbare
Ergebnisse erzielen lassen. Die von der
Thomas-Krenn.AG entwickelte Open-
Source-Software TKperf setzt diese Spe-
zifikation um und bereitet die Ergebnisse
in einem Test-Report auf R)T. Zusätzlich
10 Firmware Revision: 5DV10206
11 Media Serial Num:
12 Media Manufacturer:
13 device size with M = 1000*1000: 200049
MBytes (200 GB)
14
15 Starting test: lat
16 Starting test: iops
17 Starting test: writesat
18 Starting test: tp
8;D@E
zu den Tests für SSDs stehen außerdem
erste grundlegende Tests für Festplatten
zur Verfügung, die in künftigen Versionen
von TKperf weiter ausgebaut werden.
=`fle[Gpk_fe
TKperf verwendet im Hintergrund den
von Jens Axboe, dem Maintainer des
Linux Block Layers, entwickelten Flexi-
ble I/O Tester (Fio) R*T. Fio bietet viele
Testoptionen und die für die Umsetzung
der SNIA Performance-Tests nötige Fle-
xibilität: Das sind Features wie etwa
Laufzeitbegrenzung, Direct I/O, Anzahl
gleichzeitig laufender Jobs, I/O-Tiefe
oder die Verwendung von nicht kompri-
mierbaren Testdaten.
TKperf erfordert Fio 2.0.3 oder höher.
Bei älteren Fio-Versionen fehlen einige
Informationen im Terse Output, einer
Minimal-Ausgabe, die sich von anderen
Programmen leicht verarbeiten lässt R+T.
Distributionen wie Ubuntu 12.04 oder De-
bian Squeeze führen ältere Fio-Versionen
in den Repositories (v1.59 beziehungs-
weise v1.38). Fio kann aber sehr einfach
aus dem Quellcode des Git-Repository
kompiliert werden R,T.
Weitere Komponenten von TKperf setzen
auf Hdparm und Python. Hdparm liefert
via »hdparm -I« automatisiert Informa-
tionen über ein zu testendes Device. Au-
ßerdem kann das Tool einen Secure Erase
von SATA-Laufwerken durchführen. Das
bewirkt bei SSDs, dass alle Flash Chips
gelöscht werden und die SSD wieder
die Performance wie zum Zeitpunkt des
Auslieferungszustands bringt. Dieses Se-
cure Erase, das zentraler Bestandteil der
Initialisierungsphasen der Tests ist, ist
auch der Grund, warum zur Zeit beim
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

8YY`c[le^(1;\iJk\X[pJkXk\M\i`]`ZXk`feGcfkY\c\^k[\ejkXY`c\eQljkXe[[\i
JJ;#[\i`e\`e\dK\jk$J\klg\ii\`Z_kn\i[\edljj#[Xd`k[`\<i^\Ye`jj\[\i
Jg\q`]`bXk`fe^\e•^\e%
Testen von SAS- oder PCIe-SSDs noch
Hand angelegt werden muss. Für SAS
Devices muss man die Secure-Erase-
Methode auf »sg_format« der »sg3_utils«
(den Werkzeugen zum Ausführen von
SCSI-Kommandos) abändern. Für PCIe-
SSDs gestaltet sich das sichere Löschen
noch aufwendiger, da sie herstellerspe-
zifische Kommandozeilen-Werkzeuge
erfordern. Für Intels PCIe-SSD 910 wird
zum Beispiel das Secure Erase über das
Datacenter Tool »isdct« gestartet.
Die Python-Skripte von TKperf starten
die Fio-Jobs, bereiten die Ergebnisse auf
und generieren daraus Grafiken. Alle Fio-
Aufrufe werden in einer Log-Datei aufge-
zeichnet. Nach dem Ende eines Tests wer-
den außerdem die Testergebnisse geloggt.
Die aufgezeichneten Performance-Werte
werden in XML-Form abgelegt und zur
Erstellung der Diagramme herangezogen.
Unter Zuhilfenahme der Python-Biblio-
thek Matplotlib generiert TKperf die von
der Spezifikation geforderten Darstellun-
gen aus den Ergebnissen R-T.
KBg\i]$K\jkjq\eXi`\e
Für SSDs stehen ein Bandbreiten-, ein
IOPS-, ein Latenz- und ein Sättigungstest
zur Auswahl. C`jk`e^( zeigt die Ausgabe
von TKperf während der Tests einer Intel
DC S3700 200 GByte SSD.
Die Tests zu Bandbreite, IOPS und Latenz
zeigen einige Gemeinsamkeiten, die sich
auch in den aufbereiteten Grafiken wider-
spiegeln. Für diese Tests gilt, dass sie run-
denbasiert ablaufen und in jeder Runde
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
8YY`c[le^)1;\iJk\X[pJkXk\:fem\i^\eZ\Gcfkq\`^k[`\<ekn`Zbcle^[\i
;\g\e[\ekMXi`XYc\jZ_nXiq\C`e`\ #XcjXlZ_[`\Xe[\i\e9cfZb^i\e]•i
ql]€cc`^\jJZ_i\`Y\e%
Messgrößen aufgezeichnet werden. Unter
Einbeziehung einer sogenannten Depen-
dent Variable wird errechnet, ob sich die
SSD in einem stabilen Zustand befindet.
Dadurch sollen Messungen im „Fresh out
of the Box“ oder in undefinierten Über-
gangsphasen zwischen unterschiedlichen
Workloads nicht zu den Messergebnissen
beitragen. Nur wenn die Werte der De-
pendent Variable über die letzten Runden
hinweg stabil ist, gehen die Werte dieses
„Measurement Windows“ ins Testresultat
ein.
@FGJ^\d\jj\e
Am Beispiel einer IOPS-Messung erläu-
tern die folgenden Abschnitte des Artikels
den Ablauf eines Tests: vom Secure Erase
über die Prüfung des stabilen Zustands
bis hin zur Darstellung der Ergebnisse.
Zu Beginn eine Definition jener Begriffe,
die für die rundenbasierten Tests von Be-
deutung sind:
■ Dependent Variable: Sie ist für die Prü-
fung nötig, ob der Stable State erreicht
wurde. Diese Variable wird von der
Spezifikation vorgegeben und setzt
sich aus einer Workload- und Block-
größen-Kombination zusammen. Für
den IOPS-Test ist diese Variable gleich
den erreichten IOPS beim zufälligen
Schreiben mit einer Blockgröße von 4
KByte (KB).
■ Steady State: Der Zustand, in dem die
zuletzt gemessenen Werte nicht allzu
sehr voneinander abweichen. Die
Parameter für die Entscheidung, ob
8;D@E
KBg\i] K < JK
der Steady State erreicht wurde, sind
zum einen die Steigung der Geraden,
die den nächsten Wert vorhersagt, als
auch die Differenz zwischen dem größ-
ten und kleinsten gemessenen Wert.
Die Messwerte der vorher gehenden
fünf Runden dienen als Bezugsvaria-
blen für den Steady State. Der Steady
State Verification Plot zeigt die Ent-
wicklung der Dependent Variable und
belegt, dass sich die SSD in einem
stabilen Zustand befindet (8YY`c[le^
(). Der Pseudo-Code des IOPS-Test
veranschaulicht, welche Operationen
in einer Runde durchgeführt werden
(C`jk`e^)).
Im Detail bedeuten die einzelnen
Schritte:
1. Ein Secure Erase garantiert, dass sich
die SSD in einem definierten Ausgangs-
zustand befindet.
2. Zur Präkonditionierung wird das De-
vice zwei Mal (sequentielle Zugriffe mit
128 KByte Blockgröße) überschrieben.
3. Solange der Steady State nicht erreicht
ist, werden in jeder Runde verschiedene
Kombinationen aus Mixed Workloads und
Blockgrößen gestartet. Ein Workload von
100 bedeutet 100 Prozent Lesezugriffe, 95
C`jk`e^)1Gj\l[f$:f[\[\j@FGJ$K\jkj
01 Make Secure Erase
02 Workload Ind. Preconditioning
03 While not Steady State
04 For workloads [100, 95, 65, 50, 35, 5, 0]
05 For block sizes ['1024k', '128k', '64k',
'32k', '16k', '8k', '4k', '512']
06 Random Workload for 1 Minute
8L J >8 9 < '* $)' ( * .*
 K < JK KBg\i]

steht für 95 Prozent Lese- und deutlich das Ziel dieses Tests,
5 Prozent Schreibzugriffe und der die Stabilität der SSD beim
so weiter. Für den IOPS-Test längeren Beschreiben mit zu-
werden dabei immer zufällige fälligen Zugriffen offenlegen
Zugriffe (Random I/Os) ver- soll.
wendet. Als Dependent Vari-
able werden die IOPS beim =•i=\jkgcXkk\e
Schreiben mit 4 KByte Block-
größe genutzt. Der Steady TKperf adaptiert das run-
State Convergence Plot zeigt denbasierte System für Fest-
die Entwicklung aller Block- platten. Die Erkennung ei-
größen (inklusive der Depen- nes stabilen Zustands eignet
dent Variable) für zufälliges sich jedoch für HDDs nicht.
Schreiben (8YY`c[le^)). Stattdessen berücksichtigt die
Befindet sich das Device in ei- Software den Unterschied der
nem stabilen Zustand, werden 8YY`c[le^*1;\iD\Xjli\d\ekGcfkq\`^k[`\\ii\Z_e\k\eD`kk\cn\ik\`d Performance am Anfang und
der Testlauf beendet und die D\Xjli\d\ekN`e[fn% am Ende einer Festplatte. Da
Messwerte für die Diagramme HDDs von außen nach innen
aufbereitet. Dazu berechnet TKperf für wurden. Der Test zeigt, wie sich eine beschrieben werden, führen kürzere Zu-
die Messgrößen (Workloads und Block- SSD beim kontinuierlichen Beschreiben griffswege des Lese-/Schreibkopfs und
größen) den Mittelwert im Measurement mit zufälligen Zugriffen verhält. In Bezug die erhöhte Bahngeschwindigkeit zu
Window. Die berechneten Werte stellt auf die abgesetzte Datenmenge wird da- mehr Performance. Für den Festplatten-
der Measurement Plot gesammelt dar rauf geachtet, dass sie ein Vielfaches der test unterteilt TKperf daher das Device
(8YY`c[le^*). Device-Größe ist. in 128 gleich große Teile, die es separat
Das vorhergehende Beispiel des IOPS- Der Test arbeitet zwar ebenfalls runden- testet. Für die Ermittlung des Durchsat-
Tests hat den grundlegenden Ablauf ge- basiert, eine Dependent Variable zum zes liest beziehungsweise schreibt es
zeigt, in dem die Messergebnisse ermit- Eruieren eines Steady State gibt es jedoch den gesamten Bereich einmal. Bei der
telt werden. Für den Bandbreiten- und nicht. In jeder Runde schreibt TKperf mit Messung der IOPS greift es eine Minute
den Latenztest gelten andere Workloads, zufälligen Zugriffen von 4 KByte Block- lang zufällig im jeweiligen Abschnitt auf
Blockgrößen und Dependent Variablen. größe eine Minute lang auf das Device. Daten zu. Dieses Verfahren veranschau-
Welche das sind, zeigt KXY\cc\(. Dabei protokolliert es, wie viele Bytes in licht die Performance-Entwicklung der
dieser Minute (Runde) auf das Device ge- Festplatte beim Abarbeiten der Sektoren
<`eJfe[\i]Xcc1 schrieben wurden. Die Anzahl an Bytes von außen nach innen.
Ni`k\JXkliXk`fe pro Runde summiert das Tool auf. Das
Ende des Tests ist erreicht, wenn diese =Xq`k
Der Write-Saturation-Test (auf Deutsch Anzahl die vierfache Größe des Devices
„Schreib-Sättigungstest“) zielt nicht auf übersteigt. Eine zweite Abbruchbedin- Dieser Artikel hat gezeigt, wie TKperf
die Erreichung eines stabilen Zustands gung setzt ein zeitliches Limit: Spätestens anhand der SNIA-Spezifikation auf die
ab, sondern benötigt ein Minimum an nach 24 Stunden Laufzeit geht der Test besonderen Eigenschaften von SSDs bei
Daten, die auf das Device geschrieben zu Ende. 8YY`c[le^ + veranschaulicht Performance-Tests eingeht. Mehrere Para-

Ni`k\JXkliXk`feK\jk<ek\igi`j\JJ;;:J*.'' Ni`k\JXkliXk`feK\jk@ek\cJJ;#,)'\i$J\i`\#)+'>9

8YY`c[le^+1;\iNi`k\$JXkliXk`fe$K\jkf]]\eYXik#n`\jkXY`c\`e\JJ;`jk#n\eej`\•Y\i\`e\ec€e^\i\eQ\`kiXldY\jZ_i`\Y\en`i[%;`\<ek\igi`j\JJ;;:J*.''c`ebj
q\`^k^\^\e•Y\i\`e\i@ek\cJJ;[\i,)'\i$J\i`\)+'>9[\lkc`Z_`_i\Mfik\`c\%

.+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


KXY\cc\(1K\jkgXiXd\k\i]•i9Xe[Yi\`k\e$le[CXk\eq$K\jk
K\jk NfibcfX[j
9Xe[Yi\`k\ J\hl\ek`\cc1(''elic\$
K_ifl^_glk j\e #'elijZ_i\`Y\e
CXk\eq Ql]€cc`^1(''#-,#'
CXk\eZp
meter beeinflussen die Geschwindigkeit
von SSDs, sodass bestimmte Abläufe nö-
tig sind, um definierte Ausgangsstände
und Testergebnisse zu erreichen R.T.
Zentrale Teile dieser Prozeduren bein-
halten ein Secure Erase, Workload In-
dependent Preconditioning sowie eine
Überprüfung, ob sich die SSD in einem
stabilen Zustand befindet. Zum Testen
von Festplatten stellt TKperf grundle-
gende Tests zur Messung von Durchsatz
und IOPS bereit.
Mit Hilfe von Fio werden die Perfor-
mance-Tests ausgeführt. Python-Skripte
generieren Grafiken und einen detaillier-
ten PDF-Report. Getestete Devices lassen
IT-Onlinetrainings
Mit Experten lernen.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
KBg\i] K < JK
X [d`e$dX^Xq`e%[\&;Xj$?\]k&)'((&',&
@$F$9\eZ_dXibj$d`k$=`fT
9cfZb^i\e ;\g\e[\ekMXi`XYc\
R+T=`f)%'%*I\c\Xj\Efk\j1R_kkg1&&]i\\Zf[\%
(')+B9pk\#-+B9pk\#/ J\hl\ek`\cc\jJZ_i\`Y\e Zfd&gifa\Zkj&]`f&i\c\Xj\j&*+(**(T
B9pk\#+B9pk\#,()9pk\ d`k(')+B9pk\9cfZb^i\
R,T =`f>`k$I\gfj`kfip1R_kkg1&&^`k%b\ie\c%[b&6
/B9pk\#+B9pk\# Ql]€cc`^\jJZ_i\`Y\ed`k g4]`f%^`k2X4jlddXipT
,()9pk\ +B9pk\9cfZb^i\
R-T DXkgcfkcfYÆGpk_feGcfkk`e^C`YiXip1
R_kkg1&&dXkgcfkc`Y%fi^T
sich so einfach analysieren und mit ande- R.T K_\N_pXe[?fnf]JJ;G\i]fidXeZ\
ren Modellen vergleichen. Der komplette 9\eZ_dXib`e^R_kkg1&&nnn%je`X%fi^&j`k\j&
Report für die zu Beginn angesprochene [\]Xlck&\[lZXk`fe&klkfi`Xcj&)'((&]Xcc&
Intel DC S3700 findet sich unter R/T. Jfc`[JkXk\&<jk_\iJgXea\iVK_\VN_pV?fnV
(ofr) ■ JJ;VG\i]fidXeZ\V9\eZ_dXib`e^%g[]T
R/TK\jk\i^\Ye`jj\]•i@ek\c;:J*.''1R_kkg1&&
nnn%k_fdXj$bi\ee%Zfd&[\&n`b`;<&
@e]fj `dX^\j&\&\,&KBg\i]$I\gfik$@ek\c;:J*.''%
R(T Jfc`[JkXk\JkfiX^\JJJ G\i]fidXeZ\K\jk g[]T
Jg\Z`]`ZXk`feGKJ 1R_kkg1&&nnn%je`X%fi^&
k\Z_VXZk`m`k`\j&jkXe[Xi[j&ZliiVjkXe[Xi[j& ;\i8lkfi
gkjT >\fi^JZ_eY\i^\iXiY\`k\kXcjK\Z_efcf^pJg\$
R)T KBg\i]Fg\e$JfliZ\$Jf]knXi\1R_kkg1&& Z`Xc`jkY\`[\iK_fdXj$Bi\ee%8>le[`jk8lkfi[\j
nnn%k_fdXj$bi\ee%Zfd&[\&n`b`&KBg\i]T K_fdXj$Bi\ee$N`b`j%J\`e\8iY\`kjjZ_n\iglebk\
R*T DXik`eJk\`^\inXc[#@&F$9\eZ_dXibj i\`Z_\emfe@e]fidXk`fejj`Z_\i_\`k•Y\iDfe`kf$
d`k=`f#8;D@E',&)'((1R_kkg1&&nnn% i`e^$Gcl^`ejY`j_`eqlG\i]fidXeZ\$K\jkj%
MEDIALINX
IT-ACADEMY
powered by
Sparen Sie Zeit und Kosten mit unseren
praxisorientierten Onlinetrainings.
Bestimmen Sie Ihr eigenes Lerntempo
und nutzen Sie die flexible Zeiteinteilung.
Effiziente BASH-Skripte
mit Klaus Knopper,
KNOPPER.NET
199 €
Konzentriertes BASH-Wissen
vom Gründer der Knoppix-Live-
Distribution.
Lösen Sie komplexe Aufgaben mit
schnellen Ad-hoc-Lösungen auf der
Kommandozeile. Automatisieren
Sie Ihre Systemadministration mit
Hilfe von Skripten.
8;D@E www.medialinx-academy.de
8L J >8 9 < '* $)' ( * .,
 K < JK Jpjk\d:\ek\i)'()
Ÿjemm#()*I=
Jpjk\d:\ek\i)'()JG(1NXj`jke\l6
Q\ekiXc$
G\ijg\bk`m\
;XjJ\im`Z\GXZb(\in\`k\ik[XjJpjk\d:\ek\i)'()mfiXcc\dld=leb$
k`fe\e`e[\e9\i\`Z_\eM`iklXc`j`\ile^le[:cfl[:fdglk`e^%8cc\;\kX`cj
[Xqlj`e[`e[`\j\d8ik`b\cql]`e[\e%K_fdXjAffj
Wer Windows Server 2012, Windows
8, Windows RT, Windows Phone 8 oder
Exchange Server 2013, SQL Server 2012
und SharePoint 2013 verwenden möchte,
braucht auch eine kompatible Überwa-
chungs- und Verwaltungslösung. Hier
bietet sich das System Center 2012 mit
seinen verschiedenen Produkten an. Al-
lerdings ist die RTM-Version des Produkts
nicht kompatibel mit neuen Microsoft-
Servern. Erst durch das neu erschienene
Service Pack 1 R(T werden die einzelnen
Produkte jetzt auch in System Center
2012 unterstützt.
=•i[`\:cfl[\in\`k\ik
Das Service Pack 1 ist nicht nur eine
Sammlung von Bugfixes, sondern erwei-
tert die einzelnen Produkte im System
Center 2012 um viele neue Funktionen.
Im Fokus stehen dabei die Anbindung
von System Center 2012 an bereits vor-
handene oder neue Cloud-Dienste in
Windows Azure, zum Beispiel Windows
./ 8L J >8 9 < '* $)' ( * 8;D@E
Azure Virtual Machines, Online Backup
und Global Service Monitor. Die größten
Änderungen betreffen System Center Vir-
tual Machine Manager (SCVMM), System
Center Configuration Manager (SCCM)
und Data Protection Manager (DPM).
Im Zuge der Aktualisierung hat Microsoft
die Lizenzierung der neuen Version ver-
einfacht und die Editionen zusammenge-
fasst. Das neue System Center 2012 R)T
ist nur noch als Paket erhältlich und soll
die Serververwaltung im Unternehmen
wesentlich verbessern. Die Produkte las-
sen sich nicht mehr einzeln erwerben.
System Center 2012 besteht hauptsäch-
lich aus acht Produkten, die alle Belange
einer Serververwaltung abdecken:
■ System Center Configuration Mana-
ger 2012 (SCCM) dient vor allem der
Verwaltung von Endgeräten und der
installierten Anwendungen. Die neue
Version hat vor allem die Anwender
selbst und deren wechselnde Geräte
im Fokus. Auch Smartphones lassen
sich mit der neuen Version verwalten.
■ System Center Operations Manager
2012 (SCOM) hat vor allem die Über-
wachung der mit SCCM installierten
Server und Netzwerkgeräte im Fokus
und ergänzt den SCCM.
■ System Center Data Protection Ma-
nager 2012 (SCDPM) stellt die Daten-
sicherungslösung im System Center
dar. Sie kann alle Server im Netzwerk
sichern und die Sicherungen zentral
verwalten.
■ System Center Service Manager 2012:
Der Fokus des Produkts liegt auf der
Anbindung als zentrale Verwaltungs-
oberfläche und Knotenpunkt für alle
System-Center-Produkte im Unterneh-
men, sowie der Bildung von Schnitt-
stellen und deren Verknüpfung und
Automatisierung.
■ System Center Virtual Machine Mana-
ger 2012 (SCVMM) dient der Verwal-
tung der virtuellen Server im Netz-
werk. Hier lassen sich neben Hyper-V
auch andere Virtualisierungslösungen
wie vSphere anbinden. Viele Unter-
nehmen haben SCVMM außerhalb von
System Center lizenziert und müssen
in der neuen Version deutlich tiefer in
die Tasche greifen.
■ System Center Orchestrator 2012 hilft
bei der Automatisierung von IT-Pro-
zessen. Microsoft hat das zugekaufte
Produkt Opalis in SCO umbenannt
und in der neuen Version für die Ver-
waltung mit der Powershell erweitert.
Wie Service Manager auch, findet das
Produkt derzeit nur wenig Anklang.
■ System Center App Controller 2012
soll dabei helfen, Anwendungen im
Unternehmen zentral zu verwalten
und zwar in einer Private Cloud oder
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 Jpjk\d:\ek\i)'() K < JK

der Cloud eines Herstellers. Xenserver mit Version 5.6 mit

Das Tool stellt Vorlagen für Feature Pack 1, empfohlen ist
Anwendungen bereit, die aber der Einsatz von Xen 6.0
sich über andere System- und höher. Durch das Service
Center-Produkte bereitstel- Pack 1 kann der SCVMM auch
len lassen. alle weiteren neuen Funktio-
■ System Center Endpoint nen in Windows Server 2012
Protection 2012 ist ein und Hyper-V 3.0 verwalten,
Virenschutz, der sich mit die KXY\cc\( auflistet.
SCCM verwalten und ver- Mit Hyper-V-Replica lassen
teilen lässt. sich in Windows Server 2012
Mit der Standard-Edition kön- virtuelle Festplatten und ganze
nen kleine und mittlere Unter- Server asynchron zwischen
nehmen lokal installierte wie verschiedenen Hyper-V-Hosts
auch virtuelle Server verwal- im Netzwerk replizieren und
ten. Für große Unternehmen 8YY`c[le^(1Jpjk\d:\ek\i:fe]`^liXk`feDXeX^\i)'()lek\ijk•kqkXlZ_ synchronisieren. Die Repli-
lohnt sich schon die Data- N`e[fnjKf>fd`kN`e[fnj/% kation findet dabei über das
center-Edition. Beide Pakete Dateisystem statt, ein Cluster
umfassen alle System-Center-Produkte Erst ab dem SP1 kann SCVMM mit den ist nicht notwendig. Die Verwaltung die-
sowie die notwendigen Lizenzen für die neuen VHDX-Festplatten in Hyper-V 3.0 ses Vorgangs, der manuell, automatisiert
Installation einer SQL-Server-Datenbank. und Windows Server 2012 umgehen. oder nach einem Zeitplan abläuft, kön-
Der wesentliche Unterschied der beiden Diese Festplatten dürfen eine maximale nen Administratoren jetzt ebenfalls im
Editionen besteht in den erlaubten in- Größe von 64 TByte (VHD-Dateien bis zu SCVMM vornehmen. Auf diesem Weg
stallierten Betriebssystemen. Die Stan- 2 TByte) erreichen und sind wesentlich lassen sich virtuelle Server auch hoch-
dard-Edition erlaubt die Verwaltung von unempfindlicher gegen Systemabstürze. verfügbar betreiben, ohne teure Cluster
zwei installierten Systemen (Hyper-V- Mit der Installation des Service Pack 1 betreiben zu müssen.
Host und eine VM), die Datacenter-Edi- lassen sich die Verwaltungsoberflächen
tion eine unbegrenzte Anzahl. Allerdings der verschiedenen System-Center-Pro- ?Xi[nXi\$9\jZ_c\le`^le^
sind pro Lizenz bei beiden Editionen nur dukte außerdem an die eigenen Bedürf-
zwei Prozessoren berücksichtigt. Die nisse anpassen. Das ist vor allem bei Für bessere Netzwerkperformance ma-
Kerne dieser CPUs spielen dabei keine SCVMM von besonderer Bedeutung. chen virtuelle Server jetzt mehr Gebrauch
Rolle. Ein Server mit vier Prozessoren, Ab dem SP1 kann SCVMM die verschie- von den Hardwarefunktionen eingebau-
benötigt daher zwei Lizenzen. denen virtuellen Netzwerkswitches auf ter Netzwerkkarten, etwa bei Berech-
unterschiedlichen Hyper-V-Hosts und in nungen für IPsec. In den Einstellungen
Jpjk\d:\ek\iM`iklXc Hyper-V Server 2012 besser verwalten, von virtuellen Netzwerkkarten lässt sich
DXZ_`e\DXeX^\i)'() sowie die neuen Einstellungen setzen, die die Netzwerkbandbreite von Servern ein-
Microsoft hier bietet. SCVMM unterstützt grenzen und unerwünschte DHCP- oder
Auch wenn die aktuelle Version des Sys- auch VMware vSphere 5.1 über vCenter Routerpakete ausfiltern. Diese Einstel-
tem Center nur noch als Komplettpaket und Server mit ESXi. Citrix Xen arbeitet lungen lassen sich ab dem SP1 auch in
verfügbar ist, gibt es für alle enthaltenen besonders eng mit SCVMM 2012 zusam- den Vorlagen von virtuellen Servern im
Produkte eigene Service Packs. Neben men. Unterstützt wird auch der Citrix SCVMM steuern. 
der Unterstützung von Windows Server
2012 ist beispielsweise auch der Support KXY\cc\(1M`iklXc`j`\ile^j]\Xkli\j
für Cloud-Umgebungen neu. So arbeitet I\jjfliZ\ N`e[fnjJ\im\i N`e[fnjJ\im\i
System Center Virtual Machine Manager )''/I)JG(dXo`dXc )'()dXo`dXc
(SCVMM) 2012 jetzt mit Windows Azure Cf^`jZ_\Gifq\jjfi\e[\j?fjkj -+ *)'
zusammen und kann sogar Cloud-basierte G_pj`jZ_\iJg\`Z_\i (K9pk\ +K9pk\
virtuelle Server erstellen und verwalten. M`ikl\cc\Gifq\jjfi\egif?fjk ,() )'+/
Microsoft bietet auch vorgefertigte vir- M`ikl\cc\Gifq\jjfi\egifm`ikl\cc\dJ\im\i + -+
tuelle Server an, die Sharepoint, Active Jg\`Z_\igifm`ikl\cc\dJ\im\i -+>9pk\ (K9pk\
Directory und SQL-Server zur Verfügung 8bk`m\m`ikl\cc\J\im\i */+ (')+
stellen. Die virtuellen Festplatten dieser >i\m`ikl\cc\i=\jkgcXkk\e )K9pk\ -+K9pk\
Server sind in Windows Azure gespei- :cljk\i$Befk\e (- -+
chert, auf Wunsch auch hochverfügbar. M`ikl\cc\J\im\i`d:cljk\i (''' /'''
Auf diesem Weg lassen sich alle virtuel- C`m\$D`^iXk`fe eli`d:cljk\i d`kle[f_e\:cljk\i#C`m\$
len Server zentral verwalten, egal ob sie D`^iXk`fe[\i;Xk\eki€^\i
in der Cloud oder lokal laufen. I\gc`bXk`fem`ikl\cc\iJ\im\if_e\:cljk\i e`Z_kd^c`Z_ d^c`Z_

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * .0

K < JK Jpjk\d:\ek\i)'()
Eine weitere neue Einstellung ist die
E/A-Virtualisierung mit Einzelstamm.
Hierbei handelt es sich ebenfalls um
Hardware-Funktionen von Netzwerkkar-
ten, die jetzt auch in Hyper-V funktionie-
ren. Netzwerkkarten, die diese Funktion
unterstützen, stellen für virtualisierte
Umgebungen implementierte E/A-Kanäle
zur Verfügung, mit denen sich die Karte
gegenüber virtualisierten Servern wie
mehrere Netzwerkkarten verhält.
+B$J\bkfi\e$Lek\ijk•kqle^
In Windows Server 2012 unterstützt
Hyper-V erstmals 4-KByte-Festplatten-
sektoren. Zusätzlich unterstützt Hyper-V
3.0 auch virtuelle Festplatten mit dem
Emulationsformat 512e, mit dem sich
viele Festplatten anmelden, wenn das
Betriebssystem 4K-Sektoren nicht unter-
stützt. Die Firmware der Festplatte spei-
chert ankommende Datenpakete dann in
den vorhandenen 4 KByte-Sektoren.
Bei SANs in Windows Server 2012 lassen
sich Speicherplätze direkt den virtuel-
len Servern zuordnen. In Hyper-V 3.0
können Administratoren mit virtuellen
Fibrechannel-Verbindungen den virtuel-
len Servern direkt Zugriff auf das SAN
gewähren. Das verbessert die Leistung
und erlaubt die Anbindung von Hyper-
V-Hosts an mehrere SANs. Vor allem bei
der Live-Migration kann das einen echten
Mehrwert bieten. Eine weitere wichtige
Neuerung in diesem Bereich ist die Un-
terstützung von Offloaded Data Transfer
(ODX). Dabei speichert Windows Server
2012 den Datenverkehr zwischen SAN
und Betriebssystem in einem Puffer zwi-
schen. Bei sehr großen Datenmengen
kann Windows Server 2012 solche Ak-
tionen auch ohne das Hostsystem direkt
mit der Steuerungssoftware des SANs
erledigen.
Jpjk\d:\ek\i:fe]`^liX$
k`feDXeX^\i)'()JG(
Das zweite wichtige Produkt des Pakets ist
der System Center Configuration Manager
(SCCM). Ab dem SP1 arbeitet er auch mit
Windows Server 2012 und Windows 8
zusammen. Auch Surface-Geräte und an-
dere Tablets mit Windows RT lassen sich
mit SCCM 2012 verwalten, nachdem das
SP1 installiert ist. Für Unternehmen, die
/' 8L J >8 9 < '* $)' ( * 8;D@E
Windows 8 Enterprise Edition einsetzen,
gibt es unter dem Namen »Windows To
Go« die Möglichkeit, das Betriebssystem
auf einem USB-Stick oder einer externen
Festplatte zu installieren, ganz ohne Vir-
tualisierung (8YY`c[le^().
Auch der SCCM ist mit Windows Azure
kompatibel und kann über die Cloud Ser-
ver weltweit bereitstellen und verwalten.
Ab dem SP1 arbeiten Windows Server
2012 und Windows Intune zusammen,
das eine Cloud-basierte Verwaltung von
Arbeitsstationen bietet und daher eigent-
lich in Konkurrenz zu System Center
Configuration Manager 2012 steht. Wäh-
rend Windows Intune für die Verwaltung
von Clients über die Cloud optimiert ist,
zum Beispiel für Heimarbeitsplätze und
kleinere Niederlassungen, zeigt SCCM
2012 vor allem in Windows-Netzen seine
Stärken. In Zusammenarbeit kombinie-
ren die beiden Produkte ihre Stärken
(8YY`c[le^)).
Dabei lassen sich zum Beispiel die Ver-
waltungsaufgaben von Windows Intune
in die Verwaltungskonsole von System
Center Configuration Manager 2012 ein-
binden. Zukünftig wird es keine Geräte-
lizenzen, sondern Benutzerlizenzen
geben. In Windows Intune rückt also
genauso wie im SCCM der Benutzer in
den Mittelpunkt. Jeder Benutzer darf
dann bis zu fünf verwaltete Geräte nut-
zen. Zusätzlich soll es eine Lizenz für
Windows Intune geben, die es ermög-
8YY`c[le^)18Y[\dJG(XiY\`k\kN`e[fnj@ekle\d`kJpjk\d:\ek\i:fe]`^liXk`feDXeX^\i)'()qljXdd\e%
licht, an Windows Intune angebundene
Geräte auch mit SCCM 2012 zu verwal-
ten. Daher bietet Microsoft zukünftig für
Unternehmen, die System Center 2012
einsetzen, reduzierte Preise für Windows
Intune an.
Ab Service Pack 1 lassen sich auch Win-
dows-8-optimierte Apps sowie Apps für
Windows Phone 8 und Windows RT zur
Verfügung stellen. Die Verwaltungskon-
solen der verschiedenen System-Center-
Produkte sind jetzt auch auf Windows 8
installierbar.
Als integrierte Lösung verbessern Win-
dows Intune und System Center Con-
figuration Manager die Sicherung und
Verwaltung von Windows-8-PCs, Win-
dows-RT-Tablets und Windows-Phone-
8-Smartphones. Auch Geräte von Apple
und Android-basierten Plattformen kön-
nen in die Administration eingebunden
werden, genauso wie Rechner mit OS X
und Linux. Configuration Manager 2012
enthält Agenten für beide Plattformen;
Linux-Rechner unterstützen aber nur die
Inventarisierung der Hardware und das
Verteilen von Software. Bei OS X können
Administratoren auch verschiedene Ein-
stellungen vornehmen.
;XkXGifk\Zk`feDXeX^\i
Data Protection Manager in System Cen-
ter 2012 kann mit dem Service Pack 1
virtuelle Server, die auf SMB-Freigaben
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 Jpjk\d:\ek\i)'() K < JK

besseren Failover 2012 direkt auf das SMB-Protokoll zugrei-

zwischen Cluster-
Knoten. Dabei be-
rücksichtigt Win-
dows Server 2012
die SMB-Sitzungen
der Benutzer und
behält sie auch
bei, wenn der
Administrator vir-
tuelle Dateiserver
zwischen Cluster-
Knoten verschiebt.
Das setzt allerdings
Clients mit Win-
dows 8 und einen
Windows Server
8YY`c[le^*1<`e8jj`jk\ek_`c]kY\`d<ijk\cc\e\`e\j9XZblgj% 2012 voraus.
SMB Direct ist
auf Servern mit Windows Server 2012 ebenfalls ohne weitere Konfiguration
installiert sind, effizienter sichern. So zwischen Rechnern mit Windows Server
lassen sich zum Beispiel virtuelle Server 2012 aktiv. Damit können Server Daten
im laufenden Betrieb sichern, während aus dem Hauptspeicher eines Systems
eine Live-Migration stattfindet. Windows über das Netzwerk auf einen anderen
8 und Windows Server 2012 verwenden Server übertragen, der aktuell Kapazitä-
dazu das neue SMB-3-Protokoll, das für ten frei hat. Damit diese Funktion nutzbar
den optimierten Zugriff auf Netzlaufwerke ist, müssen die eingebauten Netzwerkad-
optimiert ist, etwa für SQL-Server-Daten- apter aber die RDMA-Funktion (Remote
banken oder die Hyper-V-Laufwerke. Die Direct Memory Access) unterstützen und
neue SMB-Version erlaubt mehrere paral- sehr schnell sein. Das sind etwa Adapter
lele Zugriffe auf Dateifreigaben, einzelne der Typen iWARP, Infiniband und RDMA
Zugriffe über das Netzwerk bremsen sich over Converged Ethernet (RoCE). Von
also nicht mehr gegenseitig aus. dieser Technik profitieren hauptsächlich
Zusätzlich ermöglicht SMB 3 beim Ein- Hyper-V und SQL Server 2008 R2/2012.
satz auf geclusterten Dateiservern einen Auch Hyper-V kann in Windows Server
fen. Damit müssen die virtuellen Fest-
platten von Hyper-V 3.0 (VHDX) nicht
direkt auf dem Hyper-V-Host gespeichert
sein, sondern können auf einer Freigabe
im Netzwerk liegen. Der Zugriff ist dann
mit SMB Multichannel, SMB Direct und
Hyper-V over SMP sehr schnell. Auch
hochverfügbare Lösungen wie Live-Mig-
ration profitieren davon. Der gemeinsame
Datenträger des Clusters muss sich dann
nicht mehr in einem teuren SAN befin-
den, sondern es reicht ein Server mit
Windows Server 2012 und ausreichend
Speicherplatz.
Cluster Shared Volume (CSV), der für
Hyper-V notwendige Dienst für gemein-
same Datenträger in Clustern, unterstützt
jetzt ebenfalls das SMB-3-Protokoll und
dessen neue Funktionen.
;\[lgc`q`\ile^
Der Data Protection Manager arbeitet
mit der neuen Deduplizierungstechnik
in Windows Server 2012 zusammen,
die doppelte Dateien in Freigaben findet
und so Speicherplatz sparen hilft. Der
DPM unterstützt dank des SP1 auch den
Online-Backup-Dienst Windows Azure
Online Backup und sichert Daten dann
auf Wunsch in der Cloud. Ein Assistent
hilft bei der Auswahl der Daten und der
gewünschten Backup-Startzeit (8YY`c$
[le^*). 

A8?I<J$;M;)'()
INKLUSIVE:
te
Der komplet12
Jahrgang 20 !

■8ik`b\cqlJkfiX^\#9XZblg#J\Zli`kp#Dfe`kfi`e^#
M`iklXc`j`\ile^l%m%d%
■QldC\j\eXd9`c[jZ_`idf[\i8lj[ilZb\e1
G;=le[?KDC$=fidXk
■J\XiZ_<e^`e\]•i8ik`b\c$Mfcck\ok$JlZ_\

A\kqk^c\`Z_Y\jk\cc\e
nnn%X[d`e$dX^Xq`e%[\&;M;)'()
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < f[\i'/0$00*+(($''
8;D@E
ADMIN Netzwerk & Security
8L J >8 9 < '* $)' ( * /(
 K < JK Jpjk\d:\ek\i)'()
8YY`c[le^+1;XkXGifk\Zk`feDXeX^\i)'()JG(bXeeXlZ_N`e[fnjJ\im\i)'()j`Z_\ie%
Daten auf Servern mit Windows Server
2012 online zu sichern, setzt noch zu-
sätzlich einen speziellen Agenten R*T vo-
raus. Das Backup und die Wiederherstel-
lung lassen sich dann über die GUI der
Windows-Datensicherung starten (8Y$
Y`c[le^ +). Auch eine Steuerung über
die Powershell ist möglich, die dazu ein
eigenes Modul bietet.
Fec`e\9XZblg
Der Online-Backup-Service unterstützt
auch inkrementelle Sicherungen, bei
denen es dann nur die geänderten Blö-
cke überträgt. Die Daten der Sicherung
werden durch den Agenten verschlüsselt
übertragen und auch so in Azure gespei-
chert. Nach der Sicherung überprüft der
Online-Backup-Service automatisch die
Integrität der Daten. Windows Azure On-
line Backup ist allerdings kein kostenlo-
ser Dienst, sondern muss zusätzlich zu
DPM 2012 lizenziert werden.
Ab SP1 unterstützt der Data Proction Ma-
nager das ReFS-Dateisystem (Resilient File
System, unverwüstliches Dateisystem) in
Windows Server 2012. Neben höherer Ge-
schwindigkeit und Robustheit erlaubt das
Dateisystem tiefere Ordnerstrukturen und
längere Dateinamen. Außerdem sollen
keine Daten verloren gehen, da das neue
Dateisystem eine verbesserte Version der
Schattenkopien mitbringt. ReFS Daten-
träger beherrschen eine Größe von 16
Exabyte. Berechtigungen lassen sich auf
ReFS-Datenträger genauso vergeben wie
in NTFS. Die Zugriffsschnittstelle (API),
/) 8L J >8 9 < '* $)' ( *
mit der das neue Dateisystem kommu-
niziert, entspricht dem von NTFS. Das
Dateisystem unterstützt derzeit allerdings
keine Bootmedien von Windows Server
2012. In Windows 8 ist ReFS aktuell nicht
integriert.
Fg\iXk`fejDXeX^\i)'()
System Center Operations Manager ar-
beitet dank des SP1 auch mit dem IIS 8
von Windows Server 2012 zusammen.
Sharepoint 2010/2013 sowie Team Foun-
dation Server 2010/2012 lassen sich mit
dem Operations Manager überwachen.
Weitere Neuerungen sind das Monito-
ring von Computern mit CentOS, Debian
und Ubuntu, sowie die Unterstützung
der neuen dynamischen Zugriffskont-
rolle (Dynamic Access Control, DAC) von
Windows Server 2012. In diesem Bereich
kann OPS 2012 auch die Leistung und
Verfügbarkeit der Komponenten besser
beurteilen und darstellen. Die neue Ver-
sion erkennt zum Beispiel, an welchem
Port eines Switches ein überwachter Ser-
ver angeschlossen ist und kann ihn in das
Monitoring aufnehmen.
Um einzelne Anwendungen im Netzwerk
besser zu überwachen, bietet OPS 2012
auch die Unterstützung von Java-JEE-
Webanwendungen, zum Beispiel Web-
sphere 6.1/7, Weblogic 10 und 11, JBoss
und Tomcat. Administratoren können
OPS 2012 auch über eine Webkonsole
verwalten. Auch Webparts für die Ein-
bindung in das eigene Intranet, zum
Beispiel über Sharepoint, stehen zur
8;D@E
Verfügung. Administratoren können sich
in der neuen Version eigene Dashboards
erstellen, die nur die notwendigen In-
formationen enthalten. Die Entwickler
gehen in ihrem Blog auf die Dashboards
und deren Möglichkeiten noch genauer
ein R+T. Zusätzlich bietet die neue Ver-
sion eine noch bessere Verwaltung in der
Powershell.
OPS 2012 arbeitet auch mit dem Sicher-
heitsmodell von Linux zusammen, ohne
dabei immer Root-Rechte vorauszuset-
zen. Nur wenn ein bestimmter Über-
wachungsprozess erweiterte Rechte
benötigt, bekommt er auch unter Linux
mehr Rechte. Um Server effizient zu
überwachen, muss ein Agent des OPS
2012 installiert sein. Offiziell unterstützt
Microsoft dabei die folgenden Linux-/
Unix-Systeme:
■ HP-UX 11i v2 und v3 (PA-RISC und
IA64)
■ Oracle Solaris 9 (SPARC) und Solaris
10 (SPARC und x86)
■ Red Hat Enterprise Linux 4, 5, und 6
(x86/x64)
■ Suse Linux Enterprise Server 9 (x86),
10 SP1 (x86/x64), and 11 (x86/x64)
■ IBM AIX 5.3, AIX 6.1 (POWER), and
AIX 7.1 (POWER)
Zum Download bietet Microsoft das
Unix/Linux Shell Command Template
Management Pack an. Mit diesem lassen
sich in der Verwaltungskonsole von OPS
2012 Regeln erstellen, die Unix-/Linux-
Shell-Befehle zur Überwachung nutzen.
Um solche Regeln einzubinden, ist aller-
dings einiges an Linux-Wissen notwen-
dig. Auf dem Blog R,T gibt es dazu einige
Hinweise. (ofr) ■
@e]fj
R(T J\im`Z\GXZb(1R_kkg1&&k\Z_e\k%d`Zifjf]k%
Zfd&[\$Xk&\mXcZ\ek\i&__,',--'%XjgoT
R)T J pjk\d:\ek\i)'()1
R_kkg1&&nnn%d`Zifjf]k%Zfd&[\$[\&j\im\i&
jpjk\d$Z\ek\i&)'()%XjgoT
R*T 9 XZblg$8^\ek]•i8qli\1
R_kkg1&&nnn%n`e[fnjXqli\%Zfd&[\$[\&
_fd\&]\Xkli\j&fec`e\$YXZblgT
R+T;Xj_YfXi[j`dFg\iXk`feDXeX^\i1
R_kkg1&&Ycf^j%k\Z_e\k%Zfd&Y&dfdk\Xd&
XiZ_`m\&)'((&'0&).&`ekif[lZ`e^$fg\iXk`fej
$dXeX^\i$)'()$[Xj_YfXi[j%XjgoT
R,T C`elo$Dfe`kfi`e^d`kJ_\cc$9\]\_c\e1
R_kkg1&&Zfekfjf%j\&Ycf^&6g4+,0T
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 Computerwissen für Praktiker

Bekannt für Qualität

S. Karbginski, M. Lanzrath

VMware View

 
Virtuelle Windows-Desktops in der vSphere-
Umgebung: virtuelle Maschinen anlegen,
verteilen und verwalten, Endgeräte
vorbereiten, Gäste anpassen
 543 Seiten  ISBN 978-3-936546-67-5
 EUR 59,90 (D)

Thomas Werth Michael Van Canneyt et al.

Penetrations-Tests Lazarus
Angriffe auf Dienste, Programme Klassenbibliothek und IDE
und Netzwerke Plattformübergreifende GUI-Ent-
Firewalls überwinden, SAP-Systeme wicklung für Windows, Mac und
kompromittieren, Webbrowser Linux mit Pascal.
überlisten und Backdoors  768 Seiten
implementieren.
 ISBN 978-3-936546-63-7
 703 Seiten  EUR 49,90 (D)
 ISBN 978-3-936546-70-5
 EUR 49,90 (D)

Dr. Rolf Freitag Christoph Willer

Die Kunst des Verdeckens PC-Forensik

Daten verschleiern, verschlüsseln, Daten suchen und wiederherstellen
zerstören Lehr- und Arbeitsbuch zur Analyse
Alle clientseitigen Maßnahmen, den von PCs mit Windows- und Linux-
Computer und seine Inhalte vor Werkzeugen.
Diebstahl und Spionage zu schützen.  510 Seiten
 366 Seiten  ISBN 978-3-936546-60-6
 ISBN 978-3-936546-65-1  EUR 49,90 (D)
 EUR 29,90 (D)
Probekapitel und Inhaltsverzeichnisse finden Sie auf www.cul.de.
Falls das gewünschte Buch in der Buchhandlung gerade nicht Unser Gesamtprogramm
vorrätig ist, bestellt sie es portofrei innerhalb von 24 Stunden. finden Sie unter:

Computer & Literatur Verlag

C&L-Bücher erhalten Sie im gut sortierten Buch- und Fachhandel oder über www.cul.de
 K < JK 8iZ_C`elo
C`eloJ\im\i]Xjk]ifdJZiXkZ_
Ÿ:Xicfj:X\kXef#()*I=
Ql[\eNliq\ce
8iZ_C`elo_Xkj`Z_`e[\ec\kqk\eq\_eAX_i\eql\`e\igfglc€i\eC`elo$
;`jki`Ylk`fe]•i]fik^\jZ_i`kk\e\8en\e[\i\ekn`Zb\ck#[`\JkXY`c`k€kle[
8bklXc`k€k^c\`Z_\idX\eY`\k\k%K_fdXj;i`cc`e^
Wer als Administrator seinen eigenen
Linux-Server aufsetzen möchte, greift
häufig entweder zu Debian, einem RHEL-
Klone wie CentOS oder bucht – sofern
Hersteller-Support gewünscht ist – eine
Enterprise-Subskription bei Red Hat,
Oracle oder Suse. Für spezielle Anforde-
rungen, etwa einem Small-Business- oder
Groupware-Server, stehen darüber hinaus
noch eine Reihe von Appliances parat.
8iZ_C`elo
Arch Linux R(T baut nicht auf einer be-
kannten Distribution wie Debian, Ubuntu
oder Red Hat auf, sondern wurde von
Grund auf eigenständig konzipiert. So
entstand eine nach dem Prinzip der Ein-
fachheit R*T entwickelte, für 32- und
64-Bit-x86-Systeme optimierte Distribu-
tion. Da Arch Linux mit seinem minima-
listischen Ansatz auf grafische Installa-
tions- und Konfigurationshilfen verzich-
tet, eignet sich die von Judd Vinet Anfang
2001 ins Leben gerufene Linux-Variante
mit Anleihen an BSD und Crux-Linux nur
für erfahrene Nutzer.
Arch Linux wird heute unter Leitung von
Aaron Griffin weiterentwickelt, der Vinet
2007 als Projektleiter ablöste. Ihm zur
Seite steht ein 25 Leute zählendes Kern-
/+ 8L J >8 9 < '* $)' ( * 8;D@E
Team, sowie eine Anzahl sogenannter
Trusted User aus der Community. Die
große Popularität unter Nerds hat im Zu-
sammenhang mit der weithin gelobten
Stabilität inzwischen eine ganze Reihe
von Arch-Derivaten hervorgebracht,
die sich unter anderem durch grafische
Konfigurationswerkzeuge und eine GUI-
basierte Paketverwaltung auszeichnen.
Besonders populär sind Chakra Linux R+T
und Manjaro R,T. Letzteres ist ein noch
sehr junger Arch-Abkömmling mit eige-
nem Setup-Programm, selbst entwickel-
ter grafischer Oberfläche zur Pacman-
Paketverwaltung und mit Xfce-, Gnome-,
KDE- oder Cinnamon-Desktop.
Seit Sommer letzten Jahres verwendet
Arch Linux ein im Vergleich zu den Vor-
gängern geändertes Release-Modell, das
jeden Monat ein aktualisiertes Installa-
tionsmedium mit datumsbezogenen Ver-
sionierungsschema herausgibt. Demnach
hört die aktuelle Version auf den Namen
„archlinux-2013.03.01“.
8iZ_$<`^\ejZ_X]k\e
Wie schon gesagt, wurde Arch Linux von
Grund auf neu entwickelt und setzt auf
keine andere Distribution auf. Es kom-
biniert den vergleichsweise einfachen
Aufbau eines BSD-Systems (oder Slack-
ware) mit einer auf Kommandoebene mit
Debian vergleichbaren Paketverwaltung
und dem intelligenten Build-System R-T
von Gentoo (siehe BXjk\e Ù8iZ_ 9l`c[
Jpjk\dÈ). Wie bei Gentoo sind die ein-
zelnen Releases daher nichts anderes, als
Snapshots vom jeweiligen Entwicklungs-
stand. Der einfache Aufbau impliziert
aber keineswegs die Verwendung veral-
teter Komponenten. So kommt etwa seit
Oktober letzten Jahres standardmäßig
»systemd« als Init-System zum Einsatz.
Die Arch-Entwickler legen großen Wert
auf die Dokumentation und eine sich an
gängigen Standards orientierende Konfi-
guration, sodass Anwender in vielen Fäl-
len allgemein zugängliche Linux-Howtos
verwenden können, ohne auf distribu-
tionsspezifische Eigenheiten achten zu
müssen.
GXb\km\inXckle^
Arch Linux ist wie die meisten Distribu-
tionen für den Einsatz von Binär-Paketen
konzipiert, verwendet aber weder RPM-
noch Deb-Pakete, sondern ein eigenes
Format ähnlich dem von Slackware, das
die selbst entwickelte, Apt-ähnliche Pa-
ketverwaltung Pacman organisiert. Zu-
sammen mit dem im BXjk\eÙ8iZ_9l`c[
Jpjk\dÈ beschriebenen Mechanismus
lassen sich wie bei Gentoo auch neue
Pakete für Software bauen, für die ledig-
lich der Sourcecode verfügbar ist.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 8iZ_C`elo K < JK

Pacman ist ein speziell für kann beispielsweise eine GPT-

Arch Linux entwickelter, kom- Partitionstabelle mit »mkla-
mandozeilenorientierter Pa- bel« erzeugen. Das hier ge-
ketmanager, der inzwischen zeigte Beispiel verwendet ein
auch bei einigen anderen Dis- MBR-Layout mit 500 MByte
tributionen verwendet wird. großer Boot- und einer zwei
Pacman löst Abhängigkeiten GByte großen Swap-Partition.
auf und lädt bei Bedarf alle System- und Home-Partition
benötigten Pakete von den dagegen verfrachtet es ab-
Arch-eigenen Paketquellen weichend von der Standard-
herunter, ähnlich wie bei De- Installationsanleitung in ein
bians Apt-System. Pacman LVM-Volume.
kommt bei Arch Linux auch Nach dem Partitionieren mit
dann zum Einsatz, wenn Fdisk ist ein Reboot fällig,
die zu installierenden Pakete um die neue Partitionstabelle
in einer lokalen Quelle vor- 8YY`c[le^(1;`\*)$le[-+$9`k$M\ij`fe\en\i[\emfd^c\`Z_\e;Xk\eki€^\i einzulesen. Das Erstellen der
liegen. Das ist zum Beispiel `ejkXcc`\ik% benötigten Volumegroup ist
dann der Fall, wenn sie vom mit
Arch Build System (ABS) just in time 64-Bit-Version wählen. Wie üblich liefert
pvcreate /dev/sda3
erstellt wurden. Seit der Version Januar »[Tab]« eine paar nützliche Start-Optio- vgcreate vg_arch /dev/sda3
2012 unterstützt Pacman auch das Über- nen, etwa »ide-legacy« bei Problemen mit
prüfen digital signierter Pakete und räumt IDE-Laufwerken oder »noapic acpi=off«, schnell erledigt, wobei die hier gewählten
mit einem der häufigsten Kritikpunkte an »pci=routeirq« oder »nosmp« bei Boot- Namen und Größen beispielhaft sind. Die
früheren Arch-Linux-Versionen auf. Problemen. benötigten logischen Laufwerke für Home
Die Arch-Linux-Entwickler stellen in ih- Nach dem Booten des Installationsker- und Swap werden werden dann zum Bei-
rem gut bestücktem Wiki R.T eine sehr nels meldet sich Arch Linux mit einer spiel mit »lvcreate -n -L 5G lv_home vg_
detaillierte und umfangreiche Instal- einfachen Kommandozeile und meldet arch« angelegt. Bei der System-Partition
lationsanleitung R/T für Einsteiger zur automatisch den Benutzer Root an. Mit verwendet man zur Größenspezifikation
Verfügung. Darüber hinaus existiert ein »loadkeys de« lässt sich dann für die wei- nicht »-L Größe in GB«, sondern ermittelt
ebenso ausführliches E-Book R0T mit tere Installation das deutsche Tastatur- zuvor mit »vgdisplay« die Anzahl ma-
dem Titel „Arch Linux – Die Grundin- layout einstellen. Optional stehen auch ximal noch verfügbarer „PEs“ (physical
stallation und mehr“ von Farid Mesbahi, Layouts für Akzenttasten und Nodead- extends) und verwendet als Parameter
sodass sich der Autor im Folgenden auf keys zur Verfügung. Da bis dato noch das für die Größe dann »-l Anzahl PEs«.
die notwendigsten Handreichungen be- englische Default-Layout eingestellt ist,
lvcreate -n -l 3202 lv_sys vg_arch
ziehungsweise etwaige Besonderheiten muss die Bestätigung mit »[z]« erfolgen.
oder Aktualisierungen beschränkt. Anschließend lassen sich die benötigten
=\jkgcXkk\le[ Dateisysteme mit »mkfs« anlegen. Dabei
8iZ_C`eloJZ_i`kk]•i ;Xk\`jpjk\d\ ist es empfehlenswert, mit dem Para-
JZ_i`kk meter »-L« Labels zur Bezeichnung der
Anschließend muss der Admin die Fest- Dateisysteme zu verwenden.
Arch Linux stellt nur ein einziges ISO- platte mit Fdisk (MBR), Parted oder Gfdisk
mkfs.ext4 -L arch_sys /dev/mapper/vg_arch/5
Image für 32- und 64-Bit-Systeme zur (GPT) manuell partitionieren. Achtung: lv_home
Verfügung. Erst beim Booten mit dem Partitionen größer zwei TByte setzen
von R('T heruntergeladenen Dual-ISO zwingend eine Partitionstabelle vom Typ Auch das Mounten der Partitionen und
kann der Admin zwischen der 32- und GPT (GUID Partition Type) voraus. Parted Aktivieren des Swap-Bereiches muss der

8iZ_9l`c[Jpjk\d89J
<`e 8iZ_$GXb\k `jk €_ec`Z_ n`\ \`e JcXZbnXi\$
GXb\ki\Z_k\`e]XZ_jkilbkli`\ikle[e`Z_km`\c
d\_i Xcj \`e bfdgi`d`\ik\j kXi$8iZ_`m% ;Xj
\ek_€ckXcc\i[`e^je\Y\e[\eql`ejkXcc`\i\e[\e
Hl\cc[Xk\`\e\`e\;Xk\`¾%GB>@E=F½d`kj€dkc`$
Z_\e D\kX$;Xk\e# n\cZ_\ [`\ GXb\km\inXckle^
GXZdXeYiXlZ_k%<`e\\c\d\ekXi\Bfdgfe\ek\
mfe8iZ_C`elo`jkql[\d[Xj8iZ_9l`c[Jpjk\d%
;XY\` _Xe[\ck \j j`Z_ ld \`e\ [\e 9J;$Gfikj
€_ec`Z_\GXb\km\inXckle^%@dQ\ekildmfe89J
jk\_k \`e\ ]•i a\[\j Gif^iXdd mfi_Xe[\e\
K\ok[Xk\` d`k [\i 9\q\`Z_ele^ ¾GB>9L@C;½%
J`\ \ek_€ck 8en\`jle^\e qld ?\ilek\icX[\e
le[ Bfe]`^li`\i\e [\j a\n\`c`^\e Gif^iXddj%
;\i8en\e[\ibXeed`k[\i;Xk\`¾GB>9L@C;½
a\[\j `e [\i GXb\km\inXckle^ mfe 8iZ_ \ek_Xc$
k\e\Gif^iXdd[liZ_?`eql]•^\e\`e\jGXkZ_\j
jg\q`\ccXej\`e\\`^\e\e9\[•i]e`jj\eXegXjj\e%
Qld8lj]•_i\e[\i`e¾GB>9L@C;½\ek_Xck\e\e
8en\`jle^\e bfddk [Xj Kffc ¾dXb\gb^½ qld
<`ejXkq% ;Xj •Y\ij\kqk \ekn\[\i Hl\ccgXb\k\
f[\iY\i\`k\kqld9\`jg`\c^\gXkZ_k\GXb\k\qld
@ejkXcc`\i\e[liZ_¾gXZdXe½mfi%=\ie\i^`Yk\j
efZ_[Xj8iZ_$C`elo$I\gfj`kfipLj\i$:fddle`kp
8LI %@e[\dbee\e8iZ_$C`elo$8en\e[\i[\i
>\d\`ejZ_X]k\`^\e\GB>9L@C;j]•ie`Z_klek\i$
jk•kqk\Gif^iXdd\qliM\i]•^le^jk\cc\e%8lZ_
8LIY\elkqk¾dXb\gb^½qld<ijk\cc\emfeGX$
b\k\e]•iGXZdXe%89J\id^c`Z_kXY\iXlZ_\`e
mfccjk€e[`^\jE\lYXl\e[\j^\jXdk\eJpjk\dj%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * /,

K < JK 8iZ_C`elo
Admin selbst übernehmen.
Zunächst mountet er die Root-
Partition zum Beispiel nach
»/mnt«; danach die Home-
und Boot-Partitionen an die
vorgesehenen Mount-Punkte
»boot« und »home« relativ
zu »/mnt«, die vorher mit
»mkdir« anzulegen sind.
mount /dev/mapper/ 5
vg_arch-vg_sys /mnt
mount /dev/mapper/ 5
vg_arch-vg_home /mnt/home 8YY`c[le^)1;XjB•iq\e[\iD`iific`jk\Xl]eX_\^\c\^\e\Jg`\^\cj\im\iYi`e^k
mount /dev/sda1 /mnt/boot >\jZ_n`e[`^b\`kjmfik\`c\%
Danach kann der Admin den
Swap-Bereich mit »swapon /dev/sda2«
aktivieren, sofern er die Swap-Partition
zuvor mit »mkswap /dev/sda2« forma-
tiert hat.
8l]j\kq\e[\j9Xj`j$
Jpjk\dj
Vor dem Aufsetzen des Basis-Systems
muss man eine Netzwerkverbindung
herstellen. Ist im Netz ein DHCP-Server
aktiv, sollte die Netzwerkverbindung von
Haus aus funktionieren. Weitere mögli-
che Netzwerk-Setups mit und ohne Rou-
ter, DSL-Modem oder per WLAN erläutert
die ausführliche Installationsanleitung.
Danach geht es an die Konfiguration des
Paketmanagers Pacman. Dabei kann der
Admin etwa den gewünschten Spiegel-
server aussuchen und der Datei »/etc/
pacman.d/mirrorlist« hinzufügen. Am
einfachsten ist es, eine Kopie der vor-
handenen Mirrorlist anzulegen und dann
in der Originaldatei die nicht benötigten
Zeilen im Editor zu entfernen.
Das ist selbstverständlich nicht zwin-
gend. Ein Reduzieren auf die näheren
deutschen Server kann aber in der Praxis
bei der Installation einen Geschwindig-
keitsvorteil von bis zu 30 Minuten brin-
gen. Zum Aufsetzen des Basis-Systems
installiert der Admin zunächst die Grup-
pen »base« und »base-devel« mit Hilfe
des »pacstrap«-Kommandos nach »/mnt«.
In »base-devel« stecken unter anderem
wichtige Build-Tools, wie etwa »make«
und »automake«, die es unter anderem
ermöglichen, zusätzliche Software aus
dem AUR-Repository zu installieren:
pacstrap /mnt base base-devel
Ist das Basis-System installiert, kann der
/- 8L J >8 9 < '* $)' ( * 8;D@E
Admin seine »fstab«-Konfigurationsdatei
erzeugen. Das kann er von Hand tun
oder das »genfstab«-Kommando verwen-
den, das die Datei mit den momentan
gemounteten Partitionen bestückt.
genfstab -p /mnt > /mnt/etc/fstab
Das funktioniert wahlweise auch mit der
Label-Bezeichnung, sofern der Admin
diese beim Formatieren mit »mkfs« ge-
setzt hat.
genfstab -Lp /mnt > /mnt/etc/fstab
In der so generierten »fstab« stehen die
benötigten Partitionen nicht mehr relativ
zur Installationswurzel »/mnt«, sondern
korrekt relativ zu »/«. Somit kann der
Admin jetzt das Installationsmedium ver-
lassen und »/mnt« mit »arch-chroot« zum
neuen Systemroot machen.
arch-chroot /mnt
Ab jetzt kann er sich der endgültigen Sys-
temkonfiguration unter »/etc« widmen.
9Xj`j$Bfe]`^liXk`femfe
8iZ_C`elo
Bei Arch Linux kommt Systemd als be-
vorzugtes Init-System zum Einsatz, das
direkt auf die Konfigurationsdateien
unter »/etc« zugreift. Das Setzen einer
deutsch lokalisierten Umgebung in »/etc/
locale.conf« bewerkstelligen die folgen-
den drei Zeilen:
echo LANG=de_DE.UTF-8 > /etc/locale.conf
echo LC_TIME=de_DE.UTF-8 >> /etc/locale.conf
echo LC_COLLATE=C >> /etc/locale.conf
Natürlich kann der Admin die drei Zei-
len auch gleich in eine Datei »/etc/lo-
cale.conf« schreiben. Genauso schnell
klappt das Festlegen der deut-
schen Tastaturbelegung in
»/etc/vconsole.conf« mit
»echo KEYMAP=de-latin1 >
/etc/vconsole.conf«. Ferner
empfiehlt es sich, die »/etc/
vconsole.conf« um folgende
Font-Einträge zu erweitern,
echo FONT=lat9w-16 >> /etc/5
vconsole.conf
echo FONT_MAP=8859-1_to_uni >> 5
/etc/vconsole.conf
Für das Festlegen der Zeitzone
genügt ein einfacher Symlink
auf »/etc/localtime«:
ln -s /usr/share/zoneinfo/Europe5
/Berlin /etc/localtime
Anschließend muss der Admin in der
»/etc/locale.gen« die für Deutschland re-
levanten, auskommentierten Zeilen ent-
kommentieren.
de_DE.UTF-8 UTF-8
de_DE ISO-8859-1
de_DE@euro ISO-8859-15
Das eigentliche Generieren der Locales
erfolgt dann mit »locale-gen«.
E\kqn\ibbfe]`^liXk`fe
Der zu verwendende Hostname ist bei
einer Systemd-konformen Konfiguration
mit »echo hostname > /etc/hostname«
schnell in »/etc/hostname« verankert.
Das Eintragen des Hostnamen als Teil des
vollständigen FQDN in »/etc/hosts« ist
bei aktuellen Versionen von Arch Linux
nicht mehr erforderlich, weil inzwischen
»nss-myhostname« für das Auflösen des
Hostnames zum Einsatz kommt.
Die »/etc/resolv.conf« ist per Default für
den automatischen Adressbezug konfi-
guriert. Möchte der Admin auf statische
Adressvergabe umstellen, kann er das an
dieser Stelle tun und als Nameserver ei-
nen externen DNS-Forwarder eintragen.
Für die weitere Konfiguration des Paket-
managers muss zwingend das Netzwerk
gestartet sein. Sollte das noch nicht der
Fall sein, hilft im Beispiel (mit DHCP) das
Kommando »dhcpcd«, beziehungsweise
die erweiterte Form »dhcpcd enp0s3«.
Die seltsamen Gerätebezeichnungen re-
sultieren aus dem neuen regelbasierten
Udev-System.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

Vor dem Installieren weiterer Pakete steht
prinzipiell das Konfigurieren des Paket-
managers in der Konfigurationsdatei
»/etc/pacman.conf« an. Im Normalfall
sollten allerdings keine Anpassungen
notwendig sein. Der BXjk\e Ù<ekn`Zb$
cle^jqn\`^\È beschreibt die verfügbaren
Paketquellen. Mit »pacman -Sy« bringt
der Admin Pacman dazu, bei Änderun-
gen an den zu verwendenden Paket-
quellen seine Repository-Datenbank neu
einzulesen. Die Liste der Spiegelserver
ist wie oben gezeigt in »/etc/pacman.d/
mirrorlist« zu finden.
Jetzt ist außerdem ein guter Zeitpunkt,
mit »passwd« ein Root-Passwort zu set-
zen. Das funktioniert aber auch später.
B\ie\cle[9ffkcfX[\i
Anschließend muss der Admin unter
Umständen die MODULES- und HOOKS-
Werte des Kernels in »/etc/mkinitcpio.
conf« seinen Vorstellungen und Gegeben-
heiten anpassen. Die auskommentierte
Default-Zeile
HOOKS="base udev autodetect block 5
keyboard keymap filesystems fsck shutdown"
gilt etwa für das Booten von einer SATA-
Festplatte mit einer USB-Tastatur. Die
Datei ist gut dokumentiert und enthält
zahlreiche Beispiele. Ferner finden sich
alle verfügbaren Hooks-Werte im Arch-
Wiki R((T. Für unser Beispiel mit LVM
sind noch die Hooks »lvm2« und gege-
benenfalls »encrypt« zu ergänzen, sollen
die LVM-Partitionen auch verschlüsselt
werden. Der Kernel selbst lässt sich dann
mit »mkinitcpio -p linux« erzeugen.
<ekn`Zbcle^jqn\`^\
;\i ÙgXZbX^\ ki\\È mfe 8iZ_ C`elo ^c`\[\ik
j`Z_ [\iq\`k `e ]•e] <ekn`Zbcle^jqn\`^\% N`\
Y\` Xe[\i\e ;`jki`Ylk`fe\e XlZ_ ]`e[\k [\i
^ik\K\`c[\i<ekn`Zbcle^jXiY\`kqlda\n\`$
c`^\e Q\`kglebk `d ÙK\jk`e^È$Qn\`^ jkXkk% =•i
[\eGif[lbk`m\`ejXkqmfi^\j\_\e\GXb\k\]`e$
[\ej`Z_[X^\^\e`dÙ:fi\È$Qn\`^%8cc\i[`e^j
\ek_€ck :fi\ eli GXb\k\ ]•i \`e d`e`dXc\j
C`elo$Jpjk\d% N`Z_k`^ ]•i \`e ]lebk`fe`\i\e$
[\j9Xj`j$Jpjk\dj`e[Xl\i[\d[`\GXb\k\`d
ÙDlck`c`YÈ$I\gfj`kfip#n`\qld9\`jg`\cj€dkc`$
Z_\GXb\k\]•i[`\o/-V-+$8iZ_`k\bklile[[`\
`-/-$9`Yc`fk_\b\ec`Y*)$! %@dI\gfj`kfipÙ<o$
kiXÈ]`e[\ej`Z_GXb\k\#[`\e`Z_kqn`e^\e[]•i
\`e 9Xj`jjpjk\d ^\YiXlZ_k n\i[\e# XY\i qld
9\`jg`\c Xcj 8ck\ieXk`m\e ]•i [`\ :fi\$GXb\k\
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
Jetzt ist es an der Zeit, sich für einen
Bootloader zu entscheiden. In den Pac-
man-Paketquellen sind Syslinux und
Grub 2 verfügbar. Das Installieren der
Grub-2-Software kann beispielsweise mit
»pacman -S grub-bios« erfolgen.
Zum Erzeugen der Konfiguration dient
grub-mkconfig -o /boot/grub/grub.cf
grub-install /dev/sda
Ist das erledigt, sollte das neu installierte
Arch-Linux-Basis-System problemlos
booten, nachdem der Admin mit »exit«
und »umount /dev/sda1« wieder zum
Installationsmedium zurückgekehrt ist.
Im Zusammenhang mit LVM ist es gut
und nützlich, Grub 2 zu verwenden, weil
er LVM per Default unterstützt. Wer auf-
grund der einfacheren Konfiguration lie-
ber Grub 1 benutzt, der muss zwingend
darauf achten – wie im Beispiel – »/boot«
in einer separaten physischen Partition
außerhalb einer LVM-Group verfügbar zu
machen, damit Kernel, Grub-Config und
Initramfs beim Booten gelesen werden
können. Wer lieber »syslinux« verwendet,
kann dieses jetzt oder bereits beim Auf-
setzen des Basis-Systems mit »pacstrap
/mnt base base-devel syslinux« installie-
ren. Das Schreiben von Syslinux in den
MBR erfolgt dann mit:
syslinux-install_update -i -a -m -c /mnt
Zum Konfigurieren von »syslinux« muss
der Admin allerdings Hand anlegen. Bei-
spiele für eine funktionsfähige »/boot/
syslinux/syslinux.cfg« finden sich eben-
falls im Arch-Linux-Wiki R()T.
Eine grafische Oberfläche oder weitere
Benutzer gibt es bis dato noch nicht. Der
qld<`ejXkqbfdd\ebee\e%GXb\k\#[`\mfe
jf^\eXeek\e Kiljk\[ Lj\ij \ijk\cck nli[\e#
]`e[\e j`Z_ [X^\^\e `d Ù:fddle`kpÈ$Qn\`^%
;\i Qn\`^ ÙLejlggfik\[È$I\gf \ek_€ck b\`e\
GXb\k\#jfe[\ieY\q\`Z_e\k[`\9\i\`kjk\ccle^
mfeGB>9L@C;j`dfY\e\in€_ek\e8iZ_$C`elo$
Lj\i$:fddle`kp$I\gfj`kfip8LI %E\Y\e[\d
K\jk`e^$I\gf#^`Yk\jXlZ_efZ_ÙDlck`c`Y$k\j$
k`e^È le[ Ù:fddle`kp$k\jk`e^È# [`\ \Y\e]Xccj
`e <ekn`Zbcle^ Y\]`e[c`Z_\ GXb\k\ \ek_Xck\e%
N`\ Y\` Xe[\i\e ;`jki`Ylk`fe\e XlZ_ ^`Yk \j
ql[\d efZ_ `ef]]`q`\cc\ 8iZ_$C`elo$I\gfj# [`\
mfe;i`kk\eqliM\i]•^le^^\jk\cckn\i[\ele[
`e [\i I\^\c e\l\i\ f[\i Xe^\gXjjk\ M\ij`f$
e\emfeGXb\k\eXlj:fi\#<okiXf[\iDlck`c`Y
\ek_Xck\e%
8iZ_C`elo K < JK
Administrator kann sich also bislang nur
mir dem Account »root« und dem mittels
»passwd« vergebenen Passwort an der
Konsole anmelden.
Jpjk\d[
Nach dem ersten Start (8YY`c[le^ *)
ist es Zeit, sich noch einmal der Sys-
temstartkonfiguration zuzuwenden. An
erster Stelle sollte nach dem erneuten
Starten des Netzwerks mit »dhcpcd« der
Start der Netzwerkdienste dauerhaft ein-
gerichtet werden. Bei systemd funktio-
niert das mit
systemctl enable dhcpcd.service
Wahlweise kann der Admin sein Netz-
werk auch manuell konfigurieren oder
den Rechner selbst als Router einrich-
ten. Das Arch-Wiki liefert entsprechende
Anleitungen für zahlreiche Setups mit
DSL-Modem, oder das Einrichten eines
WLANs. Mit »ip addr« (nicht »ifconfig«)
lässt sich die via DHCP vergebene Ad-
resse schnell ermitteln. Was Systemd be-
trifft, ist es noch nützlich, den cronie-Ser-
vice mit »systemctl enable cronie.service«
permanent zu machen. Sollte der Admin
wie im Beispiel ebenfalls ein LVM-ba-
siertes Partitionslayout verwenden, fehlt
noch ein »systemctl enable lvm.service«.
Nach einem weiteren Reboot kann sich
der Admin endgültig um das individuelle
Einrichten seines Arch-Linux-Systems
kümmern.
O((le[B;<
Admins, die mit Arch Linux einen schnel-
len und stabilen Server betreiben möch-
ten, haben jetzt bereits ein funktions-
fähiges Basis-System und können sich
wie gewohnt dem Installieren und Kon-
figurieren der benötigten Server-Dienste
wie etwa Apache, Samba oder LDAP
kümmern. Da Arch Linux weitgehend
LFS-konform ist und Sonderwege wann
immer möglich meidet, sollte das jedem
versierten Admin mit entsprechendem
Linux-Know-how (soweit nötig unter
Zuhilfenahme allgemein zugänglicher
Linux-Dokumentationen oder dem Arch-
Linux-Wiki wie R(*T oder R(+T) gelingen.
Wer jedoch eine grafische Oberfläche be-
nötigt, kann sich im Folgenden dabei an
der in dieser Hinsicht sehr detaillierten
8;D@E 8L J >8 9 < '* $)' ( * /.
K < JK 8iZ_C`elo

8YY`c[le^*1;\i\ijk\Cf^`e\i]fc^kXe[\iBfddXe[fq\`c\% 8YY`c[le^+1<`e\\`e]XZ_\¾%o`e`kiZ½]•i[\eB;<$JkXik%

Installationsanleitung orientieren. Ein
X11-Basissystem ist durch das Installieren
der folgenden Pakete schnell aufgesetzt.
pacman -S xorg-server xorg-xinit 5
xorg-utils xorg-server-utils
Die Abhängigkeitsauflösung von Pacman
sorgt dabei gegebenenfalls für das er-
forderliche Nachziehen der »libgl« nebst
weiterer Abhängigkeiten zur »libgl«, wie
etwa die Mesa-Bibliotheken.
Im Arch-Wiki R(,T findet sich außerdem
eine Liste der in den Arch-Repositories
verfügbaren Open-Source-Treiber. Sogar
der VirtualBox-Gastsystem-Treiber »vir-
tualbox-guest-utils« ist darunter, der in
unserem Beispiel zum Einsatz kommt,
da wir Arch Linux in einer virtuellen
Maschine installieren. Dessen Auswahl
in Pacman zieht folgerichtig auch das
Installieren der VirtualBox-Kernel-
Sourcen in Form des Paketes »virtual-
box-guest-dkms« nach sich.
Wer gar nicht weiß, welcher Video-Trei-
ber der richtige ist, installiert einfach
das Paket »xorg-drivers«. Xorg sucht
sich dann selbst den Passenden aus.
Das Arch-Wiki hält übrigens für Nvidia
R(-T, Ati R(.T und Intel R(/T detaillierte
Anleitungen parat. Selbstverständlich
braucht auch X11 eine deutsche Tasta-
turbelegung, was man bekanntlich mit
einer passenden Sektion der zentralen
Xorg-Konfigurationsdatei löst. Die ist
bei Arch Linux wie inzwischen auch an-
derswo üblich auf mehrere Dateien in »/
etc/X11/xorg.conf.d« verteilt, wobei die
vorangestellte Ziffer die Reihenfolge der
Abarbeitung bestimmt. Für die Keyboad-
Einstellungen verwendet man »/etc/X11/
xorg.conf.d/20-keyboard.conf«.
Section "InputClass"
Identifier "keyboard"
MatchIsKeyboard "yes"
Option "XkbLayout" "de"
Option "XkbVariant" "nodeadkeys"
EndSection
Wer mag, kann an dieser Stelle noch ei-
nige hübschere TrueType-Fonts installie-
ren, von denen sich in den Paketquellen
einige finden R(0T. Jetzt braucht es nur
noch ein Init-Skript für X11. Empfehlens-
wert ist eine lokale ».xinitrc« im eigenen
Heimatverzeichnis. Die erhält der Admin
etwa durch Kopieren der mitgelieferten
Beispieldatei aus »/etc/skel/« in das
Home-Verzeichnis des jeweiligen Benut-
zers. Gibt es die Datei nicht, nimmt das
System automatisch die globale »/etc/
X11/xinit/xinitrc«, welche allerdings für
die Verwendung von TWM und Xterm
konfiguriert ist. Ein Beispiel für den
Start mit einem der gängigeren Desktops
(KDE, Gnome, XFCE, LXDE) lässt sich
der Installationsanleitung R(,T entneh-
men. Für KDE sieht das so aus wie in
8YY`c[le^+.
Ein Benutzer wird – soweit noch nicht
geschehen – wie üblich mit »useradd -m
-g users -s /bin/bash Name« angelegt.
Ein einfacher Start des X-Servers kann
jederzeit mit »startx« erfolgen. Da sich
der Konfigurator im Beispiel bereits für
KDE entschieden hat, ist das Installieren
eines KDE-Basissystem mit
pacman -S kde kde-l10n-de
schnell erledigt. Weitere Details zur KDE-
Installation verrät wiederum das Arch-
Wiki R)'T.
Nach dem Abmelden als root und dem
Neuanmelden als Benutzer sollte sich
KDE durch einen Aufruf von »startx« pro-
blemlos starten lassen (8YY`c[le^,).

@e]fj
R(T 8iZ_C`elo1R_kkgj1&&nnn%XiZ_c`elo%[\T
R)T C`elo]ifdjZiXkZ_1R_kkg1&&nnn%c`elo]ifdjZiXkZ_%fi^&T
R*T B@JJ$Gi`eq`g`\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&B@JJ$Gi`eq`gT
R+T :_XbiXC`elo1R_kkg1&&nnn%Z_XbiX$gifa\Zk%fi^T
R,T DXeaXif1R_kkg1&&dXeaXif%fi^T
R-T >\\ekff9l`c[$Jpjk\d1R_kkg1&&nnn%^\ekff%fi^&[fZ&[\&_Xe[Yffb&
_Xe[Yffb$o/-%odc6gXik4)Z_Xg4(T
R.T 8iZ_$C`elo$N`b`1R_kkgj1&&n`b`%XiZ_c`elo%[\T
R/T @ejkXccXk`fejXec\`kle^?KDC1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&
8ec\`kle^V]:*9:iV<`ejk\`^\iT
R0T <$9ffb8iZ_C`elo1R_kkg1&&nnn%jZ_i\`Y[`Z_k\%[\&[fnecfX[T
R('T;fnecfX[8iZ_$C`elo$@JF1R_kkgj1&&nnn%XiZ_c`elo%fi^&[fnecfX[T
R((T ?ffbj$N\ik\1R_kkgj1&&n`b`%XiZ_c`elo%fi^&`e[\o%g_g&Db`e`kZg`f?
 FFBJT
R()TJpjc`elobfe]`^li`\i\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&
Jpjc`elo_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&Jpjc`eloT
R(*T8gXZ_\1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&8gXZ_\Vle[VG?GT
R(+TJXdYX1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&JXdYXT
R(,TO((le[8cjXbfe]`^li`\i\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&
8ec\`kle^V]:*9:iV<`ejk\`^\iK\`cV)1V@ejkXccXk`feVmfeVOVle[V
Bfe]`^liXk`feVmfeV8CJ8T
R(-TEm`[`X$BXik\e1R_kkgj1&&n`b`%XiZ_c`elo%[ \&k`kc\&Em`[`XT
R(.T 8k`$BXik\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&8K@T
R(/T@ek\c$BXik\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&@ek\cT
R(0TJZ_i`]kXik\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&JZ_i`]kXik\eT
R)'TB ;<`ejkXcc`\i\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&B[\T
R)(TGXZdXe$Fgk`fe\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&GXZdXeT

// 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


8YY`c[le^,1EXZ_n\e`^\e?Xe[^i`]]\ejkXik\k8iZ_XlZ_gifYc\dcfjd`k[\i
^iX]`jZ_\eFY\i]c€Z_\B;<%
Das rudimentäre KDE-Basissystem lässt
sich mit Pacman durch Installieren einer
Reihe von Meta-Paketen zu einem voll-
wertigen Desktop-System aufrüsten. Alle
Meta-Pakete sind am Names-Bestandteil
„kde-meta…“ zu erkennen, wie zum Bei-
spiel »kde-meta-kdeadmin«, »kde-meta-
kdemultimedia« und so weiter. Wer es
sich einfach machen möchte, installiert
einfach ein Fullsize-KDE-System mit …
pacman -S kde-meta
… und verfügt im Handumdrehen über
einen Kingsize-KDE-Desktop.
8CJ8$N\ibq\l^]•i[\e
^lk\eKfe
Der KDE-Desktop sollte jetzt zwar funk-
tionieren, spielt aber noch keine Sounds
ab. Zwar sprengt das Inbetriebnehmen
verschiedener Hardware-Komponenten
den Rahmen des Beitrags, die Ausgabe
von Ton gehört allerdings zu den ele-
mentaren Funktionen einer Desktop-
Oberfläche.
Die Advanced Linux Sound Architecture
(ALSA) ist eine Komponente des Linux-
Kernels und unter anderem für das Be-
reitstellen von Soundtreibern verantwort-
lich.
Mit Installieren des Paketes »alsa-utils«
gelangt auch das Utility »alsamixer« auf
die Festplatte, mit dessen Hilfe sich Ein-
stellungen für den Soundchip des Main-
boards oder der Soundkarte vornehmen
lassen.
Zu beachten ist, dass der KDE-Benutzer,
der die Konfiguration nutzen soll, ein
Mitglied der Gruppe »audio« sein muss.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
8YY`c[le^-18iZ_C`elod`kB;<$;\jbkfgle[[XebM`iklXcYfo$>Xjkjpjk\d$Ki\`$
Y\i]lebk`fej]€_`^\e:fdgfj`k\$<]]\bk\e`e\`e\im`ikl\cc\eDXjZ_`e\%
Das erreicht man mit der Anweisung:
gpasswd -a Benutzer audio
Jpjk\dXbklXc`j`\i\ed`k
GXZdXe
Der Lohn der ganzen Mühe beim Aufset-
zen eines Arch Linux ist unter anderem,
dass der Admin das gesamte System pro-
blemlos mit »pacman -Syu« aktualisieren
kann. Das beherrschen andere Paketma-
nager zwar auch, bei diesen hängt der
Erfolg aber stets von der Version und von
eingebundenen Paketquellen ab (prob-
lematisch sind meist Testing-Repos und
Backports). Arch Linux dagegen wird im
Rolling-Release-Verfahren veröffentlicht,
sodass ein komplettes Upgrade nahezu
monatlich möglich ist und stets funkti-
oniert. Damit ist das System immer auf
einem aktuellen, stabilen Stand, was sich
auch beim Nachinstallieren einzelner Pa-
kete zeigt.
Das Aktualisieren sämtlicher installierter
Pakete funktioniert genauso einfach mit
»pacman -Su«. Dabei arbeitet Pacman
spürbar schneller, als man es etwa von
Yum (Red Hat) oder Zypper (Suse) ge-
wohnt ist, lässt sich flexibel steuern und
überzeugt etwa im Vergleich zu Apt mit
einer eingängigen Syntax und einer über-
sichtlichen Ausgabe. Selbstverständlich
offenbart das Arch-Wiki auch sämtliche
für Pacman verfügbaren Optionen R)(T.
=Xq`k
Arch Linux kombiniert einen einfachen
Aufbau und aktuelle Technologie mit ei-
8;D@E
8iZ_C`elo K < JK
ner Art Back-to-the-Roots-Gefühl beim
Installieren und Administrieren. Im End-
resultat erhält der Admin ein äußerst
schnelles, stabiles und aktuelles System,
das sich auf einfache und flexible Weise
aktualisieren lässt.
Schnell ist zwar relativ, ein subjektiver
Vergleich mit RHEL oder SLES auf glei-
cher Hardware fällt aber nach mehre-
ren Wochen zuverlässigen Arbeitens mit
Arch Linux auch ohne Benchmarks nicht
schwer: Arch Linux fühlt sich sowohl
beim Booten, als auch beim Installieren
und Aktualisieren von Software mit Pac-
man und beim Starten von Anwendun-
gen flüssiger an und erfreut mit einer
beeindruckenden Stabilität.
Da das Entwickler-Team Paketquellen,
Snapshots neuer Versionen und das Wiki
seit mehr als zehn Jahren zuverlässig
pflegt, bietet sich Arch Linux als zeitge-
mäße Alternative zu Red Hat & Co für all
jene Admins an, die einen Linux-Server
einmal von Grund auf neu aufsetzen
möchten und bei dieser Gelegenheit auf
kommerziellen Support verzichten kön-
nen. (jcb) ■
;\i8lkfi
K_fdXj ;i`cc`e^ `jk j\`k q\_e AX_i\e _XlgkY\$
il]c`Z_ Xcj ]i\`\i AflieXc`jk le[ I\[Xbk\li ]•i
N`jj\ejZ_X]kj$le[@K$DX^Xq`e\k€k`^%<ij\cYjk
n`\XlZ_[XjK\Xdj\`e\jI\[Xbk`fejY•ifjm\i$
]Xjj\ei\^\cd€jj`^9\`ki€^\ql[\eK_\d\eFg\e
JfliZ\#C`elo#J\im\i#@K$8[d`e`jkiXk`fef[\iXlZ_
DXZFJO%8l\i[\dXiY\`k\kK_fdXj;i`cc`e^Xcj
9lZ_Xlkfile[M\ic\^\i#Y\i€kXcj@K$:fejlckXek
bc\`e\le[d`kkc\i\Lek\ie\_d\ele[_€ckMfi$
ki€^\qlC`elo#Fg\eJfliZ\le[@K$J`Z_\i_\`k%
8L J >8 9 < '* $)' ( * /0
 J <: L I @ K P KCJ
ŸDXi`X;ip]_flk#()*I=
NXjmfeKCJ•Yi`^Yc\`Yk
C•Zb\e_X]k\
J`Z_\i_\`k
QX_ci\`Z_\8e^i`]]\_XY\e[`\J`Z_\i_\`kmfeJJC&KCJ$M\ijZ_c•jj\cle^\e
`e[\ec\kqk\eAX_i\e\ijZ_•kk\ik%8Y_`c]\jZ_X]]\en•i[\ee\l\i\JkXe$
[Xi[j#[fZ_[`\j`e[bXldm\iYi\`k\k%?Xeef9Zb
Das TLS-Protokoll (früher SSL) ist die
Grundlage der sicheren Kommunikation
im Internet. Jede Webseite, die über https
aufgerufen wird, verwendet im Hinter-
grund TLS. Doch TLS ist in die Jahre
gekommen. Viele Designentscheidungen
erwiesen sich nach umfangreichen Ana-
lysen als ungünstig und es fanden sich
immer wieder Wege, die Sicherheit des
Protokolls in Frage zu stellen. Die Reakti-
onen darauf sind bislang meist Flickwerk.
Kleine Änderungen am Protokoll konnten
bislang alle Angriffe unterbinden, aber
das Problem ist ein Grundsätzliches.
;`\bliq\>\jZ_`Z_k\mfeJJC
SSL (Secure Socket Layer) wurde ur-
sprünglich von der Firma Netscape ent-
wickelt. 1995, als das World Wide Web
0) 8L J >8 9 < '* $)' ( * 8;D@E
noch in seinen Kinderschuhen steckte,
veröffentlichte der damalige Browser-Mo-
nopolist das Verschlüsselungsprotokoll
SSL Version 2.0 (im folgenden SSLv2).
Eine Version 1 existierte nur intern bei
Netscape.
In SSLv2 wurden schon nach kurzer Zeit
zahlreiche Sicherheitslücken entdeckt.
SSLv2 unterstützte viele Verschlüsse-
lungsalgorithmen, die schon zur damali-
gen Zeit als unsicher gelten mussten, da-
runter etwa der Data Encryption Standard
(DES) in seiner ursprünglichen Form mit
einer Schlüssellänge von nur 56 Bit.
Der Hintergrund für diese Entscheidung:
In den 90ern war die heiße Phase der
sogenannten Crypto Wars. In den USA
waren starke Verschlüsselungstechniken
verboten. Zahlreiche Staaten diskutier-
ten, starke Verschlüsselung nur unter
staatlicher Kontrolle zu erlauben – mit
einem Drittschlüssel, der beim Geheim-
dienst zu hinterlegen wäre.
Kurze Zeit später schob Netscape SSLv3
nach, um zumindest die schlimmsten
Sicherheitsprobleme zu beheben. Wäh-
rend SSLv2 heute nur noch historische
Bedeutung hat und von praktisch allen
modernen Browsern abgeschaltet wird,
ist der Nachfolger nach wie vor im Ein-
satz, man findet heute noch Webserver,
die ausschließlich SSLv3 unterstützen.
Erst danach wurde aus SSL ein Standard.
Damit einher ging die Umbenennung in
TLS (Transport Layer Security), die für
viel Verwirrung sorgt. Im RFC 2246 veröf-
fentlichte die Standardisierungsorganisa-
tion IETF 1999 das Protokoll TLS Version
1.0 (im folgenden TLSv1.0).
Dieses inzwischen vierzehn Jahre alte
Protokoll ist nach wie vor die Grundlage
der Mehrzahl der verschlüsselten Kom-
munikationsverbindungen. Bereits kurze
Zeit später wurde bekannt, dass die Art
und Weise, wie der Verschlüsselungsmo-
dus CBC in TLSv1.0 eingesetzt wurde,
fehleranfällig war. Doch die Probleme
blieben lange theoretischer Natur.
Im Jahr 2006 folgte dann TLSv1.1, das
die gröbsten Schwächen von CBC aus-
bügeln sollte. Zwei Jahre später trat
dann TLSv1.2 auf den Plan, das mit
einigen Traditionen von TLS brach. Doch
TLSv1.1 und TLSv1.2 fristen bis heute
ein Nischendasein. Unterstützung für
beide Protokolle ist auch Jahre später
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

kaum vorhanden – und die einst nur als
theoretisch geltenden Schwächen feiern
inzwischen ein Comeback.
9cfZbZ_`]]i\e#
JkifdZ_`]]i\e
Bei der Kommunikation über eine TLS-
Verbindung kommen grundsätzlich Hy-
bridlösungen zwischen einem Public-
Key-Verfahren und einem symmetrischen
Verschlüsselungsverfahren zum Einsatz.
Zunächst verständigen sich Server und
Client über eine in der Regel mit RSA ab-
gesicherte Verbindung auf einen symme-
trischen Schlüssel. Dieser wird anschlie-
ßend zur verschlüsselten und authentifi-
zierten Kommunikation eingesetzt.
Während der initiale Verbindungsauf-
bau fast immer mit einem RSA-Schlüssel
vonstattengeht, gibt es bei der anschlie-
ßenden Kommunikation einen wahren
Zoo an Kombinationen von Algorithmen.
Zusätzlich zur Verwirrung trägt bei, dass
deren Bezeichnung keinem einheitlichen
Schema folgt. Ein möglicher Algorithmus
wäre etwa ECDHE-RSA-RC4-SHA. Das be-
deutet: Ein initialer Verbindungsaufbau
über RSA, anschließend ein Schlüsselaus-
tausch über das Diffie-Hellman-Verfahren
mit elliptischen Kurven, die Datenver-
schlüsselung erfolgt über RC4 und die
Datenauthentifizierung über SHA1.
Grundsätzlich zu unterscheiden ist bei
der Verschlüsselung zwischen sogenann-
ten Blockchiffren und Stromchiffren. Eine
Blockchiffre verschlüsselt zunächst im-
mer nur einen Block einer festen Länge,
etwa 256 Bit. Eine Stromchiffre kann di-
rekt auf einen Datenstrom, wie er bei ei-
ner Datenverbindung anfällt, angewendet
werden.
Die deutlich gängigeren Verfahren sind
Blockchiffren. Hierbei wird heute in aller
Regel der Advanced Encryption Standard
8YY`c[le^(1;Xj:9:$JZ_\dX`jki\cXk`mj`dg\cXl]^\YXlk%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
(AES) eingesetzt. Dieser Algorithmus
wurde von der US-Standardisierungsbe-
hörde NIST nach einem Wettbewerb un-
ter Kryptografen 2001 veröffentlicht.
Da eine Blockchiffre immer jeweils nur
einen Block einer festen Länge verschlüs-
selt, kann sie nicht direkt auf einen Da-
tenstrom angewandt werden. Hierfür gibt
es verschiedene Modi. Im einfachsten Fall
verschlüsselt man schlicht einen Block
nach dem anderen. Doch dieser soge-
nannte Electronic Codebook Mode (ECB)
ist aus Sicherheitserwägungen wenig
empfehlenswert.
Jf]lebk`fe`\i\e[\i:9:
le[?D8:
Der gängigste und auch heute meist noch
eingesetzte Modus ist der sogenannte
Cipher-Block-Chaining-Modus (CBC).
Dabei wird zunächst der sogenannte Ini-
tialisierungsvektor (IV) als Zufallswert
generiert und mit dem ersten Datenblock
in einer Bit-weisen XOR-Operation ver-
knüpft. Das Ergebnis wird verschlüsselt.
Der nächste Datenblock wird dann mit
dem verschlüsselten ersten Block eben-
falls XOR-verknüpft (das Schema ist in
8YY`c[le^( dargestellt).
Die Verschlüsselung einer Übertragung
mit CBC garantiert allerdings nur, dass
die Daten von einem Angreifer nicht mit-
gelesen werden können. Die Echtheit der
Daten garantiert sie nicht. Daher wird bei
einer TLS-Verbindung vor der Verschlüs-
selung mit CBC das sogenannte HMAC-
Verfahren angewandt. Hier wird aus der
Nachricht und dem Schlüssel ein Hash
gebildet und übertragen.
Die Kombination HMAC und CBC erwies
sich als erstaunlich wackelig. Vor allem
die Entscheidung, zuerst HMAC und
anschließend CBC anzuwenden, stellte
sich als Fehlgriff heraus. Das Problem:
KCJ J <: L I @ K P
Ein Angreifer kann durch Einschleusen
eines fehlerhaften Datenblocks anhand
der zurückgegebenen Fehlermeldung he-
rausfinden, ob das sogenannte Padding,
also das Auffüllen von fehlenden Bytes
in einem Block, einen Fehler verursacht
oder die Überprüfung des HMAC-Hashes.
Denn TLS verschickte in diesen Fällen
in früheren Versionen unterschiedliche
Fehlermeldungen.
Durch das Senden einer großen Zahl feh-
lerhafter Datenblöcke konnte ein Angrei-
fer Details über den verwendeten Schlüs-
sel herausfinden. Diese Form des Angriffs
erhielt den Namen „Padding Oracle“.
Später änderte man das System so, dass
ein Angreifer immer dieselbe Fehler-
meldung erhält. Doch dabei ergab sich
das nächste Problem: Die Antwortzeit
ermöglichte dem Angreifer trotzdem he-
rauszufinden, ob die Überprüfung des
Datenblocks beim Padding oder beim
HMAC-Hash fehlschlug.
Auf diesen Methoden basieren die in
jüngster Zeit bekannt gewordenen An-
griffe BEAST und Lucky Thirteen. De-
tailveränderungen in den Protokollim-
plementierungen unterbanden diese
vorläufig. Doch das gestaltete sich alles
andere als einfach. So zeigte sich zum
Beispiel, dass eine der Änderungen, die
eingeführt wurde, um die BEAST-Attacke
zu verhindern, anschließend eine Form
der Lucky-Thirteen-Attacke gerade erst
ermöglichte.
8lk_\ek`]`q`\ile^le[
M\ijZ_c•jj\cle^
Modernere Blockverschlüsselungsmodi
kombinieren Authentifizierung und Ver-
schlüsselung in einem Schritt. Ein der-
artiger Modus ist etwa der sogenannte
Galois-/Counter-Mode (Abkürzung GCM,
dargestellt in 8YY`c[le^ )). Dieser gilt
zwar als relativ kompliziert, aber im Ge-
gensatz zu anderen Verfahren ist GCM
frei von Patentansprüchen und weist
bislang keine bekannten Sicherheitspro-
bleme auf.
AES mit dem GCM-Verfahren wird von
TLS in der Version 1.2 unterstützt. In al-
len früheren TLS-Versionen setzen sämt-
liche Blockverschlüsselungen auf CBC.
Von den Autoren der BEAST-Attacke ist
noch ein weiterer Angriff auf TLS ver-
öffentlicht worden. Bei der sogenannten
8;D@E 8L J >8 9 < '* $)' ( * 0*
 J <: L I @ K P KCJ
CRIME-Attacke handelt es
sich ebenfalls um ein Timing-
Problem. Hier machen sich
die Autoren eine Schwäche
in der Kompressionsroutine
von TLS zunutze. Anhand
der Antwortzeit eines Servers
konnten sie Rückschlüsse auf
den Inhalt eines Datenblocks
ziehen.
Die TLS-Datenkompression
wird nur selten eingesetzt, da
viele Browser sie nicht unter-
stützen. Für Serveradminis-
tratoren ist es das Beste, diese
einfach auszuschalten.
Neben den Blockchiffren bie-
ten ältere TLS-Versionen auch
Unterstützung für die Strom-
verschlüsselung RC4. Das Ver-
fahren wurde von Ron Rivest 8YY`c[le^)18lk_\ek`]`q`\ile^le[M\ijZ_c•jj\cle^`e\`e\dÆ[\i
entwickelt und war ursprüng- >Xcf`j$&:flek\i$Df[\%
lich nicht zur Veröffentlichung
vorgesehen. Doch 1994 tauchte ein Quell-
code der RC4-Verschlüsselung in einer und TLS R+T.
Newsgroup auf. Seitdem erfreut es sich
großer Beliebtheit, weil es relativ simpel tauchen bestimmte Bits an manchen Stel-
und sehr schnell ist.
Der Einsatz von RC4 ist auch in TLS
möglich und ist bei älteren Versionen des Analysen lassen sich so Rückschlüsse
Standards die einzige Möglichkeit, wenn
man die Nutzung von CBC vermeiden
möchte. Viele Experten empfahlen daher
bis vor kurzem, bei TLS-Verbindungen
ausschließlich auf RC4 zu setzen. Große
Webseiten wie Google setzten auf RC4
als primären Algorithmus und der Kre-
ditkartenstandard PCI-DSS forderte von
Serveradministratoren, alle CBC-Algorith-
men abzuschalten und nur Verbindun-
gen über RC4 anzunehmen. Ein Fehler,
wie sich nun herausstellte. Auf der Fast-
Software-Encryption-Konferenz im März
präsentierte ein Team um den Kryptogra-
C`jk`e^(1Bfe]`^liXk`fejY\`jg`\c
01 Protocol -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2
02 SSLHonorCipherOrder on
03 SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AE
S256-GCM-SHA384
04 SSLCompression off
C`jk`e^)1GiXo`j^\i\Z_k\<`ejk\ccle^
01 Protocol -SSLv2 -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
02 SSLCipherSuite HIGH:!MEDIUM:!LOW:!aNULL@STRENGTH
03
04 SSLCompression off
0+ 8L J >8 9 < '* $)' ( * 8;D@E
fen Dan Bernstein einen Angriff auf RC4
Bei der Stromverschlüsselung von RC4
len nicht nur zufällig auf, sondern mit
erhöhter Häufigkeit. Durch statistische
auf den Inhalt ziehen. Ein mögliches An-
griffsziel könnte etwa ein Cookie in einer
Webanwendung sein.
Anders als die Schwächen in CBC gibt es
vermutlich keine einfache Möglichkeit,
die Probleme von RC4 im Rahmen von
TLS zu beheben, ohne mit dem Standard
zu brechen. Die Empfehlung, aufgrund
der Schwächen von CBC stattdessen
auf RC4 zu setzen, ist also keine Option
mehr.
G\i]\Zk=finXi[J\Zi\Zp
Eine Möglichkeit, die manche der TLS-
Algorithmen bieten, ist ein sogenannter
Schlüsselaustausch. Dabei wird gewähr-
leistet, dass der eigentliche Schlüssel
für die Datenübertragung nie über die
Leitung übertragen wird. Nach der Da-
tenübertragung wird dieser temporäre
Schlüssel vernichtet. Der Vorteil: Selbst
wenn ein Angreifer die Verbindung be-
lauscht und später in den Besitz des pri-
vaten Schlüssels gelangt, kann er den
Inhalt nicht entschlüsseln. Diese Eigen-
schaft heißt Perfect Forward Secrecy. Sie
ist generell wünschenswert
und das gängigste Verfahren
hierfür ist ein Diffie-Hellman-
Schlüsselaustausch.
Ärgerlich: TLS bietet diesen
zwar an, aber der Apache-
Webserver ermöglicht es
nicht, die Parameterlänge für
den Schlüsselaustausch zu
definieren. Als Standard ist
eine Länge von 1024 Bit vor-
gegeben. Eigentlich zu wenig:
Bei Verfahren, die wie Diffie-
Hellman auf dem diskreten
Logarithmus-Problem basie-
ren, sollten Schlüssellängen
von 1024 Bit vermieden und
mindestens 2048 Bit einge-
setzt werden.
Alternativ bietet TLS noch ei-
nen Schlüsselaustausch über
Diffie-Hellman in elliptischen
Kurven. Bei dieser Methode
gelten schon deutlich kürzere Schlüssel-
längen als sicher.
NXj`jkXe^\j`Z_kj[\i
JZ_nXZ_jk\cc\eqlkle6
Zu betonen ist, dass die Wahrschein-
lichkeit, dass die vorgestellten Attacken
zu Problemen in realen Anwendungen
führen, gering ist. Doch die Autoren des
Lucky-Thirteen-Angriffs sagen explizit,
dass sie mit weiteren Überraschungen
bei CBC rechnen. Auch die Autoren der
Attacke auf RC4 gehen davon aus, dass
es verbesserte Angriffsmethoden geben
wird.
Langfristig wünschenswert wäre es daher
vermutlich, CBC komplett zu verbannen.
Der wahre Zoo an Verschlüsselungs-
modi, die von TLS unterstützt werden,
schrumpft damit drastisch zusammen.
In TLSv1.1 und allen früheren Versionen
nutzten sämtliche Blockchiffreverfahren
CBC. Alle Verfahren, die 3DES, IDEA oder
CAMELLIA einsetzen, fallen damit weg.
Aus Gründen der Abwärtskompatibilität
ist es heute in der Regel ausgeschlossen,
nur auf TLSv1.2 zu setzen (siehe 8YY`c$
[le^*). Übrig bleibt lediglich die eben-
falls problematische Stromchiffre RC4.
In TLSv1.2 wird nur noch die AES-Ver-
schlüsselung unterstützt – und zwar so-
wohl im (problematischen) CBC-Modus
als auch im moderneren GCM (Galois-/
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

Counter-Mode). Diese werden ebenfalls
mit und ohne Perfect Forward Secrecy
angeboten.
Im Optimalfall schaltet man alles außer
den GCM-Algorithmen ab. Das funktio-
niert aber nur bei Anwendungen, bei de-
nen man Kontrolle über sämtliche Clients
hat und weiß, dass sie TLSv1.2 unter-
stützen. Der pragmatische Kompromiss:
Vorläufig weiter auf die CBC-basierten
Verfahren setzen und dafür sorgen, dass
die verwendete SSL-Bibliothek – in den
meisten Fällen OpenSSL – nur in der
aktuellen Version mit allen Sicherheits-
Updates eingesetzt wird.
NXjY\[\lk\k[Xj]•i[`\
8gXZ_\$Bfe]`^liXk`fe6
Im Apache-Webserver können wir die un-
terstützten TLS-Modi über die Optionen
SSLProtocol und SSLCipherSuite einstel-
len. Eine Konfiguration, die nur mit TLS
1.2 arbeitet und nur GCM-Algorithmen
mit Perfect Forward Secrecy aktiviert, ist
in C`jk`e^ ( dargestellt. Die problemati-
sche Kompression wird deaktiviert.
Eine im praktischen Betrieb eher realis-
tische Einstellung ist in C`jk`e^) zu se-
hen. Alle Algorithmen mittlerer und nied-
riger Stärke werden abgeschaltet, ebenso
Algorithmen, die keine Authentifizierung
anbieten. Außerdem wird auch hier die
inzwischen recht alte SSL-Version 3 de-
aktiviert. TLS Version 1.0 wird schon seit
langem von allen Browsern unterstützt,
8YY`c[le^*1^ff^c\%[\•Y\i_kkgjÆ[`\M\iY`e[le^
elkqkI:+d`kKCJm(%(#KCJm(%)lek\ijk•kqk:_ifd\
efZ_e`Z_k%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
eine Aktivierung der alten SSL-Versionen
sollte daher nicht mehr notwendig sein.
Einschränkend muss noch gesagt wer-
den, dass die Algorithmen, die einen
Schlüsselaustausch mit elliptischen Kur-
ven durchführen (durch ECDHE abge-
kürzt), erst seit Apache in der Version
2.4 unterstützt werden. Die wird bislang
aber nur von wenigen Distributionen
ausgeliefert. Doch die angegebenen Op-
tionen funktionieren trotzdem, die nicht
unterstützten Algorithmen werden dann
einfach ignoriert.
Wer das Diffie-Hellman-Verfahren mit
1024 Bit vermeiden will, kann entwe-
der einen experimentellen Patch aus
dem Apache-Bugtracker nutzen R,T oder
das Verfahren DHE-RSA-AES256-GCM-
SHA384 aus der Konfiguration streichen
und nur den Schlüsselaustausch über el-
liptische Kurven anbieten.
Die Abschaltung der verwundbaren Kom-
pression ist in älteren Apache-Versionen
nicht möglich. Sie wurde erst für die
2.2er-Serie in Version 2.2.24 eingeführt.
Damit die GCM-Algorithmen von TLS
1.2 funktionieren, wird eine OpenSSL-
Version größer als 1.0.1 benötigt. Diese
ist inzwischen bei den meisten Linux-
Distributionen vorhanden.
Anschließend kann man die Seitenkon-
figuration mit dem SSL-Test der Firma
Qualys überprüfen. Der gibt zahlreiche
Hinweise, falls etwas mit der Konfigu-
ration nicht stimmt und vergibt Punkte
für die Sicherheit der Konfigurationsein-
stellungen R-T. Zu warnen ist allerdings
vor den dort vergebenen Empfehlungen
bezüglich der BEAST-Attacke. Denn der
Online-Test empfiehlt zumindest zu Re-
daktionsschluss hierfür noch die Bevor-
zugung der RC4-Algorithmen.
Lek\idJki`Z_
TLS ist in die Jahre gekommen. Die Tech-
nik, die gegenwärtig in Browsern und
Webservern zum Einsatz kommt, würde
so heute niemand mehr entwickeln. Die
Attacken der jüngsten Zeit werfen darauf
ein Schlaglicht. In der Praxis muss man
sich dennoch nicht allzu viele Sorgen
machen. Die Angriffe sind kompliziert
und nur im Zusammenspiel mit Umstän-
den möglich, die nur selten eintreffen.
Die Sicherheit von Webanwendungen ist
nach wie vor meist durch weit banalere
KCJ J <: L I @ K P
Probleme gefährdet. Cross-Site-Scripting-
Lücken oder SQL-Injection-Angriffe zum
Beispiel, die mit der Kryptografie nichts
zu tun haben, sind die weit größere Be-
drohung und können auch durch die
beste Verschlüsselung nicht verhindert
werden.
Trotzdem sollte man die Sache nicht auf
die leichte Schulter nehmen. Dass das
mit Abstand wichtigste Kryptografiepro-
tokoll der heutigen Zeit so lückenhaft
daherkommt, ist zweifellos nicht gut.
Und verbesserte Angriffsmethoden sind
sehr wahrscheinlich lediglich eine Frage
der Zeit.
Die Lösung der meisten der hier ange-
sprochenen Probleme liegt längst vor:
In einem fünf Jahre alten Standard mit
dem Namen TLS Version 1.2, den kei-
ner benutzt. Die Probleme, die TLS zu
schaffen machen, sind lange bekannt.
Hier zeigt sich eine der Schwierigkeiten
der Entwicklung von sicheren Netztech-
nologien: Solange es keine praktischen
Angriffe gibt, sehen viele Programmierer
und Systemadministratoren keinen An-
lass, auf neuere Standards umzusatteln
und ihre Systeme zu aktualisieren. Sie
warten lieber ab, bis man ihnen mit Brief
und Siegel einen Angriff vorführt und
ihre Systeme auch praktisch verwundbar
sind. Vernünftig ist das nicht – aber leider
weit verbreitet. (jcb) ■
@e]fj
R(T 9 <8JK$8kkXZb\1R_kkg1&&me_XZb\i%Ycf^jgfk%
[\&)'((&'0&Y\Xjk%_kdcT
R)T C lZbp$K_`ik\\\e$8kkXZb\1
R_kkg1&&nnn%`j^%i_lc%XZ%lb&kcjT
R*T : I@D<$8kkXZb\1R_kkgj1&&\e%n`b`g\[`X%fi^&
n`b`&:I@D<Vj\Zli`kpV\ogcf`k T
R+TI:+$8kkXZb\1
R_kkg1&&nnn%`j^%i_lc%XZ%lb&kcjT
R,T 8gXZ_\$GXkZ_]•ic€e^\i\;`]]`\$?\ccdXe$
GXiXd\k\i1R_kkgj1&&`jjl\j%XgXZ_\%fi^&
Yl^q`ccX&j_fnVYl^%Z^`6`[4+0,,0T
R-T J JC$K\jkmfeHlXcpj1R_kkgj1&&nnn%jjccXYj%
Zfd&jjck\jk&T
;\i8lkfi
?Xeef9Zb`jk]i\`\iAflieXc`jkle[\_i\eXdk$
c`Z_\i <ekn`Zbc\i Y\` >\ekff C`elo% E\Y\e_\i
XiY\`k\k \i Y\`d N\Y_fjk`e^$Lek\ie\_d\e
jZ_fbfb\bj%fi^ d`k# n\cZ_\j ]•i [\e 9\ki`\Y
j\`e\i;`\ejk\XljjZ_c`\c`Z_Xl]]i\`\Jf]knXi\
j\kqk%
8;D@E 8L J >8 9 < '* $)' ( * 0,
 J <: L I @ K P GXjjnfik$DXeX^\d\ek
ŸJfdZ_X`JlggXc\ikgfie#()*I=

8e]fi[\ile^\eXe\`eq\ekiXc`j`\ik\jGXjjnfik$DXeX^\d\ek

>lk^\j`Z_\ik6
@dd\in`\[\ibfddk\jmfi#[Xjj`d8ljeX_d\]Xcc\`e8[d`eQl^Xe^ql\`e\dJpjk\dY\bfdd\edljj#[Xj\i
jfejke`Z_kY\ki\lk%N`ccdXe[\j_XcY[`\GXjjnfikm\inXckle^\`e\iq\ekiXc\eJf]knXi\•Y\ikiX^\e#jk\cckj`Z_
[`\=iX^\1NXjdljj[`\bee\e6=\c`omfe<p\#Nfc]^Xe^?fdd\c

Das Eintippen von Login-Name und
Passwort stellt in IT-Umgebungen mit
normalem Schutzbedarf seit langer Zeit
die häufigste Form der Authentifizierung
dar. Auch Alternativen wie Token, Smart-
cards, elektronische Ausweise und ver-
schiedenste Varianten der Biometrie ha-
ben daran nichts geändert. An Passwör-
tern führt fast kein Weg vorbei: Geringe
Implementierungskosten, ausreichend
hohe Nutzerakzeptanz und die relative
Seltenheit signifikanter Sicherheitsvor-
fälle legen nahe, dass Passwörter auch in
Zukunft kaum aussterben werden.
Das sogenannte Notfall-Passwort-Ma-
nagement deckt Situationen ab, in denen
am Dienstbetrieb nicht direkt beteiligte
Dritte in Ausnahmesituationen Zugriff
auf Systeme erhalten sollen, um größe-
ren Schaden abzuwenden. Beispielsweise
kann es ein Ziel sein, dass ein rund um
die Uhr besetztes Security-Team Zugriff
auf kompromittierte Server erhält, auch
wenn der zuständige Systemadministra-
tor gerade nicht erreichbar sein sollte.
@dEfk]Xcc
Zu den klassischen Lösungsansätzen für
dieses Problem gehören auf Zetteln no-
tierte Passwörter in versiegelten Kuverts,
die in einem Tresor deponiert und beim
Eintreten eines Notfalls einem dazu Be-
rechtigten ausgehändigt werden. Solche
herkömmlichen Lösungen skalieren al-
lerdings nur unzureichend: Anders als
früher müssen in größeren Organisatio-
nen und Rechenzentren nicht mehr nur
einige Handvoll, sondern Dutzende oder
Hunderte von Passwörtern hinterlegt
werden. Passwortrichtlinien sehen etwa
auf Basis des Standards ISO/IEC 27001
nicht nur regelmäßige Passwortänderun-
gen vor, sondern erfordern diese auch
beispielsweise bei Personalfluktuation.
Das Pflegen hinterlegter Passwortzettel
entwickelt sich dadurch von der subjek-
tiv lästigen Pflichtübung hin zum ob-
jektiven Zeitfresser. Die Umstellung des
Notfall-Passwort-Managements auf eine
zentrale, serverbasierte Softwarelösung,
die von jedem Arbeitsplatz aus genutzt
werden kann, birgt viele Chancen, aber
auch viele (Sicherheits-)Risiken und will
aufgrund ihrer Tragweite gut überlegt
sein.
Dieser Beitrag untersucht die Chancen
und Risiken und leitet konkrete Auswahl-
kriterien für Produkte ab. Die Umsetzung
in der Praxis wird beispielhaft anhand
des Leibniz-Rechenzentrums (LRZ)
diskutiert. Das LRZ ist der zentrale IT-
Dienstleister der Münchner Universitäten
und Hochschulen; es stellt Dienste für
rund 130 000 Hochschulmitarbeiter und
Studierende zur Verfügung und betreibt
das Münchner Wissenschaftsnetz, in
dem jeden Tag rund 110 000 Endgeräte
laufen.
Um die Masse an Passwörtern für die
am LRZ betriebenen Server und Dienste
zu verwalten, wurde der kommerzielle
Passwort-Manager Password Safe Enter-
prise Edition (PSE) der deutschen Firma
Mateso R(T eingeführt. Dabei stellte sich
heraus, dass PSE viele Anforderungen
durchaus elegant erfüllt, aber auch noch
einige Schwächen aufweist, die hoffent-
lich in zukünftigen Versionen behoben
werden.
NXildq\ekiXc\j
GXjjnfik$DXeX^\d\ek6
Während so mancher reguläre Anwender
recht sorglos mit Passwörtern umgeht –
man denke an den berüchtigten gelben
Klebezettel am Monitor – kümmern sich
die meisten Administratoren bewusst um
die Geheimhaltung. Am liebsten würden
viele Administratoren Passwörter über-
haupt nicht mit anderen teilen und aus-
schließlich offline verwalten, etwa per
Passwortliste auf einem Zettel, der in der
Brieftasche mitgeführt oder in persönli-
ches Büromobiliar eingeschlossen wird.

0- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Mit einigem Aufwand lässt sich sowohl
die Anzahl zu verwaltender Passwörter
minimieren als auch das Erfordernis ein-
schränken, Passwörter weiterzugeben.
Beispielsweise ersetzen SSH-Keypairs
die Passwörter zur Authentifizierung
beim Remote Login auf Linux-Servern;
personengebundene, nicht administra-
tive Kennungen machen in Kombination
mit der Nutzung von sudo unter Linux
beziehungweise UAC unter Windows
die gemeinsame Kenntnis des root- oder
Administrator-Passworts überflüssig.
Das Problem, Notfallpasswörter hinterle-
gen zu müssen, bleibt dennoch bestehen,
da jede Organisation daran interessiert
ist, dass die Server weiterhin adminis-
trierbar bleiben, auch wenn der oder die
üblichen Administratoren für längere Zeit
nicht verfügbar sind. Hinzu kommt die
Notwendigkeit des Passwort-Sharings für
Dienste, die kein Rollenberechtigungsmo-
dell mit mehreren Administratoren un-
terstützen.
Viele Administratoren können sich in-
zwischen mit persönlichen Passwort-
Management-Tools wie KeyPass R)T oder
KeePassX R*T anfreunden: Alle ihre Pass-
wörter werden mit einem persönlichen
Master-Passwort verschlüsselt in einer
Datei abgelegt, sodass niemand anderes
Zugriff erhält. Dadurch wird der Medien-
bruch, der durch das Notieren auf Papier
entsteht, vermieden, sodass Passwörter
bequem per Copy&Paste eingegeben wer-
den können; von vielen Tools wird auch
das direkte Starten einer SSH- oder RDP-
Verbindung mit automatischer Passwort-
eingabe unterstützt, der Ablauf ist also
ähnlich wie das Speichern von Passwör-
tern im Webbrowser.
MfiY\_Xck\^\^\eQ\ekiXc\
Gegenüber einem zentralen Hinterlegen
von Passwörtern in einer organisations-
weiten Datenbank herrscht jedoch häufig
große – und sicher nicht ganz unberech-
tigte – Skepsis. Offline-Varianten wie der
Passwortzettel im verschlossenen Kuvert
im Tresor werden dabei noch oft gut ak-
zeptiert. In der Praxis hat die Tresorlösung
jedoch viele Nachteile: Beispielsweise ist
nicht ohne Weiteres nachvollziehbar, wer
Einblick in welches Passwort hatte oder
ob gegebenenfalls komplette Passwort-
listen kopiert wurden. Weiter bleibt of-
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
GXjjnfik$DXeX^\d\ek
fen, ob und mit welcher Verzögerung der
zuständige Administrator benachrichtigt
wird, dass auf sein hinterlegtes Passwort
zugegriffen wurde. Zudem ist ein Zugriff
auf den Tresorinhalt nur möglich, wenn
eine schließberechtigte Person anwesend
ist, was die Problematik der nicht ständig
verfügbaren Administratoren letztlich nur
verlagert. Spätestens, wenn die Passwör-
ter regelmäßig geändert werden müssen,
mutiert der Tresor zur Papierablage, die
vielfältigen Verwaltungsaufwand mit sich
bringt.
Jf]knXi\$Cjle^`dMfik\`c
Demgegenüber bringt eine zentrale
software-basierte Lösung auf den ersten
Blick eine Reihe von Vorteilen: Auf die
hinterlegten Passwörter kann von den
dazu Berechtigten jederzeit und ohne
Medienbruch zugegriffen werden; per
Logging und Reporting lässt sich mühelos
nachvollziehen, wer sich wann welche
Passwörter verschafft hat und auch das
Ändern eines hinterlegten Passworts lässt
sich einfacher erledigen als mit Zettel,
Kuvert und zentralem Tresor.
Gerade diese vermeintliche Leichtigkeit,
mit der ein Software-Tresor seinen In-
halt zugänglich macht, schürt aber die
Bedenken der Administratoren, die ihn
verwenden sollen: Was passiert, wenn
jemand aufgrund einer Sicherheitslücke
in der Tresor-Software ganz einfach alle
Passwörter abziehen kann? Führt ein ein-
ziges ausgespähtes Passwort eines Admi-
nistrators nicht dazu, dass der Angreifer
die komplette Datenbank leerräumen
kann? Solche neuen Risiken sind bei der
Einführung eines zentralen Passwort-
Management-Tools in jedem Fall zu be-
rücksichtigen. Selbstverständlich sind
sie auch den Herstellern entsprechender
Software bekannt, sodass sie bei orga-
nisationsweiten zentralen Lösungen be-
dacht werden konnten.
Aus dem Wunsch, zuverlässig darüber
informiert zu werden, wenn sich jemand
Zugriff zu einem Passwort verschafft hat,
folgt, dass das Passwort-Management
Client-Server-basiert angelegt sein sollte:
Die Passwort-Management-Software
muss eine vertrauenswürdige Zwischen-
schicht darstellen, die nicht umgangen
werden kann, indem sich jemand zum
Beispiel die gesamte Passwortdatenbank
J <: L I @ K P
kopiert und diese unkontrolliert wei-
terverwendet. Das bedeutet aber auch,
dass man den Administratoren des zen-
tralen Passwort-Management-Services
vertrauen können muss und dass die
Funktionsfähigkeit dieses Dienstes auch
unter widrigen Umständen aufrechtzu-
erhalten ist. Bei einer näheren Betrach-
tung entsprechender Software-Produkte
fällt auf, dass sich gerade mit Blick auf
mögliche High-Availability-/Redundanz-
Konzepte die Spreu vom Weizen trennt.
Beim hier exemplarisch betrachteten PSE
ist es beispielsweise möglich, eine Daten-
bank mit allen enthaltenen Passwörtern
automatisiert auf einen zweiten Server
zu spiegeln.
8Z_n`\^lk#[Xjje`\dXe[
n\`¿
Da nicht alle Passwörter von allen Nut-
zern der Software eingesehen werden
sollen, ist es nötig, ein angemessen fein
granuliertes Berechtigungskonzept einzu-
führen. Viele Software-Lösungen, so auch
PSE, bieten im Wesentlichen die Berech-
tigungsstufen „Lesen“ und „Schreiben“,
wobei das Setzen von beiden Berechti-
gungen einem Vollzugriff gleichkommt.
Oftmals gibt es noch andere Berechti-
gungen, die beispielsweise das Drucken,
Löschen oder Exportieren von Einträgen
mittels dedizierter Client-Software regeln,
und die Berechtigung zum Vergeben von
Berechtigungen, wie in 8YY`c[le^ ( zu
sehen. Eine typischerweise gewünschte
Berechtigungsstufe fehlt jedoch häufig:
„Lesen mit Alarmierung“. Sie muss je
8YY`c[le^(1;`\M\inXckle^mfe9\i\Z_k`^le^j$
jkl]\e`dGJ<$Jpjk\d%
8;D@E 8L J >8 9 < '* $)' ( * 0.
 J <: L I @ K P GXjjnfik$DXeX^\d\ek
nach Produkt und dahinter stehender
Nutzungsphilosophie anderweitig imple-
mentiert werden.
Diese Berechtigungsstufe ist für ein Not-
fall-Passwort-Management von entschei-
dender Bedeutung. Diejenigen Benutzer,
die einen Zugriff auf die Passwörter im
Notfall benötigen, sind im alltäglichen
Betrieb nicht dazu berechtigt. Daher
würde man ihnen mit der Berechtigungs-
stufe „Lesen“ zu viele Berechtigungen
einräumen, was dem Grundsatz wider-
spricht, dass man den Benutzern nur die
minimal notwenigen Rechte zuweist. Die
Berechtigung „Lesen mit Alarmierung“
würde die Berechtigungen soweit ein-
schränken, dass zwar ein lesender Zu-
griff immer noch jederzeit möglich ist,
jedoch in jedem Fall eine Benachrichti-
gung an die Verantwortlichen geschickt
wird. Um die Missbrauchsgefahr noch
weiter zu minimieren, sollte es optional
auch möglich sein, für bestimmte Pass-
worteinträge oder auch für bestimmte
Benutzergruppen ein Vier-Augen-Prinzip
durchzusetzen.
@jk[XjJ`\^\cefZ_^Xeq6
An der Unversehrtheit von Siegeln konnte
man früher erkennen, ob die Nachricht
unterwegs geöffnet wurde und somit der
Inhalt auch Unberechtigten zur Kenntnis
gelangte. Mit diesem Prinzip soll auch bei
einigen Passwort-Management-Systemen
kenntlich gemacht werden, ob Passwörter
angezeigt beziehungsweise benutzt wur-
den. Dazu bringt man an einem beliebi-
gen Passworteintrag ein virtuelles Siegel
an. Der Passwort-Manager registriert nun
jeden Zugriff auf das Passwort und gibt
den Inhalt des Passworteintrages erst frei,
wenn das Siegel durch den Anfragenden
gebrochen wird, wie in 8YY`c[le^) er-
kennbar ist.
In Passwort-Managern mit einem aus-
gereiften Berechtigungssystem, wie bei-
spielsweise im PSE, ist es nun möglich,
anzugeben, welche Benutzer berechtigt
sind, das Siegel zu brechen oder auch
welche Benutzer berechtigt sind, Pass-
worteinträge, die unter einem Siegel-
schutz stehen, trotzdem bearbeiten zu
dürfen. Diese Eigenschaft ist eine wich-
tige Anforderung, wenn eine regelmä-
ßige Passwortänderung vorgeschrieben
ist. Wäre eine solche Funktionalität nicht
0/ 8L J >8 9 < '* $)' ( * 8;D@E
8YY`c[le^)1Jf]lebk`fe`\ik[\iJ`\^\cjZ_lkq\`e\j
GXjjnfik\`ekiX^j`eGJ<%
vorhanden, so müsste bei jeder Passwort-
änderung erst das Siegel gebrochen wer-
den, um das Passwort ändern zu können,
nur um anschließend das Siegel mit all
seinen Berechtigungsstufen wieder zu
aktivieren.
Schließlich stellt sich die Frage, wie viel
der Funktionalitäten des Passwort-Ma-
nagers auf dem Serversystem bereitge-
stellt werden soll und wie viel auf den
Endsystemen der Nutzer. Dabei gibt es
verschiedene Ansätze, die von der Daten-
bank und der Berechtigungsprüfung auf
Serverseite bis hin zu Beispielen reichen,
bei denen die gesamte Programmlogik
einer Webanwendung obliegt.
Die Sicherung der Verfügbarkeit und das
Berechtigungsmanagement sind Aufga-
ben, die in jedem Fall auf Serverseite
ausgeführt werden müssen. Bei einer
Client-basierten Ausführung der restli-
chen Funktionalitäten ist das Verhalten
der Passwort-Management-Lösung ein-
facher anpassbar, wohingegen sich eine
Webanwendung mit verschiedenen Be-
triebssystemen und Endgeräten nutzen
lässt. Beispiel für eine mögliche Verhal-
tensanpassung ist der automatische Auf-
bau einer SSH- oder RDP-Verbindung,
ohne dass das Passwort dem Nutzer an-
gezeigt werden muss. Dabei ist es bei
Client-basierten Lösungen im Allgemei-
nen möglich, individuelle Einstellungen
für jeden Nutzer einzurichten.
9\eXZ_i`Z_k`^le^\e
Für ein Notfall-Passwort-Management
sind Benachrichtigungen bei Zugriffen
auf Passwörter eine essenzielle Anforde-
rung. Passwort-Management-Lösungen,
die explizit für den Mehrbenutzermodus
entwickelt wurden, setzen dies zuwei-
len nicht vollständig um. So werden
Nachrichten über Siegelbrüche in PSE
nur programmintern versendet. Das be-
deutet, dass man eine Benachrichtigung
nur dann angezeigt bekommt, wenn man
das Programm als Passwortverantwort-
licher gerade benutzt. Im Allgemeinen
wird jedoch die Software erst bei Bedarf
gestartet und somit ist eine zeitnahe Be-
nachrichtigung an die Verantwortlichen
nicht sichergestellt.
Es ist zwar möglich, sich alle innerhalb
von PSE verschickten Nachrichten an ge-
nau eine fest vorgegebene E-Mail-Adresse
weiterleiten zu lassen, jedoch ist es im
Allgemeinen eher erwünscht, dass die
E-Mails an die für den jeweiligen Pass-
worteintrag zuständigen Administratoren
gehen. Dazu lässt sich das in C`jk`e^ (
vorgestellte Python-Skript verwen-
den, das die E-Mails von einem festen
IMAP-Account liest, parst und an den
gewünschten Empfänger weiterleitet.
Zusätzlich werden die abgerufenen
E-Mails in einem speziellen Ordner ar-
chiviert. Innerhalb des Skripts wird aus-
genutzt, dass die E-Mails, die von PSE an
eine feste Zieladresse versendet werden,
eine vorher definierte Struktur haben und
somit einfach geparst werden können,
um die eigentlich gewünschte Empfän-
geradresse der E-Mail-Benachrichtigung
zu ermitteln.
J`Z_\i_\`kjY\[\eb\e
Viele Sicherheitsbedenken der Nutzer
beruhen auf einem subjektiven Sicher-
heitsgefühl. So ist es beispielsweise nicht
unwahrscheinlich, dass Nutzer sich da-
gegen sträuben, ein verschlüsseltes und
versiegeltes Passwort in einer serverba-
sierten Datenbank zu speichern, weil
dort viele potenzielle Gefahren drohen:
Beispielsweise eine nicht ausreichende
Verschlüsselung, eine Backdoor, ein Bug
im verwendeten Produkt oder ein klas-
sischer Cracker, der sich per Remote Ex-
ploit Zugriff zu den hinterlegten Daten
verschafft.
Neben diesen subjektiven Sicherheitsbe-
denken muss man sich jedoch durchaus
bewusst sein, dass ein zentraler Ort, an
dem ein Großteil der Passwörter und
sonstigen Zugriffsberechtigungen einer
Organisation abgelegt ist, tatsächlich ein
attraktives Ziel für potenzielle Angreifer
darstellt. Aus diesem Grund ist es wich-
tig, im Vorfeld zu untersuchen, ob die ge-
wählte Software-Lösung und das System,
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 GXjjnfik$DXeX^\d\ek J <: L I @ K P

auf dem sie betrieben wird, den eigenen
Sicherheitsanforderungen genügt.
Da es bei Closed-Source-Lösungen nicht
mit praktikablem Aufwand möglich ist,
die Software auf mögliche Schwachstellen
oder absichtlich eingebaute Backdoors zu
untersuchen, ist es hilfreich, sich über
die Sicherheitspolitik des Herstellers in
der Vergangenheit zu informieren. Aber
selbst Open-Source-Lösungen sind in der
Regel nicht frei von Schwachstellen, da
solche Projekte einerseits so umfangreich
sind, dass sie durch ein einfaches Lesen
des Codes nicht in ausreichendem Maße
analysiert werden können. Andererseits
sind organisationsweite Passwort-Ma-
nagement-Lösungen ein eigenes Spe-
zialgebiet, hinter dem nur selten große
und zugleich herausragend aktive Open-
Source-Communities stehen. Aus diesem
Grund bietet es sich auch hier an, zu
untersuchen, wie es beispielsweise um
die Reaktionszeiten der Entwickler nach
gemeldeten Sicherheitsmängeln steht

C`jk`e^(1N\`k\ic\`kle^mfeGJ<$EXZ_i`Z_k\e
001 #!/usr/bin/python 044 msguid = match.group('uid') 081 continue
002 045 logging.debug("Found UID %s" % ( msguid 082
003 import imaplib )) 083 # Try parsing the message
004 import email 046 result = imap.uid('COPY', msguid, 084 # Valid mails
005 import email.mime.text targetfolder) 085 # - have Subject "Neue interne Nachricht
006 import re 047 if result[0] == "OK": des Passwortmanagers"
007 import smtplib 048 mov, data = imap.uid('STORE', msguid , 086
008 import pdb '+FLAGS', '(\Deleted)') 087 subject = mimeobj["Subject"]
009 import logging 049 logging.debug("Moved Message %s to 088 if subject == 'Neue interne Nachricht
010 folder %s" % ( msgid, targetfolder )) des Passwortmanagers':
011 HOSTNAME = '' 050 else: 089 logging.debug("Message %d has my
012 USER = '' 051 logging.warn("Moving message failed, subject, processing" % msgnum)
013 PASS = '' result=%s" % str(result)) 090
014 MAILFROM = '' 052 except Exception, e: 091 payload = mimeobj.get_payload()
015 MAILOUT = '' 053 logging.warn("Exception in move_message: 092 recipient = None
016 ADSDOMAIN = '' %s" % e) 093 subject = None
017 FOLDER = "INBOX" 054 094
018 FOLDERPROCESSED = "INBOX/bearbeitet" 055 def resolve_recipient(user): 095 for line in payload.split("<br>\r\n"):
019 FOLDERADMIN = "INBOX/admin" 056 return "%s@%s" % ( user, ADSDOMAIN) 096 match = RERECIPIENT.match(line)
020 RERECIPIENT = re.compile("^Empfaenger: 057 097 if match:
(?P<recipient>.+) \(.+$") 058 def main(): 098 recipient = match.
021 RESUBJECT = re.compile("^Betreff: 059 logging.basicConfig(level=logging.DEBUG, group('recipient')
(?P<subject>.+)$") format='%(asctime)s %(message)s') 099
022 REUID = re.compile('\d+ \(UID (?P<uid>\ 060 imap = imaplib.IMAP4_SSL(HOSTNAME) 100 match = RESUBJECT.match(line)
d+)\)') 061 logging.debug("Connected to server %s" % 101 if match:
023 HOSTNAME) 102 subject = match.group('subject')
024 def send_mail(recipient, subject, text): 062 imap.login(USER, PASS) 103
025 logging.debug("Sending mail to %s" % 063 logging.debug("Logged in as %s" % USER) 104 if recipient and subject:
recipient ) 064 imap.select(FOLDER) 105 logging.info("Found message to %s:
026 mail = email.mime.text.MIMEText(text, 065 logging.debug("Changed to folder %s" % Subject %s" % ( recipient, subject ))
'html', 'iso-8859-1') FOLDER) 106 if recipient == 'Administrator':
027 mail["Subject"] = subject 066 resp, msglist = imap.search(None, "ALL") 107 move_message(imap, msgnum,
028 mail["From"] = MAILFROM 067 if msglist == ['']: FOLDERADMIN)
029 mail["To"] = recipient 068 logging.info("No messages found") 108 continue
030 # gekuerzt um die Fehlerbehandlung 069 imap.logout() 109
031 smtp = smtplib.SMTP(MAILOUT, port='587') 070 return 0 110 # Resolve recipient username to a
032 smtp.ehlo() 071 email address
033 smtp.starttls() 072 logging.debug("Found %d messages" % 111 rrecipient = resolve_
034 smtp.login(USER, PASS) len(msglist[0].split(' '))) recipient(recipient)
035 smtp.sendmail(MAILFROM, recipient, mail. 073 for msgnum in msglist[0].split(' '): 112 logging.debug("Resolved %s to %s" %
as_string()) 074 msgnum = int(msgnum) ( recipient, rrecipient ) )
036 smtp.quit() 075 logging.debug("Getting body for ID %d " 113 send_mail(rrecipient, subject,
037 logging.info("Sent mail to %s" % recipient % msgnum) payload)
) 076 resp, ((msguid, msgbody), msgflags) = 114 move_message(imap, msgnum,
038 imap.fetch(msgnum, '(RFC822)') FOLDERPROCESSED)
039 def move_message(imap, msgid, targetfolder): 077 try: 115
040 try: 078 mimeobj = email.message_from_ 116 imap.expunge()
041 logging.debug("Moving Message %s to string(msgbody) 117 imap.logout()
folder %s" % ( msgid, targetfolder )) 079 except: 118
042 resp, data = imap.fetch(msgid, '(UID)') 080 logging.warn("Could not decode msgnum 119 if __name__ == '__main__':
043 match = REUID.match(data[0]) %d, skipping") % msgnum 120 main()

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * 00

 J <: L I @ K P GXjjnfik$DXeX^\d\ek
und welche Arten von Sicherheitslücken
von ihnen in der Vergangenheit schon zu
beheben waren.
Viele Hersteller versprechen in ihren
Produktbeschreibungen, dass Passwort-
einträge mit den neuesten und sichers-
ten kryptographischen Algorithmen ver-
schlüsselt in der Datenbank abgespeichert
werden. Der Nachweis dieser Behauptung
ist jedoch nur sehr schwer bis gar nicht
zu erbringen und selbst bei Open-Source-
Lösungen ist die Korrektheit der Imple-
mentierung nur mit größerem Aufwand
nachweisbar. Zudem sollte berücksichtigt
werden, dass die verschlüsselte Speiche-
rung der Passworteinträge nur einer von
mehreren wichtigen Sicherheitsbaustei-
nen ist. Mindestens genauso wichtig
sind die zuverlässige Implementierung
des Berechtigungs-Managements und
dem Schutzbedarf angemessene Authen-
tifizierungsmöglichkeiten. Beispielsweise
beugt eine Zwei-Faktor-Authentifizierung
dem Problem vor, dass ein vom Angrei-
fer ausgespähtes Benutzerpasswort den
Zugriff auf alle seine Passworteinträge
ermöglicht.
<`e]•_ile^le[9\ki`\Y
In der Regel gibt es eine vorhandene In-
frastruktur, in die sich die neue Software-
Lösung integrieren muss. Somit ist eine
wichtige Anforderung an die Passwort-
Management-Lösung, dass sich schon
vorhandene Passwörter einfach und ohne
größeren Aufwand in die Datenbank im-
portieren lassen. Aber auch im laufenden
Betrieb ist es oft eine Arbeitserleichte-
rung, wenn sich gerade geänderte Pass-
wörter mehr oder weniger automatisiert
in die Passwort-Management-Lösung la-
den lassen.
Dieser Aspekt ist jedoch in der Praxis
nicht ganz so einfach umsetzbar. Im
Beispiel ist zwar eine Ansteuerung von
PSE per Skript nicht direkt möglich, aber
durch einen CSV-Import kann man extern
erstellte Passwortlisten in das Tool impor-
tieren. Diese werden jedoch genau an der
Stelle importiert, an der man sich gerade
befindet und mit den für diesen Ort vor-
gegebenen Default-Berechtigungen. Will
man die Passwörter versiegeln oder an-
dere Berechtigungen vergeben, muss das
– jedenfalls in PSE – manuell geschehen.
Auch in ähnlichen Software-Produkten
('' 8L J >8 9 < '* $)' ( * 8;D@E
fehlt häufig eine Funktion, mit der man
importierte Passwörter automatisch be-
arbeiten kann.
Eine wesentliche Arbeitserleichterung
stellt es in der Praxis zudem dar, wenn die
Passwort-Management-Software regelmä-
ßig erforderliche Passwort-Änderungen
selbst durchführen kann. Sie muss dazu
einerseits einen Zufallspasswortgenerator
beinhalten, der an die organisationswei-
ten Vorgaben bezüglich der Passwort-
komplexität angepasst werden kann. An-
dererseits muss sich die Software auf den
verwalteten Systemen einloggen und dort
das bestehende Passwort ändern kön-
nen; dies erfordert zum Teil komplexe
Skripting-Möglichkeiten. Beispielsweise
ist alleine schon das Ändern eines root-
Passworts auf einem Linux-Server per
SSH-Login nicht gänzlich trivial, wenn
sich der Benutzer root nicht direkt per
SSH einloggen darf, sondern eine nicht
privilegierte Kennung in Kombination mit
»sudo« verwenden muss.
Um bei Hunderten hinterlegter Passwor-
teinträge noch die Übersicht zu behal-
ten, werden Strukturierungsmöglichkei-
ten benötigt, die bei den meisten Pro-
dukten auf dem Anlegen von Gruppen
oder mit Dateisystemen vergleichbaren
Ordnerstrukturen basieren. Wie diese
Möglichkeiten genutzt werden, um neue
8YY`c[le^*1<`e\Y\`jg`\c_X]k\Fi[e\ijkilbkli`dGJ<qldFi^Xe`j`\i\emfeGXjjnik\iele[\`ee\l\i
GXjjnfik\`ekiX^%
Passworteinträge intuitiv richtig einzusor-
tieren und einfach wieder auffinden zu
können, ist potenziell Gegenstand langer
Diskussionen. Beispielsweise kann die
Organisationsstruktur mit einer Eintei-
lung in Abteilungen und Betriebsgruppen
als Basis dienen, wie auch in 8YY`c[le^*
beispielhaft für einige Dienste des LRZ
gezeigt. Alternativ kann aber auch ein
Dienstleistungskatalog herangezogen
werden, dem die einzelnen Server zuge-
ordnet sind. Möglicherweise existieren
auch bereits Namenskonventionen etwa
für DNS-Einträge oder die Strukturierung
in anderen Systemen wie einem organi-
sationsweiten Active Directory, mit denen
die Anwender bereits vertraut sind. In
jedem Fall sollte die Passwort-Manage-
ment-Software eine geeignete Suchfunk-
tion anbieten; im Idealfall können auch
mehrere logische Sichten definiert wer-
den, ohne dass Passworteinträge mehr-
fach hinterlegt werden müssen.
Mfi^XY\e]•i
9\i\Z_k`^le^\e
Ebenso wie eine brauchbare Ordnerstruk-
tur sollten auch die Default-Berechtigun-
gen für neue Passworteinträge vorkonfi-
guriert werden können. Beispielsweise
könnte gewünscht sein, dass für neue
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

Passworteinträge in der Rubrik „Mailser-
ver“ alle Mitglieder des entsprechenden
Betriebsteams Vollzugriff erhalten und zu-
sätzlich dem Security-Team automatisch
Leseberechtigung eingeräumt wird. Die
dafür nötigen Gruppenberechtigungen
sollten sich inklusive der damit erfassten
Kennungen etwa aus einem Active Direc-
tory importieren lassen, sodass die Pflege
solcher Gruppenzugehörigkeiten nur an
einer Stelle nötig ist. Eine automatisier-
bare Versiegelung beugt Race Conditions
beim Anlegen neuer Passworteinträge
vor und vermeidet, dass dieser wichtige
Schritt eventuell ganz vergessen wird.
Berechtigungen sollten sich zeitlich be-
fristen lassen, falls beispielsweise einma-
lige Vertretungsaufgaben übernommen
werden; ansonsten droht die Gefahr, dass
jemand temporär bestimmte Berechtigun-
gen erhält, aber vergessen wird, die spä-
ter dann auch wieder zurückzunehmen.
Wie bei jeder anderen Software auch
dürfen zwei weitere Auswahlkriterien
ABCD
GXjjnfik$DXeX^\d\ek
nicht unter den Tisch fallen: Zum einen
muss das Passwort-Management-Tool
gut bedienbar sein, wobei ein Kompro-
miss zu finden ist zwischen Effizienz für
Poweruser, die ständig damit arbeiten,
und intuitiver Bedienbarkeit für Gele-
genheitsnutzer, die vielleicht nur einmal
pro Quartal geänderte Passwörter hin-
terlegen müssen. Zum anderen müssen
die Gesamtkosten für die Passwort-Ma-
nagement-Lösung – inklusive Hardware,
Software, Administration, laufendem Be-
trieb und kommerziellem Support – den
organisatorischen Rahmenbedingungen
und Zielen angemessen sein.
=Xq`k
Organisationsweit zentrales Passwort-
Management hat zahlreiche Vorteile,
stößt bei seiner Einführung aber häufig
auf Skepsis der Administratoren, die ihre
Zugangsdaten darin hinterlegen sollen.
Die Anzahl von Passwörtern, die meh-
J <: L I @ K P
reren Personen zugänglich sein müssen,
lässt sich zwar minimieren, ganz ver-
meidbar ist die Passwortweitergabe aber
kaum.
Die Umstellung von rein persönlichem
Passwort-Management oder Offline-
Verfahren wie verschlossenen Kuverts
im Tresor auf ein organisationsweites
Passwort-Management-Tool muss gut ge-
plant werden. Der größte Vorteil server-
basierter Lösungen ist die zuverlässige
Alarmierung der Zuständigen bei Zugrif-
fen auf Passwörter unter außergewöhn-
lichen Umständen. Den Aufwand, bei-
spielsweise die Ordnerstruktur, Default-
Berechtigungen und E-Mail-Alarmierung
zu konfigurieren, sollte man aber nicht
unterschätzen. (jcb) ■
@e]fj
R(T GJ<1R_kkg1&&nnn%gXjjnfi[jX]\%[\T
R)T B\pGXjj1R_kkg1&&nnn%b\\gXjj%`e]fT
R*T B\pGXjjO1R_kkg1&&nnn%b\\gXjjo%fi^T
22. –25. 5
0


EUROPE‘S LEADING
OPEN SOURCE EVENT
-  -&
Keynote-Speaker, Kernel-Entwickler, Arbeitgeber,
Trendsetter und Neueinsteiger geben sich vom
22. – 25. Mai 2013 auf dem 19. LinuxTag in Berlin
wieder die Hand.
22. Mai 2013: Track – Embedded Linux for Industrial Applications
u. a. mit folgenden Speakern:
 
    
  

!"
!#$%&&  &
 '(&$ )#%'*
 +  & ,-

24. Mai 2013: OpenStack® inaugural DACH Day 2013

%$ 
/
 +& ! 01 (' &#$% 2&  &
  &34  &%( 
'
!&

Open Source .05.2013

22. + 23 SUMMIT:
 5&1 1&,4  ),4*
 0! 6  7%
! 4  %8%

mobilisiert. OPEN-IT ess & Start-ups

!  5! ,9 &( ; 
$ &
 '-6& %!<= 
r Busin
Open fo .05.2013
 &
; > 1

24. + 25 by netways  '-8&%  

'  4&


amp
2. RootC
E 
!&$ E4& 
LinuxTag 2013 – where .com meets .org

, $ $ / 4 / %$&

& 4 /

MAGAZIN
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ('(
 M @ IK L8 C @ J @ < I L E > :cfl[JkXZb
Fg\e$JfliZ\$:cfl[$K\Z_efcf^`\e`d|Y\iYc`Zb
:cfl[$HlXik\kk
ŸXc_fm`b#()*I=%Zfd
D`k[\d`dD€iqqld8gXZ_\$Kfg$C\m\c$Gifa\bkY\]i[\ik\e:cfl[JkXZb^`Yk\je\Y\eFg\eE\YlcX#<lZXcpgklj
le[Fg\eJkXZba\kqkm`\ibfeblii`\i\e[\Fg\e$JfliZ\$Cjle^\e]•i:cfl[j%;XY\`n\`j\e[`\Gifa\bk\\`e\
^Xeq\I\`_\mfe>\d\`ejXdb\`k\eXl]%K_fdXj;i`cc`e^
Bis vor kurzem war die Welt der Cloud-
Plattformen noch sehr übersichtlich: Im
Jahr 2008 gab es darin nur das unter der
Apache-Lizenz verfügbare OpenNebula,
ein Jahr später kam das unter der GPLv3
lizenzierte Eucalyptus hinzu. Wiederum
ein Jahr später folgte das von Rackspace
initiierte OpenStack-Projekt, das in den
letzten Wochen und Monaten verstärkte
Aufmerksamkeit in den Medien erfuhr.
Im Sommer 2011 stellte dann Citrix nur
zwei Monate nach Übernahme des Cloud-
Anbieters Cloud.com dessen Cloud-Ma-
nagement-Plattform CloudStack R(T unter
die GPLVv3.
Mit Übergabe des Projektes von Citrix an
die Apache-Stiftung im April 2012 ging
eine Änderung der Lizenz der CloudStack-
Plattform auf die Apache-2-Lizenz einher,
wobei Citrix allerdings Hauptsponsor ge-
blieben ist. Seit März diesen Jahres ist
CloudStack nun ein Apache-Top-Level-
Projekt, das in der öffentlichen Präsenz
mit OpenStack konkurrieren möchte.
:cfl[JkXZbn€Z_jk
Glaubt man den Aussagen der jeweiligen
Communities, ist CloudStack die derzeit
am schnellsten wachsende CMP (Cloud
Management Plattform). Laut Citrix
(') 8L J >8 9 < '* $)' ( * 8;D@E
versprach man sich von dem Wechsel
zur Apache Foundation eine möglichst
schnelle Verbreitung für ein „offenes,
interoperables Cloud Computing“. Um
sämtliche mit dem Lizenzwechsel ver-
bundenen Anforderungen der Apache
Foundation zu erfüllen, mussten zahl-
reiche Lizenzen überprüft und weitere
Formalitäten erfüllt werden. Das hat sich
offenbar gelohnt. Dank des enormen
Entwicklungstempos wurden die Bemü-
hungen jetzt mit der Beförderung zum
Apache-Top-Level-Projekt belohnt R)T.
8l]Xcc\e?fZ_q\`k\e
Damit stehen jetzt vier verschiedene
Open-Source-IaaS-Lösungen (Infrastruc-
ture as a Service) mit unterschiedlichen
Schwerpunkten zur Auswahl. Dass sich
dabei involvierte Technologien (Hypervi-
sor-Systeme), Standards und Schnittstel-
len großteils überschneiden, liegt in der
Natur der Sache. Das gilt auch für die
involvierten Unterstützer und Sponsoren.
So engagieren sich beispielsweise neben
Citrix auch Microsoft, IBM, AMD, Google,
Yahoo und Facebook bei CloudStack.
Die CloudStack-Unterstützung durch
Microsoft ist insofern interessant, dass
CloudStack neben den Hypervisor-Sys-
temen Citrix Cloud Platform, Oracle VM,
VMware (vSphere), KVM und Xenserver
künftig auch Hyper-V unterstützen soll.
Etwas eigenartig erscheint dabei, dass
Citrix sich zeitweise auch bei OpenStack
eingebracht hat beziehungsweise dies
noch tut. Unternehmensintern gibt es
aber spätestens seit dem Lizenzwech-
sel zu Apache ein klares Commitment
zu CloudStack. So basiert die kommer-
zielle Cloud Platform R*T ebenfalls auf
CloudStack. Das Produkt zielt vor allem
auf die kommerzielle Konkurrenz und
bietet bereits jetzt Support für vSphere
und Oracle VM und beherrscht in der
aktuellen Version auch Bare Metal Provi-
sioning. Den vSphere-Support hatte Cit-
rix zuvor allerdings auch in OpenStack
eingeführt.
Fg\eJkXZb
Das von Rackspace und der NASA ini-
tiierte, in Python realisierte OpenStack
unterstützt die Hypervisor-Systeme KVM
und Xen. Eine zeitweise bereits imple-
mentierte Unterstützung für Hyper-V
musste Anfang des letzten Jahres wie-
der entfernt werden, weil Microsoft den
Code nicht mehr gepflegt hatte. Neben
Citrix unterstützen auch Canonical, Suse,
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

Dell, HP, AMD und Intel das Projekt.
Anfang 2012 kamen noch IBM und Red
Hat hinzu.
Mit dem OpenStack-Dashboard steht er-
gänzend zur REST-API seit einiger Zeit
auch eine Webschnittstelle zur Verfü-
gung. Die Django-basierte Implementa-
tion von Canonical hört auf den Namen
„Horizon“. Interessant an der REST-API
von OpenStack ist, dass sie sich auch
über das Kommandozeilen-Interface von
Eucalyptus steuern lässt. Prominenter
OpenStack-Nutzer ist die deutsche Te-
lekom, die im vergangenen Jahr damit
einen neuen Marktplatz mit der Bezeich-
nung „Business Marketplace“ implemen-
tiert hat R+T.
Die seit September letzten Jahres ver-
fügbare OpenStack-Version „Folsom“
wurde kurz vor Redaktionsschluss durch
das aktuell siebente Release OpenStack
„Grizzly“ ersetzt, das jetzt ebenfalls Bare
Metal Provisioning beherrscht (mehr dazu
verrät der OpenStack-Artikel in diesem
Heft). Das größte Manko an OpenStack
ist die werksseitig fehlende Schnittstelle
zu AWS, wozu es aber Drittanbieterlö-
sungen gibt, wie etwa Canonicals AW-
SOME (Any Web Service Over Me).
<lZXcpgklj
Die beiden älteren IaaS-Lösungen Open-
Nebula und Eucalyptus sind aus For-
schungsprojekten hervorgegangen, wobei
sich das an der University of California
entstandene Eucalyptus von Anfang an
durch seine Kompatibilität zu den Ama-
;XkXZ\ek\i
M`iklXc`qXk`fe
:cfl[Df[\c
@e]iXjkilZkli\
Gifm`j`fe
Cfn
8YY`c[le^(1<`eBcXjj`]`q`\ile^jm\ijlZ_[\iXbkl\cc\e:cfl[$GcXkk]fid\ed`kFg\e$JfliZ\$C`q\eq%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
:cfl[JkXZb M @ IK L8 C @ J @ < I L E >
zon Web Services (AWS) S3 und EC2 von neben Xen und KVM auch VMware und
der Konkurrenz abhob. Die noch aktuelle in naher Zukunft auch Hyper-V zur Ver-
Version ist die 2.0.3 aus dem Jahr 2011. Er- fügung.
wähnenswert ist, dass die Version 1.5 von Ebenso vielseitig gibt sich OpenNebula
Eucalyptus offiziell in Ubuntu integriert bei den Cloud-APIs: es unterstützt ne-
wurde und als Fundament der Ubuntu ben EC2 und EBS auch OFG, OCCI und
Enterprise Cloud (UEC) diente. Inzwi- vCloud. Die gesamte Architektur ist sehr
schen favorisiert Ubuntu aber OpenStack. flexibel ausgelegt, sodass sich völlig un-
Ferner ist Eucalyptus seit Version 1.6.2 in terschiedliche Hard- und Softwarekom-
Debian GNU/Linux enthalten. binationen in einem Datacenter zusam-
Unterstützer von Eucalyptus sind ne- menfassen lassen. Interessant: Seit der
ben Amazon Dell, HP, Intel, Novell, Red Version 3.6 können Entwickler über den
Hat und Ubuntu. Für Eucalyptus spricht OpenNebula Marketplace fertige Applian-
die API-Kompatibilität mit Amazons EC2- ces anbieten. Prominentester Nutzer von
Plattform. So können sich Admins zum OpenNebula ist das CERN.
Evaluieren von EC2 ein Testsystem auf-
bauen, das vollständig aus freier Software :cfl[JkXZble[:`ki`o
besteht. Ferner können Unternehmen,
die bereits AWS-Kunden sind, Eucalyp- Den mittlerweile vier quelloffenen IaaS-
tus auch für eigene Entwicklungsprojekte Lösungen stehen mit AWS, vSphere/
nutzen, bevor diese in der Amazon-Cloud vCloud, Windows Azure, Oracle VM, Red
online gehen. Eucalyptus gilt unter Fach- Hat, Rackspace und der auf CloudStack
leuten, abgesehen von der mit Ubuntu basierenden Citrix Cloud Platform eine
integrierten Version, nicht gerade als ein- Reihe von kommerziellen Public-/Pri-
fach zu installieren beziehungsweise zu vate-Cloud-Angeboten gegenüber. Be-
konfigurieren. merkenswert ist aber, dass beim Cloud
Computing die Open-Source-Lösungen
Fg\eE\YlcX den Ton angeben. Das verwundert bei
näherem Hinsehen jedoch nicht länger,
OpenNebula liegt seit Dezember letzten denn keine andere Software-Gattung ist
Jahres in Version 3.8 vor und kann mit in einem solchen Maße auf Interopera-
seiner fast fünf Jahre währenden Lebens- bilität und offene Standards angewiesen.
zeit auf eine große Anzahl von Installati- Eine interessante Klassifizierung anhand
onen verweisen. Prominente Unterstützer von Cloud-Computing-Modellen findet
sind IBM, Dell und SAP. Auch die Open- sich im OpenNebula-Blog R,T (siehe 8Y$
Nebula-Entwickler legen großen Wert auf Y`c[le^().
Interoperabilität und offene Standards. Ein näherer Blick auf CloudStack ist
So stehen als unterstützte Hypervisoren lohnenswert, denn es ist das derzeit am
stärksten wachsende Projekt. Allein die
Anzahl der bisher rund 30 000 Commu-
nity-Mitglieder spricht eine deutliche
Sprache. Ferner nennt Citrix mehrere
tausend zertifizierte Apps und einige
hundert produktive Clouds. Laut Citrix
setzen weit über 50 namhafte Unterneh-
men und Organisationen CloudStack
beziehungsweise die Citrix Cloud Plat-
form ein, darunter GoDaddy, Nokia,
Intel, Zyngan, RightScale, PuppetLabs,
Juniper Networks, Enstratus, TrendMicro
Hl\cc\1_kkg1&&Ycf^%fg\ee\YlcX%fi^
oder Equinix.
Prominente Nutzer wie zum Beispiel Ser-
vicemesh, Engine Yard und Rightscale ha-
ben den Wechsel auf die Apache-Lizenz
schon vor rund einem Jahr durchweg
=c\o`Y`c`kp ?`^_
positiv kommentiert. Laut Citrix war der
Wechsel von OpenStack zu CloudStack
8;D@E 8L J >8 9 < '* $)' ( * ('*
 M @ IK L8 C @ J @ < I L E > :cfl[JkXZb
vor allem wegen der Kompatibilität von
CloudStack zur Amazon-Cloud-API un-
verzichtbar. Deshalb hat Citrix im Zuge
seines Commitments zu CloudStack auch
seine eigene bis dato auf OpenStack ba-
sierende Cloud-Distribution „Olympus“
aufgegeben.
E\l\ile^\e`eM\ij`fe+%'
le[+%'%(
Die Version 4.0 von CloudStack vom No-
vember letzten Jahres enthielt zahlreiche
Neuerungen, die den Aufstieg zum Apa-
che-Top-Level-Projekt begründet haben,
darunter die Funktionen Inter-VLAN-
Routing (8YY`c[le^)), Site-to-Site-VPN
und Tags.
Inter-VLAN-Routing macht es möglich,
den Netzwerkverkehr zwischen VLANs
zu steuern – eine Voraussetzung für den
Aufbau privater Clouds. Die Funktion
Site-to-Site-VPN erlaubt es, den Aufbau
von VPN-Verbindungen zwischen einzel-
nen virtuellen Maschinen zu umgehen
und eine sichere Verbindung zwischen
dem Firmennetz und einer Cloud-In-
frastruktur aufzubauen. Die neue Tags-
Funktion erlaubt das Speichern der Me-
tadaten von Cloud-Ressourcen, um deren
Kategorisierung zu erleichtern. Größter
Vorteil von CloudStack gegenüber frühe-
ren Versionen ist aber, dass die neue Ver-
sion von Amazons API CloudBridge R-T
enthalten ist, während die Komponente
zuvor separat zu installieren war. Das im
Februar dieses Jahres erschienene aktu-
elle Release 4.0.1 ist dagegen ein reines
Bugfix-Release.
=lebk`fejn\`j\
CloudStack ist eine komplett in Java ge-
schriebene Plattform für den Aufbau und
die Verwaltung skalierbarer Infrastruktu-
ren. Unter R.T finden sich ausführliche
Anleitungen für Administration, Instal-
lation und API-Entwicklung. Derzeit un-
terstützt CloudStack die kommerziellen
Hypervisor-Systeme von Citrix, VMware
und Oracle, sowie Xenserver und KVM.
CloudStack stellt drei Schnittstellen zur
Wahl: ein Webinterface, die Kommando-
zeile und die REST-API. Architektonisch
besteht CloudStack aus mehreren Kom-
ponenten. Der Compute Controller dient
zur Kontrolle der Rechenleistung, der
('+ 8L J >8 9 < '* $)' ( * 8;D@E
Dlck`$k`\i8ggc`ZXk`fe
GlYc`Z
Iflk\i
MC8E(''+
Gi`mXk\
E\knfib
MC8E(''(
Hl\cc\1:`ki`o
N\Y
8YY`c[le^)1<`e\[\ie\l\e=lebk`fe\e`e:cfl[JkXZb+%'1@ek\i$MC8E$Iflk`e^%
Network Controller steuert die virtuellen
Netzwerke und der Storage Controller
kümmert sich um die Speicherverwal-
tung des Block Storage.
Die drei elementaren Komponenten kön-
nen direkt auf die darunter liegende physi-
sche Hardware zugreifen. Die CloudStack
Orchestration Engine setzt ihrerseits auf
die drei Basiskomponenten auf und steu-
ert die Cloud-Infrastruktur. Die Cloud-
Stack-API wiederum nimmt Befehle von
der Weboberfläche via REST oder der
Kommandozeile entgegen und reicht sie
zur Verarbeitung an die Orchestration
Engine weiter. Das Webinterface ist eine
moderne, Ajax-basierte Web-GUI, die die
Verwaltung der Cloudstack-Infrastruktur
erheblich vereinfacht. Die GUI stellt Kom-
ponenten wie CPU, Storage, IP-Pool und
Arbeitsspeicher in Echtzeit dar.
=Xq`k
In den vergangenen Wochen und Mona-
ten hat das OpenStack-Projekt reichlich
Aufmerksamkeit in den Medien genossen.
Was OpenStack allerdings fehlt, ist eine
direkte AWS-Unterstützung. Die bietet
dagegen das jüngere CloudStack-Projekt,
das im vergangenen Jahr von Citrix eben-
falls in die Selbstständigkeit entlassen
wurde und jetzt zum Apache-Top-Level-
Projekt geworden ist. CloudStack ist nicht
nur unangefochten Spitzenreiter bei den
unterstützen Cloud-APIs, sondern auch
bei den unterstützten Hypervisor-Syste-
men, darunter in naher Zukunft auch
Hyper-V. Ferner unterstützt CloudStack
auch die Citrix Cloud Platform und VM-
ware.
DXeX^\d\ek
@GJ\Z ;XkX:\ek\i
:JMI
8:Cj
MC8E('') MC8E(''*
8gg ;9
Dabei wirkt die Java-Software kohären-
ter als OpenStack und liefert neben dem
Commandline-Interface und der REST-API
ein attraktives Webinterface gleich mit. In
Sachen Flexibilität setzt sich CloudStack
damit zumindest der Papierform nach an
die Spitze der Open-Source-IaaS-Systeme.
Für welche Lösung man sich letztlich
entscheidet, kann indes nicht von den
Features der Papierform abhängen. Von
Vorteil ist es – beim Cloud Computing je-
denfalls mehr als anderswo–, wenn eine
Lösung ein hohes Maß an Offenheit bie-
tet. Eine lesenswerte Auseinandersetzung
zu diesem Aspekt liefert ein weiterer Bei-
trag im Open-Nebula-Blog R/T. (ofr) ■
@e]fj
R(T :cfl[JkXZb1R_kkg1&&Zcfl[jkXZb%XgXZ_\%fi^T
R)T :cfl[JkXZbn`i[8gXZ_\$KCG1
R_kkg1&&nnn%X[d`e$dX^Xq`e%[\&E\nj&
:cfl[JkXZb$n`i[$8gXZ_\$Gifa\bkT
R*T :`ki`o:cfl[GcXk]fid1R_kkg1&&nnn%Z`ki`o%
[\&gif[lZkj&Zcfl[gcXk]fid&fm\im`\n%_kdcT
R+TK\c\bfd9lj`e\jjDXib\kgcXZ\1R_kkg1&&
\Yj'.%k\c\bfd%[\&Zcfl[Z\ek\i&n\Y&[\&
^\jZ_X\]kjble[\e&Ylj`e\jj$dXib\kgcXZ\6
jlZ_Y\^i`]]bXk\^fi`\4'T
R,T :cfl[$Cjle^\eXcj:cfl[$Df[\cc\bcXj$
j`]`q`\ik1R_kkg1&&Ycf^%fg\ee\YlcX%fi^&6
g4+'+)T
R-T 8dXqfe8G@:cfl[9i`[^\1
R_kkg1&&nnn%Z`ki`o%Zfd&gif[lZkj&
Zcfl[Yi`[^\&fm\im`\n%_kdcT
R.T :cfl[JkXZb$;fbld\ekXk`fe1
R_kkg1&&Zcfl[jkXZb%XgXZ_\%fi^&[fZj&\e$LJ&
`e[\o%_kdcT
R/TF]]\e_\`kmfe:cfl[$GcXkk]fid\e1R_kkg1&&
Ycf^%fg\ee\YlcX%fi^&6g4+*.)T
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
8;D@E$D8>8Q@E;@>@K8C
GIF=@$BEFN$?FN@DD<IQLI?8E;

MFIK<@C<
•@[\Xc]•iI\Z_\iZ_\li\
•Y\i\`kjmfi[\dB`fjb$
K\id`eXcjG;=c\j\e
•bfdgXbk\j#gXg`\icfj\j
8iZ_`m
•JgXi\eJ`\`d8Yf•Y\i
)'`dM\i^c\`Z_qld
G;=$<`eq\cbXl]

,9 0 %* p r o J a h r
nur 44
(6 Ausgaben)
A\kqkY\jk\cc\elek\i1
nnn%X[d`eÆdX^Xq`e%[\&[`^`jlY
K\c\]fe'.(*(&).'.).+›=Xo'.(*(&).'../-'(›<$DX`c1XYf7X[d`e$dX^Xq`e%[\
!Gi\`j\^\ck\e]•i;\lkjZ_cXe[%
 M @ IK L8 C @ J @ < I L E > Fg\eJkXZb
ŸA\]]i\p9Xeb\#()*I=
Fg\eJkXZb$Nfibj_fg#K\`c+1NXj`jke\l`e>i`qqcp6
9€i\ejkXib6
D`kk\8gi`c_XY\e[`\Fg\eJkXZb$<ekn`Zbc\i[`\e\l\jk\M\ij`fe`_i\i
]i\`\e:cfl[$Ld^\Yle^lek\i[\d:f[\eXd\e>i`qqcpm\i]]\ec`Z_k%J`ee$
mfcc\jLg[Xk\f[\iJZ_ljj`e[\eF]\e6<`e\ijk\i9c`Zb%DXik`eCfjZ_n`kq
Neben Ubuntu hält kein anderes Projekt
so treu zu einem festen Release-Zyklus
wie OpenStack. Im Parallelflug mit Ca-
nonical werfen die Entwickler im April
und im Oktober jeweils eine neue Version
auf den Markt. Auch in diesem April
war das nicht anders: Seit kurzem steht
OpenStack 2013.1 alias Grizzly bereit
zum Download. Wie bei den vorangegan-
genen Versionen hat sich auch diesmal
vieles geändert. Für Administratoren be-
stehender Cloud-Installationen stellt sich
die Frage, ob sich ein Update lohnt – und
ob das technisch ohne weiteres zu bewäl-
tigen ist. Bisher hat OpenStack sich im
Hinblick auf Updates ja nicht eben mit
Ruhm bekleckert.
So war bis dato der einzige vertretbare
Rat an OpenStack-Admins, Updates von
einer OpenStack-Version auf die nächste
erst gar nicht zu probieren. Die erste mit
dem "Enterprise Ready"-Siegel geadelte
('- 8L J >8 9 < '* $)' ( * 8;D@E
OpenStack-Version war Essex im April
2012. Schon damals versprachen die Ent-
wickler, sich bei zukünftigen Versionen
besser um die API-Kompatibilität zwi-
schen alter und neuer Version zu küm-
mern. Mit sehr bescheidenem Erfolg: Ein
Update von Essex auf Folsom als Nachfol-
ger war kompliziert bis unmöglich.
8G@$JkXY`c`k€k
Zwischen Folsom und Grizzly haben die
Entwickler ihre Hausaufgaben allerdings
besser erledigt: Anstatt vorhandene APIs
zu verändern, haben sie zusätzliche APIs
hinzugefügt und diese mit einer höhe-
ren Versionsnummer versehen. Ganz gut
wird das bei Keystone deutlich, der Au-
thentifizierungskomponente: Neben der
schon in Folsom vorhandenen API v2
hat Keystone jetzt eine API 3.0, die pa-
rallel zur alten API funktioniert, sodass
vorhandene Installationen keine Umkon-
figuration brauchen. Die Entwickler ver-
sprechen, dass die alte API mindestens
bis zur übernächsten Release bleibt, also
dem I-Release (zur Erinnerung: Wie bei
Ubuntu auch erhalten alle OpenStack-
Releases Codenamen, die dem Alphabet
folgen – der Nachfolger von Grizzly wird
beispielsweise Havana heißen).
Funktionen der 3.0er-API lassen sich frei-
lich aus der 2.0er-API heraus nicht nut-
zen. Im Test der Vorversion klappte die
Migration von einem Folsom-Keystone
auf ein Grizzly-Keystone gut, obgleich
der zu migrierende User-Stamm eher
klein war. Insgesamt machte das Update
jedoch einen zuverlässigen Eindruck, vor
der Umstellung des Produktivsystems tun
Admins aber dennoch gut daran, den
Umstieg unter Laborbedingungen gut zu
testen.
E\l\Bfdgfe\ek\e
Grizzly kommt also mit Update-Potenzial,
aber lohnt sich das Update denn über-
haupt? Die Antwort auf diese Frage geben
vielleicht bereits die beiden Neuzugänge
in der Familie der OpenStack-Kernkom-
ponenten: Ceilometer und Heat.
Ceilometer ist OpenStacks sehnlichst
erwartete Statistik-Komponente. Wer
jetzt an schnödes Zahlenwerk denkt,
hat Recht und auch wieder nicht – denn
Ceilometer soll keinesfalls nur Statistik-
daten in OpenStack sammeln, um dann
bunte Diagramme daraus zu generieren.
Stattdessen weisen die Entwickler ihrem
Schätzchen die Rolle eines Billing-Sys-
tems zu. Ceilometer tritt damit an die
Stelle der in der Computing-Komponente
Nova bereits enthaltenen, aber sehr rudi-
mentären Nutzungsstatistiken.
Der Clou bei Ceilometer ist, dass es in der
Lage sein soll, seine Daten grundsätzlich
einer beliebigen Anzahl von Nutzern zur
Verfügung zu stellen. Theoretisch kann
es damit als Datenquelle für ein Verrech-
nungssystem nach Industriestandard ge-
nau so funktionieren wie als Quelle für
ein Cloud Monitoring. Ein Client (im Cei-
lometer-Sprech auch Consumer genannt)
ist BillingStack, das ein eigenständiges
Billing-System für OpenStack ist und die
Verrechnung von OpenStack-Diensten
nach dem auch tatsächlich vorhandenen
Konsum durch Anwender ermöglicht.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

Mehr Consumer sind zumindest auf der
Ceilometer-Website bis dato nicht aufge-
listet, allerdings ist die Umgebung eben
auch erst seit Grizzly überhaupt als In-
cubated Project Teil von OpenStack. Die
Hoffnung auf einen baldigen Reigen an
Consumern ist also durchaus berechtigt.
Noch einen Neuling dürfen OpenStack-
Benutzer in Grizzly willkommen heißen:
Heat hat es ebenfalls in den Rang ei-
nes Incubated Projects geschafft. Heat
bezeichnet sich selbst als Orchestration
Suite; allerdings tritt Heat nicht in direkte
Konkurrenz zu anderen Lösungen wie
Chef oder Puppet. Denn Heat ist streng
OpenStack-spezifisch: Mittels einer ein-
zelnen Datei – einem Template – ha-
ben Benutzer per Heat die Möglichkeit,
virtuelle Maschinen aus dem Boden zu
stampfen und diese gleich miteinander
zu verbinden. Ein Template könnte zum
Beispiel „Webserver-Cluster“ heißen und
dafür sorgen, dass automatisch eine Web-
server-Farm entsteht. Praktisch: Features
wie Hochverfügbarkeit sowie ein grund-
legendes Monitoring bringt Heat gleich
mit. Außerdem unterstützt OpenStack
Heat das AWS-CloudFormation-Format,
das auch Amazon nutzt, um in der eige-
nen Wolke Inter-VM-Orchestrierung zu
ermöglichen. Letztlich ist Heat vor allem
ein Werkzeug, dass Admins bei der wei-
teren Automatisierung helfen soll. Damit
passt es sehr gut in OpenStack, das Au-
tomatisierung insgesamt zum höchsten
Prinzip erhoben hat.
E\l\=lebk`fe\e`e
B\pjkfe\
Auch die schon etablierten Komponen-
ten von OpenStack punkten in Grizzly
mit so einigen tollen Funktionen. Key-
stone als zentrale ID-Komponente macht
den Anfang und wartet mit
der Unterstützung für Active
Directory auf – neben LDAP
funktioniert nun also auch
die zweite weit verbreitete
Methode, um die Daten der
eigenen Nutzer zentral zu ver-
walten. Die schon erwähnte
API bringt ebenfalls einige
Neuigkeiten. Dazu gehört,
dass die Tenants eine neue Be-
zeichnung kriegen und ab so- 8YY`c[le^(1;`\JkfiX^\$Bfdgfe\ek\:`e[\inXik\kd`km`\c\ee\l\eKi\`Y\ie
fort Projekte heißen. Wer die Xl]#[Xilek\iXlZ_]•i=`Yi\$:_Xee\c$J8Ej%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
Geschichte von OpenStack kennt, erlebt
ein Déjà-vu, denn schon zu Nova-Zeiten
hatte das, was später Tenants hieß, den
Namen Projects. Sicherheitsbewusste
Menschen freuen sich über die Möglich-
keit, in Keystone ab sofort eine Mehrphasen-
Authentifizierung nutzen zu können.
>cXeZ\d`km`\c\e9XZb\e[j
Für den Image-Dienst Glance haben die
Entwickler auf die Rufe ihrer User gehört
und ein Feature implementiert, das viele
dringend wollten: Glance ist ab sofort in
der Lage, mehrere Image-Backends pa-
rallel zu benutzen. Bis dato musste sich
der Admin entscheiden, ob er Images in
Swift, Ceph oder lokal auf der Platte des
Glance-Hosts ablegen wollte. In Grizzly
steht die Option zur Verfügung, verschie-
dene Image-Stores miteinander zu kom-
binieren.
Auch neu in Grizzly ist die Möglichkeit,
dass Benutzer ihre eigenen Images mit
anderen Benutzern teilen; bisher standen
Images von Nutzern nur unmittelbar die-
sen auch zur Verfügung – was oft genug
zu Dopplungen führte. Zudem können
Admins nun wesentlich mehr Details zu
Images in der Glance-Datenbank hinter-
legen; dazu gehört, dass sich die exakte nerung: In früheren OpenStack-Versionen
Version eines Betriebssystems angeben
lässt. Bis dato war es lediglich möglich, Rechnern zu Gruppen zusammenzufas-
den Namen frei zu wählen.
Ab sofort legt der Admin per Flag auch
fest, dass es sich beispielsweise um ein weise um festzulegen, dass verschiedene
Windows 7 oder um ein Windows 8 han-
delt und welche Formateigenschaften
das Image aufweist. Ziel ist vor allem,
in großen OpenStack-Installationen mit
entsprechend vielen Images für Über-
sichtlichkeit zu sorgen. Denn all die
neuen Felder sind indexiert und mithin
durchsuchbar – wer ein spezifisches OS
Fg\eJkXZb M @ IK L8 C @ J @ < I L E >
in der Wolke will, kommt so also deutlich
schneller zum Ziel.
OpenStack Compute (Nova) ist fast die
wichtigste der Kernkomponenten, die
zu OpenStack gehören. Und für Grizzly
haben die OpenStack-Entwickler sich so
einiges einfallen lassen. Bei der Konfigu-
ration fällt zunächst auf, dass etwas fehlt
– denn nachdem »nova-volume« schon
in Folsom aus Nova zum größten Teil
rausgeflogen war, haben die Entwickler
nun auch dessen letzte Reste beseitigt.
Ähnliches gilt für die allermeisten Funk-
tionen, die vormals in »nova-manage«
vorhanden waren. Denn neben »nova«,
dem eigentlichen CLI-Client für Nova,
lieferte »nova-manage« zusätzliche De-
tails. Damit ist nun Schluss, langfristig
soll »nova-manage« nur noch notwendig
sein, um bei einer Installation eingangs
die Tabellen in der MySQL-Datenbank
für Nova anzulegen. Alle anderen Funk-
tionen wandern in »nova« ab.
I•Zbb\_i[\i:\ccj
Wer sich mit OpenStack schon eine Zeit
lang beschäftigt, trifft in Grizzly bei Nova
auf einen alten Bekannten im neuen Ge-
wand: Die Cells sind wieder da. Zur Erin-
sollten Cells es ermöglichen, OpenStack-
sen, um anschließend diese Gruppen in
OpenStack gezielt einzusetzen – beispiels-
VMs eines Kunden in unterschiedlichen
Cells laufen mussten, die dann vielleicht
in zwei separaten Rechenzentren lagen.
In OpenStack Essex fiel das Cell-Feature
in Ungnade und die Entwickler entfern-
ten die Funktion. Nicht, weil sie ihnen
nicht sinnvoll erschien, sondern weil ih-
nen die Implementation nicht gefallen
hat. Nun sind die Cells also
als »Nova Compute Cells«
zurück, und ermöglichen so-
wohl die präzise Steuerung
verschiedener geographisch
getrennter Systeme wie auch
die Option, Host- und Cell-
Scheduling voneinander zu
separieren, um einzelne Te-
nants in OpenStack gegebe-
nenfalls zu bevorzugen.
Eine weitere Neuerung in
Grizzly wirkt banal, ist aber
8;D@E 8L J >8 9 < '* $)' ( * ('.
 M @ IK L8 C @ J @ < I L E > Fg\eJkXZb
8YY`c[le^)1?`\id`kn`i[[\iLj\iXd_€l]`^jk\eXiY\`k\e1[XjFg\eJkXZb;Xj_YfXi[%
spektakulär – das Libvirt-Backend von
OpenStack versteht jetzt nämlich SPICE.
Zur Erinnerung: SPICE ist ein Protokoll
für die Verbindung eines Clients mit dem
grafischen Desktop eines virtualisierten
Systems. Im Grunde handelt es sich um
eine dem VNC-Protokoll sehr ähnliche
Lösung, allerdings ist SPICE viel perfor-
manter. So wird es in Grizzly endlich
möglich sein, sich technisch zuverläs-
sig und schnell mit dem Desktop von
Windows-VMs zu verbinden. Im Grunde
öffnet sich OpenStack damit einer ganz
neuen Zielgruppe, denn SPICE erlaubt es,
OpenStack als eine typische Lösung für
virtualisierte Desktops (VDI) einzuset-
zen. Mit VNC war das undenkbar.
Wer WMware mag, wird sich über die
Tatsache freuen, dass Nova in Grizzly
ein Computing-Modul für WMware er-
halten hat. Damit wird es möglich, Hosts
mit WMware als OpenStack-Computing-
8YY`c[le^*1D`k[\ie\l\eM\ij`fecXjj\ej`Z_[`\<`^\ejZ_X]k\emfeMDj
Y\hl\d`d;Xj_YfXi[\[`k`\i\e%
('/ 8L J >8 9 < '* $)' ( *
gefallene VMs jetzt zwar auf anderen
Knoten deutlich leichter starten lassen,
Hand anlegen muss der Admin aber noch
immer. Von echter HA ist das leider noch
immer einigermaßen entfernt. Immerhin:
Die Entwickler haben das HA-Szenario in
der Spezifikation von Evacuate bereits er-
wähnt, so dass durchaus noch Hoffnung
auf eine Umsetzung besteht. Vielleicht
wird das ja in Havanna was.
Ki\`Y\i]clk`e:`e[\i
Die Block-Storage-Komponente Cinder
präsentiert sich in Grizzly vor allem durch
viele neue Treiber positiv. So unterstützt
die Software nun eine direkte Anbindung
an FibreChannel-Storages und kommt
Knoten einzusetzen. Wer also lieber auch mit HP-3PAR- und EMC-Storages
auf Virtualisierung von WMware denn nativ zurecht (8YY`c[le^(). Neue Funk-
auf KVM oder Xen vertraut, kommt mit tionen sind aber auch hinzugekommen:
Grizzly ans Ziel. Wie Glance kann auch Cinder jetzt bei-
spielsweise mit mehreren Backends zur
EfmX?fZ_m\i]•^YXib\`k gleichen Zeit umgehen. Das ist wirklich
nützlich, vor allem wenn man sowohl ein
Immer wieder kreiden insbesondere Eu- vorhandenes SAN wie auch einen neuen
ropäer OpenStack an, dass es sich nicht Ceph-Cluster gleichzeitig als Backend
um das Thema Hochverfügbarkeit küm- einsetzen möchte. Und sowohl Backups
mere. In der Tat war die Unterstützung wie auch das Klonen von Images gehören
von HA-Funktionen in Nova bis jetzt ein- jetzt zu den Features, die Cinder ab Werk
geschränkt, für Grizzly versprachen die mitbringt.
Entwickler aber Besserung. Und haben
geliefert – allerdings nur ein bisschen. ?8XlZ_Y\`HlXekld
Denn das Evacuate-Feature bleibt leider
auf halbem Wege zu echter HA-Funktio- Der Netzwerkdienst Quantum besticht in
nalität stehen. Grizzly vor allem dadurch, dass er mit ei-
Der Ansatz ist gut: Evacuate soll Admins nem neuen Bestandteil namens Quantum
die Möglichkeit bieten, VMs auf anderen Scheduler daherkommt. Der Scheduler
Hosts einfach neu zu starten, wenn diese ermöglicht es, viele verschiedene Instan-
zuvor auf einem Computing-Knoten lie- zen der diversen Dienste von Quantum
fen, der zwischen- auf mehreren Hosts gleichzeitig laufen
zeitlich ausgefal- zu lassen. Konkret ist es also durchaus
len ist. Allein es möglich, mehrere DHCP- und L3-Agents
scheitert an der verteilt zur gleichen Zeit zu betreiben.
Umsetzung, denn Daraus ergeben sich zwei konkrete Funk-
Evacuate bietet tionen: Scale Out nach diesem Prinzip
zwar genau diese sorgt dafür, dass es nicht länger zwin-
Funktion, doch hat gend einen einzelnen Netzwerkknoten
OpenStack noch geben muss, der zum Nadelöhr wird.
immer kein zu- Überdies ist das neue Feature für Hoch-
verlässiges Mittel verfügbarkeit nützlich, denn der Ausfall
um festzustellen, des Hosts mit dem Netzwerkdienst be-
ob ein Computing- trifft nicht mehr automatisch sämtliche
Knoten ausgefal- VMs, und außerdem stehen mehrere al-
len ist oder nicht. ternative Quantum-Server zur Verfügung,
Im Klartext heißt die nahtlos die Funktion des ausgefalle-
das, dass sich aus- nen Servers übernehmen können.
8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
Sicherheitsbeauftragte freuen sich, dass
OpenStack nun auf OpenVSwitch-Ebene
jetzt aufs Beste. Da ist es auch kein Wun-
der, dass neben den Grundfunktionen
ONLINE
nativ Iptables unterstützt. Das geht einher
mit der Tatsache, dass Security Groups in
die LBaaS-Funktion bereits im Dashboard
erscheint. Auch kleine Korrekturen sind







Nova ab sofort offiziell als „abandoned“ eingeflossen, zum Beispiel besteht nun 




gelten und Quantum der Alleinherrscher die Möglichkeit, VMs per Dashboard zu
über die Netzwerksicherheit ist. migrieren (8YY`c[le^ *) und sich eine 







Und dann ist da noch eine Funktion, für
die die Quantum-Entwickler ganz beson-
ders die Werbetrommel rühren: Load Ba-
lancing as a Service. Was klingt, als käme
es direkt aus der Marketing-Abteilung,
bringt in Wirklichkeit eine sehr kom-
plexe Funktion direkt in die Mitte von
Quantum. Quantum lässt sich mit LBaaS
unmittelbar als Loadbalancer für ver-
schiedene Dienste benutzen, ohne dafür
extra einen eigenen virtuellen Server mit
entsprechender Funktionalität zu brau-
chen. Quantum selbst wird zum Hard-
ware-Loadbalancer und kümmert sich
unmittelbar im Netzwerkstack darum,
Pakete über die verschiedenen Instanzen
einer Cloud hinweg zu verteilen.
;Xj;Xj_YfXi[1>Xeqm`\c
HlXekld
Nicht unerwähnt bleiben darf selbstver-
ständlich die Komponente, mit der End-
user typischerweise den meisten Kontakt
haben: das Dashboard (8YY`c[le^ )),
also Horizon. Grizzly steht für Horizon
ganz im Zeichen von Quantum, denn das
war eine der größten Baustellen seit der
Essex-Release im Oktober 2012.
Das Problem: Das Quantum-Team hatte
zwar wie versprochen eine erste Version
von Quantum für Essex fertig bekommen,
allerdings wusste das Dashboard davon
gar nichts und war im Grunde noch im-
mer darauf ausgelegt, sich das Netz mit
Hilfe von Nova zu konfigurieren. Die
Nova-Entwickler schafften zwar einen
teilweise funktionalen Workaround, in
dem sie Nova so patchten, dass es in
Quantum-Setups entsprechende Befehle
an Quantum schickt, anstatt selbst die
Netzwerkeinstellungen vorzunehmen.
In der Praxis hat sich dieser üble Hack
jedoch als wenig zuverlässig herausge-
stellt, noch immer ist für Folsom zum
Beispiel ein Patch notwendig, wenn das
Web-Interface Floating-IPs verstehen soll.
In Grizzly ist damit Schluss, denn Hori-
zon hat hier ein völlig neues Backend
erhalten und versteht sich mit Quantum
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

grafische Übersicht der genutzten Netz-
werktopologie anzuzeigen.
=Xq`k NEU!
OpenStack reift mit einer atemberauben-
den Geschwindigkeit. Das macht sich
insbesondere daran fest, dass in Grizzly
zwar immer noch viele neue und sehr
nützliche Funktionen Einzug in Open-

Tests aktueller Tablets
Stack gehalten haben, diese werden aber und Smartphones
tendenziell kleiner und decken die Be-
dürfnisse zusehends kleinerer Gruppen
ab. Gigantische Neuerungen wie Quan-

Informationen zu Apps
tum in Folsom sucht man diesmal ver- und Systemtools
gebens, dafür hat es viele mittelgroße
Neuerungen und viel Liebe zum Detail
gegeben. Ein großer Wurf ist zweifellos

App-Neuheiten
die Tatsache, dass Cinder und Quantum
nun mit Schedulern daherkommen, die
Rubrik für Power-User
den nahtlosen Scale Out der Dienste
ermöglichen und somit potenzielle Fla-
Workshops
schenhälse eliminieren. Active-Directory-
Support in Keystone dürfte für manche
Unternehmen ein Killer-Feature sein und

Tipps & Tricks
mögliche OpenStack-Ambitionen befeu-
ern. Zusätzlich sind es die vielen kleinen
und vieles mehr!
aber sehr nützlichen Erweiterungen und
Bugfixes, die diese OpenStack-Version
sehr attraktiv erscheinen lassen. Zellen
in Nova, Multifaktor-Authentifizierung in
Keystone und verschiedene Backends für
Glance sind zwar nicht bahnbrechend,
aber doch überaus nützlich. Wer sich mit
OpenStack gerade erst beschäftigt, sollte
das bereits auf Grizzly-Grundlage tun.
Wer keines der neuen Features braucht,
sollte sich trotzdem ein Update überle-
gen, denn die sprichwörtliche Hausmeis-
terarbeit in Grizzly hat OpenStack sehr
gut getan. Als Gesamturteil gilt: Daumen
hoch! (jcb) ■
;\i8lkfi
DXik`e>\i_Xi[CfjZ_n`kqXiY\`k\kXcjGi`eZ`gXc
:fejlckXekY\`_Xjk\of%<iY\jZ_€]k`^kj`Z_[fik
`ek\ej`m d`k ?fZ_m\i]•^YXib\`kjcjle^\e le[
g]c\^k`ej\`e\i=i\`q\`k[\eC`elo$:cljk\i$JkXZb
]•i;\Y`Xe>EL&C`elo%











8L J >8 9 < '* $)' ( * ('0
 98 J @ : J DpJHC$JZ_\dX€e[\ie

ŸXli\dXi#()*I=

DpJHC$JZ_\dX€e[\ile^\e`dcXl]\e[\e9\ki`\Y

ve[\ile^\e
dX^\jZ_e\`[\ik
JZ_\dX€e[\ile^\e`eDpJHCbee\e\`e\?\iXlj]fi[\ile^j\`e%8Y\id`k[\ei`Z_k`^\eKffcjc€jjkj`Z_[`\8l]$
^XY\j\cYjkY\`^if\e;Xk\eYXeb\e\]]`q`\ekcj\e%;Xm`[9\ilY\
Ob im Umgang mit dem Smartphone
oder auf der Bank – relationale Daten-
banken begegnen einem überall. Sie
speichern für uns alle Arten von Daten
in einem speziellen, wohl definierten
Format. Im Gegensatz zu ihren jüngeren
NoSQL-Abkömmlingen verwenden sie
dabei ein festes Schema und akzeptieren
keine ungeordneten Daten. In der Theo-
rie entwickelt ein smarter Programmierer
dieses Schema, das dann in dieser Form
in die Produktion übernommen wird.
In der Praxis erfährt das Schema al-
lerdings zahlreiche Änderungen, bei-
spielsweise, weil sich einige der ersten
Entscheidungen später als Irrtum her-
ausstellen. Daraus resultierende Fehler,
die sich zuweilen erst sehr spät zeigen,
müssen korrigiert werden. In anderen
Fällen ändern sich die Anforderungen
im Laufe der Zeit und erzwingen Ände-
rungen, selbst wenn der erste Entwurf
vollkommen korrekt war. Derartiges ist
meist unvorhersehbar.
Im Ergebnis stehen Admins nicht selten
vor der Aufgabe, ein existierendes Da-
tenbankschema ändern zu müssen. Im
einfachsten Fall ist das trivial, alle Da-
tenbanken inklusive MySQL halten die
nötigen Werkzeuge parat. Mit einem ein-
fachen ALTER-TABLE-Statement lassen
sich Spalten hinzufügen oder löschen,
Datentypen ändern und so fort. Das funk-
tioniert so lange problemlos, so lange die
Datenbank relativ klein ist.
Hinter den Kulissen blockt MySQL alle
Aktivitäten, die die zu ändernde Tabelle
betreffen. Will oder muss man mehrere
Tabellen ändern, erzeugt man so meh-
rere Locks. Selbst aufeinanderfolgende
Änderungen derselben Tabelle können
zu mehrfachen Locks führen. So lange
das Lock besteht, kann kein User und
keine Applikation die gesperrte Tabelle
verwenden – die Datenbank ist mehr
oder weniger nutzlos (jede Datenbank
behandelt die Situation allerdings ein we-
nig anders).
In manchen Situationen mag man die
Locks akzeptieren können, sehr große
Tabellen können aber viele Minuten,
Stunden, ja sogar Tage brauchen, bis alle
Änderungen durchgeführt sind. Dann ist
der bisher diskutierte Ansatz nicht prak-
tikabel. Was soll der Admin stattdessen
tun?
Fec`e\$JZ_\dX$ve[\ile^\e
Das Hauptproblem mit dem eingebau-
ten ALTER-TABLE-Kommando ist, dass
es immer mit einer kompletten Tabelle
arbeitet. Weil dabei große und sehr große
Datenmengen betroffen sein können,
kann das sehr lange dauern. Andererseits
tangiert das Ändern einer leeren Tabelle
den Betrieb überhaupt nicht. Der Weg
besteht deshalb darin, zuerst eine leere
Kopie der korrekturbedürftigen Tabelle
zu erzeugen. Das leistet in MySQL ein
Statement wie
CREATE TABLE xyz LIKE eine-andere-Tabelle;
Hat man diese leere Kopie angelegt, kann
man deren Struktur ändern und zum
Schluss die Daten herüberkopieren. Da-
bei ist es typischerweise nötig, die Daten
langsam und Stück für Stück zu überneh-

((' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

 DpJHC$JZ_\dX€e[\ie 98 J @ : J

men. Versucht man alle auf einmal zu
kopieren, resultiert das typischerweise in
einer sehr schlechten Performance.
Das kommt daher, dass InnoDB die so
genannte Multi Version Concurrency
Control (MVCC) unterstützt. MVCC be-
wirkt, das umfangreiche Transaktionen
(wie das Kopieren einer großen Tabelle)
als einzelne, konsistente Aktion gehand-
habt werden. Wenn so ein Statement
100 000 Zeilen kopieren soll, von denen
einige modifiziert wurden, speichert es
sowohl das Original als auch die neue
Version. Das erzeugt einen Overhead, der
oft kritisch wird. Deshalb ist das por-
tionsweise Kopieren häufig schneller.
Das letzte Teil im Puzzle bildet die Auf-
gabe, dafür zu sorgen, dass die Daten
stets aktuell bleiben, auch wenn An-
wender beispielsweise die Quelltabelle
während des Kopierens ändern. Die ein-
fachste Methode das zu erreichen, stellen
Trigger dar. Damit sorgt dann MySQL
selbst dafür, dass die Daten up-to-date
bleiben. Wenn das alles nach sehr viel
Arbeit klingt – nicht verzweifeln: Es gibt
gute Tools, die den gesamten Prozess au-
tomatisieren.
;XjG\iZfeXKffcb`k
Für den oben beschriebenen Workflow
existieren eine Reihe von Tools. Sowohl
OpenArk als auch das Percona Toolkit
R(T bieten Werkzeuge für Online-Ände-
rungen an Tabellen, die »oak-online-al-
ter-table« beziehungsweise »pt-on-
line-schema-change« heißen. Dieser
Artikel behandelt das Werkzeug von Per-
cona, weil es mehr Features bietet, dar-
unter etwa die Unterstützung für Primary
Keys, die keine Integer-Werte enthalten,
oder das automatische Verlangsamen des
Slaves.
Wer mit Ruby on Rails arbeitet, für den
ist der Large Hadron Migrator R)T eine
passende Lösung. Er arbeitet ähnlich wie
die erwähnten Tools, aber auf Basis der
in Ruby on Rails eingebauten Migrations-
mechanismen.
Bevor demonstriert werden kann, wie
»pt-online-schema-change« funktioniert,
müssen ein paar Daten her. Das erledigt
das Skript in C`jk`e^(. Es braucht übri-
gens das Gem »progressbar«, das man im
Bedarfsfall mit
gem install progressbar
installiert. Nun kann man das Skript mit
ruby create_test_data.rb
laufen lassen.
Progressbar ist übrigens bei vielen lang
laufenden, nicht unterbrechbaren Tasks
nützlich. Es wird einfach mit einer Be-
schreibung und der Anzahl der abzu-

C`jk`e^(1¾Zi\Xk\Vk\jkV[XkX%iY½
01 require 'rubygems' 17 if ExampleModel.table_exists? 34
02 require 'active_record' 18 35
03 require 'progressbar' 19 ActiveRecord::Schema.drop_table :example_ 36 pbar = ProgressBar.new('creating sample
04 models records', number_of_sample_records)
05 number_of_sample_records = ENV['number_of_ 20 37
records'] || 10_000 21 end
38 number_of_sample_records.times do |i|
06 22
39
07 ActiveRecord::Base.establish_connection( 23 ActiveRecord::Schema.define do
40 ExampleModel.create(
08 :adapter => 'mysql', 24
41 :test_string_1=>"Test String 1 - ##{i}",
09 :host => 'localhost', 25 create_table :example_models do |t|
42 :test_string_2=>"Test String 2 - ##{i}",
10 :username => 'root', 26
43 :test_integer=>"Test Integer - ##{i}"
11 :password => 'your_mysql_password_goes_ 27 t.string :test_string_1
44 )
here', 28 t.string :test_string_2
12 :database => 'test') 29 t.integer :test_integer 45

13 30 46

14 class ExampleModel < ActiveRecord::Base; end 31 end 47 pbar.inc

15 32 48
16 33 end 49 end
ONLINE

MAGAZIN
LINUX-MAGAZIN NEWSLETTER
Nachrichten rund um die Themen Linux und
informativ Open Source lesen Sie täglich im Newsletter
Newsletter des Linux-Magazins.

kompakt

tagesaktuell
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < www.linux-magazin.de/newsletter
8;D@E 8L J >8 9 < '* $)' ( * (((
 98 J @ : J DpJHC$JZ_\dX€e[\ie

arbeitenden Einheiten aufgerufen. Nach
Abschluss jeder Einheit wird seine Me-
thode »inc« benutzt.
Gif^i\jjYXibfe]`^li`\i\e
Das vorgestellte Skript ist konfigurierbar.
installiert, lässt es sich mit folgendem
Aufruf testen:
pt-online-schema-change --dry-run 5
--alter 'ADD COLUMN test_string_3 5
VARCHAR(255)' 5
D=test,t=example_models,u=root, 5
p=your_password_goes_here
men des Users und »p« für das Passwort.
Eine vollständige Aufzählung der mögli-
chen Optionen findet sich in der Doku-
mentation, die man mit dem Kommando
»man pt-online-schema-change« oder
auch auf der Percona-Webseite erhält.

Per Default erzeugt es nur 10 000 Zeilen, Das angeführte Kommando fügt der KifZb\ecXl]
man kann es aber auch mit 10 000 000 Tabelle »example_models« eine Spalte
Zeilen laufen lassen. »test_string_3« hinzu. Das Argument Besonders beachtenswert ist die Option
der Option »--alter« ist dabei ein SQL- »--dry-run«, die einen Trockenlauf an-
number_of_records=10000000 ruby5
create_test_data.rb
Fragment, genauer gesagt der »ADD stößt, indem sie eine neue Tabelle anlegt,
COLUMN«- oder »DROP COLUMN«-Teil ändert und dann wieder löscht. Auf diese
Ist das Skript einmal durchgelaufen, hat einer »>ALTER TABLE«-Anweisung. Weise lässt sich sicherstellen, dass das
man eine Datenbank mit einer Tabelle Mehrfache Ausdrücke sind hier mit Kom- verwendete SQL fehlerfrei ist. Die Ausga-
»example_models«, die die Testdaten ent- mas zu trennen. ben sollten denen in C`jk`e^) gleichen.
hält. Danach muss man das Percona Tool- Das letzte Argument spezifiziert die De- Ohne die »--dry-run«-Option würden
kit installieren, für das es RPM-, Debian- tails der Datenbankverbindung: »D« steht die Daten herüberkopiert, wobei Trig-
und Sourcecode-Pakete auf der Webseite vor dem Datenbanknamen, »t« gibt den ger auf jede von Anwendern geänderten
des Projektes gibt R*T. Ist das Toolkit Tabellennamen an, »u« steht für den Na- oder neu eingegebenen Daten reagieren
würden (C`jk`e^*). Die Terminalausga-
C`jk`e^)1KifZb\ecXl]¾gk$fec`e\$jZ_\dX$Z_Xe^\½ ben verweisen in diesem Fall auf 10 261
01 Starting a dry run. `test`.`example_models` 08 Not copying rows because this is a dry run. Zeilen, nicht auf exakt 10 000, weil »pt-
will not be altered. 09 Not swapping tables because this is a dry run.
online-schema-change« die Zeilenzahl
02 Specify --execute instead of --dry-run to alter 10 Not dropping old table because this is a dry
mit »EXPLAIN SELECT« schätzt und
the table. run.
03 Creating new table... 11 Not dropping triggers because this is a dry
nicht mit »COUNT *« zählt. Letzteres
04 Created new table test._example_models_new OK. run. wäre genauer, würde aber länger dauern
05 Altering new table... 12 Dropping new table... und könnte bei großen Tabellen Prob-
06 Altered `test`.`_example_models_new` OK. 13 Dropped new table OK. leme erzeugen.
07 Not creating triggers because this is a dry 14 Dry run complete. `test`.`example_models` was Vom Erfolg der Änderung kann man sich
run. not altered.
in der MySQL-Konsole überzeugen (C`$
jk`e^+). Mögliche Änderungen erschöp-
C`jk`e^*18lj^XY\mfe¾gk$fec`e\$jZ_\dX$Z_Xe^\½ fen sich natürlich nicht im Hinzufügen
01 pt-online-schema-change --execute --alter 09 Copying approximately 10261 rows... von Spalten; man kann auch Spalten lö-
'ADD COLUMN test_string_3 VARCHAR(255)' 10 Copied rows OK. schen, umbenennen, Datentypen ändern,
D=test,t=example_models,u=root,p=your_password_ 11 Swapping tables... Defaults setzen und so weiter – alles,
goes_here
12 Swapped original and new tables OK.
02 Altering `test`.`example_models`...
was mit einem »ALTER TABLE«-DDL-
12 Dropping old table...
03 Creating new table... Statement möglich ist.
13 Dropped old table `test`.`_example_models_old`
04 Created new table test._example_models_new OK.
OK.
05 Altering new table...
06 Altered `test`.`_example_models_new` OK. 14 Dropping triggers...
=Xq`k
07 Creating triggers... 15 Dropped triggers OK.
Eine Schemaänderung im laufenden Be-
08 Created triggers OK. 16 Successfully altered `test`.`example_models`.
trieb kann eine Herausforderung sein.
Aber mit den richtigen Tools erledigt man
C`jk`e^+1DpJHC$K\jk diese Aufgabe auch bei großen Daten-
# mysql test banken sauber und akkurat. Das Tool
»pt-online-schema-change« nimmt der
mysql> describe example_models;
Anwendung ihre Schrecken. (jcb) ■
+-----------------+----------------+--------+-------+-----------+------------------+
| Field | Type | Null | Key | Default | Extra |
+-----------------+----------------+--------+-------+-----------+------------------+
| id | int(11) | NO | PRI | NULL | auto_increment | @e]fj
| test_string_1 | varchar(255) | YES | | NULL | | R(T G \iZfeXKffcb`k1R_kkg1&&nnn%g\iZfeX%Zfd&
| test_string_2 | varchar(255) | YES | | NULL | | jf]knXi\&g\iZfeX$kffcb`kT
| test_integer | int(11) | YES | | NULL | | R)T C Xi^\?X[ifeD`^iXkfi1R_kkgj1&&^`k_lY%
| test_string_3 | varchar(255) | YES | | NULL | | Zfd&jfle[Zcfl[&cXi^\$_X[ife$d`^iXkfiT
+-----------------+----------------+--------+-------+-----------+------------------+
R*T G \iZfeX;fnecfX[1R_kkg1&&nnn%g\iZfeX%
5 rows in set (0.00 sec)
Zfd&[fnecfX[j&T

(() 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

 MEDIALINX
IT-ACADEMY

IT-Online t ra ini ngs

i t E n lernen.
x p e r te
powered by

M
■ Lernen Sie, wo und wann Sie möchten. Effiziente BASH-Skripte
■ Sparen Sie Zeit und Kosten. mit Klaus Knopper,
■ Bleiben Sie trotz zeitlicher Engpässe
Gründer der Knoppix-Distribution,
KNOPPER.NET
up-to-date. 199 €

LPIC-1 / LPIC-2 Trainings Einfache IMAP-Server mit Dovecot

LPIC-1 (LPI 101 + 102) LPIC-2 (LPI 201 + 202) mit Peer Heinlein,
mit Ingo Wichmann, mit Marco Göbel, Heinlein Support GmbH
Linuxhotel Com Computertraining GmbH 249 €
499 € 499 €

– die offiziellen Trainings Python für Systemadministratoren

mit Marco Welter, mit Rainer Grimm,
Zarafa Deutschland GmbH science + computing AG
Zarafa Administrator Zarafa Engineer 199 €
249 € 249 €

www.medialinx-academy.de
 98 J @ : J M`d
Ÿ8[Z_Xi`pX:_Xeg`gXk#()*I=
JlZ_\ele[<ij\kq\e`dM`d$<[`kfi
@dJlZ_\i
N\i^\c\iek_Xk#j`Z_f_e\:lijfi$KXjk\e[liZ_[\eM`d$<[`kfiqlY\n\$
^\e#bXeej`Z_Xe[`\e€Z_jk\?\iXlj]fi[\ile^nX^\e1JlZ_\ele[<ij\k$
q\e#Xl]NlejZ_XlZ_d`kI\^lcXi<ogi\jj`fejf[\i`ek\iXbk`m%9ilZ\9p]`\c[
Als Abkömmling des alten Vi-Editors,
der aus dem Jahr 1976 stammt, ist Vim
einer der am weitestverbreiteten Text-
editoren überhaupt, insbesondere in
Linux-Distributionen. Bei den meisten ist
er standardmäßig enthalten und es gibt
kaum einen Anwender, der nicht mit ihm
Bekanntschaft gemacht hat – und sei es
nur, dass er oder sie unabsichtlich in den
Vim-Editor gelangte und nicht wusste,
wie man ihn beendet.
Viele Anwender lernen dann die grund-
legende Bedienung, gelangen aber kaum
darüber hinaus. Für viele bleibt zum Bei-
spiel die Suche in dem Texteditor immer
ein Buch mit sieben Siegeln. Das ist sehr
verständlich, denn mit seinen vielen Ei-
genheiten und Hunderten von Tastatur-
kürzeln wirkt Vim oft eher wie ein eige-
nes Betriebssystem als wie ein Editor. Auf
jeden Fall kann man seine umfangreichen
Fähigkeiten nicht nutzen, wenn man sich
darauf beschränkt, mit den Cursor-Tasten
durch eine Datei zu navigieren. Sich ein
paar grundlegende Suchbefehle anzueig-
((+ 8L J >8 9 < '* $)' ( * 8;D@E
nen, bringt einen wahren Schub für die
eigene Produktivität.
9Xj`j$JlZ_\
Wie Sie vielleicht wissen, gibt es in
Vim zwei unterschiedliche Modi: den
Befehlsmodus und den Einfügemodus.
Man startet Vim im Befehlsmodus und
drückt dann beispielsweise [i], um in den
Einfügemodus zu gelangen und Text ein-
zugeben. Ein Druck auf die [Esc]-Taste
versetzt Vim wieder in den Befehlsmo-
dus. Am unteren Rand des Fensters zeigt
Vim eine Statusleiste, in der etwa der
Einfügemodus gekennzeichnet ist.
Die Befehle und Tastenkürzel für die
reine Suche in Vim unterscheiden sich
von denen für das Suchen und Ersetzen.
Wie die meisten anderen werden sie im
Befehlsmodus eingegeben. Die grund-
legende Suche könnte kaum einfacher
sein: Geben Sie »/Suchbegriff« ein, um
von der aktuellen Cursor-Position ausge-
hend die Datei nach dem Suchbegriff zu
durchsuchen. Um rückwärts zu suchen,
verwenden Sie »?Suchbegriff«. Im Prinzip
steckt dahinter ein System, das sich dem
deutschen Anwender nicht unbedingt er-
schließt: Auf der US-amerikanischen Tas-
tatur liegen diese beiden Buchstaben auf
derselben Taste. Per Default unterschei-
det Vim hier Groß- und Kleinschreibung,
eine Suche nach »Vim« findet also weder
»vim« noch »VIM«.
Wollen Sie nach einem Treffer weiter-
suchen, drücken Sie die Taste [n]. Um
alternativ weiter in der Datei nach oben
zu suchen, verwenden Sie [N]. Die Sys-
tematik entspricht hier derjenigen der
Suche: Auch [n] und [N] unterscheiden
sich nur durch einen [Shift]-Druck, aber
hiervon profitieren auch Anwender mit
deutscher Tastatur.
Qn`cc`e^\]`e[\e
Das waren aber nur die absoluten Basics.
Steht der Cursor auf einem bestimmten
Wort und Sie drücken [*], springt er zum
nächsten Vorkommen dieses Worts in der
Datei. Der umgekehrte Fall, zurück zu
springen, lässt sich mit [#] erreichen.
Vim findet hierbei nur genau das Wort,
aber keine Substrings, eine Suche nach
»Admin« springt also nicht zu »Adminis-
trator«. Um das zu erreichen, verwenden
Sie die Tastenfolge [g][*] beziehungs-
weise [g][#].
Weitere Variationen der grundlegenden
Suchbefehle erlauben noch weitere Such-
optionen. Geben Sie nur [/] ein, nachdem
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

8YY`c[le^(18l]NlejZ__\YkM`dXcc\=le[jk\cc\eY\`\`e\iJlZ_\^iX]`jZ__\imfi%
Sie einmal gesucht haben, wie-
derholt Vim die letzte Suche. Mit
einer Zahl kombiniert, springt
der Editor zu dem n-ten Vor-
kommen des Suchbegriffs: »/5/
command« springt also zu der
fünften Stelle, an der der String
»command« steht. Das lässt sich
wiederum mit den eben beschrie-
benen Kürzeln kombinieren. So
springt »/2*« zur zweiten Stelle,
an der das aktuelle Wort steht.
Per Default landet man dabei im-
mer am Anfang des Suchbegriffs.
Wollen Sie stattdessen ans Ende
springen, schreiben Sie hinter
den Suchbegriff »/e«.
@^efiXek
Die Unterscheidung von Groß-
und Kleinschreibung bei der Su-
che schalten Sie ab, indem Sie
»/c« an eine Suche anhängen.
Verwenden Sie dagegen ein »/C«,
wird die Unterscheidung wieder
eingeschaltet. Alternativ können
KXY\cc\(19\jk€k`^le^Y\`dJlZ_\e<ij\kq\e
<`e^XY\ =lebk`fe
p <ij\kq\Jki`e^
e |Y\ijgi`e^\e
X <ij\kq\Xcc\=fc^\e[\e
h JlZ_\e<ij\kq\eY\\e[\e
c ;`\j\eJki`e^\ij\kq\e#[XeeY\\e[\e
U< D`kRJki^T"R\T_fZ_jZifcc\e
UP D`kRJki^T"RpT_\ilek\ijZifcc\e
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
Sie auch vor der Suche den Be-
fehl »:set ignorecase« eingeben
und die Einstellung damit für
die aktuelle Sitzung dauerhaft
einschalten. Dauerhaft legen Sie
diese Einstellung fest, indem Sie
den Befehl in die Konfigurations-
datei »$HOME/.vimrc« schrei-
ben. Falls Sie dann doch einmal
Groß- und Kleinschreibung un-
terscheiden wollen, verwenden
Sie eben den Schalter »/C«.
JZ_cXl\iM`d
Eine weitere interessante Alterna-
tiv dazu ist es, gleichzeitig »:set
ignorecase« und »:set smartcase«
einzuschalten. Vim entscheidet
dann anhand des eingegebenen
Suchbegriffs, ob er Groß- und
Kleinschreibung beachtet oder
nicht. Enthält er einen Groß-
buchstaben, findet Vim nur diese
Schreibweise, ansonsten ist er to-
lerant. Die Smartcase-Einstellung
funktioniert nur, wenn man den
Suchbegriff eintippt, aber nicht,
wenn man mit [*] sucht.
Sehr praktisch ist es auch, im
Text alle Fundstellen hervorzu-
heben. Das können Sie mit »:set
hlsearch« erreichen (8YY`c[le^
UÊ
(). Standardmäßig verwendet
UÊ
Vim dafür Gelb, mit der Einstel-
UÊ
lung »:hi Search guibg=ASCII
COLOR« lässt sich das aber UÊ
ändern. Für die nächste Suche UÊ
schalten Sie die Hervorhebung UÊ
mit »:nohlsearch« ab. Dauerhaft UÊ
tut dies »:set nohlsearch«. UÊ
Noch bequemer ist es, mit »:set UÊ
incsearch« die sogenannte inkre- UÊ
mentelle Suche zu aktivieren.
UÊ
Damit markiert Vim bereits ge-
UÊ
fundene Wörter, während Sie
UÊ
noch den Suchbegriff eintippen.
Sucht man etwa bei diesem Ar-
tikel nach »/Vi«, hebt Vim die
ersten beiden Buchstaben von
»Vi-Editor« hervor. Tippt man
nun noch ein »m«, springt die
Markierung in den nächsten Ne-
bensatz zur ersten Erwähnung
von »Vim«.
DXib`\ile^\e
Wenn Sie die grafische Hervor-
hebung praktisch finden, wollen
Sie vielleicht manche ihrer Such-
ergebnisse dauerhaft markieren.
Das können Sie tun, indem Sie
»mKleinbuchstabe« eingeben. Die
Marke besteht dann aus einem
Buchstaben zwischen a und z. Ist
eine Markierung gesetzt, sprin-
gen Sie mit »'Buchstabe« dorthin.
Zusätzlich zu ihrer Verwendung
als Ziel für Sprünge können Sie
die Marken auch für Textblocks
verwenden, also etwa um Text
von der aktuellen Cursor-Position
bis zur Marke zu löschen. Ein
Nachteil der Marker ist, dass sie
nicht sichtbar sind. Sie müssen
sich also selbst merken, wo Sie
Markierungen gesetzt haben.
Alle diese Kürzel zu lernen,
braucht seine Zeit. Der Vim-
Editor hilft dabei, indem er eine
History der gefundenen Wörter
(nicht der Suchbegriffe) führt.
Um ein schon einmal gefundenes
8L J >8 9 < '* $)' ( * ((,
 98 J @ : J M`d
Wort noch einmal zu suchen, tippen Sie
[/] beziehungsweise [?] und verwenden
dann die Pfeiltasten, um durch die His-
tory zu scrollen.
JlZ_\ele[<ij\kq\e
Wie schon erwähnt, ist Suchen und Erset-
zen in Vim eine vom Suchen vollkommen
getrennte Funktion. Grundsätzlich sieht
der Befehl für eine Ersetzung so aus:
%s/Suchbegriff/Ersetzung/g
Das Prozentzeichen zu Beginn zeigt an,
dass sich der Befehl auf die ganze Datei
bezieht. Das »g« am Ende steht für „glo-
bal“ und bedeutet, dass Vim den String
auch ersetzt, wenn er in einer Zeile mehr-
mals vorkommt. In der Praxis werden
meist diese beiden Optionen verwendet.
Den Grundbefehl können Sie auf mehr-
fache Weise variieren. Lassen Sie das
Prozentzeichen weg, sucht Vim nur in
der aktuellen Zeile. Ersetzen Sie es durch
einen Bereich, etwa »4,6,«, sucht Vim nur
in den Zeilen 4 bis 6:
:4,6,s/Vim/Foom/
8YY`c[le^)1>Xeqf_e\KXjkXklib•iq\c1;`\^iX]`jZ_\M\ij`femfeM`dlek\ijk•kqk8en\e[\iY\`[\iJlZ_\d`k
[\dmfeXe[\i\e8en\e[le^\eY\bXeek\e;`Xcf^]\ejk\i%
((- 8L J >8 9 < '* $)' ( * 8;D@E
Analog dazu führt Vim die Ersetzung mit
»'d,'g« nur zwischen den Markierungen
»d« und »g« aus. Alternativ ist auch die
Angabe einer relativen Position mög-
lich. So ersetzt Vim mit »./$« gefundene
Strings in allen Zeilen von der aktuel-
len bis zur letzten; »./+N« macht das
gleiche für die folgenden N Zeilen. Mit
»g/^String/« ersetzt Vim das Suchmuster
nur in Zeilen, die mit dem angegebenen
String beginnen.
Neben »g« gibt es auch noch weitere Op-
tionen, die als Modifikatoren hinter dem
Ersetzungsstring folgen dürfen. Dies sind
»i« (ignoriere Groß-/Kleinschreibung),
»l« (achte Groß-/Kleinschreibung) und
»c« (bestätige Ersetzung). Im letzten Fall
fragt der Editor bei jedem Fund nach, was
er machen soll (siehe KXY\cc\().
I\^lcXi<ogi\jj`fej
Vim hat seine eigene Version von Regular
Expressions R(T, die sich beim Suchen
(und Ersetzen) verwenden lassen. Dabei
gibt es die üblichen Verdächtigen wie ».«
für ein Zeichen und »*« für die optionale
mehrmalige Wiederholung eines Zei-
chens. Einen Bereich von Zeichen geben
Sie innerhalb eckiger Klammern an, etwa
»[a-z]«. Steht innerhalb der Klammern
zu Beginn ein »^«, wird der Bereich ne-
giert.
Wer Regular Expressions von anderen
Programmen oder Programmiersprachen
kennt, sollte daran denken, dass sie sich
von denen in Vim möglicherweise un-
terscheiden. Gerade beim Ersetzen sollte
man das Suchmuster lieber noch einmal
überprüfen. Für den Fall, dass die einge-
setzten Regular Expressions unerwartete
Nebeneffekte haben, gibt es sonst immer
noch das Undo-Kommando.
Speziell bei Regular Expressions emp-
fiehlt es sich, eine von Vim unterstützte
Grep-Version zu verwenden: entweder
die externen Befehle »grep« und »lgrep«
oder die eingebauten Vim-Befehle »vim-
grep« und »lvimgrep«. Der übliche Rat
lautet, für einfache Suchaufträge die ein-
gebauten Kommandos zu verwenden, sie
aber für komplizierte zu vermeiden, weil
sie nicht sehr schnell sind. Die Ergebnis-
liste für Suchen mit »grep« und »vimgrep«
öffnen Sie mit »:cw« oder »:copen«; bei
»lgrep« und »lvimgrep« sind es die Be-
fehle »:lw« und »:lopen« R)T.
Wie andere Anwendungen lassen sich
auch die Suchfunktionen in Vim durch
Plugins erweitern. Das Plugin Ack.vim
R*T erlaubt die Suche mit dem Ack-
Utility R+T, das für rekursive Suchen in
Quellcode-Dateien optimiert ist. Ein an-
deres populäres Plugin ist SearchCom-
plete R,T, das Vim beim Suchen mit Tab-
Vervollständigung ausstattet, wie viele
Anwender sie von der Bash-Shell kennen.
Schließlich bleibt als letzter Ausweg auch
noch der Gvim-Editor (8YY`c[le^)), der
Anwender mit dem gewohnten Dialog-
fenster beglückt. (ofr) ■
@e]fj
R(T I\^lcXi<ogi\jj`fej1R_kkg1&&nnn%
cX^dfejk\i%fi^&[fZj&m`i\T
R)T ;Xk\`\e]`e[\e`eM`d1R_kkg1&&m`d%n`b`X%
Zfd&n`b`&=`e[V`eV]`c\jVn`k_`eVM`dT
R*T 8 Zb%m`d1R_kkg1&&nnn%m`d%fi^&jZi`gkj&
jZi`gk%g_g6jZi`gkV`[4),.)T
R+TFc`m\i=ifdd\c#8Zb#[XjY\jj\i>i\g1
R_kkg1&&nnn%X[d`e$dX^Xq`e%[\&E\nj&
K`ggj&8;D@E$K`gg$8Zb$[Xj$Y\jj\i\$>i\gT
R,T J\XiZ_:fdgc\k\1R_kkgj1&&^ `k_lY%Z fd&
m`d$jZi`gkj&J\XiZ_:fdgc\k\T
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 Jfe[\ik\`c
8l][\i]fc^\e[\eJ\`k\jkXik\k[\ii\^\cd€`^\
=i\\O$Jfe[\ik\`c[\j8;D@E$DX^Xq`ej%?`\i]`e[\e
J`\Befn$_fn$8ik`b\cle[Nfibj_fgjmfe\i]X_$
i\e\e8lkfi\eXlj[\icXe^\eKiX[`k`fe[\i=i\\O% Q=J% % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % ((/
N`\=i\\9J;mfdXl\i^\n_ec`Z_c\`jkle^jjkXib\e
JfcXi`j$=`c\jpjk\dQ=Jgif]`k`\ik%
Ÿp\nb\f#()*I=

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ((.

 Q=J
Q=Jlek\i=i\\9J;Æ;Xk\ej`Z_\i_\`kXl]e\l\eN\^\e
8jkifefd`jZ_
ŸEf\cGfn\cc#()*I=%Zfd
;XjmfeJle\ekn`Zb\ck\;Xk\`jpjk\dQ=J`jklek\iJfcXi`j\`e\]\jk\>i\%<jY`\k\k<`^\ejZ_X]k\e#[`\bfe$
k ` b ck k ` k `k k
m\ek`fe\cc\;Xk\`jpjk\d\mfe=i\\9J;#C`elof[\iFJOm\id`jj\ecXjj\e%;\iQ=J$Gfik]•i=i\\9J;Yi`e^k[Xj
c\`jkle^j]€_`^\Jpjk\d]•i8en\e[\i]i\`\iJf]knXi\`eI\`Z_n\`k\%A•i^\e;Xebfn\`k
Im Jahr 2004 trat ein neues und extrem
leistungsfähiges Dateisystem mit inte-
griertem Volume Management die Bühne
der Betriebssysteme: das Zettabyte File-
system oder kurz ZFS. Das von Sun ent-
wickelte Dateisystem ist als Antwort auf
den stetig steigenden Speicherbedarf mo-
derner Anwendungen konzipiert. Auch
die zunehmende Anforderung an Daten-
sicherheit spielte bei der Entwicklung
eine große Rolle.
Zum Glück für die Open-Source-Welt
wurde der Quelltext von ZFS freigegeben.
Dies ermöglichte FreeBSD-Entwicklern –
allen voran Pawel Jakub Dawidek – ZFS
in die FreeBSD-Welt zu portieren. Es war
eine gewaltige, aber sehr erfolgreiche
Kraftanstrengung, die FreeBSD für An-
wendungen im Bereich der Web- und
Maildienste attraktiv machen.
Bfdg\ej`\ik
In Zeiten immer weiter fallender Festplat-
tenpreise stellt sich die Frage, ob man die
für eine Firma lebenswichtigen Daten die-
sen Massenspeichern noch anvertrauen
darf. Der Grund liegt nicht nur in der
mechanischen Stabilität. Es ist auch die
immer weiter steigende Packungsdichte
der einzelnen Sektoren, die nicht unbe-
dingt für höhere Datensicherheit sorgt.
((/ 8L J >8 9 < '* $)' ( * 8;D@E
c ` ` ] k  Y` k k
Angesichts dieser Umstände wurde bei
ZFS ein mehr als dreißig Jahre altes
Dateisystemkonzept umgekrempelt. So
sehen Dateisysteme wie Ext4 oder UFS2
nur die Verwaltung von Dateien, Attribu-
ten und Berechtigungen vor, aber nicht
das Management von Datenträgern.
Hier setzt ZFS an. Es verwaltet nicht
nur die extrem großer Speichermengen,
sondern bietet auch einen integrierten
Volume-Manager, Transaktionsmechanis-
men und Snapshots. Teilweise macht es
dabei Anleihen bei der RAID-Technolo-
gie, die ebenfalls den um sich greifen-
den Einsatz preisgünstiger Festplatten
berücksichtigte.
Sicher ist auch UFS2 ein leistungsfähiges
Dateisystem, aber wenn die Speicherka-
pazität eines Datenträgers ausgeschöpft
ist, wird UFS2 sehr langsam. Das liegt an
den relativ ineffizienten Algorithmen zur
Datenverwaltung.
Auch UFS2 bietet Snapshots, aber sie
weisen gegenüber ZFS entscheidende
Nachteile auf: Sie belegen sehr viel Spei-
cherplatz, machen das Dateisystem fühl-
bar langsamer und sind in der Adminis-
tration sehr umständlich. Weiterhin ma-
chen die klassischen Dateisysteme nach
einem Systemabsturz einen sehr langen
und speicherintensiven Filesystem-Check
notwendig.
Einige dieser Probleme beseitigt der un-
ter FreeBSD verfügbare Journaling-Me-
chanismus Gjournal, allerdings erkauft
man sich damit auch weitere Probleme,
wie die technische Beschreibung von ZFS
zeigen wird.
Jg\`Z_\i_le^i`^
Natürlich hat ZFS gegenüber UFS2 auch
Nachteile. Ein Minuspunkt von ZFS ge-
genüber anderen Dateisystemen ist, dass
es sehr viel Arbeitsspeicher benötigt.
Von daher scheiden für einen effektiven
Einsatz 32-Bit-Systeme wie FreeBSD/386
aus, da der Adressraum mit maximal drei
GByte nicht mehr dafür ausreicht, ZPools
im TByte-Bereich zu verwalten. Mit der
64-Bit-Version von FreeBSD (amd64), die
für Intel- und AMD-Systeme bereitsteht,
macht der Betrieb von ZFS mit etwa vier
GByte richtig Spaß und ZFS zeigt seine
Leistungsfähigkeit. Zunächst ein kurzer
Überblick über die Merkmale von ZFS:
■ Datenintegrität wird durch Prüfsum-
men über die Daten erreicht.
■ Es lassen sich mehrere Speicherein-
heiten zu einem Storage Pool zusam-
menfassen.
■ Jede ZFS-Dateioperation findet als
Transaktion statt, die in einem Journal
protokolliert wird.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

■ Es lassen sich Shares für SMB/CIFS
oder NFS anlegen und es besteht die
Möglichkeit, ein Volume als iSCSI-
Target oder für Swapping zu definie-
ren. Die FreeBSD-Version bietet im
Moment allerdings nur NFS.
■ Um die Administration der Pools zu
erleichtern, stehen statt langer Skripte
einfache und leicht erlernbare Befehle
zur Verfügung. Die Unabhängigkeit
vom Endian-Typ erleichtert die Admi-
nistration zusätzlich.
■ ZFS erkennt und korrigiert versteckte
Fehler in der Datenübertragung (End-
to-End Data Integrity).
■ Bei ZFS handelt es sich um ein
128-Bit-Filesystem. Das bedeutet, es
lassen sich 256 Quadrillionen Zetta-
bytes verwalten. Verzeichnisse dürfen
bis zu 256 Trillionen (= 248) Einträge
aufnehmen. An diesen Werten lässt
sich ablesen, dass es keine realistische
Grenze für die Zahl der Dateien in
ZFS gibt.
■ ZFS interpretiert den Begriff „Daten-
satz“ oder „Dataset“ neu: Für konven-
tionelle Dateisysteme ist ein Datensatz
ein Datenpaket. Bei ZFS ist es aber
ein Abschnitt im Dateisystem, der die
Möglichkeit bietet, nach dem Mounten
Daten zu speichern.
Um die Gründe für die Leistungsfähig-
keit von ZFS zu verstehen, muss man
in die Tiefen dieser Software hinabstei-
gen. 8YY`c[le^( zeigt den prinzipiellen
Aufbau.
Q=J$8iZ_`k\bkli
Die oberste Ebene bildet die Schnittstelle
zum Userland und anderen Diensten,
welche die Daten im Netzwerk bereit-
stellen. Dieser Layer wird Interface Layer
genannt. Dies ist auf der einen Seite
ein Posix-Layer, um Netzwerkdateisys-
teme wie NFS über die entsprechenden
Daemons an ZFS anzubinden. Auf der
anderen Seite dient der ZFS-Volume-Emu-
lator dazu, eine Schnittstelle für andere
lokale Dateisysteme wie beispielsweise
UFS2, Auslagerungsdateien oder iSCSI zu
bieten. Auch Jails kommunizieren über
diese Ebene mit ZFS. Die nächste Schicht
ist der Transactional Object Layer, gewis-
sermaßen das Herz von ZFS. Hier findet
die Verwaltung der Snapshots, Transak-
tionen und Datenverwaltung statt.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
Die unterste Ebene ist der sogenannte
Storage-Pool-Manager. Besonders her-
vorzuheben ist der ZFS-Intent-Log (ZIL),
die Cache-Verwaltung mit dem Adaptive
Replace Cache (ARC) und dem Second
Level Adaptive Replace Cache (L2ARC).
Während ZIL Schreibvorgänge in einem
Journal protokolliert, verhält sich der
ARC/L2ARC wie ein zweistufiger Read-
Cache, wobei der ARC sich im Arbeits-
speicher und der L2ARC auf einer Fest-
platte (oder SSD) befindet.
Mfcld\$DXeX^\i
Herkömmliche Dateisysteme verwalten
in der Regel nur eine Partition. Unter-
stützt werden sie dabei meist durch ei-
nen Logical-Volume-Manager (LVM),
der physische Partitionen zu logischen
zusammenfasst. Als Nebenprodukt kann
ein LVM auch Funktionalitäten wie RAID,
Kompression oder Verschlüsselung be-
reitstellen. Der Volume-Manager von ZFS
kennt derzeit vier RAID-Typen:
■ ZFS-Mirror: Eine gerade Anzahl von
Festplatten wird zu einem Spiegel zu-
sammengefasst. Die Speicherkapazität
entspricht der Hälfte der Gesamtkapa-
zität aller Festplatten.
■ ZFS-RAIDZ1: Dieser RAID-Typ ent-
spricht einem RAID5. Mindestens drei
Festplatten bilden hier ein Laufwerk.
Die Daten und Prüfsummen werden
auf alle drei Platten verteilt. Es darf
maximal ein Fehlerfall eintreten, ohne
dass es zu einem Totalausfall kommt.
Lj\icXe[
L=J) E=J#`J:J@
L=J) E=J#`J:J@
B\ie\c
QGC QMFC
Q@C
8I:
Q@F
C)8I:
8YY`c[le^(18l]YXlmfeQ=J%
Q=J
■ ZFS-RAIDZ2: Hierbei handelt es sich
um ein RAID6. Es müssen mindestens
vier Festplatten vorhanden sein, um
einen solchen Pool anzulegen. Daten
und Prüfsummen werden ebenfalls
auf alle Platten verteilt. Allerdings
dürfen bei diesem Typ zwei Fehler-
fälle auftreten.
■ ZFS-RAIDZ3: Dieser Typ ist eine Wei-
terentwicklung von ZFS-RAIDZ2.
Hier dürfen drei Fehlerfälle auftreten,
ohne dass es zum totalen Datenverlust
kommt.
ZFS fasst diese Funktionen zusammen
und bildet aus den physischen Daten-
trägern zunächst eine logische Einheit.
Diese wird im ZFS-Sprachgebrauch Sto-
rage Pool genannt. Innerhalb eines Pools
lassen sich dann beliebig viele logische
Partitionen (mit je einem Dateisystem) –
auch Datasets genannt – anlegen.
Dies erinnert alles stark an Hardware-
RAID-Controller. Im Unterschied dazu
können bei ZFS die logischen Partitionen
dynamisch wachsen und schrumpfen,
soweit die Größe des Pools es zulässt.
Interessant ist dabei, dass jeweils die
volle Bandbreite zur Verfügung steht.
Weiterhin stellt dieser Pool eine Abs-
traktionsebene für Funktionen zum Be-
legen (malloc) und Freigeben (free) von
Speicherbereichen auf Datenträgern be-
reit. In 8YY`c[le^) ist der Unterschied
grafisch dargestellt.
Im Gegensatz zu klassischen Dateisyste-
men wie Ext4, UFS2, FAT16 oder FAT32
ist ZFS ein so genanntes Transactional
AX`cj
AX`cj q]j
q]j
c`Yq]j
c`Yq]j
QGC1Q=J$Gfj`o$CXp\i
&[\m&q]j QMFC1Q=J$Mfcld\$<dlcXkfi
Q@C1Q=J$@ek\ek$Cf^
Q8G ;DL Q8G1Q=J$8kki`Ylk\$GifZ\jjfi
;DL1;XkX$DXeX^\d\ek$Le`k
;JC1;XkXj\kJeXgj_fkCXp\i
;JC KiXm
KiXm1KiXm\ijXcDXeX^\i
8I:18[Xgk`m\$I\gcXZ\$:XZ_\
C)8I:1J\Zfe[C\m\c8I:
M;<M :FE= Q@F1Q=J$@&F$G`g\c`e\
M;<M1M`iklXc;\m`Z\j
:FE=1:fe]`^liXk`feDXeX^\i
8;D@E 8L J >8 9 < '* $)' ( * ((0
 Q=J
Filesystem. Das bedeutet, dass es sämt-
liche Dateioperationen durch Transaktio-
nen absichert. Hierzu ein kurzer Ausflug
in die Welt der Transaktionen: Sie werden
meist im Bereich der relationalen Da-
tenbanken eingesetzt, um Daten konsis-
tent zu halten. Eine Transaktion ist eine
logisch zusammengehörige Folge von
einzelnen Operationen. Entweder alle
Befehle der Transaktion werden ausge-
führt und die entstandenen Änderungen
werden übernommen (Commit) oder alle
Änderungen werden rückgängig gemacht,
als ob die Transaktion nie stattgefunden
hätte (Rollback).
Dieses Modell wurde auch in ZFS reali-
siert. Traditionelle Dateisysteme schrei-
ben Daten sofort an die zuvor durch Al-
gorithmen ermitteltete Stelle auf den Da-
tenträger (oder wenn sie die Cache-Daten
auf die Festplatte schreiben). Wenn nun
wegen eines Stromausfalls der Eintrag im
Verzeichnisbaum nicht mehr geschrieben
werden kann, liegt eine Inkonsistenz vor,
die erst ein Dateisystem-Check wieder
auflöst.
AflieXc`e^
Abhilfe für dieses Problem schaf-
fen Dateisysteme mit Journaling wie
JFS (Journaling File System) von IBM
oder das GEOM-Modul Gjournal unter
FreeBSD. Dabei werden sämtliche Ände-
rungen am Dateisystem in einem Journal
protokolliert. Im Falle eines Falles wird
dieses Journal abgearbeitet und so das
Dateisystem wieder in einen konsisten-
ten Zustand versetzt. Diese Methode hat
aber den Nachteil, dass das Journal Plat-
tenplatz benötigt. Doch was ist, wenn
bei Stromausfall das Journal nicht mehr
geschrieben werden kann?
ZFS verwendet die Transaktionsmethode
des Copy on Write (COW). 8YY`c[le^*
zeigt, wie diese Methode funktioniert.
Wie bei allen modernen Dateisystemen
liegen die Daten in einer baumartigen
Struktur vor (1). Die Wurzel bildet der
Super-Node, die Daten sind in den Blö-
cken gespeichert. Im nächsten Schritt
(2) werden die Blöcke kopiert, in denen
Daten verändert werden sollen. Die Ori-
ginalblöcke bleiben dabei erhalten. So-
bald diese Transaktion erfolgreich abge-
schlossen ist, werden die Nodes kopiert
und deren Pointer zeigen gegebenenfalls
()' 8L J >8 9 < '* $)' ( * 8;D@E
9`j_\i`^\jDf[\cc1
CMDle[=`c\jpjk\d
Y\c`\Y`^\j Y\c`\Y`^\j
=`c\jpjk\d =`c\jpjk\d
%%%
CMD CMD
?;; ?;;
8YY`c[le^)1Lek\ijZ_`\[qn`jZ_\eCMDle[JkfiX^\Gffc%
auf die neuen Blöcke. Da auch dies wie-
der eine Transaktion darstellt, wird nur
nach einem erfolgreichen Abschluss der
nächste und letzte Schritt durchgeführt:
Der Super-Node wird neu geschrieben.
Auch dies ist wieder durch eine Transak-
tion abgesichert.
Bfej`jk\eq^XiXek`\ik
Wie man anhand der beschriebenen
Schritte schnell erkennen kann, bleibt bei
einem Stromausfall das Dateisystem in
einem konsistenten Zustand. Da nur mit
Kopien der Nodes und Blöcke gearbeitet
wird, bleiben im schlimmsten Fall die
Originale erhalten, während die Kopien
verloren sind.
Die Transaktionsmethode Copy on Write
bietet außerdem auf einfache Art und
Weise Snapshots: Die Originalblöcke wer-
den einfach nicht freigegeben. So erhält
man die Möglichkeit, jederzeit zum vor-
herigen Stand der Datei zurückzukeh-
ren. Kostengünstiger können Snapshots
nicht sein. Außerdem benötigen sie im
Gegensatz zur klassischen Methode der
Snapshots kaum Systemresourcen.
J`Z_\i68Y\ij`Z_\i
In vielen Unternehmen ist es heute lei-
der so, dass EDV und die dazugehörigen
Dienstleistungen unter einem enormen
Kostendruck stehen, was der Satz „EDV
darf nichts kosten“ gut charakterisiert.
Dies schlägt sich auch in der Qualität
der Komponenten nieder. Gerade bei der
Qualität der Festplatten wird in vielen
E\l\jDf[\cc1
JkfiX^\$Gffcd`kQ=J
=`c\jpjk\d1 =`c\jpjk\d1
%%%
Q=J Q=J
Q=JJkfiX^\$Gffc
?;; %%% ?;;
Firmen gespart, was das Risiko für Da-
tenverlust vergrößert. Meistens gibt es
Backups, aber das Zurückspielen und Er-
gänzen der Daten verursacht auch nicht
unerhebliche Kosten.
Das Forschungsinstitut CERN hat zu
dieser Problematik eine Untersuchung
durchgeführt. Dazu hat es eine Appli-
kation entwickelt, die im Abstand von
einer Sekunde ein MByte Daten schreibt,
bis die Dateigröße ein GByte erreicht hat.
Anschließend wurde die Datei ausgelesen
und mit den ursprünglichen Daten vergli-
chen. Dieses Experiment wurde auf 3000
Servern mit Hardware-RAID5 durchge-
führt. Nach drei Wochen hatten die For-
scher 152 sogenannte „Silent Errors“ pro-
tokolliert. Das sind Fehler, die nicht sofort
auffallen. Ein Hardware-RAID5 meldet
demgegenüber nur Fehler, die sofort auf-
fallen (Noisy Errors). Dies sollte jedem
Administrator zu denken geben, der Wert
auf Datenintegrität legt.
Abhilfe schafft hier wieder ZFS. Es bie-
tet im Moment als einziges Dateisystem
die Möglichkeit, die Datenintegrität von
Anfang bis Ende zu gewährleisten, im
Fachjargon „End to End Data Integrity“
genannt. Herkömmliche Dateisysteme
speichern eine Prüfsumme zusammen
mit dem Datenblock. Außerdem wird
die Prüfsumme von der Festplatte selber
erzeugt und umfasst meist eine Breite
von acht Bit. ZFS arbeitet hier anders.
Die Prüfsummen werden statt von der
Hardware von ZFS selbst erzeugt und
in den Nodes abgelegt. Jeder Node ent-
hält die Prüfsumme des untergeordneten
Node. Diese Struktur nennt man validie-
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 3 AUSGABEN
FÜR NUR 5,90 %
Jetzt bestellen:
beestellen: 3 Hefte zum Preis von einem. Sie sparen 66 %
%!

KENNENLERN-
ANGEBOT:
3 AUSGABEN
für nur 5,90 %
Jetzt bestellen unter:
www.android–user.de/miniabo
K\c\]fe'.(*(&).'.).+›=Xo'.(*(&).'../-'(›<$DX`c1XYf7Xe[if`[$lj\i%[\
 Q=J
render Merkle-Baum. Dabei lässt sich der
Algorithmus zur Berechnung der Prüf-
summe frei wählen. Im Moment stehen
die Algorithmen »fletcher2«, »fletcher4«
und »SHA256« zur Verfügung. Die Prüf-
summe, die von der Hardware erzeugt
wird, spielt dabei keine Rolle. Wie man
leicht erkennen kann, werden Fehler da-
mit sehr unwahrscheinlich. Es gibt Admi-
nistratoren, die empfehlen, die Verwal-
tung der Prüfsummen aus Performance-
gründen abzuschalten. Davon ist aber im
Hinblick auf Datensicherheit abzuraten.
J\cYjk_\`c\e[
Wenn man nun alle bisher genannten Ei-
genschaften auf die RAID-Funktionalität
überträgt, erhält man die Möglichkeit,
dass sich ein Dateisystem selbst repariert.
In ZFS wurde dies verwirklicht. Zur Er-
läuterung soll ein ZPool vom Typ Mirror
dienen, der die Daten auf einer zweiten
Platte spiegelt. Bei Lesen von der ersten
Platte erkennt ZFS kaputte Daten. Daher
greift es auf die Spiegelplatte zurück, um
von dort die korrekten Informationen zu
lesen. Soweit besteht kein Unterschied
zwischen einem Hardware-RAID vom
Typ 1 und ZFS. Im Gegensatz zum Hard-
ware-RAID repariert ZFS die Daten auf
der ersten Festplatte wieder. Das bedeu-
tet, dass beim nächsten Zugriff auf die
Informationen wieder alles in Ordnung
ist. Diese Reparatur geschieht unmerklich
im Hintergrund. 8YY`c[le^+ zeigt den
Ablauf grafisch.
(%8e]Xe^jqljkXe[
Jlg\i$Ef[\
Ef[\
Ef[\ Ef[\
9cfZb 9cfZb 9cfZb
*%8ec\^\e[\ie\l\eEf[\j
Jlg\i$Ef[\
Ef[\
Ef[\
Ef[\ Ef[\
Ef[\
9cfZb 9cfZb 9cfZb
9cfZb 9cfZb
8YY`c[le^*1KiXejXbk`fejd\k_f[\Ù:fgpfeNi`k\È`eQ=J%
()) 8L J >8 9 < '* $)' ( * 8;D@E
Wenn erhöhte Datensicherheit das über-
geordnete Ziel ist, setzen viele Firmen
auf Hardware-RAIDs vom Typ 5. Dazu
braucht man mindestens drei Festplatten,
wobei die Blöcke mit der Prüfsumme und
die Blöcke mit den Daten nach einem
bestimmten Muster auf alle Festplatten
verteilt werden. Bei ZFS heißt dieses Ver-
fahren RAID-Z.
N\e`^\iFg\iXk`fe\e
Wenn nun eine Platte ausfällt, kann diese
vom RAID-Controller leicht wiederher-
gestellt werden. Allerdings erkauft man
sich diese Zuverlässigkeit mit erhebli-
chen Geschwindigkeitsverlusten. Um
einen Datenblock zu modifizieren, sind
drei Operationen notwendig: Daten le-
sen, modifizieren und wieder schreiben.
Ebenso ist ein Beschreiben von über das
gesamte RAID zufällig verteilten Blöcken
(random write) ein Performance-Desas-
ter. Nicht zu unterschätzen ist auch das
sogenannte „Schreibloch“: Dies tritt auf,
wenn zwischen dem Schreiben der Nutz-
daten und der Parity-Daten ein Stromaus-
fall auftritt.
Auch hier spielt ZFS wieder seine Stärken
aus. Durch den Transaktionsmechanis-
mus Copy on Write fällt nur eine Opera-
tion an: Schreiben. Bedingt durch Copy-
on-Write gibt es auch kein Schreibloch
mehr. Auch das angesprochene Random-
Write ist bedingt durch die internen Opti-
mierungsalgorithmen nur mit minimalen
Geschwindigkeitseinbußen verbunden.
)%Bfg`\i\e[\i9cZb\
Jlg\i$Ef[\
Ef[\
Ef[\ Ef[\
9cfZb
9cfZb 9cfZb
9cfZb
+%Jlg\ief[\e\ljZ_i\`Y\e
Jlg\i$Ef[\
Ef[\
Ef[\ Ef[\
9cfZb 9cfZb
Im Gegensatz zu Hardware-RAID-Syste-
men bietet ZFS dynamische Stripe Sets.
Das ist eine Sammlung von Blocks, die
als Einheit behandelt werden. Die Aus-
wahl der Stripe-Set-Größe erfordert sehr
viel Fingerspitzengefühl seitens des Ad-
ministrators, da ein zu groß gewähltes
Stripe Set bei kleinen Dateien unnötig
Platz verschwendet.
Umgekehrt erzeugen zu klein gewählte
Stripe Sets bei großen Dateien Perfor-
mance-Verluste. ZFS bietet auch auf diese
Problematik eine Antwort. Es passt die
Stripe Sets dynamisch an und erreicht
somit immer die optimale Verarbeitungs-
geschwindigkeit.
8ejZ_cljj]€_`^
In großen Rechnerverbünden werden Da-
ten oft zentral auf iSCSI-Systemen gespei-
chert. iSCSI ist eine Kombination aus der
bewährten und zuverlässigen, zwanzig
Jahre alten SCSI-Technologie und dem
Internet-Protokoll IP. ZFS mit FreeBSD
kann als kostengünstiger iSCSI-Initiator
für die verschiedensten Betriebssysteme
auftreten, ohne dafür teure Hardware
anzuschaffen. Auch die Administration
solcher Datenpools ist in der Regel mit
nur wenigen Befehlen erledigt.
In Sachen Performance ist die ZFS-Lö-
sung nicht schlechter zu bewerten als
klassische Hardware-Systeme. Im Mo-
ment bietet FreeBSD eine iSCSI-Lösung
noch nicht als Bestandteil des Betriebs-
systems an, allerdings steht mit »istgt« in
den Ports eine leistungsfähige Software
für iSCSI-Targets zur Verfügung. Im Unix-
Bereich ist auch in der heutigen Zeit NFS
die erste Wahl, wenn es um eine zen-
tralisierte Bereitstellung von Daten geht.
FreeBSD bietet im Moment keinen spe-
ziell an ZFS angepassten NFS-Daemon.
Man geht hier den Umweg über das vor-
9cfZb
handene Tool »nfsd«.
Die lange Liste der positiven Eigenschaf-
ten von ZFS bietet zwei weitere inter-
essante Punkte: Datenkompression und
Datenverschlüsselung. Während die Da-
tenkompression bereits implementiert ist,
sucht man die Datenverschlüsselung in
der FreeBSD-Version von ZFS vergebens.
Hier hat Oracle mit seiner strengen Li-
9cfZb zenzpolitik einen Riegel vorgeschoben.
Die implementierte Datenkompression
arbeitet vollständig transparent und ist
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 Q=J

für jeden ZPool individuell bestimmbar.

=\_c\i_X]k\e ;Xk\eYcfZb =\_c\i_X]k\e
Dabei lassen sich für die Kompression ;Xk\eYcfZb mfdJg`\^\c ;Xk\eYcfZb
der Daten im Moment die beiden Ver- \`e^\c\j\e \`ec\j\e bfii`^`\i\ele[
qli•ZbjZ_i\`Y\e
fahren Gzip und LZJB (Lossless Data
Compression) auswählen, die beide auf
Geschwindigkeit und Zuverlässigkeit hin 8en\e[le^ 8en\e[le^ 8en\e[le^
8en\e[le^ 8en\e[le^ 8en\e[le^
optimiert wurden.

@e[\iGiXo`j1\`eD`iifi\[
Gffc
Q=J$D`iifi Q=J$D`iifi Q=J$D`iifi
Q=J$D`iifi Q=J$D`iifi Q=J$D`iifi
Nach soviel Theorie widmet sich der rest-
liche Artikel dem praktischen Einsatz von
ZFS unter FreeBSD. Zunächst soll ein
so genannter Mirrored Pool (Hardware-
RAID Typ 1) entstehen. Dabei sind die Fb Fb Fb Fb

einzelnen Datenträger so kombiniert,

dass die Daten gespiegelt werden. Im
folgenden Beispiel sind dies die zweite
(»ada1«) und dritte (»ada2«) Festplatte.
Der Befehl hierzu lautet:
zpool create daten mirror ada1 ada2
Der nächste Schritt erstellt das Datei-
system für das Verzeichnis »home« und
mountet es in »/home«:
zfs create daten/home
zfs set mountpoint=/home daten/home
Nun lassen sich für die einzelnen Be-
nutzer die Datensätze für die Home-Ver-
zeichnisse erstellen. Die Eigenschaften
von »daten/home« werden dabei an die
neuen Mountpoints weitergegeben.
zfs create daten/home/user_a
zfs create daten/home/user_b
zfs create daten/home/user_c
Die angelegten Home-Directories lassen
sich sofort benutzen, da keine Forma-
tierung notwendig ist. Wenn man nach
einer gewissen Zeit feststellt, dass der
Platz knapp wird, lassen sich Platten hin-
zufügen. Der folgende Befehl nimmt die
vierte (»ada3«) und die fünfte (»ada4«)
Festplatte in den Pool auf:
zpool add daten mirror ada3 ada4
Diese Aktion lässt sich während des Be-
triebs durchführen, während die User
davon kaum etwas bemerken. Dazu
muss die Hardware natürlich den Einbau
im laufenden Betrieb unterstützen (Hot
Swap).
Freigaben für NFS lassen sich ebenso ein-
fach und unkompliziert erstellen. Zum
Beispiel sollen alle Datasets mit den
8YY`c[le^+18YcXl]\`e\i=\_c\ibfii\bkli\`e\jQ=J$D`iifi%
Home Directories im Netzwerk für NFS
freigegeben werden:
zfs set sharenfs=rw daten/home
Wie bereits erwähnt, nutzt die FreeBSD-
Version von ZFS den vorhandenen NFS-
Daemon. Die Informationen über die
einzelnen NFS-Shares finden sich in der
Datei »/etc/exports«. Den NFS-Daemon
veranlasst das Signal »SIG_HUP« dazu,
sie neu einzulesen.
Bfdgi`d`\ik
Quotas und Kompression sind interes-
sante Merkmale von ZFS. So läßt sich
für den gesamten Pool die Kompression
einschalten. Als Algorithmus dient in die-
sem Beispiel LZJB:
zfs set compression=lzjb daten
Die Kompression lässt sich optional aber
auch für ein einzelnes Dataset konfigu-
rieren:
zfs set compression=lzjb daten/user_a
Quotas kann der Administrator ebenso
für den gesamten Pool setzen, wie für den
einzelnen Datensatz. Der User »user_b«
bekommt im Beispiel 10 GByte und der
User »user_c« bekommt 20 GByte Spei-
cherplatz, dessen Kapazität garantiert ist:
zfs set quota=10g daten/home/user_b
zfs set reservation=20g daten/home/user_c
Das wohl mit Abstand wichtigste Merkmal
sind Snapshots. Die einzelnen Snapshots
sind im Verzeichnis »${HOME}/.zfs« zu
finden, wenn sie für den jeweiligen Be-
nutzer angelegt wurden. Einen Snapshot
für den Benutzer »user_a« für Donnerstag
erzeugt
zfs snapshot daten/home/user_a@donnerstag
Hat der Benutzer »user_a« versehentlich
wichtige Dateien vom Vortag (Dienstag)
gelöscht, lassen sie sich mit einem Roll-
back schnell wieder herstellen:
zfs rollback daten/home/user_a@dienstag
Wenn in regelmäßigen Abständen
Snapshots erzeugt wurden, hat der An-
wender auch die Möglichkeit, alte Ver-
sionen seiner Dateien einzusehen:
cat ~user_a/.zfs/snapshot/ donnerstag5
/bild.odg
Alle jemals angelegten Snapshots lassen
sich so anzeigen:
zfs list -t snapshot
NAME USED AVAIL REFER MOUNTPOINT
daten/home/user_a@donnerstag 0 - 780M -
daten/home/user_a@dienstag 0 - 1.01G -
Ein ZPool muss aus dem System ausge-
hängt werden, bevor er in Form seiner
Festplatten in eine andere FreeBSD-Ma-
schine eingebaut wird. Bei einem System-
Shutdown wird dieses Kommando auch
ausgeführt. Das Aushängen geschieht
mit
zpool export daten
Daraufhin werden die Konfiguration, die
Puffer und alle Datensätze ausgehängt.
Außerdem wird der Pool geschlossen.

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ()*

 Q=J
Um den Pool beispielsweise beim Sys-
temstart wieder für das System verfügbar
zu machen, dient folgende Sequenz:
zpool import daten
Wenn man keinen ZPool angibt, listet der
Befehl alle Pools auf.
Q=JXcjIffk$GXik`k`fe
FreeBSD lässt sich seit Version acht auch
auf ZFS-Datenträgern installieren und
booten. Ziel des folgenden Beispiels ist
es, FreeBSD auf einem ZPool-Mirror be-
stehend aus zwei Festplatten »ada0« und
»ada1« zu installieren. Der Weg dorthin
ist sehr steinig und das Installations-
programm vereinfacht die Prozedur nur
teilweise. Allerdings wird man dann mit
einer Funktionalität belohnt, die man
von Windows kennt: Die Snapshots er-
möglichen es, sogenannte Wiederher-
stellungspunkte anzulegen. Das ist vor
allem für Entwickler und Softwaretester
interessant.
Zunächst lädt man sich vom FreeBSD-
Verteiler das Image für einen USB-Stick
oder CD der sogenannten Fixit-Software
herunter. Das ist eine Notfall-Shell, die
die Möglichkeit bietet, ein System „von
außen“ zu administrieren und zu reparie-
ren. Auch die reguläre Installations-DVD
bietet diese Funktionalität, wenn man im
Installationsprogramm den Menüpunkt
»Shell« auswählt.
Nachdem man sich entweder einen boot-
fähigen USB-Stick oder eine DVD erstellt
hat, startet man das System mit dem
gewünschten Datenträger. Im Auswahl-
menü des BSDInstaller wählt man die
Option »Shell« aus und findet sich an-
schließend in einer Shell wieder.
Zunächst werden beide Festplatten für
den Einsatz mit GPT vorbereitet. Unter
Umständen ist es möglich, dass der Ker-
nel einen Schreibzugriff auf die Festplat-
ten verhindert. Um die Sperre aufzuhe-
ben, genügt das folgende Kommando:
sysctl kern.geom.debugflags=0x10
Für den weiteren Installationsprozess
lädt man die ZFS-Module:
kldload opensolaris
kldload zfs
Alle Festplatten eines ZPools müssen
identisch partitioniert sein. Das erleich-
()+ 8L J >8 9 < '* $)' ( * 8;D@E
tert die Administration. Außerdem hat
man gleichzeitig die Möglichkeit, bei ei-
nem Defekt von einer anderen Platte zu
booten. Dies gelingt mit den Aufrufen:
gpart create -s gpt ada0
gpart create -s gpt ada1
Im folgenden Schritt werden die einzel-
nen Partitionen angelegt. Hierbei ist zu
beachten, dass die Swap-Partition aus
Performance-Gründen nicht auf einem
ZFS-Datenträger liegt. Die beiden nach-
folgenden Befehle reservieren Platz
für den Bootloader. Die Größe von 222
Blocks resultiert aus der Tatsache, dass
der Bootloader maximal diesen Speicher-
bereich belegt.
gpart add -s 222 -t freebsd-boot -l 5
boot0 ada0
gpart add -s 222 -t freebsd-boot -l 5
boot1 ada1
Anschließend werden die restlichen bei-
den Partitionen erzeugt, wobei die Parti-
tionen, die als ZPool zusammengefasst
sind, das Label »zdisk0« beziehungsweise
»zdisk1« erhalten:
gpart add -s 8G -t freebsd-swap -l 5
swap0 ada0
gpart add -t freebsd-zfs -l zdisk0 ada0
gpart bootcode -b /boot/pmbr -p /boot/5
gptzfsboot -i 1 ada0
gpart add -s 8G -t freebsd-swap -l swap1 5
ada1
gpart add -t freebsd-zfs -l zdisk1 ada1
Damit FreeBSD überhaupt von einem
ZPool bootet, braucht es den entspre-
chenden Bootcode:
gpart bootcode -b /boot/pmbr -p /boot/5
gptzfsboot -i 1 ada0
gpart bootcode -b /boot/pmbr -p /boot/5
gptzfsboot -i 1 ada1
Für die folgenden Schritte wird der ZPool
»fbsd« angelegt, indem die Partitionen
mit dem Label »zdisk0« und »zdisk1« ein-
gebunden werden:
zpool create -o altroot=/mnt -O canmount=5
off fbsd mirror /dev/gpt/zdisk0 /dev/gpt/5
zdisk1
Die virtuellen Geräte »/dev/gpt/
zdisk(0|1)« hat der FreeBSD-Device-Ma-
nager aus den zuvor angelegten Labels
»zdisk(0|1)« erzeugt, um den Zugriff auf
die Partitionen zu erleichtern. Der Pa-
rameter »altroot=/mnt« gibt einen al-
ternativen Mountpoint für »/« an, und
»canmount=off« bedeutet, dass »/« von
ZFS nicht automatisch gemountet werden
soll, sondern vom Mount-Befehl des Be-
triebssystems.
=i\\9J;$;Xk\`jpjk\d
Eine Installation von FreeBSD verlangt
nach einer bestimmten Hierarchie im
Verzeichnisbaum. Da auch der Portstree
mit seinen Dateien im ZPool liegen soll,
sind einige Besonderheiten zu beachten,
die später näher erläutert werden. Für
mehr Datensicherheit sorgt die ZFS-Op-
tion »checksum« mit dem Algorithmus
»fletcher4«. Es hat sich herausgestellt,
dass dieser Algorithmus sehr stabil ist
und selbst bei großen Datenmengen zu-
verlässig funktioniert.
zfs set checksum=fletcher4 fbsd
Das Anlegen des Root-Dataset im ZPool
geschieht folgendermaßen:
zfs create -o mountpoint=/ fbsd/ROOT
Das für temporäre Dateien benötigte
Verzeichnis erhält einen eigenen mit ak-
tivierter Datenkompression versehenen
Datensatz innerhalb des ZPool:
zfs create -o compression=on -o exec=on 5
-o setuid=off fbsd/tmp
chmod 1777 /mnt/tmp
Das Chmod-Kommando sorgt dafür, dass
das Sticky-Bit gesetzt ist. Dadurch haben
die User nur die Berechtigung, Dateien
zu löschen oder zu verändern, die sie
selber erzeugt haben. Die nächsten zwei
Kommandos erzeugen die Datasets für
das Betriebssystem:
zfs create fbsd/usr
zfs create fbsd/usr/local
Die Partition für die Home Directories
sollte man in einem separaten ZPool vor-
halten. Für das Beispiel reicht es aus,
die Home-Partition im ZPool »fbsd« an-
zulegen:
zfs create -o setuid=off fbsd/home
Die Abschnitte für den Portstree bedür-
fen einer genaueren Betrachtung. Im Ver-
zeichnis »/usr/ports« ohne »/usr/ports/
distfiles/« und »/usr/ports/packages/«
liegen später Textdateien wie Makefiles
und Patches, die sehr viel Speicherplatz
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 MAGAZIN JFE;<I8BK@FE
A<KQK 
K\jk\eJ`\a\kqk
D@K;M; *8lj^XY\e
]•i*<lif

A\kqkjZ_e\ccY\jk\cc\e1
›K\c\]fe '.(*(&).'.).+
><N@EE<EJ@<%%% ›=Xo  '.(*(&).'../-'(
\`e\e8Z\iI<MFIC.'1 ›<$DX`c1XYf7c`elo$dX^Xq`e%[\
;Xj]c•jk\ic\`j\BiX]k$
iX]k$ ›N\Y1 nnn%c`elo$dX^Xq`e%[\&gifY\XYf
[`X
gXb\k]•iDlck`d\[`X
\ek
?fd\<ek\ikX`ed\ek D`k^if\d>\n`eejg`\clek\i1
`dN\ik nnn%c`elo$dX^Xq`e%[\&gifY\XYf
mfe)+0<lif
›lckiXbfdgXbk\i=fid]Xbkfi)'0o)'0o*,dd
›9Xj`\ikXl]8D;9iXqfj$GcXkk]fid]•i=lcc$?;
le[>Xd\j


<`ej\e[\jZ_cljj`jk[\i(-%'-%)'(*
 Q=J
benötigen. Die eingeschaltete Kompres-
sion reduziert den Speicherbedarf erheb-
lich, da sich Textdateien sehr gut kompri-
mieren lassen.
zfs create -o compression=lzjb -o 5
setuid=off fbsd/usr/ports
Dagegen liegen in den Verzeichnissen
»/usr/ports/distfiles« und »/usr/ports/
packages« die heruntergeladenen Ports-
Archive und die generierten Pakete. Das
sind ausschließlich Binärdateien, die sich
nur wenig komprimieren lassen. Daher
wird für diese Verzeichnisse die Kom-
pression abgeschaltet, was die Systemlast
reduziert:
zfs create -o compression=off -o exec=off5
-o setuid=off fbsd/usr/ports/distfiles
zfs create -o compression=off -o exec=off 5
-o setuid=off fbsd/usr/ports/packages
Auch für das Verzeichnis »/var« bietet
es sich an, durch aktivierte Kompression
Speicherplatz zu sparen. Allerdings sollte
man sich vorher überlegen, welche Art
von Dateien in den einzelnen Unterver-
zeichnissen liegen sollen. In der Erfah-
rung des Autors hat sich die Struktur in
C`jk`e^( als effizient erwiesen.
Im Verzeichnis »/var/crash« landen
Coredumps, die sehr groß werden und
aus binären Daten und ASCII-Daten be-
stehen. Sie lassen sich daher gut kom-
primieren.
C`jk`e^(1&mXiXl]Q=J
01 zfs create fbsd/var
02 zfs create -o compression=lzjb -o exec=off
-o setuid=off fbsd/var/crash
03 zfs create -o compression=lzjb -o exec=on
-o setuid=off fbsd/var/db/pkg
04 zfs create -o compression=lzjb -o exec=off
-o setuid=off fbsd/var/log
05 zfs create -o compression=lzjb -o exec=off
-o setuid=off fbsd/var/mail
06 zfs create -o compression=lzjb -o exec=on -o
setuid=off fbsd/var/tmp
07 chmod 1777 /mnt/var/tmp
C`jk`e^)1Dflekgf`ekjd\c[\e
01 zfs unmount -a
02 zpool set bootfs=fbsd/ROOT fbsd
03 zfs set mountpoint=/ fbsd/ROOT
04 zfs set mountpoint=/fbsd fbsd
05 zfs set mountpoint=/tmp fbsd/tmp
06 zfs set mountpoint=/usr fbsd/usr
07 zfs set mountpoint=/var fbsd/var
08 zfs set mountpoint=/home fbsd/home
()- 8L J >8 9 < '* $)' ( *
zfs create -o exec=on -o setuid=off 5
fbsd/var/spool
Der Druckerspooler generiert ebenfalls
Dateien von erheblicher Größe, weil die
Postscript- oder PCL-Kommandos als
reiner ASCII-Text zwischengespeichert
werden. Weil die Kompression aber eini-
ges an Rechenleistung erfordert, besteht
bei schnell wachsenden Spool-Dateien
die Gefahr der Überlastung. Aus diesem
Grund sollte man hier keine Kompres-
sion aktivieren. Übrigens gilt diese Regel
auch für Spool-Dateien des Maildienstes
Postfix.
DXeZ_dXcY\jj\i1M\iq`Z_k
Xl]Bfdgi`d`\ile^
Die folgenden drei Verzeichnisse kom-
men ebenfalls ohne Kompression aus,
weil die abgelegten Daten größtenteils
Binärdaten oder wie »/var/run« Unix-
Sockets enthalten:
zfs create -o exec=off -o setuid=off 5
fbsd/var/db
zfs create -o exec=off -o setuid=off fbsd5
/var/run
Wenn alle Datensätze angelegt sind,
verlässt man die Shell mit »exit« oder
[Strg]+[D] und setzt die Installation mit
Hilfe von BSDInstall fort. Am Ende der
Installation wechselt man ein weiteres
Mal in die Shell, um einige wichtige Ein-
stellungen vorzunehmen: Damit die ZFS-
Module beim Booten geladen werden,
trägt man sie in »/boot/loader.conf« ein.
Während der Installationsphase ist diese
Datei im Verzeichnis »/mnt/boot/loader.
conf« zu finden:
echo 'zfs_load="YES"' >> /mnt/boot/5
loader.conf
echo 'zfs_load="YES"' >> /mnt/boot/5
loader.conf
Ein Eintrag in »/mnt/etc/rc.conf« sorgt
für das Laden der ZFS-Module:
echo 'zfs_enable="YES"' >> /mnt/etc/rc.conf
Damit der Kernel weiß, von welchem
Laufwerk er booten soll, muss der Ad-
ministrator in »/mnt/boot/loader.conf«
diese Zeile eintragen:
echo 'vfs.root.mountfrom="zfs:fbsd"' >>5
/mnt/boot/loader.conf
8;D@E
Bei einer normalen Installation trägt BSD-
Install die Laufwerke mit der Swap-Parti-
tion automatisch in »/etc/fstab« ein. Bei
dem hier beschrittenen Weg ist das nicht
der Fall. Diese Zeilen sind notwendig:
/dev/gpt/swap0 none swap sw 0 0
/dev/gpt/swap1 none swap sw 0 0
Abschließend teilt man der ZFS-Verwal-
tung die Mountpoints mit, wie C`jk`e^
) zeigt.
Die folgenden Kommandos schreiben alle
Tabellen in den ZPool und bringen ZFS in
einen ordnungsgemäßen Zustand:
cd /
zfs export fbsd
zpool import -o altroot=/tmp/fbsd 5
-o cachefile=/tmp/zpool.cache fbsd
cd /tmp/fbsd/boot/zfs
cp /tmp/zpool.cache .
cd /
Nach einem Reboot startet FreeBSD vom
ZPool und der weiteren Administration
steht nichts mehr im Wege. Wenn man
sich das System wie gewünscht einge-
richtet hat, hat man die Möglichkeit von
den relevanten Verzeichnissen Snapshots
zu erzeugen.
=i\\9J;$AX`cjd`kQ=J
Eines der bekanntesten Features von
FreeBSD sind die Jails. Sie sind ein Si-
cherheitskonzept, welches das Konzept
von »chroot()« erheblich erweitert. Pro-
gramme, die in einer Jail gestartet wer-
den, haben keine Möglichkeit, auf Re-
sourcen des Hosts zuzugreifen. Es gibt
aber auch Ausnahmen. Wenn beispiels-
weise einem Kunden eine Jail unter der
Maßgabe zur Verfügung gestellt werden
soll, dass er Datasets innerhalb der Jail
selber anlegen darf. Hierfür bietet die
ZFS-Implementierung in FreeBSD eine
Lösung an.
Nachdem man eine FreeBSD-Jail erstellt
hat, muss sichergestellt sein, dass sie auf
»/dev/zfs« zugreifen kann. Über dieses
Device läuft die Kommunikation mit ZFS.
Dies ermöglicht in der Konfiguration des
Device-Managers »/etc/devfs.rules« der
folgende Eintrag:
[zfs=10]
add include $devfsrules_hide_all
add include $devfsrules_unhide_basic
add include $devfsrules_unhide_login
add path 'zfs' unhide
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

In der Systemkonfiguration des Hosts
»/etc/rc.conf« ändert man für die ge-
wünschte Jail die Einträge nach folgen-
dem Muster:
jail_Jailname_devfs_enable="YES"
jail_Jailname_devfs_ruleset="zfs"
Um das Mounten von ZFS-Datasets in
der Jail zu erlauben, trägt man in »/etc/
sysctl.conf« diese beiden Zeilen ein:
security.jail.mount_allowed=1
security.jail.enforce_statfs=0
Der SysCtl-MIB »security.jail.mount_al-
lowed« bewirkt, dass der Anwender
innerhalb der Jail Mount-Operationen
durchführen darf. Der zweite SysCtl-MIB
»security.jail.enforce_statfs« lässt alle ge-
mounteten Dateisysteme sichtbar wer-
den. Das Setzen beider Werte ist für das
Funktionieren von ZFS innerhalb einer
Jail nötig, reduziert allerdings die Sicher-
heit des Hostsystems. Danach erstellt
man ein ZFS-Dataset:
zfs create fbsd/jail
zfs set jailed=on fbsd/jail
Das ZFS-Dataset muss anschließend der
gewünschten Jail zugeordnet werden.
Dazu ermittelt man mit »jls« die Identifi-
kationsnummer der Jail (JID) und über-
gibt sie ZFS:
jls
JID IP Address Hostname Path
1 IP-Adresse Jail-Name Jail-Pfad
zfs jail 1 fbsd/jail
Danach hat man die Möglichkeit, das
ZFS-Dataset innerhalb der Jail zu admi-
nistrieren. Allerdings sollte man beach-
ten, dass nach jedem Systemstart das Da-
taset wieder der Jail zugeordnet werden
muss. Mit einem kleinen Skript ist das
schnell erledigt.
AX`cj^\bcfek
Das Erstellen mehrerer Jails ist dagegen
langwierig. Es wird durch Tools wie EZ-
Jail erheblich erleichtert. Aber es gibt
dank ZFS eine elegantere Methode, meh-
rere Jails zu generieren. Man bedient sich
dabei der ZFS-Snapshots und ZFS-Clones,
wie die folgende Vorgehensweise anknüp-
fend an das vorherige Beispiel zeigt.
Zunächst legt man ein Dataset an, in
dem der Code für die Jail abgelegt wird.
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
Die Kompression sollte man abschalten,
da es sich hauptsächlich um Binärdaten
handelt:
zfs create -o compression=off -p 5
fbsd/jail/vorlage
Es folgt ein je nach Rechenleistung recht
langwieriger Schritt:
cd /usr/src
make world DESTDIR=/jail/vorlage
make distribution DESTDIR=/jail/vorlage
Ein weiteres Dataset nimmt die Konfi-
gurationsdaten auf, die als Basis für alle
weiteren Jails dienen sollen. Dazu werden
die Informationen aus der Jail-Vorlage in
das Dataset mit den Konfigurationsda-
ten umkopiert. Anschließend startet man
noch das Programm »mergemaster«, das
alles an die neuen Gegebenheiten an-
passt (C`jk`e^*).
=•iGfikjXe^\gXjjk
Um innerhalb der Jails Programme über
die Ports zu installieren, müssen in der
Datei »make.conf« im Verzeichnis »/jail/
basiskonf/etc/« einige Einträge modifi-
ziert beziehungsweise ergänzt werden:
cd /jail/basiskonf
echo WRKDIRPREFIX=/data/ports >> etc/make.conf
echo DISTDIR=/data/ports/distfiles >> 5
etc/make.conf
echo PACKAGES=/data/ports/packages >> etc/5
make.conf
Innerhalb der Vorlage für die weiteren
Jails sind einige Pfade so anzupassen,
dass sie später innerhalb jeder Jail auf die
korrekten Daten zeigen (C`jk`e^+).
Im nächsten Schritt kommt wieder ZFS
ins Spiel. Zunächst legen die folgenden
Befehle von der Jail-Vorlage und von der
Datenvorlage jeweils einen Snapshot an:
zfs snapshot fbsd/jail/vorlage@master
zfs snapshot fbsd/jail/basiskonf@master
Die im nächsten Schritt erzeugten Clones
sind im Gegensatz zum Snapshot be-
schreibbar:
zfs clone fbsd/jail/vorlage@master fbsd/5
jail/jail_1
zfs clone fbsd/jail/basiskonf@master fbsd/5
jail/jail_1/data
Abschließend wird die Systemkonfigura-
tion »/etc/rc.conf« des Hostsystems um
die Einträge für die Jails ergänzt.
Q=J
Wie erwähnt verwenden viele Adminis-
tratoren für die Anbindung großer Daten-
pools die iSCSI-Technologie, die nahezu
jedes Betriebssystem unterstützt. Auch
für das heimische Netzwerk-Storage NAS
ist iSCSI durchaus interessant, da Win-
dows- und Apple-Systeme dieses Proto-
koll unterstützen. FreeBSD bringt diese
Unterstützung auch mit, allerdings nur
wenn man aus den Ports heraus die ent-
sprechende Software installiert.
`J:J@`e[\eGfikj
Als iSCSI-Target dient das Tool »istgt«, das
im Ports-Verzeichnis unter »/usr/ports/
net/istgt« zu finden ist. Da es ständig
weiterentwickelt wird, sollte der Ports-
Tree immer auf dem aktuellen Stand sein.
Im iSCSI-Jargon spricht man von einem
Target und meint damit den Server, der
iSCSI bereitstellt. Der Initiator ist der
Client, der die Anfragen initiiert. Siehe
hierzu 8YY`c[le^,.
Die Installation der Software läuft schnell
und problemlos ab:
portinstall -C istgt20121028 
C`jk`e^*1AX`cj\iq\l^\e
01 zfs create fbsd/jail/basiskonf
02 mkdir -p /jail/basiskonf/home /jail/basiskonf/X11R6
/jail/basiskonf/ports/distfiles /jail/basiskonf/
ports/packages
03 mv /jail/vorlage/etc /jail/basiskonf
04 mv /jail/vorlage/tmp /jail/basiskonf
05 mv /jail/vorlage/root /jail/basiskonf
06 chflags -R 0 /jail/vorlage/var
07 mv /jail/vorlage/var /jail/basiskonf
08 mergemaster -t /jail/basiskonf/var/tmp/temproot -D /
jail/basiskonf -i
09 cd /jail/basiskonf
10 rm -R bin boot lib libexec mnt proc rescue sbin sys
usr dev
C`jk`e^+1AX`cjm\ic`eb\e
01 cd /jail/vorlage
02 ln -s data/etc etc
03 ln -s data/home home
04 ln -s ../data/home usr/home
05 ln -s data/root root
06 rmdir usr/local
07 ln -s ../data/local usr/local
08 mkdir usr/ports
09 mkdir usr/src
10 ln -s ../data/X11R6 usr/X11R6
11 ln -s data/var var
12 ln -s data/tmp tmp
8;D@E 8L J >8 9 < '* $)' ( * ().
 Q=J
Es erscheint ein Konfigurationsdialog,
dessen Vorgaben man normalerweise
übernehmen kann. Nachdem die Soft-
ware installiert ist, legt man den ZPool
an. Die Art des Pools spielt im Zusam-
menhang mit iSCSI keine Rolle und rich-
tet sich nur nach den eigenen Wünschen
an die Datensicherheit. Im Beispiel soll es
ein ZFS-RAIDZ1 sein:
zpool create fbsdsan raidz /dev/ada1 /dev/5
ada2 /dev/ada3
Im nächsten Schritt legt man den Da-
tensatz an, der für das iSCSI-Target be-
stimmt sein soll. Wichtig sind hierbei
zwei Dinge: Zum einen darf man keinen
Mountpoint festlegen, da der Client dafür
verantwortlich ist. Zum anderen muss
man die Größe des Datasets festlegen,
weil man diese Größe in die Konfigura-
tionsdatei des iSCSI-Daemons eintragen
muss, damit die Clients darüber infor-
miert werden.
zfs create fbsdsan/target
zfs set mountpoint=none fbsdsan/target
zfs set quota=1024G fbsdsan/target
Nachdem der Pool eingerichtet ist, er-
folgt die Konfiguration des Daemons.
Zunächst kopieren die folgenden Befehle
einige Dateien um:
cd /usr/local/etc/istgt
cp auth.conf.sample auth.conf
cp istgt.conf.sample istgt.conf
cp istgtcontrol.conf.sample istgtcontrol.conf
Da es sich nur um ein Beispiel zu De-
monstrationszwecken handelt, müssen
nur wenige Zeilen in »/usr/local/etc/
istgt/istgt.conf« geändert werden:
Portal DA1 192.168.1.1:3260
Netmask 192.168.1.0/24
Q=JXl]=\jkgcXkk\ed`k+B$J\bkfi\e
J\`k\`e`^\iQ\`kj`e[=\jkgcXkk\eXl][\dDXibk#
[\i\e J\bkfi^i\ +'0- 9pk\j +B  jkXkk ,()
9pk\jY\ki€^k%C\`[\i_XY\e[`\?\ijk\cc\i[\i
;Xk\eki€^\i^\jZ_cXdgkle[\`e\XlkfdXk`jZ_\
<ib\eele^Y\`eX_\led^c`Z_^\dXZ_k%
9\` N`e[fnj n`i[ [`\j\j GifYc\d [liZ_ \`e\e
qlj€kqc`Z_\eKi\`Y\iXlj^\Y•^\ck%Lek\i=i\\9J;
\i]iX^k[\i9\]\_c
zdb | grep ashift
fY[`\J\bkfi^i\bfii\bk\ibXeeknli[\%=Xccj
[`\ 8lj^XY\ ¾Xj_`]k1 ()½ cXlk\k# `jk Xcc\j ^lk%
()/ 8L J >8 9 < '* $)' ( * 8;D@E
`J:J@$KXi^\k
=i\\9J;
9\ki`\Yjjpjk\d
`J:J@$KXi^\k
Q=J$M\inXckle^
Q=J$Gffc
8YY`c[le^,1`J:J@lek\i=i\\9J;d`kQ=J%
Die beiden Einträge besagen, dass der
Daemon auf der IP-Adresse 192.168.1.1
und Port 3260 einen Kommunikations-
kanal bereitstellt und Anfragen aus dem
Klasse-C-Netzwerk 192.168.1 entgegen
nimmt.
;XkXj\k]•i`J:J@
Dem iSCSI-Daemon muss man natürlich
auch mitteilen, welches ZFS-Dataset er
verwenden soll. Dazu sucht man in der
genannten Konfigurationsdatei nach dem
Eintrag
LUN0 Storage /tank/iscsi/istgt-disk1 10GB
und ersetzt ihn durch folgende Konfigu-
rationszeile:
LUN0 Storage /fbsdsan/target
Abschließend ergänzt man noch die Sys-
temkonfiguration »/etc/rc.conf« um eine
Zeile, die festlegt, dass der iSCSI-Daemon
automatisch startet:
stgt_enable="YES"
8e[\ie]Xccj dljj dXe \knXj qlj€kqc`Z_\ Q\`k
`em\jk`\i\e# nfY\` \`e Y\jk\_\e[\i QGffc c\`$
[\im\icfi\e^\_k%CjZ_\ec€jjkj`Z_\`eGffc
d`k ¾q]j [\jkifp qgffc½% Mfi [\d E\lXec\^\e
_`c]k [Xj ><FD$Gcl^`e >EFG# [`\ +B$J\bkfi\e
qlXbk`m`\i\e1
gnop create -S 4096 ada0
gnop create -S 4096 ada1
;Xd`k \iq\l^k dXe \`e e\l\j >\i€k eXd\ej
¾X[X'%efg½ Y\q`\_le^jn\`j\ ¾X[X(%efg½#
[Xj [`\ =\jkgcXkk\ ¾X[X'½ d`k Xbk`m`\ik\e +B$
`J:J@$@e`k`Xkfi
9\ki`\Yjjpjk\d
C8E
`J:J@$@e`k`Xkfi
Manuell lässt sich der iSCSI-Daemon vom
Administrator mit dem Aufruf
/usr/local/etc/rc.d/istgt start
auf der Kommandozeile starten.
Q=J$Kle`e^lek\i=i\\9J;
Die FreeBSD-Version von ZFS bietet viele
Möglichkeiten, die Performance beim
Schreiben und Lesen von Daten zu opti-
mieren. Grundsätzlich gilt, dass schnelle
Hardware mehr Freude bereitet. Moderne
SCSI-Systeme mit SAS (Serial Attached
SCSI) oder U320 mit hochtourigen Fest-
platten bieten genügend Potenzial. Bei
SATA-Systemen sollte man auch darauf
achten, möglichst schnelle Festplatten
mit SATA2 zu verwenden.
Den Arbeitsspeicher betreffend gilt die
bekannte Regel: RAM über alles. Unter
vier GByte braucht man nicht anzufan-
gen. Eine Richtgröße sind etwa 128 GByte
RAM bei 18 TByte ZPool-Kapazität. Das
ist schon ein gewaltiger Wert, aber bei
den heutigen RAM-Preisen machbar.
J\bkfi\ei\gi€j\ek`\ik%;XjdljjdXe]•iXcc\
=\jkgcXkk\e`dJpjk\ddXZ_\e#[`\Q=Jm\inXc$
k\ejfcc%8ejZ_c`\\e[bXeedXen`\`d8ik`b\c
Y\jZ_i`\Y\e\`e\ee\l\eQGffcXec\^\e%
;`\9ffk$=\jkgcXkk\[Xi]dXe[Xd`ke`Z_kY\_Xe$
[\ce# n\`c [\i 9ffkcfX[\i ¾^gkq]jYffk½ [Xd`k
efZ_e`Z_kld^\_\ebXee%
zpool create fbsd mirror ada0.nop ada1.nop
FY [`\ J\bkfi^i\ bfii\bk \`e^\kiX^\e `jk#
m\ii€k¾q[Ys^i\gXj_`]k½%;Xj<i^\Ye`jjfcck\
¾Xj_`]k1()½j\`e%
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <
 Q=J

=Xccjki`Zb\
Ql \`e\d Gffc cXjj\e j`Z_ XlZ_ =\jkgcXkk\e
lek\ijZ_`\[c`Z_\i BXgXq`k€k _`eql]•^\e% 9\$
XZ_k\ejfcck\dXeXcc\i[`e^j]fc^\e[\Glebk\1
;`\ BXgXq`k€k [\i e\l\e =\jkgcXkk\e jfcck\
d`e[\jk\ej jf ^if j\`e# n`\ [`\ BXgXq`k€k
[\ibc\`ejk\eGcXkk\`eGffc%N\ee[`\BXgXq`$
k€k[\je\l\e;Xk\eki€^\ijbc\`e\i`jk#[Xee
]•_ik[Xj\m\ekl\ccql;Xk\em\icljk%N\ee[\i
GffcmfdKpgd`iifi\[`jk#[Xeed•jj\e\`e\
^\iX[\ 8eqX_c mfe ;Xk\eki€^\ie qld Gffc
_`eql^\]•^k n\i[\e% ;`\ J\bkfi^i\ Xcc\i
=\jkgcXkk\edljj^c\`Z_j\`e%
Eine andere Möglichkeit der Optimierung
besteht darin, dass man dem ZFS-Intent-
Log ZIL einen SSD-Speicher mit mög-
lichst hohem Datendurchsatz spendiert.
Alle Dateisysteme-relevanten Schreib-
operationen und Transaktionen werden
durch den ZIL protokolliert. Im Falle
eines Systemabsturzes benutzt ZFS die
Informationen aus dem Protokoll dazu,
eventuell beschädigte Dateien zu repa-
rieren. Wie man schnell erkennt, fällt
die Schreibgeschwindigkeit besonders ins
Gewicht.
@ek\ekCf^Xl]JJ;
In Standardkonfigurationen von ZPools
wird das ZIL-Protokoll im ZPool selbst
gespeichert. Für kleinere Server-Anwen-
dungen ist das ausreichend. Für große
Pools sollte man eine externe SSD ein-
binden:
zpool add pool log ada1
Auch sollte man auf Ausfallsicherheit
achten. ZIL unterstützt auch gespiegelte
Festplatten. Eingebunden wird ein sol-
cher Mirror mit
zpool add tank log mirror ada1 ada2
Die Mindestgröße eines ZIL-Devices liegt
bei 64 MByte. Die maximale Größe richtet
sich nach dem verfügbaren Arbeitsspei-
cher, der Richtwert liegt bei 50 Prozent
der Speichergröße. Auch der Datendurch-
satz des Pools spielt bei der Berechnung
eine Rolle. Als Faustformel gilt, dass pro
100 MByte/s circa 2GByte Speicherbedarf
bestehen.
ZFS bietet wie bereits ausgeführt zwei
Caches zur Beschleunigung des Lese-
zugriffs: ARC und L2ARC. Man sollte
sich allerdings schon beim Anlegen des
ZPools Gedanken machen, in welchem
Dataset häufig benötigte Daten abgelegt
werden. Für dieses Dataset legt man den
L2ARC auf eine schnelle Festplatte oder
auf ein SSD:
zpool add tank cache ada1
So richtig performant wird die ZFS-In-
stallation, wenn man wieder einen Mirror
bestehend aus zwei SSDs oder Partitionen
einrichtet. Der Grund liegt darin, dass
ZFS die Cache-Daten nach dem Round-
Robin-Verfahren ablegt.
zpool add tank cache ada1p2 ada2p2
Wenn ZFS als Dateisystem für Daten-
banken wie PostgreSQL dienen soll, sind
zwei Einstellungen von Interesse:
zfs set primarycache=metadata tank/db
zfs set atime=off tank/db
Sie legen fest, dass für das Dataset »tank/
db«, in dem die Tabellen der Datenbank
liegen, im primären Cache (ARC) nur die
Metadaten vorgehalten werden sollen.
Das ist auch sinnvoll, da sich hauptsäch-
lich die Tabellengröße verändert, aber
eher selten die Zahl der Dateien. Eine
weitere Beschleunigung erfährt das Data-
set durch das Abschalten des Attributes
»atime«, das angibt, wann zuletzt auf die
Datei zugegriffen wurde.
Die hier gemachten Vorschläge zur Op-
timierung stellen nur einen kleinen aber
wichtigen Teil dar. Es gibt noch eine
Menge anderer SysCtl-MIBs, die zur Op-
timierung beitragen. Wer wissen möchte,
wieviele Kenngrößen und Parameter es
gibt, um ZFS zu beeinflussen, der sollte
folgendes Kommando eingeben:
sysctl -a | grep zfs
Als Ergebnis erhält man 140 SysCtl-MIBs
alleine für ZFS.
In vielen Tutorials zur FreeBSD-Installa-
tion in einem ZPool liest man, dass Swap-
ping in ein ZFS-Dataset kein Problem
darstelle. Das ist aber nicht ganz rich-
tig. Das Problem liegt darin, dass beim
Swappen das Schreiben in den ZPool zu
einem Schreibzugriff auf den ARC führt.
Das kostet aber weiteren Arbeitsspeicher.
Wenn man Swapping auf ein ZFS-Dataset
erlaubt, will der Kernel das auch nutzen,
wenn der Speicher ausgeht. Aber dadurch
wird noch mehr RAM genutzt.
Früher führte dies zwangsläufig zum Teu-
felskreis mit einem Absturz am Ende.
Heute erkennt ZFS die Speicherknappheit
und gibt einen Teil seines ARC wieder
frei. Allerdings klappt das nur bis zu ei-
nem bestimmten Punkt. Daher sollte man
die Swap-Partition weiterhin auf eine
konventionelle Partition legen.
=Xq`k
Mit ZFS hat FreeBSD ein Dateisystem be-
kommen, das seinesgleichen sucht. Es ist
extrem flexibel und sorgt gleichzeitig für
hohe Datensicherheit. Durch seine Fea-
tures erspart es dem Administrator auch
eine Menge Arbeit, wie das Beispiel mit
den Jails gezeigt hat. Für FreeBSD ist es
ein Quantensprung.
Leider hat der neue Lizenzinhaber Oracle
ab Version 28 alle weiteren Ergänzun-
gen an ZFS nicht mehr der Open-Source-
Szene zur Verfügung gestellt. Für die Zu-
kunft bleibt zu hoffen, dass Oracle seine
Politik überdenkt und die Weiterentwick-
lung der FreeBSD-Version mit weiterem
freigegebenen Code unterstützt. (ofr) ■

KXY\cc\(1=\_c\i\ib\eele^
=\_c\iXik
9`k$=€lc\Ù9`k[i\_\iÈ
G_Xekfd$JZ_i\`Yfg\iXk`fe\e
M\i`iik\C\j\&JZ_i\`Y$Fg\iXk`fe\e
;D8$GXi`k€kj$=\_c\i
Ki\`Y\i$9l^j
M\ij\_\ekc`Z_\j|Y\ijZ_i\`Y\e
?\ibddc`Z_\j;Xk\`jpjk\d Q=J
" "
$ "
$ "
$ "
$ "
$ "
@e]fj
R(T =i\\9J;$?Xe[YlZ_1
R_kkg1&&nnn%]i\\Yj[%fi^&[fZ&[\V;<%
@JF//,0$(&Yffbj&_Xe[Yffb&`e[\o%_kdcT
R)T Q=J$8[d`e`jkiXk`fej_Xe[YlZ_1
R_kkg1&&[fZj%fiXZc\%Zfd&Z[&<(0),*$'(&
/)'$)*(*&`e[\o%_kdcT
R*T DXegX^\j1q]j/ #qgffc/ #q[Y/ #
^efg/

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ()0

 J < IM @ : < @dgi\jjldle[MfijZ_Xl

@dgi\jjld @JJE)(0'$('--
8;D@E$DX^Xq`e \`e\GlYc`bXk`fe[\iD\[`Xc`eo8> Gi\`j\;`^`kXc ;\lkjZ_cXe[ {jk\ii\`Z_ JZ_n\`q 8ljcXe[<L
I\[Xbk`fejXejZ_i`]k G lkqYilee\iJkiX\.( ?\]k$G;=<`eq\cXlj^XY\ `0#/' `0#/' J]i('#.( `0#/'
/(.*0D•eZ_\e ;`^`JlY-8lj^XY\e  `++#0' `++#0' J]i+0#', `++#0'
K\c%1' /0&00 *+ (($' ;`^`JlYqldGi`ekXYf  `-#Ç `-#Ç J]i-#Ç `-#Ç
(
=Xo1' /0&00 *+ (($00f[\i$0- ?KDC$8iZ_`mqld8Yf  `+/#Ç `+/#Ç J]i+/#Ç `+/#Ç
@ek\ie\k nnn%X[d`e$dX^Xq`e%[\ Gi\`j\BfdY`XYfj
)
<$DX`c i\[Xbk`fe7X[d`e$dX^Xq`e%[\ Gif]`$8Yf  `(*-#-' `(,(#.' J]i),0#0' `(-,#.'
(
>\jZ_€]kjc\`kle^ 9i`XeFjYfieMfijkXe[ #YfjYfie7d\[`Xc`eo$^ilgg\%[\ eli\i_€ckc`Z_`eM\iY`e[le^d`k\`e\dAX_i\jXYfGi`ekf[\i;`^`kXc
)
?\idXeeGcXebMfijkXe[ #_gcXeb7d\[`Xc`eo$^ilgg\%[\ d`kC`elo$DX^Xq`e$8Yfle[Y\`[\eAX_i\j$;M;j
:_\]i\[Xbk\li\ Fc`m\i=ifdd\cM%`%J%[%G% # JZ_•c\i$le[Jkl[\ek\e\id€`^le^1)'Gifq\ek^\^\eMficX^\\`e\jJZ_•c\iXljn\`j\jf[\i\`e\iXbkl\cc\e
f]ifdd\c7X[d`e$dX^Xq`e%[\f]i @ddXki`blcXk`fejY\jZ_\`e`^le^%;\iXbkl\cc\EXZ_n\`j`jkY\`M\ic€e^\ile^e\lql\iYi`e^\e%8e[\i\8Yf$
=fid\e#<id€`^le^\e`d8ljcXe[\kZ%Xl]8e]iX^\%
 A\ej$:_i`jkfg_9i\e[\c
 aYi\e[\c7X[d`e$dX^Xq`e%[\aZY 8[i\jj€e[\ile^\eY`kk\ld^\_\e[d`kk\`c\e#[XEXZ_j\e[\Xl]ki€^\Y\`[\iGfjke`Z_k]•iQ\`kjZ_i`]k\e^\ck\e%
I\[Xbk`fe Gi\jj\d`kk\`cle^\e `e]f7X[d`e$dX^Xq`e%[\
E\nj&I\gfik L ci`Z_9Xekc\Ck^% #lYXekc\7d\[`Xc`eo$^ilgg\%[\lYX  8eq\`^\e&I\gi€j\ekXeq
DXk_`Xj?lY\i#d_lY\i7d\[`Xc`eo$^ilgg\%[\d_l  <j^`ck[`\8eq\`^\egi\`jc`jk\mfd'(%'(%)'()
Jf]knXi\&K\jk DXiZ\c?`cq`e^\i#d_`cq`e^\i7d\[`Xc`eo$^ilgg\%[\#d_`  EXk`feXc G\kiXAXj\i
Bi`jk`XeB`c`e^#bb`jjc`e^7d\[`Xc`eo$^ilgg\%[\#bb` K\c%1'/0&00*+(()+#=Xo1'/0&00*+((00
J\Zli`kp&E\knfib`e^ DXiblj=\`ce\i#d]\`ce\i7d\[`Xc`eo$^ilgg\%[\d]\  <$DX`c1gaXj\i7d\[`Xc`eo$^ilgg\%[\
K_fdXjC\`Z_k\ejk\ie#kc\`Z_k\ejk\ie7d\[`Xc`eo$^ilgg\%[\kc\  D`Z_X\cJ\`k\i
Jk€e[`^\D`kXiY\`k\i ;Xm`[>_c\iJZ_cljji\[Xbk`fe # K\c%1'/0&00*+(()*#=Xo1'/0&00*+((00
:Xijk\eJZ_efY\i#K`dJZ_•idXee#:cXl[`XK_Xc^fkk <$DX`c1dj\`k\i7d\[`Xc`eo$^ilgg\%[\
Gif[lbk`fejc\`kle^ :_i`jk`XeLcci`Z_#Zlcci`Z_7d\[`Xc`eo$^ilgg\%[\ Gi\jj\m\iki`\Y DQM#Df[\ie\iQ\`kjZ_i`]k\eM\iki`\Y>dY?
9i\jcXl\iJkiX\,#/,*/-<Z_`e^
>iX]`b BcXljI\_]\c[#Bi`jk`eX=c\`jZ_\i#
K\c%1'/0&*(0'-$'#=Xo1'/0&*(0'-$((*
 K`k\c1Al[`k_<iY#8lj^Xe^j^iX]`b1DXbj`dBXYXbfl#()*I=
;ilZb Mf^\c;ilZble[D\[`\ej\im`Z\>dY?
8Yf$@e]fj\`k\  nn%X[d`e$dX^Xq`e%[\&XYf
n  0.)'+?Z_Y\i^
8Yfee\ek\e$J\im`Z\ Dfe`bXAccp
;\i9\^i`]]Le`on`i[`e[`\j\iJZ_i\`Yn\`j\Xcj^\e\i\cc\9\q\`Z_ele^]•i[`\Le`o$€_ec`Z_\e9\ki`\Yjjpjk\d\m\ijZ_`\[\e\i
XYf7X[d`e$dX^Xq`e%[\ ?\ijk\cc\i#qld9\`jg`\c<li`o:fd]ff[ #Lcki`o;`^`kXc<hl`gd\ek #?G&LO?\nc\kk$GXZbXi[ f[\iJ`e`oJ`\d\ej Y\elkqk#
K\c%1'.(*(&).'.).+#=Xo1'.(*(&).'../-'( e`Z_kXcj[`\9\q\`Z_ele^]•i[XjKiX[\dXibmfeO&Fg\e%C`elo`jk\`e\`e^\kiX^\e\jDXib\eq\`Z_\emfeC`eljKfimXc[jle[
Gi\`j\Gi`ek ;\lkjZ_cXe[ {jk\ii\`Z_ JZ_n\`q 8ljcXe[<L n`i[`elej\i\dDXib\eeXd\ed`kj\`e\i<icXlYe`jm\in\e[\k%8cc\Xe[\i\eDXib\ej`e[<`^\ekld[\ia\n\`c`^\e@e_XY\i%
<`eq\c_\]k `0#/' `('#/' J]i(0#-' j`\_\K`k\c  <`e\?X]kle^]•i[`\I`Z_k`^b\`kmfeM\i]]\ekc`Z_le^\ebXeekifkqjfi^]€ck`^\iGi•]le^[liZ_[`\I\[Xbk`femfdM\icX^
e`Z_k•Y\iefdd\en\i[\e%D`k[\i<`ej\e[le^mfeDXeljbi`gk\e^`Yk[\iM\i]Xjj\ij\`e\Qljk`ddle^qld8Y[ilZb`d
D`e`$8Yf)8lj^XY\e  `0#/' `('#/' J]i(0#-' j`\_\K`k\c  8;D@E$DX^Xq`e%=•ilem\icXe^k\`e^\jXe[k\DXeljbi`gk\bXeeb\`e\?X]kle^•Y\iefdd\en\i[\e%;`\I\[Xbk`feY\_€ck
AX_i\j$;M;<`eq\cgi\`j  `(+#0, `(+#0, J]i(/#0' `(+#0, j`Z_mfi#8ik`b\cqlb•iq\e%;Xj<obclj`m$le[M\i]•^le^ji\Z_k]•iXe^\efdd\e\DXeljbi`gk\c`\^kY\`dM\icX^%<j[Xi]b\`e
AX_i\j$;M;qld8Yf(  `-#.' `-#.' J]i/#,' `-#.' K\`c[\j@e_Xckjf_e\Xlj[i•Zbc`Z_\jZ_i`]kc`Z_\>\e\_d`^le^[\jM\icX^j`e`i^\e[\`e\i=fidm\im`\c]€ck`^kf[\im\iYi\`k\k
AX_i\jXYf `+0#0' `,+#0' J]i00#0' `,0#0' n\i[\e%:fgpi`^_kŸ(00+Æ)'(*D\[`Xc`eo8>

@ej\i\ek\em\iq\`Z_e`j

((@ek\ie\k8> _kkg1&&nnn%\`ejle[\`ej%[\ . C`elo$DX^Xq`e _kkg1&&nnn%c`elo$dX^Xq`e%[\ (),

8;D@E _kkg1&&nnn%X[d`e$dX^Xq`e%[\ *-#/(#(', C`elo$DX^Xq`eFec`e\ _kkg1&&nnn%c`elo$dX^Xq`e%[\ (((
8_c\ij<;MJpjk\d\ _kkg1&&nnn%X_c\ij\[m%[\ ((, D\[`Xc`eo@K$8ZX[\dp _kkg1&&nnn%d\[`Xc`eo$XZX[\dp%[\ .,#((*
8e[if`[8ggjK`ggj _kkg1&&nnn%Xe[if`[$lj\i%[\ ,. D\jj\9\ic`e>dY? _kkg1&&nnn%c`elokX^%fi^ ('(
8e[if`[Lj\i>P _kkg1&&nnn%Xe[if`[$lj\i%[\ ('0#()( D`Zifjf]k>dY? _kkg1&&nnn%d`Zifjf]k%Zfd&^\idXep *,
:C:fdglk\i$l%C`k\iXklim\icX^>dY? _kkg1&&nnn%Zlc%[\ /* E\knXpj>dY? _kkg1&&nnn%e\knXpj%[\ ,*
:feJfcJf]knXi\>dY? _kkg1&&nnn%Zfejfc%[\ *0
flkYfo8> _kkg1&&nnn%flkYfo%[\ ,0
;\cc>dY? _kkg1&&[\cc%[\&^ifnn`k_lj )
gXjZfd$E\kqn\ibk\Z_e`b>dY?:f%B> _kkg1&&nnn%gXjZfd%e\k ((
;`Xmcfe>dY? _kkg1&&nnn%klo_Xi[nXi\%[\ )*
=\iejZ_lc\N\Y\i>dY? _kkg1&&nnn%]\iejZ_lc\$n\Y\i%[\ -0 GcljJ\im\i8> _kkg1&&nnn%gcljj\im\i%[\ (+#+-#.-#0'
?\kqe\iFec`e\8> _kkg1&&nnn%_\kqe\i%[\ -, Gifodfo _kkg1&&nnn%gifodfo%Zfd (*)
@GK8D>dY? _kkg1&&nnn%`gkXd%Zfd *( JdXikJf]knXi\DX^Xq`e _kkg1&&jdXik$jf]knXi\$dX^Xq`e%[\ .(
@J:<m\ekj _kkg1&&nnn%`jZ$\m\ekj%Zfd ,, K_fdXjBi\ee8> _kkg1&&nnn%k_fdXj$bi\ee%Zfd ),
B\kke\iDXk_`Xj$C`elo<og\ik\ _kkg1&&nnn%dXk_`Xj$b\kke\i%[\ (* N\Ykifg`X _kkg1&&nnn%n\Ykifg`X%Zfd +(
C`elo$?fk\c _kkg1&&nnn%c`elo_fk\c%[\ +, N`e[fnjG_fe\Lj\i _kkg1&&nnn%n`e[fnj$g_fe\$lj\i%[\ (*(

8lkfi\e[`\j\i8lj^XY\
=Xcbf9\ek_`e J`Z_\i\9Xeb +) K_fdXjAffj <`jq\`k (/
;Xm`[9\ilY\ ve[\ile^\edX^\jZ_e\`[\ik ((' K_fdXjAffj Q\ekiXc$G\ijg\bk`m\ ./
:_i`j9`ee`\ Gfjkqljk\cc\i )) IfY\ikBfi_\ii KiXejgfik^\j`Z_\ik ,-
9ilZ\9p]`\c[ @dJlZ_\i ((+ DXik`eCfjZ_n`kq 9€i\ejkXib6 ('-
?Xeef9Zb C•Zb\e_X]k\J`Z_\i_\`k 0)
DXibljDXeqb\ 9iXe[jZ_lkq *)
A•i^\e;Xebfn\`k 8jkifefd`jZ_ ())
K_fdXj;i`cc`e^ :cfl[$HlXik\kk (') K_fijk\eJZ_\i] NXZ__le[ (-
K_fdXj;i`cc`e^ Nfcb\eble[\ -' >\fi^JZ_eY\i^\i Jkfggl_i .)
K_fdXj;i`cc`e^ Ql[\eNliq\ce /+ K`dJZ_•idXee J`Z_\ij\im`\ik )-
=\c`omfe<p\ >lk^\j`Z_\ik6 0- K_fdXjQ\cc\i JZ_lkqXlji•jkle^ +/

MF I J : ? 8L 8 ; D @ E ' +&) ' ( * < I J : ? < @ E K 8 D ( ( % A L C @ )' ( *

;\jbkfg$M`iklXc`j`\ile^ Fg\e9J;
D`k?Xi[nXi\$9\jZ_c\le`^le^le[ 8cj?\`dXk[\iJ\Zli\J_\cc_Xk
jZ_e\cc\dE\kqbXee;\jbkfg$ j`Z_[\iE\k9J;$=fib\`e\eIl]Xcj
M`iklXc`j`\ile^_\c]\e#8[d`e`jkiX$ Y\jfe[\ijj`Z_\i\j9\ki`\Yjjpjk\d
ŸNXiXbfie?XiegiXjfg#()*I=

k`fejXl]nXe[le[$bfjk\eql \iXiY\`k\k%<`e8ik`b\c`e[\ibfd$
jgXi\e%N`im\iiXk\e#n`\[`\K\Z_$ d\e[\e8;D@E$8lj^XY\jk\cck[Xj
efcf^`\]lebk`fe`\ikle[nXj[`\ Fg\e9J;$Jpjk\dle[j\`e\@[\\e
\`eq\ce\eCjle^\ec\`jk\e% e€_\imfi%

(*' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <

 2 AUSGABEN
für nur 5,90 `
50% sparen und von Anfang an dabei sein!
Windows Phone User erscheint alle zwei Monate

NEU!

TESTANGEBOT:
2 AUSGABEN
FÜR NUR 5,90 EURO!
Jetzt bestellen unter:
windows-phone-user.de/miniabo
NEU: Version 3.0

Server-Virtualisierung mit KVM und Containern

Alles im Blick: Verwalten Sie beliebig viele KVM-Maschinen und Linux-Container im

HA-Cluster mit dem übersichtlichen Web-Interface von Proxmox VE.

Proxmox Virtual Environment

So vielseitig wie Ihre IT

Gestern fragt mich mein Kumpel, welche Server-
virtualisierung er für sein Unternehmen kaufen soll. Ich
erklär‘ ihm, kaufen braucht er gar nichts, denn außer teuer
ist das nichts. Es gibt ja lizenzkostenfreie Open-Source-
Software. Schön, sagt er, er will auch eine flexible und
erweiterbare Lösung - na klar, die IT soll ja mit der Firma mit
wachsen! Und Hochverfügbarkeit sowie null SPOF will er
sowieso, wegen Sicherheit und so...weiß man ja. Außerdem
will er unabhängig seine KVM-Maschinen oder Linux-
Container mit einem Mausklick direkt am GUI erstellen.
Das Ganze am besten noch von zu Hause aus...oder im
Urlaub. Und er will Support. Schnellen. Und auf Deutsch.
Sag‘ ich zu ihm: Mensch, du bist verdammt anspruchsvoll.
Sagt er zu mir: Sowieso. Aber weißt du was? Proxmox VE ist
genau für IT-Profis wie uns. Ist nämlich freie Software aus
Wien. Mit riesen Community und flexiblen Support-
Modellen. Schon ab € 9,90.- monatlich. Auch auf Deutsch.
Genial, oder?
Für Anspruchsvolle. Proxmox VE
Download unter www.proxmox.com

Support ab € 9,90.– mtl. Jetzt 10% Rabatt auf Support-Subscription

Promo Code AFX20383 einlösen im Onlineshop auf
zzgl. MwSt. www.proxmox.com (gültig bis 30.06.2013).