ADMIN Magazin Storage - großer Test (Vorschau)

NAP: Netzzugang für Tomoyo: Selbst lernendes
Laptops abgesichert Security-Modul für Linux
ADMIN
Netzwerk & Security
Windows
X-Server zaubert einen Hauch
Linux in die Windows-Welt
Virtualisierung
n Virtualbox für Server
n VMware-Image maßgeschneidert
Applocker: Sperrt
Windows-Apps
Storage
Großer Test: Passendes NAS finden
NDMP und Alternativen
Speicher mit Ceph und RADOS:
Sehr sicher und skalierbar
Server
03 2012
Mai – Juni.
Auf Heft-CD:
Ubuntu Server
LTS-Version 12.04
VIRTUALISIERUNGs-RubRIK
ab Jetzt in JEDEM HEFT
Aktion zum IPv6-Day
ADMIN verschenkt digitales
Sonderheft
Netzwerk
VLAN-Grundlagen
leicht verständlich
PostgreSQL
Speicher für
Indizes optimieren
www.admin-magazin.de
D EUR 9,80
A EUR 10,80 - BeNeLux EUR 11,25
CH sfr 19,60 - E / I EUR 12,75
4 196360 509805 03

globalBusiness:
weltweit mehr
als 4.000 Orte
verfügbar
New York – Berlin zum Ortstarif:
globalBusiness verbindet Sie mit der Welt.
Und so geht’s: Sie erhalten von der outbox AG
eine lokale Rufnummer z.B. aus New York.
Alle Anrufe darauf werden umgehend auf Ihre
Festnetznummer in Berlin – oder auf jedes
andere beliebige Ziel – weitergeleitet. So sind
Sie in Ihrem Büro in Deutschland für internationale
Kunden zu deren Ortstarif erreichbar.
Bieten Sie Ihren Kunden und Interessenten mit
globalBusiness diese persönliche und günstige
Kontaktmöglichkeit und sichern Sie sich Ihren
Wettbewerbsvorteil. Alle verfügbaren Länder
und Vorwahlen im Web: www.outbox.de/admin
Infos und Beratung: 0800 / 66 474 640
www.outbox.de/admin

Patente Sache?
Editorial
Patente Sache?
Liebe Leserinnen und Leser,
die Spatzen pfeifen's von den Dächern: Das Handy ist der PC der Zukunft. Hier sind jetzt
die Abermilliarden zu holen, die IT-Giganten in den letzten Jahrzehnten im PC-Geschäft
verdient haben. Die Auswirkungen der Entwicklung sind überall zu sehen: Security-Firmen
schüren Paranoia vor Schadsoftware, die auf Mobiltelefonen grassieren soll, und liefern
dafür den passenden Schutz. Hersteller von Telefonen und Betriebssystemen bekriegen
sich in Gerichtsverfahren um Patente bis aufs Blut.
Auch Oracle wollte einst im Mobilfunkmarkt mitmischen, kam kürzlich im Verfahren gegen
Google heraus, in dem es um das "geistige Eigentum" an der Programmiersprache Java geht. Früher war die Micro-Edition
von Java einmal eine halbwegs populäre Plattform zur Handy-Programmierung, aber seitdem Android über Nacht den
Mobilfunkmarkt umgekrempelt hat, ist davon nicht mehr viel zu hören.
Oracle, das die Rechte an Java mit der Firma Sun erworben hat, kann das nicht gefallen. Zuerst bedrohte es Google mit
Patenten, die aber zum Großteil von den Richtern verworfen wurden, dann versuchte Oracle eine neue Strategie. Da Google
nicht einfach den Quellcode von Java – das sowieso unter einer mehr oder weniger freien Lizenz steht – kopiert, sondern
Teile der Java-API neu implementiert hat, wollte Oracle das Copyright auf die Spezifikation einer API anwenden. Hat Oracle
damit Erfolg, ist die Software-Welt um eine Erfahrung reicher, die dann jede freie Implementation einer API unmöglich
macht.
Oracle hat damit Erfahrung, mit dem "geistigen Eigentum" anderer Geschäfte zu machen. Die Firma vermarktet selbst eine
Linux-Distribution, die im Wesentlichen aus Red Hat Enterprise Linux besteht. Ausgetauscht wurden nur die Verweise auf
"Red Hat", wozu Oracle sogar verpflichtet ist, denn diese Marke hat Red Hat geschützt. Oracles Praxis ist Red Hat ein Dorn
im Auge, während die Linux-Firma nach eigenen Worten nichts gegen freie Distributionen wie CentOS hat, die dasselbe tun.
Vielleicht ist es eine Konsequenz oder nur eine Begleiterscheinung der Popularität von Open Source: Wenn der Quellcode
offenliegt, müssen eben andere Waffen her, die verfeindete Parteien gegeneinander in Anschlag bringen. Ohne den Beistand
eines Rechtsanwalts Software zu entwickeln, scheint aber dank Software-Patenten und API-Copyrights heute bereits
unmöglich zu sein.
@ leserbriefe@admin-magazin.de
www.facebook.com/adminmagazin www.twitter.com/admagz
www.admin-magazin.de
Admin
Ausgabe 03-2012
3

Service
ADMIN
Netzwerk & Security
Inhalt
03/2012
Moderne Storagetechnologien sind
unverzichtbar. Das ADMIN-Magazin
berät bei der Auswahl (ab S. 34).
die Breite gegangen
Hochverfügbaren und
46In
grenzenlos skalierbaren
Speicher verspricht Ceph/Rados.
Login
Netzwerk
Storage
8 Vorgelesen
Bücher über Business Process Modeling
und KVM-Virtualisierung.
18 Los geht's
Am 6. Juni findet der IPv6 Launch Day
statt. Das ADMIN-Magazin ist dabei.
34 Ablagesysteme
NAS-Filer von vier bis 40 TByte im
Vergleich.
10 Branchen-News
Neues von Firmen und Projekten.
14 Think Twice
Wie innovativ ist das
Linux-Betriebssystem?
16 Admin-Story
Tagebuch eines IT-Nomaden.
Service
3 Editorial
4 Inhalt
6 Heft-CD
130 Impressum und Vorschau
22 Eintrittskarte
Portbasierter
Zugriffsschutz
mit NAP und
802.1X.
28 Getrennte Wege
Die Grundlagen von VLANs leicht verständlich
erklärt.
44 Schnellstraße
Das NDMP-
Protokoll und
Alternativen für
das Filer-Backup.
46 In die Breite gegangen
Der RADOS-Objectstore und Ceph (Teil 1):
hochverfüg- und skalierbar.
4 Ausgabe 03-2012 Admin www.admin-magazin.de

Inhalt
Service
im Blick
Kostenloses Monitoring
unter Windows 94Alles
mit dem Zenoss-Paket.
Schwachstellensuche
mit 52Vas-serdicht
OpenVAS.
fremden Federn
X-Server für Windows
104Mit
möbelt Cygwin auf.
Security
52 Vas-serdicht
Der Vulnerability Scanner OpenVAS
findet Sicherheitslücken.
68 Feuermelder
So funktioniert Intrusion Detection mit
Prelude.
Basics
100 Auf ewig
Anforderungen und Strategien zur
E-Mail-Archivierung.
60 Japanischer Sheriff
Mandatory Access Control mit Tomoyo
Linux.
74 Festgeschnallt
Applocker sperrt Anwendungen in
Windows-Netzwerken.
104 Mit fremden Federn
Mobaxterm bringt Linux-Feeling auf den
Windows-Desktop.
Know-how
80 Ansichtssache
Wozu Windows-Bibliotheken
nützlich sind.
Virtualisierung
110 Maßgeschneidert
VMware vSphere an aktuelle Hardware
anpassen.
Programmieren
120 Eingepackt
RPMs von eigenen Python-Skripts und
fertigen Modulen.
86 Wider die Blasen
Speicherplatz für PostgreSQL-B-Baum-
Indexe effizient nutzen.
90 Eingezäunt
Störer abschalten: So verhindert
Fencing Chaos im Cluster.
94 Alles im Blick
Einführung in das Open-Sourcemonitoring
mit Zenoss unter Windows.
114 Trennkost
Mit Commandline und PHP-GUI: Servervirtualisierung
mit Virtualbox.
126 Der Mond ist aufgegangen
Mod-Lua bringt die schlanke Skriptsprache
und Apache 2.4 zusammen.
Mehr Infos auf Seite 6
Ubuntu 12.04
n Installations-CD für 64-Bit-Rechner
n Server-Ausgabe der neuesten Ubuntu-Version mit fünf
Jahren Update-Support
www.admin-magazin.de
Admin
Ausgabe 03-2012
5

SErvice
Heft-CD
Heft-CD
Auf dem beiliegenden Datenträger finden Sie die Server-
Ausgabe des neuesten Ubuntu-Release 12.04 mit Long Term
Support:
◗ Installations-CD für 64-Bit-Rechner (AMD64 bzw. EM64T,
beispielsweise Athlon64, Opteron, EM64T Xeon, Core 2
und so weiter).
◗ Long Term Support: fünf Jahre lang vom Hersteller betreute
Updates [2].
◗ Enthält den Linux-Kernel 3.2.0, die Virtualisierungstechnologie
KVM, Open Stack „Essex“ u.v.m.
CD kaputt?
Wir schicken Ihnen kostenlos eine
Ersatz-CD zu, E-Mail genügt:
info@admin-magazin.de
Legen Sie einfach die CD in das Laufwerk ein, und starten
Sie den Rechner. Möglicherweise müssen Sie noch im
BIOS die richtige Boot-Reihenfolge einstellen, damit das
Laufwerk vor der Festplatte an die Reihe kommt. n
Info
[1] Projektseite: [http://www.ubuntu.com]
[2] Informationen zum Long Term Support:
[https://wiki.ubuntu.com/LTS]
6 Ausgabe 03-2012
Admin www.admin-magazin.de

www.kamp.de
In der IT setzt man besser
auf einen starken Partner!
IT-Lösungen – stark und individuell. Mehr unter www.kamp.de

Login
Bücher
Business Process Modeling und KVM
Vorgelesen
Dieses Mal im Lesetest: eine Einführung in den BPMN-Standard und ein
Praxisratgeber zum Linux-Hypervisor KVM.
Jens-Christoph Brendel, Oliver Frommel
Der Standard „Business Process Model
and Notation 2.0“ lässt sich sowohl für
die IT-ferne Beschreibung von Geschäftsprozessen
auf der strategischen oder operativen
Ebene verwenden als auch für die
Entwicklung IT-gestützter Prozesse und
schließlich sogar direkt in einer sogenannten
Process Engine ausführen.
Die Autoren, die wenige Gelegenheiten
verpassen, ihre Beratungsfirma zu erwähnen,
verfügen jedenfalls über fundierte
praktische Erfahrungen, von denen
der Leser durchaus profitiert. Allein ihre
ausführliche Diskussion des Standards,
der sonst nur englischsprachig und eher
im IT-Jargon vorliegt, ist sicherlich in vielen
Fällen hilfreich. Dabei reichern sie
ihre Übersetzung mit vielen instruktiven
Beispielen an und bauen sogar Fragen
zur Verständniskontrolle ein. Die Vorstellung
des Standards runden Vergleiche mit
verwandten Normen wie der Ereignisgesteuerten
Prozesskette (EPK) oder der
Unified Modeling Language (UML) ab.
In anschließenden Teilen diskutiert das
Buch spezifische Einsatzmöglichkeiten
der BPMN wie die Nutzung als strategisches
Modell zur Klärung von Verantwortlichkeiten
oder Ressourcen. Die Festlegung
von Kennzahlen von Geschäftsprozessen
wird wiederum an einem Fallbeispiel
durchgespielt. Danach wenden
sich die Autoren operativen Modellen zu,
bei denen es konkret um die Analyse
und Optimierung bestehender Prozesse
geht. Schließlich rücken in einem weiteren
Kapitel technische Prozessmodelle
in den Fokus, die sich via Software direkt
automatisieren lassen. Hier nähert sich
die Darstellung der IT am stärksten an
und beschreibt auch direkt Schnittstellen
zu IT-Systemen und zur BPEL (Business
Process Execution Language) in der Welt
der Webservices.
Ein abschließender Teil des vorliegenden
Buches wendet sich dann noch der Einführung
von BPMN in Unternehmen und
den dabei häufig anzutreffenden Problemen
zu. Insgesamt ist das Buch ein gut
verständlicher Praxisratgeber für alle,
die sich mit Prozessmodellierung unter
Verwendung der BPMN 2.0 auseinandersetzen
wollen.
KVM
Bücher über Virtualisierung gibt es bereits
massenhaft. Ziemlich überschaubar
ist noch das Angebot an Werken zum
Linux-Hypervisor KVM. Umso erfreulicher,
dass der Dpunkt-Verlag nun diese
Lücke geschlossen hat. Geschrieben
wurde der Ratgeber von vier Autoren,
die für das Systemhaus B1 Systems die
Linux-Virtualisierungslösung in der Praxis
einsetzen.
Nach dem obligatorischen Überblick
über Geschichte und Arten von Virtualisierungstechnologien
widmet sich der
Rest des Buches dem praktischen Einsatz
von KVM, vor allem auf der Kommandozeile.
Vom grundsätzlichen Setup geht es
zur Installation virtueller Maschinen und
dann weiter zu komplexeren Fragen des
VM-Managments. Besonders lobenswert
ist, dass die Autoren die Konfigurationsschritte
stets an allen wichtigen Linux-
Distribution vorführen.
Ausführlich stellen sie die Tools rund um
die Libvirt vor. Bei der Installation virtueller
Maschinenen gehen sie auch auf
die automatisierte Bereitstellung des Betriebssystems
ein. Bei den verwendeten
Gast-Systemen berücksichtigen sie ältere
Betriebssysteme und Windows, für das es
spezielle Treiber gibt.
Ausführlich behandelt „KVM Best Practices“
die Netzwerkkonfiguration virtueller
Maschinen und geht sogar auf den
sehr neuen Ansatz Macvtap ein, der eine
spezielle Lösung für moderne Switches
bietet. Auch fortgeschrittene Techniken
wie Storage (Pools), Migration physischer
wie virtueller Maschinen, etwa von
VMware und Virtualbox, fehlen nicht.
Selbst Backup-Strategien und Hochverfügbarkeit
werden erklärt, auch wenn
man Letzterem sicher ein eigenes Buch
widmen könnte.
Mit etwas weniger als 300 Seiten zählt es
nicht jede obskure Option der KVM-Tools
auf, aber gerade der Verzicht auf endlose
Befehlsreferenzen macht den kompakten
Ratgeber gut verdaulich. „KVM
Best Practices“ ist als gelungenes Praxis-
Handbuch empfehlenswert für jeden, der
sich für Virtualisierung mit der nativen
Linux-Lösung interessiert. (ofr) n
BPMN 2.0
Jakob Freund, Bernd Rücker
Praxishandbuch BPMN 2.0
Hanser-Verlag
296 Seiten
34,90 Euro
ISBN: 3-446-42986-7
KVM Best Practices
C. Arnold, M. Rode, J. Sperling, A. Steil
KVM Best Practices
Dpunkt-Verlag
289 Seiten
36,90 Euro
ISBN: 978-3-89864-737-3
8 Ausgabe 03-2012 Admin www.admin-magazin.de

VOLLE LEISTUNG -
VOLLE KONTROLLE
Root Server von HOST EUROPE
Performance wie ein dedizierter Server mit dem Administrationskomfort
innovativer Vollvirtualisierung.
Mehr Power
Mehr Komfort
Mehr Flexibilität
Mehr Expertise
Fest zugewiesene CPU- und RAM-Ressourcen
sowie eigenes Hardware-RAID-Subset
Backup, Snapshot, eigene ISO-Images und
VNC-Fernsteuerung wie bei virtuellen Servern
Keine Mindestvertragslaufzeit, Automatische
Systemmigration bei Upgrades
Bester Service und Support von Europas
führendem Virtualisierungsprovider.
Root Server
Professional
Premium
CPU-Leistung bis zu 8 vCores bis zu 24 Cores
RAM bis zu 32 GB bis zu 96 GB
Dedizierte Festplatten bis zu 3 x 1.000 GB bis zu 4 x 3.000 GB
RAID-Subset je Root Server RAID1 oder RAID5 RAID10
Eigene Server-Hardware
ab
€49
monatlich*
ab
€129
monatlich*
www.hosteurope.de
*Zzgl. einmaliger Setupgebühr von € 99. Keine Mindestvertragslaufzeit. Die Kündigungsfrist beträgt 4 Wochen zum Monatsende. Alle angegebenen Preise inklusive MwSt.

Login
News
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Neue Software und Produkte
Branchen-News
Münchens OB: Linux billiger und zuverlässiger
Der Umstieg auf Limux kommt München
vier bis fünf Millionen Euro günstiger (11
statt 15 Millionen Euro) als die Windows-
Umgebung, lautet das Fazit von Münchens
Oberbürgermeister Christian Ude.
In dieser Summe seien jedoch weitere
Kosten noch nicht eingerechnet, etwa die
Upgrades auf neue Versionen von Office
und Windows, die schätzungsweise alle
vier Jahre hinzukommen.
Alleine die Lizenzkosten für MS-Produkte
schlagen bei den weit über 10.000 PCs
der bayerischen Landeshauptstadt mit etwa
2,8 Millionen Euro zu Buche. Für die
Kostenrechnung geht Ude von 15.000 MS-
Office-Lizenzen, 7500 Windows-Lizenzen
(Aktualisierungen), 7500 Neuanschaffungen
von Hardware sowie Schulungs-, Migrations-
und Entwicklungskosten aus.
In letzterem Posten steckt etwa, dass die
Formatvorlagenverwaltung Wollmux für
Microsoft Office komplett neu entwickelt
werden müsste.
© Michael Nagy, Presseamt München
Oberbürgermeister Christian Ude zieht ein lobendes
Fazit für den Linux-Umstieg.
Interessante Zahlen hat auch das Amtsblatt
Rathausumschau vom März 2012 zu
bieten. Obwohl sich die Linux-Arbeitsplätze
noch in einer Einführungsphase
befänden, wo es normalerweise an vielen
Ecken und Enden „hakt“, können
die Verantwortlichen jedoch bereits jetzt
feststellen, dass in vielen Fällen (Referaten)
nach Auskunft der Administratoren
deutlich weniger Störungen auftreten als
dies mit Windows NT der Fall war.
Münchens Limux fühlt sich jetzt auch so
stark, um erneut und mit vielen positiven
Erfahrungen an die Öffentlichkeit zu
gehen: „Wir sind jetzt so weit, dass wir
etwas zurückgeben wollen, wir haben
unsere eigenen Erfahrungen gemacht. Da
können wir zurückblicken und anderen
Städten und Projekten helfen. Limux geht
jetzt mehr nach außen“, so Kirsten Böge,
verantwortliche Kommunikations- und
Veränderungsmanagerin bei der Landeshauptstadt
zum Linux-Magazin. Dazu
wolle man Kontakt mit anderen Vorzeigeprojekten
in Gemeinden, Staaten und
Institutionen aufnehmen, aber auch das
eigene Behördenumfeld mit Informationen
und Erfahrungen versorgen.
VMware gibt Management-Paket Bosh frei
Zum einjährigen Geburtstag des Cloud-Foundry-Projekts hat
VMware die Tool-Sammlung Bosh unter der Apache-Lizenz
veröffentlicht. Mit Bosh lassen sich Anwendungen für verteilte
Infrastrukturen verwalten. Derzeit unterstützt Bosh VMware
vSphere und Amazon Web Services. Über den sogenannten Director
können Anwender einzelne virtuelle Maschinen steuern,
auf denen als Gegenstück spezielle Agent-Programme laufen.
Auf den VMs kann Bosh dann Anwendungen bereitstellen und
im weiteren Verlauf ihren Zustand überwachen. Bosh ist in
Ruby geschrieben und im Github-Repository [https://​github.​com/​
​cloudfoundry/​bosh] von Cloud Foundry zu finden.
Auch die Cloud-Foundry-Software war letztes Jahr von VMware
unter der Apache-Lizenz freigegeben worden. Ähnlich wie mit
Open Stack und Cloudstack lassen sich auch damit Cloud-Infrastrukturen
aufbauen. Allerdings positioniert sich VMware damit
als Konkurrenz zum Open-Stack-Projekt, dem VMware nicht angehört.
Mitbewerber Citrix hatte erst kürzlich bekanntgegeben,
in Zukunft verstärkt auf Cloudstack zu setzen. VMware bietet
unter dem Namen Cloud Foundry auch eine eigene Cloud an,
die mit der gleichnamigen Software realisiert ist.
Linus Torvalds ausgezeichnet
Die Technology Academy Finnland hat Linus Torvalds als Preisträger
für den Millennium Technology Prize benannt. Er wird
dafür geehrt, den Linux-Kernel ins Leben gerufen zu haben,
in dem heute nach den Worten der Akademie hochgerechnet
73000 Mannjahre Entwicklungszeit und 30 Millionen Zeilen
Code stecken. Seine Erfindung hätte „großen Einfluss auf die
Software-Entwicklung sowie die kulturellen und ethischen
Aspekte der Offenheit des Web“, meint die Akademie zu der
Auszeichnung.
Linus Torvalds selbst sagt dazu „Software is too important in
the modern world not to be developed through open sources.
The real impact of Linux is as a way to allow people and companies
to build on top of it, to do their own thing. We’re finally
getting to the point where „data is just data“, and we don’t have
all these insane special communication channels for different
forms of data.“
Der zweite Preisträger neben Linus Torvalds ist der Stammzellenforscher
Shinya Yamanaka aus Japan. Den Gewinner
des endgültigen „Grand Prize“ wird die Jury am 13. Juni 2012
bekanntgeben.
10 Ausgabe 03-2012 Admin www.admin-magazin.de

n immer auf http://www.admin-magazin.de ++++ neueste Nachrichten immer auf http://www.
News
Login
Günstige Server von Novell
Mit der Novell Open Workgroup Suite for Small Business bietet
Novell nun kleineren Firmen mit bis zu 200 Mitarbeitern
und fünf Servern günstige Lizenzen in einem Rundum-sorglos-
Paket an. Die Workgroup Suite umfasst Client- und Server-
Lizenzen für den Novell Open Enterprise Server, der auf der
Basis von SLES 11 SP 1 Netzwerk-, Datei- und Druckservices
zur Verfügung stellt. Weiter enthalten ist GroupWise, Novells
Collaboration-Lösung, und Vibe, das mit derselben Zielrichtung
Social Networking Tools, Prozessautomatisierung, Blogs oder
Umfragewerkzeuge bietet.
Für die Verwaltung der Server sind ZENworks Linux Management
und ZENworks Configuration Management integriert.
Desktop-Benutzer können die Bürosuite LibreOffice zusamen
mit dem Linux Enterprise Desktop nutzen. Waren diese Services
auch bereits im Open Enterprise Small Business Server integriert,
so geht die Suite darüber hinaus, indem sie weiter auch
die Novell Cluster Services integriert (zwei Knoten sind im Preis
inbegriffen) und das Angebot um Xen Virtualization sowie das
ZENworks Endpoint Security Management aufstockt.
Webserver-Statistik: Apache wächst
Mit einer Zunahme von rund 23 Millionen Websites baut
Apache seinen Anteil unter den Webservern im April weltweit
auf 65,5 Prozent aus.
Die von Netcraft durchgeführte Monatsmessung hat für insgesamt
rund 677 Millionen Websites den laufenden Server gemeldet.
Fast 33 Millionen Hostnames sind seit der Märzstatistik [http://​
​news.​netcraft.​com/​archives/​2012/​04/​04/​april‐2012‐web‐server‐survey.​
​html] hinzugekommen. Während Apache in Zahlen das größte
Wachstum hinlegte, legte der schlanke Nginx um 4,5 Millionen
Seiten zu und landete mit diesem Wachstum auf dem zweiten
Platz im April.
Microsoft konnte sich zwar um 3,5 Millionen Sites verbessern,
hat aber immer noch mit einem leicht sinkenden Marktanteil
zu kämpfen. Der neue im Test befindliche IIS 8.0, der seit
September 2011 mit der öffentlichen Beta des Windows Server
8 ausgeliefert wird, ist bei 278 Sites in Betrieb. Das dreistellige
Ergebnis ist allerdings dem Betabetrieb geschuldet. Netcraft hat
den IIS 8.0 deshalb auch bei keinem großen Hostingprovider
entdeckt.
Neuer Linux-Kernel-Report
Die Linux-Foundation hat den Report „Linux Kernel Development:
How Fast it is Going, Who is Doing It, What They
are Doing, and Who is Sponsoring It“ veröffentlicht, der eine
Bestandsaufnahme der Linux-Kernel-Entwicklung gibt. Die
Autoren sind, neben Amanda McPherson von der Linux-Foundation,
der Kernel-Entwickler Greg Kroah-Hartman und Jonathan
Corbet, der die Website LWN.net betreibt.
Laut dem Kernel-Report fließen in jedes neue Kernel-Release
zwischen 8000 und 12000 Patches ein, wobei sich die Rate der
Änderungen eher noch erhöht. Dies ist das Werk von über 1000
Entwicklern, die vorwiegend bei etwa 200 Firmen angestellt
sind. Seit 2005 haben über 7800 verschiedene Entwickler und
800 Firmen zum Linux-Kernel beigetragen. Der Kernel-Report
erscheint mit dieser Ausgabe zum vierten Mal und berücksichtigt
die Entwicklung bis zu Linux 3.2. Der Schwerpunkt liegt auf
der Entwicklungsphase zwischen 2.6.36 und 3.2.
Als Kuriosum ist zu verzeichnen, dass Microsoft nun unter
den 20 Firmen zu finden ist, die am meisten zum Linux-Kernel
beigetragen haben. Allerdings ist das Maß dafür die Anzahl der
Änderungen und der Grund für deren Vielzahl, dass der von
Microsoft beigesteuerte Code für Hyper-V im Linux-Kernel nicht
den Coderichtlinien entsprach und umgeschrieben wurde.
Jetzt
anrufen
und Termin
sichern!
Linux Schulungen 2012 – Nicht verpassen!
• Linux - Crashkurs für Administratoren: 21.05. / 02.07. / 08.10.
• Linux Administration für Fortgeschrittene: 18.06. / 03.09. / 05.11.
• Linux als Server im Inter-und Intranet: 06.08. / 26.11.
• Shellprogrammierung mit der BASH: 22.10.
• Python Programmierung für Check_MK: 24.09.
• Systemmonitoring mit Nagios & Check_MK: 12.11.
• Python: 15.10.
• Fortgeschrittenes Monitoring mit Nagios & Check_MK:
11.06. / 10.09. / 10.12.
NEU
Linux-Storage-Schulung jetzt 4 Tage!
Nächster Termin: 03.12.2012
Gerne machen wir auch Inhouse-Schulungen direkt bei unseren Kunden
vor Ort. Fragen Sie uns nach einem Angebot zu Ihrem Wunschthema.
Webserver im Vergleich. Quelle Netcraft
Tel.: 089 / 18 90 42 10
www.admin-magazin.de
mk@mathias-kettner.de
Ausgabe 03-2012 www.mathias-kettner.de
11

Login
News
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
„Freie Software dient der Sicherheit“
Cornelia Rogall-Grothe, die Beauftragte der Bundesregierung für
Informationstechnologie, hat als Schirmherrin des Linuxtags
2012 die Bedeutung von freier Software hervorgehoben. In einem
Grußwort betont sie die Rolle des Bundes, der sich für die
Interoperabilität, nicht nur in Deutschland, sondern auch auf
EU-Ebene einsetze. Offene Standards, so Rogall-Grothe, seien in
dem Ende 2011 verabschiedeten Leitfaden SAGA 5 für die Bundesverwaltung
das zentrale Kriterium. Der Aspekt Sicherheit
sei ebenfalls eine Stärke der freien Software, so die Politikerin,
Anwender müssten die Hoheit über ihre Systeme und über ihre
Daten behalten. Investitionsschutz, hohe Zukunftssicherheit,
Softwarevielfalt und Flexibilität seien weitere Pluspunkte.
Drupalcon München sucht Vorträge
Für die vom 20. bis 24. August in München stattfindende Konferenz
zum Content-Management-System Drupal haben der
Call for Papers und die Registrierung begonnen. Interessenten
zu Vorträgen rund um das CMS sollen sich an die Drupal Association
und das Munich Drupalcon Committee wenden. Weitere
Informationen gibt es auf der Drupalcon-Webseite [http://​
​munich2012.​drupal.​org/​call‐for‐papers].
1&1 bekommt Document Freedom Award
Die Free Software Foundation Europe (FSFE) und die Foundation
for a Free Information Infrastructure e.V. (FFII) haben die
1&1 Internet AG und deren Portale GMX und Web.de mit dem
German Document Freedom Award ausgezeichnet.
Die FSFE und die FFII loben die ausgezeichneten Portale unter
anderem für den Einsatz von offenen Standards wie das
Extensible Messaging and Presence Protocol (XMPP, ehemals
Jabber). Der Award wurde in Karlsruhe überreicht, pünktlich
zum Document Freedom Day. Stephan Uhlmann vom FFII-
Vorstand lobte die 1&1 Internet AG als Unternehmen, das seine
Geschäftsfelder auf offene Internetstandards wie Web und Mail
aufbaue und seine Services interoperabel halte.
Preisverleihung: (von links) Stephan Uhlmann von der FFII, Jan Oetjen, CEO 1&1
Internet Portals, Tino Anic von 1&1 und Mathias Kirschner von der FSFE.
Red Hat knackt die Umsatz-Milliarde
Das börsennotierte Linux-Unternehmen Red Hat hat im Finanzjahr
2012, das bei der Firma bereits im Februar endet, einen Umsatz
von 1,13 Milliarden US-Dollar erzielt. Red Hat gilt damit als
Erstes auf Open-Source-Produkte aufbauendes Unternehmen,
das die Milliardengrenze überschritten hat. Ein Umsatzwachstum
von 25 Prozent gegenüber dem Geschäftsjahr 2011 war
dafür verantwortlich. Das vierte Quartal hat Red Hat mit einem
Umsatz von 297 Millionen US-Dollar geschlossen, was einer
Steigerung von 21 Prozent gegenüber dem vierten Quartal 2011
entspricht. Red Hat erzielte aus den Subskriptionen für seine
Produkte in Q4 rund 255 Millionen US-Dollar (plus 22 Prozent
im Jahresvergleich). Den Umsatzzahlen stehen die Nettoerlöse
von 36 Millionen US-Dollar im vierten Quartal und rund 147
Millionen US-Dollar im gesamten Geschäftsjahr gegenüber. Laut
Finanzchef Charlie Peters habe es einen signifikanten Anstieg
bei großen Geschäftsabschlüssen gegeben.
Neue Intel-SSD für Preisbewusste
Intel stellt mit der SSD-330-Serie Modelle für den preisbewussten
Anwender vor. Die neuen SSDs mit 6 GByte/​s SATA-Schnittstelle
eignen sich besonders für die Aufrüstung eines vorhandenen
PCs oder Notebooks. Sie sind ab sofort in Kapazitäten von 60,
120 und 180 GByte ab einem empfohlenen Preis von 89 US-
Dollar verfügbar. Die Serie ist mit 25-nm-Multi-Level-Cell-(MLC)
NAND-Speicher ausgestattet. Die 6-GByte/​s-SATA-Schnittstelle
liefert eine sequenzielle Lesegeschwindigkeit von bis zu 500
MByte/​s sowie eine sequenzielle Schreibgeschwindigkeit von
bis zu 450 MByte/​s.
Mit Random-Lesegeschwindigkeiten von bis zu 22 500 IOPS (Input/​Output-Operationen
pro Sekunde) und Schreibgeschwindigkeiten
bis zu 33 000 IOPS erreichen sie zwar nur etwa die
Hälfte der Geschwindigkeit der Rechenzentrenmodelle, liegen
aber deutlich über den Werten einer klassischen Festplatte.
Open-Source-Förderpreis 2012
Wie bereits in den Vorjahren fördert der Serverhersteller Thomas
Krenn zusammen mit Univention, Netways und dem Linuxhotel
auch dieses Jahr wieder Open-Source-Projekte. Bereits
zum Linuxtag, der vom 23. bis 26. Mai in Berlin stattfindet,
erhält Ubuntuusers.de Serverhardware im Wert von 2500 Euro.
Andere Projekte können sich beim Linuxtag am Stand der
Thomas Krenn AG oder per E-Mail an [open‐source‐sponsorship@
thomas‐krenn.​com] bewerben.
Alle drei Monate wählt eine Jury ein Projekt zur Förderung aus,
die aus Server-Hardware im Wert von mindestens 1000 Euro
besteht. In der Jury sitzen Bernd Erk (Netways), Peter H. Ganten
(Univention), Jacqueline Rahemipour (Linuxtag e.V.) und
Ingo Wichmann (Linuxhotel). Direkt auf dem Linuxtag können
sich Open-Source-Projekte je einen von insgesamt acht Pocket-
Servern sichern. Mehr Informationen zum Preis sind unter der
Adresse [http://www.thomas‐krenn.​com/tk-osf-2012] zu finden.
12 Ausgabe 03-2012 Admin www.admin-magazin.de

n immer auf http://www.admin-magazin.de
Open Stack 2012.1 veröffentlicht
Mit Version 2012.1 „Essex“ hat das Cloud-Computing-Framework
Open Stack einige Umbauarbeiten fortgeführt, neue Features
eingebaut und eine Vielzahl von Fehlern behoben. So
haben die Entwickler weitere Fortschritte dabei gemacht, die
Komponenten für Zugriffskontrolle und Rechte aus dem Modul
für die Rechenarbeit („Nova“) zu entfernen und in das nun
dafür zuständige Modul „Keystone“ zu überführen. Auch die
Komponente zur Konfiguration von Open Stack wurde überarbeitet
und bedient sich nun einer Ini-Syntax, wie sie etwa von
Windows-Anwendungen bekannt ist. Open Stack kann jedoch
weiterhin alte Konfigurationsdateien lesen, die es intern in das
neue Format konvertiert. Auch ein separates Tool zur Umwandlung
ist im Paket enthalten.
Insgesamt haben seit dem letzten Open-Stack-Release mehr
als 200 Programmierer um die 3000 Änderungen alleine in
das Modul Nova eingebracht. Neben Nova besteht Open Stack
noch aus den Komponenten Keystone (Authentifizierung), Swift
(Storage), Glance (VM-Images) und Horizon (Management-
GUI). Mit Open Stack lassen sich eigene Cloud-Infrastrukturen
aufbauen und zentral steuern. Für Entwickler steht auch eine
API bereit. Hinter Open Stack, das unter der Führung von
Rackspace entstanden ist, steht mittlerweile ein Konsortium von
mehr als 100 Firmen. Obwohl einzelne Cloud-Anbieter Open
Stack bereits implementiert haben, steht ein stabiles Release
bisher immer noch aus. Der Virtualisierungsanbieter Citrix
hat deshalb kürzlich bekanntgegeben, auf das konkurrierende
Framework Cloudstack zu setzen, das seit letzter Woche unter
der Apache-Lizenz steht. Auch Red Hat unterstützt Open
Stack offiziell bislang nicht. Allerdings wird in Insider-Kreisen
berichtet, dass sowohl Red Hat wie auch IBM demnächst ihre
Teilnahme am Open-Stack-Konsortium bekanntgeben werden,
mutmaßlich bei der Open Stack Spring Conference, die am 19.
April in San Francisco stattfindet. Die Release Notes zu Open
Stack 2012.1 „Essex“ sind unter der Adresse [http://​wiki.​openstack.​
​org/​ReleaseNotes/​Essex] einsehbar.
Twitter stellt MySQL-Erweiterungen online
Die Firma Twitter hat einige der MySQL-Erweiterungen freigegeben,
mit denen sie als einer der größten MySQL-Anwender
weltweit die Skalierbarkeit der Datenbank zunächst für den
eigenen Bedarf verbesserte.
Twitter, das die meisten Daten seiner 140 Millionen User in
MySQL-Datenbanken speichert, hat nun die zunächst für eigene
Zwecke entwickelten Erweiterungen auf Github [https://​github.​
​com/​twitter/​mysql] unter einer BSD-Lizenz allen Interessenten zur
Verfügung gestellt. Sie betreffen beispielsweise die Optimierung
der Speicherzuweisung auf großen NUMA-Systemen oder die
neue Möglichkeit, den Innodb Buffer Pool zu sichern und wiederherzustellen,
was es erlaubt, MySQL-Services im laufenden
Betrieb ohne besondere Vorkehrungen neu zu starten. Auch
das Innodb-Monitoring hat Twitter durch neue Statusvariablen
weiter verbessert. Darüber hinaus optimierte Twitter das Zusammenspiel
von MySQL und SSD-Speichern.
www.admin-magazin.de
TM
MobyDick
D i e Z u k u n f t der Telefonie
Mit der MobyDick Telefonanlage haben Sie alle Fäden selbst in
der Hand. Außerdem verbinden Sie die Features modernster
Telefonie mit den Vorteilen von Voice over IP.
Die Kommunikationslösung für Ihr
Unternehmen
Unified Communications:
Telefon
Video
VoiceMail
Präsenzmanager
Instantmessaging
FaxEmail Gateway
PrintFax Gateway
Conferencing
Mehr Informationen finden Sie unter:
http://www.pascom.net
http://community.pascom.net
NEU
Kostenlose
Community
Version
erhältlich
pascom
Netzwerktechnik GmbH & Co. KG
Berger Straße 42
94469 Deggendorf
Tel.: +49 991 27006 - 0
Admin
Ausgabe 03-2012
13

Login
Think Twice: Innovation
Wo die Innovation in Linux steckt, und warum es manchmal ohne geht
Alles neu oder
nachgemacht?
Hat Linux oder Open Source im Allgemeinen – sagen wir es durch die Blume – eher ein nachschaffendes Talent? Kupfert es
lediglich ab, und ist seine Innovationskraft nur ein Mythos, wie die Gegenposition in dieser Kolumne diesmal behauptet?
Ich glaube das nicht. Aus sechs guten Gründen. Jens-Christoph Brendel
Schnell läuft man
auf der Suche
nach den Linux-
Innovationen Gefahr,
den Wald vor
lauter Bäumen
nicht zu sehen.
Ehe man nämlich nach technischen Details
fahndet, gilt es zu erkennen, dass
man eine der größten Innovationen bereits
vor Augen hat: Linux als solches.
Und das gleich in mehrfacher Hinsicht:
Erstens verkörpern Open Source und speziell
auch Linux ein absolut innovatives
Modell der Softwareentwicklung. Dass
Hunderte Programmierer auf der ganzen
Welt sich selbst organisieren, freiwillig,
oft unentgeltlich und jahrzehntelang in
Projekten mitarbeiten, die Millionen Zeilen
Code produzieren – das gab und gibt
es im proprietären Lager nie und wird es
nicht geben. Das Modell war neu, und
es hat sich praktisch durchgesetzt, mit
anderen Worten: eine Innovation par
exellence.
Mitreden
Diskutieren Sie mit uns! In dieser Rubrik, die
sich auch auf unserer Webseite findet (http://
www.admin-magazin.de/Think-Twice), stellen
wir regelmäßig kontroverse Standpunkte zur
Diskussion. Sagen Sie uns online, welcher Meinung
Sie sich anschließen würden, bekennen
Sie Farbe und reden Sie mit!
Zweitens: Linux ist in vielen Fällen die
Grundlage neuer, innovativer Geschäftsmodelle.
Die bieten kostenlose Software,
die jeder ohne Einstiegshürde zunächst
unter den eigenen Bedingungen testen
kann, bevor er sich vielleicht entscheidet,
einem Anbieter für Dienstleistungen,
Support, Integration, Anpassungen, Erweiterungen
oder daran gekoppelte Hardware
zu bezahlen. Zuvor gab es nur das
Lizenzgeschäft, das die Katze im Sack
an den Mann bringen wollte. Demgegenüber
hat sich ein vollkommen neuartiger
Ansatz erfolgreich etabliert. Das ist, was
man eine Innovation nennt.
Dagegen mag man einwenden: Das waren
zweifellos Innovationen, aber mittlerweile
ist Linux zwanzig. Schon recht
– doch was ist in diesen zwanzig Jahren
passiert?
Drittens: In diesen 20 Jahren ist Linux
das Herzstück unzähliger innovativer
Produkte geworden. Vom aktuellsten
Android Smartphone bis zum Supercomputer,
der in mehr als neun von zehn
Fällen unter Linux läuft. Beide können
fraglos innovativ sein, genauso wie eine
Flut anderer Produkte, in denen Linux
werkelt, vom Navigationssystem bis zur
Kaffeemaschine, vom NAS-Speicher bis
zum Industrieroboter.
Viertens: Daneben gab und gibt es technische
Neuerungen, die auf das Konto
von Linux gehen. Und zwar von Anfang
an: Schon der Kernel 1.2 benutzte in Abhängigkeit
von der Hardwareerkennung
nachladbare Kernel-Module, mindestens
ein halbes Jahr bevor Windows 95 mit
seinem Plug’n’Play etwas Ähnliches
versuchte. Oder die Linux-Paketverwaltungen
– eine Art kostenloser AppStore,
entwickelt lange bevor es Mobil-Applikationen
gab. Und heute? Man schaue nach
den Mega-IT-Trends – Cloud Computing
etwa oder soziale Netze oder Big Data, –
und man wird auf Linux stoßen.
Fünftens: Bei Software lässt sich die Innovationsstärke
in gewisser Weise bereits
am Alter ablesen: Weil sie im Unterschied
zu anderen Waren bei Gebrauch nicht
verschleißt, wäre ihr erster Käufer nämlich
eigentlich zugleich der letzte – er
hätte ausgesorgt – wenn ihr Hersteller die
Kunden nicht immer wieder mit neuen
Features, höherer Performance locken
könnte. Linux zieht in diesem Spiel seit
über zwei Jahrzehnten immer mehr Interessenten
an. Ein Innovationsbeweis.
Sechstens: Aber selbstverständlich gibt
es auch bei Linux nicht ausschließlich
Innovationen – das zu erwarten wäre
weltfremd und unklug. Wie in der Natur
folgt auf jede Schlüsselinnovation
eine längere Periode der Adaption. Das
ist die risikoärmere Form der Evolution,
die durch Fortentwicklung erst einmal
den Spielraum ausnutzt, den Innovationen
eröffnen. Dazu gehört auch die
Übernahme fremder Innovationen, wo
das legitim und effizient ist. So mag man
dem Filesystem-Newcomer Btrfs den Innovationscharakter
absprechen, weil es
zuvor das ähnliche ZFS von Sun/​Oracle
gab. (Genauso könnte man sagen: Für
das Linux-Universum ist das ohne Vorbild
und deshalb innovativ.) Das ändert aber
nichts an der Tatsache, dass Btrfs eine notwendige
und ausgesprochen segensreiche
Entwicklung für Linux ist. Diese Chance
auszuschlagen, um stattdessen in Nörgler-
Pose nach etwas nie da gewesenen zu
rufen, wäre einfach nicht schlau. n
14 Ausgabe 03-2012 Admin www.admin-magazin.de

Think Twice: Innovation
Login
Linux ist nicht der viel gefeierte Innovationsmotor
Besser gut
kopiert
Linux wird von seinen Fans gerne als innovatives System gepriesen, das anderen um Längen voraus ist. Technisch
ist es aber weniger innovativ als andere Systeme. Seine wahren Leistungen liegen eher im ökonomischen
und politischen Feld. Oliver Frommel
In der Werbung
wird gerne die
Frage gestellt: Wer
hat’s erfunden? In
den Augen vieler
Linux-Fans lautet
die Antwort darauf
aber nicht „die Schweizer“, sondern
„Linus Torvalds“. Andere Fußballvereine,
ähem, Software-Hersteller werden dagegen
gerne des Diebstahls oder Plagiats
bezichtigt, allen voran die Lieblingsfeinde
Microsoft und Apple.
Tatsächlich ist die Innovationsleistung
von Linux geringer, als viele denken.
Schon bei seiner Erfindung gab es technisch
nicht viel Bahnbrechendes zu verzeichnen.
Linus Torvalds schrieb einen
Task-Switcher für den 386-Prozessor
und darauf basierend ein rudimentäres
Betriebssystem, das er am 5. Oktober
1991 in der Newsgroup comp.os.minix
veröffentlichte. Es war jedoch nicht nach
einem eigenen innovativen Konzept entworfen,
sondern dem Unix-Vorbild nachempfunden,
das zu diesem Zeitpunkt
schon 20 Jahre auf dem Buckel hatte.
Verschiedene Unix-Varianten wurden damals
von Firmen wie Sun, SGI, Digital
Equipment, HP und IBM mit ihren Workstations
und Servern ausgeliefert.
Selbst Unix auf dem PC war damals
nichts Neues. Ironischerweise wurde
ein PC-Unix mit dem Namen Xenix seinerzeit
von Microsoft verkauft. Konsequenterweise
begegnete der Informatik-
Professor Andrew Tanenbaum schon der
ersten Linux-Veröffentlichung mit dem
berühmten Diktum „Linux is obsolete“
(Linux ist veraltet). Er selbst arbeitet zu
dieser Zeit an einem eigenen Unix-artigen
Betriebssystem namens Minix, das aber
einen Microkernel verwendete und durch
die Verwendung weniger privilegierter
Subsysteme zu größerer Stabilität führen
sollte.
Windows New Technology
Auch das viel geschmähte Windows NT,
das 1993 erschien, hatte in puncto Innovation
einiges zu bieten – auch wenn sich
dies nicht unbedingt in hoher Stabilität
niederschlug. Nachdem die gemeinsame
Entwicklung von OS/​2 zusammen mit
IBM in die Sackgasse führte, schlug Microsoft
einen neuen Weg ein und begann
von Grund auf ein neues System zu
entwickeln, angeführt von Dave Cutler,
dem Architekten des berühmten VMS-Betriebssystems.
Eine Abstraktionsschicht
namens HAL (Hardware Abstraction
Layer) sollte das Betriebssystem einfach
für verschiedene Prozessorarchitekturen
verfügbar machen.
Auch Windows NT war von der Microkernel-Architektur
beeinflusst, verlinkte
allerdings am Ende die einzelnen
Komponten zu einem statischen Block.
Schließlich bescherten die Entwickler
dem neuen OS noch ein modernes Dateisystem
namens NTFS, das Access Control
Lists und Journalling implementierte –
zwei Features, auf die Linux-Anwender
noch lange warten mussten. Selbst in der
einschlägigen Literatur, etwa im Buch des
Informatikprofessors William Stallings,
gilt Windows NT als Beispiel für zeitgemäßes
Design von Betriebssystemen.
Der Konkurrent Apple schlug später einen
ähnlichen Weg ein und verschmolz
den Mach-Microkernel mit BSD-Unix und
Nextstep und konnte endlich ein modernes
Betriebssystem vorlegen, um das alte
System 7 abzulösen. Ein Grund für den
Neid vieler Linux-Anwender auf OS X
dürfte darin zu finden sein, dass Apple
mit seinem System den Einzug von Unix
auf dem Desktop geschafft hat, während
Linux mit seinen diversen Desktop-Systemen
bis heute darauf wartet.
Genauso warten viele Linux-Anwender
heute sehnsüchtig auf ein Dateisystem
namens Btrfs, das moderne Features wie
Snapshots und Rollbacks beherrscht.
Doch auch diese Fähigkeiten haben sich
die Btrfs-Entwickler nicht selbst ausgedacht:
Solaris-Anwender können sich
daran schon länger erfreuen, denn mit
ZFS hat Sun „das letzte Wort“ in Sachen
Dateisystem bereits gesprochen,
wie es die Firma selbst ausdrückt. ZFS
beherrscht nicht nur Snapshots, sondern
erlaubt es sogar, ohne zusätzliche Schicht
RAID-Systeme zu betreiben.
Freiheit statt Innovation
Seit immer mehr Firmen Linux als strategische
Plattform sehen und zur Entwicklung
beitragen, gibt es auch mehr
technische Innovationen. So beschäftigen
etwa Prozessorhersteller selbst Linux-Entwickler,
die den entsprechenden
Support-Code für neue Features in den
Kernel integrieren. Die vorrangige Leistung
von Linux besteht bisher aber weniger
in technischer Innovation als darin,
ein freies Betriebssystem geschaffen zu
haben, das dank der GNU-Lizenz allen
Interessierten zur Verfügung steht. Es
bleibt zu hoffen, dass Software-Patente
diese Zukunft nicht vereiteln. n
www.admin-magazin.de
Admin
Ausgabe 03-2012
15

Login
Admin-Story
Der System Security Services Daemon
Abgesteckt
die für ihr Notebook nicht immer einen
Netzanschluss haben, ist die Kommunikation
zu einem zentralen Verzeichnisdienst
somit auch nicht immer möglich.
Der SSSD arbeitet mit einem Cache für
Authentifizierungsinformationen. Möchte
sich ein Benutzer am System anmelden,
und der zentrale Server im Backend steht
nicht zur Verfügung, klappt die Anmeldung
am System trotzdem, da in diesem
Fall die Informationen aus dem SSSD-
Cache kommen. Die Konfigurationsdatei
»/etc/sssd/sssd.conf« gestattet es natürlich,
ganz genau festzulegen, wie dieser
Cache verwendet werden darf. So legt
beispielsweise der Parameter »offline_
credentials_expiration« fest, wie lange
die Daten aus dem Cache Gültigkeit besitzen
sollen, wenn der Backend-Server
nicht zur Verfügung steht.
© Sergei Popov, 123RF
Zentrale Sudo-Regeln auf einem LDAP-Server abzulegen, vereinfacht
die Administration von Workstations und Clients im Firmennetz. Schwierigkeiten
gibt es aber, wenn der so betreute Client-Rechner vom Netz
getrennt ist. Abhilfe schafft die aktuelle Version des System Security
services Daemon (SSSD). Thorsten Scherf
Beim Mittagessen mit einem Kollegen
kamen wir neulich auf das Thema
SSSD und neue Features in Fedora 17
zu sprechen. Dabei ging es auch um
die Sudo-Integration und andere nützliche
Features. Zur Erinnerung: Beim
SSSD (System Security Services Daemon
[1]) handelt es sich um einen Client-
Daemon, der die Kommunikation von
Clients mit zentralen Verzeichnisdiensten
regelt. Hierfür können unterschiedliche
Authentifizierungsmechanismen zum
Einsatz kommen. Die Kommunikation
mit dem Client erfolgt dabei über die
klassischen PAM- und NSS-Schnittstellen,
im Backend gibt es dann unterschiedliche
Security-Provider, beispielsweise für die
Kommunikation mit einem LDAP- oder
FreeIPA-Server [2].
Das Tolle dabei ist, dass die Authentifizierung
von einem Client auch dann noch
funktioniert, wenn der zentrale Backend-
Server gar nicht zur Verfügung steht. Dies
kann natürlich durch einen Ausfall des
Servers passieren, öfter ist die Ursache
aber viel trivialer. Für Roaming-Benutzer,
Schutz gegen Brute Force
Die Anweisung »offline_failed_login_
attempts« sorgt dafür, dass ein Benutzer
nicht beliebig oft versuchen kann, das
Passwort eines anderen Benutzers zu erraten.
Ist der hier definierte Integer-Wert
überschritten, wird der angriffsfreudige
Benutzer für die in der Option »offline_
failed_login_delay« definierte Zeit von
weiteren Anmeldeversuchen ausgesperrt.
Steht die Option auf 0, ist ein Login gar
nicht mehr möglich, solange der Backend-
Server nicht zur Verfügung steht.
Ein Problem bei diesem Ansatz ergibt
sich aber dann, wenn beispielsweise auch
die Sudo-Regeln für einen Benutzer und
ganze Gruppen auf dem zentralen LDAP-
Server im Backend liegen. Sudo überprüft
anhand der Datei »/etc/nsswitch.conf«,
auf welchen Backends nach Regeln zu
suchen ist. Üblicherweise ist dort ein Eintrag
wie beispielsweise »sudoers = files
ldap« vorhanden. Die Kommunikation
erfolgt in einem solchen Fall direkt mit
dem LDAP-Server. Ist der nicht verfügbar,
geht die Anfrage natürlich ins Leere,
und der Benutzer kann die gewünschte
Aktion nicht ausführen, da es nicht
möglich ist, zu verifizieren, ob sie denn
überhaupt für den Benutzer gestattet ist.
Der SSSD löst dieses Problem dadurch,
dass die Sudo-Informationen ebenfalls
in einen Cache wandern. Hierfür musste
aber natürlich die Sudo-Software um ein
Plugin erweitert werden, sodass bei ei-
16 Ausgabe 03-2012 Admin www.admin-magazin.de

Admin-Story
Login
nem entsprechenden Eintrag in der Datei
»/ etc/nsswitch.conf«, die Anfrage auch
tatsächlich an den SSSD geschickt wird.
Dieser braucht ebenfalls einen neuen
Security-Provider, der die Anfragen des
Sudo-Tools entgegennimmt. Die aktuellen
Sudo- und SSSD-Versionen in Fedora
16 haben die entsprechende Unterstützung
bereits eingebaut.
LDAP-Import
Wer das Ganze nun einmal ausprobieren
möchte und noch keine Sudo-Regeln im
LDAP gespeichert hat, findet hier eine
kleine Anleitung. Die in Listing 1 dargestellte
LDIF-Datei ist beispielsweise
mittels »ldapadd« in den persönlichen
Lieblings-LDAP-Server zu laden. Die Anweisungen
erzeugen zuerst den Container
»ou=SUDOers«, in dem dann die
eigentlichen Sudo-Regeln liegen. Hiervon
existieren in meinem Beispiel zwei Stück,
eine für die »goodboys« und eine für die
»badboys«. Erstere dürfen, da sie immer
lieb und artig sind, sämtliche Dateien
auf dem System editieren. Die Badboys
müssen noch lernen und dürfen daher
die Dateien bisher nur lesen.
Schematisch
Damit der Import in den LDAP-Server
funktioniert, muss dieser natürlich über
das passende Schema verfügen, ansonsten
meckert dieser über viele unbekannte
Attribute, und der LDIF-Import schlägt
fehl. Das passende Schema bringt Sudo
aber glücklicherweise von Haus aus mit.
Unter Fedora gibt es für verschiedene
LDAP-Server im Verzeichnis »/usr/share/
doc/sudo‐1.8.x/« entsprechende Schema-
Dateien, diese gelangen ebenfalls wieder
mit einem »ldapadd« in den Server.
Damit nun auch der System Security Services
Daemon von seinem neuen Security-Provider
weiß, ist dieser über die
Der Autor
Thorsten Scherf arbeitet als Senior Consultant für
Red Hat EMEA. Er ist oft als
Vortragender auf Konferenzen
anzutreffen. Wenn neben
Arbeit und Familie noch
Zeit bleibt, nimmt er gerne
an Marathonläufen teil.
Datei »/etc/sssd/sssd.conf« entsprechend
zu konfigurieren. Listing 2 zeigt ein Beispiel
für eine Konfiguration mit einem
reinem LDAP-Server im Backend. Natürlich
kann hier auch ein FreeIPA-Server
zum Einsatz kommen. Die Manpage für
»sssd.conf« hilft dann weiter und zeigt
eine beispielhafte Konfiguration für einen
solchen Fall.
Damit im Cache nun nicht nur die Regeln
landen, die bereits einmal von einem
Benutzer aufgerufen wurden, sind
unbedingt die beiden Anweisungen
»ldap_sudo_refresh_enabled« und »ldap_
sudo_refresh_timeout« zu verwenden.
Diese sorgen dafür, dass wirklich alle
Sudo-Regelsätze in bestimmten Abständen
vom LDAP-Server geladen werden.
Damit beim Aufruf von »sudo« auch der
neue Security-Provider des SSSD-Dienstes
angesprochen wird, ist zwingend noch
die folgende Zeile in der Datei »/etc/
nsswitch.conf« notwendig:
sudoers = files sss
Nach einem Neustart des SSSD-Dienstes
ist dieser nun also in der Lage, die Sudo-
Regeln in einem lokalen Cache abzulegen.
Die Performance der Abfragen sollte
von nun an auch besser sein, selbst beim
Online-Betrieb, da nicht mehr für jede
01 [sssd]
Listing 2: Caching von Sudo-Regeln
02 services = nss, pam, sudo
03
04 [sudo]
05 sudo_cache_timeout = 180
06
07 [domain/LDAP]
08 enumerate = true
09 cache_credentials = TRUE
10 ldap_sudo_refresh_enabled = TRUE
11 ldap_sudo_refresh_timeout = 300
einzelne Anfrage eine neue Verbindung
zum LDAP-Server aufgebaut wird. Sämtliche
LDAP-Abfragen laufen nur noch
über eine einzelne Verbindung vom
»sssd« zum LDAP-Server. Zum Schluss
sei noch erwähnt, dass der Artikel davon
ausgeht, dass die Authentifizierung von
Benutzern bereits über den System Security
Services Daemon stattfindet. Sollte
dies nicht der Fall sein, reicht ein Aufruf
von »system‐config‐authentication«, um
dies zu ändern.
Schneller Snack
Da nach der ganzen Schreiberei nun
mein Magen knurrt und ich nicht mehr
viel Zeit habe, bis der Flieger in die Heimat
geht, gibts jetzt noch einen schnellen
Besuch in der British Beer Company.
Anders als der Name vermuten lässt, gibt
es hier neben gutem Bier nämlich auch
hervorragendes Essen. (ofr)
n
Infos
[1] System Security Services Daemon (SSSD):
[https:// fedorahosted. org/ sssd/]
[2] Thorsten Scherf, FreeIPA:
[http:// www. admin‐magazin. de/​
Online‐Artikel/ Technical‐Review/ FreeIPA]
Listing 1: LDIF-Anweisungen für die LDAP-Integration von sudo
01 dn: ou=SUDOers,dc=tuxgeek,dc=de
02 objectClass: top
03 objectClass: nsContainer
04 ou: SUDOers
05
06 dn: cn=goodboys_rule,ou=SUDOers,dc=tuxgeek,dc
=de
07 objectClass: top
08 objectClass: sudoRole
09 cn: goodboys_rule
10 sudoUser: %goodboys
11 sudoHost: ALL
12 sudoCommand: /usr/bin/vim
13
14 dn: cn=badboys_rules,ou=SUDOers,dc=tuxgeek,dc
=de
15 objectClass: top
16 objectClass: sudoRole
17 cn: badboys_rules
18 sudoUser: %badboys
19 sudoHost: ALL
20 sudoCommand: /usr/bin/less
12
13 id_provider = ldap
14 auth_provider = ldap
15 chpass_provider = ldap
16
17 ldap_uri = ldap://ldap.tuxgeek.de
18 ldap_user_search_base = dc=tuxgeek,dc=de
19 ldap_sudo_search_base =
"ou=SUDOers,dc=tuxgeek,dc=de"
20 ldap_tls_cacert = /etc/pki/tls/certs/ca‐bundle.
crt
www.admin-magazin.de
Admin
Ausgabe 03-2012
17

Netzwerk
IPv6 Launch Day
© mezzotint123rf, 123RF
Am 6. Juni findet der IPv6 Launch Day statt
Los geht's!
Nachdem nun zum gefühlten dreizehnten Mal der IPv4-Adressraum
erschöpft ist, starten die Netzwerkgremien durch: Am 6. Juni geben sie
den Startschuss für ein wahrhaft IPv6-taugliches Internet. Oliver Frommel
Schon den neuesten IT-Witz gehört? IPv6
kommt! Nein, jetzt aber ohne Scherz,
dieses Mal ist es wirklich ernst. Am 6.
Juni ist der offizielle IPv6 World Launch
Day [1]. Keine Angst, auch nach dem
Stichtag ist es noch erlaubt, seinen Server
weiter mit IPv4 zu betreiben, aber viele
große Unternehmen stellen ihre Netze an
diesem Tag dauerhaft so um, dass sie mit
IPv6 umgehen können.
Selbst die hinter der Initiative steckende
Internet Society (ISOC) war sich wohl
der immer wieder hinausgezögerten Einführung
von IPv6 bewusst, als sie für
den IPv6 Launch Day das Motto ausgab
„This time it’s for real“ – dieses Mal aber
wirklich.
Auf dem 83. Treffen der IETF (Internet
Engineering Task Force) in Paris kündigte
Leslie Daigle, Cheftechnikerin der
ISOC, an, dass bereits über 1000 Unternehmen
ihre Teilnahme an der Initiative
zugesagt hätten, darunter Google, Yahoo,
Cisco, Facebook und Microsoft. Auch
[admin‐magazin.​de] wird ab dem 6. Juni
IPv6-fähig sein – vorausgesetzt die IPv6-
Pakete finden den Weg zum Server.
Kurz vor Redaktionsschluss erklärte die
IETF zur „Best Current Practice“, dass
alle Netzwerkschnittstellen IPv6 beherrschen
sollen [2]. Langsam wird es Zeit,
denn die IANA hat vor mehr als einem
ADMIN-MAGAZIN E-MAIL
03/2012
Jahr die letzten IPv4-Adressen an die regionalen
Registries ausgegeben [3]. Diese
haben zwar nun noch einen Vorrat, aber
der wird irgendwann zur Neige gehen.
IPv6-Entwicklungsland
Neben den großen Websitebetreibern nehmen
am IPv6 Launch Day auch Internet-
Provider teil. Die offizielle Teilnahmeliste
deutscher Provider lässt allerdings noch
Das Fachmagazin für IT-Experten
ADMIN
Netzwerk & Security
ES GEHT LOS:
www.admin-magazin.de
IPv6 mobil
Was bietet IPv6
Mobilgeräten?
03 2012
Mai – Juni.
IPv6-START
Know-how zum neuen Internet-Protokoll
Dual-Stack
IPv4 und IPv6 parallel
betreiben
Grundlagen
Wie funktioniert IPv6?
Security: Chancen und Risiken
Autokonfiguration
Im Test: Wie gut konfigurieren sich
Windows, Mac und Linux selbst?
Jetzt:
Digitales
Extra
Abbildung 1: Zum IPv6 Launch Day gibt es bei ADMIN
ein digitales Sonderheft zum Thema IPv6.
Platz nach oben, so ist darauf bisher nur
die kleine Firma Degnet zu finden. Teilnehmende
Provider verpflichten sich,
allen Neukunden auch IPv6 anzubieten
und mindestens ein Prozent des Datenverkehrs
über IPv6 abzuwickeln.
Auch Hardware-Hersteller sind unter
den Teilnehmern des IPv6 Launch Day
zu finden. So haben die Home-Router
von Linksys/​Cisco künftig standardmäßig
IPv6 aktiviert, ebenso wie die Geräte
von D-Link. Sie sollen dann vom Provider
IPv6-Adressen anfordern und diese im
LAN verteilen.
Auch mehr und mehr Software-Pakete
beherrschen das neue Internet-Protokoll,
seien es PHP, Monitoring-Pakete wie
OpenNMS, das Cloud-Framework Open
Stack [4] und so weiter. Bleibt „nur“
noch, eventuelle Sicherheitsprobleme zu
lösen, die mangels praktischer Erfahrung
derzeit noch kaum absehbar sind. Sicher
muss man hier nicht den Teufel an die
Wand malen, aber bei umfassend aktiviertem
IPv6-Verkehr sollte man wohl
mindestens doppelte Sorgfalt walten lassen,
um nicht unbeabsichtigt Firewalls
und Ports für IPv6-Pakete zu öffnen.
IPv6-Aktion
Das ADMIN-Magazin veranstaltet wie
letztes Jahr zum IPv6 World Day wieder
eine Aktion und bietet seinen Lesern ein
digitales Sonderheft zum Thema IPv6
an. Die ersten 2000 Downloader erhalten
das Heft umsonst. Mehr Informationen
zu der Aktion und rund um den IPv6
Launch Day sind unter der Adresse [5]
zu finden.
n
Infos
[1] World IPv6 Launch:
[http:// www. worldipv6launch. org]
[2] IPv6 wird zur Best Practice:
[http:// www. admin‐magazin. de/ News/​
IPv6‐wird‐zur‐Best‐Practice]
[3] IANA gibt letzte Runde an IPv4-Adressen
aus:
[http:// www. admin‐magazin. de/ News/ IANA
‐gibt‐letzte‐Runde‐an‐IPv4‐Adressen‐aus]
[4] Open Stack jetzt mit IPv6-Support: [http://​
www. admin‐magazin. de/ News/ Cloud‐API‐
Open‐Stack‐jetzt‐mit‐IPv6]
[5] ADMIN-Aktion zu IPv6 Launch: [http://​
www. admin‐magazin. de/ ipv6launch]
18 Ausgabe 03-2012 Admin www.admin-magazin.de

Neu!
Professional Server
Brandneue Dedicated Root-Server von HP
AKTION bis 30.04.2012 31.05.2012 20,00€ sparen mit Gutscheincode
AM-4Z94E03s12-438
Neu! Neu! Neu!
Professional Server S
Professional Server M
Professional Server L
CPU
Intel XEON E3-1230
Intel XEON E3-1240
Intel XEON E3-1270
Leistung
4 x 3,2 GHz inkl. HT
4 x 3,3 GHz inkl. HT
4 x 3,4 GHz inkl. HT
Arbeitsspeicher
16 GB DDR3 ECC
24 GB DDR3 ECC
32 GB DDR3 ECC
Festplatten 7.200 rpm
2 x 1 TB Enterprise-Edition
2 x 2 TB Enterprise-Edition
2 x 2 TB Enterprise-Edition
Anbindung
1.000 MBit Flatrate
1.000 MBit Flatrate
1.000 MBit Flatrate
KVM over IP per iLO
IPv4 Adresse inkl.
IPv6 Subnetz (/64) inkl.
Betriebssysteme
Admin-Panel
Extras
Monatsgrundgebühr ab
Einrichtungsgebühr
Debian 6.0, CentOS 6, openSUSE 12.1, Ubuntu 10.04, FreeBSD 9 & Windows 2008 R2 (19,99 € Aufpreis im Monat)
Plesk 10.4 oder Confixx 3.3 inklusive
100 GB Backup-Speicher, Monitoring, Reset- und Rescue-System
59,99 € 79,99 €
99,99 €
0,00 €
0,00 €
0,00 €
Jetzt informieren & bestellen Tel.: 0211 / 545 957 - 330 www.webtropia.com
powered by

Netzwerk
NAP mit 802.1X
© Sofia Vlasiuk, 123RF
Portbasierter Zugriffsschutz mit NAP und 802.1X
Eintrittskarte
Während die Einhaltung der Sicherheitsstandards bei verwalteten PCs relativ einfach durchzusetzen ist, schleusen
mobile Endgeräte wie Laptops immer wieder Viren ein. Network Access Protection (NAP) kann in Verbindung
mit dem portbasierten Zugriffsschutz nach IEEE 802.1X sicherstellen, dass das mobile Endgerät die geforderten
Sicherheitsstandards einhält, bevor es Zugriff auf das Unternehmensnetzwerk erhält. Eric Amberg
Network Access Protection wurde mit
Windows Server 2008 eingeführt und
ermöglicht die Überprüfung des Sicherheitsstatus
eines Clients beim Zugriff
auf das Netzwerk. Dabei wird die Übereinstimmung
mit definierten Richtlinien
(Health Policies) geprüft. Eine Health
Policy kann beispielsweise testen, ob
n eine Firewall für bestimmte Profile
aktiviert ist,
n ein Virenscanner vorhanden ist,
n die Pattern-Updates aktuell sind oder
n das Betriebssystem auf dem aktuellen
Patchstand ist.
Wenn die Richtlinien nicht eingehalten
werden, kann man den Zugriff auf das
Netzwerk verweigern oder wenigstens
einschränken. Gerade die Einschränkung
ist interessant, da man so den Client beispielsweise
in ein Wartungsnetzwerk
umleiten kann, um ihm dort Updates
oder eine passende Konfiguration zu
vergeben. Ist er richtlinienkonform, darf
er nach einer weiteren Prüfung uneingeschränkt
auf das Netzwerk zugreifen.
Windows unterstützt NAP für Windows
XP SP3 eingeschränkt und ab Windows
Vista uneingeschränkt.
Viele Wege führen nach Rom
Abbildung 1: Der Enforcement-Client stellt auf dem mobilen Rechner die Einhaltung der Policies sicher.
NAP bietet verschiedene Varianten für
den Zugriffsschutz an. Hierzu zählen:
n DHCP
n Terminal-Dienste (beziehungsweise
Remotedesktop-Dienste)
n IEEE 802.1X-Geräte
n VPN
n IPsec
In diesem Artikel geht es um den Zugriff
über kabelgebundene 802.1X-fähige Geräte,
de facto also Switches. Ein weiteres
typisches Einsatzszenario für 802.1X sind
WLAN-Verbindungen über einen Access
22 Ausgabe 03-2012 Admin www.admin-magazin.de

NAP mit 802.1X
Netzwerk
Point. In beiden Fällen geht es weniger
um die Authentifizierung (auch wenn
802.1X dafür konzipiert wurde), sondern
um die Einhaltung von Konfigurationsstandards.
NAP-Terminologie
Damit NAP funktioniert, müssen diverse
Zahnräder ineinandergreifen. Zunächst
benötigt der Client einen NAP-Agent, der
die benötigten Informationen über den
Status der zu überprüfenden Komponenten
sammelt, zum Beispiel:
n Firewallstatus
n Windows-Update
n Virenscanner
n herstellerspezifische Informationen
Diese Informationen erhält er über sogenannte
System Health Agents (SHA). Sie
übermitteln den „Gesundheitszustand“
der jeweiligen Komponente. Der passende
Erzwingungsclient (Enforcement
Client, Abbildung 1), eine Komponente
des NAP-Agents, schickt diese Informationen
dann zum Erzwingungspunkt (NAP
Enforcement Point).
Der Erzwingungspunkt ist, je nach Technologie,
entweder ein DHCP-Server, ein
VPN- oder Remote Desktop-Gateway
oder eben ein 802.1X-fähiger Switch
(Abbildung 2). Der Erzwingungspunkt
leitet den übermittelten Integritätsstatus
an den Netzwerkrichtlinienserver (Network
Policy Server, NPS) weiter, der über
eine sogenannte Systemintegritätsüberprüfung
(System Health Validator, SHV)
die gewünschten Übereinstimmungsprüfungen
vornimmt. Über Netzwerk- und
Integritätsrichtlinien legt der Administrator
fest, unter welchen Bedingungen der
Zugriff in welcher Form gestattet beziehungsweise
verweigert wird.
Abbildung 2: Viele Komponenten sind an der Realisierung der Network Access Policy beteiligt. Neben dem
Client sind das noch der Enforcement Point und der Policy Server.
Dieser leitet die Zugriffsanforderung an
einen Authentication Server (in der Regel
ein RADIUS-Server) weiter. Der RADIUS-
Server überprüft die empfangenen Informationen
und übermittelt dem Switch,
ob und in welcher Art der Client Zugriff
erhalten darf.
Supplicant und Authenticator kommunizieren
über das Extensible Authentication
Protocol (EAP), das hier in der Form
von EAPOL (EAP over LAN) zum Einsatz
kommt. Authenticator und Authentication
Server verwenden das RADIUS-Protokoll,
über das die EAP-Informationen
zwischen Supplicant und Authentication
Server ausgetauscht werden – der Au-
thenticator ist für diese Kommunikation
also nur ein Relay. Hierbei kann sich
übrigens auch der Authentication Server
per Zertifikat dem Supplicant gegenüber
ausweisen.
Vereinfacht entsprechen die Begriffe von
NAP denjenigen von 802.1X in etwa folgendermaßen:
n Supplicant = NAP-Agent (Client)
n Authenticator = Erzwingungspunkt
(Switch)
n Authentication Server = RADIUS-
Server = NPS
Dabei ist stets zu beachten, dass NAP mit
802.1X nur eine der möglichen Ausprägungen
des Zugriffsschutzes ist. In an-
Stopp, Kontrolle!
Der Standard IEEE 802.1X dient zur
Authentifizierung und Autorisierung in
Netzwerken [1] (Abbildung 3). Im Zusammenspiel
mit NAP kann er die NAP-
Richtlinien durchsetzen, sodass nur konforme
Clients uneingeschränkten Zugriff
auf das Netzwerk erhalten. Auch hier gibt
es wiederum spezielle Bezeichnungen:
Der Client tritt als Supplicant (wörtlich:
Bittsteller) auf und verbindet sich mit
dem Authenticator in Form des Switches.
Abbildung 3: Der Standard IEEE 802.1X dient zur Authentifizierung und Autorisierung in Netzwerken und wird
bei NAP zur Durchsetzung der Richtlinien verwendet.
www.admin-magazin.de
Admin
Ausgabe 03-2012
23

Netzwerk
NAP mit 802.1X
deren Szenarien (zum Beispiel NAP mit
DHCP) ist die Terminologie eine andere.
Die Guten ins Töpfchen …
Die Unterscheidung zwischen kompatiblen
und nicht kompatiblen Clients findet
bei 802.1X-fähigen Switchen in der Regel
über die VLAN-Zuordnung statt. Ein
VLAN (Virtual LAN) ist ein logisch abgegrenztes
Teilnetz innerhalb eines Switches
oder eines kompletten Netzwerks.
VLANs sind voneinander getrennt und
können nur über Router oder Firewalls
miteinander kommunizieren. Das ermöglicht
eine Steuerung der Kommunikation.
Das VLAN für kompatible Clients stellt
einen Zugang zum Unternehmensnetzwerk
bereit, während das VLAN für nicht
kompatible Clients lediglich Zugriff auf
die im isolierten Bereich befindlichen
Wartungsserver zulässt. Dies ermöglicht
dem Client, seinen Integritätsstatus wiederherzustellen,
um anschließend nach
einer neuen Prüfung in das Produktivnetzwerk
zu gelangen. Die Aushandlungsanforderungen
werden automatisch
gesendet. Damit der Switch weiß, welches
VLAN er dem Client-Port zuweisen
muss, übermittelt der RADIUS-Server die
entsprechenden Informationen. Die Konfiguration
hierzu ist standardisiert, aber
nicht ganz trivial. Details hierzu weiter
unten.
NAP auf dem Client
aktivieren
Stellen Sie zunächst sicher, dass auf dem
Client der NAP-Agent aktiv ist. Hierzu
muss der Dienst namens NAP-Agent
auf automatisch gestellt und gestartet
sein. Der gewünschte Erzwingungsclient
Listing 1: Switch-Konfiguration für Cisco Catalyst
01 Switch# configure terminal
02 Switch(config)# aaa new‐model
03 Switch(config)# aaa authentication dot1x default
group radius
04 Switch(config)# aaa authorization network group
radius
05 Switch(config)# dot1x system‐auth‐control
06 Switch(config)# radius‐server host 10.1.1.1 key G@
nZgeHe!m
07 Switch(config)# interface fastethernet0/1
08 Switch(config‐if)# switchport mode access
09 Switch(config‐if)# dot1x port‐control auto
10 Switch(config‐if)# end
Abbildung 4: Konfiguration des NAP-Clients über Gruppenrichtlinien.
wird im MMC-Snap-In NAP-Clientkonfiguration
aktiviert – für 802.1X ist dies
der EAP-Quarantäneerzwingungsclient.
Unter Windows XP SP3 existiert das
Snap-In noch nicht, dort müssen Sie den
Erzwingungsclient über Gruppenrichtlinien
aktivieren. Dazu erstellen Sie optimalerweise
ein eigenes Group Policy
Object (GPO) und verknüpfen es mit der
Domäne beziehungsweise mit der OU,
die die mobilen Geräte enthält. Die NAP-
Konfiguration findet sich im GPO unter
»Computerkonfiguration | Richtlinien |
Windows‐Einstellungen | Sicherheitseinstellungen
| Netzwerkzugriffsschutz«.
In diesem Zusammenhang können Sie
auch die Dienste über das GPO konfigurieren.
Ob der gewünschte Erzwingungsclient
aktiviert wurde, zeigt der Befehl
»netsh nap client show state«.
Des Weiteren muss der Starttyp des
Dienstes »Automatische Konfiguration
(verkabelt)« auf automatisch stehen und
der Dienst aktiv sein. Das ermöglicht die
802.1X-Funktionalität. Ein entsprechendes
Register namens »Authentifizierung«
ist nun im Konfigurationsdialogfenster
des Netzwerkadapters verfügbar. Hier
aktivieren Sie 802.1X und stellen sicher,
dass die Methode für die Netzwerkauthentifzierung
auf »Microsoft: Geschütztes
EAP (PEAP)« eingestellt ist. In den
zusätzlichen Einstellungen dieses Dialogfensters
wird die Computerauthentifizierung
aktiviert, um das Zertifikat des
Netzwerkrichtlinienservers als Verschlüs-
Abbildung 5: Die RADIUS-Attribute für das VLAN, das unbeschränkten Zugriff erlaubt.
24 Ausgabe 03-2012 Admin www.admin-magazin.de

NAP mit 802.1X
Netzwerk
selungsschlüssel zu verwenden. Weitere
Informationen hierzu finden Sie im Abschnitt
der Server-Konfiguration weiter
unten in diesem Artikel.
Die Switch-Konfiguration
Die 802.1X-Konfiguration des Switches
hängt vom Hersteller und vom Modell
ab. Die meisten managed Switches im
Unternehmensumfeld sind inzwischen
auch 802.1X-fähig. Hierzu ist übrigens
keine Layer-3-Funktionalität erforderlich.
Die in Listing 1 gezeigte Konfiguration
gilt für gängige Cisco-Catalyst-Switches,
wobei die Konfiguration auf einem HP-
Procurve-Switch recht ähnlich ist. In
jedem Fall geht es darum, 802.1X zu aktivieren,
den Authentication Server zu
definieren und festzulegen, auf welchen
Switchports 802.1X-Authentifizierung
(beziehungsweise Network Access Protection)
stattfinden soll.
Hierzu muss auf einem Catalyst-Switch
zunächst die Zugriffskontrolle über »aaa
new‐model« aktiviert werden. Im Anschluss
legen Sie fest, dass er für 802.1X
der beziehungsweise die weiter unten
im Beispiellisting konfigurierten RADIUS-
Server verwenden soll. Die VLAN-Zuweisung
nimmt der Befehl »aaa authorization
network network group radius« vor.
Der Befehl »dot1x system‐auth‐control«
aktiviert die portbasierte Zugriffsüberwachung
auf dem Switch. Nun müssen Sie
nur noch für jeden gewünschten Switchport
festlegen, dass es sich um einen
Access-Port mit 802.1X-Portüberwachung
handelt, wie im Beispiel beim Port »Fastethernet0/1«.
Die Serverseite
Der NAP-Assistent führt durch die wichtigsten
Konfigurationsschritte und reduziert
somit die Komplexität erheblich.
Er befindet sich auf der Hauptseite der
Verwaltungskonsole des Netzwerkrichtlinienservers
und verbirgt sich hinter
»NAP konfigurieren«. Dort wählen Sie
als Netzwerkverbindungsmethode den
Punkt »IEEE 802.1X (verkabelt)« aus
dem Drop-down-Menü aus. Im nächsten
Dialogfenster können Sie einen RADIUS-
Client auswählen oder einen neuen erstellen
– beachten Sie, dass der RADIUS-
Client nicht das Endgerät, sondern der
Switch ist! Der gemeinsame geheime
Schlüssel (Shared Secret) muss mit dem
Key auf dem Switch übereinstimmen, im
Beispiel also »G@nZgeHe!m«. Optional
können Sie Benutzer- und Computergruppen
für den Zugriff festlegen, jedoch
ist dies nur selten notwendig, daher kann
dieser Punkt übersprungen werden.
Auf der nächsten Seite des Assistenten
legen Sie das Server-Zertifikat fest, mit
Kompatibel:
Client besteht alle
Systemintegritätsprüfungen
Vollzugriff
Client fordert Zugriff an.
NAP-Agent übermittelt
Statement of Health (SoH)
Authenticator (Switch o.ä.)
leitet Anforderung weiter.
Integritätsrichtlinien
Verbindungsanforderungsrichtlinie:
Anforderung erlaubt?-
Systemintegritätsüberprüfungen:
Firewall aktiviert?
Virenschutz aktiviert?
Virenschutz aktuell?
Updates installiert?
Dreh- und Angelpunkt von NAP ist der
Netzwerkrichtlinienserver (Network Policy
Server, NPS). Diese Rolle müssen Sie
zunächst über den Servermanager hinzufügen.
Der entsprechende Rollendienst
verbirgt sich hinter dem etwas sperrigen
Namen »Netzwerkrichtlinien- und Zugriffsdienste«.
Im Anschluss können Sie
verschiedene Richtlinien erstellen, um
den Network Policy Server als RADIUS-
Server für 802.1X im Zusammenspiel mit
NAP zu konfigurieren. Glücklicherweise
müssen Sie das nicht alles manuell erledigen.
dem sich der NPS beim NAP-Client authentifiziert.
Darüber hinaus kann der
NAP-Client mithilfe des übermittelten öffentlichen
Schlüssels die zu übertragenden
Informationen verschlüsseln. Stellen
Sie sicher, dass hier die Option »Sicheres
Kennwort (PEAP‐MS‐CHAPv2)« aktiviert
ist. Es ist wichtig, dass der Client diesem
Zertifikat vertraut. Im besten Fall handelt
es sich um Zertifikat aus einer eigenen
Organisationszertifizierungsstelle, die
dem Client als Domänenmitglied durch
Active Directory ohnehin vertraut ist.
Das nächste Dialogfenster wurde in Windows
Server 2008 R2 umbenannt und
heißt nun »Datensteuerungselemente
konfigurieren« (das englische Original
»Configure Traffic Controls« klingt da
deutlich griffiger). In jedem Fall können
Sie hier die VLAN-Zuordnung vornehmen.
Hierzu stehen die beiden Bereiche
»Netzwerkvollzugriff« und »Eingeschränkter
Netzwerkzugriff« zur Verfügung.
Das Vorgehen ist in beiden Fällen
Ja
Nein
Anforderung wird
abgelehnt
Nicht kompatibel:
Client besteht mindestens eine
Systemintegritäts-Prüfung nicht.
Eingeschränkter
Zugriff
Abbildung 6: Clients, die die Sicherheitsanforderungen nicht erfüllen, werden ins Wartungsnetz gesteckt.
www.admin-magazin.de
Admin
Ausgabe 03-2012
25

Netzwerk
NAP mit 802.1X
prinzipiell gleich, daher im Folgenden
nur die Anleitung für den Netzwerkvollzugriff.
Die festzulegenden Attribute
sind durch einen entsprechenden RFC
[2] vorgegeben.
Abschluss
Hinter dem Button »Konfigurieren«
wählen Sie als Tunnel-Typ Virtual LANs
(VLAN) aus (Abbildung 5). Den Tunnel-
Medium-Typ stellen Sie auf 802 ein. Die
Tunnel-PVT-Group-ID legt das VLAN fest.
Hier geben Sie als Wert das gewünschte
VLAN für den Vollzugriff ein, zum Beispiel
100 für VLAN 100. Unter Tunnel-
Assignment-ID geben Sie 1 ein, um eine
Tunnel-Sitzungs-ID festzulegen. Die gleichen
Einstellungen müssen Sie nun auch
für den eingeschränkten Netzwerkzugriff
konfigurieren, also das VLAN des isolierten
Wartungsnetzwerks (zum Beispiel
VLAN 200).
Die nächste Dialogseite legt die Integritätsrichtlinie
und die zu verwendende(n)
Systemintegritätsprüfung(en) fest. Standardmäßig
erscheint hier nur die Windows-Integritätsprüfung,
deren Einstellungen
weiter unten besprochen werden.
Prinzipiell ist es Software-Herstellern aber
möglich, hier eigene Integritätsprüfungen
zu hinterlegen. In jedem Fall müssen
Sie festlegen, wie Sie nicht NAP-fähige
Clients behandeln wollen – standardmäßig
wird diesen nur der eingeschränkte
Zugriff auf das Wartungsnetz erlaubt
(Abbildung 6). Im Anschluss zeigt der
Assistent, dass insgesamt sechs Richtlinien
erstellt werden, die das Verhalten
des NPS festlegen.
Der NAP-Assistent hat seinen Job getan,
ein letztes Zahnrädchen fehlt jedoch
noch: die sogenannte Systemintegritätsprüfung
(Englisch: System Health Validator,
SHV). Zwar wird darauf bereits
in den Integritätsrichtlinien verwiesen,
jedoch ist bisher noch nichts festgelegt.
Um das nachzuholen, öffnen Sie in der
NPS-Konsole unter »Netzwerkzugriffsschutz
| Systemintegritätsprüfungen
| Windows‐Sicherheitsintegritätsverifizierung
| Einstellungen« das Objekt
»Standard«. Hier können Sie – getrennt
für Windows XP und Windows7/​Vista
– diverse Anforderungen vorgeben, die
ein Client erfüllen muss. Hierzu zählen
Firewall-Einstellungen, Antivirensoftware
und so weiter (Abbildung 7).
Anschließend ist das System startklar.
Clients, die über einen mit 802.1X geschützten
Port angebunden werden, müssen
ab sofort die Integritätsprüfungen
durchlaufen, worauf entschieden wird, in
welchen VLAN sie landen. Ein Benutzer
erhält eine entsprechende Rückmeldung
über ein Infofenster, ob das System Vollzugriff
erhält oder eingeschränkt wird.
Darüber hinaus zeigen »ipconfig /all« wie
auch »netsh nap client show state« an, ob
der Zugriff eingeschränkt ist oder nicht.
NAP erleichtert dem Administrator die
Einhaltung von Sicherheitsstandards im
Netzwerk. Insbesondere mobile und externe
Clients, die häufig die Netzwerke
wechseln, sind ohne NAP nur schwer zu
überwachen. NAP ermöglicht die Zutrittskontrolle
über verschiedene Eingänge.
Hierzu zählen DHCP, VPN und IPSec,
Remote Desktop-Dienste und 802.1Xportbasierter
Zugriffsschutz. Letzterer
kann für kabellose (WLAN-) und kabelgebundene
Netzwerke verwendet werden
und hat den Vorteil, dass bereits bei der
physischen Verbindung mit dem Netzwerk
eine Kontrolle stattfindet.
Restrisiko
Der Administrator muss sich jedoch darüber
im Klaren sein, dass NAP keinen
umfassenden Schutz vor Angriffen bietet.
Da die Clients Informationen senden, die
auch gefälscht sein könnten, dient das
Konzept der Network Access Protection
eher zur Vermeidung unbeabsichtigter
Schadensszenarien und schützt weniger
gegen böswillige Angriffsversuche durch
Hacker.
Die Möglichkeiten von NAP gehen jedoch
weit über das hier gezeigte einfache Beispiel
hinaus, sodass jeder Administrator
eines Netzwerks mit hohem Schutzbedürfnis
über den Einsatz von NAP nachdenken
sollte. Microsoft stellt verschiedene
Step-by-Step Guides bereit, um NAP
im Testnetz zu konfigurieren [3]. (ofr)n
Infos
[1] IEEE 802.1X: [http:// standards. ieee. org/​
getieee802/ download/ 802. 1X‐2004. pdf]
[2] RFC 2868 (RADIUS Tunnel Authentication
Attributes): [http:// www. ietf. org/ rfc/​
rfc2868. txt]
[3] Der Step-by-Step Guide für NAP 802.1X:
[http:// www. microsoft. com/ download/ en/​
details. aspx? displaylang=en& id=733]
Abbildung 7: Hier kann der Administrator eingeben, welche Sicherheitskriterien die beteiligten Clients
erfüllen müssen.
Der Autor
Eric Amberg ist Geschäftsführer der ATRACON
GmbH ([http:// www. atracon. de]), seit vielen
Jahren im Bereich IT-Infrastruktur als Trainer
und Consultant tätig und verfügt über langjährige
Projekterfahrung. Sein
besonderer Fokus liegt auf
Netzwerk-Themen. In seinen
Seminaren legt er großen
Wert auf eine praxisnahe
Schulung.
26 Ausgabe 03-2012 Admin www.admin-magazin.de

CLEVER KOMBINIERT!
Premium Server + Symantec S S L- Z e r t i fi k a t
Leistungsstark! Sicher! Günstig!
Jetzt 4 Wochen unverbindlich testen!
Inkl. Symantec Secure Site SSL -Zertifikat!
VIRTUAL DEDICATED SERVER
» 4 GB RAM
» 100 GB Speicherplatz
» Root-Zugriff
» Parallels
® Plesk
» Hostingsystem von Dell
®
Regulär: 49,-
39,-
EUR / Monat*
DEDICATED SERVER
» Intel ® Xeon ® E3-1260L
» 4 Cores mit je 2,4 GHz
» 8 GB RAM
» 2 x 600 GB SAS HDD
» Dell
® PowerEdge R210 II
EUR / Monat*
Nur bei InterNetX GRATIS!
» Symantec SSL Secure Site
› Malware Scan
› Trust Seal
› Seal-in-Search
› Bis 256-Bit-Verschlüsselung
» Domain-, Server- & SSL -
Management-Tools
Regulär:
Regulär: 129,-
79,-
299,-
0,-
Zu jedem Server
einmalig*
Klickrate in Suchmaschinen maximieren
Durch Seal-in-Search wird in
Suchmaschinen-Einträgen
Trust Seal angezeigt.
Mehr Bestellungen, mehr Kundenanfragen
Zeigen Sie Ihren Kunden,
dass Ihr Unternehmen durch
Trust Seal verifiziert ist.
Security Scan Ihres Servers
Präventivschutz! Prüfen Sie Ihren Server mit
Vulnerability Assessment* auf Schwachstellen.
Vertrauenswürdige Webseite
Der Malware Scan garantiert Ihren Kunden eine
sichere Website – frei von Schad-Software.
Jetzt informieren
und bestellen:
www.internetx.com
+49 (0) 941 / 59 559-483
Unser Partner
*Alle Preise richten sich nur an Gewerbetreibende und verstehen sich zzgl. gesetzlicher MwSt. Bei allen Angeboten sind das Symantec Secure Site SSL-Zertifikat für 12 Monate gratis und
500 GB Traffic/Monat inklusive. Je nach Nutzung fallen weitere Traffic-Gebühren ab 0,29 €/GB an. Der Testzeitraum beträgt 28 Kalendertage nach Bereitstellung und ist begrenzt auf einen Test
pro Kunden. Vulnerability Assessment ist erhältlich ab Symantec Secure Site Pro. Virtual Dedicated Server: 39,- €/Monat. Mindestvertragslaufzeit 12 Monate. Keine Einrichtungsgebühr.
Dedicated Server: 79,- €/Monat. Mindestvertragslaufzeit 24 Monate. Einmalige Einrichtungsgebühr 79,- €. Nur solange der Vorrat reicht. Die Abbildung des Servers ist symbolisch.

Netzwerk
VLANs
© Stef Bennett, 123RF
VLAN-Grundlagen
Getrennte Wege
Oft reicht ein kleiner Fehler, um ein ganzes Netzwerk lahmzulegen. Ein unbedacht installierter DHCP-Server
streut plötzlich falsche Adressen, und der Verkehr kommt zum Erliegen. Virtuelle Netzwerke (VLANs) schützen
vor solchen und ähnlichen Katastrophen. Werner Fischer
Listing 1: Ethernet-Konfiguration
01 auto eth0.1001
02 iface eth0.1001 inet static
03 address 10.0.1.1
04 netmask 255.255.255.0
05 vlan‐raw‐device eth0
Probleme wie das mit dem unabsichtlich
mitinstallierten DHCP-Server sind nicht
neu, und ähnliche Ursachen gibt es viele.
Jemand vertauscht irrtümlich IP-Adresse
und Adresse des Standardgateways oder
koppelt zwei Switches mit einem zweiten
Kabel, was eine Schleife erzeugt. Oder
jemand verbindet zwei Ports eines Patchpanels,
die beide zum gleichen Switch
führen. Teurere Switches können solche
Probleme zwar erkennen, doch längst
nicht alle Geräte haben derartige Funktionen.
Die Folgen sind fatal – das Netzwerk
steht komplett. Alle hier beschriebenen
Probleme haben Auswirkungen auf alle
Rechner im gesamten Netzwerksegment.
Eine Unterteilung in mehrere kleinere
Segmente mit jeweils eigenen Broadcast-
Domänen vermindert die Anzahl der
potenziell betroffenen Systeme. Sie erleichtert
damit auch die Fehlersuche. Außerdem
gehören bestimmte Traffic-Typen
wie iSCSI oder VOIP sowohl aus Sicherheits-
als auch aus Stabilitätsgründen in
eigene Netze.
Netzwerk unterteilen
Das folgende Beispiel illustriert die Aufteilung
auf zwei Netzwerke und veranschaulicht
die Vorteile von VLANs. Ein
Netzwerk wird dabei für die Abteilung
Marketing eingerichtet, ein weiteres für
die Abteilung Vertrieb. Je nach verwendetem
Switch-Typ gibt es zwei Möglichkeiten
zur Einrichtung der beiden Netzwerke:
n Unmanaged Switch: Derartige Switches
können nicht konfiguriert werden. Sie
bieten keine aktive Unterstützung von
VLANs. Daher wären in diesem Fall
zwei Switches erforderlich, um das
bestehende Netzwerk auf zwei Netze
aufzuteilen.
n Managed Switch: Diese Switches
bieten meist mehrere Konfigurationsoptionen,
darunter Unterstützung
für VLANs, Spanning Tree und Link
Aggregation. Diese Switches werden
mit einer eigenen IP-Adresse versehen
und können über diese per Webbrowser
verwaltet werden.
Der Einsatz von VLANs erfordert die
letztgenannten Managed Switches. Wenn
eine Kommunikation zwischen den beiden
aufgeteilten Netzen möglich sein soll,
muss dazu ein Router an beide Netze
angeschlossen werden. Teurere Managed
Switches (sogenannte Layer-3-Switche)
haben eine solche Routing-Funktionalität
direkt eingebaut. Broadcasts und Multicasts
bleiben aber trotz Router im jeweiligen
Netz und werden nicht geroutet. Man
kann damit also von einem PC aus dem
Marketing-LAN auf einen Fileserver im
Vertriebs-LAN zugreifen (Unicast). Ein
DHCP-Request (Broadcast) wird vom
Router aber nicht in das benachbarte
Netz weitergeleitet.
Portbasierte VLANs
Mit portbasierten VLANs wird ein Managed
Switch virtuell auf mehrere Switches
aufgeteilt. Jedes VLAN wird mit einer
VLAN-ID zwischen 1 und 4094 gekennzeichnet,
wobei die VLAN-ID 1 als Stan-
28 Ausgabe 03-2012 Admin www.admin-magazin.de

VLANs
Netzwerk
Abbildung 1: VLAN-IDs können direkt am Switch erstellt und dort mit einem
Namen versehen werden.
dard-VLAN (Default VLAN) Verwendung
findet. Im Auslieferungszustand sind alle
Ports eines Managed Switch dem Standard-VLAN
zugeordnet, er funktioniert
damit quasi wie ein normaler Switch
ohne VLANs. Die IP-Adresse des Switches
ist in der Regel ausschließlich über
Ports erreichbar, die diesem VLAN fix
zugeordnet sind. Im Beispiel wird die
VLAN-ID 1001 für LAN Marketing und
Marketing
PC 1
Marketing
PC 1
Mark.
PC 2
Mark.
PC 2
Vertrieb
PC 1
1 2 3 4 5 6 7
19
10 11 12 13 14 15
Vertrieb
PC 1
1 2 3 4 5 6 7
19
10 11 12 13 14 15
Vertrieb
PC 2
8
16
Vertrieb
PC 2
1002 für LAN Vertrieb
verwendet.
Die VLANs können
in der Weboberfläche
des Switches
definiert werden
(Abbildung 1). Im
Beispiel sind dem
VLAN 1001 die
Ports 1 bis 4 und
dem VLAN 1002
die Ports 5 bis 8
zugewiesen (Abbildung
2). Die
Ethernet Frames
(Netzwerkpakete)
werden in diesem
Modus nicht gesondert
gekennzeichnet.
Der
Switch weiß aufgrund
der Nummer
des Ports auf
dem er einen Frame erhält, zu welchem
VLAN er diesen Frame zuordnen muss.
Man spricht bei portbasierten VLANs
daher oft auch von Untagged VLANs, da
die Ethernet Frames nicht mit einem Tag
versehen werden.
Portbasierte VLANs kommen vor allem
bei kleinen Installationen zum Einsatz.
Aber auch in größeren Umgebungen werden
portbasierte VLANs verwendet, dort
Marketing
PC 3
Marketing
PC 3
Mark.
PC 4
Mark.
PC 4
Vertrieb
PC 3
8 1 2 3 4 5 6 7
Vertrieb
PC 4
16 19
10 11 12 13 14 15 16
tagged VLANs 1001 und 1002
Vertrieb
PC 3
1 2 3 4 5 6 7
19
10 11 12 13 14 15
Vertrieb
PC 4
Abbildung 3: VLANs können sich über mehrere Switches erstrecken. Ohne Tagging braucht es aber pro VLAN
ein eigenes Kabel.
Abbildung 4: VLANs über mehrere Switches mit nur einer Verbindung: Tagged VLANs machen dies möglich.
8
16
8
Marketing
PC 1
Mark.
PC 2
1 2 3 4 5 6 7
aber zumeist mit Tagged VLANs kombiniert.
Wird etwa die Firma in unserem
Beispiel um ein Stockwerk erweitert,
können mit einem zusätzlichen Switch
auch in diesem Stockwerk Rechner sowohl
an das VLAN 1001 als auch an das
VLAN 1002 angeschlossen werden. Mit
ausschließlich portbasierten VLANs sind
dazu aber zwei Kabel erforderlich (Abbildung
3). Ein einzelnes Kabel reicht
nur, wenn für die Verbindung der beiden
Switches ein Tagged VLAN konfiguriert
wird.
Tagged VLANs
Vertrieb
PC 1
19
10 11 12 13 14 15
Vertrieb
PC 2
Abbildung 2: Einfache VLAN-Konfiguration: Der
Switch wird auf drei VLANs aufgeteilt, die grau
dargestellten Ports verbleiben im Standard VLAN 1.
Tagged VLANs arbeiten im Gegensatz zu
Untagged VLANs nicht Port-basiert, sondern
Frame-basiert. Es wird dabei ein Port
nicht mehr nur einem einzelnen, sondern
mehreren VLANs zugeordnet. Damit der
Switch weiß, zu welchem VLAN ein
Ethernet Frame gehört, bekommt jedes
Frame ein sogenanntes VLAN-Tag. Der
Ausdruck Tag kommt aus dem Englischen
und bedeutet Anhängeschild. Genauso
wie Kleider Preisschilder angehängt bekommen,
werden den Ethernetframes
VLAN-Schildchen verpasst. Der große
Vorteil: Für die Verbindung der beiden
Switches aus unserem Beispiel reicht nun
ein einzelnes Kabel (Abbildung 4).
Der Netzwerkport 16 wird als Tagged
Member beiden VLANs zugewiesen (Abbildung
5). Untagged und Tagged VLANs
lassen sich so also ohne Weiteres kombinieren.
Kommt jetzt ein mit einem VLAN-
Tag versehener Ethernet Frame am Port
16 an, dann entfernt der Switch das Tag
bevor er den Frame auf einem passenden
Untagged Port des VLANs zum Zielrechner
weiterschickt. Viele Switches bieten
neben der Option einen Port mehreren
8
16
www.admin-magazin.de
Admin
Ausgabe 03-2012
29

Netzwerk
VLANs
Tabelle 1: PCP-Netzwerkprioritäten
PCP-Priorität Kürzel
Traffic-
Eigenschaften
Beschreibung
1 0 (niedrigste) BK Hintergrund (Background)
0 1 BE Best Effort
2 2 EE Excellent Effort
3 3 CA Kritische Anwendungen (Critical Applications)
4 4 VI Video, < 100 ms Verzögerung (Video)
5 5 VO Sprache, < 10 ms Verzögerung (Voice)
6 6 IC Internetwork Control
7 7 (höchste) NC Network Control
Tagged VLANs zuzuordnen auch gleich
die Option VLAN Trunk an. Ein solcher
Port leitet Tagged VLAN Frames für alle
VLAN IDs weiter.
Wie VLAN-Tags im Detail aufgebaut sind,
beschreibt der IEEE Standard 802.1Q
[1] (Abbildung 6). VLAN Tags waren
in Ethernet Frames ursprünglich nicht
vorgesehen. Deshalb wurde nachträglich
der Ethernet-Typ mit dem hexadezimalen
Wert 0x8100 definiert. Der besagt, dass
der eigentliche Ethernet-Typ vier Bytes
später definiert wird und davor Informationen
zur Priorität des Frames und zur
VLAN ID kommen. Welche Prioritätsstufen
(PCPs) es gibt, zeigt Tabelle 1.
Dem PCP folgt der Canonical Format Indicator
(CFI). Dieses Bit sorgt für Kompatibilität
zwischen Ethernet und Token
Ring und ist in der Regel Null. Die verbleibenden
zwölf Bits vor dem Ethernet-
Typ definieren die VLAN ID.
Tagged VLANs lassen sich aber nicht nur
zwischen Switches einsetzen. Auch Betriebssysteme
wie Linux oder Windows
und Virtualisierungslösungen wie VMware
vSphere unterstützen grundsätzlich
Tagged VLANs. Damit können sie mit mit
einer physischen Netzwerkverbindung an
mehrere VLANs angeschlossen werden,
was vor allem bei Bladeservern praktisch
ist. Dort ist die Anzahl an möglichen
Netzwerkkarten meist auf vier Stück pro
Servereinschub limitiert. Dank Tagged
VLANs können aber auch solche Server
problemlos an weitaus mehr Netzwerke
angeschlossen werden.
Linux
Linux bringt alle notwendigen Komponenten
für Tagged VLANs von Haus aus
mit. Das Modul 8021q sorgt für die Kernel
Unterstützung, ein Userspace-Tool
(»vconfig«) ermöglicht die Konfiguration
auf der Kommandozeile. Unter Ubuntu
wird das Tool mit »sudo apt‐get install
vlan« installiert, das Modul mit »sudo
modprobe 8021q« geladen. Ein anschließendes
»sudo vconfig add eth0 1001«
erzeugt das Netzwerkgerät eth0.1001,
das für das VLAN mit der ID 1001 getaggt
wird. Der Befehl »sudo ip addr add
10.0.1.1/24 dev eth0.1001« setzt die IP
Adresse für dieses Gerät.
Damit die Einstellungen permanent gespeichert
werden, wird das Modul 8021q
in der Datei »/etc/​modules« eingetragen.
Den erforderlichen Eintrag für die IP Kon-
Abbildung 5: VLAN 1001 und 1002 haben den Port 16 als Tagged Member.
TPI (Tag Protocol ID),
da dass VLAN Tag optional ist, kennzeichnet
TPI = 8100 (Hex) ein Ethernet Frame
als IEEE 802.1Q-tagged Frame
(Ethertype 8100 (Hex))
01 0 0 0 0 0 0 01 0 0 0 0 0 0 0 0
PCP
(Priorität)
CFI
TCI (Tag Control ID)
VLAN ID,
hier 1001 (Dezimal)
0 0 0 0 0 0 01 01 01 01 01 0 01 0 0 01
81 (Hex) 0
00 (Hex) 0
03 (Hex) 0
E9 (Hex) 0
55 55 55 55 55 55 55 D5 00 1F 16 11 22 33 00 1F 16 44 55 66 81 00 03 E9 08 00 ... ...
Präambel
Ziel MAC
Adresse
Quell MAC
Adresse
VLAN Tag
(optional)
Typ Daten
(0 - 1500 Byte)
SFD
FCS
(32-bit CRC)
Ethernet Frame
Abbildung 6: Schematischer Aufbau eines Ethernet Frames: Das Feld »VLAN Tag« enthält die ID desjenigen
VLANs, zu dem dieses Frame gehört.
Abbildung 7: Unter Windows kommt die Unterstützung
von Tagged VLANs vom Treiber der Netzwerkkarte.
30 Ausgabe 03-2012 Admin www.admin-magazin.de

figuration in »/etc/network/
interfaces« zeigt Listing 1.
Windows
Unter Windows kommt die
Funktionalität für Tagged
VLANs vom Treiber der Netzwerkkarte.
Ob Tagged VLANs
unterstützt werden, hängt von
der jeweiligen Netzwerkkarte
ab, ebenso die konkrete Konfiguration.
Abbildung 7 zeigt
als Beispiel die VLAN Konfiguration
eines Intel 82577LM
Netzwerkchips.
Abbildung 8: Die virtuellen VMware vSwitches unterstützen
portbasierte und Tagged VLANs.
VMware
Bei VMware ist wie bei Linux die Unterstützung
von Tagged VLANs unabhängig
vom Netzwerkkartentreiber. Virtuelle
Server lassen sich problemlos mit unterschiedlichen
VLANs verbinden, auch
wenn die Kommunikation nach außen
über eine einzelne Netzwerkkarte per
Tagged VLAN zum physischen Switch
erfolgt. Der Administrator legt dazu
mehrere Portgruppen am betroffenen
vSwitch an. Jede Portgruppe wird einem
bestimmten VLAN zugeordnet. In diesem
Fall funktionieren die einzelnen virtuellen
Ports der Portgruppe wie Untagged
VLANs eines physischen Switches: Der
dahinter liegende (virtuelle) Rechner ist
fix mit dem konfigurierten VLAN verbunden
und sieht auf den übertragenen
Ethernet Frames keine VLAN Tags.
VMware unterstützt daneben auch den
Betrieb von virtuellen Maschinen, die
selbst das Tagging übernehmen (Abbildung
8).
Sicherheit
Doch wie sieht es mit der Sicherheit von
VLANs aus? Die hängt hauptsächlich von
einer sauberen Konfiguration ab:
n Nicht belegte Switch-Ports soll man
einem ungenutzten VLAN zuordnen
und deaktivieren.
n Aktive Switch-Ports, an denen Endgeräte
angeschlossen sind, werden
entweder nur einem Untagged VLAN
zugeordnet oder nur jenen Tagged
VLANs, die wirklich nötig sind. Keinesfalls
werden Endgeräte an Switch-
Ports angeschlossen, die als Trunk
konfiguriert sind. Ein Angreifer könnte
sonst von einem solchen Endgerät aus
mit allen VLANs kommunizieren.
n Die Unterstützung von dynamischen
VLAN Konfigurationen per Multiple
VLAN Registration Protocol (MVRP)
oder früher GARP VLAN Registration
Protocol ist in kleinen und mittleren
Umgebungen selten erforderlich. Falls
der Switch diese Protokolle unterstützt,
werden sie daher deaktiviert.
n Das Standard VLAN mit der VLAN-ID
1 wird ausschließlich zur Konfiguration
verwendet und der Switch mit
einem sicheren Passwort geschützt.
Neben diesen Sicherheitsmaßnahmen
bieten viele Switches Einstellungen für
erhöhte Netzwerksicherheit. Beispiele
sind Switch-Port Security zur Eingrenzung
von erlaubten MAC-Adressen an
einem Port oder Ingress Filtering zum
Verwerfen von Tagged Frames, deren
VLAN IDs nicht zu den VLANs gehören,
die auf einem Port konfiguriert sind. Ein
Blick in das Handbuch lohnt. (jcb) n
Infos
[1] Media Access Control (MAC) Bridges and
Virtual Bridge Local Area Networks [http://​
standards. ieee. org/ getieee802/ download/​
802. 1Q‐2011. pdf]
Der Autor
Werner Fischer ist seit 2005 Technology Specialist
bei der Thomas-Krenn.AG und Chefredakteur
des Thomas Krenn Wikis. Seine Schwerpunkte
sind Hardware-Monitoring, Virtualisierung, I/​O-
Performance und Hochverfügbarkeit.
MAGAZIN
www.admin-magazin.de
Ausgabe 03-2012
31

1&1 WEBHOSTING
UNENDLICHE MÖGLICHKEIT
PERSÖNLICHER
ANSPRECH-
PARTNER!
MAXIMALE
SICHERHEIT
■ Georedundanter Betrieb –
parallel in räumlich getrennten
Hochleistungs-Rechenzentren
in Deutschland
■ Maximale Verfügbarkeit
MODERNSTE
TECHNIK
■ Über 275 Gbit/s Außenanbindung
■ 9.000 TeraByte monatliches
Transfervolumen
■ Perfekte Entwicklungsumgebung
■ Mehr als 70.000 Hightech-Server
im Parallelbetrieb
■ Hohe Innovationskraft durch
1.300 Entwickler bei 1&1
KOSTENLOSER
PLATIN-SERVICE
■ Profi-Hotline mit persönlichem
Ansprechpartner, über kostenlose
0800-Nummer jeden Tag und
rund um die Uhr erreichbar
* 1&1 Dual Unlimited 6 Monate 0,– €/Monat, danach 29,99 €/Monat. Einmalige Einrichtungsgebühr 14,90 € (entfällt bei .de Domain). 12 Monate Mindestvertragslaufzeit. Preise inkl. MwSt.

EN FÜR IHRE PROFI-WEBSITE!
■ UNLIMITED Webspace
■ UNLIMITED Traffic
■ UNLIMITED E-Mail Postfächer
■ UNLIMITED FTP-Zugänge
■ UNLIMITED MySQL-Datenbanken (je 1 GB)
■ UNLIMITED Click&Build Applications
■ UNLIMITED Subdomains
■ 12 Inklusiv-Domains
■ PHP, Zend Framework, Perl, Python, Ruby, SSI,
Versionsmanagement (git)
■ NetObjects Fusion ® 1&1 Edition oder
Adobe Dreamweaver ® CS4
■ NEU: Facebook Credits in Höhe von 30,– €
■ 24/7 Platin-Service
1&1 DUAL UNLIMITED
6 MONATE FÜR
danach
0,–€/Monat,
29,99 €/Monat*
.DE
DOMAIN
0, 29
Keine Einrichtungsgebühr!
1 JAHR NUR
€/Monat*
Im 2. Jahr 0,49 €/Monat
Weitere Sparangebote auf unserer Website.
Jetzt informieren
und bestellen:
0 26 02 / 96 91
0800 / 100 668
www.1und1.info

Storage
NAS-Test
© Kevin Penhallow, Fotolia
NAS-Filer von vier bis 40 TByte im Vergleich
Ablagesysteme
Wer dem direkt angeschlossenen Speicher entwachsen ist und etwas Skalierbareres und Flexibleres sucht, aber
auch keine Riesensummen in ein SAN investieren will oder kann, der landet sehr oft bei einem NAS-Speicher. Das
ADMIN-Magazin hat eine breite Palette dieser Filer getestet. Jens-Christoph Brendel, Michael Kromer, Georg Schönberger, Michael Streb
Bei diesem Test hatten wir kleinere bis
mittelgroße Anwendergruppen im Hinterkopf,
angefangen von einer größeren
Arbeitsgruppe oder Außenstelle bis zum
kleineren Mittelständler. Entsprechend
haben wir uns Geräte von vier bis etwa
40 TByte Speicherplatz ausgesucht (von
denen sich einige mit externen Erweiterungen
allerdings bis weit über 100 TByte
aufrüsten lassen, Tabelle 1). In diesem
Limit haben wir eine bunte Mischung
angestrebt, die vielen etwas zu bieten hat
und zu jedem Budget passt: Die Testgeräte
kosteten zwischen 500 und 50 000
Euro. In jedem Fall waren wir bemüht,
die jeweiligen Stärken und Schwächen
der Geräte abzuwägen und zu verdeutlichen,
wann dieses oder jenes infrage
kommen könnte.
Neben den Geräten, die wir schließlich
in den Test aufgenommen haben, hatten
wir auch Modelle der Hersteller EMC
und Dell angefragt. Dell hatte zuerst
Sorge, womöglich das einzige Gerät mit
Windows-Betriebssystem bereitzustellen,
redete sich aber am Ende nicht auf sein
angeknackstes Selbstbewusstsein heraus,
sondern darauf, man habe kein Testgerät
zur Verfügung. Dasselbe Problem hatte
angeblich EMC. Wie dem auch sei, die
bereitwilligen Teilnehmer stecken auch
so ein breites und einigermaßen repräsentatives
Feld ab.
E IBM NAS 3300 A20
IBMs Filer bringt kein eigens für ihn
entwickeltes Betriebssystem mit, sondern
nutzt Data Ontap von NetApp in
der Version 7.3.5. Die Software ist auf
Netzwerkspeicher zugeschnitten und
bringt Multiprotokollsupport, Hochverfügbarkeits-Features
oder konfigurierbare
Daten-Policies bereits mit. Bedienbar ist
sie sowohl über ein Webinterface (Abbildung
1) als auch über die Kommandozeile,
die man via SSH-Login oder über
ein serielles Terminal erreicht. Neben
CIFS und NFS unterstützt der Filer auch
WebDAV, FTP- und HTTP-Zugriffe, außerdem
lässt er sich direkt via FibreChannel
oder iSCSI als SAN-Device ansprechen.
Ein 844 Din-A4-Seiten starker Software
Guide deutet bereits an, dass die Handhabung
nicht immer trivial ist. Zumal
man über die Hardware noch einmal 370
Seiten extra lesen kann.
Apropos Web-Interface: Ein Teil der GUI-
Funktionen wird durch Java-Applets
realisiert, die sich in unserem Versuch
erst zur Mitarbeit überreden ließen,
nachdem sowohl im Browser als auch
über das Java Control Panel die Unterstützung
für TLS 1.0 deaktiviert wurde.
Wer das nicht weiß (oder wie wir vom
freundlichen IBM-Support erfährt), verliert
vermutlich etliches an Zeit. Apropos:
Unter Linux gibt es das Control Panel nur
in der Sun-Java-Implementierung, nicht
im OpenJDK.
Stöbert man am Anfang ein wenig in
den Menüs der Web-GUI, hinterlässt den
ersten nachhaltigen Eindruck ein Blick
auf »Filer | Manage Licenses«: Dort sind
über 50 (!) einzeln lizenzierbare Features
aufgelistet, angefangen beim eher
grundlegenden Protokollsupport über
fortgeschrittenere Fähigkeiten wie das
Clustern, Klonen oder Deduplizieren bis
zu hochspezialisierten Integrationsoptionen
zur Einbindung des Speichers in
34 Ausgabe 03-2012 Admin www.admin-magazin.de

NAS-Test
Storage
Oracle- oder SAP-Landschaften. Dabei
kristallisiert sich ein etwas zwiespältiges
Bild heraus: Zum einen kann man
IBMs Filer offensichtlich sehr flexibel an
viele Gegebenheiten anpassen und dem
Admin steht dabei ein reicher Fundus an
Optionen offen, zum anderen klingelt bei
jedem Feature die Kasse.
Disk-Management
Den eigentlichen Plattenspeicher organisiert
der Admin in verschiedenen Ebenen:
Das physische Fundament bilden
die Platten, die sich in RAID-Gruppen
konfigurieren lassen, die ihrerseits zu sogenannten
Plexes kombinierbar sind, die
schließlich die Bestandteile physischer
Container namens Aggregates bilden. Darüber
residieren Volumes, Qtrees (eine
Art Sub-Volumes) und Files in den logischen
Etagen.
Auf den meisten dieser Ebenen lässt
sich Redundanz als Ausfallversicherung
einsetzen: Die beiden Storage-Controller
können erforderlichenfalls jeweils die
Platten ihres Partners mitverwalten, die
RAID-Gruppen erlauben dank RAID-DP
den Ausfall zweier Disks, zudem ist ein
Spare Drive obligatorisch, die Plexes
kann man innerhalb eines Aggregates
spiegeln, Volumes und Qtrees lassen sich
replizieren (SnapMirror), das eigene,
proprietäre Filesystem WAFL (Write Anywhere
File Layout) bietet Prüfsummen
auf Blocklevel. Mit diesem Instrumenta-
rium sind Konfigurationen möglich, die
wohl so gut wie jede denkbare Panne
abzufedern vermögen.
Sicherheit und Performance
Entsprechend dem gewählten Zugangsprotokoll
kann das N 3300 die Zugriffsrechte
entweder im Windows- oder im
Unix-Stil verwalten oder beide Methoden
sogar mischen. Die Benutzer können
dafür lokal auf dem Speicher verwaltet
werden oder via Active Directory beziehungsweise
LDAP oder NIS eingebunden
werden. Hosts kennt der Filer ebenfalls
entweder aus seiner lokalen Konfiguration
oder aus dem DNS- respektive
WINS-System. Als zusätzliches Sicherheitsfeature
ist Kerberos für die Authentifizierung
nutzbar.
E Infortrend EonNAS 1100
Kurz nach dem IBM Filer erreichte die
Redaktion ein Testgerät, das für einen
deutlichen Kontrast sorgte. Zwar war es
ungefähr auf dieselbe Speicherkapazität
ausgebaut (4 TByte), zwar hielt es bei
vielen grundlegenden Software-Features
gut mit, ja es konnte sogar mit dem
Apple Filing Protokoll oder der Zeitsynchronisierung
via NTP aufwarten, die der
Bolide von IBM nicht beherrscht – aber
es kostete nur einen Bruchteil: Während
die IBM-Testkonfiguration für 53.500
Euro über die Ladentheke ging, waren
für das Infortrend EonNAS 1100 nur rund
1.200 Euro zu berappen, das ist weniger
als ein Vierzigstel.
Auf den zweiten Blick offenbart sich allerdings
schon, dass der sehr günstige Fileserver
eher auf den SMB- und SOHO-Bereich
abzielt und daher auf einige Enterprise-Features
verzichtet, die in manchen
Einsatzszenarien unabdingbar sind: So
gibt es bei ihm nur eine universelle CPU
anstelle spezialisierter Storage-Controller,
die mithin einen Single Point of Failure
bildet und genauso wenig im laufenden
Betrieb zu wechseln ist wie die Lüfter
oder das ebenfalls nicht redundante Netzteil.
Außer bei den Platten führt damit
jeder Hardwaredefekt notwendigerweise
zu einer Auszeit für den Speicher.
Nachdem wir unser Testgerät angefordert
hatten, gab Infortrend allerdings bekannt,
dass es größere Modelle derselben Serie
entwickelt (EonNAS 3000 und 5000), die
im dritten Quartal verfügbar sein sollen
und dann auch redundante Controller
haben können.
Apropos Platten: Im Infortrend EonNAS
1100 ist bei vier Platten Schluss, in das
Pendant von IBM passen zwölf plus
zwei mal 20 in Erweiterungsgehäusen.
Größter Nachteil für das kleinere System:
Bei RAID-6, das minimal vier Platten
braucht, ist so kein Spare Drive mehr
konfigurierbar. Die im IBM-Filer verbauten
SAS-Disks (Hitachi UltraStar, 15k
U/​min) sind zudem speziell auf Dauerbetrieb
ausgelegt, zuverlässiger (10fach
geringere Bitfehlerrate) und gerade bei
vielen gleichzeitigen Zugriffen auch
schneller als die günstigeren SATA-Platten
(Hitachi DeskStar, 7k U/​min) in dem
Modell von Infortrend. Allerdings sind
sie auch mindestens dreimal so teuer.
Auch Fibre-Channel-Platten, die man bei
IBM benutzen kann, passen nicht in das
kleinere Modell.
Benchmarks
Abbildung 1: Ein Status-Report des IBM-Filers. Das zugrunde liegende Betriebssystem stammt von NetApp.
Unsere Benchmarks können im vorliegenden
Fall nur Anhaltspunkte liefern,
weil sich in den zu testenden Filern
hardwarebedingt nicht überall dieselben
RAID-Level mit derselben Anzahl
gleichgroßer und gleichartiger Platten
konfigurieren ließen. Deshalb sind die
Ergebnisse nicht exakt vergleichbar, sie
liefern aber dennoch eine Vorstellung,
www.admin-magazin.de
Admin
Ausgabe 03-2012
35

Storage
NAS-Test
mit welcher Größenordnung man in der
Praxis rechnen kann.
Erstaunlicherweise erweist sich das Eon-
NAS dem IBM-Filer in den meisten Disziplinen
ebenbürtig. Beim Lesen kann das
Gerät von IBM dann aber seinen wesentlich
größeren Cache ausspielen, der auch
eine zwei GByte große Datei komplett im
RAM hält. Deshalb liest IBM bis zu dieser
Filegröße deutlich schneller.
Softwareausstattung
Bei den Basis-Features der Softwareausstattung
muss sich das Modell von Infortrend,
wie schon gesagt, ebenfalls
nicht verstecken, sondern hält gut mit
(Abbildung 2). Es beherrscht NFS (inklusive
Version 4), CIFS, AFP und FTP
als Zugriffsprotokolle und versteht sich
aufs Deduplizieren, auf Backup, Replikation
und Snapshots, kennt Benutzer aus
NIS oder LDAP, beherrscht Port Trunking
und Jumbo Frames und verwendet auf
Wunsch RAID-6. Allerdings muss das
SMB-Modell angesichts der Fülle spezieller
Optionen, mit denen IBM aufwartet,
passen – seien das Anpassungen an
spezielle BI-Software, Datenbanken oder
Virtualisierungslösungen, seien es besondere
Sicherheits- oder Management-
Möglichkeiten. Im Gegenzug ist allerdings
auch keines der Feature separat
zu bezahlen, sondern alle sind im Preis
inbegriffen.
Die Kategorien "besser" oder "schlechter"
lassen sich hier nicht ohne Weiteres
anwenden: In Einsatzfällen, in denen
notfalls auch eine kurze Downtime nach
Hardwaredefekt tolerierbar wäre und die
keine besonderen Integrationsansprüche
stellen, könnte das IBM-Modell seine
Stärken nicht ausspielen und wäre überdimensioniert
und viel zu teuer. Für eine
unternehmenskritische Anwendung, die
von sehr vielen Clients gleichzeitig beansprucht
wird, spezielle Integrationsbedürfnisse
hat und ausfallsicher sein
muss, wäre wiederum das günstige Modell
von Infortrend eine Fehlbesetzung
(siehe auch den Kasten „Die richtige
Wahl“).
E EuroStor ES-8724
Die zuerst angelieferten und oben schon
vorgestellten beiden Probanden konnte
ein Tester noch alleine aus ihrer Verpackung
heben, jetzt aber waren zwei
Mann gefragt: Das EuroStor ES-8724,
voll bestückt mit 24 Zwei-GByte-Platten,
bringt mehr auf die Waage als einer einzelnen
Wirbelsäule zuträglich ist.
Damit ist zugleich bereits ein wesentliches
Feature angedeutet, das dieses NAS-
System von Konkurrenten aus unserem
Testfeld unterscheidet: Einerseits lockt es
mit einem moderaten Preis, der ein Mehrfaches
unter den Vorstellungen von IBM
bleibt. Andererseits skaliert das EuroStor-
Abbildung 2: Die Browseroberfläche des Infortrend-Filers bietet diese Performanceübersicht.
System im Gegensatz zum Pendant von
Infortrend bis zu einer ansehnlichen Kapazität
(mit Erweiterungsgehäusen lässt
es sich bis auf 112 Platten ausbauen). In
puncto Ausfallsicherheit ordnet es sich
zwischen den beiden Mitbewerbern ein.
Mit der Redundanz des N 3300 von IBM
kann es nicht mithalten, dafür ist nicht
nur der einzelne RAID-Controller verantwortlich,
es fehlen beispielsweise auch
die Filesystem-Checksummen. Im Unterschied
zum EonNAS von Infortrend verfügt
es aber immerhin über redundante
und im laufenden Betrieb austauschbare
Netzteile und Lüfter.
Einrichten
Konfigurieren lässt sich das EuroStor
über eine Web-GUI (Abbildung 3) des
verwendeten OpenE-Betriebssystems,
hinter dem sich ein Linux-Derivat verbirgt.
Die Oberfläche wirkt eher schlicht,
ist dadurch aber auch übersichtlich und
einfach zu bedienen. Dabei setzt sie auf
einer logischen Speichereinheit auf, deren
physische Konfiguration sie nicht mit verwaltet.
Bei OpenE ist das Sache spezieller
Tools, die der RAID-Controller mitzubringen
hat. Mit ihnen werden dann zunächst
RAID-Gruppen gebildet und gegebenenfalls
Spare Drives bestimmt. Darüber
konstruiert die OpenE-Software anschließend
mithilfe des Linux-typischen Logical
Volume Managers (LVM) eine Volume
Group, Logical Volumes und schließlich
Shares, die die Clients mounten können.
Als Filesystem kommt XFS zum Einsatz,
ein bekanntermaßen stabiles und performantes
Linux-Filesystem, das allerdings
den Nachteil hat, dass es sich bei einem
Resizing der RAID-Konfiguration nicht
verkleinern lässt.
Die Konfigurationsoptionen bieten eine
solide Ausstattung, in der nur Kompression,
Verschlüsselung und Deduplizierung
fehlen. Auch Features zur Integration des
Speichers in spezielle Softwarelandschaften
gibt es nicht. Außerdem zeigt sich,
dass die Art und Weise, wie gleichnamige
Optionen bei unterschiedlichen
Herstellern realisert sind, einen deutlichen
Einfluss auf den Bedienkonmfort
haben kann. So verbergen sich hinter den
OpenE-Snapshots beim EuroStor-System
LVM-Snapshots. Die werden zwar wie
etwa die ZFS-Snapshots von Infortrend
36 Ausgabe 03-2012 Admin www.admin-magazin.de

NAS-Test
Storage
Abbildung 3: Ein Performance-Monitor in der OpenE-Web-GUI des EuroStor-Filers.
nach den Copy-On-Write-Prinzip erzeugt,
nur braucht OpenE dafür ein separates
Volume, dessen Dimensionierung zudem
sorgfältig überlegt sein will – es darf nicht
überlaufen. Davon abgesehen sind die
üblichen Features vollständig und gut
bedienbar, die Unterstützung für die Zugriffsprotokolle
umfasst neben CIFS, NFS,
FTP und HTTP auch AppleTalk.
Auf der Habenseite ist weiter zu verbuchen,
dass das Gerät von EuroStor ähnlich
wie das Gegenstück von IBM nicht
nur als NAS-System, sondern auch als
iSCSI- oder Fibre-Channel-Target eingesetzt
werden kann. Nicht die Regel sind
auch eine integrierte Anti-Virus-Software
und drei vorinstallierte Backup-Agents.
Wie nützlich diese sehr beschänkte Auswahl
in der Praxis ist, sei dahingestellt,
wer aber eines der unterstützten Backupprogramme
nutzt, der hat damit eine
Alternative zu NDMP, was das Gerät allerdings
ebenfalls beherrscht (siehe auch
einen weiteren Beitrag zu NDMP in dieser
Ausgabe).
Bei der Performance zeigt sich das Gerät
von EonStor auf Augenhöhe mit den
Mitbewerbern, das heißt beim Schreiben
großer Files schafft es knapp 100 MByte/​s
via NFS auf ein großes RAID-6-Volume in
einem Gigabit-Netz. Alles in allem bietet
sich das ES-8724 von EuroStor dem kostenbewussten
Anwender an, der höhere
Kapazitäten benötigt und größere An-
sprüche an die Ausfallsicherheit stellt, als
sie im SOHO-Segment üblich sind. Beides
ist durchaus über den bei diesem Gerät
erreichten Stand hinaus steigerbar, dann
aber nicht mehr in dieser Preisklasse.
E Synology Disk Station
412+
Der nächste NAS-Filer, der die Redaktion
erreichte, fiel schon dadurch aus
dem Rahmen, dass er nicht in einem
Rackmount-, sondern in einem Desktop-
Gehäuse steckte. Glücklicherweise benahm
sich die Synology Diskstation DS
412+ dann auch völlig bürokompatibel:
Während man beispielsweise neben dem
EuroStor-Filer schon deutlich die Stimme
erheben musste, erst recht unter Last, lief
der kleine Würfel mit Steckplätzen für
vier Platten stets angenehm leise.
Auch sonst fällt ins Auge, dass sich diese
Offerte von Synology nicht unbedingt zuerst
an den Storage-Spezialisten richtet,
sondern auch von technisch weniger versierten
Büroarbeitern zu administrieren
ist. Die Web-GUI ist sicher die schickste
im Test (Abbildung 4) und leicht bedienbar.
Eine Grundkonfiguration erstellt die
Box bei Inbetriebnahme selbst, sofern
ein DHCP-Server verfügbar ist, muss der
Nutzer dabei kaum Hand anlegen.
Wer will und kann, mag natürlich auch
manuell eingreifen. Die Platten darf
der Admin in den RAID-Leveln 0, 1, 5,
6, 10 oder als JBOD konfigurieren. Ein
Spare-Drive ist allerdings nur bei RAID
5 möglich. Volumes lassen sich – auch
im laufenden Betrieb – vergrößern, aber
nicht verkleinern. Dabei können einzelne
Platten gegen solche höherer Kapazität
getauscht oder extern weitere Medien
via USB 3.0- oder eSATA-Interface angeschlossen
werden. Als Zugriffsprotokolle
stehen CIFS, AFP, NFS, FTP, HTTP(S)
oder WebDAV zur Verfügung.
Von den gemeinhin üblichen Features
vermisst man vor allem Snapshots (es sei
Abbildung 4: Die vielleicht schickste Web-GUI im Test stammt von Synology. Für größere Filer passt sie
weniger, aber die Diskstation ist damit gut bedient.
www.admin-magazin.de
Admin
Ausgabe 03-2012
37

Storage
NAS-Test
Tabelle 1: Features im Vergleich
IBM N3300 A 20 EonNAS 1100 EuroStor ES-8724
Hersteller IBM Infortrend EuroStor
Preis
Ab 15 500 Listenpreis, 53 500 Euro
(Listenpreis der getesteten
Konfiguration)
1200 Euro 10 200 Euro (Listenpreis der
getesteten Konfiguration)
Betriebssystem Data Ontap 7.3.5 Open Solaris OpenE Version 6
Hardware
Prozessor 2x 2.2 GHz 64-bit Processors 1 x Atom D525, 1.8 GHz Intel Xeon E5620, 2,4 GHz
Memory 2x 1 GByte 2 GByte DDR 3, 800MHz 12 GByte
Netzteile 2x Hot-Swapable, auto-ranging 1x, kein Hot-Swapable 2x Hot-Swapable
Lüfter 2x Hot-Swapable 2x, kein Hot-Swapable 2x Hot-Swapable
Bauform
2U, Standard 19-Zoll Rackmount
Enclosure
1U, Standard 19-Zoll Rackmount
Enclosure
4U, Standard 19-Zoll Rackmount
Enclosure
Remote Access Controller Remote LAN Management (RLM) keiner
IPMI
Port (2x)
Serial Terminal Port Ja (2x) 1x VGA 1x VGA
Networking
Netzwerkinterfaces 2x 2 GbE 2x 1 GbE 4x 10 GbE, 4x 1 GbE
IPv6-Support Ja Ja Ja
DHCP-Client Ja Ja Ja
Festplatten
Arten (SAS/​SATA/​FC/​…) SAS, 10k oder 15k U/​min 3,5-Zoll-HDs SATA-II oder SATA-III 3,5-Zoll-HDs SAS oder SATA, 3,5-Zoll-HDs
max. Plattengröße 300 GByte 3 TByte 2 TByte
max. Anzahl Platten 12 + 40 (2 Expansion Units) 4 24
Volumes
RAID-Level RAID4, RAID-DP 0, 1, 5, 6, 0+1, 1+0 0, 1, 1E, 3, 5, 6, 10, 30, 50, 60, JBOD
Protokolle
CIFS/​SMB Ja Ja Ja
NFS Ja Ja Ja
FTP Ja Ja Ja
HTTP/​HTTPS Ja Ja Ja
AFP (Apple Filing Protocol) Nein Ja Ja
NDMP Ja Ja Ja
iSCSI Ja Ja Ja
Fibre Channel Ja Nein Ja
NAS-Dateisystem WAFL ZFS
Software Features
Snapshots Ja Ja Ja
Deduplizierung Ja (ASIS) Ja Nein
Replikation Ja Ja Ja
Kompression Ja Ja (LZJB) Nein
Verschlüsselung Nein Nein Nein
System Management
Web-based GUI Ja Ja Ja
SNMP Traps Ja Ja Ja
System Status Monitoring Ja Ja Ja
Exportierbare Event Logs Ja Ja Ja
Backup und Restore der System
Settings
Ja Ja Ja
38 Ausgabe 03-2012 Admin www.admin-magazin.de

NAS-Test
Storage
DiskStation 412+ RS3412RPxs Snap Server NAS N2000 NetApp FAS 2240-4
Synology Synology Overland NetApp FAS 2240-4
570 Euro (inkl. MwST.) 4800 Euro (Listpreis) 4270 Euro mit 4 TByte ca. 30 000 Euro (Cluster)
Disk Storage Manager (DSM) 4 Disk Storage Manager (DSM) 4 GuardianOS 6.5 Data Ontap 8.1
Dual Core 2.13GHz 2x 3.1 GHz (Intel Core i3) 1 x Quad-Core Intel Xeon 2x 1.73 GHz 64-bit Processors
1GByte DDR3 2 GByte (max. 6) 4 GByte DDR3 6 GByte
1x , kein Hot-Swapable Hot-Swappable Nein Hot-Swappable, Auto-Ranging
2x, kein Hot-Swap, aber ein Lüfter- Hot-Swappable Hot-Plug redundant Hot-Swappable
Ausfall ist zeitweilig tolerierbar
Desktop-Gehäuse
2U, Standard 19-Zoll Rackmount
Enclosure
2U Rackmount
4U, Standard 19-Zoll Rackmount
Enclosure
keiner Nein Nein Remote LAN Management (RLM)
Port (1x)
keiner Nein 3 Gb/​s SAS ja
2x 1 GbE 4 x 1 GbE 2x 1 GbE (erweiterbar mit Dual- oder 4 x 1 GbE oder 2 x 8 Gb FC
Quad-Port-GbE-Card via PCIe)
Ja Ja Nein Ja
Ja Ja Ja (default) Ja
2,5- oder 3,5-Zoll SATA-II SATA II 3,5-Zoll SAS/​SATA 1, 2 oder 3 TByte SATA-Disks, 450/​
600 GByte SAS-Disks (mit 15k U/​
min)
4 TByte 3 TByte 2 TByte (SATA), 600 GB (SAS) 3 TByte
4 10 12 24 + 120 (5 Expansion Units)
0,1,5,6,10 0,1,5,6,10, Synology Hybrid RAID 0, 1, 5, 6, 10 RAID4, RAID-DP
Ja Ja Ja Ja
Ja Ja Ja Ja
Ja Ja Ja Ja
Ja Ja Ja Ja
Ja Nein Nein Nein
Nein Nein Nein Ja
Ja Ja Ja Ja
Nein Nein Nein Ja
Ext4 Ext 4 WAFL
Nein Nein Ja Ja
Nein Ja Nein Ja
Ja Nein Via optionaler SnapEDR Software Ja
Ja Nein Ja
Ja Console Nein Nein
Ja Ja Ja
Ja Ja Ja
Ja Ja Ja Ja
Ja Ja Ja
Nein, aber Reset auf Factory Settings
Ja
Ja
www.admin-magazin.de
Admin
Ausgabe 03-2012
39

Storage
NAS-Test
denn man rechnet Apples Time Backup
dazu), aber auch Deduplizierung oder
Kompression sind nicht vorgesehen.
Dafür wartet der Filer mit einer ganzen
Reihe von Zusatzoptionen auf, die weit
über das Kerngeschäft Speichern hinausgehen.
Durch Pakete, die sich ähnlich
wie Apps in Mobilbetriebssystemen automatisch
installieren lassen, wird das
Gerät beispielsweise zum Streaming-Server
für Multimedia-Inhalte, zum DHCP-,
LDAP- oder Syslog-Server, zum zentralen
Speicher für Web-Kameras, zum Backupserver
oder sogar zu einem OpenERP-
Die richtige Wahl
Wer die Wahl hat, hat die Qual. Aber die kann
zumindest lindern, wer sich einer Auswahlentscheidung
systematisch nähert.
„Würdest Du mir bitte sagen, welchen Weg ich
einschlagen muss?“, fragt Alice die Katze. Die
antwortet: „Das hängt in beträchtlichem Maß
davon ab, wohin Du gehen willst.“ „Oh, das ist
ziemlich gleichgültig“, sagt Alice. „Dann ist es
auch einerlei, welchen Weg du einschlägst“, antwortete
die Katze. Mit anderen Worten: Ohne
ein Ziel kann man sich nicht entscheiden. Denn
allein aus dem Ziel leiten sich Kriterien ab, mit
deren Hilfe sich die Wünschbarkeit bestimmter
Alternativen einschätzen lässt. Deshalb steht
bei jeder Auswahl die Zielsetzung immer an erster
Stelle, etwa die Frage: Was will ich erreichen,
und was darf es kosten?
Zum einen sind da technische Ziele, wie etwa
die geforderte Performance oder Ausfallsicherheit,
zum anderen wird es zumeist darum gehen,
diese Ziele nicht koste es was es wolle, sondern
im Rahmen eines Budgets zu erreichen. Das
zwingt in der Regel zu Kompromissen. Außerdem
spielen auch andere nicht-technische Randbedingungen
eine Rolle, zum Beispiel bestehende
Beziehungen zu bestimmten Lieferanten oder
vorhandene Qualifikationen von Mitarbeitern
und so weiter. Um die Zielkonflikte zu lösen,
gilt es so klar wie möglich zu definieren, welche
Kriterien mit welcher Wichtung in die Rechnung
eingehen sollen. Beides ergibt sich wieder primär
aus dem Einsatzzweck. Der gibt auch vor,
wie viel man sinnvollerweise ausgeben kann.
Den Besten berechnen
Für einen praktischen Überschlag ist ein Tabellenkalkulationsblatt
nützlich, in dessen erster
Spalte man Zeile für Zeile die Kriterien aufführt,
nach denen man die Alternativen beurteilen will.
Jeweils eine Gruppe weiterer Spalten beziehen
sich dann auf je eine Alternative nach folgendem
Muster: In der ersten Spalte pro Wahlmöglichkeit
notiert der Anwender den Erfüllungsgrad für
die jeweilige Alternativen-Zeile. Dafür kann er
eine vereinfachte Skala benutzen, sagen wir von
eins (gering) bis neun (vollständig). In die Spalte
neben dem Erfüllungsgrad trägt man einen Gewichtungsfaktor
pro Kriterium ein (zum Beispiel
ebenfalls von eins bis neun). In die Spalte daneben
kommt dann das Produkt aus Erfüllungsgrad
und Gewichtungsfaktor. Am Schluss addiert man
alle Werte dieser letzten Spalte und erhält einen
Punktwert für das fragliche Produkt (Tabelle 2).
Der höchste Punktwert stünde dann für das geeignetste
Modell.
Mehr Mathe möglich
Das ist eine einfache Nutzwertanalyse, die man
mathematisch auch noch verfeinern kann. Beispielsweise
kann man die Werte für den Erfüllungsgrad
mithilfe verschiedener Funktionen
normalisieren und dadurch erreichen, dass sie
nicht-linear in das Ergebnis eingehen. Man kann
Kriterien gruppieren oder Funktionen konstruieren,
die qualitative Merkmale quantifizieren.
Weiter lassen sich die Gewichte aus dem Nutzen
eines Features, seinen Kosten und dem Risiko
ableiten, das eintritt, wenn es nicht verfügbar
ist und so weiter. Die Entscheidungstheorie und
darunter das Multi-Criteria Decision Making
(MDCM) ist tatsächlich eine ganze Wissenschaft
für sich.
Jedoch muss man sich im Klaren sein, dass die
dritte Nachkommastelle hier schnell die trügerische
Sicherheit vorspiegelt, die Entscheidung
wäre damit einfach ausgerechnet. In Wirklichkeit
hängt dagegen alles von der möglichst zutreffenden
Nutzenschätzung und einer realistischen
Beurteilung des Erfüllungsgrades ab. Ist die Unschärfe
dabei zu hoch, wird man die Sache mit
mehr Mathe nur verschlimmbessern.
Server. Die Bedienung ist hier aber nicht
mehr ganz einheitlich – teils lassen sich
diese Applikationen in der Web-GUI des
Filers konfigurieren, teils nur über ihre
eigenen Webseiten. Auch ansonsten hat
die Integration Grenzen: Filer und ERP-
Server verwalten jeweils eigene Benutzer,
Webmailer und ERP-Server eigene
Adressbücher und so weiter.
Sehr viele Events können E-Mail-Benachrichtigungen
triggern, ein einfacher
Performance-Monitor informiert über die
momentane Auslastung und das Allgemeinbefinden.
Das gute Logging offenbart
nur kleinere Schwächen: So kann
man die Systemmeldungen zwar an einen
zentralen Syslog-Server schicken,
dabei aber nicht die Log Facility konfigurieren,
sodass sich die Meldungen auf
dem empfangenden System nicht mehr
in eine separate Datei schreiben oder von
Messages aus anderer Quelle gut unterscheiden
lassen. Nach Installation des
Syslog-Server-Pakets kann man lokale
Systemnachrichten allerdings auch an
Ort und Stelle inspizieren.
Die Performance ist respektabel, reicht
aber nicht ganz an die Werte heran, die
Ein konkretes Beispiel
Ein absichtlich einfaches Beispiel: Gesucht sei
ein Speichersystem, für eine Außenstelle mit
15 Mitarbeitern, die darauf im Stil eines klassischen
Fileservers vorrangig Arbeitsunterlagen
ablegen (Office-Dokumente, Zeichnungen, Fotos,
Präsentationen). Die PCs der Mitarbeiter
laufen unter Windows NT und teilweise unter
Linux. Das Datenvolumen von rund 100 GByte
pro Mitarbeiter und Jahr wird um etwa 20 Prozent
jährlich wachsen. Am Ende der mit fünf
Jahren veranschlagten Lebenszeit des Systems
bräuchte man also etwas weniger als 4 TByte,
es sei denn, man könnte den Zuwachs durch
effizientes Speichern (etwa Deduplizierung oder
Kompression) mindestens zum Teil ausgleichen.
Ein Datenverlust wäre in keinem Fall akzeptabel,
ein kurzzeitiger Ausfall zwar ärgerlich, aber zu
verkraften, wenn der Fehler innerhalb weniger
Stunden behoben ist. Einen eigenen Storage-
Spezialisten, kann man hier nicht beschäftigen,
das System sollte also einfach zu handhaben und
auch remote zu administrieren sein. Das Budget
beträgt maximal 5000 Euro.
Maximal ist nicht immer optimal
Tabelle 2 listet dafür beispielhaft Kriterien,
Gewichte und Erfüllungsgrad für die Speichersysteme
von IBM und Infortrend. Deutlich wird,
dass es das Gewicht der Kriterien und damit
letztlich der Einsatzzweck oder das Ziel ist,
was den Ausschlag gibt. Wären alle Kriterien
gleichberechtigt, würde IBM den Vergleich für
sich entscheiden. Durch die Anpassung an unser
Beispielszenario mithilfe der Gewichte macht
aber das Produkt von Infortrend das Rennen.
Trotz unterlegener Fähigkeiten, etwa geringerer
Erweiterbarkeit oder verminderter Redundanz.
Es ist aber einfacher zu handhaben und bleibt
im Preisrahmen, was in diesem Fall höher bewertet
wird. Streng genommen war es in diesem
Fall nicht einmal sinnvoll, das System von IBM
überhaupt als Alternative aufzunehmen, wenn
es ohnehin nicht bezahlbar ist. Hätten wir jedoch
die Anforderungen für ein System untersucht,
das Daten einer unternehmenskritischen
Anwendung für viele Mitarbeiter speichert, nie
ausfallen darf und sich in eine SAP-Landschaft
einpassen soll, wäre der Ausgang garantiert ein
anderer gewesen.
40 Ausgabe 03-2012 Admin www.admin-magazin.de

NAS-Test
Storage
Systeme mit dedizierten RAID-Controllern
erreichen können. Wir haben rund 90
MByte/​s schreibend und 108 MByte/​s
lesend ohne Link-Aggregation in einem
Gigabit-Netz gemesen. Das File war dabei
2 GByte groß, die Recordsize betrug
512 KByte.
Alles in allem
Die Synology Diskstation 412+ fühlt
sich als universeller Speicher für kleinere
Arbeitsgruppen oder Außenstellen
wohl. Sie braucht keinen Serverraum und
keinen Profi-Admin und passt sich recht
flexibel in unterschiedliche Büroumgebungen
ein. Dort kann sie bei Bedarf
auch eine Reihe von Zusatzfunktionen
mit übernehmen, die über das reine Speichern
hinausgehen.
E Synology RS3412RPxs
Das aktuelle Flaggschiff von Synology ist
mit 4800 Euro in einer 20 TByte-Konfiguration
eine durchaus interessante Alternative.
Da es sich auch noch auf bis
zu 40 TByte bei 2HE ausbauen lässt, eignet
es sich für viele Szenarien. Mit dem
vorgesehenen (zertifizierten) Einbau von
10-GBit-Netzwerkkarten (momentan Intel
und Emulex) entfällt darüber hinaus das
alte Argument der eingeschränkten Bandbreite.
Einzig die begrenzte CPU kann
im Falle zu hoher Belastung durch viele
Clients recht schnell der limitierende Faktor
sein.
Beim Blick auf die Software muss man die
Abwesenheit etlicher Enterprise-Features
konstatieren, etwa des in größeren Umgebungen
wichtigen NDMP. Ein weiterer
wichtiger Unterschied zu den größeren
Modellen ist das Fehlen eines eigenständigen,
dedizierten Storage-Controllers.
Stattdessen müssen alle Funktionen rein
in Software gelöst werden. Dabei greift
der Filer vom RAID bis zum iSCSI-Target
auf den offenen Stack der Linux-Welt zurück,
was durchaus Vorteile hat. Die sehr
einfache Einrichtung über das Synology
Betriebssystem DSM erlaubt selbst relativ
unbedarften Benutzern die Konfiguration
von Port-Trunks, Shares oder iSCSI-LUNs.
Auch die Integration von WebDAV ist gelungen,
die den Zugriff auch von Mobilgeräten
auf den Speicher ermöglicht.
Schade ist, dass für gewisse Spezial-
Funktionen – etwa die Nutzung von
NFSv4 – SSH-Zugriff sowie manuelle
Tricks erforderlich sind. Ansonsten kann
man eine vSphere-5-Umgebung mit dem
Filer bereits in 15 Minuten konfiguriert
haben. Sinnvoll ist der Einsatz eines
redundanten Netzteils, da es sicherlich
nichts Ärgerlicheres gibt, als wegen eines
Verschleißteils einen Totalausfall zu erleiden.
Gleiches gilt für die Lüfter, die auch
im laufenden Betrieb getauscht werden
können.
Die integrierbaren Anwendungen, so
etwa VPN, Mail-Station, Web-Station,
und so weiter sind zwar alles schöne
Funktionen, in größeren Umgebungen
wird man sie aber nicht auf einem Storage-System
installieren wollen.
Performance
Tabelle 2: Eignung für kleine Arbeitsgruppen
Nr. Kriterien Kriteriengewicht
(%)
Rating
IBM
gewichtet
Dieser Punkt sorgte für Aufsehen, da wir
die Werte so nicht erwartet hatten: Mit einem
10-GBit-Ethernet-Adapter X520-DA2
von Intel und Intel SSDs der 320er-Serie
mit 300 GByte erreichten wir bei RAID-5
stolze 1050 MByte/​s sequentiell lesend
Rating
EonNAS
1 Preis 20,00 1 20 5 100
2 Protokolle 20,00 4 80 5 100
3 Handhabung 15,00 3 45 5 75
4 Datensicherheit 10,00 5 50 4 40
5 Support 10,00 5 50 4 40
6 Effizienz 7,00 5 35 4 28
7 Performance 6,00 5 30 4 24
8 Ausfallsicherheit 5,00 5 25 3 15
9 Erweiterbarkeit 4,00 5 20 1 4
10 Benutzerverwaltung 3,00 5 15 4 12
Summe 100 370 438
gewichtet
und eine Transferrate von 812 MByte/​s
schreibend (NFSv4, MTU 9000, 802.3ad
Trunk mit 2x10GbE). Das kann sich sehen
lassen. Doch genau da scheint dann
auch die Grenze des Machbaren erreicht,
die i3-CPU ist am Anschlag angelangt.
Praktische Erfahrungen mit dem System
in Produktivumgebungen erwiesen sich
als durchweg positiv.
E Overland SnapServer
N2000
Overland setzt bei seinem SnapServer
N2000 auf sein Linux-basiertes
GuardianOS als Betriebssystem. RAID,
Volumes, Quotas und Snapshots gehören
genauso zum Repertoire wie NFS,
FTP, SMB, Apple AFP oder iSCSI. Die
Kapazität des N2000 lässt sich durch bis
zu fünf Erweiterungseinheiten vom Typ
E2000, die als 2 HE-Module über SAS
an den N2000 angebunden werden, auf
bis zu 144 TByte erweitern. Ohne diese
Erweiterungen muss man sich mit den
12 internen Plattenslots des N2000 begnügen.
Der Administrator kann über verschiedene
Wege auf das N2000 zugreifen: Über
den SnapServer Manager, das Kommandozeilen-Werkzeug
SnapCLI sowie über
ein Web-Interface. Der SnapServer Manager
gibt einen guten Überblick über
den Status des Fileservers, und auch das
CLI steht dem Web-Interface mit Hinblick
auf den Funktionsumfang in nichts nach.
Die Web-GUI protzt zwar nicht gerade
mit aufwendigem Design, lässt sich aber
flott bedienen. Die auf verschiedene Rubriken
verteilten Menüs und eine Site
Map erleichtern das Auffinden einzelner
Punkte, eine übersichtlichere Baumansicht
könnte das noch verbessern. Auch
die SnapExtensions – beispielsweise der
CA Antivirus Scanner – könnten etwas
mehr hervorgehoben werden.
Nach einer ersten Kontaktaufnahme
empfiehlt es sich, die Option »Network |
Web | Enable (non‐secure) HTTP Access«
zu deaktivieren, wodurch eine verschlüsselte
Verbindung zum Administrationsbereich
erzwungen wird.
Disk-Management
Die eingebauten Storage Guides bieten
Hilfestellung beim Einrichten der RAID
www.admin-magazin.de
Admin
Ausgabe 03-2012
41

Storage
NAS-Test
0-,1-, 10-, 5- oder 6-Sets, unter
anderem durch kurze technische
Erklärungen. Auch beim
Konfigurieren eines Volumes
und beim Einrichten eines
Shares verhindern die Guides
fehlerhafte Einstellungen. Außer
über die Guides kann das
Disk-Management natürlich
auch manuell eingerichtet
werden, wobei es womöglich
etwas irritiert, dass sich der
Menüpunkt »Shares« in der Rubrik »Security«
findet. Mit Snapshots wird der
Admin zum ersten Mal beim Anlegen eines
Volumes konfrontiert. Die Standardeinstellungen
reservieren 20 Prozent
der RAID-Größe als Snapshot-Speicher.
Reicht der vorhandene Snapshot-Speicher
für einen weiteren Snapshot nicht mehr
aus, löscht der SnapServer automatisch
den ältesten Snapshot. Will man auf die
Daten eines Snapshots direkt zugreifen,
ist bei der Erstellung eines Shares die erweiterte
Option »Create Snapshot Share«
zu aktivieren.
Zugriffssicherheit
Auch bei den Zugriffsrechten setzt sich
das Konzept der Guides fort. Die sogenannten
»Security Guides« ermöglichen
die Einrichtung einer Verbindung zu einem
Active Directory, den Zugriff auf ein
Volume über ein Share, und den Zugriff
auf einen dedizierten Ordner über ein
Share. Existiert für ein Volume noch kein
Share, lässt sich mithilfe der Guides ein
neues angelegen. Anschließend kann
das Share auf einzelne Benutzer eingeschränkt
oder allen Zugriff gewährt werden.
Die Beschränkungen für NFS-Clients
werden separat geregelt.
Der SnapServer bietet alles was für einen
Misch-Betrieb für Windows- und Linux-
Clients benötigt wird. Die Konfiguration
dafür ist allerdings nicht trivial. Das zeigt
auch das 25-seitige Whitepaper „Understanding
Windows & UNIX File Permissions
on GuardianOS“.
E NetApp FAS 2240-4
Die NetApp FAS2240-4 ist ein 4HE-Storagesystem
der aktuellen NetApp-Einstiegsklasse.
Es basiert auf dem von Net-
App entwickelten Data Ontap Betriebs-
Abbildung 5: Mit bis zu fünf solcher Disk-Shelfs, in die jeweils 24 Platten passen,
lässt sich der NetApp-Filer auf maximal 430 TByte aufstocken.
system in der Version 8.1 und unterstützt
durch die über alle FAS-Systeme hinweg
identische Betriebssystemplattform nahezu
alles, was auch die größeren System-Klassen
des Herstellers bieten. Durch
den Unified Storage Ansatz ist die FAS
2240 in der Lage, sämtliche Protokolle
wie CIFS, NFS, iSCSI und Fibre Channel
anzubieten. Kapazität und Funktionen
lassen sich einfach und schnell hinzufügen.
Die Administration kann sowohl
über die Kommandozeile via SSH als
auch über die Verwaltungssoftware On-
Command erfolgen.
Das in den früheren Ontap-Versionen
vorhandene Webinterface zur Administration
„FilerView“ ist in den aktuellen
Versionen ab 8.1 dem Rotstift zum Opfer
gefallen. Die OnCommand Suite steht
dem Administrator allerdings als adäquater
Ersatz zur Verfügung. Zusätzlich legt
NetApp noch ein paar kostenfreie Werkzeuge
oben drauf: Hierzu zählt unter anderem
der Protection Manager mit dem
sich Backup-Beziehungen zwischen Net-
App Systemen konfiguriert lassen oder
der Provisioning Manager, ein Werkzeug
zur Automatisierung von wiederkehrenden
Administrationsaufgaben. Durch die
Verwandtschaft mit der ebenfalls getesteten
IBM N-Series ist die Aufteilung der
Festplatten in RAID Gruppen, Aggregate
und Volumes gleich. Einziger Unterschied
ist die bei der FAS 2240-4 aktuellere Version
des verwendeten Betriebssystems,
wodurch sich einige Limits der älteren
32-Bit-Aggregate durch die Erweiterung
auf 64-Bit-Aggregate verschoben haben.
So liegt das aktuelle Aggregatslimit mit
ONTAP 8.1 in Kombination mit der FAS
2240-4 bei 60 TByte, in früheren ONTAP
Versionen vor 8.x war hier bei 16 TByte
pro Aggregat Schluss.
Sollte das System im Alltagseinsatz durch
die steigende Auslastung an seine Gren-
zen geraten, ist ein Umstieg
auf größere NetApp Systeme
nahtlos möglich. Das Betriebssystem
bleibt dabei dasselbe,
und die FAS 2240-4 lässt sich
bei Bedarf in ein Festplatten-
Shelf umbauen und so an
größere NetApp-Systeme anschließen.
Das lästige Kopieren
der vorhandenen Daten
entfällt.
Wie von NetApp gewohnt,
sind einige Standardverfahren zur Verbesserung
der Speichereffizienz in Ontap
eingebaut, hierzu zählt vor allem die Deduplizierung,
die blockbasiert und asynchron
dafür sorgt, doppelt vorhandene
Inhalte auf den Festplatten nur einmalig
zu speichern. Dieses Verfahren hilft unter
anderem bei virtualisierten Umgebungen,
in denen ein Großteil der verwendeten
Betriebssysteme ähnlich oder gleich sind,
und reduziert den belegten Speicherplatz
auf ein notwendiges Minimum. Eine
Komprimierung der gespeicherten Daten
ist ebenfalls möglich, schlägt aber wie zu
erwarten auf die Systemleistung durch.
Zur Arbeitserleichterung im Alltag stehen
Administrator und Benutzer Snapshots
innerhalb des WAFL-Dateisystems zur
Verfügung, die eine essenzielle Basis
sämtlicher Systeme des Herstellers bilden.
Diese automatisiert nach einem hinterlegten
Zeitplan erstellten Schnappschüsse
werden vollständig performanceneutral
auf Basis des „Append-on-Change“-Mechanismus
erzeugt und sind über das
freigegebene Dateisystem zugänglich.
Durch diese Transparenz wird dem Benutzer
direkt die Möglichkeit gegeben,
vorhandene Snapshots einzusehen und
die darin enthaltenen, eingefrorenen Dateien
zurückzuholen, ohne den Administrator
mit dieser Aufgabe behelligen
zu müssen.
Mit zusätzlichen Software Packs kann das
System nach und nach weiter ausgebaut
werden. Die von NetApp kostenpflichtig
zur Verfügung gestellten SnapManager
arbeiten auf Basis von Snapshots und
bieten eine direkte Integration in Applikationen,
die ihre Daten auf dem NetApp
System ablegen, um konsistente Backups
zu erzeugen. SnapManager sind unter anderem
für VMware, Microsoft Exchange,
SAP, Microsoft Sharepoint, Oracle oder
Microsoft SQL verfügbar. Zusätzlich
42 Ausgabe 03-2012 Admin www.admin-magazin.de

NAS-Test
Storage
Die FAS 2240 unterstützt wie alle Net-
App-Systeme verschiedene Plattentypen
(SAS und SATA), je nach Leistungs- und
Kapazitätsanforderung kann so eine passende
Kombination ausgewählt werden.
Das Controllerchassis verfügt über 24 von
vorne zugängliche- Einschübe für HDDs
und kann mit bis zu fünf externen SAS
Disk-Shelves auf maximal 144 Festplatten
unterschiedlichen Types erweitert werden
(Abbildung 5). Intern wie extern
kann das System mit 1, 2 oder 3 TByte
SATA-Disks, sowie 450 GByte und 600
GByte SAS-Disks (mit 15k U/​min) betrieben
werden. Daraus ergibt sich eine
theoretische maximal Kapazität von 430
TByte. Vor einem zweifachen Festplattenausfall
innerhalb einer RAID-Gruppe
schützt RAID-DP, ein von NetApp patentiertes
RAID-6 ähnliches Verfahren,
das im Gegensatz zu normalen RAID-6
performanceneutral arbeitet. Für einen
problemlosen Betrieb im Rechenzentrum
sorgen vier verbaute Netzteile und digibt
es den kostenfreien OpenSystem-
SnapVault (OSSV) womit ein Backup von
Linux-, Windows und diversen anderen
UNIX Varianten auf der NetApp erstellt
werden kann.
In der Basisvariante ist jeder Controller
mit 4x1-GBit-Ethernet und zwei SAS-
Ports bestückt, zusätzlich sind noch
ein Netzwerkanschluss für das Remotemanagement
und eine serielle Konsole
vorhanden. Über einen Mezzanine-Slot
kann die FAS 2240-4 wahlweise mit zusätzlichen
2x10 GbE oder 2x8Gb FC-Ports
ausgerüstet werden.
Die NetApp FAS 2240-4 ist als Single-
Controller oder HA-Cluster konfigurierbar,
der Aktiv/Aktiv betrieben wird.
Im Fehlerfall übernimmt ein Controller
zusätzlich die Disks und Dienste seines
Cluster-Partners. Dieser Take-Over ist in
den meisten Anwendungsfällen transparent
für den User, oder die Applikation
und führt nicht zu Unterbrechungen bei
der Bereitstellung der Dienste.
verse auch redundant ausgelegte Lüfter
im Inneren des Gehäuses.
Fazit: Die FAS2240-4 ist ein extrem skalierbares
und leistungsfähiges Storage
System, welches mit den Anforderungen
wachsen kann. Es ist ideal für mittelständische
Unternehmen und dezentrale Umgebungen
und kann kombiniert als NAS
und als SAN-System betrieben werden.n
Die Autoren
Dieser Text ist ein Gemeinschaftwerk der Redaktion
und verschiedener externer Autoren. Jens-
Christoph Brendel, Chefredakteur des ADMIN-
Magazins, übernahm die Koordination, die Tests
der Geräte von IBM, Infortrend, EuroStor und
der Synology DiskStation sowie die allgemeinen
Erläuterungen im Text. Michael Kromer (Topalis
GmbH) steuerte seine Einschätzung der Synology
RS3412RPxs bei, von Georg Schönberger (Thomas
Krenn AG) stammen die Passagen zum Overland
N2000, und Michael Streb (teamix GmbH)
schrieb die Absätze zu NetApp.
lucA
41 Jahre
BEruf: System-Administrator
hErAuSfordErung: Komplexität,
Problempriorisierung, Zeitmanagement
WünScht Sich:
Mehr Wertschätzung für seinen Job
liEBt: Urlaube ohne Handy
Ein Job ohne netEye?
Ein Verlust fürs ganze Team
Enterprise System & Application Monitoring
› Tested und supported Open Source
› Nagios als Basisplattform
› End User Monitoring mit ntop
› Integriertes Help Desk mit OTRS
› Asset- und Inventory Management
www.wuerth-phoenix.com/neteye
› SAP Monitoring
› Business Process Monitoring
› ITIL basierte Supportprozesse
› Einfache Inbetriebnahme
› Flexibel erweiterbar
www.admin-magazin.de
Admin
NetEye
Ausgabe 03-2012
43

Storage
NDMP
© Suwit Luangpipatsorn, 123RF
Das NDMP-Protokoll und Alternativen für das Filer-Backup
Schnellstraße
NAS-Filer sind in der Regel geschlossene Systeme, auf denen der Anwender nichts installieren kann. Auch keinen
Backup-Agenten. Ein Backup wird aber gebraucht – was nun? Jens-Christoph Brendel
Wie man es auch anstellt: Will man einen
Server sichern, muss auf ihm Software
laufen, die die Daten direkt auf ein
Medium oder zu einem zentralen Backupserver
schickt. Vorkonfigurierte Server
– darunter beispielsweise auch NAS-Filer
– verwehren ihren Benutzern in der Regel
aber ausdrücklich und mit Absicht die
Installation zusätzlicher Software. Das
würde ein Backup unmöglich machen,
das gleichzeitig gerade für einen Fileserver
unverzichtbar ist. Und nun?
Ein Ausweg könnte natürlich sein, dass
der NAS-Hersteller auch Backup-Agenten
in seine Software integriert. Manche tun
das tatsächlich, doch bei näherem Hinsehen
entpuppt sich dieser Ansatz als
nicht so gute Lösung, denn sie bindet
den Anwender an eine bestimmte Sicherungssoftware.
Außerdem könnten die
wenigen integrierten Versionen niemals
die Bandbreite abdecken, die der Markt
für solche Anwendungen bereithält: Von
einfach bis hoch komplex, von kostenlos
bis ziemlich teuer ist hier für jeden Anwendungsfall
Passendes im Angebot.
Eine weitere Lösung des Problems kann
darin bestehen, die zu sichernden Volumes
am Backupserver zu mounten, auf
dem dann wieder auch Agenten laufen
können. Aber auch dieses Vorgehen hat
Nachteile. So wandern dabei alle Daten
der Sicherung über das LAN zum Backupserver.
Existiert dafür keine dedizierte
Verbindung, sind wegen der großen Datenmengen
Beeinträchtigungen programmiert.
Zum anderen können auch Sicherheitsrichtlinien
dagegen sprechen, alle
Volumes an einem Server zu mounten
(und sei es auch nur read-only).
So entstand NDMP
Um diesen gordischen Knoten zu zerschlagen,
taten sich 1996 Intelliguard
Data Connection
Fileserver (NAS) NDMP
DATA-Server
Tape-Library NDMP
TAPE-Server
File History
Logs Cmds
G Abbildung 2: Eine API bringt NetApp-Verzeichnisse in ein Fenster der
Backupsoftware SEP sesam.
Backup-Server /
NDMP Control
F Abbildung 1: Ablaufschema einer NDMP-Session.
44 Ausgabe 03-2012 Admin www.admin-magazin.de

(später aufgekauft von Legato, das heute
wiederum zu EMC gehört) und Network
Appliance (NetApp) zusammen und
entwickelten das NDMP-Protokoll. Dieser
Standard ermöglicht es einem vom
Protokoll sogenannten Data Server, der
von Festplatten liest oder darauf schreibt,
einen Datenstrom an einen Tape Server
zu senden, der das Sicherungsmedium
bedient. Heute verstehen zahlreiche Speichersysteme
von NetApp, HP, EMC und
anderen das Protokoll, daneben listet
die NDMP-Webseite ein gutes Dutzend
Hersteller von NDMP-kompatibler Backupsoftware,
darunter die bedeutendsten
wie IBM, EMC, HP, Symantec, CA oder
Fujitsu-Siemens. Das NDMP-Modul im
Backup-Programm hat damit seinen genormten
Gegenpart im Diskarray und in
der Tape Library, mit denen es direkt
kommunizieren kann. Dabei fällt es in
die Zuständigkeit des Agenten im Array,
die Daten effizient bereitzustellen oder
zurückzuschreiben, während die Backupsoftware
die Zeitsteuerung übernimmt,
dem Anwender eine GUI bietet und einen
Katalog der gesicherten Files führt. Ein
Kontrollmodul stößt den Prozess an und
speichert Logs und History.
NDMP im Detail
Soll ein Backup über NDMP abgewickelt
werden, passiert im Einzelnen Folgendes
(Abbildung 1):
1. Das NDMP-Kontrollprogramm kontaktiert
zuerst den Tape-Server via TCP-Port
10000, authentifiziert sich und veranlasst
das Laden des benötigten Bandes in ein
Laufwerk. Erforderlichenfalls wird das
Band initialisiert und gelabelt.
2. Danach spricht das Kontrollprogramm
den Data-Server an, weist sich auch ihm
gegenüber aus und konfiguriert einige
Verbindungsdaten.
3. Jetzt kann der Data Server eine Direktverbindung
zum Tape Server aufbauen
und darüber einen Stream von Backupdaten
schicken. Die Logs beider Seiten
und die Historie der übertragenen Files
landen beim Kontrollprogramm.
4. Wenn nötig initiiert das Kontrollprogramm
das Wechseln der Bänder während
des Backups mithilfe des Media
Changer Supports der Tape Library.
5. Der Data Server unterrichtet das Kontrollprogramm
über den Abschluss des
www.admin-magazin.de
Backups. Die Verbindungnen werden
wieder abgebaut. Ein Restore verläuft
sinngemäß nach demselben Schema.
Eingeschlafen
Aktuell ist die NDMP-Version 4. Für einen
Nachfolger befanden sich bereits
zahlreiche Erweiterungen in der Pipeline,
darunter der Umgang mit mehreren Quellen
und Zielen, Checkpoints bei Backup
und Recovery, die einen Wiederanlauf
nach einer Unterbrechung ermöglichen
würden, ein Snapshot Management, eine
verbesserte Authentisierung oder eine
höhere Kompatibilität mit Firewalls und
NAT-Umgebungen. Allerdings scheint
die Entwicklung eingeschlafen zu sein,
die letzten Dokumente zur Standardisierung
der Version 5 sind rund zehn Jahre
alt und haben Entwurfscharakter. Eine
Nachfrage der Redaktion bei der IETF
ergab denn auch, dass die Standardisierungsbemühungen
2003 ausgelaufen
seien. Vielleicht hätten wir bei NDMP.org
mehr Glück. Eine Nachfrage dort wurde
allerdings überhaupt nicht beantwortet.
Alternativen
Das allein mag Grund genug sein, sich
nach Alternativen umzusehen und eine
bietet der Backup-Hersteller SEP. Er nutzt
eine API, die NetApp zur Verfügung stellt,
um seine Filer fernzusteuern. Die Backupsoftware
kann über diese API den Speicher
mounten und dessen Verzeichnisse
in ihrem Browser darstellen (Abbildung
2). Im Zuge eines Backups wird über
diese Schnittstelle zunächst ein Snapshot
erzeugt, der dann gesichert wird. Dafür
empfiehlt SEP eine eigene LAN-Verbindung,
sodass die Backup-Daten das restliche
Netz nicht ausbremsen.
Das Verfahren hat auch Nachteile: So
funktioniert es nur mit NetApp oder
kompatiblen Speichern, wogegen NDMP
herstellerübergreifend arbeitet. Außerdem
erzwingt es das Mounten sämtlicher
Volumes am Backupserver, und es
belastet das lokale Netz, solange man
keine separate Verbindung zwischen Filer
und Backupserver geschaltet hat. Wo das
aber möglich ist, und wo vielleicht ohnehin
nur Produkte von NetApp gesichert
werden sollen, da ist es eine interessante
und gut funktionierende Alternative. n
Managed
Server
Profitieren Sie von:
aktuelle Clustertechnologie
ISO 9001 zertifiziertem
Managed Hosting
Hochsicherheits-Datacenter
DE-CIX Direktanbindung
24/7 Service und Support
Individuelle Linux-Server
Professionelles Hosting mit flexiblem,
persönlichem und kompetentem
Support. Für mehr Performance,
Sicherheit und Verfügbarkeit, jeden
Tag, rund um die Uhr.
Wir bieten Hostinglösungen vom
Server bis zum Clustersystem inkl.
Beratung, Planung und Service 24/7.
hostserver.de/server
Managed Hosting
zertifiziert nach
ISO 9001 : 2008
0 30 / 420 200 24 hostserver.de
Berlin Marburg Frankfurt am Main
Ausgabe 03-2012 45

Storage
Ceph/​RADOS
Der RADOS-Objectstore und Ceph (Teil 1)
In die Breite
gegangen
Skalierbares Storage ist eine Kernkomponente von Cloud-Umgebungen. RADOS und Ceph treten mit dem
Versprechen an, nahtlos skalierbares Storage zu ermöglichen. Martin Loschwitz
Der IT-Thema der Gegenwart ist zweifellos
das Cloud Computing. Kaum eine
Frage treibt die Verantwortlichen für
Infrastruktur bei großen Unternehmen
gegenwärtig so an wie die nach der besten
Umsetzung der Wolke. Das Prinzip
Cloud ist dabei eigentlich sehr einfach:
Das Ziel von typischen IaaS-Systemen ist
es, Benutzern Kapazitäten in Form von
Rechenleistung und Speicherplatz anzubieten
und zwar so, dass für den Anbieter
selbst dabei so wenig Arbeit wie möglich
entsteht und die gesamte Plattform so
flexibel wie möglich ist. Konkret heißt
das, dass Kunden Rechenleistung und
Plattenplatz nach eigenem Gutdünken
anfordern können und benutzen, solange
sie die Services tatsächlich brauchen. Für
die IT-Dienstleister ergibt sich die Notwendigkeit,
die eigenen Setups möglichst
skalierbar anzulegen: Lastspitzen sollten
ohne Probleme abzufangen sein. Wenn
die Plattform wächst – und Wachstum
ist letztlich das Ziel von praktisch jedem
Unternehmen – soll auch die dauerhafte
Erweiterung kein Problem sein.
In der Praxis gestaltet sich die Umsetzung
einer solchen Lösung freilich etwas umständlicher.
Skalierbare Virtualisierungsumgebungen
gehören zu den eher leicht
umzusetzenden Themen; Xen und KVM
tragen in Verbindung mit den einschlägigen
Management-Tools dazu bei, dass
sich Virtualisierungshosts ohne Schwierigkeiten
verwalten lassen. Auch der
Scale-Out ist kein Problem: Braucht die
Plattform mehr Rechenleistung, kommen
weitere Rechner dazu, die sich nahtlos in
die vorhandene Infrastruktur einfügen.
Knackpunkt Storage
Interessant wird die Sache beim Thema
Storage. Die Art und Weise, wie in IT-
Umgebungen Daten gespeichert werden,
hat sich im Grunde in den letzten Jahren
kaum verändert. Anfang der 90er gab es
in Rechenzentren viele Server mit lokalem
Storage, die alle die klassischen Probleme
eines Single Point of Failure (SPOF) hatten.
Ab Mitte der 90er hielten SANs Einzug
samt dazugehöriger FibreChannel-
HBAs. Die boten zwar wesentlich mehr
Redundanz als ihre Vorgänger, waren und
sind im Gegenzug aber auch empfindlich
teuer. Wer es lieber etwas günstiger mag,
setzt seit ein paar Jahren auf DRBD mit
Standard-Hardware und umgeht so die
teils horrenden Kosten von SANs. Ein
Problem haben all diese Ansätze gemein:
Sie skalieren nicht nahtlos.
Scale-Out & Scale-Up
Admins unterscheiden grundsätzlich zwischen
zwei Formen von Skalierbarkeit:
Skalieren in die Höhe (Scale-Up) basiert
auf der Idee, die Ressourcen bereits vorhandener
Geräte zu erweitern. Dem gegenüber
steht das Skalieren in die Breite
(Scale-Out), das darauf setzt, neue Geräte
hinzuzufügen (Abbildung 1). Ein Beispiel
46 Ausgabe 03-2012 Admin www.admin-magazin.de

Ceph/​RADOS
Storage
RADOS steht für »reliable autonomic distributed
object store« (es heißt tatsächlich
„autonomic“, nicht „autonomous“).
Die Software wird seit einigen Jahren von
der Firma Dreamhost unter Federführung
von Sage A. Weil entwickelt und stellt im
Wesentlichen dessen Doktorarbeit an der
University of California, Santa Cruz dar.
RADOS implementiert genau die zuvor
beschriebene Arbeitsweise eines Object
Stores – es unterscheidet dabei zwischen
drei einzelnen Ebenen:
1. Object Storage Devices (OSDs). Ein
OSD ist in RADOS stets ein Ordner innerhalb
eines bereits existierenden Dateisystems.
Sämtliche OSDs sind zusammen
der eigentliche Object Store, hierin
lagern die binären Objekte, die RADOS
aus abzulegenden Dateien generiert. Die
Hierarchie innerhalb der OSDs ist flach:
Es gibt lediglich Dateien mit UUID-artigen
Namen, aber keine Unterordner.
2. Monitoring-Server (MONs): Diese bilden
die Schnittstelle zum RADOS-Store
und erlauben den Zugriff auf Objekte
innerhalb des Speichers. Sie wickeln
die Kommunikation mit allen externen
Applikationen ab und funktionieren dezentral:
Ihre Anzahl ist nicht beschränkt,
und jeder Client kann mit jedem MON
sprechen. MONs verwalten die MONmap
(eine Liste aller MONs) und die OSDmap
(eine Liste aller OSDs). Die Informationen
aus diesen beiden Listen erfür
Scale-Out-Lösungen sind Datenbanken:
Hier ist es oft möglich, die Last auf
mehrere Slave-Server zu verteilen.
Im Hinblick auf Storage ist Scale-Out allerdings
ein nahezu unbekanntes Thema:
Lokales Storage in Servern, SAN-Storages
oder Server mit DRBD sind meistens nur
in die Höhe erweiterbar (mehr Platten),
aber nicht in die Breite. Wenn das Gehäuse
voll ist, muss im Zweifelsfalle ein
zweites Storage her, das sich dann aber
oft genug nicht mit dem schon vorhandenen
zusammenfassen lässt und so die
Wartung erschwert. Bei SAN-Storages gilt
außerdem: Zwei SAN-Storages verdoppeln
den ohnehin hohen Preis!
Guter Rat ist nicht
automatisch teuer
Wer eine Cloud plant und sich Gedanken
um nahtlos skalierbares Storage macht,
muss an dieser Stelle nicht die Flinte ins
Korn werfen: Die Autoren der gängigen
Cloud-Anwendungen haben dieses Problem
im Blick und bieten mittlerweile tragfähige
Lösungen an – Object Stores.
Diese funktionieren nach einem simplen
Prinzip: Auf sämtlichen Servern, die
zum Teil eines Object Stores werden sollen,
läuft eine Software, die den lokalen
Plattenplatz dieses Servers verwaltet und
exportiert. Sämtliche Instanzen dieser
Software arbeiten im Rechnerverbund
zusammen und sorgen so dafür, dass für
den Betrachter von außen das Bild eines
einzelnen, großen Storages entsteht. Um
die Verwaltung des Speichers intern zu
ermöglichen, legt die Object-Storage-Software
die Daten nicht in ihrer ursprünglichen
Form auf den einzelnen Storage-
Knoten ab, sondern als binäre Objekte.
Der Clou an der Sache: Die
Zahl einzelner Knoten, aus
denen sich das große Object
Storage zusammensetzt, ist
beliebig. Selbst im laufenden
Betrieb ist es problemlos
möglich, neue Storage-Knoten
hinzuzufügen. Weil sich
die Object-Storage-Software
außerdem um das Thema
Redundanz intern kümmert
und der ganze Aufbau gut
mit Standard-Hardware funktioniert,
vereint solch eine
Lösung die Vorteile von SANs
Scale up
oder DRBD-Storages mit denen nahtloser
Skalierbarkeit in die Breite. RADOS
tritt zusammen mit dem dazugehörigen
Dateisystem Ceph an, um der Platzhirsch
auf diesem Gebiet zu werden.
Wie RADOS funktioniert
Scale out
Abbildung 1: Der Unterschied zwischen vertikaler und horizontaler Skalierung.
möglichen es Clients, später sich selbst
auszurechnen, welches OSD zu kontaktieren
ist, um an eine bestimmte Datei
zu kommen. MONs kümmern sich im
Stile eines PAXOS-Clusters auch darum,
die Funktionstüchtigkeit von RADOS im
Hinblick auf ein vorhandenes Quorum
sicherzustellen.
3. Metadata Server (MDS): Sie bieten
POSIX-Metadaten zu Objekten im RADOS
Object Store für Ceph-Clients an.
Und was ist Ceph?
Die meisten Beiträge zu RADOS sind ausschließlich
mit Ceph übertitelt, was zu
einiger Verwirrung führt. Um das Verhältnis
von RADOS und Ceph zu verstehen,
ist eine Aussage von Sage A. Weil
sehr hilfreich: RADOS und Ceph sind
zwei Teile der gleichen Lösung, wobei
RADOS der „untere“ Teil und Ceph der
„obere“ Teil der Lösung ist. So viel steht
fest: Der schönste Object Store ist nichts
wert, wenn er keine Möglichkeit bietet,
an die in ihm abgelegten Daten wieder
heranzukommen. Ceph bietet für RADOS
genau das: Es ist ein Dateisystem, das
im Hintergrund auf den Object Store zugreift
und so dessen Daten direkt aus
Applikationen heraus nutzbar macht. Die
Metadata-Server greifen Ceph bei dieser
Aufgabe unter die Arme: Sie bieten die
laut POSIX-Standard nötigen Meta-Daten
zu jeder Datei, auf die Ceph zugreift,
wenn ein Benutzer eine Datei über Ceph
anfordert. Das Chaos hinsichtlich der
Namen von RADOS & Ceph verwirrt; offensichtlich
ist man bei Dreamhost erst
in einem späteren Stadium darauf gekommen,
dass sich RADOS selbst auch
als Backend für andere Werkzeuge als
ein Dateisystem einsetzen
lässt. Oft genug ist auch in
den offiziellen Anleitungen
von Dream host lediglich von
„Ceph“ die Rede, obwohl
RADOS und Ceph gemeint
sind.
Das erste RADOS-
Setup
Grau ist alle Theorie, und auch
das Verständnis von RADOS
und Ceph gelingt am lebenden
Objekt wesentlich leichter
www.admin-magazin.de
Admin
Ausgabe 03-2012
47

Storage
Ceph/​RADOS
als in der Beschreibung. Ein vollständiges
RADOS-Ceph-Setup braucht nicht viel:
Drei Server mit lokalem Storage genügen.
Die Zahl Drei steht im Zusammenhang
damit, dass RADOS sich um das Thema
Hochverfügbarkeit selbstständig kümmert:
Über die schon erwähnte PAXOS-
Implementation stellen die MONs sicher,
dass stets mehr als eine Kopie eines Objektes
innerhalb eines RADOS-Clusters
verfübar ist. Zwar ließe sich auch ein
einzelner Knoten zu einem RADOS-Store
machen, mit der Hochverfügbarkeit wäre
es dann allerdings vorbei. Ein RADOS-
Cluster aus zwei Knoten ist noch kritischer:
Dieser erreichte im Normalfall
zwar durchaus ein Quorum, aber der
Ausfall eines einzelnen Knotens würde
im Anschluss auch den anderen Knoten
unbrauchbar machen, weil RADOS ein
Quorum braucht, es mit einer Instanz
aber per Definition nicht erreichen kann.
Erst mit drei Knoten ist man auf der sicheren
Seite, weil der Ausfall eines Knotens
hier kein Problem ist.
Es spricht übrigens überhaupt nichts
dagegen, sich anfangs auf rein virtuellen
Maschinen mit RADOS zu beschäftigen –
Funktionen, die spezielle Hardware-Features
brauchen, gibt es in RADOS nicht.
Die Software besorgen
Am Anfang der Arbeit steht freilich die
Installation von RADOS & Ceph. Ceph,
das auf Linux-Systemen ein ganz normaler
Dateisystem-Treiber ist, so wie beispielsweise
auch Ext3 oder Ext4, ist seit
Linux 2.6.34 fixer Bestandteil des Linux-
Kernels und steht somit auf allen Distributionen
mit diesem oder einem neueren
Kernel zur Verfügung (Abbildung 2). Mit
RADOS sieht es etwas weniger rosig aus –
Abbildung 2: Nach dem Laden des »ceph«-Kernelmoduls
steht das Dateisystem auf Linux zur Verfügung.
Seit 2.6.34 ist es Bestandteil des Kernels.
in der Dokumentation [1] finden sich für
alle gängigen Distributionen allerdings
fertige Pakete oder zumindest Installationsanleitungen.
Vorsicht: Obwohl jeweils
von „ceph“ die Rede ist, enthalten
die entsprechenden Pakete auch alle für
RADOS notwendigen Bestandteile. Sind
die Pakete installiert, geht es mit den
Vorbereitungen für RADOS weiter.
OSDs vorbereiten
RADOS braucht OSDs – wie bereits
erwähnt, kann jeder Ordner in einem
Dateisystem als OSD fungieren. Allerdings
muss das jeweilige Dateisystem
Extended Attributes beherrschen. Die
RADOS-Autoren selbst empfehlen Btrfs,
erwähnen aber auch XFS als Alternative
für alle, denen Btrfs noch zu heiß ist.
Der Einfachheit halber geht dieses Beispiel
im Folgenden davon aus, dass auf
drei Servern jeweils ein Verzeichnis in
»/srv« namens »osd.ID« existiert, wobei
ID jeweils durch den Hostname des Servers
zu ersetzen ist. Heißen die drei Server
»alice«, »bob« und »charlie«, gäbe es
auf »alice« den Ordner »/srv/osd.alice«
und so weiter. Soll ein extra für diesen
Zweck angelegtes lokales Dateisystem
zum Einsatz kommen, so ist darauf zu
achten, dass dieses unter »/srv/osd.ID«
gemountet ist. Zu guter Letzt sollte auf jedem
der Hosts in »/srv« auch ein Ordner
»mon.ID« vorhanden sein, wobei ID wie
zuvor durch den tatsächlichen Hostname
zu ersetzen ist.
Für dieses Beispielsetup könnte die zentrale
RADOS-Konfiguration in »/etc/ceph/
ceph.conf« aussehen wie in Listing 1.
Die Konfigurationsdatei legt die folgenden
Details fest: Jeder der drei Hosts stellt
einen OSD sowie einen MON-Server zur
Verfügung, auf Host alice läuft zusätzlich
ein MDS, damit eventuelle Clients
mit Ceph später die benötigten POSIXkompatiblen
Metadaten vorfinden. Die
Authentifizierung zwischen den Knoten
findet verschlüsselt statt, der passende
Keyring liegt im Ordner »/etc/ceph« und
trägt im Beispiel den Namen »$name.
keyring«, wobei »name« von RADOS später
automatisch durch den tatsächlichen
Wert ersetzt wird.
Wichtig ist, dass die Knoten des RADOS-
Clusters sich untereinander jeweils über
die in »ceph.conf« verwendeten Hostnames
direkt erreichen, sodass im Falle eines
Falles »/etc/hosts« um entsprechende
Einträge zu erweitern ist. Außerdem muss
für den Aufruf von »mkcephfs« später
Listing 1: Beispielhafte »/etc/ceph/ceph.conf«
01 [global]
02 auth supported = cephx
14
15 [mon.a]
03 keyring = /etc/ceph/$name.keyring
16 host = alice
04
17 mon addr = 10.42.0.101:6789
05 [mon]
06 mon data = /srv/mon.$id
18
19 [mon.b]
07
20 host = bob
08 [mds]
21 mon addr = 10.42.0.102:6789
09
10 [osd]
11 osd data = /srv/osd.$id
22
23 [mon.c]
24 host = charlie
12 osd journal = /srv/osd.$id.journal
25 mon addr = 10.42.0.103:6789
13 osd journal size = 1000
26
27 [osd.0]
28 host = alice
29
30 [osd.1]
31 host = bob
32
33 [osd.2]
34 host = charlie
35
36 [mds.a]
37 host = alice
48 Ausgabe 03-2012 Admin www.admin-magazin.de

Ceph/​RADOS
Storage
Abbildung 3: Welche Ceph-Dienste auf einem Host laufen, lässt sich mittels »ps« herausfinden. Im Beispiel ist der Host sowohl ODS wie auch MON und MDS.
der Login als »root« auf allen RADOS-
Knoten klappen und »root« sollte »sudo«
ohne eine zusätzliche Passwortabfrage
auf sämtlichen Knoten aufrufen können.
Wenn das der Fall ist, folgt im nächsten
Schritt das Anlegen des Keyrings, damit
sich die RADOS-Knoten untereinander
autentifizieren können: »mkcephfs ‐a ‐c /
etc/ceph/ceph.conf ‐k /etc/ceph/admin.
keyring«.
Der nächste Schritt besteht darin, sicherzustellen,
dass »ceph.conf« auf allen
Hosts vorhanden ist, die zum Cluster gehören
(Abbildung 3). Ist das der Fall, ist
auf sämtlichen Servern bloß noch RADOS
selbst zu starten, was mittels »/etc/
init.d/ceph start« geschieht. Nach einigen
Sekunden sollten sich die drei Knoten
als Cluster zusammengefunden haben,
überprüfen lässt sich das per »ceph ‐k
/etc/ceph/admin.keyring ‐c /etc/ceph/
ceph.conf health«, das eine Ausgabe wie
in Abbildung 4 auf den Bildschirm befördern
sollte.
Das Dateisystem per Ceph
mounten
Weiter geht es damit, das frisch angelegte
Dateisystem auf einem anderen
Host an einem der RADOS-Knoten zu
mounten. Das geht wie gewohnt mit »
mount« – als Zielhost dient jeweils einer
der MON-Server, im Beispiel also
»alice«, deren MON-Adresse in »ceph.
conf« auf »10.42.0.101:6789« festgelegt
ist. Weil die Cephx-Autentifizierung
zum Einsatz kommt, gilt es vorher,
die von Ceph automatisch generierten
Login-Credentials für den Mount herauszufinden.
Dazu dient der folgende
Befehl auf einem der RADOS-Knoten:
»ceph‐authtool ‐l /etc/ceph/admin.keyring«
gibt die Credentials aus. Dann folgt
der eigentliche Mountvorgang: »mount
‐t ceph 10.0.0.1:6789:/ /mnt/osd ‐vv ‐o
name=admin,secret=Schlüssel«, wobei
»Schlüssel« durch den Wert von »key«
zu ersetzen ist, den das vorangegangene
Kommando ergeben hat. Der Mountpoint
im Beispiel ist »/mnt/osd«, das im Anschluss
als ganz normales Verzeichnis
benutzt werden kann.
Die Crush Map
RADOS und Ceph benutzen im Hintergrund
einige Magie, die das Setup gegen
Ausfälle aller Art absichern soll. Das fängt
schon beim Mount an: Jeder der vorhandenen
MON-Server kann als Mountpoint
Verwendung finden, allerdings bedeutet
das nicht, dass die Kommunikation anschließend
stets nur zwischen dem Client
und diesem spezifischen MON stattfindet.
Stattdessen erhält Ceph auf dem
Client vom kontaktierten MON-Server die
MON- und die OSDmap und rechnet sich
anschließend selbst aus, welchen OSD
er für eine bestimmte Datei am besten
verwendet, und wickelt mit eben diesem
OSD die Kommunikation direkt ab.
Ein weiterer Schritt zur Erhöhung der Redundanz
ist die Crush Map. In ihr ist festgelegt,
welche Hosts zu einem RADOS-
Cluster gehören, wie viele OSDs dort
vorhanden sind und wie Daten auf diese
Hosts sinnvollerweise aufzuteilen sind.
Über die Crush Map wird RADOS Rack-
Aware und Admins haben die Möglichkeit,
die interne Replikation von RADOS
im Hinblick auf einzelne Server, Racks
oder Sicherheitszonen im Rechenzentrum
zu manipulieren. Auch das im Beispiel
Abbildung 4: Ob der RADOS-Paxos-Cluster funktioniert, lässt sich mittels der Ceph-eigenen „health“-Option
herausfinden.
angelegte Setup hat eine rudimentäre
Default Crush Map. Die Beschreibung
aller Crush-Map-Optionen wird im zweiten
Teil dieses Artikels im nächsten Heft
ausführlich erklärt; dabei wird es auch
darum gehen, innerhalb des RADOS-
Stores verschiedene Pools einzurichten,
also den großen Brocken Speicherplatz
in mehrere kleine Teile aufzusplitten. Wer
sich bis dahin mit der Crush Map genauer
befassen möchte, findet im Ceph-Wiki
unter [2] die wichtigsten Informationen
für den Einstieg.
Das bestehende Setup
erweitern
Wie verhält es sich nun also mit der
Erweiterung eines RADOS-Clusters um
weitere Knoten, um den verfügbaren
Speicherplatz zu vergrößern? Angenommen,
das Beispielsetup sei um den Knoten
»daisiy« zu erweitern, so besteht der
erste Schritt darin, für diesen Knoten eine
ID festzulegen. Im Beispiel sind die IDs
null bis drei bereits vergeben, sodass der
neue Knoten die ID vier erhält, was mit
»ceph osd create 4« geschieht.
Im Anschluss sind die vorhandenen
»ceph.conf«-Dateien auf sämtlichen
schon vorhandenen Clusterknoten so zu
erweitern, dass ein Eintrag für Daisy dort
vorhanden ist. Auf daisy selbst ist dazu
die Ordnerstruktur anzulegen, die für die
Arbeit als OSD notwendig ist, insbesondere
also die Verzeichnisse in »/srv« analog
zu den bisherigen Beispielen dieses
Artikels. Danach ist die neue »ceph.conf«
in den Ordner »/etc/ceph« auf daisy zu
kopieren.
Damit daisy weiß, welche MON-Struktur
vorhanden ist – sie selbst muss sich in
weiterer Folge an einem existierenden
MON registrieren – benötigt sie eine aktuelle
Version der MONmap (Abbildung
5) des existierenden RADOS-Clusters.
Diese ist auf einem der existierenden
RADOS-Knoten per »ceph mon getmap
‐o /tmp/monmap« auszulesen und dann
www.admin-magazin.de
Admin
Ausgabe 03-2012
49

Storage
Ceph/​RADOS
G Abbildung 5: Die Monmap enthält Informationen darüber, welche MONs
innerhalb eines RADOS-Clusters bereits vorhanden sind. Neue OSDs benötigen
diese Information unbedingt.
E Abbildung 6: Mittels »ceph auth list« gibt Ceph preis, welche Keys eine MON-
Instanz bereits kennt und was die Credentials dem Knoten erlauben.
auf Daisy per »scp« zu kopieren (das Beispiel
geht davon aus, dass sie auch auf
daisy in »/tmp/monmap« landet). Dann
folgt die Initialisierung des OSD-Verzeichnisses
auf Daisy: »ceph‐osd ‐c /etc/ceph/
ceph.conf ‐i 4 ‐‐mkfs ‐‐monmap /tmp/
monmap ‐‐mkkey«. Hätte der zusätzliche
Clusterknoten eine andere ID als vier, so
wäre dieser Wert hinter -i entsprechend
einzusetzen.
Schließlich lernt der schon bestehende
Cluster den neuen Knoten kennen (Abbildung
6). Im Beispiel existiert auf
»daisy« nach dem letzten Befehl eine Datei
namens »/etc/ceph/osd.4.keyring«,
die mittels »scp« auf einen der bereits
existierenden MONs zu kopieren ist. Danach
bindet »ceph auth add osd.ID osd
'allow *' mon 'allow rwx' ‐i /etc/ceph/
osd.4.keyring« auf eben diesem Knoten
den neuen OSD in die bestehende Autentifizierungsstruktur
ein. Indem per
»/etc/init.d/ceph« auf daisy RADOS in
Gang gesetzt wird, meldet sich der neue
OSD am existierenden RADOS-Cluster
an. Der allerletzte Schritt ist, die vorhandene
Crush Map anzupassen, sodass der
neue OSD tatsächlich auch verwendet
wird. Das geschieht im Beispiel mit »ceph
osd crush add 4 osd.4 1.0 pool=default
host=daisy« – danach ist das neue OSD
Bestandteil des existierenden RADOS/​
Ceph-Clusters.
Zwischenfazit
Es ist nicht besonders kompliziert, die
Kombination aus RADOS und Ceph erstmalig
einsatzbereit zu machen. Diese Art
der Konfiguration lässt aber auch viele
der großartigen
Funktionen, die
RADOS ab Werk
bietet, komplett ungenutzt. So bietet die
schon erwähnte Crush-Map-Funktionalität
die Möglichkeit, riesige RADOS-Setups
über ganze Racks in Rechenzentren zu
deployen und obendrein intelligent ausfallsicher
zu machen. Indem RADOS zudem
die Möglichkeit bietet, seinen Speicher
in einzelne Pools variabler Größe
aufzuteilen, ist eine weitere Granulierung
im Hinblick auf jeweils unterschiedliche
Aufgaben und Zielgruppen möglich.
Unerwähnt geblieben sind bisher auch
die RADOS-Frontends weit jenseits von
Ceph. Fakt ist: Ceph ist ein Frontend von
vielen, in diesem Falle erlaubt es den
Zugriff auf Dateien innerhalb des Object
Stores über den Umweg eines Linux-
Dateisystems.
Es stehen allerdings noch einige andere
Optionen im Raum, um an Daten
in RADOS heranzukommen: Das Rados
Block Device, kurz »rbd« ist beispielsweise
gut, wenn Zugriff auf Dateien im
Object Store auf Block-Device-Ebene passieren
soll. Das ist unter anderem bei
virtuellen Maschinen der Fall, die meist
Block-Devices als Backend für ihre virtuellen
Festplatten akzeptieren und so die
langsamere Lösung mit Images umgehen.
RADOS wird auf diese Weise zum
umfassenden Storage-System für große
Virtualisierungslösungen und löst für den
Admin ein weiteres Problem im Kontext
der Cloud. Apropos: Neben »rbd« stehen
über die »librados« auch verschiedene
Schnittstellen zum HTTP-Zugriff bereit,
so existiert eine Variante, die kompatibel
mit Amazons S3 ist genauso wie eine
Swift-kompatible Variante. Außerdem ist
ein generisches REST-Interface verfügbar.
An Schnittstellen zur Außenwelt mangelt
es RADOS insofern sicher nicht.
Ausblick
Der zweite Teil des Workshops wird sich
mit den RADOS-Details fernab von Ceph
und den gängigen Default-Setups beschäftigen
– vielleicht liegen die RADOS-
Ceph-Komponenten dann bereits in offiziell
stabilen und als „enterprise-ready“
markierten Versionen vor: Derzeit handelt
es sich noch um Vorserienversionen,
doch die Entwickler wollen laut eigener
Aussage in den nächsten Wochen die Version
1.0 auf den Markt bringen und so
ein in ihren Augen enterprise-taugliches
Release vorstellen. (jcb)
n
Infos
[1] Wiki-Seite mit Paketlinks für verschiedene
Distributionen: [http:// ceph. newdream.​
net/ docs/ master/ ops/ install/]
[2] Informationen zur Crush Map: [http:// ceph.​
newdream. net/ wiki/ Custom_data_placement_with_CRUSH]
Der Autor
Martin Gerhard Loschwitz arbeitet als Principal
Consultant bei hastexo. Er beschäftigt sich dort
intensiv mit Hochverfügbarkeitslösungen und
pflegt in seiner Freizeit den Linux-Cluster-Stack
für Debian GNU/​Linux.
50 Ausgabe 03-2012 Admin www.admin-magazin.de

Bei uns steht
Linux auf der
Tagesordnung!
Unsere Server sind getestet mit...
... Ubuntu
Debian
RedHat Enterprise Linux
CentOS
Suse Linux Enterprise Server usw...
Bernhard Seibold,
Senior Engineer
Thomas Krenn empfiehlt:
2HE INTEL DUAL-CPU SC826 SERVER mit Linux
Neueste Intel Westmere - CPUs, bis zu 3.33GHz und 6 Kerne pro CPU
Hochwertige, energieeffiziente Speichermodule, bis zu 192 GB möglich
HDDs bis zu 36 TB (Brutto) SAS-2 (6Gb/s) oder 24 TB (Brutto) SATA (3Gb/s)
Lesen Sie unser Testprotokoll mit allen Linux Distributionen unter:
www.thomas-krenn.com/sc826_testprotokoll
Nur bei uns!
EUR
ab 1.899,-
23.- 26. Mai
Berlin 2012
Thomas Krenn Open
Source Förderungen
Thomas Krenn steht für Server made in Germany. Wir
assemblieren und liefern europaweit innerhalb von 24
Stunden. Unter www.thomas-krenn.com können Sie
Ihre Server individuell konfi gurieren.
Unsere Experten sind rund um die Uhr für Sie unter
+49 (0) 8551 9150-0 erreichbar
(CH: +41 (0) 848207970, AT +43 (0) 7282 20797-3600)
Made in Germany!
Verkauf erfolgt ausschließlich an Gewerbetreibende, Firmen, Freiberufler (Ärzte, Rechtsanwälte etc.), staatliche Institutionen und Behörden. Druckfehler, Irrtümer und Änderungen in Preis und Ausstattung vorbehalten.
Unsere Versandkosten richten sich nach Gewicht und Versandart. Genaue Preisangaben finden Sie unter: www.thomas-krenn.com/versandkosten. Thomas-Krenn.AG, Speltenbach-Steinäcker 1, D-94078 Freyung

Security
OpenVAS
© Guido Vrola, 123RF
Der Vulnerability Scanner OpenVAS
Vas-serdicht
Mit steigender Komplexität der IT-Infrastrukur sind Tools zur Schwachstellenanalyse (Vulnerability Scanner) unverzichtbar.
Wer als Admin nicht gerade eine Umschulung zum Profi-Hacker anstrebt, vertraut für das Aufspüren
von Schwachstellen auf spezialisierte Software wie OpenVAS. Dieser Beitrag gibt einen Überblick über Installation
und Bedienung. Thomas Drilling
Das Open Vulnerability Assessment
System (OpenVAS) ist die derzeit am
weitesten verbreitete und mit Abstand
professionellste Open-Source-Lösung
zur Schwachstellen-Analyse. Das Programm
ist 2005 aus einer Abspaltung
des Nessus-Projekts hervorgegangen, das
vielen erfahrenen Administratoren noch
ein Begriff sein dürfte. Während viele
heute bekannte Open-Source-Lösungen
aus kommerziellen Projekten entstanden
sind, ging Nessus den umgekehrten Weg
und wechselte im Jahr 2005 mit Fertigstellung
der Version 3.0 zu einer kommerziellen
Lizenz.
Mit dieser Entscheidung des Projekt-
Teams um Nessus-Erfinder Renaud Deraison
ging der Open-Source-Gemeinde im
Jahr 2005 eines der bis dahin erfolgreichsten
Projekte verloren. Deraisons
Firma Tenable Security konzentriert sich
seitdem auf technischen Support und bietet
Schulungen zu Nessus an.
Neben der Aussicht, auf diese Weise
mehr Geld in die Firmenkasse zu spielen
erfordert die Pflege aktueller Sicherheitstests
nämlich auch entsprechende Ressourcen.
Die Brauchbarkeit eines Vulnerability
Scanners wie OpenVAS lebt vom
täglich aktualisierten Feed-Service, der
die Network Vulnerability Tests (NVTs)
in einem eigens definierten Format liefert
[7]. Stand April 2012 beinhaltet der freie
OpenVAS-Feed über 25 000 NVTs.
Freundlicherweise vermachten die
Nessus-Entwickler der Open-Source-
Gemeinde aber den bis dato (2005) bereits
seit sieben Jahren unter der GPL
stehenden Code der Nessus-Version 2.2,
auf dem das Nachfolge-Projekt Open-
VAS aufsetzt und bis heute weiterentwickelt
wird. Die derzeit aktuelle, stabile
OpenVAS-Version vom März 2011 ist
4.0. OpenVAS ist mit Ausnahme einiger
C++-Module fast durchgängig in C programmiert
und unter der GPLv2-Lizenz
verfügbar. Nessus selbst hat inzwischen
den Release-Stand 5.0 erreicht [2]. Übrigens
empfiehlt auch das Bundesamt
für Sicherheit in der Informationstechnik
(BSI) OpenVAS.
OpenVAS-Ableger und
Add-ons
Im Zusammenhang mit OpenVAS darf die
Osnabrücker Greenbone Networks GmbH
[3] nicht unerwähnt bleiben, deren Entwickler
nicht nur laut eigener Angabe
über 60 Prozent des OpenVAS-Teams ausmachen.
Das Geschäftsmodell der Osnabrücker
basiert auf der Entwicklung von
Sicherheitslösungen für Kunden, die ausschließlich
auf freier Software aufsetzen,
in der Hauptsache OpenVAS [4]. Einige
der interessantesten Tools und Add-ons
für OpenVAS unter der Bezeichnung
„Greenbone Security Solutions“ [5], wie
etwa das Webinterface »gsa« (Greenbone
52 Ausgabe 03-2012 Admin www.admin-magazin.de

OpenVAS
Security
Security Assistant), das Desktopinterface
»vmcc« (Vulnerability Management
Control Center) oder das erweiterte CLI-
Interface »vmbpi« (Vulnerability Management
Batch Process Integration) wurden
von Greenbone entwickelt, wie auch der
Greenbone Security Explorer [6], eine
interaktive, kartenbasierte, eigenständige
Webanwendung zum Analysieren eines
Scan-Reports. Die Greenbone-Utilities
sind je nach Distribution in der Regel
ebenfalls über die OpenVAS-Repos erhältlich
beziehungsweise Teil des jeweiligen
Gesamtpaketes.
OpenVAS-Architektur
Dem OpenVAS-Framework liegt eine relativ
komplexe Client/​Server-Architektur
zugrunde, in deren Zentrum der – im
Unterschied zu Nessus – nur für Linux
verfügbare OpenVAS-Server steht. Die
Zusammenhänge lassen sich der Abbildung
1 entnehmen.
Der OpenVAS-Server lädt beim Start automatisch
die verfügbaren Plugins, die
etwaige Sicherheitslücken auf dem zu
scannenden Host aufspüren. Die Plugins
sind in der Nessus-eigenen Skriptsprache
„Nessus Attack Scripting Language“
(NASL) geschrieben. Im praktischen Einsatz
verbindet sich der Admin mithilfe eines
Client-Interfaces mit dem Server und
erstellt für jeden Scan eine Session, in der
er jeweils die zu verwendenden Plugins,
den Zielhost und weitere Einstellungen
angibt. Nach dem Ausführen eines Scans
zeigt der Client eine Übersicht der Ergebnisse
in Form eines Reports, der etwa
Informationen über offene Ports (der
Admin kann dazu übrigens in OpenVAS
verschiedene Port-Scanner einbinden)
oder andere entdeckte Sicherheitslücken
enthält.
Zusätzlich verdeutlicht die Paket-Matrix
[8] auf der Download-Seite, welche
Komponenten im Einzelfall erforderlich
sind und wie die einzelnen Module zusammenarbeiten.
So gibt es zum Beispiel
den Client in einer CLI-Version sowie als
Desktopsoftware (auch für Windows)
und als Webinterface. Der OpenVAS-
Server läuft stets auf der Maschine,
die die eigentlichen Tests initiiert und
implementiert in der Version 4 die Services
„OpenVAS Scanner“ (Port 9391),
„OpenVAS Manager“ (Port 9390) und
Abbildung 1: Die OpenVAS-Architektur.
„OpenVAS Administrator“ (Port 9393).
Die Paket-Matrix gibt über die verfügbaren
Versionen Auskunft. Beim OpenVAS-
Scanner ist das in der Regel die Version
3.2, bei einigen Versionen aber auch nur
3.0 oder 3.2. Der OpenVAS-Manager kontrolliert
die Scanner über das „OpenVAS
Transfer Protocol“ (OTP) und lässt sich
selbst über das XML-basierte zustandslose
„OpenVAS Management Protocol“
(OMP) ansprechen.
Genau genommen ist die gesamte Intelligenz
der Lösung im OpenVAS Manager
implementiert. Der Manager kontrolliert
auch die SQLite-Datenbank, welche die
Konfiguration und sämtliche Scan-Ergebnisse
zentral auf dem Server speichert.
Der dritte auf dem OpenVAS-Server verfügbare
Dienst „OpenVAS-Administrator“
dient dem Verwalten beziehungsweise
Administrieren der OpenVAS-Umgebung
und lässt sich vom Client aus über das
„OpenVAS Administration Protocol“
(OAP) steuern.
Vulnerability Tests
Die Ziele seiner Scans legt der Admin
in einer Session fest. Zum Testen kommen
dabei vordefinierte Sicherheitstests,
sogenannte Network Vulnerability Tests
(NVTs) zum Einsatz. Eine praxisgerechte
Basisausstattung mit NVTs stellt das Paket
»openvas-plugins« zur Verfügung;
Abbildung 2: Der Desktop-Client basiert auf Nokia Qt – hier die „alte“ Version aus den Ubuntu-Repos.
www.admin-magazin.de
Admin
Ausgabe 03-2012
53

Security
OpenVAS
Abbildung 3: Das Webinterface von Greenbone.
tagesaktuelle NVTs besorgt sich der Admin
dann durch ein Synchronisieren mit
dem von den OpenVAS-Entwicklern angebotenen
Feed-Service, der auf Rsync
und Wget basiert. Neben dem freien
NVT-Feed des OpenVAS-Projekts gibt es
auch einen kommerziellen von Greenbone
betriebenen NVT-Feed.
Das Paket »libopenvasnasl« enthält sämtliche
von OpenVAS genutzten Shared-
Libaries und stellt damit funktional die
wichtigste Komponente dar. Die Paketmatrix
der OpenVAS-Downloadseite
zeigt, dass fast alle aktuellen OpenVAS-
Kompilationen auf der Library-Version 4
basieren.
Quickstart
Abbildung 4: Vor dem ersten Start eines Clients muss der Administrator auf dem
OpenVAS-Server einen Benutzer anlegen.
OpenVAS findet sich auch in den Standard-Paketquellen
vieler Distributionen.
Für einen Schnellstart unter Ubuntu kann
der Admin beispielsweise auf dem vorgesehenen
Server die Pakete »openvas‐server«,
»openvasnasl2«, »openvas‐plugins‐base«
und »libopenvas2« installieren,
kommt dann aber
nur in den Genuss
der alten Version
2.
Da die Qualität der
Scan-Ergebnisse
von der Aktualität
der Scan-Engine
und der NVTs abhängt,
empfiehlt
es sich, die auf der
Download-Seite
von OpenVAS angebotenen
Paketquellen
und Installationsprozeduren
zu nutzen.
Sämtliche bisher
beschriebenen
Komponenten und
Module laufen auf
dem OpenVAS-
Server. Das Steuern, Konfigurieren und
Verwalten des Server hingegen erfolgt
von einem beliebigen Client über das
OMP-Protokoll. Bei dessen Wahl hat der
Admin wie beschrieben verschiedene
Möglichkeiten, nämlich ein CLI-Interface
und die Qt-basierte Desktop-Software, die
es wahlweise in einer Linux- und einer
Windows-Version gibt, beziehungsweise
den ebenfalls auf Qt basierenden Vorgänger
OpenVAS-Client (Abbildung 2).
Alternativ steht noch das Webinterface
„Greenbone Security Assistant“ zur Verfügung,
das nicht nur der Steuerung des
Managers via OMP dient, sondern als
OAP-Client auch den OpenVAS-Administrator
steuern kann (Abbildung 3).
Achtung: Obwohl „gsa“ funktional ein
weiterer OpenVAS-Client ist, muss der
Admin das zugehörige Paket »greenbone‐security‐assistant«
auf dem Server
installieren.
Der Greenbone Security Assistant ist ein
kompakter, auf hohe Sicherheit ausgelegter
Webservice, der dem Admin die
volle Funktionalität des OpenVAS-Managers
erschließt und mit jedem beliebigen
Webserver läuft. GSA arbeitet zustandslos,
also ebenfalls ohne Cookies,
Javascript oder andere aktive Inhalte und
nutzt zur Authentifizierung HTTP Basic
Authentication. Allerdings läuft gsa nur
mit Version 4 von OpenVAS, weil es auf
der »libopenvas4« aufsetzt, welche in der
aktuellen Version die beschriebene »libnasl2«
ersetzt.
Auf Wunsch mit SSL
Die Kommunikation sämtlicher Module
untereinander erfolgt auf Wunsch durchweg
gesichert via SSL. Für einen ersten
Test kann der Admin beispielsweise die in
vielen Distributionen enthaltene Version
2 von OpenVAS, inklusive der Version
2.0.5 des Qt-Clients nutzen, indem er beispielsweise
unter Ubuntu rasch das Paket
»openvas‐client« auf dem vorgesehen
Client-Rechner installiert. Vor der ersten
Verbindungsaufnahme muss er allerdings
auf dem OpenVAS-Server einen Benutzer
mit den zum Scannen erforderlichen
Rechten anlegen, etwa mit dem Befehl
»openvas‐adduser« (Abbildung 4). Das
CLI-Tool fragt den gewünschten Benutzernamen
samt Passwort ab und außerdem,
ob die Kommunikation ausschließ-
54 Ausgabe 03-2012 Admin www.admin-magazin.de

OpenVAS
Security
E Abbildung 5: Die Verbindungsaufnahme kann
beim ersten Mal etwas dauern, weil der Client etwa
im Beispiel der Version 2.05 (Ubuntu) rund 12000
Plugins importieren muss.
lich über Passwort oder verschlüsselt via
SSL ablaufen soll. In letzterem Fall generiert
es die benötigten Zertifikate.
Das Anlegen eines Benutzers beinhaltet
auch das Festlegen von Scan-Regeln im
interaktiven CLI-Modus. Mit
accept 192.168.0.0/24
erlaubt der Admin dem Benutzer »drilling«
beispielsweise das Scannen aller
Hosts im lokalen Class-C-Netz. Selbstverständlich
lassen sich die Berechtigungen
auch gezielt und granular einschränken.
Das Anlegen der Regeln lässt sich mit
[Ctrl]+[D] beenden, und der Admin
landet wieder auf der Kommandozeile.
Jetzt ist eine Verbindung vom Client
zum Server möglich (Abbildung 5). Ein
erster Test-Scan lässt sich einfach mit
dem Scan Assistant konfigurieren, der
die Adresse des Zielhosts erwartet. Zum
Ausführen eines Tests klickt der Admin
im letzten Schritt des Assistenten auf
die Schaltfläche »Ausführen« oder auf
rz lam-0018 Anzeige_210x148:la1 lam-0010 Anzeige_210x148 18.08.2010 15:26 Uhr Seite 1
das zugehörige Symbol rechts oben in
der Werkzeugleiste. Nach Fertigstellung
des Tests zeigt der Client die Ergebnisse
im Reiter »Report« an (Abbildung 6).
Selbstverständlich muss der Admin dazu
„Es gibt drei Möglichkeiten, eine Firma zu ruinieren:
mit Frauen, das ist das Angenehmste;
mit Spielen, das ist das Schnellste;
mit Computern, das ist das Sicherste.“
Oswald Dreyer-Eimbcke, deutscher Unternehmer
Es gibt allerdings auch eine ganze Reihe von Möglichkeiten, mit IT zum Unternehmenserfolg beizutragen.
Und genau damit beschäftigen wir uns seit dem Jahr 1989. In weit über 100.000 Stunden IT-Training,
technischem Consulting und Software-Entwicklung haben wir eine ganze Menge Know-how entwickelt.
Dieses umfassende Wissen kommt Ihnen heute zugute, wenn wir Sie in allen IT-Fragen unterstützen.
Wie Sie von unserem Know-how profitieren, erfahren Sie unter www.lamarc.com.
Rufen Sie uns an +49 611 26 00 23 oder schicken eine E-Mail an info@lamarc.com
Seminare OnSite Coaching Netzwerk Consulting System Consulting Developer Support Software-Entwicklung
www.admin-magazin.de
Admin
Ausgabe 03-2012
55

Security
OpenVAS
Bindet er das Repository auf dem Client
eine, kann er auch dort die gewünschten
Programme installieren.
sudo apt‐get install gsd openvas‐cli
Soll die Kommunikation zwischen den
beteiligten Komponenten verschlüsselt
ablaufen, sind anschließend die benötigten
Zertifikate wie folgt zu generieren.
Abbildung 6: Lohn der Mühe: der Report von OpenVAS.
einen Account auf dem Zielsystem besitzen.
Außerdem ist für das Scannen
von Zielsystemen, die nicht Eigentum
des Admins oder seines Auftraggebers
sind, eine Genehmigung einzuholen. Zur
Sicherheit sind gefährliche Tests per Default
abgeschaltet.
Aktuelle OpenVAS-Version
Wer OpenVAS ernsthaft nutzen möchte,
sollte eine möglichst aktuelle Version
(derzeit 4 oder Beta 5) gemäß den Empfehlungen
auf der Download-Seite installieren.
Für Ubuntu und Open Suse gibt
es dazu je ein eigenes „OBS-Repository“.
Ubuntu/​Debian-Admins müssen vorher
noch ein Paket installieren:
sudo apt‐get ‐y install python‐U
software‐properties
Danach können Sie das Repository einbinden.
Im Unterschied zu den bis Redaktionsschluss
auf der OpenVAS-Downloadseite
verfügbaren Informationen, binden
Admins eines aktuellen Ubuntu-Systems
(11.10) die Paketquelle so ein:
sudo add‐apt‐repository "deb http://U
download.opensuse.org/repositories/securityU
:/OpenVAS:/STABLE:/v4/xUbuntu_11.10/ ./"
Die Nutzung des Open-Suse-Security-
Repository erfordert einen GnuPG-
Schlüssel:
sudo apt‐key adv ‐‐keyserver hkp://U
keys.gnupg.net ‐‐recv‐keys BED1E87979EAFD54
Nach dem Aktualisieren der Paketquellen
mit »sudo apt‐get update« bei Debian und
Ubuntu stehen im Paketmanager aktuelle
Versionen der zugehörigen Pakete zur Verfügung.
Der Admin kann die gewünschten
Pakete nun mit »apt‐get« oder einem
grafischen Paketmanager installieren:
sudo apt‐get ‐y install openvas‐managerU
openvas‐scanner openvas‐administrator U
greenbone‐security‐assistant sqlite3
xsltproc
test ‐e /var/lib/openvas/CA/cacert.pemU
|| sudo openvas‐mkcert ‐q
Das Unix-Kommando »test« überprüft
zuerst, ob ein Zertifikat schon existiert
und führt andernfalls das entsprechende
Skript aus. Bei der Gelegenheit kann der
Admin mit folgenden Befehl auch die angebotenen
NVTs auf den aktuellen Stand
bringen
sudo openvas‐nvt‐sync
Vorausgesetzt der Admin hat den ersten
User (im Beispiel »drilling«) wie oben beschrieben
erzeugt, erzeugt er die Client-
Zertifikate mit (Abbildung 7):
test ‐e /var/lib/openvas/users/drillingU
|| sudo openvas‐mkcert‐client ‐n drilling ‐i
Wer beim Paketierungsschema von Open-
VAS 4 genau hinsieht, stellt auch fest,
dass es zur Inbetriebnahme nicht mehr
wie bei der Version 2 genügt, den Service
»openvas« zu starten. Stattdessen
muss man der Reihe nach die Services
OpenVAS-Scanner »openvassd«, Open-
VAS-Manager »openvasmd« und Open-
VAS-Administrator »openvasad« aktivieren.
Dazu ist es nötig, einmalig Folgendes
einzugeben:
Abbildung 7: Das Generieren der Client-Zertifikate für die SSL verschlüsselte Verbindungsaufnahme.
56 Ausgabe 03-2012 Admin www.admin-magazin.de

OpenVAS
Security
sudo openvassd
sudo openvasmd ‐‐migrate
sudo openvasmd ‐‐rebuild
sudo killall openvassd
sleep 15
Die benötigten Dienste lassen sich dann
künftig mit
sudo service openvas‐scanner start
sudo service openvas‐manager start
sudo service openvas‐administrator restart
starten. Möchte der Admin das Webinterface
»gsa« nutzen, startet er den zu
gehörigen Service »gsad«, vorausgesetzt
das Paket »greenbone‐security‐assistant«
ist auf dem Server installiert, mit:
sudo /etc/init.d/greenbone‐security‐U
assistant start
Das Anlegen eines administrativen Users,
zum Beispiel »admin«, übernimmt für
Version 4
test ‐e /var/lib/openvas/users/admin ||U
sudo openvasad ‐c add_user ‐n admin ‐r Admin
wobei hinter »‐r« das sogenannte Rules-
File folgt, hier »Admin«. Alternativ steht
auch das oben im Zusammenhang mit
der Version 2 beschriebene Kommando
»openvas‐adduser« zur Verfügung.
Arbeiten mit OpenVAS
Im täglichen Betrieb arbeitet der Admin
ausschließlich wahlweise via CLI, der
Desktop-Anwendung »gsd« (Abbildung
8) oder dem Webinterface »gsa«, das unter
»https://Server:9392« erreichbar ist.
Im Test gelang die Anmeldung am Web-
interface nicht auf Anhieb. Der Grund
dafür war in der Konfiguration »/etc/
default/greenbone‐security‐assistant« zu
finden. Hier muss die Default-Einstellung
»GSA_ADDRESS=127.0.0.1« auf die korrekte
IP-Adresse des Servers geändert
werden, weil das Login sonst nur an
Localhost möglich ist. Wer im lokalen
Netz auf die Verschlüsselung zwischen
Webinterface und Manager verzichten
will, muss zudem in derselben Datei die
Option »HTTP_ONLY=1« einbauen, im
Startskript »/etc/init.d/greenbone‐security‐assistant
«die Zeile
[ "$GSA_ADDRESS" ] && DAEMONOPTS=U
"‐‐listen=$GSA_ADDRESS"
durch
Troubleshooting
Für den Fall, dass eine Komponente des
OpenVAS-Stacks nicht startet oder andere
Probleme auftreten, stellt das OpenVAS-
Team unter [9] ein Skript zur Verfügung,
das die Installation prüft und Hinweise zur
Problemlösung liefert. Der Admin kann das
Skript einfach per Copy-and-Paste in den
Editor seiner Wahl kopieren, unter dem Namen
»openvas‐check‐setup« speichern, mit
»chmod +x openvas‐check‐setup« ausführbar
machen und anschließend starten. Der Aufruf
»./ openvas‐check‐setup« checkt eine Open‐
VAS-4-Installation, »./ openvas‐check‐setup
‐v5« hilft bei OpenVAS-5. Das Skript prüft
unter anderem, ob die erforderlichen Open‐
VAS-Dienste laufen und Verbindungen auf den
richtigen Ports entgegennehmen.
[ "$GSA_ADDRESS" ] && DAEMONOPTS=U
"‐‐http‐only"
Abbildung 8: Der Greenbone Security Desktop ist eine Desktop-Anwendung zur Steuerung von OpenVAS.
ersetzen und »gsa« anschließend mit
»/ etc/init.d/greenbone‐security‐assistant
restart« neu starten. Alternativ kann der
Admin auch mit dem Greenbone Security
Desktop arbeiten, allerdings als normaler
User, nicht als Root. Hierzu genügt es, auf
dem Client-Host »gsd« einzugeben und
sich dann anzumelden.
Zum Erstellen einer neuen Scan-Konfiguration
kann der Admin entweder den
beschriebenen Assistenten nutzen oder
eine neue Scan-Konfiguration in der Liste
anlegen. Eine detaillierte Anleitung zur
Schwachstellenanalyse sprengt allerdings
des Rahmen des Beitrages und erfordert
weitreichende administrative Unix-Kenntnisse
und fundiertes Netzwerkwissen.
Fazit
Nessus war viele Jahre eines der erfolgreichsten
Open-Source-Projekte und hat
in OpenVAS einen würdigen Nachfolger
gefunden. Im Sektor professionelle
Schwachstellenanalyse mit Open-Source-
Werkzeugen gibt es keine Alternative zu
OpenVAS. Besonders erwähnenswert ist
hierbei das Engagement der Entwickler
von der Firma Greenbone, die nicht nur
die OpenVAS-Entwicklung vorantreiben,
sondern der Community auch leistungsfähige
Add-ons wie das das Webinterface
»gsa« oder den neuen Qt-Client »gsd« zur
Verfügung stellen. (ofr)
n
Infos
[1] OpenVAS: [http:// www. openvas. org]
[2] Nessus 5: [http:// www. tenable. com/​
products/ nessus/ nessus‐product‐overview]
[3] Greenbone Security Feed:
[http:// greenbone. net/ solutions/ gbn_feed.​
de. html]
[4] Greenbone OpenVAS: [http:// greenbone.​
net/ technology/ openvas. de. html]
[5] Greenbone Security Assistant:
[http:// greenbone. net/ technology/ tool_architecture.
de. html]
[6] Greenbone Security Explorer: [http://​
greenbone. net/ technology/ gse. de. html]
[7] OpenVAS Feed Service: [http:// www.​
openvas. org/ openvas‐nvt‐feed. html]
[8] OpenVAS-Download-Seite:[http:// www.​
openvas. org/ install‐packages. html]
[9] OpenVAS Check Setup:
[https:// svn. wald. intevation. org/ svn/​
openvas/ trunk/ tools/ openvas‐check‐setup]
www.admin-magazin.de
Admin
Ausgabe 03-2012
57

Security
Tomoyo Linux
© jtanki, 123RF
Mandatory Access Control mit Tomoyo Linux
Japanischer
Sheriff
Fast jede halbwegs aktuelle Linux-Distribution enthält einen kleinen
japanischen Sheriff. Er sperrt auf Wunsch jeden Prozess in ein eigenes Gefängnis,
beobachtet alle seine Aktionen und hilft so nebenbei auch gleich
noch beim Debugging. Im Gegensatz zu anderen Sicherheitslösungen ist
seine Bedienung zudem relativ einfach. Tim Schürmann
Anders als man meinen könnte, handelt
es sich bei Tomoyo Linux nicht um
eine komplette Linux-Distribution, sondern
um ein Kernel-Modul für Linux.
Es kann den laufenden Prozessen direkt
auf die Finger schauen und bei Bedarf
ihre Zugriffe und Aktionen einschränken
(Mandatory Access Control, kurz MAC).
Hinzu kommen noch ein paar Kommandozeilenwerkzeuge,
mit denen der Administrator
Tomoyo konfiguriert. Was
ein Prozess darf und was nicht, legen
Sicherheitsregeln fest, die man entweder
von Hand anlegt oder Tomoyo Linux
halbautomatisch in einem Lernmodus
ermitteln lässt. In diesem beobachtet Tomoyo
ein Programm eine Zeit lang und
erlaubt dann die in diesem Zeitraum von
ihm ausgeführten Aktionen – alle anderen
bleiben verboten.
Bereits 2003 entwickelte die japanische
NTT Data Corporation (ein Ableger des
japanischen Telefongiganten Nippon
Telegraph and Telephone, NTT) einen
Kernel-Patch, der recht einfach Prozesse
sowohl maßregeln als auch ihr Verhalten
unter die Lupe nehmen konnte. Wer
diese erste Version von Tomoyo nutzen
wollte, musste sich folglich seinen eigenen
Kernel erstellen.
Seit der Kernel-Version 2.6.0 sollen Sicherheitsmodule
die dafür geschaffene,
einheitliche LSM-Schnittstelle verwenden
(Linux Security Modules [2]), die auch
von anderen bekannten Sicherheitssysteme
wie SELinux, AppAmor und SMACK
verwendet werden. Da die Integration
in den offiziellen Kernel lockte, passten
die Tomoyo-Entwickler ihr Modul an die
LSM-Schnittstelle an. Um jedoch restlos
alle Funktionen von Tomoyo-Linux portieren
zu können, hätte die LSM-Schnittstelle
erweitert werden müssen. Die
Entwickler entschlossen sich daher zu
einer für Administratoren folgenreichen
wie verwirrenden Maßnahme: Sie bieten
zwei Versionen von Tomoyo an, die unterschiedlich
viele Funktionen enthalten.
Die erste Tomoyo-Version ist weiterhin
erhältlich und bietet den gesamten Funktionsumfang.
Zum Redak tionsschluss aktuell
war die Version 1.8.3, die mit allen
Kerneln ab Version 2.4 arbeitet.
Fortschritt mit Verlust
Die zweite Version von Tomoyo ist bereits
Bestandteil aller Linux-Kernel ab Version
2.6.30 und nutzt die LSM-Schnittstelle.
Als Preis dafür bietet sie nicht alle Funktionen
der Tomoyo-Version 1. Vor allem
fehlen ihr einige MAC-Möglichkeiten:
Beispielsweise kann sie nicht den dynamischen
Linker (»ld«) kontrollieren.
Doch es kommt noch schlimmer: Die
unterschiedlichen Linux-Kernel enthalten
verschiedene Tomoyo-Versionen, die teilweise
unterschiedlich einzurichten und
zu steuern sind. Tabelle 1 fasst zusammen,
welche Tomoyo-Versionen in welchen
Kerneln schlummern. Die größten
Leistungsunterschiede im Vergleich zur
Version 1.x weisen die Tomoyo-Versionen
2.2.x und 2.3.x auf, in der aktuellen Version
2.5 fehlen nur noch wenige Funktionen.
Dummerweise ist die Version 2.5
erst in Linux-Kernel 3.2 enthalten, der
wiederum nur in wenigen Distributionen
anzutreffen ist. Wer es ganz genau
wissen will, findet eine ausführliche Gegenüberstellung
der einzelnen Tomoyo-
60 Ausgabe 03-2012 Admin www.admin-magazin.de

Tomoyo Linux
Security
Versionen und ihrer Funktionen unter
[3]. Die Version 1.8.x bieten die Tomoyo-
Entwickler für einige ausgewählte Distributionen
als fertige Pakete an, darunter
Fedora, Open Suse, Debian, Ubuntu (sogar
ab Version 8.04) und RHEL beziehungsweise
Cent OS. Die Pakete gibt es
allerdings durchweg nur für eine 32-Bit-
Standard-Installation, die Pakete für Fedora
16 und RHEL 6.2 setzen hingegen
ein 64-Bit-System voraus. Darüber hinaus
ersetzen die Pakete den kompletten Kernel.
Bei Sicherheitsaktualisierungen ist
man folglich auf das Tomoyo-Projekt angewiesen
– oder man erstellt doch wieder
seinen eigenen Kernel. Wer erst einmal
testen möchte, ob Tomoyo Linux 1.8.x
diesen Aufwand wert ist, kann das mit
einer vom Projekt bereitgestellten LiveCD
tun. Unter [4] warten jeweils ein entsprechend
präpariertes Ubuntu 10.04, CentOS
5.8 und CentOS 6.2.
Scharfmacher
Bei einem Produktivsystem ist es normalerweise
die bessere Lösung, das schon
im Kernel eingebaute Tomoyo Linux zu
verwenden. So ist diese Variante nicht
nur wesentlich leichter in Betrieb zu
nehmen, die Distributoren übernehmen
In jedem Fall sollte man einen Blick in
das Verzeichnis »/etc« werfen. Dort sollte
es ein Unterverzeichnis »tomoyo« mit
mehreren Konfigurationsdateien geben.
Andernfalls erzeugt sie das Skript »/usr/
lib/tomoyo/init_policy«, unter Tomoyo
2.2 bemüht man »/usr/lib/tomoyo_init_
policy«.
Auf 64-Bit-Systemen versteckt sich das
Skript auch manchmal in »/usr/lib64«. Es
eignet sich übrigens auch hervorragend
dazu, eine verkorkste Tomoyo-Konfiguration
wieder in ihren Ausgangszustand
zu versetzen. Dazu löscht man das Verauch
die Wartung. Ob der eigene Kernel
Tomoyo Linux mitbringt, ermittelt man
schnell mit einem der Befehle aus Tabelle
2. Wenn Tomoyo im Kernel vorhanden
ist, gibt er eine mehr oder weniger kryptische
Zeichenkette, ein »T« und dann
einen Begriff mit »tomoyo« aus (wie in
Abbildung 1). Andernfalls bleibt die Konsole
stumm.
Ein Sonderfall ist das aktuelle CentOS
6.2. Es enthält noch den Kernel 2.6.32,
für das eigentlich keine der Tomoyo-
Versionen aus der 2.x-Reihe vorgesehen
ist (siehe Tabelle 1). Hier bleibt nur die
angesprochene LiveCD zu nutzen oder
mithilfe des vom Tomoyo-Projekt bereitgestellten
RPM-Pakets den Kernel auszutauschen.
Tools und Grub
Tabelle 1: Derzeit erhältliche Tomoyo-Versionen
Ist Tomoyo Linux einsatzbereit, müssen
als Nächstes die Kommandozeilenwerkzeuge
her. Die meisten Distributionen
führen sie im Paket »tomoyo‐tools«,
das man nur noch über den Paket manager
einspielen muss.
In Ubuntu taucht es allerdings nicht
im Software Center auf, hier hilft die
Kommandozeile: »sudo apt‐get install
tomoyo‐tools«.
Tomoyo-Linux-Version Kernel-Version Enthalten unter anderem in
1.8.x 2.4.37, 2.6.27 bis 2.6.39 und 3.0
2.2.x. 2.6.30 bis 2.6.35 Debian 6 (Squeeze)
2.3.x. 2.6.36 bis 3.0 Ubuntu 11.10
2.4.x. 3.1. Open Suse 12.1
2.5.x. 3.2. und später Ubuntu 12.04 (Beta 2)
Tabelle 2: Test auf aktiviertes Tomoyo Linux
Tomoyo-Version Befehl Antwort bei aktiviertem Tomoyo
2.2. grep tomoyo_io_printf /proc/​kallsyms ffffffff812765f0 T tomoyo_io_printf
2.3. grep tomoyo_supervisor /proc/​ ffffffff812765f0 T tomoyo_supervisor
kallsyms
2.4. grep tomoyo_poll_log /proc/​kallsyms ffffffff812765f0 T tomoyo_poll_log
2.5. grep tomoyo_write_inet_network /
proc/​kallsyms
F Abbildung 1: Schon
zwei kleine Befehle reichen
aus, um zu prüfen,
ob Tomoyo im Kernel
vorhanden ist und ob
es beim Systemstart
aktiviert wurde.
ffffffff812765f0 T tomoyo_write_inet_
network
Abschließend muss man das Tomoyo-
Modul noch aktivieren. Dazu gibt man
dem Kernel beim Start den Parameter
»security=tomoyo« mit auf den Weg –
entweder direkt am Bootprompt oder
über die Konfiguration des Bootloaders.
Kommt noch der alte Grub Legacy zum
Einsatz, wie unter Open Suse 12.1, öffnet
man die Datei »/boot/grub/menu.
lst« (manchmal auch »grub.conf« genannt),
sucht in ihr den Abschnitt für
den Standard-Start (etwa »title Desktop
‐‐ openSUSE 12.1 ...«) und hängt dort
der Zeile »kernel ...« den Parameter
»security=tomoyo« an. Bei Grub 2, wie
ihn Debian 6 (Squeeze) und Ubuntu einsetzen,
stellt man den Parameter in der
Datei »/etc/default/grub« an das Ende
der Zeile »GRUB_CMDLINE_LINUX_
DEFAULT«, also beispielsweise unter
Debian:
GRUB_CMDLINE_LINUX_DEFAULT="quiet U
security=tomoyo"
Anschließend bringt der folgende Befehl
die Konfiguration auf den aktuellen
Stand:
sudo update‐grub
Trockenübungen
Die ersten Gehversuche mit Tomoyo Linux
sollte man in einem Testsystem wagen, das
man am besten in einer virtuellen Maschine
aufsetzt. Damit konfiguriert man nicht versehentlich
einen produktiven Server kaputt und
spürt schneller Fehler auf. In unseren Tests
blieb beispielsweise der Kernel in der zweiten
Beta-Version von Ubuntu 12.04 nach der Aktivierung
von Tomoyo einfach stehen, das System
ließ sich gar nicht erst booten. In derart
hartnäckigen Fällen hängt man dem Kernel am
Bootprompt den Parameter »security=none«
an. Damit startet das System ohne Tomoyo.
www.admin-magazin.de
Admin
Ausgabe 03-2012
61

Security
Tomoyo Linux
Kernel
startet
init
/sbin/init
startet
sshd
/sbin/init /usr/sbin/sshd
bash
init … /bin/bash
sshd
init … /bin/bash /usr/sbin/sshd
G Abbildung 2: Für jeden gestarteten sshd-Prozess erstellt Tomoyo eine eigene
Domain (die Domainnamen der Prozesse sind hier kursiv gesetzt).
E Abbildung 3: Die von Tomoyo automatisch erzeugten Domains.
zeichnis »/etc/tomoyo« und wirft dann
noch einmal besagtes Skript an.
Nach einem Neustart sollte der Kernel
den Einsatz von Tomoyo melden. Prüfen
lässt sich dies über den Aufruf »dmesg |
grep TOMOYO« (Groß- und Kleinschreibung
beachten). Wenn Tomoyo läuft,
gibt der Befehl die Versionsnummer aus
(Abbildung 1).
Jeden Prozess sperrt Tomoyo Linux in
einen eigenen Käfig, die sogenannte Domain.
Jede dieser Domains bekommt
einen eindeutigen Namen. Er besteht
aus dem kompletten Pfadnamen des
Programms, das den Prozess erzeugt hat
– beim SSH-Daemon also beispielsweise
»/usr/sbin/sshd«. Zusätzlich stellt Tomoyo
dieser Bezeichnung die kompletten
Pfade aller vorhergehenden Programme
und Skripte voran, die zu seinem Aufruf
geführt haben. Das geht sogar zurück
bis zum Kernel, der den speziellen
Domainnamen »« bekommt.
Die Domain des »sshd«-Daemons heißt
somit vollständig » /sbin/init
/usr/sbin/sshd«. Die so entstehenden
Bandwurmnamen erscheinen zunächst
umständlich. Auf diese Weise kann man
jedoch genau kontrollieren, in welcher
Situation der SSH-Daemon welche Aktionen
ausführen darf. So kann man etwa
dem von »init« aufgerufenen »sshd« mehr
zutrauen, als einem nachträglich über
die Konsole gestarteten Bruder (Abbildung
2).
Domains editieren
Alle bislang schon erstellten Domains begutachtet
man als Benutzer Root mit dem
Policy-Editor:
sudo tomoyo‐editpolicy
Er begrüßt seinen Benutzer mit dem Domain
Transition Editor. In Abbildung 3
war Tomoyo seit dem Systemstart fleißig
und hat 640 Domains erstellt (wie in
der obersten Zeile zu lesen). Die graue
dritte Zeile zeigt an, dass gerade die
»«-Domain ausgewählt ist.
Darunter folgt dann eine Liste mit allen
Domains. Der Übersicht halber klatscht
der Policy-Editor nicht einfach alle kompletten
Domainnamen auf den Schirm,
sondern rückt die einzelnen Prozesse entsprechend
ein. Durch die Liste navigiert
man mit den Pfeiltasten, [Pos1], [Ende]
sowie Bild auf und ab. Der komplette
Domainname eines Prozesses erscheint
dann immer in der hellgrau unterlegten
Zeile am oberen Rand. Wer jetzt weitere
Programme startet und dann mit [r] die
Ansicht aktualisiert, kann sogar dabei
zusehen, wie Tomoyo für sie weitere Domains
anlegt. Einen Eintrag findet man
schnell, indem man [f] drückt und den
Suchbegriff eintippt. Zur jeweils nächsten
Fundstelle springt [n]. [q] beendet
den Policy-Editor – und zwar ohne Rückfrage.
Die einzelnen Domains muss Tomoyo
Linux unterschiedlich behandeln. Wäh-
Horch, was kommt von draußen rein
Ab Tomoyo 2.4 gehört der Daemon »tomoyo‐auditd« zum Lieferumfang.
Er protokolliert auf Wunsch alle akzeptierten und/​oder zurückgewiesenen
Aktionen eines Programms. Auf diese Weise kann man einem Prozess in
Ruhe auf die Finger schauen und die Protokolle gleichzeitig als Grundlage
für weitere Einschränkungen heranziehen. Programmierer können
damit gleichzeitig das Verhalten ihrer Eigenentwicklungen unter die Lupe
nehmen.
Welche Aktionen der Daemon protokolliert, legen die beiden Parameter
»grant_log« und »reject_log« in der »CONFIG«-Zeile eines jeden Profils
fest. Steht dort »grant_log=yes«, reicht Tomoyo alle vom Profil akzeptierten
Aktionen an den Daemon weiter, bei »reject_log=yes« gilt das auch für
die blockierten Aktionen.
»tomoyo‐auditd« muss man entweder als Benutzer root per Hand starten
oder das Programm »/usr/sbin/tomoyo‐audit« der »/etc/rc.local« (beziehungsweise
»/etc/rc.d/boot.local« in Open Suse) hinzufügen. Ein fertiges
Startskript fehlt leider, eine Konfigurationsdatei für Distributionen mit
»systemd« findet man immerhin in der Tomoyo-Dokumentation [5].
Die zu protokollierenden Aktionen stellt Tomoyo Linux über »/sys/kernel/
security/tomoyo/audit« bereit. Wohin der Daemon diese Informationen
schreiben soll, bestimmt seine Konfigurationsdatei »/etc/tomoyo/tools/
auditd.conf«. Sie ist gut dokumentiert und selbst erklärend. Standardmäßig
verwirft der Daemon alle von Tomoyo akzeptierten Aktionen (genauer
gesagt wandern sie nach »/dev/null«), während die übrigen Informationen
in einzelnen Log-Dateien unter »/var/log/tomoyo/« landen.
62 Ausgabe 03-2012 Admin www.admin-magazin.de

Tomoyo Linux
Security
sshd möchte auf
/dev/random zugreifen
Tabelle 3: Die Arbeitsmodi von Tomoyo Linux
Wert hinter »mode=«
disabled
learning
Auswirkung
Erlaubt alle Aktionen.
Aktiviert den Lernmodus (lässt also alle Aktionen zu und
fügt sie gleich als erlaubt dem Regelwerk hinzu).
Erlaubt alle Aktionen, auch wenn sie die Regeln verletzen.
Blockt eine Aktion, wenn sie eine Regel verletzt.
Ist diese Aktion erlaubt?
änderbar im
Domain Policy Editor
Welches Verhalten schreibt
das Profil dafür vor?
änderbar im
Profile Editor
permissive
enforcing
Abbildung 4: Das einer Domain zugewiesene Profil entscheidet,
was mit erlaubten und verbotenen Aktionen passieren soll.
Hinter »COMMENT=« steht ein Name
oder eine Beschreibung des Profils. In
diesem Fall heißt es schlicht »disabled«.
Tomoyo-Linux kann alle Aktionen einer
Domain gestatten, die verbotenen Aktionen
abblocken oder sich in einem Lernmodus
alle gerade von der Domain durchgeführten
Aktionen als erlaubt notieren.
Was Tomoyo davon machen soll, steht
hinter »CONFIG=« in den geschweiften
Klammern. Ein »mode=disabled« winkt
beispielsweise später alle Aktionen der
Domain einfach durch. Tabelle 3 listet
alle weiteren Arbeitsmodi auf. Hinter
»mode=« folgen noch ein paar weitere
Parameter, die das Log-Verhalten von Torend
es einen Webserver genau im Auge
behalten und im Fall der Fälle maßregeln
muss, kann es hingegen »init« meist
blind vertrauen und alle seine Aktionen
durchwinken. Man müsste folglich für
jede einzelne Domain festlegen, wie sich
Tomoyo ihr gegenüber verhalten soll. Da
das ziemlich aufwendig wäre, geht Tomoyo
einen anderen Weg: Zunächst erstellt
der Administrator ein sogenanntes
Profil. In ihm notiert er, wie sich Tomoyo
verhalten soll. So könnte etwa im Profil
stehen, dass Tomoyo Linux grundsätzlich
alle Aktionen zuzulassen, sie aber
vorsichtshalber protokollieren soll. Nach
dem gleichen Prinzip darf der Administrator
bis zu 256 weitere Profile erstellen.
Abschließend notiert er zu jeder Domain,
welches Profil auf sie zutrifft. Möchte die
Domain später eine Aktion ausführen,
zieht Tomoyo das ihr zugeordnete Profil
zurate und verhält sich dann genau
wie dort angegeben (Abbildung 4 veranschaulicht
das noch einmal).
Profile editieren
Tomoyo Linux bringt von Haus aus bereits
ein paar fertige Profile mit. Der Profile-
Editor zeigt sie an, wenn man zunächst
per [w] in sein Auswahlmenü und dann
Eine Ausnahme bildet Tomoyo Linux 2.2,
wie es etwa noch Debian 6 einsetzt. Dort
ist jedes Profil mit gleich vier Einträgen
vertreten (Abbildung 6). Wie bei den
Nachfolgerversionen gibt es auch hier
zunächst eine »COMMENT«-Zeile. Hinter
»MAC_FOR_FILE=« steht der Arbeitsmodus,
erlaubt sind dabei wieder die Werte
aus Tabelle 3. »MAX_ACCEPT_ENTRY=«
legt die Anzahl der Aktionen fest, die sich
Tomoyo im Lernmodus höchstens merkt.
Steht schließlich noch »TOMOYO_VERweiter
mit [p] in den »Profile
Editor« wechselt (Abbildung
5). Jedes Profil bekommt eine Nummer
von 0 bis 255 zugewiesen. Der Profile
Editor zeigt in der ersten Spalte die Zeilennummern
an, die Profil-Nummer steht
immer links vom Bindestrich. In Abbildung
5 gibt es vier Profile von 0 bis 3.
Ab der Tomoyo-Version 2.3 existieren für
jedes Profil bis zu drei Einträge. Das Profil
mit der Nummer 0 ist typischerweise
mit folgenden drei Zeilen vertreten:
0‐COMMENT=disabled
0‐CONFIG={ mode=disabled grant_log=yes U
reject_log=yes }
0‐PREFERENCE={ max_audit_log=1024 max_U
learning_entry=2048 }
moyo steuern (mehr dazu im Kasten
„Horch, was kommt von draußen
rein“).
Abschließend darf man noch ein paar
Feineinstellungen in den geschweiften
Klammern hinter »PREFERENCES« vornehmen.
Unter Tomoyo Linux 2.4 und
2.5 nennt »max_audit_log=« die maximale
Anzahl der Audit-Logs, die sich der
Kernel merkt, während »max_learning_
entry=« die Anzahl der Aktionen vorgibt,
die Tomoyo im Lernmodus höchstens an
das Profil anhängt. Unter Tomoyo Linux
2.3 hat »max_entry« die gleiche Bedeutung
wie »max_learning_entry«. Verletzt
ein Prozess eine Regel, legt ihn Tomoyo
2.3 die hinter »enforcing_penalty« angegebene
Zeit schlafen.
Komplizierter mit Debian
G Abbildung 5: Standardmäßig bringt Tomoyo Linux vier Profile mit.
E Abbildung 6: Unter Tomoyo 2.2 besteht ein Profil noch aus vier Einträgen.
www.admin-magazin.de
Admin
Ausgabe 03-2012
63

Security
Tomoyo Linux
Abbildung 7: Für alle Prozesse des SSH-Daemon gibt es jetzt nur noch eine
einzige Domain – nämlich die hier hervorgehobene mit dem Sternchen.
BOSE=« auf »enabled« protokolliert Tomoyo
alle Regelverstöße im Syslog.
In der Praxis reichen die vier vorgegebenen
Profile normalerweise aus. Wer
dennoch eigene erstellen möchte oder
muss, drückt [a] und gibt die Nummer
des neuen Profils ein. Der Profile Editor
erstellt jetzt ein neues Profil mit Standardwerten.
Doch Vorsicht: Ein so angelegtes
Profil bleibt bis zum Neustart
erhalten (vorausgesetzt man hat die Konfiguration
nicht gespeichert, dazu später
noch mehr). Um eine Zeile zu verändern,
steuert man sie an, drückt [s] und gibt
dann den neuen Parameter ein beziehungsweise
editiert die angezeigte Zeile.
Jeder Domain kann man jetzt eines der
vorhandenen Profile zuweisen. Dazu
geht es via [w] und [d] zurück zum Domain
Transition Editor. Das einer Domain
zugewiesene Profil steht in der zweiten
Spalte. Die Nullen weisen dort im Moment
darauf hin, dass Tomoyo Linux
auf jede Domain das Profil 0 anwendet
und somit alle ihre jeweiligen Aktionen
durchgehen lässt. Man könnte jetzt eine
der Domains ansteuern und ihr via [s] ein
anderes Profil zuweisen, etwa das für den
Lernmodus. Dabei gibt es allerdings noch
ein kleines Problem.
Am Domain-Namensschema kann man
sehen, wie ein Prozess gestartet wurde.
Dabei entstehen jedoch häufig mehrere
Domains, die man dann einzeln maßregeln
müsste. Paradebeispiel ist der Apache-Webserver
»httpd«, für den normalerweise
immer mehrere Prozesse existieren.
Zudem weiß
man oft nicht im
Voraus, wer einen
Prozess wie startet.
Möchte man ein
Programm immer
gleich behandeln,
egal unter welchen
Bedingungen es
gestartet wurde,
wechselt man
zunächst via [w]
und [e] in den Policy
Exception Editor.
Er verwaltet
alle Aktionen, die
sämtliche Domains
ausführen dürfen. Hier erstellt man jetzt
mit [a] eine neue Regel der Form:
initialize_domain /usr/sbin/sshd from any
»/usr/sbin/sshd« steht dabei für den
vollen Pfadnamen zum entsprechenden
Programm, in diesem Beispiel dem SSH-
Daemon. Tomoyo erstellt ab sofort nur
noch eine einzige Domain, in der sich
grundsätzlich alle »sshd«-Prozesse befinden.
Solchen Domains stellt der Domain
Transition Editor ein Sternchen »*« voran
(Abbildung 7). Sollte Tomoyo zuvor
schon Domains für laufende »sshd«-Prozesse
erstellt haben, werden diese nun
überflüssig. Solche Domains kennzeichnet
der Domain Transition Editor mit einem
Ausrufezeichen »!«. Man kann sie
getrost mit [d] löschen.
Im Beispiel würde Tomoyo also alle
»sshd«-Prozesse gleichbehandeln. Mit zusätzlichen
»no_initialize_domain«- Regeln
kann man davon gezielt Ausnahmen erstellen:
initialize_domain /usr/sbin/sshd from any
no_initialize_domain /usr/sbin/sshd from U
/bin/bash
Hier würde Tomoyo einem »sshd«-Prozess
dann wieder eine eigene Domain
spendieren, wenn ihn die Bash gestartet
hätte – und wirklich nur dann.
Apropos Bash: Startet ein Programm aus
einer Shell heraus, so soll es meistens
den gleichen Einschränkungen unterliegen
wie die Shell. Für solche Fälle gibt
es die Regel »keep_domain«:
keep_domain any from /bin/bash
Damit erstellt Tomoyo für alle in der
Shell gestarteten Programme, wie »ls«
oder »cat«, keine eigene Domain. Stattdessen
gelten für sie alle Einschränkungen,
die auch auf die Shell zutreffen.
Für einzelne Programme hebt man diese
Einschränkung mit »no_keep_domain«
wieder auf:
no_keep_domain /bin/cat from /bin/bash
Gemeinschaftszelle
Abbildung 8: In der Ansicht aller Prozesse stellt Tomoyo den Domainnamen hinter die Prozesse. In der zweiten
Spalte stehen die Profilnummern.
64 Ausgabe 03-2012 Admin www.admin-magazin.de

Tomoyo Linux
Security
nachschlagen und
dann mühevoll eine
Regel nach der anderen
via [a] anlegen.
Bequemer ist jedoch,
die Domain in den
Lernmodus zu versetzen
und dann alle erlaubten
Aktionen von
Tomoyo aufzeichnen
zu lassen. Dazu fährt
man im Domain Transition
Abbildung 9: Wie der Lernmodus enthüllt, greift der SSH-Daemon bei seinem
Start unter anderem auch auf »/dev/urandom« zu.
Editor (Tasten-
kombination [w], [d])
die entsprechende Domain
Damit erstellt Tomoyo Linux für das Programm
»cat« ausnahmeweise doch wieder
eine eigene Domain.
an, wie etwa »/usr/sbin/sshd«, und
drückt dort [s], gefolgt von der Nummer
des Lernmodus-Profils. Standardmäßig
ist dies die »1«.
Zuckerbrot und Peitsche
Mit [@] wechselt man in eine Übersicht
mit allen laufenden Prozessen (Abbildung
Als Nächstes gilt es festzulegen, welche
Aktionen einer Domain überhaupt erlaubt
und welche verboten sind. Dazu
8). Unter Tomoyo 2.2 muss man
stattdessen per [q] den Profile Editor
verlassen und dann das Kommando
markiert man im Domain Transition Editor
»tomoyo‐pstree« bemain
(erreichbar via [w] und [d]) eine Domühen.
In jedem Fall Anzeige
und drückt die Eingabetaste. Der sollte dem Prozess
jetzt erscheinende Domain Policy Editor
zeigt alle Aktionen an, die diese Domain
der Anwendung eine
»1« voranstehen. Sehr
ausführen darf. Direkt nach dem Start wahrscheinlich sieht
sollte die Liste noch leer sein, später sieht
sie wie in Abbildung 9 aus. In der ersten
Spalte steht wieder die Zeilennummer,
in der zweiten folgt die Aktion. »allow_
read« etwa erlaubt den Lesezugriff auf
die rechts danebenstehende Datei. Ab
Tomoyo 2.4 tragen die Aktionen leicht
geänderte Namen, »allow_read« ist dort
etwa als »file read« bekannt. In den Dateiund
Verzeichnisnamen sind zudem zwei
man zunächst nur das
Ende der Liste, die
Pfeiltaste nach oben
fördert alle übrigen Einträge
zutage. Mit [@]
gelangt man wieder
zur alten Darstellung
zurück, unter Tomoyo
2.2 startet man erneut
den Profile-Editor.
Platzhalter erlaubt: »\$« steht für ein beliebiges
Zeichen, »\*« für beliebig viele.
Mit folgender Regel dürfte etwa »sshd«
Erlaubt
beliebige Dateien im »/tmp«-Verzeichnis
anlegen:
allow_write /tmp/\*
beziehungsweise ab Tomoyo 2.4:
file write /tmp/\*
Hat man sich vertippt, löscht [d] die gerade
markierte Regel. Eine Aufstellung
aller möglichen Regeln beziehungsweise
Schlüsselwörter liefert ein Anhang der
Tomoyo-Dokumentation [6], [7]. Um
eine Domain und somit ein Programm
zu maßregeln, könnte man jetzt dort
Jetzt sollte man den
Dienst in einem weiteren
Terminal einmal
neu starten, dann im
Domain Transition Editor
seine Domain ansteuern
und per Eingabetaste
in den Domain
Policy Editor wechseln.
Hier erscheinen jetzt
alle Aktionen, die der
Prozess bei seinem
Start ausgeführt hat
(wie in Abbildung 9).
Das sind gleichzeitig alle Aktionen, die
Tomoyo Linux später dem Daemon erlauben
wird. Um die Liste zu komplettieren,
sollte man jetzt ein paar typische
Aufgaben durchführen – im Fall des SSH-
Daemon sich beispielsweise einloggen.
Via [r] aktualisiert man die Ansicht des
Domain Policy Editors. Die Lernphase
ist übrigens eine Funktion von Tomoyo,
man kann den Policy Editor folglich auch
vorübergehend beenden.
Abschließend kann man natürlich noch
eigene Aktionen hinzufügen oder vorhandene
streichen. Sind alle Aktionen
beisammen, springt man wieder per [w]
und [d] zurück zum Domain Transition
Editor und weist dort der Domain das
Standard-Profil 3 und somit den Enforcing-Modus
zu (mit [s] und [3]). Tomoyo
erlaubt dann nur noch alle vorhin gemerkten
Aktionen. Nach außen hin sieht
das übrigens niemand, die geblockten
Programme liefern nichts zurück. Hat
man beispielsweise das Anmelden am
I
P
N
U
Das Linux-Systemhaus
Wir suchen zur Unterstützung und Erweiterung unseres Teams einen
Senior Linux Consultant (m/w) zum nächstmöglichen Termin.
Ihre Aufgaben:
• Konzeption, Installation und Administration
diverser Linux- und Windows-Server bei unseren Kunden,
• Unterstützung und Betreuung unserer Kunden im Support,
• Evaluierung und Einführung neuer Software für verschiedenste
Aufgabengebiete
Ihr Profil:
• mindestens 5 Jahre Erfahrung im Betrieb von Linux-Servern,
• sehr gute Kenntnisse im Umgang mit Samba, Apache, Squid,
MySQL, Postfix,
• fundierte Kenntnisse in Netzwerktechnik,
• gute Kenntnisse in Shell-Skripting, Perl und PHP,
• gute schriftliche Englischkentnisse,
• gute Windows-Kenntnisse (XP, Win7, Windows Server 2k8),
• eine strukturierte und sorgfältige Arbeitsweise,
• soziale Kompetenz, Kommunikations-, Konflikt- und Teamfähigkeit
Wir bieten:
• eine anspruchsvolle Tätigkeit in einem kleinen Team und
abwechslungsreiche Aufgaben bei Kunden aus
verschiedenen Branchen,
• spannende, komplexe und strategisch wichtige Projekte für
unsere Kunden,
• kein Arbeiten nach Schema 08/15,
• ein gesundes Betriebsklima in einem engagierten
und motivierten Team
Ihre Bewerbung in PDF-Form senden Sie bitte an
personal@in-put.de oder auf postalischem Weg.
in-put GbR Moltkestraße 49 76133 Karlsruhe www.in-put.de
-
T
www.admin-magazin.de
Admin
Ausgabe 03-2012
65

Security
Tomoyo Linux
Abbildung 10: Die Statistik verrät, dass es bislang vier verbotene Aktionen gegeben hat. Welche das genau
waren, verraten die Log-Dateien.
SSH-Daemon gesperrt, erhält ein Nutzer,
der das trotzdem probiert, nur die
lapidare Meldung »Connection closed by
remote host«.
Elefantengedächtnis
Ein Neustart des Systems löscht das Gedächtnis
von Tomoyo, alle mühsam angelegten
Regeln sind dann futsch. Um das
zu verhindern, sollte man die aktuelle
Konfiguration speichern. Dazu beendet
man den Policy Editor via [q] und zückt
den Befehl:
sudo /usr/sbin/tomoyo‐savepolicy
Die aktuelle Konfiguration landet damit
in den Dateien »exception_policy.
YYYY‐MM‐DD.hh:mm:ss.conf« und »domain_policy.YYYY‐MM‐DD.hh:mm:ss.
conf« im Verzeichnis »/etc/tomoyo«. Tomoyo-Versionen
ab 2.4 erstellen zunächst
in »/etc/tomoyo« ein Unterverzeichnis
mit dem aktuellen Datum und legen dort
gleich vier Dateien ab.
Egal, welche Tomoyo-Version man nutzt,
die Konfiguration lässt sich mit den Befehlen
in Listing 1 wieder laden.
Bei einem erneuten Systemstart passiert
das automatisch, man muss die Befehle
folglich nicht extra in die Startskripte einbauen.
Die Dateien »domain_policy.conf«,
»exception_policy.conf« und so weiter
sind übrigens symbolische Links auf die
jeweils zuletzt von »tomoyo‐savepolicy«
erstellten ».conf«-Dateien. Die sind zu-
Listing 1: Konfiguration laden
01 sudo /usr/sbin/tomoyo‐loadpolicy ‐df < /etc/tomoyo/
domain_policy.conf
02 sudo /usr/sbin/tomoyo‐loadpolicy ‐ef < /etc/tomoyo/
exception_policy.conf
03 sudo /usr/sbin/tomoyo‐loadpolicy ‐p < /etc/tomoyo/
profile.conf
04 sudo /usr/sbin/tomoyo‐loadpolicy ‐m < /etc/tomoyo/
manager.conf
dem einfache Textdateien, die man auch
bequem per Hand editieren kann. Das ist
gerade bei großen Regelwerken komfortabler
als der Weg über den Policy Editor.
Wer mit dem schon gearbeitet hat, sollte
sich in den Konfigurationsdateien sofort
zurechtfinden.
Die von Tomoyo geblockten Aktionen
kann man sich mit dem »tomoyo‐auditd«-
Daemon einsammeln lassen (siehe
Kasten „Horch, was kommt von draußen
rein“). Eine schnelle Statistik liefert
ab Tomoyo 2.4 der Befehl:
cat /sys/kernel/security/tomoyo/stat
Interessant ist hier vor allem die Zahl
neben »Policy violation in enforcing
mode:«. Sie gibt an, wie oft Tomoyo im
Enforcing-Modus Aktionen blockiert hat
(Abbildung 10). Die Tomoyo-Versionen
2.2 und 2.3 schreiben hingegen jede
Verletzung als Textmeldung ins Syslog –
vorausgesetzt im entsprechenden Profil
steht »TOMOYO_VERBOSE=enabled«
beziehungsweise unter Tomoyo
2.3 »PREFERENCE::permissive={
verbose=yes }«.
Fazit
Tomoyo Linux macht es mit seinem
Lernmodus sehr einfach, per Mandatory
Access Control (MAC) einen Prozess in
seine Schranken zu verweisen. Die dabei
von Tomoyo protokollierten Aktionen
helfen zudem Softwareentwicklern,
Fehlverhalten in ihren Programmen aufzuspüren.
Aber auch eigene Regeln sind
mit wenigen Tastendrücken hinzugefügt
– vorausgesetzt man hat sich mit der
etwas gewöhnungsbedürftigen Tomoyo-
Terminologie und den Konzepten angefreundet.
Der einzige Haken sind die vielen Tomoyo-Versionen
mit ihren unterschiedlichen
Fähigkeiten und Konfigurationen.
Gerade wer mehrere Linux-Rechner mit
unterschiedlichen Distributionen betreut,
dürfte bei der Einrichtung von Tomoyo
mehr als einmal fluchen.
Hilfe gibt es zudem nur auf einer Mailingliste
[8] sowie in der etwas merkwürdig
strukturierten Dokumentation [9]. Zu
allem Überfluss arbeiten die Tomoyo-
Entwickler auch noch an einem weiteren
System namens Akari, das auf Tomoyo-
Linux basiert und als (nach-)ladbares
Kernel-Modul konzipiert ist [10]. Die
Arbeit geht an allen Tomoyo-Versionen
sowie Akari gleichberechtigt weiter, eine
Empfehlung der Entwickler für ein System
gibt derzeit es nicht. So muss man
als Administrator selbst entscheiden, ob
und wenn ja welches man davon einsetzt.
(ofr)
n
Infos
[1] Tomoyo Linux:
[http:// tomoyo. sourceforge. jp]
[2] Wikipedia-Eintrag zur LSM-Schnittstelle:
[http:// en. wikipedia. org/ wiki/ Linux_Security_Modules]
[3] Vergleich der unterschiedlichen Tomoyo-
Versionen: [http:// tomoyo. sourceforge. jp/​
comparison. html. en]
[4] LiveCDs mit aktiviertem Tomoyo Linux:
[http:// tomoyo. sourceforge. jp/ download.​
html. en]
[5] Systemd-Konfigurationsdatei für tomoyoauditd:
[http:// tomoyo. sourceforge. jp/ 2. 5/​
chapter‐4. html. en]
[6] Policy Specification von Tomoyo Linux
2.5: [http:// tomoyo. sourceforge. jp/ 2. 5/​
policy‐specification/ index. html. en]
[7] Policy Specification von Tomoyo Linux
2.3: [http:// tomoyo. sourceforge. jp/ 2. 3/​
policy‐specification/ index. html. en]
[8] Tomoyo-Linux-Mailingliste: [http://​
lists. sourceforge. jp/ mailman/ listinfo/​
tomoyo‐users‐en]
[9] Offizielle Dokumentation zu Tomoyo
Linux: [http:// tomoyo. sourceforge. jp/​
documentation. html. en]
[10] Akari: [http:// akari. sourceforge. jp]
Der Autor
Tim Schürmann ist selbstständiger Diplom-
Informatiker und derzeit hauptsächlich als freier
Autor unterwegs. Zu seinen Büchern gesellen
sich zahlreiche Artikel, die in Zeitschriften und
auf Internetseiten in mehreren Ländern veröffentlicht
wurden.
66 Ausgabe 03-2012 Admin www.admin-magazin.de

Security
Prelude
© Chittima Kasa, 123RF
Intrusion Detection mit Prelude
Feuermelder
Nachdem Edenwall Technologies, Hersteller des Security-Informationmanagement-Systems
Prelude im letzten Jahr Konkurs anmeldete, war
nicht klar, wie es weitergeht. Nun scheint die Zukunft gesichert. Wir
stellen Architektur und Konzept der SIEM-Lösung vor. Thomas Drilling
Das früher schlicht als IDS-System bezeichnete
Prelude [1] gibt es außer in
der kommerziellen Version Prelude Pro
auch in einer Open-Source-Variante, die
aktuell in den Paketquellen nahezu aller
wichtigen Distributionen enthalten ist.
Die Download-Seite [2] sollte optional
die Sourcen zur Verfügung stellen, befand
sich aber zum Zeitpunkt des Tests
in Überarbeitung.
Die CS-Group, neuer Besitzer von Prelude
ist ein Anbieter von IT-Dienstleistungen
in Frankreich und Deutschland. Prelude
firmiert heute selbstbewusst als SIEM-Lösung
(Security-Information-Management-
System). Als solches sammelt sie sämtliche
sicherheitsrelevanten Ereignisdaten
im Netzwerk ein. Neben der Analyse
sowie der grafischen Aufbereitung leitet
ein SIEM gegebenenfalls auch Abwehrmaßnahmen
ein. Genau genommen sind
moderne SIEM-Systeme eine Kombination
aus Security-Information- und Event-
Management-Systemen. Prelude vereint
den Großteil der zugehörigen Funktionen
unter einer gemeinsamen Oberfläche.
Der Wald vor lauter Bäumen
SIEM-Systeme sind zwar ein wichtiger
Bestandteil einer modernen Sicherheits-
Infrastruktur, stellen den Admin aber vor
das Problem, dass es oft schwierig ist,
zwischen False-Positive-Meldungen und
tatsächlichen Einbruchsversuchen zu unterscheiden.
Das Problem trifft allerdings
bei allen Sicherheitslösungen bis zum
einfachen Virenscanner zu. False Positives
treten zum Beispiel auf, wenn die
Sicherheitslösung unzureichend getestet
wurde, sodass angebliche Viren-Signaturen
auf harmlose Programme zutreffen.
Nicht immer ist die Sicherheitslösung
schuld. Eine nicht sauber programmierte
Anwendung, die sich nicht an RFCs hält,
kann ein Fehlansprechen der SIEM-Signaturen
verursachen.
Ein weiteres Problem mit komplexen
SIEM-Lösungen besteht darin, die Vielzahl
analysierter Logs so aufzubereiten,
dass der Admin überhaupt eine Chance
hat, diese systematisch nach Anzeichen
für Problemfälle zu durchsuchen.
Prelude-Architektur
Prelude versucht, die skizzierten Probleme
durch seine modulare Architektur
in den Griff zu bekommen, in deren
Zentrum der Prelude Manager samt zugrunde
liegendem Framework (»libprelude«,
»libpreludedb«) steht. Er sammelt
Ereignisdaten von den angeschlossenen
Sensoren beziehungsweise Agenten ein
und speichert sie in einer MySQL-Datenbank,
von wo aus sie das Webinterface
Prewikka auslesen und aufbereiten
kann. Die einzelnen Sensoren sowie der
Prelude Correlator sind das eigentliche
Herzstück der Lösung und ermöglichen
es, Log-Meldungen aus unterschiedlichsten
Quellen miteinander in Beziehung
zu setzen (zu korrelieren). Dabei spielt
das von der IETF beschriebene Intrusion
Detection Message Exchange Format
(IDMEF) eine zentrale Rolle, das Prelude
in die Lage versetzt, die Meldungen unterschiedlicher
Sensoren in ein einheitliches
Format zu bringen und in einer
MySQL-Datenbank abzulegen. Prelude
selbst liefert etwa den Sensor Prelude
LML, einen Logfile-Monitor mit vordefiniertem
Regelsatz mit.
Prelude unterstützt aber noch eine große
Zahl weiterer Sensoren, deren Outputs es
normiert und ins einheitliche IDMEF-Format
bringt. Neben Snort und Linux-PAM
stehen als Sensoren außerdem der Linux
Audit Daemon »auditd«, das Versatile
Tool »nepenthes«, der File Itegrity Checker
»samhain« oder NuFW, eine Identity
Access-Management-Lösung (Firewall)
aus der Edenwall-Konkursmasse, zur Verfügung.
Alle sind in den Paketquellen von
Ubuntu 11.x und Debian 6.x enthalten.
Außerdem steht das Host-basierte IDS
OSSEC von Trend Micro [4] zur Wahl.
68 Ausgabe 03-2012 Admin www.admin-magazin.de

Prelude
Security
Sensor 1, z.B.
Prelude-LML
Sensor 2, z.B.
SNORT
Sensor 3, z.B.
auditd
Abbildung 1: Die Architektur des Prelude-Systems.
Läuft der Prelude Manager auf einem
Remote Server, sorgt der in Python realisierte
regelbasierte Prelude Correlator
dafür, Alerts von einem Remote Prelude-
Manager-Server abzuholen und mit den
auf dem lokalen System eingehenden
Meldungen in Beziehung zu setzen. Das
Webinterface Prewikka holt die normierten
Meldungen aus der MySQL-Datenbank
und bereitet sie visuell auf. Abbildung
1 verdeutlicht die architektonischen
Zusammenhänge.
Prelude installieren
Trotz relativ komplexer Architektur ist
das Installieren der einzelnen
Komponenten bei den meisten
aktuellen Distributionen kein
großes Problem, weil nahezu
alle benötigten Module in den
gängigen Paketquellen enthalten
sind. Außerdem sind Installation
und Konfiguration im
Admin-Manual [3] gut dokumentiert.
Die jeweilige Konfiguration
erfordert allerdings
etwas Aufwand. Anmerkung:
In den folgenden Beispielen
nutzen wir für Datenbanknamen
(Prelude, Prewikka) und
Benutzernamen (Datenbank-
Admin, Prelude-Manager,
Prewikka-User) der Einfachheit
halber die Defaults oder
Beispiele des Herstellers. Der
Admin sollte die Werte aber
unbedingt ändern. Außerdem
PRELUDE Manager
MySQL
Prewikka
Web-Interface
Keys, Libpreludedb enthält alle für das
Datenbank-Setup notwendigen Daten
und Tabellen. Achtung: Wer das Paket
»prelude‐manager« mit Synaptic installiert,
sollte sich je nach Rechner nicht
über ein vermeintliches Einfrieren des
GUI wundern. Nur wer Installationsdetails
einblendet merkt, dass das Generieren
der RSA-Schlüssel schlicht etwas dauert,
was den einen oder anderen Admin
vielleicht beunruhigt, weil die visuelle
Rückmeldung fehlt.
Die Konfigurationseinstelllungen für den
Prelude-Manager finden sich nach erfolgreicher
Installation unter »/etc/prelude‐manager/prelude‐manager.conf«.
Die Paketverwaltung weist gegebenenfalls
darauf hin, dass der Prelude-Manager
zwingend eine Datenbank benötigt und
bietet deren automatische Konfiguration
für Prelude an. Der Prelude-Manager unterstützt
wahlweise MySQL, Postgres oder
SQLite. Bei Distributionen, die auf Debian
basieren, fragt auf Wunsch »debconf« die
benötigten Konfigura tionsparameter für
die Datenbank ab, was voraussetzt, dass
eine Datenbank (etwa MySQL) schon
installiert ist.
Die Datei »/etc/prelude‐manager/
prelude‐manager.conf« sollte im Abschnitt
»[db]« anschließend in etwa so aussehen
wie in Listing 1.
Bei manueller Konfiguration der Datenbank
muss der Admin in seiner »prelude‐manager.conf«
mindestens die
Datenbank-Einstellungen in
der Sektion »[db]« vervollständigen
oder anpassen. Im
Beispiel verwenden wir den
Datenbank-Typ »mysql«, mit
den für MySQL typischen
Defaults (Host: localhost,
Port: 3306). Als Datenbank-
Name dient »preludedb«,
der Prelude Admin-Account
soll »user=prelude« mit
»pass=prelude« lauten. Außerdem
sollte der Admin
einen Blick auf die Default-
Option »listen = 127.0.0.1«
werfen, die selbstverständlich
nur in Setups Sinn macht, in
denen Prelude-Manager und
Webinterface auf der gleichen
Maschine laufen. Bei verteilten
Setups ist die Option »listen«
anzupassen. Das manubenötigen
alle im Folgenden verwendeten
Kommandos Rootrechte.
Als zentrale Schnittstelle zwischen den
einzelnen Sensoren und dem Webinterface
muss sich der Admin zunächst
dem Prelude Manager widmen. Dessen
Installation unter Debian oder Ubuntu
mit »apt‐get install prelude‐manager«
zieht zur Vervollständigung der Framework-Komponenten
auch die Installation
von »libprelude« und »libpreludedb«
nach sich. Wahlweise gelingt das Installieren
mit einem grafischen Werkzeug.
Die Bibliothek »libprelude« erzeugt unter
anderem die zur Kommunikation mit
dem Prelude-Manager benötigten RSA-
Abbildung 2: Das Erzeugen der RSA-Keys nimmt je nach Hardware etwas Zeit in
Anspruch. Unter »Details« lässt sich der Verlauf verfolgen.
www.admin-magazin.de
Admin
Ausgabe 03-2012
69

Security
Prelude
elle Einrichten der Datenbank (etwa bei
RPM-basierten Distributionen) erfordert
minimale SQL-Kenntnisse. Mit »mysql ‐u
root« meldet sich der Admin als Administrator
beim MySQL DBMS an. Ist MySQL
so konfiguriert, dass der Root-Zugriff
ohne Passwort nicht erlaubt ist, muss
man stattdessen »mysql ‐u root ‐p« gefolgt
vom MySQL-Passwort verwenden.
Im interaktiven MySQL-Modus erzeugt
der Admin mit
mysql> CREATE database prelude
die Datenbank für Prelude und versorgt
sie durch
mysql> GRANT ALL PRIVILEGES ON prelude.* U
TO prelude@'localhost' IDENTIFIED BY U
'password';
mit den erforderlichen Rechten. Das
Kommando »exit« beendet den interaktiven
Datenbank-Modus. Wahlweise lässt
sich das Datenbank-Setup selbstverständlich
auch mit grafischen Werkzeugen wie
Chive oder PHPMyAdmin erledigen.
Zurück auf der Linux-Konsole liest der
Admin mit folgendem Befehl das weitere
Datenbank-Setup aus der mitgelieferten
SQL-Datei ein, also die anzulegenden
Tabellen:
mysql ‐u prelude prelude ‐p < /usrU
/share/libpreludedb/classic/mysql.sql
Das Einrichten eines administrativen Prelude-Nutzers
erfolgt dann mit dem Tool
»prelude‐admin«:
prelude‐admin add prelude‐manager U
‐uid 0 ‐gid 0
Anschließend muss der Admin den Dienst
»prelude‐manager« starten, je nach Distribution
zum Beispiel mit
service prelude‐manager start
Unter Ubuntu und Debian setzt das
voraus, dass in der Datei »/etc/default/
prelude‐manager« der Eintrag »Run=no«
zuvor auf »Yes« gesetzt ist.
Webinterface aufsetzen
Das in Python geschriebene Webinterface
für Prelude hört auf den Namen Prewikka
und lässt sich ebenfalls problemlos über
das Paketmanagement installieren. Das
Web-Frontend braucht ebenfalls Datenbank-Zugriff.
Neben MySQL, das im
Beispiel bereits installiert ist, unterstützt
Prewikka wie der Prelude-Manager auch
PostgreSQL und SQLite3. Das Aufsetzen
der Datenbank funktioniert ähnlich, wie
beim Prelude-Manager. Debian- oder
Ubuntu-Nutzer können diesen Schritt
»debconf« überlassen (Abbildung 4).
Die manuelle Konfiguration erfordert wieder
ein Minimum an SQL-Syntax: »mysql
‐u root ‐p« gefolgt vom MySQL-Passwort
wechselt in den Datenbank-Modus. Das
Anlegen der Datenbank, nebst passender
Berechtigungen erfolgt mit
mysql> CREATE database prewikka;
mysql> GRANT ALL PRIVILEGES ON U
prewikka.* TO prewikka@'localhost' U
IDENTIFIED BY 'password';
mysql> exit;
Das weitere Setup erfolgt wieder durch
Einlesen einer mitgelieferten SQL-Datei,
wodurch die benötigten Tabellen zur Verfügung
gestellt werden.
$ mysql ‐u prewikka prewikka ‐p U
< /usr/share/prewikka/database/mysql.sql
Auch hier schließt die Eingabe des Datenbank-Passwortes
die Konfiguration ab
und legt die benötigten Tabellen an. Die
Konfiguration des Prewikka-Webinterfaces
erfolgt in der Konfigurationsdatei
»/etc/prewikka/prewikka.conf«, die nach
automatischer Konfiguration durch debconf
im Bereich des Datenbank-Setups
etwa so aussehen sollte wie in Listing
2 zu sehen.
Webserver einrichten
Zwar ist das Webinterface jetzt installiert
und konfiguriert, es fehlt aber noch
der passende Webserver. Prelude bringt
dazu einen eigenen, kleinen Webserver
mit, den der Admin auf Wunsch mit »/
usr/bin/prewikka‐httpd« starten kann.
Der Prewikka-Webserver nimmt Anfragen
per Default auf Port 8000 entgegen.
Läuft dagegen auf dem Host bereits ein
Apache, wird der Admin diesen in der Regel
bevorzugen. Passende Virtual-Host-
Konfigurationsdateien für ein CGI-Setup
(Listing 3) finden sich freundlicherweise
im Prelude-Wiki unter [4].
Der Admin muss also nur seine Apache-
Konfigurationsdatei um den entsprechenden
Code erweitern. Bei Ubuntu
verweist »/etc/apache2/apache2.conf«
per include-Directive auf das Unterverzeichnis
»/etc/apache2/sites‐enabled«
G Abbildung 4: Dank debconf kümmert sich die Paketverwaltung automatisch um
das Einrichten der Datenbank.
F Abbildung 3: Debconf kümmert sich bei Debian-basierten Systemen
automatisch um die Konfiguration des Prelude Managers, etwa im Bereich des
Datenbank-Setups.
70 Ausgabe 03-2012 Admin www.admin-magazin.de

Prelude
Security
und von dort via Symlink auf »/etc/
apache2/sites‐available«, wo dann für
jeden virtuellen Host eine eigene Konfigurationsdatei
bereitliegt. Bei Ubuntu ist
bekanntlich sogar der Default-Webserver
als virtueller Host (»/etc/apache2/
sites‐enabled/000‐default«) realisiert.
Außerdem ist bei Ubuntu per Default die
Directive »ServerName« nicht gesetzt.
Bei einem Mod-Python-Setup sollte der
Admin außerdem daran denken, das Paket
»libapache2‐mod‐python« zu installieren.
Nach einem Neustart oder Reload des
Apachen mit »sudo /etc/init.d/ apache2
reload« oder »sudo service apache2 restart«,
sollte das Prewikka Webinterface
unter »http://localhost/prewikka« zur
Verfügung stehen.
Sensoren
Laufen Prelude-Manager und Webinterface,
wird es Zeit, den ersten Sensor
zu installieren. Der mitgelieferte Log-
Agent Prelude-LML kann zum Beispiel
verschiedenste Log-Dateien auswerten.
Prelude-LML lässt sich dazu so konfigurieren,
dass er die Rolle eines zentralen
Syslog-Servers übernimmt. Der Admin
muss seine Log-Erzeuger dann im
Einzelfall nur für die Zusammenarbeit
mit einem Syslog-Dienst wie Prelude-
LML konfigurieren. Prelude-LML wertet
dann sämtliche Log-Meldungen auf
Basis seiner Regelwerke aus und sendet
die gewonnenen Informationen an den
Prelude-Manager. Prelude-LML erfasst
Logs typischer Unix-Dienste, etwa des
Paketfilters (IPTables) oder von Routern
und Switches. Im Test installieren wir
Prelude-LML auf der gleichen Maschine,
auf der auch der Prelude-Manager läuft.
Der spätere Praxis-Einsatz würde sämtliche
Agenten sinnvollerweise auf den zu
überwachenden Hosts respektive in den
zu überwachenden Netzwerksegmenten
betreiben. Prelude-LML findet sich in den
Paketquellen aller gängigen Distributionen;
das Installieren kann also auch hier
wahlweise via Frontend oder per
»apt‐get install prelude‐lml«
erfolgen. Nach der Installation muss der
Admin den Sensor beim Prelude-Manager
registrieren, wozu wiederum das Kommando
»prelude‐admin« zum Einsatz
kommt, diesmal mit der Option »register«.
Beim Registrieren legt der Prelude-
Manager für jeden Sensor einen eindeutigen
Identifier sowie ein Verzeichnis an.
Außerdem generiert die »register«-Option
gegebenenfalls erforderliche RSA-Keys,
sollten Sensor und Manager auf unterschiedlichen
Hosts laufen oder ein Remote
Prelude Manager zum Einsatz kommen.
Der »register«-Prozess speichert die
benötigten Informationen im zugehörigen
Sensor-Profil, dessen Name der Admin
frei wählen kann. Die allgemeine Syntax
für das »register«-Kommando lautet:
prelude‐admin register Profilname U
Berechtigung Manager-Adresse U
‐‐uid UID ‐‐gid GID
Der »profil name« ist der Name des zu
installierenden Sensors, im Beispiel »prelude‐lml«.
Der Parameter »requested permission«
richtet sich nach dem jeweiligen
Sensor. Für gewöhnlich erfordert ein Sensor
mindestens Schreib-Berechtigungen
(»w«) für IDMEF-Nachrichten. Optional
besteht die Möglichkeit, dass der Sensor
administrative Kommandos akzeptiert.
Dafür genügt ein Leserecht, im Beispiel:
prelude‐admin register prelude‐lml U
"idmef:w admin:r" localhost ‐uid 0 U
‐gid 0
Das Kommando weist unter anderem darauf
hin, dass der Admin an localhost
einen Registration Server starten muss,
wozu er am besten ein zweites Terminal-
Fenster nutzt, während das erste Fenster
auf die Eingabe eines One-Shot-Passwortes
wartet. Zum Starten des Registration
Servers kommt ebenfalls das Kommando
»prelude‐admin« zum Einsatz:
prelude‐admin registration‐server U
prelude‐manager
Das Kommando generiert einen Zufallswert,
der im ersten Fenster als Einmalpasswort
einzugeben ist. Der Sensor
»prelude‐lml« ist damit beim Prelude-
Manager registriert und lässt sich mit
service prelude‐lml start
starten. Im Webinterface sollte sich dann
feststellen lassen, dass der Sensor beim
Prelude-Manager bekannt ist. Die eigentliche
Konfiguration des Sensors erfolgt in
der zugehörigen Konfigurationsdatei »/
etc/prelude‐lml/prelude‐lml.conf«. Hier
kann der Admin beispielsweise gezielt
festlegen, welche welche der Log-Dateien
der Prelude-Dienst LML als zentraler Syslog-Server
überwachen soll.
Weitere Sensoren
Wie schon erwähnt, unterstützt Prelude
noch eine ganze Reihe weiterer Sensoren.
Einer der interessantesten, um Prelude
als Netzwerkwerk basiertes IDS einsetzen
zu können, ist sicherlich Snort. Snort
identifiziert als Netzwerk-Sniffer verdächtige
Pakete anhand von Signaturen,
welche sich etwa von der Snort-Webseite
herunterladen lassen, allerdings erst 30
Tage nach ihrem erstem Erscheinen. Für
aktuelle Signaturen ist ein kostenpflichtiges
Abo fällig. Das Installieren, sowie
die grundlegende Funktionsweise von
Snort dürfte wenige Admins vor Probleme
stellen.
Die Vorgehensweise beim Registrieren
des Sensors ist ähnlich wie bei Prelude-
LML. Snort lässt sich ebenfalls mit einer
MySQL-Datenbank als Backend betrei-
Listing 2: »prewikka.conf«
01 type: mysql
02 host: localhost
03 user: prelude
04 pass: prelude
05 name: prelude
06
Listing 1: »prelude‐manager.conf«
01 # The type of database: mysql, pgsql or sqlite3.
02 type = mysql
03
04 # Only if you use sqlite3.
05 # file = /your/path/to/your/db/idmef‐db.sql
06
07 # Host the database is listening on.
08 host = localhost
09
10 # Port the database is listening on.
11 port = 3306
12
13 # Name of the database.
14 name = preludeg 1
15
16 # Username to be used to connect the database.
17 user = prelude
18
19 # Password used to connect the database.
20 pass =
07 [database]
08 type: mysql
09 host: localhost
10 user: prewikka
11 pass:
12 name: prewikka
www.admin-magazin.de
Admin
Ausgabe 03-2012
71

Security
Prelude
Abbildung 5 : Prelude ist kein Newcomer, und Kenner nutzen das System schon seit Jahren. Im Laufe der Zeit
wurden eine Reihe von Management-Oberflächen für Prelude entwickelt. Offizieller Vorgänger des Python-
Interfaces Prewikka war das Perl-Interface PIWI.
ben. Freundlicherweise enthält das Snort-
Paket eine passende Schema-Datei in
»/usr/share/doc/snortxxx/create mysql«,
mit der die zugehörige Datenbank im Nu
erstellt und die benötigten Tabellen angelegt
sind. Die für den praktischen Einsatz
maßgeblichen Variablen setzt der Admin
in der zugehörigen Snort-Konfigurationsdatei
»/etc/snort/snort.conf«, etwa
das Netzwerk-Interface, welches Snort
zur Überwachung des Netzwerkverkehrs
nutzt, sowie den Pfad zum Ordner mit
den Signaturen.
Listing 3: Virtual-Host-Setup
01
02 ServerName my.server.org
03 Setenv PREWIKKA_CONFIG "/etc/prewikka/prewikka.conf"
04
05
06 AllowOverride None
07 Options ExecCGI
08
09
10 AddHandler cgi‐script .cgi
11
12
13 Order allow,deny
14 Allow from all
15
16
17 Alias /prewikka/ /usr/share/prewikka/htdocs/
18 ScriptAlias / /usr/share/prewikka/cgi‐bin/prewikka.cgi
19
In den Paketquellen der meisten Distributionen
finden sich noch weitere Sensoren
für Prelude. Nützlich ist unter anderem
der Notify-Sensor, zu installieren über das
Paket »prelude‐notify«. Prelude-Notify ist
ein Gnome-Applet, das im Prelude-Manager
eintreffende Nachrichten in einem
Popup-Fenster anzeigt. Der Admin kann
dann das Webfrontend aufrufen und in
Ruhe nach der Ursache für die Meldung
forschen. Zuvor muss er jedoch noch
»prelude‐notify« via »prelude‐admin«
als Sensor registrieren. Erst nach einer
erfolgreichen Registrierung kann er das
Applet aus dem Gnome-Menü tatsächlich
starten.
Fazit
Wer bisher nur ein HIDS, wie etwa Tripwire
oder ein NDIS wie Snort alleine genutzt
hat, sollte unbedingt einen Blick
auf ein kostenloses Hybrid-System wie
Prelude werfen. Prelude ist ein über viele
Jahre bewährtes, extrem leistungsfähiges
und flexibles SIEM-System.
Der Einsatz als IDS deckt nur eine seiner
zahlreichen Anwendungsmöglichkeiten
ab. Dank der Vielzahl verfügbarer Sensoren
und Agents verschwimmen die
Grenzen zwischen Log-Analyzer und
Netzwerk-basiertem (NIDS), beziehungsweise
Host-basiertem (HIDS) Intrusion
Detection- oder Event-Management-System.
Mit der Übernahme des im letzten
Jahr in Konkurs gegangenen Vorbesitzers
Edenwall duch die CS Group scheint die
Zukunft eines extrem leistungsfähigen
Systems jetzt gesichert.
Doch wo viel Licht, ist auch Schatten. Die
von uns im Beispiel installierte Community-Version
versetzt den Admin zwar in
die Lage, ein ausgewachsenes Enterprise-
System kostenlos zu nutzen, teilt aber
auch das Schicksal anderer Community-
Ableger von Enterprise-Lösungen insofern,
als der Weg zu einem praktisch
einsetzbaren System lang ist.
Zwar lassen sich Installation und Basis-
Konfiguration des Frameworks mit etwas
Aufwand unter Zuhilfenahme der Informationen
im gut gepflegten Wiki mit
vertretbaren Aufwand bewältigen, das
Installieren und Anpassen der für den eigenen
Einsatzzweck passenden Sensoren,
deren Konfiguration und das Auswerten
der ermittelten Informationen erfordert
aber viel Geduld. Das Python-Interface
Prewikka ist zwar eine unverzichtbare
Hilfe, optisch und funktional ist es aber
sichtlich in die Jahre gekommen.
Wer Prewikka partout nicht mag,
kann bei den meisten Distribu tionen
problemlos die Vorgänger-Lösung PIWI
(Abbildung 5) installieren, die ebenfalls
in allen gängigen Paket quellen enthalten
ist. PIWI ist nun aber keineswegs ein
Fortschritt, sonst wäre es ja nicht durch
Prewikka abgelöst worden.
Eine Javascript- oder auch Ajax-Oberfläche
wäre für die Zukunft sicherlich sehr
wünschenswert. (jcb)
n
Infos
[1] Prelude-Produktseite: [http:// www.​
prelude‐technologies. com/ en/ solutions/​
index. html]
[2] Download OSS-Version: [http://​
www. prelude‐technologies. com/ en/​
development/ download/ index. html]
[3] Prelude Admin Manual: [https:// dev.​
prelude‐technologies. com/ wiki/ prelude/​
ManualPreludeAdmin]
[4] Apache-Setup für Prewikka: [https:// dev.​
prelude‐technologies. com/ wiki/ prelude/​
InstallingPreludePrewikka# Running‐Prewikk
a‐from‐the‐Apache‐web‐server‐CGIApache]
[5] OSSEC IDS: [http:// www. ossec. net/]
72 Ausgabe 03-2012 Admin www.admin-magazin.de

Digitales aBO
linuxUser: Das Monatsmagazin für die Praxis
DigisUB *
nur 56,10 €
im Jahr (12 PDFs)
* Digitales Abo, jederzeit kündbar
Jetzt Bestellen Unter:
www.linux-user.de/digisub
Telefon: 07131 /2707 274
Fax: 07131 / 2707 78 601
E-Mail: abo@linux-user.de
Lesen Sie News und Artikel
fast 1 Woche vor dem Kiosk!
Sparen Sie im Abo 15% im
Vergleich zum PDF-Einzelkauf!
Nutzbar auf Notebook und
PC, Tablet oder Smartphone!

Security
Applocker
© Micha Rosenwirth, 123RF.com
Mit Applocker Anwendungen in Netzwerken sperren
Festgeschnallt
Dank Applocker können Administratoren in Windows Server 2008 R2 und Windows 7 über Richtlinien einzelne
Anwendungen sperren. So verhindern sie, dass Anwender unerwünschte Programme über USB-Stick oder E-Mail
einschleusen. Thomas Joos
Auch wenn Anwender keine Administratorrechte
haben, können sie doch problemlos
viele Programme starten, die dann
die gleichen Rechte wie der Benutzer
besitzen und Firmendaten ins Internet
übertragen können. Aus diesem Grund ist
es durchaus sinnvoll, hier die Freiheit des
Anwenders in Maßen zu beschränken.
Hierbei kann Applocker helfen.
Um Applocker (Abbildung 1) zu nutzen,
müssen Sie Windows 7 in den Editionen
Enterprise und Ultimate einsetzen.
App locker ist außerdem in den Editionen
Standard, Enterprise und Datacenter von
Windows Server 2008 R2 enthalten. Auf
diesem Weg erstellen Sie Richtlinien, die
auf den Windows-7-Clients automatisch
angewendet werden. Betriebssysteme,
die nicht kompatibel mit Applocker sind,
wenden die Regeln nicht an. Es besteht
keine Gefahr, Rechner außer Funktion zu
setzen, nur weil das Betriebssystem Applocker-Regeln
nicht versteht.
Applocker ermöglicht die Erstellung von
Whitelists und Blacklists. Auch eine
Kombination von Regeln ist möglich.
Applocker kann Anwendungen sperren
und in speziellen Einsatzszenarien sogar
einzelne DLL-Dateien. Auch Versionen
von Programmen und DLL-Dateien
lassen sich berücksichtigen. Applocker
kann auch automatisch Regeln erstellen
und bestimmte Verzeichnisse auf neue
Programme hin überwachen. Neben
Gruppenrichtlinien können Sie auch
über Sicherheitsgruppen filtern. Applocker
lässt sich auch mit der Powershell
steuern (Abbildung 2). Dazu laden Sie in
mit »import‐module applocker« die entsprechenden
Commandlets. Eine Liste
der verfügbaren Commandlets verschafft
»get‐command *applocker*«.
Microsoft bietet verschiedene Dokumente
zur Planung und Umsetzung von Applocker-Richtlinien
zum Download an [1].
Auch im Microsoft Technet finden sich
Anleitungen zum Thema [2]. Ein Video,
das bei der Einrichtung hilft, bietet Windowssecurity.com
an [3].
Gruppenrichtlinien für
Applocker erstellen
Die Konfiguration von Richtlinien läuft
in zwei Schritten ab. Sie erstellen eine
Richtlinie und weisen ihr Applocker-Regeln
zu. Die Gruppenrichtlinie erstellen
74 Ausgabe 03-2012 Admin www.admin-magazin.de

Applocker
Security
Sie genau so wie jede andere. Um ein
neues GPO zu erstellen, starten Sie die
Gruppenrichtlinienverwaltung, klicken
in der GPMC auf den Knoten »Gruppenrichtlinienobjekte«
und wählen im Kontextmenü
den Befehl »Neu« aus. Nach der
Erstellung verknüpfen Sie die Richtlinie
mit der OU oder Domäne, um die Einstellungen
anzuwenden. Sie können aber
auch innerhalb der Applocker-Regeln
durch Sicherheitsgruppen filtern.
Um Applocker zu verwenden, navigieren
Sie zu »Computerkonfiguration/Richtlinien/Windows‐Einstellungen/Sicherheitseinstellungen/Anwendungssteuerungsrichtlinien«.
Klicken Sie auf »App-
Locker«. Hier erstellen Sie die Regeln für
Applocker. Bei »Ausführbare Regeln« erstellen
Sie Regeln für das Programme mit
den Endungen ».exe« und ».com«.
Installer-Regeln steuern die Ausführung
von Setup-Dateien (».msi« und ».msp«).
Über Skriptregeln erfassen Sie Dateien
mit den Endungen ».js«, ».ps1«, ».vbs«,
».cmd« und ».bat«. Sie dürfen die Regeln
kombinieren und auswählen, ob die
entsprechende Regel Programme erlauben
oder sperren soll. Zusätzlich können
Sie bei jeder Regel noch Ausnahmen
für bestimmte Programme hinterlegen.
Verweigerungsregeln überschreiben die
Zulassungsregeln.
Wenn Sie die Ausführung von Programmen
verweigern, haben Sie nicht die
Möglichkeit, eine Regel zu erstellen, die
einer bestimmte Gruppe die Ausführung
erlaubt. In diesem Fall sollten Sie die
Filter der Regel so auslegen, dass nicht
alle Benutzer eingeschränkt sind. Applocker
unterstützt hierbei auch Gruppen in
Active Directory. Erstellen Sie eine neue
Applocker-Regel, hinterlegen Sie die Benutzergruppe.
Später können Sie dann
die Ausführung von Programmen über
die Gruppenmitgliedschaft steuern, ohne
die Applocker-Regeln neu erstellen oder
ändern zu müssen.
dungssteuerungsrichtlinien« und klicken
Sie auf Applocker und dann mit der rechten
Maustaste auf »Ausführbare Regeln«.
Wählen Sie im Kontextmenü »Neue Regel
erstellen« aus, dann auf der Seite die »Berechtigungen«,
die festlegen, ob die Regel
Anwendungen zulassen oder verweigern
soll. Wählen Sie im Drop-down-Menü
die Gruppe aus, auf die Sie diese Regel
anwenden wollen. Auf der nächste Seite
bestimmen Sie das Merkmal, nach dem
Sie Programme sperren wollen:
n Herausgeber: Durch diese Auswahl
können Sie Anwendungen auf Basis
Ihres Zertifikats filtern. Dazu muss
die Anwendung jedoch digital signiert
sein. Bei Standardsoftware ist das oft
der Fall, beim Einsatz selbst entwickelter
Anwendungen funktioniert das
nicht, wenn die Anwendung nicht signiert
ist (Abbildung 3).
n Pfad: Hiermit berücksichtigt die Regel
Programme in einem bestimmten Verzeichnis.
Anwender können in diesem
Abbildung 1: Mit Applocker lässt sich die Ausführung von Programmen im Firmennetz beschränken.
Regeln für Applocker
Ausführbare Regeln bieten einen Einstieg
in Applocker. Hier können Sie bestimmte
Programme blockieren oder bestimmte
Versionen sperren lassen:
Navigieren Sie zu »Computerkonfiguration/Richtlinien/Windows‐Einstellungen/Sicherheitseinstellungen/Anwen-
Abbildung 2: Verwalten von Applocker in der Powershell.
www.admin-magazin.de
Admin
Ausgabe 03-2012
75

Security
Applocker
Program Files (x86)\SDM Software\
Group Policy Health Cmdlet « finden Sie
eine Hilfedatei zum Commandlet. Mit
»Get‐SDMGPHealth ‐computer Computername«
rufen Sie den Status des Computers
und dessen umgesetzte Richtlinien
auf. Stellen Sie sicher, dass die Applocker-
Richtlinie angewendet wird. Funktioniert
eine Regel nicht, liegt das nicht an der
Richtlinie, sondern der Regel innerhalb
der Richtlinie, wenn der Zielcomputer
diese anwendet (Abbildung 4).
Regel-Automatik
Abbildung 3: Programme lassen sich beispielsweise nach Hersteller filtern.
Fall aber Programme aus dem Verzeichnis
verschieben. Dann greift die
Regel nicht mehr.
n Datei-Hash: Hierbei handelt es sich
um den Fingerabdruck der Datei. Dieser
ändert sich bei jeder neuen Version
und Aktualisierung. Bei jeder Änderung
des Programms müssen Sie auch
die entsprechende Regel ändern.
Die weiteren Fenster unterscheiden sich
abhängig von der Auswahl, die Sie zum
Filtern verwenden. Zunächst wählen Sie
ein Referenzprogramm des Herstellers
aus, dessen Programme Sie filtern wollen.
Mit dem Schieberegler legen Sie Einstellungen
wie die Version des Programms
fest, das Sie erfassen wollen. Sie haben
auch die Möglichkeit, einzelne Versionen
von Programmen zu sperren. Aktivieren
Sie die Option »Benutzerdefinierte Werte
verwenden«, können Sie bestimmen, ab
oder bis welcher Version die Regel das
Programm erfassen soll. Auf diesem Weg
lassen sich unerwünschte Versionen von
Programmen ausfiltern.
In weiteren Fenstern des Assistenten legen
Sie fest, ob es Ausnahmen für eine
Regel geben soll. Regeln lassen sich natürlich
jederzeit nachträglich anpassen.
Auf diesem Weg erstellen Sie alle Regeln,
die Sie in der GPO erfassen wollen. Sobald
die GPO mit den Regeln fertiggestellt
ist, verknüpfen Sie sie mit einer OU oder
der Domäne. Anschließend wenden die
Computer die Richtlinie an und setzen
die hinterlegten Regeln um. Die Umsetzung
von Applocker-Richtlinien testen
Sie am besten durch einen Neustart oder
indem Sie »gpupdate /force« in einer Eingabeaufforderung
mit Administratorrechten
eingeben.
Für eine erweiterte Analyse der Anwendung
einer Applocker-Richtlinie laden
Sie von der Seite SDMSoftware [4] das
kostenlose Commandlet »Group Policy
Help« herunter. Nachdem Sie das Commandlet
installiert haben, können Sie mit
dem Befehl »Get‐SDMGPHealth ‐computer
Computername« überprüfen, ob die
Gruppenrichtlinien funktionieren. Auf
diesem Weg schließen Sie Probleme bei
Applocker-Regeln aufgrund falsch angewendeter
Gruppenrichtlinien aus. Haben
Sie das Tool installiert, müssen Sie noch
eine DLL des Commandlets registrieren.
Öffnen Sie dafür ein Textfenster, und navigieren
Sie zu »C:\Windows\Microsoft.
NET\Framework64\v2.0.50727«. Verwenden
Sie ein 32-Bit-System, müssen Sie in
das Verzeichnis »C:\Windows\Microsoft.
NET\Framework« wechseln. Geben Sie
den Befehl
installutil "c:\Programm Files (x86)\SDM U
Software\Group Policy Health CMDlet\U
GetSdmGPHealth.dll"
ein. Denken Sie daran, dass der Befehl
nur in Eingabeaufforderungen mit Administratorrechten
funktioniert. Rufen
Sie »Launch PowerShell with GP Health
Snap‐In« in der Programmgruppe »SDM
Software« auf. Im Verzeichnis »C:\
Sie können Applocker auch veranlassen,
automatisch Regeln zu erstellen. Dazu
legen Sie ein bestimmtes Verzeichnis fest,
das Applocker regelmäßig nach neuen
Programmen scannt und diese automatisch
in die Regeln aufnimmt. Klicken
Sie zur Erstellung einer solchen automatischen
Regel mit der rechten Maustaste
auf »Ausführbare Regeln«, und wählen
Sie die Option »Regeln automatisch generieren«.
Wählen Sie im Assistenten das
Verzeichnis aus, das Applocker einbinden
soll, sowie die Benutzergruppe, für
die die Regel gelten soll.
Im Anschluss wählen Sie aus, auf welcher
Grundlage Applocker die Regel
erstellen soll. Auch hier haben Sie die
Möglichkeit, Herausgeber, Datei-Hash
oder Pfad zu verwenden, genauso wie bei
den manuellen Regeln. Ähnliche Dateien
lassen sich auch in gemeinsamen Regeln
zusammenfassen. Anschließend erstellt
der Assistent Zulassungsregeln für die gefundenen
Programme. Auch diese Regeln
können Sie nachträglich anpassen.
Klicken Sie auf »Applocker« im linken
Bereich der Konsole, können Sie auf der
rechten Seite festlegen, wie sich Applocker
auf den Client-Computern verhalten
soll. Dazu wählen Sie die Option
»Regel erzwingung konfigurieren«. Aktivieren
Sie »Regeln erzwingen« oder die
Einstellung »Nur überwachen«. Im Überwachungs-Modus
setzt Applocker die Regeln
nicht um, sondern protokolliert nur
die betroffenen Anwendungen. Sie finden
die Meldungen in der Ereignisanzeige unter
»Anwendungs‐ und Dienstprotokolle |
Microsoft | AppLocker«.
Auf der Registerkarte »Erweitert« aktivieren
Sie die DLL-Regeln. Nach der Aktivierung
finden Sie im linken Bereich der
76 Ausgabe 03-2012 Admin www.admin-magazin.de

Applocker
Security
Konsole die neue Option »DLL‐Regeln«.
Hier erstellen Sie Applocker-Regeln auf
Basis von DLL-Dateien. Diesen Bereich
sollten Unternehmen aber erst dann verwenden,
wenn es bereits eine Applocker-
Infrastruktur gibt. DLL-Regeln erstellen
Sie genauso wie Ausführbare-Regeln. Der
Unterschied dabei ist nur, dass Sie keine
».com«- oder ».exe«-Dateien auswählen,
sondern DLL-Dateien, welche die Regel
erfassen soll. Auch hier können Sie
bestimmte Versionen sperren, erlauben
oder filtern wie bei Ausführbare-Regeln.
Die Erstellung dieser Regeln funktioniert
genauso wie alle anderen Regeln. Das
Filtern von DLL-Dateien kann die Clientcomputer
stark ausbremsen und eine
große Anzahl von Anwendungen ungewollt
sperren
Die Vorgängerversionen von Applocker
sind die Richtlinien für Softwareeinschränkung
(Windows Software Restrictions).
Diese müssen Sie einsetzen,
wenn Sie nicht zu Applocker kompatible
Betriebssysteme im Einsatz haben. Die
Richtlinien für Softwareeinschränkung
unterstützen Windows XP/​Vista, aber
auch Windows Server 2003/​2008.
USB-Sticks
Neben Applocker können Sie in Gruppenrichtlinien
auf weitere Arten verhindern,
dass Anwender Programme ausführen
und dadurch die Sicherheit erhöhen. In
Windows Server 2008 R2, Windows Vista
und Windows 7 können Sie den Zugriff
auf Wechselmedien wie USB-Sticks per
Gruppenrichtlinie steuern. Die Richtlinie
zur Steuerung von Wechselmedien
finden Sie sowohl unter der Computerkonfiguration
als auch in der Benutzer-
Abbildung 4: Überprüfen eines Computers auf angewendete Gruppenrichtlinien.
Wollen Sie auf Computern oder Dateiservern
den Zugriff auf Dateien oder Programme
überwachen, können Sie das
ebenfalls über Richtlinien tun. Öffnen
Sie die lokale oder Gruppenrichtlinie für
den Computer, und navigieren Sie anschließend
zu »Computerkonfiguration/
Windows‐Einstellungen/Sicherheitseinstellungen/Lokale
Richtlinien/Überwachungsrichtlinien«.
Die Überwachung der
Zugriffe auf das Dateisystem aktivieren
Sie über »Objektzugriffsversuche überwachen«.
Nach der Aktivierung müssen
Sie noch auswählen, ob erfolgreiche und/​
oder fehlgeschlagene Zugriffsversuche
protokolliert werden.
Nachdem Sie die Überwachung aktiviert
haben, müssen Sie die eigentliche Überkonfiguration.
Die Einstellungen für den
Zugriff auf Wechselmedien sind unter
»Computerkonfiguration/Richtlinien/
Administrative Vorlagen/System/Wechselmedienzugriff«
zu erreichen.
Die Einstellungen dieser Richtlinie sind
selbst erklärend. Wenn Sie eine Richtlinie
aufrufen, finden Sie auf der Registerkarte
»Erklärung« eine ausführliche
Information über die Auswirkungen
der Richtlinien. Nicht jedes Brennprogramm
von Drittherstellern hält sich an
die Einstellungen in der Richtlinie für
den schreibenden Zugriff auf CDs oder
DVDs. Wenn Sie sicherstellen wollen,
dass keine CDs oder DVDs gebrannt werden
können, sollten Sie die Installation
von DVD- oder CD-Brennern über die
entsprechende Richtlinie einstellen. Die
generellen Einstellungen für die Geräteinstallationen
finden Sie über »Computerkonfiguration/Administrative
Vorlagen/
System/Geräteinstallation/Einschränkungen
bei der Geräteinstallation«. Auf
diesem Weg lässt sich verhindern, dass
Anwender auf unberechtigte USB-Sticks
zugreifen können.
Benutzerkontensteuerung
über Gruppenrichtlinien
Im Firmennetz lässt sich das Verhalten
der Benutzerkontensteuerung per Gruppenrichtlinie
konfigurieren. Die dazu notwendigen
Einstellungen finden Sie unter
»Computerkonfiguration/Richtlinien/
Windows‐Einstellungen/Sicherheitseinstellungen/Lokale
Richtlinien/Sicherheitsoptionen«.
Führt ein Anwender
Aufgaben durch, die Administratorrechte
voraussetzen, erscheint ein Bestätigungsfenster
oder ein Authentifizierungsfens-
ter, wenn Sie an einer Arbeitsstation als
Standardbenutzer angemeldet sind. Auch
auf diesem Weg lassen sich Anwendungen
sperren.
Bitlocker
In Windows 7 können Sie Festplatten und
auch USB-Sticks mit Bitlocker verschlüsseln.
Damit das funktioniert, muss im PC
aber das TPM-Sicherheitsmodul installiert
sein. Um dennoch die Festplattenverschlüsselung
nutzen zu können, besteht
auch die Möglichkeit, Gruppenrichtlinieneinstellungen
zu ändern. In diesem Fall
benötigen Sie einen USB-Stick, der mit
dem Computer verbunden ist.
Wechseln Sie in der Konsolenstruktur
der Gruppenrichtlinienverwaltung
zum Eintrag »Computerkonfiguration/
(Richtlinien)/Administrative Vorlagen/
Windows‐Komponenten/BitLocker‐Laufwerksverschlüsselung/Betriebssystemlaufwerke«.
Doppelklicken Sie im rechten
Bereich des Fensters auf die Richtlinie
»Zusätzliche Authentifizierung beim Start
anfordern«. Für Windows Vista-Clients
oder Windows Server 2008 gibt es dazu
eine eigene Richtlinie, die Sie aktivieren
müssen.
Wählen Sie im Dialogfeld die Option »Aktiviert«,
stellen Sie sicher, dass das Kästchen
»BitLocker ohne kompatibles TPM
zulassen« aktiviert ist, und klicken Sie
auf »OK«. Die Richtlinie erhält darauf in
der Statuszeile den Status »Aktiviert«.
Dateisystemzugriffe
www.admin-magazin.de
Admin
Ausgabe 03-2012
77

Security
Applocker
Abbildung 5: iPhones kann der Administrator mit dem iPhone-Konfigurationsprogramm verwalten.
wachung für die entsprechenden Dateien
und Verzeichnissen aktivieren. Öffnen Sie
dazu die Eigenschaften des Objekts, also
des Verzeichnisses mit den Daten, und
wählen Sie auf der Registerkarte »Sicherheit«
die Schaltfläche »Erweitert«. Auf der
Registerkarte »Überwachung« sehen Sie,
welche Operationen protokolliert werden.
Damit Sie die bei der Überwachung anfallenden
Protokolldaten sinnvoll bearbeiten
können, sollten Sie von diesem Filter
Gebrauch machen und nur das Nötigste
protokollieren.
Über »Hinzufügen« legen Sie die Überwachung
fest. Wie bei den NTFS-Berechtigungen
gilt auch hier das Prinzip der
Vererbung, das Sie bei Bedarf ausschalten
können. Nachdem Sie »Hinzufügen« gewählt
haben, können Sie über »Ändern«
den zu überwachenden Benutzer oder die
Gruppe auswählen. Wie bei der Vergabe
spezieller NTFS-Berechtigungen können
Sie angeben, inwieweit sich diese Einstellungen
auf untergeordnete Objekte und
Verzeichnisse auswirken. Wählen Sie anschließend
im Feld »Zugriff« aus, welche
Zugriffe protokolliert werden sollen und
ob Sie erfolgreiche oder fehlgeschlagene
Zugriffe protokollieren wollen.
Die Protokollierung der Überwachung erfolgt
in der Ereignisanzeige. Starten Sie
die Verwaltungskonsole über »eventvwr.
msc«. In der Ereignisanzeige finden Sie
die protokollierten Zugriffsversuche im
»Sicherheitsprotokoll«. Die mit einem
Schlüssel gekennzeichneten Einträge stehen
für erfolgreiche Zugriffe, während
ein Schloss für fehlgeschlagene Zugriffe
steht. Genauere Informationen zu einem
Eintrag bekommen Sie, wenn Sie ihn öffnen.
Ein einzelner Zugriff erzeugt eine
ganze Reihe von Einträgen im Sicherheitsprotokoll.
iPhone-Konfiguration
Auch Anwendungen auf Smartphones,
wie zum Beispiel iPhones, lassen sich mit
Applocker sperren. Durch das ohnehin
sehr restriktive System können Unternehmen
Anwendungen und die Installation
von Apps zuverlässig verhindern.
Zusammen mit Activesync-Richtlinien
in Exchange Server 2007/​2010 können
Administratoren mit dem iPhone-Konfigurationsprogramm
iOS-Geräte konfigurieren.
Den Umgang mit dem Tool, sowie
Hinweise zur Bereitstellung erklärt Apple
auf einer eigenen Seite, auf der auch das
iPhone-Konfigurationsprogramm zur Verfügung
steht [5].
Mit dem Konfigurationsprogramm erstellen
Administratoren verschiedene Profile,
die Einstellungen enthalten. Bei den Profilen
handelt es sich um XML-Dateien,
die die Einstellungen des iPhone festlegen.
Die Profile enthalten Einstellungen,
die Anwender normalerweise direkt
im iPhone vorgeben. Die Konfiguration
erfolgt über eine grafische Oberfläche.
Einstellungen, die Administratoren über
ein Konfigurationsprofil vorgeben, lassen
sich auf dem iPhone/​iPad nicht mehr
manuell anpassen.
Mit dem Tool lassen sich auch einzelne
Bereich im iPhone und installierte Apps
deaktivieren und ausblenden. Dazu können
Administratoren etwa Programm-
Icons auf den Endgeräten ausblenden
und auf diese Weise zum Beispiel das
Installieren von Apps über den App-Store
verhindern. Im Bereich »Einschränkungen«
sind alle Einstellungen zu finden,
die verschiedene Bereiche auf den Endgeräten
deaktivieren können.
Einschränkungen und Einstellungen
lassen sich in getrennten Profilen oder
in einem gemeinsamen Profil konfigurieren.
Einschränkungen geben Sie wie
alle anderen Einstellungen als Konfigurationsprofil
weiter. Die Erstellung von
Profilen geschieht über den Menüpunkt
»Konfigurationsprofile«. Über einen Klick
auf »Neu« erstellt das Konfigurationsprogramm
das Profil. Im oberen Bereich »Allgemein«
vergeben Administratoren einen
Namen für das Profil, eine Kennung und
eine Beschreibung fest und klicken sich
anschließend durch die verschiedenen
Einstellungen. Interessant für große Unternehmen
ist vor allem die Möglichkeit,
Exchange-Einstellungen, Zertifikate und
die Anbindung an WLANs zu konfigurieren.
(ofr)
n
Infos
[1] Applocker-Richtlinien:
[http:// www. microsoft. com/ download/ en/​
details. aspx? displaylang=en& id=13431]
[2] Technet-Anleitungen:
[http:// technet. microsoft. com/ de‐de/​
library/ dd723686(WS. 10). aspx]
[3] Applocker-Video: [http:// www.​
windowsecurity. com/ articles/​
Video‐AppLocker‐Tips‐Tricks. html]
[4] SDMSoftware:
[http:// www. sdmsoftware. com/ freeware]
[5] iPhone-Konfigurationsprogramm:
[http:// www. apple. com/ de/ support/ iphone/​
enterprise]
Der Autor
Thomas Joos ist freiberuflicher IT-Consultant und
seit über 20 Jahren in der IT tätig. Neben seinen
Projekten schreibt er praxisnahe Fachbücher
und Fachartikel rund um Windows und andere
Microsoft-Themen. Online trifft man ihn unter
[http:// thomasjoos. spaces. live. com].
78 Ausgabe 03-2012 Admin www.admin-magazin.de

Admin-mAGAZin
im JAhres-Abo
Jede Ausgabe des Admin-Magazins bietet praktisch anwendbares Wissen
von ausgewiesenen Experten und ausführliche Hintergrundberichte für alle
Systemverwalter von Linux, Unix und Windows. Die Schwerpunkte reichen von
Storage und Backup bis hin zu Netzwerk-Themen und Security.
Ein Sonderteil hilft Admins heterogener Welten.
15 % sparen
Jetzt bestellen unter:
www.admin-magazin.de/abo
sichern sie sich ihr
GrAtis Admin t-shirt!
• Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@admin-magazin.de
Mit dem Jahres-Abo erhalten Sie 6 Ausgaben des Admin-Magazins zum Vorzugspreis von E 49,90 * statt E 58,80 *
(Lieferung frei Haus).
* Preise gelten für Deutschland. Schweiz: SFr 82,32; Österreich: E 54,90; anderes Europa: E 59,90

Know-How
Windows-Bibliotheken
© Pedro Antonio Salaverrà a Calahorra, 123RF
Windows-Bibliotheken effizient zentral steuern
Ansichtssache
Bibliotheken in Windows 7 können physische Verzeichnisse auch aus verschiedenen Laufwerken logisch zusammenfassen
und bieten eine gemeinsame Ansicht auf die enthaltenen Dateien. Das erhöht die Übersicht über
wichtige Daten und die Effizienz im Umgang mit Dokumenten. Thomas Joos
Bibliotheken zeigt Windows auch ohne
Active Directory direkt im Explorer in einem
eigenen Bereich auf der linken Seite
an (Abbildung 1). Über das Kontextmenü
von Bibliotheken erstellen Anwender
oder Administratoren neue Bibliotheken
und ändern die Einstellungen der Standardbibliotheken.
In den Eigenschaften einer Bibliothek
können Sie festlegen, welche physischen
Verzeichnisse sie enthalten und anzeigen
soll. Dabei gibt es nahezu
keine Beschränkungen: Bibliotheken
können sich über
mehrere physische Laufwerke
und unterschiedliche Verzeichnisse
erstrecken. Windows-Anwender
sehen mit
einem Klick den Inhalt aller
angebundenen Verzeichnisse
in einem Explorer-Fenster.
Wählen Anwender eine Bibliothek
zum Speichern aus,
legt Windows die Datei in
dem konfigurierten Verzeichnis
ab. Zusätzlich lässt sich
festlegen, welche Art von Dateien
die Bibliothek enthalten
soll. Windows optimiert dann
die Ansicht der Bibliothek
entsprechend.
Bibliotheken dürfen allerdings keine
Netzwerkpfade, also Freigaben auf den
Rechnern enthalten, sie unterstützen nur
indexierte Verzeichnisse. Diese durchsucht
Windows im Hintergrund ständig
und speichert die Ergebnisse in einem
Index. Es gibt aber die Möglichkeit,
Bibliotheken und Verzeichnisse der Bibliotheken
auf einen Server umzuleiten,
was für Anwender vollkommen transparent
geschieht.
Abbildung 1: Bibliotheken im Explorer von Windows 7.
Netzwerklaufwerke lassen sich über einen
Umweg auch zu Bibliotheken hinzufügen.
Dazu müssen Anwender die
entsprechenden Verzeichnisse als Offline-
Dateien konfigurieren. Windows überträgt
dann die Dateien vom Server auf
den lokalen Client in einen Cache. Die
Offline-Verfügbarkeit lässt sich für komplette
Netzlaufwerke oder für einzelne
untergeordnete Verzeichnisse festlegen.
Allerdings lassen sich auf Client-Computern
nur die Freigaben offline
verfügbar machen, die auf
dem Server die entsprechende
Einstellung verwenden. Das
ist zwar standardmäßig der
Fall, allerdings kann diese
Funktion bei einzelnen Freigaben
auch deaktiviert sein.
Offline-Dateien für
Netzfreigaben
Auf Servern mit Windows
Server 2008 R2 können Sie
die Nutzung von Offlinedateien
über die Eigenschaften
der Freigabe steuern. Die Offline-Verfügbarkeit
steuert die
Option »Zwischenspeichern«
(Abbildung 2). Es gibt ver-
80 Ausgabe 03-2012 Admin www.admin-magazin.de

Windows-Bibliotheken
Know-How
schiedene Möglichkeiten, den Zugriff zu
steuern und Anwendern das Recht einzuräumen,
Verzeichnisse auf dem Server
offline verfügbar zu machen.
Wenn Sie die Option »Keine Dateien oder
Programme der Freigabe sind offline verfügbar«
aktivieren, erscheint der Befehl
»Immer offline verfügbar« im Kontextmenü
von Freigaben auf den Clients
nicht. Darüber hinaus lassen sich folgende
Varianten auswählen:
n Mit »Nur von Benutzern angegebene
Dateien und Programme sind offline
verfügbar«, können die Benutzer
selbst auswählen, welche Dateien
sie verwenden wollen, indem sie im
Kontextmenü der Freigabe die Offline-
Verfügbarkeit aktivieren.
n »Alle Dateien und Programme, die Benutzer
auf der Freigabe öffnen, sind
automatisch offline verfügbar« legt
fest, dass Windows 7 automatisch jede
geöffnete Datei der Freigabe offline
verfügbar konfiguriert.
n Über »Für hohe Leistung optimieren«
lässt sich festgelegen, dass ausführbare
Dateien aus dieser Freigabe auf
dem Client verfügbar bleiben, wenn
sie einmal genutzt wurden. In diesem
Fall sollten die Zugriffsberechtigungen
für die Freigabe auf »Lesen« gesetzt
sein, um zu verhindern, dass Windows
veränderte Programme zurückspeichert.
Wer festlegen möchte, dass bestimmte
Verzeichnisse von Bibliotheken automa-
tisch auf Servern gespeichert werden,
ohne dass Benutzer davon etwas mitbekommen,
kann dafür Gruppenrichtlinien
benutzen. Dokumentenbibliotheken
verwenden standardmäßig den lokalen
Profilpfad des Benutzerkontos und das
öffentliche Profil auf einem Client. Das
heißt, gespeicherte Dokumente sind nicht
auf dem Server gespeichert, wenn Anwender
die Bibliothek nutzen.
Umgeleitet
Mit Gruppenrichtlinien lassen sich Ordner
aber auch ohne den Umweg mit Offline-Dateien
umleiten. Windows 7 und
Windows Server 2008 R2 bieten dazu die
Möglichkeit, verschiedene Ordner innerhalb
des Profils auf ein Serverlaufwerk
umzuleiten. So ist sichergestellt, dass
Daten, die Anwender in der Bibliothek
speichern, automatisch auf einem Server
gespeichert sind. Die Umleitungen
dieser Ordner nehmen Sie über Ordnerumleitungen
in Gruppenrichtlinien vor.
Die Einstellungen finden sich im Gruppenrichtlinienverwaltungs-Editor
unter
»Benutzerkonfiguration/Richtlinien/
Windows‐Einstellungen/Ordnerumleitungen«
(Abbildung 3).
Bei der Umleitung können Sie wichtige
Ordner der Standard-Bibliotheken in Verzeichnisse
auf den Servern umleiten lassen.
Über die Registerkarte »Ziel« legen
Sie die Umleitungsoptionen fest. Einen
Stammordner, also eine Freigabe auf die
alle Anwender zentral zugreifen dürfen,
müssen Sie manuell anlegen. In diesem
Ordner legt Windows automatisch Unterordner
für die einzelnen Benutzer an
und konfiguriert automatisch die entsprechende
Rechte. Die Freigabe müssen Anwender
nicht als Laufwerk verbinden, die
Daten stehen automatisch zur Verfügung,
sobald der Anwender die entsprechende
Bibliothek im Explorer öffnet.
Haben Sie die neue übergeordnete Freigabe
erstellt, öffnen Sie die Gruppenrichtlinienverwaltung
und navigieren
zu »Benutzerkonfiguration/Richtlinien/
Windows‐Einstellungen/Ordnerumleitungen«.
Rufen Sie die Eigenschaften
von »Dokumente« auf, und öffnen Sie
die Registerkarte »Ziel«. Wählen Sie die
Option »Standard – Leitet alle Ordner
auf den gleichen Pfad um«. Aktivieren
Sie bei »Zielordner« die Option »Einen
Ordner für jeden Benutzer im Stammpfad
erstellen«. Hinterlegen Sie als Stammverzeichnis
den Pfad »\\Servername\
Erstellte Freigabe«, und klicken Sie auf
»OK« (Abbildung 4).
Meldet sich der Anwender das nächste
Mal an seinem Rechner an, legt Windows
automatisch in der erstellten Freigabe einen
Ordner mit dem Benutzernamen des
Anwenders an. In diesem Ordner auf dem
Server liegen zukünftig alle Dateien, die
der Anwender in seiner Dokumentenbibliothek
speichert. Rufen Sie nach der
Ordnerumleitung im Startmenü die Eigenschaften
der Bibliothek »Dokumente«
Abbildung 2: Konfigurieren von Offlinedateien unter Windows Server 2008 R2.
Abbildung 3: Ordnerumleitungen über Gruppenrichtlinien steuern.
www.admin-magazin.de
Admin
Ausgabe 03-2012
81

Know-How
Windows-Bibliotheken
auf, sehen Sie, dass Windows die Daten
automatisch auf dem Server speichert.
Damit Anwender die Dokumente auch
zur Verfügung haben, wenn der Computer
nicht mit dem Netzwerk verbunden
ist, verwendet Windows automatisch die
Offlinedateisynchronisierung.
Einstellungen per Skript
anpassen
Die Konfiguration von Bibliotheken findet
über die grafische Oberfläche und
XML-Dateien auf den Clientcomputern
statt. Sie können die XML-Dateien mit
Skripten auf den Clients bearbeiten oder
die XML-Dateien über Anmeldeskripte
auf die Computer kopieren lassen. Im
Verzeichnis »C:\Users\Benutzername\
AppData\Roaming\Microsoft\Windows\
Libraries« liegen die XML-Dateien der
Bib liotheken. Damit der Ordner »App-
Data« sichtbar ist, lassen Sie sich über
»Organisieren/Ordner‐ und Suchoptionen«
zunächst die versteckten Dateien
anzeigen. In diesem Verzeichnis sind die
Konfigurationseinstellungen der Bibliotheken
gespeichert. Nach dem Öffnen
der Datei der Bibliothek im Windows-
Editor können Sie Einstellungen vornehmen,
wie etwa das Icon der Bibliothek
anpassen. Das Symbol ist zum Beispiel
in der Zeile »imageres.
dll,‐1005« festgelegt.
Die XML-Dateien lassen sich auch verwenden,
um Bibliotheken zum Beispiel
auf Remotedesktop-Servern zu steuern.
Dazu erstellen Sie eine Bibliothek mit
beliebigen Pfaden und Einstellungen.
Die XML-Datei
der Bibliothek verteilen Sie
dann mit Gruppenrichtlinien
auf Clientcomputer, um die
Bibliothek dort verfügbar zu
machen. Durch das Kopieren
einer XML-Datei auf einen
Clientcomputer oder Remotedesktop-Server,
zum Beispiel
über ein Anmeldeskript, über
Gruppenrichtlinien oder die
Benutzereigenschaften, ist die
Bibliothek auf dem entsprechenden
Computer ebenfalls
automatisch vorhanden, sobald
die Datei kopiert ist.
Auch Einstellungen wie das
Icon lassen sich über diesen
Weg steuern. Kopieren Sie die Datei bei
jedem Anmelden, ist sichergestellt, dass
die Bibliothek immer die gleichen Einstellungen
verwendet. Das Kopieren funktioniert
in Echtzeit auch im laufenden
Betrieb von Rechnern, die Bibliothek ist
nach dem Kopieren der Datei in das Verzeichnis
»C:\Users\\
AppData\Roaming\Microsoft\Windows\
Libraries« sofort verfügbar.
Es gibt auch die Möglichkeit, Bibliotheken
über eine Verknüpfung zentral auf den
Desktops verfügbar zu machen. Dazu erstellt
man eine Verknüpfung und kopiert
diese per Anmeldeskript auf den Desktop
der Benutzer. Wer auf diesem Weg zum
Beispiel alle Programme der Systemsteuerung
auf einmal in einem Explorer-Fenster
anzeigen möchte, klickt mit der rechten
Maustaste auf den Desktop, wählt »Neu«
und dann »Verknüpfung«. Der einzugebende
Pfad lautet: »explorer.exe shell:::{
ED7BA470‐8E54‐465E‐825C‐99712043E01
C}«. Auf die gleiche Art lassen sich auch
andere Systemordner öffnen und anzeigen,
wie etwa der Papierkorb (645FF040-
5081-101B-9F08-00AA002F954E) oder das
Wartungscenter (BB64F8A7-BEE7-4E1A-
AB8D-7D8273F7FDB6). Auf [1] findet
sich eine vollständige Liste.
Anmeldeskripte und
Gruppenrichtlinien
Sind die Musterdateien für die Bibliotheken
erstellt, lassen sich diese am einfachsten
über Anmeldeskripte kopieren.
Die klassischen Anmeldeskripte legen
Abbildung 4: Erstellen einer Ordnerumleitung am Beispiel von SBS 2011 Essentials.
Sie auf der Registerkarte »Profil« in den
Eigenschaften bei den Benutzerkonten
fest. Diese Skripte können problemlos
in einem Windows Server 2008 R2 Active
Directory verwendet werden. Damit
die Skripte beim Anmelden auch starten,
müssen Sie die Dateien in der Freigabe
»netlogon« auf den Domänencontrollern
speichern. Das gilt auch für Programme
oder andere Skripte, die wiederum von
den Anmeldeskripten gestartet werden.
Wenn ein Skript in die Netlogon-Freigabe
kopiert ist, wird es durch den Dateireplikationsdienst
(File Replication Service,
FRS) automatisch auf die anderen Domänencontroller
repliziert. Der lokale
Speicherort der netlogon-Freigabe auf
einem Windows Server 2008 R2 ist das
Verzeichnis »\Windows\SYSVOL\sysvol\
Domäne\scripts«.
In einem Active Directory können Sie
neben den klassischen Skripten auch
Skripte beim Anmelden und Abmelden,
sowie beim Starten und Herunterfahren
eines Computers verwenden. Die Skripte
finden sich in den Gruppenrichtlinien an
den folgenden Stellen:
n Skripte für Computer zum Starten und
Herunterfahren unter »Computerkonfiguration/Richtlinien/Windows‐Einstellungen/Skripte«.
n Skripte für Anwender beim An- oder
Abmelden unter »Benutzerkonfiguration/Richtlinien/Windows‐Einstellungen/Skripte«.
Klicken Sie doppelt auf den jeweiligen
Eintrag und dann auf die Schaltfläche
»Dateien anzeigen«, öffnet sich ein Explorer-Fenster.
Hierher ist
anschließend die Skriptdatei
und die verwendeten Steuerdateien
von Bibliotheken zu
kopieren. Über die Schaltfläche
»Hinzufügen« wählen Sie
dann das Skript aus. Auch
die Kombination von klassischen
Skripten und Skripten
über Gruppenrichtlinien ist
möglich. Es ist auch möglich,
dass die Skripte in den Gruppenrichtlinien
von übergeordneten
OUs nach unten vererbt
und in den untergeordneten
OUs weitere Skripts gestartet
werden. Neben herkömmlichen
Ordnerumleitungen in
Active Directory, die auch mit
82 Ausgabe 03-2012 Admin www.admin-magazin.de

Windows-Bibliotheken
Know-How
SBS 2011 Essentials funktionieren,
bietet SBS 2011 Standard
in seiner Konsole einen
eigenen Eintrag, um Ordner
von Bibliotheken zentral zu
steuern und umzulegen. Über
den Eintrag »Ordner« in den
Eigenschaften von Benutzerkonten
in der SBS-Konsole
können Sie festlegen, wie
groß die Datenmenge sein
darf, die Anwender speichern
dürfen. Zusätzlich können Sie
an dieser Stelle die Ordnerumleitungen
konfigurieren. Bei diesen Umleitungen
lenkt SBS 2011 die Zugriffe der
Anwender automatisch auf den Server
um, wenn diese ein bestimmtes lokales
Verzeichnis öffnen.
Für den Anwender ist der Zugriff transparent,
aber die Daten liegen auf dem
Server nicht auf der lokalen Arbeitsstation.
Die Steuerung der Grenzwerte erfolgt
über den Ressourcen-Manager für
Dateiserver in der Programmgruppe »Verwaltung«.
Man muss daher mit SBS 2011
Standard keine Ordner manuell erstellen,
die Aufgaben lassen sich bequem in der
SBS-Konsole vornehmen. Die Ordnerumleitung
selbst erfolgt über Gruppenrichtlinien
wie in einem normalen Active Directory
oder mit SBS 2011 Essentials.
Welche lokalen Ordner die Arbeitsstation
auf den SBS-Server umleitet, steuert man
ebenfalls in der SBS-Konsole. Klicken Sie
auf »Benutzer und Gruppen«, und aktivieren
Sie die Registerkarte »Benutzer«.
Klicken Sie auf »Ordner für Benutzerkonten
an den Server umleiten«, und aktivieren
Sie das Kontrollkästchen bei jenen
Ordnern, die die Clients umleiten sollen
(Abbildung 5).
Über den Eintrag »Benutzerkonten« aktivieren
Sie das Kontrollkästchen bei den
Benutzern, für die Sie die Umleitung aktivieren
wollen. Die Benutzer müssen sich
nach der Änderung bis zu dreimal neu
anmelden, bis der Server die Änderungen
übernimmt. Nach der aktiven Ordnerumleitung
speichert der Windows-Client automatisch
alle Dateien, die ein Anwender
in den entsprechenden Ordnern, zum Beispiel
der Dokumenten-Bibliothek ablegt,
auf dem Server. Der Anwender muss dabei
nichts beachten, die Vorgänge laufen
im Hintergrund ab. Die Dateien bleiben
aber als Offlinekopie auf dem Computer,
Abbildung 5: Konfigurieren der Ordnerumleitung in SBS 2011.
sodass auch mobile Anwender unterwegs
mit den Dateien arbeiten können.
Sobald ein Computer eine Verbindung
mit dem Server herstellt, repliziert der
Client neue und veränderte Dateien auf
den Server. Auf dem SBS-Server finden
Sie die Dateien im Verzeichnis »C:\Users\
FolderRedirections«. Für jeden Anwender
legt der Server ein eigenes Verzeichnis
an. Anwender können auch über die
Freigabe auf die Verzeichnisse zugreifen.
Der Zugriff auf umgeleitete Ordner erfolgt
für Anwender wie der lokale Zugriff auf
Ordner. Der Unterschied besteht darin,
dass die Daten im freigegebenen Ordner
auf dem Server gespeichert sind. Wenn
sich Benutzer an verschiedenen Computern
im Netzwerk anmelden, haben
diese auf allen Computern Zugriff auf
ihre Dateien.
Benutzer in Active
Directory
Da die Verzeichnisse von Bibliotheken
normalerweise im Benutzerprofil liegen,
können Sie für Anwender auch servergespeicherte
Profile aktivieren. Dann kopiert
der Client automatisch alle Dateien
der Bibliothek beim Abmelden auf den
Server. Abhängig von der Datenmenge
kann das aber durchaus etwas dauern.
Auf der Registerkarte »Profil« eines Benutzerkontos
in der Verwaltungskonsole
»Active Directory‐Benutzer und ‐Computer«
können Sie die notwendigen Angaben
hinterlegen, um komplette Profile
auf den Server auszulagern. Sie finden
die Benutzerkonten in SBS 2011 Standard
über »Domäne/MyBusiness/Users/
SBSUSers«. In dieser Organisationseinheit
sind alle Benutzerkonten gespeichert, die
Sie in der SBS-Konsole angelegt haben.
Die Profile funktionieren aber
auch in ganz normalen Active
Directorys.
Um servergespeicherte Profile
für Anwender festzulegen,
rufen Sie die Eigenschaften
des Benutzerkontos auf und
wechseln zur Registerkarte
»Profile«. Bei »Profilpfad« geben
Sie das Verzeichnis an,
in dem Windows das Benutzerprofil
des Anwenders beim
Abmelden speichern und
beim Anmelden laden soll.
Bei Verwendung eines serverbasierenden
Benutzerprofils steht dieses Profil
an allen Arbeitsstationen im Netzwerk
zur Verfügung. Durch die Angabe dieses
Pfads wird automatisch ein leerer Ordner
für diesen Benutzer erstellt. Die Angabe
des Profilpfads erfolgt in der Form »\\Servername\Freigabename\%username%«.
Der Profilpfad verweist auf den Ordner, in
dem das Benutzerprofil des Anwenders
abgelegt wird. Ist kein Pfad angegeben,
arbeitet Windows nur mit lokalen Benutzerprofilen.
Wenn sich ein Benutzer
anmeldet, überprüft Windows, ob für
diesen Benutzer ein Profilpfad angegeben
und damit ein serverbasierendes Profil
definiert ist. Ist dies der Fall, vergleicht
Windows, ob das serverbasierte oder das
lokale Profil aktueller ist. Ist das serverbasierte
Profil aktueller, lädt Windows
die geänderten Dateien aus diesem Profil
auf das lokale System.
Achten Sie aber darauf, dass die Gruppe
»Jeder« – oder eine Sicherheitsgruppe,
in der sich die Benutzer befinden – die
nötigen Rechte besitzen muss, Ordner
in der Freigabe für die Profile zu erstellen
und in die Ordner zu schreiben. Bei
der Abmeldung aktualisiert Windows das
serverbasierende Profil durch die lokal
veränderten Dateien. Bei der ersten Anmeldung
eines Benutzers nach der Definition
eines Profilpfads lädt Windows
entweder ein vordefiniertes Profil vom
Server oder kopiert bei der Abmeldung
das bisherige lokale Profil des Benutzers
auf den Server. (ofr)
n
Infos
[1] Canonical Names of Control Panel Items:
[http:// msdn. microsoft. com/ en‐us/ library/​
ee330741%28VS. 85%29. aspx]
www.admin-magazin.de
Admin
Ausgabe 03-2012
83

Know-How
PostgreSQL Indexe
Speicherplatz für PostgreSQL-B-Baum-Indexe richtig nutzen
Wider die Blasen
© Roland Warmbier, 123RF
Obwohl viele PostgreSQL-Benutzer ihre Datenbank regelmäßig mit VACUUM aufräumen, und obwohl die Tabellen
kaum wachsen, kann der B-Baum-Index immer mehr Speicherplatz belegen. Denn auch hier ist der Admin in der
Pflicht und muss vorsorgen. Susanne Ebrecht
Genau wie Tabellen speichert PostgreSQL
auch die Daten von Indexen, die
mit dem B-Tree-Verfahren erzeugt wurden,
immer in 8 kByte großen Pages (solange
die Pagegröße beim Kompilieren
nicht geändert wurde). Die Anzahl an
Pages, die Indexe und Tabellen für sich
in Anspruch nehmen, sowie die Anzahl
der abgelegten Tupel lässt sich einfach
mithilfe der PostgreSQL-internen Tabelle
»pg_class« herausfinden:
SELECT relname, reltuples, relpages
FROM pg_class
WHERE relname LIKE 't\_%';
relname | reltuples | relpages
‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐
t_index | 10000 | 30
t_tabelle | 10000 | 45
Zu sehen ist, dass der Index 30 und
die Tabelle selbst 45 Pages in Anspruch
nimmt. Wird die Anzahl der Pages mit
8 kByte multipliziert, so ergibt das den
tatsächlichen Speicherverbrauch in
kByte. Wenn alle Datensätze einer Tabelle
gelöscht werden sollen, kommt häufig
die Frage auf, was der Unterschied
zwischen »DELETE« und »TRUNCATE«
ist. Tatsächlich gibt es gleich zwei gravierende
Unterschiede: Erstens gibt »DE-
LETE« den Speicherplatz für eine Tabelle
erst nach einem »VACUUM« an das System
zurück – »TRUNCATE« dagegen sofort.
Zweitens: TRUNCATE befreit auch
den Index vom Ballast.
Ein kleines Experiment verdeutlicht das
(Listing 1). Dort ist zu sehen, dass der
Speicherplatz für die Tabelle erst nach
»VACUUM ANALYZE« vollständig an
das System zurückgegeben wurde. Der
Index jedoch beansprucht danach immer
noch 30 Pages für sich. Werden
jetzt wieder 10000 Werte in die Tabelle
eingespielt, legt die Datenbank für den
Index 27 weitere Pages neu an, statt die
vorhandenen 30 auszunutzen. Obwohl
hier lediglich wieder genauso viele Zeilen
eingefügt wie vorher gelöscht wurden,
ist der Index fast doppelt so groß geworden.
»DELETE« plus »VACUUM« reichen
also nicht aus, um
den Indexspeicher
auf das kleinstmögliche
Maß zu
schrumpfen.
»TRUNCATE« gibt
den Speicher sofort
und unverzüglich
zurück an das
System (Listing
2). »TRUNCATE«
hat nicht nur den
Speicherplatz der
Tabelle an das
System zurückgegeben,
sondern
bis auf eine Page
auch den Index
vom Ballast befreit.
Fügt man danach
wie oben wieder 1000 Datensätze
ein, ist der Index wieder so groß wie zu
Anfang – und nicht verdoppelt, wie im
ersten Beispiel.
Minimum ist eine Page
Abbildung 1: So könnte ein B-Baum-Index aussehen.
Aber warum hat Truncate beim Index
eine Page stehen lassen? Die eine Page
wird auch angelegt, wenn auf einer frischen,
leeren Tabelle ein Index erzeugt
wird: Ein Index nimmt immer mindestens
8 kByte in Anspruch. Diese erstePage
enthält wichtige Metainformation. Jeder
Index, egal ob leer oder nicht, braucht
57
58
59
60
61
86 Ausgabe 03-2012 Admin www.admin-magazin.de

PostgreSQL Indexe
Know-How
diese Page. Hier wird festgehalten, wo
sich die Wurzel des Baumes befindet. Der
eigentliche Indexbaum beginnt erst mit
der zweiten Page. Wie sieht ein solcher
B-Baum in PostgreSQL aus? Der B-Baum
ist eine Daten struktur, die schon 1972
von Rudolf Bayer, damals für Boeing tätig,
und Edward M. McCreight entwickelt
wurde. Die Entwickler haben bis heute
nicht verraten, wofür das „B“ steht. Die
Interpretationen gehen von „Balanciert“
über „Bayer“ und „Boeing“ bis hin zu
„Barbara“ (Bayers Frau). Für die Verwendung
zum Speichern von Datenbank-
Indexen warf der B-Baum-Algorithmus
jedoch zunächst einige Fragen auf: Was
ist mit zeitgleichen Zugriffen? Was ist mit
Locking? Wie ist er MVCC-konform zu
implementieren? Wie soll er sich beim
Löschen verhalten? Über diese Themen
haben unter anderem Phillip L. Lehman
und S. Bing Yao sowie Vladimir Lanin
und Dennis Shasha Abhandlungen geschrieben,
die bei der PostgreSQL-Implementierung
Berücksichtigung fanden.
Bei der PostgreSQL-B-Baum-Implementierung
handelt es sich um eine korrekte
Implementierung des Lehman und Yao
High-Concurrency B-Tree Management
Algorithmus sowie einer vereinfachten
Version der Lösch-Logik, die Lanin und
Shasha beschrieben haben.
Einfaches Prinzip
Das Prinzip des B-Baums ist einfach.
Ganz unten befinden sich die Blätter
(Leaves). Sie enthalten neben den indizierten
Datenwerten (in Hex) den Link
zu dem Tupel der zugehörigen Tabelle.
Das obere Ende des Baumes markiert die
Wurzel, in der ebenfalls ein Schlüsselwert
hinterlegt ist. Es kann immer nur
eine Wurzel geben. Die Ebenen zwischen
Wurzel und Blättern enthalten innere
Knoten, die den Baum in Unterbäume
gliedern. Die inneren Knoten enthalten
ebenfalls Schlüsselwerte, anhand derer
der weitere Weg zu erkennen ist. Alle
Schlüsselwerte, die kleiner als der Schlüssel
der Wurzel sind, befinden sich auf der
linken Seite des Baumes, alle anderen auf
der rechten Seite. Abbildung 1 zeigt wie
ein B-Baum aussehen könnte.
Wie viele Einträge auf eine Page passen,
hängt von den indizierten Datensätzen
ab. Bei einem Index über eine einzelne
Integer-Spalte können durchaus mehrere
Hundert auf eine Page passen. Der implementierte
Algorithmus sieht jedoch vor,
dass mindestens drei Einträge auf die
Leave Pages passen müssen. PostgreSQL
kann die Funktionalität nicht sicherstellen,
wenn die Datensätze größer als 1/​3
der Pagegröße sind. Um leere Pages in der
Mitte zu vermeiden, muss eine linke Page
immer mindestens zwei Datensätze enthalten.
Wird der vorletzte Dateneintrag
entfernt, sorgt das nächste »VACUUM«
für eine Umsortierung.
Wurzelspaltung
Lehman und Yao sind von uniquen Indexen
ausgegangen. Aber nicht alle Indexe
sind unique. Ein Wert kann in einem
Index mehrfach vorkommen. Es können
mehrere Pages Einträge für den gleichen
Wert haben. PostgreSQL hat daher die
Lehman-Yao-Formel Schlüssel < Wert

Know-How
PostgreSQL Indexe
Wurzel, und die inneren Knoten werden
bei ihrer Erzeugung maximal bis 70 Prozent
gefüllt, die Blätter per Default zu 90
Prozent. Der maximale initiale Füllfaktor
der Blätter lässt sich für jeden Index einstellen:
CREATE INDEX … ON … WITH (FILLFACTOR = U
Wert); ALTER INDEX … SET (FILLFACTOR = U
Wert);
Das passiert beim Löschen
Werden Datensätze aus der Tabelle gelöscht
oder geändert, so werden die alten
Daten erst im Index und dann in der
Tabelle für tot erklärt. Genauso wie bei
Tabellen werden die Tupel erst nach einem
»VACUUM« entfernt. Wird auf diese
Weise eine komplette Index-Page geleert,
so entfernt »VACUUM« den Link vom inneren
Knoten beziehungsweise der Wurzel,
ändert den Höchstwert der linken
Nachbarin auf den ersten Eintrag der
rechten Nachbarin und erzählt ihr, wer
ihre neue rechte Nachbarin ist. Danach
setzt es den Schlüssel im Knoten auf den
neuen Höchstwert der Nachbarin und
erzählt auch noch der rechten Nachbarin,
wer ihre neue linke Nachbarin ist.
Abbildung 3 zeigt, wie der Index aus
Abbildung 2 nach Löschen der Sieben
und nach Ausführung von »VACUUM«
aussehen könnte.
Die gelöschte Indexpage kann aus verschiedenen
MVCC-Gründen nicht sofort
wiederverwendet werden. Daneben muss
für die Wiederverwendung der Page auch
erst einmal sichergestellt sein, dass die
Werte auch aus der Tabelle entfernt wurden.
Egal, ob in der Mitte oder rechts
Listing 3: Page-Details
01 SELECT blkno, type, live_items, dead_items, free_
size,
02 btpo_prev, btpo_next, btpo
03 FROM bt_page_stats('hunderttausender_index',3);
04
05 ‐[ RECORD 1 ]‐‐‐‐
06 blkno | 3
07 type | i
08 live_items | 285
09 dead_items | 0
10 free_size | 2456
11 btpo_prev | 0
12 btpo_next | 289
13 btpo | 1
außen Werte dazukommen, ein einzelnes
»VACUUM« reicht nicht aus, damit die
Page wiederverwendet wird. Stattdessen
werden bei Bedarf neue Pages alloziert.
Erst nach einem zweiten »VACUUM« wird
auch die gelöschte Page wieder mit eingebunden.
Da die Rechts-außen-Page niemals gelöscht
wird, wird ein Index-Baum nie
kleiner. Stattdessen führen Pages, die
nach »VACUUM« nicht sofort wieder genutzt
werden und viele Pages, die geteilt
werden mussten, dazu, dass sich der Index
aufblähen kann. Gerade bei Tabellen
in denen viele Änderungen passieren,
kann er schnell wachsen und viel ungenutzten
Speicherplatz beinhalten.
Zur Demonstration wird eine Tabelle mit
zehntausend Datensätzen angelegt und
eine Spalte mit drei Indexen versehen.
Einer mit Default-Fillfactor (90 Prozent)
einer mit Fillfactor 100 und einer mit
Fillfactor 50.
relname | relpages | reltuples
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐
t_tabelle | 45 | 10000
index_ff_50 | 52 | 10000
index_ff_100 | 27 | 10000
index_ff_default | 30 | 10000
Anschließend werden diverse »DELETE«,
»UPDATE« und »INSERT« und zwischendurch
immer wieder »VACUUM« auf der
Tabelle ausgeführt:
relname | relpages | reltuples
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐
t_tabelle | 87 | 19457
index_ff_50 | 125 | 19457
index_ff_100 | 88 | 19457
index_ff_default | 71 | 19457
Die Tabelle enthält jetzt fast doppelt so
viele Datensätze wie vorher. Sie nimmt
etwas weniger als das Doppelte an Speicherplatz
ein. Der fünfzigprozentige-Index
dagegen ist ungefähr um das 2,4-Fache
und der hundertprozentige fast um
das Dreifache angewachsen. Der Default-
Index nimmt jetzt 2,3-mal so viel Platz
ein. Jeder der Indexe beansprucht jetzt
schon mehr Speicherplatz als eigentlich
nötig wäre. Die Indexe haben begonnen,
aus dem Ruder zu laufen. Je stärker dieser
Effekt ist, desto ineffektiver wird der
Index.
Um Werte anhand des Index zu finden,
aber auch um die Stelle zu finden, wo
eingefügt, geändert oder gelöscht werden
soll, muss der Index-Baum ab der
Abbildung 3: So könnte der Index aus Abbildung 2
nach Löschen der Sieben und Vaccum aussehen.
Wurzel nach den entsprechenden Blättern
suchen. Indexe müssen nicht unique
sein. Es können viele Pages den gleichen
Wert enthalten. Jede Page, die den Wert
enthält, muss eingesehen werden. Eine
Vielzahl von Pages zu durchlaufen, die
immer nur zur Hälfte gefüllt sind, ist
weniger effektiv als gut gefüllte Pages
zu durchsuchen. Das Wachstum von
Indexen sollte daher im Auge behalten
werden. Wenn das Verhältnis zwischen
Wachstum des Indexes und Wachstum
der Tabelle aus dem Ruder läuft, empfiehlt
es sich zu reagieren.
Reorganisieren ohne Lock
Natürlich könnte der Index einfach gelöscht
und neu erstellt werden, aber
»CREATE INDEX« lockt die Tabelle
und kann lange dauern. Daneben gilt,
während »CREATE INDEX« läuft, müssen
Schreibzugriffe auf die Tabelle
warten. Eine weitere Möglichkeit wäre
»REINDEX«. Aber auch »REINDEX«
blockiert Schreibzugriffe. Eine weitaus
bessere Lösung bietet das Feature
»CREATE INDEX CONCURRENTLY«. Es
können zwar nicht mehrere solcher Pozesse
zeitgleich laufen, sondern immer
nur einer pro Tabelle, aber dafür wird
nichts gelockt, und es kann auf der Tabelle
weiterhin geschrieben werden. Zum
Reorganisieren des Index legt man ihn
mit »CREATE INDEX CONCURRENTLY«
nochmal mit anderem Namen an. Anschließend
kann der entartete Index mit
»DROP INDEX« gelöscht werden, wonach
auch der alte Name wieder für den neuen
88 Ausgabe 03-2012 Admin www.admin-magazin.de

PostgreSQL Indexe
Know-How
Index benutzt werden kann: »ALTER
INDEX name_neu_angelegter RENAME
TO name_alter«.
Bereinigt man die Indexe aus dem vorherigen
Beispiel auf diese Weise, wird ein
ziemlicher Unterschied erkennbar:
relname | relpages | reltuples
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐
t_tabelle | 87 | 19457
index_ff_50 | 99 | 19457
index_ff_100 | 50 | 19457
index_ff_default | 56 | 19457
Es ist einiges an Speicherplatz frei geworden
und die Indexe können erstmal wieder
eine Zeitlang vor sich hin wachsen.
Ist zu erwarten, dass viele Daten mit
Werten dazukommen, die in der Mitte
des Indexes angesiedelt werden, so ist
es sinnvoll, einen kleineren Fillfactor
zu verwenden, da dann Pages nicht so
schnell geteilt werden. Ein Fillfactor von
100 Prozent ist nur dann sinnvoll, wenn
wirklich sichergestellt werden kann, dass
nicht in der Mitte eingefügt wird, sondern
immer nur linear rechts.
Tiefe Einblicke
Mithilfe des PostgreSQL-Contrib-Moduls
»pageinspect« lässt sich tiefer und genauer
in die Indexpages schauen. Nach
der Installation kann das Modul in PostgreSQL
9.1 mit :
CREATE EXTENSION pageinspect;
eingespielt werden. In älteren PostgreSQL-Versionen
stellen die Co ntrib-
Module nach der Installation eine SQL-
Datei zur Verfügung, die hochgeladen
werden muss.
Um nicht nur Nullen in der Metapage zu
sehen, wird ein Blick in die Metapage eines
Indexes über eine Integer-Spalte mit
110 000 Datensätzen geworfen:
SELECT root, level FROM bt_metap(U
'hunderttausender_index');
‐[ RECORD 1 ]‐‐‐‐‐
root | 290
level | 2
Die Spalte »level« gibt an, wie tief der
Baum ist. Der Beispielbaum hat also eine
Tiefe von 3 (Ebene 0, 1 und 2). Die Spalte
»root« gibt an, in welcher Pagenummer
sich die Wurzel befindet. Sie befindet
sich in Page 290. Die Metapage ist Page
0, die erste Page des Baumes ist Page 1.
Anhand der Statistik von Page 290 lässt
sich noch mehr herausfinden (Listing
3): In »blkno« ist die Pagenummer 290
gespeichert. Der »type« gibt an, ob es
eine Root- (Wurzel-) oder eine Leave-
Page (Blattpage) oder eine Page zwischen
Wurzel- und Blattebene ist. Die Ebenen
dazwischen bekommen die Abkürzung
»i« für innerer Knoten. Page 290 hat Typ
»r« für Root. Mit »live«- beziehungsweise
»dead‐items« wird angegeben, wie viele
lebende oder tote Einträge die Page enthält.
Die Page enthält also zwei Einträge
und aus »free_size« geht hervor, dass
noch 8116 Byte in der Page frei sind. Die
Abkürzung »btpo« steht für B-Tree-Position.
In der Spalte »btpo« ist angegeben,
auf welcher Ebene sich die Page befindet.
Sie ist auf Ebene 2, also auf der höchsten
Ebene. In »btpo_prev« steht, welche
Page sich links und in »btpo_next« welche
Page sich rechts neben dieser Page
befindet. Der Wert »0« bedeutet hier, es
gibt weder eine linke noch eine rechte
Nachbarin. Da es immer nur genau eine
Rootpage geben sollte, hat sie natürlich
keine Nachbarinnen. Was steht denn in
der Page?
SELECT itemoffset, ctid, data
FROM bt_page_items('hunderttausenderU
_index',290);
itemoffset | ctid | data
‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
1 | (3,1) |
2 | (289,1) | 09 96 01 00 00 00
Der »itemoffset« zählt einfach die Einträge
der Reihe nach durch. Da die Page
eine Rootpage ist, sind die Datenwerte in
»data« Schlüsselwerte. Der erste Wert in
»data« ist leer und der zweite ist umgerechnet
die Zahl 69928. Aus der Spalte
»ctid« (Current Tuple ID) lässt sich entnehmen,
dass alles kleiner gleich 69928
in Page 3 beginnend mit dem ersten Datensatz
und alles größer gleich in Page
289 beginnend beim ersten Datensatz zu
finden ist. Ein Blick in die Statistik von
Page 3 verät noch mehr: Der Typ besagt,
dass Page 3 ein innerer Knoten ist. Die
Page beinhaltet 285 Datensätze, und es
sind noch 2456 Byte frei. Die Page liegt
auf Ebene 1. Ihre rechte Nachbarin ist
Page 289. Da sie eine rechte Nachbarin
hat, ist sie nicht die Wurzel, sondern ein
innerer Knoten. Da sie keine linke Nachbarin
hat und auf Ebene 1 liegt (Ebene 0
sind die Blätter), ist sie die Wurzel des
Unterbaumes ganz links außen. Auch
die einzelnen Einträge lassen sich mit
»pageinspect« einsehen. Die Ausgabe
kann lang sein. Page 3 hat 285 Einträge.
Hier sind die obersten fünf Zeilen aus
Page 3 (Listing 4).
Wo was steht
Da Page 3 links liegt, steht in der ersten
Zeile der Höchstwert. Umgerechnet ist es
der Wert 69928. Aus der ersten Zeile der
Spalte ctid lässt sich entnehmen, dass
dieser Wert, der Wert aus der ersten Datenzeile
von Page 286 ist. Page 286 ist
die links-außen Page des rechten Unterbaumes.
Des Unterbaumes von Page 289.
Der Wert in Zeile 3 ist umgerechnet 367,
der in Zeile 4 ist 733 und der in Zeile 5
ist 1099. Aus Zeile zwei geht hervor, dass
alles kleiner gleich 367 in Page 1 ab der
1. Datenzeile steht. Alles größer gleich
367 aber kleiner gleich 733 lässt sich
auf Page 2 finden, alles zwischen und
einschließlich 733 und 1099 auf Page 4
und so weiter.
Fazit
Das Wachstum eines Index sollte der
Datenbank-Admin in jedem Fall im Auge
behalten. Läuft der Index aus dem Ruder,
empfiehlt es sich, manuell einzugreifen.
Die beste Lösung ist dabei, mit »CREATE
INDEX CONCURRENTLY« einen identischen,
neuen Index mit anderem Namen
zu erstellen. Anschließend kann
der Admin den alten Index löschen und
gegebenenfalls den Namen des neuen
Indexes auf den Namen des alten ändern.
Wer tiefere Einblicke in die Struktur der
B-Baum-Indexe nehmen möchte, dem
hilft dabei das Contrib-Modul »pageinspect«
weiter. (jcb)
n
Listing 4: Einblick mit »pageinspect«
01 SELECT itemoffset, ctid, data
02 FROM bt_page_items('hunderttausender_index',3)
LIMIT 5;
03 itemoffset | ctid | data
04 ‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
05 1 | (286,1) | 09 96 01 00 00 00 00 00
06 2 | (1,1) |
07 3 | (2,1) | 6f 01 00 00 00 00 00 00
08 4 | (4,1) | dd 02 00 00 00 00 00 00
09 5 | (5,1) | 4b 04 00 00 00 00 00 00
www.admin-magazin.de
Admin
Ausgabe 03-2012
89

Know-How
Fencing
© kobra78, Fotolia.com
Fencing verhindert Chaos im Cluster
Eingezäunt
Manchmal hilft nur die Keule: Damit defekte Knoten in einem Pacemaker-
Cluster keinen Schaden anrichten, können sie sich gegenseitig ausschalten.
Doch Brutalität alleine ist noch nicht die Lösung, ein paar Feinheiten
sind von großer Bedeutung. Martin Loschwitz
Das englische Wort Fence steht für Zaun.
Im Kontext von Hochverfügbarkeitsclustern
bezeichnet es eine Methode, die
es einem Knoten des Clusters erlaubt,
einen anderen Knoten – notfalls gewaltsam
– aus dem Cluster auszugrenzen,
um so zu verhindern, dass gleichzeitiger
Schreibzugriff auf sensible Daten zu
Inkonsistenz führt.
Tut der Cluster, was er soll?
Fencing-Mechanismen sind im Clusterkontext
immer dann wichtig, wenn es
um die Integrität von Daten einerseits
und um die Verfügbarkeit von Diensten
andererseits geht. Fencing hat stets den
Zweck, durch das Entfernen einzelner
Ressourcen oder Knoten aus dem Cluster
die Funktionstüchtigkeit des gesamten
Clusters zu gewährleisten.
Grundsätzlich geht die Software, die in einem
Cluster das Management übernommen
hat – im Beispiel also Pacemaker
– davon aus, dass ihr die Hoheit über alle
Aktionen obliegt, die im Cluster passieren.
Pacemaker nimmt an, dass Befehle
innerhalb des Clusters ausschließlich von
ihm kommen, dass die Kommunikation
der Knoten des Clusters reibungslos funktioniert
und dass sichergestellt ist, dass
die im Cluster konfigurierten Dienste so
funktionieren, wie sie sollen.
Fencing muss in einem Cluster dann aktiv
werden, wenn einer dieser Punkte
nicht mehr erfüllt ist. Wie soll der Clustermanager
beispielsweise mit Knoten
umgehen, die plötzlich von alleine aus
dem Cluster-Verbund verschwinden?
Im Ernstfall wäre es durchaus denkbar,
dass auf dem verschwundenen Knoten
lediglich Pacemaker selbst abgestürzt ist
und sich dort nun noch laufende Ressourcen
tummeln, auf die Pacemaker
aber keinen Einfluss mehr hat. Der auf
dem noch funktionierenden Knoten laufende
Pacemaker kann in diesem Beispiel
seine Vorrechte nur durchsetzen, indem
er den anderen Rechner fenced, sprich
ihn rebootet. Ähnlich verhält es sich mit
Ressourcen, die sich nicht ordnungsgemäß
stoppen lassen: Befiehlt Pacemaker
beispielsweise MySQL, sich auf einem
Knoten zu beenden, erwartet er, dass
MySQL genau das tut. Schlägt diese Aktion
aber fehl, muss Pacemaker davon
ausgehen, dass auf dem jeweils betroffenen
Knoten nunmehr ein MySQL-Zombie
läuft, der unkontrollierbar ist. Auch dann
kann er dem Treiben bloß ein Ende bereiten,
indem er den Rechner gewaltsam
rebootet.
Fencing-Levels
Wie immer gibt es mehrere Wege nach
Rom: Fencing lässt sich in Pacemaker
einerseits auf Ressourcen-Ebene durchführen.
Wenn die eingesetzte Lösung zur
Datenverwaltung diese Option bietet,
dann ist das sogenannte Resource Level
Fencing die sanftere Methode. Sie zielt
darauf ab, dass Pacemaker im Falle eines
Falles lediglich eine bestimmte Ressource
so konfiguriert, dass Datenkorrumpierung
ausgeschlossen ist. In der Praxis
relevant ist hier besonders DRBD, das
Resource Level Fencing in Kooperation
mit Pacemaker beherrscht.
Variante B führt andererseits zum sprichwörtlichen
Tabula Rasa: Node Level Fencing
versetzt einen Pacemaker-Knoten
in die Lage, einen anderen Knoten des
Clusters zu rebooten oder auch einen
kompletten Shutdown herbeizuführen.
Im Cluster-Sprech nennt sich diese Methode
STONITH, die Abkürzung für Shoot
The Other Node In The Head.
Vorbereitungen
Für sämtliche Fencing-Methoden gilt es,
die passenden Vorbereitungen zu treffen.
Was in Sachen Redundanz für den
normalen Pacemaker-Betrieb gilt, gilt
im Fencing-Kontext um so mehr: Die
einzelnen Knoten eines Clusters sollten
90 Ausgabe 03-2012 Admin www.admin-magazin.de

Fencing
Know-How
Abbildung 1: Solange die DRBD-Kommunikation wie hier gezeigt funktioniert, ist alles in Ordnung. Bricht der
Link weg, sind die Secondaries als Outdated zu markieren.
Die Aufgabe des Resource Level Fencings
in diesem Beispiel ist es, dafür zu sorgen,
dass der Secondary-Knoten als »Outdamehrere,
voneinander unabhängige Kommunikationspfade
haben. Kommt DRBD
zum Einsatz, ist das meist kein größeres
Problem: Häufig findet sich in Zwei-
Knoten-Clustern mit DRBD ein eigener
Back-to-Back-Link, über den die DRBD-
Kommunikation läuft. Diese Verbindung
zusammen mit der „normalen“ Verbindung
zur Außenwelt, über die der jeweils
andere Clusterknoten ebenso erreichbar
ist, sorgt für ein zuverlässiges redundantes
Netzwerk-Setup. Denn damit alle
Kommunikationspfade sterben, müsste
einerseits der Switch kaputtgehen, über
den die beiden Knoten kommunizieren.
Und andererseits müsste auch die direkte
Netzwerkverbindung Schaden nehmen,
beispielsweise weil ein Chip auf einer
Netzwerkkarte versagt. Kommunikationspfade
heißen im Pacemaker-Kontext
Ring, folglich ist ein Setup wie das beschriebene
ein Redundant Ring Setup.
Auch wenn kein DRBD zum Einsatz
kommt, sollte es mehr als einen Ring
geben, über den die Clusterknoten miteinander
kommunizieren können. Dabei
sei vor Setups gewarnt, die letztlich
wieder zu einem gemeinsamen Single
Point of Failure führen: Zwei Kommunikationsringe,
die durch denselben Switch
führen, sind Augenwischerei, denn ein
Ausfall des Switches bewirkt dann den
Ausfall beider Kommunikationspfade.
Resource Level Fencing
mit DRBD
DRBD beherrscht wie bereits erwähnt das
Fencing auf Ressourcen-Ebene. Im Falle
eines Falles hat Pacemaker so die Mög-
lichkeit, die DRBD-Resource auf einem
Clusterknoten temporär unbrauchbar zu
machen. Das Feature ist nützlich, um
Pacemaker bei Ausfall des DRBD-Replikationslinks
richtig reagieren zu lassen.
Im Normalfall wird eine DRBD-Ressource
auf dem einen Knoten die Primary‐Rolle
haben und auf dem anderen die Secondary-Rolle.
Solange der Datenaustausch
funktioniert und der Disk-State der Ressource
auf den Knoten »UpToDate« ist
– überprüfen lässt sich das über den Inhalt
von »/proc/drbd« – ist für DRBD die
Welt in Ordnung. Bricht der DRBD-Link
allerdings weg, gerät die Replikationslösung
in Schwierigkeiten. Denn dass der
Secondary-Knoten dann immer weiter
hinterherhinkt, bemerkt er nicht. Ohne
fremden Eingriff wäre es denkbar, dass
zu einem späteren Zeitpunkt der Primary-
Knoten ausfällt, Pacemaker dann einen
Failover durchführt und anschließend mit
den alten Daten des Secondary-Knotens
weiterarbeitet, der sich problemlos in die
Primary-Rolle schalten lässt.
Als veraltet markiert
Listing 1: STONITH-Eintrag
01 primitive stonith_Hostname stonith:external/ipmi \
Abbildung 2: Durch den Eintrag »fencing
resource‐only« und die passenden Fence-Handlers
weiß Pacemaker, wie es DRBD-Ressourcen temporär
unbrauchbar machen kann.
ted« gilt (Abbildung 1). Das »Outdated«-
Flag ist ein eigener Disk-State in DRBD.
Ist es gesetzt, weigert DRBD sich, eine
Ressource in den Primary-Modus zu
schalten. Wenn es im beschriebenen Szenario
mehrere Kommunikationsringe gibt
und einer davon noch funktioniert, kann
Pacemaker das Flag für den betroffenen
Knoten setzen. Die Grundvoraussetzung
dafür ist, dass die Fencing-Funktion in
DRBD aktiviert ist. In DRBD 8.4 geht das,
wenn im »disk { }«-Block einer Ressource
der Parameter »fencing resource‐only;«
gesetzt ist (Abbildung 2). Ferner muss
der »handlers { }«-Abschnitt der Ressource
die folgenden Einträge haben:
fence‐peer "/usr/lib/drbd/U
crm‐fence‐peer.sh";
after‐resync‐target "/usr/lib/drbd/U
crm‐unfence‐peer.sh";
02 params hostname="Hostname" ipaddr="Adresse" userid="Login"
03 passwd="Passwort" interface="lanplus" \
04 op start interval="0" timeout="60" \
05 op stop interval="0" timeout="60" \
06 op monitor start‐delay="0" interval="1200" \
07 meta resource‐stickiness="0" failure‐timeout="180"
Wer die Optionen für sämtliche Ressourcen
aktivieren möchte, fügt die Einträge
www.admin-magazin.de
Admin
Ausgabe 03-2012
91

Know-How
Fencing
Abbildung 3: Im Verzeichnis »/usr/lib/stonith/
external« finden sich die Plugins, die Pacemaker für
STONITH verwenden kann.
stattdessen in die jeweiligen Abschnitte
der »common { }«-Section ein, die üblicherweise
in »/etc/drbd.d/global_common.conf«
definiert ist. Erfolgt die Änderung
im laufenden Betrieb, ist ein
»drbdadm adjust all« fällig, nachdem die
neue Konfiguration ihren Weg auf den
anderen Clusterknoten gefunden hat – im
Anschluss ist das Fencing aktiv.
STONITH in Pacemaker
Wer die STONITH-Funktionen von Pacemaker
einsetzen möchte, sollte zunächst
die passende Hardware dafür besitzen.
Nötig ist ein Management-Interface, das
den Zugriff auf eine Maschine auch ohne
funktionierendes Betriebssystem ermöglicht.
Beispiele hierfür sind HPs iLO-
Karten, IBMs RSA oder auch DRAC von
Dell. Alternativ funktioniert mit Pacemaker
jede andere Management-Karte, die
IPMI versteht.
Pacemaker wickelt STONITH-Befehle
über entsprechende Plugins ab (Abbildung
3) und für die oben genannten
Management-Karten steht entweder
ein eigenes Modul oder das generische
IPMI-Plugin zur Verfügung. Die Konfiguration
von STONITH erfolgt dann über
die Cluster-CIB, also die Cluster Information
Base. STONITH-Einträge sind hier
»primitive«-Anweisungen, die allerdings
keinen Resource Agent verwenden, sondern
ein STONITH-Plugin.
Um STONITH per IPMI zu nutzen, sind
ein paar Informationen nötig: Bekannt
sein muss neben den IP-Adressen der Managementkarten
auch der Benutzername
sowie das Passwort für den IPMI-Login.
Wenn diese Daten vorhanden sind, empfiehlt
sich ein Test mit »ipmitool«:
ipmitool ‐H Adresse ‐U LoginU
‐a chassis power cycle
Dieser Befehl sollte nach Eingabe des
korrekten Passworts das jeweilige System
dazu bringen, einen Reboot durchzuführen.
Wenn das funktioniert, steht der Integration
von STONITH in Pacemakers
CIB nichts mehr im Wege. Die bisherigen
Teile der HA-Serie gingen jeweils
davon aus, dass STONITH deaktiviert
ist. Verantwortlich hierfür ist der Eintrag
»stonith‐enabled=false« im »Property«-
Abschnitt der CIB. Um STONITH scharf
zu schalten, ist das »false« durch »true«
zu ersetzen – vorher sollten allerdings
die STONITH-Einträge selbst ihren Weg
in die Cluster-Konfiguration finden (Abbildung
4).
Ein STONITH-Eintrag in Pacemaker folgt
der Syntax aus Listing 1.
In jedem Cluster sollten so viele Stonith-
Einträge vorhanden sein, wie es Knoten
gibt, nämlich für jeden Clusterknoten
einen. Ein komplettes Setup für einen
2-Knoten-Cluster aus »alice« und »bob«
könnte so aussehen, wie in Listing 2
gezeigt.
Die »location«-Constraints bewirken im
Beispiel, dass Alice nur Bob und Bob nur
Alice per STONITH neustarten würde.
Das sogenannte Self-Fencing, also das
Szenario, in dem ein Server sich selbst
rebootet, ist so ausgeschlossen.
Wenn diese Einträge ihren Weg in die
CIB gefunden haben und STONITH per
»property«-Eintrag aktiviert ist, steht das
Abbildung 4: Damit STONITH in Pacemaker funktioniert, sollte das property-Flag »stonith‐enabled=true«
gesetzt sein.
Listing 2: STONITH für alice und bob
01 primitive stonith_alice stonith:external/ipmi \
02 params hostname="alice" ipaddr="192.168.122.111"
userid="4STONITHonly" passwd="sehrgeheim" interface="lanplus" \
03 op start interval="0" timeout="60" \
04 op stop interval="0" timeout="60" \
05 op monitor start‐delay="0" interval="1200" \
06 meta resource‐stickiness="0" failure‐timeout="180"
07
08 primitive stonith_bob stonith:external/ipmi \
09 params hostname="bob" ipaddr="192.168.122.111"
userid="4STONITHonly" passwd="nochvielgeheimer" interface="lanplus" \
10 op start interval="0" timeout="60" \
11 op stop interval="0" timeout="60" \
12 op monitor start‐delay="0" interval="1200" \
13 meta resource‐stickiness="0" failure‐timeout="180"
14
15 location l_stonith_alice stonith_alice ‐inf: alice
16 location l_stonith_bob stonith_bob ‐inf: bob
92 Ausgabe 03-2012 Admin www.admin-magazin.de

Fencing
Know-How
Feature zur Verfügung. Ein Test, der darin
besteht, auf einem der beiden Knoten
Pacemaker per »kill ‐9« ins Jenseits zu
befördern, sollte beispielsweise den sofortigen
Reboot dieses Knotens nach sich
ziehen.
Ein STONITH-Deathmatch
verhindern
STONITH per IPMI setzt freilich eine
funktionierende Netzwerkverbindung
voraus, sodass an dieser Stelle nochmals
darauf hingewiesen sei, dass es in einem
entsprechend konfigurierten Cluster mindestens
zwei voneinander unabhängige
Netzwerkverbindungen geben sollte. Es
empfiehlt sich aber, eine dieser beiden
Verbindungen für STONITH zu nutzen,
und nicht etwa eine unter Umständen
vorhandene dritte Verbindung. Denn
wenn sämtliche Ringe ausgefallen sind,
der STONITH-Link aber noch funktioniert,
würden die beiden Clusterknoten
sich gegenseitig immer und immer wieder
abschießen (STONITH-Deathmatch).
Fazit
STONITH ist in Clustern von großer Bedeutung,
um im Falle von Problemen
Ruhe und Ordnung wiederherzustellen.
Das gezeigte Beispiel per IMPI ist der
Klassiker und so mit fast jedem Server
möglich. Allerdings bietet STONITH per
IPMI (oder irgendeiner anderen Methode,
die auf einer aufrechten Netzwerkverbindung
beruht), keinen Schutz in Szenarien,
bei denen sämtliche Kommunikationspfade
zwischen den Knoten eines
Clusters ausfallen. Hier stehen allerdings
noch andere Möglichkeiten zur Verfügung:
Erwähnt sei beispielsweise Sbd,
das einen Knoten dann zum Neustart
bringt, wenn dieser den Zugriff auf sein
Storage verliert [1]. Ebenfalls zur Verfügung
steht der meatware-Client [2], der
im Falle eines Falles alle Cluster-Aktionen
anhält und auf Interaktion vom Admin
wartet. Eine sehr brauchbare Übersicht
über die verschiedenen allgemein verfügbaren
STONITH-Mechanismen findet
sich auf [3]. (jcb)
n
Infos
[1] Erläuterungen zu STONITH mit SBD: [http://​
www. linux‐ha. org/ wiki/ SBD_Fencing]
[2] Infos zum Meatware-STONITH-Plugin:
[http:// hg. linux‐ha. org/ glue/ file/​
0a08a469fdc8/ doc/ stonith/ README.​
meatware]
[3] Übersicht über Fencing in Pacemaker:
[http:// www. clusterlabs. org/ doc/ crm_fencing.
html]
Der Autor
Martin Gerhard Loschwitz arbeitet als Principal
Consultant bei hastexo. Er beschäftigt sich dort
intensiv mit Hochverfügbarkeitslösungen und
pflegt in seiner Freizeit den Linux-Cluster-Stack
für Debian GNU/​Linux.
Anzeige
Kann eine
Schulungseinrichtung
für mehr als EINEN
Themenbereich
berühmt werden?
Das Linuxhotel ist bekannt für erstklassige Open-Source-Schulungen. In den letzten Jahren kamen Java
und andere Programmiersprachen hinzu - wie immer in Kooperation mit führenden Spezialisten, und in
abgeschiedener, konzentrierter, aber auch ziemlich verspielter Umgebung. Es ist so naheliegend, auch
Entwicklerthemen bei den OpenSource‘lern zu lernen, weil man dort schon immer sehr „unter die
Haube“ guckte und mit viel Freude intensivst arbeitet. Das weiss ein Großteil der deutschen Admins, nur
unter Entwicklern hat's sich noch nicht so ganz herumgesprochen.
Mehr siehe www.linuxhotel.de
www.admin-magazin.de
Admin
Ausgabe 03-2012
93

Know-How
Zenoss
© Wannaporn Intryong, 123RF
Einführung in das Open-Source-Monitoring unter Windows
Alles im Blick
Wer Server und die Netzwerkinfrastruktur überwachen will, ist nicht immer auf kostenpflichtige Lösungen angewiesen,
der Open-Source-Bereich hält ebenfalls professionelle Produkte bereit, die kommerzieller Software in
nichts nachstehen. Ein Beispiel dafür ist Zenoss Core. Thomas Joos
Zenoss wird mit Unterstützung des
gleichnamigen Unternehmens entwickelt,
das auch eine kommerzielle Version
anbietet. Die Web-GUI, die das
komplette System verwaltet, baut auf
dem in Python geschriebenen Applikationsserver
Zope auf. Beim Einrichten
der Anwendung hilft ein Assistent. Die
Abbildung 1: Vom Zenoss Core-Server überwachte Dienste in der Übersicht.
eigentliche Überwachung basiert vor allem
auf SNMP. Agenten sind nicht unbedingt
erforderlich. Neben SNMP kann
Zenoss auf Windows-Servern auch WMI
zur Überwachung verwenden.
Zenoss Core steht für interessierte Tester
auch als VMware-Appliance zur Verfügung,
die sich bei VMware kostenlos
herunterladen lässt [1]. Die Appliance
stützt sich auf CentOS 5.4 und lässt
sich auch in Windows über VMware
Workstation oder Player einbinden. Bei
einer Neuinstallation des Produkts auf
einem Server, können Administratoren
auf verschiedene Linux-Distributionen
wie Debian, Suse oder Ubuntu setzen.
Auch eine Installation auf Mac OS X ist
möglich. Entsprechende Anleitungen und
Webcasts finden Sie auf der Downloadund
Community-Seite [2].
Zenoss überwacht neben Linux-Servern
aber auch Windows-Server und alle Arten
von Netzwerkgeräten (Abbildung 1).
VMware Virtual Infrastructure (VI3) Management,
Xen Monitoring und Amazon
EC2 lassen sich ebenfalls an den Server
anbinden. Wer sich näher mit dem Produkt
auseinandersetzen will, erhält auf
der Seite der Zenoss Community umfassende
Hilfe, eine Dokumentation und den
aktuellen Installer. Auf derselben Seite
finden sich auch viele Einrichtungsvideos
94 Ausgabe 03-2012 Admin www.admin-magazin.de

Zenoss
Know-How
zum Produkt. Auf der Sourceforge-Seite
des Produkts [3] gibt es ebenfalls die
Download-Dateien und Hilfen.
Zenoss Core über
Assistenten einrichten
Sobald die Software installiert ist oder
die Appliance startet, lässt sich Zenoss
über das Webinterface (Abbildung 2)
einrichten. Die entsprechende Seite ruft
man durch Eingabe von »http://IP-Adresse:8080«
auf. Die IP-Adresse lässt sich
nach dem Start des Linux-Servers ablesen.
Wer die virtuelle Appliance verwendet,
sollte in den Netzwerkeinstellungen
von VMware für die virtuelle Maschine
das Netzwerk auf »Bridged« stellen. In
diesem Fall ruft sich der virtuelle Server
seine IP-Adresse per DHCP ab. Soll eine
statische IP-Adresse hinterlegt werden,
muss der Admin die Einstellungen via
Linux-Shell eingeben.
Der erste Schritt des Einrichtungsassistenten
verlangt nach einem Kennwort für
den Administrator und legt den ersten
Benutzer an, der auf die Software zugreifen
darf. Später sollte jeder Administrator
ein eigenes Konto erhalten. Auf
diese Weise lassen sich Berechtigungen
delegieren, und jeder Administrator kann
seine Oberfläche selbst so einstellen wie
er sie gerne hätte. Außerdem kann so
jeder überwachte Server seinen eigenen
Admin haben, der nur die ihn betreffenden
Nachrichten erhält und Ereignisse
bearbeitet. Anschließend lassen sich weitere
Benutzer anlegen.
Mithilfe des Einrichtungsassistenten
werden zunächst nur der übergeordnete
Administrator und ein erstes Benutzerkonto
eingerichtet. Der Benutzername
des Administrators ist »admin«. Die
Kennwörter lassen sich nachträglich in
der Weboberfläche anpassen. Sobald der
Workflow des Assistenten durchlaufen
ist, meldet Zenoss den Benutzer mit seinem
Konto an. Kenntlich ist das an der
rechten oberen Ecke, über die man sich
auch ausloggen kann.
Auch erste zu überwachende Geräte
lassen sich bereits über den Assistenten
einbinden. Auf der linken Seite gibt man
die IP-Adresse oder den Rechnernamen
ein, auf der rechten Seite wählt man einen
Device-Typ aus. Geräte lassen sich
zudem zu jeder Zeit über das Dashboard
Abbildung 2: Das Einrichten von Zenoss Core ist ein einfacher und geradliniger Prozess.
»Geräte« hinzufügen oder entfernen. Neben
der manuellen Integration besteht die
Möglichkeit, Netzwerkgeräte von Zenoss
automatisch entdecken und einbinden zu
lassen. Aber das lässt sich auch später
noch ausführen.
Zenoss Dashboard im
Überblick
Nach der ersten Einrichtung der Software
und der Anmeldung am System, ist das
Dashboard das zentrale Verwaltungsinstrument
von Zenoss, das nach der Authentifizierung
im Webinterface startet.
Auf der Einsstiegsseite finden sich verschiedene
Portlets genannte Webparts,
die sich an eigene Bedürfnisse anpassen
lassen. Das bewerkstelligt ein Klick auf
das Zahnrad in der rechten oberen Ecke
eines Portlets. Er führt zu den Einstellungen,
auch lässt sich so das Portlet von der
Startseite entfernen.
Weitere Portlets lassen sich über den Link
»Add Portlet« im Hauptfenster integrieren
und wie gewünscht anordnen. Die
Oberfläche speichert für jeden Benutzer
individuelle Einstellungen, sodass sich
jeder Administrator seine eigene Oberfläche
einrichten kann.
Abbildung 3: Ein Blick auf die Eventverwaltung in Zenoss.
Beim Überwachen spielt der Menü bereich
»Events« eine wichtige Rolle. Hier
laufen die einzelnen Ereignisse und Fehlermeldungen
der überwachten Geräte
auf. Die Meldungen lassen sich auch in
CSV-Dateien exportieren. Events können
als gelöst markiert oder geschlossen werden,
auch lassen sich eigene Events hinzufügen
(Abbildung 3).
Eine zweite wichtige Seite nennt sich »Infrastructure«.
Sie zeigt alle Geräte, die Zenoss
aktuell überwacht, die überwachten
Dienste und weitere Informationen. Hier
lassen sich auch neue Geräte hinzufügen
und Probleme der einzelnen Geräte
anzeigen. Klickt man hier auf ein Gerät,
lassen sich weitere Einstellungen vornehmen,
und es kommen detaillierte Informationen
zu den überwachten Diensten
zum Vorschein. Der linke Bereich zeigt
die verschiedenen Geräteklassen an, die
überwacht werden. Die Klassifizierung
ist vor allem in großem Umgebungen
sehr hilfreich, um sortierte Listen zu
erhalten.
Nachdem ein Gerät hinzugefügt wurde,
kann es einige Minuten dauern, bis Zenoss
es anzeigt. Über den Bereich »Reports«
im Dashboard lassen sich Berichte und
Inventarlisten erstellen. So kann man
www.admin-magazin.de
Admin
Ausgabe 03-2012
95

Know-How
Zenoss
auf diese Weise zum Beispiel
zentral die CPU-Verwendung
und den Arbeitsspeicherverbrauch
aller überwachten Geräte
beobachten. Die Option
»Advanced« legt fest, welche
Benutzer die verschiedenen
Portlets nutzen dürfen, konfiguriert
den SMTP-Server für
den Nachrichtenversand bei
Problemen und verwaltet die
Benutzer. Für jeden Bereich
findet sich auf der linken Seite
ein Menüpunkt, der die verschiedenen
Einrichtungsoptionen startet.
Über »Advanced | Daemons« erreicht man
die verschiedenen Dienste von Zenoss
und startet sie im Bedarfsfall.
Sobald man sich etwas mit Zenoss beschäftigt,
wird klar, dass die Einarbeitung
und die Anbindung von Geräten einfacher
von der Hand geht als bei anderen
Open-Source-Lösungen wie OpenNMS
oder Nagios. Die Software lässt sich
leichter bedienen, und die Weboberfläche
macht einen aufgeräumten und durchdachten
Eindruck. Dennoch bietet das
System viele Möglichkeiten, vor deren
Beherrschung es allerdings die Dokumentation
durchzuarbeiten gilt.
Zenoss an das E-Mail-
System abinden
Zenoss kann nicht nur Ereignisse der
überwachten Server in der Weboberfläche
anzeigen (Abbildung 6), sondern
auch per E-Mail darüber informieren. Ist
Zenoss in das Netzwerk eingebunden,
sollte man so schnell wie möglich das
E-Mail-System integrieren. Zenoss muss
dazu nicht unbedingt Zugriff auf einen
internen E-Mail-Server haben, es lässt
sich auch direkt an einen Provider im Internet
koppeln. Die entsprechenden Einstellungen
enthält der Bereich »Advanced
| Settings« im Dashboard. Unter »SMTP
Host« muss die IP-Adresse oder der Name
eines Mail-Servers eingetragen werden.
Die nächsten Feldern nehmen einen
Anmeldenamen und das Kennwort für
das Konto auf, über das Zenoss E-Mails
versenden soll (Abbildung 4). Auch die
Absendeadresse legt man hier fest. Wichtig
sind oft auch der Port und die Verwendung
von TLS, das vor allem Provider
im Internet immer häufiger einsetzen.
Abbildung 4: Über diesen Dialog bindet der Administrator Zenoss an das E-Mail-
System an, über das Zenoss auch das ADMIN-Passwort verschickt.
Die Anbindung an das E-Mail-System ist
auch deshalb wichtig, weil neue Administratoren
von Zenoss automatisch ein
Kennwort zugewiesen und per E-Mail
zugeschickt bekommen.
Benutzerverwaltung in
Zenoss
Die Benutzerverwaltung findet sich im
Bereich »Advanced | Users«. Hier lassen
sich neue Benutzer anlegen, die Kennwörter
anpassen und die Rechte für
Administratoren setzen (Abbildung 5).
Daneben kann man Gruppen bilden, um
bestimmten Administratoren gemeinsame
Rechte zuzuteilen. Um einen neuen
Benutzer anzulegen, klickt man auf das
das Zahnradsymbol und wählt »Add New
User«. Das Fenster ist recht einfach: Benutzernamen
und eine E-Mail-Adresse
angeben und auf »OK« klicken reicht.
Für weitergehende Einstellungen führt
ein Klick auf den angelegten Benutzer
Abbildung 5: Hier lassen sich die Zenoss-Benutzer verwalten.
zu einer Detail-Ansicht. Hier
kann man Rollen festlegen
und ihnen die Benutzer
Gruppen zuordnen. Eine Ausnahme
bilden Administratoren:
Ihr Kennwort generiert
das System automatisch nach
einem Klick auf die Schaltfläche
»Reset Password«. Der Administrator
erhält eine E-Mail
mit dem Kennwort zugestellt.
Daher ist es wichtig, dass man
bereits frühzeitig die E-Mail-
Einstellungen konfiguriert.
Änderungen in der Benutzerverwaltung
muss der Ausführende im unteren Bereich
durch das Kennwort seines eigenen
Kontos bestätigen. Erst dann lassen sich
die Änderungen speichern.
Wer möchte, kann später für jedes überwachte
Gerät einen Administrator festlegen.
Wurde das entsprechende Gerät
angebunden, klickt man dafür im Bereich
»Infrastructure« auf dessen Link
und wählt in der Detailansicht des Geräts
die Option »Administration« aus. In
der Mitte des Fensters lassen sich dann
die Benutzer auswählen, die das System
überwachen sollen.
Zusätzlich lassen sich für einzelne Benutzer
auch Alerting Rules definieren,
die regeln, unter welchen Umständen
der Benutzer eine Information erhalten
soll. Die Einstellungen finden sich über
den Link »Alerting Rules« in den Einstellungen
der einzelnen Benutzer auf der
linken Seite. Will man eine neue Regel
anlegen, muss zunächst ein Name dafür
96 Ausgabe 03-2012 Admin www.admin-magazin.de

Zenoss
Know-How
festgelegt werden. Anschließend konfiguriert
man im Detail, was Zenoss tun soll,
wenn ein bestimmtes Gerät nicht mehr
funktioniert. Die Dokumentation enthält
dazu ausführliche Informationen.
Geräte und Server an
Zenoss anbinden
Hat man die grundlegenden Einstellungen
von Zenoss vorgenommen, lassen sich
weitere Geräte und Server in das Überwachungssystem
aufnehmen. Die entsprechenden
Einstellungen nimmt man über
die »Infrastructure«-Sektion vor. Das Fenster
stellt bereits alle überwachten Geräte
dar, und im linken Bereich finden sich die
verschiedenen Geräteklassen. Klickt man
auf ein Gerät, erhält man weiterführende
Informationen. Via »Add a single Device«
oder »Add Multiple Devices« lassen sich
weitere Geräte hinzufügen. Dabei kann
man mittels »Device Class« wählen, zu
welcher Gruppe das Gerät gehören soll.
Wer auf »More« klickt, kann weitere optionale
Einstellungen vornehmen. Ein
Klick auf »Add« fügt dagegen das neue
Gerät hinzu. Das wird im oberen Bereich
bestätigt.
Der Link »Information« öffnet den Log-
Bereich. Hier lassen sich die einzelnen
Schritte mitverfolgen, die Zenoss beim
Hinzufügen eines Geräts absolviert.
Wenn die Aufgabe erfolgreich abgeschlossen
ist, überwacht Zenoss das entsprechende
Gerät. Dann ergibt ein Klick auf
das Gerät weiterführende Informationen.
Bei jedem überwachten Gerät oder Server
findet sich auf der rechten Seite eine Zusammenfassung
von Fehlern, Warnungen
und Informationen zum entsprechenden
Gerät. Auch hier öffnet ein Klick eine detaillierte
Ansicht mit den Ereignissen.
Die Detailansicht eines Geräts ist im linken
Bereich weiter untergliedert. »Events«
zeigt Fehler und Warnungen des Systems,
»Components« listet die überwachten
Dienste und deren Funktion. Sollen einzelne
Dienste nicht überwacht werden,
kann man sie hier entfernen. »Software«
präsentiert die installierten Anwendungen
auf dem Server, »Graphs« zeigt einen
Performance-Graphen.
SNMP- und WMI-Überwachung
unter Windows
Zenoss benutzt zur Überwachung hauptsächlich
SNMP oder WMI. Windows-
Server brauchen daher zunächst keinen
Agenten, müssen aber SNMP und WMI
konfigurieren. Dafür muss auf dem zu
überwachenden Server der SNMP-Dienst
laufen. Das lässt sich am schnellsten über
»services.msc« auf dem Windows-Server
überprüfen. Läuft der SNMP-Dienst nicht,
muss er über den Server-Manager erst als
Feature installiert werden.
Um den Server an Zenoss anzubinden,
ruft man die Eigenschaften des Dienstes
auf und wechselt auf die Registerkarte
Sicherheit. Hier klickt man auf »Akzeptierte
Communitynamen«, dann auf
»Hinzufügen« und wählt »NUR LESEN«
aus. Als Communitynamen kommt zum
Beispiel »public« infrage. Anschließend
ist noch die Option »SNMP‐Pakete von
jedem Host annehmen« zu aktivieren. Alternativ
kann man hier auch explizit die
IP-Adresse des Zenoss-Servers angeben.
Nun muss der SNMP-Verkehr noch die
Firewall passieren dürfen. Dazu ruft man
die Firewall-Einstellungen auf dem Server
in der Systemsteuerung auf und klickt auf
»Ein Programm oder Feature durch die
Windows‐Firewall zulassen«. Damit ist
sicherzustellen, dass der SNMP-Dienst
im Netzwerk kommunizieren darf.
Alternative OpenNMS
Neben Nagios [4] und Zenoss Core gibt es
im Bereich der Netzwerkverwaltung noch
die Open-Source-Anwendung OpenNMS.
Auch OpenNMS (Abbildung 7)baut auf
SNMP auf und lässt sich über eine Weboberfläche
verwalten. OpenNMS ist in
Java geschrieben. Daten speichert das
System in einer PostgreSQL-Datenbank.
OpenNMS lässt sich auch auf Windows-
Servern installieren. Überwachen kann
das System Daten auf Basis von SNMP,
JMX, HTTP, WMI, JDBC und dem
NSClient-Client [5]. OpenNMS hat teilweise
noch Probleme mit Version 1.7
von Java. Daher sollte man die Version
1.6 installieren, wenn das Starten von
OpenNMS einen Fehler erzeugt. Neben
Java benötigt OpenNMS noch PostgreSQL
für Windows [6]. Zusätzlich ist auf dem
Server die JICMP [7] notwendig. Hierbei
handelt es sich um eine Schnittstelle zwischen
Java und dem ICMP-Protokoll. Die
Anmeldung an der Weboberfläche erfolgt
Abbildung 6: Ereignisanzeige für überwachte Geräte – hier werden eventuelle Störungen im Detail aufgelistet.
www.admin-magazin.de
Admin
Ausgabe 03-2012
97

Know-How
Zenoss
Abbildung 7: Netzwerküberwachung mit der OpenNMS-Software.
mit dem Benutzernamen »admin« und
dem Kennwort »admin«. Anschließend
definiert man über »Add« im Bereich »Include«
IP-Ranges, in denen der Server
nach zu überwachenden Geräten fahnden
soll. Administratoren, die ein iPhone
einsetzen, können sich die OpenNMS-
App he runterladen und installieren. Ausführliche
Anleitungen zu Installation und
Betrieb finden sich auf der Seite [8].
Alternative Nagios
Ein bekanntes Überwachungsprogramm
und eine weitere Alternative zu Zenoss
Core ist Nagios [9]. Nagios kommt aus
der Linux-Welt, kann aber problemlos
auch Windows-Server überwachen. Einem
Nagios-Server arbeiten Agenten auf
den überwachten Servern zu. Sie senden
Statusmeldungen des Servers, also
Informationen über Dienste, CPU- und
Arbeitsspeichernutzung, Festplattenplatz
oder Fehler in den Ereignisanzeigen an
den Nagios-Server. Zusätzlich führt der
Agent Befehle und Abfragen aus, die Administratoren
auf dem Server festlegen.
Der Server bereitet die einzelnen Statusmeldungen
auf und zeigt sie in einem
Webinterface an. Der Server kann zusätzlich
Administratoren oder auch andere
Anwender, die besondere Aufgaben
haben, via E-Mail oder SMS benachrichtigen.
Außerdem können Administratoren
über die Weboberfläche selbst jederzeit
den Status der einzelnen überwachten
Server oder aller Serverdienste im Netzwerk
anzeigen lassen.
Der Betrieb einer Nagios-Lösung ist keine
einfache Angelegenheit. Generell sind die
Installation des linuxbasierten Systems
und auch die Einrichtung der Überwachung
recht komplex. Nagios ist Open
Source und steht vollkommen kostenlos
zur Verfügung. Diese Version trägt die Bezeichnung
Nagios Core [10]. Die kommerzielle
Version Nagios XI [11] enthält eine
leistungsfähigere Weboberfläche, mit der
sich Server sehr leicht anbinden lassen,
auch ohne Linux-Kenntnisse. Dafür stehen
verschiedene Assistenten zur Verfügung,
die dabei helfen, die Überwachung
genau zu steuern. Mit dieser Lösung können
Unternehmen bis zu sieben Server
vollkommen kostenlos überwachen. Die
Entwickler bieten zur Lösung auch einige
Webcasts und Whitepapers an. Der Webcast
[12] erklärt die Einbindung in das
Netzwerk, die Anleitungen unter [13]
zeigen die Installation als virtueller Server.
Zusätzlich zum Nagios-Server muss
man auf den zu überwachenden Servern
den kostenlosen Nagios-Agenten installieren
und mit dem Nagios-Server verbinden.
Der NSClient++ steht auf der
Seite [14] zur Verfügung. Der Agent ist
für Nagios Core und Nagios XI identisch.
Für Linux-Server gibt es einen eigenen
Client zum Download. Dieser findet sich
auf der Seite [15]. (jcb)
n
Infos
[1] Zenoss-Appliance: [http:// www. vmware.​
com/ appliances/ directory/ 155743]
[2] Zenoss-Community: [http:// community.​
zenoss. org]
[3] Zenoss bei Sourceforge: [http://​
sourceforge. net/ projects/ zenoss/]
[4] Nagios: [http:// www. nagios. org]
[5] NSClient: [http:// www. nsclient. org/ nscp]
[6] PostgreSQL für Windows: [http:// www.​
postgresql. org/ download/ windows]
[7] JICMP: [http:// sourceforge. net/ projects/​
opennms/ files/ JICMP]
[8] OpenNMS-Wiki: [http:// www. opennms. org/​
wiki/ Main_Page]
[9] Nagios: [http:// www. nagios. org]
[10] Nagios Core: [http:// www. nagios. com/​
products/ nagioscore]
[11] Nagios XI: [http:// library. nagios. com/​
library/ products/ nagiosxi]
[12] Nagios Webcast: [http:// library. nagios.​
com/ library/ products/ nagiosxi/ tutorials/ 2
36‐running‐the‐xi‐virtual‐machine‐using‐v
mware‐player]
[13] Nagios VM: [http:// assets. nagios. com/​
downloads/ nagiosxi/ docs/ XI_Virtual_Machine_Notes.
pdf]
[14] NSC-Client: [http:// www. nsclient. org/​
nscp/ downloads]
[15] Linux-Client: [http:// assets. nagios.​
com/ downloads/ nagiosxi/ agents/​
linux‐nrpe‐agent. tar. gzhttp:// assets.​
nagios. com/ downloads/ nagiosxi/ agents/​
linux‐nrpe‐agent. tar. gz]
98 Ausgabe 03-2012 Admin www.admin-magazin.de

JETZT
MiT dVd!
MAGAZIN
SondErAkTion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
Jetzt schnell bestellen:
• Telefon 07131 / 2707 274
• Fax 07131 / 2707 78 601
• E-Mail: abo@linux-magazin.de
• Web: www.linux-magazin.de/probeabo
Mit großem Gewinnspiel unter:
www.linux-magazin.de/probeabo
GEwinnEn SiE...
diE 7LinkS ouTdoor-iP-kAMErA „iPC-710ir“
Einsendeschluss ist der 15.06.2012

Basics
E-Mail-Archivierung
© Angela Luchianiuc, 123RF
Anforderungen und Strategien zur E-Mail-Archivierung
Auf ewig
Wer hätte gedacht, dass eine uralte Vorschrift im digitalen Leben plötzlich
dermaßen Schwierigkeiten macht? Seit jeher müssen sogenannte Handelsbriefe
archiviert werden. Doch mit der Verbreitung von E-Mails in Unternehmen
kam Streit auf: Können E-Mails „Handelsbriefe“ sein? Peer Heinlein
Während eine juristische Ansicht ganz
pragmatisch auf den Sinn und Zweck
der E-Mails abstellt und zu dem Schluss
kommt, dass diese schon ihrem Inhalt
nach Handelsbriefe seien und darum unter
die gleichen Archivierungsvorschriften
fallen würden, lehnten andere Ansichten
derartige Verpflichtungen rundherum ab:
Schon mangels „Verkörperung“ wären
E-Mails ja noch nicht mal als Urkunde im
rechtlichen Sinne geeignet und könnten
darum als solches auch kein (Handels-)
Brief sein.
Doch seit 1. Januar 2006 ist der Streit entschieden.
Durch eine Gesetzesänderung
hat der Gesetzgeber klargestellt: E-Mails
sind „elektronische Handelsbriefe“ und
müssen folgerichtig archiviert werden.
Der Streit hat ein Ende, doch die Probleme
haben damit erst begonnen. Bislang
galt bei E-Mails nämlich das Prinzip ex
und hopp. Aber nun? Wie archiviert man
eine derartige unkontrollierte, unsortierte
Datenflut? Diese heikle Mischung
aus echten E-Mails, reinem Geplänkel,
privaten Nachrichten und totalem Datenmüll?
Wie soll das getrennt sein und
vor allem: wohin eigentlich mit dem
ganzen Speichervolumen? Wer soll das
alles bezahlen? Und überhaupt: Welche
Anforderungen werden an ein solches
Archiv gestellt?
Unbequeme Fragen,
unbequeme Antworten
Viele Fragen, auf die es auch durchaus
Antworten gibt. Die jedoch sind oft so
unbequem, dass sie viele nicht wahrhaben
wollen.
Beginnen wir also mit einer guten Nachricht:
Interne E-Mails zwischen den Mitarbeitern
eines Unternehmens sind mangels
Außenwirkung per se keine Handelsbriefe
und müssen nicht archiviert
werden. Lediglich ein- und ausgehende
E-Mails sind also betroffen, das reduziert
das Volumen schon einmal erheblich.
Nun zu den schlechten Nachrichten:
Handelsbriefe sind mitnichten nur Dinge
wie Rechnungen oder andere Dokumente
mit Zahlen, Steuersätzen oder Finanzdetails.
Stattdessen umfasst der Begriff des
Handelsbriefs alle Briefe, die zur Vorbereitung,
Durchführung, Abwicklung oder
Rückabwicklung eines Handelsgeschäfts
dienen. Oder anders ausgedrückt: Abgesehen
von Spam und privaten Nachrichten
ist im Zweifel so gut wie jede
E-Mail, die das Unternehmen empfängt
oder versendet, ein elektronischer Handelsbrief.
Da kommt ein gehöriges Volumen
zusammen – insbesondere, weil
normale Handelsbriefe sechs Jahre, steuerlich
relevante Daten zehn Jahre aufzubewahren
sind. An dieser Stelle hört die
handelsrechtliche E-Mail-Archivierung
bereits auf, Spaß zu machen.
Duplizieren reicht nicht
Natürlich haben auch viele Unternehmen
ein eigenes egoistisches Interesse daran,
aus- und eingehende E-Mails zu archivieren,
beispielsweise um im Streitfall später
gewisse Umstände beweisen oder zumindest
besser nachvollziehen zu können.
Mancher Admin und Geschäftsführer
richten ihre Mailrelays seit jeher so ein,
dass von allen E-Mails stets eine Kopie in
ein Archiv-Postfach geschrieben wird, das
im Idealfall tageweise weggesichert wird.
Unter Postfix ist das über Parameter wie
»always_bcc« oder »sender_bcc_maps«
problemlos möglich. Doch wer sich mit
100 Ausgabe 03-2012 Admin www.admin-magazin.de

E-Mail-Archivierung
Basics
dieser simplen Lösung auf der sicheren
Seite wähnt, der irrt gewaltig.
Auch Ausdrucken geht nicht
Ebenso auf dem Holzweg befindet sich,
wer eingegangene E-Mails als PDF speichert
oder kurzerhand ausdruckt und
abheftet, auch wenn Letzteres leider immer
wieder fälschlicherweise empfohlen
wird. Denn Sinn und Zweck der handelsrechtlichen
E-Mail-Archivierung ist
die sogenannte „elektronische Betriebsprüfung“
eines Unternehmens – das Finanzamt
lässt grüßen. Und diese elektronische
Betriebsprüfung erfordert den
Zugriff auf die fraglichen Daten im originären
ursprünglichen Format. Doch auch
Banken (Kredite!) oder Wirtschaftsprüfer
(Börsenaufsicht!) können sich für das
Mail-Archiv eines Unternehmens interessieren
– denn wenn dieses fehlt, ist dem
jeweiligen Unternehmen ein erhebliches
wirtschaftliches Risiko zu attestieren.
Dabei muss ausgeschlossen werden, dass
ein Unternehmen sein Archiv nachträglich
frisieren und fälschen könnte, um
Unstimmigkeiten in der Buchhaltung, Bilanzierung
oder Steuererklärung zu verdecken.
Notwendig ist darum ein sogenanntes
„revisionssicheres Archiv“, das
keinerlei nachträgliche Datenänderung
unbemerkt bleiben lässt. Gerade auch der
Geschäftsführung und den Administratoren
muss die Manipulation unmöglich
Zeitstempel-Dienstleister
Internet
Firewall
Spamschutz
Mail-Archiv
Firewall
Groupware
Abbildung 1: Nach dem Signaturgesetz akkreditierte
Dienstleister verkaufen signierte NTP-Zeitstempel,
um die Zeit beweissicher speichern zu können.
gemacht worden sein. Einfache Dateien
oder eine Datenbank mit bloßem Passwortschutz
scheiden demnach aus. Selbst
die direkte Manipulation der Datenbank
oder einzelner Sektoren des Datenträgers
dürfen nicht zum Erfolg führen. Das Unternehmen
muss von seinem eigenen Archiv
letztendlich „ausgesperrt“ werden.
Das klingt zunächst absurd und unmöglich
wenn man bedenkt, dass fähige
Administratoren mindestens beim direkten
Zugriff auf die Festplattensektoren
alles mögliche frei verändern können.
Doch in der Praxis haben sich zwei
Lösungen herauskristallisiert, die eine
solche Revisionssicherheit grundsätzlich
ermöglichen.
Ist Worm-Firmware wirklich
sicher?
Da wäre zunächst das sogenannte WORM
(Write Once, Read Many). Eigentlich ein
SAN mit normalen Festplatten, doch einmal
dorthin geschriebene Daten können
nachträglich nicht mehr geändert werden.
Das SAN verhält sich also so, wie
der gute alte CD-Rohling. Dass die Festplattenbereiche
nicht noch einmal beschrieben
werden können, dafür sorgt
die spezielle Firmware im Controller des
SANs, die entsprechende Schreibzugriffe
unterbindet. Das klingt zunächst nach einer
recht einfachen und (wenn man einmal
von den durchaus beachtenswerten
Kosten absieht) sehr charmanten Lösung.
Doch stellt sich dem kritischen Betrachter
oder möglicherweise später einmal beauftragten
Gutachter natürlich die Frage, ob
es tatsächlich unmöglich war, die Daten
zu ändern. War die Firmware fehlerfrei?
Hat jemand die Firmware vielleicht durch
eine eigene gepatchte Version ersetzen
können, die Schreibzugriffe erlaubte?
Letzteres erscheint bei genauerem Hinsehen
nicht so absurd, als dass man es
pauschal ausschließen könnte. Schließlich
zeigt die Praxis, wie schnell findige
Hacker Systeme öffnen konnten, obwohl
MAGAZIN
ONLINE
Linux-Magazin newsLetter
Newsletter
informativ
kompakt
Nachrichten rund um die
Themen Linux und Open
Source lesen Sie täglich
im Newsletter des Linux-
Magazins.
tagesaktuell
www.admin-magazin.de
www.linux-magazin.de/newsletter
Admin
Ausgabe 03-2012
101

Basics
E-Mail-Archivierung
deren Hersteller alles daran setzten, dass
genau das nicht passiert: Egal, ob X-Box,
Playstation, iPhones oder andere Systeme
mit embedded Firmware – es dauerte oft
nicht lange bis zum Root-Exploit oder
dem Release alternativer Firmware. Und
nun soll genau das bei einem WORM eines
beliebigen Herstellers nicht passieren
können? Das klingt nach dem Prinzip
Hoffnung – und es drängen sich zu recht
Zweifel auf.
Andere gehen stattdessen den mathematischen
Weg und sorgen über kryptographische
Signaturen dafür, dass Veränderungen
nicht unbemerkt bleiben können.
Derartige Verfahren mit asymetrischen
Schlüsseln sind schließlich seit langer
Zeit erprobt, bekannt und vielfach mathematisch
überprüft. Dabei werden
kryptographisch signierte NTP-Zeitstempel
eingesetzt, um dokumentieren
zu können, wann sich die archivierten
Daten in diesem Zustand befanden – andernfalls
könnte bei manipulierten Daten
kurzerhand neu signiert werden, um die
Veränderung zu vertuschen.
Doch auch das reicht nicht aus, um echte
Revisionssicherheit zu erreichen. Der
Administrator könnte kurzerhand auch
die Systemzeit ändern, um rückdatierte
Zeitstempel zu erhalten. Also muss bei
diesen Verfahren auf externe Zeitstempelgeber
zurückgegriffen werden – im
Idealfall auf darauf spezialisierte Dienstleister,
die nach dem Signatur-Gesetz
akkreditiert und damit erstmal per juristischer
Definition vertrauenswürdig sind
(Abbildung 1).
Signierte Zeitstempel
sichern ein Jahrzehnt
Doch auch dann ist dieser Weg für die
Hersteller entsprechender Archiv-Lösungen
durchaus steinig: Wenn derart
signierte Daten mehr als ein Jahrzehnt
gesichert werden sollen, muss ein Weg
gefunden werden, die im Laufe der Zeit
unsicher gewordenen Mechanismen (wie
beispielsweise jüngst MD5) auszutauschen
und den Archiv-Bestand mit besseren
Verfahren nachzusignieren.
Nur so kann garantiert werden, dass die
Daten zu keinem Zeitpunkt mit einem
als unsicher geltenden Algorithmus geschützt
waren. Anders, als es vielleicht
zunächst den Anschein hat, ist ein revisionssicheres
Mail-Archiv selbst für findige
Linux-Bastler keineswegs schnell im Eigenbau
umzusetzen.
Für fast jede Groupwarelösung sind
entsprechende Archiv-Systeme auf dem
Markt verfügbar – von Drittanbietern,
aber auch von den Herstellern selbst.
Kein Wunder, ist eine in der Groupware
selbst integrierte Lösung schließlich eine
hervorragende Form der Kundenbindung.
Da bei einem Wechsel der Groupwarelösung
des jeweilige Archiv nicht mitgenommen
werden kann, müssten selbst
abgeschaltete Softwarelösungen mit ihrem
Archiv noch zehn weitere Jahre betriebsbereit
gehalten werden. Das nimmt
dem Admin die Freude am Wechsel.
Archiv als Relay
Sinnvoll ist es darum, auf Archiv-Systeme
zu setzen, die als Mailrelay zwischen
Anti-Spam-Schutz und dem IMAP- oder
Groupware-Server platziert sind. Da diese
Relays die Mails einfach per SMTP empfangen
und weiterrouten, sind sie vom
eigentlichen Backend unabhängig und
können auch bei einem Strategiewechsel
bequem weiter betrieben werden.
Die Einführung eines Mail-Archivs ist
noch mit weiteren Fallen gespickt: Es ist
zwar relativ einfach, alle erwünschten
Nachrichten zu archivieren, doch viel beachtenswerter
ist die Frage, wie alle unerwünschten
Nachrichten nicht archiviert
werden! Angesichts der großen Datenvolumen
und langen Speicherzeit sollte
man sich auf das tatsächlich Notwendige
beschränken. Bei der Platzierung nach
einem gut funktionierenden Spamfilter,
der alle unerwünschten E-Mails gleich
von vornherein blockt und ablehnt, lässt
sich zumindest dieses Thema recht einfach
abhaken.
Doch die in vielen Unternehmen offiziell
erlaubte oder praktisch geduldete
private E-Mail-Nutzung wirft angesichts
der strengen deutschen Datenschutzvorschriften
die Frage auf, wie verhindert
werden kann, dass private E-Mails ebenfalls
im Langzeit-Archiv gespeichert werden,
wo sie nichts zu suchen haben. Inhaltserkennung
durch Software fällt aus
und auch die Möglichkeit, nicht zu archivierende
E-Mails durch entsprechende
Markierungen im Betreff („[PRIVAT]“)
zu filtern, dürfte mindestens bei empfangenen
E-Mails in der Praxis wenig
zuverlässig funktionieren.
Private Nutzung erlauben?
Nicht wenige Unternehmen sehen sich
spätestens mit der Einführung eines
Archivs dem Dilemma ausgesetzt, die
ausgeuferte private Nutzung wieder zu
verbieten, was verständlicherweise bei
Arbeitnehmern zunächst auf wenig Gegenliebe
stößt. Andererseits ist die private
E-Mail-Nutzung auch an anderen Stellen
für Unternehmen äußerst risikobehaftet
zu sehen – bei Langzeit-Backups oder
dem Zugriff Dritter auf das Postfach von
kranken oder ausgeschiedenen Mitarbeitern,
sind datenschutzrechtliche Verstöße
schnell an der Tagesordnung. Doch auch
Spam-Quarantäne und Logfile-Auswertung
können bei privater Nutzung bereits
äußerst heikel sein. Am Ende handelt es
sich bei all diesen Fragen jedoch um ein
ganz generelles Problem, das durch die
Einführung eines Mail-Archivs lediglich
deutlich zum Vorschein kommt.
E-Mail-Archivierung ist demnach eher
ein organisatorisches, denn ein technisches
Problem. Die Praxis zeigt, dass
Unternehmen, die bereits vor Beginn der
E-Mail-Archivierung alle praktischen und
rechtlichen Fragen des Datenschutzes,
der privaten Nutzung oder der Anti-
Spam-Taktik sauber geklärt haben, die
Einführung eines Mail-Archivs schnell
und sauber realisieren können, ohne
sich dabei mit größeren Schwierigkeiten
konfrontiert zu sehen. Wer hier jedoch
mit organisatorischen Fehlern und rechtlichem
Wildwuchs zu kämpfen hat, kann
gut und gerne ein Jahr Projektlaufzeit
(mit vielen Diskussionen) einrechnen,
wenn zwischendurch noch Nutzungsvereinbarungen
entworfen, Betriebsoder
Personalrat einbezogen und die
Geschäftsführung beruhigt oder auch
sensibilisiert werden muss (jcb) n
Der Autor
Diplom-Jurist Peer Heinlein stellt mit seinem Unternehmen
„Heinlein Support“ die Verfügbarkeit
geschäftskritischer Linux-Infrastrukturen sicher.
Er ist seit 1992 auf Maildienste spezialisiert,
schrieb das „Postfix-Buch“ und ist unter anderem
für Mailserver und Archivierung vieler ISPs,
Rechenzentren und Unternehmen verantwortlich.
102 Ausgabe 03-2012 Admin www.admin-magazin.de

Alles zum ThemA
Android
Neu!
Die Monatszeitschrift für Android-Fans, Smartphone- und Tablet-Nutzer
DigisuB: nur 39,90 € im Jahr (12 PDFs)
ihre Vorteile:
+ News und Artikel
fast 1 Woche vor
dem Kiosk lesen!
+ Hardware und App-
Tests, Workshops,
Tipps und Tricks für
Anfänger und Profis!
+ Nutzbar auf Smartphone,
Tablet oder
Notebook/PC!
Jetzt bestellen unter:
www.android–user.de/digisub
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

Basics
Mobaxterm
© Alesia Tsvetaeva, 123RF
Mobaxterm bringt Linux-Feeling auf den Windows-Desktop
Mit fremden Federn
Das Tool Mobaxterm ist ein portabler X-Server für Windows, der samt mitgelieferter Unix/​Posix-Tools in einer einzigen
portablen Exe-Datei steckt. Mobaxterm bringt damit im Handumdrehen eine Linux-Kommandozeile samt
Tools auf den Windows-Desktop. Dieser Beitrag nimmt die kostenlose Version unter die Lupe und demonstriert,
was der Admin mit der Software anfangen kann. Thomas Drilling
Ein X-Server, der unter Windows läuft,
ist prinzipiell für zwei Nutzer-Gruppen
interessant. Linux-Admins, die freiwillig
oder per Dienstanweisung gelegentlich
auch Windows-Rechner administrieren
müssen, steht mit dem portablen X-Server
für Windows eine komfortable Möglichkeit
zur Verfügung, den Windows-
Rechner wie gewohnt mit Linux Befehlen
zu steuern. Bei Bedarf ist außerdem ein
Remote-Login auf einen Linux-Rechner,
sowie das Verwenden populärer Remote-
Tools möglich. Auf der anderen Seite profitieren
umsteigewillige Windows-User
von der eleganten Möglichkeit, vorab
unter Windows mit Linux-Befehlen, der
Linux-Syntax und der Linux-Verzeichnisstruktur
experimentieren zu können.
Da Mobaxterm zudem als portable One-
Click-EXE ausgelegt ist, entfällt ein aufwendiges
Installieren.
Funktionsumfang
Die Funktionalität von Mobaxterm geht
weit über das Zurverfügungstellen eines
erweiterten Linux-Terminals unter Windows
hinaus, denn die EXE-Datei enthält
neben essenziellen Unix-Kommandos
einen Session-Manager, der alle wichtigen
Remote Netzwerk-Tools wie SH,
RDP, VNC, Telnet, Rlogin, FTP, SFTP
oder XDMCP verfügbar macht. Das X11-
Forwarding läuft über OpenSSH. Das Gesamtkunstwerk
Mobaxterm besteht also
aus dem eingebetteten X-Server, dem
Tabbing fähigen Terminal mit eingebetteten
Unix-Kommandos wie »ls«, »cd«,
»cat«, »sed«, »grep«, »awk«, »rsync«,
»wget« und dem Session-Manager. Die
Free-Version 4.4 steht auf der Projektseite
[1] zum Download [2] zur Verfügung.
Außerdem gibt es eine Professional Version
für 49 Euro mit einem erweiterten
Funktionsumfang.
Die Feature-Liste findet sich unter [3];
von dort führt auch ein Link zur Bestell-
Seite. Die Terminal-Funktion unterstützt
Antialiasing, Schriften und Makros. Darüber
hinaus besitzt Mobaxterm eine
Plugin-Schnittstelle. Die Projektseite hält
unter [4] eine stattliche Anzahl Plugins
bereit. Außerdem gibt es eine Reihe von
Third-Party-Tools. Das Zip-Archiv der
Free-Version enthält außerdem »Mobaxterm_Personal_Customizer_4.4«,
mit dem
sich das Tool im Erscheinungsbild an die
eigenen Wünschen anpassen lässt.
Beim ersten Start von Mobaxterm wird
möglicherweise eine aktive Windows
Firewall Alarm schlagen. Mit »Zulassen«
legt der Admin dazu eine passende Regel
fest. Danach zeigt Mobaxterm eine lokale
Terminal-Sitzung, samt einiger Hinweise
zur Default-Konfiguration. Der Prompt
gehorcht in typischer Unix-Manier in der
Form »Benutzer.Hostname«. Sämtliche
unter Windows verfügbaren Laufwerke
– auch verbundene Netzwerklaufwerke
– stehen Unix-typisch als Mountpunkt
unter /»drives« zur Verfügung.
Außerdem informiert der Startbildschirm
über die aktuelle IP-Adresse und die
Display-Nummer der Sitzung. Das zugehörige
»Banner« mit genau jener Info
lässt sich im »Mobaxterm_Personal_Customizer«
der Pro-Version individuell konfigurieren.
Da Mobaxterm auf Cygwin
basiert, steht dem experimentierfreudigen
Windows-Admin eine komplette
Linux-Verzeichnisstruktur zur Verfügung
(Abbildung 1).
Die GUI ist übersichtlich und wirft
keine Fragen auf, auch wenn die Werk-
104 Ausgabe 03-2012 Admin www.admin-magazin.de

Mobaxterm
Basics
Abbildung 1: Mobaxterm stellt unter Windows eine komplette Unix-Umgebung mit klassischer
Verzeichnishierarchie zur Verfügung.
System- und Office-Tools, inklusive einem
eigenen Editor »MobaTextEditor«
und einem eingebauten Bildbetrachter
»MobaPictureViewer«. Selbige stehen
analog auch im Menü »Tools« zur Verfügung.
So zeigt etwa »List Running
Processes« die aktuelle Prozessliste in
Unix-typischer Topdarstellung in einem
neuen Terminal-Reiter. In der Default-
Einstellung läuft der X Serverm zu erkennen
am grünen »X‐Server«-Symbol rechts
oben. Sollte er nicht laufen, lässt er sich
jederzeit im Menü »X server« starten.
Nützlich für einen schellen Security-
Check ist auch das Tool »List open network
ports« (Abbildung 3).
Auf der Kommandozeile kann der Admin
jetzt nach Herzenslust in Unix-Manier
im Windows-Dateisystem navigieren,
Dateioperationen ausführen, Textdateien
anzeigen oder bearbeiten oder andere
Unix-Tools aufrufen.
SFTP mit GUI
zeugleiste etwas überladen wirkt und die
schicken Icons in Spiegeloptik den Linux-
Admin kaum beeindrucken werden. Im
Menü »Settings / Configuration« stehen
im Bereich »Display Settings« auch weitere
Skins zur Verfügung.
SSH-Agenten
Wichtiger sind hingegen die Einstellungen
in den Bereichen »Terminal Setting«
(Fonts, Charset), »X server settings« (Font
Server) und vor allem »SSH ‐Settings«.
Hier lässt sich zum Beispiel ein grafischer
SSH-Browser aktivieren oder das
X11-Forwarding beziehungsweise SSH
Agent Forwarding aktivieren. Außerdem
lässt sich hier der SSH Agent in Betrieb
nehmen. Im SSH Agent kann der Admin
seinen privaten Schlüssel hinterlegen,
damit sich der SSH Agent selbsttätig um
die Authentifizierung kümmert. Der SSH
Agent behält den Key bis zum Abmelden
vom lokalen Client im Speicher, und der
Admin muss nur einmal seine Passphrase
eingeben. Die meisten Linux-Distributionen
starten den SSH-Agent automatisch
im Hintergrund.
Mit »ssh‐add ‐i« listet SSH Agent die momentan
gespeicherten Schlüssel. Hier
vorgenommene Settings erfordern einen
Neustart von Mobaxterm. Links vom
Terminal-Fenster findet sich ein Navigationsbereich
mit zwei Tabs »Sessions«
und »Tools«, Ersterer zum Wechseln
zwischen den offenen Sitzungen, denn
Mobaxterm ist multisessionfähig. Sessions
lassen sich über das Menü »Sessions«
speichern. Überhaupt ist die GUI überaus
wandelbar und kennt je nach Einsatzzweck
eine stattliche Anzahl von Views,
zu finden im gleichnamigen Menü.
Der Reiter »Tools« (Abbildung 2) ermöglicht
einen schnellen Zugriff auf eine
Reihe von für Admins eher obsoleten
Terminal-Games, sowie einige nützliche
Baut der Admin eine SSH-Sitzung auf,
wenn die Option »Activate the graphical
SSH browser when connected« aktiviert
ist, steht im Navigationsbereich im Reiter
»SFTP« der grafische SSH-Browser
zur Verfügung, was der eine oder andere
Administrator möglicherweise als
komfortable Erleichterung begrüßen wird
(Abbildung 4).
Bekanntlich lässt sich mit SSH auch die
X11-Bildschirmausgabe eines entfernt gestarteten
grafischen Unix-Programms auf
ein lokales Display umleiten (X11 Port
Forwarding). SSH tunnelt und verschlüs-
Abbildung 2: Mobaxterm enthält eine Reihe nützlicher Systemwerkzeuge direkt im Menü »Tools«.
www.admin-magazin.de
Admin
Ausgabe 03-2012
105

Basics
Mobaxterm
Abbildung 3: Das Tool »openports« zeigt auf die Schnelle die auf dem Windows-Host zugänglichen Ports.
selt dazu die übertragenen Bildinhalte
und Eingaben. Voraussetzung auf Serverseite
dafür ist, dass in der Datei »/
etc/ssh/sshd_config« die Option »X11Forwarding
Yes« gesetzt ist. Bei den meisten
Linux-Distributionen ist das Default. Außerdem
muss in den Mobaxterm-Seetings
die Option »Enable X11 Forwarding« gesetzt
sein. Ist beides der Fall, kann sich
der Admin via
ssh ‐XC Benutzername@Server‐Name
am entfernten Server anmelden. Die
Option sorgt »‐X« dafür, dass SSH beim
Verbindungsaufbau sofort die Weiterleitungen
von X11-Daten vorbereitet. Die
Option »‐C« aktiviert das Komprimieren
der übertragenden Bildschirminhalte.
Nach erfolgreichem Login kann der Admin
in Mobaxterm unter Windows ein
beliebiges grafisches X11-Programm auf
dem entfernten Linux-Host starten, dessen
Bildschirminhalte ab sofort ins Windows-Fenster
umgeleitet werden, etwa
Xemacs (Abbildung 5).
Selbstverständlich funktioniert das nur
für „echte“ X11-Tools. Erfahrene Adminstratoren
wissen aber, dass es von der
Sorte leistungsfähiger X-Tools auch bei
modernen Distribution noch jede Menge
gibt. Die Eingabe von »x[Tab]« fördert
eine stattliche Anzahl zutage. Darüber
hinaus steht dem Admin mit Mobaxterm
am Windows-Rechner das gesamte
Repertoire an SSH-Funktionen zur Verfügung,
darunter mit Port-Forwarding
auch eine sichere und ad hoc verfügbare
VPN-Lösung. Diese und andere nützliche
SSH-Tricks beschreibt der ADMIN-Artikel
unter [5].
Neben SSH und SSTP erschließt Mobaxterm
dem Admin unter Windows den
komfortablen Zugang zu weiteren Typen
von Remote-Sitzungen, wie Telnet, RSH,
RDP, VNC, FTP und unterstützt, wie es
sich für ein Terminal gehört, auch serielle
Verbindungen. Außerdem kann der
Admin eine DOS-Shell starten. Zum Konfigurieren
und Verwenden der übrigen
Remote-Sitzungs-Typen klickt der Admin
auf »Server / Xdmcp« und kann dann im
Dialog »Session Settings« die verschiedenen
Session-Typen einrichten.
Das X Display Manager Control Protocol
(XCMCP) stellt eine zentrale Funktionalität
der X11-Architektur dar. Das X-Netzwerkprotokoll
ermöglicht zusammen mit
XDMCP den verteilten Betrieb von X-
Server und X Display Manager, wobei
der anfragende X-Server auf dem Client
läuft, in der Regel einem X-Terminal, dem
damit ein Anmeldedienst zur Verfügung
gestellt wird. Der in Mobaxterm mithilfe
von Cygwin portierte X Server unterstützt
daher auch XDMCP. Möchte der Admin
beispielsweise eine VNC-Sitzung zu einem
entfernten VNC-Server starten, genügt
es, im Bereich »VNC« die IP-Adresse
des entfernten VNC-Servers einzugeben;
der Default-VNC-Port ist bereits eingetragen.
Die Abbildung zeigt den komfortablen
Zugriff via VNC auf eine virtuelle
Maschine eines KVM-basierten Hypervisors
(Abbildung 6).
Genauso einfach und schnell gelingt der
Zugriff auf einen entfernten Windows-
Server via RDP oder der Aufbau einer
FTP-Verbindung, etwa zum schnellen
Herunterladen eines CD-ISOs von einen
anonymen FTP-Server. Jeder Sitzungstyp
lässt sich übrigens im Reiter »Sessions«
unter einem beliebigen Namen speichern
und/​oder als Schnellstart-Icon auf dem
Windows-Desktop ablegen.
Unix-Tricks
Selbstverständlich erschließt Mobaxterm
ganz nebenbei auch ein unerschöpfliches
Repertoire an Tricks, die auf so
bewährten Unix-Tools wie »awk«, »sed«,
»grep« und so weiter basieren. Versierten
Linux-Admins steht so ihr vertrautes
Instrumentarium auch unter Windows
zur Verfügung, und Windows-Nutzer
finden bisweilen Anwendungsmöglichkeiten,
zu denen CMD nicht in der Lage
wäre.
Als kleines Beispiel unter Hunderten sei
die Unterstützung von Imagemagick genannt,
eine extrem leistungsfähige kom-
Abbildung 4: Der grafische SFTP-Browser erleichtert das Navigieren beim Remote-Dateitransfer.
106 Ausgabe 03-2012 Admin www.admin-magazin.de

Mobaxterm
Basics
Lokale Partitionen spricht Cygwin unter
»/cygdrive/c«, »/cygdrive/d« und so
weiter an. Windows-Freigaben stehen
unter »//host/share/file« zur Verfügung.
Mobaxterm mappt sämtliche Laufwerksmandozeilenorientierte
Toolsammlung
zur Bildbearbeitung, für die es unter
Windows kein Pendant gibt. Ein typisches
Praxisbeispiel ist das gleichzeitige
Skalieren und Beschneiden einer großen
Anzahl von Fotos mit unterschiedlichen
Ausgangsformaten, etwa für eine Bildergalerie:
cd fotos
mkdir fotos‐normiert
for i in .jpg ; do convert $i ‐resize U
600x350 ‐gravity center crop 480x320+0+0U
+repage fotos‐normiert/$i; done
Version 1.7 auch unter Windows 7 und
Windows Server 2008. Nur sehr alte und
einfache Posix-Programme laufen auch
unter Windows9x.
Cygwin Drives
zugriffe wie beschrieben der Einfachheit
halber nach »/drives«. Mithilfe des per
»startxwin.bat«gestarteten X-Servers
kann Mobaxterm für Windows kompilierte
Linux-Programme lokal ausführen
und Programme, die auf einem Linux-
Rechner im Netz laufen, unter Windows
darstellen. Cygwin macht es ebenfalls
möglich, dass sich Nutzer vom Windows-
Rechner aus via XDMCP direkt auf dem
Linux-Rechner einloggen können. Dazu
nutzt Cygwin das Skript »startxdmcp.
Kern der Funktionalität von Mobaxterm
ist die Cygwin-Kompatibilitätsschicht,
welche auch Cygwin/​X, eine Portierung
des X.Org-Servers auf die Cygwin-
Umgebung enthält. Die in Mobaxterm
enthaltene Cygwin/​X-Version (1.7.5-1)
verwendet allerdings für Cygwin/​X noch
das X.Org-Release 6.8.99. Cygwin [6] ist
eine Tool-Sammlung, die unter Windows
das Look-and-Feel einer Linux/​Unix-Umgebung
zur Verfügung stellt. Dreh- und
Angelpunkt ist dabei die DLL »cygwin1.
dll«, die als Kompatibilitäts-Schicht substanzielle
Linux-API-Aufrufe zur Verfügung
stellt. So ist es mit Cygwin möglich,
Programme für Posix-Systeme wie
Unix, Linux oder BSD nach Windows zu
portieren. Mit Cygwin übersetzte Posix-
Programme laufen in der Regel unter allen
Windows-Versionen ab NT (Windows
2000, Windows XP, Windows Vista, Windows
Server 2003) und seit der Cygwin-
Abbildung 5: Mobaxterm holt dank XDMCP ohne Murren auch grafische X11-Programme auf den Windows-
Desktop.
Jahres-DVD 2011
Jetzt gleich bestellen!
www.admin-magazin.de/DVD2011 oder 089 - 99 34 11 - 00
www.admin-magazin.de
alle artikel des Jahres 2011
■ Artikel zu Storage, Backup, Netzwerk,
Monitoring, Virtualisierung u.v.m.
Admin
e14,95
■ Zum Lesen am Bildschirm oder Ausdrucken:
PDF und HTML-Format
■ Search Engine für Artikel-Volltext-Suche
Außerdem auf der DVD:
Bootbares Rettungssystem
ADMIN
Netzwerk & Security
Ausgabe 03-2012
107

Basics
Mobaxterm
term unter die Haube schaut, findet dort
allerdings kaum etwas, was er nicht auch
direkt mit den beteiligen Werkzeugen
(Cygwin), sowie den auf Cygwin portierten
Unix-Tools zuwege bringen würde.
Für Mobaxterm spricht, dass Cygwin
zwar im Handumdrehen eine funktionale,
freie Posix-Umgebung für Windows
zur Verfügung stellt, aber kein vernünftiges
Terminal mitbringt. Unter purem Cygwin
könnte der Admin zwar automatisch
einen X-Server starten und dann etwa ein
Xterm verwenden, allerdings mangelt es
dann an vernünftigen Schriften. Mobaxterm
dagegen erlaubt sogar das komfortable
Einbinden eines Font-Servers.
Leicht befremdlich wirkt nur, wie selbstbewusst
der Hersteller Mobatek die gebotenen
Funktionen auf der Projektseite als
eigene Entwicklung darstellt. Alternativ
zu Mobaxterm kann man mittlerweile
auch den Cygwin-Patch „PuTTYcyg“ [7]
für Putty verwenden. (ofr)
n
Abbildung 6: Mobaxterm ermöglicht auch den schnellen grafischen Zugriff auf eine VNC-Session.
bat«. Cygwin ermöglicht sogar das Aufsetzen
eines SSH-Servers als Windows-
Service.
Fazit
Zweifellos ist Mobaxterm ein sehr nützliches
und vielseitiges Tool. Rein funktional
gibt es an der Software nichts auszusetzen,
und potenzielle Windows-Umsteiger,
die sich in vertrauter Umgebung ein Bild
von Linux machen möchten, profitieren
von der einfachen Möglichkeit, ein wenig
Linux-Luft zu schnuppern. Wer Mobax-
Infos
[1] Mobaxterm-Projektseite:
[http:// mobaxterm. mobatek. net/]
[2] Mobaxterm-Download: [http:// mobaxterm.​
mobatek. net/ download‐home‐edition. html]
[3] Featureliste Free- und Pro-Version: [http://​
mobaxterm. mobatek. net/ download. html]
[4] Mobaxterm-Plugins: [http:// mobaxterm.​
mobatek. net/ plugins. html]
[5] Thomas Drilling, SSH-Tricks, ADMIN 01/​12:
[http:// www. admin‐magazin. de/ Das‐Heft/​
2012/ 01/ SSH‐Tipps‐fuer‐den‐Alltag]
[6] Cygwin: [http:// www. cygwin. com]
[7] Cygwin-Patch für Putty:
[http:// code. google. com/ p/ puttycyg/]
Der Autor
Thomas Drilling ist seit mehr als zehn Jahren
hauptberuflich als freier Journalist und Redakteur
für Wissenschafts- und IT-Magazine tätig. Er
selbst und das Team seines Redaktionsbüros verfassen
regelmäßig Beiträge zu den Themen Open
Source, Linux, Server, IT-Administration und Mac
OSX. Außerdem arbeitet Thomas Drilling als Buchautor
und Verleger, berät als IT-Consultant kleine
und mittlere Unternehmen und hält Vorträge zu
Linux, Open Source und IT-Sicherheit.
Plugins
Mobaxterm preist die Unterstützung von Plugins
an. Dabei handelt es sich meist Unix- und X11-
Tools, die mit Cygwin portiert wurden. Folgende
Plugins finden sich im Lieferumfang.
Emacs: der Kult-Editor für Unix-Admins.
Fontforge: ein leistungsfähiger Font-Editor.
GCC, G++ and development tools: die Komplette
GNU-C(++)-Entwicklungsumgebung.
Gvim: der beliebte Vim, mit GTK-Oberfläche.
MPlayer: einer der leistungsfähigsten Medienplayer
überhaupt, aber per Default ohne GUI.
Perl: die Programmiersprache Perl.
Corkscrew: Das Plugin Corkscrew kann TCP-
Verbindungen über einen HTTP Proxy tunneln.
Connect-Proxy: Das Plugin aus dem gleichnamigen
Debian-Paket ermöglicht ebenfalls das
Tunneln von TCP-Verbindungen via SOCKS oder
HTTPS Proxies.
Tcl/Tk/Expect: stellt eine komplette Tcl/​Tk-
Entwicklungsumgebung zur Verfügung.
Screen: Das Screen-Plugin ist ein Terminal Multiplexer,
der separate Sitzungen auf einem einfachen
zeichenbasierten Terminal zur Verfügung
stellen kann.
Png2Ico: Das Plugin Png2Ico konvertiert PNG-
Bilddateien in Windows Icon Resource Files.
Nedit: Nedit ist ein weiterer X11-Editor.
Midnight Commander: der beliebte Klon des aus
DOS-Zeiten bekannten Norton Commander.
Subversion (SVN): ermöglicht den Zugriff aus
Mobaxterm auf das Subversion-Versionsmanagement.
Git: ermöglicht den Zugriff aus Mobaxterm auf
das Git-Versionsmanagement.
FVWM2: einer der ersten und ältesten Window
Manager für X11.
Xorg (legacy): Das Installieren des „alten“ X11-
Servers (Xorg v1.6.5) ist meistens nur dann notwendig,
wenn es Probleme beim XDMCP-Zugriff
auf eine „alte“ Unix- oder Linux-Workstation
gibt.
DnsUtils: Das Plugin stellt die Linux/​Unix-eigenen
DNS-Utilities (»dig«, »host«, »nslookup«
und »nsupdate«) in Mobaxterm zur Verfügung.
PdKsh: Open-Source-Implementation einer
Korn-Shell.
Exif: Das Kommandozeilentool zeigt in JPG-
Bildern enthaltene Exif-Information.
Lynx: Das Plugin stellt den betagten aber bisweilen
noch nützlichen textbasierten Webbrowser
zur Verfügung.
E2fsProgs: Die E2fs-Utilities erlauben das Erzeugen,
Reparieren, Konfigurieren oder Debuggen
von Ext2/​3/​4-Dateisystemen in Mobaxterm.
108 Ausgabe 03-2012 Admin www.admin-magazin.de

3 AusgAben
für nur 5,90 E
Jetzt bestellen: 3 Hefte zum Preis von einem. Sie sparen 66 %!
Kennenlernangebot:
3 AusgAben
für nur 5,90 E
Jetzt bestellen unter:
www.android–user.de/miniabo
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

Virtualisierung
vSphere Image Builder
© Artisticco LLC, 123RF
VMware vSphere an aktuelle Hardware anpassen
Maßgeschneidert
VMware vSphere ist nach wie vor die umfangreichste Virtualisierungslösung auf dem Markt. Um vSphere noch
einfacher auf aktuellster Hardware installieren zu können, hat der Hersteller vSphere 5 den Image Builder spendiert
und eine Möglichkeit für die Installation vom USB-Stick geschaffen. Werner Fischer
Der Einsatz aktuellster Hardware erfordert
immer auch die neuesten Treiber.
Das gilt für normale Betriebssysteme wie
Windows oder Linux und auch für Virtualisierungslösungen
wie VMware vSphere.
Im Gegensatz zu Windows und Linux
gibt es Treiber für vSphere aber nicht als
Exe-Datei oder Linux-Paket, sondern nur
in Form von vSphere Installation Bundles
(VIB). Auch zusätzliche Softwarekomponenten
zur Hardwareüberwachung und
‐konfiguration (sogenannte CIM-Provider)
werden von den Hardwareherstellern
als VIBs bereitgestellt.
Bei einem VIB handelt es sich um ein
Ar-Archiv, das neben den eigentlichen
Dateien eine Descriptor-Datei im XML-
Format und eine Signaturdatei enthält
Listing 1: Inhalt eines VIB
01 $ ar ‐tv Adaptec_Inc_bootbank_scsi‐aacraid_5.0.5.1.7.
28700‐1OEM.500.0.0.406165.vib
02 ‐‐‐‐‐‐‐‐‐ 0/0 1356 Jan 1 01:00 1970 descriptor.xml
03 ‐‐‐‐‐‐‐‐‐ 0/0 2122 Jan 1 01:00 1970 sig.pkcs7
04 ‐‐‐‐‐‐‐‐‐ 0/0 53423 Jan 1 01:00 1970 scsi‐aac
(Listing 1). Die Signaturdatei dient zur
Auszeichnung der Akzeptanzebene
(Acceptance Level) (siehe Tabelle 1 „Akteptanzebenen“),
die Administrator für
jeden ESXi-Host vergeben kann, in der
Standardkonfiguration Partner-Supported.
Erfüllt ein VIB diese Vorgabe nicht,
lässt es sich auch nicht installieren. VIBs
mit einer leeren Signaturdatei gelten als
Community-Supported. Für die drei höheren
Levels „Partner Supported“, „VMware
Accepted“ und „VMware Certified“
ist eine entsprechende Signaturdatei
obligatorisch.
VIBs lassen sich entweder nachträglich
auf einem bereits installierten ESXi Host
Tabelle 1: Akzeptanzebenen (Acceptance Levels)
installieren oder schon vor der Installation
mithilfe des VMware vSphere ESXi Image
Builders in ein ESXi Image einpflanzen.
Für die Integration in ein solches Image
muss ein VIB verpackt in einem sogenannten
Offline Bundle bereitstehen. Bei
einem offline Bundle handelt es sich um
eine Zip-Datei, die neben dem VIB noch
weitere Metadaten enthält.
Will man nun ESXi auf ein Volume eines
RAID-Controllers installieren, braucht
der Installer des Installationsmediums einen
passenden Treiber. Für 6 GBit/​s SAS
Adaptec RAID Controller der Serie 6 fehlt
ein solcher Treiber im ESXi Installationsimage
von VMware. Der erforderliche Trei-
Level Beschreibung Support
VMware Certified Höchster Level Durch VMware
VMware Accepted VMware-Partner testet VIB. VMware Durch VMware-Partner
verifiziert die Testergebnisse.
Partner Supported VMware-Partner testet VIB und stellt Durch VMware Partner
dieses bereit.
Community Supported VIB ohne Signatur Keiner
110 Ausgabe 03-2012 Admin www.admin-magazin.de

vSphere Image Builder
Virtualisierung
ber mit der Versionsnummer 5.1.7.28700
steht aber als VMware-Certified signiertes
VIB in einem Offline-Bundle bei VMware
zum Download bereit – somit spricht
nichts gegen eine Integration in ein individuelles
ESXi Image.
Selbst wenn man ESXi auf einem USB-
Stick installiert, bringt die Integration vor
der Installation Vorteile: Bei mehreren
Hosts erspart man sich das manuelle
Nachinstallieren des Treibers auf jeder
Maschine. Bei der Installation auf USB ist
es ferner empfehlenswert, manuell eine
Scratch-Partition auf einem VMFS-Dateisystem
nach der Installation einzurichten.
Andernfalls zweigt ESXi 512 MByte
des Arbeitsspeichers für die Scratch-Partition
ab, deren Inhalt bei einem Reboot
naturgemäß verloren geht [1].
Windows gefragt
Der Image Builder ist Bestandteil des
VMware vSphere PowerCLI 5.0 [2], das
mindestens Windows XP SP2 und .NET
ab Version 2.0 sowie die Windows Powershell
2.0 erfordert. Damit alle PowerCLI-
Funktionen genutzt werden können,
empfiehlt VMware, am Ende der Installation
die Powershell Execution Policy
auf Remote-Signed zu setzen. Dazu klickt
man nach der Installation mit der rechten
Maustaste auf das Icon »VMware vSphere
PowerCLI« und wählt »Als Administrator
ausführen«. Der anschließende Befehl
»Set‐ExecutionPolicy RemoteSigned«
setzt die Execution Policy entsprechend.
Beim nächsten Starten zegit das Power-
CLI dann eine Willkommensmeldung
mit einigen Befehlen zum Abrufen der
PowerCLI-Hilfe (Abbildung 1).
Als Ausgangsbasis für ein individuelles
Image dient das Image Profile eines
Offline-Bundle-Installationsimages von
VMware. Das Offline Bundle steht bei
VMware als Zip-Datei neben den herkömmlichen
ISO-Installationsimages
zum Download bereit [3]. Der Befehl
»Add‐EsxSoftwareDepot« bindet das Offline
Bundle ein (Listing 2). »Get‐Esx-
ImageProfile« zeigt danach alle verfügbaren
Image-Profile des Offline Bundles
(Abbildung 2).
Ab ESXi 5.0 Update 1 enthalten die Offline
Bundles sowohl die bisherigen General
Image Profiles als auch security-only
Image Profiles. Letztere sind mit einem
Abbildung 1: Nach dem Setzen der PowerShell Execution Policy auf Remote-Signed startet das PowerCLI ohne
Fehlermeldung.
Abbildung 2: Get-EsxImageProfile zeigt alle Image-Profile eines Offline Bundles.
s im Namen gekennzeichnet und eignen
sich zum Updaten bereits installierter
ESXi Hosts. Als Basis für ein neues Installationsimage
sind sie ungeeignet. Von den
General Image Profiles gibt es zwei: ein
Standardprofil (ESXi-5.0.0-20120302001-
standard) und ein Profil ohne integrierte
VMware Tools für Gastsysteme (ESXi-
5.0.0-20120302001-no-tools).
Geklont
Im nächsten Schritt wird das Offline-
Bundle des Adaptec-Treibers eingebunden.
Das geschieht wieder mit
»Add‐EsxSoftwareDepot«. Der Befehl
»New‐EsxImageProfile« erstellt einen
Klon des Standardprofils. Bei der
Benennung des neuen Profils empfiehlt
sich ein aussagekräftiger Name, zum
Beispiel »ESXi‐5.0u1‐standard‐Adaptec«.
»Get‐EsxSoftwarePackage« zeigt
Listing 2: Individuelles Image mit Image Builder
alle verfügbaren Software-Pakete an,
darunter »scsi‐aacraid« von Adaptec in
der Version 5.0.5.1.7.28700. Ein Aufruf
von »Add‐EsxSoftwarePackage« fügt
»scsi‐aacraid« dem neuen Image-Profil
hinzu. Ob dabei alles glatt gegangen ist,
zeigt ein Vergleich des Standardprofils mit
dem neuen Image-Profil durch das Tool
»Compare‐EsxImageProfile« (Abbildung
3). »Export‐EsxImageProfile« exportiert
das Image-Profil abschließend in eine
ISO-Datei, die sich auf CD/​DVD brennen
lässt oder als Basis zur Erstellung eines
Installations-USB-Sticks dient.
Installation vom Stick
Wie eingangs erwähnt, lässt sich ESXi
neben lokalen oder SAN-RAID-Volumes
auch auf USB Sticks installieren. Ein
solcher USB-Stick kann aber auch als
Installationsquelle dienen [4]. Das geht
01 PowerCLI C:\> Add‐EsxSoftwareDepot E:\update‐from‐esxi5.0‐5.0_update01.zip
02 PowerCLI C:\> Get‐EsxImageProfile
03 PowerCLI C:\> Add‐EsxSoftwareDepot E:\aacraid‐1.0.1‐offline_bundle‐560288.zip
04 PowerCLI C:\> New‐EsxImageProfile ‐CloneProfile ESXi‐5.0.0‐20120302001‐standard ‐Name
"ESXi‐5.0u1‐standard‐Adaptec"
05 PowerCLI C:\> Get‐EsxSoftwarePackage
06 PowerCLI C:\> Add‐EsxSoftwarePackage ‐ImageProfile ESXi‐5.0u1‐standard‐Adaptec ‐SoftwarePackage
scsi‐aacraid
07 PowerCLI C:\> Compare‐EsxImageProfile ESXi‐5.0.0‐20120302001‐standard ESXi‐5.0u1‐standard‐Adaptec
08 PowerCLI C:\> Export‐EsxImageProfile ‐ImageProfile ESXi‐5.0u1‐standard‐Adaptec ‐FilePath E:\
ESXi‐5.0u1‐standard‐Adaptec.iso ‐ExportToIso
www.admin-magazin.de
Admin
Ausgabe 03-2012
111

Virtualisierung
vSphere Image Builder
Abbildung 3: Der Vergleich des neu erstellten Profils mit dem Standardprofil zeigt, dass der neue Treiber
erfolgreich integriert ist.
die Server-IP und »‐u« für den Benutzernamen
erforderlich (Abbildung 4).
Bei der Installation des vSphere-CLI auf
Linux-Rechnern lauert übrigens noch eine
kleine Hürde. Nur wenn vor dem Aufruf
des Installationskriptes »vmware‐install.
pl« die Umgebungsvariablen »http_proxy«
und »ftp_proxy« gesetzt werden, läuft
die Installation auch tatsächlich durch.
Werden keine Proxys genutzt, müssen
die Variablen mit leerem Inhalt gesetzt
werden [7].
deutlich schneller als die Installation von
einer CD oder DVD. Außerdem besitzen
viele aktuelle Server kein CD/​DVD-Laufwerk,
ein weiterer Grund, sich mit einem
USB Stick als Installationsmedium
zu befassen.
Für die Vorbereitung des Installations-
Sticks wird von VMware ein Linux-System
empfohlen. Im Beispiel wird der
USB-Stick vom Linux-System als »/dev/
sdb« erkannt. Wenn der Stick einen anderen
Gerätenamen bekommt, ersetzt
man in den folgenden Kommandos »/
dev/sdb« entsprechend. Der Stick wird
zuerst per »fdisk« mit einer einzelnen
primären Partition des Partitionstyps »c«
(W95 FAT32 (LBA)) versehen. Danach
markiert man mit »a« die Partition als aktiv
markiert und formatiert sie mit »mkfs.
vfat ‐F 32 ‐n USB /dev/sdb1«.
Damit der Server später vom USB-Stick
booten kann, wird Syslinux 3.86 [5] auf
dem Stick installiert und der Master Boot
Record eingespielt. Das geschieht über
die beiden Kommandos
syslinux‐3.86/linux/syslinux /dev/sdb1
cat syslinux‐3.86/mbr/mbr.bin > /dev/sdb
Achtung: Das erste Kommando bezieht
sich auf die Partition »/dev/sdb1«, das
zweite aber auf das Device »/dev/sdb«.
Neuere Syslinux 4.* Versionen, wie sie
bei den aktuellen Linux-Distributionen,
enthalten sind, eignen sich für diese
Schritte übrigens nicht.
Als Nächstes mountet man das soeben
auf dem USB-Stick erstellte Dateisystem
sowie das zuvor erstellte ESXi-ISO-Installationsimage.
Der Aufruf
cp ‐r /mnt/esxi‐cdrom/* /mnt/usbdisk/
kopiert alle Daten auf den USB-Stick.
Dort ist dann die Datei »isolinux.cfg« in
»syslinux.cfg« umzubenennen. In dieser
Datei muss man in der Zeile »APPEND
‐c boot.cfg« noch den Parameter »‐p 1«
ergänzen. Dann noch unmounten: Fertig
ist der ESXi-Installations-Stick.
VIBs nachinstallieren
Ist ein ESXi-Host installiert, lassen sich
VIBs mit dem »esxcli«-Kommando nachträglich
installieren. Das Kommando
lässt sich direkt in einer ESXi-Shell auf
dem Host ausführen. Wenn auf einem
entfernten Rechner das vSphere CLI [6]
installiert ist, ist der Aufruf von Esxcli
auch von dort aus möglich.
Die Installation eines VIBs erfolgt mit
»esxcli software vib install ‐v VIB‐URL«.
Bei der VIB-URL sind Zugriffe über
HTTP, HTTPS, FTP und lokal auf dem
ESXi-Host gespeicherte VIBs möglich.
Wird das Esxcli remote per vSphere-CLI
aufgerufen, sind die Parameter »‐s« für
Fazit
VMware hat mit dem vSphere ESXi Image
Builder ein wertvolles Tool geschaffen,
um Images für die ESXi-Installation mit
aktuellen Treibern und anderen Softwarekomponenten
auszustatten. Es gibt
den Image Builder nur für Windows,
doch da der vSphere-Client ausschließlich
unter Windows läuft, kommt man
ohne das Betriebssystem von Microsoft
in einer VMware-Umgebung ohnedies
nicht aus. Dass die Installation nun auch
einfach ohne CD/​DVD-Laufwerk klappt,
wird außerdem viele Administratoren
freuen. (ofr)
n
Infos
[1] ESXi 5.0 auf USB-Stick installieren:
[http:// tkwiki. cc/ ESXi‐5‐USB‐Stick]
[2] PowerCLI:
[http:// www. vmware. com/ go/ PowerCLI]
[3] Thomas Joos, Geschenkter Gaul, Virtualisierung
kostenlos mit VMware vSphere,
ADMIN 2/​2012, S. 113
[4] ESXi 5.0 vom USB-Stick aus installieren:
[http:// tkwiki. cc/ ESXi‐5‐Install‐Stick]
[5] Syslinux 3.86: [http:// www. kernel. org/ pub/​
linux/ utils/ boot/ syslinux/ 3. xx/]
[6] vSphere CLI: [http:// www. vmware. com/​
support/ developer/ vcli/]
[7] vSphere CLI installieren:
[http:// tkwiki. cc/ vCLI]
Abbildung 4: Die nachträgliche Installation des VIB für den LSI CIM-Provider klappt, für die Aktivierung ist ein
Reboot erforderlich.
Der Autor
Werner Fischer ist seit 2005 Technology Specialist
bei der Thomas-Krenn.AG und Chefredakteur
des Thomas Krenn Wikis.
Seine Arbeitsschwerpunkte
liegen in den Bereichen
Hardware-Monitoring, Virtualisierung,
I/​O-Performance
und Hochverfügbarkeit.
112 Ausgabe 03-2012 Admin www.admin-magazin.de

Linux-Magazin
ACADEMY
LPIC-1
All-in-One Solution
✓
✓
✓
Stellen Sie Ihr Linux-Wissen mit
einer Zertifizierung unter Beweis!
Nutzen Sie die volle Flexibilität bei
der Zeiteinteilung Ihrer Schulung!
Holen Sie sich alles, was Sie
benötigen, in einem Paket!
LPIC-1 Komplettpaket* nur € 1.490
*Zertifizierung als „Junior Level Linux Professional“
100% flexibel!
Weitere Infos: academy.linux-magazin.de/solution

Virtualisierung
Virtualbox
© flashpics, Fotolia
Servervirtualisierung mit Virtualbox
Trennkost
Auf Desktops wird Virtualbox gerne zur Virtualisierung eingesetzt. Der folgende Artikel zeigt, wie sich Virtualbox
auch auf einem Linux-Server betreiben lässt – und zwar mit dem von der grafischen Benutzeroberfläche gewohnten
Komfort. Thomas Zeller
Listing 1: Extension-Pack installieren
01 $ vboxmanage ‐v
01 4.1.12r77245
01 $ wget http://download.virtualbox.org/
virtualbox/4.1.12/Oracle_VM_Virtualbox_Extension_
Pack‐4.1.12‐77245.vbox‐extpack
01 $ sudo vboxmanage extpack install Oracle_VM_
Virtualbox_Extension_Pack‐4.1.12‐77245.vbox‐extpack
Oracles kostenlose Virtualisierungslösung
Virtualbox ist eigentlich für den
Einsatz auf dem Desktop gedacht. Denn
die Verwaltung virtueller Maschinen erfolgt
über eine GUI, die sich nur lokal
und nicht übers Netzwerk verwenden
lässt. Alternativ steht zwar ein Kommandozeilenbefehl
zur Verfügung, diese Möglichkeit
ist aber wenig komfortabel. Mit
den hier vorgestellten Tools lassen sich
Virtualbox-VMs auf dem Server bequem
fernsteuern.
Virtualbox bietet gegenüber anderen
Virtualisierungslösungen eine Reihe von
Vorteilen: So steht das Programm beispielsweise
für die wichtigsten Plattformen
wie Windows, Linux, Mac OS X und
Solaris kostenfrei zur Verfügung und unterstützt
darüber hinaus eine breite Zahl
von Gastsystemen, darunter auch Exoten
wie DOS/​Win 3.1 und OS/​2.
Die Installation von Virtualbox geht auf
allen Plattformen leicht von der Hand,
da dazu in der Regel nur eine Setup-
Datei ausgeführt beziehungsweise ein
Paket in das System eingespielt werden
muss. Virtualbox stellt keine gehobenen
Ansprüche an die Hardware und benötigt
weder Intel VTx / AMD-V noch einen
speziellen Linux-Kernel und bietet dank
eigener Gasterweiterungen dennoch gute
Performance. Mit dem VRDP-Protokoll
(Virtualbox RDP, Abbildung 1) verfügt
Virtualbox außerdem über eine integrierte
grafische Schnittstelle zu allen virtuellen
Maschinen: Ein RDP-Client reicht
aus, um unabhängig vom verwendeten
Gastbetriebssystem über das Netzwerk
auf VMs zuzugreifen.
Bis Version 4.0 existierte von Virtualbox
eine kommerzielle und eine Open-Source-
Version (OSE). Letztere wurde von den
Linux-Distributoren häufig bereits über
die Repositories zur Verfügung gestellt,
sodass Anwender diese einfach über
die Paketquellen einspielen konnten.
Seit Version 4.0 hat Oracle diese beiden
Versionen nun in einem Binary zusammengeführt,
das auf der Virtualbox-Website
[1] zum Download bereitsteht. Für
Linux-Anwender stellt Oracle unter [2]
weiterhin Repositories für diverse Linux-
Distributionen zur Verfügung.
Nicht frei, aber kostenlos
Die nicht freien Bestandteile wie der Support
für USB-2.0-Geräte, der VRDP-Server
und PXE-Boot für Intel-Netzwerkkarten,
wurden in den sogenannten Extension
Pack ausgelagert. Nicht frei bedeutet
hier, dass Oracle den Sourcecode für
diese Funktionen nicht freigegeben hat.
114 Ausgabe 03-2012 Admin www.admin-magazin.de

Virtualbox
Virtualisierung
Gleichwohl ist der Extension Pack ebenfalls
kostenfrei.
Für den Betrieb auf Geräten ohne grafische
Oberfläche kann Virtualbox virtuelle
Maschinen im sogenannten Headless-Mode
starten. Derart gestartete VMs
werden automatisch mit VRDP-Unterstützung
ausgestattet, sodass ein Netzwerk-
Zugriff auf das in der virtuellen Maschine
laufende System mit einem RDP-Client
möglich ist.
Installation
Im Test-Szenario haben wir Virtualbox
auf einem Ubuntu 10.04.4 LTS (Lucid
Lynx) Server in der 64-Bit-Version installiert.
Nur wenn auf dem Host ein
64-Bit-Kernel läuft, lassen sich später
auch 64-Bit-VMs anlegen. Die Installation
geht am schnellsten, wenn Sie die
Virtualbox-Paketquelle erst in der Datei
»sources.list« eintragen:
sudo sh ‐c 'echo "# Virtualbox repositoryU
Ubuntu 10.04 LTS Lucid deb http://download.U
virtualbox.org/virtualbox/debian lucid U
contrib" >> /etc/apt/sources.list'
und dann den GPG-Key dem Schlüsselbund
hinzufügen:
sudo apt‐key adv ‐‐recv‐keys ‐‐keyserver U
keyserver.ubuntu.com 98AB5139
Nun aktualisieren Sie die Paketliste und
installieren Virtualbox 4.1:
apt‐get update && apt‐get install U
virtualbox‐4.1
Für die VRDP-Unterstützung benötigen
Sie noch den zur Virtualbox-Version pas-
senden Extension-Pack. Zur Sicherheit
sollten Sie daher mit
vboxmanage ‐v
noch einmal die Version überprüfen und
dann den Extension-Pack von [http://​
download. virtualbox. org/ virtualbox/]
herunterladen und installieren. Für unseren
Testserver sieht die Vorgehensweise
dazu wie in Listing 1 aus.
Im Prinzip war es das schon, und Virtualbox
läuft jetzt bereits auf Ihrem Server.
Virtualbox zu Fuß
Da auf dem Linux-Server keine grafische
Benutzeroberfläche zur Verfügung steht,
bleibt nur die Bedienung mithilfe der
Kommandozeile. Dreh- und Angelpunkt
ist dabei der Befehl »vboxmanage«, der
mit dem Parameter »‐h« aufgerufen nicht
weniger als 448 Zeilen an Kommandos
und Parametern liefert. Bereits mit wenigen
lassen sich virtuelle Maschinen
anlegen, klonen, löschen und ändern
sowie Snapshots erstellen. Erschöpfend
Auskunft dazu gibt Kapitel 8 der Virtualbox
Online-Hilfe [3].
Wer das umständlich findet, nutzt alternativ
einfach ein am Arbeitsplatz installiertes
Virtualbox (egal, auf welchem
Betriebssystem) in der gleichen Version,
um sich die VMs für den Server nach
Bedarf zusammenzuklicken. Natürlich
muss die Konfiguration – zum Beispiel
des Netzwerks – auf die Konfiguration
des späteren Hosts abgestimmt werden.
Die VM kann dann leicht über das Hauptmenü
»Datei / Appliance exportieren«
mitsamt der virtuellen Festplatte in eine
».ova«-Datei exportiert werden. Verwenden
Sie dagegen die Extension ».ovf«,
werden Konfigurationsdatei und virtuelle
Disk in jeweils eigene Dateien exportiert.
Ist die VM erst einmal auf den Server
kopiert, können Sie sie dort mit dem Befehl
vboxmanage import meine‐vm.ova
gleich wieder importieren. Zum Starten
der virtuellen Maschine auf dem Server
genügt dann
vboxmanage startvm UUID/Name
Wer sich beim Namen oder der UUID für
die VM nicht mehr ganz sicher ist, kann
diese Information leicht mit dem Befehl
vboxmanage list vms
herausfinden.
Virtualbox grafisch übers
Netzwerk bedienen
Nicht immer will man alle Arbeiten mit
Virtualbox auf dem Server über die Kommandozeile
erledigen. Alternativ dazu
gibt es das grafische Webfrontend PHP-
Virtualbox [4] von Ian Moore, das die
Steuerung über einen Webbrowser erlaubt.
PHP-Virtualbox bildet die Virtualbox-GUI
bis ins Detail mithilfe der Ajax-
Technologie im Browser nach (Abbildung
2), sodass man gegenüber der gewohnten
Bedienung des nativen GUI praktisch
keine Abstriche machen muss. Allerdings
eignet sich PHP-Virtualbox nicht dazu,
C13
Abbildung 1: Dank VRDP-Unterstützung kann man mit PHP-Virtualbox auch direkt im Browser auf die Konsole
der virtuellen Maschinen zugreifen.
www.admin-magazin.de
Admin
Ausgabe 03-2012
115

Virtualisierung
Virtualbox
Danach starten Sie »vboxwebsrv« mit
dem Befehl
sudo /etc/init.d/vboxweb‐service start
und sorgen mit
sudo update‐rc.d vboxweb‐service defaults
Abbildung 2: PHP-Virtualbox bildet mit seiner Ajax-Oberfläche exakt die aus dem nativen GUI bekannten
Funktionalitäten ab.
dafür, dass der Dienst auch nach einem
Reboot automatisch startet. Jetzt installieren
Sie die benötigten Pakete für PHP-
Virtualbox (Listing 2). Hat alles geklappt,
wechseln Sie ins Verzeichns »/var/www«
und laden dort mit dem folgenden Befehl
die neueste stabile Version von der PHP-
Virtualbox-Projektseite herunter:
wget http://phpvirtualbox.googlecode.com/U
files/phpvirtualbox‐4.1.17.zip
einen Hosted Service aufzubauen, bei
dem mehrere Benutzer unterschiedliche
Berechtigungen für die verschiedenen
VMs erhalten sollen: Der Administrator
hat über PHP-Virtualbox immer die volle
Kontrolle über alle VMs auf dem Host.
Unverschlüsselt
PHP-Virtualbox bedient sich für die
Kommunikation mit dem Virtualbox-
Host der SOAP-Schnittstelle von Oracle,
die den Namen »vboxwebsrv« trägt. In
Kombination mit einem lokal installierten
Apache2-Webserver mit PHP-5-Unterstützung
ist das Team dann komplett. Prinzipiell
könnten der Virtualbox-Host und
der Apache mit PHP-Virtualbox auch auf
zwei getrennten physikalischen Maschinen
installiert werden.
Da Oracles »vboxwebsrv« allerdings
keine Verschlüsselung vorsieht, erfolgt
die Kommunikation und damit die Übertragung
des Passworts vom Webserver
zum Virtualbox-Host unverschlüsselt.
Virtualbox ordnet VMs nicht global dem
System, sondern immer dem User zu,
der die VM erstellt hat. Daher legen Sie
Listing 2: Pakete für PHP-Virtualbox
01 sudo apt‐get install apache2‐mpm‐prefork
apache2‐utils apache2.2‐bin apache2.2‐common apache2
apache2‐mpm‐prefork apache2‐utils apache2.2‐bin
apache2.2‐common apache2‐doc apache2‐suexec
libapache2‐mod‐php5 libapr1 libaprutil1
libaprutil1‐dbd‐sqlite3 libaprutil1‐ldap libapr1
libaprutil1 libaprutil1‐dbd‐sqlite3 libaprutil1‐ldap
php5‐common php5‐common php5‐mysql php5‐suhosin
php‐pear wget
als Erstes einen geeigneten Benutzer und
eine Gruppe für diesen an. Hier sollen der
Benutzer »vbox« und die Gruppe »vboxusers«
heißen. Unter Ubuntu erledigen
das die Aufrufe
sudo groupadd vboxusers
sudo useradd ‐m vbox ‐G vboxusers
Die virtuellen Maschinen werden später
in »/home/vbox/VM« angelegt. Abschließend
geben Sie dem neuen Benutzer mit
»sudo passwd vbox« noch ein Passwort.
Bevor Sie PHP-Virtualbox konfigurieren,
müssen Sie zunächst noch den Apache-
Server, PHP und einige weitere Pakete
installieren und den »vboxwebsrv« einrichten.
Dazu erstellen Sie mit dem Editor Ihrer
Wahl die Datei »/etc/default/virtualbox«
und tragen hier den Benutzer »vbox«
ein:
VBOXWEB_USER=vbox
Apache absichern
Bleibt noch zu erwähnen, dass die Kommunikation
mit dem Webserver beim aktuellen Stand
der Konfiguration noch unverschlüsselt läuft.
Sie sollten daher die Verbindung zum Apache
per SSL verschlüsseln, zur Einrichtung von
»mod_ssl« gibt der Ubuntu-Server-Guide unter
[5] erschöpfend Auskunft. Wem das zu viel
Aufwand ist, der kann die Verbindung zum Webserver
natürlich auch über andere Verschüsselungstechnologien
wie SSH oder über ein VPN
absichern. In diesem Fall sollte man natürlich
darauf achten, dass der Apache nur vom lokalen
Host und nicht über das Internet erreichbar ist.
Dazu genügt es, in »/etc/apache2/ports.conf«
den Eintrag
Nach dem Entpacken mit
sudo unzip phpvirtualbox‐*.zip
finden Sie das neue Verzeichnis »phpvirtualbox‐4.1‐7«
in »/var/www«. Der Einfachheit
halber ändern Sie den Verzeichnisnamen
auf »phpvirtualbox«, um sich
später unnötige Tipparbeit zu ersparen.
Leicht gemacht
Zuletzt müssen Sie noch den Benutzernamen
und das Passwort in die Konfigurationsdatei
von PHP-Virtualbox eintragen.
Glücklicherweise liefert der Entwickler
gleich eine passende Vorlage mit, die Sie
einfach kopieren:
sudo cp /var/www/phpvirtualbox/config.U
php‐example /var/www/phpvirtualbox/config.php
und danach die beiden Zeilen mit den
Account-Daten in der Datei »/var/www/
phpvirtualbox/config.php« hinzufügen
NameVirtualHost *:80
Listen 80
wie folgt zu ändern:
NameVirtualHost *:80
Listen 127.0.0.1:80
Ein SSH-Tunnel für den Zugriff, auf den dann nur
noch lokal erreichbaren Apache, ist ebenfalls
schnell eingerichtet:
ssh ‐L 8080:127.0.0.1:80
user@IP‐Adresse‐des‐Virtualbox‐Host
Danach können Sie sich mit dem Browser unter
der Adresse »http://localhost:8080/phpvirtualbox«
an PHP-Virtualbox anmelden.
116 Ausgabe 03-2012 Admin www.admin-magazin.de

Virtualbox
Virtualisierung
Die Lösung ist Vboxtool, eine Reihe von
Wrapper-Skripten für das Virtualbox
CLI »vboxmanage«, die beispielsweise
den automatischen Start und Stopp einzelner
oder aller virtuellen Maschinen
emöglichen, wenn der Host-Rechner
gestartet oder heruntergefahren wird
( Abbildung 3).
Mit Vboxtool können Sie sich weiterhin
Informationen zum Status aller oder nur
der laufenden virtuellen Maschinen ausgeben
lassen, oder auch Massenoperativar
$username = 'vbox';
var $password = 'Passwort‐des‐Users‐vbox';
Jetzt können Sie im Webbrowser unter
der Adresse »http://Hostname/phpvirtualbox«
bereits auf PHP-Virtualbox
zugreifen.
Bei der ersten Anmeldung melden Sie
sich dort mit dem Benutzer »admin« und
dem Passwort »admin« an und stellen
unter »File | Preferences | Language« als
Sprache Deutsch ein.
Als Nächstes legen Sie unter »Ablage |
Globale Einstellungen | Benutzer« den
Benutzer »vbox« an, weisen ihm administrative
Rechte zu und vergeben ein
Passwort für die Anmeldung am Webinterface.
Den Benutzer »admin« löschen
Sie danach am besten gleich oder ändern
zumindest dessen Passwort auf ein
sicheres. Über die Web-GUI von PHP-
Virtualbox können Sie Virtualbox nun
vollständig über das Netzwerk steuern,
wie Sie es vom nativen Client gewohnt
sind. Doch so einfach die Arbeit mit PHP-
Virtualbox auch ist, leider sieht die API
von Virtualbox keinen automatischen
Start und Stopp von VMs beim Systemstart
oder Shutdown das gastgebenden
Systems vor. Das ist unschön, und wir
müssen nochmal in die Werkzeugkiste
greifen, um den Betrieb des Virtualbox-
Hosts weitestgehend zu automatisieren.
Vboxtool
onen auf der Kommandozeile mit einem
einzigen Befehl ausführen. So genügen
etwa die Befehle
vboxtool start
vboxtool stop
vboxtool save
vboxtool backup
um alle virtuellen Maschinen auf einmal
zu starten, zu stoppen, in den
»save‐mode« zu versetzen oder von den
VMs automatisch ein Backup mithilfe
von »rsync« zu erstellen. Bei der Ausführung
des Backup-Befehls kümmert sich
Vboxtool auch darum, dass die Maschine
automatisch in den gesicherten Modus
versetzt und nach dem Kopieren wieder
gestartet wird.
Die Installation von Vboxtool ist ein
Kinderspiel: Laden Sie zunächst das
ZIP-Archiv von der Projektseite unter
[6] herunter, entpacken Sie den Inhalt
zunächst in Ihr Home-Verzeichnis auf
dem Server
E
Zur Verstärkung unseres Teams suchen wir ab sofort:
WEBHOSTING · SCHULUNGEN · SUPPORT
Die Mittwald CM Service GmbH & Co KG ist einer der führenden Webhosting-Anbieter für Agenturen und Unternehmen im deutschsprachigen Raum.
Neben sehr guten beruflichen Perspektiven bieten wir als ein Familienunternehmen mit langer Tradition ein hohes Maß an Eigenständigkeit in
einem hoch motivierten Team.
LINUX Systemadministrator (m/w)
Ihre Aufgaben:
Als Mitarbeiter in der Systemadministration bzw. Systementwicklung
realisieren Sie im Team innovative Serverlösungen für unsere Hostingkunden.
Darüber hinaus gehören Wartung und Optimierung unserer
Systeme sowie die Automatisierung wieder kehrender Tätigkeiten zu Ihrem
Aufgabengebiet.
Netzwerkadministrator (m/w)
Ihre Aufgaben:
In dieser Position sind Sie für den Betrieb, die Überwachung und die Optimierung
der hochredundanten Netzwerkinfrastruktur im Rechenzentrum
zuständig. Sie arbeiten im Team neue Lösungen aus und sind kompetenter
Ansprechpartner für andere administrative Abteilungen.
Ihr Profil:
Sie besitzen umfangreiche Kenntnisse im Umgang mit Apache
Webservern sowie MySQL Datenbanken. Darüber hinaus verfügen Sie über
praktische Erfahrungen im Erstellen von Shell-Skripten. Analytisches
Denkvermögen und Kreativität helfen Ihnen bei der Entwicklung neuer
Systemlösungen.
Ihr Profil:
Sie besitzen gute bis sehr gute Kenntnisse in den Bereichen IP-Routing
sowie Switching und Ihnen sind Begriffe wie BGP und MPLS vertraut. Sie
haben optimalerweise Erfahrungen mit F5 und Juniper Hardware gesammelt
und fühlen sich bei der Fehlersuche auch unter Zeitdruck sehr wohl.
Wir freuen uns auf Ihre aussagekräftige E-Mail Bewerbung an jobs@mittwald.de
Kontakt: Mittwald CM Service GmbH & Co KG · Frau Sonja Brinkmann · Königsberger Straße 6 · 32339 Espelkamp
Weitere Informationen erhalten Sie unter www.mittwald.de/jobs
www.admin-magazin.de
Admin
Ausgabe 03-2012
117

Virtualisierung
Virtualbox
VM‐Name,VRDP‐Port
Abbildung 3: Vboxtool vereinfacht das Management virtueller Maschinen auf einem Virtualbox-Host. Mit
einem einzigen Befehl kann man sich den Status der VMs anzeigen lassen sowie diese starten, stoppen oder
per Rsync sichern.
unzip vboxtool‐0.4.zip
und kopieren Sie das Haupt-Skript dann
nach /usr/​local/​bin
sudo cp ~/script/vboxtool /usr/local/bin
Jetzt muss das Skript noch ausführbar
gemacht werden:
sudo chmod +x /usr/local/bin/vboxtool
Genauso gehen Sie danach mit dem Init-
Skript vor:
sudo cp script/vboxtoolinit /etc/init.d
sudo chmod +x /etc/init.d/vboxtoolinit
das Sie zum Abschluss noch für die entsprechenden
Runlevels aktivieren:
sudo update‐rc.d vboxtoolinit defaultsU
99 10
Die Konfiguration von Vboxtool basiert
auf zwei Dateien, für die Sie zunächst in
»/etc« ein Verzeichnis anlegen:
sudo mkdir /etc/vboxtool
Mit dem Editor Ihrer Wahl erstellen Sie
dort die Datei »vboxtool.conf«. Diese
enthält dann nur den Benutzernamen,
mit dessen Rechten Vboxtool ausgeführt
Tabelle 1: Vboxtool
Kommando
vboxtool show
vboxtool showrun
vboxtool showconfig
vboxtool start
[session]
vboxtool save
[session]
vboxtool stop
[session]
voboxtool backup
[session]
wird. Im Beispiel soll dies ebenfalls der
User »vbox« sein:
vbox_user='vbox'
Optional können Sie in dieser Datei auch
ein abweichendes Backup-Verzeichnis
angeben, in welches die virtuellen Maschinen
später automatisch gesichert
werden können. Auf diese Weise kann
man virtuelle Maschinen problemlos
über das Netzwerk, zum Beispiel auf ein
NAS oder eine Freigabe auf einem anderen
Server sichern. A
llerdings müssen Sie darauf achten, dass
der betreffende Benutzer in dem hier
angegebenen Verzeichnis auch über die
entsprechenden Schreibrechte verfügt.
backup_folder=/home/user/vboxbackup
Wenn Sie keinen Backup-Ordner explizit
angeben, werden die Backups im jeweiligen
Verzeichnis der VMs erstellt. Damit
VboxTtol weiß, für welche VMs es ab
sofort zuständig ist, legen Sie die Datei
/etc/vboxtool/machines.conf
an. In dieser Konfigurationsdatei tragen
Sie für jede virtuelle Maschine auf Ihrem
Host eine eigene Zeile im folgenden
Format ein:
Funktion
Zeigt den Status aller VMs an.
Zeigt nur den Status der gerade laufenden virtuellen Maschinen an.
Zeigt den Inhalt der Konfigurationsdateien an.
Ohne Parameter werden alle in »/etc/vboxtool/machines.conf« angelegten
VMs gestartet, sonst die jeweilige Session.
Wie oben, alle oder nur eine bestimmte virtuelle Maschine werden in den
Modus „Gesichert“ versetzt.
Wie oben, alle oder nur eine bestimmte VM werden gestoppt.
Alle oder nur eine bestimmte VM werden zunächst in den Modus „Gesichert“
versetzt und dann per Rsync in das in der Datei »/etc/vboxtool/
vboxtool.conf« definierte Backup-Verzeichnis gesichert.
Wichtig hierbei: Vor und nach dem
Komma dürfen sich keine Leerzeichen
befinden.
Auf unserem Testserver sieht »/etc/vboxtool/machines.conf«
entsprechend wie
folgt aus
zarafa,3389
WindowsXP,3390
Die so aufgeführten Maschinen werden
nun von Vboxtool beim Start des Hostsystems
automatisch gestartet und beim
Shutdown wieder gestoppt. Die in Tabelle
1 aufgeführten Befehle stehen nun zur
Steuerung der VMs zur Verfügung:
Fazit
Virtualbox ist eine echte Alternative
zu den etablierten und meist wesentlich
komplexeren Virtualisierungsumgebungen
von VMware und Co.
Zwar ist Virtualbox eigentlich für den
Einsatz auf dem Desktop gedacht, jedoch
lässt sich der Hypervisor im sogenannten
Headless-Mode auch ohne grafische
Oberfläche steuern.
Die fehlende Netzwerkfähigkeit des
Virtualbox GUI lässt sich durch den Einsatz
zweier Open-Source-Projekte vollständig
kompensieren. (ofr)
n
Infos
[1] Virtualbox: [http:// www. virtualbox. org]
[2] Linux-Downloads: [https:// www. virtualbox.​
org/ wiki/ Linux_Downloads]
[3] Kommandoreferenz für Vboxmanage:
[http:// www. virtualbox. org/ manual/ ch08.​
html]
[4] PHP-Virtualbox:
[http:// code. google. com/ p/ phpvirtualbox]
[5] Ubuntu-Apache-Dokumentation:
[https:// help. ubuntu. com/ 10. 04/​
serverguide/ C/ httpd. html]
[6] Vboxtool: [http:// sourceforge. net/ projects/​
vboxtool/ files/ vboxtool/ 0. 4/]
Der Autor
Thomas Zeller beschäftigt sich seit 15 Jahren
mit IT-Sicherheit und Open Source. Er ist Autor
/ Co-Autor der Bücher „OpenVPN kompakt“ und
„Mindmapping mit Freemind“. Im richtigen Leben
ist er Geschäftsführer eines mittelständischen
IT-Systemhauses.
118 Ausgabe 03-2012 Admin www.admin-magazin.de

Alle AusgAben der letzten 12 MonAte
Sie haben ein admin verpaSSt? Kein problem!
bei uns können Sie alle ausgaben des admin magazin
der letzten 12 monate ganz einfach und versandkostenfrei
unter www.admin-magazin.de/einzelheft nachbestellen:
admin 03/2011 admin 04/2011 admin 05/2011
admin 06/2011 admin 01/2012 admin 02/2012
damit Sie keine ausgabe mehr verpassen,
bestellen Sie am besten gleich ein abo
vom admin magazin und sparen:
Telefonisch unter: 07131 / 2707 274,
per Fax: 07131 / 2707 78 601 oder
E-Mail: abo@admin-magazin.de,
Web: www.admin-magazin.de/abo

Programmieren
Python-RPMs
© Oleg Zhukov, 123RF
RPM-Pakete von und für Python
Eingepackt
Um auf einem Linux-System Ordnung zu halten, verwendet jede Distribution
ein System zum Paketmanagement. Skriptsprachen wie Python
verwalten ihre Pakete aber selbst, was dann ins Chaos führt. Dieser Artikel
weist auf RPM-basierten Systemen einen Ausweg. Oliver Frommel
Wer einmal mehr als oberflächliche Bekanntschaft
mit einer Skriptsprache unter
Linux gemacht hat, kennt das Problem:
Jede kocht, was das Management von
Modulen und Bibliotheken betrifft, ihr
eigenes Süppchen. Da haben die Distributoren
viel Mühe aufgewendet, um
mit Dpkg/​Apt und RPM alle Dateien in
Pakete zu packen, die sich einfach installieren
und wieder entfernen lassen, doch
die Programmiersprachen machen nicht
mit. Perl hat schon seit Urzeiten sein
CPAN-Interface, Ruby seine Gems, PHP
will statt Äpfel lieber Birnen und setzt
auf Pear. Die Lua-Gemeinde ist sich noch
uneinig und bietet neben Luarocks noch
Luadist, selbst Node.js, der neueste Hype
der Webwelt, hat mit NPM ein eigenes
Paketsystem zu bieten.
Wenn eine Linux-Distribution eine der
Sprachen ausliefert, sind oft auch wichtige
Bibliotheken im distributionseigenen
Format vorhanden, doch früher oder später
braucht man ein Modul, das im Repository
fehlt. Dies lässt sich zwar leicht
installieren, doch dann ist die schöne Konsequenz
des Paketmanagements dahin.
Bei einem Upgrade oder einer Migration
muss man sich mindestens eine Liste der
installierten Skript-Module machen und
sie dann erneut von Hand installieren.
Eier legen
In der Python-Community sind Erweiterungsmodule
auch als Eggs [1] bekannt,
die früher über das Tool »easy_install«
[2] verwaltet wurden, wenn man das so
nennen will, denn außer der Installation
beherrscht es wenige Funktionen. Zum
Beispiel kann es nicht die installierten
Pakete auflisten oder wieder entfernen.
Mittlerweile wurde es von »pip« [3] abgelöst,
das in dieser Beziehung mehr zu
bieten hat. Beide Tools können jedoch
Abhängigkeiten auflösen und die geforderten
Pakete direkt aus dem Netz laden
und anschließend installieren.
Zentrale Anlaufstelle für alle Bedürfnisse
rund um Python-Module ist der Python
Package Index (PyPI, [4]), informell auch
Cheeseshop genannt – gerne benennen
Python-Programmierer ihre Werkzeuge
nach Gegenständen aus der Welt von
Monty Python, den Namenspatronen der
Sprache [5]. Wenn Sie zum Beispiel die
Bibliothek Cloth installieren möchten, die
virtuelle Maschinen der Amazon-Cloud
EC2 fernsteuern kann, verwenden Sie
dazu den folgenden Befehl:
pip install cloth
Sie müssen ihn allerdings mit Root-Rechten
ausführen, denn das kleine Programm
will in die Python-Modulverzeichnisse
schreiben, die typischerweise in »/usr/
lib/pythonVersion«, »/usr/lib64/python-
Version« und so weiter liegen. Im konkreten
Fall installiert »pip« zusätzlich noch
die benötigten Python-Module »fabric«
und »ssh«. Bei Fedora Linux heißt Pip,
wenn man es über den Paketmanager
installiert, übrigens »python‐pip«, das zugehörige
Kommando aber »pip‐python«.
Eine Liste der installierten „Eier“ zeigt
»pip freeze«, das Upgrade eines Pakets
spielt man per »pip install ‐U Paketname«
ein. Entfernen lässt sich ein Modul mit
»pip uninstall Paketname«.
Spätestens jetzt ist aber der Punkt erreicht,
an dem es unübersichtlich wird:
Manche der Eggs, die sich etwa auf dem
120 Ausgabe 03-2012 Admin www.admin-magazin.de

Python-RPMs
Programmieren
Fedora-System in »/usr/lib/python2.7/
site‐packages/« befinden, wurden mit
dem RPM-Paketmanager des Systems
installiert; die anderen mit Pip, aber von
denen weiß RPM nichts, wie ein Aufruf
von »rpm ‐qf« zeigt (Listing 1).
Das Problem lässt sich dadurch lösen,
dass man von den benötigten Python-Modulen
eigene RPM-Pakete baut und diese
auf dem System installiert, statt direkt Pip
zu verwenden. Das ist etwas aufwendiger,
doch wenn man eine größere Zahl
von Produktionssystemen betreut, auf die
man kontrolliert und regelmäßig Python-
Module installieren möchte, lohnt sich
der Aufwand.
Phasenweise
Im Prinzip unterscheiden sich RPM-
Pakete mit Python-Modulen nur wenig
von solchen mit Binärprogrammen: Das
sogenannte Spec-File enthält die Metadaten
für das Paket und legt fest, welche Dateien
enthalten sind, und wo sie auf dem
Zielsystem landen sollen. Anders sind
nur die Phasen der Konfiguration und
der Übersetzung. Wo Binärprogramme
heute meistens Autoconf verwenden, um
den Quellcodebaum vorzubereiten, gibt
es bei Python dafür andere Mittel. Die bei
C-Programmen obligatorische Compile-
Phase fällt bei Python-Modulen oft weg –
allerdings gibt es auch Module, die kleine
C-Bibliotheken compilen.
Zu Beginn sind die gleichen Voraussetzungen
zu erfüllen, wie sie beim Bauen
von RPM-Paketen immer nötig sind. Als
Administrator Root zu arbeiten, ist weder
ratsam noch notwendig. Also legen Sie
sich als gewöhnlicher Benutzer im Home-
Verzeichnis ein Verzeichnis »rpmbuild«
mit den Unterverzeichnissen »BUILD«,
»RPMS«, »SOURCES«, »SPECS« und »SR-
PMS« an. Das lässt sich mit einem einzigen
Befehl erledigen:
mkdir ‐p ~/rpmbuild/{BUILD,RPMS,SOURCES,U
SPECS,SRPMS}
Typischerweise verwenden die RPM-
Tools standardmäßig diese Einstellungen.
Tun sie das nicht, hinterlegen Sie das
entsprechende Makro »%_topdir« in der
Einstellungsdatei »~/.rpmmacros«:
echo '%_topdir %(echo $HOME)/rpmbuild' U
>> ~/.rpmmacros
Makros sind mit einem Prozentzeichen
gekennzeichnet und können auch Befehle
enthalten.
Die Programme, die nötig sind, um
RPMs zu bauen, stecken im Paket
»rpm‐build«. Weitere wichtige Makros
und andere Einstellungen finden sich in
»redhat‐rpm‐config«. Auch die Python-
Entwicklungspakete sollten Sie bei der
Gelegenheit gleich installieren:
yum install rpm‐build redhat‐rpm‐config U
python‐devel python‐setuptools
Damit sind alle Voraussetzungen erfüllt,
und Sie können daran gehen, die Spec-
Datei für das Paket zu schreiben.
Ran an den Spec
Wer auf Fedora Linux mit dem Vim-Editor
eine Datei mit der Endung ».spec«
öffnet, hat es einfach, denn er bekommt
ein leeres Template für Spec-Dateien präsentiert
(Abbildung 1). Zur Veranschaulichung
soll im Folgenden zunächst ein
RPM-Paket für ein selbst geschriebenes
Python-Tool entstehen, das aus einem
Skript, einer Glade-Datei für die GUI und
einer Konfigurationsdatei besteht. Nach
der Installation des Pakets sollen die Dateien
an folgenden Stellen auf dem Dateisystem
liegen.
/etc/encoder.cfg
/usr/bin/encoder‐gui
/usr/share/encoder/encoder‐gui.glade
Wer dies nachmachen möchte, kann dazu
einfach beliebige Dateien verwenden und
entsprechend benennen.
Der »Name« (erste Zeile der Spec-Datei)
soll »encoder« lauten, die »Version« ist
»1.0«. Die darauf folgende Release-Zahl
ist spezifisch für das RPM-Paket und soll
dazu dienen, dass es für ein und dieselbe
Upstream-Version einer Software mehrere
RPMs geben kann, etwa für distributionsspezifische
Updates. Die »Summary« gibt
eine kurze Beschreibung der Software,
dann folgt die Anwendungsgruppe, in die
sie eingeordnet werden soll. Im Beispiel
soll es »Applications/Multimedia« sein,
da es sich um einen einfachen Video-
Encoder handelt. Listen existierender
Gruppen für Fedora und Open Suse finden
sich unter [6] und [7]. Dann folgen
die Lizenz und eine URL für das zu
paketierende Projekt.
Interessanter wird es beim Eintrag
»Source0«. Hierher gehört meistens ein
Tar-Paket, in dem sich der Quellcode des
Programms verbirgt und das das Build-
Abbildung 1: Praktisch: Unter Fedora bringt der Vim-Editor ein Template für Spec-Files mit.
Listing 1: Uneinheitlich
01 $ rpm ‐qf /usr/lib/python2.7/site‐packages/
virtinst‐0.600.1‐py2.7.egg‐info
02 python‐virtinst‐0.600.1‐1.fc16.noarch
03 $ rpm ‐qf /usr/lib/python2.7/site‐packages/
cloth‐0.2‐py2.7.egg‐info/
04 Die Datei /usr/lib/python2.7/site‐packages/
cloth‐0.2‐py2.7.egg‐info gehört zu keinem Paket
www.admin-magazin.de
Admin
Ausgabe 03-2012
121

Programmieren
Python-RPMs
Skript im Verzeichnis »SOUR-
CES« erwartet. Im Beispiel ist
es die Datei »encoder‐1.0.tar.
gz«, die folgende Dateien enthält:
$ tar tfz encoder‐1.0.tar.gz
encoder‐1.0/
encoder‐1.0/encoder.cfg
encoder‐1.0/encoder‐gui.glade
encoder‐1.0/encoder‐gui
Der vorgegebene Eintrag
»BuildRequires« wird im
Beispiel gelöscht, denn eine
Übersetzung des Programms
findet nicht statt, also gibt es dafür auch
keine Voraussetzungen. Üblicherweise
werden hier sonst Pakete aufgeführt, die
vorhanden sein müssen, damit die Übersetzung
klappt, also Entwicklungspakete
mit Header-Dateien und so weiter.
Das Feld »Requires« gibt dagegen Pakete
an, die vorhanden sein müssen, damit
das installierte Programm starten kann.
Fürs Erste soll es hier keine Voraussetzungen
geben, also löschen Sie auch dieses
Feld, damit es keine Fehlermeldung gibt.
Die Architektur ist bei plattformübergreifenden
Skripts wie Python als »noarch«
zu kennzeichnen. Unterhalb des Makros
»%description« sollten Sie noch eine ausführlichere
Beschreibung einfügen.
Dann folgen die Stufen des eigentlichen
Paketbaus: Prepare, Build, Install und
Clean mit ihren jeweiligen Makros. Für
das einfache Beispiel können die Phasen
»%prep« und »%build« leer bleiben, man
könnte aber beispielsweise hier Variablen
und Pfade in Skripten ersetzen. An dieser
Stelle lassen sich die Syntax der Spec-
Datei und die Prepare-Phase mit dem
Befehl »rpmbuild ‐bp« testen:
Listing 2: »encoder.spec«
01 Version: 1.0
02 Release: 1%{?dist}
03 Summary: Video Encoder for Ogg/Theora
04
05 Group: Applications/Multimedia
06 License: Inhouse
07 URL: http://www.admin‐magazin.de
08 Source0: encoder‐1.0.tar.gz
09 BuildRoot: %(mktemp ‐ud %{_tmppath}/%{name}‐%{v
ersion}‐%{release}‐XXXXXX)
10 BuildArch: noarch
11 ...
12 %install
13 rm ‐rf $RPM_BUILD_ROOT
Abbildung 2: Der Befehl »rpmbuild ‐bp« testet die Syntax des Spec-File und die
Prepare-Phase.
rpmbuild ‐bp rpmbuild/SPECS/encoder.spec
Ohne Fehlermeldung mit Error 0 beendet,
hat das Spec-File den Test bestanden
(Abbildung 2)
In der Install-Phase simuliert das RPM-
Build-Tool eine Installation im sogenannten
Build-Root, das für diesen Zweck die
Wurzel des Dateisystems darstellt. Bei der
„echten“ Installation des fertigen RPMs
wandern die enthaltenen Dateien an die
entsprechenden Orte im Dateisystem.
Vor dem simulierten Installationsprozess
löscht der Befehl »rm ‐rf $RPM_
BUILD_ROOT« sicherheitshalber die
alten Dateien. Üblicherweise wird über
die Spec-Datei danach nur »make install«
aufgerufen, was die nötigen Unterverzeichnisse
erstellt. Das einfache Beispiel
führt alle nötigen Befehle stattdessen direkt
im Spec-File auf: Erst werden die
nötigen Verzeichnisse angelegt, dann die
drei enthaltenen Dateien an ihren Bestimmungsort
kopiert. Auch das Clean-
Makro entfernt anschließen wieder das
Build-Root. Abschließend müssen Sie
beim Makro »%files« noch alle Dateien
14 mkdir ‐p $RPM_BUILD_ROOT/etc
15 mkdir ‐p $RPM_BUILD_ROOT/usr/bin
16 mkdir ‐p $RPM_BUILD_ROOT/usr/share/encoder
17 cp encoder.cfg $RPM_BUILD_ROOT/etc/
18 cp encoder‐gui $RPM_BUILD_ROOT/usr/bin
19 cp encoder‐gui.glade $RPM_BUILD_ROOT/usr/share/
encoder
20 ...
21 %files
22 %defattr(‐,root,root,‐)
23 %doc
24 /etc/encoder.cfg
25 /usr/bin/encoder‐gui
26 /usr/share/encoder/encoder‐gui.glade
auflisten, die letztlich im RPM
enthalten sein sollen. Listing
2 zeigt ausschnittweise die
wichtigsten Einträge im Spec-
File.
Den Bau des RPM-Pakets startet
nun der Aufruf »rpmbuild
‐ba« beziehungsweise »rpmbuild
‐bb«. Der Unterschied
besteht darin, dass die erste
Variante alle (»a«) Pakete
baut, das heißt das Binärpaket
und das Source-RPM (SRPM),
während der zweite Aufruf
sich auf das Binärpaket beschränkt
(»b«). Den erfolgreichen Ablauf zeigt Abbildung
3. Als Ergebnis finden sich die
beiden Dateien »~/rpmbuild/SRPMS/
encoder‐1.0‐1.fc16.src.rpm« und »~/
rpmbuild/RPMS/noarch/encoder‐1.0‐1.
fc16.noarch.rpm«. Letztere lässt sich mit
»rpm -i« wie gewohnt installieren.
Abhängig
In der Praxis ist es oft etwas komplizierter,
zum Beispiel, wenn das Skript
Abhängigkeiten von anderen Paketen besitzt.
So verwendet der oben paketierte
Video-Encoder zum Parsen von XML das
Elementtree-Modul [8]. Diese Abhängigkeit
lässt sich im Spec-Datei über die
folgende Zeile festlegen:
Requires: elementtree
Baut man nun das Encoder-Paket neu
und versucht es zu installieren, quittiert
RPM das mit einer Fehlermeldung über
das fehlende Elementtree-Paket. Das
wiederum fehlt im Fedora-Repository
und ist somit ein Kandidat für ein weiteres
RPM-Projekt. Per Wget lässt sich
das Quell codepaket gleich im passenden
Verzeichns herunterladen:
cd rpmbuild/SOURCES
wget http://effbot.org/media/downloads/U
elementtree‐1.2.6‐20050316.tar.gz
In »rpmbuild/SPECS« editieren Sie dann
die Datei »elementtree.spec«. Wie gehabt
füllen Sie die einzelnen Felder für Name
und so weiter aus. Die Version ist hier
die Upstream-Version von Elementtree,
also 1.2.6. Als »Source0« geben Sie die
Datei »elementtree‐1.2.6‐20050316.tar.gz«
an. Wenn Sie nun »rpmbuild ‐bp« aufrufen,
bekommen Sie eine Fehlermeldung,
122 Ausgabe 03-2012 Admin www.admin-magazin.de

Python-RPMs
Programmieren
der eben beschriebene Weg dazu verwenden,
RPM-Pakete aus ihnen zu bauen. In
anderen Fällen müssen gegebenenfalls
nur die Aufrufe zur Konfiguration und
Übersetzung angepasst werden.
Ausblick
Abbildung 3: Der Befehl »rpmbuild ‐ba« erzeugt das binäre sowie das Source-RPM des Python-Skripts.
Mit den beschriebenen Mitteln lassen
sich aus eigenen Python-Skripts wie aus
fertigen Bibliotheken RPM-Pakete bauen.
Damit sind auch die installierten Python-
Programme Teil des distributionseigenen
Paketmanagements. Nicht gelöst ist damit
das Problem einfacher Updates, die direkt
von den Paket-Maintainern kommen.
Wer unterschiedliche Python-Versionen
mit verschiedenen Modulen auf einem
Server betreiben muss, findet eine Lösung
in Virtualenv, um das es in einem
künftigen Artikel zur Python-Programmierung
gehen wird.
n
denn das Tool findet das Verzeichnis der
entpackten Dateien nicht. Standardmäßig
erwartet es, entsprechend dem Projektnamen
und der Versionsnummer, das
Verzeichnis »elementtree‐1.2.6«, aber das
entpackte Verzeichnis heißt »elementtree‐1.2.6‐20050316«.
Damit alles funktioniert,
übergeben Sie dem Setup-Makro
den richtigen Verzeichnisnamen:
%setup ‐q ‐n elementtree‐1.2.6‐20050316
Auch der Build-Abschnitt lässt sich dieses
Mal sinnvoll nutzen, denn mit den
Python-Distutils gebaute Module können
mit »python setup.py config« konfiguriert
werden. Damit ersetzen Sie das im
Template vorgegebene »%configure«-
Makro und löschen die Zeile mit »make«.
Schließlich ist es in diesem Fall auch nicht
nötig, die Dateien von Hand zu kopieren,
dies übernimmt ein Aufruf von »python
setup.py install«, hinter dem aber noch
ein Parameter folgen muss, der das Build-
Root angibt:
python setup.py install ‐‐root %{buildroot}
Die im RPM enthaltenen Dateien können
beim Files-Makro dieses Mal mit einer
Wildcard angegeben werden:
/usr/lib/python2.7/site‐packages/*
Wer jetzt den Paketbau mit »rpmbuild
‐bb« startet, findet nur wenige Augenblicke
später das RPM-Paket »elementtree‐1.2.6‐1.fc16.noarch.rpm«
im Verzeichnis
»~/rpmbuild/RPMS/noarch«.
Das Spec-File dafür ist noch einmal in
Listing 3 zu sehen.
Weil viele Python-Module die Distutils
zur Konfiguration verwenden, lässt sich
Infos
[1] The Internal Structure of Python Eggs:
[http:// peak. telecommunity. com/​
DevCenter/ EggFormats]
[2] Easy_install: [http:// peak. telecommunity.​
com/ DevCenter/ EasyInstall]
[3] Pip: [http:// www. pip‐installer. org]
[4] Python Package Index („Cheeseshop“):
[http:// pypi. python. org/ pypi]
[5] Why is it called Python?:
[http:// docs. python. org/ faq/ general.​
html# why‐is‐it‐called‐python]
[6] RPM-Gruppen Fedora: [http://​
fedoraproject. org/ wiki/ RPMGroups]
[7] RPM-Gruppen Open Suse:
[http:// en. opensuse. org/​
openSUSE:Package_group_guidelines]
[8] Elementtree: [http:// effbot. org/ downloads/​
# elementtree]
Listing 3: »elementtree.spec«
01 Name: elementtree
13 %description
25
02 Version: 1.2.6
14 ElementTree ‐ a light‐weight XML object model
26 %clean
03 Release: 1%{?dist}
for Python.
27 rm ‐rf $RPM_BUILD_ROOT
04 Summary: XML Parsing Library for Python
15
28
05
16 %prep
29 %files
06 Group: Development/Libraries
17 %setup ‐q ‐n elementtree‐1.2.6‐20050316
30 %defattr(‐,root,root,‐)
07 License: Python
18
31 %doc
08 URL: http://effbot.org/zone/element‐index.htm
19 %build
32 /usr/lib/python2.7/site‐packages/*
09 Source0: elementtree‐1.2.6‐20050316.tar.gz
20 python setup.py config
33
10 BuildRoot: %(mktemp ‐ud %{_tmppath}/%{name}‐%
21
34 %changelog
{version}‐%{release}‐XXXXXX)
22 %install
35 * Fri Apr 13 2012 O. Frommel
12
24 python setup.py install ‐‐root %{buildroot}
36 ‐ Initial RPM Release
www.admin-magazin.de
Admin
Ausgabe 03-2012
123

Programmieren
Mod-Lua
© Karel Miragaya, 123RF
Apache 2.4 mit Mod-Lua
Der Mond ist
aufgegangen
Lua ist eine kleine, schlanke und schnelle Skriptsprache – ideal also eigentlich,
um auf einem Webserver zu werkeln. Doch erst die brandneue
Version 2.4 des Apache Webservers liefert offiziell ein passendes Modul
mit. Das hat nicht nur ein paar kleinere Macken, sondern es durchaus
auch in sich. Tim Schürmann
Die Skriptsprache Lua entstand bereits
1993 an der Universität von Rio de
Janeiro und steht ab Version 5 unter der
MIT-Lizenz [1]. Der nur wenige Kbyte
(!) kleine Interpreter ist extrem schnell
und lässt sich über eine C-Schnittstelle
bequem an andere Programme anflanschen.
Aus diesem Grund war und ist
Lua vor allem in der Spielebranche äußerst
beliebt. Mittlerweile hat Lua aber
auch seriöse Anwendungen erobert, so
werkelt es etwa in Adobes Lightroom
oder Wireshark. Lua selbst ist eine imperative
und funktionale Sprache, eine
objektorientierte Programmierung ist in
Ansätzen möglich. Die Syntax kommt so
mit wenigen Schlüsselwörtern aus, im
Gegenzug wirken Lua-Programme etwas
kryptischer als beispielsweise ihre PHP-
Pendants.
Mit all diesen Eigenschaften drängt sich
Lua förmlich auch als Skriptsprache für
Webserver auf. So verwundert es wenig,
dass immer mal wieder entsprechende
Module für Apache entstanden. Das
ambitionierte Kepler-Projekt ging sogar
noch einen Schritt weiter [2]. Mit einem
Haufen selbst entwickelter Werkzeuge,
Bibliotheken und Standards sollte man
in Lua ganz einfach komplette Web-
Anwendungen schreiben können. Eines
der Ergebnisse war Xavante, ein in Lua
geschriebener Webserver [4]. Seit 2010
liegt das Kepler-Projekt jedoch auf Eis.
Auch die vielen Apache-Module schafften
nie den Sprung in das offizielle Apache-
Paket und verschwanden schnell wieder
von der Bildfläche – mit einer Ausnahme.
2006 begann Brian McCallister die Arbeit
an einem Modul mit dem etwas kuriosen
Namen »mod_wombat«. Es flanscht den
Lua-Interpreter an den Apache-Webserver
an, sodass dieser Lua-Skripte starten
und ausführen kann – ganz analog zu
»mod_php« und »mod_perl«. Obwohl die
Weiterentwicklung über die Jahre eher
schleppend verlief, wanderte McCallisters
Modul ganz offiziell in den neuen
Apache 2.4. Im Zuge dessen benannten
es seine Entwickler in »mod_lua« um.
Dummerweise hießen so jedoch auch
schon viele ausgemusterte Apache-Module.
Wer nach einer Dokumentation im
Internet sucht, stolpert folglich über viele
unbrauchbare Altlasten.
Work in progress
Und es gibt noch einen Haken: »mod_
lua« gehört zwar zum Lieferumfang von
Apache, ist aber immer noch als experimentell
gekennzeichnet. Es eignet sich
somit nicht für den produktiven Betrieb.
Nichtsdestotrotz arbeitet es bereits durchweg
stabil und lockt mit der Einbindung
von Hooks – folglich lohnt durchaus
schon jetzt ein Blick.
Wer »mod_lua« nutzen möchte, muss
das Modul bereits bei der Übersetzung
des Apache-Servers miterstellen lassen.
Dazu benötigt man wiederum die Lua-
Bibliothek in der Version 5.1 einschließlich
der zugehörigen Entwicklerdateien.
Unter Ubuntu heißen die entsprechenden
Pakete »lua5.1« und »liblua5.1.0‐dev«,
Open-Suse-Besitzer spielen hingegen
»lua‐devel« und »liblua5_1« ein.
Liegt Lua auf der Festplatte, wendet man
sich dem Quellcode des Apache-Webservers
zu. Das beiliegende »configure« startet
man mit dem zusätzlichen Parameter
»‐‐enable‐lua«. Alternativ kann man
auch hinter »‐‐enable‐mods‐shared=«
noch »lua« ergänzen oder gleich »‐‐enable‐mods‐shared=all«
verwenden.
Abkürzung XAMPP
Wer keine Erfahrung mit dem Übersetzungsprozess
hat, aber »mod_lua« unbedingt
in einer kleinen Testinstallation
auf seinem eigenen Linux-PC ausprobieren
möchte, findet im Kasten „Schnellinstallation“
eine kurze Anleitung. Die
kommende Version 1.8.0 des für solche
Zwecke beliebten Komplettpakets
XAMPP wird zwar Apache 2.4 enthalten,
126 Ausgabe 03-2012 Admin www.admin-magazin.de

Mod-Lua
Programmieren
»mod_lua« gab es in der zum
Redaktionsschluss verfügbaren
zweiten Beta- Version erstaunlicherweise
aber nur in
der Windows-Variante [4].
Um das Lua-Modul zu aktivieren,
ergänzen Sie in der
»httpd.conf« folgende Zeile
(wer dem Kasten „Schnellinstallation“
gefolgt ist, findet die Datei im
Verzeichnis »~/httpd/conf«):
LoadModule lua_module modules/mod_lua
Mit einer weiteren Zeile darunter können
Sie Apache anweisen, alle Dateien
mit der Endung ».lua« als Lua-Skripte
auszuführen:
AddHandler lua‐script .lua
»lua‐script« ist ein so genannter Handler,
den »mod_lua« bereitstellt. Man kann
ihn selbstverständlich wie die übrigen
Apache-Handler nutzen.
Nach dem Speichern der geänderten
Konfiguration müssen Sie Apache einmal
neustarten und können sich dann ans
Schreiben von Lua-Skripten machen.
Ein von Apache gestartetes Lua-Skript
muss zwingend die Funktion »handle()«
anbieten. Diese ruft »mod_lua« auf und
übergibt ihr dabei ein Request-Objekt,
das die meisten Beispiele »r« nennen:
function handle(r)
... mache etwas ...
end
Schnellinstallation
Die folgenden Schritte installieren Apache mit
»mod_lua« im Unterverzeichnis »httpd« des
eigenen Heimatverzeichnisses. Dabei darf kein
anderer Webserver laufen.
Nachdem die Lua-Bibliotheken über den Paketmanager
eingespielt sind, laden Sie sich von der
Homepage des Apache-Webservers das aktuelle
Archiv [5] und entpacken es. Unter [6] laden
Sie sich die Pakete zu APR und APR-util herunter
und entpacken sie im Unterordner »srclib/
apr‐util« des Apache-Verzeichnisses. Anschließend
streichen Sie die Versionsnummer aus
den beiden Verzeichnisnamen. Der Inhalt des
APR-Archivs liegt dann im Unterordner »srclib/
apr«, der aus dem APR-Util-Paket unter »srclib/
apr‐util«.
Im Verzeichnis mit dem Apache-Quellcode setzen
Sie jetzt die folgenden Befehle ab:
./configure ‐‐prefix=$HOME/httpd U
‐‐enable‐lua ‐‐with‐included‐apr
Abbildung 1: Ausschließlich Laufzeitfehler schiebt »mod_lua« in die Ausgabe.
Das Request-Objekt stellt ein paar Methoden
bereit, über die man die fertige Seite
zusammensetzt beziehungsweise ausgibt.
Wie das funktioniert, zeigt Listing 1
mit dem obligatorischen Hello-World-Beispiel.
Kommentare beginnen in Lua immer
mit zwei Bindestrichen. »r.content_
type« ändert zunächst den MIME-Typ des
zurückgelieferten Dokuments auf »text/
plain«, »r.puts« gibt anschließend die Zeichenkette
»Hallo Welt« aus.
Um das Skript zu starten, parken Sie
es unter dem Namen »hallo.lua« im
Document-Root (wer dem Kasten
„Schnell installation“ gefolgt ist, nimmt
das Verzeichnis »~/httpd/htdocs«). Jetzt
können Sie es einfach über den Browser
ansteuern, also etwa über die URL
»http://localhost/hallo.lua«.
Sollte sich ein Tippfehler eingeschlichen
haben, meldet Apache einen internen
Server-Fehler (Nummer 500). Nur in bestimmten
Fällen erscheint eine Fehlermeldung
des Lua-Interpreters (Abbildung 1).
Haben Sie vergessen, den MIME-Type zu
setzen, bietet Apache in der Standard-
make
make install
Am Ende sollte im Verzeichnis »~/httpd/modules«
auch das Modul »mod_lua« liegen. Den
Webserver startet schließlich:
sudo ~/httpd/bin/apachectl start
Wenn alles geklappt hat, erreichen Sie mit dem
Browser unter der URL »http://localhost« eine
Seite mit einer Erfolgsmeldung.
Einen Neustart des Webservers veranlasst:
sudo ~/httpd/bin/apachectl restart
Der folgende Befehl beendet den Apache-Server
wieder:
sudo ~/httpd/bin/apachectl stop
Um Apache nach den Tests wieder zu deinstallieren,
löschen Sie einfach das Verzeichnis
»~/httpd«.
konfiguration sogar an, das
Lua-Skript herunterzuladen.
Namenstag
In der Regel möchte man in
einem Skript die Daten aus
einem Formular auswerten.
Ein einfaches Exemplar zeigt
Listing 2. Die dortige HTML-Datei erstellt
ein Formular, das den Vor- und Nachnamen
seines Benutzers erfragt und diesen
dann per Get-Methode an das Lua-Skript
»antwort.lua« schickt.
Dessen Inhalt zeigt Listing 3. Zunächst
setzt die »handler()«-Funktion den
MIME-Typ auf »text/html« und baut
dann mit mehreren »r.puts()« den Anfang
eines HTML-Dokuments zusammen.
Anschließend muss sie an die Daten
aus dem Formular gelangen. Dabei
hilft wieder das Request-Objekt. Seine
Methode »r:parseargs()« liefert alle per
Get-Methode gesendeten Parameter in
einer sogenannten Tabelle zurück. Diese
Datenstruktur kennen andere Programmiersprachen
auch als assoziatives Array
oder Dictionary.
Die von »parseargs()« zurückgelieferte
Tabelle besitzt für jedes Formularfeld einen
Eintrag mit dem Namen des Feldes
und dem darin abgelegten Wert. Um an
den Vor- und Nachnamen zu kommen,
Listing 1: „Hello World“ mit Lua und »mod_lua«
01 function handle(r)
02 ‐‐ Setzte MIME‐Type auf text/plain:
03 r.content_type = "text/plain"
04
05 ‐‐ gebe den Text "Hallo Welt" zurück:
06 r:puts("Hallo Welt!")
07 end
01
Listing 2: Datei »frage.html« mit einem Formular
02 Frage
03
04 Bitte geben Sie Ihren Vor‐ und Nachnamen
ein:
05
06
07
08
09
10
11
www.admin-magazin.de
Admin
Ausgabe 03-2012
127

Programmieren
Mod-Lua
durchläuft die folgende »for«-Schleife die
komplette Tabelle. Die »pairs()«-Funktion
hilft ihr dabei, indem Sie auf den jeweils
nächsten Eintrag in der Tabelle zeigt. In
der Variablen »k« landet dabei der Name
des Formularfeldes, in »v« sein entsprechender
Inhalt.
Die If-Abfrage prüft, ob es sich um den
Vornamen handelt. Wenn ja, wandert
er in die Variable »vorname«. Analog
speichert die Variable »nachname« den
Listing 3: Formularauswertung »antwort.lua«
01 require 'string'
02
03 function handle(r)
04 r.content_type = "text/html"
05 r:puts("")
06 r:puts("Antwort")
07 r:puts("")
08
09 for k, v in pairs(r:parseargs()) do
10 if k=='vorname' then
11 vorname=v
12 elseif k=='nachname' then
13 nachname=v
14 end
15 end
16
17 r:puts(string.format("Hallo %s %s!", vorname,
nachname))
18
19 r:puts("")
20 end
Listing 4: Unterscheidung Post und Get in Lua
01 if r.method == 'GET' then
02 for k, v in pairs( r:parseargs() ) do
03 ‐‐ Hier folgt die Auswertung bei GET
...
04 end
05 elseif r.method == 'POST' then
06 for k, v in pairs( r:parsebody() ) do
07 ‐‐ Hier folgt die Auswertung bei POST
...
08 end
09 else
10 r:puts("Unbekannte HTTP‐Methode")
11 end
Nachnamen. Variablen darf man in Lua
einfach immer direkt benutzen und in
ihnen zudem beliebige Werte abladen.
Lua-Kenner dürften an dieser Stelle einwenden,
dass man sich die ganze Schleife
auch sparen und etwa per:
alleparameter = r:parseargs();
vorname = alleparameter["vorname"]
direkt den Vornamen aus der Tabelle holen
könnte. Dies führt jedoch zu einer
Fehlermeldung, wenn der Vorname aus
irgendeinem Grund gar nicht übertragen
wurde.
Nachdem in Listing 3 der Vorname und
Nachname in ihren entsprechenden Variablen
liegen, setzt sie die Funktion
»string.format()« zu einer neuen Zeichenkette
zusammen. Die Platzhalter
»%s« tauscht »string.format()« dabei gegen
die Inhalte der Variablen »vorname«
und »nachname«. Das Ergebnis landet
wiederum in »r:puts()« und somit dem
fertigen HTML-Dokument (Abbildung
2). »string.format()« stammt übrigens
aus Luas Standardbibliothek »string«,
die der Befehl »require« ganz am Anfang
hinzuholt.
Keine Postzustellung
Listing 3 funktioniert nur, wenn das
Skript die Formularinhalte per Get erhält.
Sofern die Post-Methode zum Einsatz
kommt, liefert »r:parsebody()« alle
gewünschten Daten. Die verwendete
HTTP-Methode verrät »r.method«. Damit
lässt sich dann eine Fallunterscheidung
wie in Listing 4 basteln. Obwohl sie so
auch die offizielle »mod_lua«-Dokumentation
vorschlägt, produzierte »parsebody()«
in unseren Tests nur eine Fehlermeldung.
Ein Blick in den Quellcode von
»mod_lua« offenbarte, dass die Funktion
zumindest unter Apache 2.4.2 noch gar
nicht implementiert ist. Alle weiteren
Funktionen und Attribute des Request-
Objekts listet übrigens in der offiziellen
Dokumentation des Moduls der Abschnitt
„Data Structures“ auf [7].
Leerstellen
Standardmäßig muss das Lua-Skript die
Funktion »handle()« enthalten. Die Konfigurations-Direktive
»LuaMapHandler«
kann das jedoch ändern. Fügt man der
»httpd.conf« etwa die Zeile:
LuaMapHandler /info /var/www/beispiel.luaU
saghallo
hinzu, würde Apache beim Abruf der
URL »http://localhost/info« die Funktion
»saghallo« im Lua-Skript »/var/www/
beispiel.lua« starten.
Die Betonung liegt dabei auf „würde“,
denn diese Direktive ist ähnlich wie
»parsebody()« schlichtweg nicht implementiert
– und das, obwohl bereits fertige
Testskripte dafür existieren (unter
Listing 5: URL-Umleitung über ein Lua-Skript
01 require 'string'
02 require 'apache2'
03
04 function translate_name(r)
05 if r.uri == "/geheim" then
06 r.uri = "/verboten.html"
07 return apache2.DECLINED
08 end
09 return apache2.DECLINED
10 end
Abbildung 2: Das Antwort-Skript im Vordergrund nimmt die Anfrage entgegen und bastelt aus dem Namen
eine neue Grußmeldung.
Abbildung 3: Einige der Direktiven aus der »mod_lua«-Dokumentation waren schlichtweg noch nicht
implementiert.
128 Ausgabe 03-2012 Admin www.admin-magazin.de

Wert
apache2.OK
Tabelle 1: Standard-Rückgabewerfe für Hooks
apache2.DECLINED
apache2.DONE
»/modules/lua/test« im Apache-Quellcode).
Auch weitere interessante Direktiven
glänzen durch ihre Abwesenheit,
wie etwa »LuaCodeCache«, mit der man
eigentlich das Cacheverhalten für Lua-
Skripte beeinflussen soll.
Am Haken
Selbst geschriebene Module können sich
über so genannte Hooks in die verschiedenen
Verarbeitungsphasen des Webservers
einklinken und Veränderungen vornehmen.
»mod_lua« ermöglicht das auch
einem Lua-Skript. Auf diese Weise kann
man beispielsweise eine URL-Umleitung
als Lua-Skript implementieren. Listing 5
liefert beim Zugriff auf die URL »http://
localhost/geheim« die HTML-Datei »verboten.html«
zurück.
Die im Listing 5 eingebundene Bibliothek
»apache2« bietet unter anderem die
Konstanten aus Tabelle 1. Je nach Hook
können auch andere Rückgabewerte
sinnvoll sein, etwa ein HTTP-Statuscode.
Damit Apache weiß, in welcher Lua-Datei
es wann welche Funktion aufzurufen
hat, müssen Sie in der »httpd.conf« noch
eine Zeile der Form:
LuaHookTranslateName /usr/local/apache2/U
skripte/umleitung.lua translate_name early
hinzufügen. »LuaHookTranslateName«
weist Apache an, die Lua-Funktion
»translate_name« möglichst früh bei
der Interpretation der Anfrage-URL
aufzurufen.
Den Funktionsnamen im Lua-Skript
könnte man folglich auch anders benennen,
wie in Listing 5 bietet es sich
jedoch an, ihn wie den entsprechenden
Apache-Hook zu taufen. Die Zeile »/usr/
local/apache2/skripte/umleitung.lua«
führt schließlich noch den kompletten
Pfad zur Skript-Datei auf. Der optionale
Parameter »early« sorgt dafür, dass Apache
die Funktion so früh wie möglich im
Verarbeitungsprozess anwirft. Mit »late«
würde Apache die Funktion möglichst
spät aktivieren.
Bedeutung
Anfrage war erfolgreich
Skript nicht zuständig
Anfrage komplett bearbeitet
Alle weiteren existierenden Hook-
Direktiven listet die offizielle Dokumentation
des Moduls am unteren Seitenende
auf [7]. Es gibt jedoch auch hier wieder
einige Direktiven, die noch gar
nicht implementiert sind. Weitere Beispielskripte
insbesondere zu den Hooks
warten im Apache-Quellcodeverzeichnis
unter »modules/lua/test«.
Fazit
Mod-Lua ist verführerisch: Die über das
Modul gestarteten Lua-Skripte klöppeln
schneller ein HTML-Dokument zusammen
als ihre PHP- oder Perl-Pendants
und man darf Lua-Skripte über Hooks
in die sogar Verarbeitungskette
des Apache-
Servers einhängen.
Wer sich jedoch mit
dem Modul etwas näher
beschäftigt, stolpert
schnell über zahlreiche
Baustellen. Die
Dokumen tation weist
sogar explizit daraufhin,
dass sich die Konfiguration
und Arbeitsweise
des Moduls in
der Zukunft noch einmal
ändern kann. Da
passt es ins Bild, dass
die einzige offizielle
Dokumentation aus
einer einzigen kargen
Seite besteht [7].
Angesichts dieser Mängel
erstaunt es etwas,
dass es »mod_lua«
dennoch in das offizielle
Apache-Paket
geschafft hat. Andererseits
steigen so auch
die Chancen, dass
mehr Entwickler auf
das kleine Modul aufmerksam
werden – was
es eindeutig verdient
hätte. (ofr)
n
Infos
[1] Lua: [http:// www. lua. org]
[2] Kepler-Projekt:
[http:// www. keplerproject. org/ en/ Kepler]
[3] Xavante:
[http:// keplerproject. github. com/ xavante/]
[4] XAMPP Beta-Versionen:
[http:// sourceforge. net/ projects/ xampp/​
files/ BETAS/]
[5] Apache 2.4 Download: [http:// httpd.​
apache. org/ download. cgi# apache24]
[6] APR und APR-Util:
[http:// apr. apache. org/ download. cgi]
[7] Dokumentation zu Mod-Lua: [http:// httpd.​
apache. org/ docs/ 2. 4/ mod/ mod_lua. html]
Der Autor
Tim Schürmann ist selbstständiger Diplom-
Informatiker und derzeit hauptsächlich als freier
Autor unterwegs. Zu seinen Büchern gesellen
sich zahlreiche Artikel, die in Zeitschriften und
auf Internetseiten in mehreren Ländern veröffentlicht
wurden.
www.admin-magazin.de
Ausgabe 03-2012
129

Service
Impressum und Vorschau
Impressum ISSN 2190-1066
ADMIN-Magazin
eine Publikation der Linux New Media AG
Redaktionsanschrift Putzbrunner Straße 71
81739 München
Tel.: 0 89/99 34 11-0
Fax: 0 89/99 34 11-99 oder -96
Internet
www.admin-magazin.de
E-Mail
redaktion@admin-magazin.de
Geschäftsleitung
Chefredakteure
Redaktion
News/Report
Software/Test
Security/Networking
Ständige Mitarbeiter
Produktionsleitung
Grafik
Abo-Infoseite
Abonnenten-Service
Brian Osborn (Vorstand), bosborn@linuxnewmedia.de
Hermann Plank (Vorstand), hplank@linuxnewmedia.de
Oliver Frommel (V.i.S.d.P.),
ofrommel@admin-magazin.de (ofr)
Jens-Christoph Brendel
jbrendel@admin-magazin.de (jcb)
Ulrich Bantle (Ltg.), ubantle@linuxnewmedia.de (uba)
Mathias Huber, mhuber@linuxnewmedia.de (mhu)
Marcel Hilzinger, mhilzinger@linuxnewmedia.de, (mhi)
Kristian Kißling, kkissling@linuxnewmedia.de, (kki)
Markus Feilner, mfeilner@linuxnewmedia.de (mfe)
Thomas Leichtenstern, tleichtenstern@linuxnewmedia.de (tle)
Elke Knitter (Schlussredaktion),
Carsten Schnober, Tim Schürmann, Claudia Thalgott
Christian Ullrich, cullrich@linuxnewmedia.de
Klaus Rehfeld, Judith Erb
Titel: Judith Erb, Ausgangsgrafik: tiero, 123RF
www.admin-magazin.de/abo
Veronika Kramer
abo@admin-magazin.de
Tel.: 07131/27 07 274, Fax: 07131/27 07 78 601
Preise Print Deutschland Österreich Schweiz Ausland EU
Einzelheft € 9,80 € 10,80 Sfr 19,60 (siehe Titel)
Mini-Abo (2 Ausgaben) € 9,80 € 10,80 Sfr 19,60 (siehe Titel)
Jahres-DVD (Einzelpreis) € 14,95 € 14,95 Sfr 18,90 € 14,95
Jahres-DVD (zum Abo 1 ) € 6,70 € 6,70 Sfr 8,50 € 6,70
Jahresabo € 49,90 € 54,90 Sfr 99,90 € 59,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe € 9,80 € 9,80 Sfr 10,71 € 9,80
DigiSub (6 Ausgaben) € 44,90 € 44,90 Sfr 49,05 € 44,90
DigiSub (zum Printabo) € 6,— € 6,— sfr 6,— € 6,—
HTML-Archiv (zum Abo 1 ) € 48,— € 48,— sfr 48,— € 48,—
Preise Kombiabos
Profi-Abo 2 € 136,60 € 151,70 Sfr 259,90 € 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit Linux-Magazin-Abo und beiden Jahres-DVDs
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises oder einer aktuellen
Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei Verlängerung neu zu erbringen. Andere Abo-
Formen, Ermäßigungen im Ausland etc. auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht für Zeitschriften gelten.
Pressemitteilungen info@admin-magazin.de
Anzeigen/Repräsentanz
Es gilt die Anzeigenpreisliste vom 01.01.2010
National
Petra Jaser
Tel.: 089/99 34 11 24, Fax: 089/99 34 11 99
E-Mail: anzeigen@admin-magazin.de
Pressevertrieb MZV, Moderner Zeitschriften Vertrieb GmbH
Breslauer Straße 5, 85386 Eching
Tel.: 089/31906-0, Fax: 089/31906-113
Druck
Vogel Druck und Medienservice GmbH
97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unix-ähnlichen Betriebssysteme
verschiedener Hersteller, zum Beispiel Eurix (Comfood), Ultrix (Digital Equipment), HP/UX (Hewlett-Packard) oder Sinix
(Siemens) benutzt, nicht als die Bezeichnung für das Trademark von X/Open. Linux ist eingetragenes Marken zeichen von
Linus Torvalds und wird in unserem Markennamen mit seiner Erlaubnis verwendet. Alle anderen Marken sind Eigentum
der jeweiligen Inhaber. Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung durch
die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von Manu s kripten gibt der Verfasser seine
Zustimmung zum Abdruck im Admin-Magazin. Für unverlangt ein gesandte Manuskripte kann keine Haftung übernommen
werden. Die Redaktion behält sich vor, Artikel zu kürzen. Das Exklusiv- und Verfügungsrecht für angenommene
Manuskripte liegt beim Verlag. Es darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden. Copyright © 1994–2012 Linux New Media AG
Inserentenverzeichnis
1&1 Internet AG http://​www.einsundeins.de 20
ADMIN http://​www.admin-magazin.de 79, 107, 119
Android User GY http://​www.android-user.de 103, 109
Fernschule Weber GmbH http://​www.fernschule-weber.de 115
Hetzner Online AG http://​www.hetzner.de 132
Host Europe GmbH http://​www.hosteurope.de 9
Hostserver GmbH http://​www.hostserver.de 45
in-put Schulungen http://​www.in-put.de 65
InterNetX GmbH http://​www.internetx.com 27
Kamp Netzwerkdienste GmbH http://​www.kamp.net 7
Kettner Mathias - Linux Experte http://​www.mathias-kettner.de 11
Lamarc EDV-Schulungen u. Beratung
GmbH http://​www.lamarc.com 55
Linux-Hotel http://​www.linuxhotel.de 93
Linux-Magazin http://​www.linux-magazin.de 99
Linux-Magazin Academy http://​academy.linux-magazin.de 113, 131
Linux-Magazin Online http://​www.linux-magazin.de 101
Mittwald CM Service GmbH & Co. KG http://​www.mittwald.de 117
netways GmbH http://​www.netways.de 31
Netzwerktotal http://​www.netzwerktotal.de 129
outbox AG http://​www.outbox.de 2
pascom - Netzwerktechnik
GmbH & Co.KG http://​www.pascom.net 13
PlusServer AG http://​www.plusserver.de 32, 58, 84, 124
SEP Aktiengesellschaft http://​www.sep.de 67
Thomas Krenn AG http://​www.thomas-krenn.com 51
Webtropia http://​www.webtropia.com 19
Würth Phönix http://​wuerth-phoenix.com 43
Einem Teil dieser Ausgabe liegen Beilagen des ADMIN (http://​www.admin-magazin.de) und der
Linux-Magazin Academy (http://​www.academy.linux-magazin.de) bei. Wir bitten unsere Leser
um freundliche Beachtung.
Autoren dieser Ausgabe
Eric Amberg Eintrittskarte 22
Thomas Drilling Feuermelder 68
Thomas Drilling Mit fremden Federn 104
Thomas Drilling Vas-serdicht 52
Susanne Ebrecht Wider die Blasen 86
Werner Fischer Getrennte Wege 28
Werner Fischer Maßgeschneidert 110
Peer Heinlein Auf ewig 100
Thomas Joos Alles im Blick 94
Thomas Joos Ansichtssache 80
Thomas Joos Festgeschnallt 74
Martin Loschwitz Eingezäunt 90
Martin Loschwitz In die Breite gegangen 46
Thorsten Scherf Abgenabelt 16
Tim Schürmann Der Mond ist aufgegangen 126
Tim Schürmann Japanischer Sheriff 60
Thomas Zeller Trennkost 114
VORSCHAU
ADMIN 04/2012 erscheint am 12. JULI 2012
Sicherheit
Wie gefährlich sind Seitenkanal—
angriffe im Web? Welche Gefahren
birgt Wildwuchs bei IPv6? Lassen sich
Honeypot-Sensoren auf normale Server
auslagern? Die Anworten gibt der
Security-Schwerpunkt in der nächsten
Ausgabe des ADMIN.
Backups
Es muss nicht immer ein
Enterprise-Backup-System sein.
Die Software Burp ermöglicht
inkrementelle Backups, die Platz
und Netzwerk-Traffic sparen. Für
Windows-Systeme beherrscht es
sogar Volume Shadow Copy.
norebbo, 123RF
130 Ausgabe 03-2012 Admin www.admin-magazin.de

Linux-Magazin
ACADEMY
... wir qualifizieren Ihre Mitarbeiter!
IT Trainings Online
Linux und Open Source
Nutzen Sie die Vorteile
der Linux-Magazin Academy!
✓
✓
✓
✓
✓
Kompetent: Unsere Dozenten sind ausge wiesene
Profis mit lang jähriger Schulungserfahrung.
Flexibel: Der Schulungsteilnehmer lernt, wann,
wo und sooft er möchte.
Kosteneffizient: Nutzen Sie Einsparungen
gegenüber Vor-Ort-Schulungen.
Übersichtlich: Die komfortable Web- Oberfläche
zeigt gleich zeitig den Trainer und dessen
Arbeitsfläche
Individuell: Jeder Teilnehmer folgt seinem eigenen
Lerntempo.
Trainingspakete:
• LPIC-1-Training
LPIC-2-Training
IT-Sicherheit Grundlagentraining
• WordPress 3.0
www.lpi.org
OpenOffice – Arbeiten mit Vorlagen
Was Teilnehmer über die
Linux-Magazin Academy sagen:
„Mit den Videos haben Sie ins Schwarze
getroffen. Es gibt nichts Vergleichbares.“
„Eine hervorragende Anleitung zum
praktischen Arbeiten.“
Testen Sie unsere Demovideos:
academy.linux-magazin.de/demo
Präsentiert von:
www.linux-magazin.de
www.linuxhotel.de
Weitere Infos: academy.linux-magazin.de