ADMIN Magazin Gestapelt - Schneller und sicherer mit RAID (Vorschau)

NEU!
Jetzt mit
Whenjobs: Die moderne
Alternative zu Cronjobs
ADMIN
Netzwerk & Security
Oracle: Datenbank auf
Unicode migrieren
06 2012
Nov. – Dez.
Auf Heft-CD:
PartedMagic
Infos auf Seite 6
GESTAPELT
Schneller und sicherer mit RAID
Storage in RAID konvertieren
NAS-Systeme im Vergleich
RAID-Level erklärt
Open Stack
Offene API zum
Management
von Clouds
Hyper-V
Live-Migration und
Hochverfügbarkeit
Fail2ban
Angreifer aussperren
Remote Desktop
Mit HTML5 im Browser
www.admin-magazin.de
D EUR 9,80
A EUR 10,80 - BeNeLux EUR 11,25
CH sfr 19,60 - E / I EUR 12,75
4 196360 509805 06

CityCloud
Die Cloud in Ihrer Stadt
Hamburg
Berlin
Frankfurt
Stuttgart
München
Willkommen in der CityCloud
Nutzen Sie sichere und flexible Cloudlösungen
und Managed Hosting direkt in Ihrer Stadt.
Sie wissen immer, wo Ihre Daten und Anwendungen
betrieben werden. Selbstverständlich
nach den Anforderungen des deutschen und
europäischen Datenschutzes.
Sprechen Sie uns an!
Tel.: 0 30 / 420 200 24
hostserver.de/citycloud
Vorteile der CityCloud:
Daten sicher in Ihrer Stadt
ISO 9001 zertifiziertes
Managed Hosting
Umfassender Datenschutz
24/7 Service und Support
Managed Hosting
zertifiziert nach
ISO 9001 : 2008

Verstärkung
Editorial
Verstärkung
Liebe Leserinnen und Leser,
es ist mir eine besondere Freude, dieses Mal auch die Abonnenten des FreeX-
Magazins als neue ADMIN-Leser begrüßen zu dürfen. Viele alte Unix-Hasen dürften
überrascht sein, schließlich war die FreeX beinahe 15 Jahre lang eine feste Größe
auf dem deutschen Zeitschriftenmarkt, die sich fundiert mit Linux- und Unix-
Systemen auseinandergesetzt hat.
Informationen zu versorgen.
Vor Kurzem haben sich die Herausgeber entschlossen, die Publikation des
Heftes einzustellen und sind mit dem Angebot an den Verlag des ADMIN-
Magazins herangetreten, die FreeX-Leser weiter mit interessanten und nützlichen
Das Ergebnis halten Sie in Händen: ein ADMIN-Heft, das um einen regelmäßigen
FreeX-Teil erweitert wurde. Dort werden FreeX-Fans auf vertraute Autorennamen
stoßen und klassische Themen der FreeX wiederfinden, die sich naturgemäß
gelegentlich mit den ADMIN-Themen überschneiden, aber auch mal einen Ausflug
in benachbarte Gefilde unternehmen, etwa in die Unix-, die BSD- oder die
Programmiererwelt.
In Zukunft werden wir den reichen Fundus an FreeX-Artikeln noch erweitern und in
das ADMIN-Online-Archiv aufnehmen. Dem kommenden ADMIN-Magazin, der Ausgabe
01/​2013, legen wir den kompletten FreeX-Jahrgang 2012 digital als CD bei.
Wir hoffen, diese Veränderung macht den ADMIN etwas bunter und trifft den
Geschmack der ADMIN- und der FreeX-Leser gleichermaßen. Für Fragen, Lob und
Kritik ist die Redaktion unter der Adresse redaktion@admin-magazin.de erreichbar.
Viel Spaß beim Lesen
@ leserbriefe@admin-magazin.de
www.facebook.com/adminmagazin www.twitter.com/admagz
www.admin-magazin.de
Admin
Ausgabe 06-2012
3

Service
Inhalt
ADMIN
Netzwerk & Security
06/2012
In diesem Heft-Schwerpunkt:
Theorie und Praxis performanter und
sicherer RAID-Speicher (ab S. 46)
Sechs NAS-Speicher für
56NAS-RAIDs
kleine Unternehmen mit
5 bis 50 TByte im Vergleich.
Login
7 Vorgelesen
DTrace und Sicherheit für SQL-Server.
10 Branchen-News
Neues von Firmen und Projekten.
18 Im Dickicht
Wegweiser duch Crypto-Bibliotheken
und -Services.
20 Löschen reicht nicht
Datenträger weitergeben: Was sagt das
Gesetz dazu?
26 OSMC
Aktuelles vom System-Monitoring.
Netzwerk
28 Ersatzspieler
Mehr Apache-Performance mit dem
PHP-FPM-Modul.
36 Die Shell für unterwegs
Unterbrechungsfrei: SSH durch Mosh
ergänzen.
40 Klick in die Zukunft
HTML5-Technologie
bringt
den Remote
Desktop in den
Browser.
Service
3 Editorial
4 Inhalt
6 Heft-CD
130 Impressum und Vorschau
Schwerpunkt: RAID-Systeme
46 Abgesichert
So funktioniert die Technologie der
RAID-Systeme im Detail.
52 Fallschirm
Das kleine Tool mit
dem Namen Raider
wandelt konventionalle
Partitionen in
RAID-Systeme um.
56 NAS-RAIDs
RAID im NAS: Wie unterscheiden sich
sechs Systeme der größten Hersteller?
4 Ausgabe 06-2012 Admin www.admin-magazin.de

72
Selbstbedienung
Die Grundlagen des
Cloud-Frameworks
Open Stack verständlich erklärt.
Inhalt
Service
Skripte
So baut man den
118Motorisierte
Interpreter in seine
Skripte ein.
nach Plan
Was Datenbanken über
88Alles
ihre Hintergedanken
ausplaudern.
Know-how
64 Ausweg aus Babylon
Wie die Unicode-Migration einer Oracle-
DB gelingt.
68 Dschungelcamp
Alles neu: Lizenzfragen zu Windows Server
2012 geklärt.
Security
80 Sicher ist sicherer
Die erweiterte
Windows Firewall
schützt
auf Basis von
Ports und Programmen.
Basics
88 Alles nach Plan
Datenbank-Ausführungspläne lesen und
verstehen.
92 Neue Zeit-Rechnung
Die einfachere Alternative zu Cron:
Whenjobs.
72 Selbstbedienung
Open-Stack-Workshop, Teil 1: Einführung
in Open Stack.
86 Haus mit Hüter
Fail2ban dreht mit der Firewall hartnäckigen
Angreifern die Leitung ab.
Virtualisierung
94 Nachgewürzt
Virtuelle KVM-Maschinen mittels VNC
und Spice bedienen.
98 PHP-Virtualbox
Virtualbox läuft auch auf dem Server.
Zur Fernsteuerung gibt es zwei Pakete.
102 Wandertag
Livemigration und Hochverfügbarkeit
mit Hyper-V 3.0.
FreeX
105 Aufmacherseite
Artikel und Workshops der FreeX.
106 Schichtweise
Openlayers und Datenbanken.
114 Zugangsschutz
OpenVPN via Android-Smartphone
nutzen.
118 Motorisierte Skripte
Interpreter in Skripte verpacken.
Programmieren
122 Julia
Eine neue
Sprache für
Parallelverarbeitung
und Technical
Computing.
128 Abhörsicher
Das Python-Modul Paramiko versieht
eigene Skripts mit SSH- und SFTP-
Fähigkeiten.
Mehr Infos auf Seite 6
Parted Magic
n Partitionen anlegen, verändern und sichern
n Unterstützt Windows- und Linux-Partitionen sowie
Logical Volumes mit LVM2
www.admin-magazin.de Admin Ausgabe 06-2012 5

SErvice
Heft-CD
Heft-CD
Auf dem beiliegenden Datenträger finden Sie die neueste
Version 2012_10_10 von Parted Magic [1], einer Live-CD für
den Umgang mit Festplatten-Partitionen.
◗ Live-CD für 32 und 64 Bit.
◗ Partitionen anlegen, vergrößern und verkleinern.
◗ Support für Linux- und Windows-Dateisysteme inklusive
NTFS.
◗ Neueste Version beherrscht Logical Volumes mit LVM2.
◗ Backup von Partitionen übers Netz mit eingebautem
Clonezilla [2].
Legen Sie einfach die CD in das Laufwerk ein, und starten
Sie den Rechner. Möglicherweise müssen Sie noch im
BIOS die richtige Boot-Reihenfolge einstellen, damit das
Laufwerk vor der Festplatte an die Reihe kommt. n
Info
CD kaputt?
Wir schicken Ihnen kostenlos eine
Ersatz-CD zu, E-Mail genügt:
info@admin-magazin.de
[1] Parted Magic: [http://partedmagic.com]
[2] Clonezilla: [http://clonezilla.org]
6 Ausgabe 06-2012
Admin www.admin-magazin.de

Bücher
Login
Bücher über DTrace und SQL-Server-Sicherheit
Vorgelesen
DTrace gibt es nur für Anwender von Solaris, Mac OS X oder FreeBSD.
Microsoft-Administratoren hilft ein Ratgeber, SQL-Server abzusichern.
Oliver Frommel, Jens-Christoph Brendel
Im Streit zwischen Linux und Solaris
führt die zweite Fraktion gerne als Alleinstellungsmerkmal
das DTrace-Tool
ins Feld, das die Performance-Analyse
an Produktivsystemen erlaubt, ohne den
Betrieb zu stören. Dazu gibt es ein umfassendes
Werk von den Performance-
Spezialisten Brendan Gregg (früher Sun,
jetzt Joyent) und Jim Mauro, dem Autor
der „Solaris Internals“.
Nach etwa zehn Seiten Überblick über
den Aufbau von DTrace und das Zusammenspiel
mit Kernel und Bibliotheken
folgt eine kurze Einführung in die D
Language (nicht zu verwechseln mit der
gleichnamigen Programmiersprache),
mit der sich eigene Probes schreiben lassen.
Die nächsten Kapitel nehmen eine
ganzheitliche Perspektive auf das System
ein und erklären, wo potenzielle Performance-Engpässe
lauern.
Den klassischen Bottlenecks Disk I/​O und
Dateisystemen sind jeweils eigene große
Kapitel gewidmet. Ebenso der Netzwerkperformance,
bei der sich ein eigenes
Kapitel mit der Low-Level-Perspektive beschäftig
und ein weiteres um die Awendungs-Protokolle
wie NFS, HTTP, iSCSI
und Fibre Channel kümmert.
Hier macht das Buch jedoch nicht halt,
sondern gibt noch einen Einblick in das
DTrace-Profiling eigener Programme in
zehn Sprachen von C bis Javascript. Für
Administratoren interessanter dürfte der
Teil sein, der sich mit Performance-Tracing
von Datenbanken (MySQL, PostgreSQL
und Oracle) beschäftigt. Lobenswert ist,
dass sich ein eigenes Kapitel sogar noch
um den Komplex „DTrace und Security“
kümmert, wobei auch auf den potenziellen
Missbrauch hingewiesen wird.
Mit über 1100 Seiten ist das Buch die definitive
Referenz für alle DTrace-Anwender
und solche, die es werden wollen. Dabei
gehen die Autoren nicht nur mechanisch
alle DTrace-Funktionen durch, sondern
versuchen beispielhaft, echten Problemen
auf den Grund zu gehen. Sinnvoll
ist das Buch vor allem für ambitionierte
Administratoren von (Open) Solaris.
Auch FreeBSD- und Mac-OS-X-User können
davon profitieren, aber im Detail sind
viele Beispiele Solaris-spezifisch.
SQL-Server sichern
Wie sichert man einen MS-SQL-Datenbankserver?
Denny Cherry, ausgewiesener
MS-SQL-Experte und Autor von „Securing
SQL Server“ fasst die Frage sehr
umfassend auf und nähert sich ihr von
außen nach innen, beginnend mit der
Netzwerksicherheit (Firewalls, physische
Sicherheit, Social Engineering). Die folgenden
Kapitel verengen den Kreis Schritt
um Schritt. Das zweite Kapitel wendet
sich der Verschlüsselung von Datenbanken
zu, es folgt ein Abschnitt über Passwortsicherheit
(inklusive Rollenmodell
und Maßnahmen, um bestimmte Policies
in einer Domain durchzusetzen). Auch
Kapitel vier bleibt noch bei Authentifizierung
und Autorisierung, hier geht es aber
auch um Endpunktsicherheit oder Stored
Procedures als Sicherheitsmaßnahme.
Kapitel 5 bezieht Applikationen ein, die
den MS-SQL-Server nutzen.
Die nächsten Kapitel untersuchen
datenbank interne Services, die häufig
auch Angriffsvektoren sind: Die Analysis
Services als Datenbank-Engine für Online
Analysis Processing (OLAP) werden in
Kapitel 6 betrachtet, und Kapitel 7 nimmt
sich der Reporting Services an.
Das darauffolgende Kapitel beschreibt
eingehend die SQL Injection Attacks.
Ihnen lässt sich durch Validieren der Benutzereingaben
und Parametrisieren der
SQL-Queries relativ leicht vorbeugen.
Das Kapitel demonstriert an zahlreichen
Beispielen, wie er zu erreichen ist.
Um sichere Datenbank-Backups geht es
in Kapitel 9, die darauf folgenden Seiten
behandeln die SAN-Security. Dieses
Thema ist verwandt mit der Netzwerksicherheit
aus Kapitel 1, die Reihenfolge,
in der die einzelnen Aspekte aufgegriffen
werden, folgt also nicht immer stringent
dem Konzept der konzentrischen Ringe.
An das Thema Sicherheits-Audits schließen
sich schließlich zwei Kapitel über
das Rechtekonzept der Datenbank an.
Das Buch vermittelt einen gründlichen
und fundierten Einblick in die Datenbanksicherheit
für den MS SQL Server.
Es ist in leicht verständlichem Englisch
verfasst und bedient sich vieler anschaulicher
Beispiele. (ofr)
n
DTrace
Brendan Gregg, Jim Mauro
DTrace – Dynamic Tracing in Oracle
Solaris, Mac OS X and FreeBSD
1115 Seiten
Prentice Hall
36,95 Euro
ISBN: 978-0132091510
SQL-Server
Denny Cherry
Securing SQL Server
2. Auflage
381 Seiten
Syngress Verlag
39 Euro
ISBN: 978-1597496254
www.admin-magazin.de
Admin
Ausgabe 06-2012
7

1&1 CLOUD SERVER
DAS DEDICATED-GEFÜHL – MIT MAXIMALER FLEXIBILITÄT.
Ihre Anforderungen ändern sich immer wieder, manchmal auch unvorhergesehen? Dann sollten
Sie sich für einen Dynamic Cloud Server von 1&1 entscheiden. Denn bei 1&1 sind Sie immer
auf der sicheren Seite: Mit über 11 Mio. Kundenverträgen, 2 Milliarden € Jahresumsatz,
5.000 Mitarbeitern und 5 Hochleistungs-Rechenzentren ist 1&1 einer der größten Webhoster
weltweit. Und mit 20 Jahren Server-Erfahrung und 1.500 Developern sind wir auch in Zukunft
Ihr zuverlässiger Partner. Darum nutzen Sie bei 1&1 viele Vorteile, die Ihnen so kein anderer
Hoster bietet.
VOLLER ROOT-ZUGRIFF
Komfort und Funktionsumfang eines Root Servers, mit dedizierten Ressourcen.
HÖCHSTE FLEXIBILITÄT
■ CPU, RAM und Festplattenspeicher unabhängig voneinander zubuchbar.
Aktion: Dauerhaft 50% günstiger – pro Stunde und Einheit 0,005 € statt 0,01 €.
■ Per Mausklick ausbaufähig bis hin zum eigenen Rechenzentrum mit maximal
99 virtuellen Maschinen – ohne Migration!
■ Absolute Kostentransparenz durch stundengenaue, leistungsbezogene Abrechnung.
UNLIMITED TRAFFIC
100 Mbit/s Bandbreite. Ohne Zusatzkosten, ohne Drosselung.
PARALLELS ® PLESK PANEL 11
■ neueste Version des besten Verwaltungstools für Ihren Server
■ inklusive unlimited Domains
AUSFALLSICHER
Redundant gespiegelte Speicher- und Recheneinheiten schützen
Ihren Cloud-Server automatisch vor Ausfällen.
DOMAINS | E-MAIL | WEBHOSTING | E-SHOPS | SERVER
* 1&1 Dynamic Cloud Server dauerhaft 19,99 €/Monat statt bisher 39,99 €/Monat in der Basiskonfi guration. Performance Features dauerhaft für 0,005 €/Stunde und Einheit statt bisher
0,01€/Stunde und Einheit zubuchbar. Einrichtungsgebühr von 39,– € entfällt. 12 Monate Mindestvertragslaufzeit. Preise inkl. MwSt.

DAUERHAFT
50 % AUF IHRE
GESAMTE KONFIGURATION
1&1 DYNAMIC CLOUD SERVER
Perfekt als Application-, Datenbank-, Hostingoder
Game-Server – oder für alles zusammen.
■ Basiskonfiguration: 1 CPU, 1 GB RAM,
100 GB Festplatte
■ Unlimited Traffic mit 100 Mbit/s Bandbreite
■ Citrix Xen Server basierend auf AMD Multicore-
Architektur (AMD Opteron 6272)
■ Freie Wahl aus CentOS, Debian, Ubuntu,
openSUSE oder Windows (optional)
■ Nur bei 1&1: Optional SUSE
Linux Enterprise Server
■ Nur bei 1&1: Server-Management und
-Monitoring per Mobile App
■ NEU! 1&1 Snapshot: Definieren Sie einfach
einen Wiederherstellungszeitpunkt für Ihren Server.
■ 24/7 Service und Support durch
1&1 Server Expertenteam.
■ Keine Einrichtungsgebühr
nur 19,
99 39,
99
€/Monat*
0 26 02 / 96 91
0800 / 100 668
www.1und1.info

Login
News
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Neue Software und Produkte
Branchen-News
Rechenzentren wachsen weiter
Mit dem Datacenter Dynamics 2012 Global
Census wurden jetzt erste Ergebnisse
der weltweit größten quantitativen Erhebung
der Daten-Center-Branche bekannt.
Danach wuchsen die Investitionen in Rechenzentren
weltweit um 22 Prozent seit
2011, mit einem prognostizierten weiteren
Anstieg von 14 Prozent im Jahr 2013.
Den größten Anstieg (22,5 Prozent weltweit)
verzeichneten Investitionen im
Facility Management und in der Elektrotechnik,
darunter in Bereiche wie
Stromverteilung-und Schaltgeräte, unterbrechungsfreie
Stromversorgungen,
Generatoren, Kühlgeräte, Sicherheits-
Ausrüstung, Brandbekämpfung und
Data Center Infrastructure Management
(DCIM). Die eigentliche IT-Ausstattung
(aktive Geräte wie Server, Storage, Switches
und Router) zeigte ein langsameres
Wachstum (16,7 Prozent), von 30 auf
35 Milliarden Dollar. Der Aufstellraum
für die Geräte in Rechenzentren (White
Space) vergrößerte sich weltweit von 24
auf 26 Millionen Quadratmeter, bis 2013
wird ein Anstieg auf 31 Millionen Quadratmeter
vorausgesagt.
Trotz der schwierigen wirtschaftlichen
Bedingungen in Europa hat der Rechenzentrums-Sektor
hier weiterhin ein stetiges
Wachstum der Investitionen verzeichnet.
Die Ergebnisse des Datacenter Dynamics
Census zeigen, dass europäische
Investitionen von 2011 auf 2012 um 13,6
Prozent gestiegen sind. Obwohl dieses
Wachstum im Vergleich zu Regionen wie
Asien-Pazifik und Lateinamerika bescheiden
erscheint (jeweils 24,2 und 31,4 Prozent),
ist es ähnlich groß wie auf dem
anderen reifen Rechenzentrum-Markt in
Nordamerika. Europa trägt somit immer
noch einen bedeutenden Anteil zu den
weltweiten Gesamtinvestitionen in die
Rechenzentrum-Industrie bei (105 Mrd.
US-Dollar weltweit).
Ärger bei Open Solaris
Alasdair Lumsden hat in einer E-Mail an die Entwicklerliste
von Open Indiana seinen Rücktritt als Projektleiter erklärt.
Der Hauptgrund dafür sei Zeitmangel, jedoch nutzt er die
Gelegenheit auch für eine Abrechnung mit Teilen der Open-
Solaris-Community.
Die mit dem Illumos-Kernel befassten Firmen wie Joyent, Nexenta
und Delphix hätten sich nur um ihre eigenen spezialisierten
Open-Solaris-Derivate gekümmert und dabei Community-
Projekte vernachlässigt. Illumos entstand nach der Einstellung
von Open Solaris durch Oracle als freies Projekt, das den
Open-Solaris-Kernel unter einer freien Lizenz weiterentwicklt.
Auf der Mailingliste hat sich aus der Ankündigung ein Thread
entwickelt, in der die Protagonisten, darunter Illumos-Gründer
Garrett D’Amore, den Nutzen einer allgemein verwendbaren
Open-Solaris-Distribution diskutieren.
Unter den Diskutanten ist auch Jörg Schilling, der bereits einige
Tage zuvor angekündigt hatte, mit der neuesten Version 0.8
des eigenen Open-Solaris-Derivats Schillix einen neuen Weg
einzuschlagen. Dafür führt er ähnliche Gründe an wie Lumsden,
nämlich die zunehmende Spezialisierung von Illumos als
Storage-Kernel auf Open-Solaris-Basis.
Unverzichtbar ist für Schilling und seine Mitstreiter auch die
Unterstützung des SVr4-Paketsystems, wie er in einer Mail an
die Open-Indiana-Liste noch einmal betonte. Schillix leidet
allerdings derzeit noch, wie auch Open Indiana, an einem
Mangel von Entwicklern. Unterstützung bei der Entwicklung
eines „von Firmeninteressen freien“ Open-Solaris-Projekts sind
deshalb willkommen.
Vincent Untz sitzt Open Suse Board vor
Das Linux-Unternehmen Suse hat den Open-Source-Entwickler
Vincent Untz zum Vorsitzenden des Open Suse Board ernannt.
Diese Entscheidung wurde auf dem Open Suse Summit in Orlando/USA
verkündet.
Der Suse-Angestellte ist durch seine Arbeit an der Desktop-
Umgebung Gnome bekannt und hat als Vorsitzender der Gnome
Foundation bereits Leitungserfahrung gesammelt. Nach seiner
Arbeit am freien Desktop arbeitet er seit Juni 2012 für Suse an
der Cloud-Computing-Architektur Open Stack.
Ralf Flaxa, Suses VP Engineering, begründet die Entscheidung
für Untz: „Wir haben jemanden gesucht, dem sowohl [das
Unternehmen] Suse wie auch die Community Respekt und Vertrauen
entgegenbringen.“ Vincent Untz folgt im Amt auf Alan
Clark, der zurückgetreten
war, um sich seinen anderen
Aufgaben im Unternehmen zu
widmen.
Die Aufgabe des Open Suse
Board ist es, als zentrale Kontaktstelle
zum Projekt zu dienen,
die Interessen der Community
an den Sponsor Suse
zu übermitteln, den Entscheidungsprozess
zu unterstützen
Vincent Untz, der neue Vorsitzende und bei Konflikten zu vermitteln.
Informationen über das
des Open Suse Board, ist ein von
vielen Open-Source-Konferenzen Gremium gibt es unter [http://​
bekanntes Gesicht.
​de.​opensuse.​org/​openSUSE:Rat].
© Frédéric Crozat
10 Ausgabe 06-2012 Admin www.admin-magazin.de

n immer auf http://www.admin-magazin.de ++++ neueste Nachrichten immer auf http://www.
Neue kommerzielle Addons für MySQL
Oracle hat im Rahmen seiner MySQL Connect-Konferenz während
der Hausmesse Oracle OpenWorld in San Francisco zwei
neue kommerzielle Erweiterungen angekündigt. Bei den Neuerungen
handelt es sich zum einen um MySQL Enterprise
Audit, eine sofort benutzbare Komponente für policy-basiertes
Monitoring und Logging von ausgeführten Abfragen. Mit dieser
Erweiterung soll MySQL auch in Anwendungsumgebungen mit
strengen Compliance-Regeln verwendbar sein. Der Anwender
kann alle oder ausgewählte Aktivitäten, die auf Abfragen beruhen,
beobachten und mitschreiben. Die Logs rotieren automatisch.
Die zweite kostenpflichtige Neuerung ermöglicht ein automatisches
Failover auf der Grundlage einer synchronen Replikation,
für die DRBD eingesetzt wird. Alternativ zu diesem HA-Feature
kann MySQL nun außerdem unter Oracle Solaris Cluster betrieben
werden. Der Cluster kann auch die Replikation überwachen
und stellt einen internen Loadbalancer bereit.
PostgreSQL 9.2 erschienen
Mit nativem JSON-Support und vielen Verbesserungen, sei es
bei der Replikation, Indizierung oder Performance ist jetzt das
PostgreSQL-Release 9.2 erschienen, wie die PostgreSQL Global
Development Group bekannt gibt.
Die neue Version unterstützt jetzt bis zu 64 Cores und verbraucht
dabei weniger CPU-Power. Die vertikale Skalierbarkeit
verbessern Fortschritte im Lock Management, bei der Schreibeffizienz,
dem Indexzugriff und bei Low-Level-Operationen im
Umgang mit großen Workloads. Das bedeutet in Zahlen: bis
zu 350 000 Read Queries pro Sekunde, zwei bis zwanzig Mal
schnellere Index-Only-Scans für Data Warehouse-Abfragen, bis
zu 14 000 Schreiboperationen pro Sekunde
Eingeführt wurde die native Unterstützung für JSON, die es erlaubt,
PostgreSQL ähnlich einer NoSQL-Datenbank zu verwenden.
Neu kamen Datentypen für Bereiche (Range Types) hinzu,
die sich für viele Anwendungen in der Datumsrechnung und bei
wissenschaftlichen und finanziellen Berechnungen eignen.
KDE gründet User Working Group
Das KDE-Projekt hat eine User Working Group ins Leben gerufen,
um die Kommunikation zwischen Anwendern und Entwicklern
zu verbessern.
Zu diesem Zweck halten die Organisatoren öffentlich Meetings
per Internet ab, jüngst per Google Hangout. Die Mitschriften
sind unter [http://​uwg.​kde.​org] nachzulesen. Daneben findet sich
dort ein elektronischer Fragebogen, der sich ohne Registrierung
in 5 Minuten ausfüllen lässt. Dort fragen die Macher nach der
Akzeptanz von Mailinglisten, Bugtracker und Foren – den bisherigen
Kommunikationsinstrumenten zwischen KDE-Entwicklern
und ‐Anwendern.
Außerdem plant die User Working Group, eine Anwendervertretung
namens User Panel einzuführen. Interessierte könne ihre
E-Mail-Adresse auf den Seiten der Arbeitsgruppe hinterlassen.
NetBSD 6.0 erschienen
Das NetBSD-Projekt hat die neue Version 6 freigegeben, die die
Skalierbarkeit auf Multicore-Systemen verbessern soll, neue und
überarbeitete Treiber mitbringt und auch ganz neue Features
wie einen neuen Paketfilter enthält.
Zu den Higlights der neuen Version gehört eine bessere Unterstützung
für symmetrisches Multiprozessing (SMP) auf
PowerPC-Plattformen und für Xen domU-Kernel. Neu unterstützt
werden die Freescale MPC85xx-Prozessoren und der ARM
Cortex-A8-Prozessor. Zu den weiteren Neuerungen zählen ein
BSD-lizenziertes NetPGP statt des GPL-lizenzierten GnuPG.
Hinzugekommen ist auch ein Logical Volume Manager (LVM),
der libdevmapper von Linux und die von Linux bekannten
LVM-Werkzeuge verwendet. Neu geschrieben wurde der Kernel-
Treiber. Ein neuer Paketfilter NPF soll nun schneller als sein
Vorgänger sein. Die neue Version ist dem im März verstorbenen
Entwickler Allen Briggs gewidmet.
Freiburg: Rückkehr zu Microsoft Office?
Die Stadt Freiburg wird seit Jahren zu den Kommunen gezählt,
die Open Office anwenden. Ein offener Brief der Open Source
Business Alliance [http://​www.​osb‐alliance.​com] vermutete im September
Pläne, wieder Microsoft Office einzuführen.
Grundlage der neuen Ausrichtung sei laut OSB Alliance „ein
extern angefertigtes, unter Verschluss gehaltenes Gutachten.“
Daneben schreibt die Organisation, die sich für Open Source
in Wirtschaft und Verwaltung einsetzt: „Die für die Umstellung
benötigten Budgets sind – soweit uns bekannt – bereits genehmigt,
und Mitarbeiter werden über die bevorstehende, erneute
Umstellung informiert.“
Das Schreiben kritisiert, dass die Verwaltung sich offenbar ohne
Diskussion dem Gemeinderatsbeschluss von 2007 für das freie
Office-Format ODF widersetzt. Der offene Brief endet mit zwei
Fragen an die Kommune: warum das Gutachten nicht öffentlich
gemacht werde, und wie eine Umstellung auf Microsoft Office
zum Beschluss zugunsten des Open Document Formats passe.
Neben Peter Ganten und Holger Dyroff aus dem Vorstand der
Open Source Business Alliance haben den Brief zudem Matthias
Kirschner von der Free Software Foundation Europe und Marco
Schulze vom Bundesverband Informations- und Kommunikationstechnologie
unterzeichnet.
Auf Anfrage des Linux-Magazins erhlärte die Leiterin des Freiburger
Pressereferats, das Gutachten „empfiehlt eine Rückkehr
zu MS Office, allerdings nicht generell. Das Gutachten geht
umfassend um die IT in der Stadtverwaltung, die Fragen nach
Open Office ist dabei ein Aspekt von sehr vielen.“
Wer das Gutachten erstellt hat, verrät die Stadt aber nicht.
Es wurde intern im Mai präsentiert. Derzeit seien Ämter und
Dienststellen sowie die Personalvertretung zu Stellungnahmen
aufgefordert. Im November entscheidet der Gemeinderat, dann
sollen die Entschlussvorlagen zur Sache öffentlich im Online-
Ratsinformationssystem unter [https://​freiburg.​more‐rubin1.​de] zu
lesen sein.
www.admin-magazin.de
Ausgabe 06-2012
11

Login
News
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Webplatform.org dokumentiert Webtechnologien
Zusammen mit Industriegrößen wie
Adobe, Facebook, Google, Mozilla und
Microsoft hat das W3C die Alphaversion
der Site [http://​www.​webplatform.​
​org] veröffentlicht, die zur
zentralen Informationsstelle
für Webtechnologien werden
soll.
Die Seite ist derzeit mit einem
Grundstock an Informationen
zu HTML 5, CSS, SVG, Canvas,
Video und Audio im Web,
Web GL und Indexed DB ausgestattet.
Begleitet werden die
Informationen von Blog, Forum,
Tutorials und IRC-Chat.
Nach den Vorstellungen der
Initiatoren kann sich jedermann
an der Informations-
bündeln.
sammlung beteiligen, weshalb die Website
auch ein Wiki enthält. Die Inhalte
stehen unter freien Lizenzen wie etwa
Webplatform.org soll Dokumente über sämtliche Webtechnolgien an einem Ort
Creative Commons (Attribution, Non
Commercial, Share Alike 2.5). Die Seite
ist derzeit in englischer Sprache, Lokalisierungen
sind geplant.
Das World Wide Web Consortium
(W3C) betreut Webplatform.org
im Auftrag der
Mitglieder.
Der WWW-Erfinder und W3C-
Direktor Tim Berners-Lee sieht
die Website als „ehrgeiziges
Projekt, in dem alle, die sich
für das Web engagieren, Wissen
miteinander teilen und einander
helfen können.“ Dazu
hätten alle Beteiligten etwas
beizutragen: Designer, Entwickler,
Browser- und Tool-
Hersteller.
Solaris 11.1 ist da
Oracle hat im Rahmen seiner Hausmesse OpenWorld in San
Francisco eine neue Solaris-Version vorgestellt. Mehr als 300
neue Features und Performanceverbesserungen sollen in das
neue Release eingeflossen sein. Schwerpunkte waren dabei eine
weiter verbesserte Unterstützung für Oracles Datenbank und
das Cloud Computing. Außerdem präsentiert sich Solaris als das
Betriebssystem für Oracles SPARC-Server der T-Series: SPARC
SuperCluster T4-4, Exadata Database Machine und Exalogic
Elastic Cloud.
Im Datenbankbereich hat sich nach Herstellerangaben die Latenz
von Locks innerhalb des Real Application Clusters um
17 Prozent verbessert, indem das Lock-Management in den
Solaris-Kernel verlagert wurde. Die Göße der System Global
Area (SGA) einer Oracle Datenbank soll sich nun ohne Reboot
ändern lassen. Für Anwendungen im HPC-Bereich werden jetzt
von der Datenbank bis zu 32 TByte RAM und Tausende CPUs
unterstützt.
Als Cloud-Betriebssystem lassen sich mit Solaris sowohl Infrastructure
as a Service- (IaaS), Platform as a Service- (PaaS) als
auch Software as a Service-Clouds (SaaS) auf vielen SPARCund
x86-Servern im Enterprise-Maßstab einrichten. Erstmals
wird dabei das Federated File System (FedFS) supportet, das
einen einheitlichen Namespace innerhalb einer großen Cloud
erlaubt. Weiter verbessert wurden zudem die Features der Software
Defined Networks (SDN), beispielsweise der New Data
Center Bridging Support der Ethernet und Storage Networks
kombiniert. Oracle Solaris Zone vervierfacht seine Performance
im Vergleich mit der Vorgängerversion. Wie schon in der Vergangenheit
garantiert auch Oracle 11.1 Binärkompatibilität mit
früheren Solaris-Versionen durch das Solaris Binary Application
Guarantee Program. Ältere Solaris Applikationen lassen sich
dabei in den Oracle Solaris Legacy Containern ausführen.
Ceph: Finanzspritze von Shuttleworth
Wie die Firma Inktank bekannt gibt, beteiligt sich der Ubuntu-
Gründer Mark Shuttleworth mit einer Million US-Dollar am
Unternehmen. Inktank wirkt maßgeblich an der Entwicklung
des verteilten Dateisystems Ceph mit und bietet kommerziellen
Support dafür an. Gegründet wurde Inktank von Sage Weil,
der das Dateisystem im Rahmen seiner Doktorarbeit entwickelt
hat.
Ceph implementiert ein verteiltes Dateisystem mit Posix-Kompatibilität
und steht in Konkurrenz zu dem etwa von Red Hat
favorisierten GlusterFS. Auf Ceph lässt sich mit RADOS ein
verteilter Blockspeicher realisieren, der zum Beispiel Striping,
Snapshots und Replikation bietet. Das Ceph-Dateisystem bildet
auch das Storage-Subsystem für das Cloud-Computing-Framework
Open Stack in neueren Ubuntu-Versionen.
Zentyal Business Server 3.0 ist fertig
Wie die spanische Firma Zentyal mitteilt, ist ihr gleichnamiges
Server-Produkt in Version 3.0 verfügbar. Neu ist beispielsweise
Samba 4, wodurch der auf Linux basierende Server als vollwertiger
Ersatz für Active Directory dienen kann. Die neueste
Version bietet außerdem Single Sign-On mit Kerberos, sowie
eine Reihe von Performance- und Usability-Verbesserungen.
Module wie die eingebaute Firewall und der Support für die
Zarafa-Groupware wurden überarbeitet. Zentyal 3.0 basiert auf
Ubuntu Server 12.04 LTS. Zur Verwaltung des Servers bietet
Zentyal eine webbasierte GUI. Zentyal gibt es als kostenlose
Community-Version sowie in zwei Ausführungen als kostenpflichtiges
Subskriptionsprodukt, für das der Hersteller Support
leistet. Die Small Business Edition ist auf 25 Benutzer begrenzt,
die Enterprise Edition funktioniert unbeschränkt.
12 Ausgabe 06-2012 Admin www.admin-magazin.de

n immer auf http://www.admin-magazin.de
Neuer ISO-Standard für Cybersecurity
Das Joint Technical Committee ISO/​IEC JTC 1, Information
Technology, Subcommittee SC 27, IT Security Techniques der
International Organization for Standardization (ISO) hat einen
neuen Standard mit dem Titel „ Information technology – Security
techniques – Guidelines for cybersecurity“ veröffentlicht.
Der neue ISO-Standard beschreibt grundlegende Techniken
der Cybersecurity, insbesondere zum Informationsaustausch
und zur Zusammenarbeit bei der Bearbeitung von
Vorfällen. Im Einzelnen geht es um: einen Überblick über
Cybersecurity,Erläuterungen zu den Beziehungen zwischen
Cybersecurity und anderen Feldern der IT-Sicherheit, Ausführungen
zu den Beteiligten und ihren Rollen, einen Leitfaden zur
Behandlung der wichtigsten Probleme auf diesem Gebiet, ein
Framework für die Behandlung von Sicherheitsvorfällen.
Johann Amsenga, Obmann der Standard-Arbeitsgruppe, meint:
„Geräte und Netzwerke im Cyberspace haben verschiedene
Eigentümer, jeder mit eigenen Geschäftsinteressen und Regelungen.
Die verschiedenen Benutzer teilen sich nicht nur wenige
oder keine Informationen, sie haben auch eine verschiedene
Perspektive auf Sicherheitsfragen. Diese Zersplitterung birgt
Sicherheitsrisiken im Cyberspace. ISO/​IEC 27032 bietet nun
eine übergreifende, gemeinschaftliche und alle Interessenten
einbeziehende Lösung zur Verminderung dieser Risiken.“
TM
MobyDick
D i e Z u k u n f t der Telefonie
Mit der MobyDick Telefonanlage haben Sie alle Fäden selbst in
der Hand. Außerdem verbinden Sie die Features modernster
Telefonie mit den Vorteilen von Voice over IP.
Die Kommunikationslösung für Ihr
Unternehmen
Speicher für 100 Millionen Jahre
Der Speicherspezialist Hitachi hat jetzt ein Medium aus Quarzglas
vorgestellt, das Daten bis zu 100 Millionen Jahre sicher
speichern können soll. Für eine gewöhnliche CD kann man eine
Lebensdauer von höchstens einigen Jahrzehnten veranschlagen,
und auch andere Medien – Festplatten, Magnetbänder und
so weiter – erreichen keine andere Größenordnung bei der Speicherdauer.
Das jetzt von Hitachi vorgestellte millimeterdünne
Quarzglas, in das unabhängig von elektromagnetischen Effekten
mechanisch Punkte eines Binärcodes geschrieben werden,
ist wasserfest, hitzebeständig und unempfindlich gegenüber
vielen Chemikalien. Die Speicherdichte soll momentan der
einer CD entsprechen, die Forscher glauben aber, dass sie sich
mit zusätzlichen Lagen aus dem Glas deutlich erhöhen lässt. In
Versuchen wurde das Material zwei Stunden lang auf über 1000
Grad erhitzt, ohne dass sich der Speicherinhalt änderte. Damit
könnte es sich etwa als Alternative zu Mikrofilmen eignen.
Am Massenmarkt werden sich die Quarz-Disketten allerdings
aus Kostengründen kaum durchsetzen können. Ihr Nachteil ist
zudem, dass sie nur einmal beschreibbar sind.
Noch ist unklar, wann eine Serienfertigung aufgenommen wird
– die Technologie soll aber bereits hinreichend ausgereift sein.
„Die Menge an Daten, die täglich produziert wird, explodiert.
Was die langfristige Aufbewahrung angeht, haben wir seit
der Zeit der Steingravur nicht notwendigerweise dazugelernt.
Die Gefahr von Datenverlust wächst sogar, durch wechselnde,
manchmal inkompatible Technologien. Unsere Lösung garantiert
lesbare Daten für eine sehr lange Zeit“, sagt Chef-Entwickler
Kazuyoshi Torii.
www.admin-magazin.de
Unified Communications:
Telefon
Video
VoiceMail
Präsenzmanager
Instantmessaging
FaxEmail Gateway
PrintFax Gateway
Conferencing
Voicemailboxen
Mehr Informationen finden Sie unter:
http://www.pascom.net
http://community.pascom.net
NEU
Kostenlose
Community
Version
erhältlich
pascom
Netzwerktechnik GmbH & Co. KG
Berger Straße 42
94469 Deggendorf
Tel.: +49 991 27006 - 0
Admin
Ausgabe 06-2012
13

Login
News
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Open Office für Leipzig, Libre Office für München
Münchens Limux-Projekt stellt erneut sein Office-Paket um,
dieses Mal von Open auf Libre Office. Aus einem Erfahrungsaustausch
mit Leipzig geht zudem hervor, dass dort eine Entscheidung
zugunsten von Open Office gefallen sei. Innerhalb
nur weniger Monate habe man dort mehr als 90 Prozent der
Desktops auf Open Office migriert. Eine feste Größe im Jahr
der Libre-Office-Anwender und ‐Entwickler soll das Libre-Of-
Windows Server 2012 fertiggestellt
Wie die Firma Microsoft bekannt gibt, ist der Windows Server
2012 ab sofort vefügbar. Dem aktuellen Trend entsprechend
positioniert Microsoft sein neues Produkt als Betriebssystem
für die Cloud. Insbesondere Verwaltungs-Tools wie System
Center wurden dazu mehr auf das Management virtualisierter
Umgebungen zugeschnitten. Überarbeitet hat Microsoft auch
die Virtualisierungsplattform Hyper-V, die nun in Version 3.0
enthalten ist. Auch Active Directory wurde aktualisiert. Es lässt
sich nun einfacher virtuell betreiben.
Windows Server 2012 gibt es in vier Ausführungen: Essentials,
Foundation, Standard und Datacenter. Essentials richtet sich
an kleine und mittlere Unternehmen mit maximal 25 Nutzern.
Foundation enhält keine Virtualisierungsfunktionen und wird
nur von OEMs (Original Equipment Manufacturer) vertrieben.
Die Datacenter-Variante erlaubt im Gegensatz zu Windows Server
2012 Standard nicht nur zwei, sondern beliebig viele virtuelle
Instanzen von Windows Server 2012 auf einem Rechner mit
bis zu zwei Prozessoren. Eine Reihe von Videos auf der Website
[http://​www.​windows‐server‐launch.​com/] geben eine Einführung in
die neuen Features.
Frankfurter Datenbanktage startklar
Das Vortragsprogramm der Frankfurter Datenbanktage steht
jetzt fest: Rund 50 Datenbank-Experten referieren zu Themen
wie Datenbankbetrieb, Monitoring, Troubleshooting, Migrationen
oder Performance Tuning in Bezug auf Datenbanken wie
Oracle, MS SQL Server, PostgreSQL, MySQL und NoSQL oder
DB2.
Die Frankfurter Datenbanktage finden im Frühjahr 2013 vom
13. bis 15. März statt. Am ersten Tag gibt es einen optional
auch einzeln buchbaren Trainingstag mit Hands on Workshops
und Übungen. An den zwei folgenden Konferenztagen stellen
namhafte Referenten Datenbankthemen aus der Welt von IBM,
Oracle, Microsoft und Opensource-Datenbanken in fünf parallelen
Vortragstracks und mehr als 50 intensiven Sessions zur
Diskussion. Die auf 150 Personen begrenzte Teilnehmerzahl soll
dafür sorgen, dass die Referenten auch nach den Sessions für
Fragen greifbar sind. Eine weitere Gelegenheit für den Erfahrungsaustausch
bietet eine Abendveranstaltung mit exklusivem
Buffet, zu der alle Referenten und Teilnehmer herzlich eingeladen
sind. Das Vortragsprogramm ist unter der Adresse [http://​
​www.​frankfurter‐datenbanktage.​de] zu finden.
fice-Hackfest werden, das die Document Foundation und das
Libre-Office-Team Ende November in München veranstalten.
Wie bereits im Vorfeld bekannt wurde, wird der Gastgeber
Limux (Münchens Linux-Projekt) dabei mit gutem Beispiel
vorangehen und dort offiziell den geplanten Umstieg auf Libre
Office verkünden.
Außerdem vermeldete das Limux-Blog, dass auch die Stadt
Leipzig sich endgültig für den Umstieg auf Open Office entschieden
und bereits mit der Migration begonnen habe. Seit den
ersten Ankündigungen im Frühjahr 2012 habe die Stadtverwaltung
der sächsischen 500 000-Einwohner-Stadt bereits auf 3900
der 4200 PCs Open Office installiert und nutze es als Standard
für Bürosoftware.
Bei einem Besuch in der bayerischen Landeshauptstadt trafen
sich im Oktober die Verantwortlichen der beiden Metropolen
zum Erfahrungsaustausch. Kirsten Böge, Leiterin Kommunikation
beim Projekt Limux, zitiert im Blog den IT-Koordinator
der Stadt Leipzig, Hannes Kästner mit den Worten „Das ist das
erste große Open-Source-Projekt in der Stadtverwaltung Leipzig.“
Ziel sei es, die Abhängigkeit von proprietärer Software zu
verringern.
Univention Absolventenpreis 2013
Das Bremer Linux-Unternehmen Univention eröffnet den Bewerbungszeitraum
für seinen Absolventenpreis 2013, der Abschlussarbeiten
zu Open-Source-Themen prämiert.
Teilnehmen können Autoren von Diplom-, Master- und Bachelorarbeiten
an Fachhochschulen oder Hochschulen, die innerhalb
der Jahre 2011, 2012 oder Anfang 2013 beurteilt wurden.
Der Preis ist interdisziplinär konzipiert, neben der Informatik
können die Beiträge also auch aus anderen Fächern stammen,
wenn sie praxisnah und innovativ Weise den Einsatz von
Open-Source-Software untersuchen und verbessern. Die besten
Arbeiten wählt eine unabhängige Expertenjury aus, der auch
der Linux-Magazin-Chefredakteur Jan Kleinert angehört.
Die drei Bestplatzierten erhalten 2000, 1000 und 500 Euro. Die
Verleihung der Preise findet auf dem Linuxtag 2013 in Berlin
statt. Interessenten können sich unter [http://​www.​absolventenpreis.​
​de] informieren und ihre Bewerbung ab dem 15. Oktober 2012
bis zum 17. Februar 2013 per E-Mail einreichen.
Absolventenpreis: 2012 belegte Dominik Leibenger mit seiner Masterarbeit „Vertrauliche
Versionsverwaltung mit Subversion“ den zweiten Platz.
14 Ausgabe 06-2012 Admin www.admin-magazin.de

News
Login
n immer auf http://www.admin-magazin.de ++++ neueste Nachrichten immer auf http://www.
Red Hats Umsatz gewachsen
Das Linux-Unternehmen Red Hat hat Zahlen für das zweite
Quartal des Geschäftsjahrs 2012/2013 vorgelegt, das für die USamerikanische
Firma am 31. August 2012 endete.
Mit einem Umsatz von 323 Millionen US-Dollar verzeichnet
Red Hat ein Wachstum von 15 Prozent gegenüber dem Vorjahresquartal.
Von dieser Summe entfallen 279 Millionen auf die
Software-Subskriptionen, 17 Prozent mehr als im Vorjahr. Stärker
noch stieg der operative Cashflow: Mit 104 Millionen waren
es 35 Prozent mehr als im Vorjahresquartal. Der Nettogewinn
betrug 35 Millionen US-Dollar und blieb damit hinter den 56,5
Millionen des Vorjahres zurück.
CEO Jim Whitehurst sieht den Umsatzzuwachs durch die starke
Nachfrage nach den Open-Source-Produkten seines Unternehmens
bedingt. Sie böten den Kunden Flexibilität, Innovation
und Skalierbarkeit. Im September hatte das Wirtschaftsmagazin
Forbes Red Hat in seiner Liste der innovativsten Unternehmen
weltweit aufgeführt. Laut Red-Hat-Finanzchef Charlie Peters
haben sich die Ausgaben des Unternehmens für die Entwicklung
neuer Speicherprodukte und die Akquisition zweier Unternehmen
erhöht.
Landscape soll 40 000 Rechner verwalten
Eine unabhängige Studie von Enterprise Management Associates
stellt Canonicals Systemmanagement-Tool Landscape ein
hervorragendes Zeugnis aus: Sie behautptet, die Software könne
die Kosten einer IT-Abteilung unter bestimmten Umständen um
zwei Drittel senken.
Ein Return of Investment (ROI) von mehr als 1000 Prozent in
fünf Jahren verspricht die Studie, wenn ein Unternehmen 1000
Ubuntu-Clients einsetze und diese mithilfe von Landscape verwalte.
Das werde möglich, weil ein Admin mit Landscape problemlos
große Zahlen von Rechner verwalten könne, schreibt
Canonical in einer Pressemitteilung – konkret bis zu 40 000.
Landscape automatisiere die üblichen Arbeitsschritte und reduziere
die Komplexität beim Verwalten der Server.
In der Meldung kündigt Canonical auch Updates für die Administrationsoberfläche
an. Dank der neuen und verbesserten
Funktionen erfülle man die Sicherheitsstandards von Kreditkarteninstituten
und Regierungen (PCI DSS, HIPAA/​HITECH,
SOX), die unter anderem Vorgaben für den Umgang mit Patches,
Sicherheit und Benutzerzugriffe machen. Zentralisierte Werkzeuge
würden dabei helfen, Updates für die Server einzuspielen
und Compliance-Reports für alle Elemente der Infrastruktur zu
erstellen.
Zudem erlaube Landscape nun verbesserte rollenbasierte Zugriffe
und biete ein vollständiges API an, was bedeutet, dass
es sich in existierende Infrastrukturen integrieren lässt, etwa
Puppet, Nagios oder Ticket-Systeme. Auch Admin-Skripte ließen
sich über das API einfach anbinden. Zudem könne man mit
Landscape laut Canonical lokale Paketquellen aufsetzen und
verwalten sowie die für Ubuntu verfügbaren Systeme einbinden,
etwa Metal-as-a-service (MaaS), das Rechner mit Betriebssystemen
betankt. (jcb/​kki/​mfe/​ofr/​mhu)
Neuer Security-Report von Microoft
Im Rahmen der Sicherheitskonferenz RSA Conference Europe in
London stellt Microsoft die dreizehnte Ausgabe des halbjährlichen
Security Intelligence Report (SIRv13) vor.
Aus den Analysen des aktuellen SIRv13 geht hervor, dass das
Exploit Java/​Blacole mit einer Infektionsrate von 19,2 Prozent
für Deutschland die größte Bedrohung sowohl für Unternehmen
als auch für Endverbraucher darstellt. „Cyberkriminelle
installieren den Blacole-Schadcode auf Webservern – besucht
ein Internetnutzer dann die auf den Servern hinterlegten Internetseiten,
besteht die Gefahr, sich während des Surfens unbemerkt
zu infizieren, wenn keine geeigneten Sicherheitsupdates
installiert sind“, erklärt Michael Kranawetter, Microsoft Chief
Security Advisor, das heimtückische Vorgehen. Diese Methode
der Malwareverbreitung ist allein im ersten Quartal 2012 bis Ende
Juni 2012 von 26,5 Prozent auf 28,2 Prozent angestiegen.
Microsoft erstellt den Security Intelligence Report zweimal im
Jahr und informiert damit über Veränderungen in der Sicherheitslandschaft.
Zudem werden Benutzern Anleitungen zum
Schutz ihrer Netzwerke zur Verfügung gestellt. Die vorliegende
Ausgabe des Security Intelligence Report umfasst zwischen
Januar und Juni 2012 generierte Daten und Analysen von mehr
als 600 Millionen Systemen in über 100 Ländern weltweit.
… alles nur eine Frage der Lastverteilung !
BalanceNG ®
●
Der Software Load-Balancer für Linux und Solaris
●
Voll virtualisierbar
●
Keine zusätzliche Hardware erforderlich
●
Security made in Germany:
Garantiert frei von versteckten “Backdoors”
Alle Informationen unter: www.BalanceNG.net
Inlab Software GmbH
Josef-Würth-Str. 3
82031 Grünwald
Tel: 089 / 64911420
http://www.inlab.de
www.admin-magazin.de
Admin
Ausgabe 06-2012
15

Login
Admin-Story
© schiffner, Photocase
Wegweiser duch Crypto-Bibliotheken und ‐Services
Im Dickicht
Der Einsatz von Crypto-Bibliotheken kann manchmal etwas umständlich
sein. Dass hiervon gleich eine ganze Handvoll existieren, erleichert die
Sache nicht unbedingt. Der folgende Artikel versucht, ein wenig Licht ins
Dunkel zu bringen und erklärt den Einsatz der Network Security Services
(NSS) und OpenSSL im Zusammenhang mit X.509-Zertifikaten. Thorsten Scherf
Linux lässt einem bei nahezu allem die
Wahl zwischen einer Vielzahl von Alternativen,
warum sollte dies also bei
Crypto-Frameworks anders sein? Auf
proprietären Systemen hat man sich
meistens auf ein bestimmtes Framework
festgelegt (beispielsweise die CryptoAPI
bei Microsoft Windows) und passt die
Standard-Applikationen daraufhin an, bei
Linux existieren neben den bekannten
OpenSSL und den Network Security Services
auch noch BeeCrypt, Cyrus SASL,
libgcrypt, GnuTLS und diverse andere
Implementierungen.
Große Auswahl
Dabei versuchen nahezu alle Frameworks
das gleiche Problem zu lösen oder
ähnliche Lösungen für bestimmte Anwendungsfälle
anzubieten, also beispielsweise
eine Implementierung für das TLS/​
SSL-Protokoll, für S/​MIME, für Crypto-
Algorithmen und Hash-Funktionen, Zufallszahlen-Generatoren
und Ähnliches.
Hier den Überblick zu behalten, ist nicht
wirklich einfach. Zumal es dem Entwickler
einer Anwendung natürlich freigestellt
ist, welches Crypto-Framework
er für seine Applikation verwendet. Ob
die Auswahl des Frameworks auf dem
System, auf dem die Anwendung einmal
laufen wird, zu Problemen führt, ist nicht
wirklich sichergestellt.
Ein kleines Beispiel: Die Anwendung
nutzt die Network Security Services und
erwartet Benutzerzertifikate in einem
Berkley-DB basierten Zertifikatsspeicher.
Der Benutzer hat sein X.509-Zertifikat
aber als PEM-codierte Datei auf dem
Dateisystem liegen und weiß nichts von
einer Berkley-DB. Hier ist erst einmal etwas
Handarbeit gefragt, bevor schließlich
das Benutzerzertifikat als PKCS#12
Datei in die Berkely-DB geschoben werden
kann. Das Fedora-Projekt hat sich
vor einiger Zeit zum Ziel gesetzt, diesen
Wildwuchs etwas einzudämmen und ein
Crypto-Framework gesucht, das einen
breiten Funktionsumfang, hohe Portabilität
und ein flexibles Lizenzierungsmodell
bietet. Betrachtet man die Anforderungen,
so kommen hierfür eigentlich
nur OpenSSL und die Network Security
Services (NSS) infrage.
OpenSSL ist in der OpenSource-Community
sehr gut bekannt und hat die erste
OpenSource-Implementierung für SSL zur
Verfügung gestellt, hat einen hohen Verbreitungsgrad
auf Unix-artigen Systemen
und verwendet ein duales Lizenzierungsmodell
– es kommen die BSD-artigen Lizenzen
SSLeay und OpenSSL zum Einsatz.
NSS ist das ältere Framework und hat von
Haus aus einen höheren Funktionsumfang
als OpenSSL. Der Zertifikatsspeicher
besteht aus einer Berkeley-Datenbank,
anders als bei OpenSSL, wo Zertifikate
in regulären Dateien abgelegt sind. NSS
verwendet ein dreistufiges Lizenzierungsmodell,
bestehend aus der Mozilla, der
GNU General und der GNU Lesser General
Public License.
OpenSSL oder NSS
Heute setzt der Großteil der Fedora-Applikationen
NSS als Crypto-Framework
ein, andere Anwendungen benutzen
OpenSSL oder lassen dem Benutzer die
Wahl zwischen dem einen oder dem
anderen Framework. Ein gutes Beispiel
hierfür ist der bekannte Webserver
Apache. TLS/​SSL-Support stellt dieser
seit jeher über das Modul »mod_ssl« zur
Verfügung. Vor einiger Zeit bereits wurde
daneben das Modul »mod_nss« für den
Einsatz der Network Security Services
entwickelt. Dem Admin steht es frei, das
eine oder das andere Modul einzusetzen.
Ähnlich ist es auch auf der Client-
Seite. OpenLDAP kann beispielsweise mit
18 Ausgabe 06-2012 Admin www.admin-magazin.de

Admin-Story
Login
OpenSSL-basierten, aber auch mit NSS-
Zertifikaten umgehen. Das Ziel ist dabei,
immer mehr Applikationen auf NSS umzustellen.
Bis es so weit ist, sollte man
also mit beiden Frameworks umgehen
können. Besonders interessant ist hierbei
die Verwaltung von X.509-Zertifikaten.
Die folgenden Beispiele geben eine kurze
Einführung in die verfügbaren Tools der
beiden Frameworks und wie sich mit deren
Hilfe, Zertifikate sowohl von NSS als
auch von OpenSSL nutzen lassen.
Apache zertifiziert
Als praktisches Beispiel soll hier der Apache-Webserver
dienen. Die Konfiguration
des Servers wurde entsprechend so geändert,
dass statt »mod_ssl« nun mod_nss
zum Einsatz kommt. Das entsprechende
RPM bringt bereits eine NSS-Datenbank
mit, die im Verzeichnids /»etc/httpd/
alias/« liegt. Eine neue Datenbank richtet
der folgende Befehl ein:
certutil ‐N ‐d /etc/httpd/alias‐new/
Ein selbst signiertes CA-Zertifikat erstellt
der folgende Befehl:
certutil ‐S ‐n "TUXGEEK CA CERT" ‐s "cn=U
CAcert" ‐x ‐t "CT,," ‐m 1000 ‐v 120 ‐d /
etc/U
httpd/alias‐new/
An dieser Stelle zeigt Certutil bereits an,
dass das CA-Zertifikat in der NSS Datenbank
gespeichert wurde:
certutil ‐L ‐d /etc/httpd/alias‐new/
Im Anschluss ist auf dem System, auf
dem das Zertifikat verwendet werden
soll, ein entsprechender Zertifikats-Request
(CSR) zu erzeugen:
certutil ‐d /etc/httpd/alias‐new/ ‐R ‐s U
"CN=www.tuxgeek.de" ‐o tuxgeek.csr ‐g 2048U
‐k rsa
Der nächste Schritt besteht nun dann darin,
den zuvor erzeugten Client-Request
durch die CA zu signieren:
certutil ‐C ‐m 2345 ‐i tuxgeek.csr U
‐o tuxgeek.crt ‐c "TUXGEEK CA CERT" ‐d U
/etc/httpd/alias‐new/
Schließlich steht nun das angefragte X.509-
Zertifikat zur Verfügung und kann auf dem
Apache-System in die dort vorhandene
NSS Datenbank importiert werden:
certutil ‐d /etc/httpd/alias‐new/ U
‐A ‐n tuxgeek‐cert ‐t ,, ‐i tuxgeek.crt
Da das Zertifikat zuvor im Binary-Format
erzeugt wurde, lässt es sich aktuell nur
mit »certutil« anzeigen. Alternativ besteht
die Möglichkeit, direkt ein ASCII-
Zertifikat anzulegen (mithilfe der Option
»‐a« beim Erzeugen des CSR):
certutil ‐d /etc/httpd/alias‐new/ ‐L ‐nU
tuxgeek‐cert
Sind alle Zertifikate erzeugt, bleibt noch,
den Apache-Server zu konfigurieren
und die korrekten Namen für Serverund
CA-Zertifikat einzugeben. Auf den
Client-Systemen muss ebenfalls noch das
CA-Zertifikat importiert werden. Dieser
Schritt entfällt natürlich, wenn der Request
an eine externe CA ging, oder die
eigene CA durch diese verifiziert wurde
und das externe CA-Zertifikat bereits auf
den Client-Systemen vorhanden ist. Im
ersten Fall ist das CA-Zertifikat aus der
Datenbank zu exportieren, bevor es auf
den Clients importiert werden kann:
certutil ‐d /etc/httpd/alias‐new/ ‐L U
‐r ‐n "TUXGEEK CA CERT" > cacert.crt
Wer möchte, kann natürlich sein Server-
Zertifikat mit dem dazugehörigen privaten
Schlüssel sichern und die PKCS#12-
Datei mit einer Passphrase sichern:
pk12util ‐d /etc/httpd/alias‐new/ ‐o U
apache.p12 ‐n tuxgeek‐cert
Wer an dieser Stelle gedacht hat, die
Tipp arbeit ist endlich vorbei, der irrt.
Wie zu Anfang bereits erwähnt, mag natürlich
noch der Fall auftreten, dass bereits
ein PEM codiertes Zertifikat vorliegt,
das in der Vergangenheit einmal mittels
OpenSSL erzeugt wurde, und das nun
in eine NSS Datenbank importiert werden
muss. Dies ist nicht weiter schwer,
OpenSSL erledigt dies mit einem einzelnen
Befehl. Das Beispiel geht davon aus,
Der Autor
Thorsten Scherf arbeitet als Senior Consultant für
Red Hat EMEA. Er ist oft als
Vortragender auf Konferenzen
anzutreffen. Wenn neben
Arbeit und Familie noch
Zeit bleibt, nimmt er gerne
an Marathonläufen teil.
dass das Zertifikat und der private Schlüssel
im aktuellen Verzeichnis liegen:
openssl pkcs12 ‐in httpd.crt ‐inkey httpd.U
pem ‐export ‐out httpd.p12
Um die so erzeugte PKCS#12-Datei in die
NSS-Datenbank zu schieben, kommt nun
wieder »pk12util« zum Einsatz:
pk12util ‐d /etc/httpd/alias‐new/ httpd.p12
Das PKCS#12-Format eignet sich auch
prima dafür, das Zertifikat mit dazugehörigen
privaten Schlüssel zwischen
verschiedenen Systemen auszutauschen.
Beispielsweise auch dann, wenn mittels
eines Benutzer-Zertifikates eine Anmeldung
auf einem Webserver stattfinden
soll. Ein Import der Datei in den eigenen
Webbrowser sorgt dafür, dass er das Zertifikat
kennt und die Anmeldung klappt.
Mit Python skripten
Wer nach der ganzen Arbeit nun noch
Lust hat, sich ein wenig weiter mit den
Network Security Services auseinanderzusetzen
und vielleicht das Framework in
die eigene Anwendung interieren möchte,
für den sei an dieser Stelle darauf hingewiesen,
dass diverse Sprach-Bindings für
den Zugriff auf die NSS-API existieren.
Beispielsweise existiert für Python das
Paket »python‐nss«, das einige nette Beispiele
mitbringt, mit denen der Einstieg
in die NSS-API sehr schnell gelingt. Viel
Spaß. (ofr)
n
C13
www.admin-magazin.de
Admin
Ausgabe 06-2012
19

Login
Sicher löschen
© Michael Biehler, 123RF
Datenträger weitergeben: Was sagt das Gesetz dazu?
Löschen
reicht nicht
Wer unbedacht einen alten Rechner oder eine Festplatte weiterverkauft,
kann durchaus mit dem Gesetz in Konflikt geraten. Zum Beispiel, weil er
einen Datenschutzskandal verursacht. Aber wie stellt man sicher, dass
weitergegebene Datenträger nicht mehr lesbar sind? Wie entsorgt man
Datenträger datenschutzkonform? Seit Oktober 2012 gibt es eine neue
DIN-Norm zum Thema. Vilma Niclas
Es ist kein Einzelfall, dass im Internet
gebrauchte Festplatten versteigert werden
und sich darauf noch vertrauliche Daten
befinden. So fand ein Sicherheitsunternehmen
sensible Patientendaten von
Unfalleinsätzen einer österreichischen
Rettungsorganisation auf versteigerten
Festplatten bei eBay. Der Verkäufer hatte
vergeblich versucht, die Platte durch
Formatierung zu löschen. Das Sicherheitsunternehmen
konnte Patientendaten,
Kontaktadressen und Unfallfotos
mithilfe eines Wiederherstellungsprogrammes
auslesen. Welche rechtlichen
und technischen Vorgaben gelten für die
Entsorgung von nicht mehr benötigten
oder defekten Festplatten und den Weiterverkauf
des alten iPhone 4? Wie geht
man auf Nummer sicher, dass die Daten
darauf gelöscht sind? Was verlangt das
Datenschutzrecht?
Sicherheitsstufe ermitteln
Es kommt zunächst einmal darauf an,
welche Daten sich auf dem Datenträger
befinden. Sind es nur Daten, die den
Inhaber selbst betreffen, kann er die Festplatte
problemlos verkaufen oder weitergeben,
an wen er möchte. Dies wird
jedoch in den wenigsten Fällen so sein.
In der Regel finden sich E-Mails, Briefe,
Bankdokumente, Fotos von Freunden,
Konzepte, Zeichnungen, Firmeninterna
oder andere vertrauliche Daten auf dem
Rechner, und damit ist auch das Geheimhaltungsinteresse
des Korrespondenzpartners
zu wahren.
Die Dateien können personenbezogene
Daten beinhalten – Daten, mit der eine
Person identifiziert werden kann. Diese
werden vom Datenschutzrecht, etwa dem
BDSG geschützt. Es ist nur mit Einwilligung
des Betroffenen oder aufgrund eines
Gesetzes erlaubt, personenbezogene
Daten weiterzugeben. Keine Anwendung
findet das Datenschutzrecht für rein
private oder familiäre Daten. Daneben
schützen weitere Gesetze das Grundrecht
auf informationelle Selbstbestimmung
nach Artikel 1 in Verbindung mit Artikel
2 des Grundgesetzes. So gilt etwa für Fotos
von Freunden oder Geschäftspartnern
auf der Festplatte zusätzlich das Recht
am Bild dieser Personen aus dem Kunsturheberrechtsgesetz
(KUG).
Verstöße können teuer
werden
Der Datenschutz ist mittlerweile kein
Papiertiger mehr. Unternehmen erleiden
große Imageverluste, wenn die falschen
Daten an die Öffentlichkeit gelangen. Aufsichtsbehörden
sind dazu übergegangen,
Datenschutzverstöße mit empfindlichen
Bußgeldern zu ahnden. Betriebe sind
seit einiger Zeit nach § 42 a Bundesdatenschutzgesetz
sogar dazu verpflichtet,
bestimmte Datenschutzpannen im Unternehmen
zu melden. Verschweigt ein
Unternehmen einen Zwischenfall, drohen
nach § 43 BDSG bis zu 300.000 Euro
Geldbuße.
Dass dies nicht nur blanke Theorie ist
zeigt etwa der 40. Tätigkeitsbericht des
Hessischen Landesbeauftragten für Datenschutz
von 2011: Es wurden seit dem
1.9.2009 zahlreiche Fälle gemeldet, mehrheitlich
Diebstähle von Datenträgern,
etwa Laptops. Diese enthielten unter anderem
Daten zu Bankverbindungen und
Kontonummern. Auch Verstöße gegen die
sogenannte Auftragsdatenverarbeitung
sanktionieren Datenschutzaufsichtsbehörden
regelmäßig. Das wird relevant,
wenn man einen externen Dienstleister
20 Ausgabe 06-2012 Admin www.admin-magazin.de

Sicher löschen
Login
mit Tätigkeiten betraut, bei denen dieser
Zugriff auf die personenbezogenen
Daten des Unternehmens hat. Dafür gibt
es konkrete Vorgaben, die man bei der
Auftragsvergabe zu beachten hat. Mehr
dazu weiter unten.
Was bedeutet Löschen?
Im Datenschutzrecht und spezialgesetzlichen
Vorschriften ist je nach Branche
festgelegt, wann gespeicherte Daten zu
löschen sind. Bestimmte Daten unterliegen
wegen des Anwalts- oder Sozialgeheimnisses
einem größeren Schutz.
Unter „Löschen“ versteht § 3 Absatz 4
Nummer 5 BDSG, das Unkenntlichmachen
gespeicherter personenbezogener
Daten. Daten werden dann als unkenntlich
angenommen, wenn man die Informationen
nicht zurückgewinnen kann
und eine weitere Verarbeitung nicht mehr
möglich ist. Wie dies in der Praxis konkret
umzusetzen ist, schreibt das Gesetz
nicht vor. Anhaltspunkte ergeben sich
aus § 9 BDSG, seiner Anlage und einigen
DIN-Vorschriften zu den jeweiligen
Löschtechniken.
Die Anlage zu § 9 BDSG konkretisiert
dann die erforderlichen Maßnahmen und
nennt etwa die Zugangs-, Zugriffs- und
Weitergabekontrolle sowie die Eingabekontrolle
von personenbezogenen Daten.
Das Gesetz weist zudem darauf hin, dass
Verschlüsselung eine geeignete Maßnahme
zur konkreten Umsetzung sei.
Bei der Frage, welche Daten zu löschen
sind und welchen Aufwand man dafür
© Maksym Yemelyanov, 123RF
Abbildung 1: Die Vernichtung von Akten aus Papier ist wesentlich einfacher als
das sichere Löschen digitaler Datenträger, unter anderem, weil Letztere meist
wiederverwertet werden sollen.
betreiben muss, ist unter anderem die
Sensibilität der Daten zu berücksichtigen
sowie das Risiko der Wiederherstellung
und der Aufwand, der für eine Rekonstruktion
nötig wäre.
Datenschützer empfehlen die Stärke der
durchgeführten Löschmaßnahmen so zu
wählen, dass eine Wiederherstellung der
Daten für einen Angreifer mit dessen finanziellen
oder materiellen Mitteln nicht
nur erschwert oder unattraktiv, sondern
auch praktisch nicht durchführbar wäre.
IT-Sicherheit ist Chefsache
Das Datenschutzrecht geht Hand in Hand
mit der IT-Sicherheit. Im Aktiengesetz
heißt es in § 91 Absatz 2: „Der Vorstand
hat geeignete Maßnahmen zu treffen,
insbesondere ein Überwachungssystem
einzurichten, damit die den Fortbestand
der Gesellschaft gefährdenden Entwicklungen
früh erkannt werden.“ Da man
diese Vorschrift auch für andere Gesellschaftsformen
anwendet, geht IT-Sicherheit
jedes Unternehmen an, das personenbezogene
Daten verarbeitet.
Zur IT-Sicherheit gehört die Frage, was
mit Datenträgern geschieht, die das
Haus verlassen, sei es durch Verkauf,
Entsorgung, im Gewährleistungsfall oder
beim Ausscheiden eines Mitarbeiters. Der
Geschäftsführer ist mit Blick auf die IT-
Sicherheit mit der Sorgfalt eines ordentlichen
und gewissenhaften Geschäftsleiters
verpflichtet, sich zunächst erstmal selbst
um die IT-Sicherheit im Hause zu kümmern.
Die Einhaltung der Sorgfaltspflicht
muss er im Streitfall
beweisen. Er
kann diese Pflicht
aber delegieren,
etwa an den IT-
Sicherheitsbeauftragten.
Zur IT-Sicherheit
gehört es auch, das
Unternehmens-
Know-how, also
betriebsinterne
Daten zu schützen,
wie geheime Pläne,
Zeichnungen, Patentschriften
vor
der Anmeldung
und so weiter.
Man sollte regeln,
was geschieht, wenn Mitarbeiter von zu
Hause arbeiten, etwa vom privaten PC
oder auf dem privaten Smartphone, Daten
des Unternehmens hinterlassen.
Sanktionen
Im Unternehmensverkehr gibt es zahlreiche
Geheimhaltungspflichten. Auf dem
Unternehmenslaptop könnten Daten von
Geschäftspartnern hinterlegt sein, wie
Konzepte oder Pläne, über deren Geheimhaltung
sich das Unternehmen in einer
strafbewehrten Geheimhaltungsvereinbarung
verpflichtet hat. Wird dagegen
verstoßen, drohen meist Vertragsstrafen
von 10 000 Euro aufwärts. Daran sollte
man denken, bevor man einen Datenträger
unbedacht entsorgt oder im Gewährleistungsfall
ohne Sicherung an den
Hersteller einsendet.
Kümmert sich die Geschäftsführung
nicht um die Frage der IT-Sicherheit und
entsteht der Gesellschaft dadurch ein
Schaden, kann der für das Unternehmen
Verantwortliche zum Schadensersatz
herangezogen werden. Versicherungen
könnten wegen der Verletzung von Sorgfaltspflichten
nicht zahlen. Es empfiehlt
sich, in einer Sicherheitsleitlinie (Security
Policy) die Schutzziele und allgemeine
Sicherheitsmaßnahmen als offizielle Vorgaben
des Unternehmens zu formulieren.
Details zur IT-Sicherheit finden Sie in den
IT-Grundschutz-Katalogen des BSI [1].
Neben vertraglichen Sanktionen und der
Schadensersatzpflicht eines Geschäftsführers,
der sich um IT-Sicherheit keine
Sorgen macht, droht § 43 Absatz 2 Nummer
1 BDSG bis zu 300 000 Euro Bußgeld
und die Gewinnabschöpfung an, wenn
Daten entgegen dem Datenschutzrecht
nicht gelöscht und damit fortgesetzt verarbeitet
werden.
Welches Löschverfahren ist
das Richtige?
Will man nicht alle Daten entsprechend
der höchsten Sicherheitsstufe entsorgen,
muss man sich überlegen, um welche Daten
es geht, und wie sie jeweils rechtlich
geschützt sind. Anhand dieser Einstufung
kann man festlegen wie man den
konkreten Datenträger behandelt, sodass
der Löschvorgang ausreichend sicher
ist, aber auch gleichzeitig das Kosten/​
www.admin-magazin.de
Admin
Ausgabe 06-2012
21

Login
Sicher löschen
Nutzen-Verhältnis im Blick
bleibt.
Um Daten zu entsorgen,
gibt es einerseits physikalische
Maßnahmen mit einer
mechanischen, thermischen
oder magnetischen Behandlung
des gesamten Datenträgers,
wie etwa das Shreddern
oder das Entmagnetisieren
von Festplatten (sogenanntes
Degaussen). Diese Verfahren
führen leider dazu, dass die
Festplatte danach nicht mehr
verwendbar ist. Diese Techniken
empfehlen sich zum Beispiel
bei defekten Festplatten
mit sensiblen Daten, die ohnehin
nicht mehr nutzbar wären und die
sich nicht überschreiben lassen.
Eine weitere Methode ist es, Datenträger
ein- oder mehrmals gezielt zu überschreiben.
Der Vorteil des Überschreibens
ist: Man kann den Datenträger nach der
Löschung erneut verwenden. Experten
streiten heftig um die Frage, welche Maßnahme
die sicherste ist.
Heiko Weiß von der sidave GmbH, ein
Unternehmen, das die Löschung von
Datenträgern per Entmagnetisierung
oder Überschreiben anbietet, meint:
„Es gab Fälle, bei denen man Partikel
von geshredderten Datenträgern wieder
auslesen konnte. Zudem kann es beim
Shreddern keinen Einzelnachweis als Erfolgsmeldung
geben, dass gerade dieser
Datenträger vernichtet worden ist. Die
Festplatte ist ja zerstört. Es kam vor, dass
zu shreddernde Festplatten im An- und
Verkauf gefunden worden sind. Hingegen
verschafft das Degaussen dem Kunden
die Sicherheit, dass die Daten auf dem
Datenträger endgültig und unwiderruflich
vernichtet worden sind. Der Kunde
erhält ein Löschprotokoll mitsamt eines
Fotos der Festplatte. Bei der Technik
des Überschreibens liest unsere Löschsoftware
vom Datenträger eindeutige
Kennziffern wie die Seriennummer aus,
sodass der Kunde sicher sein kann, dass
wirklich seine Platte gelöscht worden ist.
Der Löschbericht enthält neben einer einmaligen
digitalen Signatur Angaben, wer
wann welche und wessen Platte gelöscht
hat. Es wird gegebenenfalls dokumentiert,
dass Bereiche der Festplatte nicht
erreicht werden konnten (zum Beispiel
© Achim Prill, 123RF
Abbildung 2: Die physische Vernichtung der Datenträger ist durchaus eine ernst
zu nehmende Option, wenn es um hoch sensible Daten geht.
defekte Sektoren). Im Zweifelsfall kann
sich der Kunde dann zusätzlich für ein
weiteres Löschverfahren entscheiden.“
Die Kosten für alle diese Verfahren liegen
zwischen 15 und 20 Euro pro Platte.
Marco Tessendorf, Geschäftsführer der
procado consulting IT & Medienservice
GmbH, meint dagegen: „Aufgrund der
komplexen Struktur in Festplatten und
SSDs kann ein sicheres Löschen durch
Überschreiben meiner Meinung nach
nicht gewährleistet werden. Wir empfehlen
daher die physikalische Zerstörung
des Datenträgers entweder durch Shreddern
oder Entmagnetisieren.“
DIN-Vorschriften
Relevant war bislang die DIN Norm
32757. Die DIN Norm unterschied fünf
Sicherheitsstufen je nach Schutzwürdigkeit
der zu vernichtenden Informationen.
Für personenbezogene Daten sah die DIN
Norm mindestens Sicherheitsstufe 3 vor.
Jedoch sind die Sicherheitsstufen für Papier
nicht ohne Weiteres auf Datenträger
übertragbar, denn auf einem Datenträger
können auf der gleichen Partikelgröße
weitaus mehr Informationen verdichtet
sein, als auf einem Stück Papier.
Seit 2009 gibt es zusätzlich die europäische
Vorgabe: DIN EN 15713 „Sichere
Vernichtung von vertraulichen Unterlagen
– Verfahrensregeln“. Diese Norm
enthält Empfehlungen für die Durchführung
und Überwachung und Vernichtung
von vertraulichen Unterlagen und
erfasst auch Festplatten, CDs, DVDs und
so weiter. Ganz aktuell ist die Normenreihe
DIN 66399 „Büro- und
Datentechnik – Vernichtung
von Datenträgern“, die am 1.
Oktober 2012 veröffentlicht
wurde. Bei der DIN geht es
um die Vernichtung von Festplatten.
Sie enthält zwei neue
Sicherheitsstufen 6 und 7 und
drei Schutzklassen sowie eine
Überarbeitung der Sicherheitsstufen
1-5 [2]. Die Normen
wurden im Arbeitsausschuss
NA 043-01-51 AA „Vernichten
von Datenträgern“ erstellt und
ersetzen die erwähnte Norm
DIN 32757-1:1995-01 mit einer
Übergangsfrist.
Neben den beiden Teilen 1
und 2 der Norm gibt es einen Teil 3 (DIN
SPEC) [3], der nicht offiziell Bestandteil
der DIN-Norm ist, aber erstmals den Prozess
der Datenträgervernichtung abbildet.
Es ist in einer Übergangszeit nach wie
vor möglich, die alte DIN als Vertragsgrundlage
zur Auftragsdatenverarbeitung
zugrunde zu legen. Bestehende Verträge
gelten weiter, man sollte die Norm und
die neuen Erkenntnisse des BSI aber
zum Anlass nehmen, diese im Laufe der
nächsten Zeit zu überarbeiten.
Für das Entmagnetisieren von Datenträgern,
das sogenannte Degaussen, verweisen
Datenschützer auf die DIN 33858
von 1993.
Gelöscht ist nicht gelöscht
Löscht man eine Datei manuell, markieren
viele Betriebssysteme nur in den
Verwaltungsstrukturen des Dateisystems
diese Datei als gelöscht und die von ihr
belegten Cluster als frei (logisches Löschen).
Die eigentlichen Daten bleiben
solange unangetastet, bis sie mehr oder
weniger zufällig und meist unvollständig
durch neue Dateien überschrieben werden.
Eine Rekonstruktion der Daten ist
dann relativ einfach möglich.
Wer auf Nummer sicher gehen will, verlässt
sich je nach Löschfunktion des Betriebssystems
nicht darauf, sondern nutzt
Zusatzverfahren, die eine Datei nach dem
Löschen gezielt überschreiben, für Windows
etwa das Zusatzprogramme „Secure
Eraser“ oder zum Löschen ganzer Festplatten
das betriebssystemunabhängige
DBAN, welches das BSI für die niedrigste
22 Ausgabe 06-2012 Admin www.admin-magazin.de

Sicher löschen
Login
besondere staatliche Geheimhaltungsstufe
(VS-NfD: Verschlusssache – nur für
den Dienstgebrauch) empfiehlt.
Es kursieren viele Gerüchte über die
Anzahl der erforderlichen Überschreibvorgänge
bei einer Festplatte. Sieben ist
nicht die richtige Antwort. Es kommt auf
den Einzelfall an. Manchmal reicht ein
Mal, manchmal reicht kein Mal könnte
man die technische Komplexität auf den
Punkt bringen.
Sofern es um einen Privat-PC geht, und
man nicht hochsensible Daten auf dem
Rechner hat, sollte es völlig ausreichen,
die Festplatte mehrfach Sektor für Sektor
zu überschreiben. Handelt es sich aber
um sehr sensible Daten, wie geheime Unternehmensdaten,
Personaldaten, Daten
von Ärzten, Steuerberatern, Anwälten
oder Sozialdaten sollte man die Platten
besser nicht verkaufen und zusätzlich
eine physikalische Methode anwenden,
damit die Daten nicht mehr rekonstruierbar
sind.
Das Überschreiben funktioniert aber leider
nicht unter allen Bedingungen sicher.
Das Bundesamt für Sicherheit in der Informationstechnik
(BSI) veröffentlichte
dazu in einem Merkblatt vom Juli 2012
aktuelle technische Hinweise und nahm
zum 30.07.2012 die Zulassung von VS-
Clean zurück und begründet dies: „…
Wie bei vielen älteren Festplatten-Löschprogrammen
üblich, erkennt und über-
Datenschutz bei Gewährleistung
schreibt das vom BSI seit 2002 ausgegebene
VS-Clean (Version 2.1) DCO- beziehungsweise
HPA-Bereiche nicht. Vor der
Nutzung von VS-Clean zum VS-Löschen
sind daher diese Bereiche mittels eines
HPA-fähigen Löschprogramms, etwa
DBAN 2.2.6beta, aufzulösen. Festplatten
ab ca. 2 Terabyte werden von VS-Clean
weder richtig erkannt noch vollständig
überschrieben….“ [4]
Das BSI nennt als wesentliche Unterscheidungsmerkmale
und Auswahlkriterien
für Dienstleister und Löschverfahren
beim Überschreiben:
n Anzahl der Überschreibvorgänge
n Überschreibmuster
n Wechsel der Überschreibmuster pro
Durchlauf
n Berücksichtigung der Festplatteninternen
Codierung
n Verifikationsdurchläufe
Fazit: Nicht für jeden Einsatzzweck ist das
kostenfreie Programm aus dem Internet,
welches angeblich die Platte überschreibt,
das Richtige. Unternehmen, die sich mit
diesem hochkomplexen
Thema befassen,
werden in der Regel
personenbezogene
oder sensible Daten zu
löschen haben und damit
einen Anlass, auf
sehr sichere Verfahren
zu setzen. Aus diesem
Laptop, Kopierer oder Smartphone sind defekt und müssen eingeschickt
werden, oder die externe Festplatte oder der USB Stick sind weder lesbar
noch zu löschen. Will man von der Gewährleistung oder von der Garantie
des Herstellers Gebrauch machen, muss man das Gerät, samt der darauf
befindlichen sensiblen Daten einschicken. Sicher, man hätte vorbeugen und
die Daten vorher verschlüsseln können. Aber leider lernt man aus Fehlern
erst hinterher. Was tun?
Man sollte das Problem offen gegenüber dem Hersteller/​Händler ansprechen
und diesen über Datenschutzfragen aufklären. Man könnte sich versichern
lassen, dass dieser ausschließlich Funktionen des Sticks überprüft und die
Daten nicht einsieht oder kopiert. Zudem sollte er sich vorab schriftlich auf die
Einhaltung des Datenschutzes verpflichten und versichern, dass die Mitarbeiter
des Herstellers nach § 5 BDSG auf das Datengeheimnis verpflichtet sind.
Bei hoch sensiblen Daten hat der Kunde leider meist die Qual der Wahl zwischen
dem Datenschutz und der IT-Sicherheit und auf der anderen Seite seinen
Gewährleistungsansprüchen. Dieses Problem sollte man bereits beim Kauf der
Geräte mit dem Händler besprechen und dafür eine Lösung suchen. Denn es
dient auch nicht den Unternehmensinteressen, auf Gewährleistungsansprüche
zu verzichten, um dem Datenschutz nachzukommen. Vergessen sollte
man nicht, dass auch Kopierer zum Beispiel Daten speichern und mit kleinen
Festplatten ausgestattet sind. Diese kann man ausbauen und dann an einem
anderen Rechner angeschlossen, löschen.
Grund sollte man unter anderem auf von
der BSI zertifizierte Software zurückgreifen,
um seinen Sorgfaltspflichten an die
IT-Sicherheit zu genügen oder physikalische
Verfahren (zusätzlich) anwenden.
Externe Dienstleister
prüfen
Was ist rechtlich zu beachten, wenn man
Dienstleister einschaltet, um alte Festplatten
vor dem Verkauf professionell löschen
oder vernichten zu lassen? Es gibt
für den Einsatz von Dienstleistern, die
für Kunden fremde personenbezogene
Daten verarbeiten exakte Vorgaben in §
11 BDSG, der die sogenannte Auftragsdatenverarbeitung
regelt.
Die Weitergabe der Daten an einen Dienstleister
entbindet den Auftraggeber nicht
von seinen Datenschutzverpflichtungen.
Bevor man den Auftrag erteilt, muss man
den Löschanbieter sorgfältig auswählen,
indem man etwa auf eine Zertifizierung
achtet, beispielsweise durch das BSI.
Besuchen
Sie uns auch
auf der CEBIT
2013
Linux Schulungen 2013 – Nicht verpassen!
• Erweiterungen programmieren für Check_MK
19.11. 2012, 25.02.2013
• Linux als Server im Inter- und Intranet 26.11.12
• Storage - LVM, MD, Multipathing, iSCSI 03.12.12, 04.02.2013
• Fortgeschrittenes Monitoring mit Nagios & Check_MK
10.12.2012, 11.03.2013
• Systemmonitoring mit Nagios und Check_MK 21.01.2013
• Linux - Crashkurs für Administratoren 04.03.2013
• Linux Administration für Fortgeschrittene 18.03.2013
Gerne machen wir auch Inhouse-Schulungen direkt bei unseren Kunden
vor Ort. Fragen Sie uns nach einem Angebot zu Ihrem Wunschthema.
Tel.: 089 / 18 90 42 10
www.admin-magazin.de
Admin
mk@mathias-kettner.de
Ausgabe 06-2012 www.mathias-kettner.de
23

Login
Sicher löschen
Smartphone oder USB-Stick verloren
Angenommen ein externer Datenträger, wie
USB-Stick oder Smartphone oder Laptop mit
unverschlüsselten Daten geht verloren, weil
man diesen etwa im Taxi oder der Bahn vergessen
hat.
n Anzeigepflicht bei Datenschutzpannen:.
Das Unternehmen oder die Person, die ein
Speichermedium mit personenbezogenen
fremden Daten verloren hat, ist je nach den
darauf befindlichen Daten verpflichtet, diese
Datenpanne nach dem BDSG zu melden. Andernfalls
drohen empfindliche Bußgelder.
n Als Finder muss man dies nach § 965 BGB
melden, es gilt die „Anzeigepflicht des Finders“:
(1) Wer eine verlorene Sache findet
und an sich nimmt, hat dem Verlierer oder
dem Eigentümer oder einem sonstigen Empfangsberechtigten
unverzüglich Anzeige zu
machen.
(2) Kennt der Finder die Empfangsberechtigten
nicht, oder ist ihm ihr Aufenthalt unbekannt,
so hat er den Fund und die Umstände,
welche für die Ermittelung der Empfangsberechtigten
erheblich sein können, unverzüglich
der zuständigen Behörde anzuzeigen. Ist
die Sache nicht mehr als zehn Euro wert, so
bedarf es der Anzeige nicht.
Die weiteren Pflichten und Rechte ergeben
sich aus den §§ 966 ff BGB, insbesondere
nach welcher Frist man das Eigentum an
Fundsachen erwirbt.
n Fernlöschung Es gibt spezielle Software, die
per Fernzugriff die Daten auf einem gestohlenen
Smartphone oder Laptop löschen kann,
vorausgesetzt es besteht eine Internetverbindung.
Oder man lässt sich ein Sicherheitskonzept
vorlegen, aus dem sich ergibt, welche
technischen und organisatorischen
Maßnahmen der Anbieter getroffen hat,
um den Schutz der personenbezogenen
Daten zu gewährleisten.
Ein Kriterium bei der Auswahl des Dienstleisters
sollte auch sein, wie sehr das Unternehmen
dagegen abgesichert ist, dass
Fremde die Räume betreten können, in
denen die externen Datenträger gelöscht
werden. Eine weitere Frage könnte sein,
ob der Dienstleister auch vor Ort im Unternehmen
oder in einem mobilen Datenvernichter
löschen kann oder aber
wie der Transportweg der Datenträger
abgesichert ist.
Wichtig ist zudem, welche konkrete technische
Methode der Anbieter verwendet,
und ob diese die richtige für den eigenen
Schutzbedarf ist. Man sollte technische
Details bezüglich des Löschverfahrens
erfragen. Der Auftrag ist schriftlich zu
erteilen, und im Vertrag müssen eine
ganze Reihe konkreter Fragen geregelt
sein, die sich im Detail aus § 11 Absatz 2
© Andrea Danti, 123RF
BDSG ergeben. Eine Orientierung findet
man hier [5].
Wichtig ist außerdem, dass man auf ein
vollständiges Löschprotokoll achtet, das
je nach verwandter Technik genau bestätigt,
welcher Datenträger mit identifizierender
Seriennummer gelöscht oder vernichtet
wurde und ausweist, ob es bei der
Datenlöschung Fehler gab oder nicht.
Wird ein Dienstleister eingesetzt, und erteilt
man ihm einen Auftrag entgegen den
Vorgaben der Auftragsdatenverarbeitung
nicht richtig, nicht vollständig oder nicht
in vorgeschriebener Weise oder versäumt
man es, sich von den technischen und
organisatorischen Maßnahmen beim
Dienstleister im Vorfeld zu informieren,
kann dies mit einem Bußgeld bis zu
50 000 Euro sanktioniert werden, § 43 I
Nr. 2 b BDSG.
Verschlüsseln statt
shreddern
Abbildung 3: Verschlüsseln ist eine Alternative zur Zerstörung des Datenträgers.
Sicher gelöscht werden braucht jetzt nur noch der Schlüssel.
Ein Mitarbeiter eines Landesbeauftragten
für Datenschutz empfiehlt: „Idealerweise
sollten Daten
überhaupt nicht
unverschlüsselt
auf den Medien
abgelegt werden.
Mit einer Grundverschlüsselung
braucht man zum
sicheren Löschen
nur noch den (vergleichsweise
sehr
kurzen) Schlüssel
sicher zu löschen.
Wenn die Zerstörung
des Mediums
eine Option ist,
sollte dennoch zuvor
eine Löschung durch (mehrfaches)
Überschreiben erfolgen.“
Der Tipp Daten zu verschlüsseln schlägt
gleich mehrere Fliegen mit einer Klappe:
Er hilft bei der Frage der Gewährleistung
weiter und ist nützlich für versehentlich
liegengelassene Datenträger.
n
Infos
[1] BSI-Grundschutzkatalog: [https:// www.​
bsi. bund. de/ ContentBSI/ grundschutz/​
kataloge/ kataloge. html]
[2] DIN 66399: [http:// www. beuth. de/ de/​
norm/ din‐66399‐1/ 155420083]
[3] DIN-Spec zur Datenträgervernichtung:
[http:// www. nia. din. de/ cmd?​
artid=148899740& bcrumblevel=1&​
contextid=nia& subcommitteeid=54771182&​
level=tpl‐art‐detailansicht&​
committeeid=54738935& languageid=de]
[4] BSI-Merkblatt: [https:// www. bsi. bund.​
de/ ContentBSI/ Themen/ ProdukteTools/​
VSclean/ VS_Clean. html]
[5] Muster-Auftrag: [https:// www. gdd. de/​
nachrichten/ news/ neues‐gdd‐muster‐zur‐au
ftragsdatenverarbeitung‐gemas‐a7‐11‐bdsg]
Die Autorin
Die Autorin ist Rechtsanwältin & Fachjournalistin
für IT-Recht in Berlin und veröffentlicht seit 1997
in zahlreichen anderen Medien zu Fragen des IT-
Rechtes. Darüber hinaus referiert sie regelmäßig
zu aktuellen Fragen des Internetrechtes, der IT-
Sicherheit und unterrichtet als Lehrbeauftragte
für IT-Recht an der Beuth Hochschule für Technik
in Berlin. Ihre Beratungsschwerpunkte sind: IT-
& Internetrecht, Urheber-,
Foto-, Softwarelizenz-,
Vertrags- und Markenrecht,
Werberecht, Datenschutzfragen
sowie internationales
Privat- und Europarecht.
24 Ausgabe 06-2012 Admin www.admin-magazin.de

Wir meinen, dieser Low Energy Server
sollte auch ernst genommen werden!
Low Energy Server
Stromverbrauch: ca. 6 - 9 Watt
0 dB durch Passiv-Kühlung
Neueste Atom CPU Technologie
Applikationen: Mail-Server, Firewall, Router, etc.
Verfügbare Betriebssysteme: z.B. Debian, € 499,–
Ubuntu, CentOS und viele weitere Linux Derivate
www.thomas-krenn.com/les-neu
Nur bei Thomas Krenn ab:
TRY
&
BUY
Diesen und andere Thomas Krenn Server
können Sie auch per Try & Buy testen
DE: +49 (0) 8551 9150 - 0
CH: +41 (0) 848207970
AT: +43 (0)732 - 2363 - 0
Verkauf erfolgt ausschließlich an Gewerbetreibende, Firmen, Freiberufler (Ärzte, Rechtsanwälte etc.), staatliche Institutionen und Behörden. Druckfehler, Irrtümer und Änderungen in Preis und Ausstattung
vorbehalten. Unsere Versandkosten richten sich nach Gewicht und Versandart - mehr unter: www.thomas-krenn.com/versandkosten.Thomas-Krenn.AG, Speltenbach-Steinäcker 1, D-94078 Freyung

Login
OSMC ’12
Notizen von der siebenten Open Source Monitoring Konferenz
Parallelentwicklung
Die Open Source Monitoring Konferenz führte auch in diesem Jahr wieder
Spezialisten für die Systemüberwachung nach Nürnberg. Jens-Christoph Brendel
Abbildung 1: Nagios-Entwickler Andreas Ericsson während seines Vortrags über Nagios 4.0.
Wenn Wale ähnliche Flossen haben wie
Fische, obwohl sie bei ihnen auf ganz andere
Weise, nämlich aus den Gliedmaßen
ehemaliger Landsäugetiere entstanden,
dann nennt man das in der Biologie eine
Parallelevolution. Derselbe Selektionsdruck
führt bei verschiedenen Spezies
zur Ausbildung ähnlicher Merkmale.
Verteilt voran
Etwas Ähnliches lässt sich im Moment
bei freier Monitoringsoftware beobachten.
Den Selektionsdruck erzeugt hier die
Sackgasse, in die das klassische Nagios
speziell bei größeren Installationen geraten
war: Bei einer hohen Anzahl Hosts
skalierten die Checks nicht mehr und
verursachten horrende Verzögerungen.
Der Ausweg, auf den verschiedene, entfernt
verwandte Abkömmlinge gleichzeitig
verfallen sind, heißt Modularisierung
und Funktionsteilung. Das macht die Nagios-Neufassung
Shinken so, das ist das
Credo von »mod_gearman«, das versucht
der Klassiker selbst mit der Einführung
von Worker-Prozessen – um nur einige
zu nennen. Und nun bricht auch der
Nagios-Fork Icinga in diese Richtung auf
– mit Icinga2 soll eine grundlegend neue,
in C++ geschriebene Version vorerst parallel
zur bestehenden entwickelt werden,
die die klassischen Nagios-Prozesse
wie Service-Checks oder Notifications
in unterschiedlichen Kombinationen auf
verschiedene Hosts verteilen kann.
Neuigkeiten
Diese Neuigkeit war eines der Highlights
der nunmehr siebenten Open Source
Monitoring Conference, wie immer hervorragend
ausgerichtet vom Nürnberger
IT-Dienstleister Netways GmbH. An selber
Stelle gab es übrigens auch gleich
Neuigkeiten zum bestehenden Icinga 1,
dessen letzte Version 1.8 mit mehr als 75
neuen Features und Bugfixes während
der Konferenz erschien. Neu sind hier
unter anderem ein weiter ausgebautes
Reporting, vordefinierte Zeitperioden zur
Erleichterung der Konfiguration oder eine
neue Berechtigungsprüfung in der Web-
GUI, die deutlich performanter ist.
Neues war auf der Konferenz auch von
anderen Projekten aus erster Hand zu
erfahren. So stellte der Shinken-Chefentwickler
Jean Gabes die Fortschritte
seines Projekts vor, der Schöpfer des NS-
Client++, Michael Medin, sprach über
das bisher umfangreichste Update auf die
Version 0.4.0 in diesem Jahr, und auch
Konkurrenzprojekte wie Zabbix hatten
Gelegenheit, jüngste Entwicklungen zu
präsentieren.
Nicht zu kurz kamen daneben zahlreiche
Vorträge, die Best Practices diskutierten.
So stellte etwa Martin Loschwitz die Monitoringfähigkeiten
des Clustermanagers
Pacemaker vor. Simon Meggle demonstrierte
das End-to-End-Monitoring von
Webapplikationen mithilfe der Testautomatisierungssoftware
SAHI. Christoph
Mitasch erörterte verschiedene Möglichkeiten
des MySQL-Datenbankmonitoring,
und Mike Adolphs sprach über einen
neuen Ansatz des Behavior Driven Monitoring
mit Cucumber-Nagios, bei dem
sich komplexe Tests in einer an natürliche
Sprache angelehnten Syntax formulieren
lassen.
Eine dritte Gruppe von Referaten lieferte
instruktive Case Studies. Darunter fanden
sich so beeindruckende Vorträge wie der
von Christophe Haen über das Monitoring
beim Kernforschungszentrum CERN,
wo in verschiedenen Projekten jeweils
Tausende Server zu überwachen sind, die
während der Experimente unglaubliche
Datenmengen verarbeiten. So kann man
die Menge, die alleine der CMS-Detektor
des Large Hadron Collider erzeugt, mit
einer Digitalkamera vergleichen, die bei
der enormen Auflösung von 70 Megapixeln
pro Sekunde 40 Millionen Bilder
schießt.
Wie schon in den Vorjahren verdienen
die Konferenzorganisation, die Unterbrinung
der Teilnehmer, das Catering und
auch der Social Event am Abend des ersten
Tages ein großes Lob für perfekte
Organisation. (jcb)
n
26 Ausgabe 06-2012 Admin www.admin-magazin.de

www.kamp.de
In der IT setzt man besser
auf einen starken Partner!
IT-Lösungen – stark und individuell. Mehr unter www.kamp.de

Netzwerk
PHP-FPM
© Matee Nuserm, 123RF
Der PHP-Interpreter PHP-FPM
Ersatzspieler
Apache-Webserver führen PHP-Programme meist mit dem Modul Mod-php aus. Das offizielle PHP-Paket enthält
aber auch noch eine wenig beachtete Alternative namens PHP-FPM. Dieser PHP-Interpreter nutzt die FastCGI-
Schnittstelle und besitzt einige äußerst interessante Eigenschaften. Tim Schürmann
Wer in der PHP-Dokumentation das Kapitel
zur Installation aufschlägt, stolpert
als Erstes über das Apache-Modul »mod_
php«. Es implantiert einen PHP-Interpreter
in den Webserver Apache, der somit
die PHP-Anwendungen selbst ausführen
kann. Für Lighttpd und IIS beschreibt
die Dokumentation einen PHP-Interpreter,
der die FastCGI-Schnittstelle nutzt
(siehe Kasten „CGI-Beschleuniger“).
Administratoren sollten hier jedoch nicht
schon mit dem Lesen aufhören, sondern
sich noch etwas weiter durch das Kapitel
graben, bis sie auf den FastCGI Process
Manager stoßen. Dahinter verbirgt sich
ein alternativer PHP-Interpreter, der ein
paar gravierende Nachteile von »mod_
php« und des herkömmlichen FastCGI-
Interpreters beseitigt.
»mod_php« ist zwar schnell eingerichtet
und aktiviert, dafür läuft der Interpreter
aber auch mit den Rechten des Webservers.
Eine Änderung der Konfiguration
erzwingt zudem einen Neustart des kompletten
Webservers und sorgt so für einen
Ausfall des Internetauftritts. »mod_php«
skaliert zudem recht schlecht. Das bekommt
man besonders zu spüren, wenn
im Laufe der Zeit die Zugriffszahlen
langsam ansteigen. Alle diese Nachteile
waren auch Andrei Nigmatulin ein Dorn
im Auge. Er entwickelte kurzerhand für
den FastCGI-Interpreter einen Patch, der
auch gleich noch ein paar vermisste Sicherheitsfunktionen
nachrüstete. Dem so
aufgebohrten Interpreter gab er den Namen
FastCGI Process Manager oder kurz
PHP-FPM [2].
Sein Name ist dabei Programm: PHP-FPM
startet gleich mehrere PHP-Interpreter-
Prozesse, die ständig im Hintergrund laufen
und auf Arbeit warten. Eingehende
Anfragen nimmt PHP-FPM vom Webserver
entgegen und verteilt sie an die PHP-
Interpreter (siehe Abbildung 1).
Um Server-Ressourcen zu sparen, beendet
PHP-FPM alle gerade nicht benötigten
Interpreter-Prozesse und würgt zu lange
vor sich hinwerkelnde PHP-Interpreter-
Prozesse ab. Darüber hinaus kann man
die Konfiguration im laufenden Betrieb
ändern, ohne einen Interpreter-Prozess
oder gleich den ganzen Webserver neustarten
zu müssen. Darüber hinaus bietet
PHP-FPM erweiterte Log-Funktionen. So
kann es beispielsweise alle Skripte protokollieren,
die eine bestimmte Rechen-
28 Ausgabe 06-2012 Admin www.admin-magazin.de

PHP-FPM
Netzwerk
Client
startet
(PHP-)Interpreter
führt aus
Client
Webserver
Webserver
TCP-Port 9000
Socket
PHP-FPM
Interpreter-Prozess
...
Interpreter-Prozess
Skript
Abbildung 1: Beim CGI-Standard startet der Webserver den Interpreter wie ein
ganz normales Kommandozeilenprogramm.
Abbildung 2: Der Webserver reicht entweder über einen TCP-Port oder einen
Unix Socket die Anfrage an PHP-FPM weiter, der sie von einem PHP-Interpreter-
Prozess abarbeiten lässt.
zeit überschritten haben – inklusive der
verursachenden PHP-Funktion. Das hilft
nicht nur bei der Fehlersuche während
der Entwicklung, sondern deckt auch
Angriffe auf.
Richtig gepoolt
Die PHP-Interpreter-Prozesse lassen sich
zu sogenannten Pools zusammenfassen.
Jeder Pool kann dabei eine eigene PHP-
Konfiguration besitzen und seine Prozesse
sogar in eine Chroot-Umgebung
einsperren. Darüber hinaus darf der
Administrator festlegen, unter welchem
Benutzerkonto die Prozesse eines Pools
vor sich hinwerkeln. Eingehende Anfragen
lassen sich dann gezielt an einen der
Pools weiterreichen. Damit könnte man
beispielsweise einen maßgeschneiderten
Pool für das Blog, einen weiteren für das
Forum und einen dritten für die offizielle
Website abstellen.
Da jeder Pool die Anfragen auf einer eigenen
TCP-Adresse entgegennimmt, kann
man bei steigender Last der Forums-
Website den zugehörigen Pool auf einen
eigenen, leistungsfähigeren Rechner auslagern
– dazu sind nur ein paar einfache
Änderungen in den Konfigurationsdateien
notwendig.
PHP-FPM kommt sogar mit Zusatzmodulen
wie eAccelerator oder APC zurecht,
die den vom PHP-Interpreter kompilierten
Quelltext (Opcodes) puffern. Dies
spart bei der nächsten Anfrage eine erneute
Übersetzung, was wiederum den
Seitenaufbau beschleunigt. Ein Interpreter-Prozess
kann den Opcode-Cache jedoch
(versehentlich) überschreiben oder
zerstören. PHP-FPM überwacht deshalb
den Cache und startet sich bei Amok
laufenden Prozessen automatisch einmal
neu.
Startrampe
Seit PHP 5.4.0 gehört PHP-FPM zum offiziellen
PHP-Paket und liegt damit auch
den meisten aktuellen Linux-Distributionen
bei. Ein entsprechendes Paket findet
man leicht über den Paketmanager,
meistens heißt es »php5‐fpm«. Eine der
wenigen Ausnahmen ist noch Debian 6
(Squeeze). Dort kann man jedoch PHP-
FPM über das Dotdeb-Repository hinzuholen,
indem man in »/etc/apt/sources.
list« die Zeile:
deb http://packages.dotdeb.org stable all
ergänzt. Das benötigte Paket installiert
dann:
apt‐get update
apt‐get install php5‐fpm
Da man die von den Pools verwendeten
TCP-Ports frei vergeben kann, lässt sich
PHP-FPM übrigens auch parallel zu anderen
FastCGI-Interpretern betreiben.
PHP-FPM ist im Moment auf Linux zugeschnitten,
weshalb es im Windows-
Paket von PHP fehlt. Die dort enthaltene
»php‐cgi.exe« ist nur der herkömmliche
FastCGI-Interpreter. Windows-
Administratoren müssen daher entweder
PHP-FPM umständlich in einer Cygwin-
Umgebung per Hand übersetzen und in
Betrieb nehmen oder aber PHP-FPM getrennt
vom Webserver auf einem eigenen
Linux-Rechner laufen lassen. Die letztere
Variante ist dabei die weitaus einfachere,
zumal man das Linux-System mit PHP-
FPM auch in eine virtuelle Maschine
verbannen kann. Im Folgenden soll daher
weiterhin die Inbetriebnahme unter
Linux im Vordergrund stehen.
Sämtliche Konfigurationsdateien für PHP-
FPM und seine PHP-Interpreter-Prozesse
sammelt das Verzeichnis »/etc/php5/
fpm« (vorausgesetzt ,die eigene Distribution
gibt nicht andere Verzeichnisse vor).
Die Einrichtung von PHP-FPM geschieht
in der Konfigurationsdatei »php‐fpm.
CGI-Beschleuniger
Webserver sind eigentlich von Haus aus recht
dumme Gesellen. Sie können lediglich Dateien
und somit statische Seiten ausliefern. Um eine
Webseite dynamisch zu erzeugen, braucht der
Webserver Hilfe von einem weiteren Programm –
wie etwa dem PHP-Interpreter. Dieser führt dann
wiederum eines oder mehrere (PHP-)Skripte aus,
die schließlich die Seite zusammenklöppeln. Wie
der Webserver den Interpreter aufrufen und dieser
die fertige Seite zurückgeben muss, regelt
seit 1993 ein Standard namens Common Gateway
Interface, kurz CGI. Sobald eine Anfrage
beim Webserver eingeht, setzt dieser ein paar
Umgebungsvariablen und startet dann den Interpreter.
Der wiederum wertet die Umgebungsvariablen
aus und gibt die erzeugte Webseite über
die Standardausgabe an den Webserver zurück.
Abbildung 1 veranschaulicht das Zusammenspiel
noch einmal.
Bei dieser Vorgehensweise startet der Webserver
bei jeder Anfrage erneut den dicken Interpreter.
Das frisst zum einen Rechenzeit und
zum anderen auch Hauptspeicher. Häufig dauert
das Laden des Interpreters sogar länger als die
Ausführung des eigentlichen Skriptes. Um die
Antwortzeiten zu erhöhen und den Server zu
entlasten, entstand Mitte der 90er-Jahre die
FastCGI-Schnittstelle [1]. Dabei startet der Interpreter
genau einmal und läuft dann im Hintergrund
ständig weiter.
Der Webserver reicht dann die Anfragen über
einen TCP-Port oder einen Unix Domain Socket
an den Interpreter weiter.
Da die Kommunikation über die bekannten Netzwerkstandards
läuft, könnte der Interpreter sogar
auf einem komplett anderen Rechner als
der Webserver laufen. Die gesamte Umgebung
lässt sich so wesentlich besser und einfacher
skalieren.
www.admin-magazin.de
Admin
Ausgabe 06-2012
29

Netzwerk
PHP-FPM
conf«. Im einfachsten Fall weist in ihr
nur die einsame Zeile:
include=/etc/php5/fpm/pool.d/*.conf
01 [einpool]
darauf hin, wo alle weiteren Konfigurationsdateien
zu finden sind. Kommentare
beginnen übrigens immer mit einem Semikolon
und gehen bis zum Ende der
Zeile. Anstelle der »php‐fpm.conf« findet
man häufig auch eine Beispieldatei, unter
Open Suse heißt sie »php‐fpm.conf.
default«. Diese muss man dann lediglich
korrekt umbenennen, eine Anpassung ist
normalerweise nicht notwendig.
Schwimmbadbau
Die PHP-Interpreter-Prozesse fasst PHP-
FPM in Pools zusammen, wobei mindestens
ein Pool existieren muss. Für jeden
Pool liegt im Unterverzeichnis »/ etc/
php5/pool.d« genau eine Konfigurationsdatei
mit der Endung ».conf«. Den
voranstehenden Dateinamen darf man
frei wählen, PHP-FPM liest einfach alle
».conf«-Dateien in diesem Verzeichnis
nacheinander ein. Um einen Pool vorübergehend
zu deaktivieren, muss man
folglich nur die Endung der zugehörigen
Konfigurationsdatei ändern.
Wurde PHP-FPM über den Paketmanager
der Distribution installiert, existiert im
Konfigurationsverzeichnis meist schon
eine Datei für einen einfachen Pool, unter
Debian beispielsweise mit dem Namen
»www.conf«. Diese Datei sollte man
nicht löschen, sondern sichern: Da in
ihr ausführliche Kommentare alle möglichen
Einstellungen erklären, dient sie als
Nachschlagewerk. Die Informationen auf
der PHP-FPM-Homepage [2] und in der
PHP-Dokumentation [3] sind hingegen
veraltet beziehungsweise unvollständig.
Wer keine Beispiel-Datei vorfindet, lädt
Listing 1: Einfacher Pool namens »einpool«
02 ; Pool erreichbar unter TCP‐Port:
03 listen = 127.0.0.1:9000
04
05 ; Zugriff nur erlaubt von:
06 listen.allowed_clients = 127.0.0.1
07
08 ; Prozesse laufen unter Benutzer und Gruppe:
09 user = www‐data
10 group = www‐data
11
12 ; Erzeuge Prozesse nach Bedarf:
sich das offizielle PHP-Quellcode-Paket
herunter und wirft dann einen Blick in
die Datei »php‐fpm.conf.in« im Verzeichnis
»sapi/fpm«.
Ein Beispiel für eine minimale Konfigurationsdatei
zeigt Listing 1: Zu Beginn
erhält der Pool in eckigen Klammern den
Namen »einpool«. Die darin zusammengefassten
Interpreter-Prozesse bearbeiten
dann alle Anfragen, die der Webserver
über den TCP-Port 9000 an PHP-FPM
übergibt. Die nächste Zeile »listen.allowed_clients«
stellt sicher, dass am Port
9000 nur Programme anklopfen dürfen,
die auf dem gleichen Rechner wie
PHP-FPM laufen (»localhost«, IP-Adresse
»127.0.0.1«). Damit verhindert man, dass
Angreifer von außen PHP-FPM mit Anfragen
zubombardieren oder die PHP-Interpreter
sogar für eigene Zwecke missbrauchen.
Möchte man hier Anfragen von
weiteren IP-Adressen zulassen, hängt
man diese einfach durch ein Komma getrennt
hintereinander.
Alle PHP-Interpreter-Prozesse aus dem
Pool »einpool« laufen gemäß Listing 1 mit
den Rechten des Benutzers »www‐data«
aus der Gruppe »www‐data« – hier also
der Einfachheit halber mit denen des
Webservers. In einer produktiven Umgebung
legt man sicherheitshalber für jeden
Pool einen eigenen neuen Benutzer an.
13 pm = dynamic
14
15 ; Maximale Anzahl Prozesse:
16 pm.max_children = 96
17
18 ; Starte mit so vielen Prozessen:
19 pm.start_servers = 16
20
Abbildung 3: PHP-FPM lauscht an TCP-Port 9000.
21 ; Vorrat an Interpretern ohne Aufgabe:
22 pm.min_spare_servers = 10
23 pm.max_spare_servers = 70
Um keine Ressourcen zu verschwenden,
soll PHP-FPM die Interpreter-Prozesse
nach Bedarf (»dynamic«) starten und beenden.
Wie »pm.max_children« vorgibt,
dürfen dabei in diesem Pool höchstens
96 PHP-Interpreter-Prozesse gleichzeitig
laufen. Da jeder Interpreter-Prozess eine
Anfrage abarbeitet, kann der Pool aus
Listing 1 folglich 96 Anfragen gleichzeitig
bedienen.
Wie viele Kind-Prozesse PHP-FPM direkt
nach seinem Start aktiviert, legt »pm.
start_servers« fest – in Listing 1 sind es
16 Stück. Es handelt sich hierbei wohlgemerkt
um die Anzahl der Kind-Prozesse,
zusammen mit dem vom Administrator
gestarteten Ausgangs-Prozess laufen somit
insgesamt 17 Prozesse. Däumchen
drehende PHP-Interpreter-Prozesse darf
es maximal 70 geben (»pm.max_spare_
servers«). Um für Anfragestürme gewappnet
zu sein, lässt Listing 1 immer
10 Stück in Wartestellung laufen (»pm.
min_spare_servers«).
Eine für alle
Die von PHP-FPM gestarteten PHP-Interpreter-Prozesse
übernehmen die Einstellungen
aus der Datei »/etc/php5/fpm/
php.ini«. Ihr Inhalt entspricht der allseits
bekannten »php.ini«-Datei. Sie gilt jetzt
allerdings für sämtliche Prozesse aus allen
Pools. Erhöht man in ihr beispielsweise
das »memory_limit« auf »64M«,
darf anschließend jeder PHP-Interpreter-
Prozess 64 MByte Hauptspeicher seinem
PHP-Skript zur Verfügung stellen. Wenn
nur der Pool aus Listing 1 existiert, könnten
maximal 96 Prozesse gleichzeitig laufen,
was im schlimmsten Fall 96 * 64
MByte = 6 GByte Hauptspeicher beanspruchen
würde.
Sollen die Prozesse in einem bestimmten
Pool abweichende Einstellungen nutzen,
30 Ausgabe 06-2012 Admin www.admin-magazin.de

PHP-FPM
Netzwerk
Abbildung 4: Wie in Listing 1 vorgegeben, laufen hier
17 PHP-Interpreter-Prozesse.
legt man diese in der Konfigurationsdatei
des Pools (wie in Listing 1) ab, allerdings
in einer etwas gewöhnungsbedürftigen
Notation. So muss der Name der PHP-
Einstellung zwischen den eckigen Klammern
von »php_admin_value[]« stehen:
php_admin_value[memory_limit] = 32M
Diese Zeile setzt das »memory_limit« auf
32 MByte. Boolesche Werte (also Einstellungen,
die etwas an- und ausschalten)
lassen sich analog mit »php_admin_
flag[]« überschreiben, hier ein Beispiel
mit »log_errors«:
php_admin_flag[log_errors] = on
Nachdem die Konfiguration steht, startet
der folgende Aufruf PHP-FPM:
/etc/init.d/php5‐fpm start
Abbildung 5: »phpinfo()« verrät, dass PHP-FPM die
Anfrage beantwortet hat.
Die Interpreter-Prozesse laufen jetzt im
Hintergrund und warten dort auf Anfragen.
Prüfen kann man das etwa mit
»netstat ‐tapn«. In der Ausgabe sollte wie
in Abbildung 3 PHP-FPM auftauchen.
»ps ‐A« sollte zudem die angegebene Anzahl
PHP-Interpreter-Prozesse mit dem
Namen »php‐fpm« anzeigen (Abbildung
4). Als Nächstes gilt es, den Webserver
auf PHP-FPM aufmerksam zu machen.
Indianerhäuptling
Apache muss die eingehende Anfrage an
PHP-FPM weiterreichen. Dies übernimmt
das Apache-Modul »mod_fastcgi«. Windows-Administratoren
bekommen es als
fertige DLL-Datei auf der FastCGI-Seite
[4]. Unter Linux hilft ein Blick in den
Paketmanager: Bei Debian 6 steckt das
Modul im Paket »libapache2‐mod‐fastcgi«
(aus dem »non‐free«-Repository). Dabei
sollte man darauf achten, nicht das fast
gleichlautende Modul »mod_fcgid« zu
erwischen. Dieses rüstet FastCGI unter
Apache 2 nach, bringt aber seinen eigenen
Prozess-Manager mit und kann eingehende
Anfragen nicht an einen schon
laufenden Interpreter wie PHP-FPM weiterreichen.
Folglich ist es in diesem Fall
nutzlos.
Wer Debian 6 verwendet und noch keinen
Apache 2 installiert hat, spielt mit
folgendem Kommandozeilenbefehl die
notwendigen Pakete ein:
apt‐get install apache2‐mpm‐worker U
libapache2‐mod‐fastcgi
Nginx
In der Praxis kombinieren viele Administratoren
PHP-FPM mit dem schlanken und schnellen
Webserver Nginx. Damit die beiden zusammenarbeiten,
muss die Ngnix-Konfiguration
die Zeilen
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
include
fastcgi_params;
# ...
}
enthalten. Wenn Sockets zum Einsatz kommen,
ersetzt man die Zeile »fastcgi_pass« gegen:
fastcgi_pass unix:/tmp/php5‐fpm.socket
»/tmp/php5‐fpm.socket« ist dabei der Name
des Sockets.
Als Nächstes aktiviert der Befehl »a2enmod
fastcgi« das Modul. Das Modul
»mod_php5« lässt sich so deaktivieren:
»a2dismod php5«.
Jetzt muss man nur noch in der Apache-
Konfigurationsdatei »httpd.conf« die Zeilen
aus Listing 2 ergänzen. Unter Debian
6 empfiehlt es sich, die Anweisungen in
einer eigenen Datei, etwa mit dem Namen
»php5‐fcgi.conf«, im Verzeichnis »/etc/
apache2/conf.d« abzulegen. Entscheidend
ist die Zeile »FastCgiExternalServer«,
die Apache anweist, die Anfragen
an den TCP-Port 9000 weiterzureichen.
Sofern zuvor »mod_php« aktiv war, muss
man dessen Konfiguration noch löschen
beziehungsweise auskommentieren.
Anschließend startet »/etc/init.d/apache2
restart« den Webserver neu. Zur Probe
sollte man jetzt eine simple PHP-Datei
»info.php« mit dem Inhalt:
im Document-Root ablegen, bei Debian 6
im Verzeichnis »/var/www«. Steuert man
jetzt diese Datei im Browser an, sollte
sich PHP-FPM wie in Abbildung 5 als
Interpreter zu erkennen geben.
Sockel
In Listing 1 übergibt der Webserver die
eingehenden Anfragen über den TCP-Port
9000 an PHP-FPM. Wenn Webserver und
PHP-FPM auf der gleichen Maschine
laufen, bietet sich auch die Verwendung
von Unix-Sockets an. Damit verringert
sich der TCP-Overhead. Um PHP-FPM
am Unix-Socket »/tmp/php5‐fpm.socket«
lauschen zu lassen, muss in der Pool-
Konfigurationsdatei aus Listing 1 die
Zeile »listen« durch
listen = /tmp/php5‐fpm.socket
ausgetauscht werden. Als Nächstes
ersetzt man die Zeile »listen.allowed_
clients« mit der Dreierbande:
Listing 2: Apache-2-Konfiguration für PHP-FPM
01
02 AddHandler php5‐fcgi .php
03 Action php5‐fcgi /php5‐fcgi
04 Alias /php5‐fcgi /usr/lib/cgi‐bin/php5‐fcgi
05 FastCgiExternalServer /usr/lib/cgi‐bin/
php5‐fcgi ‐host 127.0.0.1:9000 ‐pass‐header
Authorization
06
www.admin-magazin.de
Admin
Ausgabe 06-2012
31

Netzwerk
PHP-FPM
listen.owner = www‐data
listen.group = www‐data
listen.mode = 0660
Sie gibt den Besitzer (»listen.owner«),
die Gruppe (»listen.group«) und die Zugriffsrechte
(»listen.mode«) des Sockets
vor. Anschließend startet dieser Befehl
PHP-FPM neu:
/etc/init.d/php5‐fpm restart
01
Abbildung 6: Dieses Access-Log zeigt im oberen Bereich die Standard-Informationen und im unteren dann alle
möglichen Daten über die Anfragen.
Damit Änderungen der PHP-Konfiguration
wirksam werden, muss man den
Apache-Server mit »mod_php« neustarten.
Die gerade aktiven Benutzer erleben
dann einen Verbindungsabbruch nebst einer
Fehlermeldung. Anders bei PHP-FPM:
Dort kann man die Konfiguration im laufenden
Betrieb ändern. Das ist besonders
nützlich, wenn man schnell die Anzahl
der Interpreter-Prozesse in einem Pool
hochschrauben oder weitere Pools hinzufügen
möchte. PHP-FPM startet dann für
neu eingehende Anfragen neue Prozesse
mit der aktualisierten Konfiguration. Die
noch laufenden alten Anfragen arbeiten
die entsprechenden Prozesse noch ab, bevor
PHP-FPM sie beendet. Einen solchen
graceful Restart leitet
/etc/init.d/php5‐fpm reload
ein. Das bereits erwähnte:
/etc/init.d/php5‐fpm restart
löst hingegen einen herkömmlichen Neustart
aus.
Protokollant
Die von einem Pool bearbeiteten Anfragen
kann PHP-FPM zu Diagnosezwecken
aufzeichnen. Dazu ergänzt man in der
entsprechenden Konfigurationsdatei des
Pools (wie der aus Listing 1) die Zeile:
access.log = /var/log/$pool.access.log
Nach dem Gleichheitszeichen folgt der
Name der Log-Datei. Den Platzhalter
»$pool« ersetzt PHP-FPM gegen den Namen
des Pools. Standardmäßig landen im
Protokoll die IP-Adresse, der Benutzername,
die (Server-)Zeit, die Request-Methode,
die angefragte Adresse (URI) und
der zurückgelieferte Status-Code. PHP-
FPM kann zusätzlich aber auch die viel
interessantere Ausführungszeit, die benötigte
Prozessor-Belastung und den Query-
String protokollieren. Man sollte deshalb
gleich mit der zusätzlichen Zeile:
access.format = "%R ‐ %u %t \"%m %r%Q%q\"U
%s %f %{mili}d %{kilo}M %C%%"
alle wichtigen Informationen zusammenstellen
lassen (Abbildung 6). Wie ihr
kryptischer Aufbau schon andeutet, kann
man sich den Aufbau des Protokolls wie
in Apache selbst zusammensetzen, die
Buchstaben sind dabei Platzhalter für
verschiedene Informationen. Welcher
Platzhalter für welche Information steht,
verraten die Kommentare in der mitgelieferten
Beispiel-Datei.
Optimierer
Während das vorgestellte Access-Log
sämtliche Anfragen aufzeichnet, landen
im Slow-Log alle Anfragen, für die der
PHP-Interperter zu lange benötigt hat.
PHP-FPM führt ein solches Slow-Log für
einen Pool, wenn man in der zugehörigen
Konfigurationsdatei folgende Zeile
ergänzt:
slowlog = /var/log/$pool.log.slow
»$pool« steht wieder für den Pool-Namen.
Die folgende Zeile:
request_slowlog_timeout = 30s
legt dann noch fest, wann eine Anfrage
zu lange in der Bearbeitung ist. In diesem
Fall würde PHP-FPM eine Anfrage genau
F Abbildung 7: Wie
dieses Slow-Log
auf deckt, verhindert
eine »sleep()«-Anweisung
in »info.php« die
zügige Verarbeitung der
Anfrage.
32 Ausgabe 06-2012 Admin www.admin-magazin.de

dann im Slow-Log vermerken, wenn ein
PHP-Interpreter auch nach über einer
halben Minute noch keine Antwort geliefert
hat (Abbildung 7). Alternativ zu
»s« für Sekunden kann man die Zeit auch
in Minuten (Kürzel »m«), Stunden (»h«)
und Tagen (»d«) angeben.
Seine eigenen Probleme und interne Fehler
schreibt PHP-FPM übrigens standardmäßig
in die Datei »/var/log/php5‐fpm.
log«. Darin findet man auch Hinweise auf
fehlerhafte Konfigurationsdateien.
Schwedische Gardinen
Wer sich um die Sicherheit seines Webservers
schert, kann alle Interpreter-
Prozesse eines Pools in eine sogenannte
Chroot-Umgebung stecken. Dazu genügt
die Zeile:
chroot = /mein/gefaengnis
in der Konfigurationsdatei des Pools.
Hinter dem Gleichheitszeichen steht der
absolute Pfad, der dann für die Prozesse
zum neuen Root-Verzeichnis wird – in
diesem Beispiel »/mein/gefaengnis«.
Den aktuellen Gesundheitszustand eines
Pools kann man über eine spezielle
Status-URL abfragen. Dazu ergänzt man
in der Pool-Konfiguration (aus Listing 1)
die Zeile:
pm.status_path = /status
Damit erfährt man später unter »http://
www.example.com/status« unter anderem,
ob die Prozesse des Pools gerade
laufen und wie viele Anfragen sie bereits
beantwortet haben. Standardmäßig
liefert PHP-FPM die Informationen als
reinen Text zurück. Man kann sie sich
aber auch in HTML oder XML verpacken
lassen. Dazu hängt man einfach an die
URL ein »?html« beziehungsweise »?xml«
an. Mit der Zeile:
ping.path = /ping
kann man später unter »http://www.example.com/ping«
schnell prüfen, ob der
Pool läuft. In diesem Fall gibt PHP-FPM
ein schlichtes »pong« zurück. Doch Vorsicht:
Nach diesen Informationen lecken
sich auch Angreifer die Finger. Man sollte
die Funktion daher im produktiven Betrieb
möglichst deaktiviert lassen oder
zumindest den Zugriff durch den Webserver
einschränken.
Wenn ein Interpreter-Prozess zu lange
an einem PHP-Script knabbert, beendet
PHP-FPM ihn automatisch. Nach wie vielen
Sekunden, legt in der Konfigurationsdatei
»/etc/php5/fpm/php‐fpm.conf« die
folgende Zeile fest:
process_control_timeout = 10s
Reagiert hier ein Prozess 10 Sekunden
lang nicht, beendet PHP-FPM ihn automatisch.
Auch hier gelten wieder die
Abkürzungen »m« für Minuten, »h« für
Stunden und »d« für Tage.
Parallelverarbeitung
PHP-FPM stellt eine neue PHP-Funktion
»fastcgi_finish_request()« bereit. Wie ihr
Name schon andeutet, beendet sie die
Anfrage, das Skript läuft hingegen im
Hintergrund noch weiter. Ein Beispiel für
ihren Praxiseinsatz zeigt Listing 3. »fastcgi_finish_request()«
existiert allerdings
nur in PHP-FPM, auf anderen PHP-Interpretern
läuft das Skript nicht.
Fazit
PHP-FPM selbst erhöht die Sicherheit
und skaliert gut, beschleunigt durch seine
Arbeitsweise aber nicht automatisch die
Auslieferungszeiten gegenüber dem herkömmlichen
FastCGI-Interpreter. Die im
Internet veröffentlichten beeindruckenden
Zahlen vergleichen meist Apache 2
inklusive »mod_php« mit einem schlanken
Webserver wie Ngnix und PHP-FPM.
Wer also die Antwortgeschwindigkeit
insgesamt erhöhen möchte, muss noch
weiter optimieren. (ofr)
n
Infos
[1] FastCGI: [http:// www. fastcgi. com]
[2] PHP-FPM: [http:// php‐fpm. org/]
[3] PHP-FPM im PHP-Manual: [http:// php. net/​
manual/ en/ install. fpm. php]
[4] Mod-Fastcgi:
[http:// www. fastcgi. com/ dist/]
Der Autor
Tim Schürmann ist selbstständiger Diplom-
Informatiker und derzeit hauptsächlich als freier
Autor unterwegs. Zu seinen Büchern gesellen
sich zahlreiche Artikel, die in Zeitschriften und
auf Internetseiten in mehreren Ländern veröffentlicht
wurden.
ESET
ENDPOINT
LÖSUNGEN
ITPROFIS VERTRAUEN
AUF ESET.
„Im Laufe der Jahre und Testreihen
zeigte sich immer wieder, dass ESET
leistungsfähige Sicherheitslösungen
mit geringster Systembelastung
entwickelt.“ (Andreas Clementi,
Gründer und Vorsitzender bei AV-
-Comparatives)
Erstklassiger Schutz für Ihre
Endpoints mit der mehrfach ausge-
zeichneten Erkennungstechnologie,
cloudbasiertem Scan, Webkontrolle
und Remote Administration.
www.eset.de
www.admin-magazin.de
Ausgabe 06-2012
33

Netzwerk
Mosh
© Hugo Lacasse, 123RF
SSH durch Mosh ergänzen
Die Shell für
unterwegs
Lokales Echo und Netzroaming: Mosh ergänzt die bewährte SSH-Shell um
Funktionen, die besonders bei instabilen und mobilen Netzverbindungen
höhere Stabilität gewährleisten. Hanno Böck
Es erscheint paradox: In einer Zeit, in der
Netzverbindungen immer schneller werden,
sind wir doch immer häufiger mit
instabilen Internetverbindungen konfrontiert.
Außerhalb von Großstädten liefert
der Surfstick häufig nur langsame EDGE-
Verbindungen, und drahtlose Netzwerke
auf Veranstaltungen oder in Hotels sind
oft überlastet.
Regelmäßige Nutzer von SSH kennen das
Problem: Bei schlechter Netzverbindung
hat die Secure Shell zahlreiche Macken.
Führt man auf dem entfernten Host einen
Befehl mit langer Ausgabe aus, etwa
das Anzeigen einer umfangreichen Logdatei,
lässt sich dieser mit [Strg]+[C]
nicht mehr abbrechen. Der Befehl ist auf
dem Host bereits ausgeführt, aber der
Nutzer muss noch auf die Übertragung
von möglicherweise mehreren Megabytes
an Daten warten. Einen Editor über eine
instabile SSH-Verbindung zu nutzen,
macht wenig Freude, wenn das System
auf jeden Tastendruck erst nach mehreren
Sekunden reagiert.
SSH-Aufsatz
Abhilfe schaffen will hier Mobile Shell
oder kurz genannt Mosh [1]. Ähnlich SSH
bietet es einen sicheren Login auf einem
entfernten Rechner, Mosh ist aber auf die
Tücken mobiler Netze besser eingestellt.
Dabei ersetzt Mosh SSH nicht vollständig,
sondern baut darauf auf. Der Loginvorgang
wird weiterhin über SSH abgewickelt,
anschließend übernimmt Mosh
die Kontrolle über eine UDP-Verbindung.
Mosh wurde am MIT entwickelt, ist freie
Software und steht unter der GNU General
Public License (GPL) Version 3.
Während bei SSH grundsätzlich der gesamte
Datenstrom einer Konsole übertragen
wird, stellt Mosh nur den jeweils
aktuellen Zustand dar. Beim eingangs
erwähnten Beispiel eines Befehls mit
umfangreicher Ausgabe muss Mosh also
nicht die gesamten Daten übertragen.
Läuft der Befehl auf Serverseite schneller
ab als die Ausgabedaten übertragen
werden, überspringt Mosh einen Großteil
der Ausgabe.
Wenn Sie lokal Zeichen eintippen, werden
diese vom Mosh-Client umgehend
angezeigt. Auch dann, wenn die Netzverbindung
gerade eine deutliche Verzögerung
aufweist. Mosh versucht, vorherzuberechnen,
welche Auswirkungen
das Tippen auf dem entfernten Server
hätte und zeigt dies bereits an. Dieses
sogenannte lokale Echo arbeitet dabei
nicht absolut perfekt, laut Aussagen der
Entwickler liefert ihr Algorithmus in 70
Prozent der Fälle eine korrekte Anzeige.
36 Ausgabe 06-2012 Admin www.admin-magazin.de

Mosh
Netzwerk
Doch die Benutzbarkeit, etwa von Editoren,
wird dadurch deutlich erhöht. Bereits
eingetippte aber noch nicht übertragene
Zeichen zeigt die Shell dabei unterstrichen
an.
Fliegender Wechsel
Ein besonderes Feature von Mosh: Sogenanntes
Roaming, der Wechsel zwischen
verschiedenen Netzwerken, verläuft reibungslos.
Wenn man etwa seinen Laptop
vom Netzwerkkabel trennt und sich anschließend
mit einem WLAN verbindet,
bleibt eine SSH-Sitzung einfach stehen.
Mosh hingegen bemerkt die fehlende
Netzverbindung und zeigt eine entsprechende
Meldung an (Abbildung 1). Sobald
man sich mit dem WLAN verbunden
hat, kann die aktuelle Sitzung sofort weitergenutzt
werden.
Die Installation
Da es sich bei Mosh um keinen eigenen
Netzwerkservice handelt, ist die Installation
denkbar einfach. Auf der Serverseite
muss lediglich das mosh-server Binary
vorhanden sein. Alle gängigen Distributionen
bieten für Mosh ein Paket an, je
nach System reicht also ein einfaches
»apt‐get install mosh« (Debian, Ubuntu),
»yum install mosh« (Fedora) oder »zypper
install mosh« (Open Suse). Eine Konfiguration
ist nicht notwendig.
Auf dem Clientsystem
muss die
Mosh-Software
ebenfalls installiert
werden. Eine Verbindung
bauen Sie
nun – ähnlich wie
bei ssh – mit diesem Befehl auf:
mosh username@servername.com
Ein wenig komplizierter stellt sich die
Situation dar, wenn man auf dem Server
keine root-Rechte besitzt und somit
keine systemweiten Programme installieren
kann. Aber auch dann lässt sich
Mosh benutzen. Sie benötigen lediglich
das Binary »mosh-server« an beliebiger
Stelle. Am einfachsten können Sie dieses
vom Clientsystem direkt kopieren, etwa
durch ein »scp /usr/bin/mosh‐server
username@server.com«. Anschließend
können Sie beim Login mit »mosh« den
Pfad des Server-Binaries angeben: »mosh
SSH
SSH ist seit Langem der bevorzugte Weg,
sich auf der Konsole eines Systems über das
Netzwerk einzuloggen. SSH arbeitet dabei
vollständig verschlüsselt – im Gegensatz zu
früheren, unsicheren Protokollen wie Telnet,
bei dem sämtliche Daten im Klartext übertragen
werden und von einem Angreifer mitgelesen
werden können. Unter freien Unix-
Systemen wie Linux oder BSD kommt in der
Regel OpenSSH zum Einsatz.
Abbildung 1: Mosh erkennt, wenn die Netzwerkverbindung abbricht.
username@server.com ‐server=/home/
username/mosh‐server«.
Die eben beschriebene Vorgehensweise
funktioniert natürlich nur, wenn das
Client-Binary auf dem Server auch läuft.
Probleme können sich ergeben, wenn der
Client ein 64-Bit-Linux ist, während auf
dem Server noch ein 32-Bit-Linux läuft.
Auch wenn auf dem Server ein ganz anderes
System – etwa FreeBSD – läuft, funktioniert
diese Vorgehensweise nicht. Dann
kann mosh auf dem Server selbst kompiliert
werden. Hierzu laden Sie das Sourcepaket
herunter (aktuell »mosh‐1.2.2.tar.
gz«), wechseln in das entpackte Verzeichnis,
das einer etwas ungewöhnlichen Namenskonvention
folgt (in der aktuellen
Version »keithw‐mosh‐df955aa«).
Mosh liefert kein Configure-Skript, dies
erzeugen Sie mit dem Befehl »./autogen.
sh«. Anschließend wird Mosh, wie bei
den meisten Programmen gewohnt, mit
»./configure; make« kompiliert. Das Binary
befindet sich anschließend im Pfad
»src/frontend/mosh‐server«, es kann an
beliebiger Stelle im Homedir hinterlegt
und wie oben beschrieben mit dem Parameter
»‐‐server« angegeben werden. E
Linux-Magazin
ACADEMY
Online-Training
IT-Sicherheit Grundlagen
mit Tobias Eggendorfer
Themen (Auszug):
❚ physikalische Sicherheit
❚ Sicherheitskonzepte
❚ Sicherheitsprüfung
❚ logische Sicherheit
• Betriebssystem
• Netzwerk
20%
Treue-Rabatt für
Abonnenten
Deckt in Teilbereichen auch das Prüfungswissen für LPIC-303-Inhalte ab.
Inklusive Benutzer- und Rechteverwaltung, Authentifizierung,
ACLs sowie wichtige Netzwerkprotokolle und mehr!
Das Grundlagentraining für IT-Sicherheit richtet sich an Systemadministratoren und solche, die es
werden wollen ebenso wie an ambitionierte Heimanwender. Nur 299 E inkl. 19 % MwSt.
@Kirsty Pargeter, 123RF
www.admin-magazin.de
Admin
Ausgabe 06-2012
Informationen und Anmeldung unter: academy.linux-magazin.de/sicherheit
37

Netzwerk
Mosh
Mosh setzt voraus, dass auf Server und
Client ein System mit Unicode-Unterstützung
und dem UTF-8-Zeichensatz
läuft. Andere Zeichensätze werden nicht
unterstützt. Auf den meisten aktuellen
Systemen ist dies kein Problem, sie sind
von Haus aus auf UTF-8 als Standardzeichensatz
eingestellt. Ist auf dem lokalen
System ein anderer Zeichensatz voreingestellt,
können Sie vor dem Aufruf von
mosh den Zeichensatz temporär umstellen:
LC_ALL="de_DE.utf8"
mosh username@server.com
Mosh ist für zahlreiche Unix-Systeme verfügbar,
die Webseite liefert, sofern nicht
sowieso vorhanden, Pakete für gängige
Linux-Distributionen, für FreeBSD und
auch für Mac OS X. Etwas komplizierter
stellt sich die Situation unter Windows
dar. Ein einfacher Windows-Client für
Mosh ist bislang nicht erhältlich, lediglich
eine Anleitung, wie sich das Programm
unter Cygwin kompilieren lässt [2].
Auch auf dem Handy
Aufgrund seiner Möglichkeit zum Roaming
ist Mosh natürlich besonders für
mobile Anwendungen interessant. Eine
Android-App ist bereits verfügbar [3],
dessen Terminal-Emulator basiert auf
dem Code von Irssi-Connectbot. Der
Name sollte niemanden verwirren, die
App lässt auch eine gewöhnliche Shellverbindung
zu und ist nicht auf die Nutzung
von Irssi beschränkt.
Die App verbindet sich standardmäßig
über gewöhnliches SSH, eine Mosh-
Verbindung muss explizit ausgewählt
werden. Anschließend erhalten Sie eine
Shellverbindung, die beispielsweise auch
dann aufrechterhalten wird, wenn Sie
von einem WLAN zu einer UMTS-Verbindung
wechseln.
Schwieriger sieht die Situation bislang
auf iPhones aus. Das lag zunächst vor allem
an den restriktiven Bedingungen von
Apples App Store. Dieser lässt Anwendungen
unter der GPL-Lizenz nicht zu.
Inzwischen haben die Mosh-Entwickler
daher in ihre Lizenzbedingungen eine
Klausel eingefügt, die eine Portierung für
iOS möglich machen soll. Unabhängig
davon arbeiten die Entwickler des kostenpflichtigen
iSSH-App [4] daran, Mosh
Abbildung 2: Anzeigefehler wie hier treten bei Mosh
leider noch häufig auf.
selbst zu implementieren. Die Funktion
soll in einer der kommenden Versionen
verfügbar sein.
Kein Scrollback Buffer
Während die Nutzung von Mosh gegenüber
SSH viele Vorteile bringt, gibt es
eine nicht unerhebliche Einschränkung:
Das Zurückscrollen auf der Konsole mit
[Strg]+[PgUp], der sogenannte Scrollback
Buffer, funktioniert nicht wie gewohnt.
Das hängt mit der grundlegenden
Funktionsweise von Mosh zusammen. Es
überträgt nur den jeweils aktuellen Anzeigestand
einer Konsole, der Scrollback
Buffer arbeitet allerdings clientseitig und
ist darauf angewiesen, dass alle Daten,
zu denen zurückgescrollt werden kann,
auch verfügbar sind.
Die Mosh-Entwickler arbeiten nach eigenen
Angaben daran, in künftigen Versionen
hierfür eine Lösung zu schaffen, als
Abhilfe empfehlen sie die Nutzung von
Screen [5] auf der Serverseite. Screen besitzt
einen eingebauten Scrollback Buffer,
der sich mit [Strg]+[A] und anschließendem
Drücken von ] aktivieren und mit
[Esc] wieder verlassen lässt.
Eine weitere Einschränkung, die möglicherweise
manchen von einer Nutzung
abhält: Mosh funktioniert bislang nur
über IPv4, Unterstützung für das IPv6-
Protokoll ist noch nicht vorhanden.
Anzeigefehler
In unseren Tests zeigte Mosh in einigen
Situationen Anzeigefehler. Besonders
gerne traten diese auf, wenn man sich
in der untersten Zeile eines Konsolenfensters
befindet und Befehle eingibt, die
länger als eine Zeile sind. Dabei kam
es allerdings auf die Wahl des Terminalemulators
an. Unter Gnome-Terminal
und Lxterminal traten besonders viele
Probleme auf (Abbildung 2), auf einem
echten Linux-Terminal und mit der KDEeigenen
Konsole konnten wir keine Anzeigefehler
feststellen.
Wie sicher ist Mosh?
Eine Shell-Verbindung ist ein mächtiges
Werkzeug, und so ist auch das Missbrauchspotenzial
groß. SSH und dessen
Open-Source-Implementierung OpenSSH
genießen einen sehr guten Ruf. Sicherheitsprobleme
treten selten auf, das Protokoll
nutzt starke kryptografische Protokolle
und ist von zahlreichen Sicherheitsexperten
untersucht worden. Während
Mosh für das Login auf SSH aufsetzt,
findet die Datenübertragung selbst mit
einem eigenen Protokoll statt und enthält
somit möglicherweise noch unbekannte
Sicherheitsprobleme.
Mosh überträgt beim Verbindungsaufbau
über SSH einen Sitzungsschlüssel, der
anschließend zur Verschlüsselung der eigentlichen
Mosh-Daten dient. Es handelt
sich um ein simples UDP-Protokoll mit
AES-128-Verschlüsselung im sogenannten
OCB-Modus. Obwohl das Protokoll
relativ einfach strukturiert ist und wenig
Ansatzpunkte für Sicherheitsprobleme
aufweist, weisen die Mosh-Entwickler
selbst darauf hin, dass es bisher nicht
von Kryptografie-Experten untersucht
wurde. Sie rufen dazu auf, dass Fachleute
den Quellcode und das Protokoll genau
unter die Lupe nehmen. (ofr) n
Infos
[1] Mosh: [http:// mosh. mit. edu/]
[2] Mosh via Cygwin unter Windows: [https://​
gist. github. com/ 2349067]
[3] Mosh unter Android: [http:// dan. drown.​
org/ android/ mosh/]
[4] iSSH für Apple iOS: [http:// www.​
zinger‐soft. com/ iSSH_features. html]
[5] Screen:
[http:// www. gnu. org/ software/ screen/]
Der Autor
Hanno Böck ist freier Journalist und ehrenamtlicher
Entwickler bei Gentoo Linux. Nebenher
arbeitet er beim Webhosting-Unternehmen schokokeks.org
mit, welches für den Betrieb seiner
Dienste ausschließlich auf freie Software setzt.
38 Ausgabe 06-2012 Admin www.admin-magazin.de

globalBusiness:
weltweit mehr
als 4.000 Orte
verfügbar
New York – Berlin zum Ortstarif:
globalBusiness verbindet Sie mit der Welt.
Und so geht’s: Sie erhalten von der outbox AG
eine lokale Rufnummer z.B. aus New York.
Alle Anrufe darauf werden umgehend auf Ihre
Festnetznummer in Berlin – oder auf jedes
andere beliebige Ziel – weitergeleitet. So sind
Sie in Ihrem Büro in Deutschland für internationale
Kunden zu deren Ortstarif erreichbar.
Bieten Sie Ihren Kunden und Interessenten mit
globalBusiness diese persönliche und günstige
Kontaktmöglichkeit und sichern Sie sich Ihren
Wettbewerbsvorteil. Alle verfügbaren Länder
und Vorwahlen im Web: www.outbox.de/admin
Infos und Beratung: 0800 / 66 474 640
www.outbox.de/admin

Netzwerk
Remotedesktop
© Phanlop Boonsongsomnukool, 123RF
Remote Desktop auf Basis von HTML5
Klick in die Zukunft
HTML5 bietet eine Reihe neuer Funktionalitäten wie Audio, Video-Unterstützung, ohne dass dafür Plugins wie
Flash oder Java nötig wären. Das eröffnet völlig neue Möglichkeiten in der Bereitstellung von Inhalten über das
Web – auch für den mobilen Zugriff auf Anwendungen im LAN. Thomas Zeller
Die Bedienung entfernt laufender Applikationen
im Browser ist spätestens seit
Google Apps nichts Besonderes mehr.
Was aber, wenn eigene Anwendungen
aus dem Firmen-LAN oder der heimische
Desktop über das Internet bereitgestellt
werden sollen? Terminalserver-Technologien
wie VNC und RDP oder VDI-Lösungen
wie VMware View oder Citrix
Xen Desktop sind dafür die erste Wahl.
In der Regel muss aber an dem Rechner,
von dem aus Benutzer auf die Remote-
Anwendung zugreifen wollen, auch ein
entsprechender Software Client installiert
werden. Traut man der eingebauten Verschlüsselung
nicht, oder ist die gar nicht
erst vorhanden, wird schnell auch noch
ein VPN-Client für die Verschlüsselung
und Authentifizierung nötig.
Alles sehr ungünstig, wenn der Rechner
zum Beispiel in der Hotel-Lobby oder
einem Internet-Café steht, auf dem keine
eigenen Anwendungen installiert werden
dürfen. Diese Lücke füllen seit einigen
Jahren „Clientless SSL-VPNs“, die einen
Zugriff auf Remote-Anwendungen über
eine sichere HTTPS-Verbindung ohne
Installation eines Clients nur mit dem
Browser erlauben. Allerdings stellen auch
diese Lösungen zumeist spezifische Anforderungen
an Browser und Plugins.
Häufig wird Java, Flash oder ActiveX –
evtentuell sogar in einer ganz bestimmten
Version – vorausgesetzt.
Besser mit HTML5
Als Alternative bietet sich Guacamole [1]
an, eine HTML5-Web-Applikation, die
einen grafischen Zugriff über Remote-
Desktop-Protokolle direkt im Browser
bereitstellt, ohne dass weitere Plugins
installiert werden müssen. Das Programm
steht unter der AGPLv3 und unterstützt in
der aktuellen Version 0.6.2 die Protokolle
VNC und RDP, deren Funktionsumfang
jedoch an einigen Stellen eingeschränkt
ist. So können über RDP beispielsweise
keine Audiodaten übertragen oder Netzlaufwerke
verbunden werden.
Serverseitig arbeitet die in Java geschriebene
Software auf einem Apache-Server
mit Servlet-Container (Apache Tomcat)
und fungiert dann als Proxy, der die grafische
Ausgabe von VNC und RDP in
XML übersetzt und umgekehrt (Abbildung
1). Die per RDP oder VNC erreichbaren
Desktops können dabei entweder
auf dem Application Server selbst oder
auf einem anderen Rechner im Netzwerk
laufen. Guacamole verspricht eine fast
native Performance, bietet internationale
Keyboard-Unterstützung und ein On-
Screen Keyboard, mit dem Tastatureingaben
auch über die Maus erfolgen können.
Basis für die Funktion von Guacamole
ist das Canvas-Element in HTML5, das
per Javascript umfangreiche grafische
Operationen vornehmen kann. Dazu ge-
HTML5-fähige Browser
Wer überprüfen möchte, ob und welche
HTML5-Features der eigene Browser unterstützt,
dem sei die HTML5-Test Site unter [2]
empfohlen. Sie analysiert blitzschnell die Unterstützung
einzelner Funktionen im Browser
und vergibt einen Score für jedes Element.
Auf diese Weise erhält man eine belastbare
Einschätzung zur HTML5-Kompatibilität des
eigenen Browsers. Bei den Desktop-Browsern
liegt derzeit Chrome 21 mit 437 Punkten klar
vorne, das Schlusslicht bildet der Internet
Explorer 9 mit gerade mal 138 Punkten. Auf
den mobilen Plattformen (Android, iOS, Windows
Phone und andere) liegt Opera 12 auf
allen Plattformen nur um zwei Punkte hinter
Chrome (auf Android 4 Devices).
40 Ausgabe 06-2012 Admin www.admin-magazin.de

Remotedesktop
Netzwerk
hört das Zeichnen von Linien,
Rechtecken, Kreisbögen und
Bézierkurven, aber auch die
Darstellung von Farbverläufen,
Transparenz, Text und
vor allem auch das Skalieren
von Grafiken der Formate
PNG, JPG und GIF. Ideale Voraussetzungen
also, um einen
Desktop mitsamt Anwendungen
im Browser darzustellen.
Voraussetzung ist dann lediglich
ein Browser, der das
Canvas-Element unterstützt.
Das können die meisten aktuellen
Browser (vom Internet
Explorer 8 und 9 einmal abgesehen)
bereits heute, obwohl
das W3C davon ausgeht, dass
HTML5 erst bis 2014 wirklich
breite Unterstützung erfährt.
Guacamole installieren
Glücklicherweise hält die Guacamole
Website bereits vorgefertigte Pakete für
einige Distributionen bereit. Unter [1] finden
Sie Pakete für Debian 6.0 (Squeeze),
Ubuntu 11.10/​12.04 und Fedora 15/​16/​
17. Alternativ kann man Guacamole natürlich
auch aus den Sourcen unter [3]
selbst kompilieren. Für einen Test soll
Guacamole 0.6.2 auf einem aktuellen
(12.04.1 LTS) Ubuntu-System installiert
werden. Dazu müssen zunächst noch die
Voraussetzungen für den Java-, VNC- und
RDP-Support geschaffen werden, was so
rasch erledigt ist:
sudo apt‐get install tomcat6 U
libvncserver0 libfreerdp1
Anschließend laden Sie die Pre-Build-
Pakete für Ubuntu 12.04 von der Guacamole-Projektseite
bei SourceForge herunter
und entpacken den Inhalt des Archivs
in Ihrem Homeverzeichnis. Wechseln Sie
nun in das neue Verzeichnis
cd guacamole‐0.6.2‐ubuntu‐12.04‐i386
Abbildung 1: Die Skizze zeigt das Funktionsschema von Guacamole und die
Kommunikation mit RDP- oder VNC-Servern.
und installieren Sie die Guacamole-Pakete.
Das erledigt der folgende Einzeiler:
sudo dpkg ‐i guacd_*.deb guacamole_*.debU
libguac3_*.deb libguac‐client‐vnc0_*.debU
libguac‐client‐rdp0_*.deb
Möchten Sie lediglich VNC-Verbindungen
im Browser verfügbar machen, können
Sie auf die Installation des Paketes
»libguac‐client‐rdp0_*.deb« verzichten.
Der Tomcat-Server benötigt nun noch
zwei symbolische Links zu den Dateien
»guacamole.war« and »guacamole.properties«.
Außerdem muss der User »tomcat6«
noch der neuen Gruppe »guacamole‐web«
hinzugefügt werden, was durch Einspielen
des Paketes
sudo dpkg ‐i guacamole‐tomcat_*.deb
automatisch erledigt wird. Die manuelle
Vorgehensweise wird alternativ auf der
Guacamole Projekt-Website beschrieben.
Abschließend ist ein Neustart des Tomcat-
Servers fällig, wählen Sie dazu einfach
»Ja« in der folgenden Abfrage (Abbildung
2), oder starten Sie den Tomcat-Server
auf der Kommandozeile neu:
sudo /etc/init.d/tomcat6 restart
Damit der Zugriff über Guacamole
auf den Desktop gelingt,
muss natürlich zunächst
auch ein Desktop freigegeben
werden. Für den Test soll der
Desktop auf einem Windows-
7-PC über das RDP-Protokoll
freigegeben werden. Natürlich
funktioniert das ebenso mit
einem echten Windows-Terminalserver
oder einem Rechner,
auf dem der Desktop per
VNC-Server freigegeben ist.
Zugriffsschutz
Jetzt müssen Sie die Credentials
für den Remote-Desktop
noch Guacamole bekannt geben,
damit der Zugriff auch
über den Browser gelingt. Dazu bearbeiten
Sie die Datei »/etc/guacamole/
user‐mapping.xml« (Abbildung 3)
sudo vi /etc/guacamole/user‐mapping.xml
Dort tragen Sie im Abschnitt:
die entsprechenden Daten ein. Entfernen
Sie dazu zunächst die Kommentarzeichen
»«.
Im Beispiel soll es eine Verbindung für
den User »tom« mit dem Passwort »test«
auf dem Windows-System mit der IP-
Adresse 192.168.1.11 geben (Listing 1).
Nutzen Sie lieber VNC, ersetzen Sie »rdp«
in der Protocol-Sektion einfach durch
»vnc«. Das Passwort für den VNC-Server
landet dann im Abschnitt
MeinVNCPasswordU
Speichern Sie jetzt die Konfigurationsdatei,
und starten Sie »guacd« neu:
sudo /etc/init.d/guacd restart
Stellen Sie sicher, dass der Rechner, den
Sie in »user‐mapping.xml« eingetragen
Abbildung 2: Das Einspielen der Pakete von der Guacamole-Website aktiviert auf dem Ubuntu-System
anschließend ein Skript, das den Tomcat-Server konfiguriert.
Listing 1: User-Mapping
01
02 rdp
03 192.168.1.11
04 3389
05
06
www.admin-magazin.de
Admin
Ausgabe 06-2012
41

Netzwerk
Remotedesktop
daher Eigentümer und Rechte der Datei
»user‐mapping.xml« wie folgt ändern:
sudo chown tomcat6.tomcat6 user‐U
mapping.xml
sudo chmod 640 user‐mapping.xml
Abbildung 3: Benutzer, die über HTTP auf grafische Desktops zugreifen dürfen, werden in der zentralen
Konfigurationsdatei »user‐mapping.xml« eingetragen.
Alternativ bietet Guacamole im Config-
File auch die Möglichkeit, nur gehashte
Passworte anzulegen. Das nachfolgende
Beispiel zeigt die entsprechende Sektion
der »user‐mapping.xml« für den Benutzer
»tom« und dem mit MD5 gehashten Passwort
»GEHEIM« (Listing 2).
Der Hash eines Passworts lässt sich mit
dem Hilfsprogramm »md5sum« auf der
Kommandozeile schnell anzeigen:
echo ‐n PASSWORD | md5sum ‐t
319f4d26e3c536b5dd871bb2c52e3178 ‐
haben, über das entsprechende Protokoll
erreichbar ist, und rufen Sie dann
im Webbrowser die Adresse »http://
IP‐Adresse:8080/guacamole« auf. Nach
erfolgreicher Authentifizierung mit dem
festgelegten Benutzernamen und Passwort
sollte nun die Anmeldung am Desktop
des Zielsystems im Browserfenster
angezeigt werden (Abbildung 4). Dort
können Sie sich dann mit Ihren Windows-Credentials
anmelden.
Guacamole stellt eine einfache Zwischenablage
für den Austausch von Texten zwischen
Remote-Rechner und dem lokalen
System sowie eine Bildschirmtastatur
zur Verfügung (Abbildung 5), wenn Sie
den Mauszeiger in Richtung Adresszeile
des Browsers bewegen. Dort können Sie
dem Remote-Rechner im Bedarfsfalle
auch ein [Strg]+[Alt]+[Entf] schicken
oder die Remote-Sitzung mit Guacamole
beenden.
Kleine Unsicherheiten
Das Default-Setup von Guacamole ist
zwar funktionsfähig aber alles andere als
sicher, denn der Zugriff auf die Login-
Seite erfolgt unverschlüsselt. Es empfiehlt
sich daher dringend, Tomcat mit
SSL-Unterstützung zu installieren. Wie
das geht, verrät die ausführliche Tomcat-
Dokumentation unter [4]. Unschön ist
auch, dass das Passwort für den Verbindungsaufbau
zum RDP-Server und
– im Falle einer VNC-Verbindung auch
das VNC-Passwort – im Klartext in der
Konfigurationsdatei »user‐mapping.xml«
stehen und von angemeldeten Benutzern
ausgelesen werden können. Sie sollten
Diesen Hashwert übernehmen Sie anstelle
des Passworts in die Konfiguration.
Natürlich sollte das gehashte Passwort
länger als acht Zeichen und mit Sonderzeichen
möglichst sicher gewählt sein
– einfache Passworte errechnen Brute-
Force Cracker wie »mdcrack« ansonsten
binnen weniger Minuten.
Sophos UTM 9.0 mit HTML5
VPN Portal
Wer den Aufwand für die Einrichtung
sicherer Verbindungen mit Guacamole
scheut, kann natürlich auch zu kommerzieller
Software greifen. So bietet
beispielsweise die aktuelle Version der
Sophos UTM 9.0 Firewall (früher Astaro
Security Gateway) ebenfalls ein HTML5-
Portal, mit dem man von extern kom-
Abbildung 4: Desktop im Browser: Dank HTML5 sind keine Plugins für den
grafischen Zugriff auf Desktops im Browser erforderlich.
Abbildung 5: Guacamole bietet neben einem eigenen (Text) Clipboard eine Bildschirmtastatur,
mit der sich Texteingaben auch mit der Maus erledigen lassen.
42 Ausgabe 06-2012 Admin www.admin-magazin.de

Remotedesktop
Netzwerk
fortabel und ohne Client-Installation
schnell auf Dienste im LAN zugreifen
kann. Neben RDP und VNC unterstützt
Sophos darüber hinaus Verbindungen zu
Telnet- und SSH-Servern sowie HTTPund
HTTPS-Verbindungen. Im Gesamtkonzept
spielt der HTML5-Remote-Access
bei Sophos UTM aber eher eine untergeordnete
Rolle. Denn auch hier kann man
über RDP beispielsweise keine Laufwerke
des Clients mappen.
Volles Programm
Für den vollständig transparenten Remote-Netzwerkzugriff
stellt Sophos
UTM mit IPSEC-, SSL-, PPTP- und L2TP-
VPN Servern gewichtige Alternativen
bereit. Das HTML5-Portal ist mit seiner
reinen KVM-Übertragung (Keyboard Video
Mouse) auch eher für gelegentliche
Fernwartungssitzungen externer Dienstleister
gedacht, die keinen vollwertigen
VPN-Zugang bekommen sollen.
Sophos bietet UTM 9.0 als Hardware-
Appliance, virtuelle Appliance oder als
Software Appliance zur Installation auf
eigener Hardware an. Software- und virtuelle
Appliance stehen auf dem FTP-
Server [5] zum Download bereit.
Für den privaten, nicht-kommerziellen
Einsatz gewährt Sophos gegen Registrierung
eine kostenfreie „Home-Use
License“ für bis zu 50 IP-Adressen (Endpoint
Antivirus 10 User), die den vollen
Funktionsumfang der kommerziellen
Ausgabe enthält. Dieser umfasst die folgenden
Module:
n Network Security: Paketfilter, VPN,
Intrusion Protection
n Web Security: URL-Filter, Application
Control, Antivirus mit HTTP-, HTTPS-,
und FTP-Proxy
n Mail Security: Antispam, Antivirus mit
SMTP + POP3-Proxy
n Web Server Security: Web Application
Firewall gegen Cross-Site-Scripting
Attacken, SQL-Injection und so weiter
rz lam-0018 Anzeige_210x148:la1 lam-0010 Anzeige_210x148 18.08.2010 15:26 Uhr Seite 1
n Wireless Security: WLAN Controller
für Sophos Access Points
n Endpoint AntiVirus: Antivirus und Gerätekontrolle
für Windows Clients
Um eine Lizenz abzurufen, registrieren
Sie sich zunächst unter [6], und loggen
Sie sich dann mit Ihren Zugangsdaten
ein. Die kostenfreie Lizenz finden Sie
dann unter „View License / Home Use
License“.
Sophos UTM 9.0 und User-
Portal einrichten
Dank vorgefertigter Images für VMware
ist die Inbetriebnahme einer Sophos UTM
9.0 mit HTML5-Portal, zum Beispiel mit
dem VMware-Player, VMware-Workstation
oder einem ESX-Server, schnell erledigt.
Wer die virtuelle Maschine lieber
in einer Virtualbox betreiben möchte,
lädt statt der virtuellen Appliance das
ISO-Image herunter und bindet es als
Bootmedium in einer manuell erzeugten
„Es gibt drei Möglichkeiten, eine Firma zu ruinieren:
mit Frauen, das ist das Angenehmste;
mit Spielen, das ist das Schnellste;
mit Computern, das ist das Sicherste.“
Oswald Dreyer-Eimbcke, deutscher Unternehmer
Es gibt allerdings auch eine ganze Reihe von Möglichkeiten, mit IT zum Unternehmenserfolg beizutragen.
Und genau damit beschäftigen wir uns seit dem Jahr 1989. In weit über 100.000 Stunden IT-Training,
technischem Consulting und Software-Entwicklung haben wir eine ganze Menge Know-how entwickelt.
Dieses umfassende Wissen kommt Ihnen heute zugute, wenn wir Sie in allen IT-Fragen unterstützen.
Wie Sie von unserem Know-how profitieren, erfahren Sie unter www.lamarc.com.
Rufen Sie uns an +49 611 26 00 23 oder schicken eine E-Mail an info@lamarc.com
Seminare OnSite Coaching Netzwerk Consulting System Consulting Developer Support Software-Entwicklung
www.admin-magazin.de
Admin
Ausgabe 06-2012
43

Netzwerk
Remotedesktop
nun noch für alle oder nur bestimmte
User und Netze freigeben beziehungsweise
einschränken. Die Verbindung ist
jetzt einsatzbereit. Der oder die berechtigten
User können sich nun am User-Portal
anmelden, das sie über die URL »https://
Externe‐IP‐Adresse« erreichen. Nach erfolgreicher
Authentifizierung genügt ein
Klick auf »HTML5‐VPN‐Portal« und dann
auf die Schaltfläche »Verbinden« neben
zuvor konfigurierten Verbindungen.
Schnittstellen
01
05 vnc
06 localhost
07 5900
08 123456
09
Das HTML5-VPN-Portal ist in das sogenannte
User-Portal integriert, über das
Benutzer auch andere Funktionen nutzen
können, etwa die eigene Spam-Quarantäne
einsehen, vorkonfigurierte VPN-
Clients herunterladen und eben auch auf
das HTML5 VPN Portal zugreifen. Im
ersten Schritt aktivieren Sie daher das
User-Portal unter »Management / User
Portal«, das sich auch auf einzelne Netze
und Benutzer einschränken lässt.
Natürlich sollen die Benutzer auch aus
dem Internet auf das User-Portal zugreifen
können. Tragen Sie unter »Allowed
networks« daher einfach »AnyIPv4« ein,
und setzen Sie das Häkchen bei »Allow all
Users«. Legen Sie nun unter »Definitions
& Users / Users & Groups« die Benutzer
an, die später Zugang zum User-Portal
erhalten sollen. Jetzt aktivieren Sie das
HTML5 VPN Portal unter »Remote Access
/ HTML5 VPN Portal / Enable«, und legen
Sie die Verbindungen zu den internen
Diensten an. Dazu klicken Sie auf »New
HTML5 VPN Portal connection«, tragen
einen Namen für die Verbindung ein und
wählen das Protokoll, zum Beispiel »Remote
Desktop« aus (Abbildung 6).
Optional können Sie auch gleich die
Credentials hinterlegen, dann wird der
Benutzer über das HTML5 VPN Portal
später direkt mit dem Terminalserver
eingeloggt. Das ist praktisch, denn wer
möchte schon einem Externen seinen Administrator
Account anvertrauen. Weiter
unten können Sie die neue Verbindung
Weitere HTML5 Remote Desktops
Der Vollständigkeit halber sollen hier noch
zwei weitere interessante Projekte erwähnt
werden, die sich für die Bereitstellung von
Remote-Desktops ebenfalls der HTML5-Technik
bedienen.
n ThinVNC [8] ist ein kommerzieller VNC-
Server (leider nur für Windows) mit integrierter
SSL-Verschlüsselung und NTLM-
Authentifizierung.
n noVNC [9] ist ein unter LGPLv3 veröffentlichter
HTML5-VNC-Client, der serverseitig
einen VNC-Server mit Websockets-Unterstützung
voraussetzt.
Abschließend sei noch erwähnt, dass Sophos
UTM 9.0 als Backend-System eine
breite Palette von Authentifizierungslösungen,
darunter LDAP, Active Directory
Single Sign On, Novell eDirectory und
RADIUS unterstützt. Da die meisten Hersteller
von Two-Factor-Authentifizierungslösungen
(zum Beispiel Vasco Digipass
[7]) die universelle Radius-Schnittstelle
nutzen, lässt sich der Zugang zum User-
Portal leicht um eine Zugangssicherung
mit Tokens erweitern. (ofr)
n
Infos
[1] Guacamole: [http:// www. guac‐dev. org]
[2] HTML5 Test Suite:
[http:// www. html5test. com]
[3] Guacamole-Quellcode:
[http:// sourceforge. net/ projects/
guacamole/ files/ current/ source/]
[4] Tomcat SSL-Howto: [http:// tomcat. apache.​
org/ tomcat‐6. 0‐doc/ ssl‐howto. html]
[5] Astataro UTM:
[ftp:// ftp. astaro. com/ UTM/ v9/]
[6] Astaro-Anmeldung:
[https:// my. astaro. com]
[7] Digipass: [http:// www. vasco. com/ de/​
products/ digipass/ digipass_index. aspx]
[8] ThinVNC:
[http:// www. cybelesoft. com/ thinvnc/]
[9] NoVNC:
[http:// kanaka. github. com/ noVNC/]
Der Autor
Thomas Zeller ist IT-Consultant und beschäftigt
sich seit 15 Jahren mit IT-Sicherheit und Open
Source. Er ist Autor / Co-Autor der Bücher „Open-
VPN kompakt“ und „Mindmapping mit Freemind“.
Im richtigen Leben ist er Geschäftsführer eines
mittelständischen IT-Systemhauses und ist dort
auch für den Geschäftsbereich IT-Sicherheit verantwortlich.
44 Ausgabe 06-2012 Admin www.admin-magazin.de

RAID-Systeme
RAID-Level
© Nasir Khan, 123RF
Die Grundlagen der RAID-Technologie
Abgesichert
eine um wenigstens eine Größenordnung
bessere Performance und Zuverlässigkeit
bei geringeren Kosten dank des von ihnen
entwickelten neuen Arrays aus billigen,
kleinen Platten, dem RAID (Redundant
Array of Inexpensive Disks).
Wie funktioniert eigentlich ein RAID? Welches Level eignet sich für welchen
Einsatzfall, und was kann man tun, um gerade bei großen RAID-Sets
das Risiko eines Datenverlusts zu minimieren? Dieser Grundlagenartikel
gibt die Antworten. Jens-Christoph Brendel
Wo wären wir heute ohne RAID? Man
kann das erahnen, wenn man auf die Zeit
schaut, als es nur große Einzelplatten
für Mainframes gab (sogenannte SLEDs,
Single Large Expensive Disks): Mitte der
50er bis Ende der 80er-Jahre des letzten
Jahrhunderts. Vielleicht würden wir mit
der heutigen Speicherdichte ein paar Dutzend
Terabyte auf die damals üblichen
großen Scheiben schreiben können, aber
die Probleme, die es schon vor einem
Vierteljahrhundert damit gab, wären
nach wie vor akut.
Denn die großen Riesenplatten
waren zwar recht zuverlässig,
dafür aber extrem
teuer, und ihre I/​O-Leistungen
blieben deutlich hinter den
Fortschritten bei der CPUund
Memory-Performance
zurück. Als es später kleinere
und billigere Laufwerke für
die damals neuen PCs gab,
konnte man die zunächst nur
in schlichten Sammlungen
(JBOD, „just a bunch of disks“) einsetzen
oder einfach hintereinander schalten
(disk spanning). Das schloss aber die
Schere bei der I/​O-Performance nicht und
bescherte stattdessen große Verwaltungsprobleme,
wenn es um das Management
des freien Platzes oder das Auffinden einzelner
Files ging.
Deshalb machten sich 1988 drei Forscher
der University of California (David A.
Patterson, Garth Gibson, und Randy H.
Katz) Gedanken über ein alternatives
Konzept. Ihre Ergebnisse [1] versprachen
Data Disk 1 Data Disk 2 Parity Disk
1 0 1 1 0 1 1 1 0 0 1 1
0: Bitsumme ungerade
1: Bitsumme gerade
Abbildung 1: Paritätsberechnung bei RAID 3: Die Paritätsplatte vermerkt, ob die
Summe der Datenbits an dieser Position gerade oder ungerade ist.
RAID 0 und 1
Die ursprüngliche Veröffentlichung beschrieb
die RAID-Level 1 bis 5. Heute
kennt man außerdem noch die Level
RAID 0 und 6 und einige weitere. Das
RAID Level 0, das einfache Striping,
kennt aber keine Redundanz und widerspricht
daher eigentlich dem eigenen Namen
RAID (Redundant Array …). Beim
Striping werden die Daten in Abschnitte
aufgeteilt (Stripes), die wechselweise auf
die beteiligten Platten geschrieben werden.
So kann man im besten Fall auf
alle Platten parallel zugreifen. Die Größe
der Abschnitte (Chunk Size) ist konfigurierbar
und steht in Beziehung zur
vorherrschenden Dateigröße. Eine große
Chunk Size bei kleinen Dateien würde
eine geringere Verteilung über
die Platten bewirken, damit
auch weniger von der Parallelität
der Zugriffe profitieren,
dafür unter Umständen aber
die Datensicherheit etwas
erhöhen, weil jede verteilte
Datei rettungslos verloren ist,
sobald eine der beteiligten
Platten ausfällt. Passt sie dagegen
komplett in einen Stripe
auf einer Platte, ist sie sicher,
46 Ausgabe 06-2012 Admin www.admin-magazin.de

RAID-Level
RAID-Systeme
wenn eine andere Platte ausfällt.
Wegen der Anfälligkeit für Datenverlust
eignet sich reines Striping
auch nur für Daten, auf die man
notfalls verzichten könnte: Es bietet
gute Perfomance auf Kosten der
Sicherheit.
Sicher und teuer
Das Raid Level 1 steht für eine
Spiegelung (Mirroring): Alle Daten
werden parallel auf zwei Laufwerke
geschrieben. Fällt eine Platte aus, kann
mit der anderen ohne Verzögerung und
Datenverlust weitergearbeitet werden.
Unter der Voraussetzung, dass die beiden
Spiegelhälften an verschiedene Kanäle
des RAID-Controllers angeschlossen
sind, kann sich die Lesegeschwindigkeit
im Idealfall verdoppeln, das Schreiben
ist höchstens so schnell wie auf eine
einzelne Platte. Der größte Nachteil der
Spiegelung besteht aber darin, dass sich
die Kosten der Datenhaltung verdoppeln:
Zum Preis von zwei Platten erhält man
die Kapazität von einer. Damit eignet
sich eine einfache Spiegelung vor allem
für besonders schutzwürdige Daten, die
hauptsächlich gelesen werden.
Aus der Mode: Die Parity
Disk
Die hohen Kosten der Spiegelung vermeiden
die folgenden RAID-Level dadurch,
dass sie die Redundanz etwas vermindern
und statt durch Verdopplung der
Schreiboperationen durch Berechnung
eines Paritätswerts erreichen. Wie das
genau funktioniert, wird für die heute
gebräuchlichen Verfahren weiter unten
demonstriert.
Das RAID-Level 2 spielt heute keine
Rolle mehr, es kam überhaupt nur in
der Großrechnerwelt zum Einsatz. Es erzeugt
die Redundanz durch einen nach
seinem Erfinder Hamming benannten
linearen fehlerkorrigierenden Blockcode,
der ursprünglich entwickelt wurde, um
die Lesefehler von Lochkarten zu bereinigen.
Dabei werden in einem aufwändigen
Verfahren Paritycodes über einem
Datenblock fixer Länge berechnet, mit
denen sich Einzelbitfehler korrigieren
lassen. Eine Besonderheit des Verfahrens
ist, dass die Anzahl der Platten ein ganz-
Stripe 1
Stripe 2
Stripe 3
Stripe 4
Drive 1 Drive 2 Drive 3 Drive 4
0100 0101 0010 0011
0010 0000 0110 0100
0011 0001 1010 1000
0110 0001 1101 1010
Abbildung 2: Schema eines RAID-5-Verbundes. Die gelben
Felder enthalten die Paritätsinformationen, die sich durch XOR-
Verknüpfung der anderen Segmente des Stripe ergeben.
zahliges Vielfaches der Hamming-Codewortlänge
sein muss. Deshalb wurden in
der Praxis zumeist RAID-2-Verbünde mit
mindestens zehn Platten benutzt.
Auch RAID 3 ist heute weitgehend vom
Markt verschwunden: Dahinter verbirgt
sich ein Striping (wie bei RAID 0), jedoch
mit zusätzlicher Absicherung durch Paritätsinformationen
auf einer extra Parity
Disk. Auf der Parity Disk wird bitweise
vermerkt, ob über alle Datenplatten die
Summe aller Datenbits an einer bestimmten
Position gerade oder ungerade ist (Abbildung
1). Fällt nun
eine Datenplatte aus,
ist für jede Bitposition
klar, ob die Summe aller
verbliebenen Bits
an dieser Stelle mit
einer »0« oder »1« ergänzt
werden muss,
damit der gemerkte
Zustand wieder erreicht
wird. Fällt also
beispielsweise von den
beiden Datenplatten in
Abbildung 1 die zweite
Platte aus, dann kombiniert
der Controller
beispielsweise für das
letzte Bit der gezeigten
Vierergruppe den Wert
»1« von der verbliebenen
Data Disk 1 mit der
»1« der Paritätsplatte,
die anzeigt, dass die
Bitsumme gerade sein
muss. Es ergibt sich »1
+ [0 oder 1]? = gerade
Zahl« und damit
ist unmittelbar klar,
dass an der unleserlichen
Bitposition eine
»1« gestanden haben
muss. Das Verfahren
ist im Übrigen nur eine andere Formulierung
für die unten beschriebene
XOR-Verknüpfung.
Der Vorteil von RAID 3 ist, dass
für beliebig viele Datenplatten immer
nur eine Partitätsplatte nötig
ist. Das ist aber zugleich auch der
größte Nachteil, denn diese Parity
Disk wird für jede Schreiboperation
benötigt und so zum Flaschenhals.
RAID 4: Gut mit Cache
Eine leichte Verbesserung gegenüber
RAID 3 brachte das heute allerdings
auch weitgehend ungebräuchliche RAID
4: Es verwendet ebenfalls eine extra
Paritätsdisk mit denselben Nachteilen,
beschreibt die Datenplatten aber in größeren
Blöcken (Chunks). Der Nachteil
der Paritätsplatte lässt sich deutlich abmildern,
wenn ein NVRAM-Cache die
Schreiboperationen puffert und zusammenfasst.
In dieser Konstellation nutzt
NetApps eigenes Filesystem WAFL (Write
www.admin-magazin.de
Admin
Ausgabe 06-2012
47

RAID-Systeme
RAID-Level
Anywhere File Layout) noch heute einen
verwandten Algorithmus von RAID 4 mit
einem zweiten Laufwerk für Paritätsdaten:
Raid DP. Der Artikel kommt weiter
unten darauf zurück.
RAID 5
RAID 5 übernimmt die blockweise Datenablage
von RAID 4, verteilt aber die
Paritätsinformationen über alle Platten,
statt sie auf einer zu konzentrieren. Dadurch
werden auch die Schreibzugriffe
verteilt und parallelisiert und der Bottleneck
einer Paritätsdisk vermieden. Allerdings
erfordert RAID 5 zwei Lese- und
zwei Schreiboperationen pro Schreibanforderung,
was die Schreibperformance
zwangsläufig bremst.
Abbildung 2 zeigt den schematischen
Aufbau eines RAID-5-Verbunds. Die Daten
sind darin in sogenannten Stripes
abgelegt. Das sind aufeinander folgende
Segmente auf verschiedenen physischen
Datenträgern (Disks). Jeder Stripe zieht
sich über alle 4 Platten. Die Segmente
mit weißem Hintergrund enthalten die
eigentlichen Daten, die Segmente mit gelbem
Hintergrund die Paritätsinformationen.
Zu sehen ist, dass die Paritätsdaten
wie beschrieben gleichmäßig über alle
Laufwerke verteilt sind.
Die Paritätsdaten errechnen sich aus
den Nutzdaten durch eine sogenannte
XOR-Verknüpfung (Exklusive OR, auch
Antivalenz genannt). Die XOR-Funktion
verknüpft zwei Werte derart, dass sich
eine logische 1 ergibt, wenn die Eingangsgrößen
verschieden waren. 0 XOR
1 = 1; 0 XOR 0 = 0; 1 XOR 1 = 0; 1 XOR
0 = 1. Die Nutzdaten aller Segmente
eines Stripes werden nun nacheinander
bitweise XOR-verknüpft. Beispielsweise
ergibt sich in der zweiten Zeile des Schemas
in der Grafik: 0010 XOR 0000 ergibt
0010 und 0010 XOR 0100 ergibt 0110. Das
ist der Wert im gelb hinterlegten Segment
am Schnittpunkt Stripe 2/​Drive 3. Entsprechendes
gilt für die anderen Stripes
im Beispiel.
Fällt nun eine Platte aus, dann lassen
sich die fehlenden Daten durch XOR-
Verknüpfung der übrig gebliebenen errechnen
(Rebuild), wenn mindestens
drei Platten pro Stripe im Spiel waren.
Nehmen wir beispielsweise an, dass auf
Drive 2 nicht mehr zugegriffen werden
kann. Dann rechnet der RAID-Controller
für Stripe 2: 0010 XOR 0110 (Drive 1 und
Drive 3) – das Ergebnis ist 0100. Dieser
Wert 0100 XOR 0100 von Drive 4 ergibt
0000. Damit ist klar, dass im fehlenden
Segment des ausgefallenen Drive 2 der
Wert 0000 hinterlegt gewesen sein muss.
Das ist auch tatsächlich der Fall, wie ein
Blick auf die Grafik zeigt. Entsprechend
lässt sich in jedem Stripe jedes Segment
durch XOR-Verknüpfung der anderen
Segmente des Stripe auf einfache Weise
berechnen. Fällt mehr als eine Platte aus,
funktioniert das Spiel allerdings nicht
mehr – dann sind alle Daten aller Stripes
unwiederbringlich verloren.
RAID und Risiko
Der Betrieb mit einer ausgefallenen Platte
(Status »degraded«) oder während der
Wiederherstellung der Inhalte eines zuvor
ausgefallenen Laufwerks (Status
»rebuild«) ist bei den klassischen RAID-
Leveln 3 bis 5, die auf der beschriebenen
Paritätsberechnung beruhen, aber auch
bei einer Spiegelung besonders kritisch.
Fällt jetzt eine weitere Platte aus, oder ist
auch nur ein einziger Sektor auf den verbliebenen
Platten unleserlich, sind alle
Daten verloren.
Aber wie wahrscheinlich ist es, dass gerade
in dieser sensiblen Zeit ein weiterer
Schaden eintritt? Das kann man ausrechnen.
Ein einfacher Ansatz geht davon
Datendisk 1
Datendisk 2
Datendisk 3
aus, dass in die gesuchte Mean Time To
Data Loss (MTTDL) die Gesamtzahl der
Festplatten, ihre durchschnittliche Betriebsdauer
bis zu einem Fehler (Mean
Time To Failure, MTTL) und die Dauer
des Wiederherstellungsprozesses einhergehen.
Die Formel dafür ist noch gut
überschaubar (und solche Berechnungen
stellten bereits die RAID-Erfinder in [1]
an), sie hat aber einen Schönheitsfehler:
Sie geht nämlich von der Annahme aus,
dass die Festplattenausfälle voneinander
unabhängig sind. So kommt man zu recht
hohen MTTDL-Werten, die auf den ersten
Blick beruhigend wirken. Praktisch sind
diese Voraussetzungen aber meistens
nicht gegeben: In der Regel stammen alle
Platten aus einer Produktionscharge, waren
denselben Umweltbedingungen ausgesetzt,
altern auf ähnliche Weise und so
weiter. Außerdem erhöht sich die Ausfallwahrscheinlichkeit
mit der Betriebsdauer.
Im Ergebnis sinkt die MTTF nach jedem
Ausfall, das heißt, ein weiterer Ausfall
nach dem ersten ist damit um ein Vielfaches
wahrscheinlicher.
Komplizierte Lesefehler
Noch komplizierter wird die Sache, wenn
man nicht nur den Totalausfall einer weiteren
Festplatte kalkuliert, sondern auch
die Wahrscheinlichkeit einfacher Lesefehler,
die ja in dieser Situation ebenfalls
einen Totalverlust der Daten zur Folge
Datendisk 4
XOR horizontal
XOR diagonal
Abbildung 3: RAID DP: Eine Prüfsumme (XOR-Verknüpfung) wird wie gehabt horizontal berechnet (Pa, Pb,…)
und eine zweite, unabhängige Prüfsumme über die diagonal liegenden Sektoren (hier kenntlich durch die
gleiche Farbe.
48 Ausgabe 06-2012 Admin www.admin-magazin.de

RAID-Level
RAID-Systeme
haben können. Maßgeblich dafür ist die
Bitfehlerrate der Festplatte. Hier darf man
sich durch große Zahlen nicht blenden
lassen. Selbst bei einer Bitfehlerwahrscheinlichkeit
von nur 1:10 14 bleibt ein
Risiko von rund 30 Prozent für einen
schadhaften Sektor, wenn die Gesamtkapazität
des RAID-Verbundes 5 TByte
beträgt. Überhaupt beißt sich die Katze
besonders bei den heute üblichen hohen
Kapazitäten in den Schwanz: Je größer
das RAID, je höher die Fehlerwahrscheinlichkeit,
je länger aber auch die Rebuild-
Dauer und damit wiederum das Risiko
für einen verhängnisvollen doppelten
Fehler. Das führt zu der Schlussfolgerung:
Sehr große RAID-Sets lassen sich
mit den klassischen Verfahren nicht mehr
zuverlässig sichern.
Auswege
Einen ersten Ausweg bieten unter Umständen
die kombinierten RAID-Level,
bei denen generell RAID-Sets aus Elementen
gebildet werden, die ihrerseits
bereits RAID-Sets sind. Spiegelt man dabei
etwa paritätsgesicherte RAID-Sets wie
bei RAID 50 (gespiegelte RAID 5-Sets),
dann ist die Ausfallsicherheit etwas höher,
weil jetzt in jeder Spiegelhälfte eine
Platte ausfallen kann, ohne dass es zu
Datenverlusten kommt. Das gesamte
Konstrukt verträgt also unter günstigen
Bedingungen zwei Plattenausfälle. Der
Preis dafür ist allerdings eine nochmals
geringere Kapazitätsausbeute: Da bei
RAID 5 immer die Kapazität einer Platte
für die Paritätsdaten verloren geht, verdoppelt
sich der Verlust bei zwei RAID
5-Sets (eines in jeder Spiegelhälfte).
Günstiger und zugleich sicherer sind eine
Reihe später entwickelter RAID-Level mit
doppelter Parität. Diesen Verfahren – zum
Beispiel RAID DP oder RAID 5 DP – ist
gemeinsam, dass sie eine Prüfsumme wie
gehabt durch bitweise XOR-Verknüpfung
pro Stripe errechnen und dann zusätzlich
eine zweite, davon unabhängige Prüfsumme
bilden, ebenfalls durch XOR-Verknüpfung,
nun aber von diagonal angeordneten
Sektoren (Abbildung 3). RAID
DP speichert die Paritätsdaten dabei wie
RAID 4 auf zwei extra Paritätsplatten.
Ein zumindest theoretischer Vorteil der
Paritätsplatte ist in diesem Fall, dass sich
ein RAID 4 durch Hinzufügen einer Platte
und Neuberechnen der diagonalen Parität
zu RAID DP aufbohren ließe. Wie auch
immer man dahin gelangt: Jedenfalls
dürfen dann zwei Platten pro RAID-Set
ausfallen, bevor es zum unwiderruflichen
Datenverlust kommt.
Die RAID-Level mit doppelter Parität
funktionieren jedoch nur bei einer bestimmten
Anzahl von Platten. Bei RAID
DP muss beispielsweise die Anzahl aller
Datenplatten plus der horizontalen Paritätsplatte
eine Primzahl sein. Ist das von
sich aus nicht der Fall, werden die Platten
um leere, virtuelle Platten ergänzt, um
diese Bedingung zu erfüllen.
Noch ausfallsicherer
Mehr als zwei Plattenausfälle sind mit
den XOR-basierten Verfahren nicht kompensierbar.
Mit fehlerkorrigierenden Kodierungsverfahren,
wie man eines schon
einmal bei RAID 2 verwendet hatte, wäre
es aber prinzipiell möglich, eine noch
höhere Fehlertoleranz zu erreichen und
daran wird auch gearbeitet.
Allerdings sind
die zugrunde liegenden
mathematischen Algorithmen
nicht mehr
trivial und rechenintensiv.
Ein Kandidat für ein
solches Blockkodierverfahren
ist der Reed-Solomon-Code
(RS-Code),
der beispielsweise auch
bei der Übertragung
von Fernsehsignalen
nach der DVB-Norm
zum Einsatz kommt
und dort die Bitfehlerrate
des empfangenen
Signals um mehr als
sechs Zehnerpotenzen
verbessern kann. Einen
solchen RS-Code
verwendet auch RAID
6 – zumindest in manchen
Implementierungen
– das eine XOR-
Prüfsumme mit einer
zweiten Prüfsumme
nach dem RS-Verfahren
ergänzt.
Die Performance-Einbußen
sind bei RAID
6 etwas größer als bei RAID 5 außerdem
wird eine Festplatte mehr benötigt
(mindestens vier). Dafür kann auch hier
der Ausfall von zwei Festplatten toleriert
werden.
Fazit
Abgesehen vom reinen Striping erhöhen
alle Raidlevel die Ausfallsicherheit. Mindestens
ein einzelner Festplattenausfall
ist damit immer sicher zu überleben. Den
Preis dafür bezahlt man in Form von
Kapazitäts- und Performance-Einbußen.
Weil bei sehr großen Raidsets die Gefahr
von Datenverlusten duch Doppelfehler
wächst, wurden auch Verfahren entwickelt,
die zwei Plattenausfälle in einer
Einheit kompensieren können. (jcb) n
Infos
[1] „A case for redundant arrays of inexpensive
disks“: [http:// http:// www.​
coursehero. com/ file/ 1494431/ CSD‐87‐391]
Linux-Server
Das Administrationshandbuch
948 S., 2. Auflage 2012, 49,90 €
» www.GalileoComputing.de/3051
Admin-Know-how
Ubuntu GNU/Linux 12.04 LTS
1.023 S., 7. Auflage 2012, mit DVD, 39,90 €
» www.GalileoComputing.de/3151
Das Komplettpaket LPIC-1 & LPIC-2
Das gesamte Prüfungswissen
545 S. und 552 S., mit 2 DVDs, 59,90 €
» www.GalileoComputing.de/2895
www.GalileoComputing.de
Windows 8 für Administratoren
712 S., 2. Auflage, 49,90 €
» www.GalileoComputing.de/3261
www.admin-magazin.de
Admin
49
Ausgabe 06-2012
Wissen, wie’s geht.

RAID-Systeme
Raider
Der Installer prüft die Mindestanzahl
und weigert sich, beispielsweise mit nur
zwei RAID-Partitionen, ein RAID-6 anzulegen.
Nachträglich umrüsten
RAID-Systeme anlegen mit Raider
Fallschirm
Neben einem zuverlässigen Backup sollte in einem guten Server ein RAID-
System selbstverständlich sein. Dieser Workshop verrät, wie man eine bestehende
Linux-Installation in ein RAID überführt und dabei auftretende
Hindernisse überwindet. Oliver Frommel
Wer mehr Performance oder mehr Sicherheit
haben will, sollte auf RAID-Speicher
setzen. So beschleunigt das nicht redundante
RAID-0 den Datenzugriff, während
RAID-1 den Datenbestand dupliziert und
somit höhere Ausfallsicherheit verschafft.
Beides zusammen beschert dem Anwender
RAID-Level 10, das Mirroring und
Striping vereint.
Ein RAID beispielsweise auf zwei Partitionen
einer Festplatte zu erstellen, ist
wenig sinnvoll, denn wenn sie kaputt
geht, sind gleich beide „Platten“ des
RAID futsch. Allerdings ist es durchaus
möglich, auf einer Festplatte mehrere
Partitionen anzulegen und sie jeweils
unterschiedlichen RAID-Verbünden zuzuweisen.
Ein Beispiel dafür gibt dieser
Artikel später.
Wer ein neues Linux-System installiert,
kann dabei bereits ein RAID erstellen,
vorausgesetzt das System verfügt über
genug Festplatten. Zum Beispiel mit Red
Hat oder CentOS wählen Sie bei der Installation
erst »Basis‐Speichergeräte« und
in einem späteren Schritt dann »Maßgeschneidertes
Layout erstellen«. Beim
Erzeugen einer neuen Partition stellen Sie
statt eines Dateisystems »Software‐RAID«
ein. Haben Sie mindestens zwei RAID-
Partitionen erstellt, bietet der Installer
mit dem Menüpunkt »Neu« dann auch
ein »RAID‐Gerät« an, bei dem Sie die
eben erzeugten Partitionen auswählen.
Doch was tun, wenn der Rechner schon
eine Zeit lang läuft und bisher nur ein
simples Dateisystem verwendet? Prinzipiell
ist es nicht schwer, aus einem konventionellen
Dateisystem manuell ein RAID
zu bauen, allerdings gibt es dabei einige
Dinge zu beachten. Einfacher geht es mit
einem Skript namens Raider, das eine
einfache Linux-Installation in ein RAID
umwandelt. Es überprüft die Voraussetzungen,
kopiert die Daten, legt ein neues
RAID an und bindet alle dafür nötigen
Partitionen ein.
Zu finden ist Raider unter der Adresse
[1]. Haben Sie das Paket heruntergeladen
und entpackt, müssen noch einige
Voraussetzungen erfüllt sein, damit sich
Raider installieren lässt: Es benötigt die
Pakete »bc«, »mdadm« , »parted« und
»rsync«, die sich mit dem Paketmanager
einfach installieren lassen:
yum install bc mdadm rsync parted
Ein ebenfalls vorausgesetztes Programm,
mit dem sich eine initiale RAM-Disk erzeugen
lässt (Dracut, Mkinitramfs und
so weiter), ist meistens schon installiert.
Danach befördert »/install.sh« im Raider-
Verzeichnis die Dateien auf die Festplatte.
Das Skript installiert einige Programme,
von denen für den Anwender nur »raider«
und »raiderl« von Interesse sind. »/ usr/
bin/raider« ist ein relativ kurzer Wrapper,
der die Kommandozeile auswertet und
dann die eigentliche Arbeit an eines der
23 Skripts übergibt, die sich in »/usr/lib/
raider« befinden (Abbildung 1).
Einfach bedienbar
Ein Aufruf von »raider ‐‐help« zeigt die
verfügbaren Aufrufparameter. So verschafft
»raider ‐d« erst einmal einen Überblick
über die eingebauten Festplatten
und Partitionen. In Abbildung 2 ist das
Ergebnis für einen Linux-Server zu sehen,
der über zwei Festplatten verfügt, von
denen die erste zwei Partitionen enthält
und die zweite leer ist. Um damit etwa
ein RAID-1 aufzubauen, genügt es, das
52 Ausgabe 06-2012 Admin www.admin-magazin.de

Raider
RAID-Systeme
Raider-Skript nur mit der Option »‐R1«
aufzurufen:
raider ‐R1
Die sonst erforderliche Angabe der Platten/​Partitionen
fällt hier weg, denn Raider
nimmt einfach die beiden für das
RAID-1 nötigen Platten. Es konstruiert
einen Befehl zum Erzeugen der initialen
RAM-Disk, kopiert die Partitions-Informationen
von der ersten auf die zweite
Platte, erzeugt damit ein RAID und kopiert
die Daten von der ersten Festplatte
in das RAID (das zum aktuellen Zeitpunkt
nur aus der zweiten Platte besteht). Dann
erzeugt Raider die RAM-Disk und wechselt
in eine Chroot-Umgebung, um den
Bootloader Grub auf die zweite Platte
zu schreiben. Hierbei setzt Raider eine
leere Festplatte voraus. Befinden sich auf
ihr Partitionen, bricht Raider den Vorgang
ab. Ein Aufruf von »raider ‐‐erase
/dev/sdb« löscht die Daten. Einen Test
absolviert Raider übrigens durch die zusätzliche
Option »‐t«, also etwa »raider
‐t ‐R1«.
Langsamer Sync
Wie lange das Kopieren dauert, hängt in
erster Linie davon ab, wie viele Nutzdaten
auf der ersten Festplatte liegen. Im
Beispiel waren dies nur wenige GBytes,
also war der Vorgang nach wenigen Minuten
erledigt. Nun fordert Raider den
Anwender dazu auf, die erste und letzte
der Festplatten im Server auszutauschen,
im Fall von RAID-1 also die einzigen beiden
existierenden Platten. Dies ist eine
Maßnahme, die sicherstellen soll, dass
alle Daten ins RAID-System kopiert wurden.
Nach dem Tausch bootet das System
von der ehemals zweiten Platte, die nun
hoffentlich alle Daten der ursprünglichen
Root-Platte enthält. War auf dem alten
System SE-Linux aktiviert, hat Raider die
Partition für ein Relabeling markiert, was
noch einen weiteren Reboot erfordert.
Nach dem Einloggen verschafft ein Blick
in die Mount-Tabelle die Erkenntnis, dass
das Root-Dateisystem nun ein RAID ist:
Abbildung 1: Raider ist gut strukturiert und verteilt seine Arbeit auf eine ganze Reihe von einzelnen Skripten.
ein RAID-1 handelt und nur eine der beiden
notwendigen Festplatten vorhanden
ist, sodass es sich um ein sogenanntes degraded
RAID handelt. Dies ist am »[U_]«
abzulesen – bei einem vollständigen
RAID-Verbund stünde hier »[UU]«. Mehr
Informationen gibt der Befehl »mdadm ‐D
/dev/md0« aus.
# cat /proc/mdstat
Personalities : [raid1]
md0 : active raid1 sda1[0]
310522816 blocks [2/1] [U_]
Der nächste Schritt besteht darin, den
Befehl
raider ‐‐run
einzugeben. Sind die Festplatten nicht
ausgetauscht, weigert sich Raider, weiterzuarbeiten.
Andernfalls partitioniert
das Programm auch die zweite (ehemals
erste) Festplatte neu, wenn dies nötig
ist und bindet sie in den Verbund ein,
womit das RAID automatisch seine
„Wiederherstellung“ startet. Weil dies
blockweise und unter Einbeziehung des
jeweiligen RAID-Algorithmus geschieht,
ist der Vorgang viel langsamer als ein
normales Kopieren. Insbesondere wird
auch die komplette Partition kopiert und
nicht etwa nur der mit Daten belegte
Bereich. Mit RAID-1 und Festplatten von
320 GByte dauert der ganze Vorgang
eineinhalb Stunden (Abbildung 3). Das
Logfile lässt sich jederzeit mit dem Befehl
»raiderl« anzeigen. Die aktuelle RAID-
Konfiguration schreibt Raider in die Datei
»/etc/mdadm.conf«. Manuell lässt sich
dies mit »mdadm ‐‐detail ‐‐scan > /etc/
mdadm.conf« bewerkstelligen.
Bei heutigen Festplatten mit TByte-Kapazitäten
und hohen RAID-Leveln kann ein
solcher Rebuild unter Umständen auch
ganze Tage in Anspruch nehmen. In dieser
Zeit sind degraded RAIDs besonders
gefährdet, denn wenn schon eine Platte
ausgefallen ist, kann der Ausfall einer
weiteren Platte zur Datenkatastrophe führen.
RAIDs mit Double-Parity, die Parity-
Daten doppelt speichern, verkraften auch
den Ausfall einer weiteren Platte. Manche
Experten sehen angesichts immer größerer
Datenmengen und entsprechender
Festplatten sogar eine Notwendigkeit für
Triple-Parity-RAID, wie es in ZFS implementiert
ist, das sogar beim Ausfall dreier
Platten noch funktioniert [2].
Beschränkt
Raider funktioniert mit den gängigen
Linux-Dateisystemen wie Ext2/​3/​4, XFS,
JFS, ReiserFS und beherrscht auch Logical
Volumes mit LVM2. Support für
Btrfs gibt es bisher nicht, auch nicht für
verschlüsselte Partitionen. Partititionsinformationen
kann Raider nicht nur im
alten MBR-Format, sondern auch aus
GPT-Tabellen auslesen. Außerdem kann
Raider nur solche Linux-Installationen
in RAID-System umwandeln, die eine
Festplatte mit Linux-Dateisystemen enthält.
Befindet sich darauf etwa noch eine
Windows-Partition, funktioniert das Programm
natürlich nicht.
Eine Root-Partition in ein RAID-1 umzuwandeln,
ist noch keine große Kunst, das
würde man vermutlich auch noch ohne
die Hilfe von Raider schaffen. Allerdings
kann Raider noch mehr, zum Beispiel
$ mount
/dev/md0 on / type ext4 (rw)
...
Ein Blick in die Kernel-Status-Datei für
RAIDs verrät wiederum, dass es sich um
Abbildung 2: Raider zeigt hier die Ausgangssituation: eine Festplatte mit einer Root- und einer Swap-Partition.
www.admin-magazin.de
Admin
Ausgabe 06-2012
53

RAID-Systeme
Raider
01 # df ‐h
aus mehreren Platten auch RAIDs der
Level 4, 5, 6 und 10 zusammenbauen,
die entsprechende Menge an Festplatten
vorausgesetzt (siehe Tabelle 1 und den
Artikel zu RAID-Grundlagen in diesem
Heft).
Außerdem kann Raider mit Logical Volumes
umgehen, was bei zum Beispiel bei
Fedora, Red Hat und CentOS der Default-
Installationsmodus ist. Hiermit ein RAID
zu realisieren, erfordert doch einiges
an Konfigurationsaufwand, den Raider
einem abnehmen kann. Die Ausgangsposition
einer solchen Installation ist in
Listing 1 zu sehen.
Boot-Partition
Der folgende Aufruf startet mit drei zusätzlichen
Festplatten die Konvertierung
zu einem RAID-5, das die Daten über
die Festplatten verteilt, aber durch Parity-
Informationen absichert, also hohe Performance
und Sicherheit vereint:
raider ‐R5 sda sdb sdc sdd
Weil es im aktuellen Fall schon eine Boot-
Partition gibt, wandelt Raider sie wieder
in ein RAID um. Fehlt eine solche Partition,
und der Anwender wählt ein anderes
RAID als Level 1, ändert Raider die
Partitionierung. Weil die Linux-Bootloader
üblicherweise nur von RAID-1 booten
können, jedenfalls, wenn das RAID
degraded ist, legt Raider dann auf jeder
Listing 1: LVM-Partitionen
02 Dateisystem Size Used Avail Use%
Eingehängt auf
03 /dev/mapper/VolGroup‐lv_root
04 50G 1,7G 46G 4% /
05 tmpfs 3,9G 0 3,9G 0% /dev/shm
06 /dev/sda1 485M 35M 425M 8% /boot
07 /dev/mapper/VolGroup‐lv_home
08 235G 188M 222G 1% /home
Level
Tabelle 1: RAID-Level Minimalkonfiguration
Min. Anzahl
Festplatten
neuen Festplatte eine Boot-Partition mit
etwa 500 MByte an, die es später zu einem
RAID-1 vereint. Fällt eine Platte aus,
kann das System also auf jeden Fall von
einer der verbliebenen Platten booten.
Nach dem Durchlauf des Kommandos
muss man wieder den Rechner ausschalten
und dieses Mal die erste mit der letzten
Festplatte am Bus vertauschen, die
anderen beiden können bleiben, wo sie
sind.
Nach dem Booten startet »raider ‐‐run«
wieder den Rebuild des RAID. Weil es bei
einem laufenden System keine zwei Volume
Groups mit gleichem Namen geben
kann, hat Raider auf dem neuen RAID
eine Volume Group mit einem ähnlichen
aber leicht veränderten Namen gegeben
(siehe Listing 2). Er kommt zustande,
indem Raider hinter den Originalnamen
»__raider« setzt. Dies lässt sich aber mit
der Kommandozeilenoption »‐l« ändern.
Bei vielen Tests ging mit Raider alles gut,
aber einmal weigerte sich das Programm,
in der zweiten Phase die verbliebene
Platte dem neuen RAID-Verbund hinzuzufügen,
mit dem lapidaren Hinweis:
Failed to add a device in /dev/md1 array
Auch das Logfile, das »raiderl« anzeigt,
schwieg sich aus. Mehr Informationen
Lesegeschwindigkeit
Schreibgeschwindigkeit
1 1+1 1x 1x 1x
5 1+2 2x 1/​2x 2x
6 1+3 2x 1/​3x 2x
10 1+3 1x 1x 2x
sind dafür in weiteren Logdateien zu finden,
die in »/var/log/raider« liegen. So
protokolliert »/var/log/raider/raider_debug_STEP3_.log«
minutiös jedes einzelne
Kommando, das Raider im Lauf seiner
Arbeit aufruft. Hier fand sich schließlich
die Zeile:
mdadm: Cannot open /dev/sdd1: Device or U
resource busy
Typischerweise ist es unter Linux nicht
immer einfach, die Ursache für eine
solche Fehlermeldung zu finden. Das
Mount-Kommando zeigte an, dass die
Partition nicht eingebunden war, auch
»lsof« lieferte keine neuen Erkenntnisse.
Schließlich verriet »swapon ‐s«, dass das
System, aus welchen Gründen auch immer,
die komplette Festplatte zum Swappen
verwendete (Abbildung 4).
Das Abschalten des Swap mit »swapoff
/ dev/sdd « brachte schließlich die Lösung.
Nun ließ sich zuerst das Device
»sdd1« dem RAID-1 »md0« hinzufügen.
Ein Blick in »/proc/mdstat« zeigte, dass
sich das Boot-RAID in etwa einer Minute
synchronisierte. Auch die zweite Partition
die zu dem RAID-5 mit der Volume Group
gehört, wurde mit dem folgenden Befehl
Teil des Verbunds:
mdadm ‐‐add /dev/md1 /dev/sdd2
Kapazität
Listing 2: Raider-LVM
01 # df ‐h
02 Dateisystem Size Used Avail Use%
Eingehängt auf
03 /dev/mapper/VolGroup__raider‐lv_root
04 50G 1,9G 45G 4% /
05 tmpfs 3,9G 0 3,9G 0% /dev/shm
06 /dev/md0 485M 61M 399M 14% /boot
07 /dev/mapper/VolGroup__raider‐lv_home
08 235G 188M 222G 1% /home
Abbildung 3: Nach dem Hinzufügen der zweiten Festplatte zum RAID-Verbund läuft die Synchronisation, die
sich eine Zeit lang hinzieht.
54 Ausgabe 06-2012 Admin www.admin-magazin.de

Raider
RAID-Systeme
Platten unterschiedlicher Hersteller oder
Baureihen zu verwenden, um die Wahrscheinlichkeit
zu minimieren, dass alle
an dem gleichen Fehler leiden.
Mit dem Partitionierungs-Tool (»fdisk«,
»sfdisk« und so weiter) stellen Sie den
Typ der Partition auf »Linux raid autodetect«,
das den Code »fd« besitzt. Von einer
Platte lassen sich die Partitions-Infos
etwa mit »sfdisk« übertragen:
sfdisk ‐d /dev/sda | sfdisk /dev/sdd
Abbildung 4: Fälschlicherweise wurde die letzte Festplatte als Swap-Bereich verwendet. Dies zu deaktivieren
und sie manuell ins RAID aufzunehmen, löst das Problem.
Die anschließende, automatisch ablaufende
Synchronisierung dauerte wieder
etwa eineinhalb Stunden. Alle Variablen
und Arbeitsdaten legt Raider im Verzeichnis
»/var/lib/raider« und Unterverzeichnissen
wie »DB« ab, wo der kundige
Administrator gegebenfalls auch manuell
eingreifen kann.
Dieses Beispiel zeigt bereits, wie man
ausgefallene Platten in einem RAID einfach
ersetzt, solange es noch grundsätzlich
funktioniert, also die minmal nötige
Anzahl von Platten vorhanden ist. Fällt
eine Platte aus, nimmt das RAID-Subsystem
sie automatisch aus dem Verbund
heraus.
Nötig ist es aber, das RAID mit einem
Monitoring-Paket wie Nagios zu überwachen,
um einen solchen Ausfall auch mitzubekommen.
Sonst arbeitet das RAID
mit einer ausgefallenen Platte in Minimalkonfiguration
einfach stillschweigend
weiter, und die Katastrophe ist programmiert.
Will man eine Festplatte bereits vor dem
Totalschaden austauschen, etwa weil
sich die mit SMART gemeldeten Fehler
häufen, kann man den Ausfall dem
RAID auch vortäuschen. Hierzu bietet
»mdadm« einen Befehl:
Befehl
Tabelle 2: RAID-Kommandos
mdadm --fail RAID-Device Partition
mdadm --add RAID-Device Partition
mdadm --remove RAID-Device Partition
mdadm --stop RAID-Device
mdadm --query Device
mdadmin --examine Device
mdadm ‐D RAID-Device
mdadm ‐‐fail /dev/md0 /dev/sda1
Nun meldet das RAID die Platte als defekt.
Mit mdadm »‐‐remove« lässt sie sich
aus dem Verbund entfernen. Nach dem
Einbau einer neuen Platte fügt »‐‐add«
sie wie gezeigt wieder hinzu, und die
Synchronisierung beginnt von selbst.
Eine Übersicht der wichtigsten Mdadm-
Befehle zeigt Tabelle 2.
Handarbeit
Zum Abschluss noch kursorisch die
Vorgehensweise, um ein neues RAID
anzulegen, das beispielsweise nur zur
Speicherung von Nutzerdaten in einem
Dateiserver dienen soll, ohne die Root-
Partition anzutasten. Zuerst legen Sie die
passenden Partitionen an, die optimalerweise
die komplette Platte umfassen und
auf allen Platten gleich groß sind. Bei den
verschiedenen RAID-Leveln funktionieren
zum Teil auch unterschiedlich große
Partitionen, aber der Verbund verwendet
dann den kleinsten gemeinsamen Nenner,
und Sie verschenken Platz.
Platten des gleichen Typs vereinfachen
die Konfiguration. Erfahrene Administratoren
empfehlen aber andererseits auch,
Funktion
Schaltet eine Partition auf Ausfall
Fügt eine Partition dem RAID hinzu
Entfernt eine Partition
Stoppt ein RAID
Infos über Device oder RAID
Mehr Details
Zeigt detallierte Infos
Zum Anlegen des RAID dient dann der
Mdadm-Befehl »‐‐create«, zusammen mit
dem gewünschten RAID-Level und den
erforderlichen Partitionen.:
mdadm ‐‐create /dev/md0 ‐‐level=5 ‐‐raid-U
devices=3 /dev/sdb1 /dev/sdc1 /dev/sdd1
Alternativ lässt sich ein RAID auch mit
weniger Platten als nötig erstellen, wenn
man »‐‐devices« entsprechend reduziert
oder statt einer Partition »missing« angibt.
Ist die eingestellte Anzahl an Devices
erreicht, synchronisiert das RAID-Subsystem
den neuen Verbund, auch wenn
noch keine Daten gespeichert sind. Ein
Dateisystem oder Logical Volumes lassen
sich aber jetzt bereits anlegen. Mehr
Informationen zu letzterem Thema bietet
ein LVM-Workshop von Charly Kühnast,
der unter [3] frei zugänglich ist.
Fazit
Raider hilft Administratoren bei der Konvertierung
konventioneller Linux-Partitionen
in RAID-Systeme. Dabei unterstützt
es eine Reihe von Dateisystemen und
die RAID-Level 1, 4, 5, 6, und 10 sowie
Partitionstabellen im MBR wie auch im
GPT-Format. Das Tool funktioniert zuverlässig
und stellt durch das Vertauschen
der Platten sicher, dass ein funktionsfähiges
System entsteht und der sichere
Rückweg zum Ausgangszustand nicht
verbaut wird.
n
Infos
[1] Raider: [http:// raider. sourceforge. net]
[2] Adam Leventhal, Triple-Parity RAID-Z:
[https:// blogs. oracle. com/ ahl/ entry/​
triple_parity_raid_z]
[3] Charly Kühnast, Einführung in LVM, ADMIN
01/​2012: [http:// www. admin‐magazin. de/​
Das‐Heft/ 2012/ 01/ Einfuehrung‐in‐LVM]
www.admin-magazin.de
Admin
Ausgabe 06-2012
55

RAID-Systeme
NAS-Speicher
© Mongkol Chakritthakool, 123RF
NAS-Speicherboxen für 5 bis 50 TByte im Vergleich
Alleskönner
RAID-Technologie steckt in allen. Worin aber unterscheiden sich zentrale
Speicher für Arbeitsgruppen oder Außenstellen oder kleine Unternehmen,
wie sie alle namhaften Hersteller anbieten? Wir haben sechs Modelle verglichen.
Jens-Christoph Brendel
NAS-Speicher für kleine und mittlere
Anwendungen sind heutzutage Alleskönner.
Ihre Hersteller haben erkannt,
dass ein kleiner Rechner, ein Disk-Controller
und eine Handvoll Platten nicht
nur als tumber Speicher taugen, sondern
als Zutaten für ein ganzes Portfolio an
Lösungen vom Streaming-Server bis zur
Private Cloud, von der Datenbank bis
zum LDAP-Host, von der Telefonanlage
bis zur Backup-Disk, vom Speicher für
Kameraaufzeichnungen bis zum Storage
für ein kleines CRM- oder ERP-System.
In der Ausprägung dieser Strategie gibt
es allerdings deutliche Unterschiede: Vorweg
gehen Synology und Qnap, die beide
Dutzende vorgefertigte Module aller Art
anbieten, die über eine integrierte Paketverwaltung
leicht installierbar sind.
Am anderen Ende finden sich Anbieter,
deren Erweiterungen sich an den Fingern
einer Hand abzählen lassen, weil sie einen
enger abgesteckten Einsatzbereich
anpeilen oder einfach auf eine schlichtere
Ausstattung setzen.
Beim Speicher im engeren Sinne unterscheiden
sich die Offerten oft nicht so
deutlich (Tabelle 1). Alle getesteten NAS-
Speicher liefen mit Intel-Prozessoren und
boten die gängigen Standard-RAID-Level,
mindestens 1 und 5, die besseren auch
noch eine Variante mit doppelter Parität
wie RAID 6. Da es sich meistens um Embedded-Linux-Systeme
handelte, sind ein
paar der gängigen Linux-Filesysteme im
Angebot, oft mit nur wenigen Wahlmöglichkeiten.
Zwei GByte RAM sind verbreiteter
Konsens, netzwerkseitig bieten
alle zwei Gigabit-Ethernet-Schnittstellen,
manche erlauben die Konfiguration von
Jumbo-Frames (besonders für iSCSI),
viele das Bonding. Alle Geräte laufen
mit SATA-Platten (3 oder 6 GB/​s) mit
bis zu 4 TByte Kapazität. Meistens sind
2,5- oder 3,5-Zoll-Formate verwendbar,
nur Buffalo und Netgear sparen sich die
Bohrlöcher für die kleineren Platten in
den Wechselrahmen. In unseren Test
haben wir Systeme mit 6 bis 12 Disk-
Slots aufgenommen. Alle Geräte hatten
USB-Schnittstellen für die Erweiterung
mit externen Festplatten, nur QNAP
und Thecus und Iomega verfügen auch
über eine eSATA-Schnittstelle für diesen
Zweck. Alle Geräte ließen sich neben
der NAS-Funktion auch als iSCSI-Target
verwenden und damit durch den Client
als Blockdevice einbinden.
Windows-Pflicht
Alle Hersteller außer Synology statteten
ihre Speicherboxen mit einem LCD-Panel
aus, das es zumindest ermöglicht, beispielsweise
die via DHCP-erhaltene IP-
Adresse abzufragen. Nur bei Synology ist
für die Installation zudem ein Windows-
Rechner zwingende Voraussetzung, weil
das Gerät im Unterschied zu den meisten
anderen auch nicht von einem internen
Flashspeicher booten kann, sondern
zunächst sein Betriebssystem auf die
Festplatten installieren muss. Ein Linux-
Client für die Linux-Installation auf den
NAS-Speicher ist paradoxerweise nicht
im Angebot.
Recht eng beieinander liegen auch die
Perfomance-Werte (Abbildung 1). Wir
56 Ausgabe 06-2012 Admin www.admin-magazin.de

NAS-Speicher
RAID-Systeme
I/O-Performance
sequentielle Operationen
haben alle Testgeräte mit Ausnahme der
Modelle von Buffalo und Netgear mit
denselben Platten bestückt: Western Digital
WD3200BEKT Scorpio Black, 320
GByte, 2,5 Zoll, 7200 RPM, 16MB Cache,
SATA-Interface. Die erwähnten Ausnahmen
wurden mit vorinstallierten Platten
geliefert und boten keine Möglichkeit,
2,5-Zoll-Disks einzusetzen. Für unsere
Benchmarks konfigurierten wir für alle
Probanden mit unseren Testplatten eine
RAID-5-Gruppe und eine globale Hotspare-Platte.
In den beiden Ausnahmefällen
richteten wir mit den dort verbauten
größeren Platten ein RAID-5 vergleichbarer
Kapazität ein. Die Messwerte gewannen
wir mit Bonnie++ auf einem NFSgemounteten
Volume unter Linux.
Im Schnitt erreichten die Probanden beim
sequentiellen Lesen um die 100 MByte/s
und beim Schreiben gut 10 Prozent weniger.
Die maximale Transferleistung
der Festplatte liegt bei 147 MByte/​s, die
Differenz wird man größtenteils dem
RAID-Overhead zurechnen müssen, beim
Schreiben speziell der Prüfsummenberechnung.
Allerdings kann bei parallelen
I/​O-Operationen auch die Ethernet-
Schnittstelle zum Flaschenhals werden,
weshalb alle Anbieter außer Netgear bei
Bedarf das Bonding/​Teaming mehrerer
Netzwerkinterfaces vorsehen.
Alle Testteilehmer boten Browser-GUIs
für die Administration, wobei sich der
Funktionsumfang und die Usability teils
beträchtlich unterschieden. Sehr gute
Oberflächen, die trotz der Funktionsvielfalt
auch nicht überladen wirken, bieten
vor allem Synology und QNAP, aber auch
Iomega und Thecus. Eher schlicht und
zurückgenommen präsentiert sich dagegen
zum Beispiel Buffalo.
Hersteller
Netgear*
Buffalo*
Thecus
Iomega
Synology
QNAP
0.00 20.00 40.00 60.00 80.00 100.00 120.00
her oder Computermomnitor verbunden
werden kann. Den professionellen Anwendern
dagegen bietet es sich etwa als
zentrale Station für die Datensicherung,
für das Desaster Recovery, als Fileserver,
als zentrale Instanz eines Verzeichnisdienstes
oder bei der Virtualisierung an:
Die Turbo-Station ist für VMware, Citrix
und Hyper-V zertifiziert und bietet viele
fein granulare Sicherheits- und Zugriffsschutzfunktionen
bis zur AES-Verschlüsselung
ganzer Volumes.
Der Mehrkern-Prozessor sorgt für einen
recht hohen Datendurchsatz (Abbildung
2), netzwerkseitig gibt es zumindest als
Option auch 10 GbE-Schnittstellen, alternativ
lassen sich die vier 1 GbE-Ports
bündeln. Externe Platten, etwa für ein
Backup des RAID-Speichers, lassen sich
über das schnelle USB-3.0 konnektieren.
Das Modell von QNAP ist zwar das teuerste
im Testfeld, hat aber auch einiges
sequentiell Schreiben
sequentiell Lesen
MByte/s
Abbildung 1: Mit Bonnie++ gemessene NFS-Performance-Werte der Probanden (* mit Platten des Herstellers).
zu bieten, was bei entsprechendem Bedarf
etwas höhere Ausgaben rechtfertigen
kann.
E Synology DS 2413+
Die DiskStation 2413+ ist ein topaktuelles
Modell, das mit seinen 12 Disk-Slots
das obere Ende der Testrange markiert,
die wir diesmal ausgewählt hatten. Damit
sind immerhin bis zu 48 TByte Speicher
realisierbar, der mit einer Erweiterungseinheit
Synology DX1211 noch einmal
verdoppelt werden kann. Das prädestiniert
den NAS-Server schon für eine
Verwendung in kleineren Unternehmen
oder auch in größeren Abteilungen (Abbildung
3).
Zusammen mit dem Modell von QNAP
bietet dieser NAS-Speicher die meisten
Module zum Nachrüsten von Funktionen,
darunter diverse Medien-Server für
E QNAP TS 879-Pro
Die Installation geht bei diesem Modell
kinderleicht von der Hand, denn es ist
keine spezielle Client-Software nötig,
sondern der Speicher bootet von einem
internen Flash-Memory in eine übersichtliche
Web-Oberfläche.
Das Modell zählt zu den funktionsreichsten
Testkandidaten und spricht dabei sowohl
professionelle wie auch Heimanwender
an. Letzteren hat es als relativ seltene
Besonderheit einen HDMI-Ausgang
zu bieten, der direkt mit einem Fernse-
Abbildung 2: Auch ein leistungsfähiges Ressourcen-Monitoring ist in die Turbo-Station von QNAP eingebaut.
www.admin-magazin.de
Admin
Ausgabe 06-2012
57

RAID-Systeme
NAS-Speicher
Audio- und Video-Streams, Backup-Server,
Bilderspeicher, LDAP-, Syslog- und
DHCP-Server sowie verschiedenste vordefinierte
Applikationen von Asterisk bis
OpenERP, von Drupal oder Mediawiki,
bis Zarafa, vTiger oder Moodle und so
weiter. Insgesamt haben wir 15 eigene
und über 20 Apps von Drittanbietern gezählt.
Für den Unternehmenseinsatz enthält die
DiskStation eine Reihe von Features, die
die Verfügbarkeit erhöhen: Alle Platten
sind selbstverständlich hot-swappable,
zwischen den beiden Netzwerkinterfaces
lässt sich ein Failover konfigurieren,
und auch die Lüfter können füreinander
einspringen. Unter Sicherheitsgesichtspunkten
ist der Support für Windows
ACLs hervorzuheben, der auf alle Volumes
angewandt werden kann, darunter
auch AFP, FTP, File Station, NFS und
WebDAV.
In Zeiten geringer Last spart die DiskStation
dank HDD Hibernation Strom und
erhöht die Lebensdauer der Platten.
E Iomega StorCenter
px6-300d
Die Web-GUI (Abbildung 4) bei Iomega
bietet eine Vielzahl an Optionen und ist
dabei leicht bedienbar, aber nicht so modular
anpassbar wie bei manchen Konkurrenten.
Einen Linux-Client gibt es auf
Wunsch zusätzlich. Das Betriebssystem
LifeLine profitiert vom Know-how des
Speichergiganten EMC und wurde speziell
für kleine Unternehmen und Heimanwender
maßgeschneidert. Mit Blick auf
Protokolle, Backup sowie Datenschutz,
Dateimanagement und Media-Serving
mangelt es nicht an nützlichen Funktionen.
Dazu gehört beispielsweise auch ein
integrierter Printserver für USB-Drucker.
Auch Iomega bietet nun (wie QNAP,
Synology und andere) eine sogenannte
Personal Cloud, was allerdings auch
hier nicht viel mehr als ein altbekannter
Webzugang ist, der mit einer Synchronisierung
oder im Falle von Iomega einer
möglichen Replizierung auf ein zweites,
geografisch getrenntes StorCenter
verbunden ist. Immerhin ist ein derart
zentralisierter Speicher im Internet für
Tabelle 1: Basisdaten
Feature QNAP Synology Iomega Thecus Buffalo Netgear
Modell TS-879 Pro DS 2413+ StorCenter px6- N6850 Terastation 5800 ReadyNAS Pro6
300d
Hersteller Qnap Systems Inc. Synology Iomega Thecus Technology Buffalo Technology NETGEAR
Hardware
Prozessor
Embedded Linux
ab ca. 1700 Euro
(ohne Platten)
Dual Core Intel Core
i3-2120 Processor
3.3 GHz
DSM 4.0 (Basis:
LInux)
ab ca. 1250 Euro
(ohne Platten)
Intel Atom D2700,
2.13GHz
EMC LifeLine Linux Linux RAIDiator OS
ab ca. 880
(ohne Platten)
ab ca. 1100 Euro
(ohne Platten)
Intel Atom 1.8 GHz Intel Pentium G620,
2.60GHz
ab ca. 1500 Euro
(ohne Platten)
Intel Atom D2700
Dual Core
ab ca. 940 Euro
(ohne Platten)
Intel e5300 2.6GHz
Memory 2 GByte DDR3 RAM 2GB DDR3 RAM 2 GByte RAM 2 GByte DDR3 RAM 2 GB DDR3-RAM 1 GByte RAM
2 x Gigabit RJ-45
Ethernet
100-240V AC,
50/​60Hz, 350W
2 x Gigabit RJ-45
Ethernet
100-240V AC,
50/​60Hz
2 x Gigabit RJ-45
Ethernet
extern
2 x Gigabit RJ-45
Ethernet
300W Single Power
(80plus)
2 x Gigabit RJ-45
Ethernet
100-240 V,
50/​60 Hz
2 x Gigabit RJ-45
Ethernet
120/​230 V
50/​60 Hz
Lüfter 2 Stück 2 Stück 2 Stück 1 Stück 2 Stück 2 Stück
Disk-Slots 8x, hot-swappable 12x, hot-swappable 6x, hot swappable 6 x, hot swappable 8x , hot swapable 6 x, hot swappable
Betriebssystem
Preis
Netzwerkinterfaces
Netzteile
Festplattentypen
3,5- oder 2,5-Zoll
SATA 6Gb/​s oder
3Gb/​s
max.
Plattengröße
USB 2xUSB 3.0,
4xUSB 2.0
3,5- oder 2,5-Zoll
SATA II
3,5- oder 2,5-Zoll
SATA II
3,5- oder 2,5-Zoll
SATA II
SATA (3 Gbit/​s),
3,5-Zoll
4 TByte 4 TByte 3 TByte 4TByte 4 TByte 3 TByte
2xUSB 3.0,
4xUSB 2.0
1 x USB 3.0,
2 x USB 2.0
4xUSB 3.0,
4xUSB 2.0
2 x USB 2.0,
3 x USB 3.0
SATA-I oder SATA-II,
3,5-Zoll
3 x USB 2.0
e-SATA ja nein nein ja nein nein
LCD-Panel ja nein ja ja ja ja
Bauform Desktop,
217.5(H) x 327(B) x
321.2(T) mm
Desktop,
270(H) x 300(B) x
340(T) mm
Desktop Mini-Tower
270(H) x 176(B) x
257(T) mm
Desktop Mini-Tower
320(H) x 215(B) x
283(T) mm
Desktop,
300(B) x 215(H) x
230(T) mm
Mini-Tower
285(H) x 170(B) x
250(T) mm
58 Ausgabe 06-2012 Admin www.admin-magazin.de

NAS-Speicher
RAID-Systeme
plus 4xUSB 2.0), eSATA und HDMI, optionalem
10 GbE-Netzwerk (PCI-Express-
Steckplatz) und Sandy-Bridge-Prozessor.
Ein Slimline-Blu-ray-Laufwerk lässt sich
nachträglich einbauen, sogar eine Fernbedienung
via Smartphone ist möglich.
Das chice Gehäuse mit hellem OLED-
Display und Touch-Tasten sticht ins Auge.
Eine senkrechte LED-Zeile liefert während
des Bootens sogar eine kleine Lightshow,
die auch Fehler signalisiert. Dafür bleibt
das Lüftergeräusch immer vernehmbar.
Das mag auch am höheren Kühlungsbedarf
der Pentium-CPU liegen.
Wie steht es um die inneren Werte? Die
Web-GUI (Abbildung 5) macht im Unterschied
zu Synology oder QNAP einen
eher technischen Eindruck und ist wenikleinere
Unternehmen oder Außenstellen
sicher eine sinnvolle Sache.
Kleine Schwachstellen leistet sich der
ansonsten gute NAS-Server bei der IPv6-
Unterstützung (fehlt), bei der Speicherkonfiguration,
die nur einen Pool mit
allen Platten zulässt, beim fehlenden
SSH-Zugang und dem ebenfalls fehlenden
Zugriff auf die S.M.A.R.T-Daten der
Festplatten.
E Thecus N6850
Das Thecus N6850 haben wir direkt vom
Hersteller aus Fernost importiert, es ist
aber auch über hiesige Händler erhältlich.
Auffällig an diesem Gerät ist seine
sehr gute Ausstattung mit USB 3.0 (4x
Auch die Terastations der 5000er-Serie
stammen aus diesem Jahr. Der Herstel-
ger auf Multimedia zugeschnitten. Dafür
bietet sie zahlreiche Einstellmöglichkeiten,
etwa bei der RAID-Konfiguration inklusive
einer relativ großen Auswahl an
Filesystemen. Der professionelle Anwender
wird die etwas höhere Komplexität
zugunsten der erweiterten Konfigurationsoptionen
hinnehmen. Bei den Benchmarks
spielt das Thecus dank seiner performanten
Hardware im Vorderfeld mit.
Neben dem hier getesteten Modell gibt es
noch Varianten mit 8 und 10 Disk-Slots.
E Buffalo Terastation
5800
Tabelle 2: Services und Software-Features
Feature QNAP Synology Iomega Thecus Buffalo Netgear
IPv4 ja ja ja ja ja ja
IPv6 ja, Dual Stack ja, getunnelt nein ja, Dual Stack nein ja
VLAN ja ja ja no nein ja
NFS V3 ja ja ja ja ja ja
NFS V4 nein nein nein ja nein nein
CIFS/​SMB ja ja ja ja ja ja
iSCSI ja ja ja ja ja ja
AFP ja ja ja ja ja ja
HTTP/​HTTPS ja ja ja ja ja ja
FTP/​FTPS ja ja ja ja ja ja
TFTP ja ja ja ja nein nein
SSH ja ja nach Aktivierung ja nein ja
DHCP-Client ja ja ja ja ja ja
UPnP (Bonjour) ja ja ja ja nein ja
Software-Features
Verschlüsselung ja ja, per Shared ja, AES 256 ja nein nein
Folder
Kompression nein nein nein nein nein nein
Deduplikation nein nein nein nein nein nein
Replikation ja ja ja ja (Data Guard) ja ja
Snapshots ja (nur iSCSI) in Time Backup nein nein nein ja
Antivirus Protection ja ja nein ja nein nein
Backup
ja, diverse Möglichkeiten
ja ja ja ja ja
Web-GUI ja ja ja ja ja ja
Logging ja ja ausgewählte Ereignisse
ja ja ja
Ressourcen-Monitor ja ja ohne Performancedaten
ja nein nein
SNMP ja ja ja ja ja ja
S.M.A.R.T-Daten ja ja nein ja nein ja
Wake-on-LAN ja ja ja ja ja ja
interne Apps
Port-Trunking/​NIC-
Teaming
ja, z.B. Media-,
File-, Backup- Foto-
Server, u.v.a.m.
ja, z.B. Media-,
File-, Backup- Foto-
Server, u.v.a.m.
ja
ja, Apps for Media-,
Web- oder DB-
Server, etc.
ja ja ja ja ja nein
ja
ja
www.admin-magazin.de
Admin
Ausgabe 06-2012
59

RAID-Systeme
NAS-Speicher
Abbildung 3: Konfiguration einer iSCSI-Lun auf der Synology DiskStation 2413+. iSCSI kann parallel zu den
NAS-Funktionen verwendet werden.
Abbildung 4: Auch das NAS von Iomega kann mit einer leicht bedienbaren grafischen Oberfläche im
Browserfenster glänzen.
Abbildung 5: Der Ressourcen-Monitor des Thecus N6850 mit grafischer Darstellung des Speicherverbrauchs
und der Netzwerkauslastung.
ler hatte dabei wohl vor allem Interessenten
im Blick, die eine Speicher- und
Verwaltungslösung für den Einsatz von
IP-Kameras suchen. Über die Management-Software
„Buffalo Surveillance
Server Client Bundle“ ist es möglich,
Sicherheits- oder IP-Kameras einzubinden,
die das RTSP-Protokoll nutzen und
ONVIF-konform sind. Die Software bietet
Kamera- und Speicherplatzverwaltung
sowie eine speicherübergreifende Suche.
Sie kann parallel zu Verwaltungsaufgaben
oder Suchen gleichzeitig aufnehmen.
Buffalo gibt an, dass die TeraStations
mehr als 1400 Kameramodelle von über
180 Kamera-Herstellern unterstützen.
Entsprechend dieser Ausrichtung findet
man bei diesem Modell keine solche Fülle
an nachinstallierbaren Funktionen und
auch keine so ausgebaute und optisch
ansprechende Web-GUI (Abbildung 6)
wie etwa bei Synology oer QNAP. Die Anmutung
ist eher reduziert und funktional.
Eingeschränkt ist auch die Wahlmöglichkeit
bei Festplatten: 2,5-Zoll-Modelle sind
nicht vorgesehen.
Für den Unternehmenseinsatz hat die
TeraStation Etliches zu bieten. Etwa die
Möglichkeit, Amazon S3 zu integrieren
oder über die integrierten USB 3.0-Anschlüsse
externe Platten anzubinden.
Zugriffsbeschränkungen lassen sich entweder
über die integrierte Benutzerverwaltung
oder Active-Directory verwalten.
Im Lieferumfang der TeraStations finden
sich außerdem zehn Lizenzen von Nova-
BACKUP Business Essentials.
E Netgear ReadyNAS Pro6
ReadyNAS Pro6 von Netgear verschaffte
sich in unserem Testfeld im wahrsten
Sinn des Wortes Gehör, nämlich als das
lauteste Gerät, das auch im Ruhezustand
stets vernehmlich blieb. Löblich war dagegen
zu verzeichnen, dass es den nötigen
Installer auch als Linux-Shellskript
gab (das dann allerdings bei unseren Versuchen
keinen der installierten Browser
fand und somit auch kaum weiterhelfen
konnte).
Das ReadyNAS wird meist bestückt mit
Platten verkauft – die Optionen reichen
dabei von 1 bis zu 3 TByte Disks – es
erschwert den Einbau eigener Festplatten
auch insoweit, als den Wechselrahmen
Bohrungen für 2,5-Zoll-Platten fehlen.
60 Ausgabe 06-2012 Admin www.admin-magazin.de

NAS-Speicher
RAID-Systeme
Abbildung 6: Die Konfigurationsoberfläche der neuen TeraStation von Buffalo kommt eher schlicht-funktional
daher. Eine Zielgruppe sind Nutzer von Überwachungskameras.
Abbildung 7: Die Startseite der Weg-GUI des Netgear ReadyNAS Pro6 gibt einen Überblick. Die Optionen sind
überschaubar, dafür ist die Bedienung einfach.
Dafür fällt eine Erweiterung leichter,
denn das standardmäßig konfigurierte
proprietäre X-RAID 2 lässt sich durch
Hinzustecken weiterer Platten vergrößern.
Dieses Feature war einmalig unter
den Testteilnehmern.
Kompliziert wird es dann allerdings
wieder, wenn man das vorbestimmte
RAID-Level nicht mag, sondern einen
RAID-Standard konfigurieren will. Dafür
ist ein Factory Reset mit aufgebogener
Büroklammer nötig, der ein zehnminütiges
Zeitfenster öffnet, in dem allein die
Änderung bewerkstelligt werden kann.
Wählbar ist dabei zudem auch nur das
RAID-Level, das immer alle vorhandenen
Platten benutzt.
Auffällig am Netgear-NAS ist die Verwendung
einer ausgewachsenen Desktop-
CPU (Intel Pentium), wo viele Mitbewerber
eher zu etwas leistungsschwächeren,
aber stromsparenden Atom-Prozessoren
greifen. In den von uns gemessenen
I/​O-Leistungen schlug sich das Mehr an
Prozessor-Power aber nicht signifikant
nieder.
Das Netgear ReadyNAS Pro6 verzichtet
auf eine große Anzahl nachinstallierbarer
Features. Kauft man es bestückt und
vorkonfiguriert, erhält man ein besonders
einfach zu bedienendes Gerät, das
sich in einem gewissen Rahmen sogar
im laufenden Betrieb erweitern lässt. Für
Standardaufgaben wie Fileserver, Backup
oder Virtualisierungsspeicher eignet es
sich dabei gut. Den Preis für die größte
Vielseitigkeit gewinnt es allerdings sicher
nicht. (jcb)
n
Tabelle 3: Rechte- und Diskmanagement
Feature QNAP Synology Iomega Thecus Buffalo Netgear
Microsoft Active Directory ja ja ja ja, für Authentifizierung
ja
ja
(AD)
LDAP Server ja ja nein nein nein nein
LDAP Client ja ja nein ja ja nein
RAID-Level
JBOD ja ja ja ja ja ja
RAID-Level 0, 1, 5, 6, 10 0, 1, 5, 6, 10, Synology
Hybrid
0, 1, 10, 5, 6 0, 1, 5, 6, 10, 50 0, 1, 5, 6, 10, 50,
51, 60, 61
0, 1, 5, 6 , X-RAID2
(proprietär)
Global Spare Disk ja nein ja ja ja ja
Filesysteme (intern)
Ext3 ja nein nein ja nein ja
Ext4 ja ja nein ja nein ja
XFS nein nein je ja ja nein
ZFS nein nein nein nein nein nein
Btrfs nein nein nein nein nein nein
WAFL nein nein nein nein k.A. nein
www.admin-magazin.de
Admin
Ausgabe 06-2012
61

Know-how
Unicode-Migration
© joingate, 123RF
Wie die Unicode-Migration einer Oracle-DB gelingt
Ausweg aus
Babylon
Die Globalisierung bringt es mit sich, dass der Mitarbeiter in Japan dieselbe
Datenbank befüllt wie sein Kollege in Berlin. Voraussetzung ist ein
Zeichensatz wie Unicode, der alle sinnvollen Zeichen der Welt beinhaltet.
Worauf bei der Umstellung einer Oracle Datenbank auf Unicode zu achten
ist und wo Fallstricke lauern, diskutiert dieser Artikel. Johannes Ahrends
Für eine Migration zu Unicode bietet
Oracle mehrere Möglichkeiten. Allerdings
scheitern manche, wie beispielsweise
das von Oracle seit 2011 zur Verfügung
gestellte Oracle Database Migration Utility
for Unicode – kurz DMU – in der
Praxis oft daran, dass die Vorgaben der
Unternehmen die nötige Downtime nicht
zulassen, oder dass die Einsatzvoraussetzungen
des Produktes (Release- und
Patchstand) nicht gegeben sind. Mit dem
hier vorgestellten Verfahren wurden dagegen
bereits sehr große Datenbanken in
sehr kurzer Zeit migriert.
Warum Unicode?
Jede Datenbank wird mit einer bestimmten
Code Page erstellt. Auf dem Weg der
Daten von der Anwendung in die Datenbank
werden die Zeichen dann entsprechend
übersetzt: Die Code Page der
Anwendung wird auf die der Datenbank
gemapt. Das gilt jedoch nur dann, wenn
es sich um Zeichen-Datentypen handelt
(»CHAR«, »VARCHAR2«, »CLOB«,
»LONG«, »NCHAR«, »NVARCHAR2«,
»NCLOB«), denn Binärdaten möchte man
natürlich nicht konvertieren.
Die Konvertierung findet während des
Transports (über Oracle Net) automatisch
statt, das heißt ein auf dem Windows
Rechner eingetipptes Eurozeichen (0x80
unter WIN-1252) wird in der Datenbank
als 0xA4 eingetragen, wenn sie mit dem
Zeichensatz ISO-8859P15 angelegt wurde.
Wurde die Datenbank allerdings mit einem
Unicode-Zeichensatz erstellt, dann
legt sie das Eurozeichen als drei Byte
lange Sequenz ab (0xE282AC), benötigt
also dreimal so viel Platz wie zuvor.
In der Vergangenheit wurden die meisten
Datenbanken in Europa mit einem Ein-
Byte-Zeichensatz angelegt (also ISO-8859
oder MSWIN-1252). Im Zuge der Globalisierung
wird es für die Unternehmen
nun aber immer wichtiger, Datenbanken
weltweit einzusetzen. Daher empfiehlt
Oracle seit einiger Zeit, Unicode als Standardzeichensatz
zu verwenden. Viele
moderne Anwendungen (beispielsweise
Java-Applikationen) verwenden darüber
hinaus ebenfalls standardmäßig Unicode.
Dasselbe gilt für viele heutige Betriebssysteme
wie Microsoft Windows 7 oder
Linux.
Bei der Umstellung einer Oracle-Datenbank
auf Unicode können die folgenden
Schwierigkeiten auftreten:
Spalten laufen über
Beim Design von Tabellen ist darauf zu
achten, dass die Breite einer Spalte als
bestimmte Anzahl von Zeichen und nicht
etwa als Anzahl Bytes definiert ist. Als
Beispiel eignen sich hierfür Felder, die
mit dem Datentyp CHAR angelegt wurden,
zum Beispiel
CREATE TABLE status (
statusid CHAR(1),
beschreibung VARCHAR2(50));
Die Frage ist, handelt es sich bei der
„1“ um die Länge ein Byte oder um ein
64 Ausgabe 06-2012 Admin www.admin-magazin.de

Unicode-Migration
know-how
Zeichen. Für diese Festlegung verwendet
die Oracle-Datenbank den Parameter
»NLS_LENGTH_SEMANTICS«, der entsprechend
auf »CHAR« oder »BYTE« einzustellen
ist. Da diese Semantik erst seit
Oracle 9i zur Verfügung steht und vorher
ausschließlich Byte verwendet werden
konnte, ist bei vielen älteren Anwendungen
(oder bei Anwendungen, die über
mehrere Oracle Releases migriert wurden),
die Längensemantik immer noch
auf »BYTE« eingestellt. Bei einer Unicode-
Migration kann das dazu führen, dass ein
Datensatz nicht eingefügt werden kann,
weil in ihm beispielsweise ein Umlaut
vorkommt. Daraus resultiert dann eine
Fehlermeldung wie die folgende:
ORA‐02374: conversion error loading table U
"DEMO"."STATUS"
ORA‐12899: value too large for column U
STATUSID (actual: 2, maximum: 1)
In diesem Fall enthielt die Status-Spalte
als ID ein »Ü«, was im Unicode nun aber
ein zwei Byte langes Zeichen ist.
Bei neuen Anwendungen gibt man die
Längensemantik deshalb immer explizit
an. Alte Anwendungen sind im Zuge der
Migration anzupassen. Das obige Beispiel
wäre also wie folgt zu ändern:
CREATE TABLE status (
statusid CHAR(1 CHAR),
beschreibung VARCHAR2(50 CHAR));
Maximale Datentyplänge
In der Oracle-Dokumentation wird oft davon
geredet, dass der Datentyp »CHAR«
die Länge 2000 Zeichen hat und »VAR-
CHAR2« 4000 Zeichen fasst. Das ist aber
nicht richtig, denn die maximale Länge
wird in Byte gerechnet, das heißt ein
»VARCHAR2«-Feld kann maximal 4000
Byte lang werden.
CREATE TABLE status (
statusid CHAR(1 CHAR),
beschreibung VARCHAR2(4000 CHAR));
In diesem Fall ist also die Längensemantik
falsch, da das Feld »BESCHREIBUNG«
tatsächlich nur 4000 Byte lang sein kann
(trotzdem lässt Oracle die unter Umständen
irreführende Definition zu). Wenn
jetzt dieses Feld bis zum letzten Zeichen
gefüllt ist und Umlaute oder Sonderzeichen
enthält, die im Unicode länger als
ein Byte sind, dann muss die Konvertierung
fehlschlagen. Stattdessen muss der
Anwender den Datentyp in »LONG« oder
besser »CLOB« ändern. Die Definition der
Tabelle sieht dann für das obige Beispiel
so aus:
CREATE TABLE status (
statusid CHAR(1 CHAR),
beschreibung CLOB)
LOB (beschreibung) STORE AS (
ENABLE STORAGE IN ROW);
Standardtypen statt
National Characters
Wenn in der Datenbank nur gelegentlich
spezielle Zeichen, wie Arabisch oder
Kanji abzuspeichern sind, kann man
auch die sogenannten National Language
Datentypen (»NCHAR«, »NVARCHAR2«
oder »NCLOB«) benutzen. Durch die generelle
Umstellung
der Datenbank auf
Unicode entfällt
diese Notwendigkeit und die »N«-Datentypen
lassem sich wieder in „normale“
Datentypen umwandeln. Dafür passt
man einfach den »CREATE«-Befehls der
entsprechenden Tabelle an.
Schmutzeffekte in der
Datenbank
Dieser Punkt ist am schwersten zu beherrschen,
denn eigentlich hat die Datenbank
alles richtig gemacht, und trotzdem
sind die Daten falsch. Das kommt dann
vor, wenn zwei Systeme Daten ohne Konvertierung
übertragen. Wurde beispielsweise
die Datenbank mit dem Zeichensatz
»WE8MSWIN1252« erstellt und auf
einem beliebigen Client (zum Beispiel
auf der Kommandozeile unter DOS) die
Variable »NLS_LANG=GERMAN_GER-
MANY.WE8MSWIN1252« eingestellt,
dann geht die Datenbank davon aus, dass
keine Zeichenkonvertierung notwendig
ist, da ja beide Zeichensätze identisch
sind. Für den DOS-Client sieht es jetzt
bei der Abfrage so aus, als ob die Zeichen
richtig dargestellt würden, denn auf
dem Rückweg werden sie ja ebenfalls
nicht konvertiert. Bei der Abfrage mit
einem Windows-Client (etwa mit dem
Tool DELL Toad for Oracle) stellen wir
allerdings plötzlich fest, dass irgendwelche
Hieroglyphen gespeichert wurden
(Abbildung 1).
Dieser Fehler kann nur durch Entladen
der Daten über eine entsprechende
Schnittstelle und anschließendes erneutes
Laden mit dem „richtigen“ Zeichensatz
behoben werden. Die Migration
wird dadurch erheblich erschwert.
Glücklicherweise sind diese Fehler heute
eher selten anzutreffen, weil sie dank der
Abbildung 1: Fehlerhafte Zeichendarstellung nach einer Datenübertragung ohne
Konvertierung.
Mehr auf den Datenbanktagen
Mehr zu diesem und zu vielen anderen Themen rund um Datenbanken
bieten die Frankfurter Datenbanktage, die am vom 14. und 15. März 2013
in Frankfurt/​Main stattfinden. Veranstalter sind die Firma Held Informatik
(fachliche Leitung) und die Firma e/​c/​s (organisatorische Leitung). Gut
50 hochkarätige Referenten – darunter der Autor dieses Beitrages – behandeln
Themen rund um Datenbankmanagementsysteme wie Oracle, MS
SQL Server, PostgreSQL, MySQL und NoSQL, DB2 aber auch allgemeine
Datenbankbetriebssysteme, heterogene Datenbankumgebungen oder
Datenbank-Monitoring. Der Fokus liegt auf neuesten Technologien und
deren Bewertung. Die auf 180 Personen begrenzte Teilnehmerzahl soll
einen intensiven Erfahrungsaustausch garantieren. Anmeldungen sind
unter [http:// www. frankfurter‐datenbanktage. de/ index. php/ anmeldung1.​
html] möglich.
www.admin-magazin.de
Admin
Ausgabe 06-2012
65

Know-how
Unicode-Migration
grafischen Werkzeuge schnell
erkennbar sind.
Die Migration
Die eigentliche Migration erfolgt
in vier Schritten (Abbildung
2):
n Aufbau einer neuen Datenbank.
Die neue Datenbank
wird entsprechend
den Vorgaben des
Unternehmens und von Oracle mit
dem neuen Zeichensatz (in der Regel
»AL32UTF8«) aufgebaut. Als angenehmer
Nebeneffekt ergibt sich dabei,
dass sich die Datenbank komplett
reorganisieren lässt, das heißt
überflüssige Daten, die etwa durch die
Installation von Beispielschemata in
die Datenbank gelangten, kann man
jetzt eliminieren.
n Exportieren der Schemadefinitionen
als ASCII-Datei. Danach exportiert
man die Schemadefinitionen (Abbildung
3) ohne Längensemantik als
ASCII-Datei. Dadurch ergibt sich die
Möglichkeit, anschließend eine Bereinigung
vorzunehmen. Oracle bietet
hierfür ein Package mit dem Namen
»dbms_metadata« an. Der Autor hat
sehr gute Erfahrungen mit Toad for
Oracle gemacht, da das Tool über eine
grafische Schnittstelle ganz einfach
die komplette Definition auch mehrerer
Schemata als ASCII-Datei erstellt
Abbildung 2: Schematische Darstellung einer Migration.
und in den Editor kopiert. Über »find«
und »replace« lassen sich dann gegebenenfalls
Änderungen (zum Beispiel
Umstellung von »NVARCHAR2« auf
»VARCHAR2«) durchführen.
n Importieren der Schemadefinitionen.
Das eben erstellte Skript mit der Schemadefinition
wird dann in der neuen
Datenbank ausgeführt. Vorher setzt
man allerdings für die gesamte Session
den Parameter »NLS_LENGTH_
SEMANTICS«:
SQL> ALTER SESSION U
SET NLS_LENGTH_SEMANTICS=CHAR;
Damit wird dafür gesorgt, dass allen
Zeichen-Spalten (also »CHAR«, »VAR-
CHAR2«, etc.), die keine explizite Längensemantik
verwenden, »CHAR« als
Längensemantik zugewiesen wird. Damit
passen die Umlaute auch wieder in
die Felder.
n Datensätze importieren. Als Letztes
werden die Datensätze, also die
Inhalte der Tabellen einfach
per Export / Import oder Data
Pump übertragen. Beim Importieren
der Daten ist darauf
zu achten, dass die Befehle
ignoriert werden, die die Tabellen
erstellen würden, denn
die gibt es ja schon. Außerdem
müssen die Foreign-Key-
Contraints ausgeschaltet werden,
da die Reihenfolge des
Einfügens der Daten nicht
festgelegt werden kann. Ansonsten
könnte es dazu kommen, dass ein
Detail-Datensatz (zum Beispiel die
Adresse einer Person) nicht eingefügt
werden kann, weil die Daten der Person
selbst (also Vorname, Nachname,
etc.) noch nicht vorhanden sind. Beim
Importieren interessieren wir uns aber
nur dafür, dass ganz am Ende alle
Daten eingefügt sind, dann sollten die
Personen zu den Adressen passen.
Nötige Auszeiten
Sicherlich ist die Auszeit für eine solche
Migration nicht zu vernachlässigen. Bei
kritischen Datenbanken wird daher empfohlen,
eine Replikationssoftware zu nutzen,
die die Änderungen der alten Datenbank
protokolliert und nachdem die neue
Datenbank aufgesetzt wurde, in die neue
Datenbank nachträgt. Mit dem Werkzeug
SharePlex for Oracle von Dell (vormals
Quest) wurde so bei einem großen deutschen
Automobilhersteller im Jahr 2010
eine rund 10 Terabyte große Datenbank
mit einer Auszeit von weniger als zwei
Stunden migriert, und 2011 wurde eine
kleinere Datenbank, die allerdings höchst
kritisch war, ohne jede Downtime von
einem ISO-Zeichensatz auf Unicode umgestellt.
Bei beiden Datenbanken gab es
zudem den Nebeneffekt, dass man noch
mehrere Wochen zum alten System hätte
zurückkehren können. (jcb)
n
Abbildung 3: Export eines Datenbankschemas als ASCII-Datei.
Der Autor
Johannes Ahrends beschäftigt sich seit rund 20
Jahren mit der Oracle Datenbank und den zugehörigen
Tools. Seit 2011 hat er sein eigenes Unternehmen:
CarajanDB – spezialisiert auf Themen
rund um Oracle. Johannes Ahrends ist Co-Autor
des Standardwerks „Oracle für den DBA“ und
wurde mit dem Oracle ACE Award geehrt.
66 Ausgabe 06-2012 Admin www.admin-magazin.de

LINUX & DATENBANKADMINISTRATOR (M/W)
XYRALITY gehˆ rt seit Verˆ ffentlichung seiner MMOGs Ñ Lords & Knightsì und Ñ Crazy Tribesì zu den erfolgreichsten und am
schnellsten wachsenden Mobile Games Studios in Europa. Bereits heute arbeiten mehr als 50 engagierte Mitarbeiter an
der nachhaltigen Weiterentwicklung unseres Gameportfolios.
Zum n‰ chstmˆ glichen Zeitpunkt suchen wir einen Linux & Datenbankadministrator (m/w) in Vollzeit.
Zu Ihren Aufgaben z‰ hlen
Anforderungen
Wir bieten
Dann nutzen Sie die Chance und bewerben Sie sich jetzt unter jobs@xyrality.com
www.xyrality.com/jobs

Know-how
Windows-Lizenzen
© Andrew Neilan, 123RF, 123RF
Windows Server 2012 lizenzieren
Dschungelcamp
Mit Windows 2012 hat Microsoft eine neue Version seines Server-Betriebssystems vorgelegt. Mit mehreren Editionen
und unterschiedlichen Zugriffslizenzen ist die Lizenzierungspolitik aber undurchsichtig. Ein Versuch, den
Dschungel etwas zu lichten. Thomas Joos
Mit seinen neuen Server-Produkten System
Center 2012, SQL Server 2012 und
auch Windows Server 2012 ändert Microsoft
teilweise deutlich seine Lizenzierungspolitik.
Unternehmen sollten jetzt
umso mehr darauf achten, welche Edition
sie einsetzen wollen. So verfügen
zum Beispiel die Editionen Standard und
Datacenter über den gleichen Funktionsumfang,
und eine Enterprise-Edition oder
Web-Server-Edition gibt es nicht mehr.
Editionen und Lizenzen im
Vergleich
Die wichtigste Veränderung bei Windows
Server 2012 (Abbildung 1) besteht darin,
dass es nur noch die Editionen Standard,
Datacenter, Essentials und Foundation
gibt. Das Betriebssystem ist, wie bereits
der Vorgänger, nur noch als 64-Bit-Software
erhältlich. Für Unternehmen sind
vor allem die Editionen Standard und Datacenter
interessant, die genau den gleichen
Funktionsumfang bieten. Es lassen
sich also auch mit der Standard Edition
eigene Cluster und andere Dinge betreiben,
die bisher den Editionen Enterprise/​
Datacenter in Windows Server 2008 R2
vorbehalten waren. Die Editionen Standard
und Datacenter unterscheiden sich
bei Windows Server 2012 lediglich in der
Lizenzierung.
Microsoft bezeichnet Windows Server
2012 als Cloud-Betriebssystem, das insbesondere
auf Virtualisierung und die
Cloud-Anbindung spezialisiert ist. Auf
Servern mit Windows Server 2012 Standard
dürfen Unternehmen zwei virtuelle
Server pro Lizenz installieren. Sollen auf
einem Hyper-V-Host mehr virtuelle Server
im Einsatz sein, sind mehrere Lizenzen
für die Standard-Edition notwendig
oder eben eine Datacenter-Lizenz.
Die Datacenter-Edition erlaubt den Betrieb
beliebig vieler virtueller Server auf
einem Host. Beide Editionen decken außerdem
immer nur zwei Prozessoren des
Hosts ab. Die erforderliche Anzahl von
Betriebssystem-Lizenzen für jeden Server
wird durch die Anzahl der physischen
Prozessoren des Hosts bestimmt, sowie
die Anzahl virtueller Server, die Sie auf
dem Hyper-V-Host installieren.
Setzen Unternehmen also Server mit
mehreren Prozessoren ein, ist pro Prozessorpaar
(nicht Kern) eine Lizenz notwendig,
egal welche Edition im Einsatz
ist. Die Datacenter-Edition soll etwa 4800
US-Dollar kosten, eine Standard-Edition-
Lizenz 880 Dollar. Windows Server 2012
Essentials soll etwa 500 Dollar kosten.
Clientzugriffslizenzen
beachten
Clientzugrifflizenzen (CALs) und Remotedesktop-Clientzugrifflizenzen
(RD-
CALs) sind auch in Windows Server 2012
weiterhin notwendig, aber nur bei den
Editionen Standard und Datacenter (Abbildung
2). Auch hier gibt es zukünftig
Geräte-Lizenzen oder Benutzer-Lizenzen
für den Zugriff.
Sie müssen bereits bei der Bestellung der
Lizenzen bedenken, welchen Lizenztyp
Sie einsetzen wollen. Sie können auch
die verschiedenen Lizenzen miteinander
mischen. Es ist jedoch nicht erlaubt,
die einzeln erhältlichen Lizenzpacks
in Geräte- und Benutzer-Lizenzen aufzusplitten.
Sie dürfen also ein 5er-Pack
Geräte-Lizenzen und ein 5er-Pack Benutzerlizenzen
für einen Server kaufen und
lizenzieren. Es ist aber nicht erlaubt, dass
Sie diese Pakete aufsplitten und zum Beispiel
als 2er-Geräte-Lizenz und 8er-Be-
68 Ausgabe 06-2012 Admin www.admin-magazin.de

Windows-Lizenzen
Know-how
Abbildung 1: Der neue Server-Manager in Windows Server 2012. Abbildung 2: Geräte-CALs und Benutzer-CALs in Windows Server 2012.
nutzerlizenz verwenden. Es ist ebenfalls
nicht erlaubt, mit CALs von Vorgängerversionen
auf Server mit Windows Server
2012 zuzugreifen.
Wenn Sie mit Geräte-CALs lizenzieren,
müssen Sie für jeden PC, der auf diesen
Server zugreift, eine Lizenz kaufen,
unabhängig davon, wie viele Benutzer
an diesem PC arbeiten. Wenn Sie PCs
betreiben, zum Beispiel im Schichtbetrieb,
an denen zu unterschiedlichen Zeiten
unterschiedliche Benutzer arbeiten,
benötigen Sie für diese PCs nur jeweils
eine Geräte-CAL. Im umgekehrten Fall,
wenn also ein Benutzer mit mehreren
PCs, Notebook oder Smartphones auf
den Server zugreift, benötigen Sie für
diesen Benutzer mehrere Geräte-CALs,
da dieser Benutzer mit mehreren PCs auf
den Server zugreift. Alternativ können
Sie auch eine Benutzer-CAL kaufen.
Jeder Benutzer mit einer Benutzer-CAL
kann an beliebig vielen PCs eine Verbindung
mit einem Server aufbauen. Benutzer-Lizenzen
müssen den jeweiligen Benutzern
zugewiesen werden, die mit dem
Server arbeiten. Es genügt also nicht,
ADMIN
Netzwerk & Security
Online-Archiv
Rund 2.000 Seiten Artikel,
Studien und Workshops aus
fünf Jahren Technical Review
+
nur
4,-e*
im Monat
Onlinezugriff auf
Heftartikel aus dem
ADMIN-Magazin von
2009 bis 2012!
Volltextsuche
Praxisrelevante Themen
für alle IT-Administratoren
* Angebot gültig nur
für Abonnenten eines
Print- oder vollen
digitalen ADMIN Abos
Bestellen Sie unter: www.admin-magazin.de/archiv

Know-how
Windows-Lizenzen
sich beim Lizenzkauf auf eine maximale
Zahl gleichzeitig arbeitender Benutzer zu
beschränken.
Ebenso ist es nicht erlaubt, auf einem
Server Lizenzen von Windows 2012
Standard und Datacenter zu mischen.
Sie dürfen eine Lizenz auch nicht auf
mehrere Server aufsplitten, zum Beispiel
eine Lizenz auf zwei Server mit einzelnen
Prozessoren. Mehr zur Lizenzierung finden
Sie über den Link [1].
Ein konkretes Beispiel: In einer Firma
sind 100 Mitarbeiter beschäftigt, von
denen jedoch lediglich 63 mit PCs am
Server arbeiten. Wenn Sie Geräte-CALs
kaufen, wird jede gekaufte Lizenz einem
bestimmten PC zugeordnet. Mit diesen
PCs können sich jetzt beliebig viele Mitarbeiter
mit dem Server verbinden, wenn
sich diese PCs im Schichtbetrieb teilen.
Wenn neue PCs hinzukommen, müssen
Sie für diese PCs weitere Geräte-Lizenzen
kaufen. Ein anderer Fall wäre etwa eine
IT-Firma aus, in der 40 Mitarbeiter beschäftigt
sind. Von diesen 40 Mitarbeitern
arbeiten 25 mit der Windows-Domäne.
Jeder dieser Mitarbeiter hat einen PC und
ein Notebook, mit denen er am Server
arbeitet. Obwohl in diesem Unternehmen
nur 40 Mitarbeiter beschäftigt sind,
verbinden sich also insgesamt 50 PCs mit
dem Server. Es müssten in diesem Beispiel
daher 50 Geräte-Lizenzen erworben
werden. Wenn das Unternehmen seine
Lizenzen jedoch als Benutzer-Lizenz erwirbt,
braucht es nur 25 Lizenzen, da nur
25 Benutzer mit Server arbeiten.
Windows Server 2012 für
kleine Unternehmen
Sehr kleine Unternehmen können auf
Windows Server 2012 Essentials setzen.
Dabei handelt es sich um den Nachfolger
von Small Business Server 2012 Essentials
ohne Exchange und SQL Server.
Einen Nachfolger für SBS 2012 Standard
mit Exchange und einem SQL-Server
wird es nicht mehr geben. Unternehmen,
die Exchange betreiben wollen, müssen
auf Office 365 setzen oder Exchange auf
einer eigenen Servermaschine getrennt
lizenzieren.
Windows Server 2012 Essentials verfügt
über eine eigene Verwaltungsoberfläche,
Dashboard genannt. Mit diesem lassen
sich Clientcomputer und Benutzer auch
ohne IT-Kenntnisse zentral verwalten.
Der Server erlaubt die Anbindung von
maximal 25 Benutzern und 50 PCs. Wenn
mehr im Einsatz sind, müssen Unternehmen
auf die Standard-Edition von Windows
Server 2012 erhöhen. CALs sind für
die Benutzer nicht notwendig.
Foundation oder Essentials?
Die kleinste Edition von Windows Server
2012 firmiert unter dem Namen Foundation.
Diese stellt Microsoft nur für OEMs
zur Verfügung. Der Server verfügt über die
Standardverwaltungstools von Windows
Server 2012, also kein eigenes Dashboard
wie Essentials. Dafür lassen sich an Windows
Server 2012 Foundation nur maximal
15 Benutzer anbinden. Client-Zugrifflizenzen
sind in diesem Fall ebenfalls nicht
notwendig. Zusätzliche Zugriffslizenzen
(Client Access License, CALs) sind für
Foundation nicht erforderlich.
Windows Server 2012 Essentials und
Foundation werden in einem prozessorbasierenden
Lizenzmodell lizenziert.
Foundation ist beschränkt auf Server mit
einem Prozessor. Windows Server 2012
Essentials ist auf Server mit bis zu zwei
Prozessoren beschränkt, benötigt dafür
aber auch keine CALs. Virtualisierung
mit Hyper-V ist nur mit den beiden Editionen
Windows Server 2012 Standard
und Datacenter möglich. Hyper-V-Hosts
unterstützen bis zu 160 logische Prozessoren
und 2 TByte Arbeitsspeicher; Gäste
unterstützen bis zu 32 virtuelle Prozessoren
und 1 TByte Arbeitsspeicher. Ansonsten
orientiert sich Windows Server
2012 an den Systemvoraussetzungen für
Windows Server 2008 R2. Für Windows
Server 2012 hat Microsoft derzeit noch
keine offiziellen Systemvoraussetzungen
zur Verfügung gestellt.
Kunden mit Software-Assurance-Vertrag
kommt Microsoft bei der Umstellung
etwas entgegen. Unternehmen, die derzeit
die Enterprise-Edition von Windows
Server 2008 R2 einsetzen, dürfen zwei
Lizenzen mit der Standard-Edition einsetzen.
Durch diese Lizenzgewährung erhalten
Unternehmen also eine zusätzliche
Windows Server 2012 Standard Edition.
Das Recht zum Verwenden einer bestehenden
Lizenz von Windows Server HPC
Edition, Microsoft HPC Pack Enterprise
oder Web Server bleibt erhalten.
Unternehmen mit Windows Server
HPC Edition und Microsoft HPC
Pack Enterprise erhalten Windows Server
2012 Standard im Verhältnis 2:1.
Beim Einsatz von Windows Server
2008 R2 können sie bis zur nächsten
ganzen Zahl aufrunden, um die entsprechende
Berechtigung zu bestimmen. Es
ist erlaubt, mit Windows-Server-2012-
Lizenzen auch ältere Versionen zu installieren,
zum Beispiel Windows Server
2008/​2008 R2.
Windows 8-Editionen im
Überblick
Auch in Windows 8 ändert Microsoft vieles
ab. Es gibt die Editionen Windows 8,
Windows 8 Pro und Windows 8 Enterprise.
Unternehmen die Active Directory-
Domänen betreiben, müssen Pro oder
Enterprise einsetzen. Außerdem gibt es
weiterhin 32-Bit- und 64-Bit-Versionen.
Im Handel sind nur die beiden Editionen
Windows 8 und Windows 8 Pro zu finden,
wobei Windows 8 das System für
Privathaushalte ist.
Wer Funktionen wie Windows-To-Go
oder andere Szenarien nutzen will, benötigt
Windows 8 Enterprise. Für Tablets
gibt es dann noch Windows RT. Diese
Edition erlaubt aber weder eine Anbindung
an Active-Directory-Domänen noch
Business-Funktionen wie Gruppenrichtlinien.
Windows 8 Pro erbt die Funktionen
von Windows 7 Ultimate und ist damit
die Version, die so gut wie alle Funktionen
von Windows 8 enthält, außer den
Funktionen für sehr große Unternehmen.
Diese Edition lässt sich an Domänen anbinden
und per virtuelle Festplatte (VHD)
booten. (ofr)
n
Infos
[1] Licensing FAQ: [http:// download. microsoft.​
com/ download/ 4/ D/ B/ 4DB352D1‐C610‐4
66A‐9AAF‐EEF4F4CFFF27/ WS2012_Licensing‐Pricing_FAQ.
pdf]
Der Autor
Thomas Joos ist freiberuflicher IT-Consultant und
seit über 20 Jahren in der IT tätig. Neben seinen
Projekten schreibt er praxisnahe Fachbücher
und Fachartikel rund um Windows und andere
Microsoft-Themen. Online trifft man ihn unter
[http:// thomasjoos. spaces. live. com].
70 Ausgabe 06-2012 Admin www.admin-magazin.de

Mit Experten lernen.
IT-Trainings
am Standort
München.
MEDIALINX
IT-ACADEMY
Workshops App-Entwicklung
Android-App-Entwicklung
mit David Wiesner,
App-Entwickler, apphoria
Mi, 28.11. - Fr, 30.11.2012
Effiziente BASH-Skripte
mit Klaus Knopper,
Gründer der Knoppix-Distribution
Mo, 3.12. - Mi, 5.12.2012
www.medialinx-shop.de/academy
iOS-App-Entwicklung
mit Jonas Pencke,
App-Entwickler, apphoria
in Vorbereitung
WP8-App-Entwicklung
mit Andreas Thenn,
App-Entwickler, apphoria
in Vorbereitung

Know-how
Open Stack
© Jean-Marie Guyon, 123RF
Open Stack-Workshop, Teil 1: Einführung in Open Stack
Selbstbedienung
Pünktlich wie ein Schweizer Uhrwerk veröffentlichten die Entwickler von Open Stack die neue Version 2012.2
ihres Schützlings, Codename „Folsom“. Was kann sie tatsächlich, und was unterscheidet sie von anderen Clouds?
Eine Einführung. Martin Loschwitz
Ende September knallten beim Open-
Stack-Projekt die Sektkorken: Es veröffentlichte
eine neue Version der Cloud-
Umgebung und entließ viele Features in
die Produktion, die in den Monaten zuvor
entwickelt wurden. Open Stack ist sehr
zuverlässig darin, den selbst auferlegten
Release-Zyklus einzuhalten: Alle sechs
Monate erscheint – jeweils im Oktober
und im April – eine neue Version.
Dass Release-Zyklus und -Datum mit denen
von Ubuntu ziemlich gut zusammen
passen, ist kein Zufall: Mark Shuttleworth
selbst hat erklärt, dass die Projekte eng
miteinander verzahnt sein sollen und
sind. Daher setzt das gesamte Open-
Stack-Projekt auf die Tools von Canonical
und entwickelt fast ausschließlich in
Launchpad (Abbildung 1). Als Ubuntu
die Sache dann quasi offiziell machte
und sich im Mai 2011 von Eucalyptus als
Cloud-Lösung zugunsten von Open Stack
verabschiedete, ging ein Raunen durch
die Entwicklergemeinde.
Eins, zwei, drei …
Manchem Beobachter schien die ganze
Sache damals eher merkwürdig: Weshalb
schickt Canonical eine gut funktionierende
Lösung in die Wüste und ersetzt
sie durch eine Umgebung, die zum damaligen
Zeitpunkt kaum „Enterprise-ready“
war? Und überhaupt: Worin lag die Motivation
der Open Stack-Entwickler, sich
in einen Markt zu begeben, den andere
Projekte wie Eucalyptus und OpenNebula
eigentlich bereits unter sich aufgeteilt
hatten? Brauchte es wirklich einen
weiteren Big Player?
Die Antworten auf all diese Fragen sind
spätestens seit April 2012 ganz offensichtlich:
Canonical positionierte Ubuntu
12.04 als erste Enterprise-Distribution
mit Langzeitunterstützung am Markt,
die eine gut integrierte Cloud-Lösung
mitbringt. Und weil man bei der Open-
Stack-Entwicklung von Anfang an dabei
war, konnte man auf viele richtungsweisende
Entwicklungen Einfluss nehmen.
Ubuntu hat auf diese Weise seine eigene
Rolle im Cloud-Geschäft definiert: Wer
eine Cloud mit Linux will, kriegt derzeit
nur bei Ubuntu das gesamte System samt
Support aus einer Hand.
Der direkte Vergleich der Entwicklungsmodelle
von Eucalyptus, Open Nebula
und Open Stack fördert indes die größten
Unterschiede zwischen den Projekten
zutage: Während hinter Eucalyptus und
Open Nebula einzelne Unternehmen stehen,
die zwar eine Community um ihr
Produkt aufgebaut haben, ansonsten aber
eher im stillen Kämmerlein an ihren Werken
arbeiten, war die Open-Stack-Wolke
von Anfang an als kollaboratives Projekt
angelegt, für alle offen. Und während
Spötter behaupten, dass die drei Umgebungen
letztlich das Gleiche tun, kann
nur Open Stack behaupten, in den letzten
zwei Jahren weit über 180 offizielle Unterstützer
aus der Industrie gefunden zu
haben – darunter übrigens prominente
Namen wie Dell oder die Deutsche Telekom.
Aus dem ursprünglichen Projekt
von GitHub und der US-amerikanischen
Weltraumbehöre NASA ist also durchaus
ein erfolgreiches Projekt geworden.
Was die Cloud braucht
Fest steht damit: Open Stack ist aus der
Riege der Cloud-Umgebungen nicht mehr
wegzudenken. Aber wie gut kann Open
Stack derzeit überhaupt Cloud? Diese
Frage lässt sich nur sinnvoll beantworten,
wenn klar ist, was denn die Cloud
eigentlich leisten soll. Denn gerade weil
der Begriff seit mehr als zwei Jahren im
IT-Kontext Alltag ist, ist er kaum noch ein-
72 Ausgabe 06-2012 Admin www.admin-magazin.de

Open Stack
Know-how
deutig definiert. Die meisten Infrastrukturanbieter
wollen durch die Einführung
einer Cloud-Umgebung zwei Dienstleistungen
an die Kundschaft bringen: Auf
der einen Seite Rechenleistung in Form
virtueller Maschinen und auf der anderen
Seite Online-Speicherplatz für Daten im
Netz. Schwerer wiegt dabei das Thema
Virtualisierung, für das sich hierzulande
die Anbieter deutlich mehr interessieren
als für Speicherangebote à la Dropbox.
Allerdings ist eine Virtualisierungslösung
alleine noch keine Cloud.
Automatisierung soll die benutzte Umgebung
nämlich in den Augen der ISPs
auch bieten: Einmal vom Anbieter aufgesetzt,
rufen Kunden die Dienstleistung
selbstständig ab, ohne dass irgendeine
weitere Intervention des Dienstleisters
nötig ist. Dazu braucht die Umgebung
eine Nutzerschnittstelle, die auch Nicht-
IT-Profis zu bedienen in der Lage sind.
Solche Self-Servicing-Portale bilden wohl
den größten Unterschied zwischen klassischen
Virtualisierungsumgebungen wie
VMware & Co. und Cloud-Software wie
Open Stack, auch wenn Lösungen wie
oVirt von Red Hat verdeutlichen, dass die
Grenzen hier ebenso verschwimmen.
Welche Lösungen haben sich die Open-
Stack-Entwickler also für die genannten
Herausforderungen ausgedacht?
Open Stack ist modular
Grundsätzlich gilt: Die Open-Stack-Architektur
ist modular, jeder Aufgabe ist eine
einzelne Komponente zugeordnet, die die
jeweiligen Funktionen bereitstellt. Laut
offizieller Sprachregelung unterscheidet
Open Stack dabei zwischen den tatsächlichen
Kern-Komponenten der Software
und Zusatz-Werkzeugen. Jene kümmern
sich um Funktionen, die für einzelne Bedarfsfälle
gebraucht werden, das Gros der
Benutzer aber nicht interessieren. Der
Name Open Stack subsummiert die Kern-
Komponenten.
Zusätzlich gibt es noch die Kategorie der
Incubated Projects: Das ist Software, die
in absehbarer Zeit zur Kern-Komponente
werden soll, aber deren Entwicklung noch
nicht so weit ist, dass sie die Klasssifizierung
„stable“ bereits verdient. In Folsom
hat die Zahl der Kern-Komponenten zugenommen:
Neben Keystone (Autentifizierung),
Glance (Images), Nova (Cloud
Controller), Dashboard (Webinterface,
Abbildung 2 und 3) und Swift (Storage)
gehört jetzt auch Quantum dazu, das sich
umfassend um das Netz in der Cloud
kümmert, so wie Cinder, das virtuellen
Maschinen Speicher in Form von Block-
Storage zur Verfügung stellt. Doch was
tun die einzelnen Teile von Open Stack
eigentlich genau?
Keystone: Sag mir,
wer du bist
Den Anfang im Reigen macht Keystone:
Es bietet innerhalb von Open Stack ein
standardisiertes Interface zur Authentifizierung.
Dass innerhalb einer Wolke und
der dazu gehörenden Infrastruktur ein
möglichst feingranulares System der Benutzerverwaltung
nötig ist, leuchtet ein
– einerseits gibt es Admins des Cloud-
Betreibers, die sich um den administrativen
Alltag kümmern und die Cloud nötigenfalls
warten. Auf der anderen Seite
stehen die Kunden, die ihre virtuellen
Systeme und ihren Online-Speicher autonom
verwalten sollen. Beide Gruppen
sind bei Open Stack in zwei Kategorien
eingeteilt: Die Mandanten (englisch Tenants)
bilden in diesem System die Unternehmen,
die Dienste einer Cloud in
Anspruch nehmen. Die Benutzer (User)
gehören zu einem oder mehreren Tenants
und können dabei unterschiedliche Rollen
haben. So ist es beispielsweise möglich,
dass ein Benutzer für einen Tenant
als Administrator fungiert und im Namen
dieses Tenants neue virtuelle Systeme erstellen
kann, während ein anderer User
desselben Tenants nur sehen darf, welche
virtuellen Systeme bereits laufen. Die
Analogie zu anderen Rollenmodellen auf
Linux-Systemen ist dabei zulässig und
hilft, das System der Rechtevergabe von
Open Stack besser zu verstehen.
Keystone ist für alle anderen Dienste
die zentrale Anlaufstelle, wenn es um
Benutzerauthentifizierung geht. Um mit
Keystone reden zu dürfen, müssen sich
allerdings auch alle anderen Open Stack-
Komponenten erst gegenüber Keystone
mit einem Passwort authentifizieren. Das
»Admin Token«, das direkt in der Keystone-Konfigurationsdatei
»keystone.conf«
festzulegen ist, ist der Zentralschlüssel
zur Wolke – wer es kennt, kann in der
Cloud tun und lassen, was er will.
Die Keystone-Entwickler haben sich bei
ihrer Arbeit übrigens auch Gedanken
über die Anbindung an bestehende Systeme
zur Benutzerverwaltung gemacht.
Dabei spielt LDAP eine wichtige Rolle:
Wenn ein Unternehmen bereits eine komplette
LDAP-Autorisierung nutzt, lässt
sich Keystone an diese anbauen. Danach
lassen sich Benutzer Berechtigungen über
entsprechende LDAP-Flags zuweisen.
Übrigens: In Open Stack hat jedes Core-
Projekt grundsätzlich zwei Namen. Der
eine Name ist der offizielle Projektname,
der die Funktion der Komponente beschreibt
und im Falle von Keystone »Identity«
lautet. Der andere ist der Codename,
eben »Keystone«. Wer im Netz nach Informationen
über eine der Open-Stack-
Komponenten sucht, ist aber gut beraten,
nach dem Codename Ausschau zu halten:
Diese sind deutlich weiter verbreitet,
als die offiziellen Namen.
Glance: „Mit allem und
scharf“
Wer schon mal eine virtuelle Maschine
unter Linux „zu Fuß“ eingerichtet hat,
weiß, dass diese Aufgabe mühselig ist
Abbildung 1: Die gesamte Open-Stack-Entwicklung findet in Canonicals Launchpad statt, sodass schon von
Anfang an für eine enge Verzahnung mit Ubuntu quasi automatisch gesorgt ist.
www.admin-magazin.de
Admin
Ausgabe 06-2012
73

Know-how
Open Stack
und im Grunde identisch damit, ein OS
auf echtem Blech zu installieren. Das kollidiert
mit dem Anspruch, dass es auch
weniger erfahrenen Benutzern möglich
sein soll, sich neue virtuelle Systeme per
Webinterface zusammenzuklicken, um
sie anschließend in der Wolke zu nutzen.
Abhilfe schaffen die Betreiber von
Clouds, indem sie den Nutzern fertige
Abbilder von Betriebssystemen zur Nutzung
in der Umgebung zur Verfügung
stellen. Möchte ein Nutzer dann per Webinterface
eine neue VM starten, wählt er
nur noch das passende Betriebssystem-
Image aus und loggt sich kurz darauf in
seinem neuen System ein.
Glance übernimmt bei Open Stack die
Aufgabe, Betriebssystem-Abbilder zur
Verfügung zu stellen. Es besteht aus
zwei Teilen nämlich »glance‐api« und
»glance‐registry«. Die API ist das Interface
zur Außenwelt während sich
»glance‐registry« darum kümmert, vorhandene
Images zu und die dazugehörige
Datenbank zu verwalten. Glance
beherrscht eine Vielzahl von Optionen,
was das Speichern von Images angeht:
Neben der lokalen Ablage auf dem System,
auf dem Glance läuft, unterstützt
es als Storage-Backend auch Open Stack
Swift, Ceph sowie alles, was kompatibel
zu Amazons S3 ist.
Ein echtes Multitalent ist Glance im Hinblick
auf die Image-Formate, die es unterstützt:
Neben den klassischem KVM-
Format »qcow« kommt Glance ab Werk
auch mit Images für VMWare zurecht.
Grundsätzlich kann als Image für ein Betriebssystem
alles herhalten, was sich auf
einem echten x86-Server booten ließe.
Voraussetzung dafür ist lediglich, dass
das Image ein echtes Abbild einer Festplatte
inklusive Master-Boot-Record ist.
Wer schon Images für Amazons AWS gebaut
hat, kann diese ebenfalls in Glance
verwenden und auch das Feature nutzen,
unterschiedliche Disk-Images mit jeweils
anderen Kerneln zu booten – zumindest
bei Linux-Images.
Netzwerkmanagement
Abbildung 2: Das Dashboard ist die zentrale Benutzerschnittstelle. Vorhandene VMs, die hier Instanzen
heißen, lassen sich löschen und starten.
Seit dem Folsom-Release ist das Netzwerkmanagement
in Open Stack der Job
von Quantum. Bis einschließlich Open
Stack 2012.1 („Essex“) galt Quantum als
Incubated Project, nun halten die Entwickler
es reif für den Einsatz in Produktionsumgebungen.
Quantum kümmert
sich um verschiedene Probleme, die im
Kontext der Servervirtualisierung hinsichtlich
des Netzwerks durch den ISP
zu lösen sind. So wird eine neue virtuelle
Maschine üblicherweise eine IP-Adresse
brauchen, wobei es sich entweder um
eine private oder um eine öffentliche IP-
Adresse handeln kann. Überdies ist es
wünschenswert, einzelne Tenants voneinander
beispielsweise durch VLANs
zu trennen. Damit ist sichergestellt, dass
eine Firma jeweils nur Zugriff auf ihre
eigenen VMs bekommt und nicht etwa
auf die VMs anderer Unternehmen, die
auf demselben Virtualisierungsknoten
laufen. Quantum kümmert sich um eben
diese Aufgaben.
Es ersetzt damit die alte Netzwerkimplementation
»nova‐network«, die zur
Computing-Komponente Nova gehörte
(Abbildung 4, hierzu später mehr). Technisch
ist die Lösung ausgefuchst: Quantum
macht sich neue Technologien wie
Openvswitch [1] zunutze, um die physische
Netzwerkkonfiguration komplett
von der virtuellen Netzwerkkonfiguration
zu trennen. Auf jedem Hypervisor läuft
ein entsprechendes Quantum-Plugin,
das mit der Quantum-Server-Instanz von
Open Stack kommuniziert und von dort
seine Konfiguration erhält. Zum Virtualisierer
hin verhält sich jenes Plugin
wie ein echter Switch: VMs, deren Netzwerkinterface
mit solch einem virtuellen
Switch verbunden ist, lassen sich über
verschiedene Hypervisor-Knoten hinweg
beliebig verbinden. Auch eine virtuelle
VLAN-Konfiguration ist möglich, wenn
Kunden ihre eigene Netzwerktopologie
implementieren möchten. War zuvor lediglich
die Trennung in unterschiedliche
VLANs auf Hardware-Ebene machbar,
um Kunden voneinander zu trennen,
so übernimmt jetzt diese gesamte Konfiguration
Quantum. Und Openvswitch
ist nicht das einzige von Quantum unterstützte
Protokoll: Auch Ciscos UCS/
Nexus-Implementierung kennt der Dienst
bereits, sodass er zusammen mit passender
Hardware deren Fähigkeiten voll
ausnutzen kann.
Cinder: Ein Blockspeicher
für VMs
Virtuelle Maschinen innerhalb einer
Cloud-Umgebung benötigen persistenten
Speicher in Form von Blockdevices, die
als Festplatten dienen. Allerdings läuft die
typische Architektur von Storage der Idee
hinter einer Wolke im Grunde komplett
zuwider. Denn während in einem Cloud-
Setup eine große Zahl gleichwertiger
Knoten vorhanden ist, ist Storage meist
an einer Stelle zentral zusammengefasst.
An dieser Stelle kommt Cinder ins Spiel:
Es sorgt dafür, das zentral verwalteter
Speicher portitioniert als Festplatte bei
den virtuellen Maschinen innerhalb der
Wolke ankommt. Auch Cinder war in
der Vorgängerversion „Essex“ noch fixer
Bestandteil der Computing-Komponente
Nova und hat erst in Folsom den Einzug
als Core-Projekt in Open Stack geschafft.
Es kommt mit mehreren Storage-
Backends zurecht: Block-Speicher, der
Teil einer LVM-Volume-Group ist, stellt
die Standard-Konfiguration dar; das deckt
insbesondere per Fibre Channel angebundene
SANs oder DRBD-Setups ab. Diese
74 Ausgabe 06-2012 Admin www.admin-magazin.de

3 Ausgaben
für nur 5,90 E
Jetzt bestellen: 3 Hefte zum Preis von einem. Sie sparen 66 %!
Kennenlernangebot:
3 Ausgaben
für nur 5,90 E
Jetzt bestellen unter:
www.android–user.de/miniabo
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

Know-how
Open Stack
rauf hinaus, dass Open Stack sich an
vorhandene Billing-Systeme nahtlos anschließen
lässt, um die durch Benutzer in
Anspruch genommenen Dienstleistungen
automatisch zu verrechnen.
Object Storage mit Swift
Abbildung 3: Das Dashboard bietet auch eine Kurzübersicht über die Ressourcen, die ein Benutzer innerhalb
eines definierten Zeitraums verwendet hat.
Die schönste Cloud-Umgebung ist nichts
wert, wenn Nicht-Nerds sie nicht bedienen
können. Das Open-Stack-Dashboard,
Codename Horizon, kümmert sich genau
darum: Es ist bietet ein Self-Service-Portal,
das genauso wie alle anderen Open
Stack-Teile in Python geschrieben ist
(Stichwort Django) und den Benutzern
einer Open-Stack-Installation den Start
von VMs per Mausklick aus dem Webbrowser
ermöglicht. Voraussetzung dafür
ist lediglich ein WSGI-fähiger Webserver,
beispielsweise Apache mit geladenem
»mod_wsgi«.
Ebenfalls sinnvoll ist die Kombination des
Dashboards mit »memcached«, um Performance-Engpässen
vorzubeugen. Aus
Nutzersicht lassen sich mit dem Dashboard
nicht bloß VMs starten und stoppen,
sondern auch Images in Glance von
laufenden VMs anlegen und Hardware-
Profile für virtuelle Systeme verwalten.
Auch eine rudimentäre Statistik-Funktion
ist vorhanden, deren Ausbau zu einer
vollständigen Billing-API zur Diskussion
steht. Letztlich läuft die Entwickler dawerden
mittels iSCSI vom Storage-Host
zu den Computing-Nodes verbunden,
wo sie über KVMs Hotplug-Funktion
dann zum Bestandteil einer virtuellen
Maschine werden. Wer stattdessen lieber
auf Ceph setzt, bekommt ein natives
Ceph-Interface mitgeliefert. Cinder ist
auch eines der Projekte in Open Stack,
deren Funktionsumfang in den nächsten
Monaten beträchtlich wachsen wird,
um weitere Storage-Backends nativ zu
unterstützen. So ist beispielsweise eine
direkte Fibre Channel-Anbindung in der
Diskussion, die sich den Umweg über
den Blockdevice-Layer spart.
Das Hirn der Wolke: Nova
Open Stack Compute, Codename Nova,
ist die zentrale Computing-Komponente.
Weil Cinder (vormals »nova‐volume«)
und Quantum (als Ersatz für »nova‐network«)
seit der Folsom-Release in ihre
eigenen Projekte ausgelagert sind, kann
Nova sich ausschließlich darum kümmern,
die virtuellen Systeme innerhalb
einer Openstack-Umgebung zu verwalten.
Es spannt den Bogen um alle anderen
Komponenten und kümmert sich darum,
das virtuelle Maschinen in der Wolke
gestartet und gestoppt werden, wenn Benutzer
entsprechende Befehle per Kommandozeile
oder Webinterface geben.
Der Dienst ist modular: Neben »nova‐api«
als Frontend gehört auch die eigentliche
Computing-Komponente »nova‐compute«
direkt zu Nova. »nova‐compute« läuft auf
jedem Virtualisierungsknoten und wartet
auf entsprechende Anweisungen von
der API-Komponente. Teil von Nova ist
überdies der Scheduler »nova‐schedule«,
der weiß, welche Hypervisor-Knoten
vorhanden sind, und welche VMs wo
in der Wolke laufen. Soll eine neue VM
hinzukommen, entscheidet eben dieser
Scheduler, auf welchem Host sie laufen
soll. Übrigens: »nova‐compute« setzt im
Hintergrund auf die erprobte »libvirt«,
um virtuelle Systeme zu verwalten. Es ist
den Open Stack-Entwicklern hoch anzurechnen,
dass sie das Rad an dieser Stelle
nicht neu erfunden haben und stattdessen
auf bewährte Technologien setzen.
Das Dashboard
Die sechs zuvor beschriebenen Komponenten
bilden den Kern von Open Stack,
der sich um das Thema Virtualisierung
kümmert. Wie eingangs erwähnt ist aber
auch der Faktor Storage durchaus von
Interesse: Speicherlösungen wie Dropbox
oder Amazons EC2 gehören ebenso zur
Cloud wie virtuelle Maschinen. In Open
Stack kümmert sich um diesen Teil Swift.
Swift stammt ursprünglich von Rackspace
und ist der Part, den der amerikanische
Riesenhoster – als Heimat von Github
bekannt – in das Projekt eingebracht hat.
Bei Rackspace ist Swift bereits seit einiger
Zeit produktiv im Einsatz, sodass es vielen
Entwicklern bis heute als die ausgereifteste
Open-Stack-Komponente gilt.
Unter der Haube funktioniert Swift dabei
ganz ähnlich wie Ceph: Sämtliche
Dateien, die in Swift abgelegt sind, wandelt
das Programm in binäre Objekte
um, die dann über einen großen Cluster
von Storage-Knoten verteilt und dabei
inhärent repliziert werden. Weil Swift ein
Kompatibilitätsinterface für Amazons S3-
Protokoll hat, funktionieren alle für S3
entwickelten Tools ebenfalls mit Swift.
Wer also in Open-Stack-Manier Online-
Speicher anbieten möchte, bekommt vom
Open-Stack-Projekt das richtige Werkzeug
an die Hand: Swift.
Was es sonst noch braucht
Zu jeder Open-Stack-Installation gehören
zwei Komponenten, die nicht unmittelbar
Teil von Open Stack sind: MySQL und
RabbitMQ. MySQL setzen sämtliche Open
Stack-Komponenten mit Ausnahme von
Swift ein, um ihre internen Datenbanken
zu pflegen. Weil alle Open-Stack-Komponenten
in Python geschrieben sind,
haben die Entwickler auf das Python-
Modul »sqlalchemy« gesetzt, um die Datenbankzugriffe
aus ihren Applikationen
heraus umzusetzen. Zwar unterstützt
»sqlalchemy« auch andere Datenbanken
wie PostgreSQL, nahezu sämtliche Open-
Stack-Installation dürften gegenwärtig
76 Ausgabe 06-2012 Admin www.admin-magazin.de

Computerwissen für Praktiker
Bekannt für Qualität
Christoph Willer
PC-Forensik
Daten suchen und wiederherstellen
Lehr- und Arbeitsbuch zur Analyse
von PCs mit Windows- und Linux-
Werkzeugen.
• 510 Seiten • ISBN 978-3-936546-60-6
• EUR 49,90 (D)
Thomas Werth
Penetrations-Tests
Angriffe auf Dienste, Programme
und Netzwerke
Firewalls überwinden, SAP-Systeme
kompromittieren, Webbrowser
überlisten und Backdoors
implementieren.
• 703 Seiten
• ISBN 978-3-936546-70-5
• EUR 49,90 (D)
Michael Van Canneyt et al.
Lazarus
Klassenbibliothek und IDE
Plattformübergreifende GUI-Entwicklung
für Windows, Mac und
Linux mit Pascal.
• 768 Seiten
• ISBN 978-3-936546-63-7
• EUR 49,90 (D)
Dr. Rolf Freitag
Die Kunst des Verdeckens
Daten verschleiern, verschlüsseln,
zerstören
Alle clientseitigen Maßnahmen, den
Computer und seine Inhalte vor
Diebstahl und Spionage zu schützen.
• 366 Seiten
• ISBN 978-3-936546-65-1
• EUR 29,90 (D)
Probekapitel und Inhaltsverzeichnisse finden Sie auf www.cul.de. Falls das gewünschte Buch in
der Buchhandlung gerade nicht vorrätig ist, bestellt sie es portofrei innerhalb von 24 Stunden.
Jörg Braun
Das VirtualBox-Buch
Hosts und Gäste
Korrekte Integration und direkter
Datenaustausch für MacOS-,
Windows- und Unix-Gäste.
• 368 Seiten • CD-ROM
• ISBN 978-3-936546-71-2
• EUR 34,90 (D)
Unser Gesamtprogramm
finden Sie unter:
Computer & Literatur Verlag
C&L-Bücher erhalten Sie im gut sortierten Buch- und Fachhandel oder über
www.cul.de
HAWA & NÖH

Know-how
Open Stack
Abbildung 4: Nova besteht nicht nur aus »nova‐api« und »nova‐compute«, sondern aus einer ganzen Reihe von Zusatzdiensten.
allerdings auf MySQL bauen – was der
offiziellen Dokumentation entspricht.
RabbitMQ ist der Teil des Setups, der
insbesondere Nova und Quantum dazu
dient, die Kommunikation über alle Knoten
des Virtualisierungsetups hinweg zu
realisieren. Wer Erlang nicht mag oder
mit RabbitMQ bereits schlechte Erfahrungen
gemacht hat, kann alternativ auch
auf eine andere Umsetzung des AMQP-
Standards vertrauen: Auch mit Qpid
funktioniert Open Stack sehr gut.
Das leidige Thema
Hochverfügbarkeit
Die vorangegangene Aufzählung hat bewiesen:
Sämtliche Komponenten, die in
einer modernen Wolke nötig sind, bietet
Open Stack grundsätzlich an. Ein Test des
Autors dieses Artikels im Linux-Magazin
12/​11 [2] förderte damals jedoch einen
echten Makel zutage. Denn im Hinblick
auf Hochverfügbarkeit schlug die junge
Cloud-Umgebung sich alles andere als
wacker. Faktisch fehlten nutzbare HA-
Lösungen für Open Stack damals vollständig:
Ein abgestürzter Hypervisor, der
etliche VMs mit in den Abgrund gerissen
hat, war der Umgebung seinerzeit
genauso gleichgültig wie die Tatsache,
dass eine der Kernkomponenten – Nova,
Glance, Keystone & Co. – das Zeitliche
gesegnet hatten.
Dabei sind brauchbare Werkzeuge vorhanden,
um auf Linux-Systemen Hochverfügbarkeit
zu gewährleisten. In Form
des Linux-HA Cluster-Stacks steht ein
kompletter HA-Werkzeugkasten parat,
der im Kontext von Open Stack nur auf
seinen Einsatz wartete.
Ein knappes Jahr nach dem ersten Test
stellt sich die Situation dann auch nicht
mehr ganz so trist dar: Spezifische Resource
Agents, die die einzelnen Open-
Stack-Teile in Pacemaker nutzbar machen,
stehen mittlerweile in Form des
»openstack‐resource‐agents«-Repositories
zur Verfügung [3].
Dem Aufruf des Autors dieses Artikels,
der die ersten Agents für »keystone«
und die beiden Teile von Glance entwarf
[4], folgten insbesondere die beiden aus
Frankreich stammenden Entwickler Emilien
Macchi und Sebastien Han, die nach
und nach Agents für die anderen Dienste
beisteuerten. So ist es nun kein Problem
mehr, alle Kern-Dienste von Open Stack
durch Pacemaker verwalten und überwachen
zu lassen (Abbildung 5). Hinzu
kommt die Tatsache, dass die einzelnen
Dienste durchaus auch verteilt laufen
können: Nicht alle Kern-Komponenten
müssen auf dem gleichen System wohnen,
solange sie per Netzwerk miteinander
verbunden sind. Theoretisch wäre
es sogar denkbar, Instanzen aller Kern-
Projekte auf jedem Knoten einer Open
Stack-Wolke zubetreiben, solange diese
auf dieselbe hochverfügbare MySQL-
Datenbank und auf denselben RabbitMQ
Zugriff haben.
Noch nicht ganz so rosig verhält es sich
hingegen mit Hochverfügbarkeit für virtuelle
Maschinen. Bei dieser Frage prallen
zwei Philosophien hart aufeinander,
nämlich die amerikanische und die europäische
Idee dessen, wofür eine Cloud
eigentlich gut ist.
Denn in Amerika gilt die Wolke vor allem
als Werkzeug zum Schaffen von massiv
skalierenden IT-Setups. Ein klassisches
Beispiel ist der berühmte Versandhändler,
der zur Weihnachtszeit deutlich mehr
Last abfedern muss, als während des
übrigen Jahres. Wenn er mit mehr Last
zurechtkommen muss, startet er einfach
neue virtuelle Maschinen, auf die weitere
Last verteilt wird. Die Voraussetzung dafür,
dass dieses Prinzip funktioniert, ist,
dass einzelne VMs keine veränderlichen
Daten enthalten, sondern dass sämtliche
virtuellen Instanzen stets aus dem
gleichen Image stammen. Und wenn, so
die Logik, alle VMs aus dem gleichen
Image bestehen, dann fällt es nicht weiter
ins Gewicht, wenn eine einzelne virtuelle
Maschine den Geist aufgibt. Denn
im Handumdrehen lässt sich ja aus dem
laufenden Betrieb heraus eine neue VM
schaffen, welche die alte, nun ausgefallene
VM vollständig ersetzt.
Abbildung 5: Neben den Agents für Keystone und Glance stehen mittlerweile auch für alle anderen Open-
Stack-Komponenten Resource Agents für Pacemaker bereit.
78 Ausgabe 06-2012 Admin www.admin-magazin.de

Im europäischen Kontext liegen die Dinge
anders. Hierzulange verbinden Anbieter
von IT-Infrastruktur mit der Einführung
einer Cloud-Lösung fast immer das
Stichwort Rechenzentrumskonsolidierung.
Gemeint ist, das viel Blech durch
weniger Blech ersetzt wird, das die vormals
physischen Systeme dann in Form
virtueller Maschinen weiter betreibt.
Die vormals erwähnte Scale-Out-Logik
funktioniert hier nicht mehr: Spezifische
Kunden-Systeme sind nicht generisch,
enthalten veränderliche Daten und lassen
sich nicht zu einem späteren Zeitpunkt
problemlos durch eine neue Instanz aus
dem frischen Image ersetzen. In diesem
Szenario schmerzt der Ausfall einer VM
oder eines Hypervisors mit vielen VMs
deutlich heftiger.
VM-HA? Cinder zur Hilfe
Auch beim Thema Hochverfügbarkeit
virtueller Maschinen steht die Zeit zum
Glück nicht still, und ein großer Pferdefuß
bei der Implementation einer entsprechenden
Routine – die nicht-HA-fähige
Implementierung des alten »nova‐volume«
– ist im Begriff zu verschwinden:
Cinder soll einige der konzeptionellen
Schwierigkeiten seines Vorgängers ausbügeln
und es so sehr viel einfacher gestalten,
Storage-Volumes hochverfügbar
zu machen.
Bisher scheiterten hochverfügbare Volumes
bereits daran, dass sich »nova‐volume«
nicht flexibel auf dem einen oder
dem anderen Knoten eines Clusters starten
ließ, weil in der zu Nova gehörenden
MySQL-Datenbank der Hostname des exportierenden
Servers vermerkt war. Wenn
ein Volume also erstmals von »server1«
exportiert worden war, konnte »nova‐volume«
das gleiche Volume nicht von »server2«
exportieren, selbst wenn die Daten
durch ein SAN oder ein DRBD-Laufwerk
lokal durchaus vorhanden waren.
Cinder wird dieses Problem wohl spätestens
bis zur nächsten Open-Stack-Version
namens »Grizzly« behoben haben. Wer
statt einer Blockdevice-basierten Methode
auf Ceph als Storage-Backend für
»Cinder« setzt, hat das Problem schon
seit einigen Monaten ohnehin nicht
mehr. Letztlich fehlt also bloß noch der
Teil in »nova‐compute«, der sich darum
kümmert, das VMs von einem ausgefal-
lenen Hypervisor auf einem anderen neu
gestartet werden. Es steht zu vermuten,
dass die Open Stack-Entwickler auch
dieses Problem während des nächsten
Release-Zyklus angehen werden.
Ein Ausblick für Open Stack
Während die ADMIN-Redaktion im Oktober
mit der Produktion dieses Heftes
beschäftigt war, trafen sich in San Diego
die Open-Stack-Entwickler, um den Startschuss
für den nächsten Release-Zyklus
zu geben. Open Stack ist im Augenblick
sicher von allen Cloud-Umgebungen im
FOSS-Umfeld am aktivsten: Das Projekt
ist praktisch ständig in den einschlägigen
Foren als Thema und als Beschäftigungsfeld
präsent.
Dass es im Aufwind ist, zeigt auch die
erst vor ein paar Wochen erfolgte Gründung
der Open Stack Foundation: Sie
soll Open Stack einerseits einen formaleren
Rahmen als bisher geben, andererseits
aber auch den Grundstein für
ein Sponsoring-Programm legen. Dieses
soll über Mitgliedschaften große Unternehmen
dazu bringen, im Tausch gegen
Bares eine hervorgehobene Position in
der Open-Stack-Entwicklung zu erhalten.
Das so eingenommene Geld soll freilich
der Entwicklung und weiteren Promotion
von Open Stack zugute kommen. Wer in
der Open-Stack-Szene aktiv ist, wird also
auch in naher Zukunft einige aufregende
Ereignisse erleben. (jcb)
n
Infos
[1] Ralf Spenneberg, „Schaltstelle“, Virtueller
Switch mit Openvswitch, ADMIN 02/2011
[2] Martin Loschwitz, „Dunkle Wolken“: Linux-
Magazin 12/​11, S. 22
[3] Das Openstack-Resource-Agents-
Repository: [https:// github. com/ madkiss/​
openstack‐resource‐agents]
[4] Resource-Agent-Announcement von Martin
Loschwitz: [http:// www. hastexo. com/​
blogs/ martin/ 2012/ 04/ 03/ bringing‐high‐av
ailability‐openstack‐keystone‐and‐glance]
Der Autor
Martin Gerhard Loschwitz arbeitet als Principal
Consultant bei hastexo. Er beschäftigt sich dort
intensiv mit Hochverfügbarkeitslösungen und
pflegt in seiner Freizeit den Linux-Cluster-Stack
für Debian GNU/​Linux.
Linux-Magazin
ACADEMY
Online-Training
Prüfungsvorbereitung
für LPIC 1 & 2
Besorgen Sie sich
Brief und Siegel
für Ihr Linux-
Knowhow mit der
LPI-Zertifizierung.
- Training für die Prüfungen LPI
101 und 102
- Training für die Prüfungen LPI
201 und 202
SPAren SIe MIt
PAketPreISen
JETZT MIT NEUEN
LErNZIELEN! *
*ANpAssUNg dEr LErNZIELE 2012
20%
Rabatt für
Abonnenten
Auszug aus dem Inhalt:
❚ Hardware-Einstellungen,
Paketverwaltung
❚ Arbeiten auf der
Kommandozeile
❚ Partitionen und Dateisysteme
❚ Shell-Umgebung
❚ Netzkonfiguration und
-verwaltung
❚ Protokolle
❚ DNS-Server einrichten und
verwalten
❚ Verschlüsselung und
Rechteverwaltung
❚ Kernel kompilieren und
patchen
❚ RAID-Konfiguration,
Logical Volume Manager
❚ Web-, Proxy-, Samba-Server
Mit vielen Praxisbeispielen!
www.admin-magazin.de
Information und Anmeldung unter:
Ausgabe 06-2012
academy.linux-magazin.de/lpic79

Security
Windows-Firewall
Die erweiterte Sicherheit der Windows-Firewall
Sicher ist sicherer
Die Windows-Firewall mit erweiterter Sicherheit ist seit Vista/​Windows Server 2008 mit an Bord und standardmäßig
aktiviert. Gegenüber der alten Windows-Firewall bringt sie viele neue Features und Möglichkeiten. Was die
neue Windows-Firewall wirklich kann und was nicht, klärt dieser Artikel. Eric Amberg
Als Desktop-Firewall hat die Windows-
Firewall die Aufgabe, den eigenen Computer
zu schützen. Darin unterscheidet
sie sich grundsätzlich von Netzwerk-
Firewalls, die den Daten-Verkehr zwischen
Netzwerken kontrollieren. Damit
ergeben sich bestimmte Funktionsanforderungen.
Die Hauptaufgabe lautet natürlich,
unerwünschten Daten-Verkehr
von außen zu unterbinden. Diesen Job
erledigte auch die alte Firewall anstandslos.
Darüber hinaus bietet die Windows-
Firewall mit erweiterter Sicherheit jedoch
viele neue Funktionen. Zum Beispiel
n Steuerung des ausgehenden Datenverkehrs
n Komplexe Regeln für ein- und ausgehenden
Verkehr
n Profilbasiertes Regelwerk
n Signierte und verschlüsselte Kommunikation
Der Anwender hat die Wahl zwischen
der einfachen Firewall-Ansicht und dem
Snap-In »Windows‐Firewall mit erweiterter
Sicherheit«. Die einfache Ansicht
rufen Sie über die Systemsteuerung über
das Symbol »Windows‐Firewall« auf. Hier
werden Sie auch gleich mit dem Konzept
der Netzwerkstandorte konfrontiert, da
die Konfiguration der Windows-Firewall
für jeden Standort-Typ einzeln festgelegt
werden kann (Abbildung 1). Weiter unten
werden die Standorte erläutert.
Die Standard-Konfiguration der Windows-
Firewall kann in der einfachen Ansicht
über den Menüpunkt »Ein Programm
oder Feature durch die Windows‐Firewall
zulassen« angepasst werden. Hier klicken
Sie zunächst auf »Einstellungen ändern«.
Nun wird das darunter liegende Auswahlfenster
aktiv, sodass Sie entweder aus
der vorhandenen Liste die gewünschten
Programmme und Features durch Setzen
der entsprechenden Häkchen auswählen
oder über den Button »Anderes Programm
zulassen ...« ein Programm auswählen
können, das durch die Windows-Firewall
kommunizieren darf (Abbildung 2). Da
in der Voreinstellung ohnehin jedes Programm
Verbindungsanfragen senden
darf, bezieht sich dieser Punkt insbesondere
auf eingehende Verbindungsanforderungen,
die grundsätzlich nicht erlaubt
sind, bevor keine entsprechende Regel
erstellt wurde.
Sie können in der einfachen Firewall-Ansicht
auch grundsätzlich die Windows-
Firewall ein- und ausschalten, auch
jeweils für die Netzwerkstandorte. Die
temporäre Deaktivierung der Firewall ist
insbesondere zu Testzwecken sinnvoll,
wenn Sie beispielsweise ausschließen
möchten, dass eine Kommunikation
durch die Firewall geblockt wird und daher
nicht zustande kommt.
Hierzu gibt es übrigens noch einen interessanten
Trick: Möchten Sie ermitteln,
ob ein Computer im selben Subnetz nicht
mit Ihrem lokalen System kommuniziert,
weil eine Firewall die Kommunikation
blockt, können Sie den gewünschten
Kommunikationspartner kontaktieren,
80 Ausgabe 06-2012 Admin www.admin-magazin.de

Windows-Firewall
Security
zum Beispiel per Ping-Befehl, der gegebenenfalls
nicht beantwortet wird.
Anschließend werfen Sie einen Blick in
den ARP-Cache mit »arp ‐a«. Dies zeigt
die Zuordnung der IP-Adressen zu den
entsprechenden MAC-Adressen an. Wird
die MAC-Adresse des Zielsystems korrekt
angezeigt, ist in fast allen Fällen eine
Firewall der Schuldige. Wird die MAC-
Adresse allerdings nicht angezeigt, ist das
Zielsystem vermutlich tatsächlich nicht
aktiv. Dies funktioniert allerdings nur in
lokalen Netzen und nicht über Router-
Grenzen hinweg.
Ansichtssache
In der einfachen Ansicht können Sie die
Standard-Konfiguration der Windows-
Firewall wiederherstellen, falls Sie dies
wünschen. Hierzu klicken Sie auf den
entsprechenden Punkt in der Menüleiste.
Dies wirkt sich auf alle Netzwerk-Standorteinstellungen
aus und setzt sämtliche
Firewall-Einstellungen wieder auf den
Auslieferungszustand zurück. Außerdem
können Sie die Benachrichtigungseinstellungen
ändern. Klicken Sie auf diesen
Menüpunkt, öffnet sich jedoch dasselbe
Menüfenster, wie unter dem Punkt »Windows-Firewall
ein- oder ausschalten«. Die
einzige Einstellung, die bezüglich der Benachrichtigung
möglich ist, ist die Aktivierung
der Benachrichtigung, wenn ein
neues Programm blockiert wird. Achten
Sie darauf, dass Sie über den Zurück-
Button in die Hauptansicht kommen, da
hier kein separates Fenster geöffnet wird.
Klicken Sie in diesem Untermenü auf
»Schließen«, wird die gesamte Firewall-
Ansicht inklusive der Systemsteuerung
geschlossen.
Zur Windows-Firewall mit erweiterter Sicherheit
gelangen Sie entweder über den
Menüpunkt »Erweiterte Einstellungen«
aus der Standard-Ansicht oder Eingabe
von »wf.msc« im Kombinationsfeld des
Startmenüs. Es öffnet sich eine Management-Konsole
(MMC), die die übliche
Dreiteilung aufweist: Links befindet sich
das Menü, rechts die Aktionsmöglichkeiten
und in der Mitte das Hauptfenster mit
den Inhalten entsprechend des Kontextes
(Abbildung 3). Die erste Übersicht zeigt
die Konfiguration der einzelnen Netzwerkstandorte,
die hier als »Profile« bezeichnet
werden.
Netzwerkstandorte und
Profile
Irritierenderweise werden die Netzwerkstandorte
auch als Netzwerkadressen
bezeichnet, so zum Beispiel in der Windows-Hilfe.
Bei einem Netzwerkstandort
beziehungsweise einer Netzwerkadresse
in diesem Sinne handelt es sich um Sicherheitseinstellungen,
die automatisch
aktiv werden, wenn der Computer an
ein Netzwerk angeschlossen wird. Dabei
werden vier Netzwerkstandorte unterschieden:
n Heimnetzwerk: Diese Konfiguration
sollte nur in sehr vertrauenswürdigen
Umgebungen aktiviert werden. Hier
kann eine Heimnetzgruppe erstellt
werden, die weitgehend ungeschützten
Zugang zu persönlichen Ordnern
auf anderen Computern derselben
Heimnetzgruppe ermöglicht. Die
Heimnetzgruppe ist eine Art Minidomäne
für zu Hause.
n Arbeitsplatznetzwerk: Für kleine
Firmennetzwerke gedacht, ist diese
Standort-Konfiguration ebenfalls für
vertrauenswürdige Umgebungen geeignet.
Der Zugriff auf Freigaben ist
möglich, die Mechanismen der Netzwerkerkennung
sind aktiv, sodass
der Computer im Netzwerk gefunden
werden und andere Computer finden
kann.
n Öffentliches Netzwerk: Befindet sich
der Computer in einem ungeschützten,
öffentlichen Netzwerk, ist diese
Standort-Konfiguration sinnvoll, um
den Zugriff von außen auf den Computer
effektiv zu unterbinden. Hier ist
die Netzwerkerkennung deaktiviert,
und Zugriffsversuche von außen sind
unterbunden.
n Domäne: Diese Netzwerk-Konfiguration
wird automatisch aktiviert, wenn
der Computer einer Active Directory-
Domäne beitritt. Sie wird vom Administrator
der Domäne gesteuert und
kann nicht ausgewählt werden.
Die Auswahl des gewünschten Netzwerkstandorts
geschieht über das Netzwerkund
Freigabecenter. Hier ist es möglich,
unter »Aktive Netzwerke anzeigen« den
Netzwerktyp anzupassen. Während die
Netzwerkstandort-Einstellungen diverse
Mechanismen umfassen, bezeichnet das
Profil der Firewall die Einstellungen der
Windows-Firewall.
Alle Regeln lassen sich separat für einzelne
Profile aktivieren oder deaktivieren.
Hierbei werden die Einstellungen für
das Heimnetzwerk und das Arbeitsplatz-
Abbildung 1: Die Konfiguration der Windows-Firewall kann für jeden Standort-Typ
festgelegt werden, etwa das »Heim‐ oder Arbeitsplatznetzwerk«.
Abbildung 2: Die Kommunikation mit der Außenwelt lässt sich auf Basis von
Protokollen und Programmen steuern.
www.admin-magazin.de
Admin
Ausgabe 06-2012
81

Security
Windows-Firewall
Abbildung 3: Die Management-Konsole zeigt hier die Regeln für den eingehenden Datenverkehr.
netzwerk allerdings als »Privates Profil«
zusammengefasst.
Das Grundverhalten der Windows-
Firewall lässt sich über die Eigenschaften
für jedes Profil einstellen. Hierzu wählen
Sie im Kontextmenü des obersten
Symbols aus dem Menü links den Punkt
»Eigenschaften« aus. In den Grundeinstellungen
können Sie zum Beispiel festlegen,
wie sich die Firewall verhält, wenn
ein- oder ausgehende Verbindungen nicht
von einer Regel explizit erfasst wurden.
Dies wird auch als »Standardregel« bezeichnet.
Standardmäßig werden alle eingehenden
Verbindungen grundsätzlich
geblockt, während ausgehende Verbindungen
erlaubt sind (Abbildung 4).
Abbildung 4: In den Grundeinstellungen erlaubt die
Firewall ausgehende Verbindungen und blockiert alle
eingehenden.
Es gibt grundsätzlich drei Bereiche, in
denen Sie die Firewall-Regelwerkseinstellungen
ändern können:
n Eingehende Regeln: Diese Regeln beziehen
sich auf alle Kommunikationsanfragen
von außen.
n Ausgehende Regeln: Diese Regeln
steuern, welche Kommunikation vom
Rechner ausgehen darf.
n Verbindungssicherheitsregeln: Dieser
Bereich ermöglicht Einstellungen für
Kommunikation, die authentisiert
und/​oder verschlüsselt werden soll.
Das Hauptfenster zeigt alle vorhandenen
Regeln an, die für den entsprechenden Bereich,
zum Beispiel »Eingehende Regeln«,
erstellt wurden. Dabei existieren diverse
Abbildung 5: Bestehende Regeln lassen sich mit
einem Klick aktivieren, wie hier die Firewall für den
Branche-Cache.
von Windows bereits vorgefertigte Regeln.
Die Übersicht enthält ziemlich viele
Spalten, die die Einstellungen für jede
einzelne Regel bereits in der Übersicht
zeigen. Die Aktion einer Regel besteht
aus einer der folgenden Möglickeiten:
n zulassen
n blockieren
n zulassen, wenn sie sicher ist
Welche Aktion vorgesehen ist, zeigt das
Symbol in der ersten Spalte vor dem Regelnamen.
Dabei wird zwischen aktiven
und nicht aktiven Regeln unterschieden.
Bei nicht aktivierten Regeln ist das Symbol
ausgegraut. Gerade hiervon existieren
in der Grundeinstellung etliche Regeln
für diverse Einsatzzwecke, die Sie bei
Bedarf aktivieren können. Dazu klicken
Sie doppelt auf die Regel und setzen das
Häkchen vor »Aktiviert« (Abbildung 5).
Programme können bei der Installation
eigene Regeln einfügen. So fügen zum
Beispiel Spiele regelmäßig diverse Regeln
zum Regelwerk für eingehende Regeln
hinzu. Auf Windows-Servern werden
Regeln bei der Installation der verschiedenen
Server-Dienste hinzugefügt. Damit
ist es je nach Szenario und Umgebung
möglich, dass Sie als Admininstrator nur
sehr selten tatsächlich manuell Regeln
hinzufügen müssen.
Eine neue Regel erstellen
Um zum Beispiel eine eingehende Regel
hinzuzufügen, wählen Sie im Kontextmenü
des Menüpunktes »Eingehende
Regeln« den Punkt »Neue Regel«. Grundsätzlich
können Sie entscheiden, ob sich
die Regel auf das Zulassen oder Blocken
eines Programms oder eines Ports beziehen
soll. Ein zugelassenes Programm darf
sich an beliebige Ports binden und von
außen über beliebige Wege angesprochen
werden.
Alternativ dazu können Sie auch aus einer
Liste vordefinierter Regeln eine passende
auswählen (Abbildung 6). Dies
ist zum Beispiel bei der Aktivierung des
Branch-Cache-Features sinnvoll. Auf alle
Konfigurationsmöglichkeiten können Sie
allerdings nur zugreifen, wenn Sie »Benutzerdefiniert«
auswählen. Hier können
Sie zunächst auswählen, ob sich die Regel
auf ein bestimmtes Programm beziehen
oder programmunabhängig sein soll.
Als Nächstes wählen Sie entweder einen
82 Ausgabe 06-2012 Admin www.admin-magazin.de

Windows-Firewall
Security
Protokolltyp (zum Beispiel TCP, UDP
oder ICMP) aus oder belassen den Protokolltyp
auf »Alle«. Je nach Auswahl aktiviert
oder deaktiviert die Eingabemaske
die protokollspezifischen Informationen.
So können Sie im Protokoll ICMP natürlich
keine Ports auswählen. Umgekehrt
können Sie keine ICMP-Einstellungen für
TCP oder UDP vornehmen.
IPv4 und IPv6
Das nächste Dialogfenster ermöglicht die
Auswahl von Quell- und Zieladressen, die
hier als »lokal« und »remote« bezeichnet
werden. In der Regel ist nur die Einschränkung
der Remote-Adressen relevant.
In das Eingabefeld können sowohl
IPv4- als auch IPv6-Adressen eingetragen
werden. Dabei kann es sich um eine
Hostadresse oder eine Netzadresse handeln.
Auch Adressbereiche sind möglich.
Beispiele sind unter dem Eingabefeld
angezeigt. Schließlich muss die Aktion
(siehe oben) festgelegt werden. Die Regel
benötigt nun noch eine Zuordnung zu
den Profilen und einen Namen. Anschließend
erscheint die fertige Regel in der
Regelliste ganz oben. Dies ist jedoch nur
jetzt der Fall.
Sobald das Snap-In erneut aufgerufen
beziehungsweise nach einer Spalte
sortiert wird, ordnet sich die Regel entsprechend
ein. Im Übrigen gibt es für
vordefinierte Windows-Regeln eine Gruppenzuordnung,
die in der zweiten Spalte
erscheint. Damit können Sie zum einen
zusammengehörige Regeln entsprechend
nach der Gruppe sortiert anzeigen lassen
und zum anderen Regeln einer Gruppe
einfach steuern, zum Beispiel mithilfe
der Netshell (»netsh«) aktivieren oder deaktivieren.
Erstellte Regeln sind übrigens
sofort aktiv. Einen Speichern-Button gibt
es hier nicht.
Die Eigenschaften vorhandener Regeln
können Sie per Doppelklick oder Auswahl
von »Eigenschaften« aus dem Kontextmenü
einer Regel ansehen. Handelt es
sich um eine vordefinierte Regel, können
Sie die Eigenschaften nicht ändern. Bei
allen anderen Regeln dürfen Sie jeden Parameter
einer Regel auch im Nach hinein
anpassen.
Ausgehende Regeln
Im Bereich »Ausgehende Regeln« sind
ebenfalls diverse Regeln vordefiniert.
Viele von diesen Regeln sind deaktiviert,
einzelne Regeln, für die als Aktion »zulassen«
definiert ist, aber bereits aktiviert.
Diese Regeln sind allerdings erst dann
wirklich relevant, wenn die Standardregel
des aktiven Profils auf »blocken« steht,
was per Default nicht der Fall ist. Im
Normalfall erlaubt die Windows-Firewall
jede ausgehende Kommunikation, die
nicht explizit geblockt wird. Solange
die Standardregel für ausgehende Verbindungen
auf »zulassen« steht, ergeben
bei den ausgehenden Regeln nur diejenigen
Regeln Sinn, die entweder eine bestimmte
Kommunikation blocken oder
aber sichere Verbindungen voraussetzen.
Windows kennt eine Reihe von Regel-
typen. Neben den bisher vorgestellten
gibt es zum Beispiel noch die Windows-
Diensthärtung, Verbindungssicherheitsregeln
und Regeln zur authentifizierten
Umgehung. Die Reihenfolge der internen
Abarbeitung funktioniert in der folgenden
Art und Weise:
1. Windows-Diensthärtung
2. Verbindungssicherheitsregeln
3. Authentifizierte Umgehungsregeln
4. Sperrregeln
5. Zulassungsregeln
6. Standardregeln
Mit diesem Ansatz geht die Windows-
Firewall etwas andere Wege als andere
Firewalls, die das Regelwerk in der Reihenfolge
der einzelnen Regeln abarbeiten.
Bei der Erstellung der Regeln müssen
Sie dies berücksichtigen.
Nur abgesicherte Verbindungen
erlaubt
Während die normalen Regeln Verbindungen
zulassen oder blockieren, ergänzen
die Verbindungssicherheitsregeln
dieses Regelwerk. Wählen Sie in einer
Regel aus, dass nur sichere Verbindungen
erlaubt sein sollen, muss die Kommunikation
einer der hier erstellten Regeln
entsprechen. Anders als bei den ein- oder
ausgehenden Regeln existieren hier keine
Default-Regeln.
Die Erstellung einer Verbindungssicherheitsregel
erfolgt in derselben Art und
Weise, wie die Erstellung ein- und ausgehender
Regeln. Nach Auswahl von
»Neue Regel« im Kontextmenü können
Abbildung 6: Beim Hinzufügen von Regeln bietet die Windows Firewall eine
vordefinierte Auswahl an.
Abbildung 7: Im restriktivsten Modus ist für eingehende wie auch ausgehende
Verbindungen eine Authentifizierung nötig.
www.admin-magazin.de
Admin
Ausgabe 06-2012
83

Security
Windows-Firewall
Sie zwischen verschiedenen Regeltypen
wählen:
n Isolierung: schränkt die Verbindungen
anhand bestimmter Authentifizierungsregeln
ein.
n Authentifizierungsausnahme: definiert
Computer, von denen keine Verbindungen
angenommen werden.
n Server-zu-Server: Verbindungen zwischen
den in der Regel angegebenen
Computern werden authentifiziert.
n Tunnel: Bezieht sich auf Gateway-Computer
als Tunnelendpunkte. Wählen
Sie »Isolierung«, wird der Computer
gegen nicht authentifizierte Computer
isoliert. Auf der nächsten Dialogseite
können wiederum verschiedene Möglichkeiten
ausgewählt werden:
n Authentifizierung für eingehende und
ausgehende Verbindungen anfordern:
Obwohl die Authentifizierung generell
angefordert wird, ist sie bei diesem
Typ nicht erforderlich.
n Authentifizierung ist für eingehende
Verbindungen erforderlich und muss
für ausgehende Verbindungen angefordert
werden: Hier sind eingehende
Verbindungen nur dann erlaubt, wenn
sie authentifiziert werden können.
Ausgehende Verbindungen werden
zwar nach Möglichkeit authentifiziert,
aber auch zugelassen, wenn die Authentifizierung
nicht erfolgreich war.
n Authentifizierung ist für eingehende
und ausgehende Verbindungen erforderlich:
Diese Einstellung ist die restriktivste
von allen und erlaubt sowohl
bei ein- als auch bei ausgehenden Verbindungen
nur authentifizierte Kommunikation
(Abbildung 7).
Als Nächstes wird die Authentifizierungsmethode
festgelegt. Hierbei können
Sie wählen, ob die IPsec-Einstellungen
verwendet werden sollen, oder ob über
Kerberos authentifiziert werden soll.
Letzeres erfordert die Mitgliedschaft in
einer Domäne. Nachdem die Regel einen
Namen erhalten hat, ist sie erstellt und
erscheint im Hauptfenster. Achtung: Die
Regel ist auch sofort aktiv! Haben Sie
eine entsprechend restriktive Regel erstellt,
wird der Computer isoliert, wenn
die Remote-Systeme nicht ebenfalls entsprechend
konfiguriert sind. Möchten
Sie die Verbindung über eine bestimmte
ein- oder ausgehende Regel nur dann
zulassen, wenn sie gesichert ist, können
Abbildung 8: Mit dieser Einstellung erlaubt die
Windows-Firewall Verbindungen nur dann, wenn sie
entsprechend geschützt sind.
Sie die entsprechende Aktion in den Eigenschaften
der Regel auswählen (Abbildung
8). In diesem Fall können Sie über
den Button »Anpassen« weitere Einstellungen
für die Sicherung der Kommunikation
auswählen und so zum Beispiel
eine Verschlüsselung erzwingen.
Steuerung per Netshell
und Powershell
Die Windows-Firewall lässt sich bequem
über die grafische Oberfläche konfigurieren.
Unter »Computerkonfiguration/
Windows‐Einstellungen/Sicherheitseinstellungen
| Windows‐Firewall mit erweiterter
Sicherheit« hilft der bekannte
Dialog-Assistent dabei, bestimmte Regeln
für ein- und ausgehenden Netzwerkverkehr
und die Verbindungssicherheitsregeln
zu erstellen.
Doch auch auf der Kommandozeile lässt
sich die Windows-Firewall auslesen und
konfigurieren, zum Beispiel mit der Netshell.
So können Sie zum Beispiel alle
Regeln der Firewall mit dem folgenden
Befehl auslesen:
netsh advfirewall firewall show rule U
name=all
Möchten Sie die Firewall deaktivieren,
können Sie dies mit dem folgenden Befehl
für sämtliche Profile tun: »netsh advfirewall
set allprofiles state off«. Die Reaktivierung
erfolgt mit demselben Befehl,
nur dass am Ende »state on« angegeben
wird. Um beispielsweise eine Regel zu erstellen,
die Ping eingehend erlaubt, lautet
der Befehl folgendermaßen:
netsh advfirewall firewall add rule nameU
="ICMPv4 eingehend" dir=in action=allow U
protocol=icmpv4
Die Regel ist aktiv und wird auch im
Regelwerk unter »Eingehende Regeln«
angezeigt.
Auch die Powershell ermöglicht eine
Konfiguration der Windows-Firewall. Allerdings
ist dies nicht ganz trivial und
bei Weitem nicht so gradlinig wie die
Netshell-Befehle. Die Interaktion mit der
Windows-Firewall geschieht über das
COM-Objekt »HNetCFG.FWPolicy2«. Die
Konfiguration erfordert einige Skripting-
Kenntnisse.
Tipps und Fazit
Die Windows-Firewall mit erweiterter Sicherheit
bietet die Möglichkeit, sowohl
eingehende als auch ausgehende Verbindungen
zu kontrollieren. Sie unterscheidet
dabei einzelne Netzwerkstandorte,
die als Profile hinterlegt sind. Dabei ist zu
beachten, dass ausgehende Verbindungen
grundsätzlich durch die Standardregel
für alle Profile erlaubt sind. Andererseits
arbeitet die Firewall „stateful“, das
heißt sie lässt Antwortpakete durch, ohne
dass hierfür explizite Regeln erforderlich
sind.
Die Windows-Firewall ermöglicht es dem
Administrator, im Gegensatz zu Netzwerk-Firewalls,
für einzelne Programme
festzulegen, ob ihnen die Kommunikation
erlaubt oder verboten ist. Zusätzlich
ist es möglich, die Kommunikation via
IPsec abzusichern. Hierzu lässt sich die
Windows-Firewall sowohl für Authentifizierung
wie auch für Verschlüsselung
konfigurieren. (ofr)
n
Der Autor
Eric Amberg ist Geschäftsführer der ATRACON
GmbH ([http:// www. atracon. de]), seit vielen
Jahren im Bereich IT-Infrastruktur als Trainer
und Consultant tätig und verfügt über langjährige
Projekterfahrung. Sein
besonderer Fokus liegt auf
Netzwerk-Themen. In seinen
Seminaren legt er großen
Wert auf eine praxisnahe
Schulung.
84 Ausgabe 06-2012 Admin www.admin-magazin.de

VIRTUAL POWER &
VOLLER ROOT-ZUGRIFF
Virtual Server von HOST EUROPE
Profitieren Sie von garantierten Hardware-Ressourcen, vollem
Root-Zugriff sowie dem Webinterface Parallels ® Plesk Panel für
die komfortable Server-Administration.
Virtual Server Linux
Betriebssyteme
Garantierte CPU-Power
Garantiertes RAM
Speicherplatz (RAID10)
Snapshot Backups
Debian, CentOS, Ubuntu
bis zu 4 x 1,5 GHz
bis zu 8 GB
bis zu 500 GB
inklusive
Vollständige Webserverumgebung:
Apache 2, MySQL 5 und PHP5 sind für Sie
bereits vorinstalliert.
Host Europe SSL-Zertifikat gratis**
Mehr Sicherheit inklusive: Bei der Bestellung
eines Virtual Server erhalten Sie das Zertifikat
Host Europe SSL kostenlos.
Virtual Server Linux ab
€12, 99
mtl.*
Keine Setupgebühr
www.hosteurope.de
*Monatlich. Keine Mindestvertragslaufzeit. Keine Setupgebühr. Der Abrechnungszeitraum ist monatlich. Die Kündigungsfrist beträgt 4 Wochen zum Monatsende. Alle angegebenen Preise inkl. MwSt.
**Das Host Europe SSL-Zertifikat für eine Laufzeit von 12 Monaten können Sie innerhalb von 3 Monaten nach Bestellung eines Virtual Server mit Linux-Betriebssystem kostenlos hinzubuchen.

Security
Fail2ban
© Javier Brosch, 123RF
Brute-Force-Angriffe mit Fail2ban verhindern
Haus mit
Hüter
Wer denkt, mit dem Schließen aller Ports außer SSH wäre es getan, irrt.
Brute-Force-Angriffe darauf sind trivial und gelingen häufig in kurzer Zeit.
Fail2ban schiebt einen Riegel vor. Chris Binnie
Es gibt nur wenige kleine Skripte, die
sich so fundamental auf den Betrieb eines
Servers auswirken wie Fail2ban. Deshalb
haben vermutlich auch die meisten
schon einmal davon gehört. Wer Fail2ban
nicht kennt, beschäftigt sich vermutlich
eher mit anderen Bereichen der Systemadministration
oder ist ein relativer Neueinsteiger.
Die Skriptsammlung arbeitet mit den üblichen
Firewall-Paketen zusammen und
sperrt IP-Adressen nach einigen gescheiterten
Login-Versuchen aus. Das klingt
vielleicht nicht besonders aufregend,
aber die Wunder dieses leistungsfähigen
Tools stecken im Detail.
Ich selbst habe Fail2ban vorwiegend für
fehlgeschlagene SSH-Logins verwendet,
was vermutlich die häufigste Anwendung
ist, bevor ich davon genervt war, dass die
Webserver-Logfiles voll mit den Spuren
von Angriffsversuchen waren. Überall
fanden sich Spuren davon, versteckte
Verzeichnisse oder verwundbare Content-
Management-Systeme zu finden. Außerdem
hatte ich einige Mailserver, die das
Relaying mit SASL-Passwort-Authentifizierung
[1] gegen Benutzer-Accounts per
PAM erlaubten. Die SASL-Accounts waren
so eingerichtet, dass man sich damit
nicht auf dem System einloggen konnte,
aber trotzdem barg die Authentifizierung
noch ein Restrisiko. Mit Fail2ban konnte
ich einfach die betreffende IP-Adresse
sperren, wenn ein Username dreimal das
falsche Passwort verwendete.
Transparenz
Wie Fail2ban [2] arbeitet, ist leicht erklärt.
Es beobachtet die Logdateien und
führt eine vordefinierte Aktion aus, wenn
es ein bestimmtes Muster findet. Wie
man diese Filter und Aktionen definiert,
wird schnell klar, wenn Fail2bain installiert
ist.
Der erwähnte Einsatz von Fail2ban,
Brute-Force-Attacken auf SSG zu stoppen,
ist auf jeden Fall sehr sinnvoll. Er
reduziert nicht nur das Rauschen in den
Log-Dateien, es ist auch ein Sicherheitsrisiko,
beliebig viele Versuche bei einem
solchen Login zu erlauben. Viele Angriffe
durch Bots lassen sich zusätzlich
verhindern, wenn man den Port ändert,
auf dem SSH läuft. Wer es sich erlauben
kann, etwa weil Anwender immer dieselben
IP-Adressen verwenden, sichert SSH
zusätzlich ab, indem er das Login per
TCP-Wrapper auf bestimmte IP-Adressen
beschränkt [3]. Man sollte daran denken,
dass automatisierte Angriffe äußerst
effizient ablaufen und einige Male pro
Sekunde ablaufen können. Damit können
Angreifer in wenigen Minuten eine ganze
Menge populärer Passwörter ausprobieren.
Abbildung 1 zeigt eine Logdatei, die
fehlgeschlagene Logins wiedergibt.
Glücklicherweise gibt es bereits einigen
nützliche Skripts, die bei der Installation
von Fail2ban auf der Festplatte landen.
Dabei gibt es einige Abkürzungen, sogenannte
Tags, die man in eigenen Skripts
verwenden kann, zum Beispiel »HOST«.
Das folgende Fragment trifft auf ein fehlgeschlagenes
SSH-Login zu und findet
sich auf einem Debian-Rechner in »/etc/
fail2ban/filter.d/sshd.conf«:
failregex = ^%(__prefix_line)sFailed U
(?:password|publickey) for .* from U
(?: port \d*)?(?: ssh\d*)?$
Die Regular Expression trifft auf Zeilen
zu, wie sie in Abbildung 1 zu sehen sind
und passt gleichermaßen auf fehlgeschlagene
Logins per Username/​Passwort und
Public/​Private Key. Die dritte Zeile macht
von dem erwähnten Host-Tag Gebrauch.
Was die Logfile-Einträge betrifft, die sich
von System zu System zum Teil erheblich
unterscheiden, ist Fail2ban recht flexibel.
Selbst in der Standard-Konfigurationsdatei
für SSH haben die Fail2ban-Entwickler
eine ganze Reihe von Formulierungen für
die »failregex« vorgesehen, von denen
eine für den jeweiligen Einsatzort passen
sollte. Die Beispiel in Listing 1 sind normalerweise
auskommentiert.
Regulär geprüft
Wie erwähnt, kann Fail2ban auch Angriffe
auf den Mailserver abwehren, etwa
Login-Versuchen per SASL. Die Failregex
dafür in »/etc/fail2ban/filter.d/sasl.conf«
sieht etwa so aus:
failregex = (?i): warning: U
[‐._\w]+\[\]: SASL (U
?:LOGIN|PLAIN|(?:CRAM|DIGEST)‐MD5) U
authentication failed: U
authentication failure
Diese Regular Expression trifft auf die
fehlgeschlagenen SASL-Logins zu, die
im Logfile »/var/log/mail.log« so auftauchen.
Der Ausdruck »(?i)« weist Fail2ban
an, nicht auf die Groß- und Kleinschrei-
86 Ausgabe 06-2012 Admin www.admin-magazin.de

Fail2ban
Security
Die eigentliche Blockade wird von der
jeweiligen Firewall-Software ausgeführt,
im Beispiel-Fall ist dies Linux-IPTables.
In der Datei »/etc/fail2ban/action.d/
iptables‐multiport.conf« finden sich dafür
die Einstellungen:
Actionban: actionban = iptables U
‐I fail2ban‐Name 1 ‐s IP ‐j DROP
Actionunban: actionunban = iptables U
‐D fail2ban‐Name ‐s IP ‐j DROP
Abbildung 1: So tauchen fehlgeschlagene Login-Versuche in einer Logdatei auf.
bung der Strings zu achten (case insensitive).
Die Syntax gehorcht den Regeln der
Python Regular Expressions.
Layout
Die bisher erwähnten Konfigurationsdateien
liegen im Unterverzeichnis
»filter.d«, wo sich auch noch eine Reihe
weiterer Anwendungen findet. Wenn sie
nicht hundertprozentig auf das eigene
Betriebssystem zutreffen, muss man sie
gegebenenfalls anpassen. Auf der Fail-
2ban-Site gibt es für einige Services noch
spezifische Howto-Dokumente, die weiterhelfen.
Die Haupt-Konfigurationsdatei heißt »jail.
conf« und enthält viele nützliche Hinweise.
So lässt sich mit »ignoreip« eine IP-
Adresse oder eine ganzes Netz einstellen,
das von der Blockade ausgenommen ist,
damit sich der Admin nicht versehentlich
selbst aussperrt. Außerdem enthält die
Datei Default-Einstellungen, die für alle
Dienste gelten, solange diese sie nicht
überschreiben, etwa:
bantime = 3600
maxretry = 3
Hiermit hat jeder Anwender drei Versuche
frei, sein Glück zu versuchen. Das
ist recht restriktiv und vielleicht zu restriktiv
für viele Situationen. Die »bantime«
legt in Sekunden fest, wie lange eine IP-
Adresse ausgesperrt bleibt.
Auch der Backend-Daemon, der die Logdateien
überprüft, lässt sich festlegen.
Hier ist »gamin« eine gute Wahl, denn
hiermit wird Fail2ban über Änderungen
unterrichtet und das System somit weniger
belastet als durch eine ständige Überprüfung.
Laut Fail2ban-Dokumentation
ist diese Einstellung auf Fedora- und Red-
Hat-Systemen sogar obligatorisch, weil
der Logscanner sonst in Konflikt mit SE-
Linux gerät.
Im Verzeichnis »actions.d« sind schließlich
die Maßnahmen aufgeführt, die Fail-
2ban ergreift. Der Rest der Datei »jails.
conf« besteht aus jeweils einer kurzen
Defintion für den zu überwachenden
Dienst, der sich über die Anweisung
»enabled« ein- und ausschalten lässt:
[sasl]
enabled
port
filter
logpath
= true
= smtp
= sasl
= /var/log/mail.log
Statt konkrete Gegenmaßnahmen zu starten,
kann Fail2ban auch nur einen Trigger
auslösen. Die komplette Breitseite feuert
dagegen Listing 2 ab, das den mutmaßlichen
Angreifer blockiert und eine E-Mail
mit den Logdaten und einem Whois-Auszug
der IP-Adresse verschickt.
Listing 1: Failregex-Beispiele
Listing 2: Aktionen: Sperren und Mailen
Mit der ersten Zeile wird ein Eintrag in
der Firewall vorgenommen, der die IP-
Adresse »IP« sperrt, die aus dem Muster
der Failregex stammt.
Fazit
Fail2ban kann helfen, Brute-Force-Attacken
auf alle möglichen Dienste zu verhindern
oder zumindest wesentlich zu
bremsen. Vorausgesetzt wird vernünftiges
Logging des jeweiligen Service und
Kenntnisse von Regular Expressions
auf Seiten des Administrators. Nach der
Installation sollte man gelegentlich einen
Blick in »/var/log/fail2ban.log« werfen
und die Erfolgsquote des neuen Wächters
überprüfen. (ofr)
n
Infos
[1] SASL: [http:// en. wikipedia. org/ wiki/ Simple_
Authentication_and_Security_Layer]
[2] Fail2ban: [http:// www. fail2ban. org/]
[3] TCP-Wrapper: [http:// en. wikipedia. org/​
wiki/ TCP_Wrapper]
01 failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from \s*$
02 ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module
for .* from\s*$
03 ^%(__prefix_line)sFailed (?:password|publickey) for .* from (?: port \d*)?(?:
ssh\d*)?$
04 ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM \s*$
05 ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from \s*$
06 ^%(__prefix_line)sUser .+ from not allowed because not listed in AllowUsers$
07 ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S*
rhost=(?:\s+user=.*)?\s*$
08 ^%(__prefix_line)srefused connect from \S+ \(\)\s*$
09 ^%(__prefix_line)sAddress .* POSSIBLE BREAK‐IN ATTEMPT!*\s*$
10 ^%(__prefix_line)sUser .+ from not allowed because none of user's groups are listed
in AllowGroups\s*$
01 # ban the IP & send an e‐mail with whois report and include relevant log lines to the destemail
02 action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
03 %(mta)s‐whois‐lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
www.admin-magazin.de
Admin
Ausgabe 06-2012
87

Basics
Ausführungspläne
© Gunnar Pippel, 123RF
Datenbank-Ausführungspläne lesen und verstehen
Alles nach Plan
Will man das Optimierungspotenzial von SQL-Abfragen oder ihren zukünftigen Ressourcenbedarf abschätzen,
braucht man einen Blick unter die Haube. Den erlauben die Ausführungspläne der Datenbank. Wer sie versteht,
hält den Schlüssel für effektives SQL in der Hand. Markus Winand
Der sogenannte Ausführungsplan (execution
plan, oft auch explain plan oder
query execution plan) enthält die einzelnen
Schritte, die eine Datenbank beim
Abarbeiten einer SQL-Anweisung ausführt.
Ausführungspläne geben zum Beispiel
Aufschluss darüber, welche Indizes
benutzt werden, in welcher Reihenfolge
die Zugriffe auf die verschiedenen Tabellen
erfolgen, und welche Algorithmen für
Join-, Sortier- und Gruppier-Operationen
zum Zuge kommen.
Im Vergleich mit anderen Programmiersprachen
entspricht der Ausführungsplan
ungefähr dem Bytecode von
Scriptsprachen wie Perl oder Python –
er wird intern bei der Ausführung der
SQL-Anweisung verwendet. Aufgrund
dieser Analogie wird das Erstellen eines
Ausführungsplanes manchmal auch als
Kompilieren bezeichnet. Gebräuchlicher
ist aber die Bezeichnung Prepare für
diese Phase (siehe Abbildung 1). Da die
entsprechende Datenbank-Komponente
Optimizer oder Query Planner heißt, sind
auch die Begriffe Optimieren und Planen
gebräuchlich.
Ausführungspläne sind in erster Linie ein
internes Mittel zum Zweck. Der Admin
kann sie aber dennoch einsehen. Weil der
Ausführungsplan die Abläufe auf einer
ähnlichen Abstraktionsebene darstellt
wie SQL, kann man einen Ausführungsplan
sehr schnell lesen – durch die einheitliche
Formatierung oft sogar schneller
als die ursprüngliche SQL-Anweisung.
Kein übergreifender Standard
Einheitlich ist die Formatierung von Ausführungsplänen
aber nur innerhalb einer
Datenbank. Einen herstellerübergreifenden
Standard gibt es dafür nicht. Tatsächlich
sehen die Ausführungspläne einer
MySQL-Datenbank völlig anders aus als
zum Beispiel bei Microsofts SQL Server.
Genauso unterschiedlich sind die Methoden
zur Anzeige eines Ausführungsplanes.
Während es bei PostgreSQL und
MySQL genügt, der SQL-Anweisung das
Schlüsselwort »explain« voranzustellen,
muss man bei Oracle das Kommando
»xplain plan for« mit dem Funktionsaufruf
»DBMS_XPLAN.DISPLAY« kombinieren
(siehe Beispiel 1).
Grafische Benutzeroberflächen bieten
dafür entsprechende Schaltflächen oder
Menüpunkte. Dieser Artikel legt den
Schwerpunkt auf MySQL, Hinweise zu
anderen Produkten finden sich hier [1].
Der Rest dieses Beitrags wird zeigen, wie
der Admin die wichtigsten Informationen
aus Ausführungsplänen herausliest und
häufige Fehlinterpretationen vermeidet.
Der Cost-Wert
Der Cost-Wert ist ein Benchmark, der
vom Optimizer benutzt wird, um den
besten Ausführungsplan für eine SQL-
Anweisung zu finden. Grob gesprochen
könnte man sagen, dass der Cost-Wert ein
Maßstab für die Ausführungsgeschwindigkeit
ist. Genau betrachtet gilt das aber
nur für jeweils eine SQL-Anweisung un-
88 Ausgabe 06-2012 Admin www.admin-magazin.de

Ausführungspläne
Basics
ter bestimmten Rahmenbedingungen, zu
denen etwa die Tabellengröße gehört.
Das heißt, der Cost-Wert ist grundsätzlich
nicht geeignet, um die Performance
verschiedener SQL-Anweisungen miteinander
zu vergleichen.
Natürlich kann der Cost-Wert dennoch
ein grobes Gefühl für die Ausführungsgeschwindigkeit
liefern. So kann ein Wert
in den Milliarden durchaus den Rückschluss
zulassen, dass die Ausführung
ewig dauern wird. Der Cost-Wert ist dafür
aber lediglich der Indikator, nicht die Ursache,
denn auf die Execute-Phase wirkt
er sich nicht aus.
Etwas Ähnliches gilt mit Blick auf die Optimizer-Statistiken.
Weil diese Statistiken
die Grundlage für die Berechnung des
Cost-Wertes sind, verändert ein Update
auch den Cost-Wert. Dennoch wird sich
die Geschwindigkeit der SQL-Abfrage
nicht ändern, wenn der Ausführungsplan
ansonsten unverändert bleibt – das heißt,
wenn dieselben Operationen nach wie
vor in derselben Reihenfolge abgearbeitet
werden.
Index-Nutzung
Eine andere Fehlinterpretation von Ausführungsplänen
hat mit der Verwendung
von Indizes zu tun. Hier herrscht
oft die Vorstellung, dass ein Index die
Ausführung prinzipiell beschleunigt.
Das ist aber nur die halbe Wahrheit. Es
gibt Fälle, in denen ein Index die Aus-
SQL-Anweisung
SELECT ...
FROM ...
WHERE ...
Optimizer
Ausführungsplan
Execution
Engine
Ergebnis
QTY PRICE DATE
1 29.95 2012-11-08
3 9.95 2012-11-07
}
Phase:
execute
Abbildung 1: Phasen der SQL-Ausführung.
}
Phase:
prepare
führung tatsächlich bremsen kann. Das
sind vor allem Abfragen, die einen verhältnismäßig
großen Teil einer Tabelle
lesen. Ein Indexzugriff würde dabei sehr
viele Lesezugriffe auf kleine Datenblöcke
verursachen. Wenn die Datenbank
die Tabelle stattdessen vollständig liest,
kann sie größere Datenblöcke auf einmal
anfordern und dadurch die Anzahl der
Leseoperationen verringern. Das kann einen
Performance-Vorteil bringen, weil bei
Speichersystemen neben dem Durchsatz
auch die IOPS (Input/​Output Operations
per Second) begrenzt sind. Für die Entscheidung,
ob es hilft oder schadet, einen
Index zu nutzen, wird übrigens der Cost-
Wert verwendet: Die Datenbank bewertet
Beispiel 1: Oracle-Ausführungsplan erklärt
01 SQL> explain plan for 1
02 2> SELECT *
03 3> FROM sales s
04 4> JOIN employees e ON (s.employee_id = e.employee_id)
05 5> WHERE s.sale_date > trunc(sysdate) ‐ INTERVAL '6' MONTH
06 6> AND s.eur_value >= 10;
07 Explained.
08
09 SQL> select * from table(dbms_xplan.display 2 );
10
11
12 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 3 ‐‐‐‐‐‐ 4 ‐‐
13 | Id | Operation | Name | Bytes | Cost |
14 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
15 | 0 | SELECT STATEMENT | 3130K | 833 |
16 |* 1 | HASH JOIN | 3130K | 833 |
17 |* 2 | TABLE ACCESS BY INDEX ROWID | SALES | 566K | 355 |
18 |* 3 | INDEX RANGE SCAN | SALES_DATE | | 26 |
19 | 4 | TABLE ACCESS FULL | EMPLOYEES | 9M | 478 |
20 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
21
22 Predicate Information (identified by operation id):
23 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
24 1 ‐ access("S"."EMPLOYEE_ID"="E"."EMPLOYEE_ID")
25 2 ‐ filter 5 ( "S"."EUR_VALUE">=10)
26 3 ‐ access 6 ( "S"."SALE_DATE">TRUNC(SYSDATE@!)
27 ‐INTERVAL'+00‐06' YEAR(2) TO MONTH)
damit beide Ausführungsplan-Varianten
und wählt letztendlich den mit dem besseren
Cost-Wert.
Aus einem Ausführungsplan kann man
aber nicht nur ablesen, welcher Index benutzt
wird, sondern auch etwas über die
Effektivität des Indexzugriffes erfahren.
Die hängt hauptsächlich davon ab, welche
Teile der Where-Klausel durch den
Index abgedeckt werden. Das kann man
bei manchen Datenbanken anhand der
sogenannten Filterprädikate direkt aus
dem Ausführungsplan ablesen. Taucht
ein solches Filterprädikat beim Tabellenzugriff
auf, kann das ein Hinweis sein,
dass diese Spalte im Index fehlt (Beispiel
1 und Beispiel 3). E
1 Das Kommando »explain plan for« speichert den Ausführungsplan lediglich in der »PLAN_TABLE«
ab.
2 Das Package DBMS_XPLAN bietet einige Funktionen zum Darstellen eines Ausführungsplanes.
3 Die Bytes-Spalte zeigt die verarbeitete Datenmenge bei jeder Operation an. Dabei sind zwei
Dinge zu beachten: Erstens handelt es sich dabei lediglich um eine Schätzung des Optimizers.
Zweitens: Nur wenige Operationen müssen diese Daten zwischenspeichern. In diesem Beispiel
muss der Hash-Join nur die kleinere Tabelle (566K) temporär im Arbeitsspeicher ablegen.
4 Die Cost-Werte werden für jeden Teil-Baum des Ausführungsplanes angezeigt. Die Gesamtkosten
sind auf der obersten Ebene zu finden.
5 Das Filterprädikat zur Operation mit der Id 2 (»TABLE ACCESS BY INDEX ROWID«) ist ein Hinweis,
dass die Spalte »EUR_VALUE« nicht im Index »SALE_DATE« ist (Operation Id 3).
6 Das Zugriffsprädikat »access« beim Indexzugriff zeigt, dass der Index nur für die Bedingung
auf SALE_DATE effizient genutzt wird.
www.admin-magazin.de
Admin
Ausgabe 06-2012
89

Basics
Ausführungspläne
Bei einem Indexzugriff können Filterprädikate
auch ein Zeichen für eine falsche
Spaltenreihenfolge sein (Beispiel 2).
Nur wenn als Zugriffsprädikat die Werte
»access« oder »seek predicate« angezeigt
werden, nutzt die Abfrage den Index optimal
aus.
Beispiel 3: Ausführungsplan einer PostgreSQL-Datenbank
01 postgres=# EXPLAIN 1
02 postgres‐# SELECT *
03 postgres‐# FROM sales s
04 postgres‐# JOIN employees e ON (s.employee_id = e.employee_id)
Filter- und Zugriffsprädikate können
sinngemäß auch bei der Suche in einem
gedruckten Telefonbuch vorkommen,
wenn man zum Beispiel nur den Nachnamen
und die Anschrift der gesuchten
Person kennt. Dabei ist der erste Schritt,
etwa alle Einträge für „Müller“ zu finden,
05 postgres‐# WHERE s.sale_date > CURRENT_DATE ‐ INTERVAL '6' MONTH
06 postgres‐# AND s.eur_value >= 10;
07
Beispiel 2: SQL Server-Ausführungsplan erklärt
Hier kann man sich über die Schaltfläche »Display
Estimated Execution Plan« den Ausführungsplan
anzeigen lassen. Bewegt man den
Mauszeiger über eine Operation, öffnet sich
ein Tool-Tip mit zusätzlichen Informationen. Der
Cost-Wert der einzelnen Operation wird gleich
dreimal angezeigt: zuerst aufgeteilt nach I/​
O- und CPU-Cost, dann die Gesamtkosten. Zuletzt
wird auch der Cost-Wert des gesamten
08 QUERY PLAN
09 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
10 Hash Join ( 2 cost=3091.01..13119.07 rows=59654 width=1286)
11 Hash Cond: (s.employee_id = e.employee_id)
12 ‐> Index Scan using sale_date on sales s (cost=0.01..3893.82 rows=59654 width=251)
13 Index Cond: (sale_date > (('now'::text)::date ‐ '6 mons'::interval month))
14 3 Filter: (eur_value >= 10::numeric)
15 ‐> Hash (cost=1672.00..1672.00 4 rows=10000 width=1035)
Teil-Baumes angezeigt. Die Gesamtkosten findet
man im Tool-Tip auf oberster Ebene. Das
Filterprädikat (»Predicate«) ist ein Hinweis,
dass die Spalte »EUR_VALUE« nicht an einer
geeigneten Index-Position für eine effiziente
Nutzung steht. Das Zugriffsprädikat (»YSeek
Predicate«) beim Indexzugriff zeigt, dass der
Index nur für die Bedingung auf »SALE_DATE«
effizient genutzt wird.
16 ‐> Seq Scan on employees e (cost=0.00..1672.00 rows=10000 width=1035)
1 Durch das Voranstellen von explain vor die SQL-Abfrage wird der Ausführungsplan angezeigt.
2 Die Cost-Werte werden für jeden Teil-Baum des Ausführungsplanes angezeigt. PostgreSQL zeigt
dabei jeweils zwei Werte an: zuerst die Setupkosten, dann die Gesamtkosten.
3 Das Filterprädikat beim Indexzugriff ist bei PostgreSQL ein Hinweis, dass die Spalte EUR_VALUE
nicht im Index SALE_DATE vorhanden ist.
4 Durch die rows- und width-Werte beim Hash-Zweig der Join-Operation kann man auf den Speicherbedarf
schließen. Dadurch wird auch deutlich, dass der Speicherbedarf nicht nur von den Zeilen,
sondern auch von den selektierten Spalten – der Zeilenlänge – abhängig ist. Selektiert man
weniger Spalten, reduziert sich der Speicherbedarf.
sehr rasch erledigt. Aufgrund der Sortierung
des Telefonbuches kann man sich
durch Vor- und Zurückblättern schnell
an „Müller“ annähern. Genau genommen
führt man dabei eine binäre Suche durch,
deren Aufwand nur logarithmisch mit der
Größe des Telefonbuches wächst. Anders
gesagt, wenn das Telefonbuch zehnmal
so groß ist, dauert die Suche deswegen
nicht auch gleich zehnmal so lange.
In einer Datenbank wäre die Bedingung
NACHNAME=’MÜLLER’ daher ein Zugriffsprädikat.
Hat man die „Müllers“
gefunden, bleibt noch die Eingrenzung
mit der bekannten Adresse. Ohne den
Vornamen zu kennen, kann man aber
die Sortierung des Telefonbuches nicht
weiter nutzen. Es bleibt einem also nichts
anderes übrig, als alle „Müllers“ durchzugehen.
In einer Datenbank wäre diese
Bedingung daher ein Filterprädikat. Die
Suchdauer steigt linear mit der Anzahl
der „Müllers.“
Filtern dauert viel länger
Der Unterschied zwischen Zugriffs- und
Filterprädikaten wird häufig unterschätzt,
kann aber durchaus beachtlich sein. Abbildung
2 stellt den Performance-Unterschied
dar. Im Idealfall – wenn zum
Beispiel nur Zugriffsprädikate verwendet
werden – kann die Geschwindigkeit auch
bei einer stark wachsenden Tabelle nahezu
konstant bleiben (grün dargestellt).
Je mehr Filterprädikate verwendet werden,
desto größer wird der Einfluss der
Tabellengröße auf die Geschwindigkeit
(rot dargestellt). Anders ausgedrückt
kann man durch die Filter- und Zugriffsprädikate
eine Prognose über die Geschwindigkeit
bei wachsendem Datenvolumen
anstellen und dadurch Probleme
im Vorhinein erkennen. Die Ursache des
eklatanten Performance-Unterschiedes
in der Abbildung ist übrigens, dass die
zweite und dritte Spalte im Index vertauscht
wurden.
Bei der Indizierung einer Datenbank
muss man aber unbedingt ganzheitlich
vorgehen. Insbesondere das Ändern der
Spaltenreihenfolge ist gefährlich, weil
es den Index für andere Abfragen unbrauchbar
machen kann. Indexänderungen
muss man daher ausgiebig testen,
sorgfältig planen und natürlich mit dem
Applikationshersteller abklären.
90 Ausgabe 06-2012 Admin www.admin-magazin.de

Ausführungspläne
Basics
Weniger bekannt, aber nicht weniger
nützlich ist, dass man aus Ausführungsplänen
auch etwas über den Speicherbedarf
einer SQL-Abfrage erfahren kann
– also darüber, wie viel Hauptspeicher
während der Ausführung benötigt wird.
Speicherbedarf
Dafür kann man die Operationen, die im
Ausführungsplan angezeigt werden, in
zwei Kategorien unterteilen:
n jene, die generell nur einen geringen
Speicherbedarf haben und
n jene, die ein Zwischenergebnis im Arbeitsspeicher
ablegen müssen und damit
einen potenziell großen Speicherbedarf
haben.
Bei der Ressourcenplanung braucht man
sich freilich nur um die zweite Kategorie
kümmern. Das sind vor allem Sortier- und
Gruppieroperationen aber auch sämtliche
Operationen, die einen Hash-Algorithmus
verwenden – etwa der Hash-Join. Obwohl
die Namen dieser Operationen in
den verschiedenen Datenbank-Produkten
abweichen, verraten sich die Speicherintensiven
meist durch „Sort“, „Group“
oder „Hash“ im Namen. Dennoch gibt
es auch Spezialfälle wie die Operation
»SORT GROUP BY NOSORT« der Oracle
Beispiel 4: MySQL-Ausführungsplan erklärt
01 sqyl> EXPLAIN 1
02 ‐> SELECT *
03 ‐>
04 FROM sales s
05 ‐>
06 JOIN employees e ON (s.employee_id = e.employee_id)
07 ‐>
08 WHERE s.sale_date > CURRENT_DATE ‐ INTERVAL '6' MONTH
09 ‐>
10 AND s.eur_value >= 10;
Datenbank: Sie führt keine Sortierung,
sondern ein Group-by auf vorsortierten
Daten durch.
Das Gute an Ausführungsplänen ist, dass
sie auch implizite Sortierungen explizit
anzeigen. Wenn man zum Beispiel zwei
Tabellen versehentlich mittels UNION
verbindet, zeigt der Ausführungsplan
auch die Operation zum Deduplizieren
der Ergebnisse an (Ausnahme: MySQL).
Wenn aber aufgrund der Daten ohnehin
keine Duplikate vorkommen können, und
damit ein UNION ALL genügt, verschwindet
diese Operation und damit auch der
entsprechende Speicherbedarf.
Ebenso wird bei einem DISTINCT eine
entsprechende Gruppier- oder Hash-Operation
angezeigt, die wiederum mit einem
gewissen Speicherbedarf einhergeht.
11 +‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+
12 | id | table | type | key | key_len | rows | Extra |
13 +‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+
14 | 1 | s | range | sale_date | 3 | 81858 | Using index condition; |
2
15
Using where ‚ |
16 | 1 | e | ALL | NULL | NULL | 10031 | Using where; |
17 Using join buffer 3 |
(Block Nested Loop) |
18 +‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+
1 Durch das Voranstellen von explain vor die SQL-Abfrage wird der Ausführungsplan angezeigt.
2 »Using Where« in der Spalte »Extra« zeigt an, dass sich nicht alle Bedingungen über den Index
auflösen lassen. Aus dem Ausführungsplan alleine kann man aber nicht erkennen, welche Bedingungen
das sind.
3 MySQL verwendet einen Block-Nested-Loops-Join, der einen Speicherbedarf ähnlich einem Hash-
Join hat.
Antwortzeit [sec]
1.2
1.0
0.8
0.6
0.4
0.2
0.0
Filterprädikate
Umgekehrt gibt es auch Fälle, in denen
Datenbanken eine scheinbar notwendige
Sortieroperation unterlassen. So kann es
vorkommen, dass trotz Order-by-Klausel
in der SQL-Abfrage keine Sortieroperation
im Ausführungsplan erscheint. Dies
ist meist auf eine gewiefte Indizierung
zurückzuführen, die dafür sorgt, dass der
Index die Daten bereits in der gewünschten
Reihenfolge liefert. Diese Technik
wird oft mit Limit- oder Top-Klauseln
kombiniert und führt im Idealfall dazu,
dass der Ressourcenbedarf fast völlig von
der Tabellengröße entkoppelt ist. So kann
die Geschwindigkeit einer Abfrage, die
keine Where-Klausel hat, sogar unabhängig
von der Tabellengröße sein, wenn ein
passender Index im Spiel ist. Der SQL-
Abfrage selbst ist das nicht anzusehen.
Im Ausführungsplan erkennt man diese
Technik aber durch die fehlende Sortieroperation.
Fazit
Zugriffsprädikate
0.0
0 20 40 60 80 100
Tabellengröße [x3000 Zeilen]
Abbildung 2: Bei steigender Tabellengröße offenbart sich die ineffektive Indexnutzung.
1.2
1.0
0.8
0.6
0.4
0.2
Antwortzeit [sec]
Ausführungspläne gehören alleine wegen
der Fakten, die sie uns über die Datenbank
verraten, in das Repertoire aller
Datenbank-Adminstratoren und SQL-
Entwickler. Sie können helfen, die Ursache
von Performance-Problemen klar zu
erkennen und zu beheben. (jbr) n
Infos
[1] Ausführungspläne: [http:// use‐​the‐index‐​
luke. com/ de/ sql/ ausfuehrungsplaene]
Der Autor
Markus Winand hat sich als Autor, Trainer und
Coach darauf spezialisiert, Entwicklern bei Problemen
mit der SQL-Performance zu helfen. Er hat
das Buch „SQL Performance Explained“ veröffentlicht
und twittert seine besten Performance-
Tipps als @SQLPerfTips.
www.admin-magazin.de
Admin
Ausgabe 06-2012
91

Basics
Whenjobs
© stillfx, 123RF
Die einfachere Alternative zu Cron: Whenjobs
Neue Zeitrechnung
Cronjobs sind bei der Administration von Linux- und Unix-Systemen unverzichtbar.
Allerdings ist die Syntax sehr beschränkt und fehleranfällig.
Ein moderner Cron-Ersatz will mit diesen Schwächen aufräumen. Oliver Frommel
Eines der vielen Erbstücke aus den Urzeiten
von Unix (seit V7 Unix, um genau
zu sein) ist der Cron-Daemon, der auch
auf heutigen Linux- und BSD-Systemen
regelmäßige Jobs ausführt. Zwar haben
sich im Lauf der Zeit einige Alternativen
entwickelt, wie etwa Fcron [1] und Anacron[2],
doch am Grundprinzip hat sich
wenig geändert.
Der Red-Hat-Programmierer Richard W.M.
Jones hat nun unter dem Namen „Whenjobs“
in Eigenregie eine Cron-Alternative
entwickelt, die alte Zöpfe abschneidet. Im
Wesentlichen bietet Whenjobs [3] gegenüber
Cron zwei Vorteile: eine einfachere
Syntax, um Jobs und Ausführungszeitpunkte
festzulegen und ein System, das
es ermöglicht, Abhängigkeiten zwischen
Jobs zu definieren.
Für Fedora 17 gibt es bereits fertige Pakete
von Whenjobs, Benutzer anderer
Distributionen müssen das Tool selbst
übersetzen. Zur Installation können Sie
Whenjobs aus dem Git-Repository auschecken.
Einfacher ist es allerdings, das
neueste Tarfile herunterzuladen, denn so
müssen Sie sich wenigstens nicht noch
mit Autoconf und Automake herumschlagen.
Weil Whenjobs in der funktionalen
Programmiersprache Ocaml geschrieben
ist, brauchen Sie den entsprechenden
Compiler und noch ein paar Pakete, die
sich zum Beispiel auf Ubuntu 12.10 mit
dem folgenden Befehl installieren lassen:
sudo apt‐get install ocaml ocaml‐findlibU
libcalendar‐ocaml libcalendar‐ocaml‐dev U
camlp4‐extra libocamlnet‐ocaml‐bin
Der Befehl »./configure« startet die Konfiguration,
die verrät, ob alle nötigen
Pakete installiert sind. Im Test trat bei
der darauf folgenden Übersetzung per
»make« der Fehler »Error: Unbound value
Xdr.safe_add« auf, der sich dadurch
beheben ließ, die erzeugten Dateien
»lib/whenproto_aux.ml« und »lib/whenproto_aux.mli«
zu löschen. Ein Aufruf
von »make install« installiert Whenjobs
anschließend systemweit.
Mit der Option »‐‐help« gestartet, gibt
»whenjobs« einen kurzen Hilfetext aus,
der die verfügbaren Optionen und Parameter
anzeigt (Abbildung 1). Mit
»whenjobs ‐e« startet das Programm einen
Editor, der beim ersten Start schon
ein Whenjobs-File enthält, das allerdings
nur aus einem Kommentar besteht (Abbildung
2). Wie der Vi-Editor in der
Abbildung zeigt, handelt es sich dabei
um die Datei ».$HOME/whenjobs/jobs.
ml«. Bei Syntax-Fehlern im Jobs-File reagiert
Whenjobs recht unwirsch und gibt
einfach eine Compiler-Fehlermeldung
aus, speichert die Datei aber trotzdem.
Statt der einen Datei dürfen auch mehrere
Dateien mit der Endung ».ml« in
».whenjobs« abgelegt werden, allerdings
muss man sie dann von Hand editieren.
Außerdem müssen die Dateinamen den
Ocaml-Regeln entsprechen, dürfen also
keinen Bindestrich enthalten.
Die Grundlagen der Whenjobs-Dateien
sind in diesem Kommentar erklärt. Kommentare
beginnen mit »(*« und enden
mit »*)« – was ein dezenter Hinweis
darauf ist, dass es sich bei Whenjobs-
Files selbst um Ocaml-Dateien handelt
– normalerweise muss man sich mit der
Programmiersprache aber bei der Whenjobs-Benutzung
nicht beschäftigen. Eine
Zeitangabe startet mit dem Schlüsselwort
»every« und endet mit einem Doppelpunkt,
zum Beispiel:
every 10 minutes:
Die Zeichen »« abschließen.
Variabel
Das Beispiel in den Kommentaren illustriert
einige Whenjobs-Features, zum
Beispiel das Setzen von Variablen. Dazu
bietet das Tool die Option »‐‐set«, die sich
etwa durch die Angabe des Variablentyps
mit »‐‐type« ergänzen lässt. Der folgende
Code führt also erst das Stat-Kommando
aus und weist dessen Ergebnis der Shell-
Variablen »free« zu. Die zweite Zeile
liest diese Variable aus und weist sie der
Whenjobs-Variablen »free_space« vom
Typ Integer zu, die später anderen Jobs
zur Verfügung steht.
92 Ausgabe 06-2012 Admin www.admin-magazin.de

Whenjobs
Basics
free=`stat ‐f ‐c %b /home`
whenjobs ‐‐set ‐‐type int free_space=$free
Der untere Code-Abschnitt in Abbildung
1 zeigt, wie man mit Whenjobs abhängig
von bestimmten Werten neue Jobs ausführen
kann. Die Syntax hierzu lautet:
when Bedingung : Job‐Code
Mit der Whenjobs-Funktion »changes«
lässt sich beispielsweise überwachen,
wann sich eine Variable ändert. Somit
lässt sich mit der obigen Variablen die
Bedingung formulieren „ändert sich free_
space und ist der Wert kleiner als 10000
(Blocks)“:
when changes free_space && free_space

Virtualisierung
VNC und Spice
© Oleg Doroshin, 123RF
Virtuelle Maschinen mittels VNC und Spice bedienen
Nachgewürzt
Das Grafiksystem virtueller Maschinen wird unter Linux standardmäßig
per VNC an den Virtual Machine Manager oder einen VNC-Client übertragen.
Eine Alternative dazu ist Spice: Sofern im Gastsystem der QXL-Treiber
läuft, überzeugt es nicht nur durch schnelle Grafik, sondern gibt auch
Audio-Daten weiter. Michael Kofler
1600 Pixel). Die Grafikkarte wird unter
Windows auf Anhieb korrekt erkannt.
Bei vielen Linux-Distributionen ist
hingegen manuelle Konfigurationsarbeit
erforderlich: In xorg.conf muss
explizit der Vesa-Treiber eingestellt
werden (Listing 1)
n »vmvga«: Die Grafikkarte wird seit
geraumer Zeit von diversen VMware-
Produkten eingesetzt. Die dazu passenden
Open-Source-Grafiktreiber
werden bei einigen Linux-Distributionen
standardmäßig mitgeliefert.
Unter dieser Voraussetzung ist die
VMware-Grafikkarte eine gute Wahl:
Sie unterstützt ohne großen Konfigurationsaufwand
hohe Auflösungen in
der virtuellen Maschine.
n »qxl«: Diese Grafikkarte kann nur in
Kombination mit Spice eingesetzt werden
(siehe unten).
Im Virtual Machine Manager stellen Sie
den gewünschten Grafikadapter in der
Detailansicht der virtuellen Maschine im
Dialogblatt »Video« ein. Der Grafikadapter
»xen« kann unter KVM nicht verwendet
werden. (Der Virtual Machine Manager
eignet sich aber auch zur Administration
von virtuellen Xen-Maschinen, die diesen
Grafikadapter unterstützen.) Der Grafikadapter
»qxl« steht nur zur Auswahl,
wenn zuvor im Dialogblatt »Anzeige« das
Protokoll »Spice« aktiviert wird.
VNC-Desktop
Damit Grafik in virtuellen Maschinen
funktioniert, müssen mehrere Puzzlestücke
ineinandergreifen: Zum einen muss
KVM beziehungsweise das zugrunde
liegende QEMU-System der virtuellen
Maschine einen Grafikadapter zur Verfügung
stellen. Standardmäßig wird hierfür
eine (uralte!) Cirrus-Grafikkarte emuliert.
Wenn Sie höhere Auflösungen als 1024
mal 768 Pixel wünschen, stehen auch andere
virtuelle Grafikkarten zur Auswahl,
die aber in Linux-Gästen oft eine manuelle
X-Konfiguration voraussetzen.
Zu guter Letzt stellt sich noch die Frage,
über welches Protokoll die Grafikdaten
von der virtuellen Maschine zum Client-
Rechner kommen. Üblich ist hierfür das
Protokoll VNC, das über die Linux-Welt
hinaus weite Verbreitung findet und in
der Praxis die geringsten Probleme bereitet.
Alternativ dazu verspricht das neue
Protokoll Spice eine höhere Geschwindigkeit
und einige weitere Zusatzfunktionen.
Der virtuelle Grafikadapter
Damit die virtuelle Maschine ein Grafiksystem
sieht, emuliert QEMU eine Grafikkarte.
Im Zusammenspiel mit KVM
stehen dabei vier Modelle zur Auswahl:
n »cirrus«: Diese Grafikkarte wird von
nahezu allen Gastsystemen korrekt
erkannt und funktioniert ohne Konfigurationsarbeiten
in einer akzeptablen
Geschwindigkeit. Die maximale Auflösung
beträgt allerdings magere 1024
mal 768 Pixel.
n »vga«: Der Vorteil dieser virtuellen
Grafikkarte besteht darin, dass sie
wesentlich höhere Auflösungen unterstützt
(getestet bis zu 2560 mal
VNC steht für Virtual Network Computing
und ermöglicht es, den Bildschirminhalt
eines anderen, auch virtuellen Rechners
in einem Fenster (dem VNC-Viewer oder
VNC-Client) darzustellen. Gleichzeitig
werden per VNC lokale Tastatur- und
Mauseingaben an die virtuelle Maschine
weitergegeben.
Damit eine virtuelle Maschine per
VNC gesteuert werden kann, führt
»qemu‐kvm« einen VNC-Server aus und
macht damit den Inhalt des virtuellen
Grafikadapters im Netzwerk zugänglich.
Der VNC-Server kann aus Sicherheitsgründen
standardmäßig nur über die
Adresse 127.0.0.1 angesprochen werden.
Der Virtual Machine Manager berücksichtigt
die Einstellungen der Libvirt-
Konfigurationsdatei, in der auch ein
VNC-Passwort angegeben werden kann
– dennoch ist VNC ein relativ unsicheres
94 Ausgabe 06-2012 Admin www.admin-magazin.de

VNC und Spice
Virtualisierung
Protokoll, die Verwendung eines VNC-
Passworts ändert daran nicht viel.
# Datei /etc/libvirt/qemu.conf
...
vnc_listen = "127.0.0.1"
vnc_password = "strengGeheim"
Zur Steuerung der virtuellen Maschine
muss auf dem lokalen Rechner ein VNC-
Client ausgeführt werden. In der Regel
werden Sie dazu einfach das Konsolenfenster
des Virtual Machine Managers
verwenden. Alternativ kommen
aber auch die Programme »vncviewer«,
»vinagre« oder »virt‐viewer« infrage.
Standardmäßig verwendet die erste gestartete
virtuelle Maschine den Port 5900,
die nächste 5901 und so weiter. Wenn Sie
nicht mit dem Virtual Machine Manager
arbeiten, können Sie die Display-Nummer
mit dem Virsh-Kommando »vncdisplay«
ermitteln. Den dazu passenden Port
erhalten Sie, indem Sie 5900 addieren:
root# virsh list
Id Name
Status
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
7 centos laufend
8 fedora laufend
root# virsh vncdisplay 8
:1
Der in den Virtual Machine Manager beziehungsweise
in den »virt‐viewer« inte-
Das Simple Protocol for Independent
Computing Environments (kurz Spice) ist
ein neues Protokoll, um das Grafiksystem
einer virtuellen Maschine über ein Netzwerk
effizient zu bedienen. Spice unterstützt
die Komprimierung von Bildern,
das Streaming von Videos, die Übertragrierte
VNC-Client überträgt Tastatureingaben
in Form von RAW-Codes. Sofern
im Host- und im Gastsystem dasselbe
Tastaturlayout eingestellt ist, werden Sie
keine Probleme mit dem Tastaturlayout
haben.
Andere VNC-Clients übertragen Tastatureingaben
hingegen immer gemäß dem
US-Layout. Um die daraus resultierenden
Probleme zu lösen, kann in der Detailansicht
des Virtual Machine Managers
(Dialogblatt »Anzeige«) das gewünschte
Tastaturlayout angegeben werden. Es ist
in der XML-Datei der virtuellen Maschine
gespeichert (Attribut »keymap«):
# in /etc/libvirt/qemu/vmname.xml
...
VNC im Netzwerk
Standardmäßig ist der VNC-Server von
»qemu‐kvm« nur auf dem KVM-Host
erreichbar. Um eine virtuelle Maschine
auf einem anderen Rechner zu bedienen,
gibt es verschiedene Möglichkeiten. Die
eine Variante besteht darin, den VNC-
Server an die Adresse 0.0.0.0 zu binden
(»vnc_listen=0.0.0.0« in »/etc/libvirt/
qemu.conf«). Diese simple Lösung soll-
ten Sie aus Sicherheitsgründen aber nur
in einem abgesicherten Testnetz einsetzen.
Unter Fedora und RHEL verhindert
zudem die standardmäßig aktive Firewall
VNC-Verbindungen von außen.
Port Forwarding
Wesentlich besser ist es, die Voreinstellungen
der VNC-Konfiguration zu belassen.
Um dennoch von einem externen
Rechner via VNC auf die virtuelle
Maschine zuzugreifen, verwenden Sie
SSH-Port-Forwarding. Diese Vorgehensweise
erspart auch Firewall-Änderungen
auf dem Host-Rechner. Die einzige Voraussetzung
besteht darin, dass auf dem
KVM-Host ein SSH-Server läuft. Diese Variante
kommt standardmäßig im Virtual
Machine Manager zur Anwendung, wenn
Sie virtuelle Maschinen steuern, die auf
einem anderen Host laufen.
Unter Fedora (merkwürdigerweise aber
nicht unter RHEL) wird SSH-Port-Forwarding
durch eine SELinux-Regel blockiert.
Wenn Sie also Fedora als KVM-Host einsetzen
und Ihre virtuellen Maschinen
auf einem anderen Rechner via SSH plus
VNC steuern möchten, müssen Sie auf
dem KVM-Host das Port-Forwarding explizit
erlauben. Dazu führen Sie dieses
Kommando aus:
root# setsebool ‐P sshd_forward_ports 1
Eine dritte Variante besteht darin, die
VNC-Kommunikation über die Konfigurationsdatei
»/etc/libvirt/qemu.conf« mit
TSL zu verschlüsseln. Das setzt allerdings
TSL-kompatible VNC-Viewer voraus.
Tipps zur richtigen Konfiguration finden
Sie unter [1].
Spice
Abbildung 1: Die Grafikeinstellungen im Virtual Machine Manager sind über zwei Dialogblätter verteilt.
Listing 1: Vesa-Konfiguration
01 Section "Device"
02 Identifier "device0"
03 Driver "vesa"
04 EndSection
www.admin-magazin.de
Admin
Ausgabe 06-2012
95

Virtualisierung
VNC und Spice
gung von Audio-Daten, die Verschlüsselung
(OpenSSL) und einiges mehr. Die
Kommunikation zwischen dem Host- und
Gastsystem erfolgt über sogenannte Virtual
Device Interfaces (VDIs). Gleichzeitig
ermöglicht der Einsatz von Spice
nahezu beliebig hohe Grafikauflösungen
innerhalb der virtuellen Maschine.
Spice bringt Sound
Im Vergleich zu VNC ist Spice nicht nur
effizienter, sondern hat zudem den Vorteil
der Audio-Unterstützung. Wenn Sie
die Audio-Ausgaben einer virtuellen Maschine
hören möchten, führt an Spice
momentan kein Weg vorbei. VNC sieht
zwar auch die Weitergabe von Audio-
Daten vor, die unter Linux verfügbaren
VNC-Clients sind aber dazu nicht in der
Lage.
Spice wurde ursprünglich wie KVM von
der Firma Qumranet entwickelt. Nachdem
Red Hat 2008 Qumranet erworben
hatte, gab es Spice Ende 2009 als Open-
Source-Projekt frei. Das Spice-Projekt ist
prinzipiell unabhängig von KVM, kommt
momentan aber nur in Kombination mit
KVM beziehungsweise QEMU zur Anwendung.
Technologisch weist Spice
Ähnlichkeiten zu den Virtio-Treibern
auf: Auch Spice setzt voraus, dass in den
virtuellen Maschinen paravirtualisierte
Treiber zum Einsatz kommen.
Schichtweise
Spice besteht aus drei Komponenten:
n Der Spice-Server ist direkt in QEMU/​
KVM integriert. Er ist für die Kommunikation
nach außen zuständig,
also für die Steuerung der
virtuellen Maschine durch
den Benutzer über eine
Netzwerk-Verbindung. Für
die virtuelle Maschine sieht
der Spice-Server wie eine
VGA-Grafikkarte aus.
n Der Spice-Client (bei aktuellen
Distributionen das
Kommando spicy aus dem
Paket »spice‐gtk‐tools«, bei
älteren Distributionen das
Kommando spicec aus dem
Paket »spice‐client«) ist ein
mit einem VNC-Viewer
vergleichbares Programm,
das das Grafiksystem der virtuellen
Maschine in einem Fenster anzeigt.
Aktuelle Versionen des Virtual Machine
Managers, von »virt‐viewer«
beziehungsweise von »vinagre« sind
ebenfalls Spice-kompatibel. Der Spice-
Client ist auch als Windows-Programm
verfügbar.
n Der QXL-Treiber wird in der virtuellen
Maschine installiert und stellt
sicher, dass die virtuelle Maschine
das Grafiksystem effizient und in hohen
Auflösungen benutzen kann. Der
QXL-Treiber steht momentan sowohl
für das X-System (Linux) als auch für
Windows zur Verfügung. Spice funktioniert
prinzipiell auch ohne den QXL-
Treiber, allerdings sind in der virtuellen
Maschine dann nur Auflösungen
von bis zu 1024 mal 768 Pixel möglich.
Außerdem bietet Spice dann keinen
Geschwindigkeitsvorteil im Vergleich
zu anderen Grafiklösungen.
Mit aktuellen Versionen von RHEL oder
Fedora können Sie Spice direkt mit dem
Virtual Machine Manager nutzen: Dazu
stellen Sie im Dialogblatt »Anzeige« der
Detailansicht »Typ = Spice« ein. Außerdem
müssen Sie im Dialogblatt »Video«
die Einstellung »Modell = qxl« vornehmen.
Nach dem Start wird das Grafiksystem
wie bisher im Konsolenfenster
des Virtual Machine Managers angezeigt.
Rein optisch werden Sie also keinen Unterschied
zu VNC bemerken.
Damit QXL vom Gast optimal unterstützt
wird, muss dort ein QXL-Treiber zur Verfügung
stehen. Bei aktuellen Linux-Distributionen
ist dies oft standardmäßig der
Fall. Bei manchen Linux-Distributionen
müssen Sie das QXL-Treiberpaket selbst
Abbildung 2: QXL-Treiberprobleme unter Windows 7.
installieren (Paketname zum Beispiel
»xserver‐xorg‐video‐qxl« beziehungsweise
»xorg‐x11‐drv‐qxl«). Falls der Treiber
beim nächsten Start von X nicht automatisch
aktiviert wird, fügen Sie in »/
etc/X11/xorg.conf« oder »/etc/X11/xorg.
conf.d/spice.conf« des Gasts die folgenden
Zeilen ein:
Section "Device"
Identifier "device0"
Driver "qxl"
EndSection
Im Netzwerk gelten für Spice im Wesentlichen
dieselben Regeln wie für VNC: Libvirt
weist dem Spice-Server neu gestarteter
virtueller Maschinen standardmäßig
den ersten freien Port ab 5900 und die
IP-Adresse 127.0.0.1 zu. Diverse globale
Spice-Einstellungen für die Libvirt-Werkzeuge
können Sie in »/etc/libvirt/qemu.
conf« verändern.
Unter Fedora und RHEL verhindert die
standardmäßig aktive Firewall Spice-Verbindungen
von außen. Abhilfe: Verwenden
Sie wie bei einer VNC-Verbindung
SSH mit Port-Forwarding, oder fügen Sie
der Firewall-Konfiguration eine entsprechende
Ausnahmeregel hinzu. Sie finden
vordefinierte Regeln im Dialogblatt »Andere
Ports« des Firewall-Konfigurationsprogramms.
Ubuntu mit Würze
Die beste Spice-Unterstützung bieten Fedora-
und RHEL-Distributionen. Ubuntu
stellt ab Version 12.04 immerhin auch
eine Spice-kompatible Version von
QEMU/​KVM zur Verfügung. Die erforderlichen
Pakete müssen aber extra installiert
werden:
apt‐get install qemu‐kvm‐spice U
spice‐client‐gtk
python‐spice‐client‐gtk
Unter Ubuntu 12.04 scheitert
der Einsatz von Spice
im Virtual Machine Manager
leider, weil dieses Programm
nicht die Spice-Variante von
»qemu‐kvm« aufruft. Diese
ist unter Ubuntu in einem
eigenen Programm versteckt
(»qemu‐kvm‐spice«). Sie können
Spice daher nur auf Kommandoebene
nutzen.
96 Ausgabe 06-2012 Admin www.admin-magazin.de

VNC und Spice
Virtualisierung
Die Virt-manager-Version unter Ubuntu
12.10 ist in dieser Hinsicht schon besser
vorkonfiguriert, sodass zumindest hostseitig
alles klappt. Der Versuch, Ubuntu
12.10 Beta 2 als Gast in einer virtuellen
Maschine mit Spice und QXL-Grafik
zu installieren, scheitert aber an einem
Prob lem des QXL-Treibers (der immerhin
automatisch aktiviert wird). Ob dieser
Fehler (Launchpad #1056381) bis zur Fertigstellung
von Ubuntu 12.10 noch behoben
wird, bleibt abzuwarten.
Windows
Die bisherigen Beispiele gingen davon
aus, dass in den virtuellen Maschinen
eine Linux-Distribution läuft. KVM ist
aber auch Windows-kompatibel. Der
Virtual Machine Manager entscheidet
sich bei Windows-Gästen automatisch
für den Grafiktreiber »vga«. Das ist eine
gute Wahl: Sowohl Windows XP als
auch Windows 7 kommen damit prob-
lemlos zurecht und unterstützen nahezu
beliebig hohe Auflösungen (getestet bis
2560x1600). Unter Windows 7 müssen
Sie allerdings auf die Aero-Effekte verzichten.
Theoeretisch wäre es auch möglich, Spice
für Windows-Gäste zu verwenden. QXL-
Windows-Treiber finden Sie auf [2] zum
Download (suchen Sie nach ’windows
guest tools’).
In der Praxis scheitert der Einsatz des
QXL-Treibers 0.1 unter Windows 7 leider
an Signaturproblemen. Im Geräte-Manager
ist nachzulesen, dass der Treiber
nicht korrekt signiert sei (Fehler 52).
Fazit
Im Server-Einsatz spielt das Grafiksystem
von virtuellen Maschinen nur eine untergeordnete
Rolle und ist primär während
der Installation wichtig. Anders sieht es
aus, wenn KVM für die Desktop-Virtualisierung
eingesetzt wird: Hier bietet das
neue Protokoll Spice klare Vorteile gegenüber
VNC. Leider funktioniert Spice
nicht bei allen Distributionen out of the
box. Besonders gut klappt der Einsatz
von Spice unter Fedora und RHEL. An
ihre Grenzen stoßen sowohl VNC als
auch Spice, wenn es um 3D-Grafik geht:
Anders als VMware oder Virtualbox
bietet KVM zur Zeit keine Möglichkeit,
3D-Funktionen an virtuelle Maschinen
weiterzugeben. (ofr)
n
Infos
[1] VNC mit TLS:
[http:// wiki. libvirt. org/ page/ VNCTLSSetup]
[2] QXL-Treiber für Windows:
[http:// spice‐space. org/ download. html]
Der Autor
Michael Kofler [http:// kofler. info] arbeitet als
selbstständiger Computerbuch-Autor und Trainer.
Zuletzt hat er das Buch „Linux 2013“ im Addison-
Wesley-Verlag veröffentlicht.
Anzeige
Die heute führenden Spezialisten stammen oft aus der "Freie Software-Szene" und schulen seit
Jahren im Linuxhotel. Das erklärt die Breite und Qualität unseres Schulungsangebotes:
AJAX * Amavis * Android * Angriffstechniken * Apache * Asterisk * BaseX * BayesianAnalysis * Bind * C/C++ * Cassandra *
CiviCRM * Cloud * Cluster * ClusterFS * CouchDB * CSS3 * CUPS * Debian * DHCP * DNS * DNSSEC * Echtzeit Linux *
Embedded Linux * eXist-db * Faces * FAI * Firewall * Forensik * FreeBSD * FreeRADIUS * GeoExt * Git * Grails * GRASS *
Groovy * hadoop * Hochverfügbarkeit * HTML5 * Hudson * iSCSI * IPv6 * ITSM * Java * JavaScript * Jenkins * Kernel * KVM
* LDAP * LibreOffice * Linux * LPI * m23 * MacOSX * MapFish * Mapserver * Maven * Mikrocontroller * MVS/380 * MySQL *
Nagios * Node.js * OpenBSD * OpenLayers * OpenOffice * openQRM * OpenVPN * OPSI * OSGi * OTRS * Perl * PHP *
Postfix * PostgreSQL * Puppet * Python * QuantumGIS * R * Rails * RedHat * Routing * Request-Tracker RT * Ruby * Samba
* SAN * Scala * Scribus * Shell * Sicherheit * SNMP * Spacewalk * Spamfilter * SQL * Struts * Subversion * SuSE * TCP/IP *
Tomcat * Treiber * TYPO3 * Ubuntu * UML * Unix * Univention * Virenfilter * Virtualisierung * VoIP * WebGIS * Webservices *
Windows Autoinstall * Windowsintegration * x2go * xen * XML * Xpath * Xquery * z/OS * Zabbix * Zend
Fast 100% der Teilnehmer empfehlen uns weiter. Siehe www.linuxhotel.de
Ja, wir geben es zu und haben überhaupt kein schlechtes Gewissen dabei: Unsere Schulungen machen auch Spaß ;-)
www.admin-magazin.de
Admin
Ausgabe 06-2012
97

Virtualisierung
Virtualbox
© Renjith Krishnan, 123RF
PHP-Virtualbox und Remotebox im Vergleich
Aus der Ferne
Oracles Virtualbox ist bei Endanwendern eine beliebte Virtualisierungslösung für den Desktop, läuft aber auch
ohne GUI auf dem Server. Das Webinterface PHP-Virtualbox oder die native Perl/​GTK-Oberfläche Remotebox
macht Virtualbox mit wenig Aufwand fernsteuerbar. Thomas Drilling
Nicht jeder Admin weiß, dass das eher
für Desktop-Virtualisierung bekannte
Virtualbox auch die Voraussetzungen
für einen Server-Einsatz inklusive Kommandozeilen-Interface
erfüllt. Optional
erschließen zwei in PHP und Perl/​GTK
realisierte grafische Benutzeroberflächen
die Server-Funktionen von Virtualbox auf
besonders komfortable Weise, sodass eine
auf PHP-Virtualbox [1] oder Remotebox
[2] basierende Virtualisierungs-Lösung
sowohl strategisch als auch funktional
die Lücke des von VMware vor Jahren
eingestellten VMware-Servers füllt.
Standortbestimmung
Im Bereich professioneller Virtualisierungslösungen
buhlen in der Linux-Welt
neben dem Marktführer VMware vor allem
Citrix Xen-Server und Red Hats RHEV
um des Admins Gunst. Darüber hinaus
können versierte Linux-Administratoren
individuelle Lösungen auf Basis von
KVM oder Xen erstellen und auf Linux-
Maschinen den auf Libvirt basierenden
Virtmanager als Interface nutzen.
Rein funktional spielt eine auf Basis von
KVM/​Virtmanager realisierte oder erweiterte
Virtualbox-Virtualisierung in der semiprofessionellen
Liga. Sinn und Zweck
solcher Setups liegt darin, eine größere
Anzahl virtueller Maschinen zentral
auf einem Server lagern und verwalten,
konfigurieren oder steuern zu können.
Zwar lassen sich bei Virtualbox problemlos
Container-Dateien und ISO-Files
auf einen Fileserver lagern, der Virtual
Machine Manager von Virtualbox müsste
dann aber auf jedem Host laufen, auf
dem virtuelle Maschinen genutzt werden
sollen.
Auch wenn den einen oder anderen Admin
in kleinen Umgebungen (KMUs)
diese Art Virtualisierung am Desktop zufriedenstellt,
hat ein solches Setup natürlich
trotzdem nichts mit Desktop-Virtualisierung
zu tun, weil jedes Image explizit
einer virtuellen Maschine zugeordnet
ist, und es kein dynamisches Session-
Broking, also eine dynamische Zuodnung
von Nutzern zu einem aus einem Master-
Image abgeleiteten Desktop gibt.
Fernsteuerung
Virtualbox kennt allerdings auch einen
echten Server-Modus. Der einzige Nachteil
gegenüber dem Virtual Machine
Manager bei der Desktop-Nutzung besteht
dann darin, dass die Anzeige des
Bildschirminhaltes via RDP stattfindet.
Nichtsdestotrotz bietet sich ein Szenario
wie das im Folgenden beschriebene
insbesondere für Admin in kleinen Unternehmen
an, die ihre Testumgebungen
zentral verwalten oder ihren Nutzern auf
einfache Weise virtuelle Maschinen zur
Verfügung stellen wollen, ohne dazu die
Virtualisierungssoftware auf dem Arbeitsplatz
des Nutzer installieren zu müssen.
Handelt es sich dabei wie in vielen Unternehmen
um Mac- oder Windows-Arbeitsplätze,
scheidet eine Linux-basierte
Lösung mit KVM und Virtmanager aus,
und wer kein Geld für VMware oder Citrix
ausgeben kann oder will, sollte sich
Remotebox oder PHP-Virtualbox ansehen.
Ein weiterer Vorteil beider Lösungen
besteht darin, dass der Admin zum
Beispiel mit PHP-Virtualbox nicht nur
auf Workstation-Seite plattformunabhängig
ist, sondern auch auf dem Server.
Wir testen die Server-Seite im Folgenden
allerdings nur mit einem Linux-Server.
Virtualbox lässt sich von Haus aus auch
als Virtualisierungslösung auf einem
Server einsetzen, denn mit dem Installieren
des optionalen Extension Packs
von Oracle stellt Virtualbox den virtu-
98 Ausgabe 06-2012 Admin www.admin-magazin.de

Virtualbox
Virtualisierung
ellen Maschinen unter anderem eine
RDP-Schnittstelle zur Verfügung. Ist
der Extension-Pack installiert, muss der
Admin dazu lediglich in der Konfiguration
der virtuellen Maschine im Bereich
»Anzeige« im Reiter »Fernsteuerung« die
Funktion »Server aktivieren« mit dem
gleichnamigen Ankreuzfeld einschalten
und gegebenenfalls den Port festlegen.
Fortan kann er mit einem beliebigen
RDP-Client wie zum Beispiel den bei KDE
mitgelieferten »krdc« auf seine virtuelle
Maschinen zugreifen.
Das klappt allerdings nur für die Bildschirmausgabe
einer laufenden virtuellen
Maschine. Virtualbox bringt jedoch
von Haus aus noch weitere Funktionen
für den Server-Betrieb mit, darunter ein
Kommando-Interface und eine SOAP-
Schnittstelle zur Steuerung von Virtualbox
über ein API. Beide im Folgenden
vorgestellten Tools machen von SOAP
und/​oder Headless-Modus Gebrauch.
Virtualbox startklar
machen
Passende Virtualbox-Pakete für nahezu
alle wichtigen Distributionen und Architekturen
finden sich auf Oracles Virtualbox-Seite
[3]. Virtualbox selbst ist seit
der Version 4.0 unter der GPL Version
2 lizensiert. Die zum Testzeitpunkt aktuellste
Version 4.2 dürfte in der Regel
neuer sein als die in den Paketquellen der
meisten Linux-Distributionen enthaltene
Version.
Die Installation wird keinen erfahrenen
Linux-Admin vor Probleme
stellen. Darüber hinaus
bietet die Download-Seite
Installationshinweise für alle
wichtigen Distributionen. Die
Bereitstellung eines RDP-Servers
erfordert darüber hinaus
das Installieren des plattformunabhängigen
Virtualbox-
Extension-Packs, der sich
zwar ebenfalls kostenlos von
der Download-Seite herunterladen
lässt, allerdings der
Oracle-eigenen „Virtualbox
Personal Use and Evaluation
License (PUEL)“ [4] unterliegt
(Abbildung 1). Firmenkunden
müssen für das Extensionpack
eine kommerzielle
Lizenz inklusive Support kaufen. Beim
Herunterladen oder Aktualisieren einer
via Paketmanager installierten Version
ist unbedingt darauf zu achten, dass die
Versionsnummer des Extensionpacks mit
der von Virtualbox übereinstimmt, sonst
lässt er sich nicht installieren.
Das GUI von Virtualbox verwaltet das
Extensionpack unter »Datei | Globale Einstellungen,
Zusatzpakete« und lässt sich
von dort aus auch neu installieren oder
beim Upgraden einer vorher installierten
Version aktualisieren.
In Betrieb
PHP-Virtualbox ist eine moderne in PHP
realisierte Weboberfläche, in der die Benutzeroberfläche
von Virtualbox dank
Ajax nachempfunden ist. So kann der
Admin mit PHP-Virtualbox komfortabel
virtuelle Maschinen auf einem entfernten
Server anlegen, starten und beenden. Die
Voraussetzungen auf Server-Seite sind
moderat. Hier muss lediglich ein Apache-
Webserver mit PHP laufen. Ein ebenfalls
auf dem Server installiertes Virtualbox
lässt sich dann über das Netz problemlos
fernsteuern.
Die Bildschirmausgabe der virtuellen Maschinen
findet wie gezeigt via RDP statt.
RDP-Clients gibt es für alle Betriebssysteme
in großer Auswahl. Die meisten Linux-Distributionen
liefern »kdrc« oder das
CLI-Tool »rdesktop« mit. PHP-Virtualbox
muss als Web-Anwendung nicht installiert
werden. Es genügt, das heruntergeladene
ZIP-Archiv der aktuellen Version
Abbildung 1: Das Installieren des Extensionpacks über die zugehörige GUI ist ein
Kinderspiel, aus lizenrechtlichen Gründen aber notwendig.
4.2.2 im Document-Root des Webservers
zu entpacken. Der Admin muss allerdings
beim Herunterladen von PHP-Virtualbox
darauf achten, dass die gewählte Version
zur installierten Virtualbox-Version passt.
Selbstverständlich muss Apache mit PHP-
Unterstützung laufen. Ob das der Fall ist,
lässt sich bei Debian-basierten Distributionen
beispielsweise mit
sudo apache2 ‐t ‐D DUMP_MODULES
in Erfahrung bringen und falls nicht gegebenenfalls
mit
sudo a2endmod php5
aktivieren. Ist das PHP-Modul nicht installiert,
muss der Admin zuvor noch das
Paket »libapache2‐mod‐php5« nachrüsten
und Apache anschließend neu starten.
Danach kann er das Zip-Archiv von PHP-
Virtualbox-4.2.2 ins Document-Root des
des Webservers entpacken, zum Beispiel
nach »/var/www/phpvirtualbox«.
sudo unzip ‐q phpvirtualbox‐4.2.2.zip U
‐d /var/www/
sudo mv /var/www/phpvirtualbox‐4.2.2/ U
/var/www/phpvirtualbox
Zur Konfiguration von PHP-Virtualbox
muss der Admin die mitgelieferte Konfigurationsdatei
»/var/www/phpvirtualbox/config.php«
in wenigen Punkten den
eigenen Bedürfnissen anpassen. So stellt
er etwa in Zeilen
var $username = 'vbox';
var $password = 'pass';
var $location = 'http://localhost:18083/';
den Benutzernamen und
Passwort des Benutzers, unter
dem Virtualbox laufen,
sowie die Serveradresse ein.
Die Account-Daten sollten für
einen ersten Test dem verwendeten
Unix-Account des Linux-Benutzers
entsprechen.
Eigener User
Da das Passwort ohnehin im
Klartext in der Konfigurationsdatei
steht, empfiehlt es
sich, für den Remote-Betrieb
von Virtualbox ein separates
Benutzerkonto einzurichten
und die Daten in der Datei
»config.php« anzupassen. Als
www.admin-magazin.de
Admin
Ausgabe 06-2012
99

Virtualisierung
Virtualbox
Vermittler zwischen den PHP-Skripten
von PHP-Virtualbox und Virtualbox
selbst fungiert der im Virtualbox enthaltene
Dienst »vboxwebsrv«. Das Binary
landet beim Installieren von Virtualbox
unter »/usr/bin/vboxwebsrv« und enthält
die komplette Virtualisierung in der
Server-Version.
VBox-Webserver
Der Admin muss also darauf achten, dass
die lokale GUI-Version von Virtualbox
nicht läuft, weil sich »vboxwebsrv« sonst
nicht starten lässt und die Verbindung zu
PHP-Virtualbox scheitert. Für einen Test
genügt es zunächst, den Dienst unter
dem Account des in »php.config« eingetragenen
Benutzerkontos durch Aufruf
von »vboxwebsrv« manuell zu starten. Ist
das geschehen, sollte die Weboberfläche
von PHP-Virtualbox im Browser unter
der Adresse »http://Hostname/phpvirtualbox«
erreichbar sein.
Im Beispiel (Abbildung 2) wurde PHP-
Virtualbox direkt im Document-Root
des Webservers installiert. Außerdem ist
beim Anmelden an der Startseite darauf
zu achten, dass der Default-Acccount für
PHP-Virtualbox »admin/admin« lautet
und nichts mit dem beschriebenen Account
zu tun hat, unter dem Virtualbox
läuft. Der Admin kann den Account für
»admin« dann in der Weboberfläche unter
»File | Change Password« ändern.
Wie beschrieben sieht die Oberfläche exakt
so aus, wie vom nativen Interface
bekannt. Für die Bildschirmanzeige einer
laufenden virtuellen Maschine braucht
der Admin allerdings einen separaten
RDP-Client. Wer eine deutsche Lokalisierung
möchte, wählt im Webinterface
unter »Preferences | Language« die gewünschte
Sprache. Zum gleichen Ergebnis
führt es, in der Zeile
var $language = 'en';
der Datei »/var/www/phpvirtualbox/
config.php« »de« einzustellen. Ferner
lassen sich im Webinterfaces unter »Preferences«
beziehungsweise »Globale Einstellungen«
weitere Benutzer einrichten.
Wichtig ist, dass für RDP-Support in
Virtualbox der Extension-Pack installiert
und unter »Globale Einstellungen | Allgemein
| VDRP Authentisierungsbibliothek«
»VboxAuth« eingetragen ist. Ansonsten
Abbildung 2: Das erste Login an PHP-Virtualbox klappt mit »admin/admin«. Das Default-Passwort sollte dann
umgehend geändert werden.
unterscheidet sich die Bedienung nicht
von der des nativen Interfaces. Dank Ajax
gibt es auch Kontextmenüs, sodass in
PHP-Virtualbox sämtliche Funktionen
verfügbar sind, die auch die native GUI
bietet, inklusive dem Klonen virtueller
Maschinen.
Automatischer Start
Die Bildschirmausgabe der virtuellen Maschinen
erscheint allerdings nicht in einem
Popup-Fenster des Virtual Maschine
Managers (Konsole), sondern im separat
zu startenden RDP-Client. Die Darstellungsleistung
ist deutlich größer als etwa
bei einem VNC-Client oder bei VNC/​
Flash-basierten Browser-Lösungen.
Soll PHP-Virtualbox permanent laufen,
muss der Admin den Dienst beim Systemstart
als Init-Skript starten. Erfreulicherweise
stellen die Entwickler ein fertiges
Init-Skript zum Herunterladen [5] zur
Verfügung. Der Admin muss lediglich in
der Zeile
"USER="..
den Default-Nutzer »vbox« durch den Benutzer,
unter dessen Account der Dienst
laufen soll, ersetzen – also dem gleichen
Benutzernamen, der bereits in »config.
php« eingetragen ist. Danach kann das
Skript mit den passenden Zugriffsrechten
versehen ins SysV-Init-Startverzeichnis »/
etc/init.d« verschoben werden. Nach einem
»sudo update‐rc.d vboxwebsrv defaults«
sollte der Dienst nach dem nächsten
Reboot automatisch starten.
Remotebox
Den gleichen Zweck wie PHP-Virtualbox
erfüllt Remotebox, ein in Perl und GTK
realisiertes grafisches Frontend zum Verwalten
entfernter Virtualbox-Instanzen
im Headless-Modus. Remotebox lässt
sich als freie Software, die unter der GPL2
lizensiert ist, von der Website [2] herunterladen.
Auch hier muss die Version zur
installierten Virtualbox-Version passen.
Die aktuelle Version 1.4 setzt Virtualbox
4.2.x voraus.
Auch RemoteBox nutzt RDP zum Anzeigen
des Desktops entfernt laufender
virtueller Maschinen. Anders als PHP-
Virtualbox kommuniziert Remotebox
nicht via »vboxwebsrv« mit Virtualbox,
sondern steuert dessen Headless-Modus
»/usr/bin/vboxheadless« an. Im Headless-Modus
von Virtualbox werden die
VMs nicht mithilfe der Virtualbox-GUI,
sondern über die Kommandozeile gesteu-
100 Ausgabe 06-2012 Admin www.admin-magazin.de

Virtualbox
Virtualisierung
Abbildung 3: Das GTK-GUI von Remotebox lässt sich jederzeit starten. Die Verbindung zum Virtualbox-Server
initiiert erst ein Klick auf die Connect-Schaltfläche.
ert. Im Headless-Modus erscheint auch
kein grafisches Fenster als Konsole der
VM. Virtualbox initiiert stattdessen eine
Remote-Desktop- oder SSH-Verbindung
zur Konsole der VM.
Da Remotebox in Perl und GTK geschrieben
ist, ist das Tool weitgehend plattformunabhängig
und in Versionen für Linux,
Mac OS X und Windows verfügbar.
Die Inbetriebnahme ist etwas weniger
aufwendig als bei PHP-Virtualbox. Als
Perl-Programm muss auch Remotebox
nicht übersetzt oder installiert werden,
erfordert aber, dass die Pakete »perl«,
»libgtk2‐perl« und »libsoap‐lite‐perl«
installiert sind.
Remotebox lässt sich jederzeit unabhängig
von Virtualbox starten. Die Verbindung
zum Virtualbox-Headless-Modus initiiert
der Admin erst aus der GUI heraus,
indem er auf die »Connect«-Schaltfläche
klickt und im sich öffnenden Dialog die
URL zum Server und die Login-Daten
eingibt (Abbildung 3).
Hierbei handelt es sich um den Unix-
Account, unter dem Virtualbox läuft. Die
GUI selbst bietet funktional nicht weniger
als PHP-Virtualbox, ist aber derzeit nicht
deutsch lokalisiert. Der Workaround
zum Anzeigen der Desktops laufender
virtueller Maschinen ist dagegen deutlich
einfacher als bei PHP-Virtualbox. Hierzu
genügt ein Klick auf das Symbol »Remote
Display« in der Werkzeugleiste. Ein separates
Starten eines RDP-Clients ist nicht
erforderlich.
Fazit
Beide Virtualbox-Clients bieten den vollen
funktionalen Zugriff auf eine entfernt
laufende Virtualbox-Instanz, darunter das
entfernte Verwalten des Virtualbox-Servers
und der virtuellen Maschinen, das
Konfigurieren von virtueller Maschinen,
inklusive Prozessor, Display, Eingabegeräte
(USB), Audio-I/​O-Ports und freigegebene
Ordner oder die Kontrolle laufender
Gastsysteme (Stop, Start, Pause). Ferner
lassen sich mit beiden Tools virtuelle
Maschinen klonen oder Gast-Snapshots
anlegen und vieles mehr.
Rein funktional erfüllt Virtualbox in
Kombination mit PHP-Virtualbox oder
RemoteBox genau jene Rolle, die der vor
längerer Zeit eingestellte VMware-Server
einst inne hatte.
Beide Lösungen haben ihren Charme und
bieten in Umgebungen ohne Enterprise-
Ansprüchen, etwa kleinen Unternehmen,
mehr Komfort als etwa ein KVM-basierter
Hypervisor mit Virtmanager oder einem
anderen der zahlreichen KVM-GUIs.
Allerdings hat Virtualbox selbst an den
skizzierten Möglichkeiten einen weit
größeren Anteil, als PHP-Virtualbox oder
Remotebox selbst, denn »vboxwebsrv«
und »vboxheadless« sind Funktionen, die
Virtualbox schon länger kennt. Auch das
Zurverfügungstellen des obligatorischen
RDP-Servers geht auf das Konto von Virtualbox.
PHP-Virtualbox und Remotebox machen
die gebotenen Remote-Funktionen lediglich
in einem Web- beziehungsweise
GTK-GUI verfügbar.
Nicht verschwiegen werden sollte auch,
dass eine derart realisierte Lösung zur
zentralen Steuerung virtueller Maschinen
ihre Grenzen hat, nicht nur in punkto
Verwaltung, sondern vor allem unter Performance-
und Sicherheitsaspekten.
Da beide Lösungen von Haus aus weder
eine Verschlüsselung der Netzwerkverbindungen,
noch sichere Authentifizierung
über RDP bieten, ist der Einsatz
auf einem Server im Internet tabu, es sei
denn der Admin betreibt deutlich mehr
Aufwand in Sicherheitsaspekten, was die
Konfiguration aber wesentlich komplexer
macht und die Vorteile gegenüber einer
kommerziellen Cloud- oder Datacenter-
Lösung schwinden lässt. (ofr) n
Infos
[1] PHP-Virtualbox:
[http:// code. google. com/ p/ phpvirtualbox]
[2] RemoteBox:
[http:// remotebox. knobgoblin. org. uk]
[3] Download Oracle Virtualbox: [https:// www.​
virtualbox. org/ wiki/ Linux_Downloads]
[4] Virtualbox Lizenzmodell:[https:// www.​
virtualbox. org/ wiki/ VirtualBox_PUEL]
[5] Init-Skript für PHP-Virtualbox:[http://​
phpvirtualbox. googlecode. com/ files/​
vboxwebsrv]
Der Autor
Thomas Drilling ist seit mehr als zehn Jahren
hauptberuflich als freier Journalist und Redakteur
für Wissenschafts- und IT-Magazine tätig.
Er selbst und das Team seines Redaktionsbüros
verfassen regelmäßig Beiträge zu den Themen
Open Source, Linux, Server, IT-Administration und
Mac OS X. Außerdem arbeitet Thomas Drilling als
Buchautor und Verleger, berät als IT-Consultant
kleine und mittlere Unternehmen und hält Vorträge
zu Linux, Open Source und IT-Sicherheit.
www.admin-magazin.de
Admin
Ausgabe 06-2012
101

Virtualisierung
Hyper-V Live-Migration
© maridav, 123RF
Live-Migration virtueller Maschinen unter Hyper-V
Wandertag
In der neuen Version von Hyper-V hat Microsoft die Möglichkeiten für
Live-Migration und Hochverfügbarkeit verbessert und vereinfacht. Dieser
Artikel gibt einen Überblick. Thomas Joos
Microsoft hat mit Windows Server 2012
die Hochverfügbarkeit in allen Bereichen
weiter verbessert und zusätzliche Optionen
auch für kleinere Unternehmen integriert.
So ist es zum Beispiel möglich, die
Live-Migration auch auf Hyper-V-Hosts
ohne Cluster zu nutzen oder virtuelle
Maschinen zwischen Hyper-V-Hosts zu
replizieren, ohne diese clustern zu müssen.
Mit dem kostenlosen Hyper-V-Server
2012 bietet Microsoft die Hyper-Funktionen
der Datacenter-Edition von Windows
Server 2012 vollkommen kostenfrei an.
Mit dieser Variante von Windows Server
2012 können Sie auch Cluster installieren,
sowie die Funktionen nutzen, die
wir nachfolgend beschreiben.
Mit Hyper-V-Replika lassen sich virtuelle
Server zwischen Hyper-V-Hosts replizieren
also von einem Quell-Server auf den
Ziel-Server kopieren. Dieser Vorgang kann
adhoc erfolgen oder über einen Zeitplan
gesteuert. Aktiv bleibt immer der virtuelle
Server auf dem Quell-Server, der
virtuelle Server auf dem Ziel-Server bleibt
ausgeschaltet. Administratoren können
ein Failover des virtuellen Servers manuell
durchführen oder den virtuellen
Server jederzeit erneut replizieren.
0 Downtime
Mit der Live-Migration ohne Cluster
können Administratoren virtuelle Server
im laufenden Betrieb vom Quell- auf
den Ziel-Server verschieben und online
schalten. Neu in Windows Server 2012 ist
hierbei die Möglichkeit, mehrere Live-Migrationen
gleichzeitig durchzuführen. Im
Gegensatz zur Replikation ist der virtuelle
Server weiterhin nur auf einem Server
verfügbar und kann im laufenden Betrieb
verschoben werden. Weiterhin gibt es in
Windows Server 2012 die Möglichkeit,
Hyper-V in einem Cluster zu betreiben
und virtuelle Server als Clusterressourcen
zu definieren. Hier sind die virtuellen
Server schnell und einfach zwischen
den Knoten verschiebbar. Einen solchen
Cluster können Unternehmen jetzt auch
mit der Standard-Edition aufbauen (Abbildung
1). Alle diese Funktionen stehen
über Hyper-V Server 2012 auch kostenlos
zur Verfügung.
Die Konfiguration der Replikation erfolgt
über einen Assistenten im Hyper-V-Manager
oder in der Powershell. Die Einrichtung
nehmen Sie über einen Assistenten
im Hyper-V-Manager vor. Interessant
ist diese Funktion zum Beispiel für den
Betrieb einer Testumgebung oder eines
Backup-Servers.
Damit Hyper-V-Hosts eine solche Replikation
ermöglichen, müssen Sie sie zunächst
für alle beteiligten Hyper-V-Hosts
aktivieren. Starten Sie den Assistenten
über das Kontextmenü des virtuellen Servers
auf dem Quell-Server, und geben Sie
den Ziel-Server ein, also den Hyper-V-
Host, auf den Sie die virtuelle Maschine
replizieren wollen.
Landeplatz
Damit ein Hyper-V-Host für Replikate
zur Verfügung steht, müssen Sie auf
dem entsprechenden Server in den »Hyper‐V‐Einstellungen«
im Bereich »Replikationskonfiguration«
diese Funktion erst
aktivieren und konfigurieren. Sie legen
hier fest, von welchen Rechnern der aktuelle
Server Replikate entgegennimmt.
(Abbildung 2).
Haben Sie die Konfiguration nicht vor Aktivierung
der Replikation auf den Hosts
vorgenommen, erkennt der Replikations-
Assistent dies und schlägt die Konfiguration
des Ziel-Servers während der Replikation
vor. Diese Konfiguration ist dann
auch über das Netzwerk möglich.
Um einen virtuellen Server auf einen anderen
Hyper-V-Host mit Windows Server
2012 oder Hyper-V Server 2012 zu replizieren,
klicken Sie nach der Konfiguration
der Hosts mit der rechten Maustaste
auf den entsprechenden virtuellen Server
und wählen »Replikation aktivieren«. Es
startet ein Assistent, in dem Sie festlegen,
wie Sie den ausgewählten Server
vom Quell-Server auf den Ziel-Server
replizieren.
102 Ausgabe 06-2012 Admin www.admin-magazin.de

Hyper-V Live-Migration
Virtualisierung
Im Assistenten legen Sie außerdem den
Ziel-Server fest und anschließend den
Authentifizierungstyp. Welche Authentifizierung
der Ziel-Server akzeptiert,
bestimmen Sie wiederum auf dem Ziel-
Server in den Hyper-V-Einstellungen über
»Replikationskonfiguration«.
Außerdem steuern Sie im Assistenten,
welche virtuellen Festplatten Sie replizieren
wollen. Dort können Sie auch die
Snapshots des Servers übertragen. Außerdem
legen Sie fest, ob Sie die erste
Replikation über ein Speichermedium
wie eine externe Festplatte durchführen
wollen oder direkt über das Netzwerk.
Auch einen Zeitplan legen Sie an dieser
Stelle fest (Abbildung 3).
Firewall einstellen
Damit die Replikation funktioniert, müssen
Sie auf dem Ziel-Server in den erweiterten
Einstellungen der Windows-
Firewall (»wf.msc«) die Regeln für den
HTTP- oder den HTTPS-Listener aktivieren.
Die Regeln sind bereits angelegt,
aber noch nicht aktiviert.
Nachdem Sie die Replikation durchgeführt
haben, befindet sich der virtuelle
Server auf dem Ziel-Server, ist aber ausgeschaltet.
Über das Kontextmenü des
virtuellen Servers auf dem Quell-Server
können Sie über »Replikation« das Replikationsverhalten
anpassen und den Status
abrufen. Die Replikation können Sie
auch zwischen verschiedenen Editionen
von Windows Server 2012 durchführen
und auch Hyper-V Server 2012 als Quellund
Ziel-Server nutzen. Am einfachsten
ist die Replikation, wenn Sie eine Active-
Directory-Struktur zur Authentifizierung
nutzen.
Über das Kontextmenü und der Auswahl
von »Replikation« können Sie auch ein
Failover durchführen. In diesem Fall kann
der virtuelle Server auf dem Ziel-Server
(Replikat) die Aufgaben des virtuellen
Servers auf dem Quell-Server (Original)
übernehmen. Die Replikation können
Sie jederzeit beenden. Bei jeder erneuten
Replikation legt Hyper-V auf dem Ziel-
Server einen Snapshot des virtuellen
Servers an.
Verbesserter Zugriff auf
Freigaben
Auch für Hyper-V ist der deutlich verbesserte
und beschleunigte Zugriff auf Dateifreigaben
in Windows Server 2012 von
Bedeutung. Dank ihm lassen sich jetzt
auch virtuelle Festplatten auf Freigaben
speichern, was wiederum Replikation
und Live-Migration beschleunigt. Für
den Zugriff auf Dateiserver verwenden
Windows-Rechner das Server Message
Protocol (SMB), das auf Linux-Server
durch Samba implementiert wird.
Windows 8 und Windows Server 2012
führen das neue SMB-Protokoll 2.2 ein.
Es beschleunigt den Zugriff auf Daten
im Netzwerk, die bisher normalerweise
lokal gespeichert sein sollten. Beispiele
dafür sind SQL-Server-Datenbanken
oder die Dateien von Hyper-V-Computern.
Die neue Version erlaubt mehrere
parallele Zugriffe
auf Dateifreiga-
ben. Das heißt einzelne Zugriffe über
das Netzwerk bremsen sich nicht mehr
untereinander aus.
Zusätzlich ermöglicht SMB 2.2 beim Einsatz
auf geclusterten Dateiservern einen
besseren Failover zwischen Clusterknoten.
Dabei berücksichtigt Windows Server
2012 die SMB-Sitzungen der Benutzer
und Server und behält diese auch
bei, wenn virtuelle Dateiserver zwischen
Clusterknoten verschoben werden.
Live-Migration ohne Cluster
Virtuelle Server lassen sich wie erwähnt
mit der neuen Live-Migration auf einen
anderen Hyper-V-Host verschieben, auch
wenn dieser nicht Bestandteil eines Clusters
ist. Bei diesem Vorgang darf die entsprechende
virtuelle Maschine gestartet
sein. Für die Live-Migration muss auf
beiden Servern der gleiche Prozessortyp
zum Einsatz kommen, sonst bricht der
Vorgang mit einem Fehler ab. In diesem
Fall nutzen Sie Hyper-V-Replika, die keine
identischen Prozessore voraussetzen.
Damit Sie die Live-Migration ohne Cluster
nutzen können, müssen die entsprechenden
Hyper-V-Hosts Mitglied der gleichen
Active Directory-Domäne sein. Das
Verschieben von virtuellen Servern mit
der Hyper-V-Rolle muss ein Domänen-
Administrator durchführen. Außerdem
muss das Konto Mitglied der lokalen
Administratorgruppe auf beiden Hyper-
V-Hosts sein. Damit Sie zwischen Hyper-
V-Hosts ohne Cluster Live-Migrationen
Abbildung 1: Verwalten replizierter virtueller Server im Cluster.
Abbildung 2: Aktivieren der Replikatskonfiguration in Hyper-V.
www.admin-magazin.de
Admin
Ausgabe 06-2012
103

Virtualisierung
Hyper-V Live-Migration
Abbildung 4: Starten einer Live-Migration ohne Cluster.
Abbildung 3: Festlegen des Zeitplans der Replikation.
durchführen können, müssen Sie für
die entsprechenden Computerkonten in
Active Directory Einstellungen bezüglich
der Kerberos-Authentifizierung vornehmen.
Rufen Sie dazu in »Active Directory‐Benutzer
und ‐Computer« jeweils die Eigenschaften
der beiden Computer auf,
und wechseln Sie zur Registerkarte »Delegierung«.
Aktivieren Sie die Option
»Computer bei Delegierungen angegebener
Dienste vertrauen« und die Option
»Nur Kerberos verwenden«. Klicken Sie
anschließend auf »Hinzufügen«, und
wählen Sie den Server und die Dienste
aus, die für das entsprechende Computerkonto
Berechtigungen haben sollen. Für
die Live-Migration wählen Sie dazu den
Server und die Dienste »cifs« und »Microsoft
Virtual System Migration Service«
sowie »Microsoft Virtual Control Service«
aus. Nehmen Sie diese Einstellung auf
allen Hyper-V-Hosts vor, die virtuelle Maschinen
austauschen sollen. Auch hier
können Sie virtuelle Server zwischen
verschiedenen Editionen von Windows
Server 2012 auswählen und auch auf
Hyper-V Server 2012 setzen.
Mit Limit
Im nächsten Schritt müssen Sie auf
beiden Hyper-V-Hosts in den Hyper-V-
Einstellungen im Hyper-V-Manager die
Live-Migration konfigurieren. Sie finden
diese Einstellung im Bereich »Live-Migrationen«.
Schalten Sie zunächst die Option
»Ein‐ und ausgehende Live-Migration ermöglichen«
ein. Aktivieren Sie danach
bei »Authentifizierungsprotokoll«
die Option »Kerberos
verwenden«.
Legen Sie fest, wie
viele Live-Migrationen
gleichzeitig
auf dem Server erlaubt sein sollen.
Der Standardwert in diesem Bereich ist
2. Aktivieren Sie dann bei »Eingehende
Live-Migrationen« entweder »Beliebiges
verfügbares Netzwerk für die Live-Migration
verwenden«, oder hinterlegen Sie
manuell IP-Adressen.
Wie die meisten Einstellungen in Windows
Server 2012, können Sie auch diese
Einstellung in der Powershell vornehmen.
Dazu verwenden Sie der Reihe nach die
folgenden Commandlets:
n »Enable‐VMMigration«
n »Set‐VMMigrationNetwork IP‐Adresse«
n »Set‐VMHost ‐VirtualMachineMigrationAuthenticationType
Kerberos«
Anschließend können Sie virtuelle Server
verschieben. Klicken Sie mit der rechten
Maustaste auf den virtuellen Server den
Sie zwischen Hyper-V-Hosts verschieben
wollen, und wählen Sie aus dem
Kontextmenü die Option »Verschieben«.
Anschließend wählen Sie auf der Seite
»Verschiebungstyp auswählen« die Option
»Virtuellen Computer verschieben«.
Anschließend wählen Sie den Zielcomputer
aus, auf den Sie den entsprechenden
Computer verschieben wollen.
Im nächsten Fenster können Sie die Live-
Migration noch genauer spezifizieren.
Sie haben die Möglichkeit, verschiedene
Daten des virtuellen Servers in unterschiedliche
Verzeichnisse zu verschieben
oder alle Daten des Servers, inklusive der
virtuellen Festplatten, in einen gemeinsamen
Ordner. Liegt die virtuelle Festplatte
eines virtuellen Servers auf einer Freigabe,
können Sie sich auf die Migration
der Konfigurationsdateien beschränken.
Haben Sie die Option zum Verschieben
ausgewählt, verbindet sich der Assistent
mit dem Remoteserver über den Remotedateibrowser,
und Sie können das lokale
Verzeichnis auswählen, in das Hyper-V
die virtuelle Festplatten und Konfigurationsdaten
des virtuellen Servers verschieben
soll. Als Letztes erhalten Sie noch
eine Zusammenfassung und starten das
Verschieben mit »Fertig stellen«.
Powershell
Diesen Vorgang können Sie ebenfalls
skripten. Öffnen Sie dazu auf dem Quell-
Server eine Powershell-Sitzung, und geben
Sie den folgenden Befehl ein:
Move‐VM Virtueller Server Ziel‐ServerU
‐IncludeStorage ‐DestinationStoragePath U
Lokaler Pfad auf dem Ziel‐Server
Damit die Übertragung funktioniert, müssen
die Prozessoren der Hyper-V-Hosts
kompatibel miteinander sein. Ist das
nicht der Fall, erhalten Sie eine Fehlermeldung
und können den Server nicht im
laufenden Betrieb übertragen. Sie können
in diesem Fall aber den virtuellen
Server herunterfahren und den Vorgang
erneut starten. Ist der Name des virtuellen
Switch auf dem Ziel-Server nicht
mit dem Quell-Server identisch, erhalten
Sie eine Fehlermeldung und können den
neuen virtuellen Switch auf dem Ziel-
Server auswählen, damit der virtuelle
Server auch auf dem neuen Host eine
Netzwerkverbindung hat. (ofr) n
Der Autor
Thomas Joos ist freiberuflicher IT-Consultant und
seit über 20 Jahren in der IT tätig. Neben seinen
Projekten schreibt er praxisnahe Fachbücher
und Fachartikel rund um Windows und andere
Microsoft-Themen. Online trifft man ihn unter
[http:// thomasjoos. spaces. live. com].
104 Ausgabe 06-2012 Admin www.admin-magazin.de

Sonderteil
Auf der folgenden Seite startet der regelmäßige
FreeX-Sonderteil des ADMIN-Magazins. Hier finden
Sie Know-how-Artikel und Workshops von erfahrenen
Autoren aus der langen Tradition der FreeX.
Openlayers ........................ 106
Karteninformationen von Open Streetmap lassen
sich leicht in eigenen Webseiten integrieren. Vor
allem, wenn man die Openlayers-API verwendet.
OpenVPN auf Android ...............114
Per Kryptografie abgesicherte Verbindungen
zwischen Android und Server.
TCLKit . ...........................118
Starkits bringen die Einfachheit der TCL-Skriptprogrammierung
mit der Performance kompilierter
Sprachen in Einklang.
© yewkeo, 123RF
www.admin-magazin.de
Admin
Ausgabe 06-2012
105

Openlayers
© victoroancea, 123RF
Openlayers und Datenbanken
Schichtweise
Openlayers ist eine Javascript-Bibliothek, die es ermöglicht, Landkarten in Webseiten einzubinden. Die Geodaten
lassen sich entweder direkt programmieren oder aus einer Datenbank lesen. Letzteres ist die eleganteste
methode, die dieser Artikel näher beschreibt. Jürgen Dankoweit
Open Streetmap ist ein im Jahr 2004
gegründetes freies Projekt, dessen Ziel es
ist, eine frei nutzbare und erweiterbare
Weltkarte zu erstellen. Im Rahmen dieses
Projekts sammeln Interessierte Geodaten,
laden sie in die Datenbank und editieren
sie. Dabei handelt es sich um Daten wie
Straßen, Eisenbahnstrecken, Gebäude
und andere erfassungswürdige geografische
Informationen. Mit diesen Daten
von Open Streetmap entstehen nicht nur
Straßenkarten für Autofahrer, sondern
auch Fahrrad- und Wanderkarten und
unzählige Spezialanwendungen.
Eigenes Navi
Weil die Geoinformationen im Rahmen
des Open-Streetmap-Projekts frei verfügbar
sind, lassen sich das so gewonnene
Kartenmaterial und die Rohdaten zur Darstellung
von Fotos und Beiträgen in Blogs
oder eigenen Internetpräsenzen verwenden.
Selbst die Rohdaten sind für die Entwicklung
frei zugänglich, womit sich Anwendungen
zur Routenberechnung oder
zur mobilen Navigation verwirklichen
lassen. Das einzige zu zollende Tribut
an die Gemeinde ist eine Quellenangabe
mit Bezug auf Open Streetmap. Natürlich
möchte man Landkarten in der eigenen
Internetpräsenz nicht einfach nur einfügen,
sondern man verfolgt damit meist
auch einen bestimmten Zweck. Auf diese
Art lassen sich beispielsweise im Bereich
des Tourismus bestimmte Sehenswürdigkeiten
oder Wanderwege darstellen.
Für Segelflugpiloten sind Wetterdaten
an bestimmten Orten interessant. Auch
für administrative Möglichkeiten lassen
sich Open-Streetmap-Karten einsetzen,
indem Katasterdaten eingebunden werden.
Spezielle Markierungen von Orten
auf den Karten werden im Fachjargon
„points of interest“ oder POIs genannt
(Abbildung 1).
Um solche Anwendungen zu realisieren,
gibt es eine unter einer BSD-Lizenz stehende
Programmierbibliothek namens
Openlayers [1]. Das Paket ist in Javascript
geschrieben und damit vollkommen unabhängig
von irgendwelchen Servern
oder Betriebssystemen. Voraussetzung
zur Nutzung ist lediglich ein Javascriptfähiger
Webbrowser. Die Kombination
aus Open Streetmap und Openlayers ist
sehr leistungsfähig und braucht sich hinter
den kommerziellen Produkten wie
Google-Maps und Google-API nicht zu
verstecken.
Teamwork à la carte
Um die großen Datenmengen zu bewältigen,
sind leistungsfähige Datenbankserver
mit PostgreSQL und PostGIS als
Datenbanksystem notwendig. Die Datenbanken
speichern die Geodaten in Form
von geografischen Koordinaten, die Linien
und Punkte auf einer Karte beschreiben.
Zusätzlich wird noch eine Information
abgespeichert, welche die Art der
Geodaten wie beispielsweise Autobahnen
oder Gebäude beschreibt.
Die Generierung der Karten erfolgt durch
einen Rendering-Server, den Kartenausschnitt
in einzelne Kacheln zerlegt, um
die Belastung der Netzwerke niedrig
zu halten. Openlayers sorgt mit seinen
Javascript-Funktionen anschließend
dafür, dass die Kacheln des Kartenausschnitts
auf den Client übertragen und
korrekt dargestellt werden.
Wie der Name Openlayers bereits vermuten
lässt, werden die Geodaten in mehreren
Ebenen (Layer) in die eigene Webseite
eingeblendet. Die unterste Ebene ist
106 Ausgabe 06-2012 Admin www.admin-magazin.de

Openlayers
GETten und POSTen
Um Webseiten mit Parametern zu versorgen,
wurden die Methoden GET und POST entwickelt.
Bei der Methode GET werden alle Parameter
an die URL-Zeichenkette nach einem Fragezeichen
angehängt. Getrennt werden die einzelnen
Parameter durch das Ampersand-Zeichen
»&«. So ergibt sich die Schreibweise »http://
url?param_1=wert_1&...&param_n=wert_n«. In
der korrekten HTML-Notation ersetzt man das
Ampersandzeichen durch »&«, um W3Ckonform
zu bleiben. Die Vorteile dieser Methode
sind, dass sich eine solche URL leichter als Lesezeichen
im Browser speichern lässt und man
hat bei der Entwicklung stets einen Überblick,
ob alle Parameter korrekt gesetzt werden. Das
ist aber auch gleichzeitig der Nachteil, da potenzielle
Angreifer sehen, auf welche Art und
Weise beispielsweise Daten aus einer Datenbank
ausgelesen werden. Zudem beschränkt die Methode
GET die maximale Länge der URL, sodass
nur wenige Parameter nutzbar sind.
Die Methode POST bietet mehr vordergründige
Sicherheit. Die Parameter werden nicht mehr an
die URL angehängt, sondern über einen Datenkanal
(Pipe) an die Webseite übermittelt. Damit
haben potenzielle Angreifer zumindest etwas
mehr Probleme bei einem Angriff. Ein weiterer
Vorteil ist, dass Anzahl der möglichen Parameter
nahezu unbegrenzt ist. Die POST-Methode hat
den Nachteil, dass es keine Möglichkeit gibt,
eine URL mit allen Parametern als Lesezeichen
abzulegen.
Grundsätzlich besteht auch die Möglichkeit,
beide Methoden gleichzeitig zu verwenden. Das
sollte man allerdings vermeiden. Einerseits entspricht
es nicht den Richtlinien der W3C und
andererseits besteht die Möglichkeit, dass der
Zugriff auf die Daten der POST-Methode nicht
mehr gewährleistet ist.
immer der ausgewählte Kartenausschnitt.
Als Programmierer hat man die Möglichkeit,
mit weiteren Layern für den Betrachter
weitere nützliche Informationen
anzubieten.
In den Anfängen von Openlayers gab es
keinen Weg, auf die in einer Datenbank
vorgehaltene Datenbestände zuzugreifen,
da Javascript keine Möglichkeit bietet,
auf Datenbankserver zuzugreifen. Um
eigene POIs darzustellen, werden aber
Datenbanken benötigt.
Alternativ bietet sich immer die Lösung
an, alle POIs im Programmcode anzugeben
beziehungsweise den zugehörigen
Javascript-Code durch ein Perl- oder
PHP-Skript zu erzeugen. Dies bedeutet
aber, dass die Wartung solcher Seiten
sich sehr schwierig gestaltet. Ebenso
würde die Serverbelastung zunehmen
und die Performance auf dem Client
enorm abnehmen.
Ein Lösungsweg, die Daten aus einer Datenbank
zu beziehen, wurde in Ausgabe
02/​2012 der FreeX beschrieben. Über den
Umweg, dass ein CGI-Skript per Iframe
Zugriff auf externe Datenbestände ermöglicht,
wurden die POIs in der Karte
dargestellt. Die Lösung funktioniert recht
gut, ist aber nicht perfekt. Gerade dann,
wenn es zu Timeouts bei der Verbindung
kommt, besteht die Möglichkeit, dass
Daten falsch oder gar nicht dargestellt
werden. Inzwischen hat sich diesbezüglich
in der Entwicklung der Javascript-
Bibliothek Openlayers einiges getan. Sie
bietet mittlerweile sehr viele Wege, um
auf externe Daten zuzugreifen.
Openlayers bietet zwei Objekte, die den
Zugriff auf externe Daten erleichtern.
Sie erlauben es, mithilfe der HTTP-Methoden
GET und POST externe Seiten
inklusive Parameterübergabe aufzurufen
(siehe Kasten „GETten und POSTen“).
Für die beiden HTTP-Methoden gibt es
die Objekte »OpenLayers.Request.GET«
und »OpenLayers.Request.POST«. Sie rufen
eine externe Webseite auf, die durch
ein CGI-Skript generiert wird. Das Skript
wertet die von den Objekten übermittelten
Parameter aus und generiert hieraus
eine passende Datenbankabfrage.
Das Ergebnis der Abfrage ist eine Datei
im Plain-Text-Format, die ohne HTML-
Notationen auskommt. Man sollte dieses
Format wählen, weil es die weitere Verarbeitung
erheblich vereinfacht.
Die so generierte Seite wird an den Webbrowser
zurückgesendet, wo die Callback-
Funktion von »OpenLayers.Request.GET«
beziehungsweise »OpenLayers.Request.
POST« die Informationen verarbeitet.
Die Callback-Funktion läuft erst dann ab,
wenn die Webseite fertig generiert ist.
Das gilt übrigens auch für den Fehlerfall,
den man deshalb sinnvollerweise gesondert
berücksichtigen sollte. Abbildung 2
verdeutlicht den Ablauf.
Datenbank mit Strategie
Die beiden eben beschriebenen Objekte
eignen sich sehr gut, um POIs schnell
und einfach darzustellen. Ein Nachteil
ist allerdings, dass es sehr aufwendig ist,
eine vom Kartenausschnitt abhängige
Anzahl von Punkten darzustellen.
Aber auch hier bietet Openlayers inzwischen
Abhilfe: »OpenLayers.Strategy.
BBOX« mit »OpenLayers.Protocol.HTTP«
und »OpenLayers.Layer.Vector« bilden
ein unschlagbares Team zur Darstellung
Abbildung 1: Die Darstellung zeigt Wetterstationen auf dem Gebiet der USA. Die geografischen Positionen
wurden einer Datenbank entnommen, in der circa 20 000 Stationen gespeichert sind.
www.admin-magazin.de
Admin
Ausgabe 06-2012
107

Openlayers
Webbrowser
Generierte
HTML-Seite
Content-Type:
text/plain
dynamischer Landkarten auf der eigenen
Webseite.
Zugang über Layer
OpenLayers.Request.POST
OpenLayers.Request.GET
Callback zu
OpenLayers.Request.POST
OpenLayers.Request.GET
Webseite mit
JavaScript
Parameter auswerten
Datenbank abfragen
HTML-Code genieren
CGI-Skript für Datenbankzugriff
Die in einer Landkarte eingetragenen geografischen
Punkte werden in einer Ebene
durch das Objekt »OpenLayers.Layer.Vector«
zusammengefasst. Darin sind zwei
interessante Schnittstellen integriert, die
einen Zugriff auf externe Datenbestände
Datenbank
Abbildung 2: Zugriff auf Datenbankinhalte mittels der Methoden »OpenLayers.Request.GET« und
»OpenLayers.Request.POST«.
Listing 1: Initialisierung
01 /* Projektion definieren */
02 var spherMerc = new OpenLayers.
Projection('EPSG:900913');
03 var epsg4326 = new OpenLayers.
Projection('EPSG:4326');
04 var zoom = 14;
05
06 /* Kartenausschnitt definieren */
07 var l = new OpenLayers.LonLat(8, 53).
transform(epsg4326, spherMerc);
erlauben und die Ausgabe steuern. Die
Funktionsweise ist komplexer als bei
den Objekten der Gruppe »OpenLayers.
Request«. Kartenausschnitte lassen sich
per Maus vergrößern, verkleinern und
verschieben. Jeder dieser Aktionen generiert
ein Ereignis (Event), das Openlayers
mitteilt, einen neuen Kartenausschnitt zu
laden. Diese Events werden an alle Ebenen
(Layer) übermittelt, um eine Neuberechnung
der Position auf der Karte zu
08 var r = new OpenLayers.LonLat(14, 43).
transform(epsg4326, spherMerc);
09 var extent = new OpenLayers.Bounds(l.lon,
l.lat, r.lon, r.lat);
10
11 /* allgemeine Variablen */
12 var freex, freex_o_r_p, freex_l_h_s;
13 var mitTransformation = true;
14 var ohneTransformation = false;
15 ...
erzwingen. Wenn viele POIs eingetragen
sind, erfordert das viel Rechenleistung
und viel Zeit aufseiten des Clients. Das
lässt sich reduzieren, indem man nur
die Objekte neu darstellt, die im Kartenausschnitt
auch wirklich zu sehen sind
oder neu hinzukommen. Diese Strategie
realisiert das Objekt »OpenLayers.Strategy.BBOX«.
Um analog die Positionsangaben der
einzelnen POIs zu erhalten, bedient
man sich eines Kommunikationskanals
mit dem Objekt »OpenLayers.Protocol.
HTTP«. Es übermittelt den aktuellen Kartenausschnitt
an ein CGI-Skript und gibt
als Ergebnis eine Liste mit POIs zurück,
die im neuen Kartenausschnitt zu sehen
sind. Die neuen Angaben werden an
»OpenLayers.Layer.Vector« zurückgegeben
und dargestellt, die nicht mehr sichtbaren
POIs automatisch gelöscht. Das
reduziert nicht nur den Speicherbedarf,
sondern gleichermaßen die Rechenzeit.
Abbildung 3 stellt den Ablauf nochmals
grafisch dar.
Einen weiteren Vorteil bietet diese Methode
bei großen Mengen von POIs: Es
lässt sich angeben, wie viele Punkte maximal
dargestellt werden sollen. So kann
man beispielsweise erst eine Grobübersicht
über die wichtigsten POIs anzeigen.
Je kleiner der Kartenausschnitt gewählt
wird, umso mehr verfeinert man dann
die Übersicht. Auch hier sei Abbildung 1
nochmals als Beispiel herangezogen. Es
gibt in den USA circa 3100 Wetterstationen
als POIs. Um diese große Anzahl anzuzeigen,
braucht ein durchschnittlicher
Webbrowser etwa zwanzig Sekunden.
Die Darstellung nach der eben beschriebenen
Methode dauert im Vergleich nur
noch eine Sekunde, weil nur er noch
etwa 160 Stationen verarbeiten muss.
Nach diesen theoretischen Betrachtungen
Listing 2: Layer mit statischen POI
01 function map_poi(layer, lon, lat, label,
farbe) {
02 var l = new OpenLayers.LonLat(lon, lat).
03 transform(epsg4326, spherMerc);
04 var point = new OpenLayers.Geometry.
Point(l.lon, l.lat);
05 var pf = new OpenLayers.Feature.
Vector(point);
06 if (pf) {
07 pf.attributes = {text: label, color:
farbe};
08 layer.addFeatures([pf]);
09 }
10 }
11
12 function map_layer(map, layer_name) {
13 var layer = new OpenLayers.Layer.
Vector(layer_name, {
14 projection: map.displayProjection,
15 renderers: map.renderer,
16 displayInLayerSwitcher: true,
17 wrapDateLine: false,
18 displayOutsideMaxExtend: true,
19 isBaseLayer: false,
20 styleMap: new OpenLayers.StyleMap(style)
21 });
22
23 map_poi(layer, 9.00448, 48.68750,
24 "FreeX‐Verlag", "#FFEE00");
25 map_poi(layer, 11.80008, 47.85878,
26 "FreeX‐Leser", "#FFEE00");
27 map_poi(layer, 11.55735, 48.14042,
28 "FreeX‐Leser", "#FFEE00");
29
30 return layer;
31 }
108 Ausgabe 06-2012 Admin www.admin-magazin.de

Openlayers
geht es nun ans Eingemachte. Um die Evolution
der Zugriffsarten zu verdeutlichen,
sind in Listing 1 die im theoretischen
Teil beschriebenen drei Arten kodiert. Die
einfachste Möglichkeit ist in Abschnitt
eins formuliert. Die geografischen Punkte
werden statisch zu einer Ebene (Layer)
hinzugefügt. Dies geschieht in der Funktion
»map_poi«: nach der Definition der
Koordinaten und deren Transformation
werden sie mit »layer.addFeatures« in die
Ebene »layer« eingefügt. Dies wurde in
der Ausgabe 2/​2012 der FreeX ausführlich
erläutert.
Listing 1 zeigt den Code, der die Arbeit
mit der Openlayers-Bibliothek initialisiert,
zum Beispiel die Variablen für die Kartenprojektion,
den Kartenausschnitt und so
weiter. In Listing 2 ist eine Funktion zu
sehen, die statische Points of Interest anzeigt,
die per »map_poi()« eingebunden
werden.
Um die Daten, die aus einer Datenbank
ausgelesen wurden, in Openlayers zu
übernehmen, muss man sich Gedanken
über ein Datenaustauschformat machen.
In vielen Fällen bietet sich das CSV-Format
an, bei dem die einzelnen Werte
durch Semikolons getrennt werden. Allerdings
muss man auf das Encoding der
Daten achten: Heutige Anwendungen
verwenden meist UTF-8, in das man die
Daten aus einer Datenbank gegebenenfalls
konvertieren muss.
CSV parsen
Mit Funktion »parser()« im Listing 3
zeigt einen möglichen Parser für CSV-
Datensätze. Er ermittelt zunächst zeilenweise
die Datensätze, indem er im
Text nach Zeilenumbrüchen sucht und
an den Fundstellen den Text mit der
Javascript-Funktion »split()« in Teilzeichenketten
aufspaltet. Innerhalb der
Teilzeichenketten sucht die Funktion
nach dem Trennzeichen, in diesem Fall
dem Semikolon, und teilt wiederum mit
»split()« die einzelnen Datensätze auf.
Diese speichert die Funktion anschließend
in dem Array »features« und führt
vorher gegebenenfalls eine geometrische
Transformation durch. Ob man die Daten
transformieren muss, hängt davon
ab, in welchem Koordinatensystem man
sich bewegt. Der beschriebene Parser
wird für die folgenden beiden Funktionen
benötigt. Wie eingangs erwähnt,
stellt die Openlayers-Bibliothek Objekte
bereit, um externe CGI-Skripte aufzurufen,
zum Beispiel »OpenLayers.Request.
POST« und »OpenLayers.Request.GET«.
Der Konstruktor beider Objekte erwartet
in der Attributdefinition »url« eine URL.
Die Angabe darf entweder mit Domainnamen
oder ohne erfolgen. Parameter
für das aufzurufende Skript sollten nicht
im URL-String übergeben werden. Dafür
ist das Attribut »data« bei »OpenLayers.
Request.POST« zuständig, während bei
»OpenLayers.Request.GET« das Attribut
»params« die Übergabeparameter aufnimmt.
Die Übergabeparameter sind eine Kette
aus Definitionen von Parametern und
Werten in der Form: »{param_1:wert_1,
..., param_n:wert_n}«. Die Funktion
»OpenLayers.Util.getParameterString()«
wandelt sie in eine W3C-konforme
Zeichenkette um. Das Ergbnis der Umwandlung
ist eine Zeichenkette der
Form »param_1=wert1&...&param_
n=wert_n«. Diese hängt die Bibliothek
bei »OpenLayers.Request.GET« mit einem
Listing 3: Parsen des Rückgabetextes
01 function parser(trans, liste, farbe) {
02 var daten;
03 var pos_e = liste.indexOf("\n");
04 var s = liste;
05 var sd = "";
06 var l, p;
07 var features = [];
08
09 while (pos_e > 0) {
10 sd = s.substr(0, pos_e);
11 s = s.substr(pos_e + 1);
12 pos_e = s.indexOf("\n");
13 if (sd) {
14 daten = sd.split(";");
15 if (daten.length == 4) {
16 if (daten[1] != "" && daten[2] != "") {
17 l = new OpenLayers.LonLat(daten[1],
daten[2]);
18 if (trans)
19 l.transform(epsg4326, spherMerc);
20 p = new OpenLayers.Geometry.Point(l.lon,
l.lat);
21 var pf = new OpenLayers.Feature.
Vector(p);
22 if (pf) {
23 pf.fid = daten[0];
24 pf.attributes = {text: daten[0], color:
farbe};
25 features.push(pf);
26 }
27 }
28 }
29 }
30 }
31 return features;
32 }
Listing 4: Layer mit Request.POST
01 /* Durch CGI‐Skript erzeugte HTML‐Seite
parsen und */
02 /* POIs in Ebene unabhaengig vom Ausschnitt
einfuegen */
03 function map_aktualisieren_hnd(request) {
04 if (request.status == 200) {
05 var features = parser(mitTransformation,
06 request.responseText, "#00FFEE");
07 if (features && features.length > 0)
08 freex_o_r_p.addFeatures(features);
09 }
10 else
11 alert("Fehler: " + request.status);
12 }
13
14 /* Aufrufen des CGI‐Skriptes zur Ermittlung
der */
15 /* einzelnen POIs */
16 function map_layer_request_post(map, layer_
name) {
17 var params = {land: "DE", zeitschrift:
"FreeX"};
18
19 var layer = new OpenLayers.Layer.
Vector(layer_name, {
20 projection: map.displayProjection,
21 renderers: map.renderer,
22 displayInLayerSwitcher: true,
23 wrapDateLine: false,
24 displayOutsideMaxExtend: true,
25 isBaseLayer: false,
26 styleMap: new OpenLayers.StyleMap(style)
27 });
28 if (layer) {
29 var request = OpenLayers.Request.POST({
30 url: "/cgi‐bin/FreeX/datenbank.pl",
31 data: OpenLayers.Util.
getParameterString(params),
32 headers:
33 {"Content‐Type":
34 "application/x‐www‐form‐urlencoded" },
35 callback: map_aktualisieren_hnd
36 });
37 }
38 return layer;
39 }
www.admin-magazin.de
Admin
Ausgabe 06-2012
109

Openlayers
Webbrowser
Generierte
HTML-Seite
Content-Type:
text/plain
vorangestelltem Fragezeichen an die URL.
Bei »OpenLayers.Request.POST« übergibt
es sie im Rahmen des HTTP-Requests an
den Server.
MIME-Type setzen
Attribut: strategy
Attribut: protocol
Methode: draw
Parameter auswerten
Datenbank abfragen
HTML-Code genieren
CGI-Skript für Datenbankzugriff
Sehr wichtig und zwingend ist die Angabe
des sogenannten Headers, der beschreibt,
um welchen MIME-Type es sich
handelt. Andernfalls erhält man keinerlei
Daten zurück. Gleiches gilt für die sogenannte
Callback-Funktion. Diese Funktion
wird angesprungen, sobald die im
OpenLayers.Layer.Vector
HTML-Seite mit JavaScript
BBOX
moveend/zoomend
HTTP
readWithPOST
Callback:
format
Abbildung 3: Dynamische Darstellung von POIs in Abhängigkeit vom Kartenausschnitt.
Datenbank
Attribut »url« definierte Seite mit oder
ohne Erfolg abgearbeitet wurde. Dazu
später mehr.
In Listing 4 ist ein Beispiel für »OpenLayers.Request.POST«
zu sehen. Die Funktion
»map_layer_request_post()« definiert
zunächst einen Layer, der alle POIs zusammenfasst
und darstellt. Anschließend
wird der Konstruktor von »OpenLayers.
Request.POST« mit den Attributen für
»url«, »header« und »data« aufgerufen.
Die Übergabeparameter wandelt »Open-
Layers.Util.getParameterString« um. Aus
»{land: "DE", zeitschrift: "FreeX"}« wird
dann »land=DE&zeitschrift=FreeX«. Das
Ampersand-Zeichen wird automatisch in
das W3C-konforme »&« umgewandelt.
Callback prüft Status
Die Callback-Funktion ist die Funktion
»map_aktualisieren_hnd()«, die als Parameter
eine Datenstruktur, die durch
»request« dargestellt ist. Sie besteht unter
anderem aus »request.responseText«
und »request.status«. In der Status-Variablen
landen eventuell auftretende Fehlermeldungen.
Ein Status 200 bedeutet,
dass die aufgerufene Seite ohne Probleme
erreicht und verarbeitet wurde. In
»request.responseText« ist der Inhalt der
aufgerufenen Seite abgelegt. Wenn der
Request-Status den Wert 200 hat, dann
ruft die Callback-Funktion ihrerseits den
zuvor beschriebenen Parser auf, der den
in »request.responseText« gespeicherten
Inhalt verarbeitet. Als Ergebnis dieses
Verarbeitungsschritts erhält man ein Array,
in dem alle POIs mit ihren Attributen
gespeichert sind. Das wird an den Layer
übergeben, falls wirklich Elemente in dieses
Array eingetragen wurden.
Wie das geübte Programmiererauge
schnell erkennt, eignet sich diese Art der
Darstellung von POIs nur, wenn einerseits
die Anzahl stark begrenzt und andererseits
der Kartenausschnitt sich nicht än-
Listing 5: Layer mit HTTP und Strategy
01 /* Durch CGI‐Skript erzeugte HTML‐Seite parsen und */
02 /* POIs in Ebene abhaengig vom Ausschnitt einfuegen */
03 OpenLayers_FreeX = OpenLayers.Class(
04 OpenLayers.Format, {
05 read: function(obj) {
06 if (obj) {
07 if (typeof obj == "string")
08 return parser(ohneTransformation, obj, "#FF00EE");
09 else
10 return null;
11 }
12 }
13 });
14
15 /* Aufrufen des CGI‐Skriptes zur Ermittlung der */
16 /* einzelnen POIs. Die POIs werden abhaengig vom */
17 /* Kartenausschnitt (OpenLayers.Strategy.BBOX) erzeugt */
18 function map_layer_http_strategy(map, layer_name) {
19 // Definition der Strategie
20 var strategy =
21 [new OpenLayers.Strategy.BBOX({ratio: 1.0})];
22 // Definition des Parsers
23 var format = new OpenLayers_FreeX();
24 // Definition des Kommunikationskanals
25 var protocol = new OpenLayers.Protocol.HTTP({
26 url: "/cgi‐bin/FreeX/datenbank.pl",
27 params: {land: "DE", zeitschrift: "FreeX"},
28 srsInBBOX: true,
29 readWithPOST: true,
30 readWithGET: false,
31 headers: {"Content‐Type": "text/plain"},
32 format: format
33 });
34 var layer = new OpenLayers.Layer.Vector(layer_name, {
35 projection: map.displayProjection,
36 renderers: map.renderer,
37 displayInLayerSwitcher: true,
38 wrapDateLine: false,
39 displayOutsideMaxExtend: true,
40 isBaseLayer: false,
41 styleMap: new OpenLayers.StyleMap(style),
42 strategies: strategy,
43 protocol: protocol
44 });
45 return layer;
46 }
110 Ausgabe 06-2012 Admin www.admin-magazin.de

Openlayers
BBOX und Ratio
Das Attribut »ratio« des Objekts »OpenLayers.
Strategy.BBOX« legt fest, wie groß das Verhältnis
von angezeigten Punkten und geladenen
Punkten ist. Das bedeutet, bei einem Ratio-Wert
größer eins werden um den angegebenen Faktor
mehr Daten geladen, als tatsächlich in der Karte
angezeigt werden. Dies ist besonders dann sinnvoll,
wenn ein Benutzer den Kartenausschnitt
nur ein klein wenig verschiebt. So müssen für
Strategie, die als einziges Element des
Arrays mit »new()« initialisiert wird. Im
nächsten Schritt wird der Parser definiert,
der die Daten in Kartenpunkte umwandelt.
Einen Kommunikationskanal für »Open-
Layers.Layer.Vector« öffnet das Objekt
»OpenLayers.Protocol.HTTP«, das als Parameter
eine URL erwartet, unter der die
Daten zu finden sind. Die Übergabeparameter
für das aufzurufende Skript werden
wie gehabt als Array von Attributen definiert:
»params: {land: "DE", zeitschrift:
"FreeX"}«, die intern mit »OpenLayers.
Util.getParameterString()« wieder in eine
Zeichenkette im bekannten Format umgewandelt
werden. Besonders interessant
sind die Attribute »srsInBBOX«, »read-
WithPOST«, »readWithGET« und »headers«.
Das Attribut »srsInBBOX« besagt,
dass die Zeichenkette der Übergabeparadert.
Sicherlich hat man die Möglichkeit,
die Anzahl der darzustellenden POIs anhand
eines Kartenausschnitts zu bestimmen.
Allerdings ist der Programmieraufwand
dafür sehr hoch. Openlayers bietet
auch für dieses Problem eine Lösung, die
dem Entwickler viel Programmierarbeit
abnimmt, wie Listing 5 zeigt.
In der Funktion »map_layer_http_strategy«
ist zu sehen, welche Komponenten
nötig sind, um die Daten voll dynamisch
vom Kartenausschnitt abhängig darzustellen.
Zunächst definiert das Objekt
»OpenLayers.Strategy.BBOX«. Die Strategie
BBOX wird mit einem Ratio-Wert von
eins definiert (siehe Kasten „BBOX und
Ratio“).
»OpenLayers.Layer.Vector« bietet die
Möglichkeit, mehrere Strategien zu verarbeiten,
die in einem Array zusammengefasst
sind. In diesem Beispiel ist eine
diese kleine Bewegung nicht neue Daten vom
Server geladen werden. Die Anzeige wird dadurch
flüssiger und schneller, da keine Wartezeiten
entstehen. Allerdings erkauft man sich
damit auch, dass man zu Beginn eine höhere
Serverlast und Ladezeit hat. Ein Ratio-Wert von
eins bedeutet, dass genauso viele Daten vom
Server abgerufen werden, wie auch tatsächlich
zu sehen sind.
meter um die Koordinaten des Kartenausschnitts
inklusive der Projektion ergänzt
wird. Somit erhält ein CGI-Skript immer
den Kartenausschnitt und die zugehörige
Projektion.
Erben
Die beiden Attribute »readWithPOST«
und »readWithGET« definieren, ob die
HTTP-Methode POST oder GET für die
Datenübertragung benutzt werden soll.
Wichtig ist auch wieder die Angabe »headers«,
die definiert, mit welchem MIME-
Type die Daten übertragen werden. Das
letzte Attribut »format« wird das Objekt
angegeben, welches den Parser referenziert.
Das so erzeugte Objekt »OpenLayers.Protocol.HTTP«
wird zusammen mit
dem Array der Strategien (»strategies«) an
»OpenLayers.Layer.Vector« übergeben.
Um die Beschreibung dieses Code-Abschnitts
abzuschließen, ein paar Worte
zum Parser-Objekt. Die Code-Zeile
»OpenLayers_FreeX = OpenLayers.
Class(OpenLayers.Format, {});« leitet
vom in der Bibliothek formulierten Objekt
»OpenLayers.Format« das neue Objekt
»OpenLayers_FreeX« ab. Das bedeutet,
es erbt die komplette Funktionalität.
Um CSV-Daten zu verarbeiten, muss das
neue Objekt eine eigene Routine imple-
Listing 6: Initialisieren der Hauptfunktion
01 function map_init(mapid) {
02 /* Renderer ermitteln und festlegen */
03 var renderer =
04 OpenLayers.Util.getParameters(
05 window.location.href).renderer;
06 renderer = (renderer) ? [renderer] :
07 OpenLayers.Layer.Vector.prototype.renderers;
08
09 /* OpenLayers an DOM‐Objekt binden */
10 window.map = new OpenLayers.Map(mapid, {
11 maxExtent: extent,
12 projection: spherMerc,
13 displayProjection: epsg4326,
14 maxResolution: 'auto',
15 numZoomLevels: 14,
16 units: 'm',
17 controls : [
18 new OpenLayers.Control.PanZoom(),
19 new OpenLayers.Control.Navigation(
20 {zoomWheelEnabled: false}),
21 new OpenLayers.Control.LayerSwitcher()
22 ]});
23
24 /* Basiskarte erstellen */
25 var base = new OpenLayers.Layer.OSM("FreeX‐Karte",
26 ["http://a.tile.openstreetmap.org/${z}/${x}/${y}.png",
27 "http://b.tile.openstreetmap.org/${z}/${x}/${y}.png",
28 "http://c.tile.openstreetmap.org/${z}/${x}/${y}.png"],
29 {
30 wrapDateLine: false,
31 isBaseLayer: true,
32 displayOutsideMaxExtend: true,
33 tileOptions: {crossOriginKeyword: null}
34 });
35 /* Ebenen erzeugen und an Basiskarte & DOM‐Objekt binden */
36 freex = map_layer(window.map, "FreeX‐Layer (normal)");
37 freex_o_r_p = map_layer_request_post(window.map,
38 "FreeX‐Layer (POST‐Request)");
39 freex_l_h_s = map_layer_http_strategy(window.map,
40 "FreeX‐Layer (HTTP und Strategy)");
41 if (base && freex && freex_o_r_p && freex_l_h_s) {
42 window.map.addLayers(
43 [base, freex, freex_o_r_p, freex_l_h_s]);
44 }
45 /* Karte zentrieren und Zoomfaktor festlegen */
46 window.map.setCenter(
47 new OpenLayers.LonLat(11, 48).
48 transform(epsg4326, spherMerc), 9);
49 }
www.admin-magazin.de
Admin
Ausgabe 06-2012
111

Openlayers
mentieren, die diese Daten umwandelt.
Dazu überschreibt man die Methode
»read« von »OpenLayers.Format« , wie
das in »read: [...] return parser() [...]«
geschieht. Zuvor wird noch überprüft, ob
es sich bei dem übergebenen Objekt um
ein String-Objekt handelt, weil der Parser
nur diese verarbeitet.
Listing 6 fügt alle Einzelzeile zu einem
großen Ganzen zusammen, initialisiert
erst die Karte und bindet sie dann als
DOM-Objekt in die Webseite ein. Schließlich
lädt die Funktion die Daten, die Layer
und stellt die Karte dar.
Datenzulieferer
Damit ist die Beschreibung des Javascript-
Teils abgeschlossen. Um die Funktionalität
zu vervollständigen, folgt die Beschreibung
des zugehörigen CGI-Skriptes,
das in Listing 7 dargestellt ist. Um Missverständnisse
im Vorfeld auszuräumen,
sei darauf hingewiesen, dass ein solches
CGI-Skript nicht in Perl geschrieben sein
muss. PHP und andere Skript- oder Programmiersprachen
eignen sich genauso.
Für dieses Beispiel wurde Perl gewählt,
da es auf dem Webserver des Autors zur
Verfügung steht. Um zu demonstrieren,
wie die Datenbankanbindung funktioniert,
wurde ein einfaches Beispiel gewählt,
das ohne SQL-Datenbankserver
auskommt.
Im Abschnitt eins werden in Funktion
»Auswahl_FreeX()« die Daten zeilenweise
ohne Berücksichtigung irgendwelcher
Kriterien aus einer Plaint-Text-
Datenbank ausgelesen und in das Plain-
Text-Dokument geschrieben. In Abschnitt
zwei wird es interessanter. Die Funktion
»Auswahl_FreeX_in_BBOX()« verarbeitet
die Größe des Kartenausschnitts. Ebenso
wie in Funktion »Auswahl_FreeX« werden
die Daten zeilenweise aus der Datenbank
»freex.dat« entnommen. Ob ein POI
im Kartenausschnitt angezeigt wird, entscheidet
die Abfrage »if ($lon > $minlon
&& $lon < $maxlon && $lat > $minlat
&& $lat < $maxlat){...}«, wobei der Kartenausschnitt
mit »($minlon,$minlat)«
und »($maxlon,$maxlat)« definiert ist.
Falls die Daten aus einer SQL-Datenbank
entnommen werden, muss die SQL-Query
entsprechend gestaltet werden.
Im Abschnitt drei wird zunächst definiert,
dass generierte Dokument vom
MIME-Typ »text/html« ist. Diese Angabe
ist sehr wichtig, damit der in Listing eins
vorgestellte Parser funktioniert. Anschließend
werden die Parameter ausgewertet,
die von der Webseite gesendet werden.
In Perl sorgt das Modul CGI dafür, dass
man die mit der POST- oder GET-Methode
gesendeten weiterverarbeiten kann:
»$cgi‐>param('Parametername')«.
Fazit
Die Openlayers-Bibliothek macht es
einfach, Karten von Open Streetmap in
die eigene Website einzubauen. Selbst
der Zugriff auf externe Datensätze zur
Visualisierung geografischer Informationen
wird zum Kinderspiel. So lassen
sich Parser für Datenformate wie Open
Office Calc entwickeln und die in diesen
Dokumenten enthaltenen Daten in Karten
präsentieren. (ofr)
n
Infos
[1] Openlayers: [http:// www. openlayers. org]
[2] Openlayers, Karten aufbereiten mit Mapnik,
J. Dankoweit, FreeX 2/​2012
[3] Openlayers API-Dokumentation:
[http:// dev. openlayers. org/ docs/ files/​
OpenLayers‐js. html]
[4] Online-Beispiel: [http:// www. dankoweit. de/​
Publikationen/ Code/ FreeX/ map. html]
[5] Listings zum Artikel: [http:// www.​
dankoweit. de/ Publikationen/ Code/ FreeX/​
code. zip]
[6] Wetter-Beispiel:
[http:// www. dankoweit. de/ Wetterdienste/​
hp_wetterdienste_auswahl. html]
Listing 7: CGI-Skript für Geodaten
01 #! /usr/bin/perl ‐w
02
03 use CGI;
04 use CGI::Carp qw(fatalsToBrowser);
05 use Encode qw(encode decode);
06
07 use strict;
08
09 # ===========================================
10 # Abschnitt 1:
11 # POIs aus Datenbank auslesen OHNE
Kartenausschnitt
12 # zu beruecksichtigen
13 # ===========================================
14 sub Auswahl_FreeX {
15 my ($land, $zeits) = @_;
16
17 if (open(IN, '

VPN fürs Handy
© Ints Vikmanis, 123RF
OpenVPN via Android-Smartphone nutzen
Zugangsschutz
Wer von unterwegs via Smartphone auf den heimischen Datenbestand zugreifen will, muss die Kommunikation
schützen. Dafür bietet sich ein VPN an. Mit OpenVPN auf dem Server und CyanogenMod auf dem Smartphone
geht Konfiguration leicht von der Hand. Aber auch mit dem originalen Android-OS gelingt der Zugriff.
Thomas Lingmann, Christoph Langner
Ist man viel unterwegs, kommt man oft
in die Verlegenheit, aus der Ferne auf
das private oder Firmennetzwerk zugreifen
zu wollen. Der Abgleich der Daten
muss jedoch sicher sein – dafür empfiehlt
sich eine VPN-Verbindung. So werden
die Daten verschlüsselt übertragen, und
die Kommunikationspartner müssen sich
authentifizieren.
Die klassische VPN-Lösung im Open-
Source-Bereich heißt OpenVPN [1]. Sie
überträgt die Daten verschlüsselt über
eine TLS-Verbindung. Als Transportprotokoll
stehen wahlweise TCP und UDP
zur Verfügung. Die Authentifizierung von
Client und Server erfolgt über Benutzername
und Passwort, einen gemeinsamen
Schlüssel (Pre-shared Key) oder mit Zertifikaten.
Das letztgenannte Verfahren gilt
im Allgemeinen als das sicherste und
wird deshalb hier vorgestellt.
Der OpenVPN-Server findet sich in der
Paketverwaltung der meisten Linux-Distributionen
und der BSD-Betriebssysteme
und steht auch für Mac OS X und Windows
bereit. Sind die dort angebotenen
Pakete zu alt, lädt man aktuellere von
der Projektseite entpackt und istalliert
sie mit
# ./configure && make && make install
Der Server und alle Anwender, die auf
ihn zugreifen wollen, benötigen jeweils
einen privaten Schlüssel (*.key) sowie
ein Zertifikat (*.crt). Diese Zertifikate
müssen von einer dem Server bekannten
Zertifizierungsstelle (CA) signiert sein.
Für den Verbindungsaufbau werden serverseitig
noch Diffie-Hellman-Parameter
(dh1024.pem) benötigt.
Zertifikate
Die für die Verbindung zwischen Client
und Server nötigten Zertifikate kann
man sich selbst mit den Bibliotheken
von OpenSSL herstellen. OpenVPN bietet
im Unterverzeichnis »easy‐rsa« verschiedene
Skripte, mit denen Zertifikate
auch ohne weitere Vorkenntnisse erzeugt
werden können, dabei ist zunächst das
Verzeichnis »easy‐rsa« samt seinem kompletten
Inhalt nach »/etc/openvpn« zu
kopieren. Dann wechselt man in dieses
Verzeichnis.
Im ersten Schritt werden dort einige
Parameter der Datei »vars« den eigenen
Gegebenheiten angepasst:
export KEY_PROVINCE="NRW"
export KEY_CITY="Bonn"
export KEY_ORG="MyOffice"
export KEY_EMAIL="admin@noatun.net"
Zusätzlich zu diesen Angaben werden
bei Bedarf noch die Schlüssellänge
(»KEY_SIZE«), die Gültigkeitsdauer der
Zertifikate der CA (»CA_EXPIRE«) und
der Client- beziehungsweise die Server-
Zertifikate (»KEY_EXPIRE«) eingestellt.
Durch die Aufrufe
# source ./vars
# ./clean‐all
# ./build‐ca
# ./build‐key‐server server
# ./build‐key client1
# ./build‐dh
werden nacheinander die gesetzten Parameter
geladen, das Verzeichnis »keys«
(sofern bereits vorhanden) aufgeräumt
und der öffentliche und private Schlüssel
der CA (»build‐ca«), des Servers
(»build‐key‐server server«) und des
Clients (»build‐key client1«) sowie die
Diffie-Hellman Parameter (»build‐dh«)
generiert.
Angaben in »vars«
Beim Schreiben der Zertifikate sind verschiedene
Angaben zu machen, einen
möglichen Ablauf für ein Client-Zertifikat
zeigt Listing 1, bei den anderen Zertifikaten
läuft es sehr ähnlich ab.
Die Auskünfte zu Land, Stadt und so weiter
wurden in »vars« gesetzt und können
so auch für andere Zertifikate übernommen
werden, eine Ausnahme bildet der
»Common Name«, der immer eindeutig
sein muss.
114 Ausgabe 06-2012 Admin www.admin-magazin.de

VPN fürs Handy
Tabelle 1: Debugging-Modi
Parameter Bedeutung
0 Es werden nur schwerwiegende Fehler gemeldet
4 Normalbetrieb
5 und 6 Bei bestehenden Verbindungsproblemen einzuschalten
9 Sehr geschwätziger Modus
Die mit diesen Aufrufen generierten Dateien
landen im Unterverzeichnis »keys«.
Von hier aus müssen abschließend noch
die Dateien »ca.crt«, »server.crt«, »server.key«
und »dh1024.pem« nach »/etc/
openvpn« kopiert werden. Es kann auch
ein anderes Zielverzeichnis angegeben
werden, dann ist die nachfolgende Serverkonfiguration
anzupassen.
Der OpenVPN-Server
Eine Konfiguration des OpenVPN-Servers
kann aussehen wie in Listing 2.
Der VPN-Tunnel wird hier über virtuelle
Netzwerk-Schnittstellen aufgebaut. Dabei
wird die lokale Routing-Tabelle so
verändert, dass sie die Pakete über diese
Schnittstelle versendet. Die Schnittstelle
»tun« im Beispiel legt einen IP-Tunnel
an, alternativ lässt sich über »tap« ein
Ethernet-Tunnel aufbauen.
Die Datei mit den Definition wird als
»/etc/openvpn/server.conf« abgespeichert,
der Name der Konfigurationsdatei
ist allerdings frei wählbar, weil er dem
Server beim Aufruf mitgegeben wird:
# openvpn ‐‐config /etc/openvpn/server.conf
Die oben gezeigte Datei enthält nur eine
Minimaldefinition.
DNS-Suchdomains
Bei Schwierigkeiten
mit der Verbindung kann der Admin
mit der Variable »verb« die Debugging-
Stufe einstellen. Welche Modi möglich
sind, zeigt Tabelle 1.
Eine Datei, in der die Meldungen protokolliert
werden, legt man mit
log‐append /etc/openvpn/openvpn.log
in der Konfigurationsdatei fest.
Wer beim Test nicht die Konfigurationsdatei
ändern will, kann die Parameter
auch auf der Kommandozeile beim Starten
des Servers definieren. Die Verbosity
wird beispielsweise mit
# openvpn ‐‐verb 5 ‐‐config U
/etc/openvpn/server.conf
festgelegt.
Der Client
Parameter
VPN-Name
Smartphones sind längst Alltag. Im Beispiel
dient zunächst ein HTC-Smartphone
mit CyanogenMod [2] als Betriebssystem
als Client. Der Vorteil ist, dass hier Open-
VPN zum Standard gehört und keine weiteren
Schritte zur Installation des Clients
erforderlich sind.
Tabelle 2: Parameter des OpenVPN-Clients
VPN-Server festlegen
Authentifizierung
CA-Zertifikat festlegen
Nutzerzertifikat festlegen
Beispiel
Beliebig
IP-Adresse des Servers
Leer
Name des importierten Zertifikats
Name des importierten Zertifikats
Leer
Um OpenVPN unter CyanogenMod nutzen
zu können, müssen zunächst das
Client-Zertifikat und der zugehörige
Schlüssel sowie das CA-Zertifikat mit einer
einer »pkcs12‐Datei« importiert werden.
Sie wird mit dem Aufruf
# openssl pkcs12 ‐export \
‐in client1.crt \
‐inkey client1.key \
‐certfile ca.crt \
‐out client1.p12
Enter Export Password:
Verifying ‐ Enter Export Password:
#
geschrieben.
Anschließend wird das Zertifikat »client1.
p12« im Hauptverzeichnis des Smartphones
abgelegt. Es wird im nächsten Schritt
über das Menü »Einstellungen | Standort
und Sicherheit« von der SD-Karte importiert.
Die Konfiguration erfolgt gleichfalls
über »Einstellungen« und dort über die
Menüpunkte »Drahtlos & Netzwerke |
VPN‐Einstellungen | VPN hinzufügen |
OpenVPN‐VPN hinzufügen«. Das sich
hier öffnende Konfigurationsmenü zeigt
Bild 1. Dort werden die Angaben aus
Tabelle 2 gemacht.
E
Listing 1: Definieren eines Client-Zertifikats
01 # ./build‐key client1
02 Generating a 1024 bit RSA private key
03 ...............................++++++
04 ...................++++++
05 writing new private key to 'client1.key'
06 ‐‐‐‐‐
07 You are about to be asked to enter information
that will
08 be incorporated into your certificate request.
09 What you are about to enter is what is called a
10 Distinguished Name or a DN.
11 There are quite a few fields but you can
leave some blank
12 For some fields there will be a default value,
13 If you enter '.', the field will be left
blank.
14 ‐‐‐‐‐
15 Country Name (2 letter code) [DE]:
16 State or Province Name (full name)
[NRW]:
17 Locality Name (eg, city) [Bonn]:
18 Organization Name (eg, company)
[MyOffice]:
19 Organizational Unit Name (eg, section)
[]:
20 Common Name (eg, your name or your server's
21 hostname) [client1]:
22 Name []:
23 Email Address [admin@noatun.net]:
24
25 Please enter the following 'extra' attributes
26 to be sent with your certificate request
27 A challenge password []:
28 An optional company name []:
29 Using configuration from /etc/openvpn/neu/
easy‐rsa/2.0/
30 openssl.cnf
31 Check that the request matches the signature
32 Signature ok
33 The Subject's Distinguished Name is as follows
34 countryName :PRINTABLE:'DE'
35 stateOrProvinceName :PRINTABLE:'NRW'
36 localityName :PRINTABLE:'Bonn'
37 organizationName :PRINTABLE:'MyOffice'
38 commonName :PRINTABLE:'client1'
39 name :PRINTABLE:'tl'
40 emailAddress :IA5STRING:'admin@
noatun.net'
41 Certificate is to be certified until Jul 2
12:27:51 2022
42 GMT (3650 days)
43 Sign the certificate? [y/n]:
44
45 1 out of 1 certificate requests certified,
commit? [y/n]
46 Write out database with 1 new entries
47 Data Base Updated
www.admin-magazin.de
Admin
Ausgabe 06-2012
115

VPN fürs Handy
Abbildung 1: Das Konfigurationsmenü
von OpenVPN in der OS-
Alternative Cyanogenmod.
Mit diesen Schritten ist die Konfiguration
des Client bereits abgeschlossen. Nachdem
Client und Server gestartet sind
und der Tunnel erfolgreich aufgebaut ist,
sollte auf dem Smartphone eine Meldung
wie in Bild 2 ausgegeben werden.
Mit Standard-Android
Wer das Betriebssystem auf seinem
Smartphone nicht wechseln kann oder
will, der kommt auch mit einem aktuellen,
nicht modifizierten Android-OS zum
Ziel. Android beherrscht seit der Version
1.6 den Umgang mit den weitverbreiteten
VPN-Protokollen PPTP, 2TP und
L2TP/​IPsec mit Zertifikat oder Shared
Secret (also mit einem Passwort). Andere
VPN-Netzwerk-Protokolle werden
bislang nicht von Haus aus unterstützt.
Die entsprechenden Optionen finden sich
bei Android 2.x unter »Einstellungen |
Drahtlos & Netzwerke | VPN‐Einstellungen«
und bei aktuellen ICS-Geräten unter
»Einstellungen | Drahtlos & Netzwerke |
Mehr | VPN«.
Seit Android „Ice Cream Sandwich“ 4.0
verfügt das Android-System nun jedoch
über eine VPN-API [3][4], über die
Listing 2: Server-Konfiguration
01 # OpenVPN‐Server Konfiguration
02 # ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
03
04 # Standardport 1194
05 port 1194
06
07 # Schnittstelle fuer den Tunnel
08 dev tun
09
Abbildung 2: Erfolgreicher Aufbau
des VPN-Tunnels via Cynogenmod.
Abbildung 3: Aus der VPN-Liste
heraus startet man VPNs oder
legt neue an.
Entwickler weitere VPN-Protokolle in
Android als App implementieren können,
ohne dass mit Root-Rechten tief in
das System eingegriffen werden müsste.
Diese API nutzen erste Apps wie etwa
OpenVPN für Android [5], um die von
Android noch nicht unterstützten Protokolle
nachzurüsten.
Mit OpenVPN für Android [6] hat der
Anwender die Möglichkeit, eine Verbindung
zu seinem VPN-Server aufzubauen,
ohne dass er auf dem Gerät Root-Rechte
benötigt. Aufgrund der neuen API ist die
App allerdings nur für Androiden mit Ice
Cream Sandwich verfügbar.
Nach der Installation der quelloffenen
App aus dem Google Play Store muss
man noch die leere VPN-Liste mit Leben
füllen. Über das Plus-Symbol (Abbildung
3) legt man ein neues Profil an, alternativ
lässt sich über das Ordner-Symbol
eine bestehende OpenVPN-Konfiguration
(meist mit der Endung .ovpn) von der
Speicherkarte des Handys importieren.
Liegen die Zertifikate im selben Ordner,
dann werden diese auch gleich automatisch
mit geladen.
Ein Klick auf eines der angelegten VPN
startet die Verbindung. Android wird
10 # Bezeichnung der Zertifikate
11 ca /etc/openvpn/ca.crt
12 cert /etc/openvpn/server.crt
13 key /etc/openvpn/server.key
14 dh /etc/openvpn/dh1024.pem
15
16 # Angabe eines virtuellen Subnetzes
17 server 10.0.0.0 255.255.255.0
da raufhin warnen, dass OpenVPN eine
VPN-Verbindung starten möchte. Nur
wenn der Anwender diese Verbindung
bestätigt, wird sie vom System auch
aufgebaut. Die Warnung lässt sich leider
nicht deaktivieren, wer öfters seine
OpenVPN-Verbindung nutzen möchte,
muss sie immer wieder akzeptieren.
Sobald die Verbindung steht, trägt sich
OpenVPN mit einem kleinen Schlüssel
in das Status-Menü von Android ein.
Über diesen Eintrag gelangt man auch
wieder zum Übersichts-Dialog der aktuellen
VPN-Verbindung. Über ihn konfiguriert
man die aktuelle Verbindung oder
trennt sich wieder vom VPN. Praktisch
ist das OpenVPN-Widget, das man auf
einen Homescreen legen kann. Es startet
direkt und ohne Umwege das zuvor ausgewählte
VPN.
Fertige Server
Nebenbei: Das VPN-Protokoll wird auch
direkt von einigen WLAN-Routern oder
NAS-Geräten unterstützt, sodass Sie
eventuell gar keinen VPN-Server im Internet
oder LAN brauchen und das VPN
über den zu Hause laufenden Router oder
das NAS aufbauen können. In der Konfigurationsoberfläche
der DiskStation-
Firmware von Synology etwa lässt sich
OpenVPN als VPN-Lösung recht einfach
aktivieren und die passende Konfigurationsdatei
für angeschlossene Clients exportieren.
Bei WLAN-Routern wird Open-
VPN leider selten ab Werk angeboten,
allerdings lässt sich ein OpenVPN-Server
oft via Firmware nachrüsten. (jcb) n
Infos
[1] OpenVPN-Projektseite: [http:// openvpn.​
net]
[2] CyanogenMod-Projektseite: [http:// www.​
cyanogenmod. com]
[3] Android 4.0 Highlights: [http:// developer.​
android. com/ sdk/ android‐4. 0‐highlights.​
html]
[4] VPN-Client API: [http:// developer. android.​
com/ reference/ android/ net/ VpnService.​
html]
[5] Openvpn for Android: [https:// play. google.​
com/ store/ apps/ details? id=de. blinkt.​
openvpn]
[6] ics-openvpn auf Google Code: [http:// code.​
google. com/ p/ ics‐openvpn]
116 Ausgabe 06-2012 Admin www.admin-magazin.de

Alle Ausgaben der letzTen 12 Monate
Sie haben ein Admin verpasst? Kein Problem!
Bei uns können Sie alle Ausgaben des ADMIN Magazin
der letzten 12 Monate ganz einfach und versandkostenfrei
unter www.admin-magazin.de/einzelheft nachbestellen:
ADMIN 06/2011 ADMIN 01/2012 ADMIN 02/2012
ADMIN 03/2012 ADMIN 04/2012 ADMIN 05/2012
Damit Sie keine Ausgabe mehr verpassen,
bestellen Sie am besten gleich ein Abo
vom ADMIN Magazin und sparen:
Telefonisch unter: 07131 / 2707 274,
per Fax: 07131 / 2707 78 601 oder
E-Mail: abo@admin-magazin.de,
Web: www.admin-magazin.de/abo

Tclkit
© Thomas Sztanek, 123RF
Plattformübergreifende Softwareentwicklung mit Tclkit
Motorisierte
Skripte
Zwischen Skriptsprachen und den klassischen Compilersprachen gibt es
kaum noch Performance-Unterschiede, aber ein Nachteil der Skriptsprachen
war bisher, dass man für sie zunächst einen Interpreter installieren
musste. Tclkit hebt diesen Malus auf. Klaus Kröll
Für einen Compiler kann zuweilen
sprechen, dass er Firmengeheimnisse
verschleiert, die in Algorithmen im Programmcode
implementiert sind, wenn der
Anwender nur das kompilierte Programm
erhält. Wo diese Überlegung keine Rolle
spielt, kann eine Skriptsprache vorteilhaft
sein, denn so ist der aktuelle Programmcode
stets verfügbar. Ein Nachteil von
Skriptsprachen besteht allerdings darin,
dass der Interpreter auf dem Zielsystem
und auf allen geforderten Plattformen
verfügbar sein muss.
Eine Skriptsprache, die bereits seit über
20 Jahren – allerdings eher im Verborgenen
– auf dem Markt ist, heißt Tcl/​Tk.
Ihre Vorteile sind die einfache Erlernbarkeit,
die hohe Ausführungsgeschwindigkeit
und die Verfügbarkeit für unterschiedliche
Rechner-Plattformen.
Normalerweise braucht auch Tcl/​Tk immer
einen Interpreter, wo man dessen
Installation aber umgehen möchte, kann
man auf das Programm tclkit zählen. Bei
tclkit handelt es sich um ein ausführbares
Programm, das einen Tcl-Interpreter
enthält und die gesamte Laufzeitumgebung
in einem gepackten virtuellen
Dateisystem mit sich bringt. Tclkit ist für
unterschiedliche Plattformen verfügbar
und in der Lage, sowohl Tcl-Dateien als
auch das sogenannte Starkit zu interpretieren.
Durch einen speziellen Mechanismus
kann ein Starkit mit einem tclkit
verbunden werden und es entsteht eine
plattformabhängige, ausführbare Datei,
ein Starpack. Wie das genau geht, wird
hier erläutert.
Voraussetzungen
Die Entwicklung von Tcl-Programmen
kann grundsätzlich auch mit einem tclkit
erfolgen. In der Regel werden meist
zusätzliche Module (Packages) benötigt,
die in kompletten Laufzeitumgebungen
oft schon enthalten sind, weshalb es
sich empfiehlt, für die Entwicklung von
Starkits/​Starpacks eine solche komplette
Laufzeitumgebung zu installieren. Für
die Betriebssysteme Windows und Linux
und Mac OS X stellt die Firma Active
State unter anderem die ActiveTcl Community
Edition (derzeit aktuelle Version
8.5.11.1) zur Verfügung.
Die Installation erfolgt mit einem eigenen
Installer. Man spielt am besten alle Komponenten
sowie die Demo-Programme
auf. Danach lässt sich die Installation
mit den beigefügten Demo-Programmen
testen. Dazu wird unter Windows im
Startmenü unter dem Submenü Demos
der Eintrag »Tk« gewählt, unter Linux
befindet sich im Verzeichnis Demo/​Tk8.5
das Skript »widget.tcl«, das mit »wish
widget.tcl« aufgerufen wird.
Die benötigten Dateien für die Starkit/​
Starpack-Erstellung können im Internet
hier [1] heruntergeladen werden. Man
benötigt das Programm »tclkit« und ein
Starpack mit dem Namen »sdx.kit« (Starkit
Developer eXtension). Unter Windows
werden zwei tclkits angeboten, eines
für den Textmodus (cmd-Programme)
ohne Tk und ein weiteres mit Tk für
Programme mit GUI. Zur Erstellung der
Starkits unter Windows ist in jedem Fall
das tclkit ohne Tk (tclkitsh…exe) notwendig.
Die heruntergeladenen Dateien
werden nun in ein Verzeichnis gelegt,
das am besten in der PATH-Variable eingetragen
ist. Die Datei »sdx‐20110317.kit«
benennt der Anwender in »sdx.kit«, die
tclkit-Programme einfach in »tclkit« beziehungsweise
»tclkit.exe« und »tclkitsh.
exe« um. Auf 64-Bit-Systemen wie Windows
Server 2008 R2 ist der Einsatz eines
64-Bit-Tclkits notwendig.
Nun lässt sich schon ein einfaches Demo-
Skript unter dem Namen »Hello.tcl« anlegen:
#!/bin/sh
##\
exec wish "$0" "$@"
package require Tk
button .hello ‐text "Hello World" U
‐command exit
pack .hello
Wird diese Datei unter Linux ausführbar
gemacht, so zeigt der Aufruf von »./hello.
118 Ausgabe 06-2012 Admin www.admin-magazin.de

Tclkit
Name
twapi
tablelist
BWidget
cwind
winico
snack
expect
Tabelle 1: Hilfreiche Packages
Funktion
Zugriffsfunktionen für Windows-API
Mehrspaltiges Tabellen-Widget mit vielfältigen Sonderfunktionen
Kombinierte Widgets
Simulation von Tastatur und Mauseingaben unter Windows
Anzeige von Icons in der Windows-Taskbar
Sound-Funktionen
Automatisierung von komplexeren Komandozeilen-Programmen, zum Beispiel
Zugänge mit Einmalpassworten
Abbildung 1:
Die Ausgabe des
Skripts »Hello.tcl«.
meiden, werden das Programm »tclkit.
exe« und die Datei »sdx.kit« in das gleiche
Verzeichnis wie das Skript »hello.tcl«
kopiert. Der Aufruf
tclkitsh sdx.kit qwrap hello.tcl U
‐runtime tclkit.exe
Nachdem das Skript erfolgreich getestet
ist, kann nun ein eigenständiges Programm
daraus erstellt werden. Dazu ist
wieder die Shell bezieungsweise Eingabeaufforderung
notwendig. Der Aufruf ist
unter Windows und Linux grundsätzlich
gleich. Unter Windows ist allerdings »tclkitsh«
zu verwenden. Im folgenden sollen
die Programmaufrufe unter Windows als
Beispiele dienen, weil der Programmierer
hier zwischen Text- und GUI-Modus unterscheiden
muss. Verwendet er dagegen
Linux, heißt es immer nur »tclkit«. Um
die Eingabe langer Pfadnamen zu vertcl«
ein Fenster mit dem Button „Hello
World“ an, das nach dem Klick auf den
Button beendet wird (Abbildung 1). Unter
Windows lässt sich diese Datei mit
einem Doppelklick starten.
GUIs mit Tk
Die ersten drei Zeilen des Programmcodes
werden nur unter Linux benötigt,
damit die Datei direkt ausgeführt werden
kann. Die Zeile
package require Tk
lädt die grafische Komponente Tk. Dies
ist beim Starten des Skripts mit der Tcl-
Laufzeitumgebung nicht nötig, wird allerdings
für die korrekte Ausführung mit
dem tclkit benötigt. Die Zeile 6 erzeugt
den „Hello World“-Button, die Zeile 7
zeigt den Button am Bildschirm an.
Das Skript »hello.tcl« lässt sich auch direkt
mit dem tclkit ausführen. Dazu gibt
man in einer Shell (oder im Cmd-Fenster)
im Verzeichnis des Skripts
tclkit hello.tcl
ein. Es öffnet sich wieder ein Fenster mit
dem Button „Hello World“.
Das erste Starpack
erzeugt die Datei »hello«, die nach dem
Umbenennen in »hello.exe« startbar ist.
Um jetzt unter Windows ein Programm
für Linux zu erzeugen, muss nur das Tclkit
für Linux (»tclkit‐8.5.9‐linux‐ix86«) in
das gleiche Verzeichnis kopiert werden.
Durch den Aufruf von
tclkitsh sdx.kit qwrap hello.tcl U
‐runtime tclkit‐8.5.9‐linux‐ix86
entsteht die Datei »hello«, die jetzt ein
ausführbares Programm für Linux ist.
Analog ist dies auch unter Linux für Windows
möglich. So lassen sich Programme
für verschiedene Rechner Plattformen
aus einem Quelltext erzeugen, da nur das
entsprechende Tclkit der Ziel-Plattform
mit dem Parameter »‐runtime« bei der
Erzeugung anzugeben ist. Es gilt aber zu
beachten, dass es die Verwendung plattformspezifischer
Packages ( zum Beispiel
»twapi« oder »registry« für Windows) unmöglich
machen kann, das Programm zu
portieren.
E
Listing 1: Ein Editor
01 #!/bin/sh
02 ##\
03 exec wish "$0" "$@"
04
05 package require BWidget
06 package require Tk
07
08 proc openfile {} {
09 global hw
10 set filename [tk_getOpenFile]
11 # Abbruch liefert einen leeren String zurück
12 if {[string bytelength $filename] != 0} {
13 set fp [open $filename r]
14 $hw.sw.t delete 1.0 end
15 $hw.sw.t insert end [read $fp]
16 close $fp
17 }
18 }
19
20 proc savefile {} {
21 global hw
22 set filename [tk_getSaveFile]
23 # Abbruch liefert einen leeren String zurück
24 if {[string bytelength $filename] != 0} {
25 set fp [open $filename w]
26 puts $fp [$hw.sw.t get 1.0 end]
27 close $fp
28 }
29 }
30
31 # Erzeuge Haupt Frame
32 MainFrame .mf
33 pack .mf ‐fill both ‐expand yes
34
35 # Erzeuge Toolbar
36 set tb [.mf addtoolbar]
37 set bbox [ButtonBox $tb.bbox ‐spacing 0 ‐padx
1 ‐pady 1]
38 $bbox add ‐command openfile \
39 ‐highlightthickness 0 ‐image [Bitmap::get
openfold] ‐takefocus 0 ‐relief link \
40 ‐borderwidth 1 ‐padx 1 ‐pady 1 \
41 ‐helptext "Öffnen"
42 $bbox add ‐command savefile \
43 ‐highlightthickness 0 ‐image [Bitmap::get
save] ‐takefocus 0 ‐relief link \
44 ‐borderwidth 1 ‐padx 1 ‐pady 1 \
45 ‐helptext "Speichern"
46
47 # Anzeigen der Toolbar
48 pack $bbox ‐side left ‐anchor w
49
50 # Fensterbereich ermitteln
51 set hw [.mf getframe]
52
53 # Textbereich mit Scrollbars
54 ScrolledWindow $hw.sw
55 text $hw.sw.t
56 $hw.sw setwidget $hw.sw.t
57
58 # Textbereich anzeigen
59 pack $hw.sw ‐fill both ‐expand yes
60
61 # Ctrl‐o und Ctrl‐s den Funktionen Öffnen und
Schließen zuordnen
62 bind . openfile
63 bind . savefile
www.admin-magazin.de
Admin
Ausgabe 06-2012
119

Tclkit
Der Parameter »qwrap« (quick
wrap) eignet sich nur, um aus
einer einzigen Quell-Datei ein
Starpack/​Starkit zu erstellen.
Kommen weitere Packages
oder mehrere Quell-Dateien
zum Zug, so ist der Parameter
»wrap« zu verwenden. Er
setzt voraus, dass der Quellcode
und die Packages in einer
speziellen Verzeichnisstruktur
vorliegen, was das folgende
Beispiel erläutert.
Starpack mit zusätzlichen
Packages
Dieses Beispiel liefert einen einfachen
Text-Editor. Für das Hauptfenster kommt
das Package BWidget zum Einsatz. Die
Datei aus Listing 1 mit dem Namen »editor.tcl«
erzeugt das Fenster: Sobald man
sie startet, erscheint ein Fenster, das als
rudimentärer Editor fungieren kann.
Um daraus ein eigenständiges Programm
zu erstellen, erzeugt der folgende Aufruf
erst mit dem Parameter »qwrap« ein
Starkit:
tclkitsh sdx.kit qwrap editor.tcl
Abbildung 2: Die Starkit-Verzeichnisstruktur nach der Rückverwandlung.
Dieses Starkit (»editor.kit«) wird mit dem
Parameter »unwrap« wieder in den Quellcode
zurückgewandelt. Bei der Rückwandlung
entsteht eine Verzeichnisstruktur
(»editor.vfs«), die auch der eigentliche
Inhalt des Starkits ist (Abbildung 2).
tclkitsh sdx.kit unwrap editor.kit
Im »lib«-Verzeichnis eines Starkits müssen
alle benötigten Packages zu finden
sein. Da in unserem Beispiel nur das Package
BWidget verwendet wurde, wird es
nach »edidor.vfs/lib« kopiert. Es könnten
jetzt auch noch Korrekturen an der Datei
»editor.tcl« vorgenommen oder weitere
Dateien hinzugefügt werden (Tabelle 1).
Zum Abschluss erzeugt man das Programm
mit dem Befehl
tclkitsh sdx.kit wrap editor.exe U
‐runtime tclkit.exe
Es entsteht direkt das Programm »editor.
exe«. Mit dem Befehl
tclkitsh sdx.kit U
unwrap editor.exe
lässt sich das
Starpack jederzeit
wieder in eine
Verzeichnisstruktur
wandeln, die
einige Dateien und
Packages mehr
enthält, da das
»tclkit.exe« selbst
ein Starpack ist,
und die dort enthaltenen
Dateien
integriert werden.
Ausbau
indem im Wurzelverzeichnis
des entpackten Starkits eine
Ico-Datei mit dem Namen
»tclkit.ico« abgelegt wird (Abbildung
3), die für jede gewünschte
Farbauflösung ein
Icon enthält.
Benötigt man weitere Dateien
aus einem Starkit, so lässt sich
der Wurzelpfad des gerade
aufgerufenen Starkits über die
Variable »$Starkit::topdir« ermitteln.
Ist diese Variable nicht
vorhanden, wurde das Skript nicht als
Starkit aufgerufen. So lassen sich auch
leicht Skripte erstellen, die sowohl in einer
Laufzeitumgebung als auch als Starkit/​Starpack
lauffähig sind.
Bei der Erstellung der Starpacks kann
über die Option »‐writable« festgelegt
werden, dass Änderungen an Dateien innerhalb
des Starpacks gespeichert werden
können. Das setzt allerdings voraus,
dass der Anwender auch ein Schreibrecht
auf diese Datei besitzt. Der Einsatz von
Virenscannern oder Programmen wie
»tripwire« ist bei solchen Starpacks allerdings
nicht unproblematisch – sie können
durchaus Fehlalarme provozieren.
Fazit
Tcl in Verbindung mit Tclkit eignet sich
für die schnelle Erstellung kleinerer Tools,
die gegebenenfalls auch auf unterschiedlichen
Plattformen verfügbar sein sollen.
Eine Beispielsammlung von Starkits findet
sich unter [2]. Das Starkit »tclhttpd.
kit« ist beispielsweise ein vollwertiger
Webserver, der ohne Installationsaufwand
und die Gefahr der Fehlkonfiguration
HTTP-Seiten zur Verfügung stellt.
Mit der oben gezeigten Methode lässt
sich schnell aus dem Kit »tclhttpd.kit« ein
einzelnes ausführbares Programm für die
gewünschte Zielplattform erstellen. Dieses
kann dann beispielsweise als Webserver
für die Auslieferung einer »wpad.
dat«-Datei zur automatischen Browserkonfiguration
verwendet werden. (jcb)n
Abbildung 3: Die Starpack-Verzeichnisstruktur mit eigenem Icon.
Das vorgegebene
Icon des ausführbaren
Programms
unter Windows
lässt sich ändern,
Infos
[1] Starkit/​Starterkit-Dateien:
[https:// code. google. com/ p/ tclkit]
[2] Beispielsammlung Starkits:
[http:// tcl. tk/ Starkits]
120 Ausgabe 06-2012 Admin www.admin-magazin.de

Admin-MAGAZIN
im Jahres-Abo
Praktisch anwendbares Wissen und ausführliche
Hintergrundberichte für alle IT-Administratoren
von Linux, Unix und Windows.
JETZT Zugreifen
und über 15% Sparen!
IHRE vorteile
• 6 Ausgaben im Jahr Frei Haus
• inklusive 6 ADMIN-Specials
(unter anderem zu IPv6 und SSD)
als PDF-Download im Wert von
über 35 Euro
sichern Sie Sich Ihr
gratis Multitool!
Jetzt abonnieren:
www.admin-magazin.de/abo
(Printabo 49,90 Euro, digitales Abo nur 44,90 Euro)
• Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@admin-magazin.de •

Programmieren
Julia
Eine neue Sprache für das Technical Computing
Frauenpower
Die Programmiersprache Julia beweist ihre Stärken vor allem bei der
Parallelverarbeitung über mehrere Cores oder Cluster-Knoten hinweg.
Einfach, schnell und parallel soll sie sein – was ist dran? Douglas Eadin
In den frühen Tagen des Personalcomputers
kauften oder bastelten sich viele
einen PC, um die Computerei für sich
selbst zu erkunden. Viele von ihnen hatten
zwar Zugang zu einem Mainframe
oder sogar einem Minicomputer, fanden
es aber dennoch reizvoll, den Rechner
für ihre privaten Versuche direkt neben
sich stehen zu haben. Als einziger Nutzer
und Besitzer konnten die PC-Pioniere
erstmals alles kontrollieren und mit Hardund
Software spielen, ohne auf andere
Rücksicht nehmen zu müssen.
Typ Anwenderentwickler
Aus diesem Herumspielen erwuchs
schließlich eine ganze neue Industrie,
wie manche meinen. Die relativ geringen
Kosten erlaubten es jedem Neugierigen,
die ersten PCs ganz nach den eigenen
Bedürfnissen zu erkunden und in Beschlag
zu nehmen. Dabei waren Programmierwerkzeuge
zu Anfang rar, und
viele der ersten Benutzer programmierten
Assembler oder tippten Maschinencode
ein. Wenig später erschien Microsofts
Basic auf der Bildfläche und wurde zu
einer der ersten Hochsprachen des jungen
PC. Sprachen wie C oder Fortran,
die es früher nur auf größeren Systemen
gab, folgten bald darauf. Die PC-Revolution
brachte einen neuen Typ Entwickler
hervor: Jemanden, der über Fachwissen
auf einem Spezialgebiet verfügte und
einen programmierbaren PC zur Hand
hat. Über Nacht entstanden so unzählige
Applikationen. Manche wurde kommerziell
sehr erfolgreich, andere eroberten
eine Nische.
HPC erkunden
Wollte man diese Lektion auf die Welt
des High Performance Computing (HPC)
übertragen, dann könnte man fragen:
„Aber wie soll man denn damit herumspielen?“
Die Antwort ist nicht einfach.
Mit Blick auf die Hardware reichen ein
paar PC, ein Ethernet-Switch und das
MPI (Message Passing Interface) für einen
kleinen Cluster. Oder man benutzt
eine Grafikkarte und CUDA (die parallele
Berechnungsarchitektur von NVIDIA) als
einfache GPU-Hardware. Wie in der Jugendzeit
des PC laden relativ geringe Kosten
die Bastler zum Herumspielen ein.
Aber wie sieht es auf der Softwareseite
aus? Welche Software kann man als Experte
in einem bestimmten Fachgebiet
nutzen, um HPC-Methoden kennenzulernen?
Viele der Kerntools der HPC-Welt sind
für Experten anderer Gebiete zu speziell.
Fortran, C/​C++, MPI oder CUDA zu lernen
ist eine große Herausforderung. Alle
diese Werkzeuge operieren nahe an der
Hardware und erfordern einen großen
Einarbeitungsaufwand. Deshalb greifen
viele Experten lieber zu Sprachen wie Python,
R oder MATLAB. Sie bewegen sich
auf einer höheren Ebene näher am Problem
des Anwenders und sind für ihn daher
leichter zu benutzen. Allerdings sind
die performanteren Sprachen wie C oder
Fortran oft statisch kompiliert, wogegen
die bequemeren auf dynamisches Kompilieren
setzen, was das Herumspielen
und die Interaktion mit Code-Fragmenten
erlaubt. Die Sprachen auf höherem Level
sind dafür wieder oft ausdrucksstärker
und brauchen weniger Codezeilen.
Ein anderer Aspekt, der alle Sprachen
betrifft, ist die Parallelverarbeitung.
Das Problem kam durch die Einführung
der Multicore-Prozessoren in die Welt.
Heute hat ein typischer Desktoprechner
wenigstens vier Kerne. Dazu kommt die
Einführung von Multicore-Servern, HPC-
Clustern und dem GPU-Computing, was
viele Low-Level-Programmiermodelle
fragmentiert hat. Sprachen höherer
Ordnung versuchen diese Probleme vor
dem Anwender zu verbergen, was unterschiedlich
gut gelingt – die Parallelverarbeitung
bleibt ein Nachzügler.
Bereits seit einer ganzen Weile fehlt eine
Sprache für HPC-Experimente, in der ein
Fachexperte (etwa ein Biologe) schnell
und einfach ein Problem so formulieren
könnte, dass er dabei moderne HPC-
Hardware so einfach wie einen Desktop-
PC einsetzen könnte. Eine solche Sprache,
die den Nutzer nicht zwingt, sich
mit den Details der darunter liegenden
Hardware auseinanderzusetzen, wird gebraucht.
(Auch wenn einige meinen, es
hätte niemals Basic geben dürfen.)
Julia ist nicht schüchtern
In jüngster Zeit wurde viel über die neue
Sprache Julia diskutiert, die sich als
Werkzeug für Technisches Computing
anbietet. Ihre Schöpfer rechtfertigen die
Sprache so:
„Wir wollten eine Sprache auf Open-
Source-Grundlage mit einer liberalen Lizenz.
Wir wollten die Geschwindigkeit
122 Ausgabe 06-2012 Admin www.admin-magazin.de

Julia
Programmieren
von C mit der Dynamik von Ruby. Wir
wollten eine Sprache, die homoiconic sein
sollte (also Code und Daten in derselben
Weise repräsentiert), mit echten Makros
wie in Lisp, aber mit einer eingängigen,
vertrauten mathematischen Schreibweise
wie in MATLAB. Wir wollten etwas, das
für allgemeine Programmieraufgaben so
nützlich sein sollte wie Python, so leicht
mit Statistik umgehen kann wie R, für das
Zeichenkettenverarbeitung so selbstverständlich
ist wie für Perl, das in linearer
Algebra so stark sein sollte wie MATLAB
und das sich so gut zum Zusammenfügen
von Programmen eignen sollte wie die
Shell. Etwas, das man kinderleicht lernen
kann und das doch die ernsthaftesten
Hacker glücklich macht. Wir wollten das
interaktiv und kompilierend. Wir wollten
einfache skalare Schleifen schreiben
können, die sich direkt in Maschinencode
übersetzen und die CPU-Register nutzen.
Gleichzeitig wollten wir »A * B« schreiben
können und damit Tausende Berechnungen
anstoßen, die das Matrixprodukt
bilden.“ [2]
Julias Vorzüge
Die Julia-Webseite [1] hat noch mehr Informationen
über die Zielsetzung, aber
schon der zitierte Absatz klingt, als gehe
für HPC-Nutzer ein Traum in Erfüllung.
Insbesondere, weil einige der Ziele seit
Jahren auf der Wunschliste standen und
unerreichbar scheinen, bis man einen
Blick auf die Benchmarks in Tabelle 1
wirft. Da das „P“ in HPC ja für Performance
steht, sollten die Ergebnisse dazu
einladen, sich weiter mit Julia zu beschäftigen.
Vielen High-Level-Sprachen
wird unterstellt, weniger effizient als C
oder Fortran zu sein. Die Tabelle beweist,
dass das nicht so sein muss. Schon die
Tabelle 1: Benchmark-Ergebnisse
Julia
v3f670da0
Python
v2.7.1
Annäherung an die Geschwindigkeit der
herkömmlichen, kompilierenden Sprachen
kann man als Durchbruch für ein
High-Level-HPC-Tool ansehen.
Neben der Geschwindigkeit sollten weitere
Julia-Features den Fachexperten gelegen
sein.Die folgende kurze Liste ist eine
Aufstellung der wichtigsten Vorzüge von
Julia (eine vollständige Liste findet sich
hier [3]):
n Frei und Open Source (MIT-Lizenz).
n Syntax wie bei MATLAB.
n Entworfen für Parallelisierung und
verteiltes Rechnen (Multicore und
Cluster).
n Direkter Aufruf von C-Funktionen
(ohne Wrapper oder spezielle APIs)
n Mächtige, Shell-ähnliche Fähigkeiten
für die Verwaltung anderer Prozesse
n Lisp-ähnliche Makros und andere
Möglichkeiten der Metaprogrammierung.
n Benutzerdefinierte Datentypen sind so
kompakt und schnell wie eingebaute.
n Just-in-Time-Compiler (JIT), der oft
die Performance von C/​C++ erreicht.
n Umfangreiche mathematische Funktionen
und Bibliotheken (geschrieben
in Julia)
n Integration ausgereifter C- und Fortran-
Bibliotheken für Lineare Algebra, Zufallszahlengeneratoren,
FFTs und Zeichenkettenverarbeitung.
Eine Fähigkeit, die alle Hochsprachen benötigen,
ist die, existierende Bibliotheken
aus anderen Quellen zusammenzufügen.
Es existiert zu viel guter Code, als dass
man ihn ignorieren oder neu erfinden
sollte. Dank der Nutzung eines LLVM-
Compilers kann Julia ohne Weiteres existierende
Shared Libraries verwenden, die
mit GCC oder Clang-Tools kompiliert wurden.
Im Ergebnis verfügt Julia über eine
MATLAB
vR2011a
Octave
v3.4
R
v2.14.2
JavaScript
v8 3.6.6.11
»fib« 1.97 31.47 1,336.37 2,383.80 225.23 1.55
»parse_int« 1.44 16.50 815.19 6,454.50 337.52 2.17
»quicksort« 1.49 55.84 132.71 3,127.50 713.77 4.11
»mandel« 5.55 31.15 65.44 824.68 156.68 5.67
»pi_sum« 0.74 18.03 1.08 328.33 164.69 0.75
»rand_mat_stat« 3.37 39.34 11.64 54.54 22.07 8.12
»rand_mat_mul« 1.00 1.18 0.70 1.65 8.64 41.79
* Tests sind relativ zu C++ und liefen auf einem MacBook Pro mit 2.53GHz Intel Core 2 Duo CPU
und 8GByte 1,066MHz DDR3 RAM (Quelle: Julia-Webseite).
sehr performante Methode mit geringem
Overhead, um bestehende Bibliotheken
auszunutzen.
Eine weiteres wichtiges Feature von Julia
ist die native Parallelverarbeitung auf
der Basis von zwei Primitiven: Remote
References und Remote Calls. Hinter den
Kulissen benutzt Julia Message Passing,
zwingt den Benutzer aber im Unterschied
zu MPI nicht dazu, die Umgebung explizit
zu kontrollieren. Überhaupt ist Kommunikation
in Julia immer einseitig, was
heißt, dass der Programmierer sich in
einer zweiseitigen Operation nur um eine
Seite zu kümmern braucht. Julia unterstützt
außerdem verteilte Arrays.
Hands on
Weil Julia neu ist, befinden sich einige
Aspekte der Sprache noch in Entwicklung.
Die sehr gute Dokumentation [6]
ist einen Blick wert. Weil die Dinge noch
im Fluss sind, empfiehlt es sich das jeweils
aktuellste Release aus dem Netz zu
beziehen. Im Moment unterstützt Julia
n GNU/​LInux, x86, 64- und 32-Bit
n Darwin OS/​X, x86, 64- und 32-Bit
n FreeBSD, x86, 64- und 32-Bit
Die folgenden Beispiele wurden auf einem
Limulus-Cluster [7] mit einer Intel
i5-2400S-CPU und 4 GByte RAM unter
Scientific Linux 6.2 gerechnet. Wer Julia
nicht kompilieren möchte, kann es online
ausprobieren [8]. Wer eine eigene
Version haben möchte, braucht ein Arbeitsverzeichnis
mit mindestens 2 GByte
freiem Plattenplatz. Dort gibt man ein:
git clone U
https://github.com/JuliaLang/julia.git
Ist der Download beendet, hat man ein
neues Julia-Directory. Anschließend
wechselt der Anwender dort hinein und
gibt »make« ein – dann hat er Zeit für
einen Kaffee oder eine Runde mit dem
Hund. Der Build dauert eine Weile, besorgt
sich aber alle nötigen Pakete selbst.
Ist alles durchgelaufen, sollte sich ein
Julia-Binary im Arbeitsverzeichnis finden.
Um Julia zu starten, genügt
./julia
Erscheint dann nicht der Titel aus Listing
1 versucht man es mit
./julia ‐q
E
www.admin-magazin.de
Admin
Ausgabe 06-2012
123

Programmieren
Julia
01 $./julia
Am besten baut man den Pfad zur ausführbaren
Datei nun in seine PATH-Variable
ein.
Wie bei vielen interaktiven Tools kann
man jetzt Ausdrücke eingeben wie:
julia> sqrt(2*7)+(6/4)
5.241657386773941
Wie oben schon erwähnt sind sowohl
eine User Manual wie auch Library-Referenz
online abrufbar und helfen bei
der Erkundung von Julia. Weil Julia auf
HPC-Umgebungen ausgerichtet ist und
Parallelverarbeitung dort eine große Rolle
spielt, ist das auch ein integraler Teil von
Julia.
Eintauchen in Julia
Hochspachen, die die Komplexität von
MPI verbergen, erleichtern den Umgang
mit Parallelverarbeitung. Das hat jedoch
seinen Preis in Form einer verminderten
Effizienz. Dieser Preis scheint oft gerechtfertigt,
weil der Bequemlichkeitsvorteil
den Effizienznachteil aufwiegt, aber das
MPI hat nach wie vor seine Berechtigung.
Wie im Julia-Manual beschrieben bietet
Julia eine einfaches, einseitiges Messaging-Modell:
„Julias Implementierung des
Message Passing unterscheidet sich von
der anderer Umgebungen wie etwa MPI.
Die Kommunikation in Julia ist generell
einseitig, was heißt, dass Julia nur mit
einem Prozessor in einer Zwei-Prozessor-Operation
umgehen muss. Darüber
hinaus handelt es sich bei diesen Operationen
typischerweise nicht um Dinge wie
'Nachricht verschicken' und 'Nachricht
empfangen', sondern sie ähneln eher
dem Aufruf von Benutzerfunktionen.“
Die Autoren heben außerdem hervor,
dass Julia zwei eingebaute Primitive enthält:
„… Remote References und Remote
Listing 1: Julia Header beim Startup
02 _
03 _ _ _(_)_ |
04 (_) | (_) (_) |
Calls. Eine Remote Reference ist dabei
ein Objekt, dass von jedem Prozessor
genutzt werden kann, um auf ein Objekt
zu verweisen, dass ein bestimmter
Prozessor speichert. Eine Remote Call ist
eine Anforderung eines Prozessors, eine
Funktion mit bestimmten Argumenten
auf einem anderen (oder demselben) Prozessor
auszuführen.“
Dynamisch erweitern
Für die folgenden Beispiele wird Julia
nun auf einer Multicore-Maschine mit
zwei Prozessoren gestartet:
julia ‐q ‐p2
05 _ _ _| |_ __ _ | A fresh approach to technical computing
06 | | | | | | |/ _` | |
07 | | |_| | | | (_| | | Version 0.0.0+86921303.rc6cb
08 _/ |\__'_|_|_|\__'_| | Commit c6cbcd11c8 (2012‐05‐25 00:27:29)
09 |__/ |
10 julia>
Das dynamische Hinzufügen weiterer
Cores wird im nächsten Abschnitt beschrieben,
im Moment sollen nur zwei
Cores benutzt werden. Es ist außerdem
sinnvoll, die Anzahl Cores nicht zu überzeichnen
(das »‐p«-Argument soll also
nicht die Anzahl Cores in der Maschine
übersteigen).Das Beispiel benutzt einen
»remote_call«, um zwei Zahlen auf einem
andren Prozessor zu addieren. Danach
wird das Resultat abgeholt. Man könnte
genauso wieder einen Remote Call benutzen,
um mit dem Ergebnis weiterzurechnen.
julia> r = remote_call(2,+,2,2)
RemoteRef(2,1,1)
julia> fetch(r)
4
julia> s = remote_call(2,+,1,r)
RemoteRef(2,1,2)
julia>fetch(s)
5
Remote Calls kehren unmittelbar zurück
und warten nicht auf die Beendigung des
Task. Der Prozessor, der den Call absetzte,
fährt mit seiner nächsten Operation fort,
während der Call irgendwo anders abgearbeitet
wird. ein »fetch()« wartet allerdings
bis das Resultat
verfügbar ist.
Alternativ kann man
auf die Beendigung
eines Remote Calls
warten, indem man
ein »wait()« mit der
Remote Reference
absetzt.
Das eben gezeigte
Beispiel ist durch
den Zwang, die Prozessornummern
explizit anzugeben,
nicht besonders portabel. Die meisten
Programmierer benutzen deshalb ein
Julia-Makro namens »spawn«, das diese
Abhängigkeit eliminiert. Zum Beispiel:
julia> r= @spawn 7‐1
RemoteRef(2,1,7)
julia> fetch(r)
6
Auch das Makro »@parallel« ist in Schleifen
sehr nützlich. Weil Julia interaktiv
ist, muss man sich ins Gedächtnis rufen,
dass auf der Kommandozeile eingegebene
Funktionen nicht automatisch entfernten
Cores zur Verfügung stehen (auf
dem lokalen oder einem entfernten Knoten).
Um Funktionen auf allen Cores zu
verwenden muss man »load()« benutzen.
Diese Funktion lädt Julia-Programme automatisch
auf alle Cores, die mit einer
Julia-Instanz assoziiert sind. Alternativ
liest Julia das File »startup.jl« im Homedirectory,
wenn es existiert.
Alle Cores aufrufen
Julia kann Cores der lokalen Maschine
oder von entfernten Maschinen (das sind
immer Cluster-Nodes) nutzen. Wie das
geht, wird im Folgenden demonstriert.
Zuerst startet man die Julia-Instanz mit
einem Core. Die »nprocs()«-Funktion
zeigt die Anzahl verfügbarer Cores der
aktuellen Instanz an:
$ julia ‐q
julia>nprocs()
1
Möchte man nun weitere lokale Cores
hinzufügen, bietet sich die Funktion
»addprocs_local()« an, wie Listing 2
zeigt. In diesem Beispiel wurde ein Core
hinzugefügt und nprocs() zeigt daraufhin
zwei Cores an.
julia>nprocs()
2
Remote Cores (solche von anderen
Maschinen) lassen sich auf zweierlei
Weise hinzufügen. Einmal mithilfe der
»addprocs_ssh«-Funktion. Ein Beispiel
zeigt Listing 3, das je einen Core von
den Knoten n0 und n2 einbindet. Die
Voraussetzung dafür ist allerdings, dass
Julia auf allen Nodes an derselben Stelle
installiert oder über ein Shared Filesys-
124 Ausgabe 06-2012 Admin www.admin-magazin.de

Julia
Programmieren
tem erreichbar ist. Außerdem muss die
PATH-Variable auf den entfernten Knoten
das Verzeichnis des Julia-Binaries enthalten.
Die Anzahl der Prozessoren hat sich
jetzt auf vier erhöht.
Um zu überprüfen, ob die entfernten
Cores tatsächlich einbezogen werden,
kann man eine einfache parallel Schleife
mithilfe des »@parallel«-Makros ausführen.
julia> @parallel for i=1:4
run(`hostname`)
end
julia>limulus
limulus
n2
n0
Julia verwendet hier alle verfügbaren
Cores und die Hostnamen zeigen, dass
es sich um zwei lokale und zwei entfernte
Cores handelt (die lokale Maschine
heißt limulus). Die Knoten werden in
Round-Robin-Manier benutzt. Wenn sich
Die Schleife braucht mit einem Core 11,23
Sekunden. Lässt man nun genau die gleiche
Schleife laufen, benutzt aber zwei
lokale und 2 entfernte Cores, braucht sie
5,67 Sekunden. Verwendet man schließder
Endwert der Schleife erhöht, benutzt
Julia die verfügbaren Cores reihum:
julia> @parallel for i=1:8
run(`hostname`)
end
julia>limulus
limulus
limulus
limulus
n2
n0
n2
n0
Ein Beispiel aus der Julia Dokumentation
[9] vermittelt ein besseres Gefühl
für die Parallelverarbeitung. Zuerst sollte
man sich ansehen, wie es mit einem Core
funktioniert. Das folgende Programm
generiert Zufallsbits (»0« oder »1«) und
01 julia> addprocs_local(1)
summiert sie auf. Die »tic()«-funktion
startet dabei einen Timer und »toc()« gibt
das Ergebnis aus.
julia>tic();
nheads = @parallel (+) for i=1:1000000000
randbit()end;
s=toc();
println("Number of Heads: U
$nheads in $s seconds")
elapsed time: 11.234276056289673 seconds
Numberof Heads: U
50003873 in 11.234276056289673 seconds
Listing 2: »addprocs«
02 ProcessGroup(1,{LocalProcess(), Worker("10.0.0.1",9009,4,IOStream(),IOStream(),{},
03 {},2,false)},{Location("",0), Location("10.0.0.1",9009)},2,{(1,0)=>WorkItem(bottom_func,(),false,
04 (addprocs_local(1),1),(),(),intset(1))})
Immer aktuell informiert!
Windows
Phone User
www.windows-phone-user.de/newsletter
www.admin-magazin.de
Admin
Ausgabe 06-2012
125

Programmieren
Julia
lich vier lokale Cores, kommt man auf
3,71 Sekunden.
Parallelarbeit
Schon aus der Geschwindigkeit lässt sich
ablesen, dass Julia die Aufgabe parallel
abgearbeitet hat (alternativ kann man
sich die Worker-Prozesse auch mit »top«
ansehen). Zu beachten ist, dass diese einfache
Schleife keine Informationen über
Anzahl oder Ort der Cores brauchte. Das
ist ein sehr mächtiges Feature, weil man
damit eine Applikation zunächst auf einer
kleinen Anzahl Cores laufen lassen
kann, die sich später vergrößern lässt.
Obwohl diese Methode nicht immer für
Effizienz garantiert, ist es doch immer
hilfreich, wenn der Programmierer von
der Buchführung bei der Parallelarbeit
entlastet wird. Viele andere nützliche
Funktionen sind eine Untersuchung wert,
etwa »myid()«, die eine eindeutige Prozessornummer
zurückgibt, die der Identifizierung
dient.
Der zweite Weg Cores hinzuzufügen
benützt die Grid Engine [10] und die
Funktion »addprocs_sge()«. Andere Scheduler
wie Torque werden in der Zukunft
wohl auch unterstützt. Das unscheinbare
Feature erlaubt es, Programmen unter
Einbeziehung des gesamten Clusters zu
skalieren. Damit lassen sich Programme
konstruieren, die sich dynamisch und
selbstständig die benötigten Ressourcen
zusammensuchen.
So könnte eine Applikation auf dem Notebook
eines Benutzers laufen, aber Cores
eines Clusters anfordern. Kann sie nicht
bedient werden, könnte sie sich selbst
beenden oder aber warten, bis die Ressourcen
verfügbar sind. Einige Features
Listing 3: Nodes hinzufügen
01 julia> addprocs_ssh({"n0","n2"})
der selbst in Julia geschriebene Parallel
Computing-Komponente, etwa das Entfernen
nicht mehr benötigter Cores oder
ein besseres Recovery, sind derzeit noch
in Entwicklung.
Ein anderes interessantes Szenario ist
eine HPC-Workstation, bei der der Anwender
oder ein Scheduler automatisch
Cores freischaltet, sobald sie gebraucht
werden. Das Julia-Programm könnte sich
damit selbst verwalten und selbstständig
Ressourcen anfordern, sobald sie nötig
sind. Der Anwender muss dabei niemals
über Nodes oder Batch Queues nachdenken,
sondern kann sich ganz auf das
Problem konzentrieren, das er lösen will,
statt auf die Details der Parallelverarbeitung.
Teile und herrsche
Den Nutzer von der Verantwortung für
das Managen der Kommunikation und
Synchronisation zu entbinden, hat viele
Vorteile. Wie die Arbeit dabei genau
verteilt wird, ist dabei für den Anwender
transparent. Julia startet viele parallele
Berechnungen als Task oder Co-
Routinen. Immer, wenn der Code eine
Kommunikationsroutine wie »fetch()«
oder »wait()« erfordert, suspendiert der
Scheduler zunächst die aktuelle Task
und lässt eine andere laufen. Wenn der
Wait-Event beendet ist (weil beispielsweise
die Daten berechnet sind) wird die
suspendierte Task anschließend wieder
aufgenommen.
Dieses Design hat den großen Vorteil,
dass sich der Nutzer nicht explizit um die
Synchronisation kümmern muss. Zusätzlich
erlaubt dieses dynamische Scheduling
die recht einfache Implementierung
02 ProcessGroup(1,{LocalProcess(), Worker("10.0.0.1",9009,4,IOStream(),IOStream(),{},
03 {},2,false) ... },{Location("",0), Location("10.0.0.1",9009) ... Location("10.0.0.12",9009)},4,
04 {(1,0)=>WorkItem(bottom_func,(),false,(thunk(AST(lambda({},{{#1, #2}, {{#1, Any, 2}, {#2, Any, 2}}, {}},
05 begin
06 #1 = top(Array)(top(Any),2)
07 top(arrayset)(#1,1,"n0")
08 top(arrayset)(#1,2,"n2")
09 #2 = #1
10 return addprocs_ssh(#2)
11 end
12 ))),1),(),(),intset(1))})
13 julia> nprocs()
14 4
von Master/​Worker-Umgebungen nach
dem Schema "Teile und herrsche".
In Entwicklung
Obwohl Julia eine vielversprechende
Sprache für das technische Computing
ist, ist sie noch sehr jung und unterliegt
vielen Veränderungen Aus diesem
Grund ist Julia zum jetzigen Zeitpunkt
noch nicht für den harten Produktiveinsatz
geeignet, wohl aber zur spielerischen
Auseinandersetzung auf so gut
wie jedem Desktop-PC. Es sind sowohl
Source- wie Binary-Pakete mit Hinweisen
für die Installation auf [5] verfügbar.
Dieser Beitrag konnte nur einen kleinen
Einblick in Julias Fähigkeiten zur Parallelverarbeitung
geben, aber hoffentlich
schon ein Gefühl für die Leistungsstärke
von Julias Parallelverarbeitungsmodell
vermitteln.
Schließlich soll Julia nicht herabgemindert
werden, wenn es manchmal als
„Bastlersprache“ bezeichnet wird. Es ist
gerade ein großer Vorteil von Julia, dass
die Hürden für erste Versuche niedrig liegen.
Wer mit MATLAB vertraut ist, wird
einen einfachen Zugang finden.
Das Nette am Basteln ist, man kann einfache
Dinge schnell probieren, Ideen testen,
und nach kurzer Zeit einen Prototyp
fertig haben. Das dieser Prototyp dann so
schnell läuft wie in „richtigem“ Code ist
ein willkommener Vorteil. (jcb) n
Infos
[1] Julia: [http:// julialang. org/]
[2] Der Julia Blog: [http:// julialang. org/ blog/​
2012/ 02/ why‐we‐created‐julia/]
[3] Julia manual:
[http:// julialang. org/ manual/]
[4] LLVM: [http:// en. wikipedia. org/ wiki/​
Low_Level_Virtual_Machine]
[5] Julia Download: [https:// github. com/​
JuliaLang/ julia# readme]
[6] Julia Dokumentation:
[http:// docs. julialang. org/ en/ latest/]
[7] Limulus: [http:// limulus.​
basement‐supercomputing. com/]
[8] Julia Online Test: [http:// julia. forio. com/]
[9] Parallel-Programmier-Beispiel: [http://​
docs. julialang. org/ en/ latest/ manual/​
parallel‐computing/]
[10] Grid Engine:
[http:// gridscheduler. sourceforge. net/]
126 Ausgabe 06-2012 Admin www.admin-magazin.de

2 Ausgaben
für nur 5,90 €
50% sparen und von Anfang an dabei sein!
Windows Phone User erscheint alle zwei Monate
NEU!
Erstausgabe!
TESTANGEBOT:
2 AUSGABEN
für nur 5,90 Euro!
Jetzt bestellen unter:
windows-phone-user.de/miniabo

Programmieren
Paramiko
von Pycrypt, am besten als Binärpaket
von [6], voraus.
Im einfachsten Fäll lässt sich Paramiko
zum Einloggen auf einem Rechner mit
nur wenigen Zeilen einsetzen. Nach dem
obligatorischen Importieren des Modules
erzeugt die Methode »SSHClient« ein
neues Client-Objekt, das mit der Methode
»connect()« die Verbindung herstellt:
import paramiko
ssh = paramiko.SSHClient()
ssh.connect(Host, username=Username, U
password=Passwort)
© dimjul, 123RF
Paramiko öffnet SSH-Verbindungen
Abhörsicher
Im Python-Universum finden sich nützliche Module für jeden Zweck.
Mit dem Paramiko-Modul können Python-Programmierer und Administratoren
per SSH auf entfernten Rechnern Kommandos ausführen und sicher
Dateien übertragen. Oliver Frommel
Typischerweise funktioniert das aber
nicht, sondern erzeugt eine »SSHException«.
Der Grund dafür ist, dass Paramiko
wie der Standard-SSH-Client den Host-
Key des entfernten Rechners prüft. Weil
das Modul aber ohne Weiteres keinen
Zugang zu den gespeicherten Host-Keys
hat, schlägt der Verbindungsversuch fehl.
Ein einfacher Workaround besteht darin,
Paramiko bislang unbekannte Host-Keys
umstandslos eintragen zu lassen.
ssh.set_missing_host_key_policy(
paramiko.AutoAddPolicy())
Dies ist natürlich aber nicht im Sinn des
Erfinders und tendenziell unsicher, sollte
also nur bei Tests in sicheren Netzen
verwendet werden. Der korrekte Weg besteht
darin, Paramiko die Host-Keys laden
zu lassen, auf dass es sie wie gedacht
prüfen kann. Dazu dient die Funktion
»load_host_keys()«:
Seit die Secure Shell (SSH) vor vielen
Jahren einmal Telnet abgelöst hat, kommt
kein Administrator mehr ohne sie aus.
Um sich in Python-Skripts per SSH mit
anderen Rechnern zu verbinden und dort
Befehle auszuführen, gibt es eine Reihe
von Lösungen [1]. Die bewährteste von
ihnen ist das Paramiko-Modul, das dieser
Artikel näher vorstellt [2].
Ursprünglich wurde Paramiko von Robey
Pointer geschrieben, der unter anderem
bei Twitter gearbeitet und dort
Open-Source-Software in Scala unter einer
freien Lizenz veröffentlicht hat [3].
Ein Python-Modul mit dem Namen „ssh“
firmierte als Fork von Paramiko einige
Zeit als dessen Nachfolger. Mittlerweile
sind die beiden Projekte aber unter dem
Originalnamen vereint, und Jeff Forcier
hat die Leitung der Entwicklung übernommen.
Der aktuellste Code findet sich
deshalb auf [4] und Forciers Github-Seite
[5], die ausführliche API-Dokumentation
aber immer noch unter [2].
Überall zu Hause
Empfohlen wird für die aktuelleste Paramiko-Version
(derzeit 1.8.0) die Python-
Distribution 2.3 oder neuer, der Support
für Python 3 ist noch in Arbeit. Viele
Linux-Distributionen bringen zumindest
ältere Versionen von Paramiko schon mit,
ebenso wie etwa FreeBSD.
Aus dem entpackten Tar-Archiv lässt sich
Paramiko als Root systemweit mit dem
Befehl »easy_install ./« installieren. Auch
eine Installation auf Windows-Betriebssystemen
ist möglich, sie setzt jedoch
neben Python die vorherige Installation
client.load_host_keys(os.path.expanduserU
('~/.ssh/known_hosts'))
Setzt man diese Zeile im obigen Beispiel
vor den Connect-Aufruf, dürfte die Verbindung
klappen. Manche Administratoren
haben aber aus Sicherheitsgründen
auch das SSH-Login per Username und
Passwort abgeschaltet und erlauben lediglich
die Authentifizierung per Public
Key. Wenn der Anwender zur Verwaltung
der Private Keys einen SSH-Agent
verwendet, macht Paramiko davon Gebrauch.
Hat er die Passphrase bisher
noch nicht eingegeben, öffnet sich auf
Desktop- Linux-Systemen ein Dialog der
zur Eingabe auffordert.
Als Parameter muss »client.connect()«
dann nur der »username« übergeben
werden. Hat man einen sogenannten
Channel für die SSH-Verbindung, lassen
128 Ausgabe 06-2012 Admin www.admin-magazin.de

Paramiko
Programmieren
sich mit »exec_command()« auf dem entfernten
Rechner Befehle ausführen. Der
Aufruf gibt jeweils einen Dateideskriptor
für die Standardeingabe, die Standardausgabe
und die Fehlerausgabe zurück.
Listing 1 zeigt dafür ein Beispiel, das die
Prozesstabelle auf dem entfernten Rechner
ausgibt.
Wer das Default-Verhalten, den Agent zu
verwenden, abschalten will, kann der
Methode »allow_agent=False« übergeben.
Wer den SSH-Agent nicht verwenden
kann oder will, muss sich anders behelfen.
Paramiko bietet an, den zum Public
Key (der auf dem Server liegt) passenden
Private Key selbst zu laden. Dies geht
einfach mit der Funktion
pkey = paramiko.RSAKey.from_private_keyU
(pkey_file)
Es funktioniert aber nur, wenn der Private
Key nicht mit einer Passphrase geschützt
ist. Ist er dies aber, wie etwa dieser Key,
more ~/.ssh/id_rsa
‐‐‐‐‐BEGIN RSA PRIVATE KEY‐‐‐‐‐
Proc‐Type: 4,ENCRYPTED
muss man der obigen Methode die Passphrase
als zweites Argument übergeben.
Der Code in Abbildung 1 zeigt, wie man
die Passphrase von der Standardeingabe
liest und den Private Key damit entschlüsselt,
bevor man ihn an die Connect-
Methode übergibt. Dabei darf man nicht
vergessen, das die Eingabe abschließende
Linefeed-Zeichen zu entfernen, sonst
schlägt die Dekodierung fehl.
Neben solchen SSH-Sessions deckt Paramiko
auch die Datenübertragung per
SFTP ab. Um eine entsprechende Verbindung
zu öffnen, genügt es, die Methode
»open_sftp()« des Paramiko-Clients aufzurufen,
was wiederum ein SFTP-Objekt
zurückliefert. Dieses Objekt bietet eine
ganze Reihe von Methoden, die Shell-
Befehlen oder den bekannten Kommandos
in FTP-Clients ähneln. So wechselt
»chdir()« in ein anderes Verzeichnis und
»listdir()« gibt den Inhalt eines Verzeichnisses
aus.
Es lassen sich aber auch Verzeichnisse
anlegen, löschen und umbenennen. Dies
übernehmen die Methoden »mkdir()«,
»rmdir()« und »rename()«. Eine Datei
löscht ein Aufruf von »remove()« oder
»unlink()«.
Auch für das Ändern des Dateieigentümers
und der Zugriffsrechte bietet der
SFTP-Client passende Methoden. Dies
sind wie in der Shell »chown()« und
»chmod()«. Die beiden Methoden »get()«
und »put()« holen eine Datei vom Server
respektive speichern sie dort.
Schließlich lässt sich eine Datei auch direkt
auf dem Server anlegen, wenn man
»file()« verwendet. So können Python-
Skripts umstandslos Dateien auf dem
Server speichern, ohne vorher lokal eine
temporäre Kopie davon anzulegen. Eine
vollständige Liste aller Funktionen findet
sich in der API-Dokumentation des
»SFTPClient«-Objekts unter [2].
Einfacher
Wem dies alles noch zu viel Aufwand ist,
der sollte einen Blick auf den Paramiko-
Wrapper eines Python-Anwenders verwenden,
der sich online nur unter seinem
Vornamen Zeth auftritt [7]. Mit seinem
Modul gestaltet sich die Benutzung von
SSH und SFTP per Python noch einmal
einfacher:
Abbildung 1: Paramiko verwendet die Keys des SSH-Agents, kann aber den Private Key auch selbst dekodieren.
import ssh
s = ssh.Connection('my.server.de')
s.put('up.txt')
s.get('down.txt')
s.execute('du ‐h .')
Der Wrapper ist natürlich nicht so gut
getestet wie Paramiko selbst, und man
hat weniger Kontrolle darüber, was hinter
den Kulissen passiert.
Obligatorisch
Wer mit Python-Skripts per SSH auf andere
Rechner zugreifen, dabei Kommandos
ausführen oder Dateien übertragen
will, kommt an Paramiko kaum vorbei.
Das Modul hat eine lange Geschichte,
viele Anwender und ist entsprechend
gut getestet. Es arbeitet mit SSH-Agents
zusammen, bietet auf Wunsch eigenes
Key-Handling und ist im Detail konfigurierbar.
Seit es Ende September 2012
einen neuen Maintainer gefunden hat, ist
nun auch seine Zukunft gesichert. n
Infos
[1] Python Info Wiki, Secure Shell: [http:// wiki.​
python. org/ moin/ SecureShell]
[2] Paramiko: [http:// www. lag. net/ paramiko/]
[3] Homepage von Robey Pointer: [http://​
robey. lag. net]
[4] Python Package Index: Paramiko: [http://​
pypi. python. org/ pypi/ paramiko/]
[5] Github-Seite: [https:// github. com/​
paramiko/ paramiko]
[6] Pycrypto-Binaries für Windows: [http://​
www. voidspace. org. uk/ python/ modules.​
shtml# pycrypto]
[7] Wrapper: [http:// zeth. net/ post/ 332/]
Listing 1: Prozesstabelle anzeigen
01 import os
02 import sys
03 import paramiko
04
05 hostkeytype = None
06 hostkey = None
07 hostname = "server.domain.net"
08
09 client = paramiko.SSHClient()
10 client.load_host_keys(os.path.expanduser('~/.ssh/
known_hosts'))
11 client.connect(hostname, username="ofrommel")
12 stdin, stdout, stderr = client.exec_command('ps ‐a')
13 for line in stdout:
14 print line.strip('\n')
15 client.close()
www.admin-magazin.de
Admin
Ausgabe 06-2012
129

Service
Impressum und Vorschau
Impressum ISSN 2190-1066
ADMIN-Magazin eine Publikation der Medialinx AG
Redaktionsanschrift Putzbrunner Straße 71
81739 München
Tel.: 0 89/99 34 11-0
Fax: 0 89/99 34 11-99 oder -96
Internet
www.admin-magazin.de
E-Mail
redaktion@admin-magazin.de
Geschäftsleitung Brian Osborn (Vorstand), bosborn@medialinx-gruppe.de
Hermann Plank (Vorstand), hplank@medialinx-gruppe.de
Chefredakteure Oliver Frommel (V.i.S.d.P.),
ofrommel@admin-magazin.de (ofr)
Jens-Christoph Brendel
jbrendel@admin-magazin.de (jcb)
Redaktion
News/Report
Ulrich Bantle (Ltg.), ubantle@medialinx-gruppe.de (uba)
Mathias Huber, mhuber@medialinx-gruppe.de (mhu)
Software/Test
Marcel Hilzinger, mhilzinger@medialinx-gruppe.de, (mhi)
Kristian Kißling, kkissling@medialinx-gruppe.de, (kki)
Security/Networking Markus Feilner, mfeilner@medialinx-gruppe.de (mfe)
Thomas Leichtenstern, tleichtenstern@medialinx-gruppe.de (tle)
Ständige Mitarbeiter Elke Knitter (Schlussredaktion),
Carsten Schnober, Tim Schürmann, Claudia Thalgott
Produktionsleitung Christian Ullrich, cullrich@medialinx-gruppe.de
Grafik
Klaus Rehfeld, Judith Erb
Titel: Judith Erb, Ausgangsgrafik: Sascha Burkard, 123RF
Abo-Infoseite
Abonnenten-Service
www.admin-magazin.de/abo
Veronika Kramer
abo@admin-magazin.de
Tel.: 07131/27 07 274, Fax: 07131/27 07 78 601
Preise Print Deutschland Österreich Schweiz Ausland EU
Einzelheft € 9,80 € 10,80 Sfr 19,60 (siehe Titel)
Mini-Abo (2 Ausgaben) € 9,80 € 10,80 Sfr 19,60 (siehe Titel)
Jahres-DVD (Einzelpreis) € 14,95 € 14,95 Sfr 18,90 € 14,95
Jahres-DVD (zum Abo 1 ) € 6,70 € 6,70 Sfr 8,50 € 6,70
Jahresabo € 49,90 € 54,90 Sfr 99,90 € 59,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe € 9,80 € 9,80 Sfr 10,71 € 9,80
DigiSub (6 Ausgaben) € 44,90 € 44,90 Sfr 49,05 € 44,90
DigiSub (zum Printabo) € 6,— € 6,— sfr 6,— € 6,—
HTML-Archiv (zum Abo 1 ) € 48,— € 48,— sfr 48,— € 48,—
Preise Kombiabos
Profi-Abo 2 € 136,60 € 151,70 Sfr 259,90 € 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit Linux-Magazin-Abo und beiden Jahres-DVDs
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises oder einer aktuellen
Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei Verlängerung neu zu erbringen. Andere Abo-
Formen, Ermäßigungen im Ausland etc. auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht für Zeitschriften gelten.
Pressemitteilungen info@admin-magazin.de
Anzeigen/Repräsentanz
Es gilt die Anzeigenpreisliste vom 01.01.2012
National
Petra Jaser
Tel.: 089/99 34 11 24, Fax: 089/99 34 11 99
E-Mail: pjaser@medialinx-gruppe.de
michael Seiter
Tel.: 089/99 34 11 23, Fax: 089/99 34 11 99
E-Mail: mseiter@medialinx-gruppe.de
Pressevertrieb MZV, Moderner Zeitschriften Vertrieb GmbH
Breslauer Straße 5, 85386 Eching
Tel.: 089/31906-0, Fax: 089/31906-113
Druck
Vogel Druck und Medienservice GmbH
97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unix-ähnlichen Betriebssysteme
verschiedener Hersteller, zum Beispiel Eurix (Comfood), Ultrix (Digital Equipment), HP/UX (Hewlett-Packard) oder Sinix
(Siemens) benutzt, nicht als die Bezeichnung für das Trademark von X/Open. Linux ist eingetragenes Marken zeichen von
Linus Torvalds und wird in unserem Markennamen mit seiner Erlaubnis verwendet. Alle anderen Marken sind Eigentum
der jeweiligen Inhaber. Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung durch
die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von Manu s kripten gibt der Verfasser seine
Zustimmung zum Abdruck im Admin-Magazin. Für unverlangt ein gesandte Manuskripte kann keine Haftung übernommen
werden. Die Redaktion behält sich vor, Artikel zu kürzen. Das Exklusiv- und Verfügungsrecht für angenommene
Manuskripte liegt beim Verlag. Es darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden. Copyright © 1994–2012 Medialinx AG
Inserentenverzeichnis
1&1 Internet AG http://​www.einsundeins.de 8
ADMIN http://​www.admin-magazin.de 70, 117, 121
Android User GY http://​www.android-user.de 75
C&L Computer- u.
Literaturverlag GmbH http://​www.cul.de 77
DATSEC Data Security e.K. http://​www.datsec.de 33
Deutsche Messe AG http://​www.cebit.de 113
Fernschule Weber GmbH http://​www.fernschule-weber.de 19
Galileo Press http://​www.galileo-press.de 49
Hetzner Online AG http://​www.hetzner.de 132
Host Europe GmbH http://​www.hosteurope.de 85
Hostserver GmbH http://​www.hostserver.de 2
Inlab Software GmbH http://​www.inlab.de 15
Kamp Netzwerkdienste GmbH http://​www.kamp.net 27
Kettner Mathias - Linux Experte http://​www.mathias-kettner.de 23
Lamarc EDV-Schulungen u.
Beratung GmbH http://​www.lamarc.com 43
Linux-Hotel http://​www.linuxhotel.de 97
Linux-Magazin http://​www.linux-magazin.de 131
Linux-Magazin Academy http://​academy.linux-magazin.de 37, 71, 79
Netzwerktotal http://​www.netzwerktotal.de 47
outbox AG http://​www.outbox.de 39
pascom - Netzwerktechnik
GmbH & Co.KG http://​www.pascom.net 13
PlusServer AG http://​www.plusserver.de 16, 34, 50, 62
Synology http://​www.synology.com 45
Thomas Krenn AG http://​www.thomas-krenn.com 25
Windows Phone User http://​www.windows-phone-user.de 125, 127
XYRALITY GmbH http://​www.xyrality.com 67
Autoren dieser Ausgabe
Johannes Ahrends Ausweg aus Babylon 64
Eric Amberg Sicher ist sicherer 80
Chris Binnie Haus mit Hüter 86
Hanno Böck Die Shell für unterwegs 36
Jürgen Dankoweit Schichtweise 106
Thomas Drilling Aus der Ferne 98
Douglas Eadline Frauenpower 122
Thomas Joos Dschungelcamp 68
Thomas Joos Wandertag 102
© Katharina Wittfeld, 123RF
VORSCHAU
ADMIN 01/2013 erscheint am 10. JANUAR 2013
Enterprise-Linux
Viele sehen es nicht ein, für ein
freies Betriebssystem viel Geld
auszugeben. Wo die Stärken der
kommerziellen Linux-Distributionen
liegen und worin sie sich unterscheiden,
verrät der Schwerpunkt
im kommenden ADMIN-Heft.
Michael Kofler Nachgewürzt 94
Klaus Kröll Motorisierte Skripte 118
Thomas Lingmann Zugangsschutz 114
Martin Loschwitz Selbstbedienung 72
Vilma Niclas Löschen reicht nicht 20
Thorsten Scherf Im Dickicht 18
Tim Schürmann Ersatzspieler 28
Markus Winand Alles nach Plan 88
Thomas Zeller Klick in die Zukunft 40
Laptop geklaut?
Auf Konferenzen sind nicht immer
nur die freundlichen Unix-Hippies
unterwegs, auch Diebe zieht es wegen
der hohen Hardware-Dichte auf
solche Veranstaltungen. Mit einem
gewitzten Programm hat man eine
Chance auf Wiederbeschaffung.
© rioblanco, 123RF
130 Ausgabe 06-2012 Admin www.admin-magazin.de

JETZT
MIT DVD!
MAGAZIN
Sonderaktion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
Jetzt schnell bestellen:
• Telefon 07131 / 2707 274
• Fax 07131 / 2707 78 601
• E-Mail: abo@linux-magazin.de
• Web: www.linux-magazin.de/probeabo
Mit großem Gewinnspiel unter:
www.linux-magazin.de/probeabo
Gewinnen Sie...
eines von ZEHN „iVORI“ Smartphone Gadgets
Einsendeschluss ist der 15.12.2012
gesponsert von:
.de

€ 59
Hetzner Online unterstützt mit der
Verwendung von 100% regenerativem
Strom aktiv den Umweltschutz.
Entscheiden Sie sich gemeinsam
mit uns für eine saubere Zukunft.
49