ADMIN Magazin Groupware (Vorschau)

Jetzt 

mit 

ADMIN 

IT-Praxis & Strategie 

Besseres SSL 

Zukunftssicher mit Perfect 

Forward Secrecy 

Nameserver 

mit PowerDNS 

Software für GUTE zusammenarbeit im Team 

Groupware 

E-Mails, Kalender migrieren 

Social Software im Check 

Groupware Tine getestet 

OpenStack-Cloud 

Das neue „Havana“-Release 

Malware-Analyse 

in der Praxis 

vSphere 5.5 – 

was ist neu? 

13.10 

Saucy Salamander 

12/2013 Dezember 

Endian-Switchboard 

Sichere Fernwartung und 

Standortvernetzung 

SSD für MS SQL 

Zugriff im Turbo-Modus 

www.admin-magazin.de 

Apache 2.4.6 

Tuning für den Klassiker 

D EUR 9,80 

A EUR 10,80 - BeNeLux EUR 11,25 

CH sfr 19,60 - E / I EUR 12,75 

4 196360 509805 12

Service 

Editorial 

3 

Four-Letter-Word 

Liebe Leserinnen und Leser, 

In der Open-Source-Szene heißt das böse F-Wort mit vier Buchstaben: Fork. 

Wo es fällt, ist es ein Indikator für Schwierigkeiten. Ziemlich häufig hörte 

man es in den letzten Jahren im Nagios-Umfeld. 

Nagios war einst ein Freizeitprojekt, das aber schon vor zehn Jahren weit 

verbreitet war und zunehmend komplexer wurde. Wiewohl Open Source, 

ließ sich auch damals bereits Geld damit verdienen, etwa indem man es als 

Dienstleister in Kundenprojekten installierte oder Schulungen anbot. Nur 

Ethan Galstad, der Erfinder und Chefentwickler, hatte davon einstweilen nichts. 

Das mag ihn bewogen haben 2007 seine eigene Firma Nagios Enterprises zu gründen. Ein Schritt, der 

aber bald zu Problemen führte: Zahlreiche Entwickler beklagten, von ihnen eingereichte Patches blieben 

unbesehen liegen, die Weiterentwicklung der Community-Version sei eingeschlafen, die Firma konzentriere 

sich nur noch auf zahlende Kunden, lange bestehende Probleme blieben ungelöst. 

So kam es 2009 zum ersten Fork, das Projekt Icinga spaltete sich ab. Außerdem startete mit Shinken eine 

Neu-Implementierung in Python. Nagios erwuchs Konkurrenz. Nicht zufällig entbrannte im Jahr darauf 

ein über Rechtsanwälte und via Internet geführter, erbitterter Streit um Markenrechte und Domains. 

Nagios überlebte das alles und existierte als freie Software fort, die weiter stark von der Beteiligung der 

Community profitierte, darunter namentlich von dem beim Monitoring-Spezialisten OP5 beschäftigten 

Andreas Ericsson. Ebendieser Ericsson, pikanterweise noch im vergangenen Jahr von Nagios Enterprises 

selbst zum „Nagios Most Valuable Professional“ gekürt, wurde nun plötzlich von seinen Juroren 

geschasst. Er wurde aus der Entwicklung ausgesperrt, von der Teamliste gestrichen, und die Developer- 

Foren konvertierten flugs in firmeneigene, moderierte Diskussionsrunden. Bitter enttäuscht startet er 

nun einen weiteren Nagios-Fork: Naemon. 

Man könnte meinen, man sähe der Selbstdemontage eines ehemals erfolgreichen Open-Source-Projekts 

zu. Alles in allem ist verblüffenderweise das Gegenteil der Fall. Der Wettbewerb hat das Geschäft belebt. 

Von Icinga gibt es mittlerweile zwei Varianten sowie ein neues und ein neuestes Web-Interface neben der 

klassischen Ansicht. Mit Naemon entsteht eine Alternative, die explizit auf eine Datenbank verzichtet. 

Zusätze und Plugins aller Art sprießen wie Pilze aus dem Boden. Es gibt alternative GUIs, Lastverteiler, 

Konfigurationstools, Visualisierer und vieles mehr. Die Nagios-Ableger blühen und gedeihen. 

Wir lernen: Mag es auch vorkommen, dass ein Anbieter untergeht – der Anwender gewinnt, wenn sich die 

besten Ideen ums Überleben streiten. Auch dafür steht das Four-Letter-Word Fork. 

@ leserbriefe@admin-magazin.de www.facebook.com/adminmagazin www.twitter.com/admagz 


Admin 

Ausgabe 12-2013

ADMIN 

IT-Praxis & Strategie 

Groupwareab Seite 34 

n Login 

8 Vorgelesen 

Hochverfügbarkeit und Wireshark. 

10 Branchen-News 

Neues von Firmen und Projekten. 

14 OSMC 13 

Updates in Sachen Monitoring. 

16 Admin-Story 

Migration virtueller Maschinen. 

20 Betriebssysteme 

Systementwicklung gestern, heute 

und morgen. 

n Schwerpunkt 

34 Social Software 

Sind soziale Netzwerke eine 

Alternative zu Groupware? 

40 Groupware-Migration 

Ein Portal verspricht die automatische 

Migration von E-Mails, Terminen 

und Aufgaben. 

44 Tine 2.0 

Die Versionen „Kristina“ und „Collin“ 

der Tine-Groupware im Test. 

n Netzwerk 

24 PowerDNS 

Die Alternative zu BIND. 

30 Apache 

Neuheiten in Apache 2.4.6. 

34 

Social Software 

Enterprise 2.0 oder 

nutzloser Hype? 

24 

PowerDNS 

Leistungsfähiger und 

flexibler Nameserver. 

Service 

3 Editorial 

4 Inhalt 

6 Heft-CD 

114 Impressum und Vorschau 

Ausgabe 12-2013 

Admin 

www.admin-magazin.de

Service 

Inhalt 

5 

84 

sicherer 

Schlüsselverlust ohne 

82SSL 

schlimme Folgen. 

GnuPG 

E-Mail-Verschlüsselung 

im Mailclient einrichten. 

Seite 6 

13.10 

Saucy Salamander Server 

n Know-how 

56 Git-Annex 

Datenverwaltung mit Git-Annex. 

60 Speicherfehler 

Memory Errors unter Linux erkennen 

und beobachten. 

62 Windows Server 2012 R2 

Was ist neu im Windows Server 

2012 R2? 

n Security 

68 Endian-Switchboard 

VPN und mehr: Remote-Zugriff mit 

dem Endian-Switchboard. 

78 Malware-Analyse 

Statische und dynamische Code- 

Analyse nimmt Schadsoftware 

unter die Lupe. 

82 SSL-Verschlüsselung 

Mehr Sicherheit mit Perfect 

Forward Secrecy. 

n Basics 

84 GnuPG 

E-Mail-Verschlüsselung mit Open- 

PGP sicher einrichten. 

88 ADMIN-Tipps 

Die monatlichen Praxistipps. 

n Test 

90 SQL-Acceleration 

Die Beschleunigerkarte ZD XL SQL 

Accelerator von OCZ im Test. 

n Virtualisierung 

94 OpenStack Havana 

Einen Cocktail an Neuerungen 

bietet das neue Havana-Release 

von OpenStack. 

100 vSphere 5.5 

VMware vSphere 5.5: Die wichtigsten 

Neuerungen im Überblick. 

n FreeX 

106 GELI 

Festplattenverschlüsselung 

in FreeBSD. 

56 

Git-Annex 

Synchronisation und Verwaltung von 

Daten mit dem Git-Tool. 

94 

OpenStack Havana 

Neuestes Release des Cloud- 

Computing-Frameworks. 

Admin 

Ausgabe 12-2013

6 

Service 

Heft-CD 

CD kaputt? 

Wir schicken Ihnen kostenlos eine Ersatz-CD 

zu, E-Mail genügt: info@admin-magazin.de 

Ubuntu 13.10 Saucy Salamander Server Edition 

Heft-CD 

Auf dem beiliegenden Datenträger finden Sie die neueste Version 

der Ubuntu-Server-Version 13.10 Saucy Salamander. 

n Info 

Weiterführende Links und 

Informationen zu diesem 

Artikel finden Sie unter: 

www.admin-magazin.de/qr/30771 

n Speziell auf Server ausgerichtete 

Variante der beliebtesten Linux- 

Distribution. 

n Basierend auf Debian 

n Mit der neuesten Openstack-Version 

Havana 

n Mit dem Orchechstrierungstool Juju 

n Vordefinierte Pakete für typische 

Serverdienste 

Legen Sie einfach die DVD in das Laufwerk 

ein und starten Sie den Rechner. 

Möglicherweise müssen Sie noch im 

BIOS die richtige Boot-Reihenfolge 

einstellen. Danach können Sie Ubuntu 

13.10 Saucy Salamander Server Edition 

auf dem Rechner als Betriebssystem 

installieren. n 

antonino mirabile, 123RF 

Ausgabe 12-2013 Admin www.admin-magazin.de

8 

Login 

Bücher 

Galina Peshkova, 123RF 

Bücher über High Availability unter Linux und Netzwerkanalyse mit Wireshark 

Vorgelesen 

Bücher stehen immer zur Lektüre bereit, ein Linux-Cluster nicht. 

Deshalb ist diesen Monat Hochverfügbarkeit ein Buchthema; ein anderes 

ist Netzwerkanalyse mit Wireshark. Oliver Frommel, Carsten Schnober 

Wenn man den Linux-Entwicklern eines 

nicht vorwerfen kann, dann ist es Stillstand. 

Für die Welt der Hochverfügbarkeit 

dokumentiert das ganz 

treffend die zweite Auflage 

des Buchs von Oliver Liebel. 

Eine ganze Menge hat 

sich seit des ersten Erscheinens 

geändert und all dies 

ist in der neuen Ausgabe 

dokumentiert. Tatsächlich 

schreibt Liebel über ein 

Feld, das sich im permanenten 

Wandel befindet, 

weshalb er um seine Aufgabe nicht zu 

beneiden ist. An vielen Stellen schwirrt 

dem Leser der Kopf, angesichts einer 

Vielzahl von konkurrierenden, sich 

teilweise ablösenden und doch wieder 

funktional überschneidenden Software-Paketen. 

Im Zentrum geht es um die Pacemaker-Software, 

die das Hirn eines 

Hochverfügbarkeits-Clusters darstellt. 

Die Kommunikation der mit dem Buch 

aufgebauten HA-Gebilde findet über 

Corosync statt. Das dazu passende Storage 

stellt der Autor vorzugsweise über 

DRBD zur Verfügung, geht aber auch 

auf die modernen verteilten Dateisysteme 

GlusterFS und vor allem Ceph 

ausführlich ein. Genauso aktuell ist die 

recht ausführliche Betrachtung des 

Linux-Dateisystems Btrfs, das der Autor 

für die Zukunft favorisiert. Für aktuelle 

Installationen rät er angesichts des 

Entwicklungszustands jedoch ab. Das 

gleiche gilt für Version 9.x von DRBD, 

der ein eigenes Kapitel gewidmet ist. 

Die Vielzahl der Details beim Setup 

eines hochverfügbaren Clusters ist 

verwirrend, und der Autor geht sie alle 

durch. Das sorgt für eine nicht 

einfach verdaubare Lektüre, 

aber auch für ein umfassendes 

Praxis-Handbuch zum Cluster- 

Setup. Ohne die vielen Beispiele 

am Rechner nachzuvollziehen, 

wird man an dem Buch 

wenig Freude haben, dafür ist 

es zu praxisorientiert. 

Wie schon bei der ersten Auflage 

ist der Schreibstil nicht 

jedermanns Sache. Des Guten zuviel 

sind aber absatzlange 

Exkurse in die Tagespolitik, 

Science Fiction 

und Motorradclubs, die 

schwer zu überspringen 

sind und das Verständnis 

eher erschweren. 

Wireshark 101 

Das Programm Wireshark 

hilft schon seit 1998 bei der Analyse 

von Netzwerken mit allen Details, 

bis 2006 unter dem Namen Ethereal. 

Nun ist die deutsche Ausgabe des 

Buchs »Wireshark 101 – Einführung in 

n Hochverfügbarkeit 

Oliver Liebel 

Linux Hochverfügbarkeit 

Galileo Press, 848 Seiten, 

49,90 Euro 

2., akt. und erw. Auflage 2013 

ISBN 978-3-8362-2542-7 

die Protokollanalyse« von Laura Chappell 

im mitp-Verlag erschienen. 

Die Autorin gibt auch Wireshark-Kurse 

und das spiegelt sich im Buch mit seinen 

abschließenden Übungsaufgaben 

wieder. Die bis ins letzte Untermenü 

ausgeführten und übersetzten Optionen 

und Beschreibungen geben ihm 

dazu einen referenzartigen Charakter. 

Der Nachteil des Detailreichtums liegt 

in teils langen Auflistungen mit wenig 

Informationsgehalt, die das Buch noch 

mehr zu einem Nachschlagewerk als zu 

einem sequenziell zu lesenden Stück 

machen. 

Vor der Beschreibung von Wire shark 

selbst gibt das Buch eine kurze Einführung 

in die grundlegenden Konzepte 

und die Terminologie moderner Netzwerktechnik. 

Leider fehlen praktische 

Hinweise etwa auf die korrekte 

Rechtevergabe für Wireshark; 

bei der Linux-Installation ist 

gar von zwingender manueller 

Übersetzung aus dem Quellcode 

die Rede, obgleich die meisten 

Distributionen fertige Wireshark- 

Binaries anbieten. 

Dennoch liefert »Wireshark 101« 

eine nützliche Einführung; wer 

die Paketflüsse in einem beliebigen 

Netzwerk untersuchen möchte, findet 

eine ausführliche Bedienungsanleitung 

für das Standardwerkzeug. n 

n Wireshark 101 

Laura Chappell 

Wireshark 101 – 

Einführung in die Protokollanalyse 

mitp, 352 Seiten, 

44,99 Euro 

1. Auflage, 2013 

ISBN: 978-3-8266-9713-5 


10 

Login 

News 

Neue Software und Produkte 

Branchen-News 

Samba 4.1 veröffentlicht 

Mit Version 4.1 haben die Samba-Entwickler 

eine ganze Reihe von Verbesserungen in ihre 

Software integriert, mit der sich ein Active-Directory-Controller 

in freier Software nachbilden 

lässt. Neu ist etwa der Support von verschlüsselten 

Verbindungen über das SMB3-Protokoll 

in den Samba-Client-Tools. Beim Samba-Server 

wurde die Datenbank-Replikation im Domain- 

Controller-Modus verbessert. Sie soll nun 

schneller und zuverlässiger ablaufen. 

Der Support für serverseitiges Kopieren von 

Dateien auf Shares beschleunigt Kopiervorgänge, 

wenn die angebundenen Clients dies 

unterstützen, etwa in Windows 2012. Noch weiter 

beschleunigt wird dieser Vorgang durch ein 

neues VFS-Modul, das das Linux-Dateisystem 

Btrfs in Samba integriert. Btrfs selbst befindet 

sich allerdings noch im Entwicklungsstadium, 

deshalb steht dieses Feature unter Vorbehalt. 

Digital Attack Map visualisiert 

DDoS-Angriffe 

Aus einer Zusammenarbeit von Google Ideas und 

Arbor Networks ist die Digital Attack Map hervorgegangen, 

die unter der Adresse [http:// www. 

digitalattackmap. com/] zu finden ist. Sie stellt 

die Daten über DDoS-Angriffe grafisch dar, die Arbor 

mit seinem ATLAS Threat Monitor gesammelt 

hat. Aktualisiert wird der Bestand täglich. 

Zusammen mit der Digital Attack Map hat Google 

unter dem Überbegriff „Free Expression Tools“ 

noch zwei weitere Projekte vorgestellt. Das eine 

ist eine Browser-Erweiterung namens uProxy, die 

es Anwendern ermöglichen soll, sich gegenseitig 

zuverlässige und gegen Abhören geschützte Verbindungen 

ins Internet bereitzustellen. Entwickelt 

wurde uProxy von der Universität Washington 

und Brave New Software. Unterstützt wurde das 

Projekt von Google Ideas. 

Das zweite „Free Expression Tool“ firmiert unter 

dem Namen „Google Shield“ und erlaubt es Website-Betreibern, 

ihre Inhalte über das Google-Netz 

anzubieten. Damit sollen sie besser vor Angriffen 

aus dem Internet geschützt sein. Für den Dienst 

ist derzeit noch eine Einladung nötig, die man auf 

der Webseite des Project Shield anfordern kann. 

eBay eröffnet Data Center mit Brennstoffzellen 

Die Firma eBay hat im US-amerikanischen Bundesstaat Utah ein Data Center eröffnet, 

das mit Brennstoffzellen betrieben wird. Damit will eBay den Ausstoß an 

Kohlendioxid wie auch die Betriebskosten 

für das Rechenzentrum 

senken. Die 

Festoxid-Brennstoffzellen 

(SOFC) werden 

von der Firma Bloom 

Energy hergestellt und 

verwenden als Brennstoff 

Erdgas, das über 

eine elektrochemische 

Reaktion Strom erzeugt. 

Andere Kunden 

von Bloom sind etwa 

Nokia, Google, Adobe 

und NTT. 

Ursprünglich war geplant, 

dafür Biogas zu verwenden. Eine dauerhafte Versorgung konnte damit 

aber laut eBay nicht gewährleistet werden. Dank der hohen Zuverlässigkeit der 

Brennstoffzellen-Technologie, kann eBay bei dem neuen Data Center auf die 

sonst üblichen Diesel-Generatoren zur Backup-Stromversorgung verzichten. 

Dem Ziel, bis zum Jahr 2015 wenistens acht Prozent des eigenen Energieverbrauchs 

aus „saubereren Quellen“ zu decken, will Ebay damit ein Stück näher 

kommen. 

Bloom Energy 


Mirantis veröffentlicht OpenStack- 

Distribution 

Die Firma Mirantis hat eine aktuelle Version ihrer OpenStack- 

Software-Distribution herausgegeben. Es handle sich um die 

„erste OpenStack-Distribution für den Enterprise-Markt ohne 

Lock-in“, also ohne Bindung an einen spezifischen Hersteller, 

so Mirantis in seiner Ankündigung. Der Grund dafür sei laut 

Mirantis-Chef Adrian Ionel, dass die Firma keine eigenen Pläne 

hinsichtlich Software-Vertrieb verfolge. Man sei vielmehr nur 

darauf konzentriert „Kunden dabei zu helfen, mit OpenStack 

erfolgreich zu sein.“ Tatsächlich besteht das Geschäft von 

Mirantis darin, Kunden, zu denen etwa AT&T, Cisco WebEx, 

Comcast, Dell, The Gap, NASA, NTT Docomo, PayPal, Red Hat, 

Sprint und Verizon gehören, bei der Einführung von OpenStack 

zu unterstützen. 

Die OpenStack-Pakete von Mirantis sind für die Linux-Distributionen 

von Red Hat, CentOS und Ubuntu ausgelegt und 

basieren noch auf dem Grizzly-Release von OpenStack. Die 

eben erschienene Version „Havana“ soll am 11. November als 

Mirantis-Distribution verfügbar sein. Über die Kernpakete von 

OpenStack hinaus enthält die Distribution auch das grafische 

Deployment-Tool Fuel, das Mirantis im März dieses Jahres 

freigegeben hat. Enthalten sind außerdem die Komponenten 

Savanna, das einen Hadoop-Cluster basierend auf OpenStack 

realisiert, und Murano, das einfaches Windows-Deployment 

ermöglicht. Neben der Standard-Storage-Komponente „Swift“ 

unterstützt die Mirantis-Version von OpenStack auch das verteilte 

Dateisystem Ceph. 

Der behaupteten Offenheit zum Trotz erfordert ein Download 

der Mirantis-OpenStack-Distribution unter [http:// software. 

mirantis. com/] die vorherige Registrierung. 

Weed-FS: neues Dateisystem für große 

Datenmengen 

Unter dem Namen Weed-FS gibt es ein neues Dateisystem, das 

für sehr große Datenmengen ausgelegt ist, die von Anwendungen 

oft gelesen werden. Dabei orientiert es sich an der Storage- 

Methode, die Facebook beim Speichern von Fotos verwendet 

und in dem Papier „Finding a needle in Haystack: Facebook's 

photo storage“ dargelegt hat. Der Schlüssel zu hoher Lese- 

Performance liegt dabei in der Minimierung und der Verteilung 

von Metadaten, die nach den Untersuchungen Facebooks auf 

konventionellen Dateisystemen wie NFS zu einem großen Overhead 

führen. 

Weed-FS verzichtet wie die Haystack-Software auf die klassische 

Posix-File-Semantik, also beispielsweise auf die Vergabe 

von Dateirechten. Stattdessen arbeitet Weed-FS als einfacher 

Key-Value-Storage, der über mehrere Rechner verteilt ist. Auch 

die Metadaten zu jedem Objekt, die nur etwa 40 Byte umfassen, 

liegen im Hauptspeicher der Knoten und nicht auf dem Master- 

Server, der somit nicht zu einem Engpass beim Zugriff werden 

kann. Weed-FS ist in Go geschrieben und steht als freie Software 

unter der Apache-2.0-Lizenz. Der Code ist unter [https:// 

code. google. com/ p/ weed‐fs/] zu finden. 


Neues Entwicklerkit für IPv6 im Internet 

der Dinge 

Die Firma Libelium bietet ein neues Entwicklerkit für Projekte 

an, in denen Sensoren und andere Kleinelektronik 

per IPv6 ans Internet angebunden wird. Das 

dafür vorgesehene Protokoll 6LoWPAN (IPv6 over 

Low power Wireless Personal Area Networks) wird von 

einer Arbeitsgruppe der IETF entwickelt. 

Das 6LoWPAN-Developer-Kit basiert auf der Waspmote-Plattform 

von Libelium, die über das neue Protokoll Sensoren ans Internet anbinden 

kann. Derzeit gibt es dafür bereits mehr als 60 Sensoren, etwa für Emissionsmessung, 

Strahlungsmessung, Smart Metering und GPS. Die Software für das Kit namens 

Mote Runner steuert IBM Zürich bei. Sie enthält verschiedene Bibliotheken zur Programmierung 

und eine Eclipse-basierte grafische Entwicklungsumgebung. Der Preis für das Kit startet 

bei etwa 2500 Euro und enthält bereits etwa 20 Sensoren. 

IPv6 soll die Grundlage für das sogenannte Internet der Dinge (Internet of Things) legen, das 

von diversen Herstellern und Consultants als neues Hype-Thema propagiert wird: Bis zum Jahr 

2020 wird sich die Zahl der ans Internet angeschlossenen Geräte von heute 2,5 Milliarden auf 

30 Milliarden erhöhen, meinen die Analysten von Gartner. Der Router-Hersteller Cisco, der das 

Thema aggressiv vorantreibt, geht gar von 50 Milliarden Geräten aus (siehe dazu die Infografik 

des Herstellers links). Wie realistisch solche Zahlen sind und wie etwa die damit verbundenen 

Sicherheitsfragen gelöst werden sollen, ist unklar. Mehr Informationen zum 6LoWPAN-Kit sind 

unter [http:// www. libelium. com/ products/ waspmote‐mote‐runner‐6lowpan] zu finden. 

Oracle kündigt neue In-Memory-Option an 

Auf der hauseigenen Konferenz und Messe 

OpenWorld in San Francisco hat Oracle als bedeutendste 

Neuerung im Datenbankbereich 

eine In-Memory-Option vorgestellt. Oracle 

vereinigt dabei zwei schon seit Längerem 

existierende Technologien: Die Ablage kompletter 

Tabellen im Hauptspeicher und ein 

spaltenorientiertes Ablageformat (Columnar 

Format). Die neue Option, die mit dem ersten 

Patch Release von Oracle 12 im ersten Quartal 

2014 verfügbar sein wird, zeichnet sich durch 

zwei wesentliche Vorteile aus: Zum einen 

kann die gesamte Infrastruktur der Oracle- 

Datenbank etwa in den Bereichen Backup, 

Hochverfügbarkeit und Security mit der 

neuen Option verwendet werden. Das ergibt 

einen großen Wettbewerbsvorteil gegenüber 

In-Memory-Konkurrenzprodukten, die für 

diese Gebiete erst Lösungen neu entwickeln 

müssen. Zum anderen können bestehende 

Anwendungen ohne Änderung von dem möglichen 

Geschwindigkeitszuwachs profitieren. 

Ein einfacher SQL-Befehl kann einer bestehenden 

Tabelle eine In-Memory-Speicherstruktur 

hinzufügen (und sie auch wieder entfernen). 

Das spaltenorientierte Format hat dabei einen 

ähnlichen Effekt wie ein Index und kann 

Zugriffe insbesondere aus Analytics- und 

Reporting-Anwendungen um den Faktor 100 

beschleunigen. Restriktionen bezüglich der 

verwendbaren SQL-Konstrukte gibt es nicht. 

Eine zeitintensive Datenmigration findet nicht 

statt. Scale-Out-Lösungen wie Oracle RAC 

können weiter benutzt werden. 

Mod-Statistics: SNMP für Apache 

Ein neues Modul für den Apache-Webserver ermöglicht es, Variablen und Statistiken über SNMP 

(Simple Network Monitoring Protocol) auszulesen. Mod-Statistics ist jetzt in Version 1.0 verfügbar 

und implementiert damit bereits den Support für das kommende HTTP-2.0-Protokoll. Die 

Software besteht aus einem Apache-Modul und einer Extension für Net-SNMP. Die verfügbaren 

SNMP-Variablen sind in der APACHE2-MIB (Management Information Base) definiert. Zur aktiven 

Alarmierung kann Mod-Statistics auch SNMP-Traps verschicken. Der Quellcode ist unter 

[http:// sourceforge. net/ projects/ apachestatistics/] zu finden. 

Quelle: Cisco 

Admin 


Login 

News 

13 

Neuer Flash-Speicher von Dell 

Ab sofort sind die neuen Flash-optimierten Lösungen des Dell-Compellent- 

Systems verfügbar, deren entscheidender Vorteil hohe Speicherkapazitäten bei 

niedriger Latenzzeit und hoher Leistung ist. Die Flash-optimierte Lösung des 

Dell-Compellent-Systems ist die erste Storage-Lösung ihrer Klasse, die eine intelligente 

Datenanordnung bietet – entweder unter Einbeziehung unterschiedlicher 

Flash-Technologien oder kombiniert mit herkömmlichen Festplatten. Mit diesem 

zukunftsweisenden Ansatz können Unternehmen alle wichtigen Daten auf einem 

Flash-Speicher bereitstellen. Das ist schneller und billiger als mit einem vergleichbaren 

herkömmlichen 15K-Festplattensystem. Die Anwender profitieren von 

automatisch arbeitenden Tiering-Funktionen, die gleichzeitig für eine hohe Performance 

sorgen. 

Die neue Software in der Version 6.4 des Dell Compellent Storage Center schreibt 

die Daten zunächst auf hochperformante und hochverfügbare SLC-Drives. Werden 

die Daten seltener benötigt, verlagert sie die Software automatisch auf Second- 

Tier-MLC-Drives und schließlich auf kostengünstige Festplatten mit großen Speicherkapazitäten. 

Dieser Tiering-Ansatz, der unterschiedliche Flash-Speicher mit 

herkömmlichen Festplatten kombiniert, ermöglicht im Vergleich zu reinen Flash- 

Arrays, die nicht hinsichtlich Kosten oder Performance optimiert sind, Kostensenkungen 

um bis zu 80 Prozent. Gleichzeitig werden hohe I/O-Transaktionsraten und 

niedrige Latenzen erreicht. Ein weiterer Vorteil ist die nahtlose Integration in eine 

einheitlich zu managende Lösung. 

n Info 

Neueste nachrichten 

immer auf 



Informationen zu den 

News finden Sie unter: 


Drahtlose Datenübertragung mit 100 

GBit pro Sekunde im Labor 

Schnelle Glasfasernetze sind in Deutschland eine Rarität. Das 

liegt vor allem daran, dass dafür jedes Dorf und jedes Haus mit 

neuen Kabeln versorgt werden müsste. Langfristig könnten die 

hohen Kosten für die Anbindung an schnelle Netzwerke sinken, 

indem die Datenübertragung statt über Glasfaser drahtlos erfolgt. 

Wie das Fachjournal Nature Phonetics in seiner neuen Ausgabe 

berichtet, haben Karlsruher Forscher nun erstmals Daten 

mit 100 GBit pro Sekunde übertragen, wenn auch nur über eine 

Strecke von 20 Metern. 

Der superschnelle Datentransfer setzt dabei auf eine sehr hohe 

Trägerfrequenz von 247,5 Gigahertz, auch weil der Frequenzbereich 

zwischen 100 Gigahertz und 30 Terahertz noch weitgehend 

ungenutzt ist. Zur Umsetzung der Rekordgeschwindigkeitsübertragung 

fassen die Forscher zunächst mehrere Bits zu 

sogenannten Datensymbolen zusammen und übertragen diese 

dann gleichzeitig. Das erlaube die direkte Umwandlung von 

Datenströmen aus faseroptischen Systemen in hochfrequente 

Funksignale, sagt der Erfinder des Verfahrens, Professor Dr. Jürg 

Leuthold, der inzwischen an der Eidgenössischen Technischen 

Hochschule (ETH) Zürich forscht. 

Im Mai hatte das Team bereits im Rahmen des Forschungsprojekts 

Millilink Daten zwischen zwei Hochhäusern mit einem 

Abstand von etwa einem Kilometer übertragen. Dabei erreichten 

sie eine Datenrate von immerhin 40 GBit pro Sekunde. 

Wann die Experimente zu einsatzfertigen Produkten führen, 

bleibt abzuwarten. Die Karlsruher Forscher verweisen allerdings 

darauf, dass die nun erreichten Übertragungsraten noch vor kurzem 

erst für das Jahr 2015 für möglich gehalten wurden. 

Anzeige 


14 

Login 

OSMC 

Copyright, 123RF 

Viel Neues in Sachen Monitoring 

OSMC 2013 

Nagios ist zwar seit einiger Zeit aus dem Namen der Konferenz verbannt, aber 

längst nicht aus dem Programm. Auf der OSMC 2013 drehten sich viele Sessions 

um das prominente Monitoring-Tool und seine Ableger. Jens-Christoph Brendel 

Traditionell der letzte Vortrag am ersten 

Tag, sehr gut besucht und wie immer 

deutlich länger als auf der Agenda 

ausgewiesen: So präsentierte auch in 

diesem Jahr wieder Bernd Erk, einer 

der beiden Netways-Geschäftsführer, 

Neues rund um Icinga. Dabei ging es 

zuerst um einige Neuerungen in Icinga 

1, der größere Teil der Präsentation 

aber bezog sich auf das parallel von 

Grund auf neu in C++ entwickelte Icinga 

2. Das inkludiert inzwischen einen 

Cluster-Stack, der sich sowohl für Lastverteilung 

wie für Hochverfügbarkeit 

nutzen lässt und es ermöglicht, dass 

die stark modularisierte Applikation 

Funktionen beliebig auf einzelne Hosts 

eines Clusters verteilen kann. 

Als weitere große Neuerung wurde ein 

völlig neues Web-Interface vorgestellt, 

dass sich für alle Backends eignen soll 

und mit dem Ziel antritt, schneller, einfacher 

und leichter bedienbar zu sein. 

Dazu geht es beispielsweise sparsamer 

mit Informationen um und zeigt dem 

Nutzer nur Dinge, auf die er tatsächlich 

reagieren muss. Weiter ausgebaut 

wurde auch die Icinga-Dokumentation, 

für die nun anstelle von DocBook die 

einfachere Auszeichnungssprache 

Markdown zum Zuge kommt. 

Neuer Nagios-Fork 

In einem Vortrag zuvor sollte es eigentlich 

um Neuerungen in Nagios 4.1 und 

5 gehen, die überraschendste Erkenntnis 

dieser Session war aber, dass der 

Referent, der bekannte langjährige 

Nagios-Maintainer Andreas Ericsson, 

gar nicht mehr an Nagios arbeitet, 

sondern mit seinem eigenen Nagios- 

Fork Naemon an den Start geht. Nagios 

Enterprises hatte ihn kurzerhand vor 

die Tür gesetzt. Was immer die Gründe 

dafür gewesen sein mögen – allein die 

Tatsache, dass gleichzeitig das ehedem 

öffentliche Developer-Forum in ein moderiertes 

Portal verwandelt wurde, ist 

ein weiterer Fingerzeig dafür, dass dort 

der Offenheit nicht mehr die höchste 

Priorität eingeräumt wird. 

Um Nagios ging es aber wie immer 

nicht ausschließlich: Rihard Olups demonstrierte 

Zabbix, Luca Deri sprach 

über Network Traffic Monitoring 

mit »ntopng«, Georg Kostner stellte 

End User Experience Monitoring mit 

Al’exa vor und Jeff Gehlbach Neues in 

OpenNMS. 

Ein weiterer Schwerpunkt seit Jahren 

ist die Automatisierung: Sei es mithilfe 

von Puppet (Bernd Strößenreuther und 

Sascha Brechmanm), sei es durch das 

automatische Erzeugen von Konfigurationsfiles 

durch das coshsh-Framework 

(Gerhard Laußer) oder mithilfe von 

Adagios (Páll Sigurdsson). Neben der 

Vorstellung solcher Tools hatten nicht 

zuletzt auch wieder praktische Fallstudien 

Platz im Programm, etwa durch 

das IT-Team der bayerischen Landeshauptstadt 

München. 

Niemand fährt wegen der Schnittchen 

zu einer Konferenz. Dass aber das 

Catering, die Unterbringung und die 

gesamte Konferenzorganisation auch 

in diesem Jahr wieder vorzüglich funktionierten, 

verdient erwähnt zu werden, 

schafft es doch eine angenehme Atmosphäre 

für den Gedankenaustausch. Wo 

man sich gut aufgehoben fühlt, kommt 

man gerne wieder. n 


16 

Login 

Admin-Story 

Migration virtueller Maschinen 

Wandervogel 

Lin Yan, 123RF 

Für die Verwaltung von virtuellen Systemlandschaften kommt in vielen Datacentern immer noch 

vSphere vom Platzhirsch VMware zum Einsatz. Mit oVirt steht jedoch eine ausgewachsene Open-Source- 

Alternative zur Verfügung. Auch die Migration der virtuellen Systeme stellt mittlerweile kein Hexenwerk 

mehr dar. Thorsten Scherf 

Das Management-Framework oVirt [1] 

ist für die Verwaltung von virtuellen Maschinen 

auf Basis des KVM-Hypervisors 

ausgelegt (Abbildung 1). Mitte September 

ist die Version 3.3.0 erschienen, die 

eine Menge Features enthält, sodass 

das Framework mittlerweile eine ernste 

Alternative auch für eingefleischte 

VMware-Administratoren sein sollte. 

Zu den wichtigsten Features zählen 

sicherlich: 

n Live-Migration virtueller Systeme 

n Storage-Live-Migration 

n Online-Snapshots von virtuellen 

Systemen 

n Umfangreiche RESTful-API zur Automatisierung 

von Aufgaben 

n Support für iSCSI-, FCoE-, NFS- und 

Gluster-Backend-Speicher 

Eine Quick-Start-Anleitung zur Konfiguration 

der Software befindet sich 

unter [2]. An dieser Stelle soll es darum 

gehen, bestehende virtuelle Maschinen 

auf die neue KVM-basierte Umgebung 

zu migrieren. 

Virtuelle Maschinen verfügen immer 

über eine entsprechende Datei, in der 

das System näher spezifiziert ist. In VMware-Umgebungen 

ist das die VMX-Datei 

einer Maschine, in Libvirt-basierten 

Umgebungen handelt es sich um eine 

XML-Datei, die das System beschreibt. 

Die dort enthaltenen Informationen 

werden dann jeweils in die Datenbank 

des Management-Systems geladen und 

stehen dort jedem Host zur Verfügung. 

Möchte man nun Systeme aus einer Virtualisierungsumgebung 

in eine andere 

migrieren, so müssen beide natürlich 

die Beschreibung der zu migrierenden 

Systeme lesen und verstehen können. 

Aus diesem Grunde wurde das Open 

Virtual Machine Format (OVF) eingeführt. 

OVF wurde im Jahre 2011 als 

offizieller ISO-Standard anerkannt und 

unterstützt eine Vielzahl von Virtualisierungslösungen, 

beispielsweise Red 

Hat Enterprise Virtualization, VMware, 

Linux z/VM und auch VirtualBox. OVF 

wird auch gerne dazu genutzt, Software-Appliances 

als virtuelle Systeme 

zu verteilen. 

Sollen Systeme aus einer bestehenden 

VMware-Umgebung in die neu aufgebaute 

oVirt-Umgebung umgezogen 

werden, so besteht eine Möglichkeit 

darin, die Systeme aus der alten 

Umgebung zu exportieren und in ein 

OVF-Archiv zu verpacken und dann in 

der neuen Umgebung zu importieren. 

VMware beherrscht das Exportieren aus 

vSphere heraus, bietet mit dem OVF- 

Tool aber auch ein Kommandozeilen- 

Interface an, mit dem sich der Export 

automatisieren lässt. 

Nicht lückenlos 

An dieser Stelle könnte man meinen, 

alles ist gut und wir sind ja fast fertig. 

Leider ging es aber bisher nur um eine 

Seite der Medaille. Versucht man nun 

nämlich das OVF-Archiv in die oVirt- 

Umgebung zu importieren, so schlägt 

das fehl. Das Tool »engine‐image‐uploader« 

verweigert seinen Dienst. Der 

Import in eine VMware-Umgebung 

klappt jedoch reibungslos. 

In der OVF-Definition steht zwar beschrieben, 

wie eine virtuelle Maschine 

in dem Archiv zu definieren ist, es gibt 

allerdings keinerlei Aussage darüber, 


Login 

Admin-Story 

17 

Ziel-Umgebung zu gewährleisten. 

Das Tool »virt‐v2v« 

lässt sich aus dem 

Standard-Software- 

Repository eines aktuellen 

Fedora- oder 

Red-Hat-Enterprise- 

Linux-Systems installieren. 

Vor der 

eigentlichen Migration 

sind allerdings einige 

Voraussetzungen zu 

erfüllen, etwa auf oVirt- 

Seite eine NFS-basierte 

Export-Domäne, die 

während der Migration 

das OVF-Archiv aufnimmt. 

Von hier aus 

lässt sich die migrierte Maschine dann 

in einen beliebigen Cluster innerhalb 

der oVirt-Datacenter schieben. 

Ein weiterer wichtiger Punkt betrifft die 

Netzwerk-Konfiguration. In der oVirtwelches 

Disk-Format zu verwenden 

ist. Das Format muss also kompatibel 

sein mit dem, was der Hypervisor in 

der Zielumgebung unterstützt. Leider 

unterstützt oVirt zwar QCOW und RAW, 

nicht aber das von VMware verwendete 

VMDK-Format. Was also tun? Anstatt 

nun lange am Archiv herumzubasteln, 

um das Disk-Format zu konvertieren, 

kann man auf eine alternative Lösung 

zurückgreifen. 

Seit einiger Zeit existiert das Tool 

»virt‐v2v«. Dieses ist in der Lage, 

Maschinen zwischen verschiedenen 

Umgebungen zu migrieren und das erzeugte 

OVF-Archiv so anzupassen, dass 

ein Import in der gewünschten Zielumgebung 

reibungslos funktioniert. Allerdings 

kommt es noch besser: Das Tool 

führt nicht nur einen einfachen Import 

der virtuellen Maschine durch, stattdessen 

injiziert es der zu migrierenden 

Maschine auch noch VirtIO-Treiber, um 

die bestmögliche Performance in der 

Abbildung 1: oVirt ist auf die Verwaltung von virtuellen Maschinen auf 

KVM-Basis ausgelegt. 

Umgebung sind entweder die gleichen 

Netze wie in der VMware-Umgebung 

anzulegen oder ein Mapping für die 

notwendigen Netze einzurichten. Das 

Mapping erfolgt in der Datei »/etc/

18 

Login 

Admin-Story 

n Listing 1: Konfiguration 

01 

02 

03 

04 

06 

n Info 

n Autor 

virt‐v2v.conf«. Ist beispielsweise das 

Netz »vm‐infra« auf der VMware-Seite 

vorhanden und soll dieses mit dem 

Netz »ovirt‐infra« in der neuen Umgebung 

verknüpft werden, so ist hierfür 

die folgende Option in der Konfigurationsdatei 

zu definieren. Das äußere Netz 

bezieht sich auf die alte, das innere auf 

die neue Umgebung: 

 

 

 

Damit die notwendigen Pakete, also die 

VirtIO-Treiber inklusive der eventuellen 

Abhängigkeiten, während der Migration 

in die Maschine injiziert werden können, 

sind diese im einfachsten Fall auf 

dem System zur Verfügung zu stellen, 

von dem das Migrationstool »virt‐v2v« 

aufgerufen wird. Überlicherweise handelt 

es sich hierbei um den Ordner 

»/var/lib/virt‐v2v/software/«, allerdings 





Thorsten Scherf arbeitet als 

Principal Consultant für Red Hat 

EMEA. Er ist oft als Vortragender 

auf Konferenzen anzutreffen. 

Wenn ihm neben der Arbeit und 

Familie noch Zeit bleibt, nimmt er 

gerne an Marathonläufen teil. 

lässt sich in der Datei »/var/lib/virt‐v2v/ 

virt‐v2v.db« auch ein alternativer Ordner 

im Tag »path‐root« definieren. In 

der »virt‐v2v.db«-Datei werden auch 

sämtliche Software-Pakete aufgeführt, 

die während der Migration injiziert 

werden. Welche das sind, ist natürlich 

vom Betriebssystem und dessen Version 

abhängig. Das Beispiel in Listing 1 

verdeutlicht dies für ein RHEL5-System. 

Wird dieses auf die oVirt-Umgebung 

migriert, so müssen die im Tag »dep 

name« vorhandenen Pakete installiert 

sein, damit die Installation der VirtIO- 

Treiber funktioniert. Ist dies nicht der 

Fall, so werden die fehlenden Pakete 

zuerst installiert – entweder aus dem 

Dateisystem des Migrationshosts oder 

online aus dem Red Hat Network, wenn 

die Maschine dort denn registriert ist. 

Treiber, die nicht für den Boot-Vorgang 

der Maschine benötigt werden, lassen 

sich auch zu einem späteren Zeitpunkt 

einbinden. Hier ist es dann auch möglich, 

ein ISO-Image mit den benötigten 

Treibern an die Maschine anzuhängen 

und die Treiber von dort zu installieren. 

Vorsicht: Treiber 

Zum Abschluss sollte man noch darauf 

achten, dass man ein aktuelles Backup 

der zu migrierenden Maschinen hat 

und dass sich keine VMware-spezifische 

Software mehr auf den Systemen befindet. 

Ich habe schon öfters erlebt, dass 

Maschinen nicht korrekt starten, wenn 

vor der Migration die VMware-Tools 

nicht entfernt wurden. 

Der eigentliche Migrationsvorgang lässt 

sich dann mit dem folgenden Kommando 

anstoßen. Dieses ist im Idealfall 

auf einem dedizierten Migrationshost 

aufzurufen: 

virt‐v2v ‐ic esx://esx.example.com/U 

?no_verify=1 ‐o rhev ‐os storage.example.U 

com:/ovirt‐exportdomain ‐‐network ovirt‐U 

infra vm‐name 

Die Option »‐ic« gibt hier den ESX-Host 

an, von dem die Maschine migriert werden 

soll. Alternativ könnte hier auch 

ein Xen- oder KVM-Host stehen. Die 

Angabe von »no_verify=1« sorgt dafür, 

dass auch ungültige X.509-Zertifikate 

(beispielsweise selbstsignierte) vom 

Tool »virt‐v2v« akzeptiert werden. Mittels 

»‐o« wird die Zielumgebung spezifiziert. 

Die Angabe »rhev« bezieht sich 

hier auf das Enterprise-Produkt Red 

Hat Enterprise Virtualization; oVirt stellt 

dessen Upstream-Variante dar. Die 

Storage-Domäne, in die das OVF-Archiv 

importiert wird, bekommt das Tool mittels 

der Option »‐os« übergeben. Das 

Netzwerk sollte das sein, für welches in 

der Konfigurationsdatei ein Mapping 

eingerichtet wurde und schließlich wird 

die zu migrierende Maschine als letztes 

Argument übergeben. 

Zur Authentifizierung auf dem ESX-Host 

kann der Benutzername und das Passwort 

interaktiv übergeben werden. Für 

die Migration mehrerer Systeme bietet 

es sich allerdings an, die Account-Daten 

für den Zeitraum der Migration in der 

Datei »$HOME/.netrc« zu speichern. Sie 

hat folgendes Format: 

machine esx.example.com login root U 

password redhat 

Hat die Migration der Maschine funktioniert, 

taucht sie schließlich innerhalb 

der oVirt-Export-Domäne auf und lässt 

sich über das webbasierte Management-Tool 

in einen der vorhandenen 

oVirt-Cluster importieren. Nach einem 

Neustart der migrierten Maschine in 

der neuen Umgebung sollte sichergestellt 

werden, dass sie wie erwartet 

funktioniert. Erst dann kann man guten 

Gewissens die Maschine auf der alten 

Umgebung löschen und auch das OVF- 

Archiv aus der oVirt-Export-Domäne 

entfernen. 

Für die Migration von sehr vielen Systemen 

skaliert die hier vorgestellte 

Methode natürlich nicht sonderlich gut. 

Hier bietet es sich an, eine Lösung auf 

Basis von »virt-v2v« in Kombination 

mit der RESTful-API des oVirt-Managers 

zu entwickeln. Das oVirt-Wiki zeigt 

einige Beispiele dafür, wie eine Kombination 

aus Kommandozeilen-Tools 

(hier das Tool virt-v2v) zusammen mit 

der RESTful-API des oVirt-Managers 

aussehen könnte. Bleibt zum Schluss 

nur noch, viel Spaß bei der Migration 

der virtuellen Maschinen auf die offene 

Management-Plattform oVirt zu wünschen. 

(ofr) n 


20 

Login 

Betriebssysteme 

Innovation in der Betriebssystementwicklung 

Fata Morgana 

Virtualisierung bringt Fahrt in 

die Entwicklung von Betriebssystemen, 

stellt aber auch gewohnte 

Konzepte grundsätzlich 

in Frage. Oliver Frommel 

david manno, 123RF 

Wenn man sich heute in eine technische 

Universität begibt und eine Vorlesung 

zum Thema Betriebssysteme 

besucht, hat sich im Grunde gegenüber 

früher wenig verändert. Das ist 

vielleicht kein Wunder, denn auch die 

Rechnerarchitektur ist seit vielen Jahrzehnten 

die gleiche. Mit ihr und ihren 

Beschränkungen müssen Betriebssysteme 

umgehen und etwa Hauptspeicher 

und CPU-Zeit auf quasi-gleichzeitig 

laufende Prozesse verteilen. An 

den Prinzipien hierfür hat sich seit den 

siebziger Jahren mit Unix wenig geändert, 

aber mit etwas Glück steht heute 

wenigstens Linux auf dem Lehrplan. 

Kein Wunder, dass angesichts dessen 

Rob Pike vor 15 Jahren die These von 

der Belanglosigkeit der Forschung im 

Bereich der Systemsoftware formuliert 

hat [1]. Vermutlich wurde sie auch aus 

dem Frust darüber genährt, dass sein 

eigenes Plan-9-System [2] zwar recht 

revolutionär war, aber außerhalb elitärer 

Zirkel kaum je Fuß fassen konnte. 

Jedenfalls vertritt Pike die Theorie, 

dass es etwa im Bereich der Betriebssysteme 

kaum relevante Forschung 

gebe und etwa Linux, das damals bereits 

im Mainstream angekommen war, 

gegenüber dem alten Unix nichts Neues 

zu bieten habe. Innovation sei dagegen 

eher noch bei Microsoft zu finden. 

Keine Rollle spielt allerdings in Pikes 

Betrachtungen eine Technologie, die 

gerade ein Jahr vorher auf der Bildfläche 

erschienen war: VMware hatte 

1999 das erste Virtualisierungsprodukt 

auf den Markt gebracht. Zwar gibt es 

Virtualisierung schon seit den sechziger 

Jahren, aber die Technologie war 

bis dahin auf die Partitionierung von 

Großrechnern wie IBMs System/370 

beschränkt. Erst mit VMware begann 

der Virtualisierungstrend auf konventionellen 

Servern und Desktops, der bis 

heute nachschwingt. 

Revolution Virtualisierung 

Richtig interessant wurde das Ganze 

dann um das Jahr 2005 herum, als die 

beiden CPU-Hersteller Intel und AMD 

auch Hardware-Support zur Virtualisierung 

in ihre Chips integrierten. In 


Linux/KVM 

OS V 

Apps 

Apps 

Libs 

Libs 

App 

Linux 

Linux 

Libs 

JVM 

Qemu 

OS V 

OS V 

Linux−Kernel 

KVM 

KVM 

Xen 

Hardware 

Hardware 

Abbildung 1: OSv läuft auf verschiedenen Hypervisor-Systemen und ist ein minimalistisches 

OS, das einzelne Anwendungen hostet. 

der Linux-Welt dominierte lange der 

Xen-Hypervisor das Geschäft, aber 

er erfordete einen eigenen Kernel 

und fand lange keinen Einzug in den 

Entwicklerzweig von Linus Torvalds. 

Die Linux-Kernel-Entwickler schlugen 

derweil einen anderen Weg ein, den sie 

für besser erachteten: einen Hypervisor 

namens KVM (Kernel Virtual Machine), 

der selbst als Teil des Linux-Kernels 

lief. Es ist wohl nicht übertrieben zu behaupten, 

dass KVM heute der De-facto- 

Standard für Virtualisierung unter Linux 

ist. So ist es etwa die zugrunde liegende 

Technologie für die Virtualisierungslösung 

in Red Hat Enterprise Linux. 

Selbst einige Kernel-Entwickler aus 

dem Solaris-Umfeld waren offensichtlich 

von der Tauglichkeit oder 

zumindest der Popularität von KVM 

beeindruckt und haben die komplette 

Infrastruktur auf den Solaris-Kernel 

portiert. So kann die Firma Joyent jetzt 

auch virtuelle KVM-Maschinen anbieten, 

die auf dem hauseigenen, Solarisbasierten 

SmartOS laufen [3]. 

Interessanterweise haben nun gerade 

die Entwickler von KVM einen neuen 

Weg eingeschlagen und im Oktober 

ein neues Betriebssystem mit dem 

Namen OSv vorgestellt, das sie als 

„Cloud OS“ vermarkten. Hinter dem 

Projekt stecken maßgebliche Köpfe der 

Linux-Welt, etwa der KVM-Erfinder Avi 

Kivity, der KVM-Projektmanager Dor 

Laor sowie die Kernel-Programmierer 

Glauber Costa, Nadav Har’El und Pekka 

Enberg. Zusammen haben sie die Firma 

Cloudius gegründet, die OSv als freie 

Software veröffentlicht hat. 

Minimal 

Dass OSv unter einer BSD-Lizenz steht 

und nicht, wie etwa der Linux-Kernel, 

unter der GPL, weist schon darauf hin, 

dass das neue Betriebssystem von 

FreeBSD abgeleitet ist. Allerdings haben 

die Entwickler auch große Teile des 

neuen Kernels selbst geschrieben. OSv 

ist für den Betrieb auf Hypervisor-Systemen, 

insbesondere KVM, optimiert 

und verzichtet deshalb auf viele Funktionen 

moderner Betriebssysteme, etwa 

die Aufteilung in Kernel- und Userspace 

oder unterschiedliche Adressräume. 

Der damit erzielte Wegfall von Kontextwechseln 

soll zu höherer Performance 

führen. Anwendungen wie die Java Virtual 

Machine werden aus dem gleichen 

Grund direkt in das Betriebssystem 

integriert. Das minimalistische OS soll 

jeweils nur eine Anwendung hosten, 


Admin

22 

Login 

Betriebssysteme 

n Info 

Klassisches OS 

Anwendung 

Runtime/Library 

Betriebssytem−Kernel 

Hypervisor 

Hardware 

verzichtet dazu weitgehend auf die von 

Unix bekannten Security-Features und 

überlässt sie dem Hypervisor (Abbildung 

1). Auch die von Linux und Unix 

bekannte Konfiguration des Betriebssystems 

fällt mit dem neuen Konzept 

weg. 

Alles schon dagewesen? 

Denkt man ein bisschen über die Architektur 

von Hypervisor und minimalistischen 

Gastsystemen nach, erinnert 

sie möglicherweise an einen alten 

Bekannten: den Microkernel. Auch 

hier beschränkt sich der eigentliche 

Betriebssystemkern auf sehr wenige 

Funktionen. Andere Teile des Betriebssystems 

laufen als weniger privilegierte 

Prozesse im Userspace und können somit 

bei Fehlfunktionen nicht das ganze 

System in den Abgrund reißen. Bekanntlich 

hat der Informatik-Professor 





Mirage 

Anwendung 

Mirage Runtime 

Hypervisor 

Hardware 

Uni− 

kernel 

Abbildung 2: Mirage ist ein experimentelles Cloud-OS, das anwendungsspezifische Images aus 

Ocaml-Runtime und Applikation auf dem Xen-Hypervisor laufen lässt. 

Andrew Tanenbaum Linux schon in den 

Anfangszeiten dafür kritisiert, nicht das 

Microkernel-Prinzip umzusetzen, sondern 

auf einen monolithischen Kernel 

zu setzen. 

Jetzt schleicht sich der Microkernel – 

wenn man so will – über die Virtualisierungstechnologie 

wieder ein. 

Letztlich ist es mit der zunehmenden 

Verbreitung von Cloud-Architekturen 

nur konsequent, wie bei OSv das „Cloud 

OS“ und die Gastsysteme jeweils auf 

ein Minimum zu reduzieren, statt immer 

wieder aufs Neue die gleichen 

Systemteile zu replizieren. In konventionellen 

Linux-Installationen wird diese 

Idee zum Teil durch Container-Technologien 

wie OpenVZ und LXC umgesetzt, 

doch deren Realisierung ist kompliziert. 

Volle Virtualisierung, aber dafür mit 

stark abgespeckten Systemen, scheint 

demgegenüber der einfachere Weg zu 

sein. 

Wunschbild 

Einen ähnlichen Weg wie OSv schlägt 

auch das Mirage OS [5] ein, das als 

Bare-Metal-Hypervisor Xen einsetzt, 

auf dem hochspezialisierte Gastsysteme 

laufen, die in einer Hochsprache 

(OCaml) statt C geschrieben sind. Auch 

diese sogenannten Unikernel besitzen 

wie eine Instanz von OSv nur einen 

flachen Adressraum und können auf 

Wunsch sogar read-only gesetzt werden. 

Letzteres ist nur eine von vielen 

Sicherheitsmaßnahmen, die bei derart 

verteilten Architekturen sicherlich noch 

wichtig werden. 

Eine offene Frage ist bei solchen Ansätzen 

noch, wie Anwendungen, die je 

in einem eigenen Minimal-OS laufen, 

miteinander kommunizieren sollen. 

Lösungen dafür gibt es natürlich eine 

Reihe, etwa aus dem Bereich verteilter 

Webanwendungen. Beispiele sind 

Messaging-Systeme wie ActiveMQ, 

RabbitMQ und der Java Messaging Service. 

Sie entsprächen dann in etwa der 

Infrastruktur für Interprozesskommunikation, 

wie die Microkernel sie bieten. 

Wie sich das auf die Performance eines 

Gesamtsystems auswirkt, wird erst die 

Praxis zeigen. Eine Unterstützung durch 

den Hypervisor wäre hierbei vermutlich 

hilfreich. 

Nimmt man all diese Dinge zusammen, 

entsteht am Ende eine Art Baukasten- 

System, bei dem der Hypervisor oder 

Microkernel Steckplätze bereitstellt, in 

die der Infrastrukturbetreiber einzelne 

Bausteine steckt, die aus einem Micro- 

OS zusammen mit je einer Anwendung 

bestehen. Weitere Bauteile sind dann 

gewissermaßen die Leitungen, die 

diese Bausteine verbinden. Eine solche 

Architektur wird beispielsweise schon 

heute von den in Ubuntu implementierten 

Charms des Juju-Systems eingesetzt. 

Ausblick 

Es wird sicher noch einige Zeit vergehen, 

bis das Mirage OS reif für den 

Echtwelteinsatz ist. Eine günstigere 

Prognose ist vermutlich dem OSv beschieden, 

das sich weniger weit weg 

vom Mainstream bewegt, aber trotzdem 

einen neuartigen Ansatz verfolgt, 

der interessant erscheint. Mindestens 

diese beiden Beispiele zeigen aber, 

dass durch die immer weitere Verbreitung 

von Virtualisierungstechnologie 

auch Türen aufgestoßen werden, die 

neue Perspektiven im Bereich der Systemprogrammierung 

eröffnen. n 


24 

Netzwerk 

PowerDNS 

Nameserver mit PowerDNS 

Geballte Power 

Joe Belanger, 123RF 

Der BIND-Server ist die Standardsoftware für den Betrieb eines Nameservers. Der PowerDNS-Server ist 

eine Alternative, die einen Kompatibilitätsmodus zu BIND besitzt, aber auch mit zahlreichen Datenbank- 

Backends eigene Wege geht. Joseph Guarino 

Glücklicherweise leben wir nicht mehr 

in den Zeiten des Arpanets, als Administratoren 

große Host-Dateien von 

n Tabelle 1: PowerDNS-Features 

Autoritativer DNS-Server 

Caching DNS-Server 

API zum Anlegen und Ändern von Zonen und Records 

Webbasiertes Admin-Frontend 

BIND-kompatible Datenspeicherung in Files (optional) 

Datenbank-Backends: DB2, Firebird, Interbase, LDAP, 

MySQL, Microsoft SQL Server, Oracle, PostgreSQL, 

SQLite, Sybase (optional) 

IPv4, IPv6, UDP/TCP, DNSSEC, DNS64 

Loadbalancing / Failover 

SNMP 

Remote abfragbare Statistiken 

Eingebauter Webserver (optional) 

Debugging-Tools 

Lua-Skripting 

Plattformen: Linux, BSD, Unix 

Rechner zu Rechner kopieren mussten, 

um andere Knoten im Netz zu erreichen. 

Heute haben wir das Domain 

Name System (DNS), das einen hierarchischen 

Namensraum implementiert, 

der Host- und Domainnamen auf IP-Adressen 

abbildet. Der De-facto-Standard 

für die entsprechende Nameserver- 

Software ist BIND (Berkeley Internet 

Name Domain), der schon seit den 

achtziger Jahren existiert und durch 

seine zahlreichen Sicherheitslücken bekannt 

wurde. Mit Version 9 wurde BIND 

von Grund auf neu geschrieben, um ein 

sicheres Fundament für den Domain 

Name Service zu schaffen. 

Eine Alternative zu BIND ist PowerDNS 

[1], das zuerst als kommerzielles Produkt 

existierte, bevor die gleichnamige 

Firma die Software unter der GPL-Lizenz 

freigab. Sein überschaubarer Code 

und der Fokus auf Sicherheit, Skalierbarkeit 

und Zuverlässigkeit machen 

PowerDNS zu einem guten Kandidaten 

bei der Auswahl eines Nameservers. 

Komponenten 

PowerDNS besteht grundsätzlich aus 

zwei Komponenten: dem autoritativen 

Nameserver und dem Recursor. Andere 

Nameserver vereinen die beiden 

Funktionen, aber bei PowerDNS lassen 

sich beide auch getrennt voneinander 

betreiben. Ein autoritativer Nameserver 

ist in etwa das, wonach es klingt: 

ein Nameserver, der für eine bestimmte 

Domain die wichtigen Informationen in 

einer sogenannten Zone führt, einer Art 

administrativer Einheit im DNS-System 

(nicht unbedingt identisch mit einer 

Domain). Autoritative Domainserver 

gibt es in zwei Ausführungen: 

n Der »Primary Name Server«, der oft 

auch Master genannt wird, ist die 

ursprüngliche und definitive Quelle 

für die alle Zonen-Einträge einer 

Domain. 

n Der »Secondary Name Server«, auch 

Slave genannt, führt die gleichen 

Informationen, bezieht sie aber vom 

Master-Server. 


Netzwerk 

PowerDNS 

25 

Der Recursor von PowerDNS dient im 

Gegensatz dazu nur als Cache für die 

rekursiven Anfragen von Clients an 

DNS-Server im Internet. Der eigene PowerDNS-Server 

ist also nicht autoritativ 

für die angefragten DNS-Informationen, 

sondern nur die erste Anlaufstelle, die 

gegebenenfalls die Informationen aus 

dem eigenen Cache holt. 

Der Recursor bietet eine ganze Reihe 

von Features, so implementiert er 

selbstverständlich alle relevanten 

Standards, zum Beispiel auch DNS64 

[2]. Darüber hinaus implementiert er 

besondere Maßnahmen, um etwa DNS- 

Spoofing zu verhindern: Das Fälschen 

von DNS-Informationen, das Angreifer 

für Man-in-the-Middle-Angriffe verwenden. 

Er kann DNS-Abfragen abfangen, 

umleiten und NXDOMAIN-Antworten 

verschicken, wenn eine Domain nicht 

existiert. Zur Steuerung gibt es das Tool 

»rec_control«, das auch Statistiken für 

MRTG und RRD ausgeben kann. Seit 

Version 3.1.7 können Anwender sogar 

eigene Lua-Skripts schreiben, die Anfragen 

verarbeiten. Zugriff bietet der 

Recursor sowohl lokal als auch remote. 

Neu konfigurieren lässt sich der Recursor 

auch ohne Neustart. Tabelle 1 fasst 

noch einmal die wesentlichen Features 

von PowerDNS zusammen. 

zustellen, ist keine gute Idee. Installiert 

ist der PowerDNS-Recursor auf Ubuntu 

schnell: 

sudo apt‐get install pdns‐recursor 

Nun müssen Sie die mitgelieferte Konfiguration 

in »/etc/powerdns/recursor. 

conf« anpassen. Um der Kürze willen 

sind in Listing 1 nur die geänderten Variablen 

abgedruckt. Nach einem Neustart 

per »sudo service pdns‐recursor 

restart« ist der Recursor einsatzbereit. 

Steuern lässt sich der Recursor mit 

dem kleinen Tool »rec_control«. So 

testet der Befehl »rec_control ping«, 

ob der Server läuft. Alle Variablen fragt 

der Aufruf von »rec_control get‐all« ab, 

während »rec_control get Variable« 

einen bestimmten Wert ermittelt. Diese 

Werte können Sie beispielsweise in ein 

Programm wie RRDTool einspeisen, um 

Statistiken und Diagramme zu erstellen. 

Beenden lässt sich der Server mit 

»rec_control quit«. 

Master 

Wie schon erwähnt kann PowerDNS 

diverse Datenbanken als Backend nutzen. 

Zunächst soll es aber erst einmal 

darum gehen, einen Nameserver in 

BIND-kompatibler Konfiguration zu 

betreiben. Das bietet sich zum Beispiel 

an, wenn man von einer existierenden 

BIND-Installation auf PowerDNS migrieren 

möchte. Die beiden Server, der 

Master und der Slave, sollen öffentlich 

zugänglich sein und müssen deshalb 

auf Rechnern – oder auch virtuellen 

Maschinen – außerhalb der firmeneigenen 

Firewall betrieben werden. Der 

folgende Befehl installiert die nötige 

Software auf einer Ubuntu-Maschine: 

sudo apt‐get install pdns‐server 

Die Konfiguration für den Primary-DNS 

von »example.com«, die in »/etc/powerdns« 

gespeichert wird, ist in Listing 2 

zu sehen. Außer der Vorwärtsauflösung 

von Namen zu IP-Adressen sollte man 

sich auch um den umgekehrten Weg, 

also die Zuordnung von IP-Adressen 

zu Namen, den sogenannten Reverse 

Lookup kümmern. Das geht aber nur, 

wenn man überhaupt die DNS-Autori- 

Backends 

PowerDNS bietet eine ganze Reihe 

von Möglichkeiten, um die Zonendaten 

zu speichern. Das können wie bei 

BIND einfache Dateien sein, die dank 

eines Kompatibilitätsmodus sogar im 

BIND-Format abgefasst sein dürfen. Alternativ 

gibt es eine Vielzahl von Datenbank-Backends, 

etwa für MySQL und 

PostgreSQL. Dieser Artikel beschränkt 

sich darauf, die Konfiguration im BIND- 

Modus sowie die Administration mit 

dem Poweradmin-Web-Frontend und 

MySQL vorzuführen. Als Beispielplattform 

dient im weiteren Verlauf Ubuntu 

12.04, das Sie erst einmal mit dem 

Paketmanager aktualisieren sollten, 

wenn Sie die Beispiele nachvollziehen 

wollen. 

Einen Recursor, wie er im Folgenden 

entsteht, sollte man im lokalen Netz 

hinter einer Firewall platzieren. Ihn 

öffentlich zugänglich im Internet auftät 

für den eigenen IP-Adressen-Block 

hat. Sonst muss man sich an seinen 

Provider wenden. Prinzipiell funktionieren 

die meisten Dienste auch ohne 

das umgekehrte Mapping, allerdings 

dauert dann beispielsweise das Login 

auf einem Rechner länger, wenn der 

entsprechende Dienst einen Reverse 

Lookup versucht und dann bis zum Timeout 

wartet. 

n Listing 1: »recursor.conf« 

01 allow‐from=192.168.1.0/24 

02 # The 'allow‐from' address specifies the network 

address space you want to service queries to 

with your PowerDNS recursor. Note you can use 

comma‐separated individual IPs or networks in 

CIDR notation. 

03 # 

04 local‐address=192.168.1.10 

05 # 'local‐address' specifies the address or 

addresses on which the recursor is to listen for 

queries. 

06 # 

07 version‐string=Wait, this ain't no host file 

08 # Give out bogus version information when 

queried with 'dig @ns1.example.com ‐c 

09 CH ‐t txt version.bind'. I'd rather add some 

mystery. =) 

n Listing 2: »example.com.zone« 

01 example.com. 84600 IN SOA ns1.example. 

com. hostmaster.example.com. ( 

02 2013062901 ; serial 

03 21600 ; refresh (6 hours) 

04 900 ; retry (15 minutes) 

05 604800 ; expire (1 week) 

06 3600 ; minimum (1 hour) 

07 ) 

08 NS ns1.example.com 

09 NS ns2.example.com 

10 MX 10 mail.example.com 

11 ns1 A 192.168.1.10 

12 ns2 A 192.168.1.11 

13 mail A 192.168.1.13 

14 www A 192.168.1.14 

n Listing 3: »bindbackend.conf« 

01 options { 

02 directory "/etc/powerdns"; 

03 }; 

04 zone "example.com" { 

05 type master; 

06 file "example.com.zone"; 

07 }; 


Admin 

Ausgabe 12-2013

26 

Netzwerk 

PowerDNS 

Die Konfigurationsdatei »/etc/powerdns/bindbackend.conf« 

bestimmt, 

welche Zonen der PowerDNS-Server 

lädt. Sie ist in Listing 3 zu sehen. In 

der Hauptkonfigurationsdatei »/etc/ 

powerdns/pdns.conf« stehen ein 

paar grundlegende Variablen, die die 

Funktion des Nameservers bestimmen 

(»launch=bind«), und die Verweise auf 

weitere Konfigurationsdateien, etwa 

die eben entstandene BIND-Konfiguration. 

Die relevanten Zeilen sind in 

Listing 4 wiedergegeben. Ein Neustart 

per »sudo service pdns restart« lässt 

den Server die Konfiguration neu einlesen. 

Zum gleichen Ziel führt es, dem 

Server mit dem Kill-Befehl ein HUP- 

Signal zu schicken. 

Secondary 

Für den Anfang sind die Arbeitsschritte 

auf dem »Secondary Name Server« 

die gleichen wie auf dem Master: 

»pdns‐server« installieren und die 

Konfigurationsdatei »/etc/powerdns/ 

bindbackend.conf« anlegen. Letztere 

unterscheidet sich nur in einem 

Punkt von der Master-Konfiguration 

in Listing 3: Beim Slave steht in Zeile 5 

statt »master« eben »slave«. Der Slave- 

Server soll außerdem mit eigenen Userund 

Group-IDs laufen, weshalb Sie die 

Besitzrechte der Konfigurationsdateien 

anpassen müssen: 

sudo chown ‐R pdns:pdns /etc/powerdns 

Dementsprechend finden sich Userund 

Group-ID auch in der Konfigurationsdatei 

»/etc/powerdns/pdns.conf«, 

die in Listing 5 zu sehen ist. Ein weiterer 

Unterschied zur Master-Konfiguration 

ist hier die Anweisung »slave=yes«. 

Haben Sie auch die Secondary-Konfiguration 

per Neustart des Service oder 

HUP-Signal neu eingelesen, können 

Sie den Dienst testen, zum Beispiel 

mit dem Dig-Befehl. Wie das aussehen 

könnte, zeigt der Kasten »DNS testen«. 

Analog zum Recursor steuern Sie Master- 

und Slave-Server mit einem Utility 

namens »pdns_control«. 

Mit MySQL 

Wie erwähnt kann PowerDNS auch verschiedene 

Datenbanken als Backend 

verwenden. Im Rest des Artikels geht 

es deshalb um die Konfiguration mit 

MySQL, die auch die Verwaltung von 

PowerDNS mit der Web-GUI »Poweradmin« 

erlaubt. Die Installation des 

Servers läuft wie oben beschrieben, 

allerdings lautet der Launch-Modus 

dieses Mal »gmysql«. Er verlangt nach 

weiteren Variablen wie dem Datenbanknamen, 

dem Benutzernamen für 

die Datenbank und dem Passwort. Die 

relevanten Zeilen sind in Listing 6 wiedergegeben. 

n Listing 4: »pdns.conf« (Ausschnitt) 

01 allow‐axfr‐ips=192.168.1.11 

02 # IP Address allowed to perform AXFR. 

03 # 

04 bind‐check‐interval=300 

05 # Tell server how often to check for zone changes. 

06 # 

07 launch=bind 

08 bind‐config=/etc/powerdns/bindbackend.conf 

09 # Tell PowerDNS to launch with BIND back end using the specified 

configuration f 

10 ile. 

11 # 


13 # Specifies the local IP on which PowerDNS listens. 

14 # 

15 master=yes 

16 # Tells PowerDNS to run this as the primary server. This primary 

server will sen 

17 d out a special notify packet to notify the secondary or slave of 

updates. 

18 # 

19 setgid=pdns 

20 # Sets Group ID to pdns for improved security 

21 # 

22 setuid=pdns 

23 # Sets user id to pdns for improved security 

24 # 

25 version‐string=anonymous 

26 # No server version is divulged via dig query (e.g., dig @ns1. 

example.com ‐c CH ‐ 

27 t txt version.bind). I'd rather make script kiddies work harder. 

=) 

n Listing 5: Secondary-Konfiguration 

01 launch=bind 

02 bind‐config=/etc/powerdns/bindbackend.conf 

03 # Tell PowerDNS to launch with BIND back end using the specified 

configuration 

04 file 

05 # 

06 bind‐check‐interval=300 

07 # Tell server how often to check for zone changes 

08 # 


10 # Specifies the local IP on which PowerDNS listens 

11 # 

12 setgid=pdns 

13 # Sets Group ID to pdns for improved security 

14 # 

15 setuid=pdns 

16 # Sets user id to pdns for improved security 

17 # 

18 slave=yes 

19 # Variable identifies this server as a secondary or slave server 

20 # 

21 version‐string=anonymous 

22 # No server version is divulged via a dig inquiry (e.g., dig @ 

ns1.example.com ‐ 

23 c CH ‐t txt version.bind). Oh, the mystery! 


Netzwerk 

PowerDNS 

27 

Die im Beispiel konfigurierte Datenbank 

»pdns« müssen Sie in MySQL selbst anlegen, 

zum Beispiel im MySQL-Monitor 

»mysql« oder in einem Web-Frontend 

wie PHP-MyAdmin oder Chive [3]. 

Dort vergeben Sie auch die Lese- und 

Schreibrechte für den MySQL-Benutzer 

»puser« beziehungsweise »puser@localhost«, 

wie MySQL ihn meistens verlangt. 

Das passende SQL-Schema für 

die Datenbank ist in Listing 7 zu sehen. 

Login 

Zwar könnten Sie nun PowerDNS direkt 

über die Datenbank verwalten, 

allerdings nur mit eigenen Skripts oder 

etwa einem SQL-Frontend wie PHP- 

MyAdmin. Weil das ziemlich mühsam 

ist, ist es gut, dass es mit Poweradmin 

[4] ein fertiges Web-Frontend gibt, das 

die Angelegenheit vereinfacht. Neben 

MySQL und Apache setzt es außerdem 

PHP sowie die PHP-Pakete »session«, 

»gettext«, »mcrypt«, »PEAR« und 

»PEAR::MDB2« voraus. Haben Sie das 

Poweradmin-Paket heruntergeladen, 

entpacken Sie es im Document Root 

des Webservers. Für die Benutzer-ID, 

unter der der Webserver läuft, muss 

die Konfiguration von Poweradmin 

schreibbar sein. 

Unter der Adresse »http://primary/ 

Poweradmin/install/index.php« ist 

im Browser die Installationroutine zu 

n DNS testen 

finden. Zuerst wählen Sie die Sprache, 

bevor sie die Zugangsdaten zur PowerDNS-Datenbank 

eingeben müssen 

(Abbildung 1). Poweradmin verwendet 

einen zweiten MySQL-Account, den 

Sie im nächsten Schritt konfigurieren. 

Anschließend gibt das Installationspro- 

Wenn der PowerDNS-Dienst läuft, können Sie ihn auf der Kommandozeile desselben Rechners testen: 

primary:~$dig +norecurs @127.0.0.1 ns1.example.com A 

dig +norecurs @127.0.0.1 ns1.example.com A 

; DiG 9.9.2‐P1 +norecurs @127.0.0.1 ns1.example.com A 

; (1 server found) 

;; global options: +cmd 

;; Got answer: 

;; ‐>>HEADER

28 

Netzwerk 

PowerDNS 

Abbildung 1: Eingabe der MySQL-Konfigurationsdaten. 

Abbildung 2: Editieren einer Zone. 

n Info 

gramm einen SQL-Befehl aus, mit dem 

Sie den Account auf der Kommandozeile 

im MySQL-Monitor anlegen. Das 

Verzeichnis »install« können Sie nach 

erfolgreicher Installation löschen. 

Das Poweradmin-Interface erreichen 

Sie nun unter »http://primary/Poweradmin/index.php«. 

Dort legen Sie 

zunächst eine neue Master-Zone an, für 

die Sie die nötigen Basisinformationen 

eingeben. Anschließend zeigen Sie 

sich mit »List zones« die Zonen an und 

wählen mit »Edit« die neue Zone zum 

Editieren aus (Abbildung 2). 





Die GUI ist recht einfach gestrickt und 

füllt für die nötigen Konfigurationswerte 

schon Defaults ein. Sich ein bisschen 

mit den Grundlagen von DNS zu 

beschäftigen, etwa den Record-Typen 

A (AAAA), CNAME und so weiter, sowie 

Werten wie der Time-to-live (TTL), kann 

auf jeden Fall nicht schaden. 

Zuverlässigkeit und 

Sicherheit 

Für einen zuverlässigen Dienst ist Redundanz 

ein Muss. Ein derart wichtiger 

Service wie DNS sollte mindestens 

zweifach vorhanden sein – sonst brauchen 

Sie vermutlich mehr als zwei 

Aspirin, um mit den Kopfschmerzen 

fertig zu werden, die ihnen ein unzuverlässiger 

DNS-Service bereitet. Wer eine 

Datenbank als Backend verwendet, 

sollte selbstverständlich auch sie hochverfügbar 

auslegen. 

Wie es im Zusammenhang mit BIND 

schon anklang, ist DNS ein häufiges 

Opfer von Angriffen. Weil Zugangsbeschränkungen 

oft auf Hostnamen 

basieren, lohnt es sich für Angreifer, 

DNS-Informationen zu manipulieren. 

Auch laufen DNS-Server immer mit 

Superuser-Rechten, weil sie Zugang zu 

privilegierten Ports haben, die unter 

Unix Root-Rechte erfordern. Das macht 

Exploits interessant, die sich über Buffer 

Overflows durch manipulierte DNS- 

Anfragen ausnutzen lassen. 

Das beste Mittel dagegen ist, seine 

Software immer auf dem Laufenden zu 

halten. Auch eine vernünftige Firewall- 

Konfiguration für den DNS-Server ist 

kein Fehler, um andere Angriffspunkte 

zu minimieren. Schließen Sie alle 

Ports außer den Ports 22 (für das SSH- 

Login), 53/TCP und 53/UDP. Wollen 

Sie das Web-Frontend verwenden, 

öffnen Sie noch den Port 80. Besser ist 

es allerdings, stattdessen gleich den 

Webserver mit HTTPS zu konfigurieren 

und Port 443 zu verwenden. DNSspezifische 

Maßnahmen für höhere 

Sicherheit sind, TSIG/TKEY und DNSSEC 

zu verwenden. Mit TSIG/TKEY sichern 

Sie Zone-Transfers ab, mit DNSSEC 

erschweren Sie das sogenannte Cache 

Poisoning. 

Community 

Wie bei anderen Open-Source-Projekten 

gibt es auch für PowerDNS eine 

Reihe von Möglichkeiten, Hilfe zu erhalten 

wie beispielsweise Mailinglisten, 

Foren und IRC. Auch kommerziellen 

Support bietet die hinter PowerDNS 

stehende Firma an, die auch die 

Community rund um PowerDNS am 

Laufen hält. Wer sich selbst einbringen 

möchte, hat dafür reichlich Gelegenheit. 

Offene Punkte sind derzeit etwa: 

Support für OS X, Solaris-Pakete, Backends 

testen, Regression-Tests schreiben 

und Bug-Tickets verwalten. Alleine 

die zahlreichen Web-Frontends zu katalogisieren, 

wäre schon ein nützlicher 

Dienst an der Power DNS-Gemeinschaft. 

All diese Aufgaben bieten einen guten 

Einstieg in ein aktives und attraktives 

Open-Source-Projekt, das hilft, einen 

unverzichtbaren Dienst des Internets zu 

betreiben. (ofr) n 


30 

Netzwerk 

Apache 2.4.6 

Neuheiten in Apache 2.4.6 

Comeback 

Der Apache-Webserver ist nicht tot, nur etwas eingerostet. 

Damit das nicht so bleibt, haben die Entwickler 

ihn in Version 2.4 gründlich überholt. Oliver Frommel 

Wenn man den monatlich erscheinenden 

Statistiken von Netcraft glauben 

darf, ist Apache immer noch der am 

weitesten verbreitete Webserver im 

ganzen World Wide Web (Abbildung 1). 

Schon länger legt die Konkurrenz in 

Form von Nginx zwar stetig zu, ist aber 

doch noch meilenweit von den beinahe 

knapp 47 Prozent entfernt, mit denen 

Apache weiterhin das Feld dominiert. 

Dennoch haben auch die Apache- 

Entwickler die Kritik an ihrer Software 

vernommen, sie sei veraltet und zu 

schwerfällig, und den Webserver in der 

Version 2.4 gründlich überarbeitet [1]. 

n Listing 1: Makro 

01 

02 

03 ServerName www.$domain 

04 

05 DocumentRoot /var/www/vhosts/$name 

06 ErrorLog /var/log/httpd/$name.error_log 

07 CustomLog /var/log/httpd/$name.access_ 

log combined 

08 

09 

10 

11 Use VHost admin admin‐magazin.de 

12 Use VHost linuxmagazin linux‐magazin.de 

Da sind zunächst einmal viele Kleinigkeiten, 

die das Leben eines Apache- 

Adminstators erleichtern können. Das 

beginnt bei der Möglichkeit, in der 

Server-Konfiguration Variablen zu definieren, 

die sich später an anderer Stelle 

wiederverwenden lassen. So legt im 

folgenden Beispiel die erste Zeile eine 

Variable »$host« fest, die anschließend 

verwendet wird: 

Define $host www.google.com 

 

ErrorLog /var/log/httpd/${host}.log 

Ähnlich funktioniert Mod-Macro, das 

es bereits vorher als externes Modul 

gab, das aber seit der eben erschienenen 

Version 2.4.6 fester Bestandteil 

des Apache-Pakets ist [2]. Ein Makro 

funktioniert ähnlich wie eine Funktion 

in einer Programmiersprache: Man definiert 

es zusammen mit Variablen, die 

im Rumpf des Makros vorkommen. Will 

man das Makro verwenden, ruft man 

es mit den konkreten Werten auf, die 

ins Makro eingesetzt werden. Listing 1 

illustriert die Anwendung. 

Geändert hat sich auch die Syntax für 

die Definition namensbasierter virtueller 

Hosts. Die bisher dafür verwendete 

Anweisung »NameVirtualHost« gibt 

es nämlich nicht mehr. Stattdessen 

können Administratoren sich nun auf 

die Definition der virtuellen Hosts 

beschränken. Listing 2 und Listing 3 zeigen 

den Unterschied. Diese scheinbar 

kleine Änderung ist laut der Apache- 

Entwickler eine große Sache, denn der 

alte Weg der Konfiguration führte zu 

einer Vielzahl von Problemen, wenn der 

»NameVirtualHost« nicht zu einem »VirtualHost« 

passte. 

Noch mehr Komfort bei der Konfiguration 

entsteht durch die Möglichkeit, 

mit logischen Bedingungen wie »If«, 

»ElseIf« und »Else« einzelne Abschnitte 

ein- und auszuschalten. Hierbei können 

sowohl selbstdefinierte Variablen wie 

auch die vorbelegten Servervariablen 

zum Einsatz kommen. Ein Beispiel dafür 

ist in Listing 4 zu sehen. Die gleiche 

Funktion, nämlich die Umleitung auf 

den WWW-Host, wurde bisher meistens 

mit Rewrite-Regeln umgesetzt, erforderte 

aber dafür kompliziertere Konstruktionen. 

Lediglich mit den Anführungszeichen 

muss man beim neuen 

Weg etwas aufpassen. 

Weitere Änderungen der Syntax gibt es 

etwa bei der Override-Konfiguration, 

die nun eine feiner abgestufte Kontrolle 


Netzwerk 

Apache 2.4.6 

31 

Oleksandr But, 123RF 

dessen erlaubt, was an Zugriffen auf 

ein bestimmtes Webverzeichnis erlaubt 

ist. Genauso wurde der Zugriffsschutz 

per Require von Grund auf überarbeitet. 

Statt der simplen, alten Anweisungen 

»allow« und »deny« gibt es nun 

die Option, logische Bedingungen zu 

verschachteln und damit den Zugriff 

im Einzelnen zu kontrollieren. Dabei 

berücksichtigt der Apache-Server auf 

Wunsch die Zugriffsmethode (GET/PUT 

und so weiter), Umgebungsvariablen, 

IP-Adresse/Hostname und auch selbst 

gesetzte Variablen, die der Administrator 

sogar in eigenen Expressions 

auswerten kann. Die beiden neuen 

Direktiven »RequireAll« und »RequireAny« 

gruppieren die Bedingungen 

als logische Und- respektive Oder- 

Verknüpfung. Ermöglicht wird all dies 

durch das Modul »mod_authz_core«. 

Ein umfangreiches Beispiel aus der 

Apache-Dokumentation ist in Listing 5 

zu sehen. 

Neue Module 

Eine ganze Reihe weiterer neuer Module 

erweitert den Funktionsumfang 

von Apache beträchtlich. Zum Teil gab 

es sie – wie im Fall von »mod_proxy_ 

html« – schon vorher, sie wurden nun 

aber in die Apache-Core-Distribution 

eingegliedert. Experimentell ist derzeit 

noch der Support für die Skriptsprache 

Lua, mit der sich nun eigene Apache- 

Webanwendungen schreiben lassen. 

Ein ADMIN-Artikel hat über das Modul 

n Listing 2: Virtual Host (alt) 

01 NameVirtualHost *:80 

02 

03 

04 ServerName www.admin‐magazin.de 

05 ... 

06 

07 

08 

09 ServerName www.linux‐magazin.de 

10 ... 

11 

n Listing 3: Virtual Host (neu) 

01 

02 ServerName www.admin‐magazin.de 

03 ... 

04 

05 

06 

07 ServerName www.linux‐magazin.de 

08 ... 

09 

bereits einmal ausführlich berichtet [3]. 

Die beiden Module »mod_fcgi« und 

»mod_scgi« ermöglichen es, Anwendungen 

einzubinden, die das Fast-CGIbeziehungsweise 

das SCGI-Protokoll 

implementieren. Dies geschieht über 

Mod-Proxy, während sich mit dem 

Mod-Proxy-Balancer gleich auch noch 

Anzeige 

Abbildung 1: Obwohl Nginx ständig neue Anwender für sich gewinnt, ist Apache weiterhin 

der dominierende Webserver. 


Admin 

Ausgabe 12-2013

32 

Netzwerk 

Apache 2.4.6 

n Listing 4: Konditional 

01 

02 Redirect permanent / http://www. 

admin‐magazin.de 

03 

n Listing 5: Zugriffsschutz 

01 

02 

03 

04 Require user superadmin 

05 

06 Require group admins 

07 Require ldap‐group 

cn=Administrators,o=Airius 

08 

09 Require group sales 

10 Require ldap‐attribute 

dept="sales" 

11 

12 

13 

14 

15 Require group temps 

16 Require ldap‐group cn=Temporary 

Employees,o=Airius 

17 

18 

19 

n Listing 6: Logging per Directory 

01 LogLevel info 

02 

03 LogLevel debug 

04 

n Info 

Loadbalancing realisieren lässt. Eine 

Liste der wichtigsten neuen Module in 

Apache 2.4 ist in Tabelle 1 zu sehen. 

Fehler in der Konfiguration sind nun 

generell leichter aufzuspüren, weil 

sich das Loglevel per Modul und per 

Verzeichnis einstellen lässt (Listing 6). 

Darüber hinaus gibt es jenseits des 

alten Debug-Loglevels noch die neuen 

Loglevel »trace1« bis »trace8«. Um für 





ein spezifisches Modul das Logging zu 

kontrollieren, stellt man es dem Loglevel 

voran: »LogLevel info ssl:warn«. 

n Tabelle 1: Neue Module 

Modul 

mod_auth_form 

mod_log_debug 

mod_lua 

mod_proxy_express 

mod_proxy_fcgi 

mod_proxy_html 

mod_proxy_scgi 

mod_ratelimit 

mod_remoteip 

mod_sed 

mod_session 

Performance 

Der neue Apache-Server ist von Grund 

auf stärker modularisiert als seine 

Vorgänger. So sind nun erstmals die sogenannten 

Multiprocessing-Module, die 

das Verhalten bei der Verarbeitung von 

HTTP-Requests bestimmen, dynamisch 

ladbar. Früher gab es nur das Prefork- 

Modul, das beim Start des Webservers 

eine gewisse Anzahl von Prozessen 

startete und für neue Verbindungen 

neue Kindprozesse startete. Dann 

kam das Threading-Modul hinzu, das 

die Thread-basierte Verarbeitung von 

Anfragen ermöglichte. Bisher mussten 

diese beiden Module aber immer fest 

einkompiliert werden, was dazu führte, 

dass es in Linux-Distributionen zwei 

verschiedene Pakete dafür gibt, etwa 

»apache‐mpm‐prefork« und »apache‐mpm‐worker«. 

Jetzt kann der Administrator per Konfigurationsdatei 

bestimmen, welches 

MPM-Modul verwendet wird. Darüber 

hinaus gibt es noch ein neues Threadbasiertes 

Modul namens »event«, 

das Event-basierte Verarbeitung von 

Requests implementiert. Es existiert 

schon eine Zeit lang und hat sich dabei 

bewährt, sodass es nun sogar die bisherige 

Default-Konfiguration »prefork« 

abgelöst hat. Unter Linux verwendet 

es den Systemcall »epoll«, unter BSD- 

Systemen die KQueue-Infrastruktur. 

Verbessern soll das neue Event-Modul 

die Performance vor allem bei vielen 

HTTP-Keepalive-Verbindungen. Dabei 

halten Server und Webbrowser die 

einmal aufgebaute TCP-Verbindung 

aufrecht und schicken darüber mehrere 

HTTP-Requests. Das verringert den 

Overhead von immer neuen Verbindungseröffnungen, 

bindet aber auf 

dem Server dauerhaft Ressourcen, gerade 

wenn im Fall des Prefork-Moduls 

ein kompletter Kindprozess durch die 

Verbindung blockiert ist. 

Aufgeholt 

Das Rennen der Webserver geht weiter. 

Apache 2.4 bringt eine Vielzahl neuer 

praktischer Module mit und vereinfacht 

die Konfiguration, die gleichzeitig aber 

auch neue Optionen bietet. Durch die 

Änderung der Architektur können Administratoren 

nun das Prozessmodul 

per Konfiguration bestimmten und 

müssen nicht länger bei der Installation 

zwischen Prefork- und Worker-Modul 

wählen. Als Alternative zu den beiden 

gibt es nun als neuen Default-Modus 

das Event-Modul, das bei den heute 

üblichen Keepalive-Verbindungen den 

Webserver weniger belastet. n 

Funktion 

Authentifizierung über HTML-Forms 

Frei konfigurierbares Logging zu Debugging-Zwecken 

Integriert den Interpreter der Lua-Skriptsprache in den Webserver 

(experimenteller Support) 

Vereinfachte Konfiguration für Reverse Proxies. 

Backend für die Anbindung von Webanwendungen über FastCGI- 

Protokoll 

Ändert bei Proxy-Konfiguration den HTML-Quelltext, zum Beispiel 

URLs 

Backend für die Anbindung von Webanwendungen über das SCGI- 

Protokoll 

Bandbreitenlimitierung für Clients 

Unterstützung für die Remote-IP-Variable beim Einsatz von Proxy 

und Loadbalancer 

On-the-Fly-Änderungen des HTTP-Response-Body nach Art des 

Unix-Tools »sed« 

Speichert Client-Sessions, etwa über Cookies oder Datenbank 


alphaspirit, 123RF 

Sind soziale Netzwerke eine Groupware-Alternative? 

Soziale Unternehmen 

Atos verbannt die interne E-Mail zugunsten sozialer Netzwerke. Facebook und Twitter haben das Internet- und 

Kommunikationsverhalten einer ganzen Generation verändert. Können die Business-orientierten Konkurrenten 

und Nachahmer Ähnliches im Unternehmen erreichen? Carsten Schnober 

Social Enterprise statt Groupware? 

Enterprise 2.0? Wer mit Facebook und 

Twitter vor allem eine Gefahr für die 

Produktivität der Internet-surfenden 

Mitarbeiter verbindet, verkennt die mitunter 

nützlichen Methoden, die dahinter 

stecken: Wenn sich das Freizeitkommunikationsverhalten 

von Internet- 

Benutzern massenhaft so schnell auf 

die immer noch relativ jungen Dienste 

einstellen konnte, liegt es nahe, deren 

Methoden und Techniken auch im Unternehmen 

auszuprobieren. 

Bei distanzierter Betrachtung stellt sich 

allerdings ohnehin heraus, dass etwa 

Facebook trotz auf den ersten Blick 

sehr unterschiedlicher Herangehensweise 

in puncto Funktionalität eine 

erstaunlich große Schnittmenge mit 

klassischen Groupware-Anwendungen 

bildet. Die Benutzer schreiben Nachrichten 

an einen definierbaren Empfängerkreis, 

organisieren Ereignisse 

mit Orts- und Zeitangaben und laden 

Teilnehmer dazu ein; dank Skype-Integration 

gibt es bei Facebook inzwischen 

sogar Telefon- und Videokonferenzen 

zwischen den Teilnehmern. 

Gedrängel auf dem Markt 

Den möglichen Nutzen für die Kommunikation 

und Koordination haben 

zahlreiche Anbieter erkannt und bieten 

auf Unternehmen gemünzte soziale 

Netzwerke an. Die Angebote unterscheiden 

sich teils sehr und eine Grenze 

zwischen sozialen Unternehmensnetzwerken, 

Groupware, Dokumentenverwaltung 

und Aufgabenplaner lässt sich 

selten scharf ziehen. Deshalb wäre ein 

Test mit objektiven Kriterien nicht so 

umsetzbar, dass er bei der Entscheidungsfindung 

hilft. Stattdessen gibt 

Tabelle 1 einen Überblick über die 

verschiedenen Kategorien und Herangehensweisen 

mit beispielhaften 

Vertretern. 

Yammer 

Der weltweit – wenn auch nicht unbedingt 

in Deutschland – bekannteste 

Dienst der Kategorie Social Business 

Network heißt »Yammer« (siehe Abbildung 

1) und stellt in puncto Oberfläche 

und Funktionalität einen typischen 

Vertreter der Branche dar. Microsoft 

kaufte die seit 2008 operierende Firma 



Soziale Netzwerke 

35 

Abbildung 1: Yammer aus dem Hause Microsoft als ein „Facebook fürs 

Unternehmen“ unter vielen. 

Abbildung 2: Tibbr versucht sich mit optischen Feinheiten von Facebook 

abzuheben. 

letztes Jahr für 1,2 Milliarden US-Dollar 

und arbeitet seither daran, Yammer in 

andere Lösungen wie Sharepoint und 

sein Online-Office-Paket Office 365 zu 

integrieren. 

Die Beschreibung „Facebook für Firmen“ 

trifft für Yammer ebenso zu wie 

für viele andere Produkte. Denn ihre 

Oberflächen erinnern eindeutig an das 

den meisten Internet-Usern vertraute 

Original-Facebook. Häufig unterscheiden 

sie sich lediglich in Details wie der 

Farbgebung und der Anordnung typischer 

Komponenten um den zentral 

platzierten Activity Stream. 

Yammer, Tibbr (Abbildung 2) und andere 

wandeln auf einem schmalen 

Grat: Schließlich wollen sie von dem 

durchschlagenden Erfolg von Facebook 

profitieren, andererseits müssen sie 

sich auch von dem als Produktivitätskiller 

verschrienen, reinen Unterhaltungsprodukt 

abgrenzen. 

Kollegen statt Freunde 

So heißt es dann im Statusfeld nicht 

„Was machst du gerade?“, sondern 

„Woran arbeitest du gerade?“ und man 

verbindet sich nicht mit Freunden, 

sondern mit Mitarbeitern; das Ergebnis 

ähnelt dennoch der Facebook-Oberfläche. 

Auch die Auswahl der potenziellen 

Leser eines Status-Updates beschränkt 

man auf Basis der Gruppenzugehörigkeit. 

Wie Facebook-Benutzer es 

ebenfalls bereits kennen, strukturieren 

sich solche Gruppen frei, Mehrfachmitgliedschaften 

sind beispielsweise kein 

Problem. 

Die Firmenzugehörigkeit schlussfolgert 

Yammer aus der bei der Registrierung 

beim Yammer-Dienst angegebenen 

E-Mail-Adresse: Nutzer mit derselben 

Domain landen automatisch im selben 

Yammer-Firmennetzwerk, das abgeschottet 

von anderen Unternehmen 

funktioniert. Innerhalb eines Netzwerks 

bieten die meisten Produkte eine 

Einteilung in verschiedene Teams an, 

damit in diesen Einheiten etwa Abteilungen 

gezielt und meist von außen 

abgeschottet miteinander kommunizieren 

können. 

Gruppendynamik 

Innerhalb der Gruppen teilen sich 

Mitarbeiter neben den stromförmig 

verlaufenden Konversationen und 

Kommentaren (Activity Stream) meist 

zusätzliche Ressourcen, etwa Dateien 

oder Notizen. Die Dateiverwaltung 

beschränkt sich dabei bei den meisten 

Angeboten auf ein Minimum, häufig 

weil die Hersteller zusätzlich Dienste 

wie ein kollaboratives Dokumentenmanagment 

anbieten und nicht mit ihren 

eigenen Produkten konkurrieren möchten. 

Bei Yammer etwa lassen sich Microsoft-Office-Dateien 

online betrachten, 

aber nicht bearbeiten. Im Fall von 

PDFs und den gängigen Bildformaten 

gilt das gleiche, allerdings macht Yammere 

erstere beim Hochladen durch ein 

unzuverlässiges, automatisches Schrifterkennungsverfahren 

unfreiwillig 

unlesbar. Andere Office-Formate, wie 

das standardisierte Open-Document- 

Format, auf das unter anderem Libre- 

Office und OpenOffice setzen, betrachtet 

Yammer lediglich als Binärdateien 

und stellt sie anderen Benutzern zum 

Download zur Verfügung. 

Keine Konkurrenz aus dem 

eigenen Haus 

Gerade bei Yammer verwundert die eingeschränkte 

Funktionalität in diesem 

Bereich nicht, schließlich ist Yammer- 

Betreiber Microsoft auch Hersteller der 

am weitesten verbreiteten Office-Suite 

und bietet mit Office 365 darüber hinaus 

einen passenden Online-Service 

an. Dass das Zusammenspiel zwischen 

den verschiedenen Microsoft-Angeboten 

gewünscht ist, spiegelt sich auch 

in der Preisgestaltung wieder: Die 

Yammer-Basisversion ist kostenlos, für 

3 US-Dollar pro User und Monat erhält 

man ein paar zusätzliche Administrations- 

und Sicherheitsfunktionen, mit 

denen man beispielsweise Gruppen 

von Mitarbeitern automatisch registriert 

oder Netzwerkmonitoring und 

Nutzungsanalyse betreibt. Interessanter 

sind in der Praxis die Bundles mit 


Admin 

Ausgabe 12-2013

36 



Sharepoint und Office 365, die mit mindestes 

4 beziehungsweise 8 US-Dollar 

pro Monat und User zu Buche schlagen. 

Ähnliche Pakete gibt es auch bei der 

Konkurrenz, wodurch das soziale Netzwerk 

häufig Stück für Stück dem individuellen 

Bedarf zugeführt wird. 

Von groß bis sehr groß 

Ein in Sachen Funktionalität anspruchsvolleres 

Publikum adressieren 

unter anderem die beiden Marktführer 

IBM und Jive mit ihren sozialen 

Netzwerkprodukten »Connections« 

beziehungsweise »Jive Social Intranet«. 

Beide präsentieren Pakete mit sehr 

flexibel konfigurierbarem Umfang. 

IBM Connections umfasst auf Wunsch 

etwa die Groupware IBM Notes, das aus 

Lotus Notes und Lotus Domino hervorgangen 

ist, unter anderem mit Kalender, 

To-Do-Listen und Dokumentenverwaltung. 

Dazu kommen Sametime für 

die Termin abstimmung, Anbindungen 

an Microsoft Office und Outlook sowie 

an Blackberry-, Apple- und Android- 

Smartphones. Auch der Application- 

Server Websphere steht bereit. 

Auch bei Jive stellt die Schnittstelle zu 

anderen Produkten einen wichtigen 

Punkt dar. Neben anderen Jive-Business-Diensten 

von CRM über Marketing 

bis IT-Infrastruktur gibt es auch hier 

eine Anbindung an die verbreiteten 

Microsoft-Produkte Office, Outlook und 

Sharepoint. 

SAP und Novell haben mit ihren etwas 

weniger etablierten Produkten Vibe 

beziehungsweise Jam die gleiche Zielgruppe 

im Visier. Aufgrund der hohen 

Flexibilität der vier Lösungen Vibe, 

Jam, Jive und IBM Connections geben 

deren Hersteller keine allgemeine Auskunft 

über die Preise. Denn die hängen 

außer von der Paketzusammenstellung 

auch vom Umfang der Installation ab, 

die üblicherweise auf lokalen Servern 

im Firmennetz (On-Premise) stattfindet. 

Somit fällt auch ein Vergleich mit 

Online-Diensten schwer; eine lokale 

Installation bietet die Vorteile besserer 

Kontrolle und einer verlässlichen Netzwerkanbindung, 

erfordert aber auch 

eine IT-Infrastruktur, deren Umfang womöglich 

über das bei kleineren Firmen 

übliche Maß hinausgeht. 

Service pur 

Andere Anbieter hingegen bieten ihre 

Lösungen ausschließlich nach dem 

SaaS-Prinzip an. Chatter, Podio, Asana 

und Yammer setzen darauf, dass ihre 

Kunden es wertschätzen, eine fertige 

Installation vorzufinden. Dabei liegen 

sowohl der Vor- als auch der Nachteil 

darin, dass Wartung, Aktualisierung 

und beispielsweise Sicherheitsvorkehrungen 

vollständig der Kontrolle 

des jeweiligen Anbieters unterliegen. 

Das bedeutet außer den Gebühren für 

den Dienst keine weiteren Kosten für 

IT-Infrastruktur. Mitarbeiter können sofort 

von jedem Internet-Anschluss aus 

auf das firmeneigene Portal zugreifen. 

Andererseits setzt eine reine Cloud- 

Lösung ein hohes Maß an Vertrauen 

in den Anbieter voraus, der immerhin 

einen großen Teil der firmeninternen 

Kommunikation verarbeitet. 

Die Kosten für die genannten Dienste 

bewegen sich jeweils zwischen 3 und 9 

US-Dollar pro Benutzer und Monat, wobei 

Podio eine kostenlose Lite-Variante 

für bis zu fünf Mitarbeiter anbietet. Ihr 

fehlt allerdings die Möglichkeit zur Zugriffskontrolle 

und Rechteverwaltung. 

Preise und Pakete 

Generell machen es einem die meisten 

Anbieter schwer, den endgültigen Preis 

n Tabelle 1: Soziale Netzwerke fürs Unternehmen 

Name Preis/User/Monat (SaaS) Projekte/Tasks Chat Status-Updates Activity Stream Team-Kalender Blog 

Jive individuell ja ja – ja – ja 

IBM Connections individuell ja ja ja ja ja ja 

Novell Vibe individuell ja ja – ja ja ja 

SAP Jam individuell ja ja ja ja – – 

Exo individuell – – ja ja ja – 

Offiria – ja ja ja ja ja ja 

Elgg – – – – ja – ja 

Yammer USD 3-8 – ja ja ja – – 

Podio USD 0-9 ja – ja ja ja – 

Chatter USD 0-15 – ja ja ja optional – 

Asana USD 3-8 ja – ja ja – – 

Tibbr Individuell – ja ja ja ja – 

BlueKiwi EUR 5-8 ja ja ja ja – ja 

Swabr EUR 3-5 – – ja ja – – 

Coyo EUR 1,25-4 – ja ja ja – – 

Kona USD 0-10 ja – ja ja ja – 

Mangoapps USD 0-8 ja ja ja ja optional optional 

Telligent USD 3-9 – ja (Plus) ja ja ja ja 




37 

abzuschätzen. Die Preise der SaaS-Lösungen 

berechnen sich normalerweise 

pro User und Monat, wobei sie gewöhnlich 

wiederum von der Gesamtzahl der 

Mitarbeiter abhängen. Dabei gibt es 

nicht zwangsläufig Mengenrabatt, der 

Höchstsatz liegt bei einigen Angeboten 

im Bereich zwischen 100 und 500 

Usern; sowohl mehr als auch weniger 

Mitarbeiter können zu kostengünstigeren 

Pro-User-Preisen führen. 

Verhandlungssache 

Bei sehr großen Kunden geben sich 

die Hersteller verhandlungsbereit: Ab 

etwa 1000 Nutzern endet meist der Bereich 

der pauschal festgelegten Preise 

zugunsten individuell ausgehandelter 

Angebote, häufig mit Training und Support. 

Gesamtpreis und Paketumfang 

sind Verhandlungssache, es lohnt sich 

also für größere Firmen durchaus, mit 

den Anbietern in direkten Kontakt zu 

treten, ihre Angebote zu vergleichen 

und gegebenenfalls nachzuverhandeln. 

Die bereits angesprochenen Bundles 

verschiedener Produkte spielen auch 

hier eine wichtige Rolle, so gibt es etwa 

beim Chatter-Hersteller Salesforce 

beim Kauf einer CRM-Lizenz, die mit 

mindestens 25 US-Dollar pro User und 

Monat zu Buche schlägt, Chatter-Accounts 

für bis zu 500 Mitarbeiter gratis 

dazu. 

Frei und kostenlos 

Am preiswertesten fallen natürlich freie 

Open-Source-Programme aus. Exo 

(Abbildung 3), Offiria (Abbildung 4) und 

Elgg stehen zum kostenlosen Download 

zur Verfügung und lassen sich auf 

einem beliebigen Webserver installieren. 

Bei den letzteren beiden handelt es 

sich um quelloffene PHP-Programme, 

die in Java geschriebene Exo-Plattform 

setzt auf einen Application-Server wie 

Tomcat auf. Die kostenlose Community-Edition 

unterscheidet sich auch 

funktional von der Enterprise-Version: 

Letztere enthält zusätzlich eine integrierte 

Entwicklungsumgebung sowie 

Cluster-Unterstützung, Monitoring- und 

High-Availability-Funktionen. Die mit 

der Community-Edition funktional 

gleichwertige Express-Ausgabe unterscheidet 

sich lediglich durch den zusätzlich 

erhältlichen Support und einen 

Zugang zum Kundenportal. Die beiden 

kommerziellen Versionen lassen sich 

wiederum »on premise« installieren 

und kosten zwischen 1200-8000 US- 

Dollar, abhängig von der Nutzerzahl. 

Bei Offiria und Elgg handelt es sich 

um klassische Open-Source-Projekte. 

Für Elgg stellen Drittanbieter fertige 

Hosting-Lösungen zur Verfügung, 

man benötigt lediglich eine beliebige 

Infrastruktur mit einem je nach Benutzeraufkommen 

ausreichend leistungsstarken 

Webserver und eine MySQL- 

Datenbank, um Elgg zu betreiben. 

Geographisches 

Die einzigen originär europäischen 

Vertreter im Überblick heißen Swabr 

und BlueKiwi. Ersteres wird in Berlin 

entwickelt und steht für „Schwarzes 

Brett“. Bei Swabr steht die Kommunikation 

im Vordergrund, während sich die 

Oberfläche darüber hinaus auf ein Minimum 

reduziert; es lässt sich eher mit 

Twitter als mit Facebook vergleichen, 

die Benutzerschnittstelle liegt optisch 

dazwischen. 

Bei BlueKiwi handelt es sich um 

Produkt, das ursprünglich ein französisches 

Startup entwickelte. Der 

Software-Gigant Atos kaufte es 2012 

auf, wohl auch für den betriebsinternen 

Bedarf. Im selben Jahr gab Atos 

Wiki Foren private Gruppen Microblogging Profile Mobile On-Premise Integration 

ja – ja ja ja ja ausschließlich Sharepoint, MS Office, 

Outlook, Salesforce 

ja ja ja ja ja ja ausschließlich Sharepoint, MS Office, 

Outlook, WebSphere 

ja ja ja ja ja ja ausschließlich MS Office, Groupwise 

– ja ja ja ja ja ausschließlich – 

ja ja ja – ja ja gratis/ab USD 1200,- – 

– – ja – ja ja ja, Open-Source – 

– – ja – ja als Erweiterung ja, Open-Source – 

– – ja – ja ja nein Sharepoint, Office 365 

– – ja – ja ja nein – 

– – ja – ja ja nein Sharepoint 


– – – – ja ja optional LinkedIn 

– – ja – ja ja – – 

– – ja – ja ja optional – 

ja – ja – ja ja optional, einmalig EUR – 

1200-62 000 


ja – ja ja ja ja optional Sharepoint 

ja ja ja – ja ja optional – 


Admin 

Ausgabe 12-2013

38 



Abbildung 3: Die kostenlose Community-Edition von Exo läuft auch 

auf einem lokalen Application-Server. 

Abbildung 4: Beim PHP-Projekt Offiria ist der Quellcode frei; wie Elgg 

benötigt es nur einen Web-Server mit PHP-Modul. 

n Info 

nämlich bekannt, dass es die E-Mail als 

Produktivitätshindernis betrachtet und 

dieses Medium deshalb bis 2014 aus 

der internen Kommunikation zugunsten 

sozialer Netzwerke komplett zu 

verbannen gedenkt. 

Nie wieder E-Mail? 

Atos-Chef Thierry Breton, von 2005 bis 

2007 auch französischer Finanzminister, 

zeigte bei der Begründung für Atos’ 

so genannte Null-E-Mail-Strategie Argumente 

für die Nutzung sozialer Netzwerke 

statt traditioneller Kommunikationssoftware 

auf, die auch in anderen 

Firmen tragen können. So erhielten 

Atos-Angestellte teilweise mehr als 100 

E-Mails pro Tag und verbrachten bis zu 

20 Wochenstunden damit, sie zu lesen 

und zu beantworten. Dazu kommt, dass 

junge Mitarbeiter E-Mail-Programme 

wie Outlook oder Thunderbird häufig 

nicht mehr kennen. Sie greifen auf E- 

Mails über die Webschnittstellen von 

Microsoft, Yahoo, Google und vielen 

anderen zu – ebenso wie auf Facebook 

und Twitter. 





Salesforce kam in einer Studie zu einem 

ähnlichen Ergebnis, nämlich dass 

die meisten Arbeits-E-Mails für ihre 

Empfänger irrelevant seien. 70 Prozent 

der Befragten gaben an, dass sie für 

die eigene Arbeit nutzlose E-Mails erhielten. 

Solche Argumente sind es, die 

soziale Netzwerke fürs Unternehmen 

interessant machen, denn sie kehren 

die Logik des Informationstransfers 

um. Statt allen möglicherweise interessierten 

Kollegen Neuigkeiten aktiv 

zuzuschicken, woraufhin sich jeder von 

ihnen damit wenigstens einen Moment 

lang befassen muss, besteht das Konzept 

sozialer Netzwerke darin, Daten 

abrufbereit für diejenigen parat zu halten, 

die sie tatsächlich benötigen. 

Ob solche Thesen in der Praxis zutreffen, 

bleibt ebenso im Einzelfall abzuwägen 

wie die möglichen Lösungsansätze. 

Denn das Gegenargument lautet, dass 

ein kompetenter Umgang mit E-Mails 

durchaus möglich ist, während ein soziales 

Netzwerk ebenfalls nicht vollautomatisch 

funktioniert; es lebt von seinen 

Benutzern. In der Praxis bietet sich in 

den meisten Fällen wohl eine Kombination 

aus beiden an. 

Anderweitig sozial 

Neben den in Tabelle 1 wiedergegebenen 

Lösungen hält der Markt noch jede 

Menge spezialisierter Cloud-Werkzeuge 

bereit, viele davon aufs Unternehmen 

gemünzt oder zumindest für typische 

Firmenabläufe nutzbar. An dieser 

Stelle kommt zum Beispiel Trello ins 

Spiel, dass mit schlichten Boards und 

darauf frei verschiebbaren virtuellen 

Karteikärtchen unter anderem Scrum- 

Entwickler anspricht; sie lassen sich 

natürlich auch für jeden anderen 

Zweck gebrauchen. Ebenso gut hätte 

auch Basecamp in der Übersicht landen 

können, das sich um gemeinsames 

Projektmanagement in der Cloud 

kümmert. Doch solcherlei spezialisierte 

Lösungen finden sich hier trotz der ausgesprochen 

schwierigen Abgrenzung 

nicht wieder. 

Mengenlehre 

Die vielen Schnitt- und Untermengen 

bei den verfügbaren Angeboten zeigen 

auch, dass das Schwierigste an 

der Entscheidung die Spezifikation 

der eigenen Anforderungen ist. Wer 

ausschließlich ein Scrum-Board für die 

Entwicklung oder eine Projektverwaltung 

benötigt, für den sind Angebote 

wie Jive und IBM Connections überflüssig. 

Gleichzeitig ist zu beachten, dass 

einige bezahlte Angebote einen Vertrag 

mit mindestens einjähriger Laufzeit 

voraussetzen, sodass vor einer solchen 

Bindung zu prüfen ist, ob die eigenen 

Ansprüche sich innerhalb dieser Zeit 

doch noch ausdehnen oder auch einschränken 

können. n 


40 


E-Mail-Migration 

Ein Portal verspricht die automatische Migration von E-Mails, Terminen und Aufgaben 

Kein Umzugsstress 

Fabian Schmidt, 123RF 

Auf der einen Seite locken neue Features oder ein besserer Support, 

doch auf der anderen Seite wirkt ein starkes Trägheitsmoment: Was 

wird aus meinen Mails, Aufgaben und Terminen, wenn ich den Service-Provider 

wechsele? Ein Portal hilft beim Umzug. Jens-Christoph Brendel 

Was also wird aus den Bestandsdaten 

bei einem Providerwechsel? „Ganz 

einfach“ – das ist jedenfalls die Antwort 

der Karlsruher audriga GmbH, die ein 

Self-Service-Portal für E-Mail-Umzüge 

betreibt. Sie verspricht, dass der Anbieterwechsel 

damit schnell, einfach und 

sicher gelingt. Das ADMIN-Magazin hat 

den Service getestet. 

Erster Versuch 

Ausgangspunkt für unseren Versuch 

war ein E-Mail-Konto bei Strato, mit 

dem wir zu Host Europe umziehen 

wollten. Quelle und Ziel sind selbstverständlich 

austauschbar und wurden 

von uns rein zufällig gewählt, ohne dass 

wir damit irgendeine Aussage über die 

Servicequalität der Anbieter verbinden 

wollen. Das Zielkonto muss dabei über 

das IMAP-Protokoll erreichbar sein. 

n Ein Anwender berichtet: Von Zimbra zu Exchange 

Der Lahn-Kinderkrippen e.V. betreibt als gemeinnütziger Verein mehrere 

Kindertagesstätten und nutzt 17 Groupware-Konten für interne Zwecke 

und um mit den Eltern zu kommunizieren. Ursprünglich setzte der Verein 

auf eine Hosted-Zimbra-Lösung, wollte aber wegen häufiger Ausfälle 

zu Microsoft Exchange Online wechseln. 

Zunächst versuchte man die Sache mit einem IT-Dienstleister anzugehen, 

der die 22 GByte an existierenden E-Mails, Kontakten und Kalenderdaten 

ex- und dann wieder importieren wollte. Das erwies sich allerdings 

als zu aufwendig und zu kostenintensiv. Schließlich stießen die 

Kindergärtner auf den SaaS-Migrationsdienst www.groupware-umzug. 

de als Alternative. 

Nach erfolgreichem Testlauf mit einem Konto lief dann die komplette 

Umstellung an einem Wochenende durch. Dazu wurden die Passwörter 

der Nutzer zurückgesetzt und der MX-Eintrag der Domain geändert. Die 

Migration der 17 Konten richtete man über die webbasierte Oberfläche 

des audriga-Dienstes ein. Aufgrund der Erfahrungen mit Zimbra ließ 

man vorsichtshalber immer nur einen Umzugsauftrag laufen, sodass 

der vollautomatische Datentransfer knapp 48 Stunden dauerte. Der 

verantwortliche Admin bei Lahn-Kinderkrippen 

konnte dabei den Umzugsstatus anhand der 

von audriga automatisch generierten Protokolle 

jederzeit nachvollziehen. 

Die Umzüge liefen wie geplant und ohne große 

Schwierigkeiten durch. Nur eine kleine Anzahl von E-Mails wurde aufgrund 

von Verbindungsproblemen und trotz mehrfacher automatischer 

Wiederholung nicht übertragen. Diese Daten wurden später manuell anhand 

der Protokolle des Umzugs nachgezogen. Da der Standardordner 

für »Gesendete E-Mails« in Quelle und Ziel unterschiedlich benannt war, 

waren zudem die gesendeten Nachrichten im neuen Postfach zunächst 

nicht am erwarteten Ort. 

Insgesamt schätzt Lahn-Kinderkrippen die Vorteile des automatisierten 

SaaS-Umzugs gegenüber der Lösung des IT-Dienstleisters hoch ein. 

Weniger Arbeitsaufwand und um den Faktor fünf verminderte Kosten 

standen am Ende zu Buche. Alle Daten ließen sich in weniger als einem 

Manntag migrieren. Die automatisch zur Verfügung gestellten Protokolle 

ermöglichten außerdem eine zuverlässige Kontrolle. 




41 

Wir haben es vorher mit einer bunten 

Auswahl an gelesenen, ungelesenen 

und gesendeten Mails versehen, mit erledigten, 

unerledigten und wiederkehrenden 

Aufgaben sowie mit einer Reihe 

fiktiver Kontakte (Abbildung 1). 

Das Ausgangskonto muss übrigens 

nicht bei einem öffentlicher Provider 

beheimatet sein, man kann mithilfe des 

Portals auch von seinem eigenen Mailserver 

zu einem Hoster umziehen. Wer 

mitsamt der Domain migrieren will, 

sollte mit den Mails beginnen – mit einem 

Delta-Umzug können später die in 

der Zwischenzeit aufgelaufenen Mails 

nachgeholt werden. 

Bevor man mit dem Umzug beginnt, 

sollte man sich die Adressen der beteiligten 

Anbieter (oder des eigenen 

IMAP-Servers) sowie die Namen und 

Passwörter der Accounts zurechtlegen. 

Aus Sicherheitsgründen und im Interesse 

des Datenschutzes empfehlen sich 

temporäre Passwörter für den Umzug, 

die ihre Nutzer später wieder ändern 

können. Auch ist es ratsam, zunächst 

mit einem Account zu beginnen und 

den Rest erst dann in Angriff zu nehmen, 

wenn sich beim Testfall keine 

Probleme ergeben haben. 

Im ersten Schritt muss man dann auf 

dem Zielsystem für jeden umzuziehenden 

Account ein leeres Pendant 

anlegen. Danach gibt man im Browser 

die Adresse des Umzugs-Portals ein. 

Nachdem die Nutzungsbedingungen 

akzeptiert sind – denen zufolge audriga 

übrigens nur dann in voller Höhe 

haften würde, wenn Vorsatz oder die 

Verletzung einer schriftlichen Garantie 

Abbildung 1: Ein Beispiel-Kontakt im umzuziehenden Strato-Account. 

der Geschäftsleitung vorliegen würde 

– wählt man Quell- und Zielsystem. 

Eine Reihe großer Provider (Strato, 

1&1, GMX, Google Mail, Host Europe, 

Web.de und Yahoo!Mail) sind voreingestellt. 

Danach werden die Daten zu 

den umzuziehenden Accounts eingegeben 

(Abbildung 2). Die Gültigkeit der 

Passwörter muss via Klick auf einen 

entsprechenden Button geprüft werden. 

Dabei übermittelt das Portal die 

Logindaten SSL-verschlüsselt an einen 

Rechner in Amazons AWS-Cloud, in der 

der Umzugsservice läuft. Dieser Rechner 

wiederum wählt sich dann in Quellund 

Zielkonten ein. 

Noch ein paar Klicks und Eingabe einer 

E-Mail-Adresse, an die ein Protokoll 

der Aktion gemailt werden soll, und es 

kann losgehen (Abbildung 3). Während 

des Umzugs informiert ein Fortschritts- 

Abbildung 2: Hier werden die Daten zum Account 

hinterlegt, der migriert werden soll.

42 



Abbildung 3: Vor dem Umzug schätzt das Portal auch 

die voraussichtliche Dauer der Aktion. 

Abbildung 4: Ein Fortschrittsbalken zeigt an, wie 

weit der Umzug bereits gediehen ist. 

n Mail von Google 

… Vor Kurzem hat jemand versucht, sich mit Ihrem 

Passwort in Ihrem Google-Konto xxxxxxxx@gmail. 

com anzumelden. Dieser Nutzer hat dazu eine Anwendung 

wie einen E-Mail-Client oder ein Mobilgerät 

verwendet. 

Der Anmeldeversuch wurde aufgrund der Möglichkeit 

unterbunden, dass es sich um einen Hacker handelt, 

der versucht, auf Ihr Konto zuzugreifen. Bitte 

lesen Sie die Details zu diesem Anmeldeversuch: 

Samstag, 19. Oktober 2013 11:13 Uhr UTC IP-Adresse: 

54.247.175.161 (ec2-54-247-175-161.eu-west-1.compute.amazonaws.com.) 

Standort: unbekannt 

n Info 





balken über den Status (Abbildung 4). 

Schon vor Umzugsbeginn erhält der 

zuvor angegebene E-Mail-Adressat erst 

eine Bestell-, dann eine Auftragsbestätigung 

und nach Beendigung einen 

kurzen Schlussbericht. 

Die Kür 

Das alles funktionierte im ersten Anlauf 

reibungslos, allerdings war der 

getestete Fall insofern recht einfach, 

als dass beide Partner Open Xchange 

als Groupware-Applikation in ihren 

Angeboten einsetzen. Damit sind die 

zu übertragenden Felder auf beiden 

Seiten identisch. In vielen Fällen wird 

es dagegen auch ganz unterschiedliche 

oder zumindest unterschiedlich benannte 

Felder geben oder auch Felder 

mit gleichem Namen, die aber verschiedene 

Datenformate oder ‐typen 

erwarten oder aber verschiedene Mechanismen 

kennen, etwa um Kontakte 

zu gruppieren. 

Um diesen Fall nachzustellen, wollten 

wir ein Gmail-Konto zu Web.de transferieren. 

Die erste Hürde bestand schon 

darin, dass Web.de nicht in der Auswahlliste 

der Zielplattformen auftaucht 

(wohl aber als Quelle). Die Ausgangsund 

Endpunkte der Migration sind also 

offenbar weitgehend, aber nicht vollkommen 

austauschbar. Einige Anbieter 

eignen sich vor allem deswegen nicht 

als Zielplattform, weil sie entweder 

nur POP3 statt IMAP anbieten oder beispielsweise 

mit großen Datenmengen 

nicht gut klarkommen. 

Im Fall von web.de wird IMAP zwar 

nicht garantiert, funktioniert aber. Hier 

kann man »imap.web.de« auf eigene 

Gefahr von Hand eingeben. Gesagt, 

getan. Dann ergab sich aber die zweite 

Schwierigkeit: Google wertete den 

Login-Versuch beim obligatorischen 

Prüfen des Passworts während der 

Konfiguration als Hacker-Angriff und 

unterband ihn. Das wissen wir aus einer 

entsprechenden Mail von Google (siehe 

Kasten »Mail von Google«). Audriga 

informiert den Anwender nur durch 

das rote Kreuz anstelle des grünen Häkchens 

als Zeichen des Misserfolgs beim 

Prüfen des Passworts. 

Warum genau Google hier einen Hacker 

vermutet, ist nicht genau nachvollziehbar, 

aber Anhaltspunkte könnten sein: 

Die IP-Adresse wurde noch nie für ein 

Login verwendet und sie gehört auch 

nicht zu einem ISP, Mobilfunker oder 

einem bekannten Unternehmensnetz; 

der Browser ist unbekannt oder der 

geografische Standort kann nicht ermittelt 

werden. Andere Provider mögen 

andere Vorsichtsmaßnahmen treffen 

und beispielsweise das Datenvolumen 

begrenzen. 

Fazit 

Was kann man daraus lernen? Noch vor 

allen potenziellen Migrationsproblemen 

müssen die beteiligten Provider 

die Prozedur überhaupt zulassen. Dass 

sie das tun, ist nicht automatisch sicher. 

Allerdings schätzt audriga, dass 

nur ein einstelliger Prozentsatz der 

Google-Migrationen mit dem geschilderten 

Problem konfrontiert ist und 

das sind dann auch eher kostenlose 

Konten. Außerdem arbeitet audriga daran, 

die Migrationsserver des Dienstes 

für deutsche Nutzer zu einem deutschen 

Anbieter zu verlegen, aber auch 

das würde das Problem voraussichtlich 

nicht hundertprozentig lösen. 

Wenn die Migration möglich ist, kommt 

es darauf an, wie verschieden Quelle 

und Ziel sind – stimmen die Datenstrukturen 

weitgehend überein, kann 

man mit einer sicheren und zügigen 

Übertragung rechnen. Der Umzugsdienst 

kann dann in größerem Maß helfen, 

Kosten und Mühe zu sparen. 

Zaubern kann er aber nicht. Schon gesendete 

Mails landen oft in einem auf 

der Zielseite anders benannten Ordner. 

Hier wäre ein Mapping noch einfach, 

doch kann selbst bei diesem simplen 

Beispiel der Name des Ordners auch 

vom E-Mail-Client abhängen. 

In jedem Fall versucht audriga alle 

Da ten der Quelle automatisch in ein 

bedeutungsgleiches Feld des Ziels 

zu verschieben, auch wenn die Benennung 

differiert. Es wird aber nicht 

in jedem Fall möglich sein, Daten zu 

übernehmen, die keinen Platz in der 

Datenstruktur der Zielplattform haben. 

Zumindest erfolgt dann immer ein 

Vermerk im Protokoll. In diesen Fällen 

kä me man allerdings auch mit einer 

manuellen Methode nicht viel weiter. n 


klaikungwon sudsawat, 123RF 

Tine 2.0 Kristina und Collin im Test 

Fast ein 

Alleskönner 

Tine ist eine seit 2008 entwickelte, webbasierte Kollaborationslösung, die beim Backend und Frontend konsequent 

auf Web-2.0-Technologie setzt. Ihr Web-Interface fühlt sich wie eine native Anwendung an. Wir haben uns 

die Groupware-Funktionen der Community-Version angeschaut. Thomas Drilling 

Tine 2.0 verfügt über klassische Groupware-Funktionen 

hinaus auch über Module 

für CRM, Verkaufsunterstützung, 

n Tine-2.0-Collin-Neuerungen 

Kurz vor Redaktionsschluss erschien die aktuelle Version 

"Collin" von Tine 2.0 mit interessanten Neuerungen. 

So erlaubt es der Active-Directory-Support, dass 

Anwender aus Tine heraus Benutzerkonten im Active 

Directory anlegen und verwalten können. Ferner 

haben die Entwickler den CalDAV- und CardDAV-Support 

noch verbessert. Außerdem kann Tine jetzt gegenüber 

OwnCloud-Clients als Synchronisationsserver 

auftreten. Ferner lassen sich an sämtliche Groupware-Daten 

jetzt Dateien anhängen, etwa an einen 

Termin im Kalender, die dann bei der automatisch 

versandten Mail mitgeschickt werden. Ebenfalls neu 

ist, dass Admins den maximalen Zeitraum begrenzen 

können, innerhalb dessen sich zurückliegende 

Termine mit Smartphones synchronisieren lassen, 

was vor allem die CPU-Last bei großen Installationen 

verringern soll. Außerdem funktioniert das Anmelden 

an Tine anstelle der Kombination Benutzername und 

Passwort jetzt auch mit einem Zertifikat. 

Zeiterfassung und eine Dateiablage 

sowie eine VoIP-Integration mit Asterisk 

und Sipgate. Ferner enthält Tine einen 

eigenen E-Mail-Client und lässt sich in 

der jüngst erschienenen Version Collin 

auch in ein Active Directory einbinden. 

Ferner ist es mit Tine möglich, mithilfe 

des OwnCloud-Clients auf die Dateiablage 

zuzugreifen. Außerdem unterstützt 

Tine das Synchronisieren mobiler 

Geräte via CalDAV, CardDAV und Active- 

Sync, was die Lösung zum Rundumwohlfühlpaket 

für kleine Unternehmen 

im SOHO- und SMB-Segment macht. 

Genau genommen ist Tine also weit 

mehr als eine Groupware-Lösung und 

versteht sich als Plattform, die sämtliche 

Aspekte der internen Koordination 

eines Unternehmens abbilden soll. Die 

Community-Variante [1] der momentan 

aktuellen Version 2013.10.1 (Collin) 

steht auf der Projektseite zum Herunterladen 

[2] zur Verfügung und ist unter 

Version 3 der GNU Affero General Public 

License (AGPL) veröffentlicht. Ferner 

gibt es eine Demo-Version [3] für einen 

schnellen ersten Blick. Unterstützung 

für die Community-Version gewährleistet 

die rege Entwickler- und Nutzer- 

Gemeinschaft in Form von Forum [4] 

und Wiki [5]. 

Historisches 

Die Bezeichnung 2.0 im Produktnamen 

ist insofern irreführend, als dass es 

keine Version 1.0 gab. Die einzelnen 

Releases von Tine 2.0 tragen Datumsbezeichnungen 

und Code-Namen, wie 

etwa Neele (1/2011), Maischa (07/2011), 

Milan (03/2012) oder Joey (10/2012). 

Installiert haben wir die Versionen Kristina 

(2013.03.8) vom März dieses Jahres 

und das brandaktuelle Collin-Release, 

das kurz vor Redaktionsschluss erwartungsgemäß 

erschien und mit Unterstützung 

für Active Directory und Own- 

Cloud aufwarten kann (siehe Kasten). 

Die Bezeichnung »2.0« soll zum einem 

auf die verwendeten Web-Technologien 

(Web 2.0, AJAX) hinweisen, ist aber 



Tine 

45 

auch als Fingerzeig auf die Tatsache 

zu verstehen, dass sich Tine 2.0 als 

Neuauflage von eGroupware versteht. 

So war Tine 2.0 ursprünglich als »eGroupware 

2.0« geplant und sogar für 

kurze Zeit ein offizielles Subprojekt 

von eGroupware. Allerdings spaltete 

sich das Tine-Projekt wegen interner 

Unstimmigkeiten im Februar 2008 von 

eGroupware ab, ist aber dennoch kein 

Fork, weil Tine von Grund auf neu entwickelt 

wurde. 

Open Source und Kommerz 

Federführend für die Entwicklung von 

Tine ist Produktmanager Lars Kneschke 

– kein Unbekannter in der Entwicklung 

von Open-Source-Groupware-Lösungen. 

Kneschke hat seit 2000 an der 

Entwicklung zahlreicher Open-Source- 

Groupware-Lösungen mitgearbeitet 

und das Tine-2.0-Projekt 2007 gemeinsam 

mit Cornelius Weiss bei der Hamburger 

Metaways Infosystems GmbH [6] 

ins Leben gerufen. 

Cornelius Weiss ist seit 2008 bei Metaways 

als Abteilungsleiter im Bereich 

Software für die Entwicklungsleitung 

von Tine 2.0 zuständig. Metaways ist 

ein 2001 mit Fokus auf Hosting und 

Software-Entwicklung im Kontext von 

Open Source gegründeter IT-Spezialist, 

der unter anderem kommerzielle 

Unterstützung [7] für Tine 2.0 sowie 

diverse Hosting-Varianten [8] der Lösung 

anbietet. Obwohl Metaways Tine 

finanziert, ist es ein echtes Community- 

Projekt mit einer stetig wachsenden 

Nutzergemeinschaft, die aktiv zur Mitarbeit 

[9] aufruft und mittlerweile viele 

externe Entwickler einbindet. 

Die Symbiose aus Community-Projekt 

und dem Sponsoring durch Metaways 

beschert der Lösung eine Reihe von 

Vorteilen. Der gesicherte finanzielle 

Entwicklungshintergrund erlaubte 

es den Tine-Machern beispielsweise 

von Beginn an, Software-Ergonomie 

als wichtigen Faktor für die Akzeptanz 

einer Unternehmens-Software einzubeziehen. 

Bekanntlich scheitern technisch 

ausgezeichnete Projekte nicht selten 

an Mitarbeitern, die die Software nicht 

benutzen wollen, was insbesondere für 

eine Groupware-Lösung fatal ist. Daher 

erlaubte es man sich bei Metaways, 

Abbildung 1: Das webbasierte Setup prüft, ob die Installationsvoraussetzungen erfüllt sind. 

beim Entwickeln der Funktionen sowie 

beim GUI-Design externe Experten 

der Open-Source-Usability-Labs [10] 

hinzuzuziehen. Die sind selbst keine 

Techniker, sondern verstehen sich als 

Anwälte der Benutzer und begleiten 

den gesamten Entwicklungsprozess mit 

Ratschlägen, die dazu dienen sollen, 

die Software für Anwender besser benutzbar 

zu machen. 

Ein weiterer wichtiger Punkt in der 

Tine-Entwicklung bestand im Anspruch, 

von Anfang an eine hohe 

Code-Qualität zu bieten, denn immerhin 

handelt es sich etwa bei den 

ERP- und CRM-Modulen um Software, 

die unternehmenskritische Daten 

verwaltet. Das Tine-Team setzt daher 

auf automatisierte Tests auf Basis des 

Test-Framework JUnit. Die dreistufigen 

Tests umfassen das Backend, die 

Domain-Logik und externe APIs. Beim 

Backend-Test geht es etwa darum, ob 

SQL- und LDAP-Abfragen und Dateizugriffe 

wie geplant funktionieren. Die 

Tests der Domain-Logik und Zugriffskontrolle 

im zweiten Schritt stellen 

quasi eine Referenz für die interne API 

dar, während im dritten Schritt die 

externen APIs getestet werden, auf die 

die Clients zugreifen. 

Technologie 

Das Backend von Tine ist komplett in 

PHP unter Zuhilfenahme des Zend- 

Frameworks geschrieben und nutzt 

zum Speichern der Daten eine SQL- 

Datenbank. Der Zugriff erfolgt über 

einen beliebigen Webserver. Die Client- 

Komponente, das Web-Frontend, ist 

mithilfe des ExtJS-Frameworks in 

Javascript implementiert. Die AJAX- 

Technologie impliziert einige typische 

Vorteile, aber auch Besonderheiten 

in puncto Look&Feel im Vergleich mit 

auf HTML 5 basierenden Lösungen wie 

Zarafa WebApp. Die Kommunikation 

mit dem Server erfolgt per JSON-RPC, 

sodass wie für AJAX-Anwendungen 

üblich nur die anzuzeigenden Daten 

übertragen werden, aber kein HTML. 

Allerdings ist AJAX nur zum Teil für die 

hohe Reaktionsgeschwindigkeit der 

GUI verantwortlich. Auch der Einsatz 

der In-Memory-Datenbank Redis trägt 

dazu bei, dass Tine viele Aufgaben 

asynchron erledigen kann. 

Voraussetzungen 

Die Tine-2.0-Community-Version benötigt 

als PHP-Anwendung einen Webserver 

mit diversen (gängigen) PHP- 

Erweiterungen sowie eine Datenbank. 

Im Test haben wir MariaDB (MySQL) 

und einen aktuellen Apache verwendet. 

Tine läuft aber auch mit anderen Webservern 

und Datenbanken (PostgreSQL, 

Oracle). Wir konnten die Software 

problemlos sowohl auf einem recht 

konservativen Ubuntu 12.10 mit MySQL 

5.5, als auch unter einem aktuellen Fedora-19-System 

mit MariaDB in Betrieb 


Admin 

Ausgabe 12-2013

46 


Tine 

Tine installieren 

Tine muss als waschechte PHP-Anwendung 

im eigentlichen Sinne nicht 

installiert werden. Der Admin muss lediglich 

den gesamten Inhalt der als ZIP- 

Datei »tine20-allinone_2013.10.1.zip« 

zum Herunterladen angebotenen 

Community-Version im Document- 

Root-Verzeichnis des Webservers [/ var/ 

www/ html] entpacken. Das Archiv extrahiert 

bei der Version Kristina direkt 

ins angegebenen Verzeichnis und erzeugt 

kein Unterverzeichnis wie bei der 

neuen Version Collin. Wer auf seinen 

Webserver ausschließlich Tine betreibt, 

kann dann via [http:// Hostname/ tine20. 

php] auf die Groupware zugreifen. Wer 

mehrere Web-Anwendungen betreibt, 

muss in einen Ordner installieren oder 

virtuelle Hosts verwenden. Der Admin 

ist selbst verantwortlich, die Installation 

möglichst sicher zu gestalten, etwa 

durch Verwenden des Nutzers und der 

Gruppe Apache und Anpassen der Datei 

».htaccess«. 

Metaways bietet in seinem Installations-HowTo 

auch Installationspfade für 

Ubuntu und Fedora auf Basis von Metaways 

zur Verfügung gestellten Repos 

an. Das erleichtert zwar das Installieren 

von Apache, MySQL und PHP mitsamt 

der benötigten Abhängigkeiten und 

kümmert sich unter Ubuntu/Debian 

auch um das MySQL-Root-Passwort, 

entbindet den Admin aber nicht davon, 

die benötigte Datenbank nebst Benutzern 

anzulegen und eine initiale Konfiguration 

von Tine 2.0 vorzunehmen. 

Ubuntu- und Debian-Nutzer können 

durch Hinzufügen des Repos mit 

Abbildung 2: Erst wenn die Datenbank existiert und läuft, lässt sich das Setup fortsetzen. 

echo "deb https://packages.tine20.org/U 

ubuntu $(lsb_release -sc) stable" >U 

/etc/apt/sources.list.d/tine20org.list 

n Listing 1: PHP-Konfiguration 

01 U 

/etc/apt/sources.list.d/tine20org.list 

und dem Importieren des für das Deb- 

Repo erforderlichen Admin-gpg-Keys 

mit 

apt-key adv --recv-keys --keyserver 

keys.gnupg.net 7F6F6895 

durch Eingeben von »apt‐get‐update ; 

apt‐get install tine20« (Ubuntu-Admins 

mit sudo) das Meta-Paket »Tine20« installieren. 

Das wiederum sorgt für das 

Installieren von Apache, PHP, MySQL 

und der Daten der Tine-Applikation, 

legt den administrativen MySQL-User 

an und fragt nach einem Namen nebst 

Passwort für den für das Tine-Setup 

benötigten Datenbank-Nutzer. Auch 

für Fedora stellt Metaways ein Repo zur 

Verfügung. Der Admin muss dazu eine 

passende Paketquellen-Beschreibung 

[tine20.org] 

name=Tine20.org repository 

baseurl=http://packages.tine20.orgU 

/fedora/$releasever/$basearch 

enabled=1 



Tine 

47 

#metadata_expire=7d 

gpgcheck=1 

gpgkey=http://packages.tine20.orgU 

/fedora/repo‐key.asc 

unter »/etc/yum.repos.d/tine.repo« 

speichern und dann den von Metaways 

zur Verfügung gestellten Public-Key 

importieren: 

rpm ‐‐import http://packages.tine20.orgU 

/fedora/repo‐key.asc 

Nach einem eventuellen Update der 

Systembasis mit »yum ‐y update« lässt 

sich die Software ebenfalls komfortabel 

mit »yum« installieren: »yum install 

tine20«. 

Wir haben uns dennoch für die gezippte 

Download-Version unter Fedora 

19 entschieden und das Archiv im Document-Root 

des Apache-Webservers 

entpackt. Bei der manuellen Installation 

unter Fedora sind wie erwähnt 

– soweit noch nicht geschehen – die 

Pakete mariadb, php sowie die PHP-Erweiterungen 

php-gd und php-mycrypt 

und für eine gesicherte Verbindung 

zum Webserver gegebenenfalls das Paket 

mod_ssl zu installieren. Das gelingt 

mit »yum install php‐extension«. 

Tine konfigurieren 

Tine ist zwingend auf eine Datenbank 

angewiesen, ohne die die weitere 

Konfiguration der Anwendung nicht 

funktioniert. Während Debian-basierte 

Distributionen den administrativen 

MariaDB/MySQL-Account im Lauf der 

Installation mittels »debconf« anlegen, 

muss der Admin dieses unter Fedora 

selbst tun: 

mysqladmin ‐u root password 

Der administrative Datenbank-Account 

muss nicht zwingend »root« heißen und 

ist nicht mit dem Root-System-User 

identisch. Wahlweise kann der Admin 

mit »/usr/bin/mysql_secure_installation« 

auch eine sichere Konfiguration 

von MariaDB anstoßen. Der Ablauf des 

Skriptes ist selbsterklärend. Anschließend 

muss der Admin die von Tine 

benötigte Datenbank und einen Nutzer 

anlegen, der volle Zugriffsrechte auf 

die Datenbank hat und für das initiale 

sowie ein gegebenenfalls wiederholtes 

Setup von Tine benötigt wird. Dazu 

wechselt der Admin durch Eingeben 

von »mysql ‐p passwort« in den interaktiven 

Datenbank-Modus. Hier legt er 

zum Beispiel mit 

CREATE DATABASE tine20db DEFAULT U 

CHARACTER SET 'UTF8'; 

eine Tine-2.0-Datenbank mit dem Namen 

tine20db, sowie mit 

GRANT ALL PRIVILEGES ON tine20db.* TOU 

'tine20user'@'localhost' IDENTIFIED BY U 

'tine20pw'; 

einen Datenbank-Benutzer tine20user 

nebst Passort tine20pw an, der volle 

Rechte an der Datenbank hat. Beide 

Befehlszeilen sind mit dem Semikolon 

abzuschließen. Ist das erledigt, kann 

sich der Admin um die PHP-Basis-Konfiguration 

für Tine 

kümmern. 

PHP-Config 

erstellen 

Dazu ist im Prinzip 

eine Config-Datei 

»/var/www/html/ 

config.inc.php« zu 

erstellen, die im 

Wesentlichen Informationen 

darüber 

enthält, wie die 

Verbindung zur Datenbank 

erfolgt. Die 

Datei muss für den 

Webserver-User lesund 

schreibbar sein. 

Wer die Konfiguration 

komplett manuell 

erledigen möchte, 

kann sich dazu an 

der mitgelieferten 

Beispielkonfiguration 

»config.inc.php. 

dist« orientieren, 

diese den eigenen 

Gegebenheiten 

entsprechend bearbeiten 

und unter 

der Bezeichnung 

»config.inc.php« im 

Document-Root speichern. Der Admin 

kann aber auch eine minimale »config. 

inc.php«-Datei mit Inhalt aus Listing 1 

verwenden, die es erlaubt, die weitere 

Konfiguration im Web-Interface zu erledigen. 

Die Datei muss den administrativen 

Zugang zur Datenbank sowie den eben 

angelegten Tine-Setup-User nebst 

Passwort enthalten. Dieser Setup-User 

wird für den initialen Teil des grafischen 

Tine-Setups benötigt sowie für 

spätere Änderungen am Basis-Setup, 

etwa zum Installieren zusätzlicher 

Anwendungen. Den für die spätere 

Administration von Tine benötigten 

Admin-User legt der Admin im weiteren 

Verlauf des Tine-Setups fest. Mit dieser 

Minimal konfiguration sollte es möglich 

sein, die Setup-Oberfläche von Tine 

2.0 mit der URL [http:// Server/ setup. 

php] im Browser aufzurufen und sich 

mit den Account-Daten des oben definierten 

Setup-Users anzumelden. Nach 

Anzeige 


48 


Tine 

Abbildung 3: Die neue Tine-2.0-Version Collin lässt sich in ein Active Directory einbinden. 

dem Login darf der Admin zuerst die 

Lizenzvereinbarung und das Privacy- 

Agreement der Community-Version 

mit einem Click auf »Accept Terms 

and Conditions« abnicken. Das ist 

notwendig, weil das Gesamtpaket von 

Tine 2.0 aus zahlreichen Komponenten 

mit einer Vielzahl unterschiedlicher 

Open-Source-Lizenzen besteht. Danach 

kann der Admin mit »Setup Checks« 

die Umgebung testen, was im Idealfall 

Abbildung 4: Das Mailserver-Setup ist für viele Funktionen in Tine essenziell. 

viele grüne Häckchen zeigen sollte (Abbildung 

1). 

Im Menü »Config Manager« kann der 

Admin dann die beschriebenen Parameter 

für den Datenbank-Zugriff 

verifizieren. Stimmt hierbei irgendwas 

nicht, läuft die Datenbank nicht oder 

wurden die Tine-Datenbank und der 

Tine-Setup-Nutzer noch nicht angelegt, 

signalisiert das Setup-Programm dies 

im Bereich Database mit einem roten 

Kreuz statt des grünen Häkchens (Abbildung 

2). 

Darunter kann der Admin auf Wunsch 

»Logging«, »Caching« und »Queueing« 

aktivieren und eine Reihe von Pfaden 

seinen persönlichen Wünschen anpassen. 

Hat der Admin Tine 2.0 mithilfe eines 

Repositories installiert, sind an dieser 

Stelle keine Änderungen erforderlich. 

Ist die Konfigurationsdatei für den 

Webserver nicht beschreibbar, ist 

links oben der Link »Config file is not 

writeable« hervorgehoben und die folgenden 

Menüpunkte sind ausgegraut. 

In diesem Fall kann der Admin die 

Konfiguration mit »Download config 

file« lokal herunterladen und selbst auf 

dem Webserver platzieren. Ist dagegen 

alles in Ordnung, sollte der nächste 

Menüpunkt »Authentication | Accounts« 

anwählbar sein. Nach dessen Auswahl 

ist dann auch links oben der Link 

»Save config on install« anklickbar 

und der Umweg des Herunterladens 

der Konfiguration entfällt. Jetzt ist es 

an der Zeit, im Bereich »Initial Admin 

User« den eigentlichen administrativen 

Tine-Admin-Account nebst Passwort 

anzulegen. 

Die Seite erschließt noch ein Füllhorn 

weiterer Konfigurations-Optionen, die 

aber fast alle mit brauchbaren Werten 

vorbelegt sind, etwa ob das Tine- 

Backend Benutzer via SQL, LDAP oder 

IMAP authentifizieren soll. Die neue 

Version Collin kann Benuterkonten 

auch in einem Active Directory ablegen 

(Abbildung 3). Ferner kann und 

muss der Admin bei einer manuellen 

Installation hier bei Bedarf noch Weiterleitungsregeln 

etwa für ActiveSync, 

CalDAV und CardDAV einrichten, was 

aber je nach eingesetztem Webserver 

variiert. 

Erst wenn der initiale Tine-Admin-Account 

angelegt wurde, stehen die beiden 

letzten Menüpunkte »Email« und 

»Applications Manager« zur Verfügung. 

Spätestens jetzt sollte die Groupware 

aber bereits zugreifbar sein. Das Menü 

»Email« dient schließlich zum Konfigurieren 

von IMAP- und SMTP-Servern. 

Auch hier zeigt sich Tine sehr flexibel 

und erlaubt zum Beispiel je nach Bedarf 

neben Standard-IMAP das Konfigu- 



Tine 

49 

rieren von DBmail, Cyrus, Dovecot und 

Postfix. Genauso vielseitig sieht es im 

Bereich unterstützter SMTP-Server mit 

Postfix/MySQL oder Postfix/LDAP aus 

(Abbildung 4). 

Das Konfigurieren eines Mailservers ist 

für den Einsatz von Tine 2.0 zwar nicht 

zwingend erforderlich, ohne Mailserver 

funktionieren aber verständlicherweise 

keine Termineinladungen, Kalenderalarme 

und so weiter. Im Menü »Applications 

Manager« schließlich kann der 

Admin die verfügbaren Tine-2.0-Anwendungen 

installieren. Standardmäßig 

sind nur die klassischen Groupware- 

Funktionen in Form der Applikationen 

»Tinebase«, »Adressbook« und »Admin« 

installiert. Einige Anwendungen weisen 

Abhängigkeiten zu anderen auf, was in 

der Spalte »Depends on« ersichtlich ist 


Ist das erledigt, gelangt der Admin mit 

dem Link »Go to Tine 2.0 login« rechts 

oben oder über das Kontextmenü der 

jeweiligen Anwendung zum eigentlichen 

Goupware-Login. 

Abbildung 5: Hier installiert der Admin (auch später) die verfügbaren Tine-Anwendungen. 

Erste Schritte in Tine 

Wer sich nicht direkt aus dem Setup an 

der Groupware anmeldet, tut dies im 

normalen Betrieb über die URL [http:// 

Tine‐Server/ tine20], es sei denn, der 

Admin hat die Software in ein Unterverzeichnis 

installiert. Je nachdem welche 

Art der Benutzerauthentifizierung der 

Admin im Setup-Teil konfiguriert hat, 

ist es jetzt möglich, sich an der Tine- 

Weboberfläche anzumelden. Hat der 

Admin keine Authentifizierung via 

LDAP, AD oder IMAP konfiguriert, nutzt 

Tine die eigene Benutzerverwaltung 

auf Basis der MySQL-Datenbank. Das 

bedeutet, dass es beim ersten Login 

ausschließlich möglich ist, sich mit 

dem eben angelegten, initialen administrativen 

Benutzer anzumelden. 

Tine 2.0 arbeitet vollständig Tabbasiert, 

das heißt, jede einzelne Anwendung 

wie das per Default gestartete 

Adressbuch erscheint auf einem 

eigenen Reiter. Mit einem Klick auf den 

Reiter »Tine 2.0« öffnet sich ein Untermenü, 

das wahlweise das Starten der 

übrigen installierten Anwendungen 

wie Kalender und Aufgaben ermöglicht 

oder das Öffnen des Admin-Moduls sowie 

der Einstellungen. Darüber hinaus 

kann der Admin beziehungsweise der 

gerade angemeldete Benutzer hier sein 

Passwort ändern, sein Profil bearbeiten 

und sich von der Groupware abmelden 


Neue Benutzer legt der Admin im 

Admin-Modul gleich im ersten Menüpunkt 

»Benutzer« fest. Das sind dann 

solche, die Tine-intern gegen die 

MySQL-Datenbank authentifiziert werden. 

Soll dagegen grundsätzlich gegen 

einen Verzeichnisdienst oder mithilfe 

eines existierenden IMAP-Servers authentifiziert 

werden, muss der Admin 

die beschriebene Setup-Prozedur wiederholen 

und die dazu notwendigen 

Änderungen vornehmen. 

Einen neuen Benutzer fügt der Admin 

mit dem Symbolleisten-Eintrag »Benutzer 

hinzufügen« hinzu. Gleiches gilt 

für Gruppen. Die in der Symbolleiste 

verfügbaren Einträge variieren je nach 

in der Baumstruktur links gewählten 

Eintrag. Allerdings kann der Admin jede 

gewünschte beziehungsweise häufig 

benötigte Ansicht mit der gleichnamigen 

Schaltfläche als Favorit speichern. 

Der Benutzerdialog erscheint dann 

in einem Unterdialog in einem neuen 

Browser-Fenster, der wieder Tab-basiert 

ist (Abbildung 7). 

Tine 2.0 im Alltag 

Sponsor Metaways und das Tine- 

Entwickler-Team betonen, dass Tine 

durch den Einsatz von reichlich AJAX- 

Technologie so konzipiert ist, dass 

es sich wie eine native Applikation 

anfühlt. Das ist vielleicht etwas übertrieben 

und im Web-2.0-Zeitalter auch 

keine Besonderheit, schaut man sich 

Abbildung 6: Das Hauptmenü erschließt den Zugang 

zu den anderen installierten Modulen. 

Abbildung 7: Die Benutzerverwaltung im Admin- 

Modul. 


Admin 

Ausgabe 12-2013

50 


Tine 

im Hintergrund, sodass der in den 

meisten Web-Anwendungen obligatorische 

Klick auf den Refresh-Button des 

Browsers entfällt. Ferner lassen sich 

etwa Kontakte oder Termine mit nur einem 

Klick anlegen. Außerdem können 

Nutzer zum Beispiel wie bei anderen 

Programmen mit [CTRL+F] ins Suchfeld 

springen. Weiter ist es mit Tine komfortabel 

möglich, nahezu beliebige Daten 

miteinander zu verknüpfen, was eine 

leistungsfähige Suche ermöglicht. Tine 

kann über sämtliche Anwendungen suchen. 

So ist es beispielsweise kein Problem, 

alle Kontakte aus dem Adressbuch 

zu filtern, die mit einem offenen 

Lead im CRM-Modul verknüpft sind. 

Abbildung 8: Das komfortable Verschieben von Terminen via Drag&Drop. 

an, was die Konkurrenz in dieser Hinsicht 

zu bieten hat (Stichwort HTML5). 

Trotzdem entspricht das Look&Feel der 

Oberfläche in der Tat eher einer nativen 

Anwendung als einer herkömmlichen 

Web-Applikation. 

Das gilt übrigens nicht für die Module 

»Setup« und »Admin«, in denen 

es keine Kontextmenüs und keine 

Drag&Drop-Funktionalität gibt, was 

sich aber verschmerzen lässt. So aktualisiert 

Tine beispielsweise die Ansichten 

zahlreicher Komponenten automatisch 

Abbildung 9: Das differenzierte Konfigurieren von Wiederholungen und Terminserien. 

Kalender 

Termine lassen sich in Tine wahlweise 

via Doppelklick oder Kontextmenü mit 

nur einem Klick sehr elegant anlegen, 

löschen und bearbeiten sowie ebenso 

elegant via Drag&Drop kopieren. Gleiches 

klappt auch per Kontextmenü. 

Selbstverständlich funktioniert das 

Bearbeiten auch per Doppelklick, 

wobei Tine beim Kopieren via Kontextmenü 

gleich den Termin-Editor 

öffnet. Das Verlängern oder Verkürzen 

eines Termins funktioniert ebenfalls 

via Drag&Drop. Darüber hinaus stehen 

für das Hinzufügen, Bearbeiten und 

Löschen auch die gleichnamigen Buttons 

in der Symbolleiste zur Verfügung 


Im Reiter »Wiederholungen« lassen sich 

sehr komfortabel Terminserien einrichten. 

Ferner lässt sich jedem Termin der 

Status »nicht blockierend«, »vorläufig« 

und/oder »privat« zuweisen. Neben 

einer Beschreibung kann der Nutzer 

jeden Termin zusätzlich mit einer Notiz 

oder mit selbst definierbaren Tags verknüpfen 


Ferner lässt sich die Editor-Ansicht zwischen 

»Organisator« und »Teilnehmer« 

umschalten und mit »Gespeichert in« 

kann der Nutzer flexibel entscheiden, 

in welchem Kalender der Termin neben 

dem voreingestellten persönlichen 

Kalender gespeichert wird, etwa dem 

»Gemeinsamen Kalender« oder in den 

Kalendern anderer Benutzer. Zudem 

führt Tine zu jedem Termin im gleichnamigen 

Reiter eine »Historie«, die sich 

auch komfortabel durchsuchen und 

filtern lässt (Abbildung 10). 

Die Historie vermerkt sogar, ob ein Teilnehmer 

einen Termin akzeptiert oder 

abgelehnt hat. Die Kalenderansicht 

insgesamt ist dank farbiger Tags sehr 

übersichtlich. Teilnehmer können Termine 

mit »Meine Antwort setzen« zusagen, 

absagen oder vorläufig zusagen, 

wobei sich auch als vorläufig markierte 

Termine farblich kennzeichnen lassen. 

Die Verknüpfung mit dem Adressbuch 

ist durchgängig und transparent. Klickt 


52 


Tine 

Kann Tine in der vom Nutzer gerade gewählten 

Ansicht im Kalender vermerkte 

Termine nicht anzeigen, weist das 

Programm darauf hin. Legt der Nutzer 

einen Termin in der Vergangenheit an 

oder verlängert einen vergangenen 

Termin via Drag&Drop, klappt sofort ein 

Dialog auf, in dem Tine fragt, was mit 

dem Termin geschehen soll und bietet 

an, diesen zu aktualisieren (Abbildung 

12). 

Die Kalenderfunktion reagiert zudem 

mit Popups zutreffend auf Terminüberschneidungen 

oder beschäftigte Teilnehmer 


Löscht der Nutzer einen Termin aus 

einer Terminserie, bietet Tine ebenfalls 

in einem Popup das Konfigurieren von 

Ausnahmen an (Abbildung 14). 

Die in der aktuellen Version sehr komfortable 

und schnelle Kalenderfunktion 

sowie die hervorragende Integration 

mit dem Adressbuch und dem E-Mail- 

Modul ist auf die Redis-Unterstützung 

zurückzuführen, die erst in der Version 

Kristina vervollständigt wurde. Von der 

kompakten und schnellen In-Memory- 

Datenbank Redis profitiert in erster 

Linie die Kalenderfunktion. Die arbeitet 

dank der auf Redis basierenden optimierten 

Queue-Verwaltung viel effizienter, 

weil sie zum Beispiel den zugehörigen 

E-Mail-Versand asynchron abarbeitet. 

Damit ist zum Beispiel das sofortige 

Eintragen von Terminänderungen in 

den Kalender möglich – noch während 

sich der Queue-Manager um das Versenden 

von Nachrichten kümmert. Die 

gute Integration von Adressbuch und 

E-Mail-Funktion ist unter anderem auch 

beim Erstellen von Massen-Mailings 

nützlich. 

Abbildung 10: Tine führt im Reiter Historie penibel Buch. 

der Nutzer für einen neuen Teilnehmer 

auf den kleinen Abwärtspfeil zum Auffalten 

des Adressbuchs, klappt sofort 

der Adressbuchdialog zum Durchsuchen 

auf. Gleiches gilt beim Hinzufügen 

eines »Organisators« für die Liste der 

registrierten Tine-Nutzer (Abbildung 

11). 

In der Seitenleiste links lassen sich Termine 

auf die Schnelle nach »Favoriten« 

wie »Ich bin der Organisator« »Erwarte 

Antwort« und »Abgelehnt« filtern. Außerdem 

zeigt Tine hier etwaige Teilnehmer 

an. 

Selbstverständlich gibt es auch eine 

Alarmfunktion. Ferner lassen sich 

Einladungen zu Terminen unmittelbar 

im E-Mail-Programm bestätigen oder 

absagen, ohne dass der Teilnehmer 

den betreffenden Termin erst selbst im 

Kalender heraussuchen muss. Außerdem 

kann der Anwender auf Wunsch 

immer bestimmte Kalender anzeigen 

lassen, unabhängig davon, welche Filter 

gerade aktiviert sind. Darüber hinaus 

können Nutzer jederzeit Listen und 

Kalender ausdrucken. Bei den Kalender-Layouts 

gibt es wie gewohnt eine 

Tages-, Wochen- und Monats-Ansicht. 

E-Mail 

Ist das E-Mail-Modul nicht installiert, 

taucht es zunächst auch nicht im 

Admin-Modul auf. Nicht installierte 

Module lassen sich nachträglich nur 

im Setup-Programm »http://Server/ 

setup.php« installieren, an dem man 

sich nicht mit dem Admin-, sondern 

dem eingangs erwähnten Setup- 

Account anmeldet. Startet der Admin 

oder für E-Mail berechtigte Nutzer den 

E-Mail-Client zum ersten Mail, muss er 

zunächst mit der Schaltfläche »Konto 

hinzufügen« ein neues E-Mail-Konto 

anlegen. Den E-Mail-Client haben wir 

angesichts der Tatsache, dass sich Nutzer 

nur ungern von ihrem gewohnten 

Client trennen, nur oberflächlich angeschaut, 

auch wenn für den Tine-Mailer 

die gute Integration mit dem Rest des 

Programms spricht. 

Der Funktionsumfang geht in Ordnung, 

ist aber im Vergleich zu Thunderbird 

oder Outlook nicht überragend. So 

Abbildung 13: Ist ein Teilnehmer beschäftigt, 

weist Tine via Popup darauf hin. 

Abbildung 11: Die Verknüpfung zwischen 

Kalender und Adressbuch. 

Abbildung 12: Mit Popups macht Tine auf 

Unstimmigkeiten aufmerksam und bietet 

einen Workaround an. 

Abbildung 14: Das komfortable Reagieren 

auf Lösch-Ausnahmen. 



Tine 

53 

kann der Nutzer etwa beim Senden einer 

E-Mail eine Lesebestätigung anfordern, 

wobei der Empfänger, sofern er 

ebenfalls den Tine-E-Mail-Client nutzt, 

die Bestätigung explizit erlauben muss 


Tine legt automatisch einen Papierkorb 

an, wenn der Nutzer eine E-Mail löscht. 

Außerdem lassen sich mit Sieve Filterregeln 

festlegen, die direkt auf dem 

Mailserver ausgeführt werden (Abbildung 

16). 

Darüber hinaus können Tine-Anwender 

im E-Mail-Client das automatische 

Versenden von Abwesenheits-Mails 

konfigurieren. Die Funktion dazu findet 

sich wie diejenige zum Erstellen von Filterregeln 

im Kontextmenü des betreffenden 

E-Mail-Kontos (Abbildung 17). 

Beantwortet der Anwender eine Mail, 

die außer an ihn selbst an andere Empfänger 

adressiert ist, mit »Allen antworten«, 

streicht der Tine-E-Mail-Client 

automatisch die eigene E-Mail-Adresse 

aus der Empfängerliste. 

Clients und Schnittstellen 

Dass die Entwickler mit der Fokussierung 

auf die webbasierte Oberfläche 

und dem gut integrierten, eigenen 

E-Mail-Client einen nicht vorhandenen 

Outlook-Groupware-Connector rechtfertigen, 

ist – vorsichtig ausgedrückt 

– sehr selbstbewusst. Schließlich geht 

es bei der Outlook-Unterstützung nicht 

um zusätzliche Funktionen, sondern 

um die Weiterverwendbarkeit des 

gerade im Unternehmen beliebtesten 

Groupware-Clients. In puncto 

Exchange-Unterstützung verweisen die 

Entwickler allerdings auf den Support 

durch Metaways. Immerhin sieht es im 

Bereich der sonstigen von Tine unterstützen 

Clients und Schnittstellen sehr 

gut aus. Tine unterstützt alle Outlook- 

Versionen einschließlich MS Outlook 

2013 als E-Mail-Client und auch die 

Kalenderanwendung von Mac OS X 

Mountain Lion. Bereits seit Milan können 

Tine-Nutzer, die trotzdem einen 

nativen Client verwenden, via CalDAV 

und CardDAV auf ihre Daten zugreifen. 

Insofern unterstützt Tine auch Thunderbird, 

Apple iCal und alle iOS-Geräte. 

Dank WebDAV-Support funktionieren 

auch sämtliche WebDAV-Clients, 

Abbildung 15: Der E-Mail-Editor von Tine. 

einschließlich KDE und ab Tine 2.0 

Collin auch OwnCloud-Clients. Zudem 

können Tine-Anwender auch VCards 

importieren. 

ActiveSync 

Besonders hervorzuheben ist die gute 

ActiveSync-Unterstützung von Tine 2.0. 

Für Kenner und Nutzer einer Vorgängerversion 

von Tine ist zudem erwähnenswert, 

dass der ActiveSync-Support 

mit Kristina dank einer Verbesserung 

der Synchronisationslogik deutlich 

schneller geworden ist und auf den 

Smartphones weniger CPU-Leistung 

und Speicher benötigt. Ferner bietet 

die neue, erweiterte ActiveSync-Oberfläche 

die Möglichkeit, Sicherheitsrichtlinien 

anzulegen. So können Unternehmen 

beispielsweise verbindlich 

vorschreiben, dass Nutzer auf Mobilgeräten 

Passwörter verwenden müssen 

oder Daten auf verlorengegangenen 

Smartphones per Remote-Zugriff 

löschen. Neben der guten ActiveSync- 

Implementierung verfügt Tine auch 

über diverse Import-Skript-Schnittstellen, 

die das Importieren von Daten 

aus anderen Anwendungen einfacher 

machen. Admins können auf Basis der 

Schnittstellen Import-Programme in 

nahezu beliebigen Sprachen schreiben. 

Speziell die Importfunktion für eGroupware 

erstreckt sich sogar auf die Berechtigungen 

aller Benutzer, Termine, 

Kontakte und Kategorien. 

Abbildung 16: Via Sieve lassen sich Filterregeln auf 

dem Server definieren. 

Tine aus Admin-Sicht 

Tine-Administratoren können zudem 

Berechtigungen für Ressourcen 

vergeben und damit regeln, welche 

Benutzer welche Ressourcen nutzen 

können. Außerdem implementiert Tine 

auf Administrationsebene eine eigene 

Ordnerverwaltung. Ferner führt Tine 

2.0 ein Protokoll sämtlicher Änderungen, 

die von Benutzern an den Daten 

vorgenommen wurden. So hat der 

Administrator jederzeit die Möglich- 

Abbildung 17: Tine-Nutzer können auch 

eine Abwesenheitsbenachrichtigung 

konfigurieren. 


Admin 

Ausgabe 12-2013

54 


Tine 

Abbildung 18: Die filterbaren Zugriffs-Logs im Admin-Modul. 

n Info 

keit, Änderungen wieder rückgängig 

zu machen. Er kann sogar Änderungen 

eines Benutzers in einem bestimmten 

Zeitraum einschränken. Darüber hinaus 

gibt es im Admin-Modul ein filterbares 

Zugriffs-Log (Abbildung 18). 

Fazit 

Wir haben in Anbetracht des Heftschwerpunktes 

sämtliche Module, die 

über reine Groupware-Funktionen hinausgehen, 

ausgeblendet. Allein mit den 

aus dem Modul zur Personalverwaltung 

bezogenen Informationen könnten 

kleine Firmen theoretisch problemlos 

ihre Gehaltsabrechnung füttern. 

Ebenfalls für Firmen interessant ist das 

Snom-Webserver-Backend, das zum 

Beispiel Telefonate aus Tine heraus 

ermöglicht. 

Dem erklärten Ziel der Tine-Entwickler, 

Groupware-, CRM- und ERP- unter einer 

gemeinsamen, plattformunabhängigen 

Oberfläche zu vereinen, ist Tine 2.0 

Collin recht nahe. Allgemein ist Tine 

eine relativ einfach zu installierende 

Groupware, die ohne Berücksichtigung 

von Altlasten auf moderne Webtechnik 

setzt und sich daher im Browser weitgehend 

wie eine native Anwendung 

anfühlt. Der Aufwand beim Installieren 





des Community-Version bewegt sich 

im Rahmen des Üblichen und ist sogar 

geringer, als beim Installieren der freien 

Versionen von Open-Xchange oder 

Zarafa. 

In puncto Geschwindigkeit ist kaum 

ein Unterschied zu einer nativen Anwendung 

zu spüren. Nicht nur der bestehenden 

Möglichkeiten der Synchronisierung 

mit mobilen Geräten wegen 

ist die Software auch für Unternehmen 

mit Außendienstmitarbeitern interessant. 

Diese können mit praktisch allen 

aktuellen Smartphones jederzeit auf 

Termine, Kontakte, E-Mails und Aufgaben 

zugreifen. Diverse Clients und Synchronisationsmöglichkeiten 

bietet zwar 

auch die Konkurrenz, bei Tine sind aber 

sämtliche Funktionen ohne zusätzliche 

Module oder Programmteile, die bei 

anderen kostenpflichtig lizenziert werden 

müssten, nutzbar. 

Dank der stetigen Weiterentwicklung 

wächst auch die Community. Auch 

im Bereich zahlender Kunden kann 

Sponsor Metaways auf prominente 

Referenzen wie etwa das Deutsche 

Museum und das Ecologic Institute 

Berlin [12] verweisen. Dass sich die 

Tine-Entwickler eine ganze Menge 

Gedanken gemacht haben, ist allenthalben 

sicht- und spürbar. Nicht nur, 

dass man mit aufwendigen Tests eine 

Code-Qualität sicherstellt, die den 

produktiven Einsatz in Unternehmen 

erlaubt, Tine hat auch in puncto Usability 

einiges zu bieten. Das gilt nicht nur 

für die erwähnte AJAX-Unterstützung 

mit Drag&Drop-Funktionen und Kontextmenüs, 

die Tine das Feeling eine 

nativen Anwendung verleihen, sondern 

auch für die Art und Weise, wie Funktionen 

implementiert sind und wie die 

Benutzerlogik gestaltet ist. Hier waren 

Entwickler am Werk, die die Interessen 

und Bedürfnisse ihrer Nutzer kennen. 

Fairerweise muss man aber auch 

einräumen, dass die Tine-Entwickler 

angefangen mit ihren ersten Design- 

Studien im Jahr 2007 die Möglichkeit 

hatten, den gesamten Code unter Einbeziehung 

neuester Webtechnologien 

neu zu entwerfen und dennoch von den 

Erfahrungen zu profitieren. 

Open-Xchange und Zarafa schleppen 

zumindest auf Code-Seite über 

die Jahre auch Altlasten mit. Open- 

Xchange hat zum Beispiel in den letzten 

Jahren zuerst sein Backend modularisiert 

und erst mit der OX-App-Suite 

im vergangenen Jahr ein zeitgemäßes 

HMTL5-Frontend nachgeschoben. 

Zarafa bot und bietet sein klassisches 

AJAX-Frontend »Webaccess« und das 

modernere HTML5-Frontend »WebApp« 

parallel an. 

Tine 2.0 war übrigens im Jahr 2008 

Finalist im »SourceForge Community 

Choice Awards« in der Kategorie 

»bestes neues Projekt« und im Jahr 

2009 Finalist bei der »Les Trophées du 

Libre« in der Kategorie »Professional«. 

Doch wo viel Licht ist, ist auch Schatten. 

Wo etwa Sponsor und Entwickler 

von Tine neue Kunden akquirieren wollen, 

ist ihr Problem. Der Markt scheint 

mit Exchange, Domino/Notes, Zimbra, 

Scalix, OX, Zarafa & Co auf den ersten 

Blick gut gesättigt. Allerdings haben 

gerade kleine Unternehmen oft noch 

keine Groupware-Lösung im Einsatz, 

sehen Studien zufolge aber in der 

Benutzbarkeit gemeinsamer Kalender 

immer noch ein erstrebenswertes Ziel. 

Metaways muss also entweder Kunden 

finden, die noch keine Groupware 

einsetzen oder Exchange/Outlook- 

Nutzer zum Umstieg bewegen. Durch 

Micro-softs Aufgabe seines Small 

Business Servers bieten sich da sogar 

Chancen. Leider ist bei Tine in Bezug 

auf die Exchange-Migration oder die 

Zusammenarbeit mit Outlook und/ 

oder Exchange keine Strategie erkennbar. 

(jcb) n 


56 

Know-how 

Git-Annex 

Dmitri Stalnuhhin, 123RF 

Datenverwaltung mit Git-Annex 

Git wird groß 

Git-Annex ist eine überaus nützliche Erweiterung von Git. In puncto Synchronisation und Datenverwaltung 

wartet es mit innovativen Konzepten auf. Datei-Inhalte brauchen nicht mehr auf jedem System vorhanden 

zu sein, Git-Annex holt sie bei Bedarf von anderen Repositories. Georg Schönberger 

Git-Annex [1] erscheint auf den ersten 

Blick paradox. Es verwaltet Dateien in 

einem Git-Repository, ohne die Datei- 

Inhalte selbst ins Repository einzuspielen. 

Dennoch ist es möglich, neue 

Dateien und Änderungen an Dateien zu 

verfolgen und im Git-Stil zu pflegen. Da 

sich die Inhalte nie direkt im Repository 

befinden, bleiben Probleme mit großen 

Dateien dort aus. Joey Hess, der 

Entwickler von Git-Annex, führt zwei 

typische Anwendungsfälle an: 

1. Der Archivar besitzt verschiedene 

Offline-Geräte, über die er seine Daten 

verteilt. Am Client-System verwaltet er 

seine Dateien mit Git-Annex, ohne dass 

dort alle Daten vorliegen. Git-Annex 

protokolliert, an welchem Ort sich welche 

Daten befinden und der Archivar 

holt sie nötigenfalls auf sein Client- 

System. 

2. Der Nomade ist viel unterwegs und 

wählt als Daten-Repositories einen 

Online-Server und einen USB-Stick. Bei 

Bedarf lädt er Daten vom Server auf 

den USB-Stick herunter oder synchronisiert 

sie direkt aufs Client-System, je 

nachdem wo Speicherplatz verfügbar 

ist. Benötigt der besagte Nomade 

Daten nicht mehr, „droppt“ er sie, auf 

dem Online-Server bleibt aber alles 

vorhanden. 

Die Beispiele vom Archivar und vom 

Nomaden vermitteln einen ersten 

Eindruck, was Git-Annex ermöglicht. 

Offline-Archive und Synchronisation 

bilden jedoch nur einen kleinen Teil der 

möglichen Einsatzzwecke. Komplexere 

Setups zwischen mehreren Systemen, 

Servern oder Festplatten sind ebenfalls 

machbar. 

Der Git-Annex-Entwickler beschreibt 

auch, was Git-Annex nicht ist: Ohne 

den Einsatz zusätzlicher Tools ist es 

kein Backup-System, auch wenn es 

eine Rolle in einem effizienten Archivierungs- 

oder Sicherheitssystem spielen 

kann. 


Know-how 

Git-Annex 

57 

Installation 

Die Git-Annex-Installation bringt keine 

Schwierigkeiten mit sich. Die gängigsten 

Distributionen wie Debian, Ubuntu 

und Fedora stellen fertige Pakete zur 

Verfügung. Diese hinken der aktuellen 

Entwicklungsversion allerdings häufig 

hinterher. Debian und Ubuntu 13.04 

stellen über ihre Repositories Git-Annex 

in Version 3.2 bereit, die aktuelle Version 

4.2 ist erst seit Ubuntu-Version 

13.10 an Bord. 

Wer distributionsunabhängig die 

jeweils aktuelle Version verwenden 

möchte, findet für Linux ein vorkompiliertes 

Tar-Archiv unter [2]. Für die 

Installation reicht es, den entpackten 

Ordner »git‐annex‐linux« zum Pfad 

hinzuzufügen. Listing 1 führt alle erforderlichen 

Schritte für die Installation 

von Git-Annex auf. Für eine endgültige 

Installation pflegt man diese permanent 

ein, etwa über einen PATH-Eintrag 

in der Bash-Konfiguration. 

Interne Struktur 

Git-Annex verwaltet Datei-Bäume, ohne 

dabei die Datei-Inhalte selbst ins Repository 

einzuspeisen. Ein Key-Value- 

Verfahren unter Zuhilfenahme symbolischer 

Links realisiert die Trennung 

von Dateinamen und ‐inhalten. Wird 

eine Datei zum Repository hinzugefügt, 

erstellt eine Hash-Funktion einen Key 

aus Datei-Inhalt und Metadaten. Der 

Dateiname zeigt dann über einen symbolischen 

Link auf diesen Key. 

Der Datei-Inhalt – genannt Value – wird 

der Datei von nun an über den Key 

zugeordnet. Die Form der Key-Value- 

Dateiverwaltung per symbolischem 

Link im sogenannten indirekten Modus 

demonstriert Listing 2. Bevor die Datei- 

Inhalte synchronisiert wurden, zeigt 

der Link ins Leere. Die Datei- und Ordnerstruktur 

ist dennoch vorhanden und 

veränderbar – das heißt, Dateinamen 

werden unabhängig von ihrem Inhalt 

verändert. 

Einen Nachteil bringt dieses Vorgehen 

im indirekten Modus mit sich: Datei- 

Inhalte lassen sich nicht direkt bearbeiten. 

Zum Öffnen und Bearbeiten einer 

Datei wird das Kommando »git‐annex 

unlock« verwendet. Es löst den symbolischen 

Link auf und stellt die Datei di- 

Abbildung 1: Die Synchronisation zweier Git-Annex-Repositories via SSH. 

rekt zur Verfügung. Der darauf folgende 

Befehl »git commit« konvertiert sie 

automatisch wieder in einen Git-Annex- 

Link. Auf den ersten Blick wirkt diese 

Prozedur umständlich, sie schützt aber 

vor dem irrtümlichen Löschen einer 

Datei. 

Der direkte Modus bietet zwar die komfortable 

Möglichkeit, Dateien direkt 

zu bearbeiten, aber die Git-Annex- 

Sicherheitsfunktionen fallen dann weg. 

Deshalb starten Git-Annex-Repositories 

normalerweise im indirekten Modus. 

n Listing 1: Installation der Linux-Binaries 

Ausnahmen bilden Repositories unter 

Windows, auf allen FAT-Dateisystemen 

und jene, die über die Weboberfläche 

mit dem Git-Annex-Assistant erzeugt 

werden (Abbildung 2). Außerdem 

schaltet man mit den Kommandos 

»git‐annex indirect« und »git‐annex direct« 

manuell vom einen Modus in den 

anderen. 

Erste Schritte 

Ein Repository mit Git-Annex zu erstellen 

ist einfach: 

01 $ wget 'http://downloads.kitenet.net/git‐annex/linux/current/git‐annex‐standalone‐amd64.tar.gz' 

02 $ tar xzf git‐annex‐standalone‐amd64.tar.gz 

03 $ PATH="$PATH:$HOME/git‐annex.linux" 

04 $ git‐annex version 

05 git‐annex version: 4.20131003‐gbe0b734 

06 build flags: Assistant Webapp Pairing Testsuite S3 WebDAV Inotify DBus XMPP Feeds Quvi TDFA 

07 key/value backends: SHA256E SHA1E SHA512E SHA224E SHA384E SHA256 SHA1 SHA512 SHA224 SHA384 WORM 

URL 

08 remote types: git gcrypt S3 bup directory rsync web webdav glacier hook 

n Listing 2: Git-Annex im indirekten Modus 

01 $ ls ‐l 

02 total 8 

03 lrwxrwxrwx 1 gschoenb gschoenb 198 Oct 9 12:30 debhelper‐slides.pdf ‐> .git/annex/objects/32/64/ 

SHA256E‐[...].pdf 

n Listing 3: Neue Datei im Repository 

01 $ cp ~/Downloads/debhelper‐slides.pdf . 

02 $ git‐annex add . 

03 add debhelper‐slides.pdf (checksum...) ok 

04 (Recording state in git...) 

05 $ git commit ‐a ‐m "Added slides" 

06 [master (root‐commit) 761a810] Added slides 

07 1 file changed, 1 insertion(+) 

08 create mode 120000 debhelper‐slides.pdf 

09 $ ls ‐la 

10 [...] 

11 debhelper‐slides.pdf ‐> .git/annex/ 

objects/32/64/SHA256E‐[...].pdf 


Admin 

Ausgabe 12-2013

58 

Know-how 

Git-Annex 

Abbildung 2: Die Konfiguration eines Repository auf 

einer USB-Festplatte mit dem Git-Annex-Assistant. 

n Info 

n Autor 

$ git init 

Initialized empty Git repository in 

/home/alice/example/.git/ 

$ git‐annex init "Alice" 

init Alice ok 

(Recording state in git...) 





Georg Schönberger arbeitet als Technology Specialist 

bei der Thomas-Krenn.AG und ist Autor des 

Thomas-Krenn-Wikis. Seine Arbeitsschwerpunkte 

reichen von Informationssicherheit über Monitoring- 

Plugins bis hin zu Performance-Tests. 

Der Befehl »git‐annex add« versioniert 

eine neue Datei, dadurch verwandelt 

sie sich in einen symbolischen Link 

(siehe Listing 3). 

Wie beschrieben befinden sich die 

Datei-Inhalte selbst nicht im Git-Annex- 

Repository. Ansonsten unterscheidet 

sich dieses nicht von anderen Git- 

Repositories. Es kann ebenfalls auf 

anderen Systemen geklont werden, 

ebenso kommen bei Bedarf Remote- 

Repositories hinzu. 

Das lokale Repository ist somit nur ein 

Anfang bei einer Vielzahl möglicher 

komplexer Konfigurationen. Abbildung 

1 skizziert ein Setup für die Synchronisation 

zweier Repositories über eine 

SSH-Verbindung. Diese direkte Verbindung 

eröffnet für die beiden Beispielbenutzer 

Alice und Bob die folgenden 

Möglichkeiten: 

Alice fügt in ihrem Repository Dateien 

mit Git-Annex hinzu. Mit »git‐annex 

sync« synchronisiert sie es mit Bob. 

Dieser erhält dabei im ersten Schritt 

statt der Datei nur einen unvollständigen 

symbolischen Link. Möchte er auch 

die dazugehörigen Datei-Inhalte haben, 

holt er sie mit »git‐annex get« aus Alices 

Repository. 

Alice kopiert mit »git‐annex copy« Dateien 

inklusive Daten zu Bob. Ruft dieser 

nun »git‐annex sync« auf, findet er 

gleich die vollständige Datei vor. 

Git-Annex stellt beim Austausch der 

Daten sicher, dass jede Datei immer 

mindestens einmal vorhanden ist. Solange 

eine der Parteien die Inhalte einer 

Datei besitzt, kann die andere Seite 

sie „droppen“, also die Daten „fallen 

lassen“ und nur den Dateinamen beziehungsweise 

den symbolischen Link 

behalten. Die Konfiguration der minimalen 

Gesamtzahl notwendiger Kopien 

lässt sich auch erhöhen; im Beispiel 

würde Git-Annex dann sicherstellen, 

dass die Datei sich sowohl in Alices als 

auch in Bobs Repository befindet. 

Der Assistent 

Git-Annex lässt sich zwar vollständig 

über die Kommandozeile konfigurieren, 

doch für die einfachere Benutzung 

bietet es auch eine Weboberfläche 

an. Sie ermöglicht die Konfiguration 

mehrerer Repositories inklusive automatischer 

Synchronisation in wenigen 

Schritten. Abbildung 2 zeigt das 

Konfigurationsmenü eines Repository 

auf einer externen USB-Festplatte. Es 

fungiert im nachfolgenden Beispiel 

als Datenarchiv – Dateien im Ordner 

»archive« werden automatisch auf die 

externe Platte synchronisiert. Dazu 

wird das Repository der USB-Platte der 

Gruppe »small archive« zugeordnet. 

Neben »small archive« definiert Git- 

Annex neun weitere Gruppen. Sie 

legen fest, welche Daten bevorzugt 

im Repository bleiben und welche in 

die anderen Repositories umziehen. 

Diese Entscheidungen trifft Git-Annex 

aufgrund von Regeln, die den Gruppen 

zugeordnet sind. Im Falle von »small 

archive« werden alle Datei-Inhalte des 

Ordners »archive« lokal „gedroppt“ und 

ins USB-Archiv überspielt. Der Assistant 

läuft als Hintergrunddienst und übernimmt 

die automatische Synchronisation. 

Das folgende Beispiel verschiebt 

die Datei »debian‐packaging‐turorial. 

pdf« ins Archiv; ein symbolischer Link 

bleibt im lokalen System bestehen, die 

Datei-Inhalte befinden sich auf der externen 

USB-Festplatte: 

$ git‐annex whereis . 

whereis debian‐packaging‐tutorial. 

pdf (1 copy) 

11ac0193‐a14b‐41f8‐942f‐fecf30ee7ed4 

‐‐ here (Alice) 

ok 

$ mv debian‐packaging‐tutorial.pdfU 

archive/ 

$ git‐annex whereis . 

whereis archive/ 

debian‐packaging‐tutorial.pdf (1 copy) 

be012dc6‐5548‐4135‐89c7‐5fb31b9d4f9f 

‐‐ lexar (USB Archiv) 

ok 

Der Git-Annex-Assistant kopiert auch 

den Datei-Inhalt, wenn der Benutzer 

eine Datei wieder aus dem Archiv 

herausnimmt. Dadurch entsteht eine 

transparente Synchronisation zwischen 

lokalem Repository und dem Archiv auf 

der Festplatte. 

Remote spezial 

Eine weiteres Unterscheidungsmerkmal 

von Git-Annex sind die speziellen 

Remote-Repositories. Sie lassen sich 

wie andere Git-Annex-Repositories erstellen, 

allerdings anschließend nicht 

mit Git verwenden, denn sie bauen auf 

verschiedene Protokolle wie Rsync, 

Webdav und XMPP auf, verwandeln 

Amazon S3 in ein Git-Annex-Repository, 

und lassen sich mittels Libgcrypt [3] 

verschlüsseln. 

Ob Archivar oder Nomade: Git-Annex 

verwendet Git-Repositories effektiv. 

Es synchronisiert große Dateien, ohne 

Server übermäßig zu belasten. Die 

detailreichen Konfigurationsmöglichkeiten 

erlauben eine sinnvolle Verwendung 

des Speicherplatzes und das Tool 

fungiert mit wenigen Handgriffen sogar 

als Teil einer Backup-Strategie. (csc) n 


Maxim Kazmin, 123RF 

Speicherfehler unter Linux erkennen und beobachten 

Kippende Bits 

Weil Hauptspeicher wichtig ist, benutzen viele Systeme Fehlerkorrekturmechanismen (ECC). Sie erkennen 

und berichtigen Einzelbitfehler. Linux kann Informationen darüber sammeln und ausgeben. Jeff Layton 

ECC (Error Correcting Code) ist eine 

Schlüsseltechnologie, um in einem 

Rechnersystem Daten zu schützen 

und Fehler zu erkennen. Dabei kann 

Standard-ECC-Memory, wie es heute in 

vielen Systemen verbaut wird, Einzelbitfehler 

erkennen und beheben. 

Doppelbitfehler werden zwar ebenfalls 

erkannt, können aber nicht ausgeglichen 

werden. 

Das Umkippen eines einzelnen Bits in 

einem Byte kann dramatische Folgen 

haben. Wenn beispielsweise in einem 

Byte mit dem Wert 156 (10011100) das 

zweite Bit kippen würde (11011100), 

ergäbe sich ein Wert von 220. ECC kann 

diesen Fall entdecken und berichtigen, 

sodass der Anwender nichts davon 

merkt. Würden allerdings zwei Bits 

ihren Wert ändern, würde das zwar 

bemerkt, das Ergebnis wäre dann aber 

eine Machine Check Exception, die in 

einen Systemabsturz mündet. 

Solche umkippenden Bits werden von 

elektrischen oder magnetischen Störungen 

verursacht. Einem Wikipedia- 

Artikel [1] und einer Studie über Einzelbitfehler 

im RAM [2] zufolge, gehen die 

meisten kippenden Bits auf das Konto 

der kosmischen Hintergrundstrahlung 

(hauptsächlich Neutronen). Die zwischen 

2007 und 2009 ermittelten Fehlerraten 

schwanken zwischen 1010 und 

1017 Fehler pro Bitstunde (Unterschied: 

sieben Größenordnungen!). Der niedrigere 

Wert entspricht einem Fehler pro 

Gigabit pro Stunde. Der höhere Wert 

ungefähr einem Fehler pro Gigabit in 

1000 Jahren. 

Eine Studie von Google (siehe Kasten 

„Korrigierbare Fehler“) deutet darauf 

hin, dass Fehler im realen Leben viel 

häufiger sind. Diese Fehlerraten zu beobachten 

ist wichtig, denn sie sind ein 

genereller Indikator für Speicherfehler. 

n Korrigierbare Fehler 

Google hat einmal reale Speicherfehler untersucht [3]. Sie fanden heraus, 

dass ein Drittel der beteiligten Rechner und mehr als acht Prozent 

der DIMMs während eines Jahres korrigierbare Speicherfehler aufwiesen. 

Das entsprach einer Beobachtung von Google, derzufolge es zu 25 

000 bis 75 000 korrigierbaren Fehlern pro einer Milliarde Gerätestunden 

pro Megabit kommt (oder 250 bis 750 Fehlern pro Gigabit pro Jahr). Das 

ist viel mehr als die zuvor als hoch angenommene Fehlerrate von einem 

Fehler pro Gigabit pro Jahr. 

Die Studie erbrachte noch weitere interessante Ergebnisse: 

n Hat ein DIMM korrigierbare Fehler, ist es 13 bis 228 mal wahrscheinlicher, 

dass im selben Monat weitere Fehler auftreten. 

n In 70 bis 80 Prozent der Fälle gehen einem nicht korrigierbaren 

Fehler korrigierbare Fehler voraus. Korrigierbare Fehler erhöhen die 

Wahrscheinlichkeit für nicht korrigierbare Fehler um einen Faktor 9 

bis 400. 

n Das Auftreten korrigierbarer Fehler nimmt mit dem Alter zu, aber 

nicht korrigierbare Fehler nehmen mit dem Alter ab. Korrigierbare 

Fehler nehmen ab einem Alter von 10 bis 18 Monaten zu. 

n DIMMs neuerer Generationen verhalten sich weder besser noch 

schlechter als ihre Vorgänger. 

n Die Temperatur hat einen verblüffend geringen Effekt. 

n Die Speicherfehlerraten korrelieren mit der Auslastung. 


Admin 

Ausgabe 12-2013

60 

Know-how 

Speicherfehler 

n Listing 1: Memory-Controller 

login2$ ls ‐s /sys/devices/system/edac/mc/mc0 

total 0 

0 ce_count 0 csrow1 0 csrow4 0 csrow7 0 reset_counters 0 size_mb 

0 ce_noinfo_count 0 csrow2 0 csrow5 0 device 0 sdram_scrub_rate 0 ue_count 

0 csrow0 0 csrow3 0 csrow6 0 mc_name 0 seconds_since_reset 0 ue_noinfo_count 

Linux und Speicherfehler 

Der Autor dieses Beitrags arbeitete 

vor Jahren an einem Projekt namens 

Bluesmoke mit, das ein Kernel-Modul 

schaffen wollte, das Hardware-Fehler 

erkennen und melden sollte. Dabei 

ging es nicht allein um Speicherfehler, 

sondern um alle möglichen Fehler im 

Cache, beim DMA, bei der Temperaturregelung, 

auf dem Bus und so weiter. 

Der offizielle Name des Projekts war 

EDAC (Error Detection And Correction, 

siehe [5]). 

Viele Jahre lang schrieben Enwickler 

EDAC-Module für die verschiedensten 

Chipsätze. Das geschah zunächst außerhalb 

des Kernels, aber seit Kernel 

2.6.16 ist EDAC dort integriert. Seit 

2.6.18 erscheint EDAC auch im Sys- 

Filesystem unter »/sys/devices/system/ 

edac«. 

Eine der besten Informationsquellen 

über EDAC ist das EDAC-Wiki [6]. Die 

Seite beschreibt den Einstieg und listet 

n Listing 2: Csrows und Channels 

01 Channel 0 Channel 1 

02 ============================== 

03 csrow0 | DIMM_A0 | DIMM_B0 | 


05 ============================== 

06 

07 ============================== 



10 ============================== 

andere Ressourcen über EDAC (FAQs, 

Mailing-Listen und so weiter) auf. Hier 

soll es vor allem darum gehen, welche 

nützlichen Informtionen EDAC liefern 

kann. Für die Beispiele kommt ein 

Dell PowerEdge R720 zum Einsatz, der 

über zwei Prozessoren und 128 GByte 

Hauptspeicher verfügt. Während der 

Tests lief er unter CentOS 6.2. 

Zunächst muss man sich vergewissern, 

dass die EDAC-Module geladen sind: 

login2$ lsmod | grep edac 

sb_edac 18104 0 

edac_core 

53053 1 sb_edac 

Sind die Module geladen, kann man als 

Nächstes das Verzeichnis »/sys/devices/ 

edac« untersuchen: 

login2$ ls ‐s /sys/devicesU 

/system/edac 

insgesamt 0 

0 mc 

Wenn hier nur das device »mc« auftaucht, 

überwacht EDAC nur den 

Memory-Controller. Schaut man tiefer 

in die Verzeichnisstruktur 

login2$ ls ‐s /sys/devices/system/edac/U 

mc 

insgesamt 0 

0 mc0 0 mc1 

kommen die beiden Komponenten 

»mc0« und »mc1« zum Vorschein. Listing 

1 zeigt, was man sieht, wenn man 

in das Verzeichnis »mc0« schaut. 

Die beiden Memory-Controller dieses 

Systems verwalten eine Reihe von 

DIMMs, die in Zeilen (Chip Select, »csrow«) 

und einer Kanaltabelle (»chx«) 

organisiert sind (mehr Details dazu in 

der EDAC-Dokumenttion [7]). Wie Listing 

2 zeigt, kann es mehrere Csrows 

und mehrere Channels geben. Ihre 

Anzahl hängt vom Motherboard und 

der Art der Speicher-Controller und 

DIMMs ab. 

Ein Beispiel 

Für dieses Beispiel hat jeder Memory- 

Controller acht Csrows und eine Kanaltabelle. 

Eine Vorstellung vom Layout 

vermittelt Listing 3. 

Im Beispiel verfügt jeder Kanal (0 und 

1) über vier Speicherkanäle (0 bis 3) 

und zwei DIMMs pro Kanal (0 und 1). In 

jedem »csrow«-Unterverzeichnis finden 

sich dann eine Reihe weiterer Control- 

und Attribut-Files mit folgender 

Bedeutung: 

n ce_count: Die Gesamtzahl korrigierbarer 

Fehler (correctable errors, ce) 

in dieser Csrow. 

n ch0_ce_count: Die Gesamtzahl korrigierbarer 

Fehler auf diesem DIMM 

in Kanal 0. 

n ch0_dimm_label: Label des DIMM. 

Das kann sehr nützlich sein, um 

nach einer Kernel Panic die Ursache 

des nicht korrigierbaren Fehlers 

zu finden. Die DIMM-Labels sollten 

nach dem Booten zugewiesen werden 

und Informationen enthalten, 

die zu dem physischen Slot führen. 

n dev_type: Attribut-File, das Informationen 

über den Typ des DIMM 

enthält. Der Wert ist typischerweise 

x1, x2, x4 oder x8. 

n Listing 3: Memory-Controller-Layout 

login2$ more /sys/devices/system/edac/mc/mc0/csrow0/ch0_dimm_label 

CPU_SrcID#0_Channel#0_DIMM#0 
















Know-how 

Speicherfehler 

61 

n edac_mode: Attribut-File, das den 

Typ der Fehlererkennung und ‐korrektur 

enthält. 

n mem_type: Enthält den Speichertyp 

einer Csrow. 

n size_mb: Attribut-File, das die Größe 

des Memorys in einer Csrow enthält. 

n ue_cont: Enthält die Gesamtzahl 

nicht korrigierbarer Fehler, die in 

einer Csrow aufgetreten sind. 

Einige Attribut-Files in »/sys/devices/ 

system/edac/mc/mc0« können sehr 

nützlich sein. Sie beziehen sich auf den 

gesamten Controller: 

n ce_count: Die Gesamtzahl korrigierbarer 

Fehler dieses Controllers. 

n ce_noinfo_count: Die Gesamtzahl 

korrigierbarer Fehler, aber ohne 

Information, welchen DIMM-Slot sie 

betroffen haben. 

n mc_name: Der Typ des benutzten 

Memory-Controllers. 

n reset_counters: Ein nur beschreibbares 

Kontroll-File, das alle Fehler- 

Zähler dieses Memory-Controllers 

zurücksetzt. Das passiert, sobald 

man einen Wert in das File schreibt. 

n sdram_scrub_rate: Ein Attribut-File 

für die Speicherreinigung. Der enthaltene 

Wert repräsentiert eine Rate 

in Bytes pro Sekunde. 

n seconds_since_reset: Anzahl der 

Sekunden seit dem letzten Zähler- 

Reset. 

n size_mb: Menge des Speichers, den 

dieser Controller verwaltet. 

n ue_count und ue_noinfo_count: 

Wie oben, hier aber pro Controller. 

Die Werte des Beispielsystems zeigt 

Listings 4 und 5. Der letzte Reset liegt 

demnach 27 759 752 Sekunden oder 

ungefähr 321 Tage zurück. Der Speicher-Controller 

verwaltet 64 GByte und 

es gab weder korrigierbare noch nicht 

korrigierbare Fehler. 

Empfehlungen für den Admin 

Das EDAC-Modul hinterlegt im Sys- 

Filesystem eine große Menge an Daten 

über Speicherfehler. Auch wenn man 

erwartet, dass sich solche Fehler nicht 

oft ereignen, sollte man seine Rechner 

regelmäßig darauf überprüfen. Schon 

mit einem einfachen Skript (Listing 6) 

n Listing 4: mc0/csrow0 

login2$ ls ‐s /sys/devices/system/edac/mc/mc0/csrow0 

total 0 

0 ce_count 0 ch0_dimm_label 0 edac_mode 0 size_mb 

0 ch0_ce_count 0 dev_type 0 mem_type 0 ue_count 

lassen sich die entsprechenden Files 

leicht auslesen. Es gibt auch bereits ein 

Nagios-Plugin [8] für diesen Zweck. Im 

High-Performance-Computing-Umfeld 

könnte man das Skript etwa in Ganglia 

integrieren [9]. 

Findet man auf diese Weise korrigierbare 

Fehler, heißt das nicht, dass der 

DIMM schlecht ist. Allerdings sollte man 

ihn im Auge behalten, um reagieren zu 

können, wenn die Fehlerrate ansteigen 

sollte. (jcb) n 

n Info 





n Listing 5: Werte des Beispielsytems 

login2$ more /sys/devices/system/edac/mc/mc0/ce_count 

0 

login2$ more /sys/devices/system/edac/mc/mc0/ce_noinfo_count 

0 

login2$ more /sys/devices/system/edac/mc/mc0/mc_name 

Sandy Bridge Socket#0 

login2$ more /sys/devices/system/edac/mc/mc0/reset_counters 

/sys/devices/system/edac/mc/mc0/reset_counters: Permission denied 

login2$ more /sys/devices/system/edac/mc/mc0/sdram_scrub_rate 

login2$ more /sys/devices/system/edac/mc/mc0/seconds_since_reset 

27759752 

login2$ more /sys/devices/system/edac/mc/mc0/size_mb 

65536 

login2$ more /sys/devices/system/edac/mc/mc0/ue_count 

0 

login2$ more /sys/devices/system/edac/mc/mc0/ue_noinfo_count 

0 

n Listing 6: Angepasstes Nagios-Plugin 

01 #!/bin/bash 

02 # 

03 # Original script: https://bitbucket.org/darkfader/nagios/src/ 

c9dbc15609d0/check_mk/edac/plugins/edac?at=default 

04 

05 # The best stop for all things EDAC is http://buttersideup.com/ 

edacwiki/ and the edac.txt in the kernel doc. 

06 

07 # EDAC memory reporting 

08 if [ ‐d /sys/devices/system/edac/mc ]; then 

09 # Iterate all memory controllers 

10 for mc in /sys/devices/system/edac/mc/* ; do 

11 ue_total_count=0 

12 ce_total_count=0 

13 for csrow in $mc/csrow* ; do 

14 ue_count=`more $csrow/ue_count` 

15 ce_count=`more $csrow/ce_count` 

16 if [ "$ue_count" ‐gt 1 ]; then 

17 ue_total_count=ue_total_count+$ue_count; 

18 fi 

19 if [ "$ce_count" ‐gt 1 ]; then 

20 ce_total_count=ce_total_count+$ce_count; 

21 fi 

22 done 

23 echo " Uncorrectable error count is $ue_total_count on 

memory controller $mc " 

24 echo " Correctable error count is $ce_total_count on 

memory controller $mc " 

25 done 

26 fi 


Admin 

Ausgabe 12-2013

62 

Know-how 

Windows Server 2012 R2 

Elena Elisseeva, 123RF 

Neues in Windows Server 2012 R2 

Herbstputz 

Letzten Monat ist die neueste Version des Serverprodukts von Microsoft erschienen. Dieser Artikel gibt 

einen Übersicht über die Neuerungen in Windows Server 2012 R2. Thomas Joos 

Mit Windows Server 2012 R2 bringt 

Microsoft den Nachfolger von Windows 

Server 2012 auf den Weg. Die neue Version 

bietet zahlreiche Neuerungen, vor 

allem im Bereich der Virtualisierung. 

Windows Server 2012 R2 ist die Serverversion, 

die optimal mit Windows 8.1 

zusammenarbeitet. Im Gegensatz zum 

Client-Update ist der Server allerdings 

nicht kostenlos verfügbar. Ausnahme 

ist die kostenlose Virtualisierungslösung 

Hyper-V Server 2012 R2. Diese bietet 

im Bereich der Virtualisierung alle 

Funktionen, die auch die Vollversion 

von Windows Server 2012 R2 besitzt. 

Wie bereits Windows Server 2012 ist 

auch die neue Version in den beiden 

Editionen Standard und Datacenter zu 

haben. Auch in Windows Server 2012 

R2 gibt es keine Enterprise-Edition 

mehr. Die Editionen Standard und Datacenter 

unterscheiden sich nicht mehr 

im Funktionsumfang, sondern nur noch 

bei der Lizenzierung. Cluster lassen sich 

zum Beispiel seit Windows Server 2012 

auch mit der Standard-Edition aufbauen. 

Das Lizenzmodell hat Microsoft 

im Vergleich zu Windows Server 2012 

nicht angepasst, die Preise dagegen 

schon. So ist die Datacenter-Edition 

etwa ein Drittel teurer als der Windows 

Server 2012. Bei der Standard-Edition 

bleibt allerdings der Preis gleich. Microsoft 

rechtfertigt die Preiserhöhung vor 

allem durch die zahlreichen neuen Features 

im Bereich der Virtualisierung. 

Neues Lizenzmodell 

Neu in Windows Server 2012 R2 ist die 

Möglichkeit, auf Basis von Enterprise 

Agreements bestimmte Lizenzen zu erwerben, 

die im Betrieb zusammen mit 

Windows Azure Kosten sparen sollen. 

Lizenzen von Windows Server 2012 R2 

sind direkt an die physische Hardware 

gebunden. Jede Lizenz deckt weiterhin 

zwei physische Prozessoren ab. Kunden 

dürfen mit der Standard-Edition 

außerdem bis zu zwei virtuelle Server 

auf dem lizenzierten Host betreiben. 

Beim Einsatz der Datacenter-Edition 

dürfen Anwender so viele virtuelle 

Server auf dem Host betreiben, wie die 

Hardware hergibt. Welche Edition man 

am besten einsetzt, muss man einfach 

ausrechnen. Als Faustregel lohnt sich 

die Anschaffung der Datacenter-Edition 

für alle, die auf einem Server mit zwei 

Prozessoren mehr als 14 virtuelle Server 

betreiben. Die Datacenter-Edition 

kostet 6155 US-Dollar, die Standard- 

Edition 882 US-Dollar. 

Weiterhin gibt es die Editionen Essentials 

und Foundation. Windows Server 

2012 R2 Essentials erlaubt die Anbindung 

von bis zu 25 Benutzern ohne zu- 


Know-how 


63 

Standard und Datacenter 

als Serverrolle 

zur Verfügung (Absätzliche 

Client-Zugriff-Lizenzen (CALs). 

Beim Einsatz von Windows Server 2012 

R2 Foundation darf auf dem Server nur 

ein Prozessor verbaut sein. Auch hier 

sind bei bis zu 15 Benutzern keine CALs 

notwendig. Der Preis für die Essentials- 

Edition wurde auf etwa 501 Dollar 

erhöht. Foundation ist direkt an die 

Hardware gebunden, da diese Edition 

nur als OEM-Version verfügbar ist. 

Für die Editionen Standard und Datacenter 

benötigen Anwender weiterhin 

CALs. Auch in Windows Server 2012 

R2 lassen sich diese benutzerbasiert 

oder pro Gerät erwerben, können aber 

weiterhin aufgesplittet werden. Es ist 

aber erlaubt, auch mit den CALs von 

Windows Server 2012 auf R2-Server 

zuzugreifen. 

Dieses Entgegenkommen gilt auch für 

die erweiterten Serverdienste wie die 

Rechteverwaltung und die Remote- 

Desktop-Dienste. Das heißt, Unternehmen, 

die bereits Windows Server 2012 

umfassend lizenziert und im Einsatz haben, 

müssen nur neue Serverlizenzen 

kaufen und können ihre Server direkt 

auf Windows Server 2012 R2 aktualisieren. 

Cloud und Virtualisierung 

überall 

Windows Server 2012 R2 soll noch 

Cloud-orientierter sein als Vorgängerversionen. 

Neben der Möglichkeit, Server 

über Windows Azure Online Backup 

in der Cloud zu sichern, arbeitet Hyper- 

V in Windows Server 2012 R2 eng mit 

Windows Azure Virtual Machines zusammen. 

In System Center Virtual Machine 

Manager 2012 R2 lassen sich die 

beiden Systeme parallel anbinden und 

virtuelle Server zwischen Netzwerk und 

Cloud verschieben. Außerdem arbeitet 

Hyper-V eng mit dem neuen Windows- 

Azure-Wiederherstellungs-Manager 

zusammen. Dieser ermöglicht Cloudbasierte 

Replikation und Sicherungen 

von virtuellen Servern auf Basis von 

Hyper-V oder Windows Azure Virtual 

Machines. 

Dank Datendeduplizierung lassen sich 

bereits in Windows Server 2012 doppelte 

Dateien auf Dateiservern finden 

und eliminieren. Mit Windows Server 

2012 R2 ist das jetzt auch auf virtuellen 

Festplatten möglich. 

Das kann auf Hyper-V- 

Hosts mit vielen virtuellen 

Servern deutlich 

Platz einsparen. 

VHDX-Dateien können 

Anwender in Windows 

Server 2012 R2 jetzt 

auch als iSCSI-Ziel zur 

Verfügung stellen, Windows 

Server 2012 unterstützt 

in diesem Bereich 

nur VHD-Dateien 

mit maximal 2 TByte. 

Verwalten lassen sich 

diese Bereiche jetzt 

in der PowerShell 4.0, 

da einige zusätzliche 

Commandlets integriert 

wurden. 

Eine weitere Verbesserung von Dateiservern 

in Windows Server 2012 R2 

ist die effizientere Verwendung von 

SSD-Festplatten. Diese lassen sich 

zusammen mit anderen Festplatten in 

Speicherpools zusammenfassen, was 

die Gesamtleistung eines Dateiservers 

deutlich beschleunigen kann. Windows 

Server 2012 kann bereits Netzwerkkarten 

zu Teams zusammenfassen. In 

Windows Server 2012 R2 hat Microsoft 

diese Funktionen deutlich erweitert 

und vereinfacht. Auch im Bereich Hyper-V 

lassen sich Netzwerkteams jetzt 

leichter und stabiler betreiben. 

Essenziell 

Windows Server 2012 R2 Essentials 

lässt sich in der neuen Version virtualisieren 

und so mit 

anderen Servern gemeinsam 

auf einem 

Virtualisierungshost 

betreiben. Außerdem 

stehen die Funktionen 

von Windows Server 

2012 R2 Essentials, 

zum Beispiel die Möglichkeit 

der Sicherung 

der Client-Rechner auf 

den Server oder der 

Remote-Webzugriff, 

auch in den Editionen 

Abbildung 1: Windows Server 2012 R2 Essentials lassen sich jetzt auch 

als Serverrolle für Niederlassungen einsetzen. 

bildung 1). Auf diesem Weg können 

Unternehmen Niederlassungen mit der 

Serverrolle bestücken. Beim Betrieb 

als Serverrolle kann der Server auch 

Mitgliedsserver sein und andere Domänencontroller 

nutzen. Als alleinstehender 

Server arbeitet Windows Server 

2012 R2 Essentials immer als Domänencontroller. 

Hyper-V in neuer Version 

Die neue Hyper-V-Version bietet alle 

Vorteile von Windows Server 2012 und 

erweitert diese noch. Zunächst lassen 

sich virtuelle Server in Windows Server 

2012 R2 auf drei Knoten replizieren, 

ohne einen Cluster zu betreiben – in 

Windows Server 2012 waren hier nur 

zwei Knoten möglich. Darüber hinaus 

kann Windows Server 2012 R2 den Da- 

Abbildung 2: Im erweiterten Sitzungsmodus sind virtuelle Server 

deutlich effizienter als mit Windows Server 2012 zu verwalten. 


Admin 

Ausgabe 12-2013

64 

Know-how 


Abbildung 3: Bei der Erstellung von VMs können Sie in Windows Server 

2012 R2 die Generation 2 aktivieren. Das kann virtuelle Server deutlich 

beschleunigen. 

tenverkehr bei der Live-Migration komprimieren. 

Dadurch beschleunigt sich 

die Übertragung von virtuellen Servern 

zwischen Cluster-Knoten deutlich. 

Außerdem nutzt die Live-Migration 

in Windows Server 2012 R2 in sehr 

schnellen Netzwerken »Remote Direct 

Memory Access« (RDMA). Diese Funktion 

kann sehr schnell die Inhalte des 

Arbeitsspeichers zwischen den Hosts 

verschieben. Die Technik beschleunigt 

die Live-Migration enorm. Hyper-V in 

Windows Server 2012 R2 unterstützt 

jetzt 4 TByte Arbeitsspeicher und bis 

zu 320 Prozessoren auf dem Host. 

Diese Grenze erreicht VMware erst mit 

der neuen Version 5.5 von vSphere. Die 

Verwaltung virtueller Server findet im 

Abbildung 4: Auch Windows Server 2012 R2 profitiert von den Verbesserungen 

der Oberfläche in Windows 8.1. 

Hyper-V-Manager über 

VM-Connect statt. In 

Windows Server 2012 

R2 arbeitet Hyper-V 

dazu mit dem RDP- 

Protokoll. Dieses müssen 

Sie nur einmal pro 

Hyper-V-Host aktivieren 

und können es auf 

allen angebundenen 

virtuellen Servern nutzen. 

Die Vorteile sind 

die höhere Auflösung, 

Drag-and-Drop zwischen 

Host und VM sowie die Möglichkeit, 

auch USB-Geräte in der Sitzung 

nutzen zu können. Natürlich lassen sich 

die erweiterten Sitzungen auch deaktivieren 

und an die eigenen Bedürfnisse 

anpassen (Abbildung 2). 

Virtuelle Festplatten auf Basis von 

VHDX-Dateien dürfen eine Größe von 64 

TByte erreichen. Im Gegensatz zu VMware 

vSphere 5.5 kann Windows Server 

2012 R2 diese Festplatten im laufenden 

Betrieb verbinden, abtrennen und 

die Größe der virtuellen Festplatten 

anpassen. Außerdem können Administratoren 

virtuelle Festplatten jetzt mehreren 

Servern auf einem Hyper-V-Host 

zuordnen (Shared VHDX). Für virtuelle 

Festplatten lassen sich jetzt auch Bandbreitenbegrenzungen 

vorgeben, ähnlich wie 

bei den erweiterten 

Features für virtuelle 

Switche. Das verhindert, 

dass ein virtueller 

Server eine virtuelle 

Festplatte zu stark auslastet. 

Hier lässt sich 

auch die Shared-VHDX- 

Funktion aktivieren. 

Ab Windows Server 

2012 R2 können Admins 

virtuelle Server 

im laufenden Betrieb 

exportieren und dabei 

auch die Snapshots 

berücksichtigen und 

mitnehmen. Ebenfalls 

neu ist die Generation- 

2-VM in Windows Server 

2012 R2 (Abbildung 

3). Diese nutzt keine 

emulierte Hardware 

mehr und beherrscht UEFI. Das beschleunigt 

virtuelle Server deutlich. 

Man kann bereits bei der Erstellung 

der VM auswählen, ob diese den 

Generation-2-Modus unterstützen soll. 

Diesen Modus unterstützen aber nur 

die Betriebssysteme Windows Server 

2012/2012 R2 und Windows 8/8.1. Allerdings 

bietet Microsoft auch für virtuelle 

Linux-Gäste Neuerungen. Diese laufen 

in Windows Server 2012 R2 deutlich 

schneller und unterstützen jetzt auch 

den dynamischen Arbeitsspeicher. 

Bereits mit Windows Server 2012 

hat Microsoft die Möglichkeiten der 

Netzwerk-Switche für Hyper-V deutlich 

erweitert und verbessert. Mit Hyper-V 

Network Virtualization (HNV) können 

Unternehmen einzelne virtuelle 

Netzwerke vom physischen Netzwerk 

trennen. Die virtuellen Server in diesen 

Netzwerken gehen davon aus, in 

einem echten physischen Netzwerk 

zu laufen. In Windows Server 2012 R2 

hat Microsoft diese Möglichkeit noch 

erweitert und HNV deutlich verbessert 

und beschleunigt. Wer sich noch nicht 

mit HNV auseinandergesetzt hat, findet 

im Microsoft Technet [1] umfassende 

Anleitungen dazu. Hyper-V Network 

Virtualization (HNV) unterstützt ab Windows 

Server 2012 R2 auch dynamische 

IP-Adressen. 

Windows 8.1 

Windows Server 2012 R2 und Windows 

8.1 arbeiten perfekt zusammen. Viele 

Richtlinieneinstellungen für Windows 

8.1, zum Beispiel die Möglichkeit, den 

Startbildschirm zu exportieren, zu 

importieren und Vorlagen zu erstellen, 

lassen sich nur mit Windows Server 

2012 R2 umsetzen. Über Gruppenrichtlinien 

können Administratoren 

die Veränderung des Startbildschirms 

anpassen (Abbildung 4). Wie Windows 

8.1 verfügt Windows Server 2012 R2 

jetzt ebenfalls wieder über einen Startknopf. 

Dieser öffnet zwar kein klassisches 

Startmenü, bietet aber über das 

Kontextmenü die Möglichkeit, Server 

zu verwalten und neu zu starten. Das 

erspart vor allem bei Remote-Desktop- 

Sitzungen einiges an Arbeit. Da Bitlocker 

in allen Editionen von Windows 

8.1 verfügbar ist, können Unternehmen 


Know-how 


65 

diese Technik zentral über Gruppenrichtlinien 

steuern. 

Um Windows Server 2012 R2 mit Windows 

8.1 zu verwalten, bietet Microsoft 

die Remote-Server-Verwaltungstools 

(Remote Server Administration Tools, 

RSAT) zum Download an. Mit den Tools 

installieren Sie auf einer Arbeitsstation 

mit Windows 8.1 alle Verwaltungsprogramme, 

die zur Verwaltung von Windows 

Server 2012 R2 notwendig sind. 

Mit den Tools verwalten Sie auch die 

Serverdienste in Windows Server 2012. 

Verwalten lassen sich die neuen Server- 

Versionen auch mit System Center 2012 

R2, das Microsoft gleichzeitig mit Windows 

Server 2012 R2 veröffentlichen 

will. 

Windows Server 2012 R2 verfügt generell 

über die gleiche Oberfläche wie 

Windows 8.1, bootet aber automatisch 

in den Desktop. Die Startseite ist hier 

nur optional. Befindet man sich auf der 

Startseite, reicht es, den Begriff zu einem 

bestimmten Element (App, Datei, 

Einstellung und so weiter) einzutippen. 

Bereits während der Eingabe wird automatisch 

die Suchleiste aktiviert. Der 

eingetippte Text erscheint automatisch 

im Suchfeld. Hier gibt der Anwender 

den Suchbegriff ein; im linken Bereich 

der Startseite erscheint das Ergebnis. 

Wichtige Systemprogramme zeigt Windows 

Server 2012 R2 im sogenannten 

Schnellmenü in der linken unteren 

Bildschirmecke an, die man über die 

Tastenkombination [Windows]+[X] erreicht. 

Alternativ führt ein Klick mit der 

rechten Maustaste auf den Startknopf 

ans Ziel. Klickt man auf der Startseite 

mit der rechten Maustaste auf eine 

App-Kachel, lässt sie sich von der 

Startseite in die Alle-Apps-Ansicht verschieben. 

Umgekehrt kann man Apps 

über ihr Kontextmenü in der Alle-Apps- 

Ansicht oder auf dem Desktop an die 

Startseite anheften. Die App bleibt aber 

weiterhin auf dem Server verfügbar. 

Über ein separates Tool [2] können Anwender 

das Schnellmenü auch bearbeiten 

und Befehle hinzufügen, entfernen 

und gruppieren. 

Abbildung 5: Nutzen der neuen Einstellungsmöglichkeiten 

in Windows Server 2012 R2. 

Bildschirmecken und 

PowerShell 

Diverse Einstelloptionen sind in 

Windows Server 2012 R2 über das 

Kontextmenü der Taskleiste und die 

neue Registerkarte »Navigation« in 

den Eigenschaften zu finden. Wir listen 

nachfolgend alle Optionen auf, auch 

diejenigen, die in Windows 8.1 sinnvoll 

sind: 

n Bewegt man die Maus in die rechte 

obere Ecke, zeigt Windows die 

Charmsbar an. Sie lässt sich auch 

mit [Windows]+[C] anzeigen (Abbildung 

5). 

n Beim Klicken auf die obere linke 

Ecke zwischen den zuletzt verwendeten 

Apps wechseln – mit einem 

Klick links oben in die Ecke kann der 

Anwender zwischen den gestarteten 

Windows-Apps umschalten. An 

dieser Stelle hat man aber nicht die 

Möglichkeit, zwischen Anwendungen 

auf dem Desktop zu wechseln. 

Diese fasst Windows in der Desktop- 

App zusammen. 

n Beim Rechtsklick auf die untere 

linke Ecke oder beim Drücken von 

[Windows]+[X] »Eingabeaufforde-

66 

Know-how 


Abbildung 6: Mit den Arbeitsordnern können Anwender Daten des Servers mit dem Notebook synchronisieren 

– ähnlich wie Offline-Dateien. 

rung« im Menü durch »Windows 

PowerShell« ersetzen – diese Option 

ersetzt die Eingabeaufforderung 

über das Kontextmenü des Startknopfes 

mit der Möglichkeit, die 

PowerShell zu starten. 

n Beim Anmelden anstelle der Startseite 

den Desktop anzeigen – mit 

dieser Option zeigen Windows 8.1 

und Windows Server 2012 R2 nach 

dem Start den Desktop an. 

n Desktop-Hintergrund auf der Startseite 

verwenden – ist diese Option 

aktiviert, zeigt die Startseite das 

gleiche Hintergrundbild an wie der 

Desktop. Dadurch entsteht der Eindruck, 

dass die Startseite durchsichtig 

ist. Dazu muss aber das Feature 

der Desktop-Darstellung in Windows 

Server 2012 R2 über den Server- 

Manager installiert sein. 

n Beim Drücken der Windows-Logo- 

Taste immer die Startseite in der 

Hauptanzeige starten – blendet die 

Startseite immer auf dem Hauptmonitor 

ein, wenn mehrere Monitore 

angeschlossen sind. Bewegt man 

den Mauszeiger in die linke untere 

Ecke des zweiten Bildschirms, öffnet 

sich auf diesem die Startseite. 

n Beim Aufrufen der Startseite automatisch 

die Ansicht »Alle Apps« 

anzeigen – zeigt nicht die Startseite 

an, sondern die Alle-Apps-Ansicht. 

Zusammen mit der Option »Desktop‐Apps 

in der Ansicht "Alle Apps" 

als Erstes auflisten, wenn nach Kategorie 

sortiert ist«, ergibt sich eine 

Ansicht ähnlich wie ein Startmenü. 

Nur ist dieses Menü über den kompletten 

Monitor verteilt. 

n Beim Suchen in der Ansicht »Alle 

Apps« überall suchen – diese Option 

ist nur aktiv, wenn Sie die Option 

»Beim Aufrufen der Startseite automatisch 

die Ansicht „Alle Apps“ 

anzeigen« aktivieren. 

n Desktop-Apps in der Ansicht »Alle 

Apps« als Erstes auflisten, wenn 

nach Kategorie sortiert ist – zeigt bei 

der Sortierung nach Kategorie in der 

Alle-Apps-Ansicht Programme des 

Desktops zuerst an. 

n In Windows Server 2012 R2 können 

Anwender in der Alle-Apps-Ansicht, 

die man über das Kontextmenü 

der Startseite startet, die Anzeige 

kategorisieren lassen. Dazu dient 

der Pfeil in der oberen Spalte. Die 

Alle-Apps-Ansicht lässt sich auch 

über den neuen Pfeil erreichen, der 

sich auf der Startseite links unten 

befindet. 

In Windows 8.1 und Windows Server 

2012 R2 exportiert das Commandlet 

»export‐startlayout« der PowerShell 

das Aussehen und die Konfiguration 

der Startseite in eine Datei. Das Commandlet 

»import‐startlayout« importiert 

die Einstellungen. Man kann diese 

Funktion auch dazu nutzen, auf lokalen 

Rechnern das Aussehen der Startseite 

vorzugeben. Dazu passt man zunächst 

die Startseite an, exportiert sie als XML- 

Datei und hinterlegt sie bei den Anwendern 

als Standardseite. Die Verteilung 

ist auch über Gruppenrichtlinien mit 

Windows Server 2012 R2 möglich. Der 

Befehl »get‐help Commandlet« zeigt 

eine Hilfe zum neuen Commandlet an. 

Administratoren in Unternehmensnetzwerken 

können sogar Veränderungen 

an der Startseite untersagen. Dazu gibt 

es ebenfalls in den Richtlinien von Windows 

8.1 und Windows Server 2012 R2 

die Option Startseitenlayout. Diese finden 

sich über »gpedit.msc« im Bereich 

»Benutzerkonfiguration\Administrative 

Vorlagen\Startmenü und Taskleiste«. 

In diesem Bereich können Admins die 

vorher exportierte Layout-Datei hinterlegen. 

Das funktioniert auch für lokale 

Rechner und lokale Richtlinien. 

Wer zu viel an der Startseite geändert 

hat und mit dem Ergebnis nicht zufrieden 

ist, kann auf den Standard nach 

der Installation zurückgehen. Dazu genügt 

es, im Explorer die folgenden Dateien 

zu löschen: »%Local AppData%\ 

Microsoft\Windows\appsFolder. 

itemdata‐ms« und »%LocalAppData%\ 

Microsoft\Windows\appsFolder.itemdata‐ms.bak«. 

Es ist natürlich auch möglich, 

die Dateien zu verschieben oder 

umzubenennen. Das hat den Vorteil, sie 

später wieder aktivieren zu können. 

Arbeitsplatznetzwerke und 

Arbeitsordner in Windows 8.1 

Mit Windows 8.1 bietet Microsoft zahlreiche 

Neuerungen für professionelle 

Anwender. Microsoft will mit Windows 

8.1 vor allem den Bring-Your-Own- 

Device-Ansatz (BYOD) von Unternehmen 

unterstützen. Ohne dass ein 

Windows 8.1-PC oder Tablet Mitglied 

einer Domäne ist, kann der Computer 

im Netzwerk oder über das Internet auf 

Unternehmensressourcen zugreifen. 

Außerdem ist es möglich, dass Anwender 

Daten in einem bestimmten Verzeichnis 

auf dem Client speichern und 

dieser Ordner mit Servern synchronisiert 

wird. Der Vorteil dabei ist, dass der 


Know-how 


67 

Inhalt der Arbeitsordner auf den Server 

gesichert und auf allen Rechnern des 

Anwenders zur Verfügung gestellt wird 

(Abbildung 6). Für jeden Benutzer kann 

Windows Server 2012 R2 einen Unterordner 

anlegen, in dem die Daten des 

Anwenders gespeichert werden und auf 

den nur der entsprechende Anwender 

Zugriff hat. 

Workplace Join geht in die gleiche 

Richtung und ermöglicht Anwendern 

auch ohne Domänenmitgliedschaft, 

auf Unternehmensressourcen zuzugreifen. 

Im Netzwerk muss dazu Windows 

Server 2012 R2 bereitgestellt sein. Das 

TechNet-Video auf [3] demonstriert die 

neuen Möglichkeiten der Workplace 

Folders. 

Administratoren können – ähnlich wie 

bei Exchange ActiveSync – Sicherheitsrichtlinien 

für Arbeitsplatznetzwerke 

und Arbeitsordner festlegen. Wenn sich 

ein Anwender zu einer Ressource mit 

seinem Gerät verbindet, muss er bestätigen, 

dass er diese Richtlinien einhält. 

So können Administratoren zum Beispiel 

festlegen, dass das Benutzerkonto 

auf dem zugreifenden Rechner besonders 

sicher sein muss. 

Viele Einstellungen für Windows 8.1, 

wie Arbeitsordner, Startseite und den 

App-Store, können Administratoren 

nur über Gruppenrichtlinien oder den 

Server-Manager vorgeben, wenn sie einen 

Server mit Windows Server 2012 R2 

einsetzen. Um Arbeitsordner für Windows 

8.1 bereitzustellen, müssen auf 

dem entsprechenden Dateiserver mit 

Windows Server 2012 R2 die Serverrolle 

»Datei‐/Speicherdienste\Datei‐ und 

iSCSI‐Dienste\Arbeitsordner« installiert 

sein. Die Arbeitsordner in Windows 

Server 2012 R2 lassen sich alternativ 

auch mit der PowerShell installieren. 

Dazu dient das Commandlet »Add‐WindowsFeature 

FS‐SyncShareService«. 

Wenn die Serverrolle installiert ist, 

steht im Server-Manager der Bereich 

»Datei‐ und Speicherdienste\Arbeitsordner« 

zur Verfügung. In diesem 

Fenster findet sich ein Assistent, der 

bei der Einrichtung der Arbeitsordner 

hilft. Mit ihm legen Administratoren 

die Verzeichnisse auf den Dateiservern 

fest, die Anwender über Arbeitsordner 

verwenden können. Es gibt auch 

die Möglichkeit, über den Assistenten 

bestimmten Benutzern und Gruppen 

den Zugriff zu gestatten. Unterhalb des 

Ordners auf dem Server legt Windows 

Server 2012 R2 automatisch Unterordner 

für die Benutzerkonten an. Auf die 

Unterordner haben nur die entsprechenden 

Anwender Zugriff. Nach der 

Einrichtung des Arbeitsordners muss 

der Administrator dann nur noch die 

entsprechenden Benutzerkonten in die 

Gruppe mit aufnehmen. Auch die Richtlinieneinstellungen 

lassen sich hier 

steuern. Ist der Ordner angelegt, wird 

er im Server-Manager angezeigt. 

Während der Einrichtung legt man 

fest, welche Ordner man auf dem lokalen 

Server über Arbeitsordner zur 

Verfügung stellt und welche Benutzer 

Zugriff auf die Arbeitsordner erhalten 

sollen. Damit der Zugriff stabil funktioniert, 

sollte man am besten Freigaben 

verwenden, auf die Anwender auch im 

internen Netzwerk über SMB zugreifen. 

Dann können Anwender nicht nur über 

die Arbeitsordner-Technologie in Windows 

8.1 auf den Inhalt des Ordners 

zugreifen, sondern auch mit einer normalen 

Freigabe. Alle freigegebenen Arbeitsordner 

sind im Server-Manager zu 

sehen, wo man über das Kontextmenü 

die Einstellungen bearbeiten und die 

Freigabe entfernen kann. 

Ohne SSL 

Standardmäßig erlauben Windows 

8.1 und Windows Server 2012 R2 den 

Zugriff auf Arbeitsordner nur über 

SSL. Das heißt, auf dem Client müssen 

Zertifikate und SSL angepasst und 

konfiguriert werden. Wer in Testumgebungen 

oder in Umgebungen, die ohne 

SSL-Zugriff funktionieren sollen, ohne 

SSL-Verbindungen mit Arbeitsordnern 

arbeiten möchte, muss auf den Clients 

einen Registry-Schlüssel setzen. Am 

besten geht das mit dem folgenden Befehl 

in der Befehlszeile: 

Reg add HKLM\SOFTWARE\Microsoft\WindowsU 

\CurrentVersion\WorkFolders /v AllowUnsecureU 

Connection /t REG_DWORD /d 1 

Mit einem weiteren Eintrag wird die 

Verbindung zum Server mit dem Arbeitsordner 

hergestellt: 

Reg add HKCU\Software\Microsoft\WindowsU 

\CurrentVersion\WorkFolders /v ServerUrl /tU 

REG_SZ /d http://Arbeitsordnerserver 

Um Zugriff auf den Arbeitsordner zu 

erhalten, startet man den Assistenten 

über »Systemsteuerung\System und 

Sicherheit\Arbeitsordner«. Das Programm 

erwartet den vollständigen 

Anmeldenamen des Anwenders, zum 

Beispiel »thomas.joos@contoso.int«. 

Man kann an dieser Stelle auch die 

E-Mail-Adresse verwenden, wenn man 

mit Exchange Server 2013 arbeitet. In 

diesem Fall muss der vollständige Anmeldename 

des Anwenders aber entsprechend 

angepasst werden. 

Nach der Anmeldung über den Anmeldenamen 

oder die E-Mail-Adresse 

verbindet der Server im Netzwerk den 

Anwender mit seinem Arbeitsordner. 

Wenn der PC nicht Mitglied der Domäne 

ist, erscheint noch ein Anmeldefenster. 

Hier muss der Anwender sich 

mit seinem Benutzernamen an der 

Domäne anmelden. Allerdings gilt das 

nur dann, wenn der Rechner noch kein 

Mitglied der Domäne ist. Wenn Sie die 

Arbeitsordner angepasst haben, bindet 

Windows diese im Explorer an. Alle Daten 

im Arbeitsordner synchronisiert der 

Client mit dem Server. Bindet man andere 

Rechner an den gleichen Arbeitsordner 

an, werden die Daten ebenfalls 

auf diesen Rechner synchronisiert. Das 

Kontextmenü eines Arbeitsordners im 

Explorer startet die Synchronisierung 

mit dem Server. (ofr) n 

n Info 

n Autor 





Thomas Joos ist freiberuflicher IT-Consultant und 

seit über 20 Jahren in der IT tätig. Neben seinen 

Projekten schreibt er praxisnahe Fachbücher und 

Fachartikel rund um Windows und andere Microsoft- 

Themen. Online trifft man ihn unter [http:// 

thomasjoos. spaces. live. com]. 


Admin 

Ausgabe 12-2013

68 

Security 


Remote-Zugriff mit dem Endian-Switchboard 

Sichere Fernsteuerung 

Die Fernwartung von technischen Systemen ist nicht nur bequem, sondern birgt auch Risiken. Dieser Artikel gibt 

einen Überblick über die Gefahren und stellt mit dem Endian-VPN-Switchboard ein System zum Aufbau einer effizienten 

Fernwartungsumgebung vor. Thomas Zeller 

Tatiana Popova , 123RF 

Die Steuerung und Fernwartung von 

Industrieanlagen wie Windparks, Kraftwerken 

oder Produktionsmaschinen 

über das Internet ist eine seit Jahren 

etablierte Praxis mit hohen Zuwachsraten. 

Das ist kein Wunder, denn so lassen 

sich Anlagen effizient und vor allem 

kostengünstig vom Hersteller warten. 

Doch spätestens seit des erfolgreichen 

Angriffs von „Stuxnet“ auf die Steuerungstechnik 

der iranischen Urananreicherungsanlage 

in Natanz sollten 

Verantwortliche stets ein wachsames 

Auge auf die Sicherheit haben. 

SCADA 

Für die Überwachung, Steuerung und 

Optimierung technischer Prozesse mit 

IT-Unterstützung hat sich der Begriff 

SCADA (Supervisory Control and Data 

Acquisition) inzwischen fest etabliert. 

Beschrieben wird damit in erster Linie 

ein Netzleitsystem für das Sammeln 

und Analysieren von Echtzeitdaten in 

Industrieanlagen. Egal ob beim Energieerzeuger, 

der Wasseraufbereitung, 

Smart Grid oder PKW-Produktion – 

praktisch kein Industriezweig kommt 

heute mehr ohne derartige Systeme 

aus. 

Neben ihrer Funktion als Datensammler 

bieten SCADA-Systeme in der 

Regel auch eine Fernwartungsschnittstelle. 

Sie erlaubt es Administratoren 

mit entsprechender Software, zum Beispiel 

Siemens STEP 7, über (IP-)Netzwerke 

auf Industriesteuerungen und 

Automatisierungssysteme wie 

etwa Simatic S7 zuzugreifen. 

Selbstverständlich müssen 

Zugriffe, die derart weitreichende 

Manipulationsmöglichkeiten 

gestatten, entsprechend 

abgesichert 

werden. Denn schließlich sind hier unter 

Umständen Gesundheit und Leben 

von Personen in Gefahr, beispielsweise 

wenn ein Industrieroboter eine mechanische 

Bewegung ausführt, solange 

sich ein Mensch im Gefahrenbereich 

aufhält. Dass es mit der Absicherung 

von Industriesteuerungen in der Praxis 

aber nicht sehr weit her ist, belegen 

zahlreiche Beispiele. 

So veröffentlichte beispielsweise das 

Research-Team (Project Basecamp) des 

auf SCADA-Sicherheit spezialisierten 

amerikanischen Beratungsunternehmens 

„Digital Bond“ im Rahmen des 

alljährlichen SCADA Security Scientific 

Symposium – kurz S4 – eine schier 

unüberschaubare Anzahl von Sicherheitslücken 

in verschiedenen Industriesteuerungen 

[1]. Korrespondierend 

zu den Sicherheitslücken in den Produkten 

so prominenter Hersteller wie 

General Electric, Schneider Electric und 

RA Allen-Bradley stellt Project Basecamp 

unter [2] auch gleich den Link 

zu passenden Metasploit-Modulen zur 

Verfügung, mit denen sich diese Lücken 

ausnutzen lassen. 

Der menschliche Faktor 

Doch nicht immer sind Sicherheitslücken 

in den Produkten das Problem, 

sondern die Menschen, die diese Produkte 

einsetzen. So lassen sich mit einer 

entsprechend formulierten Google- 

Suchanfrage („Google Hacking“) unschwer 

Systeme im Internet aufspüren, 

für deren Nutzung es überhaupt keiner 

Authentifizierung bedarf. Populärstes 

Beispiel sind IP-Kameras. Deren Videostreams 

kann man häufig ohne Authentifizierung 

aus dem Internet abrufen, 

manche lassen sich sogar vollständig 

steuern. Dazu sucht man mit dem »inurl«- 

oder »intitle«-Parameter in Google 


Security 


69 

einfach nach typischen Begriffen, 

die die Web-Interfaces der Kameras 

verwenden, zum Beispiel »Live View«, 

»Axis« oder »video server« (Abbildung 

1). Hier ein paar Beispiele: 

allintitle:"Network Camera NetworkU 

Camera" 

inurl:/view.shtml 

intitle:axis intitle:"video server" 

intitle:liveapplet 

Kritisch oder gar gefährlich kann es 

werden, wenn derartige Nachlässigkeiten 

in Kombination mit Sicherheitslücken 

in der Steuerung von Anlagen 

– nicht nur im Industrieumfeld – auftreten. 

So wurde im Frühjahr dieses Jahres 

beispielsweise bekannt, dass zahlreiche 

Heizungsanlagen vom Typ eco- 

Power 1.0 des Herstellers Vaillant über 

das Internet dem Missbrauch offen 

stehen. Diese Heizungsanlagen können 

vom Besitzer über eine iPad-App 

oder über ein Web-Interface gesteuert 

werden, zum Beispiel um die Temperatureinstellungen 

zu ändern oder einzelne 

Komponenten beziehungsweise 

die ganze Anlage abzuschalten. 

Über eine Sicherheitslücke im Web- 

Interface ließen sich die Passwörter im 

Klartext auslesen. Da sich die Anlagen 

an einem DynDNS-Dienst des Herstellers 

anmelden, konnten Anlagen durch 

Ausprobieren im Netz einfach ermittelt 

werden [3][4]. Die Kollegen von Heise- 

Security entdeckten gar Steuerungen 

größerer Einrichtungen und Organisationen, 

darunter eine Brauerei, ein 

Fußballstadion und eine Justizvollzugsanstalt 

[5]. 

Kritische Infrastrukturen 

Unter dem Begriff Kritische Infrastruktur 

(KRITIS) [6] fasst das Bundesinnenminsterium 

Institutionen und Einrichtungen 

mit wichtiger Bedeutung für das 

staatliche Gemeinwesen zusammen. 

Dazu gehören zum Beispiel Versorgungsunternehmen 

aus den Bereichen 

Energie, Ernährung, Gesundheit und 

des Transportwesens, aber auch Banken, 

Versicherungen und natürlich 

staatliche Stellen wie Regierung, Justiz 

und Katastrophenschutz. Die Politik 

diskutiert bereits seit Längerem eine 

Abbildung 1: Bereits über eine Google-Suche lassen sich viele Geräte aufspüren, die mit dem Internet 

verbunden sind, zum Beispiel Überwachungskameras. 

Meldepflicht für IT-Angriffe auf kritische 

Infrastrukturen und hat im Frühjahr 

2013 den Entwurf eines Gesetzes zur 

Erhöhung der Sicherheit informationstechnischer 

Systeme vorgelegt [7]. 

Schützenhilfe erhält der Innenminister 

dabei von der EU-Kommission, die 

mit der Cyber Security Directive ebenfalls 

einen entsprechenden Vorschlag 

erarbeitet hat [8]. Derlei Aktivitäten 

dokumentieren deutlich, wie hoch die 

Gefahr für elektronische Angriffe auf 

kritische Infrastrukturen von der Regierung 

eingeschätzt wird. 

Wie real die Gefahr für Industrieanlagen 

im Netz tatsächlich ist, bestätigt auch 

der Versuch des amerikanischen Sicherheitsexperten 

Kyle Wilhoit. Dieser 

hat in seinem Keller eine absichtlich 

unsicher konfigurierte Wasserpumpenstation 

aufgebaut, die sich nach außen 

hin als Kontrollsystem einer kleinstädtischen 

Wasserversorgung darstellte. 

Das Ergebnis: Schon nach wenigen 

Tagen lockte der Honeypot zahlreiche 

SCADA-Hacker an. Die vollständige Geschichte 

kann man unter [9] nachlesen. 

Auf dem Silbertablett 

Die Diskussion wird noch zusätzlich 

befeuert, da sich mit dem Internet verbundene 

Systeme heute ganz besonders 

leicht aufspüren lassen. So wertet 

die Suchmaschine Shodan [10] die 

Banner von Web-, FTP-, SSH-, Telnetund 

SNMP-Servern aus. Auf diese Weise 

kann man dann ganz gezielt nach verwundbaren 

Versionen von Serverdiensten 

suchen. Weiß man beispielsweise, 

dass Version 1.3.3c des populären 

ProFTPd-Servers über eine gravierende 

Sicherheitslücke verfügt, genügt es, 

Shodan mit folgendem String auf die 

Suche zu schicken: »ProFTPd 1.3.3c«. 

Kurze Zeit später präsentiert Shodan 

eine umfangreiche Liste von Servern, 

die diese Version installiert haben. 

Das Suchergebnis lässt sich dann 

noch weiter eingrenzen, so etwa auf 

bestimmte Länder, Städte oder sogar 

Organisationen. Shodan unterbreitet 

dafür auch gleich die passenden Vorschläge, 

indem es die »Top Countries«, 

»Top Cities« und »Top Organizations« 

auflistet (Abbildung 2). So kann man 

sich beispielsweise alle bei einem bestimmten 

Provider gehosteten Systeme 

anzeigen lassen, die diese verwundbare 

Serverversion einsetzen. 

Fernwartung und Sicherheit 

Ein wesentliches Motiv für die Vernetzung 

von Industrieanlagen mit dem 

Internet ist die Fernwartung. Über 

Fernzugriff auf die SPS oder den Steuerungsrechner 

haben Experten dann un- 


Admin 

Ausgabe 12-2013

70 

Security 


Abbildung 2: Die Spezialsuchmaschine Shodan wertet die Banner von Geräten im Internet aus. Auf 

diese Weise lassen sich leicht verwundbare Server oder Steuerungssysteme ausfindig machen. 

abhängig von ihrem Standort jederzeit 

die Kontrolle über das Steuerungssystem 

von Anlagen. Insbesondere Anlagen 

an schwer zugänglichen Orten, wie 

etwa Offshore-Windturbinen vor der 

Küste oder Ölfördertürme in der Wüste 

– profitieren von der Fernwartung. Aber 

auch Produktionsbetriebe erhalten 

auf diese Weise wesentlich schnellere 

Unterstützung bei Störungen, wenn der 

Wartungstechniker nicht erst anreisen 

muss. 

Die klassischen Fernwartungskonzepte, 

zum Beispiel über Modem- oder ISDN- 

n Wie funktioniert eine Industriesteuerung? 

Maschinen und Anlagen in der Industrie werden heute meist über speicherprogrammierbare Steuerungen 

(SPS beziehungsweise „Programmable Logic Controller“, kurz PLC) geregelt oder gesteuert 

und sind damit das zentrale Element für den Betrieb des jeweiligen Maschinen- oder Anlagentyps. 

SPS-Systeme werden in unterschiedlichen Bauformen (zum Beispiel als PC-Steckkarte oder modulare 

Baugruppe) von vielen Herstellern angeboten. Bekannte Hersteller sind zum Beispiel Siemens, 

Saia-Burgess, ABB, Schneider Electric und General Electric. Einen guten Überblick über die Hersteller 

von SPS-Systemen bietet [11]. 

Die SPS arbeitet mit einem eigenen Betriebssystem (Firmware) und verfügt über Ein- und Ausgänge, 

an denen Sensoren und Aktoren angeschlossen sind. Die Sensoren liefern Informationen aus der 

Maschine an die SPS, mithilfe der Aktoren steuert und regelt die SPS die angeschlossene Maschine. 

Sensoren und Aktoren werden in aktuellen Anlagen entweder über ein Bus-System (beispielsweise 

Feldbus) oder über ein Netzwerk (zum Beispiel Profi-Net) mit den Maschinen verbunden (Abbildung 

3). In vielen Fällen wird die SPS mit der entsprechenden Programmiersoftware direkt angesprochen. 

Alternativ kann aber auch ein Steuerungsrechner mit der SPS verbunden werden, mit dem sich das 

Wartungspersonal für Arbeiten an der SPS verbindet. 

Direkteinwahl, sind seit Jahren auf 

dem Rückzug. Grund sind einerseits 

die hohen Kosten für Punkt-zu-Punkt- 

Verbindungen und das Vorhalten der 

entsprechenden Infrastruktur sowie 

die niedrigen Datenübertragungsraten. 

Andererseits schreitet die Vernetzung 

von Industrieanlagen beispielsweise 

mit Produktionsplanungs- und Steuerungssystemen 

(PPS) ohnehin stetig 

voran, sodass die Isolation dieser Netze 

im Zeitalter des „Internets der Dinge“ 

wohl bald endgültig der Vergangenheit 

angehört. 

Natürlich birgt die Vernetzung von Anlagen 

mit anderen lokalen Netzen, zum 

Beispiel dem Office-Netzwerk sowie 

dem Internet, erhebliche Risiken. So 

muss unbedingt sichergestellt werden, 

dass zwischen den beteiligten Netzen 

tatsächlich auch nur die erwünschte 

Kommunikation stattfindet und nur 

berechtigte Benutzer Zugang zur Anlagensteuerung 

erhalten. Daher ist 

es ratsam, diese Netze zunächst mit 

Hilfe einer Firewall zu trennen. Ein 

entsprechend angepasstes Regelwerk 

vorausgesetzt, lassen sich die Anlagen 

durch den Einsatz einer Firewall auch 

wirkungsvoll vom Internet abkoppeln, 

sodass sie von dort nicht mehr direkt 

erreichbar sind. Auch Google und Shodan 

haben dann keine Chance mehr, 

diese Anlagen im Internet aufzuspüren. 

Abbildung 4 verdeutlicht das dahinter 

liegende Prinzip. 

Die Grenzen von VPN 

Da Firewallsysteme zumeist auch ein 

VPN-Gateway enthalten, ist es naheliegend, 

den Fernwartungszugriff auf die 

Anlage künftig über VPN abzuwickeln. 

Das funktioniert auch gut, allerdings 

nur solange an allen Standorten das 

gleiche VPN-Protokoll eingesetzt wird 

und sich die Netzadressen an den 

Standorten nicht überschneiden. 

Die Praxis sieht also meist anders aus, 

denn für den Netzbetrieb (und damit 

für die Firewall) zeichnet in der Regel 

die IT-Abteilung des jeweiligen Anlagenbetreibers 

verantwortlich. Die Techniker 

des Anlagenherstellers, die sich 

per Fernwartung auf die Maschinensteuerung 

aufschalten wollen, sehen 

sich daher schnell mit einem Wust un- 


Security 


71 

terschiedlicher VPN-Protokolle und Clients 

konfrontiert. Diese können meist 

nicht parallel auf einem Arbeitsplatzrechner 

installiert werden, sodass man 

oft gezwungen ist, auf virtuelle Rechner 

mit der zum jeweiligen Kunden passenden 

VPN-Konfiguration auszuweichen. 

Hinzu kommt noch ein wichtiger Sicherheitsaspekt: 

Sowohl auf Seiten des 

Fernwarters als auch auf Seiten des Anlagenbetreibers 

müssen die Firewalls 

die benötigten Protokolle passieren 

lassen. Und spätestens, wenn ein Fernwarter 

zwei Notfälle an unterschiedlichen 

Standorten betreut, die LAN-seitig 

zufällig das gleiche private IP-Netzwerk 

verwenden, muss einer der Kunden 

warten. 

Ein zusätzliches Problem tritt auf, 

wenn nicht jeder Mitarbeiter des 

Fernwartungsteams auf alle verfügbaren 

Anlagen zugreifen dürfen soll, 

beispielsweise weil bestimmte Anlagen 

nur von zertifiziertem Personal 

gewartet werden dürfen oder wenn die 

Sicherheitsbestimmungen ein Rollenkonzept 

fordern. Zwar können Firewalls 

prinzipiell auch den Traffic innerhalb 

von VPN-Verbindungen filtern, Regeln 

lassen sich hier aber nur auf Basis von 

IP-Adressen und Ports – nicht auf Benutzerebene 

– erzeugen. 

Intelligente Konzepte sind 

gefragt 

Für die Fernwartung sind daher Konzepte 

gefragt, mit denen sich diese 

(sicherheits)technischen Hürden überwinden 

lassen. Im Wesentlichen muss 

das Konzept den folgenden 

Anforderungen genügen: 

n Einsatz eines sicheren, 

Firewall-freundlichen 

und möglichst verbreiteten 

VPN-Protokolls; 

n nach Möglichkeit kein 

Öffnen der Firewall für 

eingehende Verbindungen 

erforderlich; 

n Management mehrerer 

gleicher IP-Netze an verschiedenen 

Standorten; 

n Berechtigungskonzept 

für Geräte und Benutzer. 

Während OpenVPN die 

ersten beiden Anforderungen in geradezu 

vorbildlicher Weise erfüllt, wird 

es bei den Anforderungen drei und 

vier schon schwieriger. Hier kommen 

Speziallösungen wie das Endian-VPN- 

Switchboard [12] ins Spiel. 

Endian-VPN-Switchboard 

Dabei handelt es sich um einen VPN- 

Concentrator, der als Software-Erweiterung 

zu der bekannten Open-Source- 

Firewall des Südtiroler Unternehmens 

Endian [13] erhältlich ist. Im Vordergrund 

stehen die VPN-Funktionalität 

und das Berechtigungssystem für Geräte 

(Gateways), Endpoints (Wartungsobjekte) 

und Benutzer (Fernwarter). 

Der VPN-Concentrator nimmt dabei 

immer nur eingehende Verbindungen 

entgegen, denn der Verbindungsaufbau 

wird immer von den beteiligten Endpunkten 

initiiert. Das bringt einen enormen 

Sicherheitsgewinn mit sich, weil 

Abbildung 4: Ein Mindestmaß an Sicherheit bietet die Trennung des Steuerungs- oder 

SPS-Netzes der Industrieanlage vom Office-Netz mithilfe einer Firewall. Die Firewall 

verhindert auch, dass die Netzwerke direkt aus dem Internet erreichbar sind. 

Abbildung 3: Schematische Darstellung eines SCADA-Systems. 

weder die Netze der Wartungsobjekte 

noch das Netz der Fernwarter für eingehende 

Verbindungen geöffnet werden 

muss. In einer gedachten Stern-Topologie 

bildet das Endian-Switchboard 

damit das Zentrum des Sterns. 

Ist die VPN-Switchboard-Komponente 

lizenziert, taucht in der Web-GUI der 

Firewall ein zusätzlicher Menüpunkt 

auf, unter der diese Funktionen 

aktiviert werden können. Die UTM- 

Funktionen der Firewall stehen im 

VPN-Switchboard natürlich ebenfalls 

zur Verfügung. So kann beispielsweise 

der Netzwerkverkehr im VPN auch 

mit dem Intrusion-Detection-System 

analysiert und gefiltert werden. Gemeinsame 

Basis für die Vernetzung unterschiedlicher 

Anlagenstandorte per 

VPN ist der OpenVPN-Server auf dem 

Endian-Switchboard. Als Gegenstelle 

n Standortvernetzung 

Die hier für die Fernwartung von Industrieanlagen 

formulierten Anforderungen treffen auch auf andere 

Szenarien zu. Müssen beispielsweise mehrere bisher 

unabhängige Standorte eines Unternehmens via VPN 

vernetzt werden, findet man häufig auch dort die 

gleichen IP-Netze an mehreren Standorten. 

Die Einführung einer User-basierten Berechtigungsstruktur 

mit zentralem Benutzermanagement bringt 

auch anderen Organisationen viele Vorteile, zum 

Beispiel um Kunden oder Lieferanten selektiv Zugang 

zu bestimmten Systemen oder Diensten zu gewähren. 

Auch die Vernetzung mobiler Außenstellen 

(Speditionen, Polizei, Rettungsdienste, Militär), Fillialbetriebe, 

medizinische Einrichtungen (Telemedizin) 

und das „Internet der Dinge“ können von diesem 

Ansatz profitieren. 

Quelle: Wikipedia 


Admin 

Ausgabe 12-2013

72 

Security 


Abbildung 5: Ein VPN-Concentrator wie das Endian-Switchboard bietet ein zentrales Berechtigungssystem 

für Gateways sowie Benutzer und kann auch mit dem Problem umgehen, dass mehrere 

Standorte die gleichen IP-Netze verwenden. 

auf Anlagenseite kommt prinzipiell jedes 

OpenVPN-fähige Endgerät in Frage, 

das Verbindungen über ein TAP-Device 

und Preshared Key (PSK) mit Benutzernamen 

und Passwort aufbauen kann. 

Viele (Industrie-)Router-Modelle, zum 

Beispiel [14],[15] und [16], bringen bereits 

einen OpenVPN-Client mit, sodass 

man hier nicht auf einen Hersteller festgelegt 

ist. Endian bietet mit seinen 4i- 

Modellen der Endian-Firewall ebenfalls 

geeignete Endgeräte an. Diese lassen 

Abbildung 6: Der OpenVPN-Server des Endian Switchboard ist über den HTTPS-Port TCP/443 erreichbar, 

die Größe des VPN-Subnetzes sollte dem geplanten Umfang der Installation Rechnung 

tragen. 

sich zusätzlich komfortabel über das 

Endian-Switchboard provisionieren und 

mithilfe eines USB-Sticks am Remote- 

Standort automatisch konfigurieren. 

Für den Remote-Zugriff durch das 

Wartungspersonal liefert Endian mit 

dem Switchboard einen kostenfreien 

Software-Client (Endian-4i-Connect-Client) 

aus. Dieser ist derzeit leider nur für 

Windows erhältlich, eine Mac- und eine 

Linux-Version sind nach Angaben des 

Herstellers aber in Arbeit. Das Fernwartungspersonal 

verbindet sich mithilfe 

des Clients dann zum Endian-Switchboard 

und erhält dort – abhängig von 

der individuellen Zugriffsberechtigung 

– Zugang zu den verbundenen Anlagensteuerungen. 

Bevor es um die Einrichtung des Systems 

geht, gibt es zuerst noch einen 

Überblick über ein typisches Fernwartungsszenario 

mit dem Endian-Switchboard. 

Dabei darf Fernwarter A lediglich 

auf Industrieanlage A und Fernwarter 

B auf Industrieanlage B zugreifen 

(Abbildung 5). Sind entsprechend viele 

Anlagenstandorte, Fernwarter und Endpoints 

vorhanden, lassen sich die Zugriffsberechtigungen 

komfortabel auf 

Basis von Gruppenrechten vergeben. 

OpenVPN-Concentrator mit 

Firewall 

Wie schon kurz angesprochen, ist das 

Endian-Switchboard eine Software- 

Erweiterung zur Endian-Firewall und 

ist damit entweder als Hardware- 

Appliance oder als Software für den 

Betrieb auf eigener physischer oder 

virtueller Hardware erhältlich. Administratoren, 

die bereits Erfahrung mit der 

Endian-Firewall oder anderen IPCOP- 

Abkömmlingen haben, werden sich in 

der Basiskonfiguration sofort zurechtfinden. 

Die Endian-Firewall arbeitet mit 

einem durch Farben gekennzeichneten 

Zonenmodell für die unterschiedlichen 

Netzbereiche. Grün kennzeichnet dabei 

das interne Netzwerk, rot ist für die 

WAN-Anbindung zuständig. 

Für den Betrieb als VPN-Concentrator 

werden mindestens diese beiden 

Zonen benötigt. Optional bietet die 

Endian-Firewall aber noch zwei weitere 

Zonen für die Anbindung eines 

Wireless-LAN (blau) und einer oder 


Security 


73 

mehrerer DMZs (orange) an. In unserem 

Test-Szenario erhält die grüne Schnittstelle 

eine IP-Adresse aus dem LAN 

192.168.0.15 und das WAN-Interface 

(rot) eine offizielle IP-Adresse aus dem 

vom Provider bereitgestellten IP-Pool. 

VPN-Server vorbereiten 

Im nächsten Schritt aktivieren Sie unter 

»VPN | OpenVPN Server | OpenVPN Server 

enabled« den OpenVPN-Server und 

vergeben ein eigenes privates Subnetz 

für das Fernwartungs-VPN. Wählen Sie 

die Netzgröße entsprechend großzügig, 

damit Sie später genügend Luft für die 

Anbindung von Außenstellen und Fernwartungspersonal 

haben. Im Beispiel 

soll folgendes Netz zum Einsatz kommen: 

10.0.0.0/16 (Host Range: 10.0.0.1 

bis 10.0.255.254 = 65 534 Hosts); das 

sollte für längere Zeit ausreichen. 

Stellen Sie nun unter »Advanced« das 

Protokoll auf TCP und den Port auf 443 

um, damit der OpenVPN-Server Verbindungen 

auf dem HTTPS-Port entgegennimmt 


OpenVPN-Verbindungen können auch 

über einen HTTP-Proxy laufen, sodass 

der VPN-Server später auch von Anlagennetzen 

oder Clients erreichbar ist, 

die sich hinter einer (weiteren) Firewall 

befinden. Stellen Sie nun noch den Authentication-Typ 

auf »PSK« und laden 

Sie das CA-Zertifikat sowie den VPN- 

Client vom Switchboard herunter. Die 

Konfiguration des OpenVPN-Servers 

auf dem VPN-Concentrator ist damit 

bereits abgeschlossen. 

Switchboard-Konfiguration 

Wechseln Sie zum Menüpunkt »Virtual 

Switchboard | Settings« und tragen 

Sie die offizielle IP-Adresse in das Feld 

»OpenVPN server public IP address« 

ein, unter der das VPN über das Internet 

erreichbar sein soll. Bleibt das 

Feld leer, übernimmt das Switchboard 

automatisch die IP-Adresse vom WAN- 

Interface. Als nächstes benötigen Sie 

ein weiteres virtuelles Subnetz und 

aktivieren deshalb »Enable automated 

virtual subnet assignment« – in unserem 

Test-Szenario ist dies das IP-Netz 

172.16.0.0/10. Aus diesem Netz erhalten 

später die Endpoints – das sind 

die Systeme hinter den VPN-Gateways 

Abbildung 7: Das Herzstück des Endian-Switchboard bildet die Gateway- und Benutzerverwaltung. 

Hier werden die VPN-Gegenstellen sowie die dahinter betriebenen Endpunkte definiert und festgelegt, 

über welche Protokolle diese angesprochen werden dürfen. 

in den Außenstellen – typischerweise 

also die Industriesteuerung oder der 

Steuerungsrechner – ihre virtuellen 

Adressen. Speichern Sie den Dialog mit 

dem »Save«-Button, bevor Sie in den 

nächsten Konfigurationsbereich »Actions« 

wechseln. 

In Aktion 

Unter Actions versteht das Endian- 

Switchboard die Protokolle, mit denen 

der Fernwarter später auf die jeweiligen 

Endpoints zugreifen kann. Typischerweise 

kommen hier HTTP, RDP, VNC, 

SSH oder Telnet zum Einsatz. Prinzipiell 

können hier aber auch andere Protokolle 

definiert werden, solange sie sich 

durch einen VPN-Tunnel transportieren 

lassen. Endian-Switchboard unterscheidet 

bei den Actions nur zwei generelle 

Typen: URLs und Programme. Mit 

einer Action vom Typ URL lassen sich 

Webadressen entweder auf dem Endpoint 

selbst sowie dem internen oder 

externen Interface des VPN-Gateways 

in der Außenstelle aufrufen. Dazu ist im 

Feld »Action URL« lediglich der entsprechende 

Platzhalter anzugeben: 

%DEVICE_IP% 

%SERVER_EXTERNAL% 

%SERVER_INTERNAL% 

Actions vom Typ »Programm« dienen 

hingegen dazu, auf dem Rechner des 

Fernwarters installierte Applikationen 

direkt aus dem Client zu starten und 

der Applikation gleich die korrekten Parameter 

(IP-Adresse) zu übergeben. Um 

beispielsweise den TightVNC-Viewer 

mit der IP-Adresse eines Endpoints 

aufzurufen, geben Sie folgenden Kommandopfad 

und Kommandoargumente 

an: 

Command path: %PROGRAM_PATH%\TightVNCU 

\tvnviewer.exe 

Command args: ‐host=%DEVICE_IP% ‐port=U 

5900 

Über die »Action Profiles« können die 

auf diese Weise definierten Actions in 

Gruppen zusammengefasst werden. So 

lassen sich diese später komfortabel 

einzelnen Benutzern oder auch kompletten 

Benutzergruppen zuweisen 



Admin 

Ausgabe 12-2013

74 

Security 


Abbildung 8: Über die Benutzerprofile können den Benutzern Rollen 

zugeordnet werden. Diese Rollen entscheiden beim späteren Login 

mit dem Client darüber, welche Berechtigung der Benutzer auf bestimmten 

Gateways und Endpoints erhält. 

Unter »Benutzer« legen Sie die Credentials 

für die Fernwartungsbenutzer an. 

Die hier definierten Zugangsdaten müssen 

also später für den Verbindungsaufbau 

im Software-VPN-Client eingetragen 

werden. Abhängig von ihrer Berechtigung 

können die Benutzer dann 

direkt über die Client-Verbindung mit 

den für sie freigegebenen Protokollen 

(Actions) auf die Fernwartungsobjekte 

(Gateways beziehungsweise Endpoints) 

zugreifen. 

Benutzerrollen 

Folgende Benutzerberechtigungen stehen 

zur Verfügung: 

n »Superuser«: Vollzugriff. 

n »Can create groups«: Der Benutzer 

darf Benutzergruppen erstellen, ändern 

und löschen. 

n »Can manage Actions«: Der Benutzer 

darf weitere Actions & Zugriffsprotokolle 

erstellen, ändern und löschen. 

n »Can use API«: Der Benutzer darf die 

API verwenden. 

n »Push route to GREEN / BLUE / 

ORANGE zone«: Legt die Netze fest, 

in die Routen übertragen werden. 

Nachdem die Benutzer im System 

angelegt wurden, lassen sie sich in 

Gruppen organisieren 

(Abbildung 8). Dabei 

unterscheidet das 

Switchboard zwischen 

Berechtigungen für die 

Gruppe selbst (Administrator 

oder Member) 

und solchen für den 

Zugriff auf Gateways 

und auch Gateway- 

Gruppen (Regular User 

oder Manager). So 

können die Berechtigungen 

der Benutzer 

noch feiner abgestuft 

gesetzt werden: Beispielsweise 

darf ein 

Gruppen-Administrator 

zwar weitere 

Benutzer anlegen, aber 

eben keine Zuweisung 

von Benutzern zu Gateways 

vornehmen. 

Gateways, 

Groups & Connections 

Zu guter Letzt müssen Sie jetzt noch 

die Gateways sowie die Endpoints im 

Switchboard anlegen. Zur Erinnerung: 

Unter einem Gateway versteht das 

Switchboard ein (Open)VPN-Device, 

das in einer Außenstelle für den Zugang 

zu den Endpoints sorgt. Die Zugangsdaten, 

die Sie hier für ein Gateway 

definiert haben, müssen also später 

zusammen mit dem CA-Zertifikat auf 

dem VPN-Router in der Außenstelle als 

Einwahl-Credentials hinterlegt werden. 

Auch die Gateways können wieder zu 

Gruppen zusammengefasst werden, die 

sich dann Benutzern beziehungsweise 

Benutzergruppen zuordnen lassen. 

Diese Einstellung nimmt man entsprechend 

unter »Member of gateway 

groups« beziehungsweise »User permissions 

on this gateway« vor. 

Im Menü »Endpoints« werden nun 

noch die eigentlichen Fernwartungsobjekte 

definiert, im Normalfall also 

die Industriesteuerung oder der zugehörige 

Steuerungsrechner. Wählen Sie 

zunächst die gewünschte Größe für das 

virtuelle Endpoint-Netzwerk (maximale 

Anzahl Wartungsobjekte) und klicken 

Sie auf »Add Row«, um ein neues Wartungsobjekt 

oder Endpoint anzulegen. 

Jedem Endpoint ordnen Sie dann die 

IP-Adresse zu, die das Gerät im jeweiligen 

Netzwerk erhält. Unter »Action Profiles« 

wählen Sie die Protokolle aus der 

Liste aus, über die das Device später 

vom Fernwarter erreicht werden kann. 

Jeder Endpoint lässt sich zudem auch 

einzeln aktivieren beziehungsweise 

deaktivieren. 

Wenn Sie alle Endpunkte hinter ihren 

Gateways angelegt haben, werden sie 

unter dem Menüpunkt »Connections« 

im Switchboard-Menü übersichtlich 

angezeigt. Dazu klicken Sie einfach auf 

den kleinen grünen Pfeil vor dem jeweiligen 

Gateway, um die Liste zu öffnen. 

Hier ist nun auch ersichtlich, unter welcher 

virtuellen IP-Adresse der Endpoint 

über das VPN für den Fernwarter zu 

erreichen ist (virtuelle IP aus dem Pool 

für die Endpoints) und welcher Benutzer 

die Verbindung gegebenfalls aktuell 

bereits verwendet. 

Außenstellen anbinden mit 

OpenVPN 

Für die Anbindung von Außenstellen – 

in Switchboard-Notation »Gateways« 

genannt – ist lediglich ein OpenVPNfähiges 

Endgerät erforderlich, das den 

TAP- und PSK-Modus unterstützt. Die 

meisten Industrie-Router und viele 

Open-Source-Firewallsysteme erfüllen 

diese Voraussetzungen. So auch die 

Endian-Firewall, einschließlich der 

kostenfreien Community-Edition [17]. 

Die kommerziellen Endian-Firewall- 

Appliances können über das Switchboard 

auch automatisch provisioniert 

und dann per USB-Stick am Einsatzort 

konfiguriert werden. Für unseren Test 

kamen zwei Endian-Systeme zum 

Einsatz, die zur besseren Nachvollziehbarkeit 

für andere Geräte im Folgenden 

manuell konfiguriert werden. 

Nach der Inbetriebnahme der Firewall 

an einem DSL-Anschluss mit dynamischer 

IP-Adresse und der Einbindung 

ins lokale Netz (Default-IP-Adresse 

192.168.0.15), ist lediglich noch die 

VPN-Verbindung zu konfigurieren. Dazu 

wechseln Sie nach »VPN | OpenVPN 

Client (Gw2Gw)« und tragen unter »Verbinden 

mit« die öffentliche IP-Adresse 

des Endian-Switchboards und – Achtung, 

Falle! – nach einem Doppelpunkt 


Security 


75 

zusätzlich den Port 443 ein. Laden Sie 

das CA-Zertifikat vom Switchboard auf 

die Firewall hoch und geben Sie jenen 

Benutzernamen und das Passwort an, 

die Sie dem Gateway im Switchboard 

zugeordnet haben. Nun müssen Sie 

unter »Erweiterte Tunnelkonfiguration« 

noch den Gerätetyp »TAP« und als 

Protokoll »TCP« auswählen. Nachdem 

Sie diese Einstellungen gespeichert haben, 

baut die Firewall den VPN-Tunnel 

selbstständig zum Switchboard auf. 

Die VPN-Verbindung taucht auf dem 

Switchboard dann unter »VPN | Open- 

VPN Server | Connection status and 

control« mit ihrer realen (öffentlichen) 

und der IP-Adresse aus dem VPN-Pool 

auf (Abbildung 9). 

Endian-4i-Connect-Client 

Nachdem die Außenstelle(n) und damit 

die dahinterliegenden Geräte nun per 

VPN an das Switchboard angebunden 

sind, können sich jetzt die Fernwarter 

über den Endian-4i-Connect-Client 

mit dem Switchboard verbinden. Für 

die Verbindungsaufnahme tragen Sie 

die öffentliche IP des Switchboard im 

Client ein, Benutzername und Passwort 

haben Sie zuvor auf dem Switchboard 

im Bereich »Virtual Switchboard | 

Users« definiert. Sofern Sie keinen 

HTTP-Proxy einsetzen, über den die 

OpenVPN-Verbindung transportiert 

werden soll, ist am Client nichts weiter 

Abbildung 9: VPN mal einfach: Geräte, die einen OpenVPN-Client mit TAP- und PSK-Unterstützung 

mitbringen, lassen sich mit wenigen Mausklicks an das Endian-Switchboard anbinden. 

einzustellen. Der 4i-Connect-Client 

stellt eine Kombination aus VPN-Client 

und Browser dar, der – in Abhängigkeit 

von der Berechtigung des jeweiligen 

Benutzers – die Einstellungen aus 

dem Switchboard-Menü eins zu eins 

in den Client überträgt (Abbildung 10). 

Dort können diese dann auch editiert 

werden. Auf dem Karteireiter »Verbindungen« 

werden nach dem Verbindungsaufbau 

die per VPN verbundenen 

Außenstellen sowie die dahinterliegenden 

Geräte (Endpoints) angezeigt. Das 

Wartungspersonal kann sich nun per 

Klick auf das »Connect«-Icon mit den 

Gateways verbinden und erhält damit 

auch Zugriff auf die Endpoints. Dazu 

kommen die im Switchboard als »Action« 

definierten Protokolle oder URLs 

zum Einsatz.

76 

Security 


Abbildung 10: Der Fernwarter verbindet sich über den Endian-4i-Connect-Client mit dem Switchboard und wählt aus der Liste den Endpoint aus, 

mit dem er sich verbinden möchte, zum Beispiel per Remote-Desktop-Protokoll auf einen Windows-Steuerungsrechner. 

n Info 

n Autor 

Die Preise für die Erweiterungssoftware, 

die aus einer Endian-Firewall ein 

Endian-Switchboard machen, standen 

zum Redaktionsschluss noch nicht fest. 

Das Lizenzmodell für die Switchboard- 

Komponente sieht eine Lizenzierung 

auf Basis der aktivierten VPN-Tunnel 

vor. Darunter fallen sowohl die Tunnel, 

die von den Gateways an den 

Außen standorten zum Switchboard 





Thomas Zeller ist IT-Consultant 

und beschäftigt sich seit über 

15 Jahren mit IT-Sicherheit 

und Open Source. Er ist Autor/ 

Co-Autor der Bücher „OpenVPN 

kompakt“ und „Mindmapping mit 

Freemind“. Im richtigen Leben ist 

er IT-Unternehmer und Geschäftsführer 

eines mittelständischen IT- 

Systemhauses und verantwortet 

dort auch den Geschäftsbereich 

IT-Sicherheit. 

aufgebaut als auch jene, die vom Fernwartungspersonal 

mit dem Software- 

Client genutzt werden. Hinzu kommen 

die Anschaffungskosten für die Hardware- 

oder Software-Appliance und für 

Software-Wartung und Support. Der 

Einstiegspreis für die Endian-Appliances 

liegt bei 775 Euro (Endian Mini) 

beziehungsweise 990 Euro (Endian 4i 

Edge 300) plus Maintenance. 

Fazit 

Das Endian-Switchboard ist ein 

VPN-Concentrator mit erweiterten 

n Sonderfunktionen per API 

Eine äußerst interessante Ergänzung des 

Endian-VPN-Switchboards stellt die mitgelieferte 

Programmierschnittstelle (API) 

dar. Durch den Einsatz der API lässt sich 

die Funktionalität des Switchboards auch 

ohne den Endian-4i-Connect-Client, zum 

Beispiel in eigenen Applikationen, nutzen. 

Das macht im Fernwartungsumfeld 

durchaus Sinn, denn hier kommt häufig 

Spezialsoftware für die Kommunikation 

mit den Steuerungsanlagen zum Einsatz. 

Die API verwendet HTTPS für die Kommunikation. 

Dabei werden Requests an das Switchboard 

entweder als HTTPS-GET oder 

Funktionen. Das damit realisierbare 

VPN-Konzept stellt überall dort einen 

interessanten Lösungsansatz dar, 

wo Standorte mit überlappenden IP- 

Adressbereichen vernetzt und Benutzer 

mit verschiedenen Rollen über ein 

restriktives Zugriffskonzept eingebunden 

werden sollen. Sämtliche VPN- 

Verbindungen werden am Switchboard 

an zentraler Stelle zusammengeführt, 

sodass die Firewalls an den per VPN 

angebundenen Standorten nicht für 

eingehende Verbindungen geöffnet 

werden müssen. (ofr) n 

HTTPS-POST-Wert gesendet, die Rückmeldung 

des Switchboard auf gültige Requests 

erfolgt dann JSON-encoded. JSON 

(Javascript Object Notation) ist ein kompaktes 

Datenformat für den Austausch 

von Daten zwischen Anwendungen in 

Textform. 

Um die API zu aktivieren, muss man auf 

der Settings-Seite des Switchboard zunächst 

einen API-Key erzeugen. Dieser 

Key wird dann zusammen mit dem Benutzernamen 

und Passwort eines berechtigten 

Benutzers (benötigt Superuser- und 

API-Rechte) an das Switchboard übertragen, 

um dort Befehle auszuführen. 


78 

Security 


Malware analysieren und bekämpfen 

Code- 

Kontrolle 

Unter Linux gibt es ausgefeilte Werkzeuge, 

die die Einfallstore für Malware bloßstellen. 

Andrew Henderson 

Anan Kaewkhammul , 123RFa 

Die potenzielle Gefahr von Malware 

bleibt eine Sorge, die viele Computer- 

Benutzer umtreibt. Der Desktop-PC, 

das Smartphone bis hin zu den netzwerkfähigen 

Kleingeräten rund ums 

Haus und Büro sind potenziell anfällig 

für tausende Rootkits, Spyware und 

Trojaner. So schnell Antivirenhersteller 

neue Methoden entwickeln, um Malware 

zu entdecken und abzuwehren, so 

schnell entwickeln Virenhersteller neue 

Methoden, um diese Absicherungen zu 

umgehen. 

Linux-Benutzer profitieren seit Langem 

von der minimalen Aufmerksamkeit, 

die Virenentwicklern ihrem Betriebssystem 

schenken. Zwar existiert Malware 

auch für ihre Plattform, aber die 

meisten Linux-Systeme bleiben ihr 

verschlossen, denn eine der großen 

Stärken quelloffener Software besteht 

in der Geschwindigkeit, mit der sicherheitsrelevante 

Fehler bemerkt, diagnostiziert 

und repariert werden. Diese 

gute Reaktionsfähigkeit begrenzt das 

Zeitfenster, in dem bösartige Software 

Anfälligkeiten ausnutzen kann. Nur 

wenn es einer Malware gelingt, einen 

Benutzer mit Superuser-Rechten zur 

freiwilligen Installation zu überreden 

oder ein System nicht korrekt konfiguriert 

oder aktualisiert ist, kann sie einen 

Linux-Rechner infizieren. 

Windows-Benutzer haben weniger 

Glück. Auf über einer Milliarde PCs 

weltweit laufen verschiedene Windows- 

Varianten und seine sehr große Verbreitung 

macht das Betriebssystem zu 

einem verlockenden Ziel für Virenentwickler. 

Die Größe und Komplexität der 

Windows-Codebasis sowie Verzögerungen 

bei der Fehlerbehebung führen zu 

einladenden Einfallstoren für Malware- 

Programmierer. 

Doch Windows stehen zwei ungewohnte 

Verbündete im Kampf gegen 

Malware zur Seite: Linux und Open- 

Source-Software. Zahlreiche Linux- 

Tools kommen zum Einsatz, um Analysen 

von Windows-Malware zu erstellen 

und Software-Qualität zu erhöhen. Entwickler 

verwenden diese Werkzeuge, 

um besseren und sichereren Code zu 

schreiben, während sie Forschern zu 

neuen Erkenntnissen über die Vorgehensweise 

von Malware verhelfen. 

Diese Software-Analysewerkzeuge fallen 

in zwei Kategorien: statische und 

dynamische. Statische Tools untersuchen 

den Binär- oder den Sourcecode 

eines Programms, um herauszufinden, 

wie es strukturiert ist und wie es auf bestimmte 

Eingabewerte reagiert. Dynamische 

Analysewerkzeuge beobachten 

eine Software hingegen während der 

Ausführung, um ihr Laufzeitverhalten 

direkt unter die Lupe zu nehmen. Beide 

Methoden haben ihre Stärken und 

Schwächen, sind aber in jedem Fall 

sehr nützlich, um unbekannte Software 

zu untersuchen. Dieser Artikel führt die 

für die Analyse verwendeten Konzepte 

ein und zeigt einige Werkzeuge, mit 

denen Sicherheitsforscher Malware 

analysieren. 

Statische Analyse 

Statische Softwareanalyse gibt es 

schon sehr lange und viele ihrer Methoden 

gehören zum Standardrepertoire 

von Entwicklern: Denn bereits 

das Kompilieren von Quellcode stellt 

eine Form der statischen Analyse dar. 

Jeder Compiler setzt während des 

Übersetzens auch Analysetechniken 

ein, um doppelt verwendete Variablen-, 

Klassen- und Funktionsnamen, falsch 

typisierte Zuordnungen, uninitialisierte 

Variablen und unerreichbare Anweisungen 

zu entdecken. 


Security 


79 

Das CLang-Frontend [1] für die LLVM- 

Compiler-Infrastruktur verfügt über 

einen leistungsfähigen statischen 

Analyser, der sehr detaillierte Compiler- 

Fehler und ‐Warnungen ausgibt. Analyse-Plugins 

[2] erweitern inzwischen 

die ohnehin hilfreiche Standardanalysekomponente 

von GCC. Unterstützung 

für sie liefert GCC ab Version 4.5. 

Jedes Programm enthält Gruppen 

von Anweisungen, die es sequenziell 

ausführt, wenn keine Exceptions oder 

Sprünge auftreten. Bei der Ausführung 

arbeitet das Programm diese Anweisungen 

als logische Blöcke ab, in der 

Compiler-Terminologie heißen sie 

»Basic Blocks«. Ist die Ausführung eines 

Basic Blocks abgeschlossen, geht die 

Kontrolle an einen anderen über und 

der Programmablauf geht dort weiter. 

Das Ende eines Basic Blocks liegt typischerweise 

an einer Sprunganweisung 

oder an einer bedingten Verzweigung. 

Die statische Analyse versucht all 

diese Basic Blocks zu entdecken und 

zu bestimmen, an welchen Stellen die 

Kontrolle von einem zum nächsten 

übergeht. Diese Information wird gesammelt 

und als Control Flow Graph 

(CFG) repräsentiert, der den Gesamtablauf 

eines Programms beschreibt. 

Listing 1 zeigt eine einfache C-Funktion 

und Abbildung 1 den CFG, der ihre 

Basic Blocks und ihren Kontrollfluss 

beschreibt. 

Die statische Analyse dieser Funktion 

teilt den Code in die drei Basic Blocks 

A, B und C auf. Der Graph zeigt, dass 

der Kontrollfluss A und C garantiert 

durchläuft, weil diese beiden Basic 

Blocks Ein- und Ausgang der Funktion 

bilden. B muss gar nicht, kann aber 

auch mehrere Male ausgeführt werden. 

Die Visualisierung des Kontrollflusses 

in dieser Beispielfunktion ist einfach, 

doch bei komplexeren Funktionen 

ergeben die CFGs schnell ein weniger 

überschaubares Bild. 

Alle Daten, die in eine Funktion hineinfließen, 

entstammen irgendeiner 

bestimmten Quelle, beispielsweise 

einer Datei, Netzwerkkommunikation 

oder Eingabegeräten wie der Tastatur 

oder Maus. Daten, die aus einer nicht 

vertrauenswürdigen Quelle stammen, 

beispielsweise einer Netzwerkverbin- 

dung, gelten ebenfalls als nicht vertrauenswürdig. 

Manche Basic Blocks enthalten heikle 

Anweisungen, etwa Speicherzuweisungen, 

Dateizugriffe oder Socket- 

Kommunikation. Wenn Daten aus einer 

unsicheren Quelle mit solchen Aufrufen 

interagieren, besteht die Möglichkeit 

eines kompromittierbaren Basic Block. 

Die CFG-Visualierung hilft dabei, Blöcke 

aufzuspüren, die nicht vertrauenswürdige 

Daten generieren, Systemaufrufe 

tätigen und herauszufinden, wie diese 

miteinander verbunden sind. Darin besteht 

das Hauptziel statischer Analyse: 

Wo und wie können nicht vertrauenswürdige 

Daten möglicherweise störanfällige 

Ereignisse auslösen? 

Ist der Quellcode verfügbar, ist die statische 

Analyse relativ unkompliziert, 

denn er liefert eine vollständige und 

eindeutige Definition der Datentypen, 

Funktionsaufrufe und Kontrollflussstrukturen. 

Allerdings bleibt der Quellcode 

von Malware oft verborgen. Um 

ihr Verhalten zu analysieren, muss 

also der Binär-Code genügen. Zwar ist 

die schrittweise Analyse der binären 

Anweisungen möglich, wie zahlreiche 

Malware-Studien bewiesen haben, 

doch die Analyse auf der Ebene einer 

Quellcode-Repräsentation des dekompilierten 

Binär-Codes bringt häufig 

mehr Erkenntnisse. 

Dazwischen steht jedoch die schwierige 

Aufgabe, die Quellcode-Repräsentation 

aus einer Binärdatei zu generieren. Ein 

Decompiler muss erkennen, in welchen 

Abschnitten Code steht, wo die Daten 

lagern sowie komplexe Datentypen 

rekonstruieren. Kein Decompiler generiert 

Quellcode in der Qualität des originären 

Codes, aus dem die Binärdatei 

kompiliert wurde. Manuelles Eingreifen 

ist häufig unverzichtbar, um die Rückübersetzung 

vollständig und eindeutig 

abzuschließen. Für Linux existieren 

mehrere Open-Source-Decompiler, unter 

denen Boomerang [3] die wohl besten 

Ergebnisse liefert. Das Programm 

befindet sich unter aktiver Entwicklung 

und generiert vergleichsweise guten C- 

Code aus ausführbaren Binärdateien. 

Bytecode-basierte Java-Klassen sind 

deutlich einfacher zu dekompilieren 

als native Binaries, weil ihre Bytecode- 

i ≤ num 

Anweisungen umfangreiche Kontextinformationen 

enthalten, zum Beispiel 

zu Vererbung und Datentypen. Zum 

Dekompilieren von Java-Klassen verwenden 

viele Sicherheitsforscher das 

Open-Source-Werkzeugset Soot [4]; es 

gibt daneben aber zahlreiche weitere 

Linux-Tools. 

Dare (Dalvik Retargetting, [5]) verwandelt 

die »dex«-Dateien einer Android- 

n Listing 1: Eine einfache C-Funktion 

A 

B 

C 

01 int simple(int num) 

02 { 

03 /* Anfang Block A */ 

04 int i; 

05 printf("Block A\n"); 

06 /* Ende Block A */ 

07 for (i = 1; i num 

Ausgangsfunktion 

i > num 

Abbildung 1: Der Control Flow Graph (CFG) für die C- 

Funktion »simple« in Listing 1. 


Admin 

Ausgabe 12-2013

80 

Security 


Dalvik-VM in Java-».class«-Dateien. Für 

Java-Bytecode ausgelegte Tools verarbeiten 

und dekompilieren diese weiter. 

Dynamische Analyse 

Auch wenn statische Analyse viele 

Strukturen offenlegt, löst sie selten 

Probleme, die mit der Parallelisierung 

mehrerer Threads zusammenhängen. 

Könnte statische Analyse in diesem 

Bereich helfen, dann gäbe es bereits 

Compiler, die Race Conditions und andere 

typische Probleme in der parallelen 

Programmierung erkennen würden. 

Des Weiteren liegt Malware gewöhnlich 

in Form komprimierter oder verschlüsselter 

Binaries vor, was eine weitere 

Hürde für die Dekompilierung und statische 

Analyse einschiebt. 

Derlei Beschränkungen machen die Beobachtung 

des Laufzeitverhaltens, die 

dynamische Analyse, in manchen Fällen 

zur einzigen Möglichkeit, Malware 

zu analysieren. Die dynamische Analyse 

findet auf vielen verschiedenen Ebenen 

statt, von der Beobachtung gelegentlich 

ausgelöster Events eines einzelnen 

Prozesses bis hin zur schrittweisen Ausführung 

einzelner Anweisungen unter 

Protokollierung sämtlicher auf dem 

System laufender Prozesse. 

Das gibt der dynamischen Analyse ein 

großes Potenzial, aber auch Nachteile. 

So kann sie ausschließlich die Teile 

eines Programms beobachten, die tatsächlich 

ausgeführt werden, während 

das bösartige Verhalten während der 

Analyse möglicherweise verborgen 

bleibt und das Ergebnis nutzlos macht. 

Die mit der Analyse einhergehenden 

Monitoring-Instrumente verbrauchen 

darüber hinaus erhebliche Rechnerressourcen 

und verschlechtern damit 

die Performance von Anwendungen 

und dem System drastisch. 2005 führte 

eine Gruppe von Forschern eine neue 

Abbildung 2: Die Zustände des Datenspeichers und des damit verknüpften Shadow Memory vor 

und nach einer Additionsoperation. 

Methode der dynamischen Analyse ein, 

die sogenannte »Dynamic Taint Analysis«, 

die die Spur verfolgt, die Daten 

aus nicht vertrauenswürdigen Quellen 

hinterlassen. Das Verfahren zeigt einen 

Ausweg aus dem aussichtslosen Unterfangen 

auf, jede neue Malware beim 

ersten Erscheinen in freier Wildbahn zu 

analysieren, um speziell darauf ausgerichtete 

Gegen-Software zu entwickeln; 

immerhin kann sich deren Anzahl auf 

mehrere Tausend an einem Tag belaufen. 

Stattdessen schützt die Dynamic- 

Taint-Analysis-Methode einen Rechner, 

indem sie unsichere Daten auf ihrem 

Weg durch das System verfolgt. Wird 

die Ausführung unterbunden, bevor 

suspekte Daten zu einer gefährlichen 

Aktion führen, wird Malware neutralisiert, 

ohne dass deren Implementation 

und Design im Detail bekannt sind. 

Dynamic Taint Analysis stuft eine nicht 

vertrauenswürdige Datenquelle als 

verunreinigt (»tainted«) ein. Sie markiert 

alle Daten, die eine solche Quelle 

produziert ebenfalls als verunreinigt. 

Diese Markierungen (»Taint Tags«) halten 

fest, aus welcher Quelle die Daten 

stammen. Stellen, an denen davon 

Gefahr ausgehen könnte, heißen analog 

dazu »Taint Sinks«. Jede Bewegung 

der verdächtigen Daten wird verfolgt, 

also auch ihre Kopien und Transformationen. 

Das System protokolliert auch, 

wenn ein solches Datenobjekt und 

damit auch die entsprechende Markierung 

zerstört wird. Erreicht ein markierter 

Datensatz ein Taint Sink, stoppt das 

System die Ausführung und die Analyse 

beginnt. 

Allerdings besteht eine gewisse Gefahr 

darin, die Verunreinigungsmarkierungen 

im selben Speicherbereich 

abzulegen wie die gewöhnlichen 

Anwendungsdaten, weil andere Anwendungen 

sie dort überschreiben 

könnten. Ebenso problematisch ist es, 

die Markierungen gemeinsam mit den 

markierten Daten selbst zu speichern: 

Falls die Daten in ein Prozessorregister 

verschoben werden, fehlt dort ein Platz 

für die Zusatzinformation. 

Um diese Probleme zu umgehen, werden 

die Verschmutzungsmarkierungen 

in ein sogenanntes Shadow Memory 

ausgelagert. Mit dieser Technik hält 

die Analyse-Software an jedem Ort, 

der potenziell nicht vertrauenswürdige 

Daten verwaltet, einen Schattenspeicher 

bereit, in denen die zugehörigen 

Markierungen lagern. Das betrifft in der 

Regel Arbeitsspeicher, CPU-Register 

sowie Ein- und Ausgabegerätpuffer, 

aber kann auch beispielsweise für die 

Festplatte gelten. 

Eine einzelne Markierung steht für 

die Art der Verunreinigung, deren ein 

einzelner Datensatz verdächtig ist. Die 

Beschaffenheit der kleinsten Dateneinheit 

hängt vom Bedarf der Analyse 

ab. In vielen Fällen genügt es, eine 

Markierung pro Byte Daten bereitzuhalten. 

Eine sehr genaue Analyse kann 

es hingegen erfordern, jedes Bit zu 

markieren. 

Auch die Anzahl der Markierungstypen 

variiert: Für einige Analysen genügt 

die Information, dass es sich um nicht 

vertrauenswürdige Daten handelt. In 

anderen Fällen ist eine Markierung von 

Nöten, die darüber hinaus die Datenquelle 

speichert. Im extremsten Fall 

käme also eine eigene Markierung für 

jedes einzelne Daten-Bit zum Einsatz, 

das ins System gelangt; das bläht allerdings 

das Shadow Memory auf. 

Abbildung 2 zeigt ein Beispiel dafür, 

wie Daten sich durch den Speicher bewegen. 

Ein Byte steht für einen Datensatz, 

wie auch das damit verbundene 

Taint Tag. Nun kommt eine Operation 

zur Ausführung, die den Inhalt der 

Speicheradressen 0x1000 und 0x1002 

addiert. Das Ergebnis landet abschließend 

wieder an der Adresse 0x1000. Die 

Daten an 0x1002 sind jedoch als nicht 

vertrauenswürdig markiert. Das hat zur 

Folge, dass nach vollzogener Addition 

auch 0x1000 markiert wird, weil die 

verdächtigen Daten aus 0x1002 darauf 

Einfluss genommen haben. Im weiteren 


Security 


81 

Verlauf pflanzt sich diese Markierung 

nun bei allen Operationen fort, die die 

Daten aus 0x1000 verwenden. 

Der Weg der verunreinigten Daten von 

der Quelle bis zum Taint Sink gibt viele 

Erkenntnisse darüber preis, wie Malware 

ein System kompromittiert. So 

lässt sich sowohl die Quelle bösartiger 

Daten bestimmen, als auch jede Kopie 

der Daten verfolgen. In der Praxis hat 

sich diese Art der Analyse zu einem 

nützlichen Sicherheitswerkzeug entwickelt, 

das inzwischen zum Repertoire 

von Perl, PHP, Lua, Python und Ruby 

gehört. Sicherheitsbewusste Entwickler 

dieser Sprachen setzen die Technik ein, 

um ihre Software mit einem zusätzlichen 

Sicherheitscheck zu versehen, der 

auch bisher ungeahnten, zukünftigen 

Attacken standhält. 

Ein gutes Beispiel eines dynamischen 

Analyse-Tools auf Prozessebene ist 

Intels Pin [6]. Dabei handelt es sich um 

ein Framework für die binäre Vermessung 

von Prozessen auf x86-Plattformen. 

Es heftet sich an laufende Prozesse 

an, etwa wie der GDB-Debugger, 

und führt dann Prozessoranweisungen 

schrittweise aus. 

Pin ist erweiterbar und enthält zu diesem 

Zweck eine Reihe von Bibliotheken 

und Build-Skripts, die die Entwicklung 

von Pin-Plugins, sogenannter Pintools, 

in C/C++ unterstützen. Pintools stellen 

Callback-Funktionen bereit, die Pin 

dann zur Laufzeit eines Prozesses vor 

der Ausführung einzelner Anweisungen 

aufruft. Dieser Ansatz erlaubt die 

Entwicklung von Analysewerkzeugen 

für Einsatzzwecke wie das Protokollieren 

von Anweisungen, Profiling, die 

beschriebene Taint Analysis und zur 

Validierung von Argumenten. 

Bei der Entwicklung dynamischer 

Analysewerkzeuge auf Systemebene 

empfiehlt es sich, auf Hypervisoren wie 

Xen und VMware oder Emulatoren wie 

Qemu und Bochs zu setzen. Denn wenn 

Analysesoftware in derselben Umgebung 

wie eine Malware läuft, könnte 

diese das Analyseprogramm entdecken 

und es außer Funktion setzen oder sich 

verbergen. Nutzt man Virtualisierung, 

um die Analyse von der Malware zu 

isolieren, besteht diese Gefahr der Manipulation 

nicht. Des Weiteren bringt 

der Einsatz virtueller 

Maschinen den Vorteil 

mit sich, dass man 

den Zustand von CPU- 

Registern, Stapel- und 

Heap-Speichern sowie 

Peripheriegeräten 

jederzeit beobachten 

kann. 

Decaf 

Das Dynamic Executable 

Code Analysis 

Framework (Decaf) [7] 

stellt eine vollständige 

dynamische Analyseplattform 

bereit. 

Forscher und Hobby- 

Programmierer treiben 

Secondary 

Storage 

Shadow 

Buffer 

Shadow 

Buffer 

DECAF 

ihre Entwicklung aktiv voran. Sie setzt 

auf Qemu [8] und kann sich eines ausgiebigen 

Funktionsumfangs rühmen, 

darunter eine Plugin-API für die Entwicklung 

eigener Analysewerkzeuge. 

Der Overhead bei der Ausführung fällt 

bei Decaf vergleichsweise klein aus und 

Decaf funktioniert auch mit neueren 

Betriebssystemen wie Windows 8. 

Abbildung 3 illustriert die Decaf- 

Architektur: Das zu analysierende 

Gastsystem läuft stets in einer virtuellen 

Maschine. Sie verwendet 

einen emulierten Prozessor und eine 

Speicherverwaltungseinheit (MMU). 

Die emulierten Hardware-Geräte, beispielsweise 

Festplatte, Netzwerkkarte, 

Tastatur und Maus, präsentiert Decaf 

dem Gastbetriebssystem als physische 

Geräte. Das Gastsystem hat also keinen 

Anhaltspunkt anzunehmen, dass es in 

einer virtuellen Maschine läuft. 

Das Architekturdiagramm zeigt auch 

die Shadow-Speicher, in denen Decaf 

Markierungen speichert. Sie befinden 

sich außerhalb der virtuellen Maschine, 

um Manipulationen durch das Gastbetriebssystem 

zu verhindern. Die Speicherverwaltung 

des Gastsystems steht 

mit einem Shadow-RAM außerhalb der 

virtuellen Maschine in Verbindung. Dort 

landen Taint Tags für Daten, die sich im 

Arbeitsspeicher der virtuellen Maschine 

befinden. Manche Peripheriegeräte 

wie die Netzwerkkarte verfügen über 

Shadow Buffers, die interne Sende- und 

Empfangspuffer abbilden. 

Shadow 

RAM 

IDE Block 

Virtual Device 

NE2000 

Virtual Device 

Other Virtual 

Devices 

Shadow CPU 

Registers 

Gast-VM 

Gast-OS 

IDE Driver 

NIC Driver 

Other Device 

Drivers 

CPU 

Registers 

Abbildung 3: Die Gesamtarchitektur von Decaf. 

Sekundärspeicher wie eine Festplatte 

verfügt ebenfalls über einen eigenen 

Shadow Buffer, um die dort gespeicherten 

Daten zu markieren und zu 

verfolgen. Auch wenn Dateizugriffe 

bei einer Systemanalyse in manchen 

Fällen bedeutungslos sind, bleibt dieser 

Shadow Buffer wichtig, weil durch 

den Auslagerungsspeicher auch Daten 

aus dem Arbeitsspeicher dort landen 

können. Tritt dieser Fall ein, muss 

Decaf auch die Taint-Markierungen zu 

den betroffenen Daten in den Shadow 

Buffer jener Platte kopieren. Das gilt 

auch umgekehrt: wandern die Daten 

vom ausgelagerten Speicher zurück ins 

RAM, muss Decaf auch hier die Taint- 

Markierungen in das Shadow Memory 

zurückkopieren. 

Die Zukunft 

Stetig zunehmende Rechnergeschwindigkeiten 

und wachsende Ressourcen 

erlauben auch immer komplexere Software-Analysen. 

Die Verfügbarkeit freier 

Tools für diesen Zweck gibt Forschern 

und Entwicklern einen großen Vorteil 

im Kampf gegen Malware und bei der 

Entwicklung sicherer Software. (csc) n 

n Info 

RAM 

MMU 

CPU 






Admin 

Ausgabe 12-2013

82 

Security 

SSL 

Thomas LENNE, 123RF 

SSL-verschlüsselte Verbindungen 

Perfect! Forward Secrecy 

Durch der Enthüllungen über die weltweite Überwachung durch Geheimdienste gerät ein SSL/TLS-Feature in den 

Blickpunkt, das die Sicherheit SSL-verschlüsselter Verbindungen erhöht: Perfect Forward Secrecy. Markus Manzke 

Mit dem etwas unverbindlich klingenden 

Begriff der Folgenlosigkeit 

wird im Krypto-Jargon das englische 

Perfect Forward Secrecy (PFS) übersetzt. 

Gemeint ist damit, dass Angreifer 

aus einem aufgedeckten geheimen 

Langzeitschlüssel nicht auf damit ausgehandelte 

Sitzungsschlüssel eines 

Kommunikationskanals schließen und 

ihn so mithören können [1]. Die Folgen 

einer solchen Schwachstelle sind also 

eingrenzbar. Gerade bei der SSL-Verschlüsselung 

von HTTP-Verbindungen 

kann man diese Eigenschaft ausnutzen. 

Zu Beginn einer SSL-Session handeln 

die Kommunikationspartner Session- 

Keys aus, mit der dann die gesammte 

Session verschlüsselt wird. Bei den 

gängigen Methoden (RSA) wird der 

Private-Key des Servers benutzt, um 

den Session-Key zu generieren – mit 

dem Seiteneffekt, dass sich aufgezeichnete 

SSL-Verbindungen mit dem 

Private-Key des Servers im Nachhinein 

entschlüsseln lassen oder aber Man-inthe-Middle-Angriffe 

möglich sind. Das 

Problem liegt darin, dass der Private- 

Key des Servers sowohl für Authentifizierung 

und Verschlüsselung benutzt 

wird. Authentizität ist aber nur für den 

Moment der Kommunikationsaufnahme 

wichtig, während die Verschlüsselung 

für Jahre sicher sein sollte. 

Als Alternative dazu bietet sich der 

Diffie-Hellmann-Algorithmus an. Durch 

Einsatz dieses Verfahrens werden für 

jede SSL-Session Keys generiert, die 

sich nicht aus dem Private-Key des 

Servers herleiten lassen und somit eine 

spätere Entschlüsselung nur durch 

Brute-Force-Brechen des Session-Keys 

möglich ist. PFS ermöglicht, dass heutige 

SSL-verschlüsselte Kommunikation 

zukünftig sicher ist, auch wenn der 

Private-Key des Servers irgendwann 

kompromittiert werden sollte. 

SSL und PFS 

SSL unterstützt PFS über zwei Algorithmen: 

Diffie-Hellman (DHE) und Elliptic 

Curve Diffie-Hellmann (ECDHE). Eine 

genaue Beschreibung der beiden Methoden 

liefern die Artikel „SSL/TLS & 

Perfect Forward Secrecy“ von Vincent 

Bernat [2] und „Deploying Forward Secrecy“ 

von Ivan Ristic [3]. 

Ob die Algorithmen in der installierten 

OpenSSL-Version verfügbar sind, zeigt 

Listing 1 exemplarisch für ECDHE, unter 

[4] gibt es eine Übersicht unterstützter 

Methoden für einzelne Linux-Distributionen. 

ECDHE ist erst mit der OpenSSL- 

Version 1.x verfügbar, DHE auch in 

älteren Versionen. 

Werden die benötigten Algorithmen 

von der installierten OpenSSL-Version 

nicht unterstützt, muss man OpenSSL 

für die eigene Plattform kompilieren 

[5]. Nginx zum Beispiel bietet die 

Möglichkeit an, die OpenSSL-Quellen 

beim Kompilieren mit anzugeben und 

statisch einzubinden: »./configure ... 

‐‐with‐openssl=/pfad/zum/openssl_ 

sourcecode« [6],[7]. 

Der höhere Aufwand beim Generieren 

der Session-Keys geht mit Performance-Einbußen 

einher: DHE-Algorith 

men sind langsamer als ECDHE-Algorithmen, 

dafür steht ECDHE nicht 

überall zur Verfügung: in OpenSSL erst 

ab 1.x. In älteren Browsern und Clients 


Security 

SSL 

83 

kann die Unterstützung fehlen. Performance-Tests 

[2,8] belegen Einbrüche 

von 25 bis 50 Prozent bei DHE gegenüber 

ECDHE. 

Wenn man also SSL-verschlüsselte 

Webseiten betreibt, eine möglichst 

große Anzahl unterschiedlicher Betriebssysteme 

und Browser unterstützen 

und für alle Besucher PFS aktivieren 

will, wirkt sich dies auf die Performance 

der SSL-Verbindungen aus. 

Mit PFS kann jede SSL-fähige Kommunikation 

abgesichert werden, unter 

anderem für Webserver, Mailserver und 

Stunnel-Installationen. Webserver-Setups 

lassen sich via SSLLabs’ SSL Server 

Test [9] überprüfen, ein im Sommer 

neu hinzugefügter Test überprüft die 

PFS-Fähigkeit des Servers. Eine Anmerkung 

dazu: Wird serverseitig nur ECDHE 

angeboten, erscheinen in der Handshake-Auswertung 

zwar Browser, die 

PFS beherrschen, da ältere Clients aber 

nur DHE-Algorithmen kennen, wird der 

Zusatz „PFS“ in der Zusammenfassung 

nicht angezeigt. Unter Protocol Details 

erscheint der Zusatz: „Forward secrecy: 

With modern browsers“. 

Während für Web-Applikationen der 

Einsatz von PFS empfehlenswert ist, 

kann diese Maßnahme bei statischen 

Inhalten wie CSS, Javascript, Bildern 

und Icons unterbleiben. Dafür kann 

man performantere Algorithmen aus- 

n Listing 1: Algorithmen in OpenSSL 

Abbildung 1: Gut gemacht: Ein perfektes Ergebnis bei den Test der SSLLabs. 

wählen, wenn die Informationen nicht 

sonderlich schützenswert sind. 

PFS hat im Web noch keine weite Verbreitung 

gefunden, mit Stand Oktober 

2013 unterstützen gerade einmal 4,2 

Prozent der populärsten Webseiten 

neuere PFS-Algorithmen (ECDHS), 

während 54 Prozent der untersuchten 

Webserver PFS nicht anboten [10]. 

Konfiguration 

Die Konfiguration von PFS ist für jeden 

Dienst verschieden und benötigt 

mindestens zwei Optionen: der Server 

muss die am meisten bevorzugte Cipher 

Suite auswählen können, einzelne 

01 $ openssl ciphers ‐v | grep ECDHE 

02 

03 ECDHE‐RSA‐AES256‐GCM‐SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD 

04 ECDHE‐ECDSA‐AES256‐GCM‐SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) 

Mac=AEAD 

05 ECDHE‐RSA‐AES256‐SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384 

06 ECDHE‐ECDSA‐AES256‐SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384 

07 ECDHE‐RSA‐AES256‐SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1 

08 ECDHE‐ECDSA‐AES256‐SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1 

09 ECDHE‐RSA‐DES‐CBC3‐SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1 

10 ECDHE‐ECDSA‐DES‐CBC3‐SHA SSLv3 Kx=ECDH Au=ECDSA Enc=3DES(168) Mac=SHA1 

11 ECDHE‐RSA‐AES128‐GCM‐SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD 

12 ECDHE‐ECDSA‐AES128‐GCM‐SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) 

Mac=AEAD 

13 ECDHE‐RSA‐AES128‐SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256 

14 ECDHE‐ECDSA‐AES128‐SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA256 

15 ECDHE‐RSA‐AES128‐SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA1 

16 ECDHE‐ECDSA‐AES128‐SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA1 

17 ECDHE‐RSA‐RC4‐SHA SSLv3 Kx=ECDH Au=RSA Enc=RC4(128) Mac=SHA1 

18 ECDHE‐ECDSA‐RC4‐SHA SSLv3 Kx=ECDH Au=ECDSA Enc=RC4(128) Mac=SHA1 

Cipher Suites und deren Anordnung 

müssen konfigurierbar sein. 

Für die Webserver Apache und Nginx 

gibt es mehrere Anleitungen [11,7], in 

Listing 2 und 3 sind die wesentlichen 

Optionen aufgeführt, die bei SSL Labs 

[9] zu einem perfekten Ergebnis führen 

(Abbildung 1). (ofr) n 

n Listing 2: Apache-Konfiguration 

01 SSLProtocol all ‐SSLv2 ‐SSLv3 

02 SSLHonorCipherOrder on 

03 SSLCipherSuite "EECDH+ECDSA+AESGCM 

EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \ 

04 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 

EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \ 

05 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 

!EXP !PSK !SRP !DSS" 

n Listing 3: Nginx-Konfiguration 

01 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 

02 ssl_prefer_server_ciphers on; 

03 ssl_ciphers "EECDH+ECDSA+AESGCM 

EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \ 

04 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 

EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \ 

05 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 

!EXP !PSK !SRP !DSS"; 

n Info 






Admin 

Ausgabe 12-2013

84 

Basics 

OpenPGP 

Iaroslav Neliubov, 123RF 

E-Mail-Verschlüsselung mit OpenPGP sicher einrichten 

Einfach, sicher, mailen! 

Verschlüsselt kommunizieren ist schwierig? Nein, überhaupt nicht! Die Einrichtung braucht fünf Minuten. Und 

ab und an müssen Sie eventuell ein Passwort eingeben oder einen Schlüssel per Drag-and-Drop in ein Programm 

werfen. Machbar, oder? Mit diesem Artikel sicher! Till Spiegel 

Ihre E-Mails können jederzeit vom 

Bundesnachrichtendienst und der NSA 

mitgelesen werden. Angeblich halten 

gültige Gesetze die treuen Gesetzeshüter 

davon ab, alle Nachrichten mitzuschneiden. 

Wer das nicht mehr glauben 

mag und lieber auf Nummer sicher 

gehen möchte, sollte seine E-Mails 

verschlüsseln. Am besten alle E-Mails, 

mindestens aber so viele wie möglich. 

Aktuelle OpenPGP-Software kann so 

stark verschlüsseln, dass auch die NSA 

keine Chance hat. Das bestätigt sogar 

Edward Snowden. 

Jeder, der PGP in der vergangenen Jahren 

schon mal ausprobiert hat, erinnert 

sich meist ungern an das komplizierte 

Prozedere und die vielen Fachbegriffe. 

Dank weiterentwickelter Software ist 

die Handhabung aber mittlerweile sehr 

einfach. Die Fachbegriffe klärt dieser 

Artikel noch mal in kurzer Form. 

Angenommen, Sie haben ein neues, 

noch geheimes Projekt gestartet und 

n Schlüssel, Zertifikate und Co. 

Beim Thema »Verschlüsselung« gibt es zahlreiche Fachbegriffe, die 

meist munter durcheinander genutzt werden. Die Wichtigsten sind: 

Fingerprint: Als Fingerprint wird eine (relativ kurze) Buchstabenfolge 

bezeichnet, die man aus einem Schlüssel berechnet. Ist der Fingerprint 

vor und nach dem Verschicken eines Schlüssels gleich, hat sich der 

Schlüssel nicht verändert. Die Zahlenfolge kann man persönlich, per 

Telefon, Brief oder Fax weiterreichen. 

GnuPG: Ist die Abkürzung für Gnu Privacy Guard. Diese Software implementiert 

Verschlüsselungstechniken nach dem OpenPGP-Standard 

und ist unter der Gnu Public Licence frei verfügbar. »GPG« ist dabei das 

Kommandozeilen-Tool, das viele Programme mit schicken Oberflächen 

oder Plugins für Mail-Programme unter der Haube verwenden. 

Schlüssel: Im engeren Sinn ist ein Schlüssel eine einfache, aber lange 

Zahlenfolge. Mit ihrer Hilfe werden Daten so verändert (verschlüsselt), 

dass man sie auch unter großen Mühen nicht mehr lesbar machen 

kann. Im weiteren Sinne ist ein Schlüssel nicht nur die lange Zahlenfolge, 

sondern enthält auch noch zusätzliche Daten (Metadaten) wie 

Besitzer, Erstellungsdatum, E-Mail-Adressen, Verfallsdatum und Verschlüsselungsverfahren. 

Signieren: Das meint den Vorgang des digitalen Unterschreibens einer 

E-Mail oder Datei. Mit dem privaten Schlüssel wird eine Prüfsumme 

einer Mail verschlüsselt und mitgeschickt. Der Empfänger kann diese 

Signatur mit Ihrem öffentlichen Schlüssel entschlüsseln und die Prüfsumme 

vergleichen. Stimmt Sie, kann er sicher sein, dass die EMail von 

Ihnen stammt und unverändert ist. Dies erledigt Ihr E-Mail-Programm 

vollautomatisch. 

Zertifikat: Mehr oder minder das gleiche wie ein Schlüssel, ergänzt um 

zahlreiche Metadaten und Prüfsummen. 


Basics 

OpenPGP 

85 

wollen mit Ihrem Geschäftspartner 

sicher per E-Mail kommunizieren. Wenn 

Ihr Partner an Sie eine E-Mail schickt, 

muss sichergestellt sein: 

n dass die E-Mail wirklich vom Partner 

stammt und nicht von jemand, der 

sich für ihn ausgibt; 

n dass niemand an der E-Mail rumgefummelt 

und sie verändert hat; 

n dass niemand außer Ihnen die E- 

Mail lesen kann. 

Um alle drei Ziele zu erreichen, bedient 

man sich einer Verschlüsselung mit 

zwei Schlüsseln. Dank ausgeklügelter 

mathematischer Verfahren gilt dabei: 

Verschlüsselt man etwas mit dem einen 

Schlüssel, kann man es nur mit dem 

jeweils anderen wieder entschlüsseln. 

Ein Schlüssel allein reicht zum Ver- und 

Entschlüsseln nicht aus. 

Privat und öffentlich 

Einer der beiden Schlüssel heißt »privat«. 

Er verbleibt bei einem persönlich 

und ist mindestens so wichtig wie die 

PIN der eigenen Bankkarte. Er darf den 

oder die eigenen Rechner nicht verlassen. 

Schlimmer noch: Sie müssen ihn 

absolut sicher verwahren. Ist er weg, 

können Sie keine der Mails mehr lesen, 

die man verschlüsselt an Sie geschickt 

hat oder noch schicken wird. Ein sicheres 

Backup ist daher unabdingbar. 

Der zweite Schlüssel nennt sich »öffentlich«. 

Diesen gilt es an alle zu 

verteilen, die einem etwas vertraulich 

schicken möchten. Um die Verbreitung 

zu vereinfachen, gibt es Schlüsselserver 

(Key-Server, ähnlich wie Download- 

Server für Software), auf denen sich 

öffentliche Schlüssel hinterlegen lassen 

und auf denen jeder nach öffentlichen 

Schlüsseln anderer suchen kann. Wer 

Daten sicher an Sie schicken möchte, 

sucht sich Ihren öffentlichen Schlüssel 

und kann damit eine Nachricht an Sie 

verschlüsseln, die nur Sie entschlüsseln 

können (mit dem privaten Schlüssel). 

Tiefergehende Informationen zu diesem 

Thema finden Sie im Artikel über 

GnuPG in der letzten ADMIN-Ausgabe 

[1] und im Kasten »Schlüssel, Zertifikate 

und Co«. 

Bevor es losgehen kann, muss die 

Basis-Software installiert ein. Dies ist 

»GnuPG«, eine Freeware unter Gnu 

Public Licence, die den offiziellen 

OpenPGP-Standard implementiert. 

Unter Linux ist GnuPG bei allen großen 

Distributionen bereits installiert. Unter 

Windows ist dazu das Tool-Paket »GPG- 

4Win« (Abbildung 1) [2] zu laden und 

zu installieren. Mac-User können auf 

die jüngst erst aktualisierte und sehr 

schöne »GPGSuite« [3] zurückgreifen. 

Beide Tool-Pakete enthalten eine gut 

ans Betriebssystem angepasste Schlüsselverwaltung 

inklusive grafischer 

Oberfläche. 

In GPG4Win heißt die Schlüsselverwaltung 

»Kleopatra« – ein Zugriff per 

Kommandozeile ist damit überflüssig. 

Im Paket ist auch ein Plugin für Outlook 

bis zur Version 2013. Es gibt aber ein 

paar Einschränkungen, die man sich als 

Outlook-Nutzer durchlesen sollte [2]. 

Beim Mac muss man die GPGSuite lediglich 

über den mitgelieferten Installer 

auf die Platte heben lassen. Dazu gehört 

auch das Plugin für Apples »Mail«, 

dass sich nahtlos in Mail einfügt. 

Die folgende Beschreibung wendet 

sich an Thunderbird-User. Die Schritte 

lassen sich aber entsprechend mit 

Kleopatra (Windows), GPGTools (Mac) 

und GPA (Linux) vornehmen, falls man 

einen anderen E-Mail-Client nutzt, für 

den es keine eingebaute Schlüsselverwaltung 

gibt. 

Abbildung 1: Unter Windows stellt GPG4Win die 

Grundfunktionen für GnuPG zur Verfügung. 

Ersteinrichtung 

Um GnuPG in Thunderbird nutzen 

zu können, braucht man das Plugin 

»Enigmail« (Abbildung 2). Nach Auswahl 

von »Add‐ons« im Menü des 

Mail-Programms und Wechsel auf den 

Reiter »Add‐ons suchen«, tippen Sie 

»Enigmail« in das Suchfeld. Als erstes 

Addon sollte »Enigmail 1.5.2« erscheinen. 

Nach dem Klick auf »Installieren« 

und einem Neustart von Thunderbird 

ist die Software startbereit. Im Menü 

erkennen Sie das an dem neuen Punkt 

»OpenPGP«. 

Enigmail hat eine Schlüsselverwaltung 

eingebaut. Sie greift auf die gleichen 

Schlüssel zu wie etwa Kleopatra oder 

Abbildung 2: Enigmail für Thunderbird rüstet die fehlende GnuPG-Unterstützung für den frei verfügbaren 

E-Mail-Client nach. 


Admin 

Ausgabe 12-2013

86 

Basics 

OpenPGP 

Abbildung 3: Mit diesen (wenigen) Daten erzeugt Enigmail die 

notwendigen Schlüssel. 

GPGTools. Sie können also durchaus 

mal die eine und mal die andere Verwaltung 

verwenden. Die Schlüssel liegen 

bei Linux und Mac OSX in ».gnupg« 

im Home-Verzeichnis, unter Windows 7 

in »Appdata\Roaming\gnupg«. 

Schlüssel erzeugen 

Nach Auswahl des Menüpunktes 

»OpenPGP | Schlüssel verwalten...« 

erscheint ein noch leeres Fenster. Über 

die Menüpunkte »Erzeugen | Neues 

Schlüsselpaar...« öffnet sich das Fenster 

»OpenPGP‐Schlüssel erzeugen«. Hinter 

»Benutzer‐ID« wählen Sie den E-Mail- 

Account aus, für den die Schlüssel erzeugt 

werden sollen. Später lassen sich 

dem Schlüssel weitere E-Mail-Adressen 

hinzufügen. Bei »Passphrase« ist ein 

Passwort einzugeben, dass sehr sicher 

sein sollte. Die Passphrase schützt 

Ihren privaten PGP-Schlüssel. Sie müssen 

diese Passphrase später eingeben, 

wenn Thunderbird eine an Sie gerichtete 

E-Mail entschlüsseln möchte oder 

Abbildung 4: Die Schlüsselverwaltung ist der zentrale Ort, in 

dem Sie private und öffentliche Schlüssel bearbeiten können. 

Sie eine E-Mail unterschreiben 

(signieren). Sie sollten 

sich diese also gut merken 

können, aber dennoch auch 

Zahlen, Großbuchstaben 

und Satzzeichen verwenden. 

Sie dürfen sie auf keinen Fall 

vergessen. 

Das »Kommentar«-Feld kann 

leer bleiben. Was Sie hier eintragen, 

ist später für andere 

sichtbar. Da wir gerade die 

Master-Schlüssel erzeugen, 

sollten diese nicht ablaufen. 

Ein Haken vor »Schlüssel 

läuft nie ab« ist sinnvoll. Mit 

dem Klick auf »Schlüsselpaar 

erzeugen« startet die Berechnung 

(Abbildung 3). Derweil 

sollte man die Maus bewegen und 

einige Tasten drücken, dies erhöht die 

»Zufälligkeit« der Generierung. 

Am Ende möchte Enigmail ein Widerrufszertifikat 

erzeugen. Das ist auf 

jeden Fall sinnvoll. Nur damit lässt sich 

später einmal der öffentliche Schlüssel 

für ungültig erklären (das geht dann 

auch ohne Passphrase, falls diese das 

eigene Gehirn verlassen hat). 

E-Mail-Adressen ergänzen 

Oft hat man nicht nur eine E-Mail- 

Adresse, sondern derer mehrere. Man 

muss nun nicht für jede E-Mail-Adresse 

ein Schlüsselpaar erzeugen: Stattdessen 

lassen sich den Schlüsseln weitere 

E-Mail-Adressen hinzufügen. Dazu 

klickt man doppelt auf den Schlüssel. 

Es erscheint das Fenster »Schlüsseleigenschaften«. 

Wählen Sie links unten 

bei »Aktion wählen« den Punkt »Benutzer‐ID 

verwalten«. Über »Hinzufügen« 

ergänzen Sie weitere E-Mail-Adressen. 

Im Kommentar-Feld lassen sich Bemerkungen 

wie »Büro« oder »Privat« 

eingeben, die andere 

Nutzer darauf hinweisen, 

welche E-Mail-Adresse für 

was zu verwenden ist. 

OpenPGP und GnuPG kennen 

keinen Generalschlüssel 

oder Hintertürchen, um an 

Ihre Schlüssel zu gelangen, 

wenn Sie die Passphrase 

vergessen. Die Passphrase 

ist also sehr sicher aufzubewahren. 

Daher ist ein Backup vor allem 

des privaten Schlüssels extrem wichtig. 

Ohne ihn können sie nichts mehr unterschreiben 

oder entschlüsseln. Wer 

ihn in die Hände bekommt, kann sich 

für Sie ausgeben. Ein Festplatten-Crash 

oder Wasserschaden (Hochwasser) 

kann schon einen Verlust herbeiführen. 

Backup anlegen 

Das Backup ist einfach: Wählen Sie in 

der Schlüsselverwaltung (Abbildung 

4) Ihren neuen Schlüssel und anschließend 

den Menüpunkt »Datei | Exportieren« 

aus. Per Klick auf »Geheime 

Schlüssel exportieren« werden privater 

und öffentlicher Schlüssel gesichert. 

Die Datei (und das Widerrufszertifikat) 

sollten Sie auf eine CD brennen oder 

einen USB-Stick schreiben und in einen 

Safe oder Bankschließfach legen. 

Nach dem Schließen der Schlüsselverwaltung 

können Sie bereits die 

erste verschlüsselte Mail verschicken 

– bisher aber nur an sich selbst, da in 

der Schlüsselverwaltung als einziger 

öffentlicher Schlüssel Ihr eigener vorhanden 

ist. 

Erzeugen Sie eine neue leere Mail. In 

der Button-Leiste sehen Sie das Schloss 

mit dem Text »OpenPGP«. Wenn Sie 

das Menü dazu aufklappen, sollten die 

Punkte »Nachricht unterschreiben« und 

»PGP/MIME verwenden« bereits ausgewählt 

sein. Wenn Sie im »An«-Feld Ihre 

E-Mail-Adresse eintragen (für die es 

auch einen öffentlichen Schlüssel gibt), 

können Sie auch »Nachricht verschlüsseln« 

auswählen. 

Ob eine E-Mail unterschrieben und 

verschlüsselt verschickt wird, zeigen 

das Bleistift- und das Schlüsselsymbol 

rechts unten im Fenster an. Sind sie 

gelb, ist die zugehörige Aktion aktiviert. 

Nach dem Verschicken und Aktualisieren 

der Mail-Liste ist die verschlüsselte 

Mail wieder da. Wenn Sie sie anklicken, 

zeigt Thunderbird sie an (Abbildung 3). 

Ein grüner Balken über der Mail weist 

darauf hin, dass die Mail korrekt unterschrieben 

ist und entschlüsselt werden 

konnte. Über das Popup-Menü»Details« 

lassen sich weitere Infos einblenden. 

Jetzt stellt sich natürlich die Frage: 

Wie kommt man an die öffentlichen 

Schlüssel anderer – und zwar so, dass 


Basics 

OpenPGP 

87 

sie einen unverändert erreichen? Dazu 

gibt es zwei Wege: Mithilfe des Partners 

oder über einen Schlüsselserver. 

Schlüssel tauschen 

Fordern Sie einfach einen E-Mail- 

Partner auf, Ihnen seinen öffentlichen 

Schlüssel als Attachment zuzusenden 

(ohne Verschlüsselung). Er soll seine 

Mail aber signieren (digital unterschreiben). 

Wenn die Mail bei Ihnen 

ankommt, zeigt Thunderbird sie mit 

einem gelben Balken und dem Hinweis 

an, dass die Unterschrift nicht überprüft 

werden konnte (noch ist der öffentliche 

Schlüssel ja nicht importiert). 

Speichern Sie den Schlüssel als Datei, 

öffnen Sie die OpenPGP-Schlüsselverwaltung 

und wählen Sie »Datei | Importieren«, 

um den Schlüssel zu übernehmen. 

Wenn Sie im Thunderbird-Mailfenster 

jetzt die E-Mail deselektieren 

und anschließend wieder anklicken, 

hat der gelbe Balken auf hellblau gewechselt. 

Dort steht jetzt, dass die Unterschrift 

korrekt ist, aber Thunderbird 

ihr noch nicht vertraut. 

Wählen Sie im Popup-Menü »Details« 

den Punkt »Schlüsseleigenschaften« 

aus. In der sechsten Zeile von oben 

sehen Sie eine Buchstabenziffernfolge, 

die »Fingerabdruck« (Englisch: Fingerprint) 

heißt. Rufen Sie Ihren Freund per 

n Mobile Apps 

Die eingebauten mobilen E-Mail-Apps 

von iOS und Android sind nicht auf PGP 

oder GnuPG vorbereitet. Unter iOS gilt 

es dafür die zusätzliche App »iPGMail« 

(für 1,79 Euro) zu installieren. Verschlüsselte 

Anhänge können an iPGMail übergeben 

und dort entschlüsselt werden. 

Verschlüsselte Mails lassen sich direkt 

mit iPGMail verschicken. Die Schlüssel 

selbst kann man per iTunes auf das Gerät 

bringen. Insgesamt ist diese Lösung 

aber noch recht unbequem. 

Unter Android geht das besser. Die App- 

Kombination heißt »APG« und »K‐9« 

oder sein kommerzieller Bruder »Kaiten«. 

Man sollte zuerst das GPG-Tool 

APG installieren und dann den E-Mail- 

Client K-9, anschließend die E-Mail- 

Konten in K-9 einrichten und schließlich 

die privaten Schlüssel in APG per USB 

importieren (nicht per Mail). 

Abbildung 5: Drei verschiedene Mails: Mal unverschlüsselt, nur signiert oder auch noch unterschrieben. 

Die Symbole zeigen den jeweiligen Status an. 

Telefon oder Smartphone an und lesen 

Sie ihm den Fingerabdruck vor. Ist er 

identisch mit seinem Fingerabdruck, 

haben Sie wirklich seinen öffentlichen 

Schlüssel unverändert per E-Mail 

bekommen. Um das für Thunderbird 

zu dokumentieren, gilt es jetzt den 

Schlüssel zu unterschreiben. Wählen 

Sie unten links unter »Aktion wählen« 

den Punkt »Unterschreiben«. Im darauf 

erscheinenden Dialog ist »Ich habe 

es sehr genau geprüft« auszuwählen. 

Wenn Sie nach dem Schließen der 

Schlüsselverwaltung eine andere Mail 

und dann wieder die Ihres Freundes 

anklicken, ist der Balken grün. 

Schlüsselserver nutzen 

Wenn Sie wissen, dass Ihr Freund seinen 

Schlüssel auf einen Schlüsselserver 

geschickt hat, geht es noch einfacher, 

sich den Schlüssel zu besorgen. Öffnen 

Sie die Schlüsselverwaltung und 

wählen Sie den Menüpunkt »Schlüsselserver 

| Schlüssel suchen...« aus. Im 

Suchfeld geben Sie den Namen (ohne 

Umlaute) oder die E-Mail-Adresse 

ein. Anschließend wählen Sie aus der 

Liste den passenden Eintrag aus und 

übernehmen den Schlüssel in Ihre 

Schlüsselverwaltung. Welchen der 

angebotenen Schlüsselserver Sie dabei 

verwenden, ist fast egal, da diese 

sich untereinander abgleichen. Sie 

können Ihren öffentlichen Schlüssel 

übrigens auch ganz einfach auf einen 

Schlüsselserver hochladen, indem Sie 

ihn auswählen und das Menü »Schlüssel‐Server 

| Schlüssel hochladen« auswählen. 

Sie werden dann nach einem 

Server gefragt. Belassen Sie es bei dem 

Vorschlag. Danach können andere Ihren 

öffentlichen Schlüssel suchen und 

importieren. 

Fazit 

Hat man sich einmal die Mühe gemacht, 

GnuPG einzurichten, kann man 

fortan ganz einfach sichere E-Mails 

verschicken. Die Unbequemlichkeit 

beschränkt sich dabei auf das Eingeben 

einer Passphrase und Anklicken eines 

Schlüsselsymbols. Wenn Sie die grundsätzlichen 

Vorgänge einmal verstanden 

haben, ist sichere Kommunikation tatsächlich 

ein Kinderspiel. 

Was jetzt noch bleibt, ist sein Umfeld zu 

nötigen, ebenfalls GnuPG einzusetzen 

und wiederum andere davon zu überzeugen, 

es ebenfalls zu tun. So kann 

eine flächendeckende gesicherte Kommunikation 

entstehen. (ofr) n 

n Info 






Admin 

Ausgabe 12-2013

88 

Basics 

ADMIN-Tipps 

Die Tipps des Monats 

ADMIN-Tipps 

Pavel Ignatov, 123RF 

Hier finden Sie eine Auswahl der im wöchentlichen ADMIN-Newsletter erscheinenden Praxistipps. 

n Bash-History im Griff 

Die meisten Benutzer der Bash-Shell lernen ziemlich schnell die History-Funktion 

zu schätzen, die die meisten über die Cursor-Tasten abrufen. Alternativ 

geht das auch mit anderen Tasten wie [Strg]+[p] und [Strg]+[n]. Mit [Strg]+[r] 

lässt sich die History sogar durchsuchen, wenn man danach Teile des gesuchten 

Kommandos eintippt. 

Trivialitäten wie »pwd« oder »cd« muss die History nicht unbedingt speichern, 

denn das verschwendet nur unnötig Platz im begrenzten Speicher (der sich 

übrigens mit der Umgebungsvariablen »HISTSIZE« einstellen lässt). Auf vielen 

Systemen verzichtet die Bash auch auf eine Speicherung, wenn man dem Befehl 

ein Leerzeichen voranstellt. Dies wird durch die Variable »HISTCONTROL« 

gesteuert, die dann »ignorespace« enthalten muss. 

Bestimmte Befehle ignoriert die History, wenn man die Variable »HISTIGNORE« 

entsprechend setzt: 

export HISTIGNORE="pwd:ls:ls ‐l:cd" 

Der Befehl muss dabei genau dem aufgeführten entsprechen, damit es klappt. 

Mit dem Spezialzeichen »&«, das für den letzten Befehl steht, verzichtet die Bash 

darauf, unmittelbar aufeinander folgende doppelte Befehle zu speichern. Zum 

gleichen Effekt führt »HISTCONTROL=ignoredups«. Global verhindert die Einstellung 

»HISTCONTROL=erasedups« duplizierte Befehle. 

Mit dem Befehl »history« lässt sich die History-Funktion steuern. So löscht »history 

‐c« den aktuellen Speicher, »history ‐d X« löscht den letzten X-ten Eintrag, 

und »history ‐w« schreibt das Protokoll in eine Datei (per Default »~/.bash_history«). 

Mehr Informationen zum History-Befehl sind übrigens in der Bash-Manpage 

zu finden, während »man history« Informationen zur History-Bibliothek 

enthält. 

n I/O von VMs optimieren 

Wie es aussieht, laufen in Zukunft immer mehr 

Systeme nur noch als virtuelle Maschinen auf einem 

Server oder in der Cloud. Damit sie bei der 

Performance mit echter Hardware konkurrieren 

können, gibt es einige Dinge zu berücksichtigen. 

Bei der Linux-Virtualisierungstechnologie KVM setzt 

man dafür am besten die Virtio-Treiber ein, die für 

den Einsatz in virtuellen Maschinen optimiert sind. 

Auch beim Datenspeicher gibt es einige Optionen: 

Schneller als Image-Dateien, die auf der Festplatte 

des Host-Systems gespeichert sind, funktioniert 

beispielsweise der direkte Zugriff auf ein LVM- 

Volume. 

Läuft in der VM eine Linux-Distribution, gibt es 

noch einen Trick, das I/O-System zu beschleunigen: 

Man setzt den I/O-Scheduler der VM auf die Option 

„noop“, die den Scheduler quasi leerlaufen lässt. 

Dies ist anzuraten, weil der Scheduler des Host-Systems 

ja seinerseits bereits die Lese- und Schreibaufträge 

verwaltet. Täte die VM das auch noch, führte 

dies nur zu unnötigem Overhead. 

Zur Laufzeit lässt sich dies in der VM mit »echo noop 

> /sys/block/DEVICE/queue/scheduler« erreichen. 

Dauerhaft wird die Einstellung mit »elevator=noop« 

in der Zeile mit »GRUB_CMDLINE_LINUX« der Datei 

»/etc/default/grub« auf dem Gast-System eingestellt. 

(ofr) 

neue Tipps im Newsletter 

Jede Woche erscheint in unserem Newsletter ein neuer ADMIN-Tipp. Eine Sammlung aller Tipps 

finden Sie im Archiv der ADMIN-Tipps unter [http:// www. admin‐magazin. de/ News/ Tipps/]. 

Den Newsletter können Sie unter [http:// www. admin‐magazin. de/ newsletter] abonnieren. 


90 

Test 

SQL-Acceleration 

Die Beschleunigerkarte ZD XL SQL Accelerator von OCZ im Test 

Race Condition 

Scott Betts, 123RF 

Datenbanken sind oft I/O-lastig, weshalb man durch den Einsatz von Flash-Speicher den Hebel schon 

mal an der richtigen Stelle ansetzt, um ihnen Beine zu machen. Meist sind die Datenmengen aber so 

groß, dass es noch zu teuer wäre, sie komplett auf SSDs zu verlagern. Dann hilft eine intelligente Lösung 

aus Cache und Flash-Volumes. Jens-Christoph Brendel 

Während die Preise von Consumer- 

SSDs noch in diesem Jahr auf das Niveau 

von Festplatten sinken könnten, 

sind Enterprise-SSDs nach wie vor 

teuer. Sie sind für Dauerbetrieb bei 

voller Ausnutzung ihrer Kapazität ausgelegt, 

bieten mehr Performance und 

eine weitaus geringere Streuung ihrer 

Leistungsdaten, verglichen mit den für 

den gelegentlichen Einsatz im privaten 

Bereich konzipierten Geschwistern. Das 

lassen sich die Hersteller aber gut be- 

zahlen: Während im Consumer-Sektor 

deutlich weniger als ein Euro pro GByte 

anfallen, sind es im Enterprise-Bereich 

gerne mal 10 Euro pro GByte und mehr. 

Bei einer mehrere TByte großen Datenbank 

stellt sich deshalb bald die Frage, 

ob sich die komplette Verlagerung auf 

SSDs rechnet. Selbst wenn man diese 

Frage verneint, muss man nicht auf 

den Performance-Gewinn durch die 

schnellen Flash-Speicher verzichten. 

Die Lösung besteht dann darin, sie selektiv 

als Cache einzusetzen. In diesem 

Fall reicht ein vergleichsweise kleines 

Flash-Volume, um den Zugriff auf eine 

große Datenmenge um ein Vielfaches 

zu beschleunigen. 

Das Caching ist freilich applikationsspezifisch: 

Es braucht eine Software, 

die ermittelt, auf welche Daten am 

häufigsten zugegriffen wird, und die 

genau diese Daten dann auf einem 

SSD-Volume vorhält. Seltener genutzte 

Informationen bleiben dann auf den 

n So haben wir getestet 

Für unsere Benchmarks verwendeten wir einen bewährten Server der Firma Exus Technology. Das 

Modell ProServ II (Abbildung 1) mit einem neueren Intel-Mainboard (S5520HC) verfügte über 16 

GByte Hauptspeicher, von dem 8 GByte für die Datenbank reserviert wurden. Als Prozessoren dienten 

zwei Intel-Xeon-Quadcore-CPUs X5460, getaktet mit 3 GHz. Von den acht Festplattenslots des 

zwei Höheneinheiten großen Servers wurde nur einer genutzt, die interne SATA-Disk nahm das Betriebssystem 

Windows Server 2008 R2 und die Datenbank Microsoft SOL Server 2012 auf. 

Die eigentlichen Nutzdaten speicherte ein Premium-RAID-System der Firma transtec, angeschlossen 

via Ultra-320-SCSI mit zehn SATA-Slots. Insgesamt acht Platten darin bildeten eine RAID-5-Gruppe, 

die in zwei Partitionen aufgeteilt und zwei LUNs zugeordnet war. Auf einer befand sich die TPC-C- 

Datenbank. 

Abbildung 1: Exus-Server und transtec- 

RAID, die für die Benchmarks verwendet 

wurden. 


Test 

SQL.-Acceleration 

91 

vergleichsweise langsamen Festplatten. 

Für Microsofts SQL Server 2012 

gibt es vom SSD-Hersteller OCZ eine 

solche Caching-Lösung in Form einer 

mit Flash bestückten Erweiterungskarte 

und der zugehörigen Treiber. Das 

ADMIN-Magazin hat diesen ZD XL SQL 

Accelerator getestet. 

Die Ergebnisse 

Die TPC-C-Datenbank war für die 

größtmögliche Last konfiguriert, auf 

die sich die Benchmark-Software via 

GUI einstellen lässt: 5000 Warehouses 

und 100 virtuelle User. Wir begannen 

ohne die Beschleunigerkarte, um einen 

Vergleichswert zu erhalten. Dabei erhöhten 

wir Stufe um Stufe die Anzahl 

virtueller User. Bei den ersten Schritten 

von zwei auf drei virtuelle User verdoppelte 

sich die erzielbare Leistung noch. 

Doch der Zuwachs verringerte sich 

schnell, die Kurve für den Leistungsanstieg 

näherte sich bereits nach gut 

einem Dutzend parallel aktiver User 

einer Horizontalen an. Die Belastung 

der Festplatten gelangte hier an die 

Sättigungsgrenze. Am Ende brachten es 

100 User auf 35 423 Transaktionen pro 

Minute (TPM) bei 7645 New Orders pro 

Minute (NOPM). 

Während der ersten Versuche waren 

allerdings die Caches, die es auch 

ohne die später zu testende Karte im 

Betriebssystem und in der Datenbank 

gibt, noch kalt. Wir wiederholten deshalb 

den Versuch mit 100 Usern sofort 

nach dem ersten Mal und kamen dabei 

mit aufgewärmten 

Caches auf 36 073 TPM 

bei 7909 NOPM. Der 

Zugewinn dank des 

systemeigenen Cache- 

Effekts betrug also nur 

magere zwei Prozent. 

Anschließend bauten 

wir die SD-XL-Acceleratorkarte 

ein und 

installierten ihre Treiber. 

Datenbank und 

Log wurden in einen 

frischen Startzustand 

zurückversetzt. Der 

Flash-Speicher auf der 

Karte wurde geteilt: in 

ein 100 GByte großes 

Volume, das im Falle 

des TPC-H-Benchmarks die Tempdb, 

bei TPC-C das Logfile aufnahm, und 

in einen 600 GByte großen Cache. Danach 

wärmten wir mithilfe eines von 

OCZ mitgelieferten Utilities den Cache 

an, sodass er von Anfang an die Daten 

enthielt, die der jeweilige Benchmark 

verwendete. 

Der TPC-H-Benchmark, der zuvor ohne 

die Beschleunigerkarte 8058 Sekunden 

Laufzeit benötigte, lief nun in 2603 Sekunden 

durch, also ziemlich genau in 

einem Drittel der Zeit. Der Bottleneck 

verschob sich nun vom I/O-System zur 

CPU. Zwar verfügte der Testserver über 

acht Rechenkerne, aber die Abfragen 

wurden nun nach Auslastung eines 

Kerns an den nächsten weitergereicht – 

und diese Transfers kosten Zeit. 

Abbildung 3: Ergebnisse im TPC-C-Benchmark mit und ohne Beschleunigerkarte 

bei steigender Anzahl virtueller Clients. 

Beim TPC-C-Benchmark mit 100 Clients 

maßen wir im ersten Versuch Werte von 

bis zu 87 762 TPM, das sind mehr als 2,5 

mal so viele Transaktionen wie ohne 

Beschleunigerkarte, aber mit aufgewärmten 

Cache. In einem Versuch mit 

ansteigender Anzahl virtueller Clients 

wird der Unterschied noch deutlicher: 

Wo die Festplatten ohne das Z-Drive 

bereits in die Sättigung geraten, steigt 

die Kurve nun mit der Beschleunigerkarte 

weiter an (Abbildung 2). 

Fazit 

Eine kleine Datenbank, die vielleicht 

auch nicht den höchsten Performanceund 

Verfügbarkeitsansprüchen genügen 

muss, wird man mit der Accelerator-Karte 

deshalb nicht wirtschaftlich 

beschleunigen können, weil es dann 

billiger wäre, sie gleich ganz auf ein 

SSD-Volume zu kopieren. Anders sieht 

das aus, wenn der Anwender bestehende 

Backup- oder Hochverfügbarkeitskonfigurationen 

mit Festplatten- 

SANs nicht aufgeben kann oder will 

oder wo die Datenmenge so groß ist, 

dass die nötigen SSDs zu teuer wären. 

Die Beschleunigerkarte ist zudem kom- 

Abbildung 2: Die ZD-XL-Beschleunigerkarte von OCZ für Microsofts SQL-Server, die wir 

in diesem Artikel getestet haben. 

n Info 






Admin 

Ausgabe 12-2013

92 

Test 

SQL-Acceleration 

Abbildung 3: Die Simulation bildet eine konfigurierbare Zahl von Lagerhäusern ab, von denen jedes 

10 Distrikte mit jeweils 3000 Kunden betreut. 

patibel mit Cluster-Lösungen und kann 

mit relativ wenig SSD-Speicher große 

Datenbanken auf Trab bringen. In einer 

solchen Konstellation spielt sie überzeugend 

ihre Vorteile aus. 

Je nach Workload erreichten wir eine 

Beschleunigung um mehr als den 

Faktor 2,5. Obwohl nur Teile der Datenbank 

(Tempdb, Indizes, Logfiles) 

auf Flash-Volumes verlagert wurden, 

während der Rest des schnellen Speichers 

als Cache benutzt wurde, ist der 

Performance-Zuwachs fast so hoch, als 

wäre die gesamte Datenbank auf SSDs 

ausgelagert worden. Die Cache-Lösung 

ist jedoch viel kostengünstiger. 

Bei allem ist der Installations- und 

Wartungsaufwand erfreulich gering. 

Ein Wizzard führt schnell durch die 

erste Einrichtung der Karte. Im Betrieb 

werden häufig verwendete Abfragen 

automatisch erkannt und gecachet. So 

landen immer die Daten auf dem Flash- 

Speicher, von denen die Datenbank 

am meisten profitiert. Ganz billig ist 

der Performance-Schub aber nicht: Für 

ein Z-Drive wie das im Test verwendete 

muss man schon an die 9700 Dollar auf 

die Ladentheke legen. n 

n Die TPC-Benchmarks 

Der TPC-C-Benchmark misst die Performance der Datenbank beim 

Online Transaction Processing (OLTP), also bei einem Workload, wie 

ihn beispielsweise ERP-Systeme bei der direkten Bearbeitung von Geschäftsprozessen 

erzeugen. Charakteristisch sind hier viele Abfragen 

unterschiedlicher Komplexität, die die Datenbank ad hoc parallel beantwortet. 

Das Gegenstück wäre die Stapelverarbeitung (Batchbetrieb). 

TPC-C simuliert zu diesem Zweck das Handelssystem einer fiktiven 

Firma. Es verfügt über eine wählbare Zahl von Warehouses, die jeweils 

in 10 Distrikte unterteilt sind. Zu jedem Distrikt gehören 3000 Kunden 

(Abbildung 3). Diese Kunden lösen nun Bestellungen aus, die jeweils 

eine wechselnde Anzahl Produkte betreffen. Die Bestellungen gelangen 

zu Mitarbeitern der Bestellannahme, deren Zahl ebenfalls konfigurierbar 

ist, und werden von ihnen gebucht. Dabei werden beispielsweise 

wechselnde Rabatte verrechnet und der Lagerbestand aktualisiert. Ein 

kleinerer Prozentsatz der Bestellungen kann nicht vom zuerst kontaktierten 

Warehouse bedient werden und wird an ein anderes weitergeleitet. 

Im Einzelnen ergibt sich der folgende Mix an Transaktionen: 

n New Order – Buchung einer neuen Bestellung eines Kunden: 45 Prozent 

n Payment – Aktualisierung der Verbindlichkeiten des Kunden: 43 

Prozent 

n Delivery – Asynchrone Auslieferung der Bestellungen: 4 Prozent 

n Order Status – Abfrage der zuletzt eingegangenen Bestellung eines 

Kunden: 4 Prozent 

n Stock Level – Abfrage des Lagerbestands einer bestimmten Ware: 4 

Prozent 

Der Benchmark produziert zwei Messwerte: Zum einen Transactions 

per Minutes (TPM), ein datenbankspezifischer Wert, ermittelt aus der 

Anzahl Transactions und Rollbacks pro Zeiteinheit. Dieser Wert eignet 

sich nicht für Vergleiche zwischen verschiedenen Datenbanken. Zum 

anderen New Orders per Minute (NOPM). Dieser Wert ist unabhängig 

von der konkreten Datenbank-Implementierung und empfiehlt sich für 

Vergleiche zwischen Datenbanken. 

Im Gegensatz zum oben beschriebenen TPC-C simuliert der TPC-H- 

Benchmark ein Decision-Support-System. Hier wird die Datenbank mit 

wesentlich komplexeren Anfragen belastet, die viele Berechnungen 

(etwa von Mittelwerten), häufige Sortier- und Gruppierungsfunktionen 

und zahlreiche Joins zwischen Tabellen enthalten. Da dabei viele 

Zwischenergebnisse entstehen, wird hier die tempdb ganz besonders 

gefordert. 

Die Tester verwendeten als Benchmark-Software für diesen Artikel 

HammerDB 2.14, eine freie Implementierung des TPC-C- und TPC-H- 

Standards. Neben der nicht weiter gepflegten TPC-C-Umsetzung der 

Open Source Development Labs hat diese Version den Vorteil, dank einer 

kleinen GUI mit weniger Handarbeit auszukommen. Die Ergebnisse 

kann man nicht direkt neben diejenigen stellen, die die teuren, streng 

überwachten Original-TPC-Benchmarks liefern. Sie bieten aber für interne 

Vergleiche gute Anhaltspunkte. 


94 

Virtualisierung 


foodandmore, 123RF 

Einen Cocktail an Neuerungen bietet das neue Havana-Release von OpenStack 

Cuba Libre 

Im Oktober war sie fällig, die Havana-Release von OpenStack, die die erfolgreiche Geschichte der Cloud- 

Umgebung fortschreiben soll. Hat sie das Zeug dazu oder handelt es sich um einen Rohrkrepierer? Dieser 

Beitrag wirft einen ersten Blick auf die wichtigsten Neuheiten. Martin Loschwitz 

Wer dem OpenStack-Projekt beim 

Entwickeln zuschaut, könnte fast neidisch 

werden: Das Projekt versteht es 

ausgezeichnet, den selbst auferlegten 

Zeitplan fast sklavisch zu befolgen. 

Pünktlich im Oktober erschien Open- 

Stack 2013.2 alias Havana. Wer das 

letzte Release »Grizzly« aufmerksam 

verfolgt hat, weiß: Grizzly war eigentlich 

ein Maintenance-Release für die 

Vorgänger-Version Folsom (2012.2), 

das maßgeblich dazu diente, in Folsom 

eingeführte Funktionen zu stabilisieren 

und auszubauen. Das Release galt 

als wenig innovativ, was manchem 

OpenStack-Admin aber so schlecht 

gar nicht gefallen haben dürfte. Denn 

das Update von Essex auf Folsom ein 

halbes Jahr zuvor hatte mehr Scherben 

produziert, als es dem OpenStack-Projekt 

lieb sein konnte. Die Modell-Pflege 

in Grizzly hob sich davon wohltuend 

ab. Nun also Havana – handelt es sich 

um ein weiteres Wartungs-Release oder 

haben die Entwickler diesmal mehr 

Mut bewiesen und tatsächlich neue 

Funktionen eingebaut? Der folgende 

Test sieht genauer hin und zeigt, was 

OpenStack Havana ausmacht. 

Metering mit Ceilometer 

Dass sich in Havana mehr verändert 

hat als zwischen Folsom und Grizzly, 

fällt bereits durch die beiden neuen 

Komponenten auf, die in Havana zum 

OpenStack-Kern gehören: Ceilometer 

und Heat. Dabei ist anzunehmen, dass 

Ceilometer im Alltag des OpenStack- 

Cloud-Anbieters in absehbarer Zeit 

deutlich mehr Relevanz zukommen 

wird als Heat. Denn in Form von Ceilometer 

hat erstmals eine umfassende 

Metering-Lösung Einzug gehalten, die 

genaue Statistiken über die genutzten 

Ressourcen einzelner Kunden bietet. 

Dabei ist es keineswegs so, dass das 

Thema Metering in OpenStack bis dato 

völlig unbeachtet gewesen wäre. Denn 

die Computing-Komponente Nova 

konnte bereits in früheren Versionen 

grundlegende Statistiken zur Nutzung 

durch einzelne Tenants anlegen. 

Allerdings waren die gewonnenen 

Daten im Anschluss lediglich über 

das Dashboard – also das OpenStack- 

Web-Interface – überhaupt auslesbar. 

Überdies waren auch die messbaren 

Parameter auf grundlegende Werte beschränkt. 

Für Cloud-Anbieter ist das ein 

Problem: Das deutsche Recht verlangt 

von Anbietern nämlich, dass diese für 

On-Demand-Dienste detaillierte und 

notfalls gerichtsverwertbare Nachweise 

darüber liefern, welche Dienste ein 

Kunde tatsächlich in Anspruch genommen 

hat. Wenn eben solche Nachweise 

fehlen, können Kunden gegebenenfalls 

die Rechnung beanstanden und der Anbieter 

bleibt auf seinen Kosten sitzen. 

Viele Cloud-Anbieter in Deutschland 

sind mittlerweile allein aufgrund dieser 

Tatsache auf die pauschalen Flatrate- 




95 

Angebote ausgewichen, geben so aber natürlich einen großen Teil 

der Flexibilität auf, die eine Cloud eigentlich bietet. 

Mit Ceilometer soll in OpenStack nun alles besser werden. Der 

Dienst ist nicht neu, er hat den OpenStack-typischen Weg durchlaufen, 

war also zuerst ein externes Projekt. Kurz vor der Grizzly- 

Release wurde er dann zur »Integrated Component«, was zwar 

noch nicht dem Status einer völlig integrierten Kernkomponente 

gleichkommt, aber die Vorbereitungsstufe dazu ist. In Havana machen 

die Ceilometer-Entwickler ernst: Nun ist Ceilometer offizielle 

Core-Komponente und somit reif für den echten Cloud-Alltag. 

Metering-Technik 

Ceilometer (Abbildung 1) setzt unter der Haube auf das schon 

erprobte Design einer modularen Grundstruktur, die viele 

OpenStack-Komponenten nutzen. Der zentrale Dreh- und Angelpunkt 

der Lösung ist eine Datenbank, ab Werk empfehlen die 

Ceilometer-Entwickler MongoDB. Auch MySQL und PostgreSQL 

sowie HBASE unterstützt Ceilometer aber ausdrücklich. Zur Datenbank 

gehört der Ceilometer Collector, der die Nutzungsdaten 

der verschiedenen OpenStack-Dienste in die Datenbank schreibt. 

Jedoch organisiert sich der Collector diese Daten nicht selbst, er 

lagert die Aufgabe stattdessen an sogenannte Agents aus. Diese 

lassen sich über Konfigurationseinträge mit den anderen Open- 

Stack-Komponenten verbinden, Nova, Neutron & Co zeichnen 

Nutzungsdaten dann regelmäßig auf, um sie über die Agents an 

den Collector weiterzugeben. Schließlich sorgt die Ceilometer-API 

dafür, dass das für OpenStack obligatorische ReSTful-Interface 

zur Verfügung steht, über das sich externe Anwendungen mit dem 

Dienst verbinden und dessen Informationen auslesen können. 

Ceilometer ist für sich genommen freilich noch keine Billing- 

Lösung. Denn der Dienst ist nicht darauf ausgelegt, die gesammelten 

Daten direkt im Anschluss weiterzuverarbeiten – darauf 

haben sich die Entwickler des Dienstes nach langen Diskussionen 

verständigt. Ceilomter ist eine reine Metering-Applikation, die ihre 

Daten grundsätzlich für jegliche anderen Dienste anbieten kann. 

Damit aus Metering Billing wird, fehlt also noch eine Anwendungen, 

die Ceilometer-Daten entsprechend nutzt. 

Ein vielversprechender Ansatz zur Lösung dieses Problems ist der 

noch im Alpha-Stadium befindliche BillingStack [1], der genau 

diese Aufgabe wahrnehmen soll. Wer schon eine eigene Billing- 

Lösung hat, kann die über die ReSTful-API von Ceilometer aber 

gegebenenfalls auch selbst an OpenStack anbinden, wenn ein 

bisschen Handarbeit kein Problem ist. Belohnt werden Unternehmen 

dann mit der Möglichkeit, jeden auch noch so unscheinbaren 

Wert aufzuzeichnen, etwa die Zahl der VMs eines Kunden oder die 

Zahl der Netzwerkpakete, die dieser verbraucht hat. Oder die Zahl 

der Volumes und deren Gesamtgröße. Die Zahl der aktiven Images, 

die Zahl der genutzten Floating-IP-Adressen und viele andere 

Labels bietet Ceilometer beim Messen an. In Form von Ceilometer 

erhalten mit OpenStack betriebene Clouds jedenfalls ein überaus 

mächtiges Tool für statistische Betrachtungen. 

Orchestrierung in der Cloud 

Die zweite neue Komponente in Havana ist Heat (Abbildung 2). 

Heat wird alle Admins in Verzückung versetzen, denen Automatisierung 

und Orchestrierung von Bedeutung sind, denn letztlich 

Abbildung 1: Ceilometer ist OpenStacks künftige Metering-Lösung, die 

auch Billing-Applikationen zulässt. Eine fertige Billing-Lösung fehlt 

derzeit aber noch. 

Abbildung 2: Das Dashboard bildet die durch Heat hinzugekommenen 

Features in Havana bereits an. 


Admin 

Ausgabe 12-2013

96 



Abbildung 3: Anhand der Computing-Karte lässt sich darstellen, wie 

eine mit Heat gemanagte Umgebung gerade aussieht. 

ist Heat ein Spezialwerkzeug, mit dem 

sich aufwendige Tasks in OpenStack 

per Template vollständig automatisch 

umsetzen lassen. Die Idee hinter der 

Technik ist dabei keinesfalls neu. Denn 

schon in Amazons Public Cloud gibt es 

ein ganz ähnliches Werkzeug, das dort 

den Namen Amazon CloudFormation 

trägt. Wozu lässt sich die Lösung einsetzen? 

Das Prinzip der Automatisierung ist 

beim Cloud Computing ja im Grunde 

omnipräsent: Die ganze Idee hinter 

der Einführung von Lösungen wie 

der OpenStack-Umgebung ist es, mit 

möglichst wenig Aufwand möglichst 

große Erträge zu erzielen. Die Zeit, die 

Anbieter in die Wartung investieren, 

soll kleiner werden. Für die tatsächliche 

Infrastruktur der Cloud funktioniert 

das auch prächtig; ist OpenStack 

einmal eingerichtet, klicken Benutzer 

sich nach Lust und Laune die Dienste 

zusammen, die sie in der Cloud brauchen. 

Nachdem bei typischen Cloud- 

Kunden der Wunsch im Raum steht, 

auch komplexe IT-Setups in die Cloud 

zu verlagern, kann es aber einige Zeit 

dauern, bis die passende Konfiguration 

erstellt ist. An dieser Stelle tritt 

AWS-CloudFormations auf den Plan: 

Der Ansatz hier ist, auch den Nutzern 

Automatisierung zu bieten, damit diese 

sich ganze Computing-Umgebungen 

innerhalb der Cloud binnen Sekunden 

anlegen können. 

Technisch ist das Ganze über sogenannte 

Templates gelöst. In diesen legen 

die Cloud-Anwender die Parameter 

fest, die ihre Computing-Umgebung in 

der Cloud genauer beschreiben. 

Nutzbare 

Parameter 

Im Beispiel von Open- 

Stack kommt genau 

hier Heat ins Spiel: 

Heat versteht das AWS- 

CloudFormations- 

Template und konstruiert 

eine digitale 

Computing-Umgebung 

anhand der Admin- 

Vorgaben. 

Die Zahl der Parameter, 

die sich für die Automatisierung 

durch Heat festlegen lassen, ist beeindruckend. 

Grundsätzlich definiert der 

Admin zunächst einen Namen für die 

Computing-Umgebung. Ebenso kann 

er auch bestimmen, wieviele virtuelle 

Server Teil der Umgebung sein sollen 

und welche Dienste auf diesen Servern 

laufen sollen. Pro VM muss klar sein, 

welches Betriebssystem-Image zum 

Einsatz kommt. Sollen einzelnen VMs 

Sonderrollen zukommen (beispielsweise 

als Loadbalancer oder auch 

als Firewall), dann ist das selbstverständlich 

konfigurierbar. Dienste wie 

Clustering zwischen einzelnen VMs 

sind bei Bedarf ebenfalls über Heat 

einzurichten. Falls spezifische lokale 

Einstellungen nach dem Start notwendig 

sind, lassen sich auch beliebige 

Shell-Befehle direkt aus einem Heat- 

Template heraus ausführen. Sogar 

Firewall-Regeln für die einzelnen VMs 

lassen sich einstellen, sodass jedes 

virtuelle System von Anfang an mit den 

passenden Zugangsberechtigungen 

ausgestattet ist. 

Der Lohn der Mühe besteht in jeder 

Menge Zeit, die ein Admin sich im weiteren 

Verlauf seiner Arbeit erspart. Will 

er eine Webserver-Plattform aus Loadbalancern 

und Webservern starten, 

klickt er das entsprechende Template 

an und hat nach einigen Sekunden eine 

fertige Umgebung. Heat tut sogar noch 

mehr und überwacht im weiteren Verlauf 

automatisch, dass das Setup – wie 

vom Admin festgelegt – funktioniert. 

Per Template lassen sich Lastgrenzen 

festlegen, die nicht überschritten werden 

dürfen. Falls doch, löffelt Heat die 

Suppe aus und startet automatisch zusätzliche 

Ressourcen nach (Abbildung 

3). Im Grunde erweitert Heat Open- 

Stack also um horizontale Skalierung 

automatischer Art für die laufenden 

VMs. Fallen VMs nach dem Absturz 

eines Hypervisor-Knotens aus, würde 

Heat zudem auch das merken und automatisiert 

Abhilfe schaffen. 

Im Innern von Heat 

Heat besteht einerseits aus der 

»heat‐engine«, die die Arbeit im Hintergrund 

macht; dazu gesellt sich 

die API-Komponente »heat‐api« und 

»heat‐api‐cfn« (für AWS-CloudFormations, 

das Heat, wie erwähnt, neben 

dem eigenen Template-Format auch 

beherrscht). Dann gibt es auch noch 

»heat«, einen Kommandozeilen-Client, 

mit dem sich Heat direkt steuern lässt. 

Admins werden typischerweise ein 

Template schreiben und in Heat dann 

mit »heat« einfügen. Das Schreiben der 

Templates ist im Übrigen der lästige 

Teil der Arbeit mit Heat. Doch sind die 

Templates da, ist die Arbeit mit dem 

Dienst eine echte Freude. Sowohl für 

Heat als auch für Ceilometer gebühren 

den OpenStack-Entwicklern definitiv 

steil aufgerichtete Daumen. 

Neuerungen beim Netzwerk 

Auch fernab der beiden neuen Komponenten 

hat sich bei OpenStack so 

einiges getan. Wer sich die Release- 

Notes von Havana anschaut, stolpert 

über einen weiteren Namen, der eine 

vermeintlich neue Komponente zeigt. 

Doch der Eindruck täuscht, denn in 

diesem Falle hat das Kind lediglich 

einen neuen Namen erhalten: Hinter 

Neutron verbirgt sich die Komponente 

von OpenStack, die sich um das Thema 

Software-Defined-Networking mitsamt 

allen Anhängseln kümmert. Bis 

einschließlich Grizzly hieß die Komponente 

Quantum. Dann wandte sich ein 

amerikanischer Netzwerkausrüster an 

die OpenStack-Foundation und machte 

diese darauf aufmerksam, dass er den 

Namen als Marke für ein Produkt registriert 

habe. Die Foundation sah sich 

also quasi aus dem Nichts mit dem Vorwurf 

der Markenrechtsverletzung und 




97 

einer drohenden Strafe konfrontiert. 

Man einigte sich letztlich darauf, dass 

man für Quantum einen neuen Namen 

suchen würde; in Havana ist dieser Vorgang 

abgeschlossen. 

Die Umbenennung ging freilich mit 

einigen Veränderungen einher; fast 

jeder Pfad innerhalb von OpenStack 

Networking hatte irgendwo das Wort 

»Quantum« in sich – all diese Pfade haben 

sich nun geändert. Gleiches gilt für 

die Namen der Konfigurationsdateien, 

bei denen Neutron auch Quantum ersetzt 

hat. Ebenso heißt das »quantum«- 

Binary in Havana nun »neutron«. 

Ihre eigenen Hausaufgaben haben 

die Networking-Entwickler also ganz 

ordentlich erledigt, falls Anwender allerdings 

Shell-Skripte nutzen, die noch 

»quantum« aufrufen oder die alten Python-Module 

von Quantum einsetzen, 

so sind diese händisch entsprechend 

zu ändern, damit die Funktionalität 

grundsätzlich erhalten bleibt. 

LBaaS, FWaaS 

Natürlich hat es bei Neutron auch 

technische Änderungen gegeben. Die 

größten Neuerungen sind die Plugins 

Loadbalancer-as-a-Service (LBaaS) sowie 

Firewall-as-a-Service (FWaaS), die 

in Neutron neu hinzugekommen sind. 

Beide machen sich ein Havana-Feature 

von Neutron zunutze, denn es ist für 

den OpenStack-Netzwerkdienst nun 

möglich, mehr als ein Plugin für Netzwerktechnologien 

zu laden. Zuvor ging 

nur ein Plugin und das war in der Regel 

jenes für die SDN-Technik, also meist 

Open vSwitch. In Havana kann Neutron 

zusätzliche Plugins laden. Die beiden 

genannten Dienste bauen genau darauf 

auf. 

LBaaS erweitert Neutron um eine 

Loadbalancer-Funktionalität – dabei 

kommt HAProxy zum Einsatz, das Neutron 

automatisch passend konfiguriert, 

falls der Benutzer eine Loadbalancer- 

Konfiguration benötigt. 

FWaaS ermöglicht es dem Benutzer, 

feinmaschige Regeln für IPtables in 

OpenStack zu hinterlegen, die die 

Cloud-Umgebung anschließend auf 

VMs anwendet. Das mag wie eine Tautologie 

klingen, gibt es in OpenStack 

doch bereits die sogenannten Security 

Groups, die ebenso festlegen, welche 

VMs von wo aus erreichbar sein sollen 

und wohin sie Verbindungen aufbauen 

dürfen. Doch gibt es zwischen den 

Umsetzungen erhebliche Unterschiede. 

Denn die Security-Groups erlauben 

im Grunde das Festlegen von Sicherheitsregeln 

pro Port, den der virtuelle 

Switch (zum Beispiel über Open 

vSwitch) einer VM zuweist. Umfassende 

Firewall-Setups lassen sich so freilich 

nicht sinnvoll verwalten, und genau 

diese Lücke will das FWaaS-Plugin 

nun schließen. Beide Plugins gehören 

zu Havana, im Neutron-Handbuch 

sind beide Funktionen ebenso bereits 

erwähnt, sodass einem Test nichts im 

Wege steht. 

VPNaaS 

Für großes Interesse sorgt auch die 

VPNaaS-Funktion, die Neutron nun 

über ein eigenes Plugin implementiert. 

VPNaaS zielt darauf ab, dass auf dem 

OpenStack-Netzwerkknoten 

VPN- 

Dienste laufen, mit 

denen sich Nutzer 

von außen unmittelbar 

verbinden können. 

Anschließend 

sind sie quasi in ihrem 

Cloud-Netzwerk 

per VPN eingeloggt 

und erhalten dort 

direkten Zugriff 

auf ihre virtuellen 

Systeme. Derzeit 

unterstützt VPNaaS 

nur IPsec, sodass 

die Einrichtung auf 

Client-Seite unter 

Umständen kompliziert 

sein könnte; 

grundsätzlich macht 

die Implementation 

aber einen guten 

Eindruck. Wer sich 

also nicht vor IPsec 

fürchtet, bekommt 

hier echten Mehrwert. 

Treiberumbau 

Und auch beim 

schon bestehenden 

Code hat sich einiges getan. Wer in 

der Vergangenheit Quantum mit Open 

vSwitch aufgesetzt hat, der weiß, dass 

es ein spezifisches Plugin für Open 

vSwitch in Quantum gab, so wie Plugins 

für andere SDN-Techniken ebenfalls 

zur Verfügung standen. Im OpenStack- 

Sprech sind all diese Plugins unter 

dem Oberbegriff »L2« zu einer Gruppe 

zusammengefasst, weil sie auf dem 

OSI-Layer 2 aufbauen. Das bestehende 

Plugin-System haben die Entwickler 

kräftig umgebaut: An die Stelle der 

einzelnen Plugins tritt nun ein eigenes 

Framework, das das Schreiben von L2- 

Agents durch generische Funktionen 

erleichtern und auch vereinheitlichen 

soll. Wer als Anbieter für spezifische 

Hardware bis dato ein L2-Plugin bauen 

wollte, braute im Wesentlichen sein 

eigenes Süppchen – nun gibt es einen 

dokumentierten Standard. Und noch 

einen sehr großen Vorteil bietet das 

Modular Layer 2 getaufte Prinzip, denn 


98 



Abbildung 4: Auch bei der Netzwerk-Darstellung haben die Dashboard-Coder 

zum Schminkkasten gegriffen und die Darstellung sehr 

viel ansehnlicher gemacht als noch in Grizzly. 

in Havana ist es erstmals möglich, mehrere 

L2-Techniken gleichzeitig einzusetzen, 

also verschiedene L2-Technologien 

nebeneinander in ein und derselben 

Cloud zu betreiben. 

Viel Neues bei Glance 

Änderungen gibt es auch bei Open- 

Stacks internem Image-Dienst Glance. 

Obgleich Glance eher unbedeutend 

wirkt, erfüllt es eine sehr wichtige Aufgabe, 

indem es Betriebssystem-Images 

für neu zu startende VMs nach einer 

entsprechenden Anweisung vom Computing-Dienst 

»Nova« liefert. In Havana 

tut Glance das bei Bedarf von mehreren 

Image-Storages aus gleichzeitig, denn 

die neue Version der Software kann mit 

verschiedenen Storage-Backends zur 

gleichen Zeit umgehen. Anwender können 

in Zukunft also ganz bewusst auswählen, 

auf welchem Image-Speicher 

ihre Images für die Nutzung bereitgestellt 

werden sollen. Für Cloud-Anbieter 

entsteht die Möglichkeit, unterschiedliche 

Storage-Qualitäten zu unterschiedlichen 

Preisen anzubieten – ein schneller, 

mehrfach redundanter Speicher für 

wichtige Images und – gegen entsprechende 

Bezahlung – ein langsamerer 

und weniger oft redundanter Speicher 

für Test-Images, der deutlich weniger 

kostet – der Phantasie sind kaum Grenzen 

gesetzt. 

Neue Storage-Backends sind ebenfalls 

hinzugekommen, so unterstützt Glance 

nun das Ablegen von Images auf dem 

verteilten Object-Store 

Sheepdog[2]. Auch 

GridFS[3] steht als 

Back end zur Verfügung, 

und in Havana 

kann Glance obendrein 

Images auch noch in 

Volumes vom Open- 

Stack-Volume-Dienst 

»Cinder« ablegen. 

Wer verhindern will, 

dass seine Nutzer 

unbotmäßig viel 

Speicherplatz in den 

Storage-Backends von 

Glance in Anspruch 

nehmen, kann in 

Havana ein Quota 

für Nutzer in Glance 

setzen, das über alle Storage-Backends 

hinweg gilt. Und wer festlegen möchte, 

dass nur bestimmte Image-Formate in 

Glance zum Einsatz kommen können, 

kann das in Havana über eine entsprechende 

Formatliste tun. So ließen sich 

beispielsweise RAW-Images ausschließen, 

die nicht komprimiert sind und im 

Storage unverhältnismäßig viel Platz in 

Anspruch nähmen. 

Neuigkeiten auch bei Cinder 

Der Volume-Dienst Cinder hat ebenso 

wie Glance einiges an Makeup im Rahmen 

des Havana-Releases abbekommen 

und glänzt mit neuen Features. 

Fast schon normal sind die vielen 

Updates bei den Storage-Treibern: 

In Grizzly ergoss sich bereits eine beträchtliche 

Menge neuer Treiber über 

Cinder-Anwender und in Havana kommen 

weitere Treiber dazu. Überdies 

erhielten die existierenden Treiber 

viele zusätzliche Funktionen. In Havana 

kann Cinder Volumes erstellen, die auf 

IBMs GPFS-Dateisystem lagern, und 

auch Unterstützung für das Hitachi 

Unified Storage feiert in Havana seine 

Premiere. Wer OpenStack mit VMware 

kombiniert, darf sich über die Unterstützung 

für VMwares Dateisystem 

freuen, die Cinder in Havana ebenfalls 

mitbringt. 

Zu den Treibern, die im Rahmen des 

Havana-Release deutlich aufgebohrt 

worden sind, zählen die für HPs 

Lefthand-Storages, für GlusterFS und 

für Storages von Coraid und Zadara. 

Der Treiber für HPs 3PAR-Produkte 

unterstützt nun auch die Anbindung 

per FibreChannel, wo vorher nur iSCSI 

ging. Auch Hausputz haben die Cinder- 

Entwickler gemacht: So haben sie den 

Standard-Treiber (LVM über iSCSI) aufgeräumt 

und effizienter gemacht. Auf 

die Kompatibilität zu bereits genutzten 

Konfigurationsdateien wirkt sich das 

aber nicht aus. Wer OpenStack mit 

Ceph als Storage-Dienst nutzt, darf sich 

über die Möglichkeit freuen, Volumes 

direkt aus Cinder heraus in Ceph als 

Backup zu sichern. Aus Nutzersicht ist 

ein weiteres interessantes Feature, ein 

Volume von einem Nutzer auf einen anderen 

übertragen zu können. Bis dato 

war das auf Cinder-Ebene streng voneinander 

getrennt. Havana bringt das 

Feature in Produktionsreife mit. 

Das Dashboard Horizon 

Das zentrale Web-Interface in Open- 

Stack hat im Rahmen der Havana- 

Release vor allem Support für die 

Funktionen erhalten, die in den Komponenten 

ringsum hinzugekommen 

sind. Es handelt sich fast schon um das 

typische Katz-und-Maus-Spiel, das sich 

bei jeder OpenStack-Release wiederholt: 

Die Entwickler bauen spannende 

Funktionen ein, die Dashboard-Entwickler 

tun ihr Möglichstes, damit sich 

die neuen Funktionen auch direkt aus 

dem Web-Interface heraus nutzen und 

konfigurieren lassen. Bei der Havana- 

Release hat das sehr gut funktioniert: 

Es ist beispielsweise möglich, die 

FWaaS- und LBaaS-Funktionen direkt 

aus Horizon heraus zu konfigurieren. 

Und Heat-Support ist ebenso präsent 

wie Unterstützung für die neue Komponente 

Ceilometer. Die Darstellung von 

Quotas ist nun deutlich hübscher als 

zuvor. Insgesamt sind die äußerlichen 

Änderungen beim Dashboard (Abbildung 

4) – und um die geht es ja vorrangig 

– allerdings eher dezent, wohl sehr 

zur Freude der meisten Nutzer. 

Neuerungen in Nova 

Auch in der Compute-Komponente hat 

sich vieles getan – viele kleine Details 

funktionieren nun anders als zuvor und 

sorgen so für ein sehr viel stimmigeres 




99 

Bild. Die in Grizzly wieder eingeführte 

Unterstützung für HyperV hat das italienische 

Entwicklerteam von Cloudbase 

rund um Alessandro Pilotti konsequent 

ausgebaut. Der Support für VMware ist 

nun nicht zuletzt dank der Hilfe von VMware 

umfangreicher als zuvor. Mächtig 

viele Neuerungen hat auch die Implementation 

der »Cells« abbekommen, 

bei denen sich einzelne Hypervisor- 

Knoten zu logischen Gruppen zusammenfassen 

lassen. Die Kooperation 

zwischen Cinder und Nova hinsichtlich 

der Cells erlaubt es nun beispielsweise, 

Cinder-Volumes Cell-spezifisch zu 

nutzen. Obendrein unterstützt Nova 

nun nativ das GlusterFS-Backend von 

Qemu, so dass VMs auf GlusterFS nicht 

mehr den Umweg über FUSE nehmen 

müssen. PCI-Passthrough lässt sich 

über den Libvirt-Treiber in Nova nun 

problemlos umsetzen, allerdings ist 

Libvirt auch der einzige Treiber für 

Computing-Frameworks in Nova, der 

diese Funktion augenblicklich kann. 

Dann gibt es noch eine Funktion zum 

Verschlüsseln von Volumes – die wird 

dem versierten Admin Tränen in die 

Augen treiben, allerdings keine Freudentränen: 

Die Technik beruht nämlich 

auf der Annahme, dass es einen zentralen 

Schlüssel gibt, mit dem Volumes in 

Cinder von Nova verschlüsselt werden. 

Wer den Schlüssel hat, kann entschlüsseln, 

was er will. Den OpenStack- 

Entwicklern selbst ist klar, dass diese 

Lösung nur bedingt nützlich ist, die 

nächste Release – Icehouse – soll sehr 

viel flexiblere Verschlüsselungsmöglichkeiten 

bieten. Vom Havana-Feature 

ist aus sicherheitstechnischer Sicht 

jedenfalls abzuraten. 

Es würde an dieser Stelle den Rahmen 

sprengen, sämtliche Änderungen in 

Nova zu kommentieren, die erwähnenswert 

wären – vieles davon spielt 

sich unter der Haube ab und wird vom 

Benutzer in der Regel unbemerkt bleiben. 

Eine sichtbare Änderung betrifft 

das Starten von VMs: Bis zur Grizzly- 

Release ließen sich VMs starten, ohne 

ein Netzwerk anzugeben, mit dem sie 

verbunden sein sollten. In solchen Fällen 

hat Nova einfach eine Verbindung 

zu jedem verfügbaren Netz hergestellt, 

auch zu externen Netzen mit Floating- 

IPs. Weil das wenig 

sinnvoll ist, hat sich 

das Standardverhalten 

von Nova geändert: Die 

Angabe eines Netzes 

beim Starten einer VM 

ist nun verpflichtend, 

wenn mehre Netze vorhanden 

sind. 

Fazit: Gelungen 

OpenStack wird langsam 

erwachsen, die 

Havana-Release stellt 

das ganz eindrücklich 

unter Beweis. Denn obwohl 

es diesmal deutlich 

mehr tief in das 

System eingreifende 

Veränderungen gibt, 

wirkt Havana anfangs 

nicht annähernd so 

zerbrechlich wie es Folsom 

seinerzeit tat. Und 

einige der Neuerungen 

in Havana sind wirklich cool: Endlich 

schweigt OpenStack das Thema Metering 

nicht mehr tot, sondern stellt 

in Form von Ceilometer ein mächtiges 

Werkzeug für diese Aufgabe zur Verfügung. 

Heat wirkt momentan wie ein 

nettes Gimmick, wird sich im Alltag der 

Cloud-Admins aber als sehr nützliches 

Werkzeug herausstellen. Gleiches gilt 

für die massiven Änderungen, die Neutron 

– vormals Quantum – durchlaufen 

hat. Am Ende des eingeschlagenen 

Weges könnte die Möglichkeit stehen, 

unterschiedliche SDN-Technologien 

wie Open vSwitch und Cloudbases 

Windows-Portierung von Neutron in 

der gleichen Cloud zu hosten (Abbildung 

5), ohne dass Außenstehende 

einen Unterschied merken. Die Plugins 

für Firewall, Loadbalancer und VPN-asa-Service 

sind eine überaus nützliche 

Funktionserweiterung und füllen eine 

Lücke. 

Insgesamt vermag Havana also durchaus 

zu begeistern, sodass jeder Cloud- 

Admin gut daran tut, sich bereits vorab 

mittels einer Installation im Staging- 

System über eventuelle Migrationspfade 

zu informieren. Denn wer um die 

Havana-Features weiß, wird sie kaum 

langfristig missen wollen. (jcb) n 

Abbildung 5: OpenStack & Windows ist ein wichtiges Thema. Cloudbase 

ist im Moment quasi die Triebfeder dafür – auch in Havana gibt es 

viele wichtige Verbesserungen. 

n Info 

n Autor 





Martin Gerhard Loschwitz arbeitet als Principal 

Consultant bei hastexo. Er beschäftigt sich dort intensiv 

mit den Themen HA, Distributed Storage und 

OpenStack. In seiner Freizeit pflegt er Pacemaker für 

Debian. 


Admin 

Ausgabe 12-2013

100 


vSphere 5.5 

Viktoriya Sukhanova, 123RF 

VMware vSphere 5.5: Die wichtigsten Neuerungen im Überblick 

In der virtuellen 

Sphäre 

Virtualisierung gehört zum Standardrepertoire eines modernen Admins: vom Desktop bis zum Server- 

Verbund. vSphere – einst bekannt als VMware Infrastructure − heißt das Cloud-Computing-Produkt des 

Virtualisierungspioniers VMware und ist nun in Version 5.5 erschienen. Thomas Joos 

Skalierbarkeit und Hochverfügbarkeit 

heißen die Bereiche, die VMware in der 

jetzt erschienenen Version 5.5 seiner 

Virtualisierungslösung vSphere [1] betont. 

Daneben bringt der Hersteller die 

Hardware-Unterstützung auf den aktuellen 

Stand, um mit den Entwicklungen 

bei der vSphere-Konkurrenz Hyper-V [2] 

von Microsoft mitzuhalten. 

Größere Festplatten mit 

Abwärtskompatibilität 

Zunächst macht die neue vSphere- 

Version bei der Obergrenze der unterstützten 

Festplatten einen großen 

Schritt nach vorne. Sie nutzt die durch 

Windows Server 2012 eingeführten 

Möglichkeiten und verwaltet nun bis zu 

64 TByte große Speichermedien, statt 

bisher 2 TByte. Die Anzahl maximal 

unterstützter CPUs und die zugelassene 

Arbeitsspeichergröße pro Host 

verdoppelt die neue Version jeweils auf 

320 beziehungsweise 4 TByte. Letzteres 

gilt nun auch für die kostenlose ESXi- 

Variante [5] des Hypervisors (siehe 

Abbildung 1), deren Nutzer sich bislang 

auf 32 GByte RAM beschränkt sahen. 

Nicht benötigte Prozessoren versetzt 

die neue vSphere-Ausgabe in einen 

Stromsparmodus und nutzt dazu nicht 

mehr deren Performance States, sondern 

greift direkt auf ACPI-Funktionen 

zurück. 

In Formatfragen bleibt VMware auch 

bei vSphere 5.5 zum Speichern virtueller 

Platten dem im eigenen Haus 

entwickelten, aber dennoch offenen 

Format VMDK (Virtual Machine Disk) 

treu, während Konkurrent Hyper-V auf 

VHDX setzt. VMDK bietet neben der Unterstützung 

in anderen Virtualisierungsprodukten 

wie VirtualBox und Qemu 

den Vorteil der Abwärtskompatibilität. 

Bei älteren vSphere-Versionen bleibt 

n vSphere-Varianten und ‐Preise 

Bei der Preisgestaltung unterteilt VMware die verschiedenen vSphere- 

Varianten zunächst in fünf Kategorien. Darin enthalten sind die Editions 

genannten Ausgaben-Lizenzen für je einen Prozessor, während es sich 

bei den sogenannten Kits um Pakete handelt, die sechs CPUs abdecken. 

Die Grundkonfigurationen unterscheiden sich in ihrer Ausstattung und 

sind auf unterschiedliche Anwendungsszenarien zugeschnitten. Die 

Produktvergleichsseite [3] gibt einen vollständigen Überblick über die 

enthaltenen Features, [4] über die genauen Preise. Sie liegen zwischen 

445 Euro für das grundlegende Essentials Kit in der Standard-Variante 

und 25 500 Euro für vSphere mit dem Operations Management Enterprise 

Plus Acceleration Kit. 

Neben den Lizenzgebühren verpflichten die meisten vSphere-Pakete 

zum Kauf von mindestens einjährigem „Subscription and Support“ 

(SnS). Diesen gibt es wiederum in einer Basic-Variante, der unter der 

Woche täglich zwölf Stunden bereitsteht, sowie als Production-Paket, 

das rund um die Uhr Unterstützung verspricht. Für das Essentials Kit 

gibt es darüber hinaus Support auf Einzellfallbasis. Daneben hängen 

die SnS-Preise wiederum von der zugrunde liegenden vSphere-Lizenz 

ab und bewegen sich zwischen 58 Euro pro Jahr beim Essentials Kit 

mit Basic-SnS und etwa 8300 Euro bei der vSphere-Luxusvariante mit 

Production-Support. 

Ausgabe 12-2013 

Admin 



vSphere 5.5 

101 

Abbildung 1: vSphere 5.5 kommt mit neuen Features. 

Abbildung 2: Der webbasierte Administrations-Client unterstützt einige 

Funktionen mehr als der native Windows-Client. 

Neue Techniken 

vSphere 5.5 unterstützt außerdem das 

Advanced Host Controller Interface 

(AHCI). Über virtuelle SATA-Controller 

stellt die Software auf diesem Weg bis 

zu 30 virtuelle Festplatten oder optische 

Laufwerke zur Verfügung. Jede 

virtuelle Maschine erhält maximal vier 

SATA-Controller. Dies ermöglicht die 

Hardware-Virtualisierungsschicht namens 

Virtual Hardware, die im neuen 

vSphere Version 10 erreicht hat. Sie 

unterstützt jetzt auch ausfallsichere 

Failover-Cluster auf Basis von Windows 

Server 2012 mit iSCSI und FCoE (Fibre 

Channel over Ethernet). Die letzteren 

beiden Techniken transportieren SCSIbeziehungsweise 

Fibre-Channel-Kommandos 

zur Kommunikation mit Geräten 

über ein Ethernet- oder IP-basiertes 

Netzwerk. 

Um die Stabilität zu erhöhen, lagert 

vSphere 5.5 in der Enterprise- und 

der Enterprise-Plus-Variante wichtige 

Systemdaten in sichere Bereiche des 

Arbeitsspeichers aus. Das soll Abstürze 

beim Auftreten defekter RAM-Bits 

verhindern, deren Wahrscheinlichkeit 

mit der Größe des Arbeitsspeichers 

zunimmt. Mit Augenmerk auf Desktopjedoch 

deren Begrenzung auf eine Festplattengröße 

von 2 TByte bestehen, 

größere virtuelle Speicher liest nur die 

neue Ausgabe. Der Nachteil von VMDK 

besteht in einer geringeren Flexibilität: 

Anders als VHDX-Dateien lässt sich die 

Größe von VMDK-Images nicht im laufenden 

Betrieb ändern. Dazu kommt, 

dass nur der webbasierte Administrations-Client 

(Abbildung 2) die neuen 

Medien unterstützt. 

Der native Windows-Client (Abbildung 

3) fällt an dieser Stelle aus und legt 

ohnehin den Verdacht nahe, dass VMware 

diesen etwas vernachlässigt. Auch 

wenn VMware die schrittweise Verbesserung 

des Windows-Clients angekündigt 

hat, weist die beim Web-Client 

verbesserte Oberfläche mit Drag-and- 

Drop-Unterstützung und einer Schnittstelle 

für das in den Enterprise-Varianten 

enthaltene Hadoop-Plugin darauf 

hin, dass der Fokus der Entwicklung auf 

ihm liegt. Der Web-Client ermöglicht 

nun zudem, auch im laufenden Betrieb 

SSD-Festplatten hinzuzufügen. 

Der Windows-Client verwaltet weiterhin 

auch kostenlose ESXi-Umgebungen, 

allerdings besteht hier die alte Grenze 

von 2 TByte bei virtuellen Festplatten 

weiter. Wollen Administratoren nicht 

auf den Web-Client ausweichen, steht 

ihnen alternativ die kostenlose vCenter-Appliance 

zur Verfügung. Deren 

Installation setzt allerdings zunächst 

einen der beiden anderen Verwaltungs- 

Clients voraus. 

Maschinen erlaubt vSphere virtuellen 

Systemen für die 3D-Grafikbeschleunigung 

direkt auf die entsprechenden 

Chips der Grafikkarte zuzugreifen, auch 

wenn sie von AMD oder Intel stammen; 

bislang funktionierte dies ausschließlich 

mit NVidia-Hardware. 

Hochverfügbarer Speicher 

Das neue vSphere-Feature »Virtual 

SAN« legt verschiedene Datenträger 

eines Host-Systems zu einem virtuellen 

Speicher zusammen, ebenso wie die 

in Windows Server 2012 verwendeten 

Speicher-Pools. Die so erzeugten Speicher 

stehen verschiedenen virtuellen 

Servern zur Verfügung. Leider unterliegt 

das bislang nur in einer Beta-Version 

ausgelieferte Virtual SAN weiterhin der 

eigentlich von vSphere 5.5 gesprengten 

2-TByte-Grenze bei den Festplattengrößen 

und bindet nur Speichermedien 

mit höchstens dieser Kapazität ein. 

Solche Mängel erwecken den Eindruck, 

das VMware noch nicht ganz ausgereifte 

Features auf Grund des Konkurrenzdrucks 

durch Hyper-V voreilig 

ausliefert. Denn auch wenn VMware 

hier voraussichtlich noch nachbessert, 

bedeutet der limitierte Funktionsumfang 

der virtuellen SANs einen klaren 

Punktverlust gegenüber Microsofts 

Hybrid-V, das in Windows Server 2012 

mit VHDX-Festplatten sogar iSCSI-Ziele 


Admin 

Ausgabe 12-2013

102 


vSphere 5.5 

erstellt und sie als gemeinsame Festplatte 

(Shared VHDX) mehreren virtuellen 

Servern zur Verfügung stellt. 

Das primäre Ziel von Virtual SAN liegt 

allerdings ohnehin nicht darin, physische 

SANs zu ersetzen, vielmehr soll 

die Technik über mehrere Festplatten 

verteilten freien Speicherplatz zusammenfassen. 

In einem Speicher-Cluster 

unterstützt Virtual SAN bis zu acht Knoten. 

Zu beachten ist dabei, dass die Verwaltung 

auch hier ausschließlich über 

den Web-Client erfolgt und dass ältere 

vSphere-Versionen mit solchen Medien 

nicht zurechtkommen. 

Virtual SAN erfordert für den Betrieb 

mit SSD-Platten ausgestattete Hosts, 

auf denen es die Daten für den Zugriff 

der virtuellen Maschinen zwischenspeichert. 

Die gleiche Methode bietet 

vSphere in der neuen Ausgabe übrigens 

auch für andere Speicherbereiche, 

unabhängig von Virtual SAN an. Das 

Zwischenspeichern entlastet den physischen 

Festplattenspeicher deutlich, 

da Schreib- und Lesezugriffe über den 

schnellen SSD-Cache erfolgen. Doch die 

Technik kommt Virtual SANs besonders 

zugute, weil sie häufig umfangreiche 

Netzwerktransfers benötigen. Trotzdem 

sollte dem Virtual SAN ein schnelles 

Netzwerk zwischen den vSphere-Hosts 

Abbildung 4: Das neue Virtual SAN fasst unter anderem im Netzwerk 

verteilten Speicherplatz zusammen. 

Abbildung 3: Der Windows-Client existiert 

weiter, spielt jedoch offenbar eine untergeordnete 

Rolle. 

zugrunde liegen, idealerweise mit einer 

Übertragungsrate von mindestens 10 

Gigabit pro Sekunde und gebündelten 

Netzwerkkarten (NIC-Teams). 

Bei Virtual SANs definieren konfigurierbare 

Richtlinien (Abbildung 4) die 

mindestens erforderliche Leistung 

jedes virtuellen Servers sowie die Toleranzgrenze 

bei Ausfällen virtueller Platten. 

Außerdem legen sie die maximale 

Anzahl physischer Festplatten fest, 

über die sich die Daten einer virtuellen 

Platte verteilen. Um 

die Leistung zu erhöhen, 

verteilt Virtual 

SAN die gespeicherten 

Daten optional automatisch 

zwischen den 

angebundenen Hosts. 

Auf dieser Basis definieren 

die Richtlinien 

jedes einzelnen virtuellen 

Servers eigene Service 

Level Agreements 

(SLAs). 

Ein weiterer Wermutstropfen 

neben der 

2-TByte-Grenze ist 

eher finanzieller Natur: 

Virtual SAN erfordert 

eine eigene Lizenzierung, 

obwohl es in 

vSphere integriert ist. 

Die Rechengrundlage 

bildet dabei die Anzahl 

der verwendeten CPU- 

Sockel. Jeder Server erhält maximal 

fünf Festplattengruppen, die wiederum 

aus bis zu sechs physischen Festplatten 

und einer SSD bestehen. Zu den genauen 

Preisen der finalen Virtual-SAN- 

Version gibt es noch keine Angaben. 

Bessere Verwaltung mit 

vCenter Server Appliance 

Bereits mit vSphere 5 hatte VMware die 

Möglichkeit geschaffen, die vSphere- 

Umgebung mit einer virtuellen Maschine 

auf Linux-Basis zu verwalten 

[6]. Die vCenter Server Appliance soll 

die Virtualisierung unabhängig von 

Windows-Lizenzen machen, da sie die 

vSphere-Konfiguration ohne Windows- 

Server ermöglicht. 

Mit Version 5.5 verbessert VMware 

diese Möglichkeit der Verwaltung 

deutlich. Die Appliance verwaltet jetzt 

bis zu 500 Hosts mit insgesamt bis zu 

5000 virtuellen Servern; vorhergehende 

vCentre-Versionen beschränkten sich 

auf höchstens fünf ESXi-Hosts mit maximal 

50 virtuellen Servern. Zugleich arbeitet 

vCenter komplett selbstständig: 

Die Appliance basiert auf Suse Linux 

Enterprise Server und setzt weder Windows-Lizenzen 

noch Verwaltungsserver 

oder Datenbanken voraus, denn es 

verwendet die OpenSource-Datenbank 

PostgreSQL. vCentre eignet sich also 

für die zentrale und kostensparende 

Verwaltung von Umgebungen jeder 

Größe. Wächst die Zahl der Hosts und 

virtuellen Maschinen über das mit 

vCenter-Mitteln handhabbare Maß 

hinaus, lässt sie sich um eine externe 

Oracle-Datenbank erweitern. 

In Sachen Sicherheit legt vSphere 5.5 

ebenfalls eine Neuordnung vor. Die 

Verwaltung über die Shell setzt nun 

nicht mehr nur auf das Root-Konto: Es 

genügt auch das Administrator-Konto 

des entsprechenden Anwenders. 

Bessere Hochverfügbarkeit 

für Anwendungen 

Auch eine Verbesserung im Bereich 

der Hochverfügbarkeit liefert VMware 

mit vSphere 5.5 mit. Die neue Funktion 

»App HA«, die nur der Enterprise-Plus- 

Edition von vSphere beiliegt, gewährleistet 

die Hochverfügbarkeit virtueller 

Anwendungen, die auf verschiedenen 



vSphere 5.5 

103 

virtuellen Servern verteilt laufen. Schon 

frühere vSphere-Versionen reagierten 

auf den Ausfall von einzelnen Servern 

mithilfe von VMware High Availability. 

Sobald ein Virtualisierungs-Host im 

Netzwerk ausfällt, und damit die darauf 

laufenden virtuellen Maschinen, erkennt 

vCenter diesen Ausfall und startet 

die entsprechenden Gastsysteme 

ersatzweise auf einem anderen Host im 

Netzwerk. 

Das System erkennt auch Abstürze 

virtueller Server und startet diese bei 

entsprechender Konfiguration automatisch 

neu. Allerdings schlägt auch die 

neue Version in puncto Ausfallsicherheit 

fehl, wenn eine virtuelle Maschine 

mehrere vCPUs einsetzt. 

Mit App HA für die Hochverfügbarkeit 

für Anwendungen geht es nun noch 

einen Schritt weiter. Das System überwacht 

nicht nur die Verfügbarkeit der 

virtuellen Server, sondern mithilfe von 

VMware Hyperic auch direkt auf den 

virtuellen Servern laufende Prozesse. 

Damit erkennt ein Agent im virtuellen 

Server Prozessausfälle und reagiert gemäß 

der vom Administrator definierten 

Vorgaben. 

Im Fall eines Problems vermeidet das 

System zunächst, die ganze virtuelle 

Maschine auf einen anderen Host zu 

transferieren oder neu zu starten, denn 

diese im Fall großer Gastsysteme aufwendigen 

Vorgänge kosten Zeit und 

Bandbreite und bergen somit wiederum 

die Gefahr neuerlicher Probleme. 

Stattdessen startet App HA einzelne 

ausgefallene Dienste direkt in den virtuellen 

Servern neu. Erst wenn diese 

Maßnahme scheitert, greift es auf weiterführende 

Maßnahmen zurück, von 

der automatischen Benachrichtigung 

an den Admin bis zum Neustart und 

dem Verschieben auf einen anderen 

Host-Rechner. App HA konkurriert also 

mit Microsofts System Center Operations 

Manager, allerdings bleibt die 

Auswahl der zu überwachenden Anwendungen 

geringer. 

Fazit 

In der Summe zeigt sich die neue 

vSphere-Version als ambitionierte Aktualisierung, 

die sowohl Anpassungen 

an die von aktuellen Windows-Server- 

Versionen bereitgestellten Funktionen 

als auch neue Features mitbringt. 

Leider halten diese noch nicht immer, 

was sie versprechen, weshalb sich etwa 

beim geplanten Einsatz sehr großer 

Festplatten eine genaue Prüfung empfiehlt, 

ob alle gewünschten Funktionen 

mitspielen. (csc) n 

n Info 




www.admin-magazin.de/qr/30687

freeX 

Einführung 

105 

Sonderteil 

Auf der folgenden Seite startet der regelmäßige 

FreeX-Sonderteil des ADMIN-Magazins. Hier finden 

Sie Know-how-Artikel und Workshops von erfahrenen 

Autoren aus der langen Tradition der FreeX. 

GELI und Pefs..................................106 

Die Privatsphäre wahren: Unter FreeBSD verschlüsseln 

GELI und Pefs Festplatten, Slices und 

Partitionen. 

ika747, 123RF 

www.admin-magazin.de Admin Ausgabe 12-2013

melpomen, 123RF 

Daten verschlüsseln mit FreeBSD 

Verschlusssache 

Wie die jüngsten Ereignisse rund um die NSA-Affäre gezeigt haben, wird es immer wichtiger, seine Daten 

vor fremden Zugriffen zu schützen. FreeBSD bietet mehrere Möglichkeiten, den Schutz durch Verschlüsselung 

zu gewährleisten. Mit GELI und Pefs werden in diesem Artikel zwei Konzepte in Theorie und Praxis 

näher beleuchtet. Jürgen Dankoweit 

Für einen Notebook-Besitzer ist es wohl 

eine Horrorvorstellung, sein Gerät im 

Zug, Flugzeug oder Bibliothek zu vergessen. 

Nicht nur das Notebook wäre 

wohl für immer verschwunden. Meist 

sind auch wichtige persönliche Daten, 

Geschäftsberichte und das geheime 

Tagebuch gespeichert, die nicht für 

fremde Augen bestimmt sind. Es bieten 

sich viele Möglichkeiten an, solche 

Informationen zu schützen oder den 

Zugriff darauf auch für Profis erheblich 

zu erschweren. Die Zauberformeln sind 

die Verschlüsselung von Festplatten 

(Disk Encryption) und die nicht minder 

wirksame Alternative der Dateiverschlüsselung 

(File Encryption). 

Mit der Einführung des GEOM-Frameworks 

in FreeBSD 5 wurde eine Möglichkeit 

geschaffen, Plugins in den Zugriffspfad 

für Datenträger einzuhängen. 

Dazu werden die Kommunikationswege 

zwischen Dateisystem durch GEOM 

geleitet. Innerhalb von GEOM wird 

der Datenstrom an Module verteilt, 

bevor er zu den Lowlevel-Funktionen 

(Gerätetreiber) gelangt. Hier setzt das 

Modul GELI zur Verschlüsselung von 

Festplatten an, wie es in Abbildung 1 zu 

sehen ist. 

Eingestöpselt 

Das Plugin GELI ist ein Modul, mit dessen 

Hilfe sich ganze Datenträger, Slices 

oder Partitionen unabhängig vom verwendeten 

Dateisystem verschlüsseln 

lassen. Da GELI unterhalb der Dateisystemschicht 

angesiedelt ist, arbeitet es 

vollkommen transparent, sodass ein 

Datenträger, der mit GELI behandelt 

wurde, sich wie gewohnt verhält. Der 

einzige Unterschied liegt darin, dass die 

Daten eben verschlüsselt in den einzelnen 

Sektoren abgelegt werden. 

Wenn das System über kryptografische 

Hardware verfügt, wird diese vom 

Crypto-Framework automatisch verwendet. 

Solche Kryptografie-Prozessoren 

gibt es auch für Notebooks, die 

über einen Mini-PCI-Steckplatz verfügen. 

Allerdings gilt es hier zu beachten, 

dass das BIOS des Notebooks nicht 

unbedingt solche Karten akzeptiert 

(IBM/Lenovo Thinkpads). Kryptografie- 

Prozessoren übernehmen die Berechnungen 

zur Verschlüsselung der Daten, 

was den Mikroprozessor des Rechners 

je nach Auswahl des Algorithmus 

erheblich entlastet. Damit diese Merkmale 

genutzt werden können, wurde 

mit OpenBSD 2.7 das genannte Crypto- 

Framework eingeführt, das später auch 

in FreeBSD zum Einsatz gelangte. GELI 


freeX 

Verschlüsselung 

107 

Der Benutzer bekommt einen Schlüssel 

und der EDV-Service der Firma hat 

ebenfalls einen Schlüssel, der mit dem 

erstgenannten nicht identisch ist. 

Damit erhält der EDV-Service im Falle 

eines Sicherheitsupdates ebenfalls Zugriff 

auf die Festplatte, auch wenn ein 

Benutzer seinen Schlüssel versehentlich 

zerstört hat. Damit kann er über 

seinen zuvor gesicherten Masterkey 

wieder auf seine Daten zugreifen. 

GELI bietet eine Option, Platten mit einem 

zufälligen Einmalschlüssel einzusetzen. 

Dadurch lassen sich beispielsweise 

Swappartitionen und temporäre 

Dateisysteme verschlüsseln. Daten, die 

in einer Swap-Partition unverschlüsselt 

abgelegt sind, sind für Hacker ein 

wahres Eldorado. Schlampig programmierte 

Software, die Passwörter im 

Klartext im Arbeitsspeicher temporär 

ablegt, wird dadurch angreifbar. Wenn 

aber die Swap-Partition verschlüsselt 

ist, sind die Chancen sehr gering, etwas 

zu finden. Die Verwendung eines Einmalschlüssels 

ist nützlich, weil bei einem 

Neustart des Systems die in dieser 

Partition enthaltenen Informationen 

nicht mehr lesbar sind. Die Funktionsweise 

von GELI ist sehr einfach und 

anhand von Abbildung 2 recht schnell 

erläutert. 

Während der Initialisierungsphase 

erzeugt GELI einen neuen Gerätetreinutzt 

dieses Framework intensiv beim 

Einsatz der derzeit implementierten 

Crypto-Algorithmen AES, Blowfish und 

TripleDES (3DES). 

Es lassen sich nicht nur Home-Partitionen 

verschlüsseln, sondern auch die 

komplette Root-Partition. Allerdings 

muss dann beim Systemstart eine 

Passphrase eingegeben werden, damit 

ein Zugriff auf die verschlüsselte 

Root-Partition möglich ist. Der große 

Vorteil ist dann, dass nur derjenige das 

Betriebssystem booten kann, der auch 

die gültige Passphrase besitzt. Auch 

wenn die Festplatte in einen anderen 

Rechner eingebaut wird, bleibt die 

Abfrage des Passworts immer erhalten. 

Damit ist eine solche Festplatte für den 

neugierigen Mitbürger oder Staatsdiener 

wertlos. 

Durch seine einfache Sektor-zu-Sektor- 

Verschlüsselung erreicht GELI sehr 

hohe Geschwindigkeit und Sicherheit 

beim Verarbeiten der Informationen. 

Viele andere Systeme zur Verschlüsselung 

von Festplatten auf Softwarebasis 

verwenden temporäre Dateien. Dadurch 

wird nicht nur der Ablauf erheblich 

gebremst, sondern es leidet unter 

Umständen auch die Datensicherheit 

und Datenintegrität. Dies macht sich 

spätestens dann bemerkbar, wenn der 

Rechner abstürzt. Man darf nicht vergessen, 

dass temporäre Dateien immer 

zum Hacken eines Systems einladen! 

Bei der Sektor-zu-Sektor-Verschlüsselung 

werden keine temporären Dateien 

benötigt, weil die Dateien während des 

Schreibvorgangs verschlüsselt beziehungsweise 

beim Lesen entschlüsselt 

werden. Das macht es extrem schwierig, 

die Daten solcher Festplatten zu 

extrahieren. Ein anderer Vorteil dieser 

Verschlüsselungstechnik ist, dass es 

fast unmöglich ist, ganze Dateien zu 

rekonstruieren, da eine Struktur nicht 

mehr erkennbar ist. 

Backup-Schlüssel 

Der Einsatz von zwei voneinander 

unabhängigen Schlüsseln ist in GELI 

realisiert. So lassen etwa ein privater 

Schlüssel und ein Unternehmensschlüssel 

generieren. Das ist beispielsweise 

für Notebooks von Außendienstmitarbeitern 

eine interessante Option. 

Abbildung 1: Kommunikation zwischen Dateisystem, GELI und Hardware. 

ber und teilt dies dem Device-Driver- 

Daemon »devd« mit. Er übernimmt 

unter FreeBSD die Verwaltung der Gerätetreiber 

und ist somit automatisch 

involviert. Der Name des neuen Geräts 

setzt sich aus dem Treibernamen und 

der Endung ».eli« zusammen. Nachdem 

die Partition oder das Slice bei GELI 

angemeldet sind, findet die Kommunikation 

mit dem Datenträger nur noch 

über den von GELI erzeugten Gerätetreiber 

statt. Beim Aushängen und 

Abmelden der Partition bekommt der 

Device-Driver-Daemon die Anweisung, 

den von GELI erzeugten Treiber wieder 

zu entfernen. 

Umsetzung 

Die Funktionsweise liest sich in der 

Theorie komplizierter, als sie sich in 

der Praxis darstellt. Es gibt prinzipiell 

drei Möglichkeiten für den Einsatz von 

GELI: Die einfachste ist die Verschlüsselung 

einer Partition. Damit erreicht 

man schnell das gewünschte Ziel. Anwenden 

sollte man es zum Schutz der 

Home-Partition. 

Die nächste Option ist die kryptografische 

Behandlung eines ganzen Datenträgers, 

wenn man seine privaten Daten 

auf dieser Platte auslagern möchte. 

Dies ist interessant für wechselbare 

Datenträger wie DVD-RAMs oder eine 

externe Festplatte. Maximale Sicherheit 


Admin 

Ausgabe 12-2013

108 

freeX 


Nach der Eingabe des Passworts erfolgt 

im nächsten Schritt die Registrierung 

der Partition bei GELI: 

geli attach ‐k /root/geli/da0s1g.key U 

/dev/da0s1g 

Enter Passphrase: 

Hier ist das zuvor benutzte Passwort 

einzugeben. Ab diesem Schritt findet 

die Kommunikation mit dem Datenträger 

nur noch über den von GELI und 

»devd« generierten Treiber statt: 

ls /dev/*.eli 

da0s1g.eli 

Abbildung 2: Funktionsweise von GELI. 

bietet die Verschlüsselung aller Datenträger 

einschließlich desjenigen Datenträgers, 

von dem das System bootet. 

Dies ist die aufwendigste und komplizierteste 

Methode. Vor allem, weil das 

Installationsprogramm von FreeBSD 

nicht mit solchen Datenträgern umgehen 

kann. 

Sicheres Heim 

Zunächst sei der einfachste Fall betrachtet. 

Es soll die Home-Partition 

»$home« (auf »/dev/da0s1g« liegend) 

verschlüsselt werden. Zunächst legt 

die folgende Zeile in der Datei »/boot/ 

loader.conf« fest, dass das Modul GELI 

während der Bootphase geladen wird: 

geom_eli_load="YES" 

Zum Verschlüsseln der Partition generiert 

man einen Schlüssel, der auf 

n Tabelle 1: Übersicht über Gerätebezeichnungen 

Gerät 

Festplatte: Eine SCSI-Festplatte mit 

ID 0 heißt »da0«, die erste IDE-Festplatte 

»ad0«. 

USB-Stick bei SCSI-Systemen: »da1« 

oder bei IDE-Systemen »da0«. 

einer Reihe von Zufallszahlen basiert. 

Wichtig ist, dass der Schlüssel an einem 

sicheren Ort im Verzeichnisbaum liegt. 

Dafür bietet sich das Home-Verzeichnis 

des Root-Users an: 

mkdir /root/geli 

dd if=/dev/random of=/root/geli/da0s1g.U 

key bs=64 count=1 

Diesen Schlüssel sollte man zur Sicherheit 

auch auf einem USB-Stick speichern. 

Nun erfolgt die Initialisierungsphase 

(siehe Abbildung 2) der Partition, 

in deren Verlauf man nach einen Passwort 

gefragt wird. Die Sektorgröße soll 

dabei 4096 Byte sein (»‐s 4096«). 

geli init ‐s 4096 ‐K /root/geli/da0s1g.U 

key /dev/da0s1g 

Enter new Passphrase: 

Reenter new Passphrase: 

Bemerkung 

Diese Platte soll komplett verschlüsselt werden. Die Kapazität 

der Platte ist keinen besonderen Beschränkungen unterworfen. 

Abhängig vom verwendeten System erhält der USB-Stick unterschiedliche 

Gerätenamen: Bei SCSI ist dies »da1«, bei IDE 

»da0«, weil USB-Sticks wie SCSI-Geräte behandelt werden. Die 

Kapazität des USB-Sticks sollte mindestens 2 GByte betragen. 

Um höchstmögliche Sicherheit zu gewährleisten, 

überschreibt der folgende 

Befehl die Partition mit Zufallszahlen, 

was abhängig von der Größe ziemlich 

lange dauern kann: 

dd if=/dev/random of=/dev/da0s1g.eli U 

bs=1m 

Nachdem man bei einer Tasse Kaffee 

die Wartezeit genussvoll überbrückt 

hat, folgen die letzten Schritte. Um die 

Partition nutzen zu können, muss sie 

formatiert und eingehängt werden: 

newfs /dev/da0s1g.eli 

mount /dev/da0s1g.eli $home 

Die folgenden Zeilen in »/etc/rc.conf« 

sorgen dafür, dass beim nächsten 

Systemstart die Partition automatisch 

eingebunden wird: 

geli_devices="da0s1g" 

geli_da0s1g_flags="‐k /root/geli/da0s1g.U 

key" 

Wichtig ist dabei die Angabe zwischen 

»geli_« und »_flags«: Hier muss der 

Name eingetragen werden, der in »geli_ 

devices« steht. Zusätzlich ergänzt oder 

ändert man die Mount-Tabelle »/etc/ 

fstab« (statt »$home« ist natürlich der 

Verzeichnisname einzutragen): 

/dev/da0s1g.eli $home ufs rw 0 0 

Die Partition lässt sich auch wieder 

aushängen: 


freeX 


109 

umount $home 

geli detach da0s1g.eli 

Wenn die Einträge in »/etc/rc.conf« 

stimmen, lässt sich eine verschlüsselte 

Partition auch mit »/etc/rc.d/geli 

start« ein- und mit »/etc/rc.d/geli stop« 

wieder aushängen. Aus dem oben 

erwähnten Grund sollte man auch die 

Swap-Partition verschlüsseln. In der 

systemweiten Konfigurationsdatei 

»/etc/rc.conf« sorgt dafür die Zeile: 

geli_swap_flags="‐d" 

Die Option »‐d« bedeutet, dass bei einem 

Systemabschluss die Swap-Partition 

automatisch aus dem GELI-System 

ausgehängt wird. Dadurch wird der Vorgang 

sauber abgeschlossen. Außerdem 

muss in der Mount-Tabelle der Eintrag 

zur Swap-Partition so aussehen: 

/dev/da0s1b.eli none swap sw 0 0 

Zum Schluss initialisiert der Befehl 

dd if=/dev/random of=/dev/da0s1b bs=1m 

geli onetime ‐d ‐e 3des da0s1b 

swapon /dev/da0s1b.eli 

den Auslagerungsbereich. Während des 

System-Neustarts erhält man folgende 

Ausgabe: 

GEOM_ELI: Device da0s1b.eli created. 

GEOM_ELI: Encryption: AES‐CBC 128 

GEOM_ELI: Crypto: software 

Vollschutz 

Um einen Datenträger zu verschlüsseln 

und darauf FreeBSD zu installieren, 

muss man schon einen recht großen 

Aufwand treiben. Aber wer sein System 

richtig gut schützen will, sollte 

sich nicht abschrecken lassen. Vor der 

Konfiguration sollte man sich ein paar 

Utensilien bereitlegen: Installations- 

DVD oder ‐CD und einen qualitativ 

hochwertigen USB-Stick (Datensicherheit!). 

Wichtig ist, dass das BIOS 

des Rechners eine Option anbietet, 

um vom USB-Stick booten zu können. 

Falls diese Möglichkeit nicht gegeben 

ist, kann man sich alternativ auch eine 

kleine Partition auf der 

Festplatte einrichten. 

Ansonsten ist die Vorgehensweise 

die gleiche. 

In Tabelle 1 sind 

die Gerätebezeichnungen 

zusammengefasst. 

Das folgende Beispiel 

geht von einer IDE- 

Festplatte in einem 

Notebook aus. Die 

Kapazität beträgt 40 

GByte. In Tabelle 2 ist 

das vorgesehene Layout 

dargestellt. 

Der erste Schritt, um 

eine Festplatte komplett 

zu verschlüsseln, besteht darin, 

das System von der Installations-DVD 

oder ‐CD zu booten und im Installationsprogramm 

die sogenannte Fixit- 

Shell aufzurufen (siehe Abbildung 3). 

Man erreicht sie durch Auswahl von 

»sysinstall, fixit« und anschließend Option 

2 »CDROM/DVD«. 

Vorsicht: Sackgasse 

Beim Starten der Fixit-Shell wird man 

mit einem Hinweis konfrontiert, den 

man nicht ignorieren darf, weil es sonst 

bei der späteren Installation zu unlösbaren 

Problemen kommen kann. Die 

Dateien »/etc/pwd.db«, »/etc/spwd. 

db« und »/etc/group« müssen mit den 

Dateien auf dem Installationsmedium 

symbolisch verlinkt werden. Zur Sicherheit 

werden die alten Symlinks 

gelöscht: 

Fixit> rm /etc/pwd.db 

Fixit> rm /etc/spwd.db 

Fixit> rm /etc/group 

Fixit> ln ‐s /mnt2/etc/pwd.db /etc/pwd.db 

Fixit> ln ‐s /mnt2/etc/spwd.db /etc/U 

spwd.db 

Fixit> ln ‐s /mnt2/etc/group /etc/group 

n Tabelle 2: Layout des Slice »ad0s1« 

Abbildung 3: Aufruf der Fixit-Shell. 

Im nächsten Schritt startet man das 

Tool »fdisk« im interaktiven Modus, um 

die Festplatte zu partitionieren: 

Fixit> fdisk ‐i /dev/ad0 

und erhält dabei das in Listing 1 verkürzt 

wiedergegebene Protokoll. 

Im nächsten Schritt kommt GELI ins 

Spiel. Damit man das Kernelmodul 

laden kann, müssen auch hier ein paar 

zusätzliche Maßnahmen getroffen 

werden. Dazu erstellt man zwei symbolische 

Links zum Kernelverzeichnis und 

zum Verzeichnis zu den Systembibliotheken: 

Fixit> ln ‐s /dist/boot/kernel /boot/U 

kernel 

Fixit> ln ‐s /dist/lib /lib 

Der folgende Befehl lädt das Kernelmodul 

für GELI: 

Fixit> kldload geom_eli 

Wie im vorherigen einfacheren Beispiel 

schon beschrieben, legt man die Datei 

mit dem Schlüssel für GELI an. Die fol- 

Partition Mountpoint Kapazität 

/dev/ad0s1a / (root-directory) 1 GByte 

/dev/ad0s1b Swap 2 GByte 

/dev/ad0s1d /usr 16 GByte 

/dev/ad0s1e /var 4 GByte 

/dev/ad0s1f /tmp 4 GByte 

/dev/ad0s1g /home 13 GByte 


Admin 

Ausgabe 12-2013

110 

freeX 


gende Kommandofolge zeigt dies: 

Fixit> mkdir ‐p /root/geli 

Fixit> dd if=/dev/random of=/root/keys/U 

ad0s1.key bs=64 count=1 

Das Slice meldet man wie beschrieben 

bei GELI an, vergibt nach Aufforderung 

ein Passwort und hängt das Slice mit 

folgendem Kommando ein: 

Fixit> geli init ‐b ‐K /root/geli/U 

ad10s1.key ‐s 4096 ‐l 256 /dev/ad0s1 

Fixit> geli attach ‐k /root/geli/ad10s1U. 

key /dev/ad0s1 

Um das Betriebssystem installieren zu 

können, werden im folgenden Schritt 

die Labels für die Mount-Punkte angelegt. 

Dazu schreibt man zunächst 

ein Standard-Label und editiert es anschließend: 

n Listing 1: Fdisk 

01 ***** Working on device /dev/ad0 ****** 

02 

03 parameters extracted from in‐core disklabel are: 

04 

05 cylinders=77520 heads=16 sectors/track=63 (1008 

blks/cyl) 

06 

07 Figures below won't work with BIOS for 

partitions not in cyl 1 

08 

09 parameters to be used for BIOS calculations are: 

10 

11 cylinders=77520 heads=16 sectors/track=63 (1008 

blks/cyl) 

12 

13 Do you want to change our idea of what BIOS 

thinks ? [n] 

14 

15 Do you want to change it? [y] 

16 sysid 165 

17 start 63 

18 size 78140160 

19 set beg/end [n] 

20 are you happy with this [y] 

21 

22 Data for Partition 2 

23 Do you want to change it? [n] 

24 

25 set active partition [y] 

26 active [1] 

27 are you happy with this [y] 

28 write partition table [y] 

Fixit> bsdlabel ‐w /dev/ad0s1.eli 

Fixit> bsdlabel ‐e /dev/ad0s1.eli 

Hier gilt es, den richtigen Treiber zu 

verwenden: Es ist nicht mehr »/dev/ 

ad0s1«, sondern ab jetzt »/dev/ad0s1. 

eli«! Bezugnehmend auf das Layout in 

Tabelle 1 sieht das Schema so aus: 

a: 1G 2 4.2BSD 

b: 2G * swap 

c: ‐‐ dont edit ‐‐ 

d: 16G * 4.2BSD 

e: 4G * 4.2BSD 

f: 4G * 4.2BSD 

g: * * 4.2BSD 

Der Stern bei Partition »g« bedeutet, 

dass der Rest des Slices für Partition 

»g« verwendet werden soll. Den Editor 

verlässt man mit [Esc][:][q] und fährt 

mit dem Formatieren der einzelnen 

Partitionen fort. Ein kleiner Tipp: Es hat 

sich als vorteilhaft erwiesen, den einzelnen 

Partitionen ein Label zu geben, 

damit beim Mounten keine Unklarheiten 

auftreten: 

Fixit> newfs ‐L ROOT /dev/ad0s1.elia 

Fixit> newfs ‐L USR /dev/ad0s1.elid 

Fixit> newfs ‐L VAR /dev/ad0s1.elie 

Fixit> newfs ‐L TMP /dev/ad0s1.elif 

Fixit> newfs ‐L HOME /dev/ad0s1.elig 

Auffällig ist jetzt, dass die Gerätenamen 

ein neues Suffix bekommen haben. Es 

besteht aus dem Suffix »eli« mit einem 

zusätzlichen Buchstaben, der die Partitionsnummer 

repräsentiert. 

Nach soviel Vorarbeit folgt der eigentliche 

Installationsvorgang, der größte 

Sorgfalt verlangt. Dazu legt man ein 

Verzeichnis auf dem verschlüsselnden 

Datenträger an und bindet alle Partitionen 

ein: 

Fixit> mkdir /install && cd /install 

Fixit> mkdir root usr tmp var home 

Fixit> mount /dev/ad10s1.elia /install 

Fixit> mount /dev/ad10s1.elid /install/usr 

Fixit> mount /dev/ad10s1.elie /install/U 

var 

Fixit> mount /dev/ad10s1.elif /install/U 

tmp 

Fixit> mount /dev/ad10s1.elig /install/U 

home 

Danach kommen die Installationsskripte 

dran. Zuerst ist allerdings die 

Umgebungsvariable »DESTDIR« zu setzen, 

damit das Installationsskript die 

Dateien in das richtige Verzeichnis kopiert. 

Die Variable »RELEASE« repräsentiert 

das verwendete FreeBSD-Release: 

Fixit> export DESTDIR=/install 

Fixit> cd /dist/$RELEASE/base && U 

./install.sh 

Fixit> cd /dist/$RELEASE/kernels && U 

./install.sh generic 

Fixit> cd /dist/$RELEASE/manpages && U 

./install.sh 

Nach einer Weile passiert etwas Seltsames. 

Die Installation bricht mit Fehlermeldungen 

ab. Zur Beruhigung sei 

aber gleich vorweg festgestellt, dass 

das System funktioniert! Diese Fehler 

werden ausgegeben: 

./root/.profile: Can't create 'root/U 

.profile' : Cross‐Device link 

./root/.cshrc: Can't create 'root/U 

.cshrc' : Cross‐Device link 

tar: Error exit delayed from previous 

errors 

Die Erklärung hierfür ist einfach. Im 

Archiv sind auch die symbolischen 

Links gespeichert, die beim Entpacken 

wieder angelegt werden. Es wird versucht, 

einen Link vom Verzeichnis des 

Users »root« auf dem Fixit-Datenträger 

zur Festplatte anzulegen. Dies lässt 

FreeBSD nicht zu. Da wären die Verantwortlichen 

gefragt, statt eines Symlinks 

eine Kopie in die Tar-Datei zu stellen. 

Das System ist so nicht bootfähig, was 

auch in Ordnung ist. Schließlich soll es 

über einen USB-Stick booten, um den 

optimalen Schutz zu erhalten. Immer 

noch in der Fixit-Shell erstellt man 

einen für das System bootfähigen USB- 

Stick. Dazu partitioniert und formatiert 

die folgende Kommandosequenz den 

Stick: 

Fixit> fdisk ‐BI /dev/da0 

Fixit> bsdlabel ‐B ‐w /dev/da0s1 

Fixit> newfs /dev/da0s1a 

Damit man die Systemdaten auf den 

Stick kopieren kann, mountet man 


freeX 


111 

ihn und überträgt anschließend das 

System: 

Fixit> mount /dev/da0s1a /usbstick 

Fixit> mkdir /usbstick 

Fixit> mkdir /usbstick/boot 

Fixit> mkdir /usbstick/boot/geli 

Fixit> mkdir /usbstick/etc 

Fixit> cp ‐Rpv /install/boot/ /usbstick 

Der Bootloader von FreeBSD sucht im 

Verzeichnis »/boot/kernel« nach dem 

Betriebssystemkern. Das Verzeichnis 

»/usbstick/boot/kernel« ist nach dem 

Kopieren leer. Um einen bootfähigen 

USB-Stick zu erhalten, löscht man zunächst 

»/usbstick/boot/kernel« und benennt 

den Ordner mit dem generischen 

Kernel um: 

Fixit> rmdir /usbstick/boot/kernel 

Fixit> mv /usbstick/boot/GENERIC U 

/usbstick/boot/kernel 

Damit GELI die Verschlüsselung und 

Entschlüsselung überhaupt durchführen 

kann, muss der Encryption-Key 

ebenfalls auf den Stick kopiert werden. 

Fixit> cp /root/geli/ad0s1.key U 

/usbstick/boot/geli/ad0s1.key 

Außerdem ist es notwendig, GELI mitzuteilen, 

wo es den Schlüssel findet 

und in welcher Datei er gespeichert 

ist. Diese Informationen gehören in 

»/ usbstick/boot/loader.conf«: 

geom_eli_load="YES" 

geli_ad0s1_keyfile0_load="YES" 

geli_ad0s1_keyfile0_type="ad0s1:geli_U 

keyfile0" 

geli_ad0s1_keyfile0_name="/boot/geli/U 

ad0s1.key" 

Damit es nicht zu Schwierigkeiten bei 

der Passworteingabe kommt, ergänzt 

man die Datei »/usbstick/boot/device. 

hints« um den Eintrag 

hint.kbdmux.0.disabled="1" 

Abschließend werden sowohl auf dem 

USB-Stick als auch auf der Festplatte 

die Dateien »/usbstick/etc/fstab« und 

»/ install/etc/fstab« überarbeitet: Die 

Abbildung 4: Die Funktionsweise von Pefs im aktiven und inaktiven Zustand. 

Datei »/usbstick/etc/fstab« bekommt 

den Eintrag zum Mounten der Festplattenpartition 

»a«, weil sich hier wichtige 

Systemdienste befinden: 

/dev/ad0s1.elia / ufs rw 1 1 

Auf der Festplatte werden in »/install/ 

etc/fstab« die Einträge vorgenommen, 

die dafür sorgen, dass die übrigen Partitionen 

korrekt gemountet werden: 

/dev/ad0s1.elib none swap sw 0 0 

/dev/ad0s1.elid /usr ufs rw 2 2 

/dev/ad0s1.elie /var ufs rw 2 2 

/dev/ad0s1.elif /tmp ufs rw 2 2 

/dev/ad0s1.elig /home ufs rw 2 2 

Es ist geschafft und das System kann 

neu gestartet werden. Während dieses 

Vorgangs wird man nach dem Passwort 

für das Slice gefragt. Nach Eingabe wird 

der Bootvorgang fortgesetzt und nach 

dessen Ende führt man die Administration 

fort. Diese Schritte sind im Handbuch 

zu FreeBSD ausführlich erläutert 

und das Programm »sysinstall« leistet 

wertvolle Dienste. 

Schließlich noch ein paar Bemerkungen 

zu GELI: Es ist schade, dass das Installationsprogramm 

von FreeBSD nicht 

schon beim Installationsvorgang die 

Verschlüsselung eines Slices oder Partition 

anbietet. Das würde eine Menge 

Arbeit ersparen. Sehr erfreulich ist die 

Tatsache, dass sich GELI und ZFS zusammen 

einsetzen lassen. Diese Option 

ist besonders interessant, weil die Verschlüsselung 

in ZFS noch nicht integriert 

ist, wobei die Entwickler allerdings 

mit Hochdruck daran arbeiten. 

Die Alternative 

Wie eingangs erwähnt gibt es zwei 

Möglichkeiten, eine Festplatte oder 

Partition zu verschlüsseln. Die zweite 

Option ist die stapelbare Dateisystemverschlüsselung 

Pefs. Damit werden 

nicht nur Dateiinhalte, sondern auch 

die Dateinamen selber verschlüsselt. 

Im Gegensatz zu GELI handelt es sich 

hierbei um ein Dateisystem, das auf 

eine bereits mit ZFS oder UFS formatierte 

Partition aufsetzt. Das bedeutet, 

nur wenn Pefs aktiv ist, lassen sich die 

Dateien und Dateinamen im Klartext 

darstellen. 

Gegenüber GELI bietet Pefs zwei wichtige 

Vorteile: Das Verschlüsselungssystem 

lässt sich in den Mechanismus zur 

Authentifizierung namens PAM (Password 

Authentification Modules) einbinden. 

Damit bietet sich die Möglichkeit, 

das System bis zum Login-Screen 

hochzufahren. Sobald Username und 

Passwort eingegeben wurden, ist die 


Admin 

Ausgabe 12-2013

112 

freeX 


Partition entschlüsselt. Ein Backup der 

Partition mit »dump« ist immer möglich, 

auch wenn Pefs nicht aktiv ist oder 

die Daten nicht entschlüsselt sind. Es 

werden alle verschlüsselten Dateien 

und Dateinamen gesichert. Solange die 

Pefs-eigene Passwortdatenbank nicht 

beschädigt ist, lässt die Sicherheitskopie 

wieder dechiffrieren. Ein aus Sicht 

des Autors großer Nachteil ist die bei 

Pefs (noch) nicht vorhandene Unterstützung 

des OpenCrypto-Frameworks. 

Somit ist es nicht wie bei GELI möglich, 

auf Crypto-Hardware zuzugreifen. 

Die weitere Funktionsweise ist recht 

einfach und anhand von Abbildung 4 

schnell erklärt. 

n Listing 2: Pam-Konfiguration 

01 auth sufficient pam_opie.so no_warn no_fake_ 

prompts 

02 auth requisite pam_opieaccess.so no_warn allow_ 

local 

03 auth sufficient /usr/local/lib/pam_pefs.so try_ 

first_pass 

04 auth required pam_unix.so no_warn try_first_pass 

nullok 

05 . . . 

06 session optional /usr/local/lib/pam_pefs.so 

07 session required pam_lastlog.so no_fail 

Schichtweise 

Wie erwähnt handelt es sich bei Pefs 

um eine stapelbare Dateisystemverschlüsselung. 

Das bedeutet, es benötigt 

eine Partition, die bereits mit 

ZFS, UFS oder auch FAT32 formatiert 

ist. Man erhält somit einen Stapel: Die 

Basisebene bildet der Datenträger mit 

der formatierten Partition, über die 

sich Pefs wie eine Folie legt. Solange 

Pefs nicht aktiv ist, erscheinen alle Verzeichnis- 

und Dateinamen als zufällige 

Zeichenfolge. Gleiches gilt für den Dateiinhalt. 

Bei aktivem Pefs mit gültigem 

Schlüssel werden alle Informationen 

entschlüsselt und im Klartext korrekt 

dargestellt. 

Die Verschlüsselung von Dateinamen 

wird bei aktivem Pefs grundsätzlich mit 

AES-128 im CBC-Modus durchgeführt. 

Der chiffrierte Dateiname besteht aus 

drei Teilen. Der erste Teil umfasst eine 

64 Bit breite Prüfsumme. Es folgt ein 

eindeutiger, ebenfalls 64 Bit breiter Abschnitt 

des Dateinamens und schließlich 

der Dateiname selbst. Der Dateiinhalt 

selbst wird mit wesentlich stärkeren 

Algorithmen verschlüsselt, wobei 

der Administrator die Möglichkeit hat, 

selbst zwischen AES und Camellia mit 

jeweils einer Schlüssellänge von 128, 

192 oder 256 Bit auszuwählen. 

In die Praxis 

Nach den kurzen Erläuterungen zur 

Funktionsweise folgen zwei Beispiele 

für den Einsatz von Pefs. Zunächst 

werden grundsätzliche Dinge gezeigt, 

während das zweite Beispiel erläutert, 

wie PAM und Pefs zusammenarbeiten. 

Zunächst muss das neue Dateisystem 

installiert werden. Wie bei FreeBSD üblich, 

geschieht das über den Ports-Tree 

im Abschnitt »sysutils/pefs‐kmod«: 

# portmaster ‐d sysutils/pefs‐kmod 

Wie weiter oben erwähnt, bieten einige 

CPUs einen Crypto-Kern, der die AES- 

Methode implementiert. Um diesen 

Crypto-Kern zu nutzen, ergänzt man 

die Datei »/boot/loader.conf« um folgende 

Zeile: 

aesni_load="YES" 

Für eine kurze Einführung in Pefs folgt 

eine kleine Demonstration. Dazu legt 

man sich im Homedirectory ein Verzeichnis 

an. Beispielsweise »~/Daten«: 

$ mkdir ~/Daten 

Als Root-User aktiviert man jetzt Pefs. 

Wenn das System-Flag »vfs.usermount« 

n Wichtiger Hinweis zu Passwörtern 

Beim Erzeugen von Passwörtern sollte 

man immer bedenken, dass bei der Wahl 

einfacher Zugangsdaten die Gefahr der 

Entschlüsselung der Daten erheblich 

steigt. Daher sollte man sein Passwort immer 

so komplex wie möglich wählen und 

eine gesunde Mischung aus Ziffern und 

Buchstaben wählen. In [1] (in Kapitel 1.5) 

ist beschrieben, wie sichere Passwörter 

generiert werden. Umlaute und andere 

Sonderzeichen sollten vermieden werden. 

Der Grund für diese Einschränkung 

auf den Wert 1 gesetzt ist, darf auch der 

normale Benutzer den Mount-Befehl 

ausführen. 

$ pefs mount ~/Daten ~/Daten 

Solange keine Schlüssel definiert sind, 

wird das Verzeichnis im Read-Only-Modus 

gemountet. Es werden in diesem 

Fall die Dateien verschlüsselt angezeigt, 

aber ein Schreibzugriff ist nicht 

möglich. Für einen sinnvollen Betrieb 

ruft man das Kommando 

$ pefs addkey ~/Daten 

auf und gibt ein Passwort beziehungsweise 

einen Schlüssel ein. Überprüfen 

lassen sich die aktiven Schlüssel mit 

der folgenden Eingabe: 

$ pefs showkeys ~/Daten 

Keys: 

0 1a6feeb9cf230d88 aes256‐ctr 

Die Ausgabe besagt, dass der erste 

Schlüssel – es wird von Null an hochgezählt 

– nach dem Crypto-Verfahren 

AES mit einer Schlüssellänge von 256 

Bit erstellt wurde. Das AES-Verfahren 

ist die Standardeinstellung. Dies lässt 

sich ändern, indem man bei »pefs 

addkey« über den Parameter »‐a« den 

gewünschten Algorithmus angibt. Eine 

Liste aller verfügbaren Algorithmen 

zeigt »pefs showalgs«. 

Nachdem ein Passwort beziehungsweise 

ein Schlüssel vergeben wurde, 

geht es ans Testen. Dazu reicht es aus, 

eine Datei bei aktivem Pefs zu erzeugen: 

liegt darin, dass das Passwort während 

der Boot-Phase des Betriebssystems 

eingegeben werden muss. In dieser Phase 

steht aber nur das Layout einer amerikanischen 

Tastatur zur Verfügung und das 

sieht Umlaute und dergleichen nicht vor. 

Der wichtigste Punkt überhaupt ist, dass 

man sein Passwort niemals vergessen 

sollte. Bei einem Verlust hat man keine 

Möglichkeit mehr, an seine Daten zu 

gelangen. Regelmäßige und überprüfte 

Backups sind daher Pflicht! 


freeX 


113 

$ echo "pefs ist super!" > ~/Daten/test. 

txt 

$ ls ‐Al ~/Daten 

total 1 

‐rw‐r‐‐r‐‐ 1 juergen users 16 Oct 1 17:41U 

test.txt 

$ cat ~/Daten/test.txt 

pefs ist super! 

Das sieht gut aus. Wie sieht das Verzeichnis 

»~/Daten« aus, wenn Pefs nicht 

aktiv ist? Das lässt sich schnell zeigen: 

$ pefs unmount ~/Daten 

$ ls ‐Al ~/Daten 

total 1 

‐rw‐r‐‐r‐‐ 1 juergen users 16 Oct 1 17:41 .U 

GG6eudxZGtOp6Ry_2Z3Sl+tq2VV3O81jq 

$ hd ~/Daten/.GG6eudxZGtOp6Ry_2Z3Sl+tq2U 

VV3O81jq 

00000000 45 c6 7a fe fc 99 5c 38 fc d8 2d U 

e0 56 c2 65 32 |E.z...\8..‐.V.e | 

Wie man leicht erkennt, sind sowohl 

der Dateiname »test.txt« als auch der 

Inhalt verschlüsselt dargestellt. Bei 

deaktiviertem Pefs erhält man somit 

keinen Einblick in die Daten. Es ist nicht 

einmal möglich, vom Dateinamen auf 

den Inhalt zu schließen. 

PAM und Pefs 

Das Pefs-System bringt im Gegensatz 

zu GELI auch PAM-Support mit. Das 

ermöglicht – wie im folgenden Beispiel 

beschrieben – die Verschlüsselung 

eines bereits vorhandenen Homedirectories. 

Dabei gilt es zu beachten, dass 

das Verzeichnis kein symbolischer Link 

ist, sondern einen realen Pfad darstellt, 

ansonsten weigert sich Pefs zu funktionieren. 

Um das zu vermeiden, korrigiert 

man die Angabe des Homedirectories 

manuell mit 

#pw user mod $user ‐d $homedir 

Im nächsten Schritt wird die verschlüsselte 

Dateisystemebene generiert und 

man vergibt ein Passwort als Masterpasswort: 

#pefs addchain ‐fZ ‐a aes256‐ctr $home 

Enter parent key passphrase: 

Reenter parent key passphrase: 

Danach wird das Verzeichnis eingehängt 

und das Passwort vergeben, das 

später für die Authentifizierung verwendet 

werden soll. 

#pefs mount $home $home 

#pefs addkey ‐c $home 

Enter passphrase: 

Das hier einzugebende Passwort darf 

nicht mit dem in der User-Datenbank 

»/ etc/passwd« identisch sein, sonst 

funktioniert das Login nicht mehr! 

Wenn es bis hierher keine Fehlermeldungen 

gab, dann erfolgt im nächsten 

Schritt die Integration in den PAM- 

Dienst von FreeBSD. Das verschafft den 

Vorteil, dass nach der erfolgreichen 

Authentifizierung das Pefs-System 

automatisch aktiviert wird. Das Pefs- 

Paket beinhaltet ein Modul, das in das 

PAM-System von FreeBSD eingebunden 

wird: »pam_pefs.so«. Damit das Modul 

die Möglichkeit hat, die gespeicherten 

Passwörter zur Authentifizierung heranzuziehen, 

muss man die Berechtigungen 

der Pefs-Datenbank anpassen: 

#chown $user:$group $home/.pefs.db 

Um das PAM-Modul zu aktivieren, 

trägt man es in die PAM-Konfiguration 

»/etc/pam.d/system« ein. Wenn ein 

grafischer Login-Manager wie KDM 

verwendet wird, muss »pam_pefs« in 

der gleichen Art und Weise eingetragen 

werden. 

Als abschließenden Schritt muss man 

noch dafür sorgen, dass pefs initialisiert 

wird. Dazu schreibt man am besten 

in »/etc/rc.local« folgende Zeile 

/usr/local/sbin/pefs mount $home $home 

Dem produktiven Einsatz steht nach 

einem Systemneustart nichts mehr im 

Wege. Sobald das grafische Login KDM, 

GDM oder XDM erscheint, gibt man das 

für Pefs vergebene Passwort ein. Nach 

erfolgreichem Login erhält man seine 

Daten dechiffriert wieder. 

Fazit 

GELI und Pefs sind brauchbare Systeme 

zur Verschlüsselung von Partitionen 

und haben jeweils ihre Vor- und 

Nachteile. Um optimale Sicherheit zu 

erreichen, sollte man unbedingt zur 

Vollverschlüsselung greifen und damit 

zu GELI. 

Das Pefs-System ist wegen seiner Struktur 

für die Verschlüsselung kompletter 

Datenträger nicht geeignet. Dafür spielt 

es seine Vorteile aus, wenn es darum 

geht, einfach und effektiv ein bestehendes 

System umzustellen. Beim Einsatz 

auf Notebooks sollte man besser zu 

GELI und zur Vollverschlüsselung greifen. 

Und wer es ganz besonders sicher 

haben möchte, dem bietet sich immer 

noch die Möglichkeit, zusätzlich das 

Pefs-System zu nutzen. (ofr) n 

n Doppeltes Lottchen 

Um das Ärgernis eines vergessenen Passworts zu 

umgehen, bietet GELI die einfache Möglichkeit, zwei 

Schlüssel zu erzeugen. Nachdem GELI initialisiert 

wurde, generiert man mit folgendem Kommando 

einen Zweitschlüssel: 

geli setkey ‐n 1 /dev/da0 

Enter Passphrase: (ErstPasswort) 

Enter new Passphrase: (ZweitPasswort) 

Reenter new Passphrase: (Wiederholung) 

Ähnlich verhält es sich mit dem Masterkey. Mit der 

folgenden Befehlsfolge lässt sich eine Sicherheitskopie 

des Masterkeys auf einem USB-Stick, der unter 

»/usbstick« gemountet ist, für den Fall anlegen, dass 

ein Benutzer sein Passwort vergessen sollte: 

# dd if=/dev/random of=v/usbstick/`hostname` bs=64U 

count=1 

# geli init ‐P ‐K /usbstick/`hostname` /dev/ad0s1g 

# geli backup /dev/ad0s1g /usbstick/bak/`hostname` 

Um den vorhanden Masterkey zu überschreiben, gibt 

es die Option »‐n 0«: 

# geli setkey ‐n 0 ‐k /usbstick/`hostname` /dev/U 

ad0s1g 

Enter new Passphrase: (UserPasswort) 

Reenter new Passphrase: (Wiederholung) 

So einfach ist das. 

n Info 






Admin 

Ausgabe 12-2013

114 

Service 

Impressum und Vorschau 

n Impressum ISSN 2190-1066 

ADMIN-Magazin eine Publikation der Medialinx AG 

Redaktionsanschrift Putzbrunner Straße 71 

81739 München 

Tel.: 0 89 / 99 34 11-0 

Fax: 0 89 / 99 34 11-99 oder -96 

Internet 


E-Mail 

redaktion@admin-magazin.de 

Geschäftsleitung Brian Osborn (Vorstand), bosborn@medialinx-gruppe.de 

Hermann Plank (Vorstand), hplank@medialinx-gruppe.de 

Chefredakteure 

Oliver Frommel (V. i. S. d. P.), 

ofrommel@admin-magazin.de (ofr) 

Jens-Christoph Brendel 

jbrendel@admin-magazin.de (jcb) 

Redaktion 

News/Report 

Ulrich Bantle (Ltg.), ubantle@medialinx-gruppe.de (uba) 

Mathias Huber, mhuber@medialinx-gruppe.de (mhu) 

Software/Programmieren Carsten Schnober, cschnober@medialinx-gruppe.de (csc) 

Kristian Kißling, kkissling@medialinx-gruppe.de (kki) 

Security/Networking Markus Feilner, mfeilner@medialinx-gruppe.de (mfe) 

Thomas Leichtenstern, tleichtenstern@medialinx-gruppe.de (tle) 

Ständige Mitarbeiter David Göhler (Schlussredaktion), Tim Schürmann, Claudia Thalgott 

Produktionsleitung 

Grafik 

Abo-Infoseite 

Abonnenten-Service 

Christian Ullrich, cullrich@medialinx-gruppe.de 

Judith Erb (Design und Layout) 

Titel: Judith Erb, Ausgangsgrafik: marinini, 123RF 

www.admin-magazin.de/abo 

Gudrun Blanz (Teamleitung) 

abo@admin-magazin.de 

Tel.: 07131/27 07 274, Fax: 07131/27 07 78 601 

Preise Print Deutschland Österreich Schweiz Ausland EU 

Einzelheft € 9,80 € 10,80 Sfr 19,60 (siehe Titel) 

Mini-Abo (3 Ausgaben) € 9,80 € 10,80 Sfr 19,60 (siehe Titel) 

Jahres-DVD (Einzelpreis) € 14,95 € 14,95 Sfr 18,90 € 14,95 

Jahres-DVD (zum Abo 1 ) € 6,70 € 6,70 Sfr 8,50 € 6,70 

Jahresabo € 99,90 € 109,90 Sfr 159,90 € 129,90 

Preise Digital Deutschland Österreich Schweiz Ausland EU 

Heft-PDF Einzelausgabe € 9,80 € 9,80 Sfr 10,71 € 9,80 

DigiSub (12 Ausgaben) € 89,90 € 89,90 Sfr 129,50 € 89,90 

DigiSub (zum Printabo) € 12,— € 12,— Sfr 12,— € 12,— 

HTML-Archiv (zum Abo 1 ) € 48,— € 48,— Sfr 48,— € 48,— 

Preise Kombiabos 

Profi-Abo 2 € 181,90 € 198,90 Sfr 235,90 € 219,90 

1 

nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital 

2 

mit Linux-Magazin-Abo und beiden Jahres-DVDs 

Schüler- und Studenten-Ermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises oder einer 

aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei Verlängerung neu zu erbringen. 

Andere Abo-Formen, Ermäßigungen im Ausland etc. auf Anfrage. 

Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht für 

Zeitschriften gelten. 

Pressemitteilungen info@admin-magazin.de 

Anzeigen/Repräsentanz Es gilt die Anzeigenpreisliste vom 01.01.2013 

National 

Pressevertrieb 

Druck 

Petra Jaser 

Tel.: 089 / 99 34 11 24, Fax: 089 / 99 34 11 99 

E-Mail: pjaser@medialinx-gruppe.de 

Michael Seiter 

Tel.: 089 / 99 34 11 23, Fax: 089 / 99 34 11 99 

E-Mail: mseiter@medialinx-gruppe.de 

MZV, Moderner Zeitschriften Vertrieb GmbH 

Breslauer Straße 5, 85386 Eching 

Tel.: 089 / 31906-0, Fax: 089 / 31906-113 

Vogel Druck und Medienservice GmbH 

97204 Höchberg 

Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unix-ähnlichen Betriebssysteme 

verschiedener Hersteller, zum Beispiel Eurix (Comfood), Ultrix (Digital Equipment), HP/UX (Hewlett- 

Packard) oder Sinix (Siemens) benutzt, nicht als die Bezeichnung für das Trademark von X/Open. Linux ist ein 

eingetragenes Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner Erlaubnis 

verwendet. Alle anderen Marken sind Eigentum der jeweiligen Inhaber. Eine Haftung für die Richtigkeit von 

Veröffentlichungen kann trotz sorgfältiger Prüfung durch die Redaktion vom Verlag nicht übernommen 

werden. Mit der Einsendung von Manu s kripten gibt der Verfasser seine Zustimmung zum Abdruck im ADMIN- 

Magazin. Für unverlangt ein gesandte Manuskripte kann keine Haftung übernommen werden. Die Redaktion 

behält sich vor, Artikel zu kürzen. Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim 

Verlag. Es darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in irgendeiner 

Form vervielfältigt oder verbreitet werden. Copyright © 1994–2013 Medialinx AG 

n Autoren dieser Ausgabe 

Jürgen Dankoweit Verschlusssache 106 

Thomas Drilling Fast ein Alleskönner 44 

Joseph Guarino Geballte Power 24 

Andrew Henderson Code-Kontrolle 78 

Thomas Joos Herbstputz 62 

Thomas Joos In der virtuellen Sphäre 100 

Jeff Layton Kippende Bits 60 

Martin Loschwitz Cuba Libre 94 

Markus Manzke Perfect! Forward Secrecy 82 

Thorsten Scherf Wandervogel 16 

Georg Schönberger Git wird groß 56 

Till Spiegel Einfach, sicher, mailen! 84 

Thomas Zeller Sichere Fernsteuerung 68 

n Inserentenverzeichnis 

ADMIN http://www.admin-magazin.de 7, 97, 115 

Android User GY http://www.android-user.de 93 

ConSol Software GmbH http://www.consol.de 13 

Diavlon GmbH http://www.tuxhardware.de 41 

Fernschule Weber GmbH http://www.fernschule-weber.de 31 

Galileo Press http://www.galileo-press.de 17 

Host Europe GmbH http://www.hosteurope.de 29 

Kettner Mathias - Linux Experte http://www.mathias-kettner.de 47 

Linux-Hotel http://www.linuxhotel.de 103 

Linux-Magazin http://www.linux-magazin.de 75, 89, 104 

Medialinx IT-Academy http://www.medialinx-academy.de 51 

Netways GmbH http://www.netways.de 21 

outbox AG http://www.outbox.de 23 

pascom - Netzwerktechnik GmbH & Co.KG http://www.pascom.net 11 

PlusServer AG http://www.plusserver.de 15, 19, 33, 39, 43, 55 

Raspberry Pi Geek http://www.raspberry-pi-geek.de 65, 77 

Strato AG http://www.strato.de 2, 9 

Thomas Krenn AG http://www.thomas-krenn.com 116 

Einem Teil dieser Ausgabe liegt eine Beilage der Firma ppedv (http://www.visualstudio1.de ) bei. Wir bitten 

unsere Leser um freundliche Beachtung. 

n Vorschau: ADMIN 01/2014 erscheint am 12. Dezember 2013 

Sascha Burkard, 123RF 

Backup 

Was eine Datensicherung wert 

ist, zeigt sich, wenn man sie 

wiederherzustellen versucht. 

Spätestens dann macht sich 

die Wahl der richtigen Software 

bezahlt, die nicht unbedingt 

viel Geld kosten muss. Das 

kommende ADMIN-Heft stellt 

brauchbare Programme vor. 

Python-Pandas 

Aufwendige Datenanalyse 

und -manipulation erfordert 

eine kompilierte Low-Level- 

Programmiersprache? Nicht 

zwingend: Mit Pandas läuft Big 

Data auch durch den Python- 

Interpreter flüssig. Das nächste 

Heft gibt eine Einführung in die 

Bibliothek zur Datenanalyse.

ADMIN Magazin Groupware (Vorschau)

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?