Linux-Magazin Datenbank 2011 (Vorschau)

02/11
Anzeige:
NEU!
STRATO Pro
Server mit echten Hexa-Core CPUs
strato-pro.de siehe Seite 17
STR0111_Titelkopfstoerer_DediServer_120x17_CS3.indd 1 12/20/2010 17:33:31
Systemcontainer für
kritische Dienste
LXC legt Ressourcen-schonende, isolierte
Contai ner an. S. 82 (Workshop), S. 104
Bretter 2.0
Vier Server- und Toolpakete
zum Betreiben eigener
In ter net foren im Test. S. 62
Karten legen
Vektor oder Kachel: Drei
Geodaten-Frame works für
Web pro grammierer. S. 70
Datenbanken 2011
Neue Versionen mit raffinierten Features
und der Trend zu schnellen NoSQL-Systemen
■ Frischkost: MySQL, PostgreSQL, Ingres und
Firebird im Vergleich mit Oracle 11g S. 28
■ MySQL-Fork Maria DB: Neue Engines,
bessere Funktionen S. 36
■ PostgreSQL-Praxis:
Version 9 soll’s richten S. 38
■ Die NoSQL-Revolution:
Generation Speed S. 42
■ Couch DB: Skalieren,
replizieren, optimieren S. 52
■ Moderne Dateisysteme: Was aktuelle
ZFS-Implementierungen taugen S. 86
■ Mit Xtext komfortabel IPtables-Regeln erzeugen S. 112
Grips und Magazin-Lektüre sind nötig, um die harten Nüsse des Winterrätsels zu knacken. S. 92
www.linux-magazin.de
Deutschland Österreich Schweiz Benelux Spanien Italien
5,95 6,70 sfr 11,90 7,00 7,95 7,95
4 192587 305954 02

„Ich habe jederzeit Zugriff auf alle
meine Firmendaten und doppelte
Datensicherheit mit der NAS-Box!“
STRATO HiDrive
Der geniale Online-Speicher!
HiDrive ist Ihre persönliche Festplatte im Internet mit bis zu
5.000 GB – optimal für alle, die viel Speicherplatz benötigen!
Damit haben Sie weltweit Ihre gesamten Firmendaten parat –
unterwegs per Handy oder Notebook, im Büro und Zuhause.
Verwalten und bearbeiten Sie Dateien online und vergeben
Sie Zugriffsrechte an Ihre Mitarbeiter und Partner. Höchste
Sicherheit dank TÜV-geprüfter Rechenzentren garantiert.
AKTION bis 31.01.11: HiDrive Pro 1.000 bestellen und die
Synology-Box günstig dazu mieten. Lokaler Zwischenspeicher
für effizientes Arbeiten mit automatischer Sicherheitskopie.
Gemeinsamer Zugriff
User-Verwaltung inkl.
Admin-Accounts für
bis zu 120 Konten
Höchste Sicherheit
Verschlüsselung
Ihrer Firmendaten
(SSH, SCP, SFTP)
Große Datenmengen
Einfacher Transfer und
Austausch von Dateien
(alle Formate)
Jetzt bestellen unter:
Die ideale Ergänzung!
Schneller Zugang
Wie bei einer lokalen
Festplatte über (S)FTP,
rsync, SMB/CIFS, u.v.m.
Noch Fragen? Anruf genügt: 0 18 05 - 055 055
(0,14 €/Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 €/Min.)
HiDrive Pro 1.000
mit 1.000 GB
Online-Speicher!
strato.de/hidrive
nur
39, 90 €
mtl.
*
+
NAS-Box von Synology
mit 1 TB Speicher! *
Daten-Backups
Wiederherstellung von
Dokumentenversionen
mit BackupControl
*Preise inkl. MwSt. Mindestvertragslaufzeit 24 Monate. Aktion: Bis 31.01.2011 HiDrive Pro 1.000 bestellen und die Synology DiskStation (DS110j) für nur 4,49 €/mtl. dazu mieten. Versandkosten 6,90 €.

Kreislaufprobleme
Login 02/2011
Editorial
Ein bisschen nuttig ist das schon, wenn sich einer für Geld anbietet. So wie
Novell. Im März 2010 wollte die US-Investmentgesellschaft Elliott Associates
schon zugreifen, allein der Freier bot nicht genug. Zwischenzeitlich galt SAP
als interessiert. Im Oktober noch meinten viele Suse-Mitarbeiter, Novell würde
den Linux-Zweig separat veräußern, und hielten das für eine gute Idee. Nun
übernimmt Attachmate das ganze Etablissement. Acht Monate hatte das US-
Softwarehaus die Offerte geprüft und kam offenbar zum Schluss, dass die alte
Dame Novell sauber ist.
www.linux-magazin.de
3
Die Open-Source-Szene beäugte die Suche nach Freiern argwöhnisch. Jetzt, wo
tatsächlich einer zugreift, gilt die Sorge der Finanzierung von Open Suse und
Teilen des Kernels. Das Attachmate-Management versucht die Bedenken zu zerstreuen
– ein durchschaubares Manöver: Niemand kann wissen, ob ein oder zwei
Jahre nach dem Vereinigungsakt das Rosenbett nicht zum Fakirbrett mutiert.
Jan Kleinert, Chefredakteur
Für Analysen eignet sich die Vergangenheit besser, zumal es genug aufzuarbeiten gibt. Wie verzweifelt bitte
muss das oberste Management eines Unternehmens eigentlich sein, um es mit prall gefüllter Kriegskasse auf
den Bordstein zu schicken? Ist das nicht das Eingeständnis der eigenen Unfähigkeit?
Wer solche Fragen nicht rhetorisch stellt, sondern ernsthaft, kommt einem perfiden Mechanismus auf die Spur:
Die Vorstände, die sich, um im Bild zu bleiben, als Zuhälter betätigen, sind Täter und Opfer zugleich. Fast immer
in solchen Fällen bieten sie nicht aus freien Stücken ihr Unternehmen feil, sondern auf Druck der Investoren
im Hintergrund. Die wollen Rendite sehen. Da haben wir die Schuldigen: Schimpfen wir sie Renditehaie, Heuschrecken,
Boni-Getriebene…
Doch ach: Wer dem Weg des Geldes folgt, stellt fest, dass auch die Fondsmanager, der Risikokapitalgeber, die
Investmentexpertin einer Versicherungsgesellschaft nicht aus eigenem Antrieb handeln. Sie vermehren ja nicht
eigenes Geld, sondern die Mittel von Kunden. Die Antreiber sind selbst Getriebene. Dem Weg des großen Geldes
folgend, müssten nun endlich die kaltschnäuzigen Alphatiere der perfiden Rendite-Nahrungskette in Sicht kommen.
Wer sind die, die den Fondsmanager zu Maximalleistungen antreiben, die Vorstände von börsennotierten
Konzernen auf den Übernahme-Strich schicken, deren Angestellte in Zukunftsangst versetzen? Wer ist das?
Wir alle. Wir, die wir eine Lebensversicherung haben. Wir mit den monatlichen Fondssparplänen. Wir Bausparer
und Was-fürs-Studium-der-Kinder-Zurückleger. Darunter der Suse-Entwickler und der Novell-Manager. Die Nahrungskette
schließt sich hier zu ein Kreislauf. In der einen Richtung rotiert das Geld, in der anderen ein gnadenloser
Erwartungsdruck. Den Takt der Pumpstation geben die Bilanztermine der börsennotierten Firmen vor.
Das moralisch Vertrackte daran: Jedes Kettenglied ist Täter und Opfer zugleich. Und wie nennt man das, wenn
sich wie hier kein Schuldiger findet? Genau: systemisch. Wer dieses sozio-ökonomische Naturgesetz nicht
mag, muss auf die Ankunft eines allmächtigen Mäzenen hoffen, der mit mildtätigen Milliarden den von Rendite
getriebenen Kreislauf zum Erliegen bringt und zugleich den Druck aus dem System ablässt – gewissermaßen
die ökonomische Prostitution abschafft. Bis zum Eintreffen der solventen Lichtgestalt können zumindest Suse-
Leute etwas Unsystemisches tun: Linux-Software schreiben und mildtätig verschenken.

Inhalt
www.linux-magazin.de 02/2011 02/2011
4
Viel Frischkost gibts für Datenbank-Anwender im neuen Jahr, seit MySQL, PostgreSQL, Ingres
und Firebird neue Versionen aufgelegt haben. Auch der MySQL-Fork Maria DB verdient Aufmerksamkeit.
Auf schnellen Sohlen kommt die NoSQL-Revolution in die Gänge, über drei Revolutionäre
und die munter replizierende Couch DB berichtet der Magazin-Schwerpunkt auch.
Aktuell
Titelthema: Datenbanken 2011
6 News
n Server-Administration mit Open Panel
n Tumbleweed: Suse als Rolling Release
n Long Term für den Linux Kernel
Ein HTML-5-
Desktop
empfängt die
Anwender von
Jolicloud 1.1.
27 Einführung
Titel
Neue Versionen mit raffinierten Features
und der Trend zu NoSQL-Systemen.
28 Datenbank-Vergleich
Neue Features: MySQL, PostgreSQL,
In gres und Firebird im Vergleich mit
Oracle 11g.
38 PostgreSQL 9.0
Die neue Version bringt asynchrone
Replikation und Hochverfügbarkeit.
12 Zahlen & Trends
n AMD steigt bei Meego ein
n Matt Asay verlässt Canonical
n Attachmate und der Novell-Kauf
Das Leibniz-
Rechenzentrum
in München will
den Platz 1 der
Supercomputer
errringen.
Schöne neue Bank: Was die neuen Versionen
der freien DB-Alternativen bringen.
36 Maria DB
Was taugt die MySQL-Alternative?
Die PostgreSQL-Community ist sich einig: Der
Neuner ist der große Wurf.
42 NoSQL
Redis, Riak und Cassandra: Neuartige
Datenbanken sorgen für Speed.
Seit kurzem
weht der Wind
aus der NoSQL-
Ecke. Trend oder
Hype?
18 Zacks Kernel-News
n Realtime Clocks für mehrere Prozesse
n Staging: Bessere Dokumentation
52 Couch DB
Die Dokumenten-basierte Datenbank
Couch DB kann jetzt replizieren..
20 InSecurity News
n Open-SSL-Schwachstellen
n DoS-Attacken in Glibc
n Realplayer mit Lücken
Vertraut und doch neu: Monty Widenius‘ MySQL-
Fork sticht unter der Konkurrenz hervor.
DELUG-DVD
TOOL
DL – mit doppelter Kapazität, S. 57
Untangle 8.0
TOOL
TOOL
Bootet nativ von DVD: Router-Linux mit
Bandbreiten-Kontrolle und Sessionviewer
Open Monitoring
TOOL
TOOL
Distribution
Nagios und nützliche Plugins frisch verschnürt
als fertige Software-Appliance
E-Book gratis
Komplett auf DVD:
Plötner; Wendsel, „Linux – das
umfassende Handbuch“, 2011
Programme und
Tools zum Heft
Passend zu den Artikeln
Egal, ob offline oder im Verbund eines Clusters:
Couch DB beherrscht beides.
Service
3 Editorial
124 IT-Profimarkt
127 Seminare
128 Inserenten, Veranstaltungen
129 Impressum
130 Vorschau

02/2011 02/2011
Inhalt
62 Forum geht‘s?
Wer ein Internetforum betreiben will,
hat die Qual der Wahl. Die Bitparade
wirft einen detaillierten Blick auf PHP
BB, Simple Machines Forum, Vbulletin
und Invision Power Board.
86 Hindernislauf
ZFS und Linux lassen sich nicht ohne
Weiteres kombinieren. Ein Forensiker
untersucht die aktuellen Implementierungen
und beschreibt die Hürden.
118 Datumsarithmetik
Perls Git-Repository enthält alle Commits
seit Larry Wall Perl 1987 erschuf.
Zeitzeuge Mike Schilli holt mit R erstaunliche
Statistiken zum Vorschein.
www.linux-magazin.de
5
Software
Sysadmin
Know-how
57 Einführung
Auf der DELUG-DVD: die Open Monitoring
Distribution, der komfortable Router
Untangle und ein nagelneues E-Book.
58 Open Monitoring Distribution
Nagios einfach und professionell.
62 Bitparade
Titel
Vier Vertreter moderner Webforen-
Soft ware im Vergleich.
70 Internet-Kartendienste
Titel
Openlayers, Mapfish und Mapbender.
81 Einführung
Aus dem Alltag eines Sysadmin: Lsof ist
eines von Charlys Lieblingskommandos.
82 LX Container
LXC verspricht Virtualisierung mit wenig
Overhead. Der Workshop zeigt, wie.
Titel
Nicht nur kritische
Dienste
lassen sich mit
den LX Containern
vortrefflich
isolieren.
86 ZFS und Linux
Nur ein proprietärer Anbieter kann
im Test mit Geschwindigkeit und
Kompatibilität überzeugen.
104 Kern-Technik 55
Titel
Mit ausgefeiltem Ressourcen-Management
und Namensräumen organisiert
der Kernel LX Container.
Kernel Userspace
Appl.
PID
IPC
UTS
NET
USER
PROC
MOUNT
Appl.
globaler
Namensraum
Appl.
PID
IPC
UTS
NET
USER
PROC
MOUNT
Container mit
eigenen
Namensräumen
108 SQL-Injection
Wie Hacker schlecht geschützte
Datenbanken angreifen.
Appl.
Appl.
Appl.
PID
IPC
UTS
NET
USER
PROC
MOUNT
Container mit
eigenen
Namensräumen
In LXCs Namespaces
dürfen
Applikationen
Systemressourcen
unabhän gig
vom Ker nel
benennen.
Drei Tools für immer aktuelle und interaktive
Kartendaten in der eigenen Website.
76 Tooltipps
Etherdump, Fetch Yahoo, Patool, Srm,
ZNC und die Group Shell.
78 Projekteküche
DJ-Software für Linux, flexible Webradio-
Streams mit der Program miersprache
Liquidsoap und leckere Kürbis-Gratins.
Wer nicht kistenweise Vinyl und Plattenspieler
herumtragen möchte, ist bei Mixxx richtig
Forum
92 Winterrätsel
Titel
Beim ultimativen Jahresrückblick in
Quiz form gibt es harte Nüsse zu knacken.
96 Recht einfach
Leser fragen, der Linux-Magazin-
Ratgeber antwortet.
99 Debianopolis
Neues von der Community-Distribution.
100 Tux liest
Die Buchseite mit einer Einführung in
NoSQL- Datenbanken und das Netzwerkmana
ge mentsystem Open NMS.
101 Leserbriefe
Auf den Punkt gebracht.
Reingespritzt: Webprogramme ebnen Gaunern
den Weg zur Datenbank.
Programmieren
111 Einführung
Der Entwickler als Gewissen der
Informationsgesellschaft.
112 Xtext
Titel
Wer sich im Dschungel seiner IPtables-
Regeln nicht mehr zurecht findet,
modelliert sie mit Xtext.
118 Perl-Snapshot
Kurzweilige Statistiken aus Perls Git-
Repository mit Perl und R.

Aktuell
www.linux-magazin.de News 02/2011
6
News
Open Panel verwaltet Serverdienste
Mit Open Panel stellt sich ein
neues Administrationstool für
Serverdienste vor. Es lässt sich
per Weboberfläche und per
Kommandozeile benutzen.
Die GPL-Software niederländischer
Entwickler soll als
bedienungsfreundliches und
erweiterbares Tool zur Server-
Einrichtung dienen.
In Version 1.0 kann Open Panel
virtuelle Apache-2-Hosts
konfigurieren, Open-SSH-Konten
verwalten, DNS-Zonen
mit Bind 9 administrieren sowie
Postfix- und Courier-Maildienste
konfigurieren. Daneben
eignet sich das Panel zum
Verwalten von MySQL-Datenbanken,
von FTP-Konten und
IPtables-Firewalls. Software-
Updates per Apt lassen sich
ebenfalls vornehmen.
Derzeit ist die Software für
Debian 5.0 (Lenny) getestet,
soll aber auch unter Squeeze
und Ubuntu 10.04 funktionieren.
Als nächstes Ziel möchte
das Projekt Open Panel auch
auf weiteren Debian-basierten
Distributionen testen. Langfristig
soll es RPM-Versionen
für Red Hat, Centos und Suse
geben. Darüber hinaus haben
die Entwickler bereits weitere
Entwicklungsziele bekannt
gegeben: IP- und SSL-
Administration, Vorlagen für
Hosting-Produkte, Backup,
Unterstützung für Mailinglisten,
Verwaltung von Amavis
und Spamassassin und einiges
mehr.
Weitere Informationen finden
sich auf der Open-Panel-
Website [http://​www.​openpanel.​
​com]. Dort gibt es auch eine
Anleitung zur Installation der
Software aus den Debian-Paketarchiven
des Projekts. n
Open Panel dient unter anderem zur Konfiguration der Firewall, hier die Weboberfläche
in einem Macintosh-Browser.
Ha-LVM: Virtualisiertes Haskell auf Xen
Das US-amerikanische Unternehmen
Galois hat eine Haskell
Lightweight Virtual Machine
(Ha-LVM) unter BSD-Lizenz
freigegeben. Während es
üblich ist, Betriebssysteme auf
den Xen-Hypervisor zu portieren,
haben die Galois-Entwickler
das mit dem Laufzeit-
System des Glasgow Haskell
Compiler (GHC) getan. Damit
steht eine virtuelle Maschine
für die Programmiersprache
Haskell im Prinzip überall bereit,
wo Xen läuft.
Die Firma aus Portland, Oregon,
hat Ha-LVM nach eigenen
Angaben bereits erfolgreich
in mehreren Projekten
eingesetzt. Mit der Veröffentlichung
unter einer BSD-Lizenz
verbindet Galois ein Dankeschön
an die GHC- und Xen-
Communities.
Auf einer eigenen Ha-LVM-
Homepage unter [http://​halvm.​
​org] findet sich die stabile
Version 1.0 als Tarball, daneben
steht der Quellcode per
Git zur Verfügung. Die Ha-
LVM-Entwickler verwenden
Xen 4.0 für 32-Bit-Linux mit
einigen Modifikationen. Informationen
darüber sowie Anleitungen
zu Installation und
Arbeit mit Ha-LVM sind auf
der Website ebenfalls nachzulesen.
n
Egroupware 1.8 verbessert Bedienbarkeit
Die Stylite GmbH hat die Community-Version
1.8 ihrer Software
Egroupware mit neuen
Features veröffentlicht. Die
neue Release bringt eine dreiteilige
E-Mail-Ansicht, in der
sich alle Mailordner in einer
Baumstruktur aufklappen lassen.
Ein einziger Klick reicht,
um alle Nachrichten innerhalb
eines Ordners zu markieren
oder Ical- und Vcard-Dateien
zu importieren.
Im Kalender erhalten auch
wiederkehrende Ereignisse
Zeitzonenunterstützung, den
Teilnehmerstatus für Termine
kennzeichnet Egroupware optisch.
Ein Skript aus der kostenpflichtigen
Premium-Version
kümmert sich nun auch
in der Community-Ausgabe
um Installation und Aktualisierung
der Software.
Die Community-Version 1.8
von Egroupware [http://​www.​
​egroupware.​org] ist unter GPLv2
lizenziert. Der Hersteller empfiehlt,
die Software aus einem
Repository des Open Suse
Build Service zu installieren.
Die Release Notes halten noch
weitere Installationsvarianten
bereit. Die Firma Stylite bietet
auch eine Premium-Version
von Egroupware (EPL) an,
samt Hosting oder zur Installation
beim Kunden. Training,
Consulting und Support
ergänzen das Angebot. n

Jolicloud will mehr als Netbooks
Jolicloud, eine Distribution,
die vor allem auf Online-Anwendungen
setzt, ist in Version
1.1 mit zahlreichen Verbesserungen
erhältlich. Die
Release verwendet Ubuntu
10.04 mit Long-Term-Support
als Basis, was für Updates bis
2013 sorgt. In Zukunft sollen
aber auch Patches aus Ubuntu
10.10 Eingang finden.
Das neue Jolicloud soll anders
als die Vorgänger nicht nur
auf Netbooks laufen, sondern
auch Notebooks, Desktop-PCs
und Tablets erobern. Daher
gibt es erweiterte Hardware-
Unterstützung, beispielsweise
für Touchscreens, Nvidia Ion
und Intel Puolsbo sowie für
WLAN-Chips und Webcams.
Dieser HTML-5-Desktop empfängt die Anwender von Jolicloud 1.1, wenn sie die
Online-Anwendungen des Herstellers benutzen.
Der neue Kernel auf Basis
von Version 2.6.35.4 ist für
die Prozessoren Atom N450
und N550 optimiert. Auf
Atom-Netbooks verspricht
Jolicloud 1.1 daher etwa 15
Prozent längere Batterielaufzeit.
An Bord sind unter anderem
Firefox 3.6.10, VLC
1.1.4, Banshee 1.6.1, Gimp
2.6.8 und Open Office 3.2.1.
Daneben nimmt der Chromium-Browser
in Version 7.0
samt Flash eine Sonderrolle
ein: Er dient als Schnittstelle
zum in HTML 5 umgesetzten
Onlinedesktop, den der Hersteller
unter My.jolicloud.com
gegen (kostenlose) Registrierung
anbietet. Er steht nicht
nur Anwendern mit installiertem
Jolicloud-Betriebssystem
zur Verfügung, sondern allen
Benutzern mit Chrome- oder
Chromium-Browser.
Die neue Release liegt auf der
Jolicloud-Homepage [http://​
​www.​jolicloud.​com] als ISO-Image
oder als Windows-Installer für
den Dual-Boot-Betrieb zum
Download bereit. Dabei setzt
der Hersteller auf Dateiverteilung
per Bittorrent. n
News 02/2011
Aktuell
www.linux-magazin.de
7
Tumbleweed: Open Suse rolliert
Indischer Adam weckt hohe Erwartungen
Suse-Entwickler und Kernelhacker
Greg Kroah-Hartman
regt ein neues Projekt namens
Tumbleweed an und damit ein
Open-Suse-Repository, das
sich fortlaufend aktualisiert.
Bei einer solchen Rolling Release
gibt es keine Sprünge in
der Aktualisierung, sie erfolgt
kontinuierlich. Bei Linux-Distributionen
wie Arch, Gentoo
oder Foresight ist das längst
gängige Praxis.
Den Unterschied zu Open
Suses Factory-Zweig sieht
Kroah-Hartman darin, dass
Tumbleweed nur stabile Software
enthalten soll, die zuverlässig
funktioniert, Factory
dagegen jeweils die allerneuesten
Versionen liefert. Beim
Kernel verwendet Factory beispielsweise
bereits die Release
Candidates jener Version, die
ins nächste Open Suse eingehen
soll. Tumbleweed werde
aber nur Stable-Kernel einsetzen,
schreibt Kroah-Hartman
in seiner Mail an die Open-
Suse-Mailingliste.
Einen Vorteil für die Anwender
könnte Tumbleweed insbesondere
bei jenen Softwarepaketen
bieten, deren neue
Versionen aus Termingründen
nicht mehr in ein reguläres
Suse gelangt sind, dazu zählt
beispielsweise Gnome mit seinen
6-monatigen Zyklen, die
öfter für Überschneidungen
sorgen.
Greg Kroah-Hartman plant,
Tumbleweed nach der Veröffentlichung
von Open Suse
11.4 zu starten, bis dahin
möchte er den Workflow vorbereiten.
In der Zwischenzeit
diskutiert die Open-Suse-
Community den Vorschlag auf
der Mailingliste unter [http://​
​thread.​gmane.​org/​gmane.​linux.​suse.​
opensuse.​project/​6594]. n
Der indische Hersteller Notion
Ink will mit dem Android-Tablet
namens Adam eine Serie
von „traumhaften Geräten“
begründen. Anfang Januar
kommt Adam weltweit in die
Auslieferung, die Preise bewegen
sich zwischen 370 und
600 US-Dollar. Hinzu kommen
50 Dollar Versandkosten
in jedes Zielland.
Adams Multitouch-fähiges
10,1-Zoll-Display (1024 mal
600 Pixel) ist in zwei Versionen
zu haben. Das spezielle
„Pixel Qi“-Display passt sich
der Umgebungsbeleuchtung
an und soll auch bei Sonnenschein
lesbar sein. Der normale,
matte LCD-Bildschirm
verfügt laut Anbieter über
Schutz gegen Kratzer und Fingerabdrücke.
Mit dem Internet
kann sich der Anwender je
nach Preislage mittels WLAN
oder HSPA verbinden.
Das Gerät arbeitet mit dem
Tegra 250 von Nvidia, der mit
einem Zweikern-ARM Cortex
A9 sowie mit Geforce-Grafikprozessor
ausgestattet ist.
HD-Fähigkeit gehört ebenso
zu den Features wie Open GL
ES 2.0. 1 GByte Arbeitsspeicher
und 8 GByte Flash-Festspeicher
zählen zur weiteren
Ausstattung. Im Gerät steckt
zudem eine 3,2-Megapixel-
Kamera. Erweiterungen sind
mit USB, HDMI, Micro SD und
mit SIM-Karten möglich.
Mitte Dezember erlebte das
junge Unternehmen aus dem
indischen Bangalore turbulente
Tage. Die eigentlich erfreulich
vielen Vorbestellungen
[http://​www.​notionink.​com/​
​order.​php] ließen an diversen
Stellen die Technik versagen,
auch mit Dienstleistern und
Lieferfirmen habe es Schwierigkeiten
gegeben.
n

Aktuell
www.linux-magazin.de News 02/2011
8
Google zeigt Nexus S und Android 2.3
Google hat mit dem Nexus S
ein neues Smartphone vorgestellt,
das als erstes Gerät mit
der neuen Android-Version 2.3
alias Gingerbread ausgestattet
ist. Das Nexus S kommt mit
einem 4-Zoll-WGA-Display.
Ein 1-GHz-Hummingbird-
Prozessor von ARM, zwei
Kameras, 16 GByte interner
Speicher und NFC (Near Field
Communication) zählen zu
den Ausstattungsmerkmalen.
Das Smartphone misst 63 mal
124 x 11 Millimeter und wiegt
120 Gramm. Google hat das
Telefon mit Samsung zusammen
entwickelt.
Das Gingerbread-Handy soll –
vertragsfrei und ohne Simlock
– in den USA über T-Mobile
beziehbar sein, später dann
auch über US-Elektronikhändler
wie Bestbuy. Zum europäischen
Markteintritt gibt
Das Nexus S hat ein gewölbtes
4-Zoll-Contour-Display, das sich
besonders gut zum Telefonieren
eignen soll.
es noch keine Informationen.
Anfang 2011 soll es auch
Android 2.3 nebst Entwickler-
Kit unter Open-Source-Lizenz
geben. Zum Nexus S gibt es
eine Produktseite [http://​www.​
​google.​com/​nexus/​#!/​index], auf
der sich die Spezifikationen
des Geräts finden.
n
Pulp: Verteiler für Red Hat und Fedora
Das Tool Pulp erstellt lokale
Software-Repositories und
verteilt Pakete nach Regeln
an andere Rechner. Mit neuer
Homepage und neuer Release
stellt sich das Red-Hat-Communityprojekt
einer breiteren
Öffentlichkeit vor.
Die GPL-Software eignet sich
für Fedora 13 und 14 sowie
für Red Hat Enterprise Linux
5. Sie kann Paket-Repositories
per HTTP(S), aus dem Dateisystem,
von CD/ DVD und aus
dem Red Hat Network einlesen
und einen lokalen Mirror
erstellen. Pulp hält den Mirror
automatisch aktuell. Daneben
kann der Administrator auch
Pakete einpflegen, die aus anderen
Quellen stammen oder
die er selbst gebaut hat.
Die Installation und Aktualisierung
von Computern
und Rechnergruppen erfolgt
zentral vom Pulp-Server aus.
Dabei soll die Software laut
den Entwicklern in Zukunft
auch zeitlich enge Wartungsfenster
für die Updates nutzen
können. Die Roadmap auf der
Homepage listet noch weitere
geplante Features wie Rule
Based Access Control (RBAC)
und das Einbinden externer
CDs auf.
Pulp ist in Python umgesetzt
und verwendet eine Server-
Client-Architektur. Es lässt
sich über die Kommandozeile
sowie über eine REST-Schnittstelle
steuern.
Die neue Community-Release
4 führt Paket-Suche und -Kategorien
ein und komplettiert
das Klonen von Repositories.
Ausführliche Informationen
sowie Code und Pakete gibt
es auf der Pulp-Homepage
[http://​pulpproject.​org]. n
Open-PC startet Verkauf mit drei Rechnermodellen
Das Projekt Open-PC, das
KDE-Entwickler Frank Karlitschek
gegründet hat, startet
den Verkauf von drei Rechnermodellen.
Die Computer nach
Community-Spezifikation sind
über drei Kooperationspartner
erhältlich. Die Unterschiede
zwischen den Rechnern mit
offenem Design: Das Modell
Open-PC 1 hat Booksize-
Format, verwendet den Dualcore-Prozessor
Atom D510
mit 1,6 GHz sowie 4 GByte
RAM und kostet in Deutschland
rund 390 Euro. Mit dem
gleichen Prozessor, jedoch 2
GByte RAM ist der Open-PC
Micro ausgestattet, der in einem
Mini-ITX-Gehäuse steckt
(rund 350 Euro). Mit rund 250
Dollar ausgezeichnet und ausschließlich
für den amerikanischen
Markt bestimmt ist der
Mini-Computer Open-PC SX
mit 1 GByte RAM und ebenfalls
Atom-Prozessor.
Die Rechner sind ausschließlich
mit Komponenten bestückt,
zu denen offene Dokumentationen
und freie Treiber
vorliegen. Das vorinstallierte
Linux-Betriebssystem basiert
auf Open Suse 11.3 und verwendet
den KDE-Desktop. Als
Vertriebspartner fungieren die
Firmen Arlt und Greenix in
Deutschland sowie Think Penguin
in USA. Für jeden verkauften
PC geht eine Spende
von 10 Euro an das KDE-Projekt.
Weitere Informationen
gibt es auf der Open-PC-Website
[http://​open‐pc.​com]. n
Der KDE-Entwickler Frank Karlitschek präsentiert einen Computer aus dem von
ihm gegründeten Open-PC-Projekt.

Git-Timetrack erfasst Entwicklerzeit
Der KDE-Entwickler Eduardo
Robles Elvira hat die Git-
Erweiterung Git-Timetrack
vorgestellt. Damit können
Entwickler aufzeichnen, wie
lange sie an einem Commit
arbeiten. Vor dem Einsatz
in einem Projekt müssen sie
das Tool mit dem Befehl »git
timetrack -init« initialisieren.
Danach stößt »git timetrack
-start« die Zeiterfassung
an. Beim nächsten Commit
schreibt das Programm die
benötigte Zeit in die Commit-
Message. Dafür verwendet
das Tool das neue Feature
Git-Notes. In Pausen lässt sich
die Messung mit einem Stop-
Befehl unterbrechen.
Die Software benötigt den Git-
Entwickler-Zweig »git-next«
und steht unter GPLv3. Der
Quellcode ist im Online-Repository
unter [http://​wadobo.​com/​
​trac/​dtt] erhältlich.
n
Top-Performance zum Tiefpreis!
Virtuelle Server
News 02/2010
Aktuell
www.linux-magazin.de
9
Long Term: Änderung in der Kernel-Pflege
Der bei Novell beschäftigte
Kernelhacker Greg Kroah-
Hartman hat auf der Kernel-
Mailingliste einige Änderungen
zur Betreuung von Kernelreleases
bekannt gegeben
sowie eine neue Mailingliste
für stabile Kernel eingeführt.
Es sei seit über fünf Jahren
Usus, so berichtet Kroah-
Hartman, die jeweils jüngste
Kernelversion als »stable« zu
markieren.
Dieses System des „Die neue
Version ist da, nimm sie und
vergiss die alte Version“, habe
prächtig funktioniert, bis er
selbst auf die Idee gekommen
sei, einige Kernelausgaben mit
längerem Support auszustatten.
Ein solcher Long-Term-
Kernel sei etwa 2.6.16 gewesen
und aktuell die Release
2.6.32. Distributionen und
auch Anwender seien von der
längeren Pflege begeistert, so
Kroah-Hartman, schließlich
sei er fast bei jeder Kernelversion
um verlängerten Support
gebeten worden.
Und damit sei jetzt Schluss:
„Back to the roots“ nennt der
Entwickler das künftige Vorgehen,
das als stabile Release
wieder den jüngsten Kernel
bezeichnet. Es sei einfach zu
verwirrend für Anwender geworden,
auf Kernel.org jene
Kernelreleases zu identifizieren,
für die es noch Support
gibt. Ganz zu schweigen von
der Zusatzarbeit für Entwickler,
die sich mit den alten
Versionen herumschlagen
müssen.
Er werde nun noch sein Versprechen
erfüllen und die
bereits als Long-Term-Kernel
angekündigten Releases einige
Zeit weiterpflegen. Diese
Kernel seien dann als »longterm«
gekennzeichnet und bekämen
eigene Maintainer. Das
sei der Fall für die Versionen
2.6.27 und 2.6.32. Auch die
Version 2.6.35 soll Long Term
sein, Andi Kleen habe sich als
Maintainer angeboten.
Kroah-Hartman hat zudem
eine Stable-Mailingliste angekündigt.
Unter [http://​linux.​
​kernel.​org/​mailman/​listinfo/​stable]
kann man sich anmelden.
Den potenziellen Mitgliedern
gibt er als Warnung mit, dass
es dort langweilig zugehe und
ein hohes Mailaufkommen zu
erwarten sei.
n
netclusive Virtuelle Server:
• bis zu 3 CPU-Kerne und 8 GB RAM
• bis zu 95 GB Festplatte (RAID 10)
• 5 TB Traffic inklusive
• SSL-Zertifikat inklusive
• Voller Root-Zugriff (SSH)
• 100 % Backup-Speicher
• 99,9 % garantierte Verfügbarkeit
• auch als Managed Server erhältlich
• viele 64-Bit-Betriebssysteme nach Wahl
6 Monate
kostenlos
danach ab 12,99 €*
0800 638 2587 | www.netclusive.de
* Aktion 6 Monate kostenlos bis 31.01.2011. Nach 6 Monaten regulärer monatlicher Grundpreis:
VPS L 12,99 €, VPS XL 16,99 €, VPS XXL 29,99 €. Die Mindestvertragslaufzeit beträgt wahlweise 12 Monate
(Aktion 6 Monate kostenlos entfällt) bzw. 24 Monate (6 Monate kostenlos). Zzgl. 9,99 € einmalige Einrichtungsgebühr.
Die Abrechnung erfolgt vierteljährlich. Alle Preise inkl. MwSt.

Aktuell
www.linux-magazin.de News 02/2011
10
Kurznachrichten
Mu 0.9: Die Sammlung kleiner Programme findet E-Mails in Maildir-Archiven
anhand mehrerer Kriterien. Neu: Lesezeichen, Suche nach Priorität oder
Message-Eigenschaften wie Verschlüsselung oder Attachments, Suche
über Zeiträume. Erstmals mit grafischer Oberfläche namens Mug. Lizenz:
GPLv3 [http:// www.djcbsoftware.nl/code/mu/]
GNU Recutils 1.0: Die Utilities umfassen ein Datenformat, C-Bibliotheken
und Kommandozeilenprogramme für textbasierte Datenbanken. Das Format
sieht Eigenschaften wie Datentypen, Pflichtfelder, eindeutige Schlüssel
und Fremdschlüssel vor. Das Programm »recsel« dient zur Auswahl
von Datensätzen mit Hilfe einer Abfragesprache, »recins« zum Einfügen
von Datensätzen und »recdel« zum Löschen. Neu: Erste Veröffentlichung.
Lizenz: GPLv3 [http://www.gnu.org/software/recutils/]
Htop 0.9: Der interaktive Prozessbetrachter für die Kommandozeile zeigt
eine Vielzahl von Informationen. Neu: Die Zweige der Baumansicht lassen
sich mit den Plus- und Minus-Tasten erstmals auf- und zuklappen.
Unterstützung für Cgroups sowie Ressourcenanzeige für virtualisierte
Gastsysteme. Lizenz: GPLv2 [http://sourceforge.net/projects/htop/]
Tiny Core Linux 3.3: Die minimalistische Distribution umfasst nur 10 MByte
und bietet dennoch einen grafischen Desktop. Neu: Dateimanager und
Editor auf Basis des Ressourcen-schonenden GUI-Toolkits Fltk. Aktualisierungen
für App-Browser und die distributionseigenen Skripte. Lizenz:
GPL und andere [http://tinycorelinux.com]
Valgrind 3.6.0: Die freie Werkzeugsammlung dient zum dynamischen
Debuggen von Programm und spürt Speicherfehler auf. Neu: Funktioniert
erstmals unter Linux auf CPUs, die den Befehlssatz ARMv7-A beherrschen.
Anpassung an GCC-Version 4.5 und Glibc 2.12, Unterstützung für 32- und
64-Bit-Programme unter Mac OS X 10.6 (Snow Leopard). Lizenz: GPLv2
[http://www. valgrind.org]
Mobile Org for Android 0.4.5: Die Anwendung für Android-Smartphones
zeigt Dateien im Organizer-Format von Emacs an. Neu: Synchronisation
mit Webdav-Servern oder der lokalen SD-Karte. Schreibmodus für
Todo-Einträge und Notizen. Lizenz: GPLv2 [https://github.com/matburt/
mobileorg-android]
Prrescue 0.9: Die Live-CD basiert auf Gentoo für AMD 64 und hilft bei der
Systemrettung. Sie unterstützt auch die Dateisysteme Nilfs und Btrfs.
Neu: Update mit neuen Gentoo-Paketen. LM-Sensors und das Benchmarktool
CPU Burn sind als neue Programme dazugekommen. Auf Version
2.6.36.2 aktualisierter Kernel, Booten von USB-Medien. Lizenz: GPL und
andere [http:// prrescue.prnet.org]
Docvert 4.0: Das Konvertierungstool übersetzt Textverarbeitungsdateien,
beispielsweise im Word-Format, in das Open-Document-Format, XML oder
HTML. Neu: Umwandlung von EMF- und WMF-Dateien in SVG- und PNG-Grafiken.
Verbesserungen bei der Docbook-XML-Ausgabe, bei Barrierefreiheit
und Performance. Lizenz: GPLv3 [http://holloway.co.nz/docvert/]
KDE-Programm Cirkuit malt Schaltpläne
Userful multipliziert Arbeitsplätze
Der KDE-Entwickler Matteo
Agostinelli hat Cirkuit vorgestellt,
eine Anwendung zum
Zeichnen von Schaltplänen
und Graphen. Cirkuit zeigt
eine Echtzeit-Vorschau und
exportiert das Ergebnis in den
Formaten EPS, PDF, PNG oder
PSTricks. Zudem kann das
KDE-Programm auch Gnuplot
und Tikz/ PGF als Backends
benutzen. Die Software ist auf
KDEs Projektplattform unter
[https://projects. kde.org/projects/
playground/ graphics/ cirkuit] erhältlich.
n
Cirkuit dient unter anderem als Frontend für die Circuit-Makros, die Schaltpläne
zeichnen. In der unteren Hälfte befindet sich ein Quelltext-Editor.
Das kanadische Unternehmen
Userful [http:// userful. com] hat
seine Software Multiseat, die
einen einzigen Linux-Rechner
um bis zu zehn externe Arbeitsplätze
erweitert, zu einem
installationsfertigen Softwarebundle
für Schulen mit
Edubuntu 10.04 verschnürt.
Ebenfalls dabei ist Software,
um die Bildschirme der Schüler
zu überwachen.
In der jetzt veröffentlichten
Release 4.0 von Multiseat
stecken laut Hersteller eineinhalb
Jahre Entwicklungszeit:
Während das ältere Produkt
Multiplier (ebenfalls noch
erhältlich) Grafikkarten mit
mehreren Ausgängen benötigt,
die der Anwender zunächst
in seinen Hostrechner
einbauen muss, lassen sich
bei Multiseat die externen Arbeitsplätze
über separate USB-
Kistchen anschließen, auch
Zero-Clients genannt, an die
dann jeweils Monitor, Maus
und Tastatur und weitere Geräte
gestöpselt werden. Derzeit
eigenen sich für diesen
Zweck die Geräte T100 von
Hewlett-Packard, die Expansion
Workstation MWS 8820
von Magic Control Technology
und der Zero-Client E01
von Wyse.
Damit der Host zehn Arbeitsplätze
im Multiuser-Betrieb
bedienen kann, sollte er mit
einem Quad core-Prozessor sowie
4 GByte Arbeitsspeicher
ausgestattet sein.
Die Software Userful Multiseat
ist als Ubuntu-Paket
und im Bundle mit Edubuntu
als Installationsimage erhältlich.
Das Unternehmen
Userful vertreibt das Produkt
als Closed-Source-Software,
für die zwischen 60 und 100
Dollar Lizenzgebühren pro
Arbeitsplatz anfallen. Hinzu
kommt, dass der Anwender
sich die Client-Hardware kaufen
muss, die laut Hersteller
ab 50 Dollar pro Stück kostet.
(ake/mhu/uba/ofr) n

1&1 DSL
INTERNET
UND TELEFON
19, 99
JETZT STARTEN UND 120,– €
SPAREN!
€/Monat *
Sparpreis für volle 24 Monate,
danach 24,99 €/Monat.
Jetzt informieren und bestellen: 0 26 02 / 96 90
www.1und1.de
* 1&1 Surf-Flat 6.000: 24 Monate 19,99 €/Monat, danach 24,99 €/Monat. In den meisten Anschlussbereichen verfügbar. Inklusive Internet-Flat. Inklusive Telefonie (Privatkunden): rund um die
Uhr für 2,9 ct/Min. ins deutsche Festnetz. Anrufe in alle deutschen Mobilfunknetze 19,9 ct/Min. 1&1 HomeServer für 0,– € (Hardware-Versand 9,60 €). 24 Monate Mindestvertragslaufzeit.

Aktuell
www.linux-magazin.de Zahlen & Trends 02/2011
12
Zahlen & Trends
Canonical zählt mehr Softwarepartner
Canonical, das Unternehmen
hinter Ubuntu Linux, hat seit
der Veröffentlichung von Version
10.10 eine ganze Reihe
Softwarepartner gewonnen.
Ubuntus Software Center
ersetzt den Paketmanager
Synaptic seit Version 9.10
„Karmic Koala“. Mit Ubuntu
10.10 „Maverick Meerkat“ ist
das Angebot angelaufen, über
das Software Center (Version
3.0.4) auch Bezahlprogramme
zu erwerben. Zu den Anbietern
gehören nun die Firmen
Boxed Ice, Opsview, Riptano,
Unoware, Vladster, Wavemaker
und Zend. Auch der kalifornische
IT-Integrator Centrify
hat sich eingereiht.
Neu an Bord sind demnach
unter anderem die Monitoring-Software
Opsview, die
verteilte Datenbank Cassandra,
die Wysiwyg-Entwicklungsumgebung
Wavemaker
sowie Active Directory für
Ubuntu.
Zu den bisherigen rund 100
Softwarepartnern von Canonical
gehören Zarafa, Unison,
Zimbra, PGP, Oracle, Eucalyptus
und Likewise. Laut Matt
Asay, dem Cheforganisator
von Canonical, habe das Unternehmen
während des Jahres
2010 besonders viele Partner
gewonnen, was mit der
Einführung der Bezahlsoftware
zusammenhängt. Einzelne
Kooperationen hat es
aber bereits seit der ersten
Ubuntu-Version gegeben.
Derzeit erweitert sich die Liste
der Softwarepartner um ein
bis zwei pro Monat, beziffert
Canonical das Wachstum gegenüber
der Redaktion. n
AMD reicht Meego die Hand
Advanced Micro Devices
(AMD) will Personalressourcen
in das mobile Linux-
Betriebssystem Meego investieren.
Das hat der Intel-
Konkurrent überraschend auf
der Meego-Konferenz bekannt
gegeben, die vom 15. bis zum
17. November 2010 in Dublin
stattfand.
Ben Bar-Haim, der Software-
Chef von AMD, sieht Meego
in Zukunft auf vielen mobilen
Geräten laufen, daher
wolle das Unternehmen sich
einbringen. AMDs Chef-
Linuxer Chris Schläger differenziert
im Gespräch mit
dem Linux-Magazin, dass
das Mobil-Linux nach AMDs
Wünschen am liebsten schon
auf den eigenen geplanten
Portable-Plattformen Ontario
und Zacete zu finden sein
solle, die fürs Frühjahr 2011
angekündigt sind. Die neuen
AMD-Plattformen auf der Basis
eines CPU-GPU-Verbund-
Chips, die so genannten APUs
(Marketingname „Fusion“),
seien der Grund für das Engagement:
„Bisher war der
von Meego anvisierte Markt
einfach nicht interessant für
uns“, sagt der Leiter des Operating
System Research Center
Foto: Chris Schläger.
Chris Schläger leitet das Operating
System Research Center (OSRC) von
AMD mit Standorten in Dresden und
Austin, Texas.
von AMD. Nun fallen als Erstes
Arbeiten am Linux-Kernel,
bei den Grafiktreibern und bei
den Chipsatztreibern an, konkretisiert
Schläger.
So müssen die Entwickler prüfen,
was nötig ist, um Meego
für die ersten geplanten Fusion-Plattformen
tauglich zu
machen. Die Entwicklungen
sollen ins Buildsystem von
Meego einfließen. Wenn im
Frühjahr 2011 die Plattformen
erscheinen, „haben wir hoffentlich
unsere Hausaufgaben
gemacht“, so der Betriebssystemspezialist.
Langfristig wird AMD nach
Schlägers Worten zunächst
sehen müssen, wohin das
Meego-Engagement führt.
AMD werde sich zunächst
nur im Netbook- und Tablet-
Segment einbringen und
nicht etwa bei Smartphones,
Autocomputern und vernetztem
Fernsehen. Ontario und
Zacete fungieren als Prüfstein,
wie die Nachfrage bei Herstellern
und der Community ist.
AMDs künftiges Engagement
hängt natürlich auch davon
ab, welchen Erfolg Meego
hat. „OEMs erhalten damit
ein Baukastenprinzip, anders
als etwa bei Android, das ja
vor allem von einem einzigen
Hersteller entwickelt wird“,
so Schläger.
Meego entstand zu Beginn
des Jahres 2010 aus der Zusammenlegung
von Nokias
Mobil-Betriebssystem Maemo
und Intels Mobil-Betriebssystem
Moblin und liegt in den
Händen der Linux Foundation.
AMD ist eines von neun
Gold-Mitgliedern der Linux
Foundation, zahlt also 100 000
US-Dollar pro Jahr, und verfügt
damit im Gegensatz zum
Platin-Mitglied Intel (400 000
Dollar) über keinen sicheren
Vorstandssitz.
n

Java Community Process: 4 Spezifikationen, 2 Rücktritte
Die Gremien des Java Community
Process (JCP) haben
über die kommenden Spezifikationen
abgestimmt und die
von Oracle forcierte Roadmap
für Java SE 7 und Java SE 8
angenommen. Das freie Mitglied
Tim Peierls und später
die Apache Foundation erklärten
daraufhin ihren Rücktritt
aus dem „SE/ EE Executive
Committee“.
Das Komitee hat in seiner Sitzung
über die so genannten
Java Specification Requests
(JSR) Zustimmung zu den
JSRs 334, 335, 336 und 337
erteilt. Im JSR-000336 geht
es um den Java SE 7 Release
Content und beim JSR-000337
um das nämliche für Java SE
8. Bei den Wahlergebnissen
zu Java SE 7 [http://​jcp.​org/​en/​
​jsr/​results?​id=5111]​stimmten die
Apache Foundation, Google
und der unabhängige Entwickler
Tim Peierls gegen den
Vorschlag.
Die Apache Foundation hat
den JCP nach der Abstimmung
verlassen. Sie war seit zehn
Jahren Mitglied des Exekutivkomitees
und wurde in dieser
Zeit viermal zum Mitglied des
Jahres gewählt. Peierls hatte
sein Votum von einer Stimmenthaltung
bis zum „Nein“
verschärft und dies mit seiner
Unzufriedenheit über die
mangelnde Information Oracles
zu den Lizenzbedingungen
für Java SE 7 begründet. Der
JCP sei außerdem zu sehr von
Firmeninteressen geprägt: Er
habe die Hoffnung verloren,
dass der JCP etwas Sinnvolles
zustande bringe, schreibt er
in seinem Blog. Google nennt
als Begründung für die Gegenstimme
die Lizenzierungsbestimmungen
für die Testsuite
Java Compatibility Kit (TCK)
diskriminierend.
Auch die Beteiligten, die mit
„Ja“ gestimmt haben, geben
überwiegend ihrem Unmut
über die Lizenzierungspolitik
für das TCK Ausdruck, darunter
SAP, IBM und Red Hat.
Sie haben sich jedoch nicht
dazu durchringen können,
dem Aufruf von Apache Folge
zu leisten und ihre Ja-Stimme
zu verweigern.
Die Forderung der Apache
Software Foundation nach
einem frei zugänglichen TCK
zieht sich schon seit vielen
Jahren hin und war schon unter
der Sun-Ägide ein großes
Thema. Das TCK ist notwendig,
um Anwendungen auf
Kompatibilität mit Java-Spezifikationen
testen zu können,
und nur unter kommerzieller
Lizenz erhältlich.
n
Zahlen & Trends 02/2011
Aktuell
www.linux-magazin.de
13
Super MUC: Leibniz-Rechenzentrum will Platz 1
Das Münchner Rechenzentrum
der Bayerischen Akademie
der Wissenschaften hat
einen neuen Supercomputer
mit einer geplanten Leistung
von 3 Petaflops pro Sekunde
in Auftrag gegeben. Übernächstes
Jahr soll er an der
Spitze der Top-500-Liste der
leistungsfähigsten Rechner
stehen. Mitte 2012 soll der
Rechner am Leibniz-Rechenzentrum
(LRZ) in München-
Garching in Betrieb gehen.
Den entsprechenden Vertrag
unterschrieben kürzlich der
Vorsitzende des RZ-Direktoriums
Arndt Bode und Martin
Jetter, Vorsitzender der
Geschäftsführung der IBM
Deutschland GmbH.
Das Investitions- und Betriebsvolumen
für die nächsten
sechs Jahre beziffern Kunde
und Dienstleister auf 83 Millionen
Euro, plus 50 Millionen
für Gebäude-Erweiterungen.
Das Bundesland Bayern und
die Bundesrepublik Deutschland
tragen jeweils die Hälfte
der Kosten, weil der Superrechner
für den Technologiestandort
Deutschland und
wegen seiner Energiesparsamkeit
als Zukunftsinvestition
gilt. Der Neue soll neben
den 3 Petaflops pro Sekunde
Foto: IBM
Spitzen-Rechenleistung über
320 TByte Hauptspeicher und
insgesamt bis zu 12 PByte
Festspeicher verfügen.
Damit soll er „zu den leistungsfähigsten
Universalrechnern
der Welt gehören“, freut
sich das LRZ. Dafür sorgen
rund 110 000 Prozessorkerne.
Ein Prototyp für die Wasserkühlung mit Wärmerückgewinnung steht an der ETH
Zürich: Das Kühlwasser wärmt gleichzeitig das Gebäude.
Der rasante Kraftprotz soll für
die Forscher-Community zum
Beispiel die Entwicklung des
Universums simulieren, das
heiße Erdinnere modellieren
oder die Strömungseigenschaften
technischer und natürlicher
Systeme berechnen.
Neben der Rechenleistung
heben LRZ und IBM die neue
Kühltechnologie des Systems
hervor, bei der Kühlflüssigkeit
– die bis zu 40 Grad Celsius
warm sein darf – direkt an
Prozessoren und RAM vorbeifließt
und anschließend das
Gebäude heizt.
Der „Super MUC“ genannte
Rechner soll den bisher
Stärksten im LRZ-Hause ersetzen:
den seit 2006 arbeitenden
HLRB II. Erklärungen zur
Kühltechnik des Super MUC
und zu den HPC-Anwendungsfällen
des LRZ sind online
auf [http://​www.​lrz.​de/​presse/​
ereignisse/​supermuc‐vertrag‐2010​
‐12‐13/]​erhältlich.
n

Aktuell
www.linux-magazin.de Zahlen & Trends 02/2011
14
Linux Foundation macht in Embedded
Der Embedded-Entwickler Richard
Purdie steht als neuer
Fellow auf der Gehaltsliste der
Linux Foundation. Mit den
Fellow-Positionen verfügt die
Linux Foundation über Mittel
und Wege, Entwicklungen in
der Linux-Welt zu unterstützen,
die sie für wichtig hält.
Einen solchen Bedarf sehe sie
bei Embedded Linux, begründet
sie ihren Schritt.
Als Fellow wird Richard Purdie
ganztags am Yocto-Projekt
und zum Beispiel an dessen
Poky-Buildsystem arbeiten,
das er vergangenen Oktober
mitgegründet hat, sowie am
Openembedded-Projekt, bei
dem er seit 2004 Entwickler
ist. Eine zeitliche Begrenzung
der Fellowship gibt die Linux
Foundation nicht an.
Der Master-Physiker war bisher
als Embedded-Linux-Architekt
bei Intel tätig, seit die
Firma seinen ehemaligen Arbeitgeber
Opened Hand übernommen
hatte. Weitere Projekte,
an denen Purdie mitgearbeitet
hat, sind Clutter, der
X-Server, Sharps Handheld-
Betriebssystem Zaurus und
der Profiler Oprofile. Beim
Kernel war Purdie unter anderem
Maintainer des Backlightund
LED-Subsystems.
Mit Purdie gibt es derzeit fünf
Fellows der Linux Foundation.
Der bekannteste ist Linus
Torvalds. Die Linux-Organisation
finanziert zum Beispiel
auch Till Kamppeter und sein
Openprinting-Projekt [https://​
​www.​linuxfoundation.​org/​programs/​
developer/​fellowship]. n
Novell profitiert von Steuervorteilen
Für das vierte Geschäftsquartal
2010 verbucht der Linux-
Anbieter einen Gewinn von
322 Millionen US-Dollar. Allerdings
kommen davon nur
rund 22 Millionen aus dem
operativen Geschäft. Die zusätzlichen
rund 300 Millionen
US-Dollar stammen aus nicht
näher erläuterten Steuervorteilen,
die Novell im Hinblick
auf künftige Geschäfte einfordern
konnte. Die Verluste im
vergleichbaren Quartal 2009
(Minus 259 Millionen) waren
allerdings ebenfalls von einer
Korrektur der Vermögenswerte
beeinflusst.
Der Umsatz sank von 216 auf
207 Millionen US-Dollar, verglichen
mit dem vierten Quartal
2009. Softwarelizenzen
trugen 31 Millionen US-Dollar
zum Umsatz bei, die Sparte
Maintenance und Subskriptionen
153 Millionen. Während
das Lizenzgeschäft damit zum
Vorjahresquartal nahezu unverändert
blieb, sanken die
Einnahmen für Wartung und
Subskriptionen um rund vier
Prozent.
Bei der ebenfalls veröffentlichten
Jahresbilanz 2010 gibt
Novell einen Umsatzrückgang
von 862 Millionen im
Jahr 2009 auf rund 812 Millionen
US-Dollar in diesem
Jahr an. Der Gewinn, durch
die 308 Millionen aus Steuern
begünstigt, stieg auf 378 Millionen
US-Dollar. Verglichen
mit einem Minus von 213 Millionen
im Jahr 2009 kommt
der Linux-Distributor also auf
dem Papier gut weg. n
Alan Clark übernimmt Open-Suse-Vorsitz
Attachmate will Novell kaufen
Der bei Novell angestellte
Manager Alan Clark hat den
Vorsitz im Open-Suse-Board
angetreten. Laut seinem Arbeitgeber
zeigte Clark seine
Qualitäten bei den ersten
Schritten hin zur Gründung
einer Open-Suse-Stiftung.
Foto: Novell.
Auf Alan Clarks Todo-Liste als Open-
Suse-Vorsitzender steht eine Stiftung
für das Open-Source-Projekt.
Alan Clark war zuvor schon
in den Führungsgremien der
Linux Foundation tätig. Dort
hält er den Vorsitz des Linux
Foundation Vendor Advisory
Council. Seine Aktivposten
lassen sich fortsetzen: Novell
zählt in der Ankündigung
Clarks Engagement bei der
Linux Standard Base, dem
Open Document Format, bei
Open Source for America,
DMTF und der Cloud Security
Alliance auf.
Zu den vorrangigen Aufgaben
Clarks bei Open Suse
zählt nun die Gründung einer
Open-Suse-Stiftung. Von
Clarks Erfahrungsschatz in diversen
technischen Komitees
erhoffen sich Novell und das
Projekt aber auch Fortschritte
in Sachen Interoperabilität
und Standards.
n
Der IT-Anbieter Attachmate
Corporation hat mitgeteilt,
das Linux-Unternehmen
Novell für 2,2 Milliarden
US-Dollar einvernehmlich
übernehmen zu wollen. Den
Kaufpreis gibt das von einer
Investorengruppe gehaltene
Attachmate mit 6,10 US-Dollar
pro Aktie an. Die Novell-Aktie
hatte zuvor mit 5,90 US-Dollar
geschlossen. Im Zuge der
Vereinbarung soll ein Novell-
Großaktionär, die Elliott Management
Corporation, Anteilseigner
bei der Attachmate
Corporation werden.
Der Verkauf von geistigem
Eigentum im Technologie-Bereich
an die CPTN Holdings
LLC sei für das Zustandekommen
des Handels relevant. Die
CPTN ist ein von Microsoft ins
Leben gerufenes Konsortium.
Bei dem Verkauf an die CPTN
geht es laut Novell um rund
450 Millionen US-Dollar.
Attachmate plant bei Zustandekommen
des Handels ein
Markenportfolio aus Attachmate,
Net-IQ, Novell und
Suse, heißt es seitens Novell:
Jeff Hawn, Vorstandsvorsitzender
und CEO der Attachmate
Corporation, wolle die
Novell- und Suse-Lösungen
ausbauen.
Novells Präsident und CEO
Ron Hovsepian hebt die komplementären
Produkte und
sich überscheidende Kundschaft
der Unternehmen
hervor. Die Übernahme soll
im ersten Quartal 2011 abgeschlossen
sein, wenn die Novell-Aktionäre
und die an der
Prüfung beteiligten Behörden
zustimmen.
n

Canonical verliert COO
Erst Anfang des Jahres im
Zuge von Mark Shuttleworth’
Rückzug aus dem Tagesgeschäft
zu Canonical gestoßen,
verlässt Chief Operating
Officer Matt Asay das Linux-
Unternehmen bereits wieder.
Die Entscheidung sei ihm sehr
schwer gefallen, schreibt Asay
in seinem Blog.
Doch die Aussicht, beim auf
HTML5 spezialisierten Startup
Strobe wieder in den Kontakt
mit Kunden zu treten und ein
Unternehmen Stück für Stück
aufzubauen, habe ihn zu sehr
gereizt: „Ich liebe es, knietief
in Kundenangelegenheiten zu
stecken.“ Bei Strobe werde
er in seinen Lieblingsressorts
Sales und Business Development
tätig sein.
Asay bezeichnet diesen Weggang
als schwierigste Entscheidung
seines Lebens. Noch nie
habe er ein Unternehmen, zumal
ein so aussichtsreiches,
nach so kurzer Zeit verlassen.
Zuvor war Asay vier Jahre bei
Alfresco. Jetzt tritt er einem
Startup bei.
Asay würde Canonical gerne
verbunden bleiben, was allerdings
CEO Jane Silber zu
entscheiden habe, schreibt er
in seinem Weblog. Die bedauert
den Weggang Assays und
sucht jetzt nach einem Nachfolger
für den am 17. Dezember
ausgeschiedenen COO. n
Google hostet Apache-Extras.org
Auf der neuen Hosting-Seite
Apache-Extras.org sollen jene
Apache-nahen Projekte ein
Zuhause finden, die nicht Teil
der offiziellen Apache-Projektfamilie
sein können. Das
hat die Apache Foundation
bekannt gegeben. Bei den Extras
soll alles Apache-relevante
seinen Platz finden, das weder
zu den Apache-Projekten
noch zu den Incubator-Projekten
noch zu den Apache-
Labs oder anderen Initiativen
gehört.
Die Extras-Projekte stehen
aber nicht unter der Ägide
der Apache Foundation: Sie
können jede beliebige Lizenz
und Prozess-Organisation verwenden.
Das heißt auch, dass
die Apache Foundation sich
von jeder Qualitätssicherung
lossagt. Dass ausgerechnet
Google jetzt eine solche Site
betreibt, lässt Spekulationen
zu, ob das Unternehmen um
die Anerkennung seiner vor
Kurzem als Apache-Projekt
vorgeschlagenen Wave-Software
bangt.
Die Apache Foundation lässt
dazu wissen, dass sie die neue
Plattform gut findet: „Je größer
der Pool der potenziellen
Beiträger ist, desto mehr Innovation
werden wir sehen“,
findet Ross Gardler, der Vice
President of Community Development
bei Apache. n
Zahlen & Trends 02/2011
Aktuell
www.linux-magazin.de
15
Anzeige
1. Lernen Sie!
Ja, ã training-on-the-jobÒ , oft praktiziert, aber nicht
Ÿ berzeugend. Denn die Kollegen haben nie Zeit
fŸ r echte ErklŠ rungen, au§ erdem werden ã NeueÒ
sofort von dem vereinnahmt, was im Unternehmen
schon seit Ewigkeiten tradiert wird. Warum gibt's
seit 2000 Jahren Schulen und UniversitŠ ten?
ã LERNENÒ ist eine vollwertige TŠ tigkeit, auf die
man sich konzentrieren mu§ , die man nicht 'mal
eben so nebenbei tun kann, und die immer auch
eine Prise ã ErneuerungÒ beinhalten sollte!
2. Ineffiziente Arbeit nicht akzeptieren!
Je spezialisierter Sie arbeiten, desto weniger
echte, fachliche Kollegen haben Sie in Ihrem eigenen
Unternehmen. Wir stellen deshalb Gruppen
zusammen, in denen Sie neben hilfsbereiten
Kollegen mit Š hnlichen Kenntnissen an IHREM
Projekt arbeiten. Und stŠ ndig ist ein fachlicher Berater
anwesend.
ã Guided CoworkingÒ nennen wir das, und es
kš nnte DIE Lš sung fŸ r so manches Projekt sein,
das in Ihrer Firma ã haktÒ .
3. Hintergrund
Wer den riesigen OpenSource-Baukasten schnell
beherrschen mu§ , geht zu einer unserer Ÿ ber 100
Schulungen. Wer das bereits kann, aber schneller
mit seinen Projekten vorankommen will, der
kommt mit seiner Arbeit zum Guided Coworking.
Wir sind eine der erfolgreichsten Schulungseinrichtungen
im gesamten Bereich ã OpenSourceÒ
- sowohl fŸ r Admins, als auch fŸ r Entwickler.
Siehe www.linuxhotel.de

Aktuell
www.linux-magazin.de Zahlen & Trends 02/2011
16
Who writes Linux? Kernel-Report 2010
In ihrem Jahresbericht über
die Beiträge zum Linux-Kernel
setzt die Linux Foundation Red
Hat auf Platz eins. Ihr Zah lenwerk
zu Kernel 2.6.35 [http://​
​www.​linuxfoundation.​org/​docs/​lf_
linux_kernel_development_2010.​pdf]
analysiert 33 335 Dateien und
rund 13,5 Millionen Zeilen
Code. Verglichen mit dem Vorjahresreport
gibt es einen
Rückgang bei den Beiträgen,
was aber dem Entwicklungszyklus
entspreche. Die Zahl
der Entwickler sei nur marginal
zurückgegangen.
Der Kernel 2.6.35 erfuhr 2010
täglich einen Zuwachs von
7896 Zeilen Code. 5037 Zeilen
verschwanden und 1802
Zeilen änderten sich. Dafür
verantwortlich sind 1187 Entwickler
und 184 Firmen. In
den letzten 5,5 Jahren steuerte
ein Drittel der Entwickler nur
genau ein Patch bei. Amüsiert
berichtet die Foundation, dass
Linus Torvalds mit insgesamt
886 Beiträgen nicht in den
Top-30 auftauche. Allerdings
fehlten die „Merge Commits“
in der Statistik.
n
Partnerschaft beim Cloud Computing
Red Hat und Eucalyptus haben
eine strategische Partnerschaft
über gemeinsame Entwicklungen
für Cloud Com puting
geschlossen. Ziel sei es, mit
Eucalyptus aufgebaute Clouds
über das offene API Delta cloud
anzusprechen. Auch soll Eucalyptus
teilweise über die Management-Tools
von RHEV, der
Virtualisierungslösung von
Red Hat, zu verwalten sein.
FSFE kritisiert EU-Kontrakt
Eucalyptus ist eine Cloud-
Implementierung, die weitgehend
kompatibel zu Amazons
EC2 ist. Bisher setzt vor allem
die Ubuntu-Distribution auf
Eucalyptus. Eucalyptus-Geschäftsführer
Marten Mickos
kündigt die fertige Deltacloud-
Implementierung für Mitte
2011 an. Betaversionen zum
Testen soll es aber schon früher
geben.
n
Gnome vervierfachte Spenden in 2009
Die Gnome Foundation hat –
kurz vor Toresschluss des Jahres
2010 – ihren aufwändig
gestalteten und bilderreichen
Jahresbericht des Gnome-Projekts
für 2009 vorgelegt.
Das ungefähr 50-seitige PDF
unter [http://​foundation.​gnome.​
​org/​reports/​gnome‐annual‐report‐​
2009.​pdf] ist von den Webseiten
der Gnome Foundation
ladbar, taucht aber nicht im
Bericht-Index auf.
2009 verzeichnete das Gnome-
Projekt demnach 40 527 Bugreports,
doch im Verlauf des
Schön und bilderreich: Gnomes Jahresbericht
2009.
Jahres konnten die Entwickler
fast ebenso viele schließen.
Als finanziellen Erfolg wertet
die Gnome-Foundation
die freien Spenden, die sich
auf 30 000 US-Dollar mehr als
vervierfacht haben. Das Marketingteam
hat es laut Bericht
geschafft, mit der Kampagne
„Friends of Gnome“ das Spendenvolumen
von 7000 Dollar
im Jahr 2008 auf 30 000 Dollar
im Jahr 2009 mehr als zu
vervierfachen. Das Advisory
Board habe sich trotz schwerer
wirtschaftlicher Zeiten bereit
erklärt, den eigenen Jahresbeitrag
zu erhöhen.
Vom Event- und Reiseteam
berichtet Stormy Peters, dass
es für 39 Gnome-Entwickler
die Reise zum Gnome-Summit
organisiert habe, dem im Jahr
2009 gemeinsam mit KDE
veranstalteten Gran Canaria
Desktop Summit. Schließlich
wird sich die Gnome Foundation
bald um einen Sysadmin
erweitern und damit von eineinhalb
auf zweieinhalb Mitarbeiter
anwachsen. n
Die Free Software Foundation
Europe (FSFE) findet harsche
Worte für einen von der EU-
Kommission abgeschlos senen
Rahmenvertrag über proprietäre
Software-Lieferungen
und -Services im Wert von
189 Millionen Euro.
Die Entscheidung, kritisiert
die FSFE, stehe im krassen
Gegensatz zu den eigenen Regeln
und Richtlinien, dass im
öffentliche Sektor offene und
Die Firma Salesforce wird den
Ruby-Hosting-Provider Heroku
für 212 Millionen US-Dollar
kaufen. Salesforce bietet bisher
Software zur Pflege von
Kundenbeziehungen (Customer
Relationship Management,
CRM) als kostenpflichtigen
Webdienst an.
Jüngst hatte Salesforce auch
den neuen Datenbank-Dienst
Database.com und eine Webanwendung
für Echtzeit-Geschäftskommunikation
namens
Chatter vorgestellt. Heroku
hat sich auf das Hosting
inter operable Produkte Verwendung
finden sollen.
Als schlechte Entscheidung
für Europa tituliert FSFE-
Präsident Karsten Gerloff
den Handel: Statt die Vorteile
freier Software zu nutzen, mache
sich die Kommission von
Herstellern abhängig. Wenn
sie selbst aufgestellte Richtlinien
wie die Digital Agenda
ignoriert, mache sie sich außerdem
unglaubwürdig. n
Salesforce kauft Ruby-Hoster Heroku
von Ruby-Anwendungen auf
der eigenen Cloud-Plattform
spezialisiert. Etliche Bibliotheken
[https://​github.​com/​heroku]
stellte Heroku der Ruby-Community
unter einer freien Lizenz
zur Verfügung.
Salesforce verbindet mit dem
Kauf von Heroku die Vision
einer „Cloud 2“, wie Salesforce-Manager
Marc Benioff
es nennt. Diese „nächste Ära
des Cloud Computing“ sei
„mobil, sozial und finde in
Echtzeit statt“, meint Benioff.
(ake/ mhu/ uba/ ofr) n

STRATO Pro
Server-Technik, die begeistert!
NEU!
Jetzt Server mit echten
Hexa-Core Prozessoren für:
Leistungsstarke
Dedicated Server
Vorkonfigurierte
Managed Server
Auf alle Hexa-Core Server
50% Rabatt
für die ersten 3 Monate!
Telefon: 0 18 05 - 00 76 77
(0,14 €/Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 €/Min.)
strato-pro.de

Aktuell
www.linux-magazin.de Kernel-News 02/2011
18
Zacks Kernel-News
RTC I: Echtzeituhr bedient mehrere Prozesse
Eine der Stärken von Linux
liegt in seiner Verfügbarkeit
für verschiedenste Hardware.
Immer wieder erscheinen
neue Ports für den wachsenden
Zoo an Plattformen. Dabei
geht es nicht nur darum,
den C-Quelltext einfach für
eine andere Architektur in
Maschinencode zu übersetzen
– die unterschiedlichen
Maschinen haben auch verschiedene
Features.
Die Aufgabe der Kernel entwickler
besteht also darin,
eine Abstraktion zu erfinden,
die diese ganzen Unterschiede
verbirgt und den Userland-
Programmen eine einheitliche
Schnittstelle bietet.
Ein gutes Beispiel dafür liefert
die Real-Time Clock (RTC).
Meist handelt es sich dabei
um eine batteriebetriebene
Echtzeituhr, die die Zeit auch
dann misst, wenn der Computer
ausgeschaltet ist.
Manche RTCs zählen einfach
die vergehenden Sekunden,
andere benützen sogar einen
Kalender. Manche können
Alarm auslösen, indem sie
Interrupt-Requests aussenden,
andere nicht. Manche
Modelle können einen Alarm
gerade mal für die nächsten
24 Stunden einplanen, andere
sogar für Jahrhunderte.
© Gennadiy Poznyakov, 123RF.com
Mit diesem schwierigen Hardware-Szenario
setzt sich der
IBM-Entwickler John Stultz
auseinander, der ein Patch
für den RTC-Code des Kernels
eingereicht hat. Konkret
hat er sich mit dem Problem
beschäftigt, dass bisher nicht
mehr als ein Prozess zugleich
die Real-Time Clock nutzen
kann. Die Schwierigkeit liegt
Der Zeitmesser des Computers: Auf dem Mainboard wird die Real-Time Clock
hauptsächlich durch ihre Batterie sichtbar.
darin, dass der Prozess ein
Lock auf die Datei »/dev/
rtc« anlegen muss, um den
gewünschten Alarm abzuwarten.
John setzt daher auf
eine Abstraktionsschicht zwischen
RTC und Userland. Die
Schicht, im Grunde ein Prozess,
überwacht die Echtzeituhr
und führt Buch über alle
Prozesse, die auf ihre Alarmsignale
warten. Tritt ein Alarm
auf, gibt die Zwischenschicht
ihn an den wartenden Prozess
weiter.
Bei all den bestehenden Hardware-Varianten
hätte John
eigentlich mit mehr Kritik
an seinem Patch gerechnet –
immerhin hatte er den Code
lediglich auf x86-Hardware
getestet. Doch das Echo der
Mailingliste war durchaus positiv.
Möglicherweise wird der
exklusive Zugriff auf »/dev/
rtc« bald der Vergangenheit
angehören.
n
RTC II: Vereinfachter Treiber aus dem Android-Projekt
Bei seiner Arbeit an der RTC-
Unterstützung ist John Stultz
auf einen Alarmtreiber im
Android-Quelltext gestoßen.
Der Code, unter [http://​android.​
​git.​kernel.​org] erhältlich, verhält
sich allerdings anders,
als es die Posix-Spezifikation
vorschreibt.
Der Android-Treiber weckt
das System aus dem Suspend,
wenn der eingestellte
Timer abläuft. Das tut auch
Johns Posix-konformer Code,
der allerdings anders vorgeht
und damit auch andere Vorund
Nachteile besitzt. Kurz
gefasst, der Android-Code ist
einfacher gestrickt, macht es
aber Userspace-Programmen
schwer, selbst die Echtzeituhr
zu nutzen.
John findet allerdings, die Einfachheit
des Android-Treibers
wiege seine Nachteile auf.
Daher würde er den Code
gerne im offiziellen Quelltext
des Kernels sehen. Zu diesem
Zweck nahm er zunächst einige
Änderungen vor, denn
der ursprüngliche Android-
Code hält sich nicht an die
Vorgaben des Torvalds’schen
Kernels. Dann schickte er
seine Patches an die Kernel-
Mailingliste. Dort gab es
kaum Kritik, lediglich Richard
Cochran von der Firma Omicron
machte einige technische
Anmerkungen.
Ob Johns Anpassungen in das
Android-Projekt zurückfließen
werden, ist unklar. Möglicherweise
übernehmen die Mobil-
Entwickler den Code aus dem
offiziellen Kernel, vielleicht
bleiben sie aber auch bei ihrer
eigenen Variante.
n

Premium Real-Time Mode
Der IBM-Entwickler Vernon
Mauery hat einen Echtzeittreiber
für den Premium Real-
Time Mode (PRTM) seines
Arbeitgebers eingereicht. Der
Treiber für IBMs System-X-
Hardware bietet eine Sys-FS-
Schnittstelle, um das System
in diesen Echtzeitmodus zu
versetzen.
Das Bios-Feature erlaubt es,
Userland-Code ohne Unterbrechung
durch System Management
Interrupts (SMI)
auszuführen. Damit können
Programme ohne die Sicherheits-
und Ressourcen-Beschränkungen
des Betriebssystems
auf die Hardware
zugreifen.
Im Premium Real-Time Mode
lassen sich Echtzeitanwendungen
ausführen oder Debugger
betreiben. Doch kann es dabei
auch zu spektakulären Sicherheitslücken
kommen.
Die Mailingliste nahm Vernons
Code mit allgemeinem
Wohlwollen auf. Vermutlich
wird er aber noch eigene
Maßnahmen treffen müssen,
um die Sicherheitsprobleme
der Sys-FS-Schnittstelle einzudämmen.
n
OptiMAlE
lEiStung
prO wAtt
Kernel-News 02/2011
Aktuell
www.linux-magazin.de
19
Staging-Dokumentation
AMD Opteron 4162 EE 6-Core
1,7 GHz / 2,0 GT/s / 75 W
AMD Opteron 4164 EE 6-Core
1,8 GHz / 2,0 GT/s / 75 W
AMD Opteron 4176 HE 6-Core
2,4 GHz / 6,4 GT/s / 75 W
AMD Opteron 4130 4-Core
2,6 GHz / 6,4 GT/s / 75 W
Andres Salomon, unter anderem
Debian-Entwickler, hat
die Dokumentation zum Staging-Verzeichnis
des Kernels
verbessert. In seinem Patch
für die Textdatei »Documentation/development-process/2.
Process« erläutert er, was „ich
selbst gern gewusst hätte,
als ich einen Treiber für Staging
an Greg Kroah-Hartman
schickte“.
Wie Andres schreibt, finden
sich unter »drivers/staging«
unfertige Treiber. Dort stehen
sie den Anwendern zum Gebrauch
und Testen zu Verfügung
und erreichen damit ein
breites Publikum. Gleichzeitig
signalisiert der Speicherort
aber auch, dass die Treiber
instabil und nicht für den Produktiveinsatz
bestimmt sind.
Stabilisieren sie sich, wandern
sie aus Staging in ein anderes
Treiber-Verzeichnis.
Die Anleitung ist also für jeden
brauchbar, der einen Treiber
in den Linux-Kernel bringen
möchte, der noch nicht die
Qualitätsanforderungen der
Kernel-Chefs erfüllt.
Manchmal landen Treiber aus
anderen Teilen des Kernels
aber im Staging-Verzeichnis,
um deren Maintainer eine
Mahnung zu schicken: „Kümmere
dich bald um Deinen
Treiber, sonst verschwindet
er ganz aus dem Kernel.“ In
anderen Fällen sind einzelne
Treiber so gut wie unentbehrlich
für Linux, dümpeln
aber trotzdem in Staging vor
sich hin. Dahinter stecken
Entwickler, die sich die Möglichkeit
offenhalten möchten,
das Treiber-API noch zu ändern.
So brauchen sie nicht
auf Rückwartskompatibilität
zu achten – ein Thema, das
schon oft zu heftigen Flame
Wars geführt hat.
Andres beschäftigt sich in seiner
Dokumentation nicht mit
den Konflikten in der Treiberentwicklung.
Seine Anleitung
bietet einfach eine leicht verständliche
Einführung. (Zack
Brown/ mhu)
n
AMD Opteron 4170 HE 6-Core
2,1 GHz / 6,4 GT/s / 75 W
AMD Opteron 4122 4-Core
2,2 GHz / 6,4 GT/s / 75 W
AMD Opteron 4174 HE 6-Core
2,3 GHz / 6,4 GT/s / 75 W
AMD Opteron 4180 6-Core
2,6 GHz / 6,4 GT/s / 75 W
AMD Opteron 4184 6-Core
2,8 GHz / 6,4 GT/s / 75 W
Zu finden im Happyware Onlineshop:
http://www.happyware.de/AMD-Opteron-4100/
OnlinE SErvEr KOnfiguriErEn
Wussten Sie schon? Im Happyware Onlineshop können Sie
auch gleich einen passenden Komplettserver mit
AMD Opteron 4100 Prozessoren konfigurieren.

Aktuell
www.linux-magazin.de InSecurity News 02/2011
20
InSecurity News
Glibc
Horde
Ein Programmierfehler in der
Glibc hat zur Folge, dass entfernte
Angreifer DoS-Attacken
durchführen können. Die
Schwachstelle befindet sich
in der Funktion »regcomp()«.
Eine Attacke bewirkt, dass die
Funktion viel Stack-Speicher
verbraucht und dann abstürzt.
Betroffen ist Version
2.12.1. [http:// securitytracker.
com/ ? id=1024832]
n
Ein Fehler im Horde Application
Framework versetzt entfernte
Angreifer in die Lage,
XSS-Attacken durchzuführen.
Ursache ist ein Fehler beim
Verarbeiten von HTML-Code
in Vcard-Attachments. Eine
manipulierte URL ermöglicht
die Attacke. Betroffen sind
Versionen vor 3.3.11. [http://
lists. horde. org/ archives/ announce/
2010/ 000574. html] n
Chrome
Ghostscript
In Googles Browser Chrome
haben Entwickler mehrere
Schwachstellen erspäht. Entfernte
Angreifer sind durch sie
in der Lage, Programme ihrer
Wahl mit Anwender-Rechten
oder DoS-Attacken auszuführen.
Eine manipulierte Webseite
ermöglicht die Attacke.
Ein weiteres Problem im
Browser umgeht den Pop-up-
Blocker. Betroffen sind Versionen
vor der 8.0.552.215.
[http:// googlechromereleases.blogspot.com/2010/12/stable-beta-chan
-
nel-updates.html]
n
Eine Schwachstelle im Backend
für Postscript und PDF
– Ghostscript – hat zur Folge,
dass ein entfernter Angreifer
Befehle mit den Rechten des
Anwenders ausführen darf.
Die Attacke ist mit einer manipuliert
konstruierten Fontdatei
möglich. Sobald der Anwender
sie lädt, löst das einen
Off-by-one Integer Overflow
der Funktion »Ins_MINDEX()«
in der Datei »libgs.so.8« aus.
Betroffen sind Versionen 8.7
und älter. [http:// securitytracker.
com/ ? id=1024785]
n
Tabelle 1: Sicherheit bei den großen Distributionen
Distributor Quellen zur Sicherheit
Bemerkungen
Debian Infos: [http://www.debian.org/security/] Das Debian-Projekt stellt aktuelle Security Advisories direkt auf die
Liste: [http://lists.debian.org/debian-security-announce/] Homepage und betreibt eine allgemeine Sicherheitsseite. Die
Betreff: [SECURITY] [DSA … 1)
Meldungen sind als HTML-Seiten mit Links zu den Updates realisiert.
Fedora Infos: [http://fedoraproject.org/wiki/Security] Beim Fedora-Projekt ist die Security-Info-Seite leider schwer zu finden.
Liste: [https://admin.fedoraproject.org/updates/]
Die Updates-Seite sammelt unter anderem Security Advisories und
Betreff: [SECURITY] Fedora … 1)
zeigt diese als HTML-Seiten, die zu den Update-Paketen verlinken.
Gentoo Infos: [http://www.gentoo.org/security/] Die Gentoo-Homepage verlinkt auf einen eigenen Bereich zu
Liste: [http://www.gentoo.org/security/en/glsa/index.xml] Sicherheitsthemen. Die Advisories liegen als HTML-Seiten vor, die als
Betreff: [GLSA … 1)
Codebeispiele zeigen, wie man das Patch einspielt.
Mandriva Infos: [http://www.mandriva.com/security/] Mandriva betreibt eine kleine Einstiegsseite zu Sicherheitsthemen.
Liste: [http://www.mandriva.com/security/advisories/] Diese verlinkt unter anderem zu den Security Advisories, die zwar als
Betreff: [Security Announce] [ MDVSA-… 1)
HTML-Seiten vorliegen, die Updates sind darin aber nicht verlinkt.
Open Suse Infos: [http://en.opensuse.org/Security] Die Sicherheitsseite im Open-Suse-Wiki informiert über Features und
Liste: [http://lists.opensuse.org/opensuse-security-announce/] Security-Updates. Das Advisory-Archiv ist als HTML ausgeführt,
Betreff: [security-announce] … 1)
die Texte verlinken direkt auf die Update-Pakete.
Red Hat Infos: [http://www.redhat.com/security/] Red Hat betreibt eine allgemeine Security-Info-Seite, bindet auf der
Liste: [http://www.redhat.com/security/updates/]
Homepage aber den Link zur Security-Update-Seite ein. Die Security
Betreff: [RHSA-… 1)
Advisories sind HTML-Seiten ohne Links zu den Updates.
Suse Infos: [http://www.novell.com/linux/security/] Die Sicherheitsseite enthält allgemeine Infos zum Thema. Novell listet
Liste: [http://www.novell.com/linux/security/advisories.html] die Security Advisories in einer eigenen Seite. Die Texte sind als HTML
Betreff: [suse-security-announce] … 1)
ausgeführt und verlinken direkt auf die Update-Pakete.
Ubuntu Infos: [https://help.ubuntu.com/community/Security] Das News-Menü der Startseite verlinkt zum Archiv der Security-
Liste: [http://www.ubuntu.com/usn/]
Mailingliste. Die Advisories darin sind Ascii-Text in einem HTML-Rahmen.
Betreff: [USN-… 1)
Die Updates sind folglich nicht verlinkt.
1)
Alle Distributoren kennzeichnen ihre Security-Mails im Betreff.

Open SSL
Wegen einer Sicherheitslücke
in der Kryptobibliothek Open
SSL sind entfernte Angreifer
in der Lage, DoS-Attacken
durchzuführen. Weiter ist
auch das Ausführen von Befehlen
mit höheren Rechten
möglich. Die Attacke auszulösen
gelingt durch das Senden
manipulierter Benutzerdaten.
Diese nutzen eine Race Condition
und einen Buffer Overflow
in den Parsing-Routinen
der TLS-Erweiterung aus.
Betroffen sind die Versionen
0.9.8f bis 0.9.8o, 1.0.0 und
1.0.0a. [http:// www. openssl. org/
news/ secadv_20101116. txt]
Eine weitere Schwachstelle
der Software erlaubt entfernten
Angreifern die Ciphersuite
herunterzustufen. Dies kann
zur Folge haben, dass die
Verbindung eine schwächere
Verschlüsselung verwendet
und so weitere Attacken vereinfacht.
Betroffen sind Versionen
vor 0.9.8q und 1.0.0
vor 1.0.0c.
In der J-PAKE-Implementation
von Open SSL steckt ebenfalls
ein Fehler, durch den Angreifer
den Shared-Secret-Key-Mechanismus
umgehen. Betroffen
sind Versionen vor 1.0.0c.
[.../ secadv_20101202. txt] n
Android
Aufgrund einer Sicherheitslücke
in Googles Betriebssystem
für mobile Geräte Android ist
ein entfernter Angreifer in
der Lage, an den Inhalt von
SD-Karten zu gelangen. Die
Attacke führt bereits dann
zum Erfolg, wenn Übeltäter
HTML-Seiten manipulieren.
Rufen Benutzer diese auf, so
lädt Android eine Datei auf
das Gerät herunter und führt
sie anschließend mit SD-Leserechten
aus. Betroffen ist Version
2.2 mit dem Codenamen
Froyo. [http:// thomascannon. net/
blog/ 2010/ 11/ android-data-stealing
-vulnerability/]
n
InSecurity News 02/2011
Aktuell
www.linux-magazin.de
21
Norton Mobile Security Beta für Android
CVS
Eine Schwachstelle in der
Sicherheitsapplikation Norton
Mobile Security Beta für
Android-Systeme lässt einen
entfernten Angreifer an die
Logdateien des Norton-Programms
gelangen.
Diese enthalten möglicherweise
sensible Information
über das System wie zum
Beispiel die Wipe- und Lock-
Benutzerdaten des Android-
Geräts. Betroffen ist Version
1.0 beta. [http:// symantec. com/
business/ security_response/securityupdates/detail.jsp?
fid=security_
advisory& pvid=security_advisory&
year=2010& suid=20101111_00] n
Eine Schwachstelle in CVS erlaubt
es entfernten Angreifern,
Code mit Anwender-Rechten
auszuführen. Die Attacke
gelingt mit einer manipulierten
RCS-Datei und löst einen
Heap Overflow aus. Betroffen
ist Version 1.11.23. [http://
securitytracker. com/ ? id=1024795] n
Realplayer
System Tap
Eine Lücke im Realplayer hat
zur Folge, dass entfernte Angreifer
Befehle mit den Rechten
des Anwenders ausführen
können. Die Attacke ist mit
Hilfe einer speziellen Median-
Datei möglich. Diese muss
eine manipulierte Image-Map
enthalten. Das Laden der
Datei löst dann einen Buffer
Overflow im Realplayer aus.
Betroffen sind Versionen 1.1.5
und älter. [http:// securitytracker.
com/ ? id=1024738]
Die Abspielsoftware für diverse
digitale Medien enthält
noch eine Reihe weiterer
Schwachstellen. Sie haben
alle den Effekt, dass ein entfernter
Angreifer Programmcode
mit den Rechten des
Anwenders ausführen darf.
Entsprechende Attacken sind
über spezielle Realplayer-
Inhalte möglich. Betroffen
sind Versionen vor 14.0.0.
[http:// service. real. com/ realplayer/
security/ 12102010_player/ en/] n
System Tap enthält zwei
Bugs, die lokalen Angreifern
höhere Rechte auf dem System
zuerkennen oder die zu
DoS-Attacken einladen. Das
Problem besteht darin, dass
der »staprun«-Prozess Umgebungsvariablen
falsch prüft,
bevor er »modprobe« ausführt.
So gelangen Angreifer an höhere
Rechte und entfernen
womöglich nicht benötigte
Module. [http:// securitytracker.
com/ ? id=1024754]
n

Aktuell
www.linux-magazin.de InSecurity News 02/2011
22
Tomcat
Eine Schwachstelle in Apaches
Tomcat-Manager lässt entfernte
Angreifer XSS-Attacken
durchführen. Sie gelingen mit
Hilfe einer konstruierten URL.
Ursache sind Eingabekontrollfehler
beim Verarbeiten der
Variablen »orderBy« und »sort
request« in der Datei »session-
List.jsp«. Nutzt der Angreifer
das aus, erhalten seine Anfragen
einen anderen Sicherheitskontext.
Durch den erhält er
Zugriff auf sensible Daten wie
etwa Cookies mit Session-IDs.
Betroffen sind die Versionen
6.0.12 bis 6.0.29 und 7.0.0 bis
7.0.4. [http:// securitytracker. com/
? id=1024764] n
Jboss
Schwachstellen der Jboss
Enterprise Application Platform
erlauben es entfernten
Angreifern, Code mit Server-
Rechten auszuführen. Weiter
sind DoS- und Cross-Site-Forgery-Attacken
möglich. Die
Angriffe erfolgen mittels spezieller
Benutzereingaben. Betroffen
davon ist die Version
4.3.0. [https:// rhn. redhat. com/
errata/ RHSA-2010-0938. html]
Ein weiterer Bug macht Jboss
verwundbar für DoS-Attacken
entfernter Angreifer, wenn der
spezielle Daten an den Jboss
Remoting Listener sendet. Betroffen
ist Version 4.3.0. [.../
RHSA-2010-0964. html] n
Bind
Sicherheitslücken in Bind
führen dazu, dass entfernte
Angreifer DoS-Attacken reiten
können. Ein Problem besteht
darin, dass der Server bestimmte
Arten negativer DNS-
Antworten in seinem Cache
ablegt, sie aber nicht wieder
entfernt. Stellt der Angreife
sehr viele Anfragen, bringt er
damit den Nameserver zum
Absturz.
Betroffen sind die Versionen
9.0.x bis 9.7.2-P2, 9.4-ESV bis
9.4-ESV-R3 sowie 9.6-ESV bis
9.6-ESV-R2. [http:// www. isc. org/
software/ bind/ advisories/ cve-2010
-3613], [... / cve-2010-3614] sowie
[... / cve-2010-3615] n
Wireshark
Ein Programmfehler in Wireshark
lässt entfernte Angreifer
DoS-Attacken durchführen.
Der Buffer Overflow tritt im
Code zur Analyse von LDSS-
Daten auf. Manipulierte Daten
auf dem untersuchten Netz
lösen ihn aus. Betroffen sind
Versionen 1.2.0 bis 1.2.12
und 1.4.0 bis 1.4.1. [http://
www. wireshark. org/ security/ wnpa
-sec-2010-13. html]
Ähnliche Probleme bereiten
ZCL-Daten von Zig Bee.
Durch sie zwingt der Angreifer
den Netzanalysator in eine
Endlosschleife. Betroffen sind
Versionen 1.4.0 bis 1.4.1. [.../
wnpa-sec-2010-14. html] n
Tabelle 2: Linux-Advisories vom 12.11.2010 bis 17.11.2010
In Zusammenarbeit mit dem DFN-CERT
Zusammenfassungen, Diskussionen und die vollständigen Advisories sind unter [http:// www. linux-magazin. de/ dfncert/ view/ID] zu finden.
ID Linux Fehlerhafte Software
56369 Suse Sammeladvisory
56380 Mandriva Freetype
56385 Fedora Freetype
56388 Red Hat Pidgin
56389 Red Hat Freetype
56390 Fedora Mod_fcgi
56391 Fedora Cups
56392 Red Hat Kernel
56393 Red Hat PAM
56397 Red Hat Open Swan
56398 Generisch Open SSL
56400 Generisch Reader, Acrobat
56442 Mandriva Open SSL
56443 Fedora PAM
56444 Red Hat Thunderbird
56447 Red Hat Systemtap
56448 Red Hat Systemtap
56460 Mandriva Perl-CGI
56468 Fedora Systemtap
56491 Fedora Freetype
56492 Fedora Open SSL
56506 Fedora Gif2png
56510 Fedora Libtlen
56511 Fedora Mingw32
56513 Fedora Cups
56514 Debian Open SSL
56519 Fedora DHCP
56520 Fedora Clam AV
56521 Fedora Clam AV
56532 Red Hat Kernel
56533 Fedora Bzip2
56534 Red Hat PostgreSQL
56536 Fedora Libtlen
56552 Fedora Suricata
56554 Mandriva Gnucash
56555 Fedora Udunits2
ID Linux Fehlerhafte Software
56558 Mandriva Mono
56583 Fedora Dracut
56584 Fedora Udev
56608 Debian Wireshark
56609 Mandriva Wireshark
56624 Red Hat CVS
56625 Fedora Open Connect
56626 Fedora Libvpx
56628 Mandriva Libxml2
56688 Debian Kernel
56689 Suse Sammeladvisory
56699 Red Hat DHCP
56700 Red Hat Wireshark
56701 Mandriva Kerberos
56702 Red Hat Kerberos
56703 Red Hat Kerberos
56704 Mandriva Kerberos
56720 Debian Libxml2
56721 Debian Kerberos
56723 Red Hat Kernel
56724 Fedora Kernel
56725 Red Hat Reader
56728 Red Hat MRG
56731 Fedora Iced Tea
56732 Fedora Kdenetwork
56758 Fedora Udev
56778 Mandriva Kernel
56779 Fedora Kernel
56796 Red Hat Quagga
56797 Red Hat KVM
56885 Red Hat Apache
56887 Fedora Dnsperf
56888 Fedora Clam AV
56889 Fedora Bind-dyndb-ldap
56890 Fedora Bind
56891 Fedora Bare FTP
ID Linux Fehlerhafte Software
56894 Fedora Kernel
56895 Mandriva Clam AV
56922 Fedora Kerberos
56923 Suse Acrobat, Reader
56925 Fedora Bind
56926 Suse Sammeladvisory
56944 Mandriva Open SSL
56946 Red Hat Thunderbird
56947 Red Hat Kernel
56948 Red Hat Firefox
56949 Red Hat Thunderbird
56950 Red Hat Seamonkey
56968 Fedora Open SSL
56969 Mandriva Firefox
56970 Fedora Thunderbird
56989 Fedora Thunderbird
56990 Red Hat Open SSL
56991 Red Hat Open SSL
56992 Red Hat Exim
56993 Debian Exim
56994 Suse Exim
56996 Debian XUL Runner
56998 Fedora Mozilla
56999 Red Hat Open SSL
57000 Fedora Kerberos
57004 Debian Bind
57005 Red Hat Bind
57006 Red Hat Bind
57009 Debian Collectd
57010 Mandriva Perl-CGI-Simple
57011 Fedora Fontforge
57012 Fedora Open TTD
57041 Mandriva Bind
57042 Fedora Xfig
57043 Mandriva Perl-CGI-Simple
57044 Mandriva PHP Intl

WEBHOSTING · SCHULUNGEN · SUPPORT
Speziell optimiert für
Joomla!, TYPO3, WordPress, Magento...
Bereits ab 4,99 Euro pro Monat *
Die Tarifneuheit für professionelles CMS Webhosting
Die Webhostingtarife 5.0 von Mittwald CM Service bieten jetzt noch mehr Leistung für Ihre Internetseiten.
Die optimierten Hostingumgebungen erfüllen alle Anforderungen moderner Webanwendungen.
!
Einfache Versionsupdates Ihrer Webanwendungen
Proaktive Softwaresicherheit
Tägliche Datensicherung bis zu 4 Wochen verfügbar
Innovative Wiederherstellungs-Technologie
Jetzt
30 Tage
kostenlos und
unverbindlich
testen!
Kompetenter Softwaresupport
Business Hosting 5.0 Profi Hosting 5.0
Managed Server 5.0
Der kostengünstige CMS Einstieg:
ideal geeignet für kleine und
mittlere Webseiten
Bis zu 10 GB Speicherplatz
und 100 GB Transfervolumen
Einfache Installation und Updates
Ihrer CMS und Webanwendungen
Über 20 Content Management
Systeme und Webanwendungen
verfügbar
Tägliche Datensicherung:
bis zu 1 Woche verfügbar
Garantierte Hostingleistung für
professionelle CMS Projekte:
optimal für Unternehmen,
Institutionen und Vereine
Bis zu 4 Prozessorkerne
und 2 GB Arbeitsspeicher
Bis zu 100 GB Speicherplatz
und 500 GB Transfervolumen
Höchste Sicherheit durch eigene
IP Adresse und SSL Zertifikat
Tägliche Datensicherung:
bis zu 4 Wochen verfügbar
NEU: Jetzt mit 300%
Magento
Performance für Ihr E-Commerce
Maximale Leistung durch
dedizierte Markenhardware
von Hewlett Packard und Intel
Bis zu 16 Prozessorkerne
und 128 GB Arbeitsspeicher
Umfangreiche Managed Services:
Monitoring, Administration,
Optimierung, Sicherheitsupdates
Tägliche Datensicherung:
bis zu 4 Wochen verfügbar
bereits ab 4,99 € netto pro Monat* bereits ab 34,99 € netto pro Monat* bereits ab 129,- € netto pro Monat*
Alle Angebote richten sich ausschließlich an Gewerbetreibende.
*Die einmalige Einrichtungsgebühr für die Business und Profi Hostingpakete 5.0 beträgt 29,- € zzgl. MwSt., für die Managed Server 5.0 149,- € zzgl. MwSt. Die Vertragslaufzeiten und Abrechnungszeiträume betragen für
die Business Hostingpakete 5.0 zwischen 6 und 12 Monate, für die Profi Hostingpakete 5.0 zwischen 3 und 6 Monate und für die Managed Server 5.0 zwischen 12 und 36 Monate. Automatische Vertragsverlängerung um die
jeweilige Vertragslaufzeit, wenn der Vertrag nicht mit einer Frist von 30 Tagen zum Ende der jeweiligen Vertragslaufzeit gekündigt wird. Alle Angebote richten sich ausschließlich an Gewerbetreibende. Alle genannten Preise
verstehen sich monatlich zzgl. MwSt.
Wir beraten Sie gerne! Rufen Sie uns an.
✆ 0800 / 440 3000 oder besuchen Sie uns im Internet: www.mittwald.de

Aktuell
www.linux-magazin.de InSecurity News 02/2011
24
PHP
Eine Sicherheitslücke in PHP
führt dazu, dass ein entfernter
Angreifer DoS-Attacken
durchführen kann. Der Programmierfehler
steckt sich in
der IMAP-Erweiterung »ext/
imap/php_imap.c«.
Manipulierte IMAP-Benutzernamen
oder Passwörter lösen
das Problem aus. Es handelt
sich um eine doppelte Freigabe
von Speicherbereichen,
die die Applikation zum Absturz
bringt. Unbestätigt ist,
ob auch das Ausführen von
Wordpress
Programmcode damit möglich
ist. Betroffen sind die Versionen
5.2.14 und 5.3.3. [http://
securitytracker. com/ ? id=1024761]
Ein weiterer Eingabekontrollfehler
in PHP erlaubt einem
entfernten Angreifer XSS-Attacken
durchzuführen. Weiter
sind auch SQL-Injection-Attacken
möglich.
Der Programmierfehler befindet
sich in der Funktion
»utf8_decode()«. Betroffen
sind Versionen 5.3.3 und älter.
[.../? id=1024797] n
Mozilla
Die Mozilla-Entwickler haben
einige Schwachstellen
entdeckt: Entfernte Angreifer
können im Firefox Code ausführen,
indem sie konstruierte
HTML-Seiten anbieten und
von ihren Opfern besuchen
lassen. Betroffen sind Versionen
3.5 vor 3.5.16 und 3.6 vor
3.6.13. [http:// securitytracker.
com/ ? id=1024848]
Von ähnlichen Problemen ist
auch Thunderbird 3.0 vor
3.0.11 und 3.1 vor 3.1.7 betroffen.
[... / ? id=1024846]
Eine weitere Sicherheitslücke
im Firefox erlaubt einem entfernten
Angreifer die Location-
Bar des Browsers zu fälschen.
Betroffen sind Versionen 3.5
vor 3.5.16 und 3.6 vor 3.6.13.
[http:// www. mozilla. org/ security/
announce/ 2010/ mfsa2010-83. html]
Die Code-Reviews haben außerdem
ergeben, dass der
Schutzmechanismus vor XSS-
Attacken einen Fehler enthält.
Verwendet der Angreifer eine
manipulierte Version der Zeichensätze
»x-mac-arabic«,
»x-mac-farsi« oder »x-mac-hebrew«,
erlaubt ihm dies, den
Mechanismus zu umgehen.
Betroffen sind Versionen 3.5
vor 3.5.16 und 3.6 vor 3.6.13.
[.../ mfsa2010-84. html] n
Aufgrund eines Fehlers in
Wordpress ist ein entfernter
angemeldeter Angreifer in
der Lage, SQL-Befehle auszuführen.
Ursache ist ein Programmierfehler
in der Funktion
»do_trackbacks()« des
Skripts »wp-includes/comment.php«.
Für die Attacke
benötigt der Angreifer »publish_posts«-
und »edit_published_posts«-Rechte.
Betroffen
sind Versionen vor 3.0.2.
[http:// wordpress. org/ news/ 2010/ 11/
wordpress-3-0-2/]
Eine weitere Sicherheitslücke
in Wordpress hat ebenfalls
zur Folge, dass ein entfernter
angemeldeter Angreifer unberechtigt
Posts anderer Benutzer
manipuliert. Ursache
ist ein Programmierfehler im
XML-RPC Publishing Interface.
Betroffen sind die Versionen
vor 3.0.3. [http:// codex.
wordpress. org/ Version_3. 0. 3] n
MRG
Sicherheitslücken in Red Hat
Enterprise MRG Messaging
und Grid haben zur Folge,
dass ein lokaler Angreifer höhere
Rechte erlangen kann.
Der Angreifer ist in der Lage,
Jobs mit den Rechten anderer
Nicht-Root-Benutzer auszuführen.
[https:// rhn. redhat. com/
errata/ RHSA-2010-0921. html] n
Kernel
Ein Kernelbug hat zur Folge,
dass lokale Angreifer DoS-
Attacken reiten können. Der
Programmierfehler befindet
sich in der Funktion »inotify_
init()« und erlaubt ihr sehr
viel Speicher zu verbrauchen.
Betroffen sind Releases bis zu
2.6.36.1. [http:// securitytracker.
com/ ? id=1024788]
n
Angeblich FBI-Backdoor in Open BSD
Seit Dezember herrscht unter Open-BSD-Entwicklern Aufruhr: Gregory
Perry, ein ehemaliger Entwickler des Projekts, behauptet, vor rund zehn
Jahren habe das FBI versucht über Open-Source-Entwickler eine Backdoor
in den VPN- und Firewall-Code einzuschleusen [http://ezlx.de/L1a1]. Er
selbst sei damals bei einem Unternehmen beschäftigt gewesen, das diese
Aktivitäten im Auftrag der US-Polizeibehörde koordiniert hätte.
Er bezichtigte insbesondere einen weiteren Entwickler, Jason L. Wright,
diese Aktivitäten geleitet zu haben, legte aber keinen konkreten Nachweis
dafür vor. Die Anschuldigungen erhebe Perry erst jetzt, da er zuvor
durch eine zehn Jahre währende Verschwiegenheitsklausel gebunden sei,
erklärte er gegenüber Open-BSD-Chef Theo de Raadt.
Der veröffentlichte zwar die ursprünglich ihm persönlich zugestellte
Nachricht, wollte den Wahrheitsgehalt der Anschuldigungen jedoch weder
bestätigen noch dementieren. Der beschuldigte Wright seinerseits hat
den Ausführungen von Perry unmittelbar widersprochen [http://ezlx.
de/L1a2]. Seither diskutiert die Open-BSD-Community, ob es möglich
sei, Code mit Backdoors in das Betriebssystem einzuschleusen. Genua,
eines der Unternehmen, das Open BSD in seinen Produkten einsetzt,
teilte dem Linux-Magazin auf Anfrage mit, dass es gegenwärtig den mit
CVS verwalteten Code nach möglichen Backdoors, Covert Channels oder
Side-Channel-Attacken untersucht – bislang ohne Befund.
Auswirkungen auf Open Source
Anwender von Open Source wie auch proprietärer Software können sich
nur auf Indizien verlassen: Es scheint denkbar, dass Nachrichtendienste,
Wettbewerber oder Strafverfolgungsbehörden versuchen an zentraler
Stelle Code ihrer Wahl einzuschleusen – Belege gibt es dafür jedoch nur
selten. So ebbte die erhitzte Diskussion um den Bundestrojaner mittlerweile
wieder ab.
Die in der Diskussion geäußerte Vorstellung, dass diese Organisationen
Code einbringen, der eine Rootshell liefert oder ein Master-Passwort
implementiert, wäre naiv. Wahrscheinlicher wären etwa Änderungen, die
die Schlüsselstärken reduzieren, um dann mit der geballten Rechenkraft,
über die diese Organisationen verfügen, Ciphertexte zu dekodieren.

Ralf Mader,
Qualitätssicherung
„Qualitätssicherung bei
Krenn ist ein frustrierender
Job. Man findet einfach
keine Fehler.“
Thomas Krenn steht für höchste Qualität:
Von der Server-Bestellung bis zur Auslieferung
ist der gesamte Prozess darauf
ausgerichtet, Fehler gar nicht erst zu
ermöglichen. Und um auf Nummer sicher
zu gehen, wird jeder Server noch einmal
von uns getestet, bevor wir ihn verschicken.
Server individuell konfigurieren unter 08551 9150-0 oder www.thomas-krenn.com

Aktuell
www.linux-magazin.de InSecurity News 02/2011
26
Neue Releases
USBsploit: Proof-of-Concept
einer Reverse-TCP-Backdoor.
[http:// packetstormsecurity. org/
files/ view/ 96713/ usbsploit-0. 5
-BETA-linux-i686. tar. gz]
Dns2tcp: Tool zum Tunneln
von TCP-Verbindungen über
DSN-Netzwerkdaten. [http://
www. hsc. fr/ ressources/ outils/
dns2tcp/ index. html. en]
Xen
Eine Sicherheitslücke in der
Virtualisierung Xen führt
dazu, dass ein lokaler Angreifer
DoS-Attacken durchführen
kann. Dies hat zur Folge, dass
die meisten »xm«-Befehle nicht
mehr funktionieren. [http://
xenbits. xensource. com/ linux-2. 6. 18
-xen. hg? rev/ 59f097ef181b] n
MIT Kerberos
In der MIT-Kerberos-Applikation
wurden mehrere Schwachstellen
entdeckt. Dadurch
kann ein entfernter Angreifer
Signaturen und Prüfsummen
fälschen. Betroffen sind Versionen
5-1.7 und 5-1.8. [http://
web. mit. edu/ kerberos/ advisories/
MITKRB5-SA-2010-007. txt] n
Pidgin
Eine Sicherheitslücke im Pidgin-Client
erlaubt es einem
entfernten Angreifer, DoS-
Attacken auszuführen. Das
Problem tritt beim Verarbeiten
von »X-Status«-Nachrichten
auf. Betroffen sind Versionen
vor 2.7.2. [http:// www.
securityfocus. com/ bid/ 41881] n
Enterprise Virtualization Manager
Open Swan
Aufgrund einer Lücke im Red
Hats Enterprise Virtualization
Manager ist ein lokaler Angreifer
in der Lage, höhere
Rechte auf dem System zu erlangen.
Ursache ist eine Race
Condition in dem Plugin, das
das Simple Protocol for Independent
Computing Environments
(Spice) implementiert.
Die Attacke ist mittels einer
vom Angreifer installierbaren
Named Pipe möglich, die Benutzerdaten
zwischen Plugin
und Spice-Client abfängt.
Betroffen sind Versionen vor
2.2.4. [https:// rhn. redhat. com/
errata/ RHSA-2010-0818. html] n
Im VPN Open Swan haben
Entwickler Sicherheitslücken
entdeckt. Sie haben zur Folge,
dass entfernte angemeldete
Angreifer Befehle mit den
Rechten des Anwenders ausführen
können. Auch sind
DoS-Attacken dadurch möglich.
Ursache ist eine Buffer-
Overflow-Schwachstelle, die
beim Verarbeiten bestimmter
Gateway-Datenpakete auftritt.
Die so konstruierten Pakete
müssen spezielle Werte für
die Parameter »cisco_dns_
info«, »cisco_domain_info«
oder »cisco_banner« enthalten.
Betroffen sind die Versionen
2.6.25 bis 2.6.28. [http://
www. openswan. org/ download/ CVE
-2010-3302/ CVE-2010-3302. txt] sowie
[.../ CVE-2010-3308. txt] n
DHCP
Aus einer Sicherheitslücke
in ISC DHCP folgt, dass ein
entfernter Angreifer DoS-Attacken
ausführen kann. Die
Attacke gelingt beim Senden
Kurzmeldungen
Dot Net Nuke 5.05.01: Eingabekontrollfehler
beim Verarbeiten
von URLs, XSS-Attacken sind möglich.
[http:// www. procheckup.
com/ vulnerability_manager/ vulne -
rabilities/ pr10-19]
IBM Lotus Mobile vor 6.1.4: Fehler
beim Verarbeiten von HTML-
Daten, XSS-Attacke möglich.
[http:// www-01. ibm. com/ support/
docview. wss? uid=swg27020327]
Git bis 1.7.3.3: Eingabekontrollfehler
im Skript »gitweb/gitweb.
perl«, XSS-Attacke möglich.
[http:// git. kernel. org/ ? p=git/ git.
git;a=commit;h=3017ed62f47ce14
a959e2d315c434d4980cf4243]
spezieller Netzwerkdatan an
den Server. Betroffen sind die
Versionen 4.2 vor 4.2.0-P2.
[https:// www. isc. org/ software/ dhcp/
advisories/ cve-2010-3616] n
PHP My FAQ 2.6.11 und 2.6.12
(zwischen 4. und 15. Dezember):
Quelltext enthält Backdoor, entfernte
Angreifer führen Code mit
höheren Rechten aus. [http:// www.
securityfocus. com / bid/ 45442]
PHP Myadmin 3.3.8.1 und 2.11.11.1:
Fehler beim Verarbeiten von Benutzerdaten,
XSS-Attacke möglich.
[... / bid/ 45100]
Helix Server 14.0.1.571: Schwachstelle
im Administrations-Interface,
Cross-Site-Request-Forgery-
Attacke möglich. [... / bid/ 45340]
Python Paste vor 1.7.4: Eingabekontrollfehler,
XSS-Attacke möglich.
[... / bid/ 41160]
Exim
Ein Buffer Overflow in Exim
erlaubt entfernten Angreifern
Code mit Anwender-Rechten
auszuführen. Er tritt in der
Funktion »string_format()«
auf und lässt sich durch eine
E-Mail mit speziellem Header
auslösen. Betroffen sind
Versionen vor 4.70. [http://
securitytracker. com/ ? id=1024858]
Xfig
Aufgrund eines Fehlers in
Xfig ist ein entfernter Angreifer
in der Lage, Befehle mit
den Rechten des Anwenders
auszuführen. Ursache ist ein
Buffer Overflow, der beim
Eine weitere Lücke versieht
lokale Angreifer mit Root-
Rechten, wenn Systeme die
Option »ALT_CONFIG_ROOT_
ONLY« aktivieren. So darf der
Angreifer eine spezielle Konfigurationsdatei
erzeugen, mit
der er eigenen Code ausführt.
Betroffen sind Versionen bis
4.72. [... / ? id=1024859] n
Verarbeiten von speziellen
Farbeinträgen in Dateien der
Endung »fig« auftritt. Betroffen
ist Version 3.2.5. [http://
www. securityfocus. com/ bid/ 45177]
(M. Vogelsberger/mg) n

Versionen mit raffinierten Features und Trends zu schnellen NoSQL-Systemen
Datenbanken 2011
Einführung 02/2011
Titelthema
Frischkost gibts für Datenbank-Anwender, seit MySQL, PostgreSQL, Ingres und Firebird neue Versionen aufgelegt
haben. Neu mischt MySQL-Fork Maria DB mit. Revolutionäres Verweigern von SQL ist das Kennzeichen
von Redis, Riak und Cassandra. Die replizierende Couch DB komplettiert den Magazin-Schwerpunkt. Nils Magnus
www.linux-magazin.de
27
Inhalt
28 Datenbank-Vergleich
Neue Features: MySQL, PostgreSQL,
Ingres und Firebird im Vergleich mit
Oracle 11g.
36 Maria DB
Was taugt die MySQL-Alternative?
38 PostgreSQL 9.0
Die neue Version bringt asynchrone
Replikation und Hochverfügbarkeit.
42 NoSQL
Redis, Riak und Cassandra: Neuartige
Datenbanken sorgen für Speed.
52 Couch DB
Die Dokumenten-basierte Datenbank
Couch DB kann jetzt replizieren.
Eine Lingua Franca zu sein haben
schon viele Formate von sich behauptet.
Bei SQL trifft das aber tatsächlich zu.
Die Datenbank-Geschichtsforschung
nennt meist 1975 als Geburtsjahr der
Abfragesprache, die damals SEQUEL
hieß. 35 Jahre sind gleichwohl eine sehr
lange Spanne in der IT, und in der Zwischenzeit
haben sich die Informationsspeicher
erheblich weiterentwickelt. Da
gibt es zusätzliche Typen, trickreichere
Suchmöglichkeiten, effizienteres Ablegen
der Daten auf Speichern, verbesserte
Ausfallsicherheit und vieles mehr.
Der Artikel ab Seite 28 vergleicht die
Features und Stärken der vier populärsten
freien Datenbanken MySQL, PostgreSQL,
Ingres, Firebird mit dem proprietären
Schwergewicht Oracle.
Einigkeit herrscht unter Anwendern,
dass sich die einzelnen Softwareprodukte
hinsichtlich ihrer Ausstattung erheblich
unterscheiden. Interessant, was
das für Auswirkungen im Laufe der Entwicklung
einzelner Produkte hatte. Das
gilt besonders für das Beispiel MySQL:
Das RDBMS trat gleich zu Beginn seiner
Entwicklung mit dem Mut zur Lücke
an: Transaktionen? Haben wir nicht! Referenzielle
Integrität? Wer braucht das
schon! Subqueries? Irgendwann vielleicht.
Vor zehn Jahren wurden die Entwickler
für diese Haltung oft belächelt.
Echte Datenbanken hatten einfach diese
Funktionen zu haben.
Übersehen hatten diejenigen, die mit
dem Finger zeigten, dass nur wenige die
mit hohem Aufwand erforschten und
implementierten Eigenschaften tatsächlich
benötigen. Dann änderte eine neue
Klasse von Anwendungen, nämlich die
Webapplikationen, das Anforderungsprofil
an Datenbanken radikal: Nun war
es wichtig, eine überschaubare Menge
an Daten einfach, zuverlässig und kostengünstig
zu verwalten. Mit diesem
Ansatz gewann MySQL viele Freunde.
Alle gegen alle
Mit dem Kauf durch Sun und dann
Oracle, das geradezu für die entgegengesetzte
Strategie steht, zweifeln einige
Anwender, ob der neue Eigner den alten
Weg fortsetzt oder froh ist, einen lästigen
Wettbewerber besser unter Kontrolle
zu haben. Der Artikel „Vertraut
und doch neu“ ab Seite 36 untersucht,
ob und wie Entwickler rund um MySQL-
Urvater Widenius mit ihrem Fork Maria
DB an alte Werte anknüpfen.
Seine Werte hat PostgreSQL nie aufgegeben:
Es steht jeher für solide, leicht
akademische und daher stets etwas hinterherlaufende
Technik. Das Image will
Version 9, beschrieben ab Seite 38, nun
abschütteln und verweist dazu auf Neuerungen
wie Streaming Replication und
erweiterte Sicherheitsfunktionen.
Diesen Engines ist die Schnittstelle SQL
gemein, die sich als Fluch wie Segen er-
weist: Ihre Universalität erkauft sie sich
durch bisweilen ungelenke Konstrukte:
In reinem SQL Graphen zu durchsuchen
oder gar einen transitiven Abschluss zu
finden, gerät kompliziert – wenn nicht
unmöglich. Wer nur eine Tabelle mit einem
Schlüssel nach wenigen Attributen
durchsucht, braucht viele hoch komplexen
Eigenschaften gar nicht.
Hier tritt eine neue Generation auf,
die bewusst mit der Tradition bricht
und sich provokativ unter dem Banner
„NoSQL“ versammelt. Dabei unterscheiden
sich ihre Vertreter erheblich voneinander.
Der Artikel „Frischer Wind“ ab
Seite 42 untersucht stellvertretend die
drei Projekte Redis, Riak und Cassandra.
Beachtung hat zuletzt Couch DB gefunden,
da das schlanke System sowohl im
Online- wie dem Offlinebetrieb glänzt.
Der Artikel ab Seite 52 beschreibt den
verteilten Ansatz.
Der Schwerpunkt widerlegt, dass Datenbanken
als nützlich, aber langweilig
gelten, und zeigt, dass es über »SELECT
* FROM table;« noch viel mehr zu entdecken
gibt.
n

Titelthema
www.linux-magazin.de Datenbankvergleich 02 /2011
28
Neues bei MySQL, PostgreSQL, Ingres, Firebird und Oracle
Schöne neue Bank
Im vergangenen Herbst legten die freien Datenbanken MySQL, PostgreSQL, Ingres und Firebird neue Releases
mit einer ganzen Latte Neuerungen auf. Dieser Überblick hilft die Systeme mit den eigenen Anforderungen
abzugleichen und zu klären, ob sich gar das teure Oracle lohnt. Bernd Erk, Jan Kleinert, Peter Kreußel
In den Jahren 2004 bis 2008 hat aber auch
MySQL von anderen Systemen schon länger
bekannte Features übernommen, etwa
Prepared Statements, Stored Procedures
sowie Trigger und Views. Unter der Ägide
von Sun lieferte Version 5.1 Partitionierung,
Event-Scheduler und zeilenbasierte
Replikation, außerdem ein Plugin-API,
das Storage-Engines zur Laufzeit lädt,
sowie tabellenbasierte Serverlogs. Eine
Performance Schema genannte Pseudo-
Storage-Engine erlaubt den Zugriff auf
Performancedaten über Abfragen.
© elcabron, 123RF.com
Die Redewendung „Drum prüfe, wer
sich ewig bindet…“ stammt natürlich
nicht aus der Datenbankentwicklung.
Doch auch in diesem unromantischen
Zusammenhang gilt: Bindung an eine so
unternehmenskritische Komponente ist
von eher langfristiger Natur, denn das
„S“ in SQL steht nach gängiger Interpretation
nicht für „Standardized“, sondern
„Structured“.
Kein Standard
Ein Wechsel der Datenbank-Engine setzt
also, allen Standardisierungs-Bemühungen
für SQL zum Trotz, auch umfangreichere
Anpassungen der Befehle voraus,
über die eine Anwendung mit der Datenbank
kommuniziert. Als Hilfestellung bei
der keineswegs einfachen Wahl vergleicht
dieser Artikel die aktuellen Highlights
von MySQL, PostgreSQL, Ingres, Firebird
und Oracle und trägt zudem deren Neuerungen
seit Anfang 2008 zusammen. Tabelle
1 gibt einen detailreichen Überblick
über die Features der Kandidaten.
E MySQL
Die Erfolgsgeschichte von MySQL, der
verbreitetsten Datenbank-Engine, begann
mit der Release von Version 3.23 im Januar
2001. Spötter bezeichneten MySQL,
das damals nur elementare Funktionen
enthielt, als besseres Dateisystem. Doch
wegen der von Anfang an guten Performance
und der verständlichen Dokumentation
schwang sich der New comer
trotzdem flott zum meistgenutzten Datenbanksystem
auf.
Seit dieser Zeit ist viel passiert: Die Inno-
DB-Storage-Engine von dem schon 2005
zu Oracle gehörigen Innobase sorgte
für referenzielle Integrität und ACID-
Transaktionen. Allerdings fehlen dieser
Engine, die mit der aktuellen Version 5.5
zum Standard avanciert, nach wie vor
Volltext-Indices.
Oracles halber Schritt
Mit Version 5.5 liegt seit 15. Dezember
die erste Release seit der Übernahme von
Sun durch Oracle vor. Die Entwicklung
der bereits als Alpha-Release verfügbaren
MySQL-Version 6.0 hat Oracle dagegen
eingestellt [1].
Version 5.5 bringt verfeinerte Möglichkeiten
zur Partitionierung: Ranges oder
Listen als Basis für die Partitionierung
dürfen nun einen oder mehrere Spaltenwerte
referenzieren. Auch bei der Replikation
legt MySQL 5.5 nach: Neben der
asynchronen Replikation, bei der sich der
Masterserver nicht um den Erfolg der Replikation
kümmert, und der synchronen
Replikation, bei der Transaktionen erst
nach Abschluss aller Replikationsoperationen
als erfolgreich gelten, strebt die
neue halbsynchrone Replikation einen
Kompromiss zwischen Datensicherheit
und Performance an.
Dort wartet der Masterserver nur noch
während eines konfigurierbaren Zeitfensters
auf maximal einen Slaveclient. Tritt
ein Timeout auf, so schaltet der Server,
um die Performance nicht zu stark zu
beeinflussen, in den unsicheren asyn-

chronen Modus, doch nur so lange, bis
sich einer der Slaves zurückmeldet.
Version 5.5 unterstützt außerdem temporäre
Tabellen. Die XML-Unterstützung
bleibt weiterhin auf X-Path-Queries beschränkt.
Mit der MySQL-Workbench, die
auch in einer GPL-lizenzierten Community-Variante
verfügbar ist, liegt ein leistungsfähiges
grafisches Designwerkzeug
vor (Abbildung 1).
Abgespaltet: Maria DB
Datenbankvergleich 02/2011
Titelthema
www.linux-magazin.de
29
Wie bei Open Office kam es nach der
Übernahme von Sun durch Oracle auch
bei MySQL zu einem Fork: Einer der
MySQL-Initiatoren, Michael „Monty“
Widenius, bezweifelte in seinem Blog,
dass die am weitesten verbreitete Datenbank-Engine
und die kommerziell erfolgreichste
unter einem Dach koexistieren
können [2]. Vor der Übernahme habe
MySQL Oracle gezwungen, die Lizenzkosten
zu senken, argumentiert Widenius
und glaubt daher nicht, dass Oracle Geld
für die Entwicklung neuer Features ausgibt,
da dies die Marktchancen für das
Hauptprodukt schmälere.
Widenius’ Fork Maria DB, liegt bereits
stabil in Version 5.2 vor [3]. Im Vergleich
zu MySQL 5.1, auf deren Quellcode der
Fork aufsetzt, bietet er unter anderem
Erweiterungen bei Rechenausdruck-basierten
virtuellen Spalten und eine Plugin-basierte
Authentifizierung.
Außerdem sind die als experimentell bezeichneten
Storage-Engines Sphinx, eine
Volltext-Suchmaschine [4], und Oqgraph
[5] hinzugekommen, eine Graphdatenbank-Engine,
wie sie aus der NoSQL-Welt
bekannt ist. Leider arbeitet Oqgraph nur
im RAM. Nach einem Neustart des Servers
lässt sich die Graphdatenbank nur
aus SQL-Befehlen wiederherstellen, was
die Praxistauglichkeit bisweilen sehr einschränkt.
Abbildung 1: Mit der MySQL-Workbench gibt es seit 2008 ein grafisches Datenbank-Designwerkzeug für
Linux, Mac OS und Windows, das wesentlich mehr leistet als die verbreitete Webanwendung PHP Myadmin.
trägt, startete erst 1994 als Anschlussprojekt,
das die Ingres-Abfragesprache QUEL
[6] durch SQL ersetzte.
Dank seiner universitären Wurzeln gehört
PostgreSQL bis heute nicht einer einzelnen
Firma, was Anwender angesichts
der Unruhe, die die Oracle-Übernahme
in der MySQL-Community ausgelöst hat,
inzwischen vielleicht als Vorteil empfinden.
PostgreSQL gibt es unter einer BSDartigen
Lizenz [7].
Noch im letzten Jahrtausend implementierte
PostgreSQL im Enterprise-Umfeld
gefragte Features wie Views, Trigger,
temporäre Tabellen und Multi Version
Concurrency Control (MVCC), ein Verfahren,
das konkurrierende Zugriffe effizienter
ausführt, den einzelnen Nutzern
Schnappschüsse des aktuellen Datenbestandes
bereitstellt und damit ein unbeabsichtigtes
Blockieren der Datenbank
verhindert.
E PostgreSQL
Wie schon der Name zeigt (Post Ingres),
hat PostgreSQL seine Wurzeln im Ingres-
Projekt der Universität of California in
Berkeley. Bereits 1985 startete Michael
Stonebraker dort das Postgres-Projekt, das
Ingres technologisch beerbte, ohne den
Quellcode zu übernehmen. Das heutige
PostgreSQL, das SQL sichtbar im Namen
Abbildung 2: Der Pg-Admin3 administriert auch fortgeschrittene PostgreSQL-Funktionen wie Trigger oder die
Volltextsuche in einem übersichtlichen GUI.

Titelthema
www.linux-magazin.de Datenbankvergleich 02 /2011
30
Bei der früh implementierten Trigger-
Unterstützung hebt sich PostgreSQL bis
heute von der Konkurrenz ab: Die durch
bestimmte SQL-Operationen ausgelösten
Prozeduren dürfen Entwickler nicht nur
im PostgreSQL-spezifischen PL/ PgSQL,
sondern auch in den verbreiteten Sprachen
Tcl, Perl und Python schreiben. Das
Spektrum der externen Erweiterungen
reicht von der Bash [8] über das besonders
Webentwicklern geläufige PHP bis
zum speziell für das Einbetten in andere
Software konzipierte Lua [9].
PostgreSQL enthält ein umfangreiches
Volltext-Suchsystem. Seit PostgreSQL
8.3 ist das frühere Tsearch2-Modul fester
Bestandteil der Datenbank-Engine.
Es unterstützt Unicode und linguistische
Funktionen wie Stop-Words und Synonyme
[10]. Bei der Replikation hinkt
PostgreSQL MySQL allerdings hinterher:
Erst die kürzlich erschienene Version 9
beherrscht asynchrone Replikation (siehe
Artikel in diesem Schwerpunkt). Eine
synchrone Replikation ist für die Folgeversion
geplant. Allerdings gibt es eine
Reihe von Third-Party-Erweiterungen,
die diese bereits jetzt bereitstellen [11].
Mit Pg-Admin3 (Abbildung 2) steht auch
für PostgreSQL ein leistungsfähiges grafisches
Verwaltungstool zur Verfügung.
E Ingres
Wie PostgreSQL und MySQL liegt auch
Ingres seit Herbst in einer neuen Version
vor. Zu den wichtigen Neuerungen
dieser Version 10 gehören spaltenspezifische
Datenverschlüsselung, Support für
den JDBC-4-Standard und Multiversion
Concurrency Control. Erstmals steht auch
eine 64-Bit-Version für Windows zur Verfügung.
Batch-Queries bündeln nun mehrere
»Insert-« oder »Delete«-Kommandos und
übertragen sie in einem Stück an den
Server. Eine Optimierung bei Abfragen
über partitionierte Tabellen steigert die
Performance, wobei eine neue Funktion
für das Dynamic Partition Pruning
zum Einsatz kommt: das Überspringen
nicht zu durchsuchender Partitionen. Für
mehr Tempo auf Unix-Systemen sorgen
der Einsatz von Direct-I/ O [12] und das
Tabelle 1: Die Big Five im Vergleich
Name MySQL PostgreSQL
Webseite [http://www.mysql.com] [http://www.postgresql.org]
Lizenz GPL und kommerzielle BSD
Aktuelle Version 5.5 9.0
Plattformen
Linux, Unix, Mac, Windows, IBM-I-Series, Symbian,
Linux, Unix, Windows
Open VMS
Kommerz. Support Oracle Corporation [http://www.postgresql.org/support/
professional_support]
Features
SQL
SQL 99/ 2003 teilweise, proprietäre Erweiterungen
SQL 92/ 99
ACID-Transaktionen ja (nicht MyIsam u.a.) ja
XA Transactions ja (Inno DB) ja
Stored Procedures SQL PL/ PgSQL, Perl, Python, Tcl, erweiterbar
Trigger ja ja
Cursor ja ja
Views ja ja
Locking MVCC, MyIsam nur Tabellenlevel MVCC, explizit Tabellenlevel, Advisory
Volltext-Indices nur MyIsam ja
User Defined Functions (UDF) ja ja
User Defined Data Types (UDT) nein ja
Event Scheduler ja nein
Partitionierung Range-, List-, Hash-, Key, Columns-Partitioning Range-, List-, Hash-, Automatic-Partitioning (Automatic:
gleichmäßige Zeilenzahl)
Replikation synchron, asynchron, teilsynchron asynchron,
3rd-Party-Lösungen ([20], [21], [22], [23])
Clustering ja ja, Hot/Warm-Standby
XML nur X-Path XML/ SQL-Unterstützung
Materialized Views nein nein
Index Organized Tables nein nein
Java in der Datenbank nein nein
Aktuelles
Neuerungen der letzten 3 Jahre
Version 5.1 (11/ 2008): Scheduler zeilenbasierte
Replikation, tabellenbasierte Serverlogs.
Maria DB 5.2 (10/ 2010): Engines Oqgraph und
Sphinx, erweiterte virtuelle Spalten.
Version 5.5 (12/ 2010): Range-/ Listen-Partitioning,
teilsynchrone Replikation
Version 8.3 (02/ 2008): SQL/ XML, Updatable
cursors.
Version 9.0 (09/ 2010): asynchrone Replikation,
erweiterter Perl-/ Python-Support, Massen-
Update eindeutiger Keys vereinfacht

Prä-Allozieren von Plattenplatz mit dem
»fallocate«-System-Call [13].
Version 9.3 vom Oktober 2009 erweiterte
dagegen vor allem den Umfang des Ingres-SQL-Dialekts:
Vergleiche mit »LIKE«
dürfen sich seither auf Spalten vom Typ
»LONG VARCHAR« und »LONG NVAR-
CHAR« beziehen. Außerdem kommen
die Vergleichsoperatoren »BEGINNING«,
»CONTAINING« und »ENDING« sowie
»SIMILAR TO« mit Unterstützung für Reguläre
Ausdrücke hinzu.
Leider nur für Windows erhältlich greift
das Community-Projekt Easy Ingres [14]
PHP-Entwicklern unter die Arme, die Anwendungen
auf Basis von Ingres statt für
MySQL schreiben. Auch hilft die Software
beim Programme-Migrieren von MySQL
zu Ingres. Das unter der Federführung
des französischen PHP-Programmierers
Cedric Pasquotti entwickelte Projekt
kombiniert die Ingres-Datenbank (zurzeit
noch Version 9.2) mit Apache 2.2.8, PHP
5.2.9, der Ingres Developer Workbench
[15], dem Scite Editor 1.77 sowie der
Demo-Applikation Frequent Flyer und
sorgt für die passende Konfiguration.
Eine 70er-Jahre-Datenbank
Die Geschichte von Ingres beginnt bereits
1974 als eine der frühen Umsetzungen
des damals neuen Konzepts der relationalen
Datenbank. Die kommerzielle Ära
von Ingres endete Anfang 2004 in weitgehender
Bedeutungslosigkeit. Doch nach
der Release unter der GPL 2 nahm die
Entwicklung neue Fahrt auf.
Ingres setzte vor allem Enterprise-Features
wie Partitionierung und Replikation
früh um. Bei der Verarbeitung von
Geodaten hat der Hersteller mit dem an
das universitäre Ingres-Projekt anschließenden
PostgreSQL zurzeit nur einen
Konkurrenten. Bei der XML-Unterstützung
ist Ingres dagegen nicht auf der
Höhe der Zeit, sie fehlt komplett, eine
Volltext-Suche ebenso, und ein Tool wie
Squirrel-SQL (Abbildung 3, [17]) muss
unter Linux das fehlende grafische Verwaltungswerkzeug
ersetzen.
Dem verstärkten Trend zu nicht-relationalen
Datenbanken trägt Ingres offenbar
auch Rechnung, indem es eine proprietäre
Datenbankvergleich 02/2011
Titelthema
www.linux-magazin.de
31
Ingres Firebird Oracle Database
[http://www. ingres.com] [http://www.firebirdsql.org] [http://www.oracle.com]
GPL 2 Mozilla Public License, Interbase Public License kommerziell
10.01 2.5 11g Referenz
Linux, Unix, Mac, Windows, Open VMS, Linux, Unix, Mac, Windows Linux, Windows, Solaris, HP-UX, AIX
Ingres Corporation u.a. Ibphoenix, [http://www.ibphoenix.com] Oracle Corporation
SQL 92/ 99 SQL 92/ 99, teilweise SQL 2003 Ansi SQL, SQL 2003
ja ja ja
ja ja (Jca-Connector) ja
SQL PSQL PL/ SQL, Java
ja ja ja
ja ja ja
ja ja ja
MVCC Optimistic Row-Level-Locking, MVCC Table- und Row-Level, Exclusive und Shared Locks
nein 3rd-Party: [24] ja, mit Oracle-Text
nein ja ja
nein nein ja
ja nein ja
Range, List, Hash (indirekt über Tabellen-
Vererbung)
nein
Interval, Reference, List und Range (als Option
für Oracle Enterprise)
asynchron, Transaktionen-basiert 3rd-Party: [25] mit Oracle Streams und Oracle Goldgate im heterogenen
Umfeld
ja, Voraussetzung: Shared Storage nein Real Application Cluster und Standby Database
nein nein Xpath und XML-Datatype
nein nein ja
nein nein ja
nein nein ja
Version 9.2 (11/ 2008): Cursors, UTF8-Support,
Onlinebackup.
Version 9.3 (10/ 2009): erweitertes Pattern-
Matching, Sequence-Erweiterungen.
Version 10 (10/2010): Multiversion Concurreny
Control, JDBC 4, spaltenbasierte Verschlüsselung
Version 2.1 (4/ 2008): Triggers, Global Temporary
Tables, Common Table Expressions.
Version 2.5 (10/ 2010): Reguläre Ausdrücke in »SI-
MILAR TO«, neue Threading-Architektur [http://
www.firebirdsql. org/rlsnotesh/rlsnotes25.html#
rnfb25- engine- threading]]
Letzte Release 11g (07/ 2007), seitdem nur
Bugfixes.

Titelthema
www.linux-magazin.de Datenbankvergleich 02 /2011
32
als freie Software herausgab. Die erste
Release erschien im März 2002. Bis Februar
2004 hatte das Entwicklerteam die
Software von C nach C++ portiert und
als Version 1.5 herausgegeben. Wichtige
Features wie Trigger kamen mit Version
2, während die aktuelle Version 2.5 sich
auf ein neues Threading-Modell konzentriert.
Von Bedeutung ist dies vor allem für
die Embedded-Version, mit der Firebird
als einzige der vorgestellten Datenbanken
aufwarten kann. Auch sind jetzt mehrere
Prozessorkerne möglich.
E Oracle Database
Abbildung 3: Da es unter Linux kein speziell auf Ingres zugeschnittenes grafisches Verwaltungswerkzeug
gibt, bleibt außer der Kommandozeile nur der Rückgriff auf generische Datenbank-Tools wie Squirrel-SQL.
Vektordatenbank anbietet (siehe Kasten
„Vector Wise“). Vector Wise stammt aus
einem Forschungsprojekt des Amsterdamer
CIW. In die Weiterentwicklung zu
einem kommerziellen Produkt haben Ingres
und Intel investiert.
E Firebird
Obwohl Firebird laut Ohloh.net mehr
Benutzer hat als Ingres, kennen durchschnittliche
Computernutzer den Datenbankserver
bestenfalls, weil er der Auslöser
für einen Namenswechsel des Webbrowsers
Firefox war. Was die Leistung
angeht, muss sich Firebird (Abbildung 4)
Oracle ist in der aktuell verfügbaren
Version 11g Release 2 seit September
2009 verfügbar und die wichtigste kommerzielle
Datenbankvariante auf dem
Markt. Im Vergleich zu den gelisteten
Open-Source-Systemen bietet sie das mit
Abstand mächtigste Feature-Set, fordert
Admini stratoren und Entwicklern jedoch
auch am meisten Know-how ab.
Bereits mit Version 10g setze Oracle auf
eine damals neuartige Clustertechnologie,
das so genannte Grid. Aktuelle Versionen
entwickeln diese Technik weiter.
So erlaubt es der Oracle Real Application
Cluster (RAC), One-Node-Single-Instance-
Systeme in das Grid zu überführen, um
Features wie Rolling Upgrades und Transparent
Session Fail over bei einem Ausfall
des Datenbanksystems zu nutzen.
Im Bereich der Speicherverwaltung hebt
sich Oracle besonders von den Konkurjedoch
vor der freien Konkurrenz nicht
verstecken: Er kennt Stored Procedures,
Trigger und referenzielle Integrität. Zu
den fortgeschrittenen Funktionen gehören
MVCC und Cursors.
So genannte Careful Writes sorgen für
das schnelle Recovery, ohne dass dafür
die üblichen Logs nötig sind. Außerdem
stellt Firebird ungewöhnlich viele Anbindungen
zur Verfügung: Es lässt sich
über ODBC, OLEDB, JDBC 4, ein natives
API und über einen Dbexpress-Treiber
ansprechen. Außerdem gibt es Module
für Perl, Python, PHP und Dotnet.
Firebird geht auf das proprietäre Interbase
zurück, das Borland Mitte 2000
Abbildung 4: Flamerobin ist ein leistungsfähiger Datenbankmanager für Firebird, der grafische Tools und einen SQL-Editor mit Syntax Highlighting und Autocompletion
kombiniert. Firebird ist der freie Nachfolger von Borlands Interbase.

Vector Wise
Im Juni 2010 stellte Ingres die erste Version
der spaltenorientierten Datenbank Vector Wise
[16] vor, zunächst nur für 64-Bit-Linux als
RPM und TGZ, inzwischen auch als Amazon-
Cloud-RPM. Es gibt aber nur 180-Tage-Testversionen.
Ingres bietet zudem eine Administrationsoberfläche
(leider nur) für 32-Bit-Windows
und einen JDBC-Treiber zum Download an.
Spaltenorientierte Vektoren
Die Abfragearchitektur von Vector Wise fußt
nicht auf einzelnen spaltenorientierten Tupeln,
sondern auf spaltenorientierten Vektoren.
renzprodukten ab, da Oracles ASM (Automatic
Storage Management) sich zu
einem vollwertigen Storage-Manager mit
Stripe- und Mirroring-Unterstützung entwickelt
hat, der ein Volume-Manager auf
Betriebssystemebene überflüssig macht
und so eine einheitliche Ressourcenverwaltung
sicherstellt.
Mit dem Oracle Database Filesystem stehen
Large Objects direkt im Dateisystem
zur Verfügung. Mittels Fuse und der darunterliegenden
PL/ SQL-Implementierung
sind Strukturen der Datenbank wie Dokumente
zum Beispiel für einen Webserver
ohne zusätzlichen Programmieraufwand
erreichbar.
Darüber hinaus glänzt die proprietäre
Engine im Bereich der dynamischen
Speicherverwaltung und Archivierung
von Altdaten mit einer Vielzahl von Neuerungen,
die den Platzbedarf und den
administrativen Overhead in großen Umgebungen
erheblich reduzieren.
Als Killer-Feature bei der Datenbankentwicklung
gilt die Edition-based Redefinition.
Als eine Art interner Versionsverwaltung
lassen sich verschiedene Versionen
eines Package oder einer Funktion
innerhalb der Datenbank erstellen, testen
oder ausführen und schließlich für andere
Anwender sichtbar machen sowie
in den Produktionsbetrieb überführen.
Auch für Views steht dieses Feature nun
zur Verfügung und erlaubt es, Basistabellen
im laufenden Betrieb umzustellen.
Qual der Wahl
Der Markt der SQL-Datenbank ist im
Wesentlichen aufgeteilt, es findet „nur
noch“ ein Verdrängungswettbewerb statt.
Das macht die Auswahl für die Kunden
Dazu kennt die Engine Varianten der relationalen
Operatoren (Selektion, Projektion, Join,
Sortierung), die mehrere Werte quasi-parallel
verarbeiten und dabei die Möglichkeiten moderner
CPUs nutzen.
Die Größe der Vektoren wählt eine Logik so,
dass alle nur für die Abfrage benötigten Daten
in den CPU-Cache passen. Zudem komprimiert
Vector Wise die Datensätze. Ingres und Intel
behaupten, dass im Ergebnis komplexe Datenanalysen
gegenüber relationalen Datenbanken
auf Vector Wise um zwei Größenordnung
schneller laufen.
kaum einfacher, weil die etablierten Anbieter
ständig an Performance und Features
schrauben. Schwerer noch wiegt,
dass die Anforderungen der Applikationsschichten
in der Praxis stark differieren –
zwischen denen jedes Datenbanksystem
nur einen mehr oder minder passenden
Kompromiss anbieten kann.
Beim Vergleich technischer Features hilft
die Tabelle 1 in diesem Artikel. In Sachen
Enterprise-Einsatz gibt eine Studie
[18] von Forrester Research eine erste
Orientierung: Danach dominieren IBM,
Microsoft und Oracle mit 88 Prozent
Marktanteil das Feld, weil hier Performance,
Verfügbarkeit und Skalierbarkeit
überzeugen würden.
Ingres sei bei weniger als 1 TByte Daten
und maximal 1000 gleichzeitigen Benutzern
die derzeit beste Open-Source-Datenbank,
auch wenn sie nicht die bekannteste
sei. Allerdings sehen nur wenige
fertige Anwendungspakete Ingres als
Datenbank vor.
Laut Studie hat MySQL bei den Features
zu Ingres aufgeschlossen und auch eine
große Benutzergemeinde, es fehle aber
an Zertifizierungen und Unterstützung
wichtiger Produkte wie die von Peoplesoft,
SAP und Siebel [19]. PostgreSQL
besitze zwar die größte Entwicklergemeinde,
sei aber in Firmen kaum verbreitet
und bei Verfügbarkeit, Sicherheit
und Performance abgeschlagen. (mfe) n
Infos
[1] Rest der MySQL-6-Doku: [http://dev.
mysql.com/ doc/ refman/6.0/en/]
[2] Michael Widenius’ Blog:
[http://monty-says.blogspot.com/2009/
12/help-saving-mysql.html]
[3] Maria-DB-Release 5.2:
[http://monty-says.blogspot.com/2010/
10/mariadb-522-gamma-is-released.html]
[4] Sphinx: [http://sphinxsearch.com]
[5] Oqgraph:
[http://openquery. com/graph/doc]
[6] QUEL: [http://en.wikipedia.org/wiki/
QUEL_query_languages]
[7] PostgreSQL-Lizenz: [http://www.
postgresql. org/ about/licence]
[8] Bash-Trigger für PostgreSQL:
[http://plsh. projects.postgresql.org]
[9] Lua-Trigger für PostgreSQL:
[http://pllua. projects.postgresql.org]
[10] PostgreSQL-Volltextsuche:
[http://www. postgresql.org/docs/9.0/
static/textsearch. html]
[11] PostgreSQL-Replikation: [http://wiki.
postgresql. org/ wiki/Replication,_
Clustering,_and_Connection_Pooling]
[12] Linux Direct-I/ O:
[http://docs. redhat.com/docs/en-US/
Red_Hat_Enterprise_Linux/5/html/Global_
File_System/ s1-manage-direct-io.html]
[13] »fallocate«-System-Call:
[http://lwn. net/ Articles/240571/]
[14] Easy Ingres: [http://esd.ingres.
com/product/ Community_Projects/
Development_Tools/Windows_32-Bit/
EasyIngres/]
[15] Ingres Database Workbench: [http://esd.
ingres.com/ product/Community_Projects/
Development_Tools/Linux_32-Bit/Ingres_
Database_Workbench]
[16] Ingres Vector Wise:
[http://www. ingres.com/vectorwise/]
[17] Squirrel-SQL:
[http://squirrel-sql. sourceforge.net]
[18] The Forrester Wave, „ Enterprise Database
Management Systems“: [http://info.
ingres.com/ g/ ? UJR6Q22767=clicksrc:pr]
(Registrierung erforderlich)
[19] Mathias Huber, „Ingres und MySQL führen
bei Open-Source-Datenbanken“:
[http://www. linux-magazin.de/content/
view/full/ 41390]
[20] Slony: [http://www.slony.info]
[21] Londiste:
[http://sky tools. projects.postgresql.org/
doc/londiste. cmdline.html]
[22] Bucardo: [http://bucardo.org]
[23] Pgpool-Projekte:
[http://pgpool. projects.postgresql.org]
[24] Firebird-3rd-Party-Indexer:
[http://www. firebirdfaq.org/faq328/]
[25] Firebird-3rd-Party-Replikation:
[http://www. firebirdfaq.org/faq249/]
Datenbankvergleich 02/2011
Titelthema
www.linux-magazin.de
33

1&1 WEBHOSTING
„1&1 WebHosting bietet uns zahlreiche
Inklusiv-Features, die unsere Homepage noch
informativer und erfolgreicher machen.
Für uns ist 1&1 der perfekte Partner.“
Markus Fügenschuh
www.skischule-ostrachtal.de
IHRE PROFESSIONELLE
HOMEPAGE
6 MONATE
FÜR 0,– €/MONAT! *
* Ausgewählte 1&1 Homepage-Pakete z.B. 1&1 Homepage Perfect 6 Monate für 0,– €/Monat, danach 6,99 €/Monat. Einmalige Einrichtungsgebühr 9,60 €. .info und .de Domain 0,29 €/Monat im
ersten Jahr (danach .de Domain 0,49 €/Monat, .info Domain 1,99 €/Monat), keine Einrichtungsgebühr. 12 Monate Mindestvertragslaufzeit. Preise inkl. MwSt.

1&1 HOMEPAGE-PAKETE
6 MONATE FÜR
1&1, der größte Webhoster weltweit, garantiert beste
Hosting-Qualität und wertvolle Inklusiv-Features:
.de .com
.net
php
.eu
Inklusiv-Domains!
Sichern Sie sich Ihre perfekte Internet-Adresse:
Sie können aus den Domainendungen .de, .at,
.info, .com, .net, .org, .biz oder.eu wählen.
Mehr Webspace!
Selbst für aufwändige Website-Projekte bieten Ihnen
unsere Pakete ausreichend Webspace.
Webdesign-Software!
Adobe ® Dreamweaver ® CS4 und NetObjects Fusion ®
dienen als optimale Basis für hochwertiges Webdesign,
sogar optimiert für die Ausgabe auf mobilen Endgeräten.
Entwickler-Tools
PHP6 (beta), Zend Framework, Versionsmanagement
(git), Cron Jobs und Shell-Zugang bieten die perfekte
Spielwiese für professionelle Webdesigner.
Grüne Rechenzentren!
Ihre Daten liegen sicher in unseren Hochleistungs-Rechenzentren,
die mit Strom aus erneuerbaren Quellen betrieben
werden. Das spart 30.000 Tonnen CO ²
pro Jahr.
z. B. 1&1 HOMEPAGE PERFECT
■ 2 Inklusiv-Domains
■ 4 GB Webspace
■ U N L I M I T E DTr a f fi c
■ 5 MySQL-Datenbanken
■ Zend Framework
■ PHP6 (beta), PHP5
■ Perl, Python
■ SSI
■ NetObjects Fusion ® 1&1 Edition
■ Google Sitemaps
■ 24/7 Profi-Hotline
■ uvm.
6, 99
0,–€/Monat
danach ab
6,99 €/Monat *
€/Monat*0,–€/Monat*
6 Monate 0,– €, danach
nur 6,99 €/Monat.*
Weitere sensationelle Angebote,
z. B. .de, .info Domains 1 Jahr für
0,29 €/Monat * , unter www.1und1.info.
Jetzt informieren
und bestellen:
0 26 02 / 96 91
0800 / 100 668
www.1und1.info

Titelthema
www.linux-magazin.de Maria DB 02 /2011
36
Maria DB als MySQL-Alternative
Vertraut und doch neu
Seit Version 5.2 ist Maria DB unter den MySQL-Forks eine attraktive Alternative. Nicht nur, dass MySQL-Entwickler
Monty Widenius hier persönlich Hand anlegt – die Kombination von Patches und neuen Funktionen bei
größtmöglicher Kompatibilität hebt Maria DB unter den Konkurrenten hervor. Caspar Clemens Mierau
hieß [5]. Aria versteht sich als moderner
Ersatz für MyISAM, ist weitgehend
funktionskompatibel zu MyISAM, kann
jedoch, je nach Version, auf Wunsch
transaktionale Tabellen führen. Zusätzlich
gilt Aria als Crash-sicher, da sie nach
einem Serverabsturz die Datenbank bis
zum Beginn des letzten »LOCK TABLES«
zurückrollt.
Engine-Kompromiss
© maxfx, 123RF.com
Maria DB [1] ist trotz ihrer MySQL-Kompatibilität
ein eigenständiges Datenbank-
System. Die Mischung aus neuen und
aktualisierten Engines, zusätzlichen
Funktionen und Performance- und Stabilitäts-Optimierungen
machen aus Maria
DB mehr als die Summe ihrer Teile.
Damit ragt sie auch unter den anderen
MySQL-Abkömmlingen und -Patches
[2] heraus. Erfreulich, dass Installation
und Umstieg in der Regel leicht von der
Hand gehen. Maria DB ist ein „Drop-in
Listing 1: Virtuelle Spalten
01 MariaDB [test]> CREATE TABLE steuern (
02 ‐> netto FLOAT NOT NULL,
03 ‐> brutto FLOAT AS (netto*1.19));
04 Query OK, 0 rows affected (0.10 sec)
05
06 MariaDB [test]> INSERT INTO steuern VALUES
(100,default);
07 Query OK, 1 row affected (0.00 sec)
08
09 MariaDB [test]> SELECT * FROM steuern;
10 +‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+
11 | netto |brutto |
12 +‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+
Replacement“ für MySQL. Der Code der
aktuellen Version 5.2 basiert auf MySQL
5.1 und garantiert weitgehend, dass bestehende
Datenbanken, Queries, externe
Clients und Bibliotheken nutzbar bleiben.
Es ist möglich, einen bestehenden
MySQL-Server durch Maria DB zu ersetzen.
Der Download-Bereich stellt hierfür
neben den Quellen vorkompilierte und
paketierte Versionen bereit [3].
Das Herzstück von Maria DB ist die Aria-
Engine [4], die bis Juli 2010 noch Maria
13 | 100 | 119 |
14 +‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+
15 1 row in set (0.00 sec)
16
17 MariaDB [test]> DESCRIBE steuern;
18 +‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐+‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+
19 | Field | Type | Null | Key | Default | Extra |
20 +‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐+‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+
21 | netto | float | NO | | NULL | |
22 | brutto | float | YES | | NULL | VIRTUAL |
23 +‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐+‐‐‐‐‐‐+‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐+
24 2 rows in set (0.01 sec)
Bestehende MyISAM-Tabellen lassen sich
mit dem folgenden Kommando auf Aria
umstellen:
ALTER TABLE `Tabelle` ENGINE=`ARIA`U
TRANSACTIONAL=1;
MyISAM gilt als zuverlässige Datenbank-
Engine, die gegenüber Inno DB einen
Geschwindigkeitsvorteil bei Tabellen
besitzt, auf die hauptsächlich lesende
Zugriffe erfolgen. Die Stärken von Inno
DB dagegen liegen in Transaktionen und
zeilenweisem Locking. Aria bietet einen
Kompromiss zwischen den beiden Engines
durch eine Kombination der Vorteile
von MyISAM mit Datensicherheit,
Transaktionen und zunehmenden Performance-Steigerungen.
Da an der Aria-Engine weiterhin stark
entwickelt wird, ist es sinnvoll, den Projektfortschritt
genau zu beobachten. Als
weitere Features sind beispielsweise zeilenweises
Locking, Group-Commits und
volle Unterstützung für »COMMIT/ROLL-
BACK« geplant. Für MySQL 6.0 streben
die Entwickler die Aufnahme der Engine
als offizielle MySQL-Engine an.
Die bekannte Storage-Engine Inno DB ersetzt
Maria DB durch Xtra DB [6] – eine
auf dem Inno-DB-Plugin basierende Weiterentwicklung.
Trotz des neuen Namens

Neuerungen in MySQL 5.5
n Inno DB löst MyISAM als Standard-Engine
für neue Tabellen ab.
n Verbesserte Skalierung auf Mehrprozessor-Systemen.
n Erweiterte Unterstützung für Unicode
(»utf16«, »utf32m«, »utf8mb4«).
n Verbesserte XML-Unterstützung (unter
anderem »LOAD XML«).
n Pluggable Authentication.
n Neue »TO_SECONDS()«-Funktion konvertiert
Datums-Angaben in Sekunden seit
dem Jahr 0.
n Optional semisynchrone Replikation für
erhöhte Datenintegrität.
erscheint Xtra DB in »SHOW ENGINES«
als »InnoDB«, da sie diese vollständig
ersetzt. Neben einigen Performance-
Optimierungen bietet Xtra DB beispielsweise
Prozesszeiten in Millisekunden in
der Datei »slow.log« sowie die Möglichkeit,
den Inno-DB-Buffer vor dem Neustart
eines Servers zu sichern, um die
Warmlaufphase drastisch zu reduzieren.
Für Anwender, die sich ausschließlich für
Xtra DB interessieren, ist eventuell der
Percona-Server eine Alternative [7].
Statistiken
Maria DB 5.2 bietet zusätzlich Nutzungsstatistiken
[8], zum Beispiel wie in Abbildung
1. Nach dem Aktivieren des Feature
durch den Eintrag »userstat = 1« in der
Konfigurationsdatei »my.cnf« aggregiert
Maria DB in flüchtigen Tabellen unter
anderem Daten über Tabellen- und Index-
Nutzung. Neue »SHOW«-Befehle liefern
ausführliche Laufzeit-Informationen über
Häufigkeit von Lese- und Schreibzugriffen.
Ohne aufwändiges Auditing ist es
zum Beispiel möglich, ungenutzte Indizes
oder zu häufig gelesene Tabellen zu
identifizieren.
In Anlehnung an Oracle und MS SQL
unterstützt Maria DB virtuelle Spalten
[9]. Dabei handelt es sich um berechnete
Spalten, die die Datenbank indirekt über
eine Funktion auf der Basis von Werten
innerhalb der jeweiligen Zeile befüllt. Ein
einfaches Beispiel – es berechnet Bruttound
Steuer-Beträge auf der Basis von
Netto-Beträgen – zeigt Listing 1.
Authentifizierung
Mit Version 5.2 hat Maria DB das „Pluggable
Authentication Framework“ eingeführt
[10]. Neben der klassischen
MySQL-Authentifizierung stehen damit
nahezu beliebige, auch mehrstufige, Authentifizierungswege
bereit. Einige einfache
Beispiele sind bereits implementiert.
Komfortabel ist die »socket_peercred«-
Methode, die einen Nutzer anhand seines
umgebenden Shell-Login erkennt. Listing
2 zeigt, wie der Admin das Plugin aktiviert
und einen dadurch authentifizierten
Benutzer einrichtet.
Die modulare Authentifizierung ist übrigens
auch ein Feature der kommenden
Version 5.5 von MySQL. Der Kasten
„Neuerungen in MySQL 5.5“ listet auf,
was sie noch bringt.
Ein optionaler Thread-Pool bietet bei Maria
DB eine Alternative zum bisherigen
Ein-Client-pro-Thread-Modell, das in bestimmten
Nutzungsszenarien nachteilig
sein kann [11]. Der Thread-Pool entkoppelt
die Verbindungen zur Datenbank
von den eigentlichen Threads.
Frischzellenkur
Maria DB erfindet das Rad nicht neu,
unterzieht MySQL aber einer notwendigen
Frischzellenkur. Die hier nur im
Groben skizzierte Zusammenstellung
neuer Funktionen und der professionelle
Hintergrund machen Maria DB zu einer
attraktiven Alternative zum MySQL-Community-Server.
Die progressive Aufnahme von Patches
ermöglicht es schon heute, Funktionen zu
nutzen, die erst in Monaten, Jahren oder
auch nie im offiziellen MySQL-Server erscheinen
werden. Größter Wermutstropfen
ist die Dokumentation, die derzeit
aus einer Mischung aus Knowledge Base
auf der Website Askmonty.org und der
bekannten MySQL-Dokumentation besteht.
(mhu)
n
Infos
[1] Maria DB: [http://mariadb.org]
[2] Caspar Clemens Mierau, „Moderne MySQL-
Forks und -Patches“: ADMIN-Magazin
03/ 10: [http://www.admin-magazin. de/
content/moderne-mysql-forks-und-patches]
[3] Quellen und Pakete: [http://askmonty.org/
wiki/MariaDB:Download]
[4] Storage-Engine Aria:
[http://kb. askmonty.org/v/
aria-storage-engine]
[5] Namensänderung: [http://askmonty.org/
wiki/Rename_Maria]
[6] Xtra DB: [http://www.percona.com/docs/
wiki/percona-xtradb:features:start]
[7] Percona-Server: [http://www.percona.
com/docs/ wiki/ percona-server:start]
[8] Statistiken: [http://kb.askmonty.org/v/
user-statistics]
[9] Virtuelle Spalten: [http://kb.askmonty.
org/v/virtual-columns]
[10] Authentifizierung:
[http://kb. askmonty.org/v/developmentpluggable-authentication]
[11] Thread-Pool: [http://kb.askmonty.org/v/
pool-of-threads]
Der Autor:
Caspar Clemens Mierau ist Medien-Kulturwissenschaftler,
arbeitet an seiner Dissertation über
Entwicklungsumgebungen und berät mit seinem
Projekt Screenage auch Firmen wie Moviepilot.
de, Artfacts.net und Aperto.de.
Maria DB 02/2011
Titelthema
www.linux-magazin.de
37
Listing 2: Pluggable Authentication
01 MariaDB []> INSTALL PLUGIN socket_peercred SONAME
'auth_socket.so';
02 Query OK, 0 rows affected (0.00 sec)
03
04 MariaDB []> CREATE USER ccm IDENTIFIED VIA
socket_peercred;
Abbildung 1: Maria DB 5.2 legt Nutzungsstatistiken an, die sich auch mit »SELECT« anzeigen lassen.
05 Query OK, 0 rows affected (0.00 sec)

Titelthema
www.linux-magazin.de PostgreSQL 9.0 02/2011
38
PostgreSQL 9 bringt Replikation und HA
Sichere 9
PostgreSQL beabsichtigt mit der neuen Version 9.0 zurück ins Spiel der großen Datenbank-Engines zu finden.
Dazu bringt sie asynchrone Replikation und manch weiteres nützliches Feature fürs Unternehmen mit. Der
Artikel zeigt anhand einer Suse-Installation, wie Admins Streaming Replication konfigurieren. Michael Kromer
© Jim Mills, 123RF.com
Oktober 2010, die PostgreSQL-Community
ist sich einig: Mit der neunten Version
[1] schließt die Open-Source-Datenbank
in vielen Bereichen zur Konkurrenz auf.
Die meisten der 200 Funktionserweiterungen
und Verbesserungen (siehe den
Datenbank-Vergleich in diesem Schwerpunkt)
standen schon länger auf der
Wunschliste der Anwender, vor allem in
Sachen HA und Replikation hinkte PostgreSQL
der Konkurrenz hinterher.
Jetzt helfen neue HA-Mechanismen den
Datenbankprofis im Unternehmen einfache
Master-Slave-Setups einzurichten.
Der Artikel zeigt das zum einfachen Nachbau
anhand von Open Suse oder SLES.
Streaming Replication
9.1 folgen. Dank Write-Ahead Logging
(WAL, [2]) fällt jetzt die bei Anwendern
ungeliebte Notwendigkeit weg, ganze
16-MByte-Logsegmente nach der Pointin-Time-Recovery-Methode
(PITR) zu
übertragen.
Darüber hinaus stehen Slaves neuerdings
zumindest mit Hot Standby read-only zur
Verfügung. Im Gegensatz zur synchronen
Replikation ist zwar der Datenbestand
nach einem Schreibvorgang nicht sofort
auf dem Slave verfügbar, jedoch halten
sich die Abweichungen mit meist unter
einer Sekunde Differenz auch auf belasteten
Datenbanken in Grenzen. Das macht
den Einsatz eines Slave auch in anderen
Szenarien attraktiv, zum Beispiel fürs
Reporting.
tionen angekommen. Aktuelle Pakete für
Open Suse wie auch SLES lassen sich
jedoch im »server:database«-Repository
des Open Suse Build Service finden, das
beim Qualitätsstandard mit den Standard-Repositories
gut mithält. Listing 1
zeigt dessen Integration und die Paket-
Installation.
Das folgende Setup richtet einen Master
(»10.1.1.1«) und einen Slave (»10.1.1.2«)
ein. Das Szenario lässt sich durch beliebige
weitere Slaves erweitern. Deren
maximale Anzahl definiert der Eintrag
»max_wal_senders« in »/var/lib/pgsql/
data/postgresql.conf« (Listing 2). Tabelle
1 gibt einen Überblick über die Parameter
für die Streaming Replication in
der Konfigurationsdatei.
Nach dem Start des PostgreSQL-Dienstes
hat der Server seinen Datenbereich unter
»/var/lib/pgsql/data« initialisiert. Mit
sudo ‐u postgres mkdir /var/lib/pgsql/data/U
pg_xlog_archive; chmod 700 /var/lib/pgsql/U
data/pg_xlog_archive
legt der Admin das konfigurierte Archiv
auf dem Master an. Die Streaming Replication
benötigt momentan noch dauerhaft
einen Superuser-Account, den der
Admin in der PostgreSQL-Kon figuration
absichern sollte (Listing 3)
Den Slave initialisieren
Danach erstellt er auf dem Master einen
Abzug der Datenbanken und synchronisiert
diesen per Rsync auf einen Slave:
Der neue Streaming-Replication-Mechanismus
der Version 9.0 (Abbildung 1)
ist in wenigen Schritten eingerichtet.
Zwar bringt PostgreSQL nur asynchrone
Replikation, die synchrone soll aber in
Installation
Die aktuelle Version von PostgreSQL war
bis Redaktionsschluss noch nicht in den
Standard-Repositories der Suse-Distribu-
psql ‐c "SELECT pg_start_backup('master‐U
backup')"
rsync ‐HPSav ‐‐exclude postmaster.pid U
‐‐exclude postmaster.log data/* root@U
10.1.1.2:`pwd`/data/
psql ‐c "SELECT pg_stop_backup()"

Auf dem Slave steht dagegen in »/var/
lib/pgsql/data/postgresql.conf«:
hot_standby = on
archive_mode = off
archive_command = ''
Und in »/var/lib/pgsql/data/recovery.
conf«:
standby_mode = on
restore_command = 'rsync ‐a /var/lib/pgsqlU
/data/pg_xlog_archive/%f %p'
primary_conninfo = 'host=10.1.1.1 port=5432U
user=postgres'
trigger_file = '/tmp/pgsql‐replication.U
trigger'
Nach erfolgreicher Inbetriebnahme findet
der Admin folgende Log-Einträge: Auf
dem Master taucht der Slave bereits mit
seiner IP auf und meldet »LOG: replication
connection authorized: user=postgres
host=10.1.1.2 port=55723«. In ähnlicher
Weise meldet auch der Slave den
Vollzug mit »LOG:
streaming replication
successfully
connected to primary«.
In der Prozessliste durch »ps -ef«
schlägt sich das funktionierende Setup
ebenfalls nieder (Abbildung 2).
Ab diesem Moment repliziert PostgreSQL
alle Daten vom Master an den oder die
Slaves. Von denen kann jetzt bereits jeder
im schlimmsten Fall zu einem Master
werden. Der Kasten „Best Practices in
Replikation“ gibt grundsätzliche Tipps
nicht nur für solche Setups.
In-Place Upgrades
Wo früher Admins für ein Datenbank-Upgrade
noch »pg_dump« und »pg_restore«
oder im besten Falle den Pg-Migrator [3]
verwenden mussten, kommt heute »pg_
upgrade« zum Einsatz und verkürzt die
Parameter-Name Typ Defaultwert
Beschreibung
max_wal_senders Integer 0 Anzahl der erlaubten WAL-Sender-Prozesse, also der
Standby-Server, die mit dem Master eine Verbindung
aufnehmen dürfen.
wal_sender_delay Integer 200 Die Länge des Intervalls der zu akkumulierenden
WAL-Daten in Millisekunden. Es empfiehlt sich, diesen
Wert gerade in virtualisierten Hochlastumgebungen
nicht zu niedrig (kleiner 100 ms) zu setzen
und ihn mindestens in Zehnerschritten anzupassen.
wal_keep_segments Integer 0 Anzahl der mindestens vorzuhaltenden Logdatei-
Segmente (jeweils 16 MByte) in Pg_xlog. Gerät ein
Standby-Server mit der Replikation über diesen
Punkt hinaus ins Hintertreffen, bricht PostgreSQL
die Replikationsverbindung ab.
vacuum_defer_
cleanup_age
Archive_Command
Pg_xlog
PostgreSQL
Master
WAL Sender
Archive
Restore_Command
WAL Receiver
Pg_xlog
PostgreSQL
Slave
Tabelle 1: Streaming Replication Parameter
8.4
9.0
Abbildung 1: Wo früher Warm Standby über das Archive-Kommando funktionierte
(oben), arbeitet heute die Streaming Replication mit WAL-Sender und -Receiver.
Integer 0 Verzögert bei einem »VACUUM« auf dem Master,
erhöht damit die Laufzeit für Anfragen vom Slave.
Best Practices bei DB-Replikation
Die Natur der Datenreplikation ist durchaus komplex, man denke nur
an Themen wie ACID- oder AKID-Konformität. Doch einige Vorgaben
haben sich als elementarer Grundstock für den erfolgreichen Betrieb
herauskristallisiert. Der Admin sollte Folgendes beachten:
n Generell UTC verwenden und auf Zeitzonen mit Sommerzeit (DST,
Daylight Savings Time) verzichten.
n Seine Uhren mit NTP und mehreren Zeitservern synchronisieren.
n Möglichst identische Systeme mit der gleichen Systemkonfiguration
verwenden.
n Klare Namen an die Systeme vergeben. Bezeichner wie »master«
und »slave« sind denkbar ungeeignet und erzeugen schon bei einem
Switch der Datenbanken-Rollen Konfusion.
n Die Replikationsstände regelmäßig überwachen. Auseinanderdriftende
Datenbestände verursachen unvorhersehbare Probleme.
Beim letzten Punkt ist es für den Datenbank-Admin sinnvoll, auf dem
Master mit »SELECT pg_current_xlog_location();« den aktuellen Datenbestand
(anhand der aktuellen Position im Log) abzufragen. Den
vergleicht er mit der letzten empfangenen Log-Position auf dem Slave
(»SELECT pg_last_xlog_receive_location();«) und dessen aktueller Log-
Position (»SELECT pg_last_xlog_replay_location();«, dieser Stand ist
wirklich auf der Platte).
Wartungsfenster für große Datenbanken
bei einem sicheren Upgrade beträchtlich.
Selbst nach einem empfohlenen »vacuumdb
--all --analyze« sind auch größere
Datenbestände eher in Minuten als Stunden
auf den aktuellen Stand gebracht.
Performance Nebensache
Auch wenn für die Entwickler Performance-Optimierungen
bei dieser Release
keine Priorität hatten, wirkt sich
so manche Änderungen sehr positiv aus.
Durch Indizes mit »NOT-NULL«-Feldern
untersucht die Version 9 im Gegensatz
zu PostgreSQL 8.4 nur den Index, während
8.4 hierzu die Tabelle selbst filtern
musste. Mit dem Entfernen unnötiger
Join-Statements, beispielsweise wenn
referenzierende IDs per »UNIQUE« ohnehin
eindeutig sind, lässt sich in größeren
Abfragen deutlich Zeit sparen.
Mit der effizienteren Neu-Implementation
von »LISTEN« und »NOTIFY« bearbeitet
der Master Events schneller, und dank
der neuen Payload-Option kann eine lau-
Listing 1: PostgreSQL 9.0 auf Open
Suse 11.3
01 zypper ar http://download.opensuse.org/repositories/
server:/database:/postgresql:/9.0/openSUSE_11.3/
server:database:postgresql:9.0.repo
02 zypper ref
03 zypper in postgresql‐server
04 /etc/init.d/postgresql start
PostgreSQL 9.0 02/2011
Titelthema
www.linux-magazin.de
39

Titelthema
www.linux-magazin.de PostgreSQL 9.0 02/2011
40
01 listen_addresses = '*'
02 max_connections = 500
03 shared_buffers = 32MB
Abbildung 2: Nachdem die Verbindung zwischen Master und Slave besteht, zeigt auch die Prozessliste die zuletzt gestreamte Log-Position.
schende Anwendung einen bis zu 8000
Byte langen String erhalten. Die Anweisung
»VACUUM FULL« dupliziert nicht
mehr jeden Datensatz einzeln, sondern
erzeugt eine neue Tabelle und kopiert alle
Einträge in einem Vorgang. Das spart je
nach Datenmenge bis zu 60 Prozent der
bisher benötigten Zeit.
Column-Trigger rufen automatisch Stored
Procedures auf, sobald die Datenbank
den Wert eines Feldes explizit aktualisiert,
»WHEN«-Trigger prüfen dagegen
datenbezogene Konditionen. Beide Funktionen
vereinfachen viele Arbeiten innerhalb
einer Applikation und reduzieren
die Anzahl der auszuführenden Trigger,
was die CPU entlastet sowie RAM und
Festplatten-I/ O spart.
Das folgende Bespiel ruft die Procedure
»tr_update_status()« auf, sobald jemand
einen Eintrag der Tabelle »tbl_user« im
Feld »user_status« aktualisiert:
CREATE TRIGGER update_status BEFORE UPDATE U
OF user_status ON tbl_user FOR EACH ROW U
EXECUTE PROCEDURE tr_update_status();
Das lässt sich in vielen Fällen sinnvoll
verwenden: Auf einem Asterisk-Server
04 wal_level = hot_standby
05 archive_mode = on
Listing 2: »/var/lib/pgsql/data/
postgresql.conf«
06 archive_command = 'rsync ‐a %p /var/lib/pgsql/data/
pg_xlog_archive/%f'.
07 max_wal_senders = 1
08 wal_keep_segments = 32
Listing 3: »/var/lib/pgsql/data/
pg_hba.conf«
01 TYP DATENBANK USER ADDRESSE ACL
02 host replication postgres 10.1.1.2/32 trust
03 host replication all 0.0.0.0/0 reject
mit PostgreSQL-Backend zum Beispiel
kann der Admin dies nutzen, um nach
einem Telefonanruf eine Neuberechnung
des Guthabens durchzuführen, ohne eine
eigene komplexe Applikationslogik entwickeln
zu müssen.
Mehr Sicherheit durch
Token und Passwort-Policy
Mit der Möglichkeit, per Radius [4]
zu authentifizieren, etwa durch Token,
Cryptocard oder E-Token (Alladin) [5],
macht PostgreSQL einen großen Schritt in
Richtung hochsichere Umgebung. Mit der
einfachen Konfiguration der Einträge »radiusserver«,
»radiussecret«, »radiusport«
und »radiusidentifier« ist die Anbindung
auch schon erledigt. Das Modul »passwordcheck«
erzwingt jedoch auch ohne
Radius sichere Kennwörter.
Schon in älteren Versionen ließ sich PostgreSQL
mit Erweiterungen wie Slony [6],
Londiste [7] oder Pgpool-II [8] das Replizieren
beibringen. So schnell sind diese
Erweiterungen in vielen Installationen
auch nicht zu ersetzen, weil sie häufig
maßgeschneiderte Setups mitbringen. Die
jetzt in Version 9 eingebaute Streaming
Replication ist jedoch ein großer Schritt,
da die meisten Admins keine komplexen
Replikationsstrategien benötigen, wenn
sie lediglich Daten von mehreren Orten
im Netzwerk intensiv nutzen oder hochverfügbar
machen wollen.
Es kommt noch mehr
Hot Standby und In-Place Upgrades
sorgen dafür, dass PostgreSQL auch in
Sachen Usability einen erheblichen Fortschritt
verzeichnet. Bessere Performance
und zahlreiche kleinere Verbesserungen
an der Kommandosprache wie zum Beispiel
»GRANT ON ALL« oder »DEFAULT
PERMISSIONS« helfen dem Admin einfache
Aufgaben nun auch wirklich einfach
umzusetzen. Das spart Zeit.
Für gehobene Ansprüche in der Replikation,
zum Beispiel Multi-Master-Setups,
empfiehlt es sich, noch bis März zu
warten, da dann der Postgres Extensible
Cluster (Postgres-XC, [9]) auch Schreibvorgänge
unter Version 9.0 relativ einfach
verteilen wird. Mit den durch Oracle ausgerufenen
Preissteigerungen für MySQL
[10] dürfte bis dahin PostgreSQL auch für
hartgesottene MySQL-Befürworter einen
neuen Blick wert sein. (mfe) n
Infos
[1] PostgreSQL 9.0: [http://www.postgresql.
org/docs/ 9. 0/ static/release-9-0]
[2] PostgreSQL WAL:
[http:// tuning.postgresql.de/wal]
[3] Pg-Migrator: [http://pgfoundry.org/
projects/pg-migrator]
[4] Free Radius SQL, Howto:
[http://wiki.freeradius.org/SQL_HOWTO]
[5] Titel-Thema „Schlüsseldienste: Zertifikate,
Keys und Tokens in der Praxis“:
Linux-Magazin, 12/ 10, S. 29 bis 56
[6] Slony: [http://www.slony.info]
[7] Londiste: [http://sky tools.projects.
postgresql. org/ doc/ londiste.cmdline.html]
[8] Pgpool-Projekte:
[http://pgpool. projects.postgresql.org])
[9] Postgres-XC: [http://wiki.postgresql.org/
wiki/Postgres-XC]
[10] MySQL-Preise:
[http://www.mysql.com/products]
Der Autor
Michael Kromer ist Senior IT Consultant und
Linux Engineer bei der Millenux GmbH in München.
Er entwickelt an diversen
Open-Source-Projekten
(Kernel, Open NX, Asterisk,
Virtualbox und ISC Bind)
mit. Zu finden ist er unter
[http://medozas. de].

MAGAZIN
SONDERAKTION
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
JETZT
MIT DVD!
Jetzt schnell bestellen:
• Telefon +49 (0)7131 2707 274
• Fax +49 (0)7131 2707 78 601
• E-Mail: abo@linux-magazin.de
• Internet:
http://www.linux-magazin.de/probeabo
Mit großem Gewinnspiel
(Infos unter: www.linux-magazin.de/probeabo)
GEWINNEN SIE... DAS NAVIGATIONSGERÄT MIO MOOV
SPIRIT V735 TV IM WERT VON 373,- EURO (UVP)
Einsendeschluss ist der 15.03.2011

Titelthema
www.linux-magazin.de NoSQL 02 /2011
42
Drei NoSQL-Datenbanken: Redis, Riak und Cassandra
Frischer Wind
Unter dem Schlagwort NoSQL sorgen gegenwärtig diverse Kandidaten für Wirbel, meist im Zusammenspiel mit
Web-2.0-Anwendungen. Dieser Artikel zeigt an den drei Beispielen Redis, Riak und Cassandra, woher der Wind
bei den SQL-Verweigerern weht. Mathias Meyer
© Ron Zmiri, 123RF.com
Datenbanken wie MySQL verursachen
immer wieder Probleme, wenn Tabellen
viele Millionen Datensätze ansammeln.
Immer schwerer lassen sich dann Indizes
pflegen, Daten archivieren oder die Schemata
ändern. Das Problem brachte Entwickler
dazu, neue Konzepte zu suchen.
Als Ergebnis entstand eine große Anzahl
von teilweise sehr unterschiedlichen Ansätzen
und Projekten, die sich unter dem
Kürzel NoSQL versammeln.
Alternative NoSQL
Die Abkürzung tauchte zwar bereits in
den 90er Jahren zum ersten Mal auf,
doch erst seit 2009 nimmt das Konzept
mehr und mehr Raum in der Datenbankwelt
ein. Trotz des aktuellen Hype
beansprucht kaum eine der Lösungen,
ein kompletter Ersatz für die relationalen
Vorväter zu sein. Auch wenn sich der von
Experten vergebene Name im Nachhinein
zumindest als unglücklich herausgestellt
hat, ist er wohl immer noch die klarste
Beschreibung dieser Datenbanken. Die
Bedeutung des Kürzels NoSQL interpretieren
Quellen ganz unterschiedlich: von
„no“ (kein) über „not only“ (nicht nur)
sogar bis „less“ (weniger) SQL.
Immerhin scheinen sich Entwickler und
Anwender darin einig, dass der Name
NoSQL nicht für eine völlige Ablehnung
relationaler Datenbanken und von SQL
steht. Stattdessen geht es um geeignete
Alternativen, vor allem für den, der die
Daten einer Applikation teilweise auslagern
will. Das hilft schnell wachsende
Datenmengen sinnvoll zu aggregieren
oder auszuwerten.
Schemafreiheit und
Skalierbarkeit
Die meisten Vertreter der NoSQL-Welt
haben sich darauf eingelassen, die klassischen,
starren Restriktionen aufzuheben.
Erstens skaliert die strikte Konsistenz ei-
nes fixen relationalen Schemas schlecht
über mehrere Nodes. Zweitens erlauben
es lose Schema-Definitionen eher, Daten
im Laufe der Zeit zu ändern und je nach
Bedarf Attribute wie die Metadaten auszulassen
oder hinzuzufügen. Das hilft
Applikation und Schema schneller und
einfacher zu ändern. Das dritte Ziel, das
viele der neuen Datenbanken verfolgen,
ist hohe Skalierbarkeit, nicht nur vertikal,
sondern auch horizontal, und zwar so
unkompliziert wie möglich.
Einer relationalen Datenbank einen
neuen Clusternode hinzuzufügen und so
die Kapazität linear zu vergrößern erweist
sich häufig als keine leichte Aufgabe.
Stattdessen greifen Admins auf
Techniken wie Sharding (das horizontale
Partitionieren von Datenbanken) oder
Master-Slave-Setups zurück, die aber nur
schlecht und wenig elastisch nach oben
und unten skalieren.
Innerhalb der letzten Jahre haben in der
NoSQL-Welt zwei Modelle der Datenverteilung
regen Zuspruch gefunden, die aus
dem Umfeld der Internetfirmen Google
und Amazon stammen. Deren Anforderungen
an horizontale und Datacenterübergreifende
Skalierbarkeit, Datenkonsistenz
und Verfügbarkeit führten zur
Entwicklung der im Folgenden immer
wieder angesprochenen Amazon Dynamo
[1] und Googles Big Table [2].
Document-, Key-Value-,
Column-Stores und Graphen
Doch NoSQL-Datenbanken widmen sich
nicht ausschließlich großen Datenmengen
oder Themen wie Schemalosigkeit
und Skalierung. Die Tools sind sogar so
verschieden, dass jede simple Definition
zu einfach gestrickt scheint. Viele der in

den letzten Jahren entstandenen DBs setzen
auf bewährte Technologien, frischen
sie auf und kombinieren sie mit neuen
Strömungen, zum Beispiel für die wachsenden
Anforderungen des Web.
Es überrascht nicht, dass in den letzten
Jahren Experten zahlreiche verschiedene
Ansätze entwickelten, NoSQL- (und andere)
Datenbanken zu kategorisieren [3].
Viele Quellen stecken NoSQL-Datenbanken
gern in mehrere Schubladen, um sie
danach noch genauer einzuteilen oder zu
beschreiben.
Auch wenn der praktische Nutzen dieser
Kategorien gering sein mag, so vermitteln
sie doch einen ersten Überblick: NoSQL-
Datenbanken unterteilen sich demnach
in Key Value Stores, Dokumenten-Datenbanken,
Column Stores und Graphdatenbanken.
Im Zuge der zunehmenden Verbreitung
verliert diese Definition allerdings an Relevanz.
Deutlich alltagstauglicher ist es,
die Datenbanken unter den Aspekten von
Daten-Verteilung, -Modell und -Ablage
zu unterscheiden. Hier sind die Merkmale
deutlicher ausgeprägt als in den
klassischen Kategorien, bei denen viele
der Tools bei genauerem Hinsehen gar in
mehrere Sparten passen.
Wesentlich wichtiger für die Praxis ist
auch die Betrachtung nach dem Handling
der Daten. Sowohl Verteilung, Modellierung
als auch Storagemodell haben
direkte Auswirkung auf die alltägliche
Arbeit mit Datenbanken und deren Administration.
Das lässt sich am besten an
konkreten Beispielen erläutern.
E Redis
Redis [4] ist ein besonderer Vertreter seiner
Gattung und von der Architektur her
unter allen NoSQL-Datenbanken wohl
am einfachsten gestrickt. Ursprünglich
als einfacher Key Value Store entwickelt,
bei dem ein Key auf einen bestimmten
Wert zeigte, der auch nur so greifbar war,
bot Redis von Anfang an einzigartige Datenstrukturen.
Neben einfachen String-
Paaren speichert es Listen, Sets, sortierte
Sets und mittlerweile auch Hashe s. Die
meisten Operationen arbeiten atomar,
das heißt, zwei unabhängige Prozesse
können Elemente an eine Liste anhängen
oder in ein Set einfügen, ohne dass sie
dabei in Konflikt geraten.
Das ermöglicht Redis mit einer einfachen
Architektur, die auf genau einem CPU-
Kern läuft. Redis ist nur ein Prozess ohne
Multithreading, der auf hohen Durchsatz
getrimmt ist und es durch einen Eventbasierten
Ansatz trotzdem verhindert,
dass sich konkurrierende Clients in die
Quere kommen. In der Praxis bedeutet
dies, dass Redis zwar nicht beliebig
skaliert, trotzdem lassen sich aus einem
Prozess ohne Weiteres mehrere Zehntausend
Reads oder Writes pro Sekunde
herausholen.
Neben der simplen, aber sehr effizienten
Architektur baut Redis auf einem ebenso
NoSQL 02/2011
Titelthema
www.linux-magazin.de
43

Titelthema
www.linux-magazin.de NoSQL 02 /2011
44
einfach gestrickten Protokoll auf, das
über den Standardport 6379 verfügbar
ist und das der interessierte Einsteiger
entweder über Telnet oder das der installierten
Datenbank beiliegende Tool
»redis-cli« ausprobieren kann [5].
Redis-Cli
Es handelt sich um ein reines Ascii-
Protokoll mit einem kompakten und
übersichtlichen Kommando-Set, um die
angebotenen Datenstrukturen zu manipulieren.
Wer ein einfaches Key-Value-
Paar schreiben will, verwendet das Redis-
Kommando »set«:
redis‐cli set session:3a38ef U
"{'user_id': 1}"
Hier weist das Tool einer Session einen
Json-String zu, der den eingeloggten Nutzer
identifiziert. Auslesen lässt sich der
Wert mit »get«:
redis‐cli get session:3a38ef U
"{'user_id': 1}"
Werte können auch Zahlen sein, die Redis’
atomare Operationen als Zähler implementieren:
redis‐cli incr user_id:1:logins
Hier inkrementiert der Anwender einen
Zähler, der die Logins eines einzelnen
Nutzers mitzählt. Existiert in der Datenbank
noch kein Wert unter dem angegebenen
Key, geht Redis von 0 aus und
erhöht den Wert entsprechend.
Listen und Queues: Rpush,
Lpush, Rpop und Lpop
Redis’ Listen eignen sich gut für sehr
einfache Queues. Sowohl das Hinzufügen
(Push) als auch das Holen eines Elements
von einer Liste (Pop) ist atomar. Viele
Clients können also gleichzeitig Elemente
auf eine Liste schieben, während eine
Reihe von Worker-Prozessen von diesen
Listen Elemente holt und abarbeitet, ohne
dass Clients oder Worker gegenseitig Daten
überschreiben oder Jobs mehrfach
abarbeiten.
Ein einfacher Job in diesem Sinne wäre
zum Beispiel das Einlesen und Auswerten
einer URL:
redis‐cli rpush jobs "fetch|http://linux‐U
magazin.de"
Rpush hängt ein Element an das Ende der
Liste an, während Lpush eines am Anfang
einfügt. Lpop und Rpop holen entsprechende
Elemente vom Anfang oder
Ende einer Liste. Producer würden im
obigen Beispiel mit Rpush Jobs am Ende
anhängen, Consumer holen die Jobs mit
Lpop vom Anfang der Liste:
redis‐cli lpop jobs "fetch|http://linux‐U
magazin.de"
Dies ist nur ein kleiner Auszug aus dem
Kommando-Set von Redis. Mit Sets, sortierten
Sets und Hashes deckt Redis vielerlei
Szenarien ab, auch wenn schon
eine Datenbank wie MySQL Teil der Infrastruktur
ist.
Redis bietet sich auch als Komplement zu
einer bereits existierenden Database an,
um zum Beispiel Dinge wie Zähler, Statistiken,
Job-Queues auszulagern oder einfach
nur effizient und performant Daten
zwischen mehreren Prozessen zu teilen.
Restriktionen
Wer Redis in die eigenen Infrastruktur
integrieren will, muss aber einige Einschränkungen
beachten, die die Datenbank
mitbringt. Die Grundidee der Entwickler
war es, alle Daten im Arbeitsspeicher
zu halten und so hohe Durchsatzraten
zu gewährleisten. Deshalb war das
Daten-Set anfangs durch die Größe des
freien Speichers beschränkt.
Diese Restriktion hat sich etwas gelockert,
seit Redis in Version 2.0 Virtual
Memory [6] eingeführt hat. Dabei hält es
nur noch die Keys im Speicher und lagert
die Werte auf die Festplatte aus, was die
Speicheranforderung auf das gesamte Set
von Keys samt Referenzen auf die Virtual
Memory Pages im Speicher oder auf der
Disk reduziert.
Um ein Mindestmaß an Datenpersistenz
sicherzustellen, speichert Redis in
definierbaren Abständen Snapshots der
gesamten Datenbank auf die Festplatte.
Die Intervalle orientieren sich an der
Zahl von Schreibzugriffen in einem bestimmten
Zeitrahmen, zum Beispiel 300
Schreibvorgängen innerhalb von 60 Sekunden.
Hierfür forkt Redis einen neuen
Prozess, der alle Daten im Speicher in ein
Dumpfile auf die Platte bannt.
Dieser Fork profitiert zwar von Copy-on-
Write, was Daten unter Umständen erst
vom Master-Prozess holt, wenn die DB
sie schreibt, trotzdem sollte der Admin
genug Speicher für einen zweiten Redis-Prozess
frei halten. Alternativ dazu
verzichtet er auf Wunsch völlig auf die
Snapshot-Persistenz oder verlagert diese
auf einen Slave.
Gezielte Snapshots
Abgesehen von den konfigurierbaren Abständen
kann auch der Befehl »bgsave«
jederzeit manuell einen Abzug der Daten
auf Platte schreiben, Redis erstellt beim
Beenden einen Abzug auf die Harddisk,
zum Beispiel wenn der Admin die Datenbank
mit dem »shutdown«-Kommando
herunterfährt.
Da sich diese Art der Persistenz bei sehr
großen oder schreibintensiven Datenbanken
als nicht besonders praktikabel
erweist, fügten die Entwickler eine Art
Transaktionslog hinzu, das alle Writes
speichert. Dieser Append-only-Modus
hängt Befehle nur an das Log an. Hierfür
verwendet der Admin das Kommando
»bgrewriteaof«, das ähnlich den
Snapshots einen neuen Prozess erzeugt
und ein neues Log schreibt. Dies enthält
alle notwendigen Befehle, um eine andere
Datenbank in den gleichen Zustand
zu versetzen.
Wie oft der Admin diese Compaction anstoßen
sollte, hängt von vielen Faktoren
ab, vor allem aber vom verfügbaren Platz
auf der Platte. Hiervon bedarf es mindestens
noch genug, um den kompletten
Datenumfang der Redis-Datenbank neben
dem alten Log abzulegen. Außerdem
sollte der Administrator den Zeitaufwand
für eine größere Datenbank nicht unterschätzen.
In den Setups des Autors läuft
der Rewrite-Prozess jede Nacht, je nach
Plattenplatz mag es auch sinnvoll sein,
den Prozess nur einmal pro Woche laufen
zu lassen, zur Zeit des geringsten Betriebs,
beispielsweise am Wochenende.
Nur beim Speicher
anspruchsvoll
Redis ist ansonsten recht anspruchslos
beim Betrieb, es verlangt schnellen und
vor allem viel Speicher, die andere Hardware
ist unkritisch. Allerdings sollte die
Speicherausnutzung in ein Monitoringsystem
eingebunden sein.

www.linux-magazin.de
NoSQL 02/2011
Titelthema
1-1000
7001-8000
1-1000
7001-8000
1001-2000
2001-3000
6001-7000
5001-6000
1001-2000
2001-3000
6001-7000
5001-6000
45
3001-4000 4001-5000
3001-4000 4001-5000
Vnodes
Abbildung 1: Im Riak-Cluster, hier aus acht virtuellen Nodes, kommunizieren die
Knoten über das Gossip-Protokoll miteinander und fangen so Ausfälle ab.
hash("session:1234")
Abbildung 2: Riaks Consistent Hashing reduziert die im Cluster zu übertragenden
Daten auf Hashes. Das beschleunigt auch die Reaktion auf einen Node-Verlust.
Redis unterstützt darüber hinaus eine
sehr einfache Art von Master-Slave-
Replikation. Beliebig viele Slaves bekommen
auf Wunsch Änderungen vom
Master übermittelt und lassen sich für
beschleunigte Lesezugriffe verwenden.
Sharding ist derzeit der einzige Weg, um
die Skalierungsrestriktionen von Master-
Slave-Setups zu umschiffen. Allerdings
arbeiten die Entwickler zurzeit sehr aktiv
an einer Cluster-Variante, die die Skalierung
nach oben und unten automatisiert,
ähnlich Riaks Dynamo-Prinzip im folgenden
Abschnitt.
E Riak
Während Redis mit vielfältigen Datenstrukturen
und hohem Durchsatz glänzt,
verfolgt Riak [7] andere Ziele: hohe Verfügbarkeit,
Ausfallsicherheit sowie lineare
und einfache Skalierbarkeit. Riak baut
dafür sehr stark auf Amazons Dynamo-
Konzept auf. Neben dem nicht mehr aktiv
betreuten Dynomite ist es wohl die
dem Original am nächsten kommende
Implementierung.
Datenablage und -anfrage in Riak folgen
dem Key-Value-Schema, wobei ein Key
auf ein Objekt beliebiger Art zeigt, es
kann sich um Json, XML oder binäre
Daten handeln. Dem Aufbau des Key sind
auch keine Grenzen gesetzt, ähnlich Redis
greifen die Programmierer hier aber
auch zu Konstrukten, die selbsterklärend
sind, wie die im Abschnitt zu Redis beschriebenen
Session Keys. Die Datenbank
fasst die Schlüssel in so genannten
Buckets zusammen und erreicht so eine
logische Trennung der Daten.
Schlüsselraum
Der Key-Space bietet Platz für 2 160 Keys
und ist partitioniert in so genannte virtuelle
Nodes (Vnodes, Abbildung 1). Ein
Vnode ist verantwortlich für eine Partition
der Daten, ein physischer Node kann
mehrere Vnodes haben. Über Consistent
Hashing stellt jeder Knoten im Cluster
fest, wo sich der Wert zu einem Key befindet.
Das bedeutet, dass kein Node in
einem Riak-Cluster eine besondere Rolle
hat, zum Beispiel als Master.
Clients können jeden Knoten ansprechen,
um jeden dem Cluster bekannten Key abzufragen.
Der vom Client befragte Node
heißt Coordinator und ist dafür verantwortlich,
die Daten vom richtigen Knoten
zu holen und an den Client zurückzugeben.
Analog funktionieren Schreibzugriffe,
die Kommunikation untereinander
erledigt das Gossip-Protokoll (Englisch
für Geschwätz, Tratsch).
Mit den partitionierten Daten schafft Riak
die Grundlage für einfache Skalierbarkeit
nach oben und unten. Damit sich ein
neuer physischer Node in den Cluster
einbindet, muss er sich nur bei einem
existierenden Knoten über das Gossip-
Protokoll anmelden. Anschließend beansprucht
er eine Reihe von Vnodes für
sich und fordert die entsprechenden
Datensätze von allen Nodes im Cluster
an. Ist der Transfer abgeschlossen, kann
der neue Node Lese- und Schreibbefehle
annehmen.
Verlässt ein Node den Cluster wieder,
verteilt der Cluster die Vnodes auf die
übrigen Knoten. Die Partitionierung
der Daten und das Consistent Hashing
(Abbildung 2) sorgen dafür, dass die zu
transportierenden Daten auf das Notwendigste
reduziert sind und kein volles Rebalancing
des Clusters notwendig ist.
Riak-Replikate und -Knoten
Um eine hohe Verfügbarkeit zu erreichen,
repliziert der Riak-Cluster die Daten. Für
jeden Bucket konfiguriert der Admin, wie
viele Kopien (Replikate) seiner Daten es
innerhalb des Clusters geben soll (Abbildung
3). In einem Cluster mit drei
Nodes und drei Replikaten landet auf
mindestens zwei Nodes eine Kopie jedes

Titelthema
www.linux-magazin.de NoSQL 02 /2011
46
Datums. Im Cluster ist bekannt, welcher
Node ein Replikat welchen Datums hat.
»N«, »R« und »W«
Der Dynamo-Jargon bezeichnet die
Anzahl der Replikate mit »N«. Fällt ein
Node aus, existieren immer noch andere
Knoten, von denen sich die Daten lesen
lassen. Zusätzlich zu »N« gibt es noch
die Werte »R« und »W«, die zusammen
gemeinhin den Namen Quorum tragen.
»R« gibt vor, von wie vielen Replikaten
ein Datum erfolgreich gelesen sein muss
(über den Coordinator-Node), damit ein
Lesevorgang als erfolgreich abgeschlossen
gilt. Das Gleiche definiert »W« für
Schreibvorgänge.
Sowohl »R« als auch »W« kann der Admin
für jeden Lese- oder Schreibvorgang explizit
angeben und hat damit eine Art
Hebel in der Hand, mit dem er die Konsistenz
der Daten innerhalb des Clusters
abstimmt. Gibt er für das Schreiben nur
ein »W« von »1« vor, muss Riak das Datum
nur auf eine Kopie schreiben. Die
anderen Kopien bekommen das Update
früher oder später auch, was den Cluster
wieder konsistent macht. Dieses Konzept
nennt sich Eventual-Consistency [8],
striktere Konsistenz lässt sich über den
Wert von »W« einrichten.
Das Gleiche gilt für »R«. Wer hier einen
niedrigen Wert wählt, zum Beispiel »1«,
geht das Risiko ein, dass sein Cluster von
einem Replikat Daten liest, die noch nicht
auf dem neuesten Stand sind. Wählt er
Wie oben erwähnt, lassen sich in Riak
beliebige Daten ablegen. Besitzen diese
aber eine gewisse Struktur, zum Beispiel
Attribut-Wert-Paare, dann empfiehlt sich
Json. Das macht es einfacher, auf die Daein
größeres »R« und der Coordinator-
Node stellt fest, dass ein Replikat nicht
aktuell ist, kommt das so genannte Read
Repair zum Zuge. Hat der veraltete Node
in der Zwischenzeit kein kollidierendes
Update erhalten und hat er das Datum
noch nicht, aktualisiert der Coordinator
das Datum auf dem Replikat. Riak benutzt
Vector Clocks, um Daten zu versionieren
und Konflikte zu entdecken
oder zu lösen.
Ausfallsicher, verfügbar und
skalierbar
Damit sorgt Riak für Ausfallsicherheit,
hohe Verfügbarkeit und einfache, lineare
Skalierbarkeit. Um einen neuen Cluster
zu erstellen, reicht es, Riak entweder
vom Sourcecode zu kompilieren oder
auf eines der verfügbaren Binärpakete
zurückzugreifen [9] und das Kommando
»riak start« auszuführen.
Das startet einen einzelnen Node mit »3«
als Defaultwert für »N«. Wer Riak auf
weiteren Knoten installiert hat, bindet
diese über das Kommando »riak-admin«
in den Cluster ein. Dafür brauchen die
anderen Knoten eine Liste von Seed Nodes,
mit denen sie sich verbinden und
damit ihren Platz im Cluster beanspruchen
können:
riak‐admin join
Fällt nun ein Node eines Riak-Clusters
aus, erhalten die anderen Nodes von diesem
keinen Heartbeat mehr und sehen
ihn deshalb als nicht aktiv an. Bis der
Node wieder aktiv ist, nehmen benachbarte
Nodes Schreibzugriffe entgegen,
halten sie vor und geben sie später an
den ausgefallenen Knoten weiter.
Dieser Vorgang ist als Hinted Handoff
bekannt und stellt sicher, dass der Riak-
Cluster einzelne Ausfälle abfängt und
trotzdem die Verfügbarkeit garantiert.
Für die Lesevorgänge müssen im Cluster
noch Replikate der Daten des ausgefallenen
Node vorhanden sein, der Admin
also einen entsprechenden »N«-Wert gesetzt
haben.
Riak lässt sich über zwei Interfaces ansprechen,
über ein REST-HTTP-API und
über eine Protocol-Buffers-Schnittstelle.
Während das erste sehr pflegeleicht ist,
eignet sich das zweite vor allem für Situationen,
die sehr hohen Durchsatz verlangen,
wobei die eine Schnittstelle die
andere nicht ausschließt.
HTTP ist gut dafür geeignet, dem Admin
ein erstes Gefühl zu vermitteln, wie Riak
arbeitet. Ein späterer Wechsel zu Protocol
Buffers ist mit den meisten Client-Bibliotheken
transparent, denn die sind von
den Features her nahezu gleich.
Datenstrukturen machen es
einfacher
1-1000
7001-8000
Replikate
1001-2000
6001-7000
2001-3000
5001-6000
3001-4000 4001-5000
Abbildung 3: Für jeden Bucket gibt der Administrator vor, wie viele Replikate der
Riak-Cluster vorhalten soll, standardmäßig sind es drei.
Abbildung 4: Riak Enterprise DS stammt vom Hersteller der gleichnamigen Open-
Source-Datenbank, bringt aber ein nettes GUI mit.

tenabfragemöglichkeiten von Riak über
Map/ Reduce zuzugreifen.
Das Verfahren versucht einen Job möglichst
über den gesamten Cluster zu verteilen,
wobei die Map-Phase, die Daten
transformiert, zum Beispiel einzelne Attribute
aus einem Json-Dokument holt,
immer auf allen Nodes läuft, von denen
Daten gefragt sind. Der Reduce-Job, der
etwa zur Aggregation oder Aufsummierung
der in einer oder mehreren Map-
Phasen gesammelten und transformierten
Daten dient, läuft dann letztlich auf
dem Coordinator-Node, an den der Map/
Reduce-Job gegangen war.
Vor Kurzem kam Riak Search [10] heraus,
eine Volltextsuche, die ein Grundproblem
von Key Value Stores löst und
eine bessere und skalierbare Möglichkeit
bietet, um komplexere Abfragen über Attributwerte
oder Ranges abzusetzen, als
es zum Beispiel Map/ Reduce bietet. Das
bringt zwar ähnliche Möglichkeiten mit,
allerdings arbeiten derartige Queries und
Transformationen immer auf Livedaten,
während Riak Search auf schon beim
Update gebaute Indizes aufsetzt. Nahtlos
lässt sich Riak Search über einen Post-
Commit-Hook in Riak einbinden, den die
Datenbank immer dann ausführt, wenn
sie Daten ändert oder löscht.
Bitcask, das Byte-Fass
Einen besonderen Blick verdient auch
die Storage-Engine von Riak. Nachdem
sich die ursprünglich auf der Inno DB
basierende Engine als nicht 100-prozentig
geeignet für hochskalierbare und
-verfügbare Umgebungen herausgestellt
hatte, entwickelte Riak-Hersteller Basho
mit Bitcask ([11], Cask: Englisch für Fass
oder Tonne) eine Engine, die vor allem
auf hohe Konsistenz und Datendurchsatz
getrimmt ist.
Bitcask hält immer eine aktuelle Datei
offen, in die es die Daten schreibt. Writes,
also Updates und Deletes, hängt es stets
hinten an, Daten landen also niemals
am selben Ort. Das Verfahren sorgt für
hohe Datenkonsistenz und Performance,
da es Random-Seeks auf den Platten vermeidet.
Ein automatisch laufender Merge-Prozess
fasst bei stetig anwachsenden Datenmengen
die Dateien regelmäßig zusammen,
wobei er gelöschte oder veraltete Daten
nicht mehr in die neuen Dateien schreibt.
Das Design von Bitcask erweist sich als
sehr simpel und effizient und ist in [11]
näher beschrieben.
Während Riak im Kern Open Source ist,
bietet Basho auch eine kostenpflichtige
Enterprise-Version an (Riak Enterprise
DS, [12]), die neben Multi-Site-Replikation
auch erweitertes Monitoring und
SNMP-Support bietet (Abbildung 4).
E Cassandra
In der dritten Datenbank in diesem Vergleich,
Cassandra [13], finden sich einige
NoSQL 02/2011
Titelthema
www.linux-magazin.de
47
MAGAZIN
ONLINE
LINUX-MAGAZIN NEWSLETTER
Nachrichten rund um die Themen Linux und Open Source lesen Sie täglich
im Newsletter des Linux-Magazins.
Newsletter
informativ
kompakt
tagesaktuell
www.linux-magazin.de/newsletter

Titelthema
www.linux-magazin.de NoSQL 02 /2011
48
Konzepte von Riak oder Amazons Dynamo
wieder, allerdings mit Teilen aus
Googles Big Table kombiniert oder vereinfacht.
Während Cassandra auf einem
dem Dynamo-Prinzip ähnlichen Cluster
und dem Gossip-Protokoll mit ähnlichen
Attributen wie Quorum und Ausfallsicherheit
aufbaut, sind Daten- und Storage-
Modell auf der Platte doch anders. Cassandra
stammt aus dem Hause Facebook,
ist durchweg in Java geschrieben und
baut zur Kommunikation mit Clients und
im Cluster auf dem Thrift-Protokoll [14]
auf, wobei die Entwickler auch bereits
mit Alternativen experimentieren.
Google, Amazon und mehr
Betrachtet man Redis als eine lokale
Hashtabelle mit erweiterten Datenstrukturen
und Riak als große verteilte Hashmap
mit transparentem Zugriff auf Daten
innerhalb des Clusters, dann geht
Cassandra weiter und erlaubt innerhalb
des verteilten Hash noch mehr zu verschachteln.
Neben einfachem Key Value geht das bis
zu zwei Ebenen tiefer in eine mehrfach
verschachtelte Hashmap. So lässt sich
zum Beispiel direkt auf Attribute mit
Namen zugreifen, ohne den gesamten
Datensatz zu holen. Im Kern ist Cassandra
eine spaltenorientierte Datenbank,
inspiriert von Googles Big Table, kombiniert
mit den Verteilungsmechanismen
von Amazons Dynamo.
Cassandras Datenmodell unterscheidet
mehrere Stufen der Verschachtelung.
Eine Reihe von Attribut-Wert-Paaren
heißt Row und identifiziert sich mit einem
Key. Jede Row ist Teil einer Column
Family (Spaltenfamilie), die im Grunde
verwandte Daten enthält.
Eine Row hat eine beliebige Zahl von
Attribut-Wert-Paaren, Columns genannt.
Unterschiedliche Rows in einer Column
Family müssen nicht zwangsweise die
gleichen Attribute haben. Zugriff auf einzelne
Columns erfolgt über die Column
Family sowie den Key, der die Row identifiziert,
und den Namen des Attributs.
Abbildung 5 zeigt das Datenmodell einer
einfachen Column Family.
Super Column Family
Wem da der Schädel brummt, darf nicht
mit Milde rechnen: Es gibt bei Cassandra
auch noch Super Column Families,
die Rows und Columns noch stärker
verschachteln. Super Column Families
machen aus dem bis dato dreidimensionalen
Hash (Column Family, Key und
Column) einen vierdimensionalen. Wozu
diese scheinbare Komplexität? Da es sich
bei Column Families quasi um Hashes
handelt, sind diese auch entsprechend
vorsortiert.
Abbildung 6 verdeutlicht das Datenmodell
der Super Column Families. Ein Row
Key gilt immer eindeutig über alle definierten
Column Families hinweg. Ein Key,
der einen Nutzer identifiziert, kann Einträge
in den fiktiven Families »Address«
und »Timeline« haben, denen der Administrator
auch unterschiedliche
Eigenschaften
für die
Replikate, Garbage
Collection oder
Com paction zuordnen
kann.
Super Column
Je nach Column Family legt der Admin
in Cassandra fest, als welcher Typ ein
Key anzusehen ist, ob er nach Ascii oder
UTF-8 zu sortieren ist oder nach Timed-
UUID, einer Unique-ID mit Zeitkomponente.
Damit eignet sich Cassandra sehr
gut, um zeitabhängige Daten zu speichern,
zum Beispiel Logs.
Rows und Columns
Eine einzelne Row in Cassandra darf
so mehrere Tausend Einträge enthalten,
heraus kommt dann eine so genannte
Wide Column. Gerade wer Super Column
Families verwendet, hat das in der Regel
als Ziel. Damit lassen sich alle Arten
von Timelines sehr gut speichern, zum
Beispiel die kompletten Log-Einträge
eines Service von einem bestimmten
Tag. Der Row Key könnte in dem Fall
»Service:Apache:20101210« heißen.
Für jeden Tag kommt ein neuer Eintrag
hinzu, am nächsten Tag speichert Cassandra
die Einträge automatisch unter
einem neuen Key, der dem aktuellen Datum
entspricht. Ein Log-Eintrag ist dementsprechend
zum Beispiel ein Hash, der
einzelne Attribute wie Uhrzeit, Log-Level
und die Nachricht enthält.
Der Key einer Super Column Family
kann wiederum beispielsweise vom Typ
Timed-UUID sein, den Cassandra automatisch
vorsortiert. Eine Timed-UUID ist
Super Column Family
Row Key
Super Column
Column
Column
Column
Column
Column Family
Column
Column
Column
Column
Row Key
Row-Key
Column
Column
Column
Column
Row Key
Column
Column
Column
Column
Super Column
Super Column
Column
Column
Column
Column
G Abbildung 5: Cassandras Column Families ermöglichen den Zugriff auf einzelne
Spalten. Jede Spalte ist dabei Teil einer Column Family.
Column
Column
Column
Column
E Abbildung 6: Super Column Families erweitern die Komplexität des Datenmodells
von Cassandra um eine ganze Dimension.

eine erweiterte UUID mit einer Zeitkomponente,
die es der Datenbank erlaubt,
Einträge nach Zeitstempel zu sortieren,
aber auch für exakt den gleichen Timestamp
mehrere Einträge zu erstellen.
Innerhalb einer einzelnen Zeile lassen
sich so sehr einfach einzelne Zeitabschnitte
herausfischen, zum Beispiel alle
Log-Einträge zwischen 12 und 13 Uhr.
Komplette Ranges von Einträgen abzufragen
gilt als Spezialität von Cassandra,
und das liegt vor allem an dem verwendeten
Verteilungsmodell.
Cassandra-Cluster
Ähnlich wie Riak verteilt Cassandra Daten
über alle Nodes im Cluster. Aber es
partitioniert die verfügbaren Keys nicht
in Vnodes, sondern teilt Nodes im Cluster
eine feste Range zu. Diese verschiebt
Cassandra, wenn neue Knoten in den
Cluster kommen oder ihn verlassen, nur
funktioniert dies ein wenig anders als im
klassischen Dynamo-Modell. Per Default
streut Cassandra Daten zufällig per Consistent
Hashing des Key. Dies stellt sicher,
dass die Daten möglichst gleichmäßig
über den Cluster verteilt sind, meist ein
wünschenswertes Ergebnis.
Darüber hinaus unterstützt Cassandra
eine Art von Partitionierung, die die natürliche
Reihenfolge von Keys berücksichtigt
und beieinander liegende Keys
auch zusammen abspeichert, wenn
möglich auf dem gleichen Node. Das hat
den Vorteil, dass Range-Abfragen auch
über Keys erlaubt sind, nicht nur über
die oben beschriebenen Super Columns
einzelner Zeilen.
Bevorzugte Nodes
Manche Nodes verwalten wesentlich
mehr Daten als andere, womit mögliche
Hotspots entstehen. Dieser Trade-off ist
für viele Anwender aber durchaus akzeptabel,
wenn sie von Range Queries
Gebrauch machen möchten. Auch wenn
in einem idealen Cassandra-Cluster alle
Nodes theoretisch gleich sind, gibt es
doch Möglichkeiten, einige Nodes etwas
gleicher zu machen als andere. Dies bezieht
sich allerdings eher auf die Replikation,
die in Cassandra Rack Aware und
Datacenter Aware sein kann. Damit stellt
der Admin sicher, dass Repliken nicht
außerhalb des gleichen Racks oder sogar
Datacenters platziert sind, und erreicht
eine zuverlässigere Redundanz.
Alle Columns versieht Cassandra mit
Time stamps, um sie leichter zu identifizieren.
Im Gegensatz zu Riaks Vector
Clocks greift die trojanische Königstochter
somit auf einen etwas simpleren Mechanismus
zurück, denn im Zweifel gewinnt
ganz einfach das Update mit dem
neuesten Zeitstempel.
Einzelne Spalten einer Row lassen sich
dann in Cassandra auch unabhängig voneinander
updaten. Aktualisiert die Datenbank
nur eine einzelne Column, löscht sie
NoSQL 02/2011
Titelthema
www.linux-magazin.de
49

Titelthema
www.linux-magazin.de NoSQL 02 /2011
50
nicht automatisch alle anderen Attribute.
Für hohen Schreibdurchsatz greift Cassandra
auf eine Kombination verschiedener
Mechanismen zurück, die die Daten
trotzdem konsistent fortschreiben. Bei
einem Write hängt die Datenbank zuerst
das Update an ein sequenzielles Commit-
Log an und schickt die Daten erst dann
an die für den Key verantwortlichen Nodes.
Danach aktualisiert sie eine Struktur
im Speicher, die die Entwickler Memtable
nennen. Diese hält per Default 128 Keys
und die zugehörigen Werte vor, die die
letzten Schreibvorgänge aktualisiert oder
hinzugefügt hatten.
Wird die Memtable zu groß, um im Speicher
zu verbleiben, oder überschreitet
sie das Maximum an Keys, schreibt Cassandra
sie in Form einer SSTable (Sorted
Strings Table) auf die Platte, eines Dateiformats,
das Key-Value-Paare sortiert
nach dem Key ablegt. Zusätzlich erzeugt
Cassandra einen SSTable-Index, der Keys
und entsprechende Zeiger in das Datenfile
enthält. Nachdem die Einträge aus
dem Commit-Log auf der Platte gelandet
sind, löscht die Datenbank die entsprechenden
Log-Einträge.
Ein Compaction-Prozess fasst die SSTable-Dateien
zusammen, wenn sie im Lauf
der Zeit allzu sehr anschwellen. Dabei
vereint er Keys und Columns wieder und
entfernt gelöschte Daten. Writes sind in
Cassandra extrem schnell, da die einzige
I/ O-intensive Operation ein sequenzieller
Schreibvorgang ins Log ist.
Aus Sicht des Administrators ist es von
Vorteil, dass Cassandra auf der Java
Virtual Machine läuft. Das macht viele
Metriken über JMX einsehbar und erleichtert
Monitoring und Operationen.
Die Metriken sind sehr zahlreich, wie
die Abbildung 7 zeigt, aber auch eine
gute Hilfestellung bei der Problemanalyse
durch den Admin.
Kein Tool für alle Fälle
Das NoSQL-Feld bietet noch viele weitere
Datenbanken wie die dokumentenorien-
Abbildung 7: Cassandra läuft in einer Java Virtual Machine und erlaubt Wartung und Kontrolle via JMX.
tierten Couch DB (siehe den Artikel in
diesem Schwerpunkt) und Mongo DB
[15] sowie Neo4j [16] oder Sones [17]
als Graphdatenbanken oder Hbase [18]
als vollwertigen Nachbau von Googles
Big Table.
Natürlich haben Redis, Riak und Cassandra
Stärken und Schwächen in unterschiedlichen
Szenarien. Ob sich die
gewählte Variante für den geplanten
Einsatz eignet, muss jeder Admin selbst
herausfinden. Dafür ist umfangreiches
Testen und viel eigene Erfahrung nötig.
Manchmal gelingt das auch erst unverhofft
nach ein paar Jahren. Dann mag
auch eine Rolle spielen, dass Redis in
reinem C, Riak in Erlang [19] und Cassandra
in Java geschrieben ist. (mfe) n
Infos
[1] Werner Vogels et. al., „Amazon’s Dynamo“:
[http:// www.allthingsdistributed.
com/2007/ 10/ amazons_dynamo.html]
[2] Google Big Table: [http://labs.google.com/
papers/bigtable. html]
[3] Stefan Edlich, „Schneller als die Datenbank“:
Linux-Magazin 09/10, S. 44.
[4] Redis: [http://redis.io]
[5] Referenz der Redis-Kommandos:
[http://code. google.com/p/redis/wiki/
CommandReference]
[6] Virtual Memory User Guide für Redis:
[http://code. google.com/p/redis/wiki/
VirtualMemoryUserGuide]
[7] Basho Riak:
[http://www. basho. com/Riak.html]
[8] Werner Vogels, „Eventually Consistent
– Revisited“: [http://www.
allthingsdistributed.com/2008/12/
eventually_consistent.html]
[9] Basho-Downloads:
[http://downloads. basho.com/ riak/]
[10] Riak Search:
[http://www. basho. com/riaksearch.html]
[11] Bitcask: [http://blog.basho.com/2010/04/
27/hello,-bitcask/]
[12] Riak Enterprise DS: [http://www.basho.
com/enterpriseds. html]
[13] Apache Cassandra:
[http://cassandra. apache.org]
[14] Thrift-Protokoll: [http://thrift.apache.org]
[15] Mongo DB: [http:// www.mongodb.org]
[16] Neo4j: [http://www.neo4j.org]
[17] Sones: [http:// ]www.sones.com
[18] Hbase: [http://hbase.apache.org]
[19] Erlang: [http://www.erlang.org]

Hallo – Aufwachen!
Homepage Spezial
1blu-Homepage „Spezial 2011“
2, 69
¤/Monat*
Dauerpreis!
1blu-Homepage „Spezial 2011“
* Preis/Monat inkl. 19% MwSt. Es fällt keine Einrichtungsgebühr an. Vertragslaufzeit jeweils 6 Monate, jederzeit
kündbar mit einem Monat Frist zum Vertragsende. Bei Software-Bestellung 7,90 € Versandkosten.
030 - 20 18 10 00 | nur unter www.1blu.de/spezial

Titelthema
www.linux-magazin.de Couch DB 02 /2011
52
Replikation für Couch DB
Replication reloaded
Die freie NoSQL-Datenbank Couch DB kann beides: offline arbeiten und sich in einem großen Verbund replizieren.
Dieser Artikel stellt Anwendungsszenarien, Skalierungstechniken sowie eine Auswahl ergänzender Software
für das Replikationswunder vor. Sven Pöhler
Control (MVCC) arbeitet. Das bedeutet,
dass Couch DB ohne Geschwindigkeitsverlust
Daten lesen und schreiben kann,
weil es sie ohne Transaktionslocks in fortlaufenden
Revisionen abspeichert. Der
Preis hierfür ist das notwendig größere
Datenvolumen für die Revisionsstände
der einzelnen Dokumente.
MVCC und die Konflikte
© Pavel Losevsky, 123RF.com
Über ein Vierteljahrhundert ist es her,
dass Lotus Notes das Konzept eines
verteilten Datenbanksystems realisiert
hat. Seine Offline-Fähigkeit erfüllte eine
wichtige Forderung der damaligen Zeit,
denn digitale Zugänge in Firmennetze
waren anfänglich unzuverlässige Modem-
(später ISDN-)Dial-ups, die gelegentlich
ausfielen. Datenbankgestützte
Anwendungen gänzlich ohne bestehende
Serververbindung laufen lassen – das war
höchst innovativ.
Aktuelle Anforderungen
Die damaligen Gründe für ein verteiltes,
replikationsfähiges Datenbanksystem
sind heutzutage nicht mehr relevant.
Dennoch schickt sich mit Couch DB [1]
erneut ein Vertreter dieser Art von Datenbanken
an, mit ganz ähnlichen Ansätzen
und Konzepten den aktuellen Anforderungen
zu begegnen. Dieser Artikel zeigt
die heutigen Motivationen für ein derartiges
Datenbanksystem und beschreibt
die wichtigsten Anwendungsszenarien
für Couch DB. Eine grundlegende Einführung
in Couch DB findet sich in Oliver
Frommels Online-Artikel [2].
Heute sollen Anwendungen in zwei Richtungen
verlässlich skalieren: Beim Up-
Scaling für das Web 2.0 müssen sie mit
sehr hohen Lasten umgehen und beim
Down-Scaling sollen sie für mobile Endgeräte
taugen. Beim Einsatz unterwegs
sollen Anwendungen zudem ohne permanente
Netzanbindung funktionieren.
So entwickelt etwa die Firma Couch One,
in der Couch-DB-Erfinder Damien Katz
CEO ist, eine hinsichtlich Arbeitsspeicher
und Storage optimierte Android-Version
von Couch DB [3]. Eine I-Phone-Version
ist laut Jan Lehnardt vom selben Unternehmen
fest in Planung.
Couch DB gibt auf diese unterschiedlichen
Skalierungsanforderungen konzeptionelle
Antworten, indem es als Kernfunktionalität
Anwendung und Datenbestand
repliziert und dabei nach dem
Prinzip der Multiversion Concurrency
Das wesentliche Merkmal von Couch DB
ist die Fähigkeit, die Dokumenten-basierten
Datenbanken via Replikation beliebig
verteilen zu können. Ein Replikationsvorgang
ist unidirektional und kennt jeweils
eine Quell- und eine Zieldatenbank, die
auch beide auf demselben Couch-DB-
Server residieren können.
Die Replikation zwischen zwei Datenbanken
lässt sich auf der Kommandozeile
mit Curl anstoßen. Der folgende Befehl
veranlasst eine lokale Replikation von
»db« nach »dbrep«:
curl http://127.0.0.1:5984/_replicateU
‐H 'Content‐Type: application/json'U
‐d '{"source":"db", "target":"dbrep"}'
Abbildung 1 zeigt die alternative Bedienung
über das mit Couch DB mitgelieferte
Webfrontend Futon. Neben der Replikationsquelle
»db« hat der Admin im
Beispiel die Zieldatenbank »db-replica«
definiert. Der Parameter »Continuous« für
die Replikation bewirkt, dass Couch DB
eine Quelle bei bestehender Netzverbindung
kontinuierlich überwacht. Zusätzlich
lässt sich eine Pollingzeit angeben
(rote Markierungen).
Wer den Datenbestand bidirektional replizieren
möchte, benötigt zwei Replikationsvorgänge.
Couch DB ist hierbei in
der Lage, einen inkonsistenten Datenbe-

Couch App
Wer einmal selbst eine Anwendung für Couch
DB entwickeln möchte, dem sei als nützliches
Entwicklungstool Couch App [4] empfohlen.
Dabei handelt es sich um eine erweiterbare
Sammlung von Python-Skripten, die eine
Couch-DB-Applikation als Dateien in einer definierten
Ordnerstruktur anlegt. In dieser Form
lässt sich der Quelltext in ein verteiltes Versionskontrollsystem
wie Git einchecken.
Das Deployment findet statt, indem der Entwickler
die Dateien in eine Couch-DB-Instanz
lädt. Couch App unterstützt damit den dezentralen
Ansatz von Couch DB, indem es orthogonal
zur replizierenden lauffähigen Couch-
DB-Anwendung auch den Entwicklungsprozess
verteilen kann.
Couch App setzt mindestens Python 2.5 voraus
und lässt sich einfach installieren. Nach der
Installation erzeugt der Befehl
couchapp generate Anwendung
eine neue Applikation. Die beiden Zeilen
cd Anwendung/
couchapp generate show Funktion
schreiben in das Verzeichnis »shows« die Datei
»hello.js«, die der Entwickler nach dem Hinzufügen
des Javascript-Programmcode mit
couchapp push http://localhost:5984/
Anwendung
in die lokale Couch-DB-Instanz pusht.
flow-Hintergrundprozesse diese mitverursachten,
sodass keine automatisierte
Konfliktlösung in Betracht kam.
Es gibt daher einige wichtige Design -
prinzipien, die Replikationskonflikte
innerhalb einer Anwendung vermeiden
helfen. Dazu gehört zunächst die Verteilung
der Daten auf einzelne Dokumente.
Beispielsweise sollte eine CRM-
Anwendung die verschiedenen Daten
innerhalb eines Kundenkontextes auf
einzelne Dokumente aufspalten. Während
das Hauptdokument nur die reinen
Stammdaten des Kunden enthält, sind
Kampagnendaten, Kommunikationsprotokolle
und Ähnliches jeweils in eigenen
Dokumenten abgebildet.
Couch DB 02/2011
Titelthema
www.linux-magazin.de
53
stand zu erkennen und mit Hilfe der Markierung
»("_conflicts": true)« Konfliktrevisionen
der Dokumente auszuweisen.
Seit der Version 0.10 vergleicht Couch DB
den MD5-Hash zweier Dokumente über
die Eigenschaften Json-Body, Attachments
und das »_deleted«-Flag, um zu
entscheiden, ob es sich um einen Konflikt
handelt. Das Speichern ohne inhaltliche
Änderung und identische Änderungen
führen seit dieser Version nicht mehr zu
Konflikten.
Abbildung 2 zeigt das Auftreten eines
Speicherkonflikts (gelber Bereich). Couch
DB erzeugt bei der Replikation in solchen
Situationen Konfliktrevisionen der
Dokumente. Die Bestimmung, welches
Dokument die Haupt- und Konfliktrevision
wird, entscheidet Couch DB anhand
von festen Regeln deterministisch (roter
Bereich). Dies hat den Vorteil, dass
für diese Feststellung keine Rückfragen
nach weiteren Datenbankinformationen
notwendig sind und somit keine Performanceprobleme
im Betrieb auftreten.
Anschließend müssen diese Konflikte
redaktionell oder durch die Anwendung
(semi-)automatisch gelöst werden (grüner
Bereich).
Anwendungsdesign
Die Möglichkeit, dass in einer Couch-
DB-Anwendung Replikationskonflikte
entstehen, sollten Entwickler zwingend
im Anwendungsdesign berücksichtigen.
In den Lotus-Notes-Hochzeiten wurden
nicht selten hochbezahlte IT-Consultants
beauftragt diese zu lösen. Verschärfend
wirkte der Umstand, dass häufig Work-
Schreibrechte
Ebenfalls empfehlenswert ist ein feingranulares
Autorisierungsmodell der Schreibberechtigungen.
Das oben genannte
Hauptdokument sollten nur organisatorisch
zuständige Mitarbeiter des Marketings
ändern dürfen. Couch DB definiert
die Schreibberechtigungen innerhalb
einer Datenbank über die Auswertung
der Validierungsfunktionen aller Designdokumente
einer Datenbank. Sinnvoll ist
auch eine Abstraktion über Rollen, wie
dies exemplarisch der Javascript-Code in
Listing 1 umsetzt.
Sollen dennoch mehrere Parteien ein
Dokument manipulieren dürfen, ist eine
Request-basierte Anwendungsarchitektur
eine gute Wahl (Abbildung 3). Diese
folgt dem Grundsatz, dass prinzipiell alle
Parteien ihren Änderungsauftrag in eine
Request-Datenbank einstellen. Die Anwendungskonfiguration
(»Config-DB«)
enthält die Information, auf welchem
Datenbankserver die Requests abgearbeitet
werden.
Ein Szenario hierfür wäre die regelmäßige
Dokumentenaktualisierung durch
ein zentral gepflegtes Schlagwortregister
bei synchroner redaktioneller Dokumentenpflege.
Eine solche Architektur
Listing 1: Rollen
01 function(new_doc, old_doc, userCtx) {
02 if(userCtx.roles.indexOf("marketing") == ‐1) {
03 throw({unauthorized: "Sie haben nicht die Rolle
'marketing'."});
04 }
Abbildung 1: Mit dem Webfrontend Futon lässt sich kontinuierliche Replikation einrichten.
05 }

Titelthema
www.linux-magazin.de Couch DB 02 /2011
54
rung sind der Fokus einiger interessanter
Projekte im Ökosystem rund um Couch-
DB. Es existieren bereits verschiedene
Lösungen und Ansätze, um horizontale
Skalierung über mehrere Knoten zu verwirklichen.
Couch-DB-Lounge [5] ist ein Framework
zur Partitionierung per HTTP-Reverse-
Proxy und basiert auf dem Webserver/
Proxy Nginx. Es umfasst ein Nginx-Modul
sowie einen Python-Daemon und arbeivermeidet
nicht nur Konflikte, sondern
erhöht auch die Anwendungssicherheit,
indem beispielsweise externe Schnittstellen
keinen direkten Schreibzugriff auf die
eigentliche Anwendung erhalten.
Request-basiert
Abbildung 3 zeigt exemplarisch eine
solche Anwendungsarchitektur. Ein
Nutzer, der eine Änderung in der Replik
der Applikation auf dem Berliner Server
umsetzen möchte, erstellt dafür ein
Request-Dokument in der Request-Datenbank.
Die Anwendungskonfiguration
(in der Config-DB) bestimmt, dass alle
Änderungen der Daten ausschließlich auf
dem Münchener Server umzusetzen sind.
Das Request-Dokument repliziert auf den
Münchener Server, wo der Request ausgeführt
wird.
Da sich derzeit in Couch DB Leseberechtigungen
nur datenbankweit vergeben
lassen, ist es sinnvoll, derartige Konfigurationsinformationen
in einer separierten
Konfigurationsdatenbank abzulegen, die
dann ebenso Teil der replizierenden Anwendungssuite
wird.
Nicht direkt ein Designprinzip, aber dennoch
dazu geeignet, die Wahrscheinlichkeit
von Datenkonflikten zu verringern,
sind Maßnahmen zur möglichst schnellen
Verbreitung von Änderungen. Bewährt
hat sich hierfür die Hub-Spoke-Topologie:
Die Clients (Spokes, Speichen) replizieren
jeweils mit einer Zentralinstanz (Hub,
Nabe). Die Hubs gleichen ihren Datenbestand
untereinander mit hoher Frequenz
ab, sodass auch topologisch entfernte
Clients Änderungen schnell erfahren.
_id=foo
_rev=1-db
val=1
Couch DB galt anfänglich als nur für
kleine bis mittlere Anwendungs-Setups
geeignet. Ein typisches Szenario war das
private Adressbuch, das zwischen Smartphone,
Notebook und heimischem PC
hin und her repliziert. Durch Umsetzung
der oben genannten Designprinzipien
lassen sich aber auch komplexere Anforderungen
bedienen. Jedoch spätestens
wenn Eskalationen, SLAs und Notifikationen
Teil der Anforderungen werden,
sind zeitgesteuerte Hintergrundprozesse
notwendig. Bedauerlicherweise existiert
in Couch DB bisher kein interner Schedudb
_id=foo
_rev=1-db
val=1
db
_id=foo
_rev=2-db
val=3
db
Konfliktentscheidung
Es existieren die beiden Datenbanken
»db« und »dbrep«.
Die Anwendung erstellt in »db«
das Dokument »foo« mit »val=1«.
Es wird von »db« (Source) nach
»dbrep« (Target) repliziert, was
»foo« in »dbrep« erzeugt.
Konfliktentstehung
In »dbrep« wird in »foo« »val=2« gespeichert.
In »db« wird in »foo« »val=3« gespeichert.
Anschließend wird wieder von »db«
nach »dbrep« repliziert, womit
in »dbrep« ein Konflikt entsteht.
Revisionshistorie
gleich lang?
ler, um Hintergrundprozesse anzustoßen.
Natürlich lässt sich beispielsweise unter
Linux der Cron-Daemon als Scheduler
benutzen, die Nachteile eines solchen
Designbruchs sind jedoch Plattformabhängigkeit,
nicht konsistente Berechtigungen
und die Unmöglichkeit, derartige
anwendungsrelevante Konfigurationen in
die Replikation einzubeziehen.
Weniger die Dezentralität von Anwendungen
als vielmehr die massive Skalie-
ja
nein
dbrep
_id=foo
_rev=1-db
val=1
dbrep
_id=foo
_rev=2-dbrep
val=2
dbrep
Die längere Revisionshistorie
gewinnt! Konflikte
und deren Lösung analog
wie im weiteren Beispiel.
Hintergrundprozesse
Konfliktlösung
»_rev« Ascii-Sort:
»2-db« kleiner
als »2-dbrep«?
nein
ja
In »dbrep« wird von »foo« eine
Konfliktrevision angelegt mit
»_rev=2-db« und »val=3«.
Die Hauptrevision von »foo«lautet
»_rev=2-dbrep« und »val=2«.
»foo« in »db« bleibt unverändert.
In »dbrep« wird von »foo« eine
Konfliktrevision angelegt mit
»_rev=2-dbrep« und »val=2«.
Die Hauptrevision von »foo« lautet
»_rev=2-db« und »val=3«.
»foo« in »db« bleibt unverändert.
Jetzt ist der Konflikt in »dbrep« zu lösen.
Dazu wird die Hauptrevision mit dem richtigen »val«-Wert gespeichert,
womit »_rev« auf »3-dbrep« hochzählt.
Die Konfliktrevision wird gelöscht, und abschließend muss noch
einmal repliziert werden, diesmal von »dbrep« (Source) nach »db« (Target).
Abbildung 2: Dieses Diagramm zeigt, wie Couch DB auftretende Speicherkonflikte bearbeitet.

tet als Consistent Hashing-Ring über alle
Dokumente. Mit Hilfe der Datei »shards.
conf« lässt sich die Datenpartitionierung
(Sharding) definieren. Daten-Failover mit
verschiedenen Nodes ist möglich.
Eine weitere Möglichkeit für die Partitionierung
bietet Pillow [6]. Es stammt
von dem Norweger Knut Hellan, der in
dem überschaubaren Softwareprojekt
insbesondere seine eigenen Anforderungen
an die Fähigkeit zum automatischen
Re sharding umgesetzt hat.
Middleware oder Cluster
DOC
_id=ID1
DATA=1
Application
DOC
_id=ID1
DATA=2
Application
REQ_DOC
CMD=UPD
TARGET=ID1
DATA=2
Request-DB
SRV=BLN
REQ_DOC
CMD=UPD
TARGET=ID1
DATA=2
Request-DB
SRV=MUC
Replikation
CFG_DOC
SRV=MUC
Config-DB
CFG_DOC
SRV=MUC
Config-DB
Abbildung 3: Bei mehreren schreibberechtigten Nutzern empfiehlt
sich eine Request-basierte Anwendungsarchitektur.
Einen generischen Ansatz verfolgt die
Skalierungs-Middleware Gizzard [7]. Sie
operiert zwischen einer Webanwendung,
die Datenbankabfragen abschickt, und
beliebigen Datenbanksystemen. Diese
Vorgehensweise hat den Vorteil, dass sie
im Gegensatz zum Consistent Hashing
eine heterogene Partitionierung gestattet,
sodass sich etwa häufig abgefragte Daten
Performance-fördernd segmentieren
lassen. Daneben kann man Forwarding-
Strategien individuell festlegen.
Außerdem gestattet es Gizzard, Ressourcen
dynamisch zum Cluster hinzuzufügen,
was dem System Elastizität verleiht.
Das System verhält sich sehr robust, da
es beim Ausfall einer Partitionsreplik Requests
dynamisch umleitet. Für den Fall,
dass eine gesamte Partition nicht mehr
erreichbar sein sollte, puffert Gizzard die
ausstehenden Schreiboperationen in einem
Transaktionsjournal.
Das jüngste und aktivste Upscaling-
Projekt im Couch-DB-Umfeld ist jedoch
Bigcouch [8], das sich stark an die konzeptionellen
Ansätze aus dem Amazon
Dynamo anlehnt. Dieser Couch-DB-Fork
der Firma Cloudant arbeitet ebenfalls als
elastischer Cluster und partitioniert die
Daten auf Basis von Consistent-Hashing-
Algorithmen. Daneben hält die Software
View-Indizierung auf jeder Partition parallel
vor, was zu deutlichen Performancegewinnen
im Vergleich zu Standalone-
Systemen führt. Neben der Gesamtanzahl
von Knoten innerhalb eines Clusters
steuern folgende vier Parameter Bigcouch
dynamisch:
n Der Grad der Partitionierung als Anzahl
»Q« der Shards eines Clusters.
n »N«, die Anzahl redundanter Kopien
eines jeden Dokuments. (Die Empfehlung
lautet »N > 2«.)
n Die Anzahl der Kopien, die gespeichert
werden müssen, bevor ein Dokument
„gespeichert“ ist (»W«). »W« ist damit
die Stellschraube für die Konsistenz
der Daten. »W=N« bedeutet vollständige
Konsistenz, »W=1« führt zu maximalem
Durchsatz.
n »R«, die verlangte Anzahl
identischer Dokumentrepliken,
bevor ein Lese-Request
erfüllt ist. Während
»R=1« eine minimale Latenz
bedeutet, erzwingt
»R=N« wiederum eine
vollständige Konsistenz aller
Dokumentkopien.
Standardmäßig erscheint Bigcouch
auf Port 5984 dem Benutzer
wie eine einzelne
Couch-DB-Instanz. Daneben
existiert aber auf Port 5986 die
Möglichkeit, zu Admini strationszwecken
die einzelnen
Nodes des Clusters direkt anzusprechen.
Couch DB stellt sich in drei
verschiedenen Ausprägungen
dar. Einerseits lädt es
zum Downscaling auf Mobilgeräten
ein, weil es geringe
Ansprüche an die Hardware
stellt. Zweitens erlaubt die Datenbank die
horizontale Skalierung wie in früheren
Lotus-Notes-Anwendungsszenarien. Die
Web-2.0-Skalierung begegnet hoher Last
und sehr großen Datenvolumina.
Der magische „Glue“, der diese unterschiedlichen
Ausprägungen von Dezentralität
möglich macht, besteht in der
Fähigkeit von Couch DB, nicht nur Daten,
sondern auch das Design von Anwendungen
einfach und sehr robust zu
replizieren.
Ausblick
Das Couch-DB-Universum zeigt sich
dynamisch und innovativ. Mittel- bis
langfristig gibt es aber noch einiges Potenzial
auszuschöpfen. Die Möglichkeit,
beispielsweise mit einem Form-Builder
ex trem einfach Couch-DB-Anwendungen
für kleine und mittlere Unternehmen
nutzbar zu machen, könnte einen
bedeutenden Schub für Akzeptanz und
Verbreitung der Software bewirken.
Kurzfristig ist für die kommende Version
1.1 mit einer verbesserten externen Programmierschnittstelle
zu rechnen. Damit
soll sich Couch DB auch als Reverse-
Proxy konfigurieren lassen und externe
Prozesse verwalten können. (mhu) n
Infos
[1] Couch DB: [http://couchdb.apache.org]
[2] Oliver Frommel, „Mal ausspannen“:
[http://www. linux-magazin.de/
Online-Artikel/ CouchDB]
[3] Android bei Couch One: [http://www.
couchone. com/ page/android]
[4] Couch App: [http://www.couchapp.org]
[5] Couch-DB-Lounge [http://tilgovi.github.
com/couchdb-lounge/]
[6] Pillow: [https://github.com/khellan/Pillow]
[7] Gizzard:
[https://github. com/twitter/gizzard]
[8] Bigcouch:
[https://github. com/cloudant/bigcouch]
Der Autor
Sven Pöhler beschäftigt sich mit Linux bereits
seit Kernelversion 0.96. Er
ist seit vielen Jahren im Bereich
Software-Entwicklung
und IT-Infrastruktur tätig. Er
arbeitet für ein ID-Hochsicherheitsunternehmen.
Couch DB 02/2011
Titelthema
www.linux-magazin.de
55

DAS LINUX-JAHR
2010 AUF EINER
SCHEIBE
JETZT NEU!
12 Ausgaben
auf DVD nur
14,95 !
• Zwölf Ausgaben
komplett als
HTML und PDF
• Ausgeklügelte
Navigation in
jedem Browser
• Blitzschnelle
Volltextsuche
mit Javascript
• Inklusive Adobe
Reader
MAGAZIN
Auf der 2. Seite der doppelseitigen DVD
finden Sie die Live-Distribution Backtrack
4r2 in der überall bootfähigen
32-Bit-Version. Backtrack eignet sich
hervorragend für Penetrationstests im
eigenen Netzwerk.
back track
JETZT SCHNELL BESTELLEN:
• Telefon 089 / 99 34 11-0
• Fax 089 / 99 34 11-99
• E-Mail: info@linux-magazin.de
• Internet: http://www.linux-magazin.de/DVD2010
Ihr Widerrufsrecht: Sie können Ihre Bestellung innerhalb von 14 Tagen beim Linux-Magazin-Leserservice,
Putzbrunner Straße 71, D-81739 München, widerrufen. Zur Wahrung der Frist genügt die rechtzeitige Absendung des Widerrufs.

In eigener Sache: DELUG-DVD
OMD, Untangle, E-Book
Einführung 12/2010 02/2011
Software
Auch diesen Monat bekommen die DELUG-Käufer die doppelte Datenmenge zum einfachen Preis: Auf der DVD-9
findet sich die brandneue Open Monitoring Distribution in einer exklusiven Preview. Von der DVD bootet der
Router Untangle, dazu gibt’s Software zum Datenbankschwerpunkt und ein komplettes E-Book. Markus Feilner
www.linux-magazin.de
57
Inhalt
58 OMD
Nagios mit vielen Plugins einfach installieren,
das verspricht die Open Monitoring
Distribution.
62 Bitparade
Vier Mal Forensoftware im Vergleich:
PHP BB, Simple Machines Forum, Vbulletin
und das Invision Power Board.
70 Webmapping
Wer auf seiner Webseite schicke interaktive
Karten einbauen will, kommt um
Open Layers, Mapfish und Mapbender
nicht herum.
76 Tooltipps
Etherdump, Fetch Yahoo, Patool, Srm,
ZNC und Group Shell.
78 Projekteküche
Die freie DJ-Software Mixx erlaubt das
Mixen am Linux-PC, Liquidsoap erstellt
flexible Webradio-Streams. Dazu gibt’s
Kartoffel-Kürbis-Gratin.
Neben einem normalen Linux-Magazin
ohne Datenträger gibt es die DELUG-
Ausgabe mit Monats-DVD, bei der die
Redaktion die Disk mit einem speziellen
Konzept zusammenstellt: In einer
Art modularem System enthält sie Programme
und Tools, die in der jeweiligen
Magazin-Ausgabe getestet und besprochen
sind. Zudem gibt es nicht im Heft
abgehandelte Software, die die Redaktion
besonders empfiehlt, alles gebündelt
unter einer HTML-Oberfläche. Wer den
Silberling einlegt, findet in der Webseite
gleich als erstes den Menüpunkt »Exklusiv«,
der zur Open Monitoring Distribution
führt.
OMD und Untangle
Die sieben Entwickler von OMD ([1],
siehe Artikel auf Seite 58) haben für die
DELUG-DVD eine Schippe drauf gelegt.
So finden sich in der Nagios-Variante,
die vor allem die Installation und Konfiguration
der zahlreichen Plugins einfacher
macht, auch Tools und Tricks, deren
Integration Anwender sonst erst einige
Recherche- und Arbeitszeit kostet.
Auch der Hersteller Untangle hat seiner
gleichnamigen Router-Distribution
in der neuen Major-Version 8.0 zahlreiche
Feaures hinzugefügt, beispielsweise
Software zur Bandbreitenkontrolle oder
einen Mechanismus zur Kontrolle der
Servicequalität der Internetverbindung.
Dazu kommt ein neuer Viewer, der die
Sessionprioritäten anzeigt, sowie insgesamt
acht Profile für ein- und ausgehende
Verbindungen (Abbildung 1).
Galileo E-Book
Damit nicht genug: Neben den vielen
Tools aus dem Titelthema „Datenbanken“,
der Bitparade, den Tooltipps und
aus dem Webmapping- und dem LXC-
Artikel findet sich auf der DVD auch das
komplette E-Book „Linux“ von Johannes
Plötner und Steffen Wendzel in der neuesten
Ausgabe von 2011 (Abbildung 2,
[2]) von Galileo Computing. Neben umfangreichem
Linux-Grundwissen erklärt
es sowohl die Anwendung des Systems
als Workstation oder Server und dessen
Administration. In gedruckter Form kostet
dieses Buch 40 Euro, DELUG-Abonnenten
erhalten es einfach so. ■
Infos
[1] Open Monitoring Distribution:
[http:// omdistro. org]
[2] Johannes Plötner, Steffen Wendzel, „Linux“:
Galileo Computing, 2011: [http:// openbook.
galileocomputing. de/ linux]
Abbildung 1: In Java
Swing, C und anderen
Sprachen implementiert
ist Untangle. Die
Linux-Distribution
dient als Netzwerk-
Gateway mit Modulen
zu Spamabwehr und
Webfilterung.
Abbildung 2: Komplett
als E-Book auf der
DELUG-DVD: Galileos
Standardwerk „Linux“.

Software
www.linux-magazin.de OMD 02 /2011
58
Die Open Monitoring Distribution macht Nagios einfacher
Geballter Durchblick
Sieben prominente Nagios-Entwickler brachten letzten Oktober eine angepasste und erweiterte Nagios-
Variante heraus: OMD, die Open Monitoring Distribution. Ihr spendierten sie Installationspakete und zahlreiche
Addons. Im Testlabor hinterließ OMD einen guten Eindruck. Markus Feilner
die sonst nur langjährige Nagios-Anwender
kennen und umsetzen. So lägen beispielsweise
alle Daten, auf die das System
häufig zugreift, auf einer Ramdisk, was
die Arbeitsgeschwindigkeit deutlich erhöhen
soll.
Streitfall Datenbank
© Alexander Kataytsev, Fotolia.com
Nagios und seine jüngeren Ableger wie
Icinga sind in der Welt der IT-Überwachung
das Maß aller Dinge. Für den
Platzhirsch gibt es eine schier unendliche
Anzahl Plugins und Erweiterungen,
GUIs und Tools, deren Auswahl und Aktivierung
den Admin bei der Installation
bisweilen viel Zeit kosten.
Für Profis und Einsteiger
Anspruchsvolle Anwender mit Bedarf für
modernere Plugins, die noch nicht in den
Linux-Distributionen oder den vorkompilierten
Nagios-Paketen enthalten waren,
blieb bisher sogar nur der langwierige
Weg über den Quelltext. Ähnlich wie
das im letzten Heft vorgestellte Open IT
Cockpit [1] will seit wenigen Monaten die
Open Monitoring Distribution [2] die Bedürfnisse
von Neueinsteigern und fortgeschrittenen
Nutzern bedienen, indem sie
topaktuelle Features mit einer einfachen
Installation kombiniert, Dafür stellen prominente
Nagios-Entwickler Software und
Konfigurationen zusammen und pflegen
die Pakete.
Hinter dem Kürzel OMD verbirgt sich
eine vorkonfigurierte Nagios-Installation
mit Addons, ausgewählt und kombiniert
von den Entwicklern Wolfgang Barth,
Gerhard Laußer, Mathias Kettner, Lars
Michelsen, Jörg Linge, Sven Nierlein und
Stefan Hösl. Sie sind seit Jahren in der
Nagios-Szene aktiv und durch ihre Arbeit
an Projekten wie der Visualisierung Nagvis
(Michelsen, [3]), der Agentensoftware
Check_mk (Kettner, [4], [5]), dem
Performance-Analysetool Pnp4nagios
(Linge, [6]) oder dem Webinterface
Thruk (Nierlein, [7]) bekannt.
Auf der Open Source Monitoring Conference
2010 stellten sie ihr jüngstes Kind
erstmals der Öffentlichkeit vor [8]. Dort
berichteten sie, in OMD wäre viel Praxis-
Know-how eingeflossen, also Konzepte,
Auch das in OMD ebenfalls enthaltene
Mk_Livestatus [9] zielt in diese Richtung:
Indem es die Nagios-Statusdaten
nicht in einer Datenbank (wie bei NDO
[10] oder Icinga [11]) oder Files (wie
bei reinem Nagios) vorhält, sondern über
einen Socket bereitstellt, spare das System
viel CPU-Last oder I/ O-Operationen.
„Allein ein Update der Status-Datenbank
mit dem Löschen alter Daten kann in
größeren Umgebungen bis zu 45 Minuten
in Anspruch nehmen, Zeit, in denen
der Monitoringserver seine Arbeit
nicht oder nur schlecht erledigen kann“,
so OMD-Initiator Mathias Kettner zum
Linux-Magazin. Doch er gibt auch zu:
„Das Thema ist allerdings ein Minenfeld,
da prallen unterschiedlichste Meinungen
aufeinander und die Diskussion wird oft
emotional geführt.“
Nach seiner Erfahrung generiert eine Datenbank
mit Konfigurationen und Statusinformationen
beträchtlichen Overhead,
nicht zuletzt, weil Nagios ohnehin
stets Klartextdateien für die Konfiguration
brauche. Andererseits profitieren
vor allem Addon-Programmierer von
den Datenbank-Schnittstellen. Kettners
Mk_Livestatus hält die Daten dagegen
im RAM vor und schreibt nichts auf die
Platte. Das Konzept scheint aufzugehen,
zumindest raten mittlerweile sogar die
Nagvis-Entwickler dazu und erklären die
Status-DB als „deprecated“.

opensourcepress.de
Bücher
neu
OMD 02/2011
Software
neu
ISBN 978-3-941841-33-8
220 Seiten · brosch. · 29,90 [D]
ISBN 978-3-937514-40-6
439 Seiten · brosch. · 39,90 [D]
www.linux-magazin.de
59
neu
Abbildung 1: Nach dem ersten Login auf der virtuellen Maschine erscheint das Web Administration Tool der
Open Monitoring Distribution namens Multisite mit dem Wato-Plugin.
OMD macht im Test bereits einen ausgereiften
Eindruck und bringt einige interessante
Features mit. So sind mehrere
Monitoring-Instanzen pro Host möglich,
die auch mit unterschiedlichen Benutzerrechten
laufen können. OMD kommt als
Debian- und RPM-Paket für Centos, RHEL,
SLES, Debian und Ubuntu und lässt sich
mit Yum, Zypper und Apt problemlos
installieren. Wer eine Quellcode-basierte
Installation bevorzugt, findet Skripte,
die die Erstellung eigener, angepasster
Tarballs vereinfachen. Als die Tester des
Linux-Magazins eine frühe Version unter
Centos installieren wollten, bekamen sie
noch Fehlermeldungen wegen unerfüllter
Abhängigkeiten zu Gesicht, diese behoben
die Entwickler jedoch auf Anfrage
innerhalb weniger Tage.
OMD bringt eine lange Liste an Tools mit,
hier die wichtigsten (in alphabetischer
Reihenfolge):
n Check_logfiles
n Check_mk
n Check_mysql_health
n Check_nrpe
E
ISBN 978-3-941841-23-9
248 Seiten · brosch. · 19,90 [D]
Kurse
Server-Know-how
ISBN 978-3-937514-60-4
255 Seiten · brosch. · 19,90 [D]
07.-09. Februar
21.-23. Februar
14.-16. März
Apache Webserver
LDAP
Samba in heterogenen Netzen
Dozent:
Stefan
Schäfer
Abbildung 2: Wie in Nagios zeigt auch das Gespann OMD-Multisite-Wato die Services eines Hosts in einer
langen Liste mit übersichtlichen Icons und grafischen Statusreports.
Auswahl Kurstermine Januar – März 2011
C++: STL und Boost
Novell 3103
TCP/IP-Analyse mit Wireshark
Single-Source-Publishing mit DocBook
Bacula Grundlagen
Vorbereitung auf LPIC-1
Nagios Advanced
Kerberos
Hochverfügbarkeit mit Heartbeat
Git
Administration von OTRS
FAI
opensourceschool.de
24. – 25.01.
31.01 – 04.02.
02. – 04.02.
07. – 09.02.
14. – 16.02.
14. – 18.02.
17. – 18.02.
21. – 23.02.
07. – 11.03.
10. – 11.03.
14. – 16.03.
14. – 16.03.
Sonderpreise
für Studierende

Software
www.linux-magazin.de OMD 02 /2011
60
Abbildung 3: Für einen einfachen Test empfiehlt sich der vollständig vorkonfigurierte Local Host, der bereits
den Check_mk-Agenten installiert hat. Analog dazu integriert der Admin eigene Server.
n Check_oracle_health
n Check_web_inject
n Dokuwiki
n Jmx4perl
n Mk_Livestatus
n Multisite
n Nagios und zahlreiche Plugins
n Nagvis
n Nsca
n Pnp4nagios
n Rrdtool/ Rrdcached
n Thruk
Dazu gesellen sich zahlreiche Perl-Module
und andere abhängige Pakete. Die
Abbildungen in diesem Artikel sind mit
der virtuellen OMD-Maschine von der
DELUG-DVD erstellt und zeigen einen
aktuellen Git-Snapshot, der bereits mit
der Weboberfläche Multisite [12] und
Kettners Plugin Wato [13] in einer unsta-
ble Preview der Version 1.1.9 ausgestattet
ist. OMD liegt zur Zeit in Version 0.44
vor, das virtuelle Debian-Linux ist gleichzeitig
auch als Client eingerichtet, der
sich für einen ersten Test oder zum Üben
sehr einfach an den Monitoring-Server
anbinden lässt.
Inbetriebnahme
Das klappt am schnellsten ebenfalls mit
den Client-Agenten von Check_mk, die
für verschiedene Betriebssysteme auf der
DELUG-DVD vorliegen. Nach dem Log in
als Root (Passwort »omd«) auf der Shell
gibt ein Ifconfig die IP-Adresse des Hosts
aus. Mit der meldet sich der Anwender
im Browser an (Username »omdadmin«,
Passwort »omd«) und erhält den ersten
Überblick über die beiden konfigurierten
Abbildung 4: Jeder Rechner mit einem Check_mk-Agenten liefert von Haus aus diese Statusinformationen
zu rück. Trotzdem ist OMD kompatibel zum Standard-Nagios, eigene Addons und Services lassen sich einbinden.
Demo-Standorte »München« und »Hamburg«
inklusive deren Service-Listen
(Abbildungen 1 und 2). Einen eigenen
Host fügt der Admin über die Schaltfläche
»Create New Host« unter dem Menüpunkt
»Server« hinzu, zum Beispiel in der
Location »München«. Je nach Bildschirm
kann dafür ein wenig Scrollen notwendig
sein, der Eintrag findet sich recht weit
unten (Abbildung 3).
Es ist ratsam, zunächst den lokalen Rechner
als Client hinzuzufügen, denn wenn
das klappt, steht der Überwachung eines
anderen Servers nichts im Wege. Abbildung
4 zeigt die Standards, die Check_
mk einrichtet und überwacht. Ein Klick
auf das grüne Icon hinter dem Dienst
startet den Check sofort, nicht erst beim
nächsten geplanten Termin. Nach kurzer
Zeit erscheint das Ergebnis und der
Anwender kann sich durch die Listen
hangeln.
Die Standards sind in den meisten Fällen
ausreichend, um eine sinnvolle Überwachung
des eigenen Servernetzes zu
bewerkstelligen. Wer sich jetzt fragt, ob
seine eigenen Erweiterungen auch damit
funktionieren, sollte es ausprobieren.
Klassische Nagios-Checks sind parallel
zu den installierten Tools jederzeit möglich,
Inkompatibilitäten soll es laut den
Entwicklern nicht geben.
n
Infos
[1] Bernd Erk, „Der Aufpasser“: Linux-
Magazin 01/11, S. 94
[2] OMD: [http:// omdistro.org]
[3] Nagvis: [http://www.nagvis.org]
[4] Check_mk: [http://mathias-kettner.de/
check_mk. html]
[5] Robert Koch, Markus Feilner, Tobias Eggendorfer,
„Auf einen Blick“: Linux-
Magazin 10/ 09, S. 86
[6] Pnp4nagios: [http://www.pnp4nagios.org]
[7] Thruk: [http://www.thruk.org/ index.php]
[8] Jens-Christoph Brendel, „Monitoring nach
Nagios“: Linux-Magazin 12/ 10, S. 28
[9] Mk_Livestatus: [http://mathias-kettner.
de/checkmk_livestatus.html]
[10] NDO, Nagios Datenbank Utilities: [http://
www.nagios-wiki. de/nagios/ndo/start]
[11] Icinga: [http://www.icinga.org]
[12] Multisite: [http://mathias-kettner.de/
checkmk_multisite. html]
[13] Wato: [http://mathias-kettner. de/
checkmk_wato. html]

LINUX
F
®

Software
www.linux-magazin.de Bitparade 02/2011
62
Forensoftware im Vergleich
Forum geht’s?
Auf viele Fragen haben Internetforen die passende Antwort. Wer selbst eine solche Plattform betreiben
möchte, hat die Wahl zwischen einigen freien und kommerziellen Systemen. Diese Bitparade beleuchtet vier
Vertreter aus Administratorsicht. Daniel Schäfer
ten PHP BB, Simple Machines Forum,
Vbulletin und Invision Power Board gegeneinander
an.
E PHP BB
© boing, Photocase.com
Titel, Thesen, Trollgefahr – sie sind
Spielwiesen für Nerds aller Art, Diskussions-
und Wissensplattformen, bieten
Erfahrungsberichte aus erster Hand, leisten
erste Hilfe bei vielen Fragen, aber
vor allem sind sie ein wichtiger Teil der
Netzkultur: Foren. Tagtäglich versammeln
sich Tausende Nutzer an diesen virtuellen
Tischen, lesen und posten Artikel, verschicken
Anhänge, moderieren Beiträge
anderer Nutzer und machen das Leben
im Netz ein bisschen bunter.
Egal ob man Boards als Zeitfresser oder
Wissensgruben empfindet, sie sind in jedem
Fall eine Herausforderung für jeden,
der sie warten darf. Wer ein Forum anbieten
und administrieren möchte, greift am
besten zu einer der zahlreichen fertigen
Softwarelösungen – dieser Artikel stellt
vier davon vor.
Alle Testkandidaten sind in der Praxis erprobte
und erfolgreiche Systeme. Sie sind
sämtlich in PHP implementiert und laufen
problemlos auf Standard-LAMP-Servern
(Linux, Apache, MySQL, PHP). Da solche
Zusammenstellungen inzwischen bei den
meisten Webhostern im Angebot sind,
bereiten Installation und Einrichtung in
der Regel auch unerfahrenen Betreibern
keine größeren Probleme. Unterschiede
gibt es vor allem bei der Codestruktur
und der Funktionspalette.
Das zeigt sich nicht nur, wenn der Betreiber
sie erweitern oder aktualisieren
möchte. Stehen Sicherheitsupdates bereit,
sollte das Forum möglichst leicht aktualisierbar
sein, damit die Downtime der
Plattform sich in Grenzen hält. Mit Hilfe
von Berechtigungen kann der Admin
Features für bestimmte Nutzer freischalten
oder sperren – auch diese Funktion
musste sich im Test beweisen.
Last but not least, nimmt diese Bitparade
unter die Lupe, wie komfortabel ein
Verwalter das Aussehen seines Forums
individuell gestalten darf. Im Test trete-
PHP BB [1] ist ein weitverbreitetes, freies
Forensystem, das unter der GPL steht.
Schon die deutschsprachige Projektwebseite
glänzt mit Übersichtlichkeit, großer
Auswahl, vielen Anleitungen und Hilfestellungen.
Einmal heruntergeladen
entpackt der Administrator die Quellen
auf seinem Server und startet die Installation
direkt aus dem Browser heraus.
Ein Assistent führt durch den Einrichtungsprozess
und fragt zunächst Details
zur Datenbank ab. Diese muss existieren,
andernfalls weigert sich PHP BB, mit der
Installation fortzufahren.
Wenn der Admin die weiteren Einrichtungsschritte
des Assistenten durchlaufen
hat, sollte er die Installationsskripte
löschen. PHP BB gibt sonst eine Fehlermeldung
aus – das ist vorbildlich gelöst,
denn die Installationsroutinen der Foren
enthalten potenzielle Sicherheitslücken.
Danach kann der Betreiber auf sein Forum
und vor allem auf die Verwaltungsfunktionen
zugreifen. Die erreicht er über
das Administration Control Panel (Admin
CP). Es beherbergt fast alle Konfigurationsmöglichkeiten,
nur die kritischen Einstellungen,
etwa der Datenbankzugang,
sind von dort aus nicht erreichbar.
Die einzelnen Menüs mit ihren Kategorien
wirken logisch und aufgeräumt
(Abbildung 1). Einziges Manko im
Admin-Bereich: Der Timeout für die
Authentifizierung ist zu hoch. Im Test war
es sogar nach einem Tag Inaktivität möglich,
ins Control Panel zu gelangen. Potenziellen
Angreifern öffnet dies Tür und Tor

zum Kommandozentrum, falls der Admin
mal vergisst, sich auszuloggen.
Möchte er Berechtigungen für seine Benutzer
festlegen, stellt er schnell fest,
dass die entsprechenden Einträge in
den Einrichtungsmenüs teilweise über
mehrere Kategorien erreichbar sind – besonders
übersichtlich ist das aber nicht.
PHP BB kennt für die Befugnisse der Anwender
drei Zustände: »Nein« (Standard,
verboten), »Ja« (erlaubt, überschreibt
Standard) und »Nie« (überschreibt die
anderen beiden Einstellungen und verbietet
grundsätzlich). Jeder Account besitzt
aber nicht nur einen individuellen
Berechtigungssatz, sondern erbt auch
noch die Rechte der Gruppen, in denen
er Mitglied ist.
Für den alltäglichen Forenbetrieb ist diese
Vermischung verwirrend und unkomfortabel,
vor allem dann, wenn mehrere
Administratoren ein Board verwalten.
Ändert einer davon die Befugnisse eines
Benutzers, muss er immer die anderen
Berechtigungspunkte durchsehen und
prüfen, ob nicht ein weiterer Admin etwas
verändert hat. Besser wäre eine reine
Aufteilung in Gruppen. So wäre auf einen
Blick klar, welche Anwender wo welche
Rechte haben. Gefährlich ist dieses zweigeteilte
System darüber hinaus, wenn zum
Beispiel ein Admin nach seinem Ausstieg
weiter alle Rechte hat, weil irgendeine Benutzereinstellung
die Degradierung zum
normalen Anwender überschreibt.
ihm Abfragen und Schleifen innerhalb
des Template zu realisieren. PHP BB speichert
die Templates im Dateisystem des
Webservers zwischen und wandelt die
Abfragen und Schleifen in PHP-Code um.
Dieses Vorgehen entlastet den Server, da
das System nicht bei jedem Seitenaufruf
konvertieren muss.
Kommt ein Update heraus, weist PHP BB
den Admin darauf hin. Leider ist diese
Information nur im Admin CP selbst zu
sehen. Läuft ein Forum ohne größere Probleme,
schaut der Verwalter dort jedoch
relativ selten vorbei. Wer immer auf dem
neuesten Stand sein möchte, sollte daher
die Mailinglisten des Projekts mit den
Ankündigungen abonnieren. Die Aktualisierung
auf eine neue PHP-BB-Version
erfolgt dann halbautomatisch.
Im Verwaltungsbereich steht ein Updatepaket
zur Verfügung, das der Admin
von Hand einspielt. Da das System nicht
prüft, wo dieser eigene Modifikationen
vorgenommen hat, und einfach die Originaldateien
überschreibt, gehen eigene
Anpassungen eventuell dabei verloren.
Ein weiteres Problem dieser halbautomatischen
Updates entsteht, wenn eigene
Modifikationen nur zu einem Teil aus
den Quelltexten der Forensoftware verschwinden.
So entstehen Fehler, die nur
schwer zu lokalisieren sind.
E Simple Machines Forum
Die Firma Simple Machines vertreibt ihre
gleichnamige Forensoftware (SMF, [3])
unter einer eigenen, unfreien Lizenz. Diese
erlaubt zwar das System kostenlos einzusetzen
und den Quellcode zu modifizieren,
verbietet aber das Weiterverteilen ohne
schriftliche Genehmigung. Zusätzlich bietet
der Hersteller diverse Supportleistungen
für rund 50 US-Dollar pro Jahr an.
Auf der Projekt-Homepage stehen verschiedene
Quellpakete zum Download
Bitparade 02/2011
Software
www.linux-magazin.de
63
Gestaltungsmöglichkeiten
Die meisten Betreiber suchen irgendwann
nach Erweiterungen für ihr Forum.
Gewünscht sind häufig Funktionen, die
mehr Informationen auf die Indexseite
bringen (letzte Beiträge, Top-Poster und
so weiter) oder ein Button, um Artikel zu
bewerten (ähnlich dem Like-Knopf von
Facebook). Ebenfalls auf der Wunschliste
stehen Chats (Shoutbox) oder die Anpassung
des URL-Formats an etwas Eigenes.
Modifikationen baut der Verwalter bei
PHP BB direkt in den Quellcode ein. Das
ist aufwändig und fehleranfällig. Glücklicherweise
gibt es Tools wie Automod [2],
die vieles automatisieren.
Das Aussehen des Forums passt der
Administrator über CSS und HTML-
Templates an. Kontrollwörter, die aus
HTML-Kommentaren bestehen, helfen
Abbildung 1: Das Administration Control Panel (Admin CP) von PHP BB ist übersichtlich und erlaubt schnellen
Zugriff auf die wichtigsten Forumseigenschaften.

Software
www.linux-magazin.de Bitparade 02/2011
64
damit das Cachen der Templates. So sind
PHP-Code und HTML-Konstrukte wild
miteinander vermischt.
Auch diese Forensoftware informiert über
Aktualisierungen nur im Admin-Bereich,
sodass es für den Betreiber sinnvoll ist, die
SMF-Mailinglisten zu lesen. Das eigentliche
Update startet er im Control Panel,
schaut gelassen bei der Aktualisierung zu
und stellt anschließend erfreut fest, dass
das System sogar die Modifikationen berücksichtigt
und neu eingebaut hat.
E Vbulletin
Abbildung 2: Die einzelnen Verwaltungsbereiche in Simple Machines Forum sind übersichtlich in Kategorien
wie »Hauptseite«, »Konfiguration«, »Forum«, »Mitglieder« und »Wartungsbereich« aufgeteilt.
bereit, die jedoch nur die englischsprachige
Programmversion enthalten. Individuelle
Sprach anpassungen muss der User
etwas umständlich selbst über das Supportforum
suchen. Das Simple-Machines-
Paket enthält eine knappe, aber vollständige
Installationsanleitung, ebenfalls auf
Englisch. Genau wie bei PHP BB ruft der
Anwender den Einrichtungsassistenten
über den Webbrowser auf, nachdem er
die Quelldateien auf den Server gespielt
hat. Sofern die Datenbank noch nicht
existiert, versucht der Installationsassistent
sie anzulegen. In der Praxis dürfte
dies aber oft an mangelnden MySQL-
Zugriffsrechten scheitern.
Im Anschluss darf der Systembetreuer direkt
auf alle Foren- und Verwaltungsfunktionen
zugreifen. SMF warnt lediglich mit
einem Hinweis in der Kopfzeile davor,
dass die Installationsskripte noch ausführbar
sind. Sicherer und besser wäre
es, den Admin zu zwingen die potenziell
gefährlichen Skripte zu entfernen.
Um das Admin Control Panel zu betreten,
muss der Betreiber sich erneut einloggen.
Sicherheitshalber meldet das System
den Verwalter nach zirka 30 Minuten
Inaktivität ab. Das Kontrollzentrum ist
gut strukturiert und übersichtlich gehalten
(Abbildung 2). Einige wichtige
Konfigurationsmöglichkeiten muss der
Betreiber explizit freischalten. Es ist unbedingt
empfehlenswert, alle Häkchen
unter »Berechtigungen« | »Einstellungen«
zu setzen, um das volle Potenzial des
SMF-Berechtigungssystems ausschöpfen
zu können. Sind diese Optionen nicht
aktiviert, gelten alle gesetzten Befugnisse
global für alle Unterforen, es gibt kein
dreigeteiltes System für Erlaubtes und
Verbotenes, wie es etwa PHP BB nutzt.
Variantenreich
Tiefgreifende Änderungen an der Grundfunktionalität
geschehen auch bei diesem
Forensystem über Modifikationen. SMF
zeigt sich hier vorbildlich und fasst Erweiterungen
als Pakete zusammen, die
der Verwalter direkt über das Admin CP
einspielen oder deinstallieren kann. Auch
diese Modifikationen landen direkt in den
PHP-Quelldateien (die dazu schreibbar
sein müssen), in diesem Fall nimmt aber
die Forensoftware dem Admin die Arbeit
des Einpflegens ab.
Die Optik des Boards ändert der Administrator
über fertige Templates, die
allerdings vergleichsweise unübersichtlich
sind. Simple Machines Forum bietet
keine Kontrollwörter an und spart sich
Die unter einer proprietären Lizenz veröffentlichte
Forensoftware [4] der Firma
Vbulletin Solutions, Inc., ist in zwei Ausführungen
erhältlich. Das reine Forum
kostet 159 Euro (139 Euro für ein Upgrade),
die Publishing Suite schlägt mit
239 Euro (Upgrade: 209 Euro) zu Buche.
Einen Vergleich der beiden Ausführungen
präsentiert die Webseite des Herstellers
im Bereich »Features«. In diesem Test trat
das reine Forum an.
Um an die Downloadpakete von Vbulletin
zu gelangen, muss sich der Benutzer
zunächst im deutschsprachigen Kundencenter
einloggen. Die Auswahl dort ist
groß – und übersichtlich. Das mitgelieferte
Handbuch ist ebenfalls auf Deutsch
verfügbar. Die Anleitung ist zwar deutlich
knapper als die von PHP BB, aber immer
noch ausreichend.
Bevor der Admin den Installationsassistenten
auf den Plan ruft, trägt er von
Hand den Datenbankzugang in eine Konfigurationsdatei
ein. Danach entpackt er
die Quellen auf seinem Server, und es
kann losgehen. Der Assistent fragt nach
der Vbulletin-Kundennummer, ohne die
er seinen Dienst verweigert. Danach verläuft
das Einrichten wie bei den anderen
Testkandidaten reibungslos.
Vbulletin verwehrt zunächst den Zugriff
auf die Verwaltungsfunktionen im Admin
Control Panel und erlaubt die Anmeldung
erst, nachdem die Installationsskripte gelöscht
sind. Der Admin-Bereich hat einen
vernünftig eingestellten Timeout. Vbulletin
wirft den Verwalter nach rund 15
Minuten Inaktivität raus.
Das Control Panel spiegelt den großen
Funktionsumfang wider. Leider sind die
zahlreichen Konfigurationsoptionen nicht
in einzelne Bereiche aufgeteilt, sodass

der Verwaltungsbereich für den ungeübten
Forenbetreiber zu unübersichtlich ist
(Abbildung 3). So bleibt nur die Möglichkeit,
die Einstellungen auszuklappen und
die Suchfunktion des Browsers zur Hilfe
zu nehmen.
Das Berechtigungssystem erlaubt zwar
eine genaue Feinabstimmung der Befugnisse,
ist aber bei Weitem nicht so
benutzerfreundlich wie das der anderen
Testkandidaten. Vbulletin hat keine Option,
alles zu verbieten (»Nie«) – alles
ist entweder erlaubt oder nicht. In der
Praxis kann das zu verworrenen Situationen
führen.
Angenommen der Admin will den Benutzer
Bob für eine Woche bannen. Bob ist
Mitglied in den beiden Gruppen C und D.
Um Bob zu sperren, muss der Admin ihn
aus beiden Gruppen entfernen und zur
Banngruppe hinzufügen. Vergisst er das,
überschreiben die erlaubten Dinge der
Gruppen C und D die Sperre. Ist die Woche
Auszeit vorbei, muss er sich genau
daran erinnern, aus welchen Gruppen er
Bob entfernt hatte.
Das ist unnötig kompliziert und gestaltet
den Verwaltungsprozess aufwändiger als
nötig – ein Manko der zweigeteilten Systeme,
bei denen der Verwalter zuerst eine
Erlaubnis entfernen muss, damit er etwas
explizit verbieten kann.
Geschickt modifiziert
Reichen die zahlreichen Vbulletin-Features
nicht aus, kann der Betreiber aus
vielen freien und kostenpflichtigen Erweiterungen
auswählen ([5], [6]). Das
Addon-Konzept basiert auf so genannten
Hooks und ermöglicht es auf diese Weise,
Modifikationen einzubauen, ohne die
Quelldateien zu verändern. Hooks sind
in Vbulletin Stellen, an denen externer
Code ausgeführt werden darf. Modifikationen
schleusen ihren eigenen Quelltext
also an fest definierten Stellen in den
Programmablauf ein, Vbulletin speichert
den Code in seiner Datenbank ab und
lädt ihn nur bei Bedarf.
Das Aussehen des Forums verändert der
Betreiber mit CSS und Templates. Beide
legt Vbulletin ebenfalls in der Datenbank
ab, was dazu führt, dass der Admin Datei-
Inhalte hin- und herkopieren muss, will
er externes CSS oder HTML-Editoren verwenden.
Innerhalb der Templates kann
Abbildung 3: Im Kontrollzentrum von Vbulletin dürften gerade Neulinge unter den Forenbetreibern lange
suchen, während Profis die gebündelte Darstellung meist schätzen.
er Schleifen und Abfragen über HTML-
Tags nutzen. Auch Vbulletin speichert
die Templates zwischen und ersetzt die
HTML-Tags durch entsprechenden PHP-
Code. Die Forensoftware setzt auch bei den
Templates auf eingebaute Hooks. Diese
Anker erlauben den Modifikationen, die
Funktionalität des Forums neu zu gestalten,
ohne dass der Verwalter dafür Templates
ändern müsste.
Das sehr gut durchdachte Hooks-Konzept
von Vbulletin erlaubt ein unkompliziertes
Update der Software. Über neue
Versionen informiert der Hersteller per
Mail und auch im Control Panel selbst.
Der Betreiber überträgt anschließend
nur noch das neue Programmpaket auf
seinen Webserver, startet den Installationsassistenten
mit seiner Kundennummer
und löscht am Schluss wieder die
Einrichtungsskripte.
E Invision Power Board
Invision Power Board (IPB, [7]) ist ebenfalls
proprietäre Software. Die Firma Invision
Power Service bietet ihr Produkt
in zwei Kategorien an. Die Standard License,
der Testkandidat, ist für rund 150
US-Dollar erhältlich, die Business License
für zirka 350 US-Dollar. Die rein englischsprachige
Hersteller-Webseite gibt Aufschluss
über die Unterschiede und führt
auch zum Kundencenter.
Nach der Anmeldung findet der Benutzer
dort schnell die aktuelle Version der
Forensoftware. Eine deutsches Sprachpaket
bietet eine Community-Webseite
unter [8] an. Die mitgelieferte englische
Dokumentation ist ausführlicher als die
SMF- oder Vbulletin-Handbücher, kann
allerdings der PHP-BB-Hilfe nicht das
Wasser reichen.
Die Installation ähnelt jener der anderen
getesteten Forensysteme. Der Administrator
lädt die Dateien auf seinen Webserver
und startet im Browser den Installationsassistenten.
Es ist nicht zwingend
notwendig, die Installationsskripte nach
dem Einspielen zu entfernen, IPB gibt
aber eine entsprechende Warnung im
Admin-Bereich aus. Der Verwalter sollte
diesen Hinweis ernst nehmen und die
Skripte löschen.
E
Bitparade 02/2011
Software
www.linux-magazin.de
65

Software
www.linux-magazin.de Bitparade 02/2011
66
Das Control Panel sieht ähnlich wie bei
PHP BB aus. Die einzelnen Einstellungen
findet der Admin in verschiedenen
Bereichen, was zur Übersichtlichkeit beiträgt
(siehe Abbildung 4). Nach rund
30 Minuten Inaktivität ist Schluss, der
Verwalter muss sich im Kontrollzentrum
neu einloggen.
Dagegen fällt das Berechtigungssystem
etwas ab. Mit seiner Zweiteilung folgt es
dem gleichen, stark veralteten Prinzip
wie Vbulletin: Pro Berechtigungspunkt
existieren zwei Zustände – erlaubt und
verboten. Auch die Unterteilung der Zugangsberechtigungen
ist nicht so fein
aufgegliedert wie die der moderneren
Konkurrenten. Der Admin kann für seine
Benutzer lediglich festlegen, ob sie das
Forum und die Themeninhalte sehen, auf
Beiträge antworten oder neue schreiben
beziehungsweise Anhänge hoch- oder
runterladen dürfen.
Der Aufbau des Quellcode und die Möglichkeiten,
die sich daraus für Entwickler
von Modifikationen ergeben, sind dagegen
eine der Stärken von IPB. Der PHP-
Code folgt dem MVC-Prinzip (Model
View Controller), das funktionale Teile
streng trennt: Das Model beschreibt die
Daten, Views zeigen die Daten eines Model
an und Controller verändern sie. Die
einzelnen Komponenten kommunizieren
miteinander: Ändert ein Controller die
Daten in einem Model, bekommen alle
Views automatisch Kenntnis von der
Neuerung. Entwickler, die das Prinzip
konsequent einhalten, bauen mit sehr geringem
Aufwand eigene Views und Controller,
erweitern also die Funktionalität.
Anpassungsfähig
Alle Erweiterungen befinden sich in eigenen
PHP-Dateien, welche die Software
über Hooks in das laufende System einbindet.
Da der IPB-Quellcode klassenorientiert
aufgebaut ist, können Modifikationen
leicht Features erben, anpassen
und erweitern. Hat ein Entwickler sich
in dieses Konzept erst mal eingearbeitet,
ist er viel schneller in der Lage, Addons
für IPB zu entwickeln als für die anderen
Forensysteme.
Auch IPB setzt auf CSS und HTML-Templates,
um Look & Feel anzupassen. Alle
Templates liegen in eigenen Dateien vor
und Invision Power Board speichert sie
zwischen. Schleifen und Abfragen sind
als HTML-Tags realisiert. Jede Schleife
und jede Abfrage ist gleichzeitig ein
Hook, über den eine Modifikation HTML-
Code einschleust. Dabei steht es dem
Entwickler frei, seinen Code vor, nach
oder – bei Schleifen – mitten in den Tags
Abbildung 4: Das Admin Control Panel von Invision Power Board glänzt durch klare Strukturen und eine übersichtliche
Anordnung von News und Konfigurationsoptionen.
zu platzieren. Das Konzept ähnelt damit
dem von Vbulletin, geht aber einen
Schritt weiter.
Sind neue Versionen oder Updates der
Software verfügbar, meldet der Hersteller
dies per Mail an den Admin und veröffentlicht
einen Hinweis im Control Panel.
Das Einspielen der Aktualisierungen geschieht
genau wie bei Vbulletin über die
Installation eines entsprechenden Pakets
und verläuft ebenso unproblematisch.
Fazit
Wer bei Fragen auch mal einen Tag länger
auf Antworten warten kann oder
Chats im IRC nicht scheut, muss keineswegs
zu einem der kostenpflichtigen Systeme
greifen, nur weil er guten Support
wünscht. Sowohl die PHP-BB- als auch
die SMF-Community beantwortet Fragen
schnell und freundlich. Auch Hilferufe
im deutschen Vbulletin-Forum erhörten
die Mitglieder und gaben kompetent und
ausführlich Auskunft.
Der Support von IPB fiel im Test dagegen
ab, antwortete auf Fragen häufiger mit
Gegenfragen, half dann aber anstandslos
weiter. Dennoch: Von einem bezahlten
Dienstleister darf man etwas mehr Hilfsbereitschaft
erwarten.
Was die Zugriffsrechte betrifft, gliedern
sich die Testkandidaten in zwei Gruppen
auf: dreigeteilte Systeme (PHP BB
und SMF) und klassische Zweiteilungen
(Vbulletin und IPB). Auf den ersten Blick
mögen Erstere komplizierter wirken, allerdings
erleichtern sie dem Administrator
im alltäglichen Forenbetrieb seine
Aufgabe ungemein.
Ein Blick hinter die Kulissen und in den
Quellcode der Kandidaten offenbart
enorme Unterschiede. Im direkten Vergleich
schneidet das Simple Machine
Forum hier am schlechtesten ab. Eine
Struktur ist fast nicht zu erkennen, der
Code scheint eher gewachsen als geplant
zu sein. Das spiegelt sich auch konsequent
im Template-Aufbau wider. Die
Vermischung von HTML und PHP widerspricht
der Trennung von Funktion
und Aussehen und macht es Designern
unnötig schwer, individuelle Templates
zu entwickeln.
PHP BB leistet sich in diesem Bereich
keine Patzer, sticht allerdings auch nicht
besonders positiv hervor. Ein Layer trennt

Online-Suche
Linux New Media AG
Anzeigenabteilung
Putzbrunner Str. 71
D-81739 München
Tel.: +49 (0)89/99 34 11-23
Fax: +49 (0)89/99 34 11-99
die Datenbank zwar sauber vom Rest,
dennoch wären solche Ebenen auch an
anderen Stellen hilfreich, um die Erweiterbarkeit
zu verbessern und doppelten
Code zu verringern.
Wer Vbulletin genauer unter die Lupe
nimmt, bekommt den Eindruck, dass
die Entwickler anfangs ein Konzept verfolgt,
es dann später aber nicht konsequent
umgesetzt haben. Einige Layer
sind vorhanden, teilweise sorgen sogar
Klassen für die Trennung der einzelnen
Funktionsteile. An anderen Stellen findet
jedoch keine Auslagerung in Klassen
mehr statt, sondern es gibt nur noch
Funktionen, was es Entwicklern erschwert,
in Abläufe einzugreifen oder
Funktionalitäten schnell und einfach zu
übernehmen.
Mit Abstand die durchdachteste Codestruktur
zeigt Invision Power Board.
Klassen beschreiben die einzelnen Funktionalitäten
und der Code scheint sauber
aufgeteilt. So gibt es beispielsweise Datenbank-,
Funktions- und Template-Layer.
Ungeübte Entwickler benötigen dadurch
eventuell eine längere Einarbeitungszeit,
können aber anschließend viel leichter
Modifikationen vornehmen.
Schaut man die Aktualisierungsverwaltung
an, haben Invision Power Board
und Vbulletin die Nase vorn, da Modifikationen
bei ihnen meist keinen Eingriff
in die Quelldateien erfordern und daher
in der Regel auch Updates überleben.
Zwar gibt es für die Erweiterungen bei
PHP BB und Simple Machines Forum
Möglichkeiten, die Vorgänge zu automatisieren,
dennoch erfordern Addons
hier immer eine grundlegende Veränderung
der Codestruktur. Läuft einmal
etwas schief, ist es äußerst aufwändig,
den entsprechenden Code-Abschnitt zu
finden und zu fixen.
So bleibt am Ende die Erkenntnis, dass
keines der vorgestellten Programme perfekt
ist. Es bleibt der Wunsch nach einem
Forensystem, das den strukturellen Auf-
bau, die Dokumentation und Community
von PHP BB hat, das Berechtigungssystem
von Simple Machines Forum, den
Funktionsumfang und die Fülle der
Modifikationen von Vbulletin und vom
Codeaufbau her Invision Power Board
ähnelt. (hej)
n
Infos
[1] PHP BB: [https:// www. phpbb. de]
[2] Automod:
[https:// www. phpbb. de/ kb/ automod]
[3] Simple Maschines Forum:
[http:// www. simplemachines. org]
[4] Vbulletin: [http:// www. vbulletin-germany. com]
[5] Vbulletin-Erweiterungen (engl.):
[http:// vbulletin. org]
[6] Deutsche Vbulletin-Addon-Seite:
[http:// www. vbulletin-germany. org]
[7] Invision Power Board:
[http:// community. invisionpower. com]
[8] Deutscher IPB-Support:
[http://www.ipbsupport. de]
Bitparade 02/2011
Software
www.linux-magazin.de
67
Hier finden Sie Linux-Profis
in Ihrer Nähe!
112
Linux-Magazin 08/09 IT-Profimarkt
Service
PROFI
MARKT
Sie fragen sich, wo Sie maßgeschneiderte
Linux-Systeme und kompetente
Ansprechpartner zu Open-Source-Themen
finden? Der IT-Profimarkt weist Ihnen
als zuverlässiges Nachschlagewerk
den Weg. Die hier gelisteten Unternehmen
beschäftigen Experten auf ihrem
Gebiet und bieten hochwertige Produkte
und Leistungen.
Hardware, Software, Seminaranbieter,
Systemhaus, Netzwerk/TK und Schulung/Beratung.
Der IT-Profimarkt-Eintrag
ist ein Service von Linux-Magazin
und LinuxUser.
Informationen
fordern Sie bitte an bei:
Die exakten Angebote jeder Firma entnehmen
Sie deren Homepage. Der ersten
Orientierung dienen die Kategorien
Besonders bequem finden Sie einen Linux-Anbieter
in Ihrer Nähe über die neue
Online-Umkreis-Suche unter: [http://
www.linux-magazin.de/IT-Profimarkt]
IT-Profimarkt – Liste sortiert nach Postleitzahl
Firma Anschrift Telefon Web 1 2 3 4 5 6
E-Mail: anzeigen@linux-magazin.de
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de 3 3 3 3
imunixx GmbH UNIX consultants 01468 Moritzburg / bei Dresden, Heinrich-Heine-Str. 4 0351-83975-0 www.imunixx.de 3 3 3 3 3
future Training & Consulting GmbH Leipzig 04315 Leipzig, Kohlgartenstraße 15 0341-6804100 www.futuretrainings.com 3
LR IT-Systeme, Jörg Leuschner u.
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
4= Fachliteratur 5 = Software 6 = Beratung
Mario Reinhöfer GbR 04626 Schmö ln, Kirchplatz 3 034491-567813 www.lr-itsysteme.de 3 3 3 3 3
future Training & Consulting GmbH Ha le 06 16 Ha le (Saale), Fiete-Schulze-Str. 13 0345-56418-20 www.futuretrainings.com 3
TUXMAN Linux Fan-Shop 10367 Berlin, Mö lendor fstr. 44 030-97609773 www.tuxman.de 3 3 3 3 3
Xtops.DE, Werner Heuser 13189 Berlin, Granitzstr. 26 030-3495386 www.xtops.de 3 3
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-A lee 25 030-2345869-6 www.elegosoft.com 3 3 3 3
future Training & Consulting GmbH Berlin 13629 Berlin, Wernerwerkdamm 5 030-34358899 www.futuretrainings.com 3
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de 3 3 3
i.based: Systemhaus GmbH & Co.KG 18439 Stralsund, Langenstr. 38 03831-28944-0 www.ibased.de 3 3 3 3 3
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de 3 3 3 3
Sybuca GmbH 20459 Hamburg, Herrengraben 25 040-27863190 www.sybuca.de 3 3 3 3 3
i Tec hn o l og y Gmb H c/ o C :1 So lu t i on s Gm bH 220 83 Ham b urg , O ster be kstr. 9 0 c 040-52388-0 www.itechnology.de 3 3 3 3
UDS-Linux - Schulung, Beratung, Entwicklung 22087 Hamburg, Lübecker Str. 1 040-45017123 www.uds-linux.de 3 3 3 3 3 3
Comparat Software-Entwicklungs- GmbH 23558 Lübeck, Prießstr. 16 0451-479566-0 www.comparat.de 3 3
Print, im Marktteil
future Training & Consulting GmbH Wismar 23966 Wismar, Lübsche Straße 22 Dr. Plöger & Ko legen secom consulting
GmbH & Co. KG 24105 Kiel, Waitzstr. 3 MaLiWi IT 28309 Bremen, Bippenstr. 13 03841-222851 www.futuretrainings.com 0431-66849700 www.secom-consulting.de 0421-1752122 www.maliwi.it 3
3 3 3 3 3
3 3 3 3 3
(
talicom GmbH 30169 Hannover, Calenberger Esplanade 3 05 1-123599-0 www.talicom.de 3 3 3 3
Servicebüro des grafischen Gewerbes 31789 Hameln, Talstraße 61 05151-774800 www.karsten-mue ler.org 3
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net 3 3 3 3 3
MARCANT INTERNET-SERVICES GmbH 33602 Bielefeld, Ravensberger Str. 10 G 0521-95945-0 www.marcant.net 3 3 3 3 3 3
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 02 1-239577-0 www.OpenIT.de 3 3 3 3 3
bee Baastrup EDV-Entwicklung GmbH 44135 Dortmund, Schwanenwa l 40 0231- 587 19- 0 sta ti c .b ee.de/ L in ux N M 3 3 3 3 3
Dennis Grosche EDV Dienstleistungen 44536 Lünen, Technologiezentrum Lünen,
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de 3 3 3 3 3
Linuxhotel GmbH 45279 Essen, Antoniena lee 1 0201-8536-600 www.linuxhotel.de 3
Am Brambusch 24 0231-1768259 www.grosche.net 3 3 3 3 3
Herste l 45888 Gelsenkirchen, Wildenbruchstr. 18 02098503020 www.herste l.info 3
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.de 3
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 osnabrueck.intevation.de 3 3 3 3
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. A le Angaben ohne Gewähr. (S. 116)
Online
PROFI
MARKT
www.it-profimarkt.de
Jetzt neu!

Software
www.linux-magazin.de Webmapping 02 /2011
70
Die Web-GIS-Frameworks Open Layers, Mapfish und Mapbender
Web-Globus
Immer mehr Online-Kartendienste setzen auf Open-Source-Tools. Dieser Artikel stellt mit Open Layers, Mapbender
und Mapfish die drei bekanntesten vor und zeigt ihre Einsatzgebiete. Christoph Baudson, Peter Stamm, Markus Feilner
© Sebastian Duda, 123RF.com
Geomarketing, Umsatz­ und Bedarfsanalysen,
Informationen für Touristen und
Bürger: Auf mehr und mehr größeren
Webseiten tauchen interaktive Karten
auf. Google trat den Boom mit Maps,
Earth und Street View los und für viele
Anwender ist es schon selbstverständlich,
das Hotel „um die Ecke“ schnell übers
Internet oder Smartphone ausfindig zu
machen und raumbezogene Daten übersichtlich
in klick­, pan­ und zoombaren
Karten zu durchforsten.
Dieser Artikel untersucht drei ausgewählte
Produkte aus dem Bereich der
Geo­Informatik, mit denen sich kartenbasierte
Anwendungen einfach und professionell
erstellen lassen: Mapbender [1],
Open Layers [2] und Mapfish [3].
Die Programme verfolgen zwar unterschiedliche
Ansätze, lassen sich aber
auch hervorragend kombinieren. Denn
nur auf den ersten Blick erfüllen sie den
gleichen Zweck, Karten anzuzeigen und
dem Benutzer grundlegende Navigationsmöglichkeiten
zu bieten. Viele Unterschiede
manifestieren sich eher im
Inneren des Webservers.
Open Layers
Open Layers haben die Initiatoren als
Alternative zu den proprietären Google­
Maps­Lösungen entwickelt, es liegt mittlerweile
in Version 2.10 vor. Unkompliziert
erlaubt es dynamische Karten auf
der eigenen Webseite. Die Hauptmotivation
der Entwickler ist die Benutzerfreundlichkeit,
was vor allem dem Einsatz
von Kachelungsdiensten zu verdanken
ist (siehe Kasten „Bildkacheln oder
Webservice?“). Auch wenn Open Layers
Dutzende anderer Formate nutzt (Abbildung
1) und viele moderne GIS­Standards
beherrscht, haben solche Kachel­Services
Vorteile: Sie stellen die Karten über einfache
und bewährte Verzeichnisdienste
eines Webservers bereit und gewähren
so eine hohe Skalierbarkeit.
Open Layers ist im Grunde eine Javascript­Bibliothek,
die Karten in andere
Webanwendungen einbettet. Die Grundfunktionen
orientieren sich an denen von
Google Maps, übertreffen diese jedoch in
einigen Bereichen. Zoom­Funktion mit
Mausrad, Slippy­Map, Kachelung, Web­
Map­Service­Unterstützung (WMS, [4]),
aber auch temporäre Objekte und eine
umfangreiche Web­basierte Rendering­
Engine gehören dazu.
Die Konfiguration erfolgt über eine recht
einfache Syntax, die der Administrator
in einer HTML­Seite hinterlegt. Listing
1 zeigt das wohl einfachste Hallo­Welt­
Beispiel aus der Dokumentation, eine
Weltkarte im Vollbild, generiert aus
WMS­Links. Für kompliziertere Beispiele
sind gute Javascript­Kenntnisse erforderlich.
Mit steigender Funktionalität der
Anwendungen kann das schnell recht
anspruchsvoll werden.
Als reiner Javascript­Kartenviewer ist
Open Layers nicht mit Mapbender oder
Mapfish zu vergleichen. Diese beiden
Projekte decken ein viel breiteres Spektrum
ab und sind sich konzeptionell ähnlicher:
Sowohl Mapfish als auch Mapbender
bestehen beispielsweise aus einer
Client­ und einer Serverkomponente.
Mapbender
Mapbender ([8], Abbildung 2) ist das
älteste der drei Projekte und als mandantenfähiger
Kartenviewer konzipiert,
der eine einfache Administration per
Weboberfläche erlaubt. Er zielt auf Anwender,
die große Mengen an Kartendiensten
einer Vielzahl von Benutzern
in unterschiedlichen Konfigurationen zur
Verfügung stellen möchten, aber selbst
nicht programmieren wollen. Mapbender
ist quasi das CMS für Geo­Inhalte.

www.linux-magazin.de
Webmapping 02/2011
Software
71
Abbildung 1: Open Layers ist nicht auf Geodaten
beschränkt, sondern dient auch als komfortabler
Viewer für vielerlei Bildformate, hier für ein
Mandelbrot-Fraktal.
Abbildung 2: Mapbender wird gerade vollständig überarbeitet, seine Stärken liegen im unkomplizierten Einbinden
externer Datenquellen. Die Abbildung zeigt das Geoportal für Fahrradtouristen in Rheinland-Pfalz.
Sowohl die eingebundenen Datendienste
als auch bestimmte Funktionen wie das
Editieren oder das Hinzuladen weiterer
Dienste lassen sich einzelnen Nutzern
oder Nutzergruppen (Rollen) zuordnen.
Damit das klappt, müssen die Dienste
den gängigen Standards und Normen im
GIS­Bereich entsprechen, also den Vorgaben
der ISO sowie des Open Geospatial
Consortiums (OGC).
Als Basis bedarf es eines Webservers mit
PHP, MySQL oder PostgreSQL und einer
Datenbank mit dem Namen »mapbender«.
Nach ein wenig Konfigurationsarbeit
(gut dokumentiert im Mapbender­Wiki)
trägt der Admin in der Datei »mapbender.
conf« den Datenbank­Server und ­Port
sowie Zugangsdaten ein (in der neuesten
Version übernimmt das ein GUI) und
spezifiziert gegebenenfalls Mailserver,
Logging­URLs und Modulpfade:
define("DBSERVER", "");
define("PORT", "");
define("DB", "");
define("OWNER", "");
define("PW", "");
Externe Geodatendienste bindet der Anwender
im Web­GUI per Mausklick ein,
in der Regel kommen hier die langen
WMS­URLs zum Einsatz.
Mapfish
Das Projekt Mapfish ist das jüngste im
Vergleich und bietet Software­Entwicklern
ein Framework zur Erstellung komplexer
Web­GIS­Anwendungen (Abbildung 3).
Mapfish unterstützt zahlreiche Programmiersprachen
und kombiniert etablierte
Komponenten aus dem Open­Source­
Bereich zu einem Stack. Dazu zählen
Datenbankadapter wie SQL Alchemy [9],
Hibernate oder die mächtige Javascript­
Bibliothek Ext JS [10] zur Oberflächenerstellung.
Mapfish kann auch Open Layers
als Komponente zur Kartendarstellung
heranziehen.
Der Kartenfisch setzt auf Python 2.5
oder 2.6, der Admin installiert es über
ein Skript von der Webseite mit »python
go­mapfish­framework­1.2.py ­­no­site
­packages env«. Das richtet die Umgebung
Env ein, das Kommando »source
env/bin/activate« aktiviert sie. In dem
Listing 1: »openlayers.html«
01
02
04
05
06
07 html,body {
08 height: 99%;
09 width: 99%;
10 }
11 #map {
12 width: 100%;
13 height: 100%;
14 border: 1px solid black;
15 }
16
17
18
19
20
21
22 var map = new OpenLayers.Map('map',
{maxResolution: 0.703125} );
23 var wmscURL = [
24 "http://wmsc1.terrapages.net/getmap?",
25 "http://wmsc2.terrapages.net/getmap?",
26 "http://wmsc3.terrapages.net/getmap?",
27 "http://wmsc4.terrapages.net/getmap?"
28 ];
29 var terrapagesStreetLayer = new OpenLayers.
Layer.WMS( 'TerraPages Street',wmscURL,
{layers: 'UnprojectedStreet', format: 'image/
jpeg' }, {buffer: 1, isBaseLayer: true} );
30 map.addLayer(terrapagesStreetLayer);
31 map.zoomToMaxExtent();
32
33
34

Software
www.linux-magazin.de Webmapping 02 /2011
72
Die Vorteile von Mapfish sind derzeit vor
allem unter der Haube zu finden, der
Code ist klarer strukturiert als in Mapbender,
die Komponenten sind besser
isoliert und es gibt ein umfangreiches
REST­API für unterschiedliche Sprachen,
Entwickler fühlen sich hier schnell wohl.
Die Mapbender­Codebasis ist ungleich
komplexer und weist aufgrund ihres Alters
einige gewachsene Strukturen auf,
was aber in der für 2011 angekündigten
Version 3 bereinigt sein soll.
Beim Zuschneiden von modernen User­
Interfaces mit schicken Effekten unterscheidet
sich die Leistungsfähigkeit der
zwei Produkte nicht grundlegend. Die
Ext­ und Geo­Ext­Bibliotheken bieten
die gleichen Aufklapp­Fenster, Zoomefdarauf
folgenden Prompt »(env)« prüft
Pythons »paster«­Kommando den Erfolg
der Installation (Listing 2).
Die umfangreiche Javascript­Toolbox bindet
der Anwender mit dem Paster ein,
ebenso die Webservices, für die eine
Post­GIS­Datenbank notwendig ist. Die
Layer­Konfiguration findet dabei in ».ini«­
Dateien statt, alles fein säuberlich dokumentiert
auf [3].
Die Unterschiede
Open Layers ist eine Javascript­Bibliothek
für Webentwickler, Mapbender ein Softwarepaket
zum Management von Diensten
und Nutzern in Geoportalen, Mapfish
das Entwicklerframework für komplexe
Web­GIS­Anwendungen. Alle drei lassen
sich auch in den anderen Kontexten
einsetzen, was aber meist erheblichen
Mehraufwand verursacht.
Mapfish besteht aus mehreren Komponenten,
Open Layers ist ein integraler
Bestandteil davon. Dazu kommen eigene
Javascript­Dateien und Geo­Ext­Komponenten
[11]. Das sind mächtige, mit der
Ext­JS­Javascript­Bibliothek entwickelte
Widgets für Open Layers. Auch Geo Ext
lässt sich durch die User Extensions um
eigene Widgets erweitern. Mapfish ist in
HTML und Javascript programmiert, ein
eigenes API ist ebenfalls enthalten und
für verschiedene Programmiersprachen
ausgelegt.
Der Mapbender­Client bringt ebenfalls
eigenes Javascript mit, das auf der
schlanken Jquery­Bibliothek [12] basiert.
Standardmäßig nutzt er seinen eigenen
Kartenviewer, die Widgets wie die Suchmodule
oder zur Digitalisierung fußen
auf Jquery­UI­Komponenten, einer Bibliothek
aus populären Jquery­Plugins, die
sich mit dem Jquery UI Themeroller [13]
gestalten lassen. Auch Open Layers kann
als Kartenviewer arbeiten, das aber un­
terstützen noch nicht viele Mapbender­
Widgets. Auch wenn das Erstellen einer
Anwendung ohne Programmierkenntnisse
über eine Weboberfläche vonstatten
geht, erfordert der Prozess doch einige
Kenntnisse in der Mapbender­eigenen
Anwendungslogik.
Daten editieren mit dem
Mapfish-Server
Der Mapfish­Server erlaubt es, räumliche
Daten über eine REST­Schnittstelle
einzufügen, zu aktualisieren, abzufragen
und zu löschen. Damit unterscheidet
sich Mapfish stark von Mapbender,
das keine eigene Geodaten­Haltung hat
und verteilte Architekturen bedient. Das
REST­Protokoll von Mapfish ist sowohl
in Python, PHP und Java als auch in
Ruby implementiert. Der Mapfish­Server
erweitert das Python­Framework Pylons
[14] und benutzt GIS­Bibliotheken wie
Shape ly [15] oder das Python­SQL­Toolkit
SQL Alchemy [9].
Der Mapbender­Server ist in PHP implementiert
und orchestriert oder administriert
außer OGC­konformen Diensten
auch Benutzer und Applikationen. Dadurch
kann jeder berechtigte User Anwendungen
erzeugen oder bearbeiten
und anderen Benutzern Zugriff gewähren.
Applikationen bestehen neben einem
Kartenviewer und Widgets aus Diensten
wie OGC WMS und WFS. Anders als
Mapfish nutzt Mapbender ausschließlich
standardisierte Dienste (transaktionale
Web Feature Services), um Geometrien
zu suchen, anzulegen und zu ändern,
sowie WMS zur Anzeige.
Alle Dienste konfiguriert der Anwender
über Oberflächen per Mausklick, die
Konfiguration landet in einer PostgreSQL­
Datenbank. Für spezielle GIS­Methoden
greift Mapbender auf Postgis [16] zurück.
Auch Administrationstätigkeiten erfolgen
im Webinterface.
Fisch oder Bieger?
Listing 2: » paster create
--list-templates«
01 Available templates:
02 basic_package: A basic setuptools‐enabled package
03 mapfish: MapFish application template
04 mapfish_client: MapFish client plugin template
05 paste_deploy: A web application deployed through
paste.deploy
06 pylons: Pylons application template
07 pylons_minimal: Pylons minimal application template
Abbildung 3: Mapfish im Einsatz im Kanton Solothurn. Das umfangreiche Framework glänzt mit API, Erweiterungen
und einem Editor, der die Änderungen in die Daten auf dem Server schreibt.

Bildkacheln oder Webservice?
In Web-basierten Kartendiensten stellt sich vor
allem bei Vektordaten häufig die Frage, ob die
Software die vorliegenden Geo-Informationen
nativ darstellen und per standardisiertem Web
Map Service (WMS, [4]) einbinden soll oder ob
sie fertige, vorgerechnete Kartenkacheln nutzt,
so wie Google Maps das macht.
Immer aktuell oder immer schnell?
WMS-Dienste greifen bei jedem Kartenaufruf
auf die Datenquelle zu, die Darstellung ist also
immer aktuell. Kacheln dagegen können keine
dynamischen Daten enthalten. Wer also sich
schnell ändernde Inhalte visualisieren will, für
den hat die Kachelung eher Nachteile.
Mit Geo Web Cache [5] gibt es zwar eine von
mehreren Kachelungslösungen, die bei geänderten
Daten bis auf den Server durchgreifen.
Das hebelt allerdings die Vorteile schneller
Antwortzeiten und überschaubarer Netzlasten
mindestens teilweise wieder aus, von der zusätzlichen
Komplexität einer weiteren Server-
Softwarekomponente ganz zu schweigen.
Koordinatensysteme und Projektionen
Ein weiterer klarer Vorteil des WMS-Standards
ist die Unterstützung unterschiedlicher Koordinatensysteme
und Kartenprojektionen aus einer
Datenquelle. Vereinfacht gesagt kann ein Datenbestand,
der beispielsweise im metrischen
Koordinatensystem Gauß-Krüger vorliegt (wie
bei vielen Katasterdaten der Regelfall, [6]),
auch in einer anderen Projektion auf der Karte
erscheinen. Die Software rechnet ihn on the Fly
um und stellt auf Wunsch auch unterschiedliche
Datenbestände überlagernd dar.
Bei gekachelten, also vorab in Rasterbilder umgewandelten
Daten muss der Server dagegen
für jedes Koordinatensystem und jede Projektion
einen eigenen Bestand an Rasterkacheln
anlegen und vorhalten. Das führt schnell zu
sehr großen Datenmengen auf dem Webserver,
deren Erzeugung bei höheren Zoomstufen Stunden
in Anspruch nimmt, bei großen Projekten
auch Tage.
Auch hier helfen zwar Programme wie Geo Web
Cache oder Mapproxy [7], allerdings bedarf
es beim Planen einer Kartenanwendung einer
gründlichen Untersuchung, ob die Vor- oder
die Nachteile eines gekachelten Dienstes überwiegen.
Eine generelle Aussage dazu gibt es
nicht, es hängt ganz vom Datenbestand und
Einsatzzweck der Anwendung ab. Jeder Webseitenbetreiber
muss selbst abwägen, ob er
die eigenen Daten hochperformant als Kacheln
oder hochdynamisch als WMS-Dienst an den
Browser ausliefern möchte.
Webmapping 02/2011
Software
www.linux-magazin.de
73
fekte und andere Web­2.0­Gimmicks der
Jquery­Bibliothek. Der Themeroller in
Mapbender hilft die Layouts anzupassen,
auch eigene Looks sind möglich.
Lizenzen
Mapfish unterliegt der GPL 3.1, einige
Komponenten auch anderen Lizenzen.
Vor allem die Bestimmungen bei der
Ext­JS­Bibliothek, die es neuerdings nur
mehr mit einer proprietären Lizenz gibt,
sind etwas unklar. Mapbender dagegen
ist unter einer dualen Lizenz veröffentlicht
(BSD oder GPL 2.3). Das Copyright
liegt bei der Osgeo [17], die sehr klare
Vorschriften beim Ändern der Lizenz
macht. Das Projekt gehört damit der Osgeo­Community.
Open Layers unterliegt
einer BSD­Lizenz, das Copyright liegt bei
den Entwicklern. Allerdings ist auch hier
eine Diskussion darüber im Gange, es an
die Osgeo abzutreten.
Was darf’s sein?
Mapbender zeigt eher den Charakter
einer Clientsoftware, während Mapfish
ein umfangreiches Entwicklerwerkzeug
darstellt. Beide Frameworks nutzen auf
Wunsch Open Layers als Bibliothek, es
kann aber auch als eigenständige Anwendung
ohne integrierte Serverkomponente
fungieren. Wer viele Dienste durch unterschiedlich
berechtigte Nutzer in verteilten
Architekturen verwalten, schützen und
überwachen will, für den ist Mapbender
die erste Wahl. Zwar gibt es auch in
Mapfish einige Entwicklungen in dieser
Richtung, sie sind aber noch in einem
sehr prototypischen Zustand.
Mapfish ist dagegen die Plattform der
Wahl für alle, die Open Layers mit allen
Facetten nutzen wollen, einschließlich
temporär gerenderter Objekte, zum Beispiel
für die Druckvorstufe. Hier greift
die Erweiterung Geo Ext, die als Widget
alle Open­Layers­Objekte und ­Methoden
kapselt und bereitstellt – aber eher für
Webdeveloper, weniger für den Endbenutzer.
Als umfangreiche Entwickler­
Suite ist heute Mapfish die komfortabelste
Lösung.
Open Layers ist derzeit der De­facto­Standard
für Webentwickler, die mit wenig
Aufwand eine Karte in ihre Anwendung
einbinden wollen. Für sie lohnt sich oft
der Aufwand nicht, Mapbender oder
Mapfish in Betrieb zu nehmen. Auch
völlig GIS­fremde Projekte nutzen Open
Layers als flotten Viewer komplexer Bilddaten,
wie das Fraktal in Abbildung 1
zeigt. So abseitig ist das gar nicht: Die
Webseiten der Projekte zeigen weit skurrilere
Einsatzszenarien rund ums schnelle
Darstellen großer Bilddateien. n
Infos
[1] Mapbender: [http://www.mapbender.org]
[2] Open Layers: [http://openlayers.org]
[3] Mapfish: [http://www.mapfish.org]
[4] OGC WMS: [http://www.opengeospatial.
org/standards/ wms]
[5] Geo Web Cache: [http://geowebcache.
sourceforge. net]
[6] Dietmar Fleischhauer, Frank Jäger,
Markus Feilner, „Im Freien vermessen“:
Linux-Magazin 10/ 10, S. 100
[7] Mapproxy: [http://mapproxy.org]
[8] Arnulf Christl, „Europäisch inspiriert“:
Linux-Magazin 07/ 08, S. 76
[9] SQL Alchemy
[http://www. sqlalchemy.org/]
[10] Ext JS:
[http://www. sencha.com/products/js]
[11] Geo EXT: [http://geoext.blogspot.com]
[12] Jquery: [http://jquery.com]
[13] Jquery UI Themeroller: [http://jqueryui.
com/themeroller]
[14] Pylons: [http://pylonshq.com]
[15] Shapely: [http://trac.gispython.org/lab/
wiki/Shapely]
[16] Georg Lösel, Markus Feilner, „Ein Elefant
als Basis“: Linux-Magazin 09/ 07, S. 56
[17] Osgeo: [http://www.osgeo.org]
Die Autoren
Peter Stamm hat in Würzburg und Bonn Geographie
studiert. Nach einer Anstellung als wissenschaftlicher
Mitarbeiter im Bundestag ist er
heute bei der Where Group, einem Open-Source-
Beratungshaus im Bereich GIS tätig.
Christoph Baudson ist Diplom-Informatiker und
entwickelt mit Mapbender, Mapfish und Open Layers
Webanwendungen unter dem Motto „Developing
software at a sustainable pace“. Er bloggt
unter [http://blog.baudson.de].

Software
www.linux-magazin.de Tooltipps 02/2011
76
Werkzeuge im Kurztest
Tooltipps
Etherdump 2.10
Kleiner Paket-Sniffer für unterwegs
Quelle: [http:// sourceforge.net/projects/
psydev]
Lizenz: GPLv2
Alternativen: Tcpdump, Whireshark
Fetch Yahoo 2.14.0
Yahoo-Mails ohne POP3-Zugang herunterladen
Quelle: [http:// fetchyahoo.twizzler.org]
Lizenz: GPLv2
Alternativen: Yahoo Mail Sucker
Group Shell 0.3.1
Bequeme Fernwartung von Serverfarmen
Quelle: [http:// guichaz.free.fr/gsh]
Lizenz: GPLv2
Alternativen: Parallel SSH, Cluster SSH
Tcpdump und Whireshark sind Quasi-
Standards, um den Netzwerkverkehr zu
protokollieren. Eine kleine, kompakte Alternative
kommt in Form von Etherdump
– gerade mal 18 KByte groß, empfiehlt
sich das Tool für die Rescue-Disk oder ein
Embedded-Device.
Falls der Anwender kein anderes Interface
beim Aufruf angibt, lauscht Etherdump
auf »eth0«. Standardmäßig beobachtet
es dabei die Kommunikation der Protokolle
ICMP, ARP, IP, TCP und UDP.
Wer nicht alle Pakete erfassen möchte,
setzt einen Filter für die Protokolle.
Etherdump schreibt seine gesammelten
Informationen auf die Standardausgabe,
auf Wunsch auch in eine Datei. Als Ausgabeformate
stehen das binäre Raw-, das
Ascii-basierte Hex- und das Tcpdump-
Format zur Verfügung. Letzteres ist seit
Version 2.10 der Standard und ideal
geeignet, wenn der Anwender die Ergebnisse
mit Whireshark oder Tcpdump
weiterverarbeiten möchte.
Zurzeit analysiert Etherdump lediglich
IPv4. Ob und wann eine IPv6-fähige
Programmversion erscheint, ist nicht
bekannt.
★★★★★ Mit Etherdump steht eine kompakte
Alternative zu den bekannten Tools
Tcpdump und Whireshark bereit. n
Dass Yahoo seinen Free-Mail-Kunden
den SMTP- und POP3-Zugriff entzogen
hat und sie auf das eigene Webfrontend
verweist, ist sicher vielen sauer aufgestoßen.
Das Perl-Skript Fetch Yahoo bietet
eine elegante Lösung für alle, die ihre
Mails lieber weiter im eigenen Client lesen.
Ähnlich wie Fetchmail holt das Tool
Mails vom Server des Providers.
Über Optionen hat der Anwender die
Möglichkeit, alle oder nur die neuen
Nachrichten herunterzuladen, Mails nach
der Übertragung auf dem Server zu löschen
beziehungsweise diese ohne vorherigen
Download zu entfernen (»--nodownload«).
Eine Liste aller im Mailkonto
enthaltenen Nachrichten verrät der Parameter
»--onlylistmessages«.
Fetch Yahoo zeigt den Absender, die Betreffzeile,
das Datum und die Größe in
KByte an. Weitere Optionen beeinflussen
den Mailfolder oder die Anzahl der Nachrichten,
die Fetch Yahoo abholt. Eine Option
zur Größenbeschränkung des Downloads
bietet das Skript leider nicht.
★★★★★ Fetch Yahoo erlaubt es auch
Kunden ohne kostenpflichtiges Konto,
ihre Mails auf dem eigenen Rechner zu
lesen. Lediglich für den Versand müssen
sie auf SMTP-Relays ihres Providers oder
andere Skriptlösungen zurückgreifen. n
Group Shell, kurz Gsh, ist ein Shell-Multiplexer
und unterstützt Administratoren
bei den immer wiederkehrenden Wartungsarbeiten
auf mehreren Rechnern
oder ganzen Serverfarmen. Das Tool initiiert
den Verbindungsaufbau per SSH
und führt anschließend sämtliche Befehle
auf allen Systemen aus. Alternativ verwendet
der Admin Gsh interaktiv wie
eine normale Shell.
Auf welchen Rechnern das Tool arbeitet,
entnimmt es einer Datei, welche die
IP-Adressen oder Hostnamen der Zielrechner
auflistet. Spezielle SSH-Einstellungen,
wie etwa einen alternativen Port,
kann der Admin ebenfalls beim Aufruf
definieren. Auch hier gelten die Optionen
wieder für alle Remotesysteme. Die
Rückmeldungen der Rechner erscheinen
im Fenster der Group Shell.
Das Tool setzt übersichtlich vor jede Zeile
den Namen beziehungsweise die IP des
entfernten Rechners. Auf Wunsch protokolliert
es die aktuellen Verbindungen.
Zur Fehleranalyse steht außerdem ein
Debugmodus bereit, den der Anwender
jederzeit über einen Befehl in der Group
Shell aktivieren kann.
★★★★★ Group Shell erleichtert die
Wartung identischer Remotesysteme. Das
Tool eignet sich sowohl für die interaktive
Pflege als auch für den Einsatz in Shellskripten.
n

Patool 0.12
Wrapper für gängige Archivierungstools
Quelle: [http:// patool.sourceforge.net]
Lizenz: GPLv3
Alternativen: Peazip
Srm 1.2.11
Sicheres Löschen auf der Shell
Quelle: [http:// srm. sourceforge.net]
Lizenz: MIT/ X
Alternativen: Rm
ZNC 0.096
Proxy für den Internet Relay Chat
Quelle: [http:// en. znc.in/wiki/ZNC]
Lizenz: GPLv2
Alternativen: Dircproxy, Bip Irc Proxy
Tooltipps 02/2011
Software
www.linux-magazin.de
77
Auch wenn Tar gemeinhin das Maß aller
Dinge für Unix-Archive ist, gibt es doch
einige interessante Alternativen. Mit dem
in Python geschriebenen Patool steht
nun ein Wrapper für die Shell zur Verfügung,
der alle gängigen Archivformate
beherrscht – vorausgesetzt die entsprechenden
Kompressionsprogramme selbst
sind auf dem System vorhanden.
Patool versteht ganze 24 Formate. Die
Palette reicht von 7z über ARC und Cab
bis hin zu LZH und Zoo. Tar und die
Zip-Varianten sind selbstverständlich auch
vertreten und als Sahnehäubchen unterstützt
der Wrapper Deb- und RPM-Pakete.
Eine vollständige Liste zeigt der Parameter
»formats« an. Dieser verrät auch direkt, ob
das jeweilige Kompressionstool auf dem
Rechner installiert ist.
Interessant ist die »repack«-Option, mit deren
Hilfe Patool Archivdateien von einem
Format in ein anderes konvertiert. Das
Quellarchiv bleibt dabei erhalten. Praktisch
sind ebenfalls die integrierten »diff«-
und »test«-Funktionen, die Archive vergleichen
respektive die Integrität prüfen.
Selbstverständlich dürfen Kommandos
zum Erzeugen (»create«) und Entpacken
(»extract«) nicht fehlen.
Da Patool nur ein Wrapper ist, kann es
nicht sämtliche Optionen jedes einzelnen
Programms abbilden. Wer spezielle
Parameter benötigt, greift daher besser
zum Original. Die Fortbewegung im Kompressionsformate-Dschungel
erleichtert
Patool dennoch.
★★★★★ Dank Patool muss sich der Anwender
nicht mehr alle Details der einzelnen
Archivierungsprogramme merken.
Gerade bei selten genutzten Formaten
erweist sich das als echter Vorteil. n
Srm (Secure Rm) ist ein digitaler Reißwolf
für die Shell und entfernt Daten rückstandslos,
sodass auch gängige Recovery-
Tools diese nicht wiederherstellen können.
Dazu überschreibt Srm die Dateien mehrmals,
benennt sie wiederholt um, zerstückelt
sie und löscht sie schließlich. Nach
jedem Durchlauf stellt eine Synchronisationsfunktion
sicher, dass alles auf der Platte
und nicht nur im Cache passiert.
Das Tool hat viel von Rm übernommen,
auch die Aufrufparameter. In der Voreinstellung
bügelt Srm eine Datei ganze 35-
mal über, bevor es sie endgültig aus dem
Verzeichnisbaum entfernt. Wer so viel
Gründlichkeit nicht benötigt, beschränkt
den Schreibvorgang mit der Option
»--simple« auf einen Durchlauf. Gründlicher
hingegen arbeitet das Tool mit der
Option »--openbsd«: Es überschreibt Dateien
dreimal und verwendet für jeden
Durchlauf ein anderes Muster.
Außerdem bietet Srm die Option »--doe«,
um den Vorgaben des US-Department of
Education zu entsprechen. Das heißt, es
finden drei Durchläufe mit jeweils anderen
Überschreibungsmustern statt, wobei
Srm bei den ersten beiden Zufallswerte
verwendet und beim dritten die Datei
dann mit dem Muster DOE füllt. Last but
not least bietet Srm einen Löschmodus,
der die Anforderungen des US-Department
of Defense erfüllt und siebenmal
gründlich saubermacht.
★★★★★ Srm räumt gründlich auf und
entfernt Dateien restlos von der Platte –
ideal, wenn eine Neuformatierung nicht
in Frage kommt.
n
Internet Relay Chat, kurz IRC, ist ein
textbasiertes Chatsystem. Wer keine Unterhaltung
mehr verpassen möchte, ist
entweder mit seinem IRC-Client immer
online oder greift auf ZNC zurück. Dahinter
steckt ein IRC-Proxy, über den
sich der Anwender mit dem IRC-Server
verbindet. Dieser Proxy ist für die
Clients transparent und fungiert einfach
wie ein weiterer IRC-Server. Außerdem
erlaubt er es den Anwendern, mit mehreren
Clients auf denselben IRC-Server
gleichzeitig zuzugreifen, Unterhaltungen
mitzuloggen und zu einem späteren
Zeitpunkt wiederzugeben.
Zur sicheren Kommunikation zwischen
Client und Proxy unterstützt ZNC auch
das SSL-Protokoll. Das benötigte Zertifikat
erzeugt der Nutzer im Handumdrehen
mit dem Parameter »--makepem«.
Auch das Anlegen einer Einrichtungsdatei
automatisiert ZNC mit der Option
»--makeconf«. Will der Anwender die
Konfiguration zu einem späteren Zeitpunkt
anpassen, nutzt er IRC-ähnliche
Kommandos im Client oder verwendet
ein Webfrontend. Alternativ hilft ein Griff
zum Texteditor weiter.
Der Funktionsumfang des Tools ist über
C++- und Perl-Module erweiterbar. ZNC
enthält bereits über 20 Erweiterungen im
Standardumfang. Die Projekt-Webseite
bietet außerdem Beispiele und eine Anleitung
für Nutzer, die selbst Addons entwickeln
möchten.
★★★★★ Wer Dauergast im IRC ist, aber
nicht immer vom selben Rechner aus
chatten kann oder längere Offlinezeiten
hat, findet in ZNC einen zuverlässigen
Proxy und verpasst keine Diskussion
mehr. (U. Vollbracht/ hej)
n

Software
www.linux-magazin.de Projekte 02/2011
78
Neues aus der Welt der freien Software und ihrer Macher
Projekteküche
DJs brauchen kein teures Equipment mehr, denn Mixxx bietet gleichwertigen Ersatz am Computer. Wer lieber
ein Webradio betreibt, erzeugt mit der Programmiersprache Liquidsoap vollautomatisch flexible Streams. Zu
essen gibt’s ein Kartoffel-Kürbis-Gratin mit einer Kruste aus Walnüssen und Ziegenkäse. Carsten Schnober, Heike Jurzik
Abbildung 1: Wer nicht kistenweise Vinyl und Spezialplattenspieler mit sich herumtragen möchte, der findet
in Mixxx ein virtuelles DJ-Set mit allen Schikanen.
„Play them really, really loud!“ Benutzer
der Software Mixxx [1] machen auf diese
Weise ihr Publikum glücklich, denn es
handelt sich bei dem freien Projekt um
ein virtuelles DJ-Pult (Abbildung 1). Andere
mit tanzbarer Tonkunst zu erfreuen
bedeutet aber mehr, als einfach nur Musik
abzuspielen. Es gilt, den passenden
Track im richtigen Moment auf den Plattenteller
zu balancieren, sodass er seinen
Vorläufer zum idealen Zeitpunkt ablöst
und den Tanzrhythmus des Publikums
erfasst. Optimal ist ein Übergang dann,
wenn der Plattenaufleger das Tempo der
beiden einander folgenden Titel aufeinander
abstimmt.
Wie in fast allen Lebensbereichen gibt es
auch beim DJing eher traditionsorientierte
Geister, die auf originale Instrumente bei
der musikalischen Tätigkeit setzen. Als
DJs vor rund 30 Jahren ihren Siegeszug
antraten, besaßen sie gewöhnlich zwei
Plattenteller, zusätzlich ein Mischpult
und ein Mikrofon. Das Abspieltempo der
aufliegenden Schallplatten kontrollierte
der DJ manuell. Hinzu kamen Spezialhandgriffe
wie Scratching, das Geräusche
der übers Vinyl kratzenden Plattennadel
in die Musik integriert.
Besser ausgerüstete Anlagen bieten heutzutage
drei oder vier Audio-Ausgänge,
sodass zwei Geräte den Raum beschallen,
während der DJ auf den verbleibenden
Kanälen per Kopfhörer die weitere
Abfolge plant.
Arbeitsgeräte
Inzwischen haben neue Techniken auch
Einzug in die Welt der Musikaufleger
gehalten, und so greifen viele DJs auf
passende Software als Ergänzung oder
sogar als vollständigen Ersatz für die
klassischen oder die zwischenzeitlich
ebenfalls etablierten CD-Player zurück.
Das bietet gleich mehrere Vorteile: Vorbei
sind die Zeiten, in denen DJs schwere
Schallplattenstapel oder Koffer voller
CDs geschleppt haben, auch teure Spezialplattenspieler
scheinen entbehrlich.
Stattdessen empfehlen sich Laptops mit
einer gut sortierten MP3-Sammlung und
ein Stück Software.
Beim virtuellen Set wollen die DJs
natürlich nicht auf die Möglichkeiten
verzichten, die ihnen das reale Gegenstück
bietet. So haben die Entwickler
von Mixxx, Ken and Tue Haste Andersen
(selbst Hobby-DJs), die wichtigsten
Elemente originalgetreu in Java nachprogrammiert.
Bereits 2001 begann die
Arbeit am Softwaremischpult, als es
kaum Tools dieser Gattung gab, weder
proprietär noch frei.
Inzwischen haben sich die beiden aus
der Entwicklung zurückgezogen, das
Projekt ist unter der GPLv2 an die
Community übergegangen. Adam Davison
und Albert Santoni fungieren als
Projektmanager respektive Haupt entwickler
des großen Teams.
Insgesamt vier virtuelle Kanäle, zwei für
Lautsprecher und zwei für Kopfhörer,
ahmen die herkömmlichen Plattenspieler
nach. Der DJ legt allerdings keine
Platten mehr auf, sondern wählt digitalisierte
Musiktitel aus und mischt deren
Wiedergabe nach Belieben zusammen.
Alternativ dienen die Mixxx-Kanäle, jeweils
einzeln konfigurierbar, als Ton-
Eingabe für Midi-Controller oder reale
Plattenspieler, sodass das Tool vor allem
als Mischpult eine gute Figur macht
(siehe Abbildung 2).
Außerdem unterstützt Mixxx so genannte
DJ-Control-Hardware. Dabei handelt es
sich um Geräte, die optisch und in puncto
Bedienung Plattentellern nachempfunden
sind, jedoch faktisch die Wiedergabe di-

gitalisierter Musik steuern. Schließt der
Musikfreund ein solches Gerät an den
eigenen Rechner an, kann er Mixxx damit
steuern und muss nicht auf Maus und
Tastatur zurückgreifen.
Features
Neulinge in der Welt des virtuellen DJing
haben mit Mixxx keine größeren Startschwierigkeiten.
Die Einstiegsaufgabe, ein
Lied nach dem anderen abzuspielen, ist
schnell bewältigt. Danach ergründet der
Anwender Schritt für Schritt die weiteren
Features – Lieder klingen leise aus,
während das folgende Stück langsam die
akustische Dominanz übernimmt. Mit der
Hot-Cue-Funktion markiert er zudem Stellen
in einem Lied, die sich besonders gut
für Aus- oder Einstieg eignen.
Fortgeschrittene erfreut neben der Anzeige
der Klangwellenform das so genannte
BPM-Meter, das dabei hilft, den
perfekten Übergang zu finden. Es zeigt
die Frequenz des Basis-Beats (Beats per
Minute) an, ein wichtiges Kriterium in
der Welt der elektronischen Musik. Mit
diesem Feature bestimmt der Nutzer den
Einsatz nachfolgender Stücke, wenn sie
gerade die gleiche Geschwindigkeit haben.
Zudem bietet Mixxx eine Funktion,
welche die Geschwindigkeit eines Tracks
verändert, ohne dass sich dadurch auch
die Tonlage verzerrt, was aufgrund der
Akustikgesetze ohne weiteres Eingreifen
der Fall wäre.
Genau diese mehr oder weniger subtilen
Veränderungen an der Originalmusik gehören
zu den gewollten Kunstgriffen eines
DJ. Daher erlaubt der Vinyl-Emulationsmodus
eine gleichzeitige Veränderung
von Geschwindigkeit und Tonhöhe.
Ein wichtiges Element, das DJs schon
früh erfanden, sind Loops. Dabei wiederholen
sie bestimmte Abschnitte eines
Liedes, Samples genannt, in einer
Schleife und mischen diese beispielsweise
in andere Songs hinein. Auch
dabei leistet Mixxx Schützenhilfe. Ein
Klick auf »IN« markiert den Beginn,
»OUT« das Ende. Diese Loop wiederholt
Mixxx nun so lange, bis der DJ sie explizit
beendet. Die einzelnen Schleifen
manipuliert er dabei genauso wie jede
andere Wiedergabe.
The End
Abbildung 2: Mixxx spielt nicht nur Musik des eigenen Rechners ab, sondern
kann auch auf externe Plattenspieler und andere Geräte zugreifen.
Erreicht Mixxx bei der Wiedergabe das
Ende eines Liedes ohne Eingreifen des
DJ, erkennt das Programm das zukünftig
als Standardverhalten für den Song an.
Zur Wahl stehen außerdem »Stop« (Wiedergabe
hält am Ende an), »Loop« (spielt
den Titel erneut) und »Next« (geht zum
nächsten Eintrag der Playlist). Das integrierte
Mischpult bietet auch Basisfunktionen
wie einen Fader für die sanften
Übergänge und einen Equalizer, der die
Lautstärke abhängig von der Tonfrequenz
reguliert.
Dank seiner Plugin-Struktur ist Mixxx gut
erweiterbar. So bilden auch exotisch kodierte
Musikdateien oder neue Hardware
keine unüberwindbaren Hürden. Wer Gefallen
an Mixxx gefunden hat und die
Entwicklung des
Mischpults oder
auch von Addons
aktiv unterstützen
möchte, der findet
Kontaktdaten (IRC-
Channel und Mailinglisten)
auf der
Projekt-Homepage.
Radio-DJs
Mit Urheberrechtsabgaben,
Kontrollen
und einigen
anderen bürokratischen
Hürden versuchen
Regierungen
und Verwaltungen
auf der ganzen Welt schon einige
Zeit lang, Webradios den Saft abzudrehen.
Doch allen Versuchen zum Trotz
florieren die beliebten Privatstationen
weiterhin. Musikliebhaber schicken per
Stream ihre Lieblingstitel in den Netzäther,
andere Internetradios haben wiederum
eher den Charakter gesprochener
Weblogs, in denen die Macher ihre Gedanken
zu den verschiedensten Themen
vortragen.
Unabhängig vom Inhalt besteht ein
Webstream in technischer Sicht aus drei
Komponenten. Die Audiodaten befinden
sich in einer beliebigen Quelle, ein Streamingserver
nimmt sie entgegen und stellt
sie via Internet bereit. Der Client des Hörers
schließlich ruft die Daten ab und gibt
sie normalerweise über die Soundkarte
des Rechners wieder.
An Streamingservern selbst besteht
glücklicherweise kein existenzieller Mangel.
Icecast [2] und Shoutcast [3] heißen
zwei der beliebtesten freien Vertreter.
Auch auf Client-Seite ist das Angebot
groß, fast jeder moderne Desktop bietet
eine integrierte Wiedergabesoftware, die
auch Streams abspielt.
An der Quelle
Liquidsoap [4] verspricht die Zusammenstellung
von Audiodaten zu fertigen
Webstreams zu erleichtern. Die Software
kombiniert auf Wunsch verschiedene
Eingabequellen, beispielsweise lokale
Dateien und Netzressourcen, und kompiliert
daraus einen fertigen Audiostream.
Diesen leitet das Programm dann an einen
Server wie Icecast weiter.
Das Ganze basiert auf einer spezialisierten
Skriptsprache, welche die Liquidsoap-Entwickler
eigens zu diesem Zweck
ins Leben gerufen haben. Das Verfahren
soll dem Streamanbieter die Freiheit geben,
mit überschaubarem Aufwand die
individuell benötigten Features selbst zu
implementieren, statt auf bereits existierende
Lösungen – mit deren zwangsläufig
vorhandenen Beschränkungen – zurückzugreifen.
Eine typische Zeile in einem Liquidsoap-Skript
bezieht sich auf eine Quelle
(»Source«). Gewöhnlich bilden mehrere
Quellen den entstehenden Stream. Ein
Quellobjekt kann beispielsweise ein einzelnes
Lied auf der lokalen Festplatte,
Projekte 02/2011
Software
www.linux-magazin.de
79

Software
www.linux-magazin.de Projekte 02/2011
80
Sprache Objective Caml (Ocaml, [5])
implementiert. Das ist kein Zufall, denn
auch die Liquidsoap-Entwickler stammen
aus diesem Umfeld. Plugins bieten
Schnittstellen zur Einbettung in Webseiten,
unter anderem mit Django, Perl, PHP
und Plone. Wer sich für den aktuellen
Entwicklungsstand der Software interessiert,
sollte einen Blick auf den Bugtracker
des Projekts werfen [6].
Kartoffel-Kürbis-Gratin
Abbildung 3: Die grafische Entwicklungsumgebung Liguidsoap generiert Programme für die Skriptsprache
Liquidsoap. Die gebräuchlichsten Kommandos sind per Mausklick erreichbar.
eine Wiedergabeliste oder eine Sounddatei
im Netz repräsentieren. Des Weiteren
geben »output«-Kommandos einen
Stream an einen Streamingserver aus.
Alternative Ausgabemöglichkeiten sind
Geräte wie die Soundkarte, auch wenn
das im Kontext von Webradios nur selten
von Bedeutung ist.
Ein Icecast-Server verarbeitet mehrere
Streams. Dieses Feature macht sich auch
Liquidsoap zunutze und erlaubt es dem
Heim-DJ, beispielsweise auf Basis von
Metadaten wie Musikgenre oder Künstler,
Soundobjekte bestimmten Streams
zuzusenden. Auch technische Details
wie die Bitrate oder das Format passt
er optional an. Der denkbar einfachste
Aufruf erzeugt ein Soundobjekt aus einer
einzelnen lokalen Ogg-Vorbis-Datei:
»single("file.ogg")«.
Der Benutzer speichert dieses Objekt
beispielsweise in einer Variablen, um es
danach über die Funktion »output.icecast()«
auszugeben. Der Aufruf steuert
einen lokalen oder im Netz vorhandenen
Icecast-Server an. Andere Funktionen
erlauben Fallback-Optionen zu konfigurieren,
falls es zu Problemen beim Abruf
von Ressourcen kommt. Der Stream-
Programmierer kennzeichnet diese auf
Wunsch mit der booleschen Eigenschaft
»fallible« als nicht ausfallsicher.
Liquidsoap kümmert sich auch um Probleme,
die über der Netzebene liegen.
Empfängt das Programm etwa aus einer
Quelle nur noch Stille, reagiert es auto-
matisch darauf, es kommt also wiederum
eine Fallback-Option zum Einsatz.
An die Oberfläche
Die Liquidsoap-Entwickler betonen die
Vorteile ihrer flexibel programmierbaren
Lösung im Vergleich zu einer statischen
Oberfläche. Eine solche wäre zwar möglicherweise
leichter benutzbar, schränkt
den Benutzer allerdings an anderer
Stelle ein. Wer dennoch nicht auf ein
GUI verzichten möchte, sollte sich Liguidsoap
(ebenfalls unter [4] erhältlich)
anschauen. Es handelt sich um eine grafische
Entwicklungsumgebung, über die
der Benutzer per Mausklick Liquidsoap-
Skripte erzeugt (Abbildung 3).
Die Liguidsoap-Oberfläche präsentiert die
gebräuchlichsten Liquidsoap-Kommandos
als Schaltflächen. Der Anwender klickt auf
diese, um in einem separaten Reiter die
entsprechenden Parameter zu definieren.
So konfiguriert er einen Streamingserver
für die Ausgabe oder erzeugt eine Wiedergabeliste
mit den Lieblingstiteln. Auf
Wunsch startet das grafische Tool sogar
einen lokalen Icecast-Server.
Auch wenn die GUI-Lösung nicht die gesamte
Funktionsvielfalt von Liquidsoap
widerspiegelt, bietet sie dennoch einen
schnellen Einstieg in die Materie und
verhilft Neulingen per Klick zum eigenen
Webradio.
Liquidsoap ist in der am französischen
Forschungsinstitut Inria entworfenen
Zur Abwechslung gibt’s mal wieder ein
vegetarisches Rezept. Der leckere Kartoffel-Kürbis-Auflauf
bekommt durch die
Kruste aus Ziegenkäse und Walnüssen
richtig Pep. Zutaten für vier Personen:
zirka 800 g vorwiegend festkochende
Kartoffeln, 1 mittelgroßer Hokkaidokürbis,
150 ml Sahne, 100 ml Milch, 1 TL
Gemüsebrühe-Pulver, 150 g weicher Ziegenkäse,
50 g Walnusskerne, 1 Zitrone
(Bio), 1 EL Butter, Salz und Pfeffer.
Die Kartoffeln schälen, waschen und in
feine Streifen schneiden. Den Hokkaidokürbis
vierteln, von den Kernen und Fasern
befreien, waschen und ebenfalls fein
schneiden. Die Außenhaut dieser Kürbissorte
ist essbar, er muss also nicht geschält
werden. Den Backofen vorheizen.
Die Kartoffeln und den Kürbis abwechselnd
in einer Auflaufform schichten.
Die Sahne und die Milch mischen, mit
etwas Gemüsebrühe-Pulver, Salz, Pfeffer
und geriebener Zitronenschale abschmecken.
Den Auflauf damit von der Seite
angießen. Ziegenweichkäse in Würfel
schneiden und Walnüsse grob hacken
und zusammen mit kleinen Butterflöckchen
über dem Auflauf verteilen.
Das Gratin dann bei 180 Grad (Umluft:
160 Grad) zirka 45 Minuten backen, bis
es eine schöne braune Knusperkruste hat
und die Kartoffeln und der Kürbis weich
sind. Guten Appetit! (hej)
n
Infos
[1] Mixxx: [http:// www. mixxx. org]
[2] Icecast: [http:// www. icecast. org]
[3] Shoutcast: [http:// www. shoutcast. com]
[4] Liquidsoap und Liguidsoap:
[http:// savonet. sourceforge. net]
[5] The Caml Language: [http:// caml. inria. fr]
[6] Liquidsoap-Bugtracker:
[http:// dev. sourcefabric. org/ browse/ LS]

Aus dem Alltag eines Sysadmin: Lsof
K u r z über lang
Einführung 12/2010 02/2011
Sysadmin
Je kürzer das Kommando, desto länger ist die Liste der möglichen Parameter. Das gilt nicht nur für »ls« und
»du«, sondern auch für »lsof«, eines von Charlys Lieblingsgewächsen. Charly Kühnast
Inhalt
82 Virtualisierung mit LXC
Der Workshop zeigt, wie sich die leichtgewichtige
Containervirtualisierung in
der Praxis einsetzen lässt.
86 ZFS mit Linux
ZFS gilt als hochmodernes Filesystem,
unter Linux gleicht sein Einsatz aber
einem Hindernislauf.
Lsof, ohne jeden weiteren Parameter
ausgeführt, gibt eine lange, lange Liste
aller geöffneten Dateien aus. Der Rattenschwanz
ist nach der PID sortiert,
beginnt also mit »init«. Auf dem Notebook,
das ich gern zum Testen benutze,
bringt es diese Liste auf nicht weniger
als 6778 Einträge – schnell erfassbar ist
etwas ganz anderes. Fast alle Kommandozeilenparameter,
die Lsof entgegenzunehmen
willens ist, lichten nur diesen
Dateien-Filz.
Wenn ich zum Beispiel wissen möchte,
welcher Prozess eine bestimmte Datei
im Zugriff hat, gebe ich einfach deren
Namen als Parameter an. Daraufhin
liefert das Kommando »lsof /var/log/
syslog« – leicht gekürzt – die folgende
Ausgabe:
COMMAND PID USER
rsyslogd 683 syslog
Auf meinem System läuft also Rsyslog.
Jetzt interessiert mich aber auch, mit
welchen Dateien Rsyslog außerdem
noch jongliert – das Kommando »lsof -c
rsyslog« verrät es. Alternativ lasse ich
mir außerdem alle
Dateien ausgeben,
die dem Benutzer
»syslog« gehören.
Diese Funk tion
übernimmt der
Parameter »-u syslog«.
Da unter Linux
sprichwörtlich alles
ein File ist,
also auch die
Netzwerk-Sockets,
präsentiert mir
das Kommando
»lsof -iTCP« alle
aktuellen Netz werkverbindungen. Wenn
ich aber nur Dienste sehen will, die auf
Verbindungen warten, ergänze ich die
Zeile zu:
lsof ‐iTCP | grep LISTEN
Interessiert mich dagegen nur der Datenverkehr
auf einem ganz bestimmten
Port, etwa für SSH, zeigt mir »lsof
-i :22« alle mit dem Port 22 assoziierten
Verbindungen an.
Clever filtern, um
zu wissen, was rausgeht
Auch ausgehende Verbindungen zu
einem bestimmten Server kann ich
ausfiltern. Dazu hänge ich an den »-i«-
Parameter ein »@« gefolgt vom Namen
oder der IP-Adresse des Zielsystems an,
Abbildung 1 zeigt ein Beispiel. Diesen
Abbildung 1: Ausgehende Verbindungen in Richtung eines bestimmten Servers analysieren gelingt mit
Anfragen nach dem Schema »lsof ‐i@example.com«.
Filter zu verfeinern gelingt, indem ich
die Nummer des Zielports anhänge:
lsof ‐i@example.com:22
Mit »-a« haben die Lsof-Erfinder um Victor
A. Abell an Anwender wie mich gedacht,
die gelegentlich Filterfunktionen
verketten wollen:
lsof ‐a ‐u charly ‐i@example.com:22
Dieser Befehl listet alle ausgehenden
SSH-Verbindungen zum Server Example.
com, die Benutzer »charly« aufgebaut
hat. Lsof ist also nur auf den ersten
Blick unscheinbar, nach dem zweiten
und »man lsof« wird es zum unverzichtbaren
Werkzeug. (jk)
n
Der Autor
Charly Kühnast administriert Unix-Syste me im
Rechenzentrum Niederrhein in Kamp-Lintfort.
Zu seinen Aufgaben gehören die Sicherheit und
Verfügbarkeit der Firewalls
und der DMZ. Im heißen Teil
seiner Freizeit frönt er dem
Ko chen, im feuchten Teil der
Süßwasseraquaristik und im
östlichen lernt er Japanisch.
© j.berger, Photocase.com
www.linux-magazin.de
81

Sysadmin
www.linux-magazin.de LXC 02 /2011
82
Workshop: Container-Virtualisierung mit LXC auf Ubuntu 10.04
Eingedost
LXC legt mit wenig Overhead Systemcontainer an, um darin beispielsweise sicherheitskritische Dienste zu
isolieren. Als Anwender müssen Sie jedoch einige Maßnahmen ergreifen, um ein System im System aufzubauen
– und überhaupt hineinzukommen. Eva-Katharina Kunst, Jürgen Quade
Das reicht Root bereits, um
ein einzelnes Kommando –
etwa eine Shell – in einem
Anwendungs-Container ablaufen
zu lassen:
Legen Sie nun ein Verzeichnis an, beispielsweise
»/lxc«, in dem Sie die Systemdateien
des Gastsystems ablegen. Ein
Unterverzeichnis davon repräsentiert das
Root-Filesystem des neuen Containers:
lxc-execute -n foo -f /usr/share/U
doc/lxc/examples/lxc-macvlan.confU
/bin/bash
mkdir -p /lxc/rootfs.guest
© Tormod Rossavik, 123RF.com
Kommen Ihnen die großen Virtualisierungen
wie KVM, Xen, VMware oder
Virtualbox etwas klobig vor, wenn es
nur darum geht, einen einzelnen Dienst
wie einen Druckerspooler oder ein Intrusion
Detection System zu virtualisieren?
Dann zeigt Ihnen dieser Workshop, wie
Sie die leichtgewichtige Containervirtualisierung
LXC unter Ubuntu 10.04 dafür
vorbereiten.
Da LXC fester Bestandteil des Kernels ist,
benötigen Sie nur die Userspace-Tools
aus dem Paket »lxc«, um damit erste Erfahrungen
machen. Die Zeile
none /cgroup cgroup defaults 0 0
in »/etc/fstab« hilft das zusätzlich notwendige,
virtuelle Cgroup-Filesystem unter
»/cgroup« zu mounten.
Das erzeugt gemäß der Konfigurationsdatei
»lxc-macvlan.
conf« den Container und startet
die Shell. Dass die in einer
virtualisierten Umgebung
läuft, zeigt bereits der Prompt
an: Er trägt den geänderten
Hostnamen. Die Liste der Prozesse
– durch »ps auxw« aufgerufen
– ist außerordentlich
übersichtlich, Kernelthreads
fehlen dort sogar vollständig.
Und wenn Sie in das Proc-Verzeichnis
wechseln, sehen Sie
auch hier im Vergleich zum
Hostsystem die reduzierte Anzahl von
Einträgen für Prozesse.
Ein- und Mehrwegbehälter
Das Anlegen eines Systemcontainers ist
komplexer, weil Sie dafür ein komplettes
System installieren und vorbereiten
müssen. Außerdem will insbesondere auf
dem Host das Netzwerk konfiguriert sein.
Installieren Sie darum auf dem Hostsystem
zusätzlich die Pakete: »debootstrap«,
»bridge-utils« und »libcap2-bin«. Als Teil
der Netzkonfiguration benötigen Sie eine
Brücke, um den Container unter einer
eigenen IP-Adresse zu erreichen. Steht
der Inhalt aus Listing 1 in »/etc/network/
interfaces«, aktiviert »/etc/init.d/networking
restart« die Einstellungen.
Außerdem benötigen Sie eine Datei mit
Namen »/lxc/fstab.guest«, die Pfade zu
Mountpoints ähnlich wie in »/etc/fstab«
festlegt (siehe Listing 2).
Bereiten Sie jetzt das Gastsystem vor.
Dazu wechseln Sie in dessen eben angelegtes
Verzeichnis und erzeugen dort
mit dem Debian-Installer ein minimales
Linux-System (hier für die 64-Bit-Variante,
für die 32-Bit-Version tauschen Sie
»amd64« gegen »i386« aus):
debootstrap --arch amd64 lucidU
/lxc/rootfs.guest/U
http://archive.ubuntu.com/ubuntu
Jetzt müssen Sie das neue System noch
anpassen: Kommentieren Sie in der Datei
»/lxc/rootfs.guest/lib/init/fstab« die Zeilen
aus, die »/proc«, »/dev« und »/dev/
pts« mounten. Sie vergeben einen Hostnamen,
indem Sie die Datei »/lxc/rootfs.
guest/hostname« editieren. Im Beispiel
heißt das System »guest«. Schreiben Sie
dazu in die neue Datei »/lxc/rootfs.guest/
etc/hosts«:
127.0.0.1 localhost guest
Die nächsten Änderungen führen Sie direkt
im System aus, indem Sie mit Hilfe
von »chroot« vorläufig in die neue Umgebung
wechseln:
chroot /lxc/rootfs.guest /bin/bash
Um sich später in den Container einzuloggen,
bietet sich Open SSH an, das Sie
mit dem Paket »openssh-server« instal-

lieren. Nun fehlen noch ein Benutzeraccount
und ein geregelter Weg, um per
»sudo« an Root-Rechte zu gelangen. Dazu
legen Sie einen Benutzer an und machen
ihn zum Mitglied der Gruppe »admin«:
u=linuxmagazin; g=admin
adduser $u; addgroup $g; adduser $u $g
Editieren Sie mit Hilfe des Kommandos
»visudo« die Datei »/etc/sudoers«. Ersetzen
Sie dabei in der Zeile
%sudo ALL=(ALL) ALL
den Eintrag »sudo« durch »admin«. Danach
verlassen Sie die Chroot-Umgebung
durch »exit« wieder. Vor dem Test des
vorbereiteten Containers konfigurieren
Sie LXC noch in »/lxc/conf.guest« mit
dem Inhalt aus Listing 3 und passen in
Zeile 8 die IP-Adresse an. Mit
lxc-create -n guest -f /lxc/conf.guest
bereitet LXC nun die Konfiguration auf.
Das ist Voraussetzung, um anschließend
das System mit »lxc-start -n guest -d«
zu aktivieren. Die Option »-d« führt das
Kommando im Hintergrund als Daemon
aus. Sie haben jetzt zwei Möglichkeiten,
sich auf dem virtualisierten System
einzuloggen: direkt per »lxc-console -n
guest« oder – falls das Netzwerk auf Anhieb
funktioniert – per »ssh«:
ssh linuxmagazin@192.168.1.69
Beim Zugang per »lxc-console« müssen
Sie allerdings etwas Geduld aufbringen.
Bis der Systemcontainer sie aktiviert,
kann es durchaus mehrere Minuten dauern!
Dann meldet sich der Container, wie
in Abbildung 1 zu sehen.
Recycling-Container
Um das System wieder anzuhalten, verwenden
Sie vom Host aus das Kommando
»lxc-stop -n guest«. Nach jeder Änderung
der Konfigurationsdatei »/lxc/conf.guest«
löschen Sie die alte Konfiguration mit
»lxc-destroy -n Gastname« und legen mit
»lxc-create« wieder eine neue an.
Im LXC-Howto finden Sie die wichtigsten
Schritte zusammengefasst [1], optional
auch Ubuntu-Eigenheiten [2]. Mehr von
den LXC-Tools weiß ein IBM-Kernelentwickler
zu sagen [3]. Sind alle Konfigurationen
am rechten Ort, bietet LXC eine
flotte Alternative für die Trennung kleiner
Dienste, die sich untereinander nicht ins
Gehege kommen sollen. (mg) n
Infos
[1] Dwight Schauer, „LXC Howto“:
[http://lxc. teegra. net]
[2] Beau Steward, „Virtualizing with LXC in
Ubuntu“:
[http://www. nimdae.com/ ?p=576]
[3] Matt Heisley, „LXC: Linux container tools“:
[http://www. ibm. com/developerworks/
linux/library/ l‐lxc‐containers/]
Die Autoren
Eva‐Katharina Kunst, Journalistin, und Jürgen
Quade, Professor an der Hochschule Niederrhein,
sind seit den Anfängen von Linux Fans von Open
Source. Demnächst erscheint die dritte Auflage
ihres Buches „Linux Treiber entwickeln“.
LXC 02/2011
Sysadmin
www.linux-magazin.de
83
Listing 1: »/etc/network/interfaces«
für Host anpassen
01 auto lo
02 iface lo inet loopback
03 # LXC-Config
04 # The primary network interface
05 #auto eth0
06 #iface eth0 inet dhcp
07 auto br0
08 iface br0 inet dhcp
09 bridge_ports eth0
10 bridge_stp off
11 bridge_maxwait 5
12 post-up /usr/sbin/brctl setfd br0 0
Listing 2: »/lxc/fstab.guest«
Abbildung 1: Die aktivierte Config startet den Container, was bisweilen einige Minuten dauert.
01 none /lxc/rootfs.guest/dev/pts devpts defaults 0 0
02 none /lxc/rootfs.guest/var/run tmpfs defaults 0 0
03 none /lxc/rootfs.guest/dev/shm tmpfs defaults 0 0
Listing 3: Die Container-Konfiguration »conf.guest«
01 lxc.utsname = guest
02 lxc.tty = 4
03 lxc.network.type = veth
04 lxc.network.flags = up
05 lxc.network.link = br0
06 lxc.network.hwaddr = 08:00:12:34:56:78
07 #lxc.network.ipv4 = 0.0.0.0
08 lxc.network.ipv4 = 192.168.1.69
09 lxc.network.name = eth0
10 lxc.mount = /lxc/fstab.guest
11 lxc.rootfs = /lxc/rootfs.guest
12 lxc.pts = 1024
13 #
14 lxc.cgroup.devices.deny = a
15 # /dev/null and zero
16 lxc.cgroup.devices.allow = c 1:3 rwm
17 lxc.cgroup.devices.allow = c 1:5 rwm
18 # consoles
19 lxc.cgroup.devices.allow = c 5:1 rwm
20 lxc.cgroup.devices.allow = c 5:0 rwm
21 lxc.cgroup.devices.allow = c 4:0 rwm
22 lxc.cgroup.devices.allow = c 4:1 rwm
23 # /dev/{,u}random
24 lxc.cgroup.devices.allow = c 1:9 rwm
25 lxc.cgroup.devices.allow = c 1:8 rwm
26 lxc.cgroup.devices.allow = c 136:* rwm
27 lxc.cgroup.devices.allow = c 5:2 rwm
28 # rtc
29 lxc.cgroup.devices.allow = c 254:0 rwm

Sysadmin
www.linux-magazin.de Linux und ZFS 02 /2011
86
Erste Begegnung zwischen dem Linux-Kernel und ZFS
Hindernislauf
Suns ZFS gilt derzeit als das modernste Filesystem. Der Linux-Kernel unterstützt es zwar nicht direkt, aber
auf Umwegen. Im Test offenbarten sich jedoch Hürden, die ZFS unter Linux oft straucheln lassen. Nur ein
proprietärer Anbieter kann mit Kompatibilität und Speed überzeugen. Hans-Peter Merkel, Markus Feilner
© Andrey Kiselev, 123RF.com
Am Anfang stand eine vermeintlich ganz
normale forensische Auswertung. Ermittler
hatten einen Solaris-Server beschlagnahmt
und sollten dessen Daten auswerten.
An sich nichts Besonderes, wären da
nicht drei Festplatten im Raid-5-Verbund
unter ZFS verbaut gewesen.
Reichlich Komplex: ZFS
Die Vorgabe, die brandneuen ZFS-Treiber
unter Linux ([1], [2], [3]) einzusetzen,
um eine logische Datensicherung zu erstellen,
entwickelte sich zum komplexen
Projekt, das in den Tabellen, Benchmarks
Listing 1: »zpool import« auf Open Solaris
01 # zpool import
02 pool: mybackups
03 id: 18344450410782017931
04 state: UNAVAIL
05 status: The pool was last accessed by another
system.
06 action: The pool cannot be imported due to
und Testergebnissen des vorliegenden Artikels
mündete. Tabelle 1 zeigt die dabei
verwendeten Versionen.
ZFS als 128-Bit-Dateisystem integriert
Raid- und Volume-Management mit Prüfsummen
und glänzt durch zahlreiche Erweiterungen
für Rechenzentren [4]. Der
Name stammt ursprünglich von Zetabyte
File System und stellte eine Anspielung
auf die riesigen Datei- und Dateisystemgrößen
(beides 16 Exbibyte, 16 mal 2 60
Byte) dar, die ZFS unterstützt. Weil die
Features der von Sun für Solaris 10 entwickelten
Software den Rahmen gängiger
Filesysteme deutlich sprengen und weit in
damaged devices or data.
07
08 mybackups UNAVAIL newer version
09 Raidz1 DEGRADED
10 ad14p1 ONLINE
11 ad16p1 ONLINE
12 dsk/c4t5d0s0 UNAVAIL cannot open
den HA- oder Netzwerkbereich reichen,
entwickelte sich unter Linux-Anhängern
eine heftige Diskussion, wobei die Vertreter
der „One Job, one Tool“-Fraktion dem
Stack-übergreifenden Funktionsumfang
skeptisch gegenüberstanden.
Auch weil ZFS der Common Development
and Distribution Licence (CDDL,
[5]) unterliegt, lässt eine vollständige Implementierung
im Linux-Kernel auf sich
warten, Anwender müssen auf spezielle
Tools oder Fuse zurückgreifen. Die CDDL
enthält beispielsweise Passagen, nach denen
die Lizenz ungültig wird, wenn ein
Lizenznehmer rechtliche Schritte gegen
den Lizenzgeber unternimmt. Das richtet
sich vor allem gegen Patentklagen und
gilt als umstritten. Die CDDL stammt aus
dem Jahr 2004, als Sun die Freigabe von
Solaris vorbereitete, fast ganz Open Solaris
unterliegt ihr.
Auf den Zahn gefühlt
Grund genug, die Theorie und die versprochenen
Eigenschaften der verschiedenen
Lösungen in die Praxis umzusetzen.
In den folgenden Beispielen kommen
sowohl Kernel-basierte Varianten als
auch die einfach zu implementierende
Lösung über den Userspace und ZFS-
Fuse auf einem AM3-Mainboard mit
einer 500-GByte-Systemplatte und drei
1-TByte-Festplatten mit einem Raid-5-
System zum Einsatz. Im Multiboot mit
fünf Betriebssystemen auf jeweils 80
GByte großen Partitionen landen da:
n Open Solaris Beta 201003
n Free BSD 8.1
n Debian Squeeze
n Ubuntu 10.10 Desktop mit ZFS-Fuse
n Ubuntu 10.04 Server LTS mit proprietärem
Kerneltreiber

Linux und ZFS 02/2011
Sysadmin
G Abbildung 1: Partitionen erstellen unter Open Solaris. Die Laufwerkbezeichner
unterscheiden sich signifikant von denen unter Linux, weil das Unix mit Slices
arbeitet, also Partitionen in Partitionen.
www.linux-magazin.de
87
E Abbildung 2: Ein auf Open Solaris angelegter Raid-Pool ist erfolgreich eingebunden.
Sein Name lautet »mybackups«, die Raid-5-Option hat »Raidz« im
»zpool create«-Kommando festgelegt.
Alles in den 64-Bit-Varianten. Die verbleibende
Kapazität der Hauptplatte dient
der Sicherung der Images.
Wie bei Dualboot üblich, muss der Anwender
bei der Installation verhindern,
dass die Betriebssysteme den Master Boot
Record (MBR) überschreiben. Im Beispiel
erstellt ihn Open Solaris, alle anderen OS
nur einen Volume Boot Record in der jeweiligen
Partition. Die Multiboot-Einträge
schreibt der Admin in die »menu.lst« von
Open Solaris.
Wer hier VBR-Loader erstellt hat, dem genügen
einfache Chainloader-Befehle zur
Bootauswahl. Der Eintrag für Free BSD
lautet beispielsweise:
title "FreeBSD 8.1"
root (hd0,1)
chainloader +1
Leicht zu erkennen: Open Solaris verwendet
noch den altgedienten Grub 1.
Wer die »menu.lst« aber in »/boot« sucht,
wird sich schwer tun: Open Solaris legt
diese in »/rpool/boot/grub/« ab.
Den ZFS-Pool auf Open
Solaris erstellen ...
Sind alle Kandidaten installiert, geht es
ans Erstellen des Raid 5. Die drei 1-TByte-
Festplatten bindet der Admin im Originalzustand
ein. Die Partitionierung übernimmt
dann Open Solaris. Die Festplatteninformationen
zeigt unter Solaris der
Befehl »format« in einem Terminal an.
Abbildung 1 zeigt die für Linux-Anwender
wegen der verwendeten Slices etwas
gewöhnungsbedürftigen Bezeichnungen
der Festplatten.
Der anschließende Befehl »zpool« erstellt
das Raid-System (siehe Abbildung 1):
zpool create mybackups Raidz c4t2d0 c4t3d0U
c4t5d0
Das Kommando »zpool status« aus Abbildung
2 überprüft den Erfolg.
Die vertrauten Befehle »mount« und »df
-h« liefern weitere Informationen über den
Mountpoint und die Kapazität des Raid.
Standardmäßig erzeugt das System ein
Directory im Wurzelverzeichnis, benannt
nach dem Namen des Pools, oder bei
Bedarf mit der Option »-m /Verzeichnis«
individuell angepasst.
Als Gesamtkapazität erscheinen knapp
2 TByte, der korrekte Wert für drei Festplatten
von 1 TByte im Raid-5-Verbund.
Bevor sich der Pool in den anderen Betriebssystemen
testen lässt, sollte der
Admin noch Daten hineinkopieren.
... und mit Free BSD
importieren
Free BSD wird jetzt (nach Open Solaris)
das erste Betriebssystem, das mit dem
ZFS-Pool arbeiten soll. Ob er sich für eine
Grafikoberfläche oder die reine Kommandozeilenversion
entscheidet, bleibt dem
Admin überlassen. Alle verwendeten
Unix-Derivate machten im Test keine Probleme,
solange die Anwender mit GUIs
wie Gnome und deren Tools arbeiteten.
Befehle mit direktem Einfluss auf die
Hardware, etwa die Verwaltung von Speichermedien
und Netzwerkkarten, muss
der Admin ohnehin meist erst nachschlagen,
weil sich die Betriebssysteme in den
Device-Namen unterscheiden.
Den unter Open Solaris erstellten Pool
importiert nicht nur unter Free BSD der
Befehl »zpool import«. Er hat im Listing
1 bereits einige Informationen gesammelt,
den Pool »mybackups« hat er zwar erkannt,
doch gibt es Inkompatibilitäten
durch Versionsunterschiede. Deshalb
meldet das Tool den Pool als defekt und
der Import-Befehl mit »--force«-Option
(»zpool import -f mybackups«) verweigert
die Arbeit.
Free BSD arbeitet leider noch mit einer
veralteten ZFS-Version und kann diesen
Pool nicht lesen. Ein neuer Pool, basierend
auf einer älteren Version, muss her,
doch zuvor sollen die anderen Betriebssysteme
beweisen, was sie können.
Kfree BSD
Einen interessanten Weg, um ZFS unter
Linux zu nutzen, beschreitet das Kfree-
BSD-Projekt [1]. Sein Ansatz ist es, zwar
die Kernel-basierte ZFS-Implementierung
von Free BSD zu nutzen, jedoch dem Anwender
eine bekannte Debian-Umgebung
zu spendieren. Mit dem Download des
»mini.iso« von [6] steht ein Installations-
Tabelle 1: Benutzte ZFS-Versionen
OS ZFS Zpool
Open Solaris 201003 4 22
Open Solaris 200906 3 14
Free BSD 8.1 3 14
Kfree BSD/ Debian 3 14
Ubuntu 10.04 KQ Infotech 4 18
Ubuntu 10.10 Fuse 4 18
Debian Squeeze Fuse 4 23
Debian Lenny Fuse - -

Sysadmin
www.linux-magazin.de Linux und ZFS 02 /2011
88
01 zpool import
02 pool: mybackups
medium zur Verfügung, das wahlweise
ein Debian Lenny, Squeeze oder Sid auf
einen Free-BSD-Kernel aufsetzt. So bremsen
Userspace-Treiber die Leistung nicht,
aber der Linux-Anwender fühlt sich
(abgesehen von geringfügigen Namensanpassungen
der Geräte) trotzdem fast
wie zu Hause. Auch der zuvor benutzte
01 zpool import
02 pool: mybackups
03 id: 18344450410782017931
04 state: ONLINE
05 status: The pool was last accessed by another system.
06 action: The pool can be imported using its name or
07 numeric identifier and the '‐f' flag.
08 See: http://www.sun.com/msg/ZFS‐8000‐EY
09 config:
10
11 mybackups ONLINE
12 Raidz1 ONLINE
13 sdb1 ONLINE
14 sdc1 ONLINE
15 sdd1 ONLINE
03 id: 18344450410782017931
04 state: ONLINE
05 status: The pool was last accessed by another system.
Zpool-Befehl kommt hier wieder zum
Zuge, zumindest nach der Installation
der Userspace-Werkzeuge mit »aptitude
install zfsutils«. »zpool import« zeigt den
Pool zwar an, aber auch hier erscheint
die Fehlermeldung, dass es sich beim
Pool um eine neuere Version handelt,
exakt identisch mit Listing 1.
KQ Infotech
Für Linux-Anwender, die Lernaufwand
scheuen, gibt es den proprietären ZFS-
Treiber von KQ Infotech [2], zum Beispiel
für die LTS-Version 10.04 von
Ubuntu. Nach einer Registrierung steht
der kostenlose Download bereit, derzeit
als Debian-Pakete ohne jede Dokumentation.
Diese und eine FAQ-Liste sollen
laut Hersteller in Kürze auf der Webseite
zu finden sein.
Der erste Installationsversuch scheiterte
im Test mit Fehlermeldungen. Auf eine
Supportanfrage antwortete das indische
Team allerdings sofort. Es arbeitete etwa
06 action: The pool can be imported using its name or numeric identifier and the '‐f' flag.
07 see: http://www.sun.com/msg/ZFS‐8000‐EY
08 config:
09
200
180
160
140
120
100
80
60
40
20
0
MByte/s
125,2
50,5
186,2
131.4
Open Solaris
120.1
11,0
154,1
159,7
KQ Infotech
Abbildung 3: Im Iozone-Benchmark kommt auch das außer Konkurrenz antretende Ext 3 gar nicht so schlecht
weg, zumindest bei Schreibzugriffen. Beim Lesen sind jedoch alle ZFS-Varianten schneller.
Listing 2: »zpool import« mit
KQ Infotech
Listing 3: »zpool import« mit Fuse
10 mybackups ONLINE
11 Raidz1‐0 ONLINE
12 disk/by‐id/ata‐ST31000520AS_5VX058FP‐part1 ONLINE
13 disk/by‐id/ata‐Hitachi_HDS721010KLA330_GTH000PAH2W4AH‐part1 ONLINE
14 disk/by‐id/ata‐SAMSUNG_HD103UJ_S13PJDWS619757‐part1 ONLINE
72,6
44,8
162,0
165,1
Free BSD 8.1
96,5
Write Rewrite Read Reread
48,7
107,6
108,2
Debian mit
Kfree BSD
25,7
20,2
103,8
104,5
ZFS-Fuse
75,6
82,9
95,1
94,4
Ext 3 ohne
Raid
eine halbe Stunde per SSH auf dem Testserver,
dann war der Fehler gefunden und
ZFS einsatzklar. Die Minimalinstallation
des Ubuntu-10.04-Servers erwartete Awk,
die Software verlangte aber das bessere
Gawk. Die Supporttechniker installierten
es manuell und ersetzten Awk durch
einen Symlink. Die Abhängigkeitsliste
im Installationspaket will der Hersteller
ebenfalls bald korrigieren.
Der Vorteil der KQ-Infotech-Variante ist
offensichtlich: Alle Geräte tragen die typischen
Devicenamen. Im Gegensatz zu
den ersten beiden Varianten zeigt der Importversuch
auch gleich einen Lösungsvorschlag
(Listing 2). Der Import mit der
»--force«-Option holt jetzt zwar den Pool,
mountet ihn aber nicht. Auf Anfrage
beim Hersteller erfuhren die Tester, das
sei die derzeitige Standardeinstellung.
Erst nach einem zusätzlichen Mountbefehl
»zfs mount mybackups« klappte der
Dateizugriff.
Ubuntu mit ZFS-Fuse
Der vierte Kandidat im Vergleich ist ein
aktuelles Ubuntu 10.10. Das enthält auch
die freien ZFS-Fuse-Treiber, die keinen
Geschwindigkeitsrausch erwarten lassen,
aber als Grundlage für eine logische Datensicherung
eine pflegeleichte Lösung
versprechen. Auch hier ist »zpool import«
wieder der erste Befehl (Listing 3).
Die Rückmeldung ist bekannt, aber hier
funktioniert der Import über die »--force«-
Option einwandfrei, die Daten stehen anschließend
sofort zu Verfügung. Aus Sicht
des Forensikers ist das die eleganteste
Lösung, auch weil sie mit einem aktuellen
Ubuntu sehr schnell über »aptitude
install zfs-fuse« eingerichtet ist.
Durchsatz
Für Admins stellt sich eher die Frage
nach der Performance, und dafür darf das
Benchmarktool Iozone [7] herhalten. Es
liegt im Quelltext vor und lässt sich deshalb
für alle getesteten Betriebssysteme
benutzen. Auf jedem Kandidaten setzten
die Tester des Linux-Magazins
iozone ‐r 4k ‐s 10g ‐i 0 ‐i 1
ab, was eine 10 GByte große Datei anlegt.
Die Schreib- und Lesebefehle erfolgen bei
einer Blockgröße von 4 KByte. Das File

musste laut Manpage größer als der RAM
(8 GByte) sein, damit Cache-Vorgänge
und Arbeitsspeicher weniger Einfluss auf
die Testergebnisse nehmen. Abbildung 3
zeigt die Ergebnisse des Benchmark, als
Referenz eignet sich der letzte Block mit
einem Ext-3-System ohne Raid.
Die Ergebnisse sprechen eine deutliche
Sprache: Wer Wert auf Performance legt,
kommt bei ZFS im produktiven Einsatz
nicht um eine Kernel-basierte Lösung wie
KQ Infotech herum. Auch Apple setzt
ZFS mit EWF-Images
Für einen Ermittler günstig sind die ZFS-Implementierungen,
die den Pool nicht automatisch
mounten, weil er das Dateisystem in der Regel
nachweisbar Read-only zur Verfügung stellen
muss. Das erledigt die Zpool-Option »-o ro«:
zpool import o ro ‐f mybackups
Zpool merkt sich diese Einstellungen, weitere
Attribute setzt zum Beispiel das Kommando
»set«, allerdings muss dafür Umount den Pool
nochmals lösen:
zfs umount mybackups
zfs set atime=off mybackups
zfs set exec=off mybackups
zfs mount mybackups
»atime=off« verhindert das Verändern der Access
Time, »exec=off« unterbindet das Ausführen
von Programmen. Jetzt steht der logischen
Datenauswertung nichts mehr im Wege. Drei
typische Beispiele sind:
# MD5‐Hashwerte aller Dateien:
find /mybackups ‐type f ‐print0 | xargs U
‐0 md5sum > mybackups_md5
# Eine Dateiliste aller Dateien:
find /mybackups ‐type f ‐print0 | xargs U
‐0 ls ‐lisa > mybackups_ls
# Dateien via Find und Xargs suchen und U
kopieren (hier PDFs):
find /mybackups ‐type f ‐iname "*.pdf" U
‐print0 | xargs ‐0 cp ‐t /case/allpdfs U
‐‐preserve
Auch die History Files gehören zu den Leckerbissen
besonders für Forensiker, unter
ZFS macht sie der Befehl »zpoool history -il
mybackups« sichtbar.
Virtuelle Images
Die Tests im Artikel beziehen sich ausschließlich
auf physikalische Medien, der Forensiker
arbeitet aber fast immer mit Images des EWF-
Standards. Das Programm Xmount [8] aus den
Debian-Repositories konvertiert EWF-Files virtuell
in Raw-Images. Einen Bericht dazu gab es
im Linux Magazin [9].
in seinen neueren, auf BSD aufbauenden
Betriebssystemen übrigens Kernelbasierte
ZFS-Treiber ein, deren Performance
angeblich nahe an die von Open
Solaris herankommt. Im Test erkannte
ein Macbook mit ZFS formatierte USB-
Platten auch problemlos.
ZFS-Fuse stellt dagegen keine Alternative
dar. Die Benchmarks in Abbildung 3
zeigen die mageren Ergebnisse, vor allem
bei Schreibzugriffen. Die Kfree-BSD-
Implementierung teilt mit Free BSD den
Um herauszufinden, ob sich ein ZFS-Raid-5-
Verbund auch aus EWF-Dateien wiederherstellen
lässt, erstellten die Autoren drei Dd-Images
unter Open Solaris. Wie die Versionsliste in
Tabelle 1 zeigt, setzt Open Solaris 201003 auf
die neueste Zpool-Version 22. Diese lässt sich
derzeit aber nicht auf allen anderen Systemen
lesen, deshalb nutzten die Autoren für den Test
Images unter Open Solaris 2009.06 mit der
kompatibleren Zpool-Version 14 und koppelten
diese an jeweils ein Loop-Device:
dd if=/dev/zero of=disk1 bs=1024k U
count=100
dd if=/dev/zero of=disk2 bs=1024k U
count=100
dd if=/dev/zero of=disk3 bs=1024k U
count=100
lofiadm ‐a disk1 /dev/lofi/1
lofiadm ‐a disk2 /dev/lofi/2
lofiadm ‐a disk3 /dev/lofi/3
Zuletzt erzeugt Zpool mit
zpool create testpool Raidz /dev/lofi1 U
/dev/lofi/2 /dev/lofi/3
den Testpool und der Admin kopiert ein paar
Daten hinein. Die forensische Auswertung soll
danach in Ubuntu 10.04 mit den KQ-Infotech-
Treibern erfolgen.
Dafür ordnet Losetup jedem Raw-Image ein
Loopback-Device zu:
losetup /dev/loop1 disk1
losetup /dev/loop2 disk2
losetup /dev/loop3 disk3
»zpool import« listet den Testpool und erlaubt
Import und Mount:
zpool import ‐f testpool
zfs set readonly=on testpool
zfs set atime=off testpool
zfs set exec=off testpool
zfs mount testpool
Der Testpool ist lesbar, die forensischen Attribute
sind gesetzt, das ZFS-Raid kann somit
problemlos ausgewertet werden.
gravierenden Nachteil, dass sich aktuelle
Pool-Versionen nicht mounten lassen.
Zur Analyse bestehender Systeme taugt
es deshalb weniger.
Während Admins primär an der Leistung
orientiert sind und ihre Pools selbst
erstellen, muss der Forensiker bei sichergestellten
Systemen Lesezugriff und
Schreibschutz gewährleisten und mit
Images arbeiten (Kasten „ZFS mit EWF-
Images“). Das klappt mit KQ Infotechs
Treibern, der Fuse-Treiber dagegen erlaubte
im Test unter Ubuntu 10.10 kein
erfolgreiches Read-only-Mounten des
Raid-Pools und konnte den Testpool aus
den virtuellen Images nicht finden.
Besser auf Version 4 warten
Wer noch kein ZFS-fähiges Betriebssystem
installiert hat, sollte sich auf jeden Fall für
eines mit ZFS in Version 4 entscheiden.
Die KQ-Infotech-Lösung scheint nicht nur
für Forensiker das derzeitige Optimum
zu sein, sondern auch für Admins, die
bestmögliche Performance benötigen und
bei der gewohnten Device-Syntax bleiben
wollen.
Bis auf den Rewrite-Wert können sich die
hier gemessenen Werte durchaus sehen
lassen, sie liegen nur knapp unter denen
von Open Solaris. Den vielversprechenden
Ansatz von Kfree BSD, ein Debian
auf einen Kernel von Free BSD aufzusetzen,
sollten anspruchsvolle Admins erst
nach einer Aktualisierung auf Version 4
in Betracht ziehen.
n
Infos
[1] Kfree BSD: [http://www.linux-magazin.de/
NEWS/Debian-Squeeze-unterstuetzt-ZFS
-mit-kFreeBSD]
[2] Proprietärer ZFS-Treiber von KQ Infotech:
[http://zfs-kqinfotech.com]
[3] ZFS via Fuse: [http://www.linux-magazin.
de/NEWS/ Nativer-ZFS-Support-fuer-Linux]
[4] Ulrich Gräf, „ZFS“: Linux Technical Review
02/ 07, S. 126
[5] CDDL: [http:// hub.OpenSolaris.org/bin/
download/ Main/ licensing/cddllicense.txt]
[6] Kfree-BSD-Wiki: [http://wiki.debian.org/
Debian_GNU/ kFreeBSD]
[7] Iozone: [http://www.iozone.org]
[8] Xmount: [https://www.pinguin.lu]
[9] Hans-Peter Merkel, Markus Feilner, „Kreuz
und quer“: Linux-Magazin 10/ 09, S. 90
Linux und ZFS 02/2011
Sysadmin
www.linux-magazin.de
89

Forum
www.linux-magazin.de Winterrätsel 02 /2011
92
Rückblick auf das vergangene Jahr in Quizform
Winterrätsel
Seufzend auf das verflossene Jahr zurückblicken fällt leicht. Das ganz und gar nicht einfache Winterrätsel
fordert hingegen heraus: Wer wurde wo Community-Chef, wer musste gehen? Was erschütterte Industrien, was
Regierungen? Wer erhielt Ehrungen und wer hatte die ultimative Antwort parat? Nils Magnus, Wolfgang Drotschmann
Januar
1
Einer der frühen Kernelentwickler tritt bei einem neuen Arbeitgeber
im Januar seinen Job an und krempelt dort gleich die
Dateisysteme um. Eine andere Abteilung dieses Unternehmens
bringt erstmals eine eigene Hardware heraus. Welche Süßspeise
stand Pate bei der dazu entwickelten Software-Release?
2
Ein Dotnet-Befürworter für Linux verlässt im Januar seinen Arbeitgeber.
Dieses Schicksal teilt er mit dem Community-Manager
eines Projekts, das das gleiche Unternehmen maßgeblich
unterstützt. Welches Tier ist der Botschafter dieses Projekts?
Februar
3
Stühlerücken beim Distributionshersteller: Weil der freundliche
Diktator nicht mehr Chef sein will, überlässt er seinen Titel
seiner Stellvertreterin. Deren Platz nimmt für nur einige Monate
ein Dokumentenverwalter ein und kümmert sich ums Operative.
In welchem Datenformat sieht er nun seine berufliche Zukunft?
4
Hochzeit unterwegs: Zwei mobile Projekte tun sich zusammen,
um künftig schönere Oberflächen und stabiles Linux auf
Smartphones & Co. zu zaubern. Später im Jahr feiern die Entwickler
die offizielle Version in einer Sportstätte. Welche Sportart
kommt dort ohne kugelförmige Geräte aus?
März
5
Im Lichte der Abenddämmerung verlässt ein Open-Source-
Herold seinen bis dahin sonnigen Arbeitsplatz, doch findet er
schon bald Unterschlupf bei einem Wächterrat für Lizenzen.
Welchen Begriff prägte die Organisation?
6
Auf der Cebit ehrt eine internationale
Jury ein Projekt für seine Innovation,
denn es hatte das Wiki-Prinzip auf einen
ganz anderen Bereich als die bisherigen
Lexikon-Lemmata übertragen. Zu welchem
Suchdienst wechselt der Gründer des Projekts
im Laufe des Jahres?
April
7
Nicht das I-Pad, sondern eine heimische Entwicklung will erster
Teilnehmer im Sandkasten der Tablet-PCs werden. Das füllt in
den kommenden Monaten zumindest die Technik-Klatschspalten
mit Ankündigungen und Skandälchen. Als Ehrenmitglied welcher
Vereinigung gibt sich später im Jahr fatalerweise der Impresario der
viel diskutierten Kampagne aus?
8
Eine würdevollere Ehrung nimmt der Gründer einer europäischen
Lobbyorganisation für Nicht-Open-Source-Software
entgegen. Damit ist er bereits der zweite Deutsche, der für
diese Tätigkeiten ausgezeichnet wird. Welches Projekt begründete
der erste Ordensträger?
Mai
9
Turbulent verläuft der Monat für Fedora: Mit leichter Verspätung
gibt das Projekt Version 13 „Goddard“ heraus und
kündigt Version 14 „Laughlin“ an. Erst später im Jahr kommt
noch Fedora 15 „Lovelock“ dazu. Auch beim Personal gibt es einen
Stabwechsel. In welcher Programmiersprache faxte der neue Projektleiter
früher gelegentlich seiner späteren Frau Liebesbriefe?
10
Vier Studenten sind die Sammelwut sozialer Netzwerke
wie Facebook & Co. leid, brauchen aber Geld, um eine
dezentralere Version zu programmieren. Das bekommen
sie dann auch reichlich. Wie nennen sie ihre Server?
Juni
11 Ein dritter prominenter Redner stellt gar die binäre Antwort
Stelldichein auf dem Linuxtag: Microsoft verkündet, fortan
zu den Guten zu gehören, Google entwickelt eigene Codecs.
auf das Leben, das Universum und den ganzen Rest in Aussicht. Wo
hausen ihrem Namen nach die putzigen Maskottchen, die für die
Antwort Pate stehen?
12
Den Kernelentwicklern scheint ein Dateisystem für große
Datenmengen besonders suspekt zu sein: Es gibt bis heute
in den offiziellen Quellen keine Kern-Implementierung für
Linux, nur als Modul im Userspace. Im Laufe des Jahres kommen
aber zwei native Implementationen dazu. Welche Lizenz verhindert
bis heute die Aufnahme des Ursprungscode in den Vanilla-Kernel?

So funktioniert’s
Meist lassen sich die Fragen durch ein einzelnes Wort beantworten, sonst zählt das erste Wort,
bei Namen der Nachname. Jeweils der erste Buchstabe ist auf [http://linux-magazin.de/winter] oder in
das unten abgedruckte Diagramm einzutragen. Beide berechnen die Lösung durch die angegebene Addition. Dabei gilt:
A µ 0, B µ 1, … Ist eine Summe größer als das Äquivalent des Z, gibt es einen Überlauf zum A. Beispiel: X + D = B.
+
E
=
+
Juli
13
Die Release einer in Deutschland beheimateten Linux-Distribution
bringt eine der ersten Aufgaben für ihren neuen
Community-Manager aus den Niederlanden. Bei welchem
anderen Projekt arbeitete er vorher lange mit?
14
Obwohl die neue Version einer Software nun auch 64-Bit-
Code ausführt, nützt sie Linux-Programmen gar nichts. Wie
heißt eine Software für Solaris, die vor über 15 Jahren eine
ähnliche Funktion umsetzte?
August
Ein Webprojekt, das angetreten war, E-Mail und Kommunikation
zu revolutionieren, schlägt ein paar Wellen – weil
15 seine Entwickler es einstellen. Deutlich höheren Wellengang
hingegen verursacht deren Idee, eine andere Software in
anderen Bereichen einzuführen. Welche deutsche Politikerin stellt
sich an die Spitze der Bedenkenträger?
16
So richtig zufrieden sind die Mitglieder eines Steuerungsgremiums
nicht mit ihrem neuen Sponsor und besiegeln so
faktisch das Ende einer freien Betriebssystem-Distribution.
Ganz aufgeben will eines ihrer Mitglieder aber noch nicht und ändert
darum später die Basis für seine Live-Distribution. Wie heißt diese
neue Grundlage?
September
17
Ein Virus lässt nicht nur Experten, sondern auch Industrieanlagen
rotieren. Welches Modell zum Überwachen und
18
Steuern nutzt die Malware, um ihr Unwesen zu treiben?
Als ein Projekt mit den langsamen Reaktionen seines Sponsors
nicht mehr zufrieden ist, vollzieht es das Schisma des
Jahres – fast genau ein Jahrzehnt nach seiner Gründung.
Der damalige Spender hostete die Quellen bei der Firma eines Entwicklers,
der als Urvater welches Servers gilt?
Oktober
+
D
=
+
+
L
=
+
+
S
=
+
+
P
=
+
+
U
=
19
Zum vierten Mal in diesem Jahr veröffentlicht ein Auswanderer
eine stabile Version – neuerdings mit einer Rüstung
für Anwendungen. Welche Modellbezeichnung trägt ein
Erbstück, das ihm in der Heimat ein Statistikprofessor vermachte?
20
Stühlerücken in Projekten und Unternehmen: MySQL-
Veteran Kaj Arnö geht zu SkySQL, Mozilla bekommt einen
neuen Chef, der erste Marketingoffizier des Open-Office-
Projekts verlässt das Boot, und eine Distribution besetzt den Posten
des Kassenwarts mit ihrem ehemaligen Chef. Vor seiner Promotion
studierte der auf einem fernen Kontinent. In welcher Stadt?
+
+
M
=
+
+
J
=
+
+
A
=
+
+
R
=
+
+
V
=
+
+
H
=
+
+
U
=
+
+
R
=
+
+
G
=
November
Aufregung erzeugt die Ankündigung, in einer populären
Distribution mittelfristig eine zentrale Desktop-Kompo-
21 nente zu ersetzen. Die war in der Vergangenheit schon
mehrfach Spielball von Forks und Neugründungen. Welcher heutige
Intel-Entwickler wurde einst sogar von der Entwicklung eines Teilzweiges
ausgeschlossen?
22
Die Kasse klingelt: Für ein erkleckliches Sümmchen
wechseln die Besitzer eines Unternehmens, das auch
Heimat für eine Linux-Distribution ist. Wer unterzeichnete
nur einige Monate zuvor ein ähnliches Angebot, das die Firmenleitung
damals ablehnte?
Dezember
+
+
R
=
+
+
J
=
+
+
V
=
+
+
S
=
23 hatte Anfang des Jahres bereits berichtet, dass deren
Großes Aufsehen erregt das Wirken einer Plattform zum
Management bestimmter Dokumente. Das Linux-Magazin
Protagonisten eine Reihe von Gesetzesänderungen befürworteten.
In welchem Land sollen diese Reformen ihre Wirkung entfalten?
24
Glänzende Aussichten prognostiziert sich selbst ein Tool,
das seine Entwickler langfristig zum Betriebssystem ausbauen
wollen (und das nicht der Emacs ist). Sie geben
bekannt, dass sich dessen Nutzerzahlen binnen Jahresfrist verdreifacht
hätten. Wie bezeichnen sie das dazu passend entworfene
limitierte Test-Hardware-Modell?
+
+
R
=
+
+
M
Fachbücher zu gewinnen
Wer die Fragen korrekt beantwortet und samt Lösungssatz
einsendet, nimmt an der Verlosung teil.
Unter den besten Einsendern verlost die Redaktion
jeweils zwei Exemplare der drei Neuerscheinungen
von Open Source Press:
„Cyberwar“ von Sandro Gaycken fragt,
wer im Netz eigentlich gegen wen kämpft
und mit welchen Waffen. Harmonischer
geht es beim Open-Source-Entwickeln
zu: GRML-Projektleiter Michael Prokopp
beschreibt die Regeln und Vorgehensweisen.
An Praktiker richtet sich Stefan
Schäfers „Root-Server“. Er erklärt die wichtigsten Schritte
zum eigenen Rechner beim Hoster.
Die meisten Fragen lassen sich durch ein Wort beantworten. Bei Namen
ist das der Nachname, ansonsten das erste Wort. Der Lösungssatz drückt
einen Wunsch aus. Wer ihn und die Antworten der Fragen bis zum 31.
Januar 2011 an [winter@linux-magazin.de] schickt, nimmt an der Verlosung
teil. Das Linux-Magazin veröffentlicht die Namen der Gewinner.
Der Rechtsweg ist ausgeschlossen.
=
+
+
K
=
+
+
F
=
+
+
Y
=
Winterrätsel 02/2011
Forum
www.linux-magazin.de
93

PRAXISORIENTIERTE ARTIKEL,
WORKSHOPS UND TESTS
ALS MAGAZIN
FÜR DIE PRAXIS
präsentiert LinuxUser die Inhalte
weitgehend in Form lösungsorientierter
Artikel mit Workshop-
Charakter. Darüber hinaus
liefern Software-Rezensionen,
Hardware-Tests und Grundlagenbeiträge
aktuelle Produktinformationen
und Basiswissen zu den
technischen Hintergründen.
WIE OFT?
LinuxUser erscheint
12x im Jahr
WAS IST DABEI?
LinuxUser gibt es als DVD-Edition sowie
als preisgünstige No-Media-Ausgabe.
Auf je 108 Seiten Umfang besprechen
beide Heftvarianten aktuelle Soft- und
Hardware für Linux-PCs.
WAS KOSTET DAS?
Jahresabo ohne DVD
in Deutschland: 56,10 Euro
Jahresabo DVD-Version in
Deutschland: 86,70 Euro
KÜNDIGUNGSFRIST?
Wir sind fair zu unseren Kunden - Sie
können selbst entscheiden, wie lange Sie
LinuxUser beziehen möchten. Es gibt keine
Kündigungsfrist, Sie können die Zustel-
lung jederzeit beenden. Geld für bereits
bezahlte, aber noch nicht gelieferte
Ausgaben erhalten
Sie zurück!
ABOVORTEILE
Preisvorteil gegenüber Kioskkauf
kostenlose & sichere Zustellung
Zustellung vor dem offiziellen
Verkaufstermin

ERSTMAL TESTEN?
GELD SPAREN!
SIE SPAREN 22,50€ GEGENÜBER
DEM EINZELKAUF
TESTEN SIE
3 Ausgaben
LINUXUSER
FÜR NUR
3
OHNE RISIKO TESTEN!
Testen Sie uns sorgenfrei drei Monate lang. Nur wenn Sie 14 Tage nach Eintreffen der dritten
Ausgabe nichts von sich hören lassen, erhalten Sie LinuxUser weiter jeden Monat frei Haus
zum Vorzugspreis von € 7,23 statt € 8,50 im Einzelverkauf.
Lesen Sie LinuxUser im Miniabo und Sie nehmen
automatisch an unserem Gewinnspiel teil:
GEWINNEN SIE...
EINE VON DREI 7LINKS OUTDOOR-IP-KAMERAS
"IPC-710IR" IM WERT VON ÜBER 500,- EURO
(Verlosung am 06.12.2010)
IHRE BESTELLMÖGLICHKEITEN
Shop: www.linux-user.de/abo Telefon: 089/ 20959-127
Fax: 089/ 20028115
E-Mail: abo@linux-user.de
Weitere Infos rund um LinuxUser finden Sie unter www.linuxuser.de

Forum
www.linux-magazin.de Rechts-Rat 02/2011
96
Leser fragen, der Linux-Magazin-Ratgeber antwortet
Recht einfach
Urheberrecht, Verträge, Lizenzen und so weiter: In der Serie „Rechts-Rat“ erhalten Linux-Magazin-Leser verständliche
Auskünfte zu Rechtsproblemen des Linux-Alltags. Fred Andresen
©designpics,123RF.com
Abbildung1:BeiderNamensfindungfürSoftwarekönnendie
LizenzenundRechtsprechungdifferieren.
In dieser Ausgabe geht’s um juristische
Termini, Programm- und Markennamen,
die Weitergabe digitaler Literatur und
die Zulässigkeit von Automatisierungs-
Komfort.
i Wasistwas:Bestand,
Nutzung,Verkehr
Viele Vorschriften unterscheiden zwischen Bestands-
und Nutzungsdaten. Wo liegt der genaue
Unterschied zwischen diesen Daten und wofür
ist das wichtig?
Jens K.
Thema sind hier Sonderfälle bei der Speicherung
von personenbezogenen Daten,
die grundsätzlich in den Datenschutzgesetzen
des Bundes und der Länder geregelt
sind. Im IT-Bereich geht es regelmäßig
um die Spezialbereiche
der Tele- und Mediendienste.
Die gefragte Unterscheidung
ist konkret in den Bestimmungen
des Telemediengesetzes
(TMG, [1]) getroffen und in
erster Linie für dessen Anwendungsbereich
wichtig.
Es handelt sich um besondere
Regelungen für die Speicherung
von personenbezogenen
Daten seitens Informationsund
Kommunikationsdiensten,
sofern sie nicht reine
Telekommunikation wie Telefonie
sind. Vor allem umfasst
das die typischen Webdienste
oder E-Mail.
Nach Paragraf 14 des TMG
sind Bestandsdaten solche,
die für die Begründung, inhaltliche
Ausgestaltung oder
Änderung des Vertragsverhältnisses
erforderlich sind.
Als Nutzungsdaten gelten dagegen nach
Paragraf 15 TMG solche zur Inanspruchname
und Bezahlung von Telemedien,
insbesondere die Identifizierungsmerkmale
oder Nutzungszeiten. Bestandsdaten
sind somit all jene, die für den Vertrag
nötig sind. Nutzungsdaten dienen der
Abrechnung.
Eine ähnliche Unterscheidung trifft das
Telekommunikationsgesetz (TKG, [2]),
das für die klassischen Telekommunikationsdienste
wie Telefonie einschlägig ist.
Hier entspricht der Begriff der Verkehrsdaten,
der in Paragraf 96 TKG geregelt
ist, weitgehend den Nutzungsdaten des
Telemediengesetzes.
Regelmäßig wird der Sonderfall herangezogen,
dass bei so genannten Flatrate-
Angeboten keine Erhebung von Nutzungsdaten
oder Verkehrsdaten nötig
und damit nicht zulässig sei. Weil die
ordnungsgemäße Abrechnung aber nicht
nur das bloße Vereinnahmen der Entgelte
umfasst, sondern auch die Nachweise
über tatsächlich bezogene Vertragsleistungen,
ist auch in diesen Fällen die reine
Erfassung und folgende Speicherung bis
zum Ablauf zivilrechtlicher Verjährungsfristen
rechtlich unproblematisch.
Die Rechtsordnung sieht in solchen Situationen
jedoch vor, die Daten zu sperren.
Falls ein Kunde nach Wochen oder
Monaten behauptet, er hätte technisch
keine Möglichkeit gehabt, die Dienste zu
nutzen, kann ihm der Dienstleister die effektiven
Nutzungsdaten des betreffenden
Zeitraums entgegenhalten.
i Wienenneichmein
Programm?
Wenn ich freie Software ändere, muss ich das
Programm dann unter dem gleichen Namen weitergeben
oder darf ich das gar nicht?
Andreas F.
Wenn die Lizenzbestimmungen nicht
explizit fordern, Bearbeitungen unter
dem gleichen Namen zu veröffentlichen,
wäre es gerade im Bereich gewerblich
genutzter oder entwickelter Programme
sinnvoll, nicht den Originalnamen zu
benutzen. Das vermeidet etwaige Marken-
oder Kennzeichenverletzungen. Ein
Obergericht hatte vor Kurzem über einen
entsprechenden Fall zu entscheiden und
festgestellt, dass die GPL keine Befugnis
zur Nutzung des (Marken-)Namens des
Programms erteilt [3].
Die Urheberrechte am Programm und die
Markenrechte am Namen dürfen unabhängig
voneinander bestehen. Im Normalfall
umfasst das Urheberrecht auch
den Werktitel, sodass Titel und Inhalt

eines Sprachwerks im Verbund einheitlichen
urheberrechtlichen Schutz genießen.
Weil die GPL eine „urheberrechtswirksame“
Lizenz ist, liegt es nahe, dass
mit ihr auch entsprechende Nutzungsund
Verbreitungsrechte am Titel des Werkes
umfasst wären.
Das Gericht stellte jedoch vorrangig auf
die eingetragene Marke ab. Der Softwarehersteller
hatte sie registriert und
verwehrte dem Vervielfältiger des Programms
das Recht, es unter diesem Namen
zu verbreiten. Der Vervielfältiger
könne und solle es unter einem eigenen
Namen vertreiben.
Die Folge dieses Urteils wäre eine steigende
Zersplitterung der Programme, die
noch weit über das Problem der bereits
bekannten Forks hinausreicht (Abbildung
1). Das Gericht hat möglicherweise in
seiner Entscheidungsfindung nicht ausreichend
darauf abgestellt, ob und inwieweit
eine urheberrechtliche Gestattung
der Namensnutzung im Widerspruch zu
markenrechtlichen Ansprüchen steht –
und diese überwiegen kann.
Wer im kommerziellen Bereich auf freie
Software setzt, sollte sich dementsprechend
absichern. Lediglich die Nutzung
des Programmnamens in der Beschreibung
von Software oder Dienstleistung
könne – so das Gericht – keine fremde
Markenrechte verletzen.
i GebrauchteE-Books
weiterverkaufen?
Die Verlage versuchen ja, die Benutzung von
E-Books der eines normalen Buches gleichzusetzen:
Das per DRM geschützte E-Book kann
immer nur von einer Person gelesen werden. Gebrauchte
Bücher kann ich problemlos weiterverkaufen.
Darf ich das auch mit E-Books? Gibt es
in diesem Zusammenhang auch den „Erschöpfungsgrundsatz“?
Was passiert, wenn ein E-Book
als Watermark meine E-Mail-Adresse enthält, der
Käufer dann Schindluder damit treibt und Raubkopien
davon verkauft?
Stefan A.
der wirtschaftlichen Realität der Rechte-
Inhaber – allein bestimmen darf, ob und
wie er sein Werk nutzt, vervielfältigt, aufführt
oder eben auch weitergibt. Der Erschöpfungsgrundsatz
stellt aber fest, dass
sich diese Urheberverwertungsrechte in
einem Werkstück erschöpfen, sobald es
in den Verkehr gelangt.
Das bedeutet, dass zwar auch weiterhin
grundsätzlich der Urheber (Rechte-Inhaber)
bestimmt, wer sein Buch liest und
wie und durch wen es weiterzugeben ist.
Er kann dies aber nur, soweit es nicht ein
konkretes Buch betrifft – das so genannte
Werkstück. Dies darf der Inhaber beliebig
weiterveräußern.
Der Erschöpfungsgrundsatz ist dennoch
systematisch als Ausnahme zu begreifen.
Er hängt von verschiedenen Voraussetzungen
ab: Zum einen muss das einzelne
Werkstück mit Wissen und Wollen des
Rechte-Inhabers in den Verkehr gelangt
sein. Es muss sich also um ein rechtmäßig
erworbenes Werkstück handeln und
darf nicht etwa ein aus dem Safe des
Verlegers entwendetes Manuskript sein.
Das entscheidende Kriterium ist aber das
des Werkstücks.
Nach bisher herrschender Meinung handelt
es sich bei einem Werkstück automatisch
um etwas Körperliches: Ein Buch,
das sich in die Hand nehmen, oder eine
Filmrolle, die sich in einen Projektor einlegen
lässt. Bei modernen digitalisierten
Werken kommt es darauf an, ob diese in
Verbindung mit einem Datenträger als
Werkstück anzusehen sind oder nicht.
Gelten DVDs, die Musik oder Filme enthalten,
als solche Werkstücke, gilt für
diese auch der Erschöpfungsgrundsatz.
Folglich darf man Musik-CDs oder Film-
DVDs beliebig weiterveräußern.
Wofür der Erschöpfungsgrundsatz hingegen
noch nicht gilt, sind in digitaler Form
vorliegende Daten, die nur als Kopien
weiterzugeben wären. Das betrifft alle
urheberrechtlich geschützten Werke, die
nur im Download oder per Streaming erhältlich
sind. Weil hier kein körperlicher
Datenträger und somit kein Werkstück
vorliegt, ist der Erschöpfungsgrundsatz
nicht anwendbar. Also dürfen auf diese
Weise bezogene Daten nicht weiterververkauft
werden – auch dann nicht, wenn
der Veräußerer alle verbleibenden Kopien
löscht (Abbildung 2).
Doch es gibt in letzter Zeit verstärkt Tendenzen,
auch digitale Downloads wie
Werkstücke zu behandeln. So meinen
einige Juristen, dass das Medium des
Erstpeichervorgangs den Anforderungen
an einen körperlich verbundenen Datenträger
genügen sollte, also etwa die
Festplatte, auf der die Downloads gelandet
sind. Diese Ansätze berücksichtigen
jedoch nur die Interessen des Publikums
an möglichst ungehindertem freien Leistungstausch.
Sie übersehen den ohnehin
bereits strengen Ausnahmecharakter des
Erschöpfungsgrundsatzes, der durch die
EU-Richtlinien zum Urheberrecht eher
noch strenger auszulegen ist, als ohnehin
bereits der Fall.
Im Ergebnis bleibt die Weitergabe heruntergeladener
oder gestreamter Daten
urheberrechtlich leider unzulässig. Wenn
nicht ausdrücklich die Genehmigung des
Urhebers oder Rechte-Inhabers vorliegt,
Rechts-Rat 02/2011
Forum
www.linux-magazin.de
97
Sie sprechen in diesem Zusammenhang
den Erschöpfungsgrundsatz im Sinne des
Paragrafen 17 Absatz 2 Urheberrechtsgesetz
an [4], der das zentrale Rechtskonstrukt
für dieses und ähnliche Probleme ist.
Die Prinzipien des Urheberrechts besagen,
dass grundsätzlich der Urheber – in
©36clicks,123RF.com
Abbildung2:E-BooksgeltennichtalskörperlicheDatenunddamitnichtalsWerkstücke.

Forum
www.linux-magazin.de Rechts-Rat 02/2011
98
handelt es sich bei E-Book-Inhalten
ebenso wie bei Musicstore-Downloads
um geschützte Werke, die Sie nicht weitergeben
dürfen – weder entgeltlich noch
kostenlos.
i Auto-Configureund
dieGPL
In meinem GPL3-lizenziertem Programm befolge
ich die Regel, das Automatisierbares automatisiert
werden soll. Ich verwende eine Handvoll
Komponenten von Nokias beziehungsweise
Trolltechs Qt-Solutions-Katalog. Dafür ist der
LGPL2.1 oder wahlweise der GPL3 zuzustimmen,
da Komponenten die Präsenz einer Datei ».licenseAccepted«
überprüfen. Normalerweise geschieht
die Zustimmung beim Aufruf von »configure«
im jeweiligen Komponenten-Ordner.
Nun akzeptiert eines meiner Makefiles die Lizenz
automatisch, etwa für »QtColorTriangle«: Die
Krux liegt in Zeile 3, in welcher ich einfach den
Text „license accepted“ in ».licenseAccepted«
schreibe. Ist das zulässig in Anbetracht, dass
die Lizenz meines Programms kompatibel ist mit
den Lizenzen der Komponenten?
Sebastian M.
Im Prinzip ist die durchgeführte Automatisierung
ja nur eine Ergänzung der Automatisierung,
die bereits das ursprüngliche
Configure-Skript durchführt: Auch durch
Abklicken der menügeführten Abfrage
kommt es zum gleichen Datei-Eintrag. Die
urheberrechtliche Lizenz ist ein Vertrag,
der der Zustimmung des Vertragspartners
bedarf (Abbildung 3). Diese Zustimmung
kann auf verschiedene Arten erfolgen,
entweder ausdrücklich – also durch den
explizit mündlich oder schriftlich oder
in anderer Form erklärten Willen – oder
konkludent, also durch eine Handlung,
die den Willen des Handelnden nach außen
erkennbar macht.
Das Prinzip der GPL und anderer vergleichbarer
Softwarelizenzen ist es ja
gerade, dass diese an bestimmte Bedingungen
geknüpft sind: Nur wer der
Lizenz zustimmt, darf die Software als
urheberrechtlich geschütztes Werk entsprechend
nutzen, vervielfältigen oder
weitergeben.
Darüber hinaus gilt – zumindest bei
den GPL-Versionen – das Prinzip der
Direktlizenzierung. Das bedeutet, dass
derjenige, an den Sie die übernommenen
Codebestandteile weitergeben, seine
©RainerPlendl,123.rf.com
Abbildung3:DieAutomatisierungderAutomatisierungbirgtauchrechtlicheTücken–nichtnursprachliche.
Lizenz unmittelbar von dem oder den ursprünglichen
Rechte-Inhabern erhält und
nicht von Ihnen. Von Ihnen bekommt
der Erwerber lediglich unmittelbar die
Lizenz bezüglich des von Ihnen selbst
erstellten Code.
Das bedeutet, dass für Sie im Verhältnis
zu Ihren Lizenzgebern die Verpflichtung
bestehen bleibt, den vollständigen Lizenztext
unverändert an Ihre Abnehmer
weiterzugeben. Das gilt jeweils für alle
unterschiedlichen Lizenzen in Bezug auf
die ihnen unterliegenden Code-Bestandteile
(LGPL, GPL). Ist das gewährleistet,
bleibt unerheblich, ob und mit welcher
technischen Umsetzung Sie die Zustimmung
abfragen: Schließlich muss gerade
den GPL-Lizenzen nicht ausdrücklich zugestimmt
werden, wie bereits Ziffer 5 der
GPLv1 vorsah.
Eine abweichende Verpflichtung ergibt
sich allenfalls aus Ziffer 2c GPLv1 und
vergleichbaren Bestimmungen. Denn bei
dem Configure-Dialog handelt es sich
um ein interaktives Kommando, das bei
der Programmausführung Benutzereingaben
entgegennimmt. Nach dieser Bestimmung
müssen bei einer Bearbeitung
besondere Hinweispflichten erfüllt werden:
Urhebervermerke, etwa bestehende
Haftungsausschlüsse, Verweis auf die
GPL-Lizenzierung und der Speicherort
der Lizenzbestimmungen.
Diese Hinweispflichten bestehen hingegen
nicht, wenn und soweit das bearbeitete
Programm bereits interaktive Eingaben
entgegennahm und keine solchen
Hinweise enthielt. Im Umkehrschluss
folgt daraus: Wenn das bearbeitete Programm
derartige Hinweise enthielt, darf
niemand sie unterdrücken oder umgehen.
Und natürlich darf ein interaktives
Programm, das solche Hinweise enthielt,
entsprechend auch nicht wieder „de-interaktiviert“
werden.
Weil es für die Wirksamkeit der Lizenz
zwar nicht auf den Accept-Vermerk ankommt,
die entsprechende Abfrage aber
wohl zu Recht als bei einer Benutzerinteraktion
erfolgender Hinweis auf die
zugrunde liegende Lizenz anzusehen ist,
scheint die Unterdrückung dieses Hinweises
durch die erfolgte Skript-Automatisierung
als mögliche Verletzung der
GPL-Bestimmungen.
Dagegen mögen manche vielleicht argumentieren,
dass ja das bloße Setup
per Configure-Skript mit dem eigentlichen
Programm kaum etwas zu tun hat.
Doch wenn auch das Configure-Skript
der General Public License unterliegt,
dann wäre schon die bloße Umgehung
eine GPL-Verletzung. (uba/ake) n
Infos
[1] TMG:
[http://www. gesetze-im-internet.de/tmg/]
[2] TKG: [http:// www.gesetze-im-internet.de/
tkg_2004/]
[3] Oberlandesgericht Düsseldorf, Urt. vom
28.9.2010, I-20 U 41/ 09:
[http://www. ifross. org/Fremdartikel/
OLGDuesseldorfxtcommerce.pdf]
[4] UrhG:
[http://www. gesetze-im-internet.de/urhg/]

Neues bei Debian
Debianopolis
Debian 02/2011
Forum
Debian ist frei und seine Entwickler sind Kosmopoliten. Das Linux-Magazin berichtet regelmäßig Interna aus
der Debian-Entwicklerszene und angrenzenden Projekten. Martin Loschwitz
www.linux-magazin.de
99
Mit der Version 6.0 Beta 2 [1] des Debian­
Installers biegt die Squeeze­Release auf
die Zielgerade ein. Der Beta­D­I war die
letzte wichtige Bedingung für den Deep
Freeze, in dem sich das neue Debian seit
Dezember befindet (Abbildung 1). Neue
Paketversionen aus dem Unstable­Zweig
gelangen nur noch zum Testen, wenn
sie den Fix für einen Release ­kritischen
Fehler versprechen.
Die Installationsroutine verwendet jetzt
Kernel 2.6.32.27, der von den Linux­
Gurus offiziell als „Longterm Stable“ deklariert
ist. Der neueste Debian­Installer
sieht zudem die Partitionen anderer Systeme
besser und bindet sie sinnvoll in den
Bootloader ein, was vielen Änderungen
an dem Modul »partprobe« zu verdanken
ist. Passend dazu haben die Debianer die
Betriebssystemerkennung von Grub auf
den aktuellen Stand gebracht, sodass der
Installer Windows Vista und Konsorten
möglichst problemlos sieht.
Mehr Platz per Default
Interessant für Admins erscheint vor
allem die Partprobe­Änderung, die das
Verhalten des Debian­Installers sichtbar
ändert. Ab sofort macht er die Partition
für das Root­Dateisystem »/« größer als
bisher: Mindestens 900 MByte fordert er,
sofern das Homeverzeichnis auf einer
eigenen Partition landet – die meisten
Admins wählen diese Aufteilung.
Als Beweggrund geben die Entwickler an,
Platz für die Installation eines zweiten
Kernels im Wurzelverzeichnis lassen zu
wollen. Dies erfordere mindestens 120
MByte. Auf Servern mit großer Platte
fällt der zusätzlich benötigte Platz kaum
auf. Entwickler von Embedded­Systemen
könnten allerdings in Bedrängnis kommen,
was freien Speicher angeht.
Fernab von allen technischen Details
bringt die zweite Betaversion des Installers
eine Widmung für Frans Pop mit.
Der Debianer war über lange Jahre einer
der wichtigsten Installer­Entwickler und
treibende Kraft hinter allem, was Admins
und Nutzer brauchten, um Debian auf
die Platte zu kriegen. Frans Pop starb
im August 2010. Die Entwickler setzen
ihm durch die Widmung einen digitalen
Gedenkstein.
Automatische Architekten
Einer der letzten Show­Stopper für
Squeeze sind Release­kritische Fehler, die
den Bau von Programmen auf unterschiedlichen
Architekturen verhindern. Da
nicht jeder Entwickler seine Pakete für
alle Architekturen händisch aufbereiten
kann, betreibt Debian ein Netzwerk von
Build­Daemons. Sie stoßen den Paketbau
auf noch ausstehenden Architekturen automatisch
an. Einige Entwickler machen
sich den Spaß, das ganze Debian­Archiv
in regelmäßigen Abständen komplett
durchzukompilieren. Dabei halten sie
Ausschau nach der Problem­Meldung
„Fails to build from source“, von Eingeweihten
abgekürzt zu FTBFS.
Ubuntu unterstützt weniger Architekturen
als Debian, kennt das FTBFS­Problem
aber ebenfalls. Weil viele Pakete
in Ubuntu nicht weit vom Stamm ihrer
Debian­Verwandten fallen, aber schneller
und öfter gebaut werden, geben FTBFS­
Probleme in Ubuntu unter Umständen
Hinweise auf zu erwartende Probleme in
Debian­Paketen.
Lucas Nussbaum hat Ubuntu Maverick
Meerkat durchgebaut und eine nach
Maintainern sortierte Liste aller Fehler
veröffentlich [2]. Debian­Developer können
sogar die Build­Logs durchsuchen
Abbildung 1: Unantastbares Interieur – das kommende
Debian befindet sich mit der zweiten Beta
des Installers im so genannten Deep Freeze.
und so Anhaltspunkte für Probleme finden,
die wohl demnächst auf sie herabkommen
werden [3]. Einige Debian­
Entwickler regten daraufhin regelmäßige
Vergleiche zwischen Ubuntu und Debian
an. Denkbar wäre, die Resultate der Logs
in das debianische Package Tracking System
(PTS) zu integrieren. Das wäre eine
weitere, sehr nützliche Kooperation zwischen
Debian und Ubuntu. (ake) n
Infos
[1] Neuester Installer: [http:// lists. debian. org/
debian‐devel/ 2010/ 12/ msg00001. html]
[2] E‐Mail von Lucas Nussbaum:
[http:// lists. debian. org/ debian‐devel/ 2010/
12/ msg00040. html]
[3] Build‐Logs: [http:// udd. debian. org/ cgi‐bin/
ubuntu_ftbfs. cgi]
Der Autor
Martin Gerhard Loschwitz ist
Senior Technical Consultant
bei Linbit und seit vielen
Jahren Debian‐GNU/ Linux‐
Entwickler.
© Macroslk, Photocase.com

Forum
www.linux-magazin.de Bücher 02/2011
100
Bücher über NoSQL-Datenbanken und über Open NMS
Tux liest
Die erste Buchbesprechung passt hervorragend zum Titelthema dieser Ausgabe, denn das behandelte Werk
gibt auf nur 300 Seiten eine Einführung in rund 30 NoSQL-Datenbanken. Der zweite vorgestellte Titel richtet
sich an Sysadmins und widmet sich dem Systemmanagement mit Open NMS. Markus Feilner, Michael Müller
Dem jüngsten Hype-Thema der Datenbankwelt
sachlich und detailliert auf den
Grund gehen möchte das Buch „NoSQL:
Einstieg in die Welt nichtrelationaler Datenbanken“
von Stefan Edlich, Achim
Friedland, Jens Hampe und Benjamin
Brauer. Das Team um den Universitätsprofessor
Edlich hat sich einer Mammutaufgabe
gestellt und schafft auf knapp
300 Seiten einen vollständigen Überblick
über die Vielzahl der Datenbanken.
Datenbank-Kategorien
Dazu unterteilten die Autoren die Datenspeicher
in vier Kategorien: Key-Valueund
Column-Family-Systeme, Document
Stores und Graphendatenbanken. Nach
Grundlagen und Definitionen folgt der
Einstieg in das theoretische Grundgerüst:
Map-Reduce-Verfahren, CAP-Theorem,
Konsistenzmodelle, Hashing, Vector
Clocks und Verfahren zur Konfliktbehandlung
wie Multiversion Concurrency
Control (MVCC) erklärt das Buch ebenso
wie das Integritätsmanagement mit Protokollen
der Paxos-Familie. Die Autoren
führen mit anschaulichen Grafiken auch
Einsteiger korrekt und kompetent ans
Thema heran.
Besonders wertvoll machen das Buch
aber die Kapitel 3 bis 7, die jeweils einer
der vorher definierten NoSQL-Kategorien
gewidmet sind. Anhand der wichtigsten
Vertreter diskutieren die Autoren Hbase,
Cassandra und Amazons Simple DB als
Vertreter der Wide Column Stores sowie
Couch DB und Mongo DB als Document
Stores. Auch bei reinen Onlinesystemen
wie Simple DB weichen die Autoren nicht
von ihrem Schema ab, das bei jeder Datenbank
vom Allgemeinen über das Datenmodell,
Installation, Beispiele für die
wichtigsten-Operationen in mehreren
Programmiersprachen bis zu einer abschließenden
Bewertung reicht.
Bei den Key-Value-Datenbanken finden
sich Redis, Chordless und Riak, die Graphendatenbanken
sind gleich mit zwölf
Beispielen vertreten, darunter Sones,
Neo4j und Infogrid. Die letzten beiden
Kapitel des Buches zeigen weitere
NoSQL-Ansätze und bieten Hilfe zur Orientierung
im Datenbankwald.
Als einziger negativer Aspekt an diesem
Buch ist wohl seine Kürze zu nennen:
Wer die Grundlagenkapitel abzieht, bekommt
auf 217 Seiten fast 30 verschiedene
Datenbanken vorgestellt. Dennoch
hält das Werk, was der Titel verspricht,
und bietet einen idealen Einstieg in die
NoSQL-Welt.
Open NMS praktisch
„Ich möchte informiert werden, wenn
eine Serverplatte einen bestimmten Füllstand
erreicht.“ Solche Bedürfnisse befriedigen
Netzwerkmanagement-Systeme
wie Open NMS. Mit diesem freien Softwarepaket
beschäftigt sich das gleichnamige
Buch von Alexander Finger, Klaus
Thielking-Riechert und Ronny Trommer.
Nach einer kurzen Open-NMS-Historie
bieten die Autoren einen „Schnellkochkurs
für das Netzwerkmanagement“ mit
Info
Stefan Edlich, Achim
Friedland, Jens Hampe,
Benjamin Brauer:
NoSQL
Hanser 2010
290 Seiten
30 Euro
ISBN: 978-3-446-42355-8
Installation und Schnellstart. Danach
geht es detaillierter um Konzepte und
Konfiguration. Das Buch beschreibt das
Anzapfen der unterschiedlichen Quellen,
insbesondere SNMP, und die automatischen
Benachrichtigungen in unterschiedlichen
Eskalationsstufen via SMS
oder Mail. Andere Ausgabeformate sind
Maps und Reports, sowohl grafisch als
auch tabellarisch.
Mit zahlreichen XML-Listings der Konfigurationsdateien
wendet sich dieser Titel
vor allem an Praktiker: Statt abstrakter
Syntaxbeschreibung lernt der Leser vornehmlich
an Beispielen. Abgerundet wird
das Buch durch Fallstudien, die diverse
Einsatzmöglichkeiten und deren Einrichtung
beschreiben. Daneben gibt es Tipps
zur Störungssuche und Hinweise zur
Einführung eines Netzwerkmanagement-
Systems.
Auch wenn Open NMS in anderen Büchern
erwähnt wird, ist das vorliegende
das einzige zu ausschließlich diesem
Thema. Und so wird es zu einem wichtigen
Nachschlagewerk. Es empfiehlt sich
allerdings, den Band einmal komplett
durchzuarbeiten. Nur mit diesem Wissen
lässt er sich effektiv zum Nachschlagen
nutzen, denn der Index fällt dürftig aus.
Endlich ein Buch, das sich speziell Open
NMS widmet, wenn auch mit Verbesserungspotenzial.
(mhu)
n
Info
Alexander Finger, Klaus
Thielking-Riechert, Ronny
Trommer:
OpenNMS
Dpunkt 2010
380 Seiten
37 Euro
ISBN 978-3-89864-656-7

Auf den Punkt gebracht
Leserbriefe
Leserbriefe 02/2011
Forum
Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-­magazin.­de].
Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit
Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.
www.linux-magazin.de
101
Projektverwaltung
01/ 11, S. 36: Ich habe „Projektverwaltungs-Software
im Vergleich“ sehr aufmerksam
gelesen und dabei zwar Trac,
leider aber nicht das viel mächtigere
Redmine gefunden. Mit Redmine lassen
sich mehrere Projekte parallel verwalten,
daneben zu jedem Projekt ein Repository.
Die in Ruby on Rails umgesetzte Software
ist unter [http://­www.­redmine.­org] erhältlich.
Bernhard Schauer, per E-Mail
CVS-Locking
01/ 11, S. 42: Zum Artikel über Versionsverwaltung:
CVS beherrscht durchaus
Locking und serialisiert Commits, die
gleichzeitig auf dieselben Verzeichnisse
zugreifen möchten. Ein Commit sperrt
erst alle beteiligten Verzeichnisse, arbeitet
dann und entsperrt hinterher. Von
daher ist die Behauptung der Korruption
unsinnig. Allenfalls bei Dateisystem-Korruption,
Reboot mitten im Commit mit
manuellem Aufräumen der Locks hinterher
oder Ähnlichem kann so etwas
passieren. Als CVS-Liebhaber (und mit
meinem Mir-BSD-Hut auf) bitte ich um
Berichtigung.
Thorsten Glaser, per E-Mail
Kopieren für Cluster
01/ 11, S. 85: Sysadmin Charly hat das
Tool Cluster SSH vorgestellt, das ich auch
schon länger einsetze. Ich verwende es
allerdings zusammen mit Cluster SCP
[https://­launchpad.­n e t/­c sc p] . Während
»cssh« es erlaubt, mehrere Rechner gleichzeitig
zu administrieren, kann »cscp« Dateien
auf mehrere Systeme übertragen.
Cluster SCP verwendet ebenfalls die in
»/etc/clusters« definierten Cluster, ansonsten
ist die Syntax fast die gleiche wie
bei SCP. Der einzige Unterschied besteht
in den Optionen, die hier ans Ende der
Kommandozeile kommen:
cscp Quelle Zielcluster:Ziel [Optionen]
Die Cluster-Varianten von SSH und SCP
zusammen erleichtern mir die Verwaltung
von geclusterten oder sonstwie gleichartigen
Systemen ganz erheblich.
Harald Husemann, per E-Mail
Linux-Organisationen
01/ 11, S. 18: Zum Kommentar von Nils
Magnus bezüglich Linux-Verband und
Lisog: Die Bekämpfung von Softwarepatenten,
die Optimierung von Vergaberichtlinien,
Überzeugungsarbeit für
Open-Source-Software oder die Entwicklung
von Subskriptionsmodellen für Libre
Office sind einige der Themen, bei denen
Sie schreiben, Linux-Verband und Lisog
hätten in der Vergangenheit zu wenig getan.
Obwohl man über inhaltliche Details
und Schwerpunkte sicher streiten kann,
gebe ich Ihnen gerne recht: Es hätte mehr
getan werden können, und es wäre gut,
wenn mehr getan würde!
Jede gute Tat braucht aber einen Täter,
und ich frage mich, wem Sie hier eigentlich
einen Vorwurf machen: Den
Erratum
12/ 10, S. 50: Anders als im Artikel „Jäger
und Sammler“ behauptet, überträgt der
Client nie private Schlüssel an die Rechner
von Cacert. Eine widersprechende Beschreibung
im Cacert-Wiki stellte sich als Bug heraus.
Dank an den Leser Ralf Krüdewagen für
den Hinweis.
Verbandsmitgliedern und Vorständen,
die neben ihrer Tätigkeit für ein Unternehmen
unentgeltlich Zeit aufbringen,
um sich für wichtige Verbandsziele einzusetzen?
Oder denjenigen, die schlicht
gar nicht in Erscheinung treten? Leider
ist der Kreis der Aktiven klein, und genau
das ist der Grund, warum wir eine
Konsolidierung brauchen.
Weiter schreiben Sie, die Mitglieder würden
nicht eingebunden. Das Gegenteil
ist der Fall: Die Dinge sind sowohl in der
Mitgliederversammlung des Linux-Verbandes
als auch bei der Lisog ausführlich
und konstruktiv diskutiert worden. Die
Aussage, dass der Linux-Verband eine
„ausgeprägte Diskussionskultur“ hätte
und die Lisog „eher patriarchalisch“ organisiert
sei, halte ich für falsch. Ein Blick
in die Satzungen zeigt, dass beide durch
ihre Mitglieder gesteuert werden. Im Übrigen
geben diejenigen den Ton an, die
Zeit und andere Ressourcen aufwenden,
um die Vereinsziele zu unterstützen.
Peter Ganten (Linux-Verband),
per E-Mail
Dass die Mitglieder nicht eingebunden
würden, habe ich so nicht behauptet.
Andererseits waren bei der Mitgliederversammlung
laut vorliegender Teilnehmerliste
gerade einmal 11 von über 100
Mitgliedern vertreten. Auch im Vorfeld
gab es nicht den Anschein, als wolle der
Verband dieses Thema in breiter Runde
diskutieren. Die Bemerkung zu den Diskussionskulturen
ist meine subjektive
Einschätzung, wie durch die Überschrift
„Kommentar“ angekündigt. Im Übrigen
stehe ich einem konstruktiven Zusammengehen
von Lisog und LIVE positiv gegenüber,
wie mein Kommentar hoffentlich
deutlich gemacht hat. (Nils Magnus) n

ADMIN-MAGAZIN
FÜR ALLE IT-ADMINISTRATOREN
VON WINDOWS UND LINUX
ADMIN erscheint alle zwei
Monate und bietet IT-Admins:
■ Schwerpunktthemen zu
Storage, Backup, Netzwerk,
Monitoring, Virtualisierung
und Security
■ Howtos und Tutorials für alle
IT-Administratoren von Linux,
Windows und Unix
■ Hilfe bei der täglichen
Systemverwaltung
heterogener Netze
TESTEN SIE ADMIN
IM MINI-ABO!
Lesen Sie 2 Ausgaben für
zusammen nur 9,80 !
2 Hefte
NUR
9,80
SO KÖNNEN SIE BESTELLEN:
• Web: www.admin-magazin.de/abo
• Telefon 089 / 2095 9127 • Fax 089 / 2002 8115
• E-Mail: abo@admin-magazin.de • Shop: Shop.LinuxNewMedia.de
Gleich hier bestellen:
www.admin-magazin.de/
miniabo
ABOVORTEILE
• Preisvorteil gegenüber Kioskkauf
• kostenlose & sichere Zustellung
• Zustellung vor dem offiziellen
Verkaufstermin
Globusillustration: Rafa Irusta Machin, 123RF

SIE WOLLEN KEIN HEFT MEHR VERPASSEN?
Abonnieren Sie ADMIN im Prämienabo!
Lesen Sie das ADMIN-Magazin für
nur 49,90 im Jahr statt 58,80
im Einzelkauf am Kiosk!
Als Prämie erhalten Sie einen Yubikey
www.admin-magazin.de/jahresabo
SICHERN SIE SICH
IHREN GRATIS YUBIKEY!
Sicher unterwegs: USB-Crypto-Key für Einmal-
Passwörter mit AES-128. Funktioniert ohne spezielle Treiber
mit allen Betriebssystemen. Weitere Applikationen unter www.yubico.com
NEU!
JETZT BESTELLEN:
Versandkostenfrei!
• www.admin-magazin.de/einzelheft
• Telefon 089 / 2095 9127 • Fax 089 / 2002 8115
• E-Mail: abo@admin-magazin.de • Shop: Shop.LinuxNewMedia.de

Know-how
www.linux-magazin.de Kern-Technik 02 /2011
104
Kernel- und Treiberprogrammierung mit dem Kernel 2.6 – Folge 55
Kern-Technik
Mit ausgefeiltem Ressourcen-Management und eigenen Namensräumen organisiert der Kernel eine effiziente
Container-Virtualisierung. Die Unterstützung im Userland könnte jedoch besser sein. Eva-Katharina Kunst, Jürgen Quade
Seit IT-Urzeiten ist eine der vornehmsten
Aufgaben des Betriebssystems die
Virtualisierung. Galt es damals vor allem,
die CPU mit ihren Registern zu virtualisieren
und damit das Multitasking
beziehungsweise das Multithreading zu
ermöglichen, ist heute die Virtualisierung
des kompletten Rechners trendy. Festplatten,
DVD-Laufwerke, Netzwerkschnittstellen,
Grafikkarten und Hauptspeicher
stehen dem Anwender scheinbar exklusiv
zur Verfügung, real aber teilt er sich die
Ressourcen mit den übrigen Usern.
Dank Virtualisierung lassen sich mehrere,
auch unterschiedliche Betriebssysteme
auf der Hardware gleichzeitig betreiben,
ohne Umbooten zu müssen. Auf einer
leistungsfähigen Hardware konsolidieren
Unternehmen Server, was typischerweise
den Wartungs- und Administrationsaufwand
reduziert.
Das Hauptargument für die Virtualisierung
ist aber meist eine erhöhte Sicherheit, die
Systemverwalter zum einen durch die damit
verbundene Isolierung der Systeme,
zum anderen durch die reduzierte
Komplexität erreichen.
Sie handeln damit gemäß dem
Motto: Eine Betriebssysteminstanz
– ein Dienst.
Ins Gefängnis
Dabei gibt es verschiedene Ansätze:
so genannte Container-
Virtualisierung, Hypervisor-
Technik und Hardware-Emulation
(siehe Kasten „Virtualisierungstechniken“).
Die Variante, die dabei die geringsten
Ressourcen benötigt,
ist die Container-Virtualisierung
(siehe Abbildung 1). Die
Idee hinter dieser Technik ist,
möglichst viele Ressourcen gemeinsam
zu nutzen. So verwenden beispielsweise
die virtualisierten Systeme denselben
Betriebssystemkern und häufig auch
dieselben Systemprogramme. Das spart
Speicher und CPU-Zeit.
Diese Art der Virtualisierung ist – da sie
sehr wenig zusätzliche Ressourcen benötigt
– schon lange in Gebrauch, beispielsweise
unter dem Namen Chroot.
Allerdings virtualisiert Chroot im Wesentlichen
nur das Root-Filesystem. Linus
Torvalds hat dagegen in den letzten
Jahren seinen Betriebssystemkern mit
einer fast vollständigen Container-Virtu-
Tabelle 1: Namensräume
alisierung ausgestattet. Dabei hat er zwei
wesentliche Technologien integriert: Kontrollgruppen
und Namensräume.
Mit Hilfe der Control Groups lassen sich
Rechenprozesse einer virtuellen Umgebung,
dem Container beziehungsweise
auch nur einem Namensraum zuordnen.
Sie binden aber auch die Jobs fest an
einen bestimmten Prozessorkern einer
Multicore-Maschine [1] oder limitieren
vorhandene Speicher-Ressourcen. Aus
dem Userland wird dies alles über ein
virtuelles Filesystem gesteuert.
Täuschungsmanöver
Normalerweise sind die Datenstrukturen
für den kompletten Kernel eindeutig,
etwa sein Name oder die von ihm vergebenen
Prozess-IDs. Die Namespaces
isolieren die Betriebsmittel, indem sie
es Anwendern erlauben, Bereiche einzurichten,
in denen die Bezeichner eine
neue Gültigkeit besitzen. Inzwischen
sind sieben Namensräume realisiert, die
Tabelle 1 auflistet.
Innerhalb eines »UTS«-Namespace vergibt
der Linux-Anwender individuelle
Domainnamen, Nodenamen, eine Release,
eine Version und schließlich den
Maschinennamen – kurzum die Informationen,
die er sonst per System call
»uname()« ausliest. »USER« steht für
eigene User-IDs, »NET« für virtuelle
Flag Namensraum Neu instanzierte Objekte
CLONE_NEWIPC IPC Messages, Mailboxes und Shared Memory
CLONE_NEWNET NET Netzwerkgeräte, Routen und Sockets
CLONE_NEWNS MNT Mountpoints (nur zum Lesen)
CLONE_NEWPID PID, PROC Prozess-IDs und zugehöriges Proc-Filesystem
CLONE_NEWUTS UTS Systemnamen und -informationen
CLONE_NEWUSER USER User-IDs

Kernel Userspace
Appl.
PID
IPC
UTS
NET
USER
PROC
MOUNT
Appl.
globaler
Namensraum
Appl.
Appl.
PID
IPC
UTS
NET
USER
PROC
MOUNT
Container mit
eigenen
Namensräumen
Appl.
Netzwerkgeräte, Routen und Sockets.
»PROC« erzeugt einen Container mit eigenem
Proc-Filesystem. Da der Kernel
Objekte der Interprozess-Kommunikation
ebenfalls über Namen referenziert, stellt
»IPC« einen zugehörigen Namensraum
für Shared-Memory, Messages und Semaphore
bereit. »MNT« schließlich instanziert
unabhängige Mountpoints.
Dreh- und Angelpunkt, um Namensräume
zu nutzen, ist der Systemcall »clone()«.
Linux erzeugt damit neue Rechenprozesse.
Den gewünschten Namensraum
steuert der Code beim Erzeugen über
Flags, die die Container-Virtualisierung
in »linux/sched.h« bereitstellt.
Mit Root-Rechten ausgestattet ruft der
Applikationsprogrammierer »clone()«
auf und übergibt beispielsweise das Flag
»CLONE_NEWPID«. Der Kernel erstellt
daraufhin einen neuen Namensraum
für den Kindprozess. Das Programm in
Appl.
PID
IPC
UTS
NET
USER
PROC
MOUNT
Container mit
eigenen
Namensräumen
G Abbildung 2: Die Prozesse, die virtualisierte Jobs abarbeiten, haben zwei PIDs: eine im
globalen Namensraum sowie die PID in der virtualisierten Umgebung. Der Kindprozess im Beispielprogramm
hat aus Elternsicht die PID 7055. Das Kind selbst meint, es besitze die PID 1.
F Abbildung 1: LXC legt innerhalb von Containern eigene Namensräume an, mit denen Applikationen
eine Reihe von Systemressourcen unabhängig vom restlichen Kernel benennen dürfen.
Listing 1 verdeutlicht dies zusammen
mit Abbildung 2. Der
Elternprozess gibt die PID des erzeugten
Kindes (7055) und die eigene (7054) aus.
Der Kindprozess zeigt dagegen nur die
eigene PID an.
Innenansichten
Aus Sicht des Kindprozesses ist diese
1, da der Aufruf einen neuen Namensraum
erzeugt und der Kindprozess die
erste freie ID bekommt. Im Hostsystem
bekommt diese PID normalerweise der
Init-Prozess. Das Beispiel verdeutlicht,
dass der Kindprozess durch den neuen
Namensraum zwei PIDs besitzt: einmal
die PID im globalen Namensraum und
einmal die PID im Container.
Um das selbst zu testen, kompilieren
Experimentierfreudige den Code und
starten das entstehende Programm als
Superuser. Um zusätzlich andere Namensräume
zu aktivieren, verknüpfen sie
Virtualisierungstechniken
Auch wenn es so aussieht: Festplatten, Grafikkarten
oder auch Prozessoren sind nicht immer
real. Immer häufiger bekommen Betriebssysteme
oder Applikationen virtuelle Hardware
vorgesetzt. Die Virtualisierung unterscheidet
das Host- vom Gastsystemen. Der Host kontrolliert
real die Hardware. Er erzeugt die virtuelle
Sicht, auf die seine Gäste bauen. Sie setzen
hierbei drei Basistechnologien ein:
n Container-Virtualisierung: Das Betriebssystem
schafft durch eigene Namensräume
eine virtuelle Umgebung (Container). Gastsysteme
nutzen den Betriebssystemkern
des Hostsystems. Beispiel: Linux Container
LXC, Open VZ.
n Hypervisor-Technik: Eine als Hypervisor bezeichnete
Systemkomponente kontrolliert
die eigentliche Hardware. Die Prozessorhersteller
Intel und AMD unterstützen diese
Art der Virtualisierung in modernen Prozessoren
durch besondere Technologien (VT-x
und Pacifica). Oft ist der Hypervisor mit
dem Hostsystem verbandelt. Die Technik
ermöglicht es, eine Hardware gleichzeitig
von unterschiedlichen Betriebssystemen
verwenden zu lassen. Beispiele: VMware,
Virtualbox.
n Hardware-Emulation: Hier wird eine Hardware,
ein Rechner emuliert. Sehr vorteilhaft
ist, dass die Architektur des emulierten
Rechners (Gastsystem) sich komplett
von der Architektur des Hostsystems
unterscheiden kann. Dem stehen jedoch
eine niedrige Arbeitsgeschwindigkeit des
Gastsystems und eine hohe Auslastung des
Hostsystems gegenüber. Beispiel: Qemu.
die »CLONE_NEWTyp«-Flags beim Aufruf
von »clone()« per bitweisem ODER
miteinander. Der Kernel repräsentiert die
Namespaces durch jeweils eigene Datenstrukturen,
die den zugehörigen Namensraum
eindeutig beschreiben. Mit Einzug
der Container-Virtualisierung hat Linus
Torvalds den Prozess-Controllblock als
beschreibende Instanz für einen Rechenprozess
modifiziert (Abbildung 3).
Informationen wie beispielsweise die PID
oder die UIDs sind nicht mehr direkt im
Prozess-Kontrollblock (PCB) abgelegt,
sondern nur noch über Zeiger auf die
neuen Datenstrukturen erreichbar. Um
Speicherplatz zu sparen, haben die Entwickler
die Namensräume vom PCB aus
jedoch nicht einzeln verlinkt, sondern
über die dazwischen eingeschobene Datenstruktur
»struct nsproxy« semantisch
zusammengefasst. Ein einzelner Zeiger
Listing 1: Namensräume anlegen
01 #include
02 #include
03 #include
04 #include
05 #include
06
07 int main(int argc, char **argv, char **envp)
08 {
09 pid_t pid;
10 int status;
11
12 pid = syscall(__NR_clone, CLONE_NEWPID | SIGCHLD,
13 0, 0, 0);
14 if (pid == 0) {
15 printf("Kind‐Thread: ");
16 } else {
17 printf("Eltern‐Thread (Kind‐PID %d): ", pid);
18 }
19 printf("eigene PID: %d\n", getpid());
20 wait(&status);
21 return 0;
22 }
Kern-Technik 02/2011
Know-how
www.linux-magazin.de
105

Know-how
www.linux-magazin.de Kern-Technik 02 /2011
106
Prozess-Kontrollblock Namensraum
UTS
struct uts_namespace
IPC
struct ipc_namespace
struct nsproxy
MOUNT
struct mnt_namespace
UIDs
NET
struct net
struct task_struct
PID
PROC
USER
struct pid_namespace struct vfsmount
struct cred
Abbildung 3: Der Prozess-Kontrollblock enthält Zeiger auf die zugehörigen Namensräume.
(8 Byte auf einem 64-Bit-System) gibt
damit Zugriff auf sechs der sieben Namensräume.
Neben der Speicherplatzersparnis
ist das schnelle Kopieren des
PCB ein weiterer Vorteil. Der Kern legt
den Namensraum für eigene UIDs in der
Datenstruktur »struct cred« (Credentials)
ab und verlinkt sie direkt im PCB.
Informationen zum virtualisierten Proc-
Filesystem finden Entwickler über die
»struct pid_namespace«.
Hineingeboren
Beim Systemstart instanziert der Kernel
für jeden Namensraum ein Objekt. Der
so geschaffene globale Namensraum ist
über die Variablen »init_pid_ns«, »init_
user_ns«, »init_ipc_ns« und »init_net«
für jede Kernelkomponente erreichbar.
Die Threads im System referenzieren ihn.
1
4
1
2
3
4
struct nsproxy
struct nsproxy
Globaler Namensraum
Kopieren der Struktur »nsproxy«
Neuanlegen der Namensräume
Umbiegen der Zeiger auf die neuen
Namensräume
Eintrag im Prozess-Kontrollblock
Neuer Namensraum
Abbildung 4: Der Kernel legt neue Namensräume effizient an,
indem er vorzugsweise Zeiger kopiert.
3
Auch neu erzeugte Threads – erben sie
doch die Umgebung vom Eltern-Thread
– verwenden den globalen Namensraum.
Ruft jedoch ein Thread den Systemcall
»clone()« auf und setzt eines der Clone-
Flags (mit Ausnahme von »CLONE_NEW-
USER«), erzeugt dies ein neues Objekt
vom Typ »struct nsproxy« und füllt es
zunächst mit dem alten Inhalt durch Kopieren
der Zeiger. Je nach Flag generiert
Linux dann neue Namensräume und
verbiegt die Zeiger in »nsproxy« auf sie
(siehe Abbildung 4).
Torvalds hat auch die Systemaufrufe modifiziert:
Sie greifen jetzt über »nsproxy«
ausschließlich auf die virtuelle Sicht zu.
Im Kernel zählt jedoch überwiegend der
globale Namensraum, wenngleich interne
Kernel-Schnittstellen – mit einem
zusätzlichen Namensraum-Parameter
ausge stattet – die Objekt-Adressierung
innerhalb eines Containers
ermöglichen.
init_uts_ns Darüber hinaus hat der Kernel
init_ipc_ns viele Detailänderungen erfahren,
um die Containerinit_net
Virtualisierung praxisreif zu
init_pid_ns
machen. Ein Zeiger im Superblock
des Proc-Filesystems
2 etwa referenziert den PID-
Namensraum, abgelegt im
Element »s_sf_info«. Da es bei
der Darstellung von Netzwerkinterfaces
im Sys-Filesystem
zu Problemen kam, haben die
Entwickler mit Kernel 2.6.36
ein so genanntes Sysfs-Tagging
eingeführt [2].
Um mittels Namensräumen
und Cgroups zu isolieren und
damit zu virtualisieren, benötigen
Anwender die LXC-
Userspace-Tools aus dem Debian-Paket
»lxc«. Sie sorgen dafür, die Umgebung
vorzubereiten und den Container so zu
konfigurieren, dass darin Programme ablaufen
[3]. Die wichtigsten Kommandos
sind »lxc_checkconfig«, »lxc_execute«,
»lxc_start« und »lxc_console«.
Die Werkzeug-Suite unterscheidet Anwendungs-
und Systemcontainer. Den
ersten dürfen Anwender ohne weitere
Installation direkt verwenden. Er führt
Kommandos in einem isolierten Container
aus. Der zweite virtualisiert hingegen
komplette Systeme. Wer ihn einsetzt,
muss nicht nur ein rudimentäres System
installieren, sondern zugleich noch dafür
sorgen, dass die benötigten Dienste
starten. Anders als bei der Hypervisor-
Technik bootet ein Systemcontainer nämlich
nicht klassisch – schließlich ist der
verwendete Betriebssystemkern ja bereits
aktiv. Die dazu notwendigen Administrationskenntnisse
vermittelt der LXC-
Workshop in diesem Heft.
Mit Sicherheit
Die LXC-Container-Virtualisierung basiert
auf Linux-Namensräumen. So arbeitet
der Kernel Rechenprozesse isoliert ab.
Seine Schnittstellen, nämlich Zusatzflags
beim Aufruf des Systemcalls »clone()«
und das Cgroup-Filesystem, sind übersichtlich.
Der Kernel hat damit einiges
für erhöhte Sicherheit bei kaum gestiegenem
Ressourcenbedarf getan. Im Userland
warten Anwender dagegen noch auf
feiner geschliffene Werkzeuge, um die
Virtualisierung zu vereinfachen. (mg) n
Infos
[1] Eva-Katharina Kunst, Jürgen Quade,
„Kern-Technik“, Folge 41: Linux-Magazin
09/ 08, S. 88
[2] Eric Biederman, „Sysfs-Tagging“: Kernel-
Dokumentation: [http://lxr.free-electrons.
com/source/ Documentation/filesystems/
sysfs-tagging. txt]
[3] Linux-Container LXC: [http://lxc.sf.net]
Die Autoren
Eva-Katharina Kunst, Journalistin, und Jürgen
Quade, Professor an der Hochschule Niederrhein,
sind seit den Anfängen von Linux Fans von Open
Source. Demnächst erscheint die dritte Auflage
ihres Buches „Linux Treiber entwickeln“.

OpenSUSE 11.3
- ganz easy!
Print oder
PDF-Download
NUR 14,90
Der Einstieg in Linux war nie so einfach:
Mit OpenSuse 11.3 erhalten Sie eine aktuelle
und leicht zu installierende Version
des freien Betriebssystems – und mit
diesem Buch auf 180 Seiten alles, was
Sie für die ersten Schritte benötigen.
Aus dem Inhalt:
• Installation von der Buch-DVD
• Die grafi sche Oberfl äche von Linux
• Sicher ins Internet mit Linux
• Tipps zur Hardware-Einrichtung
• Arbeiten mit der Kommandozeile
• Hilfe bei der Linux-Community finden
Der Autor: Hans-Georg Eßer arbeitet
seit Mitte der 90er Jahre mit Linux. Er
hat 2000 die Zeitschrift LinuxUser und
2003 das Einsteigermagazin EasyLinux
gegründet. EasyLinux betreut er noch
heute als Chefredakteur.
Jetzt bestellen:
Shop: http://shop.linuxnewmedia.de/Buch (versandkostenfrei als Print-Version)
Telefon: +49 (89) 993 41 - 0 • Fax: +49 (89) 993 41 - 199 • E-mail: order@linuxnewmedia.de
Inhalt, Probekapitel, Kauf der PDF-Version: www.easylinux.de/opensuse-buch

Know-how
www.linux-magazin.de SQL-Injection 02 /2011
108
SQL-Injection legt Newsletter lahm
Reingespritzt
Inn gewisser Weise passt der folgende Beitrag zum Schwerpunkt dieser Magazins-Ausgabe, demonstriert er
doch am lebenden Webapplikations-Objekt die Verwundbarkeit einer Datenbank. Tobias Eggendorfer
Das Injizieren eigener Daten in Richtung
Server passiert wie beim Cross-Site-Scripting
über die HTTP-Parameter der Webseite-URL
[3]. Serverseitig arbeitet ein
CGI-Skript, das die Parameter entgegennimmt
und zu einem Select-Statement in
SQL umarbeitet. Und genau dabei lauern
die Fallstricke.
Erstmal Anpiksen
© Gertie G., Photocase.com
Die Sache begann sehr alltäglich: Im
Zuge einer Wohnungssuche hatte ich
mich irgendwann beim Immobilienmakler
Immosky [1] für dessen Newsletter
angemeldet. Als ich einige Zeit später
eine Unterkunft gefunden hatte, wollte
die nunmehr überflüssigen Empfehlungsschreiben
wieder abbestellen. Ein
Abmelden-Link im Newsletter führte
mich zur Webseite des Schweizer Unternehmens.
Die gab sich überraschend
gesprächig: Offensichtlich für Debugging-
Zwecke zeigte sie das SQL-Statement an,
das meine Newsletter-Zusendung eben
deaktiviert hatte.
Die Debugausgabe auf dem Produktivsystem
lässt mich aufmerken werden: Webprogrammierer,
denen so was egal ist,
haben bestimmt noch Leichen im Keller.
Auf mich wirkt die Debugausgabe wie
eine Einladung zum Angriff. Sie hilft mir
beim Einstieg, denn sie zeigt genau das
SQL-Statement, das der Datenbankserver
später abarbeiten wird. So sehe ich, welche
Get- oder Post-Parameter wo in der
Anfrage landen, ob die Webapplikation
die Eingabe filtert und ob sie Sonderzeichen
richtig schützt. Wer die Fehlermeldungen
aus Abbildung 1 studiert, erfährt,
dass Immosky einen Windows-Server
mit PHP benutzt, der mehrere virtuelle
Webserver anbietet und ohne Passwort
per ODBC-Treiber aus PHP auf eine lokale
MySQL-Datenbank zugegreift. Per
Firebug [2] findet der Angreifer ferner
aus den HTTP-Headern heraus, dass der
Anbieter PHP 4.2.2 auf einem IIS 6.0 einsetzt
– beide nicht aktuell und womöglich
für bekannte Exploits empfänglich.
Meine Neugier auf fremden Webseiten zu
befriedigen, versuche ich sehr sorgfältig
zu organisieren. Lehne ich mich zu weit
aus dem Fenster, droht Strafe wegen Ausspähens
von Daten (siehe Kasten „Gesetzeslage“).
Zwar ist das nur dann illegal,
wenn die Daten besonders gesichert
sind. Doch schreiben die StGB-Kommentare,
dass es mehr auf den Wunsch des
Betreibers nach Sicherung als auf deren
tatsächliche Güte ankommt.
Einen Schaden soll der erste Test aus juristischen,
aber auch aus taktischen Gründen
nicht anrichten – Hacker versuchen
unterm Radar zu bleiben. Das gelingt,
wenn ich die in der URL übergebenen Datenbankparameter
um ein neutrales Element
ergänze, also eines, dass das Ergebnis
der Abfrage nicht verändert. So ergibt
»A OR FALSE« wieder »A«. Der Debugcode
in Abbildung 2 beweist, dass ich die
Anfrage geeignet modifiziert habe.
Ein Cracker hätte die Bedingung im Parameter
um »OR TRUE« ergänzt, was logisch
immer »TRUE« ergibt. Praktische
Folge: Die Immosky-Website hätte alle
ihre Newsletterabonnements gekündigt.
Den Erfolg erkennt der böswillige Angreifer
an der möglicherweise höheren Laufzeit
der Abfrage, wenn die Datenbank in
allen Datensätzen ein Feld ändert.
Eigene Daten
reinströmen lassen
Ich darf annehmen, dass die Immobiliendatenbank
keinen Schaden nimmt, wenn
ich versuche, mehr Datensätze zu sehen,
als die aktuellen Suchkriterien eigentlich
hergeben. Eine breiter angelegte, vom
Anbieter vorgesehene Suche zeigt diese
Daten nämlich ebenso an.
Beim Testen hilf mir der Trick mit »OR
TRUE«: Akzeptiert das darunterliegende

Gesetzeslage
Paragraf 202a StGB: Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang
zu Daten, die nicht für ihn bestimmt und
die gegen unberechtigten Zugang besonders gesichert
sind, unter Überwindung der Zugangssicherung
verschafft, wird mit Freiheitsstrafe bis
zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche,
die elektronisch, magnetisch oder sonst
nicht unmittelbar wahrnehmbar gespeichert
sind oder übermittelt werden.
Paragraf 263a StGB: Computerbetrug
(1) Wer in der Absicht, sich oder einem Dritten
einen rechtswidrigen Vermögensvorteil
zu verschaffen, das Vermögen eines anderen
dadurch beschädigt, daß er das Ergebnis eines
Datenverarbeitungsvorgangs durch unrichtige
Gestaltung des Programms, durch Verwendung
unrichtiger oder unvollständiger Daten, durch
unbefugte Verwendung von Daten oder sonst
durch unbefugte Einwirkung auf den Ablauf
beeinflußt, wird mit Freiheitsstrafe bis zu fünf
Jahren oder mit Geldstrafe bestraft.
Skript die Injection, darf ich auf eine umfangreichere
Ausgabe hoffen. Falls durch
den Angriff ein Syntaxfehler entsteht,
kommt entweder eine hilfreiche Fehlermeldung
oder gar keine Ausgabe. So finde
ich durch Versuch und Irrtum heraus,
welche Parameter in das SQL-Statement
eingehen und welche für andere Zwecke
gedacht sind. Tatsächlich zeigt sich auch
die Suchfunktion anfällig diesen Vorstoß,
wie Abbildung 3 beweist.
Durch Experimente und in Kenntnis der
booleschen Rechenregeln kriege ich sogar
heraus, wie die einzelnen Suchparameter
geklammert sind. Bei Immosky
bietet sich an, zwei Suchparameter in
der Suchmaske zu setzen und dann nur
Paragraf 303a StGB: Datenveränderung
(1) Wer rechtswidrig Daten (§ 202a Abs. 2)
löscht, unterdrückt, unbrauchbar macht oder
verändert, wird mit Freiheitsstrafe bis zu zwei
Jahren oder mit Geldstrafe bestraft.
Paragraf 303b StGB: Computersabotage
(1) Wer eine Datenverarbeitung, die für einen
anderen von wesentlicher Bedeutung ist, dadurch
erheblich stört, dass er
1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem
anderen Nachteil zuzufügen, eingibt oder übermittelt
oder
3. eine Datenverarbeitungsanlage oder einen
Datenträger zerstört, beschädigt, unbrauchbar
macht, beseitigt oder verändert,
wird mit Freiheitsstrafe bis zu drei Jahren oder
mit Geldstrafe bestraft.
(2) Handelt es sich um eine Datenverarbeitung,
die für einen fremden Betrieb, ein fremdes Unternehmen
oder eine Behörde von wesentlicher
Bedeutung ist, ist die Strafe Freiheitsstrafe bis
zu fünf Jahren oder Geldstrafe.
einen mit »OR TRUE« zu erweitern. So
lassen sich SQL-Injections verfeinern.
Nur autoaggressiv
Wer nicht über fremde Webseiten herfallen
will, der experimentiert besser mit
ei genen. Ein Beispiel in PHP zeigt Listing
1, eines in Perl das Listing 2. Beide
Skripte besitzen nur einen verwundbaren
Parameter, »name«, der ohne Eingabekontrolle
in die SQL-Query wandert. Beide
Programme geben Feedback, indem sie
das SQL-Statement und die erreichte Ausgabe
auf einer Seite zeigen.
PHP birgt für den Angreifer einen Nachteil:
Es ist nicht möglich, in einem
»mysql_query()«-Aufruf mehr als einen
SQL-Befehl per Semikolon getrennt mitzuschicken.
Bei Perl gilt das nicht, wenn
das Skript statt der verwendeten Prepare-
Execute-Kombination direkt mit »do« arbeitet.
Das ist nützlich, wenn die Injection
zum Beispiel gleich einen neue Nutzer
mit Admin-Rechten anlegen soll.
Schutz gegen Injections
Zwei Maßnahmen kann jeder Webprogrammierer
gegen SQL-Injections ins Feld
führen: Zum einen soll te er jede Eingabe
zum Beispiel per regulärem Ausdruck
prüfen, ob sie formal zu lässig ist. Sind
Wertebereiche der übergebenen Parameter
bekannt, bezieht er die mit ein. Zum
anderen können fast alle Sprachen Zeichenketten
so umformen, dass sie keine
Gefahr mehr für die Datenbank darstellen.
Dazu verpacken sie kritische Sonderzeichen.
Aus doppelten Gänsefüßchen
wird damit etwa »"«. Das leistet in
Perl die DBI-Funktion »quote()« und in
PHP »mysql_real_escape_string()«. Wer
Listing 1 und 2 in Betrieb hat, darf das
gleich ausprobieren, indem er »$name« in
beiden Skripten escaped und dann mit
SQL-Injections experimentiert. Dabei helfen
Cheat-Sheets wie [4], [5].
Während Listing 1 nichts in der Richtung
besitzt, betreibt das Perl-Skript
ein ausbaufähiges Fehlerhandling. Statt
der Ausgabe auf der Webseite per »die«
würde sich eine automatische Mail an
den Admin besser machen. Dem Nutzer
reicht der Hinweis »Kommen Sie später
wieder, wir haben ein Problem« aus. Eine
eingebundene Funktion kann genau das
leisten – mit dem Vorteil, dass der Admin
jeden Fehler mitbekommt. Nebenbei eig-
SQL-Injection 02/2011
Know-how
www.linux-magazin.de
109
Abbildung 1: Die überflüssigen Fehlermeldungen verraten weitere Informationen
über den Server – eine prima Einstieghilfe für Hacker.
Abbildung 2: Die SQL-Injection funktioniert offenbar. In diesem Beispiel bleibt
der Angriff bewusst ohne Auswirkung auf die Datenbank.

Know-how
www.linux-magazin.de SQL-Injection 02 /2011
110
Abbildung 3: Die offensichtlich unsinnigen Angebote beweisen: Auch die Suche ist angreifbar.
net sich der Mechanismus als Frühwarnsystem
für versuchte SQL-Injections.
Bei Seiten, die keine Daten vom Benutzer
brauchen, sollte zudem der Datenbankuser
des Skriptes nur Leserechte auf die
Datenbank haben. Allerdings ist das in
der Praxis selten möglich, da schon ein
Gästebuch nach Schreibzugriff verlangt.
Nicht die leichte Schulter!
Durch die Debugdaten auf der Immosky-
Seite war der Weg zur SQL-Injection besonders
einfach zu entdecken. Bei besser
präparierten Anbietern hilft qualifiziertes
Raten: Welche Parameter könnten in eine
Query Eingang finden? Dabei unterstüt-
zen Fehlermeldungen, die Interna offenlegen.
Betreiber wie Immosky sollten sich
vor Augen führen, dass echte, invasiv
geführte SQL-Angriffe eine Datenbank
völlig ruinieren können. Abhilfe bringt
ein ordentliches Escaping der Webseiten-
Parameter. Webprogrammierer dazu zu
motivieren ist das Ziel dieses Artikels.
Für das eigene System bieten Multiinjector
[6] und andere Tools automatische
Brute-Force-SQL-Injections an. Wer einen
Test mit diesen Tools übersteht, dürfte gegen
einen Großteil der Standardangriffe
gewappnet sein – hundertprozentig sicher
ist das aber natürlich nicht.
Im Zuge der Recherchen zu diesem Beitrag
hat das Linux-Magazin den Betreiber
des Portals kontaktiert. Immosky reagier te
darauf bislang nicht. Kurz vor Drucklegung
des Hefts waren allerdings – Zufall
oder nicht – die Debugausgaben beim
Abmelden des Newsletters verschwunden.
Die Redaktion wird dem Anbieter
eine Woche vor Veröffentlichung den Artikel
zu Verfügung stellen. (jk) n
Infos
[1] Immosky: [http://www.immosky.de]
[2] Firebug: [https://addons.mozilla.org/de/
firefox/addon/ 6683/]
[3] Tobias Eggendorfer, „Web-Sicherheitslücken
am Beispiel eines Onlineshops“,
Linux-Magazin 12/ 10, S. 100
[4] SQL Injection Cheat Sheet I: [http://ferruh.
mavituna.com/sql-injection-cheatsheet-oku]
[5] SQL Injection Cheat Sheet II:
[http:// michaeldaw. org/ sql-injection-cheatsheet#mysql]
[6] Multiinjector:
[http://code. google.com/p/multinjector/]
Der Autor
Tobias Eggendorfer ist freiberuflicher IT-Berater
und Professor für angewandte Informatik und IT-
Forensik [http:// www.eggendorfer.info]. Bei Experimenten
zu Artikeln staunt er immer wieder,
wie nachlässig Unternehmen mit Sicherheitslücken
umgehen. Die meisten ignorieren nämlich
seine Hinweise auf Schwachstellen.
Listing 1: Injection-Dummy in PHP
01
02
03 SQL‐Inject
04
05
06
07

Entwickler als Gewissen der informationstechnischen Gesellschaft
Retter der Nation
Einführung 02/2011
Programmieren
Anwender hinterfragen selten die technischen Grundlagen ihner Software, geschweige denn den Quellcode.
Diese Aufgabe übernehmen Entwickler und Architekten – und damit wichtige Verantwortung. Nils Magnus
Inhalt
112 Xtext
Eigene Sprachen sind einfacher zu
lernen als komplexe Konfigurationsanweisungen,
beispielsweise bei Netfilter.
Xtext hilft beim Entwurf domainspezifischer
Sprachen und spart dem
Admin das Schreiben eigener Parser.
118 Perl-Snapshot
Laut Statistik ist Mike Schilli der fleißigste
Perl­Comitter. Das ist natürlich – wie
jede Erhebung – vermutlich gelogen.
Mehr Wahrheit bringt R ans Licht, das aus
Coderepositories Statistiken erzeugt.
Informatiker befinden sich auf dem
Rückzug. Nach den Zahlen der Gesellschaft
für Informatik (GI) nehmen im
aktuellen Semester zwar drei Prozent
mehr Studierende ein Informatikstudium
auf, über alle Fächer betrachtet
studieren jedoch vier Prozent mehr als
im Vorjahr. Das bedeutet, dass der Anteil
der Informatiker unter den Akademikern
abnimmt.
Angesichts des proklamierten Fachkräftemangels
und veritabler Gehaltsperspektiven
verwundert das schon etwas.
Die GI, das Sprachrohr der akademischen
Informatiker, prophezeit immerhin glänzende
Berufsaussichten für die Absolventen.
Der Median des Jahresbruttogehalts
für Hochschulabsolventen weist
sie mit guten 45 000 Euro regelmäßig als
Mitglieder der Spitzengruppe aus.
Aber der schnöde Mammon oder das
Wissen, zur Stärkung des nationalen
Wirtschaftsstandorts beizutragen, reichen
offenbar nicht als alleiniger Grund
für diejenigen, die vor der Berufswahl
stehen. Vielleicht kann stattdessen dies
die Entscheidungsfindung erleichtern:
Wer sich für die Informationstechnik
entscheidet, übernimmt bei moralischer
Eignung auch eine wichtige gesellschaftliche
Verantwortung.
Denn quer durch die Bevölkerung
zieht sich ein merkwürdiger
Widerspruch: Die
Sensibilität für manches
Datenschutzthema ist hierzulande
im internationalen
Vergleich hoch – siehe die
emotional geführt Debatte
um Google Street View. Andererseits
beobachten Datenschützer
mit wachsender
Besorgnis die Naivität, die
manch Anwender an den Tag
legt, sei es beim freizügigen
Gebrauch von Facebook, bei
gespeicherten Klartextpasswörtern
in Browsern oder
dem datenschutztechnisch
unreflektierten Gebrauch von
Rabattkarten an Tankstellen und Supermarktkassen,
in Google-Accounts oder
allzu laxen I-Phone-Einstellungen.
Gespaltene Gesellschaft
In einem Artikel der ZEIT berichten zwei
Anwenderinnen von ihrem Bemühen,
sich von einem Profi zeigen zu lassen,
welche Privacy-Probleme ihnen womöglich
drohen [1]. Der Experte schlägt eine
Reihe von Maßnahmen vor. Eine lautet,
Linux auf dem Notebook zu installieren,
eine andere, mehr über Hintergründe
wie RFID, Bluetooth im Auto oder Firefox-Privacy-Addons
herauszufinden. Die
Ratsuchenden zeigen sich von der drohenden
Umstellung und den technischen
Details wenig begeistert: „So etwas kann
nerven. Die meisten Anwender wollen
Technik nur benutzen, nicht verstehen“,
seufzen sie.
Das ist eine recht verständliche, auf jeden
Fall aber eine verbreitete Einstellung.
Ebenso nachvollziehbar ist jedoch der
Ruf mancher Entwickler und Experten
Abbildung 1: Informatikern winken nicht nur beruflicher Erfolg und
ein gesichertes Einkommen. Nur ihr Verantwortungsbewusstsein
ermöglicht eine aufgeklärte Informationsgesellschaft.
nach mehr Verständnis der Anwender
für technische Hintergründe – sie kann
allerdings nicht als alleinige Lösung herhalten.
IT-Systeme sollten so entworfen
und implementiert sein, dass Anwender
die Chance haben, sie sicher zu benutzen
– auch ohne den Sourcecode gelesen zu
haben. Aber in einer komplexen Gesellschaft
sind die Bürger auf die Ergebnisse
von Experten angewiesen.
Hier sind die IT-Experten gefordert: Sie
müssen Bedrohungen qualifizieren, sie
dem Anwender erklären und Gegenmaßnahmen
bewerten. Wenn die Ausbildung
als Fachinformatiker oder das Studium an
Berufsakademien und Hochschulen an
diese wichtige Verantwortung erinnert,
ist die Zeit der (IT-)Helden gekommen.
Vielleicht kommen dann auch wieder
mehr Studierende.
n
Infos
[1] Susanne Gaschke, „Alufolie für den Personalausweis“:
Die ZEIT, Ausgabe 49/ 2010:
[http://zeit. de/ 2010/49/Datensicherheit]
© Cathy Yeulet, 123RF.com
www.linux-magazin.de
111

Programmieren
www.linux-magazin.de Xtext 02 /2011
112
Xtext generiert IPtables-Regeln
Selbst modelliert
Manches wichtige Softwarepaket verwendet eigenwillige Syntax auf der Kommandozeile oder in Konfigurationsdateien.
Dieser Artikel zeigt am Beispiel IPtables, wie sich mit Hilfe des Framework Xtext eine vereinfachte
Konfigurationssprache samt Skriptgenerator bauen lässt. Volker Wegert
© Aleksandr Frolov, 123RF.com
Werkzeuge zur Parser-Generierung gehören
seit Urzeiten zum Inventar der
Unix-Betriebssysteme. Im praktischen
Einsatz geben sich mächtige Tools wie
Bison und Yacc aber leider oft sperrig
und sind daher hauptsächlich in großen
Projekten zu finden. Im Kielwasser der
modellgetriebenen Entwicklung sind jedoch
in den letzten Jahren alternative
Werkzeuge entstanden, die sich durchaus
auch für kleinere Aufgaben außerhalb
der klassischen Software-Entwicklung
verwenden lassen.
Firewall nach Modell
Mit Xtext [1] stellt dieser Artikel ein
Werk zeug zur Erstellung Domänen-spezifischer
Sprachen (DSL) vor. Als Beispiel
erarbei tet er eine Sprache für Firewallregeln
und produziert schließlich mit Hilfe
eines Generators ein IPtables-Skript.
Naturgemäß lässt sich die Komplexität
eines flexiblen Konzepts wie IPtables
durch Ändern der Beschreibungsform
nicht verringern. Allenfalls erhält man
eine ähnlich komplexe, aber besser lesbare
Konfiguration. Allein das bedeutet
aber bei mancher Software schon einen
nicht zu verachtenden Fortschritt.
Einen echten Mehrwert kann allerdings
erzielen, wer die für den gewünschten
Einsatzzweck invarianten Bestandteile
identifiziert und fest in den Generator
einbaut. Dadurch muss die Sprache nur
noch die eigentlichen Nutzinformationen
aufnehmen und lässt sich schneller erstellen
und erlernen. Gleichzeitig senkt
dieses Vorgehen die Wahrscheinlichkeit
von Fehlbedienungen.
Um das Modellieren einer Firewall etwas
einfacher zu gestalten, gelten für
das Beispiel in diesem Artikel die im
Kasten „Annahmen für die Firewall“
formulierten Einschränkungen. Die hier
beschriebene Lösung kann sicher nicht
mit spezialisierten Tools wie Ferm [2]
konkurrieren. Anhand dieses Beispiels
lässt sich aber die Arbeit mit Xtext gut
erläutern. Oft hilft es, sich zu Beginn der
Arbeit einen Grobentwurf der gewünschten
Sprache zu erstellen. Anhand dieser
Skizze fällt es dann leichter, die Grammatik
zu schreiben, die zur Grundlage aller
weiteren Schritte wird.
Abbildung 1 zeigt ein Beispiel der geplanten
Firewall-Sprache. Sie enthält die Namen
für Skript und Netzwerk-Schnitt stellen,
die symbolischen Namen für Rechner
und Netze sowie die Dienste-Definitionen.
Den letzten Teil bilden die Regeln
für ein- und ausgehende Verbindungen.
So aufgeschrieben ist die Konfiguration
der Firewall auch ohne tiefe Kenntnis der
IPtables-Syntax verständlich.
Grammatik
Listing 1 bildet die Grundlage der Grammatik
und sieht einer um Steuerinformationen
angereicherten erweiterten
Backus-Naur-Form ähnlich. Die beiden
Kopfzeilen hat Xtext automatisch erzeugt.
Die erste Produktionsregel der
Grammatik legt das Wurzelelement der
künftigen Eingabedateien fest. Aus dieser
Regel entsteht später ein Elementtyp
namens »Model«.
Zeile 5 bewirkt, dass der Typ ein Attribut
»scripts« erhält, das aus beliebig vielen
»Script«-Elementen besteht. Die »Script«-
Produktionsregel ab Zeile 7 legt die Syntax
dieses Elements fest: das Schlüsselwort
»script« gefolgt vom Namen des
Skripts. Auch hier bewirkt die Notation
»name =STRING«, dass der Typ »Script«
später ein Attribut »name« zur Aufnahme
von Zeichenketten enthält.
Da hier aber kein Quantor wie »*« angegeben
ist, kann dieses Attribut anders
als »scripts« nur genau einen Namen auf-

Annahmen für die Firewall
n Es handelt sich um eine einfache IPv4-
Firewall zwischen Standorten.
n Die Firewall hat je genau ein internes und
ein externes Interface.
n Rechner, Netze und Dienste sollen durch
symbolische Namen identifiziert werden.
n Alle beteiligten Netzbereiche sind disjunkt,
NAT findet nicht statt.
n Es werden nur TCP- und UDP-Regeln auf
Port-Basis erstellt.
n Nur explizit konfigurierte Verbindungen
zwischen den angegebenen Standorten
sind zugelassen.
n Externe Zugriffe auf die Firewall sind verboten,
interne Zugriffe sind erlaubt.
Xtext 02/2011
Programmieren
www.linux-magazin.de
113
nehmen. Die Zeilen 9 bis 12 enthalten
keine wesentlichen Neuerungen bis auf
den Typ »ID«, der einen (Java-)Bezeichner
ohne Anführungszeichen darstellt,
wogegen »STRING«-Attribute in Anführungszeichen
angegeben sind. Die Zeilen
13 und 14 enthalten jeweils Gruppen:
Die runden Klammern in Verbindung
mit dem Quantor »?« erlauben es, die
gesamte Regelgruppe für ein- oder ausgehende
Verbindungen wahlweise anzugeben
oder auszulassen.
Die Zeilen 17 und folgende definieren
einen Typ zur Angabe von IPv4-Adressen.
Die Zeilen 20 und 21 beschreiben
einen Aufzählungstyp zur Angabe des
Protokolls. Dabei sind »TCP« und »UDP«
die sprachintern verwendeten Werte, die
Abbildung 1: Ein Prototyp der gewünschten Firewall-Sprache dient als Grundlage für die Arbeit mit Xtext.
Literale »tcp« und »udp« werden bei der
Ein- und Ausgabe verwendet. Die Zeilen
23 bis 27 definieren einfache zusammengesetzte
Typen zur Angabe symbolischer
Rechner- und Netzwerknamen. Zeile 30
zeigt eine Besonderheit von Xtext: »[Typname]«
definiert einen Verweis auf Elemente
dieses Typs.
Die Produktionsregel »Endpoint« enthält
eine weitere Besonderheit: Die Literale
»host« und »net« sind eine Konzession an
den Parser, der ansonsten nicht zwischen
einem Verweis auf einen Rechner oder
auf ein Netzwerk (jeweils in Form einer
ID) unterscheiden könnte und bei der Generierung
eine entsprechende Warnung
ausgeben würde.
Die Definition eines Dienstes ab Zeile 32
mag zunächst unübersichtlich wirken,
enthält aber nichts wesentlich Neues.
Protokolle und Portnummern lassen sich
entweder als einfacher Wert oder als
kommaseparierte Werteliste in Klammern
angegeben, daher die etwas umfangreichere
Regel. Bei der Definition einer Regel
ist ein Unterschied zwischen den Zei-
Listing 1: Xtext-Grammatik
01 grammar org.myfirewall.MyFirewall with org.eclipse.xtext.common.Terminals
02 generate myFirewall "http://www.myfirewall.org/MyFirewall"
03
04 Model:
05 scripts+=Script*;
06
07 Script:
08 'script' name=STRING '{'
09 'interfaces internal' ifInternal=ID 'external'
ifExternal=ID ';'
10 hosts+=HostAlias*
11 networks+=NetworkAlias*
12 services+=ServiceDefinition*
13 ('allow incoming {' incomingRules+=Rule+ '}')?
14 ('allow outgoing {' outgoingRules+=Rule+ '}')?
15 '}';
16
17 IPAddress:
18 byte1=INT '.' byte2=INT '.' byte3=INT '.' byte4=INT;
19
20 enum Protocol:
21 TCP='tcp' | UDP='udp';
22
23 HostAlias:
24 'host' name=ID '=' ip=IPAddress ';';
25
26 NetworkAlias:
27 'net' name=ID '=' ip=IPAddress '/' cidrSuffix=INT ';';
28
29 Endpoint:
30 ('host' host=[HostAlias]) | ('net' network=[NetworkAlias]);
31
32 ServiceDefinition:
33 'service' name=ID '='
34 ('proto' (protocols+=Protocol |
35 '(' protocols+=Protocol (',' protocols+=Protocol)+
')'))?
36 ('port' (ports+=INT |
37 '(' ports+=INT (',' ports+=INT)+ ')'))? ';';
38
39 Rule:
40 source=Endpoint 'to' destination=Endpoint ':'
41 services+=[ServiceDefinition] (',' services+=
[ServiceDefinition])* ';';

Programmieren
www.linux-magazin.de Xtext 02 /2011
114
Xtext installieren
Voraussetzung für die Installation von Eclipse
und Xtext ist lediglich eine Java-Laufzeitumgebung,
wobei sich mindestens Version
5 empfiehlt. Leider gibt es mit den in den
gängigen Distributionen enthaltenen Eclipse-
Paketen immer wieder Probleme – vor allem
sind sie in der Regel veraltet. Zu empfehlen
ist dagegen das Paket „Eclipse Modeling
Tools“ von [3].
Nach dem ersten Start sind über »Help |
Install Modeling Components« die Pakete
Xpand und Xtext nachzuinstallieren. Nach
der Installation stellt man in den globalen
Einstellungen unter »General | Workspace«
die Standardkodierung von Textdateien auf
UTF-8 um, damit es keine Schwierigkeiten mit
den von Xtext verwendeten Guillemets («»)
gibt. Um die Übersicht nicht zu verlieren, ist
es außerdem ratsam, im Package Explorer die
Option »Link with Editor« (das Icon mit den
zwei Pfeilen) zu aktivieren.
Der generierte Editor ist – insbesondere
in Relation zum bisher investierten Aufwand
– schon sehr ansehnlich, aber bei
Weitem noch nicht perfekt: Die Produktionsregel
»IPAddress« beispielsweise erlaubt
es, beliebige Integerwerte in den
Bytes anzugeben und damit auch Adreslen
40 und 41 wichtig: Während die
Dienste-Definitionen in eckigen Klammern
stehen und daher referenziert werden,
sind die Endpunkte als direkte Attribute
in die Regel eingefügt. Die Grammatik
ist schon so gut wie alles, was man für
eine erste Version des Editors benötigt.
Wer sie praktisch mit Eclipse und Xtext-
Tools umsetzen möchte, findet im Kasten
„Xtext installieren“ Hinweise.
Der Befehl «File | New Project | Xtext
Project« legt neben dem Hauptprojekt
auch noch ein Projekt zur Aufnahme des
generierten Editors mit dem Suffix ».ui«
Listing 2: IP-Adressen
an. Außerdem erzeugt er in der Voreinstellung
ein Generator-Projekt, das später
benötigt wird. Xtext kann etwas empfindlich
auf ungewöhnliche Schreibweisen
reagieren, deshalb sollten Einsteiger
als Projektnamen »org.myfirewall« und
als Sprachnamen »org.myfirewall.My-
Firewall« wählen. Der Wizard öffnet nach
der Anlage der Projekte die Xtext-Datei,
die die Beschreibung der Grammatik aus
Listing 1 aufnimmt.
Editor nach Maß
Neben der Sprachdefinition befindet
sich eine Datei mit der Endung ».mwe2«.
Diese Steuerdatei der Modeling Workflow
Engine legt Parameter zur Generierung
der Programmkomponenten fest. In
dieser Datei entfernt der DSL-Entwickler
die Kommentarzeichen vor dem letzten
Abschnitt »project wizard«, um einen
Wizard zur Anlage eines neuen Firewall-
Projekts zu erhalten. Bei dieser Gelegenheit
fügt er auch die Zeile
fragment = org.eclipse.xtext.generatorU
.validation.CheckFragment {}
innerhalb des »language«-Blocks ein – zur
Verwendung später mehr. Ein Rechtsklick
auf die Workflow-Datei und »Run As |
MWE2 Workflow« startet die Generierung
der Programmkomponenten.
Bei der ersten Generierung bietet Xtext
an, automatisch den Antlr-Parsergenerator
herunterzuladen, was der Anwender
bejaht. Aufgrund lizenzrechtlicher Bedenken
darf die Eclipse Foundation diese
Komponente nicht in ihren Produkten
ausliefern. Details dazu finden sich in der
Xtext-Dokumentation unter [4].
Nach erfolgreicher Generierung lässt sich
der erstellte Editor schon starten, indem
man unter »Run | Run Configurations ...«
eine neue Konfiguration des Typs »Eclipse
Application« anlegt. In der neuen Instanz
ist ein »MyFirewall«-Projekt einzurichten
– danach steht der Editor zum Ausprobieren
bereit: Syntax-Hervorhebung, automatische
Code-Vervollständigung und
viele andere Funktionen sind jetzt schon
benutzbar (Abbildung 2).
Nun ist noch eine Änderung bezüglich
der Datei »META-INF/MANIFEST.MF«
im Hauptprojekt erforderlich. Auf der
Registerkarte »Dependencies« wählt der
Xtext-Anwender den Eintrag »org.eclipse.
xtext.xtend« und schaltet mit der Drucktaste
»Properties« die Option »Optional«
aus sowie die Option »Reexport...« an.
Danach markiert er nacheinander noch
alle drei Projekte und wählt aus deren
Kontextmenü »Configure | Add Xpand/
Xtend Nature«.
Gültigkeitsprüfung
01 context IPAddress ERROR "Not a valid IP address":
02 byte1 >= 0 && byte1 = 0 &&
03 byte2 = 0 && byte3 = 0 && byte4

Abbildung 3: Erweiterte Prüfungen mit integrierter
Anzeige der Ergebnisse im Editor sind mit der Sprache
Check leicht zu erstellen.
sen wie 172345.26.5.1234 zu schreiben.
Dieses Problem behebt eine Prüfregel,
die in der Sprache Check formuliert wird.
Check gehört zur Familie der Sprachen
um Xtend und Xpand und verwendet
die gleiche funktionale Notation. Dabei
kommt ein automatisch aus der Grammatik
abgeleitetes Meta-Modell zum Einsatz.
Die Check-Referenz ist unter [5]
online verfügbar.
In die Datei »MyFirewallFastChecks.chk«,
die im Paket »org.myfirewall.validation«
zu finden ist, fügt der Entwickler am Anfang
die Anweisung »import myFirewall;«
ein, um das generierte Ecore-Modell zu
importieren. Anschließend trägt er die
Zeilen aus Listing 2 ein. Diese Prüfung
wirkt auf alle Instanzen von »IPAddress«
und gibt eine Fehlermeldung aus, wenn
die formulierte Bedingung nicht erfüllt ist
(Abbildung 3).
Generator
Um aus der Beschreibung der Firewallregeln
ein ausführbares Shellskript zu
erzeugen, sind weitere Arbeiten im Generator-Projekt
zu erledigen. Vor der eigentlichen
Textgenerierung sind noch ein
paar Hilfsmittel nötig, die mit der Sprache
Xtend realisiert werden. Diese Sprache
stammt – wie viele der hier vorgestellten
Projekte – aus dem Projekt Open
Architecture Ware und ist mittlerweile
zusammen mit Check und Xpand in ein
Eclipse-Projekt umgezogen. Die Xtend-
Ausdrücke finden in der Datei »templates/Extensions.ext«
Platz.
Um die IP-Adressen als Text auszugeben,
reicht ein einfacher Ausdruck (Listing
3). Der erste Parameter lässt sich unabhängig
von seinem Namen auch als aktuell
bearbeitetes Objekt »this« bezeichnen.
Zum Erzeugen der Kommentare ist
der Name des Rechners oder Netzwerks
erforderlich, auf den ein Endpunkt verweist.
Da Xtend zu den funktionalen
Sprachen zählt, hat die Fallunterscheidung
die Form eines ternären Operators
(Listing 4). Gleichermaßen erforderlich
ist die IP-Adresse des Rechners beziehungsweise
die des Netzwerks, letztere
in CIDR-Notation (Listing 5). Mit diesen
drei Ausdrücken im Werkzeugkoffer geht
es an die Generierung.
Es werde Skript
Die Regeln zur Erzeugung der Ausgabedateien
formuliert der Entwickler in der
Sprache Xpand. Diese Sprache ist speziell
auf die Vorlagen-Erstellung ausgerichtet.
Bei der Ausführung werden alle Textinhalte
in die Ausgabe übertragen, mit
Ausnahme der Kommandos, die durch
Guillemets («») gekennzeichnet sind.
Ein Bindestrich vor dem schließenden
Guillemet verhindert, dass der folgende
Zeilenumbruch in der Ausgabedatei landet.
Listing 6 zeigt den Inhalt der Datei
»templates/Template.xpt« des Firewall-
Generators.
Die Datei besteht aus zwei Vorlagen namens
»main« und »rule«. Eine Vorlage
Xtext 02/2011
Programmieren
www.linux-magazin.de
115
Listing 6: Xpand-Template
01 «IMPORT org::myfirewall::myFirewall»
02 «EXTENSION templates::Extensions»
03
04 «DEFINE main FOR Script‐»
05 «FILE name‐»
06 #!/bin/sh
07
08 # no network address translation
09 /sbin/iptables ‐t nat ‐F
10 /sbin/iptables ‐t nat ‐P PREROUTING ACCEPT
11 /sbin/iptables ‐t nat ‐P POSTROUTING ACCEPT
12
13 # prepare filtering tables
14 /sbin/iptables ‐t filter ‐F
15 /sbin/iptables ‐t filter ‐P INPUT REJECT
16 /sbin/iptables ‐t filter ‐P OUTPUT ACCEPT
17 /sbin/iptables ‐t filter ‐P FORWARD REJECT
18
19 # always allow inbound connections from loopback and the internal network
20 /sbin/iptables ‐t filter ‐A INPUT ‐‐in‐interface lo ‐‐jump ACCEPT
21 /sbin/iptables ‐t filter ‐A INPUT ‐‐in‐interface «ifInternal» ‐‐jump
ACCEPT
22
23 # enable connection tracking
24 /sbin/iptables ‐t filter ‐A FORWARD ‐‐match state ‐‐state INVALID ‐‐jump
DROP
25 /sbin/iptables ‐t filter ‐A FORWARD ‐‐match state ‐‐state
ESTABLISHED,RELATED ‐‐jump ACCEPT
26
27 # inbound connections
28 «FOREACH incomingRules AS rule‐»
29 «EXPAND rule(ifExternal, ifInternal) FOR rule‐»
30 «ENDFOREACH‐»
31
32 # outbound connections
33 «FOREACH outgoingRules AS rule‐»
34 «EXPAND rule(ifInternal, ifExternal) FOR rule‐»
35 «ENDFOREACH‐»
36 «ENDFILE‐»
37 «ENDDEFINE»
38
39 «DEFINE rule(String fromInterface, String toInterface) FOR Rule‐»
40 # from «source.getName()» to «destination.getName()»
41 «FOREACH services AS service‐»
42 «FOREACH service.protocols AS protocol‐»
43 «FOREACH service.ports AS port‐»
44 /sbin/iptables ‐t filter ‐A FORWARD ‐‐in‐interface «fromInterface»
‐‐out‐interface «toInterface» \
45 ‐‐source «source.getAddress()»
‐‐destination «destination.getAddress()» \
46 ‐‐protocol «protocol» ‐‐dport «port»
‐‐jump ACCEPT
47 «ENDFOREACH‐»
48 «ENDFOREACH‐»
49 «ENDFOREACH‐»
50 «ENDDEFINE»

Programmieren
www.linux-magazin.de Xtext 02 /2011
116
Abbildung 4: Als Ergebnis der Arbeit mit dem Modelling-Tool liegt das fertige IPtables-Skript vor.
der Xtend-Ausdrücke zur Anwendung.
Zum Auswerten dieser Regeln dient die
Modeling Workflow Engine. Dazu muss
der Programmierer noch die Workflow-
Datei im Verzeichnis »src/workflow« des
Generators anpassen, indem er die Slot-
Angabe »greetings« durch »scripts« und
die Typangabe »Greeting« durch »Script«
ersetzt. Außerdem kommt die Vorlage
»main« für jedes Skript statt für jede Begrüßung
zum Einsatz:
expand = "templates::Template::mainU
FOREACH scripts"
Jetzt lässt sich die Generierung starten,
indem man in der zweiten Eclipse-Instanz
des Firewall-Projekts aus dem Kontextmenü
der Workflow-Datei »Run As |
MWE2 Workflow« wählt. Das Ergebnis
»setup-firewall.sh« findet sich im Verzeichnis
»src-gen« (Abbildung 4).
Ausblick
Das hier vorgestellte Konzept lässt sich
flexibel auf beliebige andere Szenarien
anwenden, in denen eine oder mehrere
Textdateien aus einer Beschreibung entstehen
sollen. Dabei können durchaus
auch Konfigurationsdateien für verschie-
ist jeweils mit Bezug zu einer Klasse des
Ecore-Modells definiert und wird für eine
Instanz dieser Klasse ausgewertet. Im
vorliegenden Beispiel gibt es in der Modelldatei
eine »script«-Anweisung mit einem
festgelegten Skriptnamen, sodass die
Vorlage »main« einmal für dieses Skript
angewendet wird. Der »FILE«-Block legt
den Namen der Ausgabedatei fest – in
diesem Fall wird er aus dem Attribut der
»Script«-Klasse übernommen.
Die Zeilen 6 bis 27 übernimmt das Template
unverändert. Dann arbeitet der Generator
die Regeln für die eingehenden und
ausgehenden Verbindungen ab, indem er
für jede Regel die Vorlage »rule« mit der
Anweisung »EXPAND« anwendet. Dabei
sind die Netzwerkschnittstellen jeweils
aus Sicht der Regel angegeben.
Die Regelbearbeitung generiert zunächst
einen Kommentar, wobei einer der zuvor
angelegten Xtend-Ausdrücke zum Einsatz
kommt. Durch die Angabe in Zeile
2 sind diese Ausdrücke so verwendbar,
als wären sie Operationen der Klassen
selbst. Drei geschachtelte Schleifen sorgen
dann dafür, dass der Generator für
jede Kombination aus Protokoll und Port
eines jeden Dienstes einen »iptables«-
Aufruf erzeugt. Auch hier kommen wiedene
Anwendungszwecke (Netzwerk-
Konfiguration, Routing, Firewall, MTA
oder Webserver) aus einem zentralen
Modell erzeugt werden. Die Entwicklung
eines solchen Werkzeugs bietet sich vor
allem für Admins an, die regelmäßig
Systeme nach einem wiederkehrenden
Schema konfigurieren. (mhu) n
Infos
[1] Xtext: [http://www.eclipse.org/Xtext/]
[2] Ferm: [http:// ferm.foo-projects.org]
[3] Eclipse-Downloads:
[http://www. eclipse.org/downloads]
[4] Xtext-Referenz: [http://www.eclipse.org/
Xtext/documentation/latest/xtext.html]
[5] Referenz zu Xtend, Xpand und Check:
[http://help. eclipse.org/helios/index.jsp?
topic=/org. eclipse. xpand.doc/help/core_
reference. html]
[6] Listings zu diesem Artikel:
[http://www. linux-magazin.de/ static/
listings/magazin/ 2011/02/xtext/]
Der Autor
Volker Wegert ist SAP-R/ 3-Entwickler bei einem
großen deutschen Klinikkonzern und beschäftigt
sich in seiner Freizeit mit Modellierungs- und
Generierungstechniken.

FÜR ECHTE
FANS!
James Thew, Fotolia
Zeige Flagge für Ubuntu!
• die aktuelle Ausgabe Ubuntu User 01/2011
(inkl. 3 Aufkleber Ubuntu User)
• einen Schal mit eingesticktem Ubuntu User
• eine Mütze mit eingesticktem Ubuntu User
• einen Kugelschreiber mit Ubuntu User
UBUNTU
user
FAN-PAKET
nur
19,80 €
• einen Aufkleber mit “Maverick Meerkat”, dem
Maskottchen von Ubuntu 10.10
• eine Postkarte mit “Maverick Meerkat”, dem
Maskottchen von Ubuntu 10.10
JETZT ONLINE BESTELLEN:
• www.ubuntu-user.de/fan-paket
• Telefon 089 / 2095 9127 • Fax 089 / 2002 8115 • E-Mail: abo@ubuntu-user.de

Programmieren
www.linux-magazin.de Perl-Snapshot 02/2011
118
Kurzweilige Repository-Statistiken mit Perl und R
Datumsarithmetik
Perls Git-Repository enthält alle Commits, seit Larry Wall Perl 1987 aus der Taufe hob. Das Statistik-Tool R gewinnt
aus den historischen Daten überraschende Informationen und stellt sie grafisch dar. Michael Schilli
Change-Flag (»M«: modified, »A«: added,
»R«: removed) zeilenweise auflistet.
Kopfzeilen beginnen mit »commit«, damit
der später gebaute Parser sie leicht von
Dateizeilen unterscheiden kann. Nach
dem Aufruf des obigen Shell-Einzeilers
schnappt sich Listing 1 die Daten und
formt sie in ein CSV-Format um, mit dem
das Statistiktool R später weiterarbeitet.
Perl als Hilfsarbeiter
© Dagmar Fischer, Photocase.com
Es kann vielleicht nicht jeder nachvollziehen,
aber zumindest für mich hat es
etwas Erhebendes, die vollständige Historie
des Perl-Kerns vor Augen zu haben.
Welche Dateien hat Larry Wall anno 1987
eingecheckt? Wer schickte das erste Patch
ein? Was enthielt es? Das Kommando »git
log« zeigt erste Ergebnisse sofort an (Abbildung
1) und benötigt nur wenige Sekunden,
um sich bis zum Anfang des Projekts
vorzuarbeiten. Das funktioniert sogar
ohne Internetverbindung und selbst auf
einem Netbook. Alle Informationen sind
in einem 120 MByte großen Repository
versteckt, das »git« von [git://perl5.git.
perl.org/perl.git] bezieht. Dass Git herkömmliche
Versionskontrollsysteme wie
Subversion aus dem Feld schlägt, wundert
nur Unwissende.
Geballte Information
Die geballte Informationsladung des Perl-
Repository hilft nicht nur interessierten
Programmierern die Entwicklung des
Projekts mitzuverfolgen. Moderne Statistiktools
extrahieren daraus Trends und
stellen sie grafisch ansprechend dar. Bereits
mit Shell-Bordmitteln wie
git log ‐‐oneline | wc ‐l
lässt sich feststellen, dass seit dem Perl-
Gründungsjahr 1987 genau 38 206 Commits
aufeinander folgten. Die Option
»--oneline« schrumpft dabei das Ausgabeformat
auf eine Zeile pro Commit. Für
eine tiefergehenden Auswertung hilft dies
nicht viel, da wertvolle Informationen
wie modifizierte Dateien, das genaue
Datum oder Autoren- und Committer-E-
Mail nicht in der Ausgabe erscheinen. Ein
Aufruf von »git log« wie
git log ‐‐name‐status ‐‐date=raw U
‐‐pretty='format:commit,%ae,%at,%ce' U
> perl‐git‐log.txt
produziert eine umfangreichere Ausgabe.
Jeder Commit enthält in diesem Format
eine oder mehrere Dateien, die Git unterhalb
der Kopfzeile jeweils nach einem
Auch der Perl-Snapshot kann sich nicht
immer nur auf die Sprache Perl beschränken.
Im Bereich der Statistik glänzt die
Sprache R [2] mit geschwindigkeitsoptimierten
Datentransformationen, einer
reichen Auswahl an Grafikbibliotheken
und einem CPAN-ähnlichen Entwicklernetzwerk
namens CRAN.
In R geschriebene Skripte sind erstaunlich
kompakt, allerdings dauert es einige
Zeit, bis Neulinge die neuen Paradigmen
und Datenstrukturen durchschauen [3].
Perl hingegen glänzt im Umwandeln von
Datenformaten, daher arbeitet es hier mit
dem Skript »log2csv« in Listing 1 nur als
Zubringer, indem es die Logdaten des Git-
Repository in kommaseparierte Einträge
wie in Abbildung 2 umformt [4].
Hierzu kämmt sich »log2csv« zeilenweise
durch die vorher von 5 MByte auf ein
halbes MByte komprimierte Logdatei
»perl-git-log.txt.bz2«. Trifft es in Zeile 20
auf die Kopfzeile eines Commit, speichert
es dessen Eckdaten wie den Autor des
Patch, den Unix-Zeitstempel und die E-
Mail-Adresse des ausführenden Committers
in drei außerhalb der While-Schleife
deklarierten Variablen.
Entdeckt Zeile 23 dann eine Zeile mit einem
Dateivermerk (zum Beispiel »M Dateiname«),
trennt sie das vorangehende
Flag mittels eines regulären Ausdrucks

ab und speichert den Namen der modifizierten
Datei in »$file«. Die Methode
»print()« des CPAN-Moduls Text::CSV in
Zeile 25 reicht die durch Kommata getrennten
Felder anschließend an die Ausgabedatei
»perl-git-log.csv« weiter. Dort
stehen dann zu jeder modifizierten Datei
im Repository die Felder Autor, Committer
und Zeitstempel.
Das CPAN-Modul Text::CSV (beziehungsweise
die geschwindigkeitsoptimierte
Version Text::CSV_XS) maskiert eventuell
auftretende Sonderzeichen automatisch,
damit das kommaseparierte Ausgabeformat
intakt bleibt. Der Konstruktoraufruf
in Zeile 9 setzt das Flag »binary«, damit
sämtliche Ascii-Zeichen erlaubt sind.
Die EOL-Option legt den Zeilentrenner
im Ausgabeformat fest und erhält den
Wert »$/« zugewiesen, also den in der
jeweiligen Perl-Installation gültigen Zeilenumbruch.
Abbildung 1: Das Git-Repository des Perl-Projekts enthält alle Commits, seit Larry Wall 1987 es aus der Taufe
hob. Für die Zeitreise braucht die Versionskontrolle nur Sekunden.
Abbildung 2: Die erzeugte CSV-Datei, die Commits in einzelne Dateien aufspaltet und die Grundlage zur
statistischen Analyse in R darstellt.
Perl-Snapshot 02/2011
Programmieren
www.linux-magazin.de
119
Eine Testfahrt mit R
Die 8,5 MByte große CSV-Datei lässt sich
nun mit dem Statistiktool R einlesen und
weiterverarbeiten. Der in Abbildung 3
gezeigte Testlauf mit R illustriert, wie
das Tool von der Unix-Kommandozeile
aus anläuft. Nach einigen einführenden
Informationen wartet der Interpreter mit
dem Prompt »>« auf Eingaben.
Das obligatorische »print("hello r")« ruft
die Print-Funktion auf, die den ihr überreichten
String an die Standardausgabe
weiterleitet. Zu beachten ist, dass R bei
Funktionsaufrufen stets auf Klammern
beharrt und am Zeilenende eines Kommandos
kein Semikolon steht. Die Ausgabe
des »print()«-Kommandos besteht
aus einer Zeile, was R mit einem vorangestellten
»[1]« anzeigt. Hier bestätigt sich
gleich ein übler Verdacht: Arrays – oder
„Vektoren“ in R-Sprech – beginnen in R
bei 1 und nicht bei 0.
Um eines der vorgestellten R-Skripte abzuspielen,
dient der Aufruf »source("testprog.r")«
im R-Interpreter, wie die dritte
Eingabe in Abbildung 3 zeigt. Alternativ
liegt der R-Distribution das Programm
»Rscript« bei, das man als »#!/usr/bin/
Rscript« an den Kopf eines ausführbaren
Skripts stellen kann, damit der Kernel bei
dessen Start automatisch den R-Interpreter
aufruft und ihm den Programmcode
zur Ausführung übergibt.
Eine interaktive Interpreter-Session beendet
der User mit der Funktion »q()«,
woraufhin R nachfragt, ob es den aktuellen
Interpreter-Status auf der Festplatte
ablegen soll. Antwortet der User mit »y«,
schreibt R den Wert aller bekannten Daten
in ein Verzeichnis ».RData« und liest
sie nach einem Neustart wieder ein, damit
der User genau dort fortfahren kann,
wo er vorher aufgehört hat.
Mit Daten jonglieren
Das Kommando »read.csv()« in Abbildung
4 liest die CSV-Datei in R ein.
Punkte in Funktions- oder Variablennamen
in R dienen lediglich der Strukturierung
und haben keine syntaktische Bedeutung.
Die Funktion gibt im Erfolgsfall
eine Datenstruktur vom Typ Dataframe
Listing 1: »log2csv«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use local::lib;
04 use Text::CSV;
05
06 my $logfile = "perl‐git‐log.txt.bz2";
07 my $csvfile = "perl‐git‐log.csv";
08
09 my $csv = Text::CSV_XS‐>new ( { binary => 1, eol => $/ } ) or
10 die "Cannot use CSV: ", Text::CSV‐>error_diag();
11
12 open my $logfh, "bzip2 ‐dc $logfile |" or die "$logfile: $!";
13 open my $csvfh, ">$csvfile" or die "$csvfile: $!";
14
15 my($dummy, $author, $time, $committer);
16
17 $csv‐>print( $csvfh, ["time", "file", "author", "committer"] );
18
19 while( ) {
20 if( /^commit/ ) {
21 chomp;
22 ($dummy, $author, $time, $committer) = split /,/, $_;
23 } elsif( /^(\w)\s+(.*)/ ) {
24 my $file = $2;
25 $csv‐>print( $csvfh, [$time, $file, $author, $committer] ) or
26 die "print failed: ", Text::CSV‐>error_diag();
27 }
28 }
29
30 close $logfh or die "$logfile: $!";
31 close $csvfh or die "$csvfile: $!";

Programmieren
www.linux-magazin.de Perl-Snapshot 02/2011
120
Abbildung 3: Der Testlauf mit R führt über den Aufruf der Print-Funktion und das
Ausführen der Datei »testprog.r«.
zurück, einer Art Datenbanktabelle. Die
Spalten geben die Struktur vor, die Zeilen
entsprechen jeweils einem Datensatz.
Die Zuweisung zur Variablen »commits«
erfolgt mit dem Operator » data=c("one", "two", "three",
"two", "one", "two")
> table(data)
data
one three two
2 1 3
Das Codestück oben zeigt außerdem, wie
R mit der Funktion »c()« (von „concatenate“)
einen Vektor aus Einzelelementen
zusammenbaut. Die zweite Kommandozeile
in Abbildung 5 setzt das eben
Gelernte in einer Zeile zusammen und
zeigt die am häufigsten veränderten Dateien
im Repository an. Dazu klassifiziert
»table(files)« die in den Commits aufgelisteten
Dateien und legt für jede einen
Zähler an, der die Anzahl ihrer Nennungen
kumuliert.
Abbildung 4: In R lässt sich die CSV-Datei leicht einlesen und in eine Datenstruktur
verwandeln.
Die Funktion »sort()« sortiert die »table()«-
Zähler dann in aufsteigender Reihenfolge,
und »tail« mit der Option »n = 20L« holt
die letzten 20 Einträge, also die mit den
höchsten Zählern, hervor. Wie im interaktiven
R-Interpreter üblich, zeigt dieser
das Ergebnis schön strukturiert an, falls
der Rückgabewert einer Funktion keiner
Variablen zugewiesen wurde. R verfügt
außerdem über eine brauchbare Hilfefunktion,
die ein Fragezeichen, gefolgt
von einer Funktion (etwa »?tail«) in
Marsch setzt.
Ein Bild sagt mehr
Diese kurze Einführung in R sollte genügen,
um einige interessante Graphen zu
zeichnen, die die Aktivitäten im Perl-Repository
erhellen. Listing 2 erzeugt aus
der Datenstruktur mit den 20 meistgeänderten
Dateien ein Diagramm als Datei
Frequenzzähler
Die R-Funktion »table()« nimmt einen
Vektor entgegen und gibt eine Daten-
Listing 2: »file-plot.r«
1 commits

Perl-Snapshot 02/2011
Programmieren
www.linux-magazin.de
121
Abbildung 6: Meistmodifizierte Dateien als Histogramm.
Abbildung 7: Die Grafik zeigt die Anzahl der pro Jahr modifizierten Dateien.
im PNG-Format. Zeile 5 bereitet die Ausgabe
der nachfolgenden Plot-Funktion
durch »png(file="files.png")« vor und
leitet das Diagramm in die Datei »files.
png« um. Ohne diese Zeile würde R ein
Grafikfenster öffnen und das Schaubild
dort ohne Umschweife anzeigen.
Die ab Zeile 6 aufgerufene Funktion
»plot()« aus dem R-Standardrepertoire
macht klar, dass R keine ellenlangen Parameterlisten
braucht, um professionell
aussehende Diagramme zu zeichnen.
Achsenbeschriftung, maximale und minimale
Werte – für alles findet es sinnvolle
Standardwerte. Dies heißt jedoch nicht,
dass R unflexibel wäre, im Gegenteil,
jedes Detail einer Grafik wie die Achsenform
und -lage, die Werteanzahl pro
Skala, Farben, Fonts und so weiter kann
der User nach Gusto umdefinieren. Parameter
nehmen R-Funktionen im Format
»par=value«, durch Kommata getrennt,
entgegen. Abbildung 6 zeigt den Dataframe
»data« im Histogrammformat.
Zahn der Zeit
Um die Aktivität im Repository über die
vergangenen 23 Jahre aufzuzeigen, erweitert
Listing 3 die im Unix-Sekunden-
Format vorliegende Zeitstempelkolumne
»commits$time« um eine neue Spalte
»commits$year«, die das 4-stellige Jahr
des jeweiligen Zeitstempels anzeigt.
Hierzu wandelt die eingebaute R-Funktion
»as.POSIXlt()« den Unix-Zeitstempel
unter Angabe des Referenzdatums
»1970-01-01« in den nativen Datumstyp
»POSIXlt« (Posix local time) um. Aus
diesem extrahiert dann die Funktion
»format()« unter Angabe des Platzhalters
»%Y« die vierstellige Jahreszahl des
jeweiligen Datums.
Diese neue Kolonne mit 140 000 Jahreszahlen
transformiert die Funktion »table()«
dann in eine Datenstruktur, die zu
jeder Jahreszahl einen Zähler enthält. Die
in Zeile 13 aufgerufene Funktion »plot()«
ist dann so schlau, die Datenstruktur
ohne weitere Angaben in das Diagramm
in Abbildung 7 zu pferchen. Die Zeile
14 gibt dann lediglich noch die beiden
Achsenbeschriftungen »Year« und »Files
Modified« vor.
Wer genau hinsieht, der bemerkt, dass
die Linien die eingezeichneten Datenpunkte
nicht berühren, sondern kurz
vorher aus- und hinterher wieder einsetzen.
Dies ist ein Merkmal der Option
»type="b"«, wer durchgezogene Linien
bevorzugt, nimmt »o«.
Weitere Optionen finden sich auf der
Manualseite, die per Kommando »?plot«
im R-Interpreter erscheint. Dort erfährt
der Interessierte auch, dass »plot()« keineswegs
nur »table()«-Ausgaben druckt,
sondern auch mit zwei Vektoren für die
X- und Y-Werte des Graphen arbeitet.
Allgemein versucht R zu erraten, was der
User meinen könnte, und nimmt diesem
dabei oft erstaunlich viel Arbeit ab.
Ein aufwändiges Bild sagt
noch mehr
Abbildung 9 zeigt die fleißigsten Perl-
Autoren und ihre Aktivitäten über die
im Repository erfassten 23 Jahre Perl.
Da es Git 1987 noch nicht gab, wurden
die Daten natürlich rückwirkend aus
dem bis dahin benutzten Versionskontrollsystem
eingespielt. Listing 4, dessen
R-Code das Mehrfachdiagramm erzeugt,
sucht zunächst die fleißigsten Autoren
und merkt sich nur jene, die für mehr als
5000 File-Commits verantwortlich zeichnen.
Die Funktion »subset()« erledigt dies
elegant mittels »subset(au, au > 5000)«
in Zeile 14.
Die Variable »au« ist vom Datentyp »table«
mit allen Autoren aller Commits.
Die als zweiter Parameter hereingereichte
Bedingung filtert alle nicht darauf passenden
Einträge aus. Als Spezialität von
R gelten Vektoroperationen wie »au >
5000«, die nicht nur kurz und bündig,
sondern auch hocheffizient Massenoperationen
vornehmen.
Zeile 17 ruft »table()« mit zwei Parametern,
»commits$author« und »commits$year«,
auf und erzeugt damit eine Datenstruktur,
die allen Kombinationen aus Autor
Listing 3: »files-per-year.r«
01 commits

Programmieren
www.linux-magazin.de Perl-Snapshot 02/2011
122
G Abbildung 8: Das hintere Ende des Dataframe kurz vor dem Plotten.
E Abbildung 9: Das Diagramm zeigt die Committer mit mehr als 5000 File Commits
und ihre aktiven Jahre.
und Jahr einen Zähler zuordnet. Zum
einfacheren Zeichnen formen Zeile 18
und 19 mittels »as.data.frame()« einen
Dataframe, die Zeilen 20 und 21 weisen
den noch unbenannten Kolumnen durch
einen linksseitigen »names()«-Aufruf die
Namen »author«, »year« und »files« zu.
Zu diesem Zeitpunkt enthält die Variable
»files.by.auth.year« noch die Daten
aller Autoren, aber die Zeile 23 extrahiert
daraus die Untergruppe der vorher
in »au« ermittelten fleißigsten Autoren
und weist das Ergebnis wieder »files.
Infos
[1] Listings zu diesem Artikel:
[ftp://www. linux-magazin.de/pub/listings/
magazin/ 2011/ 02/ Perl]
[2] The R Project for Statistical Computing:
[http://www. r-project.org]
[3] Owen Jones, Robert Maillardet, Andrew
Robinson, „Introduction to Scientific
Programming and Simulation Using R“:
Chapman and Hall/ CRC, 2009
[4] Fun with numbers: [http://blog.moertel.
com/articles/ 2007/ 06/21/talk-fun-with
-numbers-r-and-perl-and-imdb-data]
[5] Deepayan Sarkar, „Lattice: Multivariate
Data Visualization with R (Use R)“: Springer,
2008
by.auth.year« zu.
Das hintere Ende
des Zwischenergebnisses
zeigt die
Abbildung 8.
Die etwas komplexe
Grafik zeichnet
diesmal nicht »plot()«, sondern die
Funktion »xyplot()« aus der Grafik-Library
»lattice«, die Zeile 1 mit »library("lattice")«
vorher eingebunden hat
[5]. Am wichtigsten ist der erste Parameter,
der im Format »y ~ x | g« vorliegt,
wobei »x« und »y« jeweils einen Vektor
mit X- beziehungsweise Y-Werten enthalten
und »g« die verschiedenen Gruppen
angibt, für die jeweils ein eigenes Diagramm
zu zeichnen ist. Im vorliegenden
Fall weisen alle drei in den Dateframe
»files.by.auth.year«, der im Parameter
Der Autor
Michael Schilli arbeitet als Software-Engineer bei
Yahoo in Sunnyvale, Kalifornien. Er hat die Bücher
„Goto Perl 5“ (auf Deutsch)
und „Perl Power“ (auf Englisch)
für Addison-Wesley
geschrieben und ist unter
[mschilli@perlmeister. com]
zu erreichen.
»data« übergeben wird. Das Layout legt
mit »c(1, 5)« fest, dass pro Display fünf
Diagramme übereinander liegen.
Da sich die Jahreszahlen am unteren
Ende ins Gehege kämen, dreht der
»scales«-Parameter sie in Zeile 32 um 45
Grad. »type=l« legt den Linientyp der
Grafiken fest, »xlab« bzw »ylab« bestimmen
die Achsenlegende. Jedes Panel in
Abbildung 9 ist dann einem der fünf
fleißigsten Autoren zugeordnet, die Liniengraphen
zeigen jeweils die Anzahl der
vom Committer modifizierten Dateien.
Installation
Ubuntu installiert den R-Interpreter folgendermaßen:
sudo aptitude install r‐base‐core
Die zur Aufbereitung der Daten genutzten
Perl-Module stehen ebenfalls schon
fertig als »libtext-csv-perl« und »libtext-csv-xs-perl«
bereit. (jcb) n
Listing 4: »authors-by-year.r«
01 library("lattice")
02
03 commits

7,90€
100 Seiten Linux
+ DVD
Jetzt am Kiosk!
Ja, ich bestelle LinuxUser Spezial 01/2011 zum Preis von 7,90.
Vorname, Name
Straße
Firma
PLZ/Ort
Abteilung
Coupon ausschneiden und an
Linux New Media AG, Putzbrunner Str. 71, 81739 München senden
Schneller bestellen per: Tel.: 089 / 99 34 11–0 E-Mail: order@linuxnewmedia.de
Fax: 089 / 99 34 11–99
http://www.linuxuser.de/spezial
E-Mail
Ja, bitte informieren Sie mich über weitere Neuheiten aus dem Bereich Linux
und OpenSource
Linux New Media AG, Putzbrunner Str. 71, 81739 München, Vorstand: Brian Osborn, Hermann Plank, Aufsichtsrat: Rudolf Strobl (Vorsitz), Handelsregister: HRB 129161 München

Service
www.linux-magazin.de IT-Profimarkt 02/2011
124
PROFI
MARKT
Sie fragen sich, wo Sie maßgeschneiderte
Linux-Systeme und kompetente
Ansprechpartner zu Open-Source-Themen
finden? Der IT-Profimarkt weist Ihnen
als zuverlässiges Nachschlagewerk
den Weg. Die hier gelisteten Unternehmen
beschäftigen Experten auf ihrem
Gebiet und bieten hochwertige Produkte
und Leistungen.
Die exakten Angebote jeder Firma entnehmen
Sie deren Homepage. Der ersten
Orientierung dienen die Kategorien
Hardware, Software, Seminaranbieter,
Systemhaus, Netzwerk/TK und Schulung/Beratung.
Der IT-Profimarkt-Eintrag
ist ein Service von Linux-Magazin
und LinuxUser.
Online-Suche
Besonders bequem finden Sie einen
Linux-Anbieter in Ihrer Nähe über die
neue Online-Umkreis-Suche unter:
[http://www.it-profimarkt.de]
Informationen
fordern Sie bitte an bei:
Linux New Media AG
Anzeigenabteilung
Putzbrunner Str. 71
D-81739 München
Tel.: +49 (0)89/99 34 11-23
Fax: +49 (0)89/99 34 11-99
E-Mail: anzeigen@linux-magazin.de
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
IT-Profimarkt – Liste sortiert nach Postleitzahl
4= Fachliteratur 4= Seminaranbieter 5 = Software 5 = Software 6 = Schulung/Beratung 6 = Firma Anschrift Telefon Web 1 2 3 4 5 6
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de 3 3 3 3
imunixx GmbH UNIX consultants 01468 Moritzburg, Heinrich-Heine-Str. 4 0351-83975-0 www.imunixx.de 3 3 3 3 3
future Training & Consulting GmbH Leipzig 04315 Leipzig, Kohlgartenstraße 15 0341-6804100 www.futuretrainings.com 3
future Training & Consulting GmbH Halle 06116 Halle (Saale), Fiete-Schulze-Str. 13 0345-56418-20 www.futuretrainings.com 3
future Training & Consulting GmbH Chemnitz 09111 Chemnitz, Bahnhofstraße 5 0371-6957730 www.futuretrainings.com 3
TUXMAN Linux Fan-Shop 10367 Berlin, Möllendorffstr. 44 030-97609773 www.tuxman.de 3 3 3 3 3
Hostserver GmbH 10405 Berlin, Winsttraße 70 030 47 37 55 50 www.hostserver.de 3
Compaso GmbH 10439 Berlin, Driesener Strasse 23 030-3269330 www.compaso.de 3 3 3 3 3
Linux Information Systems AG Berlin 12161 Berlin, Bundesallee 93 030-818686-03 www.linux-ag.com 3 3 3 3 3
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2345869-6 www.elegosoft.com 3 3 3 3
future Training & Consulting GmbH Berlin 13629 Berlin, Wernerwerkdamm 5 030-34358899 www.futuretrainings.com 3
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de 3 3 3
i.based: Systemhaus GmbH & Co.KG 18439 Stralsund, Langenstr. 38 03831-2894411 www.ibased.de 3 3 3 3 3
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de 3 3 3 3
Sybuca GmbH 20459 Hamburg, Herrengraben 25 040-27863190 www.sybuca.de 3 3 3 3 3
iTechnology GmbH c/ o C:1 Solutions GmbH 22083 Hamburg, Osterbekstr. 90 c 040-52388-0 www.itechnology.de 3 3 3 3
UDS-Linux - Schulung, Beratung, Entwicklung 22087 Hamburg, Lübecker Str. 1 040-45017123 www.uds-linux.de 3 3 3 3 3 3
Comparat Software-Entwicklungs- GmbH 23558 Lübeck, Prießstr. 16 0451-479566-0 www.comparat.de 3 3
future Training & Consulting GmbH Wismar 23966 Wismar, Lübsche Straße 22 03841-222851 www.futuretrainings.com 3
Dr. Plöger & Kollegen secom consulting
GmbH & Co. KG
24105 Kiel, Waitzstr. 3 0431-66849700 www.secom-consulting.de 3 3 3 3 3
talicom GmbH 30169 Hannover, Calenberger Esplanade 3 0511-123599-0 www.talicom.de 3 3 3 3 3
futureTraining & Consulting GmbH Hannover 30451 Hannover, Fössestr. 77 a 0511-70034616 www.futuretrainings.com 3
Servicebüro des grafischen Gewerbes 31789 Hameln, Talstraße 61 05151-774800 www.service4graphic-trade.com 3
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net 3 3 3 3 3
MarcanT GmbH 33602 Bielefeld, Ravensberger Str. 10 G 0521-95945-0 www.marcant.net 3 3 3 3 3 3
Hostserver GmbH 35037 Marburg, Biegenstr. 20 06421-175175-0 www.hostserver.de 3
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-239577-0 www.OpenIT.de 3 3 3 3 3
UD Media GmbH 41460 Neuss, Schwannstraße 1 01805-880-900 www.udmedia.de 3 3
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
(S.126)

elevant ■ verlässlich ■ kompetent
■ Virtualisierung
■ Monitoring
■ Storage und
Backup
Technical Review
Keine Zeit, um Berge von Datenmüll nach
Info-Nuggets zu durchsieben?
Dann lassen sie doch den Abraum liegen!
Die Technical Review bietet Know-how pur.
■ High Availability
■ Groupware
Ihre Inhalte sind
- von ausgewiesenen Spezialisten geschrieben,
- von einer kompetenten Fachredaktion ausgewählt,
- von namhaften Experten mehrfach geprüft.
■ Server Based
Computing
■ Spam
■ Performance
und Tuning
Eine Quelle für alle Fälle.
Wer weiß, was Wissen wert ist, muss nicht lange überlegen.
Registrieren Sie sich gleich unter
www.technicalreview.de
Einen Probeartikel
Ihrer Wahl gibt es gratis.
■ Datenbanken
Maxim Kazmin, 123RF
■ Security
■ Mobility
■ Migration
www.technicalreview.de

Service
www.linux-magazin.de IT-Profimarkt 02/2011
126
IT-Profimarkt
IT-Profimarkt – Liste sortiert nach Postleitzahl (Fortsetzung von S. 124)
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
4= Seminaranbieter 5 = Software 6 = Beratung
Firma Anschrift Telefon Web 1 2 3 4 5 6
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de 3 3 3 3 3
Linuxhotel GmbH 45279 Essen, Antonienallee 1 0201-8536-600 www.linuxhotel.de 3
Herstell 45888 Gelsenkirchen, Wildenbruchstr. 18 017620947146 www.herstell.info 3 3 3 3
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.de 3
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 osnabrueck.intevation.de 3 3 3 3
LWsystems GmbH & Co. KG 49186 Bad Iburg, Tegelerweg 11 05403-5556 www.lw-systems.de 3 3 3 3 3 3
Systemhaus SAR GmbH 52499 Baesweiler, Arnold-Sommerfeld-Ring 27 02401-9195-0 www.sar.de 3 3 3 3 3 3
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-27561-0 www.uib.de 3 3 3 3 3
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-49960 www.lisa-gmbh.de 3 3 3 3 3
Computerdienste Roth 60433 Frankfurt, Anne-Frank-Straße 31 069-95209247 www.computerdienste-roth.de 3 3 3 3
saveIP GmbH 64283 Darmstadt, Schleiermacherstr. 23 06151-666266 www.saveip.de 3 3 3 3 3
LAMARC EDV-Schulungen u. Beratung GmbH 65193 Wiesbaden, Sonnenberger Straße 14 0611-260023 www.lamarc.com 3 3 3 3
ORDIX AG 65205 Wiesbaden, Kreuzberger Ring 13 0611-77840-00 www.ordix.de 3 3 3 3 3
LinuxHaus Stuttgart 70565 Stuttgart, Hessenwiesenstrasse 10 0711-2851905 www.linuxhaus.de 3 3 3 3 3
comundus GmbH 71332 Waiblingen, Schüttelgrabenring 3 07151-5002850 www.comundus.com 3 3 3
Veigel Linux Software Development 71723 Großbottwar, Frankenstr. 15 07148-922352 www.mvlsd.de 3 3 3 3
Intra2net AG 72072 Tübingen, Mömpelgarderweg 8 07071-56510-30 www.intra2net.com 3 3 3 3
future Training & Consulting GmbH
Reutlingen
72770 Reutlingen, Auchterstraße 8 07121-14493943 www.futuretrainings.com 3
Manfred Heubach EDV und Kommunikation 73728 Esslingen, Hindenburgstr. 47 0711-4904930 www.heubach-edv.de 3 3 3 3
eBIS GmbH 74080 Heilbronn/ Neckar, Neckargartacher Str. 94 07131-39500 www.ebis.info 3 3 3 3 3
Waldmann EDV Systeme + Service 74321 Bietigheim-Bissingen, Pleidelsheimer Str. 25 07142-21516 www.waldmann-edv.de 3 3 3 3 3
in-put Das Linux-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-83044-98 www.in-put.de 3 3 3 3 3 3
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1476120 www.bodenseo.de 3 3 3
Gendrisch GmbH 81679 München, Cuvilliesstraße 14 089-38156901-0 www.gendrisch.de 3 3 3 3 3
Linux Information Systems AG 81739 München, Putzbrunnerstr. 71 089-993412-0 www.linux-ag.com 3 3 3 3 3
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89080500 www.synergysystems.de 3 3 3 3 3
B1 Systems GmbH 85088 Vohburg, Osterfeldstrasse 7 08457-931096 www.b1-systems.de 3 3 3 3 3
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-4523538-0 www.atix.de 3 3 3 3 3
Bereos OHG 88069 Tettnang, Kalchenstraße 6 07542-9345-22 www.bereos.eu 3 3 3 3 3
alpha EDV Systeme GmbH 88250 Weingarten, Liebfrauenstr. 9 0751-46265 www.alpha-edv.de 3 3 3 3 3
OSTC Open Source Training and Consulting
GmbH
90425 Nürnberg, Delsenbachweg 32 0911-3474544 www.ostc.de 3 3 3 3 3 3
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-505241 www.stockmayer.de 3 3 3
pascom - Netzwerktechnik GmbH & Co.KG 94469 Deggendorf, Berger Str. 42 0991-270060 www.pascom.de 3 3 3 3 3
fidu.de IT KG 95463 Bindlach, Goldkronacher Str. 30 09208-657638 www.linux-onlineshop.de 3 3 3 3
Computersysteme Gmeiner 95643 Tirschenreuth, Fischerhüttenweg 4 09631-7000-0 www.gmeiner.de 3 3 3 3 3
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3824444 www.realstuff.ch 3 3 3
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3302630 www.catatec.ch 3 3 3
EBP Gasser CH-4208 Nunningen, Winkel 6 0041-61793-0099 www.ebp-gasser.ch 3 3 3 3 3
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 +41 44 454 20 10 www.syscon.ch 3 3 3 3 3
Helvetica IT AG CH-8890 Flums, Bahnhofstrasse 15 0041-817331567 www.helvetica-it.com 3 3 3
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
n

Seminare
Linux-Magazin
ACADEMY
Online-Training der
Linux-Magazin Academy
Prüfungsvorbereitung
für LPIC 1 & 2
Besorgen Sie sich Brief und
Siegel für Ihr Linux-
Knowhow mit der
LPI-Zertifizierung.
- Training für die Prüfungen
LPI 101 und 102
- Training für die Prüfungen
LPI 201 und 202
SPAREN SIE MIT
PAKETPREISEN!
20%
Treue-Rabatt für
Abonnenten
Informationen und Anmeldung unter:
academy.linux-magazin.de/lpic
Zum Aktionspreis!
Linux-Zertifizierung in kompakter Form:
CLA*-Bootcamp
am 14.02.-18.02.2011 in Bensheim!
*(Certified Linux Administrator)
Weitere Infos unter
info@in-time.com oder 0 62 51-800 800!
in-time IT Training Center
Darmstädter Str. 63 | 64625 Bensheim
www.in-time.com
X25
Seminare / Markt 02/2011
Service
www.linux-magazin.de
127
Linux-Magazin
Academy_1-9h_Anzeige_LPIC.indd 1
ACADEMY
20%
Informationen und Anmeldung unter:
academy.linux-magazin.de/wordpress
01.09.2010 15:41:58 Uhr
Treue-Rabatt für
Abonnenten
Online-Training der
Linux-Magazin Academy
Erfolgreicher Einstieg in
WordPress 3.0
Ansprechende Webseiten, Blogs
und Shops einfach selber erstellen
❚ Installation in 5 Minuten
❚ Designs ändern
❚ Optimieren für Suchmaschinen
❚ Funktionen erweitern
❚ Benutzerrechte festlegen
❚ Geld verdienen mit Werbung
❚ Besucher analysieren
❚ Sicherheit und Spam-Schutz
UNIX-C-C++ Java
Seminare
in Nürnberg
(oder inhouse)
UNIX/Linux
UNIX/Linux-Aufbau
C, C-Aufbau
C++
OOA/OOD (mit UML)
Java
Perl, XML
weitere Kurse auf Anfrage, Telephonhotline
Dipl.-Ing.
Christoph Stockmayer GmbH
90571 Schwaig/Nbg • Dreihöhenstraße 1
Tel.: 0911/505241 • Fax 0911/5009584
EMail: sto@stockmayer.de
http://www.stockmayer.de
fahrschule_weber.indd 1
22.01.2007 15:10:01 Uhr
Linux-Magazin
_Anzeige_wordpress.indd 1
©mipan, fotolia
ACADEMY
20%
02.09.2010 16:24:36 Uhr
Treue-Rabatt für
Abonnenten
Online-Training
IT-Sicherheit
Grundlagen
Themen:
- physikalische Sicherheit
- logische Sicherheit
• Betriebssystem
• Netzwerk
- Sicherheitskonzepte
- Sicherheitsprüfung
Inklusive Benutzer- und
Rechteverwaltung, Authentifizierung,
ACLs sowie
wichtige Netzwerkprotokolle
und mehr!
Linux-Magazin
ACADEMY
Online-Training der
Linux-Magazin Academy
Monitoring mit Nagios
Netzwerk überwachen
leicht gemacht (Auszug):
20%
❚ das Webfrontend
❚ Überwachung von
Windows/Linux/Unix
❚ Strukturieren der Konfiguration
❚ Überwachen von
SNMP-Komponenten
❚ Addons Nagvis,
Grapher V2, NDO2DB Mit vielen
Treue-Rabatt für
Abonnenten
Praxisbeispielen
OpenSource Training Ralf Spenneberg
Schulungen direkt vom Autor
Andrew Prinz (Siemens AG) empfiehlt
unseren Kurs "Firewall Lösungen mit
Linux":
Dieser Kurs war sehr
interessant und informativ. Die
Thematik wurde sehr gut und
anschaulich durch Herrn
Spenneberg vermittelt. Einer
der kurzweiligsten Kurse, die
ich besucht habe.
Freie Distributionswahl:
SuSE, Fedora, Debian, CentOS oder
Ubuntu (NEU)
Ergonomische Arbeitsplätze
Echte Schulungsunterlagen mit Übungen
Bücher als Begleitmaterial
Informationen und Anmeldung unter:
academy.linux-magazin.de/sicherheit
Informationen und Anmeldung unter:
academy.linux-magazin.de/nagios
Am Bahnhof 3­5
48565 Steinfurt
Tel. : 02552 638755
Fax: 02552 638757
Weitere Informationen unter www.os­t.de
Academy_1-9h_Security.indd 1
18.11.2010 LM_Anzeige_1-9h_Anzeige_Nagios.indd 12:37:52 Uhr
1
03.09.2010 10:43:40 Uhr

Service
www.linux-magazin.de Inserenten 02/2011
128
Inserentenverzeichnis
1&1 Internet AG http:// www.einsundeins.de 11, 34
1blu AG http:// www.1blu.de 51
ADMIN http:// www.admin-magazin.de 102
Ancud IT-Beratung GmbH http:// www.EOSD2011.de 43
DFN-Cert Services GmbH http:// www.dfn-cert.de 61
EasyLinux http:// www.easylinux.de 107
Fernschule Weber GmbH http:// www.fernschule-weber.de 127
Happyware GmbH http:// www.happyware.de 19
Hetzner Online AG http:// www.hetzner.de 132
In-Time IT-Training Center http:// www.in-time.com 127
IT-Profimarkt http:// www.it-profimarkt.de 67
Linux Technical Review http:// www.linuxtechnicalreview.de 125
Linux User Spezial http:// www.linux-user.de/ spezial 123
Linux-Onlineshop/ Fidu http:// www.linux-onlineshop.de 131
LinuxUser http:// www.linuxuser.de 94
Mittwald CM Service GmbH & Co. KG http:// www.mittwald.de 23
Netclusive GmbH http:// www.netclusive.de 9
Open Source Press GmbH http:// www.opensourcepress.de 59
Org.-Team der Chemnitzer Linux-Tage http://chemnitzer.linux-tage.de 49
PlusServer AG http:// www.plusserver.de 68, 74, 84, 90
SolvetecIT Services GmbH http:// www.solvetec.de 21
Spenneberg Training & Consulting http:// www.spenneberg.com 127
Stockmayer GmbH http:// www.stockmayer.de 127
Strato AG http:// www.strato.de 1, 2, 17
Thomas Krenn AG http:// www.thomas-krenn.com 25
Linux-Hotel http:// www.linuxhotel.de 15
Linux-Magazin http:// www.linux-magazin.de 41, 56
Linux-Magazin Academy http:// www.academy.linux-magazin.de 127
Linux-Magazin Online http:// www.linux-magazin.de 47
Ubuntu User http:// www.ubuntu-user.de 117
UDS Linux Schulung, Beratung, Entwicklung http:// www.udslinux.de 127
Einem Teil dieser Ausgabe liegen Beilagen des ADMIN_Magazins (http:// www.adminmagazin.de)
und des Linux Technical Review (http:// www.linuxtechnicalreview.de) bei. Wir
bitten unsere Leser um freundliche Beachtung.
Veranstaltungen
15.09.2010-15.05.2011
V Concurso Universitario de Software Libre
Nacional, Spain
http://www.concursosoftwarelibre.org
24.-29.01.2011
linux.conf.au 2011
Brisbane, Australia
http://lca2011.linux.org.au
29.-31.01.2011
Fedora Users and Developers Conference 2011
Tempe, Arizona
Veranstalter: Fedora
http://fedoraproject.org/wiki/FUDCon:Tempe_2011
01.-03.02.2011
O’Reilly Strata Conference
Santa Clara, CA, USA
http://strataconf.com/strata2011
01.-04.02.2011
FOSS Lviv-2011
Nationale Iwan-Franko-Universität
Lemberg, Ukraine
02.-03.02.2011
Cloud Expo Europe
London, UK
http://www.cloudexpoeurope.com
05.-06.02.2011
FOSDEM 2011
Brussels, Belgium
http://www.fosdem.org/2011/
07.-09.02.2011
SharePoint Technology Conference
San Francisco, CA USA
http://www.sptechcon.com
14.-17.02.2011
Mobile World Congress
Barcelona, Spain
http://www.mobileworldcongress.com
15.-17.02.2011
USENIX FAST ’11
San Jose, CA, USA
http://www.usenix.org/events/fast11/
25.-27.02.2011
SCALE 9x
Los Angeles, CA, USA
http://www.socallinuxexpo.org/scale9x/
01.-02.03.2011
2011 Linux Foundation End User Summit
Jersey City, NJ, USA
http://events.linuxfoundation.org/events/end-usersummit
01.-05.03.2011
CeBIT 2011
Messegelände
Hannover
http://www.cebit.de
07.-08.03.2011
SANS WhatWorks in Application Security Summit 2011
San Francisco, CA USA
http://www.sans.org/appsec-2011/
07.-09.03.2011
AnDevCon San Francsico
San Francisco, CA USA
http://www.andevcon.com
07.-10.03.2011
DrupalCon Chicago
Chicago, IL USA
http://chicago2011.drupal.org
09.-17.03.2011
PyCon 2011
Atlanta, GA, USA
http://us.pycon.org
14.-19.03.2011
CSUN 2011
San Diego, CA, USA
http://www.csunconference.org
19.-20.03.2011
Chemnitzer Linux-Tage 2011
Hörsaal- und Seminar-Gebäude
der Technischen Universität Chemnitz
http://chemnitzer.linux-tage.de
22.-24.03.2011
CTIA Wireless 2011
Orlando, FL, USA
http://www.ctiawireless.com
23.-25.03.2011
POSSCON 2011
Columbia, SC, USA
http://posscon.org
25.-27.03.2011
Indiana LinuxFest
Indianopolis, IN, USA
http://www.indianalinux.org
26.03.2011
Augsburger Linux-Infotag 2011
Hochschule Augsburg
http://www.luga.de/Aktionen/LIT-2011
26.03.-04.04.2011
SANS 2011
Orlando, FL USA
http://www.sans.org/sans-2011
28.-31.03.2011
Web 2.0 Expo SF
San Francisco, CA, USA
http://www.web2expo.com/webexsf2011
30.03.-01.04.2011
USENIX NSDI ’11
Boston, MA USA
http://www.usenix.org/events/nsdi11/
04.04.2011
2011 High Performance Computing Financial Markets
Grand Central Station, NY, USA
http://www.flaggmgmt.com/linux/

Impressum
Linux-Magazin eine Publikation der Linux New Media AG
Redaktionsanschrift Putzbrunner Str. 71
81739 München
Tel.: 089/993411-0
Fax: 089/993411-99 oder -96
Internet
www.linux-magazin.de
E-Mail
redaktion@linux-magazin.de
Geschäftsleitung
Chefredakteur
stv. Chefredakteur
Redaktion
Aktuell, Forum
Brian Osborn (Vorstand), bosborn@linuxnewmedia.de
Hermann Plank (Vorstand), hplank@linuxnewmedia.de
Jan Kleinert (V.i.S.d.P.), jkleinert@linux-magazin.de (jk)
Markus Feilner, mfeilner@linux-magazin.de (mfe)
Ulrich Bantle, ubantle@linuxnewmedia.de (uba)
Mathias Huber, mhuber@linuxnewmedia.de (mhu)
Anika Kehrer, akehrer@linuxnewmedia.de (ake)
Software, Programmierung Oliver Frommel, ofrommel@linuxnewmedia.de (ofr)
Sysadmin, Know-how
Ständige Mitarbeiter
Linux-Magazin Online
Grafik
Bildnachweis
DELUG-DVD
Chefredaktionen
International
Produktion
Onlineshop
Abo-Infoseite
Abonnenten-Service
ISSN 1432 – 640 X
Jens-Christoph Brendel, jbrendel@linuxnewmedia.de (jcb)
Markus Feilner, mfeilner@linuxnewmedia.de (mfe)
Nils Magnus, nmagnus@linuxnewmedia.de (mg)
Fred Andresen (fan), Zack Brown, Hans-Georg Eßer (hge),
Heike Jurzik (hej), Kristian Kißling (kki), Daniel Kottmair (dko),
Charly Kühnast, Martin Loschwitz, Jürgen Manthey (Schlussredaktion),
Jan Rähm (jrx), Michael Schilli, Carsten Schnober
(csc), Mark Vogelsberger, Uwe Vollbracht, Britta Wülfing (bwü)
Ulrich Bantle (Chefred.), ubantle@linuxnewmedia.de (uba)
Mathias Huber, mhuber@linuxnewmedia.de (mhu)
Anika Kehrer, akehrer@linuxnewmedia.de (ake)
Klaus Rehfeld (Layout)
Judith Erb (Art Director)
xhoch4, München (Titel-Illustration)
Rf123.com, Fotolia.de, Photocase.com, Pixelio.de und andere
Thomas Leichtenstern, tleichtenstern@linuxnewmedia.de (tle)
Linux Magazine International
Joe Casad (jcasad@linux-magazine.com)
Linux Magazine Poland
Artur Skura (askura@linux-magazine.pl)
Linux Magazine Spain
Paul C. Brown (pbrown@linux-magazine.es)
Linux Magazine Brasil
Rafael Peregrino (rperegrino@linuxmagazine.com.br)
Christian Ullrich, cullrich@linuxnewmedia.de
shop.linuxnewmedia.de
www.linux-magazin.de/Produkte
Lea-Maria-Schmitt
abo@linux-magazin.de
Tel.: 07131/27 07 274
Fax: 07131/27 07 78 601
CH-Tel: +41 43 816 16 27
Preise
Deutschland Ausland EU Österreich Schweiz
Einzelpreis 4 5,95 (siehe Titel) 4 6,70 Sfr 11,90
DELUG-DVD-Ausgabe 4 8,50 (siehe Titel) 4 9,35 Sfr 17,—
Mini-Abo (3 Ausgaben) 4 3,— 4 3,— 4 3,— Sfr 4,50
Jahresabo (12 Ausgaben) 4 63,20 4 75,40 4 71,50 Sfr 126,10
Jahresabo + Jahres-DVD 4 69,90 4 81,40 4 78,50 Sfr 136,10
Jahresabo DELUG 1 4 87,90 4 99,90 4 96,90 Sfr 161,90
Kombi-Abo Easy 2 4 89,70 4 111,40 4 101,30 Sfr 179,10
Kombi-Abo Easy + beide Jahres-DVDs 4 103,10 4 125,40 4 114,50 Sfr 199,10
Kombi-Abo User 3 4 116,60 4 142,— 4 131,10 Sfr 229,90
Kombi-Abo User + beide Jahres-DVDs 4 129,90 4 155,— 4 144,60 Sfr 249,90
Mega-Kombi-Abo 4 4 143,40 4 173,90 4 163,90 Sfr 289,40
Kombi-Abo ADMIN 5 4 99,90 4 124,90 4 111,50 Sfr 199,90
Kombi-Abo ADMIN + beide Jahres-DVDs 4 113,30 4 138,30 4 124,90 Sfr 219,90
Kombi-Abo ADMIN + DELUG DVD
+ beide Jahres-DVDs 4 136,60 4 165,70 4 151,70 Sfr 259,90
1
mit Jahres-DVD und DELUG-Mitgliedschaft (monatl. DELUG-DVD)
2
mit EasyLinux-Abo
3
mit LinuxUser-Abo (No Media)
4
mit LinuxUser-Abo (DVD) und beiden Jahres-DVDs, inkl. DELUG-Mitgliedschaft (monatl.
DELUG-DVD)
5
mit ADMIN-Abo
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises
oder einer aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei
Verlän gerung neu zu erbringen. Andere Abo-Formen, Ermäßigungen im Ausland etc.
auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht
für Zeitschriften gelten.
Pressemitteilungen presse-info@linux-magazin.de
Marketing und Vertrieb
Anzeigenleitung,
Hubert Wiest, hwiest@linuxnewmedia.de
Vertrieb und Marketing Tel.: +49 (0)89 / 99 34 11 – 23
Fax: +49 (0)89 / 99 34 11 – 99
Mediaberatung D, A, CH Petra Jaser, anzeigen@linuxnewmedia.de
Tel.: +49 (0)89 / 99 34 11 – 24
Fax: +49 (0)89 / 99 34 11 – 99
Mediaberatung UK, Irland Penny Wilby, pwilby@linux-magazine.com
Tel.: +44 (0)1787 211100
Mediaberatung USA Joanna Earl, jearl@linuxnewmedia.com
Tel.:+1 785 727 5275
Ann Jesse, ajesse@linuxnewmedia.com
Tel.: +1 785 841 8834
Pressevertrieb
Druck
MZV, Moderner Zeitschriften Vertrieb GmbH
Ohmstraße 1, 85716 Unterschleißheim
Tel.: 089/31906-0, Fax: 089/31906-113
Vogel Druck und Medienservice GmbH, 97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unixähnlichen
Betriebssysteme verschiedener Hersteller benutzt. Linux ist eingetragenes
Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner
Erlaubnis verwendet.
Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung
durch die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von
Manus kripten gibt der Verfasser seine Zustimmung zum Abdruck. Für unverlangt
eingesandte Manuskripte kann keine Haftung übernommen werden.
Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim Verlag. Es
darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden.
Copyright © 1994 – 2011 Linux New Media AG
Impressum 02/2011
Service
www.linux-magazin.de
129
Krypto-Info
GnuPG-Schlüssel der Linux-Magazin-Redaktion:
pub 1024D/44F0F2B3 2000-05-08 Redaktion Linux-Magazin
Key fingerprint = C60B 1C94 316B 7F38 E8CC E1C1 8EA6 1F22 44F0 F2B3
Public-Key der DFN-PCA:
pub 2048R/7282B245 2007-12-12,
DFN-PGP-PCA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 39 D9 D7 7F 98 A8 F1 1B 26 6B D8 F2 EE 8F BB 5A
PGP-Zertifikat der DFN-User-CA:
pub 2048R/6362BE8B (2007-12-12),
DFN-PGP-User-CA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 30 96 47 77 58 48 22 C5 89 2A 85 19 9A D1 D4 06
Root-Zertifikat der CAcert:
Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/
Email=support@cacert.org
SHA1 Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
MD5 Fingerprint=A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
GPG-Schlüssel der CAcert:
pub 1024D/ 65D0FD58 2003-07-11 [expires: 2033-07-03]
Key fingerprint = A31D 4F81 EF4E BD07 B456 FA04 D2BB 0D01 65D0 FD58
uid CA Cert Signing Authority (Root CA)
Autoren dieser Ausgabe
Fred Andresen Rechtsrat 96
Christoph Baudson Web-Globus 70
Zack Brown Zacks Kernel-News 18
Tobias Eggendorfer Reingespritzt 108
Bernd Erk Schöne neue Bank 28
Peter Kreußel Schöne neue Bank 28
Michael Kromer Sichere Neun 38
Eva-Katharina Kunst Eingedost 82
Eva-Katharina Kunst Kern-Technik 104
Charly Kühnast Kurz über lang 81
Martin Loschwitz Debianopolis 99
Hans-Peter Merkel Hindernislauf 86
Mathias Meyer Frischer Wind 42
Caspar Clemens Mierau Vertraut und doch neu 36
Michael Müller Tux liest 100
Sven Pöhler Replication Reloaded 52
Jürgen Quade Eingedost 82
Jürgen Quade Kern-Technik 104
Michael Schilli Datumsarithmetik 118
Carsten Schnober Projekteküche 78
Daniel Schäfer Forum geht’s? 62
Peter Stamm Web-Globus 70
Mark Vogelsberger InSecurity News 20
Uwe Vollbracht Tooltipps 76
Volker Wegert Selbst modelliert 112

Service
www.linux-magazin.de Vorschau 3/2011 1/2011 12/2010 02/2011
130
Vorschau
3/2011 Dachzeile
MAGAZIN
Morgens UMTS, mittags LAN, abends WLAN
© Maksym Yemelyanov, 123RF.com
Neue Wege zum Desktop
Allen technischen Vorteilen zum Trotz setzen sich native Linux-
Desktops am Markt nicht durch. Das ist ärgerlich, hilft aber
den Admins nicht weiter, die sich jeden Tag mit ihrem Pool an
aufwändig zu wartenden Windows-PCs herumschlagen.
Das nächste Linux-Magazin weist mehrere Wege aus der Misere,
die – je nach Situation vor Ort – einzeln oder in Kombination
den Administrationsaufwand und die Kosten reduzieren. Im
Kern geht es ums Vereinheitlichen und Zentralisieren: Serverbased
Computing, Clouds, Webapplikationen und virtualisierte
Client-Hardware. Nebenbei untersucht die Redaktion, ob das
anstehende Chrome OS etwas zum Gelingen beitragen kann.
Überschrift
8:10 Uhr in der S-Bahn zum Flughafen, 14:30 Uhr einer Niederlassung,
21:15 Uhr allein im Hotel – Nomaden führen ein unstetes
Leben. Mitreisenden Linux-Notebooks gehts nicht besser –
Devices und Routen oszillieren im Takt ihrer Besitzer, was offenen
Verbindungen schlecht bekommt. Eine Bestandsaufnahme.
Grafischer Überbau für Postfix und Dovecot
Das neue Verwaltungsfrontend Vboxadm will beim Management
virtueller Mailuser und deren Mailboxen helfen. Wer
mag, kann Passwörter und Abwesenheitsnotizen nach RFC
3834 zugleich auch über den Webmailer Roundcube verwalten.
Das nächste Magazin vergleicht den Newcomer mit anderen
Management-GUIs für moderne Mailserver.
Sleuthkit 3.2
Die Toolsammlung kratzt auch gelöschte Informationen von
der Festplatte. Das kommende Heft schaut der neuesten Version
der Detektivin über die Schulter, wenn sie nicht nur auf Ext2-
oder Ext3-Partitionen verschwundene Files wiederherstellt.
Die Ausgabe 3/2011
erscheint am 3. Februar 2011
Ausgabe 02/2011
erscheint am 20.01.2011
© Flaivoloka, sxc.hu
Programmieren
Schon ein kleines Skript erleichtert oftmals
lästige Alltagsarbeiten. Linux erweist
sich in vielen Fällen als die richtige
Plattform für das Programmieren von
ausgewachsenen Projekten. Viele Werkzeuge,
wie Compiler, Debugger, IDEs
und Versionskontrollsysteme, bringt es
bereits von vorneherein mit. So sparen
Sie Lizenzkosten und arbeiten zudem mit Mitteln, die gut getestet
sind. Unser Schwerpunkt in der kommenden Ausgabe beleuchtet anhand
von einigen prominenten Beispielen, wie Sie die Vorzüge der
vorhandenen Tools für Ihre Zwecke am besten einsetzen.
Hardware-Check
Mit einem kleinen Tool enthüllen Sie die Geheimnisse der Hardware,
Ihres Systems. Ob USB-Controller, Mainboard oder RAM – zu allen
Komponenten erhalten Sie detaillierte Informationen, die manchmal
mehr enthüllen als die Datenblätter des Herstellers.
Fernbedienung
Mit einer kleinen App verwandeln Sie ein Android-Smartphone in
eine praktische Fernbedienung, mit der Sie kinderleicht auf einem
stationären Player Videos abspielen, die Musikwiedergabe aus der
Ferne steuern und alle anderen erdenklichen Aufgaben mit einem
einfachen Klick in der mobilen Anwendung erledigen. So verschmelzen
die beiden Welten auf ideale Weise miteinander.
Schicker Access Point
Der Huawei E5 erweist sich als eine praktische
Alternative zum USB-Stick für den mobilen
Zugang zum Netz. Der kombinierte
WLAN-UMTS-Router verfügt über eine
Fülle von Funktionen und erlaubt zudem
noch den schnellen Aufbau eines
drahtlosen, lokalen Netzwerks. Dank
Profilmanagement gehen Sie so komfortabel
auf der ganzen Welt in Funknetzwerken
schnell online.