Captain's blog

Mit der (partiellen) Umstellung von Linux- auf Apple-Clients im Heimnetz war es an der Zeit, über Anpassungen am vorhandenen Ubuntu-Fileserver nachzudenken. Möglichkeiten für den Zugriff per Netzwerk gibt es immerhin zuhauf:

- NFS, als Netzwerk-Filesystem unter Unix gestartet, und seit langem erprobt. Recht zügig bei der Arbeit, leider nicht allzu bekannt für Sicherheit
- SMB, der Versuch aus Redmont, eine Alternative zu NFS zu finden
- SSH- / FTPFS, als FUSE-Erweiterungen, leider nicht allzu performant
- AFP, Apples natives Netzwerk-Dateisystem. Recht fix, und durch SSL-Verschlüsselung auch entsprechend sicher.

Wo die Wahl im Linux-Umfeld naturgemäß auf NFS fällt, habe ich mich aus Performance- und Sicherheitsgründen entschlossen, parallel dazu Netatalk als Fileserver für meine Apple-Hardware aufzusetzen. Als zusätzliches Schmankerl soll das MacBook seine Backups per Time Machine nicht per USB, sondern zentral auf den Server sichern.

Ein paar minimale Hürden gibt es hierzu jedoch zu meistern:

Wie in einem älteren Posting bereits angekündigt, habe ich es heute Abend endlich einmal geschafft, die erste PHP-Applikation in Form meiner "Bookmark-Verwaltung" zu ersetzen.

Kam bis vor ein paar Stunden noch der "del.icio.us-Klon" Scuttle zum Einsatz , werkelt unter der Haube nun das Ruby on Rails basierte url.markr.

Wer ein öffentlich erreichbares (Unix-) System betreibt, kennt die Problematik der diversen gescheiterten Anmeldeversuche per SSH. Hervorgerufen durch Bots, die triviale Kombinationen und Passworten durchprobieren, müllen sie Logfiles zu, und finden schlimmstenfalls sogar wirklich einen Luser, der ein leicht zu erratendes Passwort nutzt.
Lösungen für dieses Problem sind (nicht nur hier) bereits mehrfach angesprochen worden; angefangen bei einfachen Maßnahmen wie der Verlegung des Port von 22 auf einen anderen, nicht standardgemäßen. Nutzung von SSH-Public Keys. Weiter über Paketfilter und eigens hierfür entwickelte Tools wie z.B. denyhosts oder fail2ban.

Eine gänzlich andere Möglichkeit, die darüber hinaus noch weitere Vorteile bietet ist die Authentisierung über Einmalpassworte. In Verbindung mit einer Zwei-Faktorauthentisierung (wie sie z.B. RSA mit den SecureID-Tokens) vormacht kommt zusätzlich zum Passwort noch eine Besitzkomponente hinzu. Ohne Token, das das OTP anzeigt, ist kein Zugang möglich.

Leider lohnen sich der Kauf dieser Token für den "Privatgebrauch" nicht wirklich, immerhin existieren mittlerweile (freie) Projekte, die diese Technik sehr kostengünstig ermöglicht. Das wohl vielversprechendste ist hier wohl FreeAuth.
Statt eines Hardwaretokens kommt hier das (in den allermeisten Fällen eh vorhandene) Handy zum Einsatz, das mit Hilfe eines kleinen Stückchen Java-Software die Funktion schnell und einfach nachbildet.

Nachdem Mattias Schlenker im Rootforum alleine durch die Umschreibung der Vorteile von Jails einen kleinen FreeBSD-Hype ausgelöst hat, interessierte mich eine solche (im "Standardumfang" nicht enthaltene) Lösung natürlich auch gerade unter OpenBSD. Immerhin bedeutet eine "virtuelle" OS-Instanz vor allem eine weitere erhöhte Sicherheit.

Fündig in diesem Fall wurde ich bei sysjail, das Jail-Konstrukte mit Hilfe des systrace-Frameorks umsetzt, das seinerseits eine sehr mächtige (aber dennoch einfache) RBAC-Imlementierung für System Calls darstellt. Somit lässt sich der "Komfort" eines Jails noch durch zusätzliche Sicherheit kombinieren, da sich so sehr feingranular einschränken lässt, was in der VM erklaubt ist.

Vor ein paar Tagen hatte ich ja bereits angekündigt, dass es (dem Freitraffic sei Dank ) demnächst hier einen Mirrorserver für verschiedene Projekte geben wird. Dieses Vorhaben habe ich nun endlich in die Tat umgesetzt, und bin gerade dabei, die hierfür reservierten 150 GB mit "Leben" zu füllen.

Das erste Projekt, das ich hier mit Plattenplatz und Traffic unterstützen möchte ist OpenBSD, von dem (ganz gemäß der Mirror-Policy) jeweils die letzten beiden Releases, sowie die Snapshots vorliegen werden. Natürlich werden auch die dementsprechenden OpenSSH-Tarballs zu finden sein.
Weitere Dinge, die ich noch gern spiegeln würde sind Nmap und ein paar kleinere Exploit-Archive. Man darf also gespannt sein, was in naher Zukunft hier noch so alles auftaucht.

P.S.: Vorschläge für andere unterstützenswerte Projekte bitte als Kommentar oder (noch besser) Mail an mich.

Es ist (vorläufig) vollbracht:

Nachdem die letzten paar Wochen wieder sehr hektisch waren, kam ich innerhalb der letzten paar Tage endlich dazu, den kürzlich fertig gewordenen neuen Server in Betrieb zu nehmen. Da die Kiste für meine Zwecke mehr als ausreichend mit Athlon 64 3700+, 2 GB RAM, 2x 300 GB-Platten und einem /28er-Subnetz dimensioniert ist, komme ich also endlich in den Genuß, wieder vermehrt mit Virtualisierung herumzuspielen.

Zur Abwechslung (und um wenigstens mal irgendwas hier zu posten) wieder mal ein wenig komplett ungeordnete Laberei aus dem "Privatleben":

Ich kann mich leider nicht mehr daran erinnern, wann Zeit zu einem meiner wertvollsten Güter geworden ist. Der Beginn des "nebenher laufenden" Studiums war sicherlich das erste Eriegnis, das dazu beitrug; die Selbständigkeit im Nebenberuf hat's auch nicht besser gemacht. Komischerweise stelle ich fest, dass es einigen meiner Freunden und Bekannten spätestens seit Mitte dieses Jahres genau so ergeht, wobei ich mich nach Gründen oder kausalen Zusammenhängen frage. Sollte hier eine groß angelegte Verschwörung am Werk sein?

Anbei ein paar Dinge, die mich ganz aktuell (neben Arbeit und Studium) auf Trab halten:
- Einiges an neuem Lesestoff (Einsteigerseminar Latex / C und Linux / BSD-Hacks / Unix-/Linux-Hochverfügbarkeit / Existenzgründung IT)
- Weiterführende Beschäftigung mit OpenBSD
- Schreiben eines Artikels über das Gibraltar Security Gateway 2800
- Umzug des alten Strato-Servers, der nur noch als Spielwiese diente auf eine dickere Kiste bei Hetzner (DS5000), der direkt auf mehrere virtuelle Server aufgeteilt wird. An dieser Stelle werde ich mir dann auch direkt den Traum eines kleinen, öffentlichen Honeypots wahr machen.
- Sonstiger Kleinscheiß, der an dieser Stelle zu weit führen würde...

Darüber hinaus habe ich eben erfahren, dass ich (nun zum dritten Mal in Folge) in der Jury der diesjährigen LinuxNew Media-Awards sitzen werde, deren Ergebnisse am 15. November auf der LinuxWorld Expo in Köln vorgestellt werden.

Nachdem ich heute wieder Gelegenheit hatte, mich mit weiteren Maßnahmen zur Hochverfügbarkeit von Linux-Servern zu befassen, kam ich endlich mal wieder in Kontakt mit Bonding. Manch einer mag dabei an Seile und andere Nettigkeiten denken, dabei handelt es sich schlicht und ergreifend um die Bündelung verschiedener Netzwerkkarten mit dem Ziel, die Geschwindigkeit und / oder die Verfügbarkeit zu erhöhen. Jeder, der sich mal näher mit Cisco-Switchen auseinandergesetzt hat, wird der Begriff Etherchannel hier direkt in den Sinn kommen, schlussendlich laufen beide Dinge aber auf's Gleiche hinaus.

Obwohl es von großem Nutzen sein kann, haben nur vergleichweise wenige Linux-Admins (die ich kenne) auch schon damit gearbeitet. Alleine aus diesem Grund möchte ich das Thema hier einmal in aller Kürze vorstellen:

Nachdem ich ja vorgestern meine S9Y-Installation auf einen "aktuellen" Stand gebracht habe, habe ich heute endlich einmal Zeit dafür gefunden, auch den restlichen Teil des hier vorliegenden Setups auf aktuelle Versionen anzuheben.

Somit werkelt jetzt unter der Haube der lighttpd in Version 1.4.10, PHP (inkl. Hardened-patch) nun zum ersten Mal in Version 5.1.2.
Besonders gespannt bin ich ja auf die Neuigkeiten, die das aktuelle PHP so mit sich bringt. Ich kann mir zwar nicht vorstellen, dass ich selbst jemals einen Unterschied spüren werde (da ich mich bisher auch standhaft weigere, darin zu programmieren), spätestens durch isotopps Beiträge im Rootforum bin ich aber der Meinung, dass der Umstieg mittlerweile anzuraten ist.

Sollten (wider Erwarten) dadurch irgendwelche Probleme auftauchen, würde ich mich daher sehr über ein kleines Feedback freuen.

Auch wenn es die letzten paar Tage viel zu ruhig im Blog war: ich lebe noch.

Aktuell bin ich aber mehr als eingespannt in die Arbeitswelt, wo ich neben meinen eigentlichen Aufgaben mal wieder den Cheffe raushängen lassen darf. Erschwerend hinzu kommt eine "kurzfristige" Oracle-Installation auf einem Linux HA-Cluster. Als kleines "Trostpflaster" gibt's dann aber demnächst das dazugehörige Howto (Installation der RedHat ClusterSuite mit Oracle on top, wobei die DB nicht meine Baustelle ist). Interesse, anyone?

Immerhin ist die Hardware dafür mal wieder recht nett ausgefallen:
- 2x Compaq ProLiant DL380 G4 mit 2x 3,4 GHz Xeons, 8 GB RAM und redundant ausgelegten FC-Controllern, sowie
- 1x HP MSA1000 Storage Array für den geshareten Plattenbereich der Datenbanken.

Letztgenannte ist dabei nur eine "Überbrückung", bis das lang erwartete SAN endlich kommt. Wenigstens hab ich dann später keine Probleme mehr damit, die bldöe DB dann noch einmal dort rüber zu schaufeln.

Um nicht selbst ständig wieder auf die Nase zu fallen, wenn ich mal wieder (die verdammt coole Groupware) Zimbra auf Debian installiere, gibt's hier ein ganz ganz kleines "Mini-Howto".

Zwar gibt es bereits einen "Alpha-Installer", der für sich allein genommen schon recht gut funktioniert, wenn diverse Pakete fehlen, geht das Vorhaben allerdings ganz schnell in die Hose:

Da hat der gute OpenBSD Geek (übrigens auch ein sehr lesenwertes Blog) mit seinem Firewall-Posting ja einen Stein ins Rollen gebracht. Über Bernd erfuhr ich nämlich von einem darauf aufbauenden Beitrag von David, der Paketfiltern gleich (fast) jeglichen Sinn abspricht.

Bedingt durch die Tatsache, dass ich mich nun halt einmal fast tagtäglich mit eben dieser Thematik rumplagen muss, möchte ich nun also auch mal meinen Senf dazugeben:

Auch wenn ich im Allgemeinen die Meinung vertrete, dass freie Software schon per Definition besser ist, habe ich gestern (nach langen Überlegungen) wieder einmal ein Produkt gekauft.

Es handelt sich dabei um die Parallels Workstation, die ich nun seit der Ankündigung vor ein paar Wochen ausgiebigen Tests unterzogen habe.
Zum Vergleich wurde natürlich auch die VMWare Workstation herangezogen, schied jedoch gerade in punkto Geschwindigkeit fast überall schlechter ab als die Software von Parallels.

Spätestens jedoch Parallels "Special Holiday Offer" hingegen gab dann gestern den Zuschlag dafür. Nicht einmal 40 Euro finde ich ausnahmsweise (fast) vollkommen in Ordnung. Natürlich hätte ich lieber auf freie Lösungen wie Xen, OpenVZ, qemu und Co. zurückgegriffen, jedoch brauche ich für ein paar kommende Projekte entweder Software, die ohne große Klimmzüge dort nicht laufen würde, oder dabei viel zu langsam wäre.
Trotz allem hoffe ich ja noch inständig, dass auch die freien Virtualisiere in naher Zukunft in der Lage sein werden, Produkte wie VMWare oder Parallels Workstation zu ersetzen...

So, jetzt aber erstmal wieder zurück zum Urlaub.

Auch wenn es in den letzten Tagen (Asche auf mein Haupt) hier im Blog viel zu ruhig geworden ist, bin ich nicht von der Bildfläche verschwunden. Meinen ersten "großen" Urlaub dieses Jahres wollte ich nur einmal ganz ruhig angehen lassen, und die Zeit vor allem endlich mal gebührend meiner Freundin widmen.

Ganz davon abgesehen, stecke ich zur Zeit auch immer noch tief in meiner ToDo-Liste (s.u.), und muss mal schauen, ob ich den Wunsch, das alles zusammenzuschreiben noch in die Tat umsetze.
Immerhin konnte ich folgende Punkte schon einmal abhaken:

Da schlägt das Herz des Sammlers doch höher: vor ein paar Minuten habe ich ein echtes Schätzchen vor der sicheren Verschrottung bewahrt, und bin seitdem stolzer Besitzer einer Sun E450.

Auch wenn die Maschine eigentlich schon relativ "angestaubt" ist, sind die (Eck-) Daten doch immer noch recht lesenswert: