ADMIN Magazin KVM und Co. (Vorschau)

Ceph: Workshop zum
Netzwerk-Dateisystem
ADMIN
Netzwerk & Security
Windows
Security Compliance Manager
sichert Windows-Rechner ab
Im Vergleich: Small Business
Server mit Linux-Fundament
Recht: Alle Fakten zu
Gebrauchtsoftware
05 2012
Sep – Okt.
KVM und Co.
Bausteine zur Server-Virtualisierung
VM-Images auf Knopfdruck
Management mit oVirt 3.1
Cloud-Speicher im Test
Neues in Hyper-V 3.0
Auf Heft-CD:
ClearOS
Community 6.3.0
Btrfs
Ausführlicher Workshop zum
modernen Linux-Dateisystem
Rex
Zentrales Management
für Server-Systeme
ARP-Hacking
Angriff auf Switches
Netzwerkdiagnose
Zwei Geräte im Test
www.admin-magazin.de
D EUR 9,80
A EUR 10,80 - BeNeLux EUR 11,25
CH sfr 19,60 - E / I EUR 12,75
4 196360 509805 05

globalBusiness:
weltweit mehr
als 4.000 Orte
verfügbar
New York – Berlin zum Ortstarif:
globalBusiness verbindet Sie mit der Welt.
Und so geht’s: Sie erhalten von der outbox AG
eine lokale Rufnummer z.B. aus New York.
Alle Anrufe darauf werden umgehend auf Ihre
Festnetznummer in Berlin – oder auf jedes
andere beliebige Ziel – weitergeleitet. So sind
Sie in Ihrem Büro in Deutschland für internationale
Kunden zu deren Ortstarif erreichbar.
Bieten Sie Ihren Kunden und Interessenten mit
globalBusiness diese persönliche und günstige
Kontaktmöglichkeit und sichern Sie sich Ihren
Wettbewerbsvorteil. Alle verfügbaren Länder
und Vorwahlen im Web: www.outbox.de/admin
Infos und Beratung: 0800 / 66 474 640
www.outbox.de/admin

ist der ruf erst ruiniert
e ditoriA l
Ist der Ruf erst ruiniert
Auch Sprache ist nicht für die Ewigkeit gemacht, ihre Worte und Regeln kommen
und gehen. Einen Text aus dem Hochmittelalter verstehen wir kaum noch, und
selbst Luther, keine 500 Jahre tot, würden wir über den Mund fahren: Die zu seiner
Zeit übliche doppelte Verneinung etwa –„Nu wachse auff dyr hynfurt nymmer mehr
keyn frucht“ – gilt uns heute als Logikfehler, und wo er zum Beispiel von „Flecken“
sprach, sagen wir „Dorf“.
Ein anderes Wort, dessen Bedeutung langsam verblasst, ist „Allmende“. Es bezeichnet
ein Gemeingut, früher war damit vor allem Gemeindeland gemeint, eine Wiese,
die von allen genutzt werden konnte oder ein Stück Wald, in dem jeder Dorfbewohner
Holz sammeln durfte. Im Englischen ist das Wort noch lebendiger: Commons,
das findet sich beispielsweise im Namen der „Creative Commons“ eines freien, nicht kommerziellen Lizenzpakets.
In dem lebt nicht nur die Bezeichnung weiter, sondern auch die Idee vom Teilen, von Fairness, von Kooperation.
Entsprechende Kampagnen erfahren als Gegenbewegung zu einer zerstörerischen Wirtschaftsweise momentan
sogar auf vielen Gebieten eine Renaissance. Die Open-Source-Bewegung kann man als Teil dieser übergreifenden
Initiativen verstehen.
Allerdings teilt nicht jeder diese Anschauungen. Eine Firma, die den Begriff Commons völlig aus ihrem Wortschatz
gestrichen zu haben scheint, ist Oracle. Das zumindest lässt der jüngste Coup vermuten: Da entfernte man Tests
auf bereinigte Fehler, die von Anfang an zum MySQL-Quellcode gehörten und die sicherstellten, dass sich ein einmal
ausgemerzter Fehler nicht wieder einschleichen konnte, aus den zugänglichen Sourcen. So wird die Allgemeinheit
ausgesperrt, Know-how monopolisiert.
Das könnte man vielleicht als bedauerliche Fehlleistung verbuchen, wäre es nicht Strategie. Oracle, durch den
Kauf von Sun zu einigen bedeutenden Open-Source-Projekten gelangt, ist dabei, alle an die Wand zu fahren. Erst
verweigert die Firma die Kommunikation mit den Open-Solaris-Entwicklern, dann zwingt sie die Open-Office-Gemeinde
in einen Fork, indem sie die Bürosuite demonstrativ ignoriert, jetzt sabotiert sie die MySQL-Community.
Doch diese Politik hat ihren Preis. Im Frühjahr 2010 verabschiedete sich der ehemalige Chief Open Source Officer
Simon Phipps von Oracle. Bereits zuvor war der Maintainer des Linux Block Layer Jens Axboe gegangen. Im April
2010 ist der Java-Urvater James Gosling der Nächste, der Oracle den Rücken kehrt. Danach kündigen der DTrace-
Erfinder Bryan Cantrill und der MySQL-Manager Kaj Arnö. Im Herbst verlässt der ZFS-Architekt Jeff Bonwick die
Firma, dem bald darauf Oracle’s VP für Open Storage, Mike Shapiro, folgt. In diesem Sommer hielt es schließlich
auch der Btrfs-Chefentwickler Chris Mason nicht länger aus. Eine Abstimmung mit den Füßen.
Kann Oracle jetzt ungeniert leben? Das wird sich zeigen …
@ leserbriefe@admin-magazin.de
www.facebook.com/adminmagazin www.twitter.com/admagz
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
3

s e RVice
ADMIN
Netzwerk & Security
inhalt
05/2012
in diesem Heft-schwerpunkt:
bausteine zur server-Virtualisierung
(ab s. 30)
Bastelstunde
boxgrinder und Vmbuilder
helfen Administra-
44Virtuelle
toren, virtuelle maschinen zu bauen.
Login
netzwerk
schwerpunkt: Virtualisierung
8 Vorgelesen
bücher zu sQL-Optimierung und
Freebsd 9
10 Branchen-News
neues von Firmen und Projekten.
16 Gebraucht gekauft
was eine neue entscheidung des eugH
für den Lizenzhandel bedeutet.
22 LAN unter der Lupe
werkzeuge für die Fehlersuche:
zwei netzwerktester im Vergleich.
26 Auf Schatzsuche
wie eine sinnvolle automatische
diensteerkennung gelingt.
34 Wirtshaus
die basis von Red Hats management-
Tool als freie software: Verwaltung virtueller
infrastrukturen mit oVirt 3.1.
20 Admin-Story
se Linux in der Praxis.
Service
3 Editorial
4 Inhalt
6 Heft-CD
114 Impressum und Vorschau
schwerpunkt: Virtualisierung
30 Revierkampf
was Version 3.0 von microsofts Virtualisierungslösung
Hyper-V bringt.
40 Wolkenkunde
drei private speicherclouds verglichen.
was ist besser: mieten oder selbst
hosten?
44 Virtuelle Bastelstunde
erzeugung von KVm-maschinen mit boxgrinder
und Vmbuilder automatisieren.
4 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

52
Ausgeschnüffelt
netzwerkverbindungen
trotz einsatz
von switches abgehört.
inhalt
s e RVice
die neue Version
94Aufpoliert
von Active directory
in windows server 2012.
in Butter
ein btrfs-
80Alles
workshop für
die tägliche Praxis.
Know-how
62 Storage-Magie
ein blick hinter die Kulissen des
RAdOs-Objectstore.
68 König der Rechner
Plattformübergreifendes
Konfigurationsmanagement
mit
Rex und Perl.
80 Alles in Butter
wie man die neuen Features des kommenden
Linux-Filesystems in der Praxis
richtig nutzt.
74 Projekt-Jonglage
wie Kanban hilft, iT-Prozesse zu verbessern.
security
52 Ausgeschnüffelt
man-in-the-middle-Attacken trotz netzwerk-switches
mit ARP cache Poisoning.
Test
94 Aufpoliert
einfacher zu virtualisieren: Active directory
in windows 2012.
Programmieren
108 Abgezapft
c-Programme, skripte und Kernelmodule
debuggen und tracen.
56 Gefixt und zugenäht
microsoft
security
compliance
manager
härtet serversysteme
ab.
100 Business in a Box
small business server mit Linux:
clearOs, zentyal und Resara.
112 In der Pfeife
das subprocess-modul
ruft unix-
Tools in
Pythonscripts
auf.
Mehr Infos auf Seite 6
ClearOS 6.3
n Small Business Server mit Linux-Fundament
n Druck-, Datei- und Maildienste, Antispam, Antivirus,
Firewall und vieles mehr
www.A dmin-mAgA zin.de Admin AusgA be 05-2012 5

serviC e
Heft-Cd
Heft-CD
Auf dem beiliegenden Datenträger finden Sie die neueste
Community-Version 6.3.0 von ClearOS [1], einer Linux-
Distribution für den Einsatz als Small Business Server.
◗ Datei-, Druck- und Maildienste, Antispam, Antivirus,
Firewall u.v.m.
◗ Grafisches Administrations-Frontend.
◗ Zugang zu Clearcenter Marketplace [2] mit Active-Directory-Connector
und Kaspersky-Antimalware.
◗ Mehr Informationen im Artikel ab S. 100.
Legen Sie einfach die CD in das Laufwerk ein, und starten
Sie den Rechner. Möglicherweise müssen Sie noch im
BIOS die richtige Boot-Reihenfolge einstellen, damit das
Laufwerk vor der Festplatte an die Reihe kommt. n
info
CD KAPUTT?
Wir schicken Ihnen kostenlos eine
Ersatz-CD zu, E-Mail genügt:
info@admin-magazin.de
[1] ClearOS:
[http://www.clearfoundation.com/Software/overview.html]
[2] Clearcenter Marketplace:
[http://www.clearcenter.com/Software/clearos-marketplace.html]
6 AusgA be 05-2012
Admin www.A dmin-mAgA zin.de

WAGEN SIE DEN SPRUNG
IN DIE SERVERWELT
„Mit einem virtuellen Server von Host Europe
werden Sie zum Administrator: hosten Sie
Ihre Website endlich ohne Einschränkungen.“
Michael Mertens,
Head of Product Management
Cloud Hosting
DER EIGENE SERVER ZUM EINSTIEGSPREIS
Host Europe macht es möglich: Hosten Sie Ihre Website auf
unserem neuen Einstiegsserver zum besonders günstigen Preis.
Lassen Sie sich von unserem Team beraten, wie Sie noch heute
wechseln können.
24 h Beratung und Support: 0800 467 8387
Der Einstiegsserver
Virtual Server L 5.0
€6, 49 mtl.*
In den ersten 6 Monaten,
danach € 12, 99 mtl.*
Keine Setupgebühr
MEHR
FLEXIBILITÄT
Voller Rootzugriff und frei
wählbare Einstellungen
von Datenbanken, Domains,
E-Mail-Konten etc.
ERST TESTEN,
DANN ZAHLEN
Innerhalb der ersten 30 Tage
können Sie das Produkt
jederzeit zurückgeben. Keine
Kosten – kein Risiko.
EINFACHE
BEDIENUNG
Komfortable Serververwaltung
über Admin-Panel mit
intuitiver Benutzeroberfläche.
* Der Aktionspreis von € 6,49 für die ersten 6 Monate gilt ausschließlich für Virtual Server L 5.0,
die bis zum 30.09.2012 neu bestellt werden. Anschließend beträgt die monatliche Gebühr für
Virtual Server L 5.0 € 12,99. Keine Mindestvertragslaufzeit. Keine Setupgebühr. Kündigungsfrist:
4 Wochen zum Monatsende. Alle angegebenen Preise inkl. MwSt.
www.hosteurope.de

LO gin
bücher
Bücher über FreeBSD und SQL-Optimierung
Vorgelesen
eines unserer Rezensionsexemplare beschäftigt sich mit der bsd-welt, das
andere mit der Performance von sQL-datenbanken. Oliver Frommel, Jens-Christoph brendel
Bücher über BSD-Unix-Systeme sind auf
dem von Linux dominierten Markt rar.
Umso löblicher ist es, dass der dpunkt-
Verlag nun ein neues Buch herausgebracht
hat, das sich dem Betrieb von
FreeBSD auf Serversystemen widmet.
Nach einer kurzen Übersicht über die
spezifischen Vorteile, die FreeBSD bietet,
widmet sich der Autor der Installation
und der Bedienung des Systems, gefolgt
von einem ausführlichen Kapitel zur Software-Installation
über die Ports.
Der Rest des Buches widmet sich den
Diensten, die Administratoren über eine
FreeBSD-Installation anbieten können:
Datenbanken, bei denen neben MySQL
auch die modernen Forks wie MariaDB
und Drizzel behandelt werden, PostgreSQL
aber fehlt. Für den Einsatz als
Webserver konzentriert sich das Buch auf
die schnelle Apache-Alternative Nginx
und demonstriert, wie man das performante
PHP-FPM-Modul dabei verwendet.
Auch die Konfiguration als Mailserver
mit Postfix, Dovecot sowie die Spam-
Bekämpfung per Dspam und Greylisting
wird ausführlich behandelt.
Eigene Kapitel widmen sich Security-Themen
wie den FreeBSD-spezifischen Jails,
die mit leichgewichtiger Virtualisierung
Subsysteme voneinander isolieren. Auch
der leistungsfähigen pf-Firewall ist ein
eigenes Kapitel gewidmet. Etwas weniger
Raum räumt das Buch Randthemen wie
dem Aufsetzen eines Subversion-Servers,
VPNs, Monitoring und Load Balancing
ein. Auch Storage mit RAIDs wird nur am
Rande behandelt.
Das größte Manko für viele Leser ist vermutlich
das vollständige Fehlen des ZFS-
Dateisystems, das unter FreeBSD im Gegensatz
zu Linux ohne Einschränkungen
verfügbar ist. Dem könnte man allerdings
ein eigenes Buch widmen. Abgesehen
davon ist das Buch ein Muss für jeden
FreeBSD-Administrator und auch für Linux-Fans
geeignet, die mal einen Blick in
die BSD-Welt werfen möchten.
SQL Performance
Das Buch heißt „SQL Performance“, aber
von der Rechenleistung eines Datenbankservers
ist davon nicht oder nur am
Rande die Rede, auch die I/ O-Leistung
des verwendeten Storage spielt zum Beispiel
keine Rolle in den Erörterungen.
Stattdessen geht es auf knapp 200 Seiten
nur um eins: das richtige Indizieren.
Die Beschränkung auf dieses Kernthema
der Datenbankperformance wirkt sich
durchaus positiv aus: Der Autor verliert
sich nicht in Allgemeinplätzen, sondern
behandelt konzentriert und tiefgehend
die Index-Problematik, die er aus mehreren
Perspektiven fundiert und sachkundig
beleuchtet. Die Erklärungen sind gut
verständlich und nachvollziehbar, immer
wieder werden die Erkenntnisse mit konkreten
Ausführungsplänen verschiedener
SQL-Datenbanken belegt, bei deren Interpretation
zusätzlich ein eigener Anhang
hilft. So erhält der Leser das Rüstzeug,
um eigene Anwendungen zu analysieren
und das Gelernte zu übertragen.
In insgesamt acht Kapiteln wird deutlich,
dass es nicht reicht, irgendwelche Indizes
anzulegen. Selbst wenn sie von der Datenbank
verwendet werden, können sie
unter Umständen mehr schaden als nützen.
Nur ein wohl überlegt konstruierter
Index sorgt für optimale Performance. Im
Einzelnen werden unter anderem parametrisierte
Abfragen, funktionsbasierte
Indizes, Join-Operationen, Daten-Cluster
oder das Zusammenspiel von Sort- und
Group-by-Operationen mit Indizes erläutert.
Daneben geht es um Indizes und
Skalierungsprobleme oder den Einfluss
von Indizes auf Schreiboperationen.
Allerdings offenbart sich an diesem Punkt
auch die wohl unvermeidliche Kehrseite
der Medaille: Das Buch ist für jeden interessant,
der mit Datenbanken zu tun hat,
aber wirklich profitieren werden wohl nur
Entwickler. Denn nur sie verfügen über
die Detailkenntnisse, mit denen sich der
Index auf die in der Applikation tatsächlich
verwendeten Abfragen zuschneiden
lässt. Wer solche Anfragen nicht selbst
programmiert, kann sie erstens höchstens
durch aufwendiges Reverse Engineering
nachvollziehen und hat zweitens keine
Möglichkeit, sie zu beeinflussen.
Für alle Anwendungsentwickler, die
SQL-Abfragen programmieren und Indizes
dazu passend konfigurieren wollen,
sollte der schmale Band, den man etwa
via Amazon beziehen kann, eine Pflichtlektüre
sein.
n
Freebsd-server
Benedikt Nießen
Der eigene Server mit FreeBSD 9
279 Seiten
dpunkt-Verlag
36,90 Euro
ISBN: 3-89864-814-1
sQL Performance
Markus Winand
SQL Performance Explained
204 Seiten
Winand
29,95 Euro
ISBN: 3-95030-781-8
8 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Das feiern wir:
10 Jahre Thomas Krenn - 10 Jahre perfekt beraten!
5000m²
Pünktlich zu unserem 10-jährigen Bestehen
verdoppeln wir die Firmenzentrale – von 2500
Quadratmeter auf ganze 5000 Quadratmeter.
Der neue Thomas Krenn Shop:
www.thomas-krenn.com
DE: +49 (0) 8551 9150-0
CH: +41 (0) 848207970
AT: +43 (0) 732 - 2363
Verkauf erfolgt ausschließlich an Gewerbetreibende, Firmen, Freiberufler (Ärzte, Rechtsanwälte etc.), staatliche Institutionen und Behörden. Druckfehler, Irrtümer und Änderungen in Preis und Ausstattung vorbehalten.
Unsere Versandkosten richten sich nach Gewicht und Versandart. Genaue Preisangaben finden Sie unter: www.thomas-krenn.com/versandkosten. Thomas-Krenn.AG, Speltenbach-Steinäcker 1, D-94078 Freyung

Login
news
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Neue Software und Produkte
Branchen-News
Univention setzt künftig auf Ubuntu-Clients
Mit der im Juli erschienenen Version
3.0.2 seines Univention Corporate Servers
kann der Bremer Linux-Distributor
Ubuntu-Systeme als Clients verwalten.
Dafür streicht die Firma das auf der eigenen
Debian-Variante basierende Produkt
Univention Corporate Desktop. Im
Gegensatz zu Ubuntu habe der eigene
Univention Corporate Server nicht die
erwünschte Verbreitung gefunden, teilt
das Bremer Softwarehaus mit. Man wolle
die Entwicklung eines eigenen Desktop-
Systems einstellen und sich auf die am
Markt verbreiteten Linux-Distributionen
konzentrieren.
Mit dem neuen Univention Corporate Server
stehe somit erstmals eine „umfassende
Open-Source-Lösung für das Domänenmanagement
von Ubuntu-Clients zur
Verfügung“. Auch die Univention Thin
Client Services werden durch Univention
Corporate Clients (UCC) auf der Basis
von Ubuntu ersetzt. Das verbessere die
Hardwarekompatibilität, Anpassbarkeit
und Verwaltbarkeit. Der UCC soll im vierten
Quartal 2012 auf den Markt kommen.
Univention-Geschäftsführer Peter Ganten
vergleicht die Unterstützung für Ubuntu
mit der für proprietäre Clients: „Wie bei
Microsoft Windows als dem am meisten
mit UCS verwendeten Client-Betriebssystem
(…) werden wir nun auch Ubuntu
als Linux-Alternative unterstützen.“ Das
betrifft laut Ganten sowohl native als
auch virtuelle Clients. Die eingesparten
Ressourcen wollen die Bremer in die Anbindung
von Tablets und Smartphones
investieren.
Für die letzte Version des Corporate
Desktops erhalten Kunden wie versprochen
Support bis Ende 2013. Die Wiki-
Seite [http://​wiki.​univention.​de/​index.​php?​
​title=Ubuntu] informiert über die technischen
Details der Integration von Ubuntu
12.04 in eine Univention-Domäne.
Neue Netzwerkspeicher von Buffalo
Nach den Zwei- und Vier-Bay-Modellen
der Terastation von Buffalo kommen nun
auch die Sechs- und Acht-Bay-Modelle
auf den deutschen Markt. Die neuen Modelle
– Terastation 5600 und 5800 – sind
mit dem Intel Atom Dual-Core-Prozessor
D2700 und 64Bit-Architektur sowie 2
GByte DDR3 RAM ausgestattet und werden
1390 beziehungsweise 1740 Euro
kosten. Sie eignen sich als NAS- oder
iSCSI-Appliance für den Businessbereich
und können via Web-Access sowie Apps
Der NAS-Speicher Buffalo 5800 kann acht Festplatten
aufnehmen.
für Android, iOS und Windows Phone 7
auch von Mobilgeräten erreicht werden.
An die Netzwerkspeicher lassen sich über
eine USB-3.0-Schnittstelle sowohl weitere
externe Platten anschließen als auch
Amazon-S3-Ressourcen anbinden.
Über die Management Software „Buffalo
Surveillance Server Client Bundle“ gelingt
die Einbindung von Sicherheits- oder IP-
Kameras, die das RTSP-Protokoll nutzen
und ONVIF-konform sind. Die Software
bietet Kamera- und Speicherplatzverwaltung
sowie eine speicherübergreifende
Suche und unterstützt über
1400 Kameramodelle von mehr als
180 Kameraherstellern. Sie verwaltet
alle Daten im Netz, während sie
diese auch bei gleichzeitiger Aufnahme,
beispielsweise über Metadaten,
durchsuch- und abspielbar
macht. Durch Kapazitäten von 6
bis 32 TByte sind mit den neuen
TeraStation 5000er-Modellen deutlich
längere Zyklen vor dem Überschreiben
alter Aufnahmen möglich.
Im Bundle enthalten ist eine freie
Kameralizenz, weitere Lizenzen
können hinzugekauft werden.
ZFS für Linux aktualisiert
Mit dem Release-Kandidaten 10 der Version
0.6.0 nähern sich die Entwickler der
kernelbasierten ZFS-Implementierung für
Linux einer stabilen Version. Der Code
ist nun kompatibel zur Kernel-Version
3.5. Neben einer Reihe kleiner Verbesserungen
haben die Entwickler auch damit
begonnen, das nötige Patchen des Kernel-
Sourcecode zu automatisieren. Das ist
nötig, weil aufgrund der inkompatiblen
freien Software-Lizenzen von ZFS (CDDL)
und dem Linux-Kernel (GPL) beide nicht
im selben Quellcode-Baum ausgeliefert
werden können. Deshalb muss der Anwender
selbst den Quellcode der beiden
Komponenten herunterladen, den Kernel
mit dem ZFS-Code patchen und dann
selbst compilieren.
Eine alternative ZFS-Implementierung für
Linux gibt es unter der Adresse [http://​
​zfs-fuse.net/]. Sie umgeht das Lizenz-
Problem, indem sie das von Solaris
stammende Dateisystem im Userspace
mithilfe von FUSE (Filesystem in Userspace)
implementiert. Die kernelbasierte
ZFS-Implementierung ist aber schneller.
Der Quellcode zu ZFS on Linux ist unter
[http://​zfsonlinux.​org/] zu finden.
10 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

n immer auf http://www.admin-magazin.de
Bacula-Konferenz lädt ein
Die nunmehr vierte Konferenz, die von Red Hat, Bacula
Systems, Univention und Linux New Media gesponsort wird,
wendet sich wieder der bekannten Open-Source-Backup- Lösung
der Enterprise-Klasse zu und bietet ein interessantes Vortragsprogramm.
So wird es um Maintenance und Deployment von
Bacula mithilfe von Puppet gehen, um die automatisierte
Einbindung von Windows Systemen in Bacula mithilfe von
OPSI, um LANfree Backups mit Bacula oder um die Sicherung
virtueller Maschinen unter KVM. Interessierte können sich
unter [http://​www.​bacula-konferenz.​de/​anmeldung] für die Konferenz
anmelden.
TM
MobyDick
Die Zukunft der Telefonie
Mit der MobyDick Telefonanlage haben Sie alle Fäden selbst in
der Hand. Außerdem verbinden Sie die Features modernster
Telefonie mit den Vorteilen von Voice over IP.
Die Kommunikationslösung für Ihr
Unternehmen
FreeNAS 8.3 Beta verbessert ZFS
Wie das FreeNAS-Entwicklerteam bekannt gibt, ist eine Betaversion
des kommenden Release 8.3.0 verfügbar. Das Basissystem
wurde damit auf FreeBSD 8.3-RELEASE-p7 aktualisiert. Somit
verwendet FreeNAS wie FreeBSD in der aktuellen Beta nun die
ZFS-Version 28. Da das aktuelle Release FreeNAS 8.2 noch ZFS
15 verwendet, bedeutet dieser Sprung, dass das Dateisystem in
der Beta-Version um eine Reihe von Features bereichert wurde,
darunter Deplizierung (eingeführt mit Version 21) und Triple
Parity RAID-Z (neu in Version 17).
Bei RAID-Z handelt es sich streng genommen nicht um eine
RAID-Technologie im klassischen Sinn, sondern um eine Methode
der redundanten Datenspeicherung auf Dateisystemebene
in ZFS. Ein RAID-Z mit Triple Parity erhöht gegenüber dem einfachen
und doppelten Parity-RAID-Z noch einmal die Datensicherheit
und kann den Ausfall von drei Disks ohne Datenverlust
verkraften. Zur Speicherung der Parity-Daten sind allerdings
entsprechend auch drei Platten nötig.
Leitfaden zur Desktop-Virtualisierung
Der Branchenverband BITKOM hat einen neuen Leitfaden
zur Desktop-Virtualisierung aufgelegt. Er sieht darin Desktop-
Virtualisierung und Thin Clients als ideale Ergänzung zum
Cloud Computing. „Desktop aus der Cloud“ beziehungsweise
„Desktop-as-a-Service“ können laut BITKOM dank optimierter
Managementprozesse, Flexibilität und Ressourcenschonung zugleich
zu Kosteneinsparungen beitragen.
Bei der Desktop-Virtualisierung wird nicht nur eine einzelne
Anwendung auf dem Server ausgeführt, sondern das gesamte
Betriebssystem des Computers ausgelagert. Der Anwender kann
auf alle seine Programme, sämtliche Daten und die persönlichen
Einstellungen über das Netzwerk zugreifen. Die individuelle Arbeitsumgebung
sieht so auf dem Thin Client oder Tablet gleich
aus. Die Betriebskosten sinken, weil Konfiguration, Wartung
oder das Erstellen von Sicherheitskopien an zentraler Stelle
erfolgen. Zugleich erhöht sich die Sicherheit, da zum Beispiel
auf mobilen Geräten wie Notebooks oder Tablets keine Daten
gespeichert werden, die bei Verlust in falsche Hände geraten
könnten.
www.A dmin-mAgA zin.de
Unified Communications:
Telefon
Video
VoiceMail
Präsenzmanager
Instantmessaging
FaxEmail Gateway
PrintFax Gateway
Conferencing
Mehr Informationen finden Sie unter:
http://www.pascom.net
http://community.pascom.net
NEU
Kostenlose
Community
Version
erhältlich
pascom
Netzwerktechnik GmbH & Co. KG
Berger Straße 42
94469 Deggendorf
Tel.: +49 991 27006 - 0
AusgA be 05-2012
11

Login
news
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Neue Version 1.2.6 des Samba Traffic Analyzer
Mit Version 1.2.6 ist nach einem Jahr
Entwicklungszeit ein neues Release des
Samba Traffic Analyzer (SMBTA) erschienen.
Von Grund auf haben die Entwickler
um Holger Hetterich die Infrastruktur
zur Echtzeitanalyse
überarbeitet. Davon macht
eine Demo-Anwendung Gebrauch,
die in Echtzeit die Ergebnisse
der Traffic-Analyse
auf der Kommandozeile ausgibt.
Ein zweiter Monitoring-
Client ist in Qt geschrieben
und zeigt die gemessenen
Werte grafisch an.
Zur genaueren Analyse sammelt
der SMBTA die mitgeschnittenen
Daten in einer
Datenbank. Hierbei vermerkt
die neue Version nun mehr Details wie
Benutzernamen, Dateinamen und IP-Adressen.
Testweise ist hierbei jetzt auch die
Speicherung in einer Sqlite3-Datenbank
Der Samba Traffic Analyzer hilft Performance-Engpässe in Samba-Netzen
aufspüren. (Quelle: SMBTA-Wiki)
möglich. Dafür suchen die Entwickler
noch Tester.
Der Samba Traffic Analyzer sucht künftig
selbst online nach einer neueren Software-Version.
Administratoren
können ein Feature nutzen,
das die Konfigurationsdaten
anderer SMBTA-Instanzen
ausliest. Auch das Webinterface
WebSMBTA bietet einige
Neuerungen, etwa das User-
Management und die Suche in
den gespeicherten Protokolldaten
betreffend. Die Dokumentation
wird nicht länger
mit der Software ausgeliefert,
sondern künftig im SMBTA-
Wiki [https://​wiki.​samba.​org/​
​index.​php/​SMBTA] gepflegt.
FreeBSD nun mit Hyper-V virtualisierbar
Microsofts Hypervisor Hyper-V ist nun in der Lage, auch Gäste
mit FreeBSD-8.2.-Betriebssystem aufzunehmen. Das Ganze
funktioniert zunächst in einer Beta-Version, die von [http://
freebsdonhyper-v.github.com] heruntergeladen werden kann. Die
nötigen FreeBSD-Treiber, die der Download enthält, sollten
vorerst nur für die Evaluierung verwendet werden. Es ist aber
geplant, in Kürze ISO-Images der letzten FreeBSD-Versionen
mit vorinstallierten Treibern zu veröffentlichen. Außerdem soll
künftig auch FreeBSD 9.0 von Windows Server 2012 unterstützt
werden. Das Projekt geht auf eine Vereinbarung zur Zusammenarbeit
zwischen Microsoft, Insight Global, Citrix und NetApp
zurück, die auf der BSDCon 2012 im Mai vorgestellt wurde.
Packetfence 3.5.0 überarbeitet
Packetfence, eine Open-Source-Lösung für Network Access
Control (NAC), ist in Version 3.5.0 erhältlich. Das neue Packetfence-Release
arbeitet mit dem Switch Cisco Catalyst 3560G
zusammen und verbessert die Unterstützung für die Netgear-
Reihe GS110 sowie Cisco Aironet. Ebenfalls neu ist der Support
für das Intrusion Detection System (IDS) Suricata sowie ein
Remediation-Modul für Sourcefire 3D. Zudem lässt sich nun
jeder SSID ein eigenes Captive Portal zuordnen, an dem sich
die Anwender für den Netzwerkzugriff anmelden müssen. Ein
neuer webbasierter Installer erleichtert Installation und Konfiguration
von Packetfence.
Packetfence ist unter GPLv2 lizenziert. Die neue Version 3.5.0
steht im Quelltext sowie in Paketen für Red Hat Enterprise
Linux, Centos sowie Debian 6.0 zum Download bereit. Der
Hauptsponsor, die kanadische Firma Inverse, bietet kommerziellen
Support an.
HP siegt über Oracle
In einem Rechtstreit vor dem Superior Court des US-Staates
Kalifornien hat HP jetzt erstritten, dass Oracle weiter HP-Server
mit Itanium-Prozessoren unterstützen muss. Das Gericht urteilte,
Oracle müsse alle Software einschließlich neuer Versionen
und Updates, die zum Zeitpunkt des Vertragsschlusses am 20.
September 2010 für die HP-Server der Itanium-Familie verfügbar
war, weiter ohne zusätzliche Kosten auf diese Plattform portieren
und dort so lange anbieten, bis HP die Produktion dieser
Server eines Tages einstellt.
HP ist der größte Anbieter von Servern mit diesen Prozessoren.
Oracle hatte die Unterstützung für Itanium-CPUs abgekündigt
und argumentiert, Intel wolle diese Produktlinie ohnehin einstellen.
HP berief sich auf vertragliche Vereinbarungen und
setzte sich damit jetzt durch.
KVM-Support für Debian und Ubuntu
Fujitsu bietet seit August Support für die Debian/ Ubuntu Fujitsu
Server Edition (FSE) der Firma Bytec. Software-Agenten, die Fujitsu
sonst nur für Suse Enterprise Linux und Red Hat Enterprise
Linux sowie VMware bereitstellt, sind somit auch für Debian/
Ubuntu FSE verfügbar. Unterstützt sind derzeit Debian Squeeze
und Ubuntu 10.04 LTS, die Unterstützung von Ubuntu 12.04 LTS
soll in den kommenden Wochen folgen.
Künftig werden jährlich zehn neu von Fujitsu produzierte Server-System
durch Bytec zertifiziert, für die dann der entsprechende
Support bereitsteht. Seit August leistet Bytec im Auftrag
von Fujitsu auch Support für virtualisierte Systeme, die auf dem
Linux-Hypervisor KVM basieren, die damit bei geschäftskritischen
Anwendungen in Konkurrenz etwa zu VMware-Systemen
treten sollen.
12 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

news
Login
n immer auf http://www.admin-magazin.de ++++ neueste Nachrichten immer auf http://www.
Nokia verkauft Qt an Digia
Wie das finnische Software- und Systemhaus Digia bekannt
gibt, übernimmt es von Nokia das komplette Geschäft mit dem
GUI-Framework Qt. Damit ist Digia künftig dafür verantwortlich,
Qt unter Open Source wie auch der kommerziellen Lizenz
weiterzuentwickeln. Auf dem Programm steht nun laut Digia
die Portierung von Qt auf Android, iPhone/ iPad und Windows
8. Digia hatte bereits 2011 das kommerzielle Lizenzgeschäft
mit Qt von Nokia übernommen und weitet sein Engagement
mit der kompletten Übernahme auf den Open-Source-Bereich
aus. „Maximal“ 125 Qt-Entwickler in Oslo und Berlin werden
künftig für Digia arbeiten.
Spam ist kein gutes Geschäft
Eine im Journal of Economic Perspectives veröffentlichte Studie
kommt zu dem Schluss, dass Spam weltweit jährlich über
16 Milliarden Euro Schaden verursacht, den Spammern aber
nur 160 Millionen Euro einbringt. Die Studie, die online unter
[http://​aeaweb.​org/​articles.​php?​doi=10.​1257/​jep.​26.​3.​87] verfügbar ist,
konstatiert, dass 88 Prozent aller weltweit verschickten Mails
als Spam zu klassifizieren seien. Dabei sei das Verhältnis von
Kosten zu Nutzen rund 100:1 – einem hohen gesellschaftlichen
Schaden steht also ein marginaler Nutzen für den Spammer
gegenüber. Da aber die Kosten für den Spamversand so niedrig
sind – eine Million Mails lassen sich für 20 bis 50 US-Dollar
versenden – rechnet es sich für kriminelle Spammer bereits,
wenn nur ein Empfänger unter 25 000 zum Beispiel auf eine
Phishing-Mail hereinfällt.
Damit bleibt Spam ein zumindest geringfügig profitables Geschäft,
obwohl dank guter Filter nur 1,2 Prozent aller versendeten
Spam-Mails tatsächlich bei den Benutzern landen und Spam
so nur eine Conversion Rate von 0,00006 bis 0,0001 Prozent
erreicht. Die Forscher plädieren dafür, ergänzend zu Anti-Spam-
Maßnahmen die Betriebskosten der Spammer zu erhöhen, ob
durch gesetzliche Abgaben beim Mailversand oder mit der
Spam-the-Spammers-Technik. Schon leichte Kostensteigerungen
würden viele Kampagnen unwirtschaftlich werden lassen.
ClearOS 6.3 integriert Zarafa-Groupware
In der neuen Version 6.3.9 bringt die Linux-Distribution ClearOS
einige neue Mail-Komponenten mit. Dazu kommt die sogenannte
Zarafa Collaboration Platform, die neben E-Mail-Funktionen
auch LDAP-Directory-Synchronisierung und Kalenderfunktionen
bietet. Zarafa lässt sich als Third-Party-Anwendung in
die Professional-Edition von ClearOS integrieren und kostet
pro Jahr und User 29 US-Dollar. Als neue Anwendung gibt es
dort auch Antimalware Premium von Kaspersky, das Mails und
Webtraffic nach Malware durchsuchen kann. Pro Jahr und 50
Anwendern kostet dieser Dienst 150 US-Dollar.
Von ClearOS, das auf dem Code von Red Hat Enterprise Linux
basiert, gibt es neben der Professional Edition auch eine kostenlose
Community-Variante, deren Anwender aber auf das Einbinden
der obigen Zusatzprogramme verzichten müssen. ClearOS
Professional gibt es mit Support ab 80 US-Dollar im Jahr. Dafür
bekommt der Anwender einen Linux-Server, der sich über ein
grafisches Frontend bedienen lässt und sich als Datei-, Druck-,
Mail-, Datenbankserver und so weiter einsetzen lässt. Auch
Security- und Netzwerk-Features wie eine Application Level
Firewall, DNS, RADIUS, Multi-WAN-Anbindung, PPTP und VPN
sind vorhanden. Ein Artikel Small-Business-Server mit Linux, in
dem es auch um ClearOS geht, ist auf S. 100 zu finden.
Migrationshilfe von MS SQL zu MySQL
Oracle bietet jetzt eine Reihe neuer Tools in seinem Windows-
Release 5.5.25a, darunter eine Migrationshilfe für Nutzer von
Microsofts SQL Server. Der neue Installer, den es nur in einer
Windows-Version gibt, integriert in die MySQL-Workbench
ein Werkzeug, das den Umstieg erleichtern soll. Die MySQL-
Workbench ist das visuelle Administrations- und Design-Tool
für MySQL. Mit der Migration sollen sich laut Oracle bis zu 90
Prozent der Total Cost of Ownership sparen lassen. Daneben
enthält das Release auch eine verbesserte Integration von My-
SQL in MS Excel, eine verbesserte Installationsroutine und ausgebaute
Monitoringmöglichkeiten. Das alles aber ausdrücklich
nur für die Windows-Welt.
DEUTSCHE PYTHON KONFERENZ
EINE PROGRAMMIERSPRACHE VERÄNDERT DIE WELT
Sechs Tage Python mit Vorträgen, Tutorials und Sprints – http://pycon.de
PyCon DE
29.10. – 3.11.12
Leipzig
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
13

1&1 CLOUD SERVER
DAS DEDICATED-GEFÜHL – MIT MAXIMALER FLEXIBILITÄT.
Ihre Anforderungen ändern sich immer wieder, manchmal auch unvorhergesehen? Dann sollten
Sie sich für einen Dynamic Cloud Server von 1&1 entscheiden. Denn bei 1&1 sind Sie immer
auf der sicheren Seite: Mit über 11 Mio. Kundenverträgen, 2 Milliarden € Jahresumsatz,
5.000 Mitarbeitern und 5 Hochleistungs-Rechenzentren in Deutschland, Europa und den
USA ist 1&1 einer der größten Webhoster weltweit. Und mit 20 Jahren Server-Erfahrung
und 1.500 Developern sind wir auch in Zukunft Ihr zuverlässiger Partner. Darum nutzen
Sie bei 1&1 viele Vorteile, die Ihnen so kein anderer Hoster bietet.
VOLLER ROOT-ZUGRIFF
Komfort und Funktionsumfang eines Root Servers, mit dedizierten Ressourcen.
HÖCHSTE FLEXIBILITÄT
■ CPU, RAM und Festplattenspeicher unabhängig voneinander zubuchbar.
Aktion: Dauerhaft 50% günstiger – pro Stunde und Einheit 0,005 € statt 0,01 €.
■ Per Mausklick ausbaufähig bis hin zum eigenen Rechenzentrum mit maximal
99 virtuellen Maschinen – ohne Migration!
■ Absolute Kostentransparenz durch stundengenaue, leistungsbezogene Abrechnung.
UNLIMITED TRAFFIC
100 Mbit/s Bandbreite. Ohne Zusatzkosten, ohne Drosselung.
PARALLELS ® PLESK PANEL 11
■ neueste Version des besten Verwaltungstools für Ihren Server
■ inklusive unlimited Domains
AUSFALLSICHER
Redundant gespiegelte Speicher- und Recheneinheiten schützen
Ihren Cloud-Server automatisch vor Ausfällen.
DOMAINS | E-MAIL | WEBHOSTING | E-SHOPS | SERVER
* 1&1 Dynamic Cloud Server dauerhaft 19,99 €/Monat statt bisher 39,99 €/Monat in der Basiskonfi guration. Performance Features dauerhaft für 0,005 €/Stunde und Einheit statt bisher
0,01€/Stunde und Einheit zubuchbar. Einrichtungsgebühr von 39,– € entfällt.

DAUERHAFT
50 % AUF IHRE
GESAMTE KONFIGURATION
1&1 DYNAMIC CLOUD SERVER
Perfekt als Application-, Datenbank-, Hostingoder
Game-Server – oder für alles zusammen.
■ Basiskonfiguration: 1 CPU, 1 GB RAM,
100 GB Festplatte
■ Unlimited Traffic mit 100 Mbit/s Bandbreite
■ Citrix Xen Server basierend auf AMD Multicore-
Architektur (AMD Opteron 6272)
■ Freie Wahl aus CentOS, Debian, Ubuntu,
openSUSE oder Windows (optional)
■ Nur bei 1&1: Optional SUSE
Linux Enterprise Server
■ Nur bei 1&1: Server-Management und
-Monitoring per Mobile App
■ 24/7 Service und Support durch
1&1 Server Expertenteam.
■ Keine Einrichtungsgebühr
nur19, 99
€/Monat*
39,
99
0 26 02 / 96 91
0800 / 100 668
www.1und1.info

Login
gebrauchtsoftware
© jorisvo, 123RF
Was eine Entscheidung des EuGH für den Lizenzhandel bedeutet
Gebraucht gekauft
was ist mit software-Lizenzen, die man einmal bezahlt hat, nun aber nicht mehr oder nur noch teilweise nutzt?
darf man das tote Kapital in Cash verwandeln? der europäische gerichtshof hat mit einem neuen urteil endlich
für Rechtsklarheit gesorgt. Vilma niclas
Bücher und Laptops darf man ohne Probleme
weiterverkaufen. Wie sieht es aber
mit Software aus, die man nicht mehr benötigt?
Bisher galt: Software, die man auf
einem Datenträger, wie CD oder DVD mit
einer unbefristeten Lizenz erworben hat,
konnte man unproblematisch weiterverkaufen.
Anders Software, die im Internet
heruntergeladen wurde. Hier war bislang
der Weiterverkauf umstritten.
Den Weiterverkauf von Datenträgern
erlaubt der sogenannte Erschöpfungsgrundsatz,
demzufolge sich das Verbreitungsrecht
des Urhebers an der Kopie
beim ersten Verkauf verbraucht. Danach
kann der Kunde – wie bei anderen gebrauchten
Sachen auch – alleine entscheiden,
ob und wie er diese weiterverkaufen
möchte. Dies soll sicherstellen,
dass die Ware frei zirkulieren kann. Doch
der Grundsatz spricht explizit und im
Juristendeutsch nur von einem „Vervielfältigungsstück“.
Die Softwareindustrie
argumentierte bislang, dieser Begriff
schließe keine Downloads ein.
Verbraucherschützer sehen es hingegen
als ein Recht des Nutzers an, auch
Softwaredownloads weiterverkaufen zu
können, da immer mehr Kunden Software
per Download und nicht auf DVD
erwerben. Sie sind der Ansicht, die Interessenlage
ist für Verbraucher identisch,
egal, wie die Software nun zum Kunden
gelangt. Er hat dafür einmal gezahlt und
möchte sie nun weiterveräußern. Zudem
gibt es immer weniger Software auf Datenträgern,
und das Argument der Industrie
würde bedeuten: Digital eingekaufte
Güter wären prinzipiell nicht mehr weiterverkäuflich.
Second-Hand-Downloads
Dabei versteht sich, dass nach dem
Weiterverkauf keine Kopie der Software
zurückbehalten werden darf. Die Sicherungskopie
ist mit zu verkaufen. Hier
liegt neben Umsatzeinbußen die Sorge
der Softwareindustrie: Angst vor Raubkopien.
Das Angebot gebrauchter Software
senkt die Preise für Software am Markt,
und dies ist den Softwareherstellern nicht
lieb. Nun entschied der Europäische Gerichtshof
über die Frage, ob per Download
vertriebene Software weiterverkauft
werden darf mit einem überraschenden
Urteil.
Es ging um folgenden Fall: Ein Kunde
lud dabei von einer Internetseite Oracles
Software auf seinen Computer. Das per
Lizenzvertrag gewährte Nutzungsrecht
am Programm erlaubte, die Kopie dieses
Programms dauerhaft auf einem Server
zu speichern und bis zu 25 Nutzern darauf
Zugriff zu gewähren. Im Lizenzvertrag
steht: Der Kunde erwirbt ausschließlich
für seine internen Geschäftszwecke
ein unbefristetes und nicht abtretbares
Nutzungsrecht. Aufgrund des Software-
Pflegevertrages kann der Kunde aktualisierte
Versionen der Software (Updates)
und Programme zur Fehlerbehebung
(Patches) von der Internetseite Oracles
herunterladen. Die so als Volumenlizenz
im Paket erworbene Software ist oft
günstiger als der Erwerb einer einzigen
Lizenz.
UsedSoft ist ein deutsches Unternehmen,
das mit Lizenzen handelt, die es
Oracle-Kunden abgekauft hat. Wer bei
ihm Kunde wird, lädt sich etwa nach dem
16 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Kauf einer gebrauchten Oracle-Lizenz
die fragliche Software unmittelbar von
einer Oracle-Internetseite herunter. Wer
bereits über das Programm verfügt, kann
Lizenzen für zusätzliche Nutzer hinzuerwerben.
Oracle vs. UsedSoft
Oracle verklagte UsedSoft vor den deutschen
Gerichten, um diese Praxis zu
untersagen. Der Bundesgerichtshof, der
letztinstanzlich über diesen Rechtsstreit
zu entscheiden hat, befragte den Europäischen
Gerichtshof, ob diese Praxis
konform mit der Europäischen Richtlinie
über den Rechtsschutz von Computerprogrammen
sei. Oracle meint, der in
der Richtlinie vorgesehene Erschöpfungsgrundsatz
sei nicht auf Nutzungslizenzen
für aus dem Internet heruntergeladene
Computerprogramme anwendbar. Diese
seien nicht verkäuflich.
Die Kernfrage war also: Ist der Erschöpfungsgrundsatz
auf digital erworbene Programmkopien
anwendbar? Der Europäische
Gerichtshof entschied mit einem Pro
und einem Contra – jedoch zum Nutzen
vieler kleiner mittelständischer Unternehmen
und Verbraucher: Der Grundsatz der
Erschöpfung des Verbreitungsrechts gelte
nicht nur, wenn der Urheber die Kopie
seiner Software auf einem Datenträger
(CD-ROM oder DVD) vermarkte, sondern
auch, wenn er sie durch Herunterladen
von seiner Internetseite verbreite. Auch
beim Download werde das Eigentum an
dieser Kopie übertragen. Somit könne der
Rechteinhaber es nicht untersagen, die
Kopie weiterzuverkaufen.
Nicht zu verbieten
Es handle sich um eine Vervielfältigung,
die für eine bestimmungsgemäße Benutzung
des Computerprogramms durch
den rechtmäßigen Erwerber notwendig
sei. Dies gestatte die Richtlinie. Solche
Vervielfältigungen dürften nicht im Lizenzvertrag
untersagt werden. Jeder spätere
Erwerber einer Software könne die
ihm vom Ersterwerber verkaufte Kopie
auf seinen Computer herunterladen. Der
EuGH meint: Wäre es nur erlaubt Programmkopien
weiterzuverkaufen, die auf
einem Datenträger verkauft worden sind,
beschränke dies den Kunden zu sehr.
www.A dmin-mAgA zin.de
Der Urheber könnte den Weiterverkauf
von Kopien, die aus dem Internet heruntergeladen
worden sind, kontrollieren
und bei jedem Weiterverkauf erneut ein
Entgelt verlangen, obwohl er schon beim
Erstverkauf der betreffenden Kopie eine
angemessene Vergütung erzielen konnte.
Eine solche Einschränkung sei zur Wahrung
des fraglichen geistigen Eigentums
nicht erforderlich.
Der Gerichtshof geht weiter: Selbst wenn
mit einem Zusatzvertrag ständig Updates
der Software erworben werden, so ist
der Erschöpfungsgrundsatz auch darauf
anwendbar. Selbst wenn der Wartungsvertrag
befristet ist, sind die aufgrund
eines solchen Vertrags verbesserten,
veränderten oder ergänzten Funktionen
Bestandteil der ursprünglich heruntergeladenen
Kopie, und der Kunde kann diese
ohne zeitliche Begrenzung nutzen. Für
den Verbraucher, der in der Regel nur
eine einzige Lizenz kaufen oder weiterverkaufen
wird, soweit eine sehr positive
Entscheidung.
Doch der Gerichtshof schiebt dem Gebrauchtsoftwaremarkt
dennoch einen
großen Stein in den Weg: Die Richter
weisen darauf hin, dass der Ersterwerber
zwar zum Verkauf berechtigt sei, aber
nicht dazu, die Lizenz aufzuspalten und
nur einzelne Teile daraus weiterzuverkaufen,
falls er nicht mehr alle Lizenzen
der Volumenlizenz benötige. Günstig im
Paket erworbene Lizenzen, die aus dem
Internet heruntergeladen werden, dürfen
also nicht zu einem sehr günstigen
Preis einzeln weiterverkauft werden. Dies
war aber einer der Hauptmärkte der Gebrauchtsoftwarehändler.
Ein klarer Sieg
also auch der Softwareindustrie.
Konsequenzen
Es ist ab sofort erlaubt, sowohl Software
auf Datenträgern als auch Software, die
aus dem Internet heruntergeladen worden
ist (unbefristete Lizenz) weiterzuverkaufen.
Verboten ist es, je nach Lizenzmodell
des Herstellers, Volumenlizenzen
aufzuspalten. Hier sollte man vorher den
Softwarehersteller um Erlaubnis bitten.
Es kommt auf das konkrete Lizenzmodell
an. Wie bei Geräten oder Büchern auch,
darf man sogar gebraucht erworbene
Software wiederum verkaufen. Dies gestattet
auch der Erschöpfungsgrundsatz.
Schneller
ist besser
Hosting im Failovercluster:
Hochsicherheits-Datacenter
in Frankfurt/Main
DE-CIX Direktanbindung
ISO 9001 zertifiziertes
Managed Hosting
24/7 Service und Support
Immer einen Schritt voraus
Wir bieten Hostinglösungen vom
Server bis zum Clustersystem inkl.
Beratung, Planung und Service 24/7.
hostserver.de/server
Managed Hosting
zertifiziert nach
ISO 9001 : 2008
0 30 / 420 200 24 hostserver.de
Berlin Marburg Frankfurt am Main
AusgA be 05-2012 17

Login
gebrauchtsoftware
Das Programm ist nach dem ersten Verkauf
frei handelbar.
Man sollte aber damit rechnen, dass die
Softwareindustrie weiterhin versuchen
wird, den Gebrauchtsoftwaremarkt zu
erschweren. Ein Beispiel wie dies im
Verbrauchermarkt bereits jetzt gelingt,
zeigt der Fall Valve. Das Unternehmen
koppelt seine Computerspiele auf DVD an
einen personalisierten Internet-Account,
der nicht übertragbar ist. So lässt sich
zwar die DVD weiterverkaufen, doch
dem Zweiterwerber nützt sie nichts. Verbraucherschützer
sind vergeblich dagegen
vorgegangen. Der Bundesgerichtshof
erteilte dieser Praxis grünes Licht, da
diese den Erschöpfungsgrundsatz nicht
verletzte.
Auch andere Anbieter, die digital Software
vertreiben, unterbinden den Weiterverkauf
technisch. So sind nicht alle
Apps weiterverkäuflich. Da diese aber
nichts anderes als kleine Softwareprogramme
sind, gilt auch für diese theoretisch
das Urteil des EuGH.
Stolpersteine
Worauf sollte man achten beim Kauf
gebrauchter Lizenzen? Kann man ohne
Bedenken gebrauchte Software kaufen?
Erlaubt ist es, ein Computerspiel oder
ein Office-Paket auf DVD weiterzuverkaufen
oder zu verschenken. Klauseln
in AGB, die dies verbieten oder von der
Zustimmung des Herstellers abhängig
machen, sind unwirksam. Sie schränken
den Erwerber unzulässig ein. Nur bei
sehr teurer Software dürfen Hersteller die
Verkauf
Checkliste gebrauchtsoftwarehandel
n Liegen für alle zu verkaufenden Lizenzen
Datenträger, Handbuch, Verpackung, Lizenzurkunde,
Lizenzvertrag und Lizenzschlüssel/
Seriennummer vor und der Originalkaufbeleg?
n Ist der Supportvertrag, sofern dieser kostenpflichtig
ist, rechtzeitig gekündigt? Kann
man ihn an den neuen Käufer übertragen?
Dies sollte man klären, um Ärger mit dem
Käufer zu vermeiden.
n Verkaufen sollte man den Original­Datenträger,
nicht nur die Recovery CD oder Sicherungskopie.
Außerdem darf man beim Verkauf
keine Kopien zurückbehalten. Es ist eine
komplette Deinstallation erforderlich. Sofern
Kunden vertraglich verpflichten, vor der
Weitergabe der Software den Hersteller
zu informieren. Testversionen und andere
nicht zum Weiterverkauf überlassene
Software darf weder verkauft noch
überlassen werden. Handelt es sich bei
der Software um ein Upgrade, müssen
alle Vorversionen der Software, auf die
sich das Update bezieht, weitergegeben
werden. Kopien zurückzubehalten ist
eine Urheberrechtsverletzung.
Weiter stellt sich die Frage: Kann man
darauf setzen, dass der Hersteller nicht
etwa den Support verweigert, weil ihm
der Verkauf der Software nicht passt?.
Hier sollte man vor dem Kauf auf Nummer
sicher gehen und den Hersteller fragen,
ob der Support gewährleistet ist.
Rein juristisch gilt: Enthält der Lizenzvertrag
den unbefristeten Support, können
Sie den Support weiterhin beanspruchen,
wenn der Supportvertrag neben
der Lizenz ordnungsgemäß übergeht. Ob
dies wiederum möglich ist, hängt vom
Supportvertrag ab, der ja nichts mit der
Lizenz an der Software zu tun hat.
Zertifikate dabei?
Achten sollte man zudem darauf, dass die
beigefügten Zertifikate echt sind. So hat
der Bundesgerichtshof entschieden, dass
Händler gebrauchter Microsoft-Software
keine Echtheitszertifikate für den Verkauf
von OEM-Versionen nutzen dürfen. Dies
verletze das Markenrecht von Microsoft.
Ein Händler hatte separat voneinander
gebrauchte Windows-Lizenzen und andererseits
gebrauchte Windows-OEM-
es Vorgängerversionen als Upgrade­Grundlage
gab, sind auch diese weiterzugeben.
n Man sollte das Restrisiko beim Verkauf minimieren,
indem man für den Weitervertrieb
gewerbliche Vermittler nutzt, deren Tagesgeschäft
der Verkauf von gebrauchten Lizenzen
ist.
Einkauf
n Seien Sie skeptisch, wenn Software allzu
günstig angeboten wird. Es könnte sich um
illegale Kopien handeln.
n Beim Einkauf überzähliger Volumenlizenzen
gilt: riskant. Hier werden Nutzungsrechte
aus einem Vertrag abgespalten, und nach
dem EuGH ist dies je nach Lizenzmodell und
Lizenzvertrag des Herstellers illegal. Nur
Echtheitszertifikate eingekauft. Die Käufer
erhielten gebrauchte echte Recovery-
CDs zusammen mit gebrauchten echten
Echtheitszertifikaten. Microsoft hatte
die vom Händler verkauften Pakete aus
Recovery-CD und OEM-Echtheitszertifikaten
nicht selbst in dieser Kombination
in den Handel gebracht. Durch die neue
Kombination verletze der Händler das
Markenrecht. Die Lizenzen müssen so
weiterverkauft werden, wie man sie erworben
hat.
Neben der Markenverletzung könnte aber
auch eine Urheberrechtsverletzung abgemahnt
werden. Dies kann auch Kunden
treffen, wenn diese keine Lizenz nachweisen
können. Schwarze Schafe gibt es
aber überall. Man sollte sich dadurch
nicht verunsichern lassen und etwa auf
einen nachvollziehbaren Preis am Markt
achten. Dieser ist oft ein Indiz, ob es sich
um legale Ware handelt oder nicht. Ist
dieser allzu niedrig, sollte man stutzig
werden.
Wer muss beweisen, dass das rechtmäßig
erworbene und auch nur einmal verkaufte
Lizenzen waren? Oder dass die Lizenzpakete
nicht geteilt wurden? Der Käufer
muss bei einer Nachprüfung – egal ob
gebrauchte oder neue Software – nachweisen,
dass er eine legale Lizenz besitzt.
Microsoft empfiehlt bei Einzelhandelsprodukten
die Verpackung, mitgelieferte
Komponenten, Rechnungskopie und den
Endnutzer-Lizenzvertrag (EULA) sorgfältig
aufzubewahren sowie den Datenträger.
Diese dienen als Nachweis, dass
man das lizenziertes Produkt rechtmäßig
erworben hat. Beim Weiterverkauf
mutige Kunden sollten von diesem Markt profitieren
und auf jeden Fall Rückstellungen für
Abmahnungen bilden. Am besten spricht man
vor dem Einkauf mit dem Softwarehaus und
vergewissert sich, dass der Softwarehersteller
einen Supportvertrag mit dem Zweitkäufer
schließt und Updates liefert oder sogar
mit dem Reseller der gebrauchten Lizenzen
kooperiert.
n Darauf achten, dass der Vermittler die Gewährleistung
nicht ausschließt. Am besten
verlangt man eine Freistellungserklärung
des Vermittlers und eine notarielle Erklärung
des Verkäufers, dass dieser die Software gelöscht
hat und eine legale Lizenz des Herstellers
weiterveräußert. Für Verhandlungen
lohnt ein Anwalt.
18 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

gebrauchtsoftware
Login
© duoduo, 123RF
Abbildung 1: Vielleicht handeln bald digitale Antiquariate gebrauchte Software ebenso selbstversändlich, wie
ihr analoges Pendant alte Bücher verkauft.
Weiterhin umstritten bleibt die Rechtslage,
ob man eine günstig erworbene
Studenten- oder Dozentenversion einer
Software weiterverkaufen darf. Man kann
mit dem Erschöpfungsgrundsatz für den
Weiterverkauf plädieren und sich auf den
Standpunkt stellen, der Lizenzvertrag
zwischen Verkäufer und Erstkäufer binde
den folgenden Erwerber nicht. Es gibt
aber andere juristische Ansichten, die
darauf verweisen, dass der Lizenzvertrag
es nur erlaubt, die Software mit bestimmten
Bezugsberechtigungen zu nutzen, die
man beim Kauf nachweisen musste, etwa
mit dem Studentenausweis.
Man sollte daher auf der Hut sein, bevor
man derartige Software öffentlich anbietet
und etwa bei eBay weiterverkauft. Es
könnte statt des erhofften Gewinns eine
teure Abmahnung folgen, gegen die man
sich zur Wehr setzen muss. Es kommt
unter anderem auf die Regelungen im
Lizenzvertrag an. Klar äußern sich die
Hersteller zu dieser Rechtsfrage darin
aber selten. Eine explizite Nachfrage bei
Microsoft bezüglich des Weiterverkaufs
einer Studentenversion, die in einer Box
auf einem Datenträger gekauft worden
war ergab:
„Die MSLT (Microsoft Software License
Terms) beinhalten alle Rechte und Grenzen,
der die Verwendung von Microsoft-
Software unterliegen. … Die Einzelhander
Software sollten diese Bestandteile
weitergegeben werden sowie alle Versionen
des Programms. Adobe möchte für
den Beweis, dass Nutzungsrechte eingeräumt
wurden, den Originaldatenträger
mit zugehöriger Seriennummer und die
Lizenzbestimmungen (EULA) sehen.
Echtheitszertifikate, Handbücher, Rechnungen
oder Kaufverträge können zusätzlich
herangezogen werden, sind aber
für sich allein nicht rausreichend.
Es darf nur das Original weitergegeben
werden. Hat man Zweifel, sollte man sich
beim Verkauf nochmal explizit zusichern
lassen, dass der Verkäufer im Fall einer
Abmahnung Rechtsverteidigungskosten
für Sie übernimmt.
Wenn man Software kauft und die Lizenz
nicht rechtmäßig, also etwa entgegen
dem Lizenzvertrag aufgespalten worden
ist, liegt ein Rechtsmangel vor. Dies hieße
der Verkäufer ist zur Gewährleistung verpflichtet.
Der Käufer kann vom Verkäufer
eine Originallizenz nachfordern oder vom
Kaufvertrag zurücktreten und den Kaufpreis
zurückfordern und/ oder Regress für
Kosten der Rechtsverteidigung verlangen
sowie gegebenenfalls Schadensersatz. In
derartigen Fällen handelt es sich zudem
um eine Urheberrechtsverletzung. Der
Softwarehersteller kann Inhaber von illegalen
Lizenzen abmahnen. In der Regel
werden Händler abgemahnt, nicht Käufer.
Ausgeschlossen ist dies aber nicht.
Schadensersatz, wie Lizenzgebühren
muss man nur dann an den Urheber zahlen,
wenn der Urheber dem Inhaber der
Kopie schuldhaftes Handeln nachweisen
kann. Der Käufer kann ihm entstandene
Kosten als Regress vom Verkäufer rückfordern
– zumindest theoretisch.
Schüler- und
Dozentenversionen
delslizenz gestattet die Installation und
Nutzung von Office Home and Student
auf drei Rechnern in einem Haushalt.
Grundsätzlich dürfen Sie das Office Paket
verkaufen.
Beim Verkauf Ihrer Originalsoftware gilt
es Folgendes zu beachten: Alle Produktbestandteile
müssen zusammen veräußert
werden (Datenträger, Echtheitszertifikat
und Installationsschlüssel). Wenn
Sie dem Käufer alle Lizenzunterlagen,
die Sie mal beim Kauf erworben haben
weitergegeben haben, kann dieser die
Office Version auf seinem Rechner wieder
installieren und aktivieren.“
Ungeklärt ist zudem die Frage, ob ein
ehemaliger Student die Software weiter
nutzen kann, etwa als Existenzgründer.
Digitale Antiquariate
Leider konnte der EuGH in dem ihm
vorgelegten Fall nicht über den Weiterverkauf
von anderen digitalen Werken
entscheiden, wie eBooks, digitale Musik
und Filme. Für diese Werke gilt eine
andere EU-Richtlinie. Das Urteil ist also
nicht ohne Weiteres übertragbar. Der
EuGH merkte aber an, dass er für diese
Produkte von einer ähnlichen Rechtsansicht
ausgehe, da auch für sie im Gesetz
der Erschöpfungsgrundsatz vorgesehen
sei (Abbildung 1). Man gehe davon aus,
dass diese Vorschrift ähnlich auszulegen
sei. Neben dem Softwaregebrauchtmarkt
könnte sich also ein Markt für gebrauchte
eBooks oder digitale Musik bald legal
etablieren. Das Urteil ist ein Meilenstein
und Hoffnungsschimmer. (jcb) n
Die Autorin
Die Autorin ist Rechtsanwältin und Fachjournalistin
für IT­Recht in Berlin. Sie veröffentlicht
seit 1997 in zahlreichen Medien zu Fragen des IT­
Rechtes. Darüber hinaus referiert sie regelmäßig,
etwa zu aktuellen Fragen des Internetrechtes,
gibt Workshops und unterrichtet darüber hinaus
als Lehrbeauftragte für IT­Recht an der Beuth
Hochschule für Technik, Berlin. Sie ist Mitglied
in der Deutschen Vereinigung für Gewerblichen
Rechtsschutz und Urheberrecht
e.V. (GRUR), der
Deutschen Gesellschaft für
Recht und Informatik e.V.
(DRGI) sowie im Deutschen
Fachjournalistenverband.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
19

Login
Admin-story
»setgid« sind jedoch außen vor. Logge
ich mich auf dem System ein, wird mein
Konto auf »staff_u« gemappt, damit erhalte
ich dann ebenfalls auch Zugriff auf
»sudo« und kann so den Rechner verwalten.
Dieses Setup läuft nun schon eine ganze
Zeit auf seinem Rechner, und es gab bisher
keine großen Probleme. Läuft ein
Programm mal nicht so wie es soll, dann
hilft der »setroubleshoot«-Daemon dabei,
das Problem einzukreisen und zu beheben.
Er hinterlässt eine Meldung in der
Logdatei »/var/log/messages« und gibt
dabei genaue Anweisungen, wie sich das
Problem lösen lässt. Auf Desktop-Systemen
gibt außerdem ein Applet Auskunft
darüber, wenn ein Zugriff durch SE Linux
blockiert wurde.
© Pavel Ignatov, 123RF
SE Linux in der Praxis
Schutzschild
das schutzschild se Linux lässt immer noch viele Admins zusammenzucken.
dabei ist der betrieb mittlerweile sehr umkompliziert und schafft
einen gewaltigen mehrwert in bezug auf die sicherheit des kompletten
systems. das Regelwerk den eigenen wünschen anzupassen, ist auch
keine große Kunst mehr. Thorsten scherf
Innerhalb meiner Firma hat es sich
irgendwie eingebürgert, neue Entwicklungen
immer zuerst an Familienmitgliedern
auszuprobieren, bevor diese auf die
Allgemeinheit losgelassen werden. Bei
einem Kollegen aus den USA ist es die
Listing 1: makefile
01 # make -f /usr/share/selinux/devel/Makefile
02 Compiling targeted xguest_irc module
03 /usr/bin/checkmodule: loading policy configuration
from tmp/xguest_irc.tmp
04 /usr/bin/checkmodule: policy configuration loaded
05 /usr/bin/checkmodule: writing binary representation
(version 10) to
06 tmp/xguest_irc.mod
07 Creating targeted xguest_irc.pp policy package
08 rm tmp/xguest_irc.mod.fc tmp/xguest_irc.mod
eigene Ehefrau, bei mir meistens der
Sohn, manchmal ist aber auch meine
Frau das Versuchskaninchen. Diese besitzt
allerdings auch einen Mac, sodass
neue Policies primär auf dem Rechner
meines Sohnes getestet werden. Sitzt
dieser an seinem Fedora-System, so sind
zumeist nur drei Applikationen geöffnet,
der Webbrowser, sein Lieblingsspiel
und ein IRC-Client, über den er sich mit
Freunden über das Spiel austauscht – das
behauptet er zumindest.
Auf dem Fedora-System läuft die SE Linux-Targeted-Policy,
und sein Account
wird auf den SE-Linux-Benutzer »user_u«
gemappt. Damit hat er Zugriff auf sämtliche
Netzwerkressourcen, »setuid« und
Schutz vor Malware
Auch im Wohnzimmer steht ein Familien-Notebook,
auf dem sich vor allem
meine Frau und mein Sohn anmelden
und auf dem meistens ein Webbrowser
und ein IRC-Client laufen. Sicher ist es
sinnvoll, die Accounts auf dem Familien-
Rechner noch weiter abzusichern, dachte
ich mir dann eines Tages, und stellte die
beiden User-Accounts von »user_u« auf
»xguest_u« um. Nun gestattet dieser SE-
Linux-User-Account den Zugriff auf das
Netzwerk jedoch nur über den Firefox-
Webbrowser, alle anderen Netzwerkzugriffe
werden unterbunden.
Somit wird also sämtlichem Ungeziefer,
das eventuell aus den Weiten des World
Wide Web den Weg auf den Familen-
Rechner gefunden hat, der Zugriff auf
das Netzwerk verboten. Es ist noch nicht
einmal möglich, dieses Ungeziefer aus
dem Download-Ordner zu starten (oder
sich selbst starten zu lassen). Dieses Verhalten
lässt sich jedoch über ein SE Linux
ändern. Schließlich soll auf dem Rechner
nicht nur gespielt, sondern von Zeit zu
Zeit auch mal gearbeitet werden. Über
eine Boolean-Variable lässt sich das jeweils
gewünschte Verhalten zur Laufzeit
einstellen:
# getsebool allow_xguest_exec_content
allow_xguest_exec_content --> off
Das Mapping auf den SE-Linux-Benutzer
»xguest_u« habe ich zuvor mittels
»semanage« eingestellt:
20 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Admin-story
Login
# semanage login -m -s xguest_u linus
# semanage login -l | grep linus
linus xguest_u s0
Damit kann sich mein Sohn wie zuvor
anmelden, bekommt nun aber den SE-
Linux-Benutzer »xguest« auf seinen eigenen
Account gemappt:
$ id -Z
xguest_u:xguest_r:xguest_t:s0
Ein Zugriff auf das Netzwerk ist nun nur
über den HTTP-Port 80 möglich, jeder
andere Zugriff wird unterbunden:
$ ping 8.8.4.4
ping: icmp open socket: Permission denied
$ nc -v aspmx.l.google.com 25
nc: connect to aspmx.l.google.com port 25 U
(tcp) failed: Permission denied
$ nc -v www.google.com 80
Connection to www.google.com 80 port [tcp/U
http] succeeded
Soweit so gut, allerdings klappt nun der
Zugriff auf den IRC-Server natürlich auch
nicht mehr. Versuche ich den IRC-Client
zu starten, erscheint folgende Fehlermeldung
im Log:
Aug 16 15:50:34 tscherf setroubleshoot: U
SELinux is preventing /usr/bin/xchat
from name_connect access on the tcp_socket .U
For complete SELinux messages run sealert -lU
482a1457-4fdc-4d8c-91d0-d5ddf4b23891
Um Diskussionen von Anfang an aus
dem Weg zu gehen, wollte ich dieses
Manko natürlich beheben und ein entsprechendes
SE-Linux-Policy-Modul
entwickeln, das den Zugriff auf einen
IRC-Server ermöglicht, auch wenn der
angemeldete Benutzer auf den SE-Linux-
Account »xguest_u« gemappt ist.
Eigene Regel
Rufe ich also wieder »sealert« auf, teilt
das Tool mir mit, dass der Zugriff auf
den IRC-Port 6667 unterbunden ist. Der
Aufruf von »audit2allow« bestätigt dies
und schlägt vor, das Standardregelwerk
um folgenden Eintrag zu erweitern:
durch das Anhängen der Option »-R« beim
Aufruf von »audit2allow«. Und tatsächlich:
Nun bekomme ich den Vorschlag,
das Interface »corenet_tcp_connect_ircd_
port« mit dem Argument »xguest_t« zu
verwenden. Hänge ich jetzt noch mittels
der Option »-M« einen Modulnamen an
das Tool an, so erzeugt es mir direkt ein
fertiges Policy-Modul, das ich zum Standardregelwerk
hinzufügen kann.
Quellcode inklusive
Glücklicherweise erzeugt das Tool nicht
nur das binäre Modul, sondern auch die
Sourcen dazu. Das nutze ich dazu, um
mir die Möglichkeit offenzuhalten, den
Zugriff auf den IRC-Port mittels eines Booleans
dynamisch aus- und einzuschalten.
Ich erweitere also die von »audit2allow«
erzeugte Type-Enforcement-Datei um die
entsprechenden Anweisungen für ein
Boolean. Ist das RPM-Paket »selinux-policy«
installiert, befindet sich auf dem
Fedora-System im Ordner »/usr/share/
selinux/devel« ein Makefile, mit dessen
Hilfe ich die Source-Dateien sehr einfach
in ein neues, binäres Policy-Modul wandeln
kann (Listing 1).
Anschließend lade ich das so erzeugte
Modul zum SE-Linux-Standardregelwerk
hinzu:
semodule -i xguest_irc.pp
Der folgende Befehl zeigt an, dass nun
eine entsprechende Regel auf dem System
bekannt ist:
$ sesearch -A -s xguest_t -t ircd_port_t
Found 1 semantic av rules:
allow xguest_t ircd_port_t : tcp_socketU
name_connect ;
Diese Policy läuft nun schon eine Zeitlang
auf dem Familien-Rechner, und bisher
hat sich noch niemand beschwert.
Der Zugriff auf das Web und die Kommunikation
mit den Kumpels über IRC
klappt weiterhin ohne Probleme. Sollte
jetzt irgendein Programm versuchen, sich
ungewollten Zugriff auf das Netzwerk zu
verschaffen, wird dies jetzt wirkungsvoll
verhindert. Dank der dynamisch gehaltenen
Policy bin ich nun sogar in der Lage,
den Zugriff auf die IRC-Server zu deaktivieren,
sollte die häusliche Situation dies
einmal erfordern:
setsebool xguest_use_irc off
Zum Schluss nun noch einmal der komplette
Aufruf von »audit2allow« mit dem
von mir manuell abgeänderten Policy-
Modul für den Zugriff auf einen IRC-
Server (Listing 2).
n
Listing 2: Policy-modul
01 # grep xchat /var/log/audit/audit.log | audit2allow
-R -M xguest_irc
02
03 policy_module(xguest_irc,1.0.0)
04
05 require {
06 type xguest_t;
07 }
08
09 ##
10 ## a
11 ## Allow xguest users to use IRC
12 ##
13 ##
14 gen_tunable(xguest_use_irc, true)
15
16 tunable_policy(`xguest_use_irc',`
17 corenet_tcp_connect_ircd_port(xguest_t)
18 '
# grep xchat /var/log/audit/audit.log | U
audit2allow
allow xguest_t ircd_port_t:tcp_socket name_U
connect;
Aus anderen Policy-Entwicklungen weiß
ich, dass für den Zugriff auf die meisten
Netzwerk-Ports ein Interface zur Verfügung
steht, ich überprüfe dies wieder
Der Autor
Thorsten Scherf arbeitet als Senior Consultant für
Red Hat EMEA. Er ist oft als
Vortragender auf Konferenzen
anzutreffen. Wenn neben
Arbeit und Familie noch
Zeit bleibt, nimmt er gerne
an Marathonläufen teil.
C13
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
21

n etzwerk
netzwerktester
© Kirill Cherezov, 123RF
Werkzeuge für die Fehlersuche im Netz
LAN unter
der Lupe
netzwerkfehler betreffen nicht selten viele Clients und sind entsprechend
dringlich. mit dem richtigen Handwerkszeug gestaltet sich die Fehlersuche
wesentlich einfacher. spezialisierte netzwerktester gehören dazu.
Jens-Christoph brendel
Die Zeit, die für aufwendiges Troubleshooting
draufgeht, fehlt meist woanders.
Deshalb sind Werkzeuge immer willkommen,
die eine effizientere Fehlersuche
erlauben. Sogenannte Netzwerktester
versprechen das beispielsweise im LAN.
Aber können sie die Zusicherung auch
halten? Wir haben uns zwei Vertreter dieser
Gattung angesehen.
LanXPLORER
Zu den grundlegenden Tests, die das
handliche kleine Gerät vom Hersteller
IDEAL Industries (Abbildung 1) beherrscht,
gehört eine Überprüfung der
Verkabelung. Im Setup lassen sich dafür
verschiedene Verdrahtungsschemata von
CAT5e UTP über CAT 7 STP bis etwa
zu Coax RJ59 einstellen. Ein Ende der
Kabelstrecke wird mit dem LanXPLORER
verbunden, an das andere kommt ein
spezielles Gegenstück. Nun lässt sich
nicht nur die Länge des Kabels ermitteln,
sondern es lassen sich auch unterbrochene
oder falsch verbundene Adern,
Kurzschlüsse oder übersprechende
Adernpaare detektieren (Abbildung 2).
Sinnvollerweise sollte ein solcher Check
allen anderen Prüfungen vorangehen. Ein
eingebauter Tongenerator in Verbindung
mit einem induktiven Empfänger ermöglicht
es zudem, das entfernte Ende einer
Kabel strecke aufzuspüren, wenn die
Zuordnung ansonsten unklar ist.
Aktive Tests
Anschließend ist der LanXPLORER bereit
für eine Reihe aktiver Netzwerktests.
Wo Power over Ethernet (PoE) verwendet
wird, ist diese Funktion überprüfbar.
Sodann kann der Tester eine beliebige
Gegenstelle (zehn Ziele sind voreinstellbar)
anpingen und dabei mögliche
Paketverluste und die Antwortverzögerung
protokollieren. Auch ein Traceroute
mit Laufzeitangaben zu jedem Hop ist
möglich. Daneben lassen sich alle Hosts,
Server und Drucker in einem Subnetz
zusammentragen. Das Resultat eines solchen
Portscans, der auch die wichtigsten
Dienste erkennt, kann in Form einer
sogenannten Netmap gesichert werden
(Abbildung 3). Bei späteren Testläufen
lässt sich deren Resultat mit einer zuvor
gespeicherten Map vergleichen, wobei
pro Kategorie hinzugekommene oder
zwischenzeitlich entfernte Geräte aufgeführt
werden.
Einige dieser Tests, nämlich Verdrahtungstest,
PoE Lasttest, Ping, Traceroute
und der Netmap-Vergleich oder eine
Auswahl davon, lassen sich zu einem
Autotest zusammenfassen und mit einem
Tastendruck starten. Allerdings ist die
Zusammenstellung dieses automatischen
Tests nicht völlig wahlfrei.
Auf Wunsch generiert der LanXPLORER
einfache Statistiken, etwa Top-Ten-Listen
für die verwendeten Netzwerkprotokolle,
häufigsten Fehler oder aktivsten
Sender. Daneben zeigt er die Parameter
des momentan verwendeten Links an
(Geschwindigkeit, Auto-Negotiation und
Duplex-Art).
Was alle Varianten des Gerätes gewöhnlichen
Twisted-Pair-Kabeln ablauschen
können, das vermögen die Modelle Plus
und Pro auch im WiFi-Netz oder mit einem
entsprechenden Interface in einer
LWL-Verkabelung. Nur das hier getestete
Pro-Modell lässt sich dank einer zweiten
22 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

netzwerktester
n etzwerk
Abbildung 1: Der handliche LanXPLORER wiegt
nur 650 g und gestattet überall das Testen der
Grundfunktionen eines lokalen Netzwerks.
Netzwerkschnittstelle außerdem in einen
Verbindungsweg einschleifen. In diesem
Inline-Modus beherrscht es zusätzlich
eine einfache VoIP-Statistik und eine
PC-Diagnose, die wiederum eine Protokollstatistik
beinhaltet, außerdem Pakete
zählt, und die via DHCP an das Endgerät
übermittelten Parameter erkennt.
Grenzen
Die Möglichkeiten funktionaler Tests
sind recht begrenzt, und auch Performanceprobleme
sind mit dem Tool nur
ansatzweise zu analysieren. Es können
in keinem Fall Pakete inspiziert oder mitgeschnitten
werden. Sieht man von der
rudimentären Ausgabe von DHCP-Parametern
ab, lassen sich Services generell
nicht funktional prüfen. Die Transfergeschwindigkeit
ist nur unter Zuhilfenahme
zusätzlicher Messgeräte erfassbar. Filter
beschränken sich auf einige fest vorgegebene
Auswahlmöglichkeiten.
Wenn man Netzwerkproblemen vertieft
auf den Grund gehen will, kommt man
mit einem Laptop und einem extra Kabeltester
weiter. Dieser Gerätemix ist aber
deutlich unhandlicher, schwerer, komplexer
in der Bedienung und weniger robust.
Dagegen vereint der LanXPLORER alle
grundlegenden Tests in einem Gerät, das
wenig mehr als ein halbes Kilo wiegt und
in eine Kitteltasche passt. Die Bedienung
ist dank Touch-Display sehr einfach und
intuitiv. Den häufigsten Problemen und
namentlich Hardwarefehlern (Verkabelung,
Interfaceausfälle, etc.) wird man
damit zuverlässig auf die Schliche kommen.
Schwergewicht Fluke
Der zweite Testkandidat, ein OneTouch
AT von Fluke Networks, präsentierte
sich schon beim Auspacken als Schwergewicht,
und das im wörtlichen wie übertragenen
Sinn: Mit einem deutlich größeren
farbigen Touchscreen (14,5 cm Diagonale,
480 x 640 Pixel) (Abbildung 4),
mit leise rauschendem Lüfter und einem
Kilo Elektronik mehr auf den Rippen,
der es zu danken ist, dass das Gerät das
Testarsenal seines Mitbewerbers qualitativ
wie quantitativ übertrifft. Allerdings
gilt das auch für den Preis: Während der
LanXPLORER ab 1200 und bis 2800 Euro
in der Vollausstattung kostet, muss man
für das OneTouch AT mindestens knapp
5000 Euro ausgeben, mit allem Drum
und Dran kann man aber auch das Doppelte
anlegen. Eine stolze Summe, bei der
sicher nicht nur Gelegenheitsnutzer ins
Rechnen kommen.
Die grundlegenden Tests erledigt das
OneTouch AT genauso spielend leicht wie
zuvor der LanXPLORER. Ein Test-Button
startet eine Reihe vorkonfigurierter Tests,
die sich auch hier von der Verbindung
zum nächsten Switch über das LAN und
dort angebotene Dienste bis zu Internetservices
hocharbeiten und in einer alle
Tests zusammenfassenden Wertung münden
(grüner oder roter Kopfbalken). Existiert
ein DHCP-Server, der nur Geräten
mit ihm bekannter MAC-Adresse eine IP-
Adresse gewährt, muss der Netzwerktester
dem DHCP-Server bekannt gemacht
werden, sonst ist nicht viel mehr als die
Verkabelung testbar. Alternativ lässt sich
die die MAC-Adresse des Testers auch
editieren. Der erste und grundlegende
Test ist eine Kabelprüfung auf richtige
Verdrahtung, Unterbrechungsfreiheit und
Übersprechen sowie PoE, sofern verwendet.
Mit einem speziellen Endstück gelingt
eine recht genaue Längenmessung.
Ein Auffinden des entfernten Kabelendes
mithilfe eines Tongenerators ist wie beim
LanXPLORER möglich, allerdings gehört
der Empfänger (Sonde) nicht zum Lieferumfang,
sondern muss als Zubehör
erworben werden. Hat man eine aktive
Gegenstelle, werden auch die angebotene
wie die ausgehandelte Linkrate und der
Duplex-Mode angezeigt. Beim nächstgelegenen
Switch erkennt der Tester Modell,
Abbildung 2: Das Kabel ist in Ordnung. Der Lanexplorer hat die Länge ermittelt
und die Verdrahtung überprüft.
Abbildung 3: Eine sogenannte Netmap in der Übersicht. Gespeicherte Ansichten
lassen sich mit aktuellen Befunden vergleichen.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
23

n etzwerk
netzwerktester
Abbildung 4: Der Netzwerktester OneTouch AT
von Fluke Networks. Das Gerät hat einen großen
Touchscreen und braucht einen Lüfter.
Abbildung 5: Eine Übersicht zu einem Wi-Fi
Access Point mit Angaben zur Signalstärke, SSID,
Verschlüsselung und so weiter.
Abbildung 6: Das Resultat des automatischen Tests:
Gecheckt wurden sowohl eine kabelgebundene
Verbindung wie ein WLAN. Der Ver-Fi-Test kam hinzu.
IP- und Mac-Adresse sowie Portnummer
der Verbindung, sofern der Switch SNMP
versteht und das möglicherweise erforderliche
Passwort (Community-String) in
der Konfiguration des Testers hinterlegt
wurde. Hier wie bei einem benachbarten
Gateway lassen sich prinzipiell auch Portstatistiken
abrufen, was aber ebenfalls
SNMP und eine passende Konfiguration
voraussetzt.
Tieferer Einblick
Im Unterschied zum zuvor getesteten
Gerät kann der Kandidat von Fluke Networks
nicht nur mit Ja oder Nein auf die
Frage nach der Funktionstüchtigkeit etwa
von DNS oder DHCP antworten, sondern
liefert außerdem Perfomancedaten und
Details wie die Antwortzeit oder den
Ablauftermin der DHCP-Informationen
mit. Beim Ping-Test wird die Zeit für das
DNS-Lookup gesondert ausgewiesen und
für die ICMP-Antworten erhält man Minimum,
Maximum und Durchschnittswerte
für die Geschwindigkeit. Zusätzlich
zum einfachen Ping-Test kann man eine
frei konfigurierbare Webseite abrufen
oder ein MByte Testdaten von oder zu
einem beliebigen FTP-Server transferieren.
Auch eine Google-Suchanfrage und
ein Mail-Abruf stehen als frei konfigurierbare
Tests bereit. Genauso lässt sich
der SYN/ ACK-Handshake mit einem beliebigen
Applikationsport checken. Ein
spezieller Veri-Fi-Test ermittelt darüber
hinaus Durchsatz, Datenverlust, Latenz
und Jitter zwischen kabelgestützten und
WLAN-Verbindungen.
WLAN inklusive
Auch für die WLAN-Verbindungen als
solche sind etliche Informationen abrufbar
(Abbildung 5), darunter die Auslastung
der Kanäle, Signalstärke und
Rauschen der Access Points, oder eine
Liste der eingebuchten Clients. Mithilfe
einer mitgelieferten, ansteckbaren Richtantenne
lassen sich sogar WLAN-Clients
oder Access Points orten.
Wie beim LanXPLORER können dem Autotest
weitere Komponenten hinzugefügt
werden (Abbildung 6), allerdings hat der
Admin hier mehr Freiheitsgrade: Neben
den schon genannten gibt es Tests für
verschiedene Protokolle einschließlich
RTSP (Video), IGMP (Multicast) oder
SMTP (E-Mail). Ähnlich wie beim zuvor
betrachteten Gerät gibt es auch hier eine
LAN-Ansicht, die Hosts, Server, Drucker
oder VoIP-Gegenstellen summiert. Leider
ist diese Ansicht nicht interaktiv, sodass
sich keine Detailinformationen zu den
erkannten Geräten abrufen lassen.
Das haben wohl etliche Anwender bemängelt,
denn nun plant der Hersteller
eine Erweiterung. Außerdem weist die
Übersicht „0 Switches“ aus, obwohl der
Home-Screen sehr wohl den nächstgelegenen
Switch kennt und en détail beschreibt.
Das, wie auch nicht erkannte
Drucker gehen auf das Konto einer unvollständigen
SMTP-Konfiguration. Allerdings
erkannte Konkurrent LanXPLORER
einen Printserver auch ohne SMTP.
Auch Flukes OneTouch AT kennt einen
Inline-Modus, in dem es sich in eine bestehende
Verbindung einschleifen lässt.
Im Unterschied zum LanXPLORER lassen
sich dabei auch Pakete mitschneiden.
Zum Auswerten muss man sie allerdings
doch wieder auf ein Speichermedium
transferieren und mit einschlägiger Software
auf einem PC betrachten.
Fazit
Ein hoher Preis muss hohe Erwartungen
wecken. Beim OneTouch AT wird sie
nicht jeder erfüllt sehen. Zwar kombiniert
das Gerät leichte Bedienbarkeit mit
einer Vielzahl zweckmäßiger Tests, ist
flexibel konfigurierbar, dabei noch gut
transportabel und kompakt. Es übertrifft
aber ein Gerät, das preiswerter ist, oder
auch die Lösung mit Laptop und freier
Netztester-Software (Wireshark, NMap,
Kismet oder ähnliche) nicht um so viel,
wie man mit einem Blick auf die Rechnung
vermuten sollte. So bleiben ihm
wohl vor allem solche Anwendungsfälle,
in denen die Kosten eine untergeordnete
Rolle spielen, und in denen die Admins
so oft und intensiv auf Fehlersuche im
Netz unterwegs sind, dass ein kleiner
Komfortgewinn bei ihnen einen sehr hohen
Stellenwert einnimmt. (jcb) n
24 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Linux-Magazin
ACADEMY
... wir qualifizieren Ihre Mitarbeiter!
IT Trainings Online
Linux und Open Source
Nutzen Sie die Vorteile
der Linux-Magazin Academy!
✓
✓
✓
✓
✓
Kompetent: Unsere Dozenten sind ausge wiesene
Profis mit lang jähriger Schulungserfahrung.
Flexibel: Der Schulungsteilnehmer lernt, wann,
wo und sooft er möchte.
Kosteneffizient: Nutzen Sie Einsparungen
gegenüber Vor-Ort-Schulungen.
Übersichtlich: Die komfortable Web- Oberfläche
zeigt gleich zeitig den Trainer und dessen
Arbeitsfläche
Individuell: Jeder Teilnehmer folgt seinem eigenen
Lerntempo.
Trainingspakete:
• LPIC-1-Training
LPIC-2-Training
IT-Sicherheit Grundlagentraining
• WordPress 3.0
www.lpi.org
OpenOffice – Arbeiten mit Vorlagen
Was Teilnehmer über die
Linux-Magazin Academy sagen:
„Mit den Videos haben Sie ins Schwarze
getroffen. Es gibt nichts Vergleichbares.“
„Eine hervorragende Anleitung zum
praktischen Arbeiten.“
Testen Sie unsere Demovideos:
academy.linux-magazin.de/demo
Präsentiert von:
www.linux-magazin.de
www.linuxhotel.de
Weitere Infos: academy.linux-magazin.de

n etzwerK
Autodiscovery
© Scott Rothstein, 123RF
Wie eine automatische Diensteerkennung gelingt
Schatzsuche
mangelt es an information über die eigene infrastruktur, sind Fehlinvestitionen
und andere schwierigkeiten die Folge. die automatische erkennung
aller Hosts und dienste ist dabei scheinbar der Königsweg – aber bewährt
sie sich auch in der Praxis? bernd erk
Das Stichwort Autodiscovery klingt vielversprechend
und die Erwartungen sind
hoch: Auf Knopfdruck soll sich ein Rechner
im Netz alles Nötige zusammensuchen
und daraus die Konfiguration des
Monitoringsystems basteln. Das muss
anschließend im Falle eines Falles nur
noch alarmieren. Dieses Szenario taugt
allerdings bestenfalls für ein optimistisches
Vertriebsversprechen. Die Praxis
sieht anders aus.
Nagios und Icinga haben beide keinen
Autodiscovery-Prozess. Wer so etwas
dennoch haben will, der kann sich vieler
nützlicher Tools bedienen, die diese
Funktion nachbilden. Wie das geht, das
beschreibt dieser Beitrag.
Auch wenn häufig keine Configuration
Management Database (CMDB) oder
ähnliche Werkzeuge zur Verwaltung der
Configuration Items vorhanden sind, stehen
doch andere Informationsquellen zur
Verfügung. Das können Listen von Serverhardware,
DHCP- und DNS-Einträge
oder auch Bestandsinformationen aus einem
Active Directory sein. Häufig verwalten
auch Tools der Hersteller bestimmte
Hardware. Diese Informationen lassen
sich oft leicht exportieren. So kann man
die Daten von Cisco Works beispielsweise
via CLI-Tool exportieren oder auch direkt
auf die darunter liegende Datenbank via
JDBC zugreifen.
Die Konfiguration von Nagios beziehungsweise
Icinga lässt sich von Haus aus in
verschiedene Dateien und Unterordner
aufteilen. So lassen sich beispielsweise
in einem Verzeichnis manuell gepflegte
Konfigurationsdateien speichern, ein anderes
kann generierte Konfigurationen
aufnehmen. Gerade hier sind Konfigurationsdateien
ein sehr flexibles Mittel.
Automatische Überwachung
Gibt es noch gar keine oder nur unzureichende
Informationen über die zu überwachende
Umgebung, ist ein Autodiscovery
der Infrastruktur ein gängiger Weg
für eine erste Bestandsaufnahme. Nahezu
alle Autodiscovery-Werkzeuge arbeiten
nach dem gleichen Muster: Der Admin
gibt einen IP-Bereich vor, dessen Adressen
dann gescannt werden, um offene
Ports zu finden und so die dort laufenden
Dienste zu identifizieren. Gerade im
Netz- und Hardwarebereich liefern darüber
hinaus SNMP-Abfragen oft detailreiche
Informationen über Komponenten
und deren Zustand.
NMap einsetzen
NMap [1] steht für Network Mapper und
ist das Tool der Wahl für das Scannen von
Netzbereichen. Neben reinen Portscans
versucht es mit OS-Fingerprinting auch
die entsprechende Betriebssystemplattform
zu identifizieren. Einen simplen
Portscan auf ein Beispielsystem bewerkstelligt
der folgende Befehl: »nmap -v -A
www.haribo.de«.
Die gekürzte Ausgabe dieses Befehls
zeigt Listing 1. Zu sehen sind die offenen
Standardports wie FTP, SSH, HTTP
und MySQL. Eines der leistungsfähigsten
Merkmale von NMap ist die NMap Scripting
Engine (NSE) [2]. Sie ermöglicht
die Basisfunktionen von NMap mit kleinen
Lua-Snippets zu erweitern, um mehr
Details über bestimmte Dienste herauszufinden.
Für eine Vielzahl von Applikationen
und Protokollen gibt es bereits
in Kategorien unterteilte fertige Skripte
im Online-Archiv von NMap [3]. So ist
für den Alltagsgebrauch schon alles an
Bord. Mit der Verwendung der Snippets
können vorhandene Dienste sowohl auf
freigegebene Featuresets aber auch auf
ihre Sicherheit untersucht werden.
Anschließend gilt es, die gewonnenen
Erkenntnisse ins Nagios- oder Icinga-Format
zu verwandeln, was mit dem ebenfalls
bereits vorhandenen Skript »nmap-
2nagios-ng« [4] ein Kinderspiel ist.
Hat man also zuerst eine bestimmte
Range gescannt (zum Beispiel mit »nmap
-sS -O -oX mynet.xml 10.10.0.0/24«),
und sind die gewonnenen Ergebnisse in
»mynet.xml« gelandet, lässt sich aus der
XML-Datei so eine valide Nagios-/Icinga-
Konfiguration generieren:
./nmap2nagios-ng.pl -i -e -r mynet.xml U
-o hostconfig.cfg
26 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Autodiscovery
n etzwerK
Die verwendeten Standardeinstellungen
für Thresholds, Kontaktgruppen, Hostgruppen
und so weiter können vorher in
der entsprechenden »conf«-Datei angepasst
werden. Templates für neue Services
können ebenfalls in der Config-Datei
hinterlegt werden, um dem Perl-Script
neue Template-Zuordnungen beizubringen.
Zum Schluss muss »hostconfig.cfg«
dann lediglich noch in das richtige Verzeichnis
kopiert werden, und los geht’s.
Clientbasiertes Discovery
Nach einer solchen netzwerkbasierten
Inventur der Infrastruktur kann das Monitoring
der Systeme natürlich noch verfeinert
werden. Abhängig vom Betriebssystem
gelingt das beispielsweise, indem
man SNMP benutzt oder lokale Agenten
einspielt.
Als Beispiel für einen Agenten bietet etwa
die bekannte Nagios-Lösung check_mk
[5] die Möglichkeit, den Host nach vorhandenen
Services zu durchsuchen und
diese zu überwachen. Solche Agenten
sind für die gängigen Linux-Plattformen
und Windows verfügbar. Für den Einsatz
unter Windows bietet sich auch
NSClient++ an, dessen Standardmodule
auf jedem Client aktiviert werden
können. Eine Besonderheit ist, dass NS-
Client++ in der Lage ist, die Resultate
selbst zu ermitteln und dann als passives
Ergebnis an den Monitoringserver
zu senden.
Gerade unter Sicherheits- und Update-
Gesichtspunkten ist es aber oft problematisch,
individuelle Clients einzuspielen.
Oft sind nur Pakete aus der jeweiligen
Distribution zugelassen. Hier kann die
Erweiterung des lokalen »snmpd« und die
Verwendung von »check_snmp_extend«
[6] Abhilfe schaffen. Die Idee dahinter
ist einfach und genial zugleich. Neue
mehr auf der OsmC
Mehr zum Thema Autodiscovery für Monitoringlösungen
gibt es auch auf der Open
Source Monitoring Conference [7], die der
IT-Dienstleister Netways GmbH in der Zeit
vom 17. bis zum 18. Oktober 2012 in Nürnberg
ausrichtet, und auf dem ersten PuppetCamp
in Deutschland [8]. Mit ähnlichen Themen
wie sie dieser Artikel aufgreift, beschäftigen
sich dort mehrere Vorträge namhafter
Referenten.
Kommandos zur Abfrage von Monitoring-
Informationen werden in die »snmpd.
conf«-Datei eingetragen und lassen sich
dann mit einem normalen Plugin-Aufruf
ausführen, wenn die korrekte SNMP
Community angegeben wird.
Das folgende Beispiel illustriert die Überwachung
eines Software-Raid mithilfe
dieses Eintrags in die »snmpd.conf«:
extend raid-md0 /usr/local/bin/U
check_raid.pl --device=md0
Nach einem Neustart des »snmpd« ist
die Abfrage sofort verfügbar und kann
mit folgendem Nagios- oder Icinga-Snip
verwendet werden.
define service{
use
generic-service
host_name
snmp_server
service_description SOFTRAID status
check_command check_snmp_extensionU
!raid-md0
}
vorhandenen Geschäftsprozesse. Dabei
beginnt die Inventarisierung nicht durch
Definition aller Komponenten, sondern
vielmehr mit einer genauen Analyse der
Geschäftsprozesse. Bei diesen Prozessen
kann es sich um eine Mail-Lösung, das
SAP-System oder auch die eigene Active-
Bringt man die entsprechenden »snmpd.
conf«-Erweiterungen
mit einer Paketverteilung
oder besser
einem Konfigurationsmanagement
auf die
Clients aus, lassen sich
die verfügbaren Informationen
durch eine
NMap-Erweiterung
abfragen und automatisch
in die Konfiguration
übernehmen.
• Linux - Crashkurs für Administratoren: 8.10.12
• Python: 15.10. 12
Zu Fuß
Alle bisher beschriebenen
Szenarien inventarisierten
die Umgebung
vollständig und nahmen
alle gefundenen
Komponenten in das
Monitorung auf. Dieses
Verfahren hat aber den
Nachteil, dass man von
der Vielzahl an Services
leicht erschlagen
wird und die wichtigen
Komponenten nur
schwer identifiziert.
Ein anderer, jedoch manueller
Ansatz ist die
Konfiguration und Einrichtung
auf Basis der
Listing 1: nmap-Aufruf
01 root@sandbox:~# nmap -v -A www.haribo.de
02 ...
03 Host www2.haribo.com (213.185.81.67) is up (0.011s
latency).
04 Interesting ports on www2.haribo.com (213.185.81.67):
05 Not shown: 995 closed ports
06 PORT STATE SERVICE VERSION
07 21/tcp open ftp?
08 22/tcp open tcpwrapped
09 80/tcp open http Apache httpd
10 |_ html-title: Requested resource was http://www2.
haribo.com/?locale=de-DE and no page was returned.
11 443/tcp open ssl/http Apache httpd
12 |_ html-title: Requested resource was http://www2.
haribo.com/?locale=de-DE and no page was returned.
13 3306/tcp open tcpwrapped
Jetzt
anrufen
und Termin
sichern!
Linux Schulungen 2012 – Nicht verpassen!
• NEU: Die BASH-Shell für Administratoren: 22.10.12
• Systemmonitoring mit Nagios und Check_MK: 12.11.12
• NEU: Erweiterungen programmieren für Check_MK (5 Tage): 19.11.12
• Linux als Server im Inter- und Intranet: 26.11.12
• Storage - LVM, MD, Multipathing, iSCSI: 3.12.12
• Fortgeschrittenes Monitoring mit Nagios & Check_MK: 10.12.12
Gerne machen wir auch Inhouse-Schulungen direkt bei Ihnen vor Ort.
Fragen Sie uns nach einem Angebot zu Ihrem Wunschthema.
Tel.: 089 / 18 90 42 10
www.A dmin-mAgA zin.de
Admin
mk@mathias-kettner.de
AusgA be 05-2012 www.mathias-kettner.de
27

n etzwerK
Autodiscovery
Directory-Domain handeln.
Nach Festlegung der entsprechenden
Prioritäten beginnt
man also den Prozess zu zerlegen
und seine Einzelbausteine
zu identifizieren.
Bleiben wir beim Beispiel des
Mail
zentralen Exchange-Clusters
(Abbildung 1). Um den Mail-
Service zu gewährleisten, sind
verschiedene Subsysteme notwendig,
die ebenfalls eigene
Abhängigkeiten aufweisen.
Durch Definition eines solchen
Service-Abbildes lassen Mail-Cluster.
sich diese Abhängigkeiten
identifizieren und die einzelnen Subsysteme
auch in anderen Prozessen weiterverwenden.
So ist der DNS-Cluster
mit großer Wahrscheinlichkeit auch für
andere Teilprozesse von großer Bedeutung
und muss dann nicht neu definiert
werden.
Die beteiligten Hosts und Services lassen
sich auf diese Weise konfigurieren und
dann überwachen. Nach und nach entsteht
so ein Prozessabbild der eigenen
Umgebung, was in der Regel ein besseres
Verständnis der IT-Umgebung ermöglicht
als es mit einem Sammelsurium unabhängiger
Einzeldienste möglich wäre.
Auch für bestehende Monitoringumgebungen
ist dieses Vorgehen ein guter Revisions-
und Optimierungsprozess.
Die Schattenseite von
Autodiscovery
Das große Problem von automatisch
erfassten Umgebungen ist das Prinzip
Masse statt Klasse. Ein Blick auf ein Monitoringsystem
gibt meist schnell darüber
Aufschluss, ob kontrolliert gearbeitet
wurde oder schlichtweg alles überwacht
wird, was sich NMap und lokalen Agenten
nicht entziehen konnte.
Das erstes Problem, das daraus resultiert,
ist die meist unqualifizierte Alarmierung
die zu Mail-Regeln mit anschließenden
Papierkorb-Verschiebungen führt.
Alternativ behilft sich der Admin dann
damit, dass er alle ihm nicht wirklich
bekannten Services auf Downtime
setzt oder die Notifizierung deaktiviert.
Im Ergebnis weiß dann keiner mehr so
genau, was, wie und vor allem warum
überwacht wird. Ein weiteres Problem
DNSCluster
Exchange Cluster
Internet Connection
Abbildung 1: Schematische Darstellung der Service-Abhängigkeiten in einem
ist das Lifecycle-Management einer solchen
Umgebung. Durchläuft das Überwachungs-Setup
nicht die klassischen Status
Entwicklung, Test/ QA und Produktion
sind die Konsequenzen leicht abzusehen:
Es wird entweder alles, nichts oder
das Falsche alarmiert. Unterschiedliche
Prioritäten lassen sich schwer qualifizieren,
die Admins werden demotiviert und
am Ende werden SMS-Alerts konsequent
ignoriert.
Wie geht es besser
Macht man sich erst beim Einrichten des
Monitoring Gedanken über die vorhandene
Infrastruktur, ist schon zuvor einiges
schiefgelaufen. Wenngleich die Pflege
einer CMDB und die Einführung eines
Konfigurationsmanagements mit großen
Aufwänden verbunden sind, handelt
es sich doch meist um eine lohnende
Investition. So ist dann die Hard- und
Softwareausstattung aller Systeme schon
vor Einbau in das Rack bekannt. Daraus
leitet sich dann auch auf logische Weise
ein vernünftiges Monitoring ab. Parallel
zur Installation des Servers, der Monitoring-Clients
und Agenten lassen sich so
auch passende Checks deployen und in
das Monitoring-System übertragen.
Viel wichtiger jedoch ist die nachhaltige
Weiterverarbeitung von Events und Fehlern,
die für ein aussagekräftiges Problem-Management
notwendig sind. Werden
Services also automatisch generiert
und eindeutige CI-Informationen wie
etwa die CI-ID aus dem CMDB-System
an den Check übergeben, können die
da raus resultierenden Fehler und die
Alarme später wieder dem betroffenen
c1-dns-1 : bind-response
c1-dns-2 : bind-response
c1-dns-3 : bind-response
Exchange Node 1
Exchange Node 2
c1-router : c1-
internetconnection-1
c1-router : c1-
internetconnection-2
Objekt zugeordnet werden.
Aus dem Configuration Item
für ein SAN-Volume wird
so also ein SAN-Check mit
Custom Variable und im Fehlerfall
wieder ein Alert, der
diese Komponente eindeutig
identifiziert. Dann ist es nur
noch ein kleiner Schritt, um
aus dem Alert die dazu passenden
CMDB-Informationen
abzurufen.
Zu guter Letzt sei noch ein
kurzer Blick über den Tellerrand
gestattet: Nagios und
Icinga sind zwei hervorragende
Monitoringsysteme, die sich nicht
nur zum Überwachen von Servern, Switchen
oder Storage-Systemen eignen, sondern
die auch inventarisieren können. So
ist es Nagios oder Icinga beispielsweise
möglich, durch kleinere Anpassungen
von Standardprüfungen ohne Probleme
Seriennummern, Anzahlen von Prozessoren,
Arbeitsspeicher oder Festplatten und
natürlich deren jeweilige Auslastung zu
liefern. Die auf diesem Weg gewonnenen
Daten können für spätere Auswertungen
einem Business-Report zugutekommen
oder schlicht und einfach in die CMDB
zurückfließen, was viele immer wiederkehrende
Pflegearbeiten spart. (jcb) n
Infos
[1] NMAP: [http://nmap.org]
[2] Doku zur Nmap Scripting Engine:
[http://nmap. org/ book/nse.html]
[3] NSE-Skripte: [http://nmap.org/ nsedoc]
[4] nmap2nagios-ng: [https://www.
monitoringexchange.org/inventory/
Utilities/AddOn-Projects/Configuration/
nmap2nagios-ng]
[5] check_mk:
[http://mathias-kettner.de/check_mk.html]
[6] check_snmp_extend: [https://github.com/
nickanderson/ check_snmp_extend]
[7] Open Source Monitoring Conference:
[http://www. netways.de/osmc]
[8] Puppet Camp:
[http://www. netways.de/puppetcamp]
Der Autor
Bernd Erk ist Managing Director der Nürnberger
NETWAYS GmbH, die sich seit über 15 Jahren auf
das Thema Open Source Systems Management
spezialisiert hat.
28 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

www.kamp.de
In der IT setzt man besser
auf einen starken Partner!
IT-Lösungen – stark und individuell. Mehr unter www.kamp.de

VirT uA lisierung
Hyper-V 3.0
© Nico Smit, 123RF
Hyper-V 3.0 in Windows Server 2012
Revierkampf
mit dem alten Hypervisor Hyper-V ließ microsoft noch viele Features für
den professionellen einsatz vermissen. die neue Version 3.0 wurde deutlich
verbessert und schließt langsam zu Vmware auf. Thomas Joos
Mit Windows Server 2012 liefert Microsoft
eine neue Version seiner Visualisierungstechnologie
Hyper-V aus. Sie
bietet gegenüber dem Vorgänger einge
Verbesserungen. Da die Technologie zum
Lieferumfang des Serverbetriebssystems
gehört, können Unternehmen Hyper-V
3.0 generell ohne Zusatzkosten nutzen.
Dieser Artikel gibt einen Überblick über
die für den praktischen Einsatz wichtigsten
Neuerungen. Wer sie selbst erfahren
will, kann den Release Candidate von
Windows Server 2012 herunterladen, der
auf [1] zur Verfügung steht.
Mehr Speicher
Hyper-V-Hosts können zukünftig 2 TByte
RAM nutzen und 160 CPUs verwalten,
Virtuelle Maschinen selbst nutzen 512
GByte Arbeitsspeicher. Virtuelle Maschinen
lassen sich in Hyper-V-Clustern priorisieren
und mit der Livemigration im
laufenden Betrieb zwischen Clusterknoten
verschieben. Fällt ein Knoten aus,
verschiebt Hyper-V 3.0 die virtuellen
Maschinen mit der höchsten Priorität
zuerst.
Mit Schnappschüssen lassen sich virtuelle
Server zu einem bestimmten Zeitpunkt
sichern und wiederherstellen. Bei
Domänencontrollern sichern Snapshots
auch die Active-Directory-Datenbank.
Setzten Anwender auf einem Domänencontroller
einen Schnappschuss zurück,
konnte es bisher zu Inkonsistenzen der
AD-Datenbank kommen, die auch die anderen
Domänencontroller beeinflussten.
Das liegt daran, dass in einem Active Directory
alle Objekte eine bestimmte Nummer
besitzen, die Update Sequence Number
(USN). Jeder DC führt eine eigene
Liste dieser USNs und befindet sich auch
in dieser Liste. Setzt man einen Snapshot
zurück, ändern sich die USNs vieler Objekte,
was mit hoher Wahrscheinlichkeit
zu Inkonsistenzen führt. In jedem Fall
trennen die anderen DCs den wiederhergestellten
DC vom Netzwerk.
Durch die Neuerungen von Active Directory
in Windows Server 2012 und Hyper-
V 3.0 lassen sich Domänencontroller mit
Windows Server 2012 nun leichter virtualisieren.
Das Erstellen von Snapshots für
Domänencontroller stellt kein Problem
mehr dar.
Um einen virtuellen Domänencontroller
mit Windows Server 2012 zu klonen, sind
keine Zusatztools notwendig. Administratoren
kopieren einfach die virtuelle Maschine
und geben dem Klon einen neuen
Namen. Auf Basis der neuen Generation-
ID in Windows Server 2012 und deren
Unterstützung in Hyper-V 3.0 erkennt
der neue Server das Active Directory und
bindet sich problemlos ein.
Mit Hyper-V-Replica lassen sich in Windows
Server 2012 virtuelle Festplatten
und ganze Server asynchron zwischen
verschiedenen Hyper-V-Hosts im Netzwerk
replizieren und synchronisieren.
Die Replikation findet über das Dateisystem
statt, ein Cluster ist nicht notwendig.
Die Replikationen kann manuell, automatisiert
oder nach einem Zeitplan stattfinden.
Auf diesem Weg lassen sich virtuelle
Server auch hochverfügbar betreiben,
ohne teure Cluster zu installieren. Zur
Einrichtung bietet der Hyper-V-Manager
einen Assistenten.
Einfachere Replikation
Im Gegensatz zur aktuellen Version von
VMware-Produkten kann Hyper-V diese
Replikation unabhängig vom eingesetzten
Speichersystem durchführen; außerdem
steht die Funktion kostenlos zur
Verfügung. Mit dieser neuen Technologie
lassen sich problemlos virtuelle Server im
laufenden Betrieb zwischen verschiedenen
Hyper-V-Hosts replizieren.
Die entsprechende Replikation steuert
man über einen Assistenten, der über
das Kontextmenü von virtuellen Servern
im Hyper-V-Manager erreichbar ist. Damit
ein Hyper-V-Host überhaupt für Replikate
zur Verfügung steht, muss der
Administrator sie auf dem Server in den
»Hyper-V-Einstellungen« im Bereich »Replikationskonfguration«
erst aktivieren
(Abbildung 1).
Wurde die Konfiguration nicht vor der
Aktivierung der Replikation vorgenommen,
erkennt der Replikations-Assistent
das und schlägt die Konfiguration des
Ziel-Servers vor. Diese Konfiguration ist
dann auch über das Netzwerk möglich.
Es ist allerdings empfehlenswert, sie
schon vor der Einrichtung der Replikation
vorzunehmen.
Größere Platten
Hat der Quell-Server den Ziel-Server erfolgreich
verifiziert, kann der Administrator
die Replikation weiter konfigurieren
und die Authentifizierung festlegen, mit
der sich Ziel- und Quell-Server miteinander
verbinden. So wählt er etwa aus,
welche virtuellen Festplatten auf den
30 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Hyper-V 3.0
VirT uA lisierung
G Abbildung 2: Festlegen der Optionen für die initiale Replikation.
F Abbildung 1: Aktivieren der Replikation auf einem Hyper-V-Host.
Ziel-Server repliziert werden sollen. Windows
Server 2012 arbeitet bei virtuellen
Festplatten mit VHDX-Dateien, die eine
Größe von 16 TByte erreichen können
– in Windows Server 2008 R2 SP1 sind
VHD-Dateien auf 2 TByte beschränkt.
Außerdem lässt sich festlegen, ob die
Replikation auch Schnappschüsse mitreplizieren
soll oder nur den eigentlichen
Server. Neben dem aktuellsten Zeitpunkt
kann man beliebige Wiederherstellungspunkte
in der Vergangenheit erlauben.
Allerdings erhöht das deutlich den Ressourcen-Verbrauch
der Replikation. Die
letzte Option steuert die erste Replikation
Anzeige
Kann eine
Schulungseinrichtung
für mehr als EINEN
Themenbereich
berühmt werden?
Das Linuxhotel ist bekannt für erstklassige Open-Source-Schulungen. In den letzten Jahren kamen Java
und andere Programmiersprachen hinzu - wie immer in Kooperation mit führenden Spezialisten, und in
abgeschiedener, konzentrierter, aber auch ziemlich verspielter Umgebung. Es ist so naheliegend, auch
Entwicklerthemen bei den OpenSource‘lern zu lernen, weil man dort schon immer sehr „unter die
Haube“ guckte und mit viel Freude intensivst arbeitet. Das weiss ein Großteil der deutschen Admins, nur
unter Entwicklern hat's sich noch nicht so ganz herumgesprochen.
Mehr siehe www.linuxhotel.de
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
31

VirT uA lisierung
Hyper-V 3.0
Abbildung 3: Die Erweiterungen für virtuelle Switches in Windows Server 2012
bieten Protokollierung und Filter per Windows Filtering Platform.
des Servers. Man kann in diesem Bereich
eine sofortige Replikation anstoßen oder
sie zeitgesteuert starten (Abbildung 2).
Wer sich extra neue Rechner für Hyper-V
zulegt, sollten darauf achten, dass sie
auch mit genügend Netzwerkkarten ausgestattet
sind. Wichtig ist dabei auch,
dass die Karten die neuen Funktionen in
Hyper-V unterstützen. In den Netzwerkeinstellungen
lassen sich unter anderem
Berechnungen für IPsec vom Prozessor
des virtuellen Servers auf die Netzwerkkarte
auslagern.
Ebenfalls neu in Hyper-V ist die Single-
Root I/ O Virtualization (SR-IOV). Auch
hier lassen sich Hardware-Funktionen
von Netzwerkkarten durch Hyper-V nutzen.
Dazu stellen kompatible Netzwerkkarten
für virtualisierte Umgebungen implementierte
E/ A-Kanäle zur Verfügung,
mit denen sich die Netzwerkkarte gegenüber
virtualisierten Servern wie mehrere
Netzwerkkarten verhält. SR-IOV ist vor
allem bei E/ A-intensiven Anwendungen
interessant, etwa für SQL Server.
Virtuelle Switches
Bevor man auf einem Hyper-V-Host virtuelle
Server installiert, besteht der erste
Schritt in der Konfiguration des virtuellen
Switches, in Hyper-V auch vSwitch genannt.
Dazu steht im Hyper-V-Manager
der Bereich »Manager für virtuelle Switches«
zur Verfügung. Zunächst erstellt
man für die einzelnen physischen Netzwerkkarten
im Server einen virtuellen
Switch. Im Bereich MAC-Adressbereich
lässt sich der dynamische MAC-Bereich
festlegen, den die virtuellen Netzwerkkarten
der Server erhalten.
Für virtuelle Server lassen sich aber auch
statische MAC-Adressen festlegen. Das ist
vor allem bei einem Betrieb im Cluster
wichtig. Verschiebt man virtuelle Server
zwischen den Clusterknoten, ändern sich
beim Neustart die MAC-Adressen, da jeder
Knoten seinen eigenen Pool hat. Das
kann zu Problemen
mit der Windows-
Aktivierung sowie
mit Netzwerklas-
tenausgleichs-
Clustern führen.
Virtuelle Switches
agieren als Layer-
2-Netzwerkswitches
und erlauben
auch die Einbindung
von NDIS-
Filtern (Network
Device Interface Specification) und von
Windows-Filtering-Platform-Treibern.
Auf diese Weise lassen sich auch Plugins
von Drittherstellern in Hyper-V einbinden,
die erweiterte Netzwerk- und
Sicherheitseinstellungen für virtuelle
Server bieten (Abbildung 3). Die entsprechenden
Einstellungen sind über den
Menüpunkt »Erweiterungen« für jeden
einzelnen vSwitch zu finden.
Sind die physischen Netzwerkkarten des
Servers jeweils einem virtuellen Switch
zugeordnet, lassen sich diese den einzelnen
virtuellen Servern zuweisen.
Das erfolgt beim Erstellen der virtuellen
Maschine oder nachträglich in den
Einstellungen über den Bereich »Netzwerkkarte«.
Die erste Einstellung besteht
in der Zuweisung des virtuellen Switch.
Direkt auf der Startseite steht auch die
Steuerung der Bandbreite zur Verfügung.
Auf diese Weise lässt sich die erlaubte
Netzwerknutzung virtueller Server genauer
steuern als in Windows Server
2008 R2.
Neue Wächter
Abbildung 4: In den erweiterten Netzeinstellungen finden sich zum Beispiel die
DHCP- und Routerwächter, die Störenfriede im Netz verhindern.
Bei den erweiterten Features finden
sich die beiden neuen Einstellungen
»DHCP-Wächter« und »Router-Wächter«,
die verhindern, dass virtuelle Server unkontrolliert
als DHCP-Server oder als
Router agieren (Abbildung 4). Dies soll
verhindern, dass virtuelle Server unerwünscht
als DHCP-Server oder Router
agieren und das Netzwerk stören.
Windows Server 2008 R2 kann immer
nur einen Server auf einmal übertragen,
was meistens nicht sehr effizient ist, vor
allem bei Cluster-Umgebungen, die mehrere
virtuelle Server hosten. Windows
Server 2012 mit Hyper-V 3.0 kann jetzt
mehrere Livemigrationen auf einmal
durchführen. Die Einstellungen sind in
den Hyper-V-Einstellungen des Hosts im
Bereich »Livemigrationen« zu finden.
Fazit
Hyper-V 3.0 ist ein herausragendes Feature
von Windows Server 2012. Microsoft
hat viele Schwachpunkte der Vorgängerversionen
behoben und die Virtualisierungsplattform
effizient weiterentwickelt.
Die neue Hyper-V-Replikation, die deutlich
verbesserten Möglichkeiten für virtuelle
Netzwerkkarten sowie die neuen
Möglichkeiten der Live-Migration bieten
einen echten Mehrwert. Auf absehbare
Zeit wird VMware wohl der Platzhirsch
des Virtualisierungswalds bleiben, aber
Microsoft schleicht mit Hyper-V langsam
heran. (ofr)
n
Infos
[1] Download von Windows Server 2012 Release
Candidate: [http:// technet. microsoft.
com/ de‐de/ evalcenter/ hh670538. aspx]
32 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

NEU!
HP MicroServer
Die günstigsten Dedicated
Marken-Server der Welt
ECO
Certification
Ab 17,99 € im Monat erhalten Sie
Ihren eigenen Dedicated Root-Server
NEU
Eigener Dedicated Server
CPU
Leistung
RAM
Festplatten (7.200 rpm)
Festplatten-Ausbau bis zu
Optionaler Raid-Controller
KVM over IP optional
Anbindung
IPv4 Adresse inkl.
IPv6 Subnetz (/64) inkl.
Betriebssysteme
Extras
Monatsgrundgebühr ab
Einrichtungsgebühr
HP MicroServer S HP MicroServer M HP MicroServer L
AMD N40L
2 x 1,5 GHz
4 GB DDR3
1 x 160 GB
4 x 3.000 GB
AMD N40L
2 x 1,5 GHz
8 GB DDR3
2 x 1.000 GB
4 x 3.000 GB
AMD N40L
2 x 1,5 GHz
16 GB DDR3
2 x 3.000 GB
4 x 3.000 GB
100 MBit Flatrate 100 MBit Flatrate 100 MBit Flatrate
Debian 6.0, Ubuntu 12.04
NEU
CentOS 6, openSUSE 12.1, FreeBSD 8.1, Windows 2008 R2 (19,99 € Aufpreis im Monat)
50 GB Backup-Speicher, Monitoring, Reset- und Rescue-System
17,99 € 34,99 € 49,99 €
0,00 € 0,00 € 0,00 €
Jetzt informieren und bestellen Tel.: 0211 / 545 957 - 300 www.webtropia.com
powered by
PLATINUM PARTNER

ViRTuA lisieR ung
oVirt 3.1
© Roger Jegg, 123RF
Verwaltung virtueller Infrastrukturen mit oVirt 3.1
Wirtshaus
die ursprünglich von Red Hat initiierte Verwaltungsplattform für virtuelle
infrastrukturen oVirt steht seit Kurzem in der Version 3.1 zur Verfügung.
mit Fedora 17 lässt sich das neue Release einfach installieren und in
betrieb nehmen. Thomas drilling
Vor einigen Jahren sorgte Red Hat für
Unmut in der Linux-Gemeinde, weil
das grafische Verwaltungstool für die
eigene Virtualisierungslösung RHEV einen
Windows-Rechner voraussetzte. Die
Microsoft-Altlast rührte daher, dass Red
Hat im Jahr 2008 nicht nur den vom
israelischen KVM-Spezialisten Qumranet
entwickelten KVM-Hypervisor übernommen,
sondern gleich die ganze Firma gekauft
hat, mitsamt eines zum damaligen
Zeitpunkt fast fertigen Desktop-Virtualisierungs-Produkts,
das auf Windows
basierte.
Ade Windows
Mit RHEV-Version 3.0 [1] haben die
Red-Hat-Entwickler zwar alle Bestandteile
der Management-Komponente
„RHEV-M“ von C# auf Java portiert, der
Einsatz der Administrator Console erfordert
bei RHEV aber offiziell immer noch
eine Windows-Maschine mit Internet Explorer
7 oder größer, weil das auf oVirt
basierende Frontend noch nicht alle Features
des Vorgängers beherrscht. Seit Red
Hat oVirt unter der Apache-Open-Source-
Lizenz der Gemeinschaft übergeben hat
und die Software unter dem Dach des
gleichnamigen oVirt-Projektes von Suse,
Canonical, Cisco, IBM, Intel und anderen
gemeinsam weiterentwickelt wird, hat
oVirt das Potenzial, den kommerziellen
Lösungen von VMware, Citrix und Microsoft
eine leistungsfähige, freie Cloud-
Management-Plattform als Alternative
gegenüberzustellen, die keineswegs nur
Red-Hat-basierte Strukturen verwaltet.
Das oVirt-Projekt basiert auf zahlreichen
von Red Hat entwickelten Technologien
mit der Kernel-based Virtual Machine
(KVM) und der Virtualisierungs-API Libvirt.
Die erste finale und stabile oVirt-
Version 3.0 ist als Technologie-Preview in
Red Hats kommerzieller Virtualisierung-
Lösung RHEV 3.0 [1] enthalten, die seit
Januar diesen Jahres verfügbar ist.
RHEV-Setup
Eine Installation von RHEV für Server
besteht typischerweise aus einem (oder
mehreren) Hypervisor-Hosts „RHEV-H“,
einem Management-Sytem „RHEV-M“,
das wahlweise auf RHEV oder RHEL basierende
Hypervisor-Systeme verwaltet,
sowie einem Host für die Administrationskonsole
und einem PC (Windows
oder Linux) für das Benutzer-Portal.
Hinzu kommen ein oder mehrere Storage-Systeme
(SAN, iSCSI).
Die jeweiligen minimalen und empfohlenen
Hardware-Anforderungen zeigt Red
Hats Promo-Seite [2] beim Herunterladen
der Evaluierungs-Version von RHEV
3. Red Hat schlägt zum Testen auch ein
Minimal-Setup vor. Das besteht aus einem
Enterprise Virtualization Manager Server
(RHEV-M) mit einer lokalen ISO-Domain
und einem Hypervisor-Host. Ersterer
soll laut Red Hat nach Möglichkeit ein
RHEL6-System mit Quadcore-Prozessor,
16 GByte RAM, 50 GByte lokalem Festplattenspeicher
und 1-GBit-Netzwerkkarte
sein, der die erwähnte ISO-Domain
zur Verfügung stellt.
Als Client für die Admin Console empfiehlt
Red Hat ein Windows-7-System.
Bleibt noch der Mini-Hypervisor RHEV-H
für den Virtualisierungs-Host. Der lässt
sich wahlweise als 172 MByte kleine
Evaluierungs-Version von Red Hat herunterladen,
darf aber laut Red Hat auch
RHEL 6 (also auch CentOS 6) oder Fedora
17 sein. Als Hardware empfiehlt Red
Hat einen Dual-Core-Server mit 16 GByte
RAM, und 50 GByte Speicher sowie eine
1-GBit-Netzwerkkarte. Dessen CPU muss
allerdings zwingend ein 64-Bit-System
mit Virtualisierungs-Erweiterung AMD-
V oder Intel VT sein.
RHEV 3 basiert im Gegensatz zu RHEV
2.2 nicht mehr auf RHEL 5, sondern
auf RHEL 6, was KVM-seitig eine Reihe
von Vorteilen mitbringt. Gastsysteme
34 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

oVirt 3.1
ViRTuA lisieRung
können damit beispielsweise bis zu 64
virtuelle CPU-Kerne und bis zu 2 TByte
Arbeitsspeicher verwenden. Ferner unterstützt
der RHEL6-Kernel alle aktuellen
KVM-Techniken wie KSM (Kernel
Shared Memory), Vhost-Net, Transparent
Huge pages (THP) oder X2apic.
Fehlt noch eine weitere Komponente
im RHEV-Virtualisierungsbaukasten
„RHEV für Desktops“, ein Add-on für
RHEV-Server, das eine Virtual Desktop
Infrastructure (VDI) ermöglicht.
Die Kommunikation zwischen einem
Client oder Thin-Client und via RHEV
virtualisiertem Desktop-Betriebssystem
läuft dabei über das von Qumranet entwickelte
Spice-Protokoll, das Red Hat
ebenfalls inzwischen an zahlreichen
Stellen verbessert hat, sodass Nutzer
beispielsweise auch beliebige USB-1.1/
2.0-Geräte an den Clients nutzen können,
welche Spice an das entfernte virtualisierte
Desktop-Betriebssystem weiterreicht.
Mehr-Komponenten-Kleber
Die neue oVirt-Version 3.1 steht auf der
oVirt-Projektseite zum Herunterladen zur
Verfügung. Das Paket enthält den JBoss-
Applikationsserver 7.0 als Fundament
der oVirt-Engine, den KVM-Hypervisor,
ein in Python geschriebenes SDK, je
ein Admin- und User-Portal als Webanwendung
sowie die zum Aufsetzen der
Libvirt-VDSM-Nodes/ Host benötigten
Komponenten. Jeder oVirt-Node besitzt
seinen eigenen Hypervisor, seinen eigenen
Storage Pool und seine eigenen Disk
Images.
Die oVirt-Nodes kommunizieren über
einen Stack aus Libvirt und dem sogenannten
oVirt Host Agent (VDSM) mit
der oVirt-Engine, die letztlich den ganzen
Rechnerverbund verwaltet. Die virtuellen
Gastsysteme teilen über in Python realisierte
oVirt Guest Agents der oVirt-Engine
unter anderem mit, welche IP-Adresse sie
verwenden, welche Anwendungen auf
ihnen installiert sind, oder wie viel Speicher
sie benötigen.
Weitere Komponenten sind das auf Java
basierende Webinterface zum Einrichten,
Konfigurieren und Verwalten von Hypervisoren
(Wirten) und Gastsystemen, das
User Portal, mit dem sich User an den
Gastsystemen anmelden und schließlich
die REST-API zum Anzapfen der oVirt-
Engine durch eigene Programme oder
Skripte. Neben diesem gibt es außerdem
noch ein Kommandozeilen-Interface.
Das
Backend der oVirt-
Engine speichert sämtliche
Daten und Konfigurationen
in einer
PostgreSQL-Datenbank
und authentifiziert Benutzer
über OpenLDAP
oder Active Directory.
Unabhängig von RHEV
und Red Hat soll sich
oVirt künftig zum „Orchestrieren“ von
Cloud- und Virtualisierungs-Umgebungen
als freie Alternative zu VMware und
Citrix etablieren.
Neuerungen in oVirt 3.1
Für all jene, die oVirt 3.0 mit CentOS 6.3
oder Fedora 17 bereits ausprobiert haben,
sind die Neuerungen der aktuellen Version
3.1 von Interesse [4]. So unterstützt
die oVirt-Engine beispielsweise jetzt Red
Hats Directory Server oder IBMs Tivoli
Directory Server zur Authentifizierung.
Außerdem unterstützt oVirt 3.1 unter anderem
das Anlegen und Klonen von Live-
Schnappschüssen, Hotplugging in virtuellen
Maschinen und kann aus virtuellen
Maschinen heraus externe Blockgeräte
als lokale Festplatte einbinden. Darüber
hinaus lassen sich mit oVirt 3.1 Storage-
Cluster konfigurieren.
Besonders interessant für den folgenden
Workshop ist der neue Installationsmo-
… alles nur eine Frage der Lastverteilung !
BalanceNG ®
●
Der Software Load-Balancer für Linux und Solaris
●
Voll virtualisierbar
●
Keine zusätzliche Hardware erforderlich
●
Security made in Germany:
Garantiert frei von versteckten “Backdoors”
Alle Informationen unter: www.BalanceNG.net
Abbildung 1: War oVirt 3.0 bereits installiert, steht oVirt 3.1 zwar einfach als Aktualisierung
zur Verfügung, der Admin muss oVirt 3.0 aber trotzdem entfernen.
Inlab Software GmbH
Josef-Würth-Str. 3
82031 Grünwald
Tel: 089 / 64911420
http://www.inlab.de
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
35

ViRTuA lisieR ung
oVirt 3.1
Abbildung 2: Die Struktur einer virtuellen Umgebung
in oVirt.
dus „All-In-One“, der es dem Admin ermöglicht,
zum Beispiel einen Fedora-Host
in einem Rutsch wahlweise als Management
Maschine oder Hypervisor zu konfigurieren.
Als weitere Neuerungen seien
die Unterstützung zum Mounten beliebiger
Posix-kompatibler Dateisysteme,
der Import virtueller Maschinen und die
Integration des oben genannten Python-
SDKs sowie der Kommandoschnittstelle
genannt. Entwickler dürften sich zudem
über die Erweiterung des REST-API mit
JSON und den Session-Support freuen.
oVirt unter Fedora
Im Folgenden demonstriert der Artikel die
prinzipielle Inbetriebnahme des Backends
auf einer Management-Maschine. Eine
ausführliche Dokumentation der Lösung
findet sich beispielsweise unter [5]. Die
oVirt-Engine setzt neben einem Java
Runtime Environment den Applikationsserver
JBoss-Server 7 voraus. Da oVirt
sämtliche Daten in einer Datenbank speichert,
erfordert das Setup außerdem eine
PostgreSQL-Datenbank.
Fedora 17 bringt wie CentOS 6.3 von
Haus aus die erste stabile oVirt-Version
3.0 mit. Die gerade erschienene zweite
stabile oVirt-Version 3.1 lässt sich bei
Fedora 17 über die Paketquelle »Fedora --
x86_64 Test Updates« installieren. Fedora
17 bietet dann die neue oVirt-Version 3.1
als Aktualisierung an (Abbildung 1).
Ein direkte Upgrade einer installierten
oVirt-Version 3.0 in Fedora ist nicht möglich.
Wie in den Veröffentlichungshinweisen
der aktuellen Version beschrieben,
muss der Admin eine installierte
oVirt-Version 3.0 zunächst deinstallieren,
etwaige existierende virtuelle Maschinen
zuvor exportieren, die Paketquellen in
Fedora 17 aktualisieren, auf oVirt 3.1 aktualisieren
und dann die virtuellen Maschinen
wieder importieren. Die für November
angekündigte Fedora-Version 18
soll oVirt 3.1 standardmäßig enthalten.
Wahlweise lässt sich das Aktualisieren
der für oVirt 3.1 benötigten Paketquellen
auch mit Yum erledigen:
yum localinstall http://ovirt.org/releases/U
ovirt-release-fedora.noarch.rpm
Ovirt selbst lässt sich dann in Form einer
Reihe zum Framework gehörender Pakete
über die Paketverwaltung installieren,
wobei zum Beispiel die Core-Engine
mit dem Paket »ovirt-engine« korrespondiert.
Dessen Installation mit »yum install
ovirt-engine« installiert automatisch auch
die übrigen benötigten Pakete, etwa das
»Ovirt-Engine-Backend«, das »Configuration
Tool for Open Virtalization Manage«,
sowie die Pakete »Database Scripts for
Open Virtalization Manager« (das die benötigten
Tabellen und Konfigurationen
in die PostgreSQL-Datenbank schreibt),
»ISO Upload Tool for Open Virtalization
Manager«, »Log Collector for Open Virtalization
Manager«, »Notification Service
for Open Virtalization Manager« und
»Open API for Red Hat Enterprisse Virtualization
Manager«.
Ebenfalls zwingend erforderlich sind
die Pakete »Setup and upgrade scripts
for Open Virtalization Manager« und
»Common Libaries for Open Virtalization
Manager Tools«. Der JBoss-Applikationsserver,
das JRE (OpenJDK 1.7.0),
die PostgreSQL-Datenbank (9.1.3), sowie
verschiedene andere Komponenten wie
etwa VDSM werden ebenfalls automatisch
installiert. Wer oVirt auf dem Hypervisor-Host
installiert, braucht lediglich
die »ovirt-node*«-Pakete.
Motor starten
Abbildung 3: oVirt verfügt über ein ausgefeiltes Rollen- und Berechtigungs-Modell.
Das Paket »ovirt-engine-setup-3.1.0-1.
fc17« stellt das Skript »engine-setup« zur
Verfügung, das mit Root-Rechten auszuführen
ist. Das Skript selbst benötigt mindestens
2 GByte freien Arbeitsspeicher.
Wer »engine-setup« bereits zum Installieren
und Testen von oVirt 3.0 verwendet
hat, muss »engine-cleanup« ausführen,
um etwaige Reste einer alten Installation
zu entfernen, offene Datenbankverbindungen
zu schließen, Tabellen zu löschen
und so weiter.
Das Skript fragt eine Reihe wichtiger Parameter
ab, darunter auch das Passwort
für den Administrator (»admin«) der
Web-Anwendung (»Admin Portal«), die
Datenbank und zeigt in eckigen Klammern
die jeweiligen Defaultwerte, die
sich mit [Eingabe] übernehmen lassen.
Außerdem fragt »engine-setup« nach dem
Firmennamen und dem Default-Speicher-
Backend. Zur Wahl stehen iSCSI, Fibre
Channel und NFS. Letzteres eignet sich
gut für einen schnellen Testlauf, wobei
das Skript anbietet, ein NFS-Share als
ISO-Domäne auf dem lokalen Server anzulegen
und der Administrator den gewünschten
Mountpoint angeben kann.
36 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

oVirt 3.1
ViRTuA lisieRung
Abbildung 4: Die oVirt-Entwickler haben auch an
einen Assistenten gedacht.
Danach bietet das Skript an, die IPTables-Firewall
zu konfigurieren und listet
noch einmal sämtliche Einstellungen auf,
bevor es die oVirt-Einrichtung startet,
in deren Verlauf es auch die benötigten
Zertifikate generiert und die Datenbank-Tabellen
anlegt. Ürigens lässt sich
»engine-setup« auch gezielt mit Parametern
füttern. »engine-setup -help« gibt
darüber Auskunft.
Danach steht das oVirt-Interface unter
des Adresse »http://Management-Server«
zur Verfügung, wahlweise auch über
HTTPS. Zu beachten ist dabei, dass das
oVirt-Framework mindestens 4 GByte Arbeitsspeicher
benötigt, sonst startet das
Webinterface nicht.
Nun kann man sich am User Portal, am
Administrator Portal oder am Reports
Portal anmelden. Der Account für das
Admin Portal lautet »admin« mit dem
während der Konfiguration festgelegten
Passwort.
Datencenter
Im Navigationsbereich links, ausgehend
vom Data Center »Default«, sind die administrierbaren
Ressourcen der virtualisierten
Infrastruktur zu sehen, bestehend
aus Data Centern, Clustern, Storages und
Disks sowie Hosts, Pools, Templates und
VMs (Abbildung 2). Ein komplexes Rollen-
und Berechtigungsschema ermöglicht
dem Administrator das Delegieren
von Verwaltungsaufgaben. Der Einstiegspunkt
hierfür ist der Link „Configure“
links oben (Abbildung 3).
Ein virtueller Host lässt sich mit einem
Klick auf »New« im Reiter »Hosts« erzeugen,
auch wenn das Anlegen von Hosts
erst sinnvoll ist, wenn die entsprechenden
Voraussetzungen, etwa Storage für
virtuelle Fesplatte, ISOs und so weiter
erfüllt sind.
Firewall konfigurieren
Der Dialog erwartet neben der IP-Adresse
(oder FQDN-Namen) des Hosts einen
symbolischen Namen und ein Passwort.
Außerdem muss der Host per SSH erreichbar
sein. Sollte wie im Beispiel als
Hypervisor ebenfalls ein frisch installiertes
Fedora-17-System zum Einsatz kommen,
wird das Hinzufügen dieses Hosts
in oVirt am Aufbau der SSH-Verbindung
scheitern. Wer nicht gleich passende
IPTables-Regeln aus dem Ärmel schüttelt,
muss IPTables auf dem Hypervisor
zunächst als Root-User mit
systemctl stop iptables.service
deaktivieren. Viele Dialoge in oVirt starten
mit einem Klick auf »Guide Me« einen
Assistenten, etwa um
sich mit einer existierenden
ISO-Library
oder einem existenten
Storage zu verbinden
(Abbildung 4).
Um eine virtuelle
Maschine anzulegen,
markiert man im Navigations-Frame
auf
der linken Seite im
gewünschten Cluster
den Ziel-Host, aktiviert
dann im rechten
Fensterteil den Reiter
»Virtual Machines«
und klickt auf »New
Server« oder »New
Desktop«.
Fazit
Mit oVirt schließt
nicht nur Red Hats
Enterprise Virtualisierungslösung
RHEV
zu den etablierten
Virt-Management-Lösungen
von VMware,
Citrix und Microsofts
System Center 2012
auf. Dank offener Lizenz
wird auch mit
Selbstbau-Lösungen eine professionelle
Verwaltung von virtuellen Umgebungen
möglich. Leider kommt oVirt in RHEV
3 noch gar nicht offiziell zum Einsatz,
jedenfalls nicht, was das Admin-Frontend
angeht. Mit Fedora 17 lässt sich
aber bereits sehr schön verifizieren, wie
sich Red Hat die Zukunft ohne .Net und
Active Directory vorstellt. Die nächste
RHEV-Version wird dann endlich keinen
Windows-Rechner zur Administration
mehr benötigen. (ofr)
n
Infos
[1] RHEV 3.0:
[http:// de. redhat. com/ promo/ rhev3]
[2] Anforderungen RHEV: [http:// de. redhat.
com/ promo/ rhev3/ tryit/ sysreq. php]
[3] oVirt:[http:// www. ovirt. org]
[4] Release Note oVirt 3.1: [href="http:// wiki.
ovirt. org/ wiki/ OVirt_3. 1_release_notes]
[5] Ovirt Installation-Guide: [http:// www. ovirt.
org/ w/ images/ a/ a9/ OVirt-3. 0-Installation_
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
37

VirtuA lisierung
speicherclouds
© pakhnyushchyy, 123RF
Drei private Speicherclouds im Vergleich
Wolkenkunde
zentrale netzwerkspeicher mit Clients für jede Plattform sind praktisch. Ob die landläufige Anrede „Cloud“
zutrifft, sei dahingestellt. Hier geht es darum, welches die beste implementierung ist: gemietet oder selbst
gehostet, als reine software- oder halbe Hardwarelösung? Jens-Christoph brendel
Drei Probanden (Tabelle 1) haben wir
näher unter die Lupe genommen: zum
Ersten das allseits bekannte Dropbox [1],
Urvater der von Drittanbietern gehosteten
NAS-Speicher, dem später beispielsweise
Stratos Hidrive oder Ubuntu One folgten,
um nur zwei unter vielen aufzuzählen.
Zum Zweiten Owncloud [2], eine Softwarelösung,
die es erlaubt, einen ähnlichen
Service auf heimischer Hardware
unter eigener Regie aufzusetzen. Das
bietet sich zum Beispiel dann an, wenn
Bedenken wegen der Sicherheit, Zuverlässigkeit
oder Leistungsfähigkeit des
Hosters bestehen, denn bei dieser Variante
behält man alles unter Kontrolle, der
Server steht im eigenen Rechnerraum. Die
dritte Variante schließlich ist in gewisser
Weise eine Steigerung der letztgenannten
Strategie: Auch hier operiert der Admin
auf eigener Hardware, muss aber nicht
einmal die Software installieren, denn
hier kommt die „Cloud“ als Zusatzfunktion
einer NAS-Appliance vorinstalliert
mit. Als Beispiel dafür haben wir uns die
Cloud Station [3] auf einer Synology-
Diskstation DS 712+ angesehen.
E Dropbox
Was bei Dropbox im Vergleich mit den
Kontrahenten unmittelbar auffällt, ist
die sehr gute Integration in das Client-
Betriebssystem: Syncstatus-Anzeigen via
Abbildung 1: Syncstatus-Anzeigen im Dateimanager bietet derzeit nur Dropbox,
Owncloud plant allerdings Ähnliches für den September.
Ordner-Icon im Dateimanager (Abbildung
1) und ein Kontextmenü zum Sharen der
Inhalte bieten weder Own cloud noch Synology.
Den zweiten großen Pluspunkt
verbucht Dropbox aufgrund seiner riesigen
Community mit mehr als 50 Millionen
Anwendern weltweit. Owncloud
kommt bis jetzt höchstens auf ein Hundertstel
davon. Das schlägt sich in der
Anzahl an Tools und Erweiterungen von
Drittanbietern und
auch im Reifegrad
nieder. Selbst für
das Mobilbetriebssystem
Android
existieren neben
dem eigentlichen
Dropbox-Client
noch Dutzende
Apps, die bestimmte
Beschränkungen
aufheben,
einzelne Ordner
synchronisieren,
40 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

speicherclouds
VirtuA lisierung
Musik streamen, Transfers automatisieren
oder einfach nur die Dropbox als
universellen Speicher für eigene Zwecke
nutzen.
Drittens überzeugt Dropbox durch seine
Stabilität. Im Unterschied etwa zu Owncloud
hat es der Anwender hier mit einer
ausgereiften Software zu tun, die Kinderkrankheiten
überwunden hat, dafür unter
der Haube etliche Schmankerl bietet,
etwa Deduplikation, die Synchronisation
geänderter Dateifragmente statt großer
Files oder das selektive Syncen. Außerdem
kommt Dropbox sicher auch sein
minimalistischer Ansatz zugute. Außer
mit einer Fotogalerie schmückt es sich
nicht mit Tausenden Extras, sondern
konzentriert sich auf sein Kerngeschäft
und überlässt es Drittanbietern, darauf
aufzusetzen.
Demgegenüber steht freilich, dass sich
der Dropbox-Nutzer in Abhängigkeit von
diesem Anbieter begibt – sowohl in Sicherheitsfragen
wie auch mit Blick auf die
Tarifpolitik. Was der Anbieter verlautbart,
kann man glauben oder nicht – überprüfen
lässt es sich in der Regel nicht. Und
jenseits aller schönen Worte steht fest,
dass auch Dropbox nicht unverwundbar
ist. Erst kürzlich wurden durch das gestohlene
Passwort eines Dropbox-Mitarbeiters
zahlreiche E-Mail-Adressen von
Nutzern kompromittiert und mit Spam
überschwemmt. Dropbox gelobt Besserung
und will nun beispielsweise intern
eine Zweifaktor-Authentifizierung [4]
einführen. Aber niemand weiß, wann ein
Hacker eventuell die nächste Schwachstelle
mit welchen Folgen ausnutzt.
E Owncloud
Eine Reaktion auf die Gefahren einer
zu engen Bindung an einen Anbieter ist
das Streben nach Autonomie. Hat man
den Cloud-Speicher im eigenen Rechenzentrum,
behält man die Zügel in der
Hand. Eine Lösung, die es relativ einfach
möglich macht, die eigene Cloud zu
hosten, bietet das Open-Source-Projekt
Owncloud.
Auf den ersten Blick macht Owncloud
einen begeisternden Eindruck: Es unterstützt
mit Linux, Windows, Mac OS X,
Android und iOS die wichtigsten Plattformen.
Es ist erweiterbar und bringt in
Form interner, vorinstallierter Applikatio-
Abbildung 2: Die Namenskonventionen sind freizügig, beispielsweise erlauben sie Doppelpunkte in
Dateinamen. Der Browserclient kommt damit klar, der native Windows-Client aber will »test:1« nicht kennen.
nen schon eine Reihe nützlicher Funktionen
mit, etwa Audio-Streaming oder das
Hosting von Kalendern und Kontakten.
Es verlangt nur für Support Geld und ist
relativ leicht aufzusetzen, ein gewöhnlicher
LAMP-Stack reicht. Allerdings: Freiheit
bedeutet auch hier Verantwortung
– für Ausfallschutz,
Skalierbarkeit oder Sicherheit
des Storage
muss der Anwender
selbst geradestehen.
Der zweite Blick ist
etwas ernüchternder:
Noch gibt es Lücken
und kleine Fehler an
ziemlich vielen Orten
(Abbildung 2). Wir
wollen uns eine kleinliche
Auflistung schenken,
nur ein Beispiel:
Owncloud sortiert
sämtliche Audio-Files
– darunter beispielsweise
auch FLAC-
Dateien – im Browserclient
unter den
Menüpunkt „Musik“,
kann dann aber davon
nur MP3-Dateien auch
tatsächlich abspielen.
Das mag man noch
als seltsames Feature
schlucken. Löscht man
jedoch physisch unter
„Dateien“ die offenbar
nicht unterstützten Titel
im FLAC-Format,
bleiben sie unter „Mu-
sik“ in der Playlist als Untote weiterhin
erhalten, selbst nach einem Rescan.
Obwohl schon jede Menge Bugfixes in die
von uns getestete nicht mehr allerneueste
Version 4.0.1 eingeflossen waren, macht
Owncloud durchgängig den Eindruck einer
zwar prinzipiell funktionierenden, im
Linux-Server
Das Administrationshandbuch
948 S., 2. Auflage 2012, 49,90 €
» www.GalileoComputing.de/3051
Admin-Know-how
Computer-Netzwerke
370 S., 2012, 24,90 €
» www.GalileoComputing.de/2515
Das Komplettpaket LPIC-1 & LPIC-2
Das gesamte Prüfungswissen
545 S. und 552 S., mit 2 DVDs, 59,90 €
» www.GalileoComputing.de/2895
www.GalileoComputing.de
VMware vSphere 5
1180 S., 2. Auflage 2012, 89,90 €
» www.GalileoComputing.de/3000
www.A dmin-mAgA zin.de
Admin
41
AusgA be 05-2012
Wissen, wie’s geht.

VirtuA lisierung
speicherclouds
Detail aber unfertigen Software. Das fängt
bei Kleinigkeiten an, wie dem doppelten
Menüpunkt „Beenden“ im Linux-Client,
setzt sich fort über derbe Darstellungsfehler
im Internet Explorer und endet
noch nicht bei Sicherheitsbedenken, wie
sie der Security-Experte Pascal Junod [5]
jüngst gegen die Owncloud-Verschlüsselung
ins Feld führte. So stellt sich dasselbe
Gefühl ein wie beim Testen einer
Beta-Version: Alles sieht schon sehr verheißungsvoll
aus, aber es fehlt der letzte
Schliff und die Stabilität, die man sich für
einen Produktiveinsatz wünschen würde.
Wer einen Blick auf die Roadmap wirft,
wundert sich nicht mehr sehr: Mehrere
Major Releases binnen weniger Monate
sind eben nur zu schaffen, wenn man
die eigentlich nötigen ausgiebigen Testphasen
in stabile Versionen umetikettiert.
Nichtsdestotrotz: OwnCloud hat fraglos
das Potenzial, sich zu einer sehr interessanten
Private Storage Cloud zu entwickeln.
E Synology Cloud
Wer eine NAS-Appliance kauft, der hat
im Grunde schon alles für einen kleinen
Cloud-Storage beisammen: Häufig ein Linux-Betriebssystem,
meist mit Webserver,
das Disk- und RAID-Management, den
Netzwerkanschluss. Es liegt also einigermaßen
nahe, auch eine Applikation für
den Fernzugriff und die Synchronisation
mit externen Clients zu integrieren. Auf
diese Idee sind etliche Hersteller gekommen
(Western Digital: WD 2go, Qnap:
MyCloudNAS, und andere). Wir haben
uns die Lösung angesehen, die Synology
Abbildung 3: Geschafft! Der Begrüßungsbildschirm der Cloud Station lädt zur
Benutzung ein.
in sein NAS-Betriebssystem DSM 4.0 auf
Linux-Basis integriert (Abbildung 3).
Was bei unserem Test gleich zu Anfang
für einen Kritikpunkt sorgte: Es gibt keinen
Linux-Client! Und das, obwohl das
NAS-Betriebssystem selbst auf Linux
gründet. Offenbar empfindet der Hersteller
keine moralische Verpflichtung, der
Community, von der er profitiert, etwas
zurückzugeben. Da auch ein Browseroder
Mobilclient fehlt und sich der Fernzugriff
immer der Cloud-Station-Anwendung
bedienen muss, schauen alle in die
Röhre, die nicht vor einem Windows-
Rechner oder Intel-Mac sitzen.
Notgedrungen wichen wir auf Windows
aus. Die Verbindungsaufnahme gestaltet
sich hier prinzipbedingt ein wenig komplizierter,
denn anders als der Dropboxoder
ein Owncloud-Server befindet sich
ein NAS-Server normalerweise im LAN
und hat keine direkte Internetverbindung.
Stattdessen wird er sich – gerade
auch im SMB-Umfeld – häufig in einem
NAT-Subnetz wiederfinden und von außen
eigentlich nicht erreichbar sein.
Synology begegnet dem mit zwei Strategien:
Zum einen verwendet es einen dynamischen
DNS-Dienst, dabei sind sowohl
ein hauseigener wie auch andere Anbieter
wie DynDNS nutzbar. Dieser Dienst
übersetzt den Namen des Cloudservers in
die externe IP-Adresse des Internet-Routers.
Zum anderen pollt der Cloud-Server
permanent einen Rechner bei Synology,
den er regelmäßig fragt, ob sich Clients
für ihn interessiert haben. Ist das der Fall,
vermittelt der auf dem Synology-Rechner
laufende Service QuickConnect eine
Tunnelverbindung zwischen dem Cloud-
Server und seinem
Client und zieht
sich dann zurück.
Dieses Prozedere
erspart Portweiterleitungen
auf
dem Router, erhöht
allerdings
die Komplexität,
kostet etwas Performance
und ist
eine potenzielle
Fehlerquelle.
Eine Verschlüsselung
auf dem
Server fehlt vollkommen,
zumindest
für sicherheitskritische Daten scheidet
diese Clouds also von vorneherein
aus. Irgendwelche Viewer- oder Player-
Apps, Editoren, Kalender oder Adressbücher
gibt es in Synologys Cloud Station
ebenfalls nicht – allerdings bietet
der NAS-Server selbst (zumindest im
LAN) derartiges in Hülle und Fülle an.
Der Status der Synchronisierung lässt
sich zwar nicht unmittelbar an der Datei
ablesen, aber über ein kleines Symbol im
System-Tray von Windows ist ein Menü
aufrufbar, das über den Verbindungsstatus
Auskunft gibt und zum Beispiel auch
verrät, welche Files zuletzt synchronisiert
wurden.
Einmal eingerichtet, funktioniert die
Cloud erwartungsgemäß. Vorteilhaft ist
die Integration in die schicke Web-GUI
des NAS-Betriebssystems. Leicht irritierend
wirkt allerdings die inkonsistente
Verwendung von Menü-Bezeichnern. So
ist beispielsweise in der Cloud-Station-
Hilfe von »Hauptmenü > Bedienfeld«
die Rede, wo »Hauptmenü > Systemsteuerung«
gemeint ist. Wo die Hilfe auf
»Hauptmenü > Cloud Station > Benutzerprivilegien«
verweist, meint sie tatsächlich
„Hauptmenü > Cloud Station >
Berechtigungen“ und so weiter.
Alles in allem: Der Ansatz leuchtet ein,
die Ausführung lässt Wünsche offen.
Fazit
Wen die Bindung an einen Anbieter oder
die Kosten des Abo-Modells nicht schrecken,
und wer keine Angst vor Datenlecks
hat, der kommt mit Dropbox oder einem
vergleichbaren Dienst am bequemsten
zum Ziel. Hier ist nur auf denkbar einfache
Weise der Client zu installieren, um
alles andere kümmert sich der Betreiber.
Infos
[1] Dropbox: [https:// www. dropbox. com]
[2] Owncloud: [http:// owncloud. org]
[3] Cloud Station:
[http:// www. synology. com/ dsm/ home_file_
sharing_cloud_station. php? lang=deu]
[4] Mehr Sicherheit bei Dropbox:
[https:// blog. dropbox. com/ index. php/
security‐update‐new‐features/]
[5] Pascal Junod zur Sicherheit von Owncloud:
[http:// crypto. junod. info/ 2012/ 05/ 24/
owncloud‐4‐0‐and‐encryption/]
42 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

speicherclouds
VirtuA lisierung
Der Service ist ausgereift, ergänzende Angebote
von Drittanbietrern sind vielseitig,
die Plattformunterstützung ist gut.
Wer die Zügel in der Hand behalten will
und es sich zutraut, selbst einen hoch
verfügbaren und sicheren Storage zu managen,
der sollte sich Owncloud ansehen.
Wenn es die Kinderkrankheiten einmal
überwunden hat, wird es eine komplette
und dabei günstige Private Cloud für Storage
sein, die viele Clients unterstützt
und sich relativ einfach aufsetzen und
administrieren lässt.
Wer sich weder in die Hände von Dropbox
begeben will noch Speicher-Know-how
investieren kann, für den ist eine Cloud
als NAS-Ableger vielleicht das Richtige.
Allerdings muss man sich der Beschränkungen
bewusst sein: Die von uns getestete
DS 712+ verfügt beispielsweise nur
über zwei Plattensteckplätze. Gespiegelt
reicht das für maximal 3 TByte, auch
der Cache hat eine fixe Größe, für eine
Hotspare-Platte fehlt der Platz, die Daten
werden unverschlüsselt abgelegt, die Anzahl
möglicher Accounts ist beschränkt,
ebenso die Dateigröße (1 GByte) und so
weiter. Es gibt größere Hardware-Modelle
von Synology, aber die verschieben das
Limit des einen Geräts nur etwas nach
oben. Zudem ist derzeit – ohne Linux,
ohne Mobil- und Browserclient – die
Plattformunterstützung eher mager. n
Tabelle 1: drei storage Clouds im Vergleich
Feature ownCloud Dropbox Synology Cloud Station
Version 4.0.1 ‐ Beta
Dokumentation
Handbuch Install Guide Nein Nein, eine Seite im DSM
Manual
Wiki, FAQ Ja Ja Nein
Foren Ja Ja Ja
Kosten
Für Hardware und Support Für Speicher > 2 GByte, Kosten der NAS‐Appliance
(gestaffelt)
volumenabhängig
Client‐Plattformen
Browser Ja Ja Nein
Windows Ja Ja Ja
Linux Ja Ja Nein
Mac Ja Ja Ja
Android Ja Ja nein
Iphone/ iPad Ja Ja Nein
Blackberry Nein Ja Nein
Verschlüsselung
auf dem Client Nein Nein Nein
auf dem Transportweg Ja, SSL Ja, SSL Ja, SSL
auf dem Server Ja, Blowfish Ja, AES256 Nein
Suche
nach Dateinamen
Im Browser und im Client Im Browser und im Client Im Client via OS
via OS
via OS
nach Metadaten Nein Nein Nein
Viewer‐ & Player‐Apps im Browser‐Client
Fotos (Galerie) Ja Ja Nein
Text‐Reader Ja Nein Nein
PDF‐Viewer Ja Nein Nein
ODF‐Viewer Ja Nein Nein
Kalender‐Hosting Ja Nein Nein
Audio‐/ Video‐Streaming
MP3‐Streaming in
Nein (aber mit 3rd‐Party‐ Nein
Browserclient integriert Apps)
Bearbeitungsfunktionen für Dokumente Ja, Texteditor Nein Nein
Syncing & Sharing
nur geänderte Dateiteile syncen Nein Ja Nein
selektives Syncen (nicht alle Ordner auf alle Geräte) Ja, im Mobilclient Ja Nein
Bandbreitenbeschränkung Ja, serverseitig via OS Ja, für Up‐ und Download Ja, ab DSM 4.1
Quotas für User Ja Nein Nein
Wiederherstellung älterer Versionen Ja Ja, 30 Tage Nein, nur indirekt, nur 32
Versionen
Sharing mit fremden Usern ohne Registrierung Ja Ja Nein
Sync‐Status‐Anzeige im Client Nein Ja Ja
API für Programme Dritter Ja Ja Nein
Anzahl Drittanbieter‐Tools einige reichlich keine
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
43

VirtuA lisierung
Vm-images bauen
Erzeugung von KVM-Maschinen mit Boxgrinder und VMBuilder automatisieren
Virtuelle
Bastelstunde
© yewkeo, 123RF
das manuelle Anlegen einer virtuellen maschine ist unkompliziert, wird aber zu mühsamen Arbeit, wenn man
regelmäßig viele virtuelle maschinen einrichten muss. mit den Programmen Vmbuilder und boxgrinder lässt sich
dieser Prozess automatisieren. michael Kofler
Eigentlich soll Virtualisierungstechnologie
dem Administrator die Arbeit erleichtern.
Werden aus einigen Servern
einige Dutzend VMs, gestaltet sich die
vermeintliche Erleichterung schnell als
Bürde. Praktisch sind deshalb Tools, die
das Anlegen neuer virtueller Rechner erleichtern.
Die schnellste und einfachste
Methode, um eine neue virtuelle Maschine
einzurichten, ist das Klonen. Dazu
führen Sie in der Shell das Kommando
»virt-clone« aus, zum Beispiel so:
virt-clone --original userver5 --name U
userver6 --file /var/lib/libvirt/images/U
userver6.img
»virt-clone« erzeugt eine neue XML-Definitionsdatei
für die virtuelle Maschine,
kopiert die Image-Datei für die virtuelle
Festplatte und gibt dem Netzwerkadapter
eine neue, zufällige MAC-Adresse. Die
restlichen Hardware-Komponenten bleiben
unverändert.
Nach dem Klonen ist allerdings eine
Menge Handarbeit erforderlich: Sie müssen
in der virtuellen Maschine die Netzwerkkonfiguration
anpassen und den
Hostnamen neu einstellen. Wenn es in
der ursprünglichen virtuellen Maschine
einen SSH-Server gab, müssen Sie auch
den SSH-Schlüssel der neuen virtuellen
Maschine neu erzeugen.
Boxgrinder
Das Klonen ist also mit vielen manuellen
Eingriffen verbunden, die fehleranfällig
sind. Wozu klonen, wenn Sie
virtuelle Maschinen mit einem einzigen
Kommando von Grund auf neu erzeugen
können? In der Red-Hat-Welt hilft dabei
das Boxgrinder-Projekt [1]. Damit lassen
sich im Handumdrehen virtuelle Fedora-,
RHEL, CentOS- und Scientific-Linux-Maschinen
erzeugen. Boxgrinder ist übrigens
kein KVM-spezifisches Werkzeug:
Es kommt auch mit diversen anderen
Virtualisierungs- und Cloud-Systemen
zurecht und unterstützt neben KVM auch
VMware, Amazon EC2 und Virtualbox.
Fertige Boxgrinder-Pakete existieren momentan
leider nur für Fedora. Die Installation
ist unkompliziert:
yum install rubygem-boxgrinder-build
RHEL- und CentOS-Anwender müssen
wohl auf Version 6.4 warten, bis offizielle
Boxgrinder-Pakete zur Verfügung stehen.
Auch wenn Sie im Produktiveinsatz
vermutlich nicht Fedora als KVM-Host
einsetzen werden, ist diese Einschränkung
weniger schlimm, als es auf den
ersten Blick scheint: Zum einen können
Sie Boxgrinder unter Fedora ausführen,
um beispielsweise eine virtuelle CentOS-
Maschine zu erzeugen und auf einem
unter CentOS laufenden KVM-Host zu
installieren. Fedora dient damit also nur
als Vehikel, um Boxgrinder auszuführen,
aber nicht als Virtualisierungssystem.
Zum anderen können Sie Boxgrinder auf
dem KVM-Host in einer virtuellen Maschine
ausführen. Auf der Boxgrinder-
Website finden Sie hierfür sogar ein fertiges
Image [2].
44 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Vm-images bauen
VirtuA lisierung
Viele Funktionen von Boxgrinder sind in
Plugins implementiert. Es gibt drei Typen
von Plugins:
n OS-Plugins steuern betriebssystemspezifische
Details der virtuellen
Maschinen.
n Plattform-Plugins sind für die Besonderheiten
des jeweiligen Virtualisierungssystems
verantwortlich.
Wenn kein Plattform-Plugin zum Einsatz
kommt, werden virtuelle KVM-
Maschinen erstellt.
n Delivery-Plugins kümmern sich
schließlich darum, wie die virtuelle
Maschine ausgeliefert wird, das heißt
wie sie zum Virtualisierungs-Host
übertragen wird.
Nach der Installation von Boxgrinder verschaffen
Sie sich mit dem Kommando
»boxgrinder-build --version« einen Überblich
über die zur Verfügung stehenden
Plugins (siehe Listing 1).
Das Appliance Definition
File
Bevor Sie Ihre erste virtuelle Maschine
mit Boxgrinder erzeugen, müssen Sie die
virtuelle Maschine in einer Textdatei beschreiben,
dem sogenannten Appliance
Definition File. Diese Datei kann wie in
Listing 2 aussehen.
Zwingend erforderlich sind lediglich die
Angaben name sowie »os/ name« und
»os/ version«. Wenn Sie als Betriebssystem
»rhel«, »centos« oder »sl« (für Scientific
Linux) angeben, müssen Sie als
Versionsnummer einfach 5 oder 6 angeben.
Boxgrinder berücksichtigt dann automatisch
die aktuellste passende Version
(momentan also Version 6.3).
Für alle weiteren Parameter kommen gegebenenfalls
Defaultwerte zur Anwendung.
Im »os«-Abschnitt können Sie mit
»password« das gewünschte Root-Passwort
angeben (standardmäßig lautet es
»boxgrinder«).
Der »hardware«-Abschnitt ist für die Partitionierung
der virtuellen Festplatte zuständig.
Hier geben Sie die gewünschten
Partitionen mit dem Mount-Punkt und der
Größe in GByte an. Falls Sie eine Swap-
Partition wünschen, geben Sie statt des
Mount-Punkts die Zeichenkette »swap«
an. Falls die Partitionierungsdaten fehlen,
richtet Boxgrinder lediglich eine ein
GByte große Root-Partition ein.
Außerdem bestimmt der »hardware«-
Abschnitt die Anzahl der CPU-Cores
(standardmäßig einer) und die Größe
des RAM-Speichers in MByte bestimmen
(standardmäßig 256).
Der »packages«-Abschnitt bestimmt, welche
Pakete in der virtuellen Maschine
installiert werden. Dabei geben Sie die
gewünschten Pakete zeilenweise an,
wobei Sie jeweils ein Minuszeichen voranstellen
müssen. »@name« bezeichnet
Paketgruppen.
Die Paketgruppe »core« ist automatisch
ausgewählt. Sie bewirkt bei Fedora- und
RHEL-Distributionen eine Minimalinstallation
für den Textmodusbetrieb (ungefähr
200 Pakete mit etwa 600 MByte
Platzbedarf). Die Namen und der Umfang
der Paketgruppen von Red-Hat-basierten
Distributionen gehen aus der Datei
»repodata/xxx-comps.xml« auf der Installations-DVD
hervor. Auch »yum grouplist
-v« liefert eine Liste aller Gruppen,
wobei die für den Boxgrinder relevanten
Gruppen-IDs in Klammern angegeben
werden. »yum grouplist« kennt die minimale
Core-Gruppe allerdings nicht.
Neben den hier beschriebenen Schlüsselwörtern
können Sie im Appliance
Definition File zusätzliche Paketquellen
Listing 1: boxgrinder-Plugins
01 boxgrinder-build --version
02 BoxGrinder Build 0.10.2
03
04 Available os plugins:
05 - rhel plugin for Red Hat Enterprise Linux
06 - centos plugin for CentOS
07 - fedora plugin for Fedora
08 - sl plugin for Scientific Linux
09
10 Available platform plugins:
11 - vmware plugin for VMware
12 - ec2 plugin for Amazon Elastic Compute Cloud
(Amazon EC2)
13 - virtualbox plugin for VirtualBox
14 - virtualpc plugin for VirtualPC
Listing 2: Application definition File für CentOs
01 name: centos
02 summary: CentOS installation with BoxGrinder
03 os:
04 name: centos
05 version: 6
06 hardware:
07 partitions:
08 "/":
09 size: 4
10 "/home":
angeben (»packages«), andere Appliance-
Dateien integrieren (»appliances«), einzelne
Dateien hinzufügen (»files«) sowie
nach Abschluss der eigentlichen Installation
Kommandos ausführen (»post«).
Im Detail sind diese Möglichkeiten in [3]
beschrieben.
Build my box …
Im einfachsten Fall erzeugen Sie die neue
virtuelle Maschine durch den simplen
Aufruf von »boxgrinder-build«, wobei Sie
als einzigen Parameter den Namen des
Appliance Definition File angeben:
boxgrinder-build centos.appl
»boxgrinder-build« muss von Root ausgeführt
werden. Die Ausführung dauert
mehrere Minuten. Wenn eine Distribution
erstmals erzeugt wird, werden alle
erforderlichen Pakete heruntergeladen.
Boxgrinder speichert die Pakete im
Verzeichnis »/var/cache/boxgrinder/
rpms-cache«, weswegen ein neuerlicher
Aufruf des Kommandos dann wesentlich
schneller verarbeitet wird.
Standardmäßig speichert Boxgrinder die
resultierenden Dateien (also eine RAW-
Datei mit dem virtuellen Datenträger und
15
16 Available delivery plugins:
17 - s3 plugin for Amazon Simple Storage Service
(Amazon S3)
18 - cloudfront plugin for Amazon Simple Storage
Service (Amazon S3)
19 - ami plugin for Amazon Simple Storage Service
(Amazon S3)
20 - sftp plugin for SSH File Transfer Protocol
21 - ebs plugin for Elastic Block Storage
22 - local plugin for Local file system
23 - elastichosts plugin for ElasticHosts
24 - openstack plugin for OpenStack
25 - libvirt plugin for libvirt Virtualisation API
11 size: 1
12 "swap":
13 size: 0.5
14 cpus: 1
15 memory: 1024
16 packages:
17 - @core
18 - @mysql
19 - acpid
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
45

VirtuA lisierung
Vm-images bauen
eine Libvirt-XML-Datei) im folgenden
Verzeichnis:
build/appliances/x86_64//U
//1.0/-plugin/
Bei der Verwendung des Appliance Definition
Files aus Listing 2 ergibt sich
also:
build/appliances/x86_64/centos/6/centos/U
1.0/centos-plugin/
Boxgrinder verwendet normalerweise das
RAW-Format für Image-Dateien. Wenn
Sie das QCOW2-Format vorziehen, rufen
Sie Boxgrinder wie folgt auf:
boxgrinder-build centos.appl --os-config: U
format:qcow2
In der virtuellen Maschine ist außer »root«
kein weiterer Benutzer eingerichtet. Das
Root-Passwort lautet standardmäßig
»boxgrinder« und sollte aus Sicherheitsgründen
sofort beim ersten Start der virtuellen
Maschine geändert werden.
Beachten Sie, dass Boxgrinder bei jedem
Aufruf testet, ob eine virtuelle Maschine
mit dem angegebenen Namen bereits
existiert. In diesem Fall verzichtet das
Kommando auf eine neuerliche Erzeugung.
Das spart Zeit, führt aber dazu,
dass Änderungen im Appliance Definition
File ignoriert werden. Nach jeder
Listing 3: beispielhafte boxgrinder-Konfiguration
01 plugins:
02 fedora:
03 format: qcow2
04 centos:
05 format: qcow2
06 libvirt:
07 connection_uri: qemu+ssh://root@kvmhost/system
08 image_delivery_uri: sftp://root@kvmhost/var/lib/
libvirt/images
09 bus: virtio
10 overwrite: true
11 domain_type: kvm
Änderung in dieser Datei müssen Sie
Boxgrinder explizit mit der Option »-f«
dazu zwingen, die virtuelle Maschine
neu einzurichten.
Boxgrinder und Libvirt
Natürlich können Sie die resultierende
Image-Datei und die dazugehörende
XML-Datei nun manuell am Virtualisierungs-Host
installieren. BoxGrinder kann
Ihnen aber auch diese Aufgabe abnehmen.
Dazu wählen Sie mit der Option
»-d« ein Delivery-Plugin aus. Für KVM-
Maschinen ist das Libvirt-Plugin am besten
geeignet, also »-d libvirt«.
Ohne weitere Optionen kopiert BoxGrinder
die Image-Datei dann in das Verzeichnis
»/var/lib/libvirt/images« und
fügt die virtuelle Maschine in die Liste
der von libvirt verwalteten Maschinen
hinzu. Wenn der KVM-Host auf einem
anderen Rechner läuft oder wenn Sie die
Image-Datei in einem anderen Speicherpool
ablegen möchten, müssen Sie zwei
Zusatzoptionen angeben: connection_uri
für die Auslieferung der Beschreibung
der virtuellen Maschine (XML-Datei) und
»image_delivery_uri« für die Übertragung
der Image-Datei:
boxgrinder centos.appl --os-config format:U
qcow2 -d libvirt --delivery-config U
connection_uri:qemu+ssh://root@kvmhost/system,U
image_delivery_uri:sftp://root@kvmhost/var/U
lib/libvirt/images
Das Boxgrinder-Kommando wird damit
sehr unübersichtlich. Soweit die Zusatzoptionen
für jeden Boxgrinder-Aufruf
zutreffen, ist es deswegen besser, diese in
»/root/.boxgrinder/config« zu speichern.
Diese Datei kann zum Beispiel aussehen
wie in Listing 3. Der Boxgrinder-Aufruf
vereinfacht sich damit wieder zu:
boxgrinder centos.appl -d libvirt
Leider gelten in den von Boxgrinder
erzeugten virtuellen Maschinen einige
recht seltsame Default-Einstellungen. So
werden die virtuellen Festplatten standardmäßig
als IDE-Festplatten angesprochen.
Dies ändert die Option »bus:virtio«
in »/root/.boxgrinder/config«, die auf
den Virtio-Treiber umschaltet. Wenn Sie
die virtuelle Maschine als QCOW2-Image
einrichten, enthält die XML-Datei der
virtuellen Maschine ein falsches Speicherformat.
Die Einstellung lässt sich mit
»virsh edit« oder im Virt-Manager korrigieren
(siehe Abbildung 1).
Als Hypervisor kommt Qemu statt KVM
zum Einsatz. Das ist auch der Grund
dafür, warum die virtuellen Maschinen
so langsam laufen. Abhilfe schafft die
Option »domain_type:kvm« in »/root/.
boxgrinder/config«.
Schnelleres Netzwerken
Auch die Netzwerkanbindung verwendet
nicht Virtio, sondern einen RTL8139-
Adapter. Schneller funktioniert das Netz,
wenn Sie das Gerätemodell der Netzwerkkarte
auf »virtio« umstellen. Es existiert
leider keine entsprechende Option
im Libvirt-Plugin von Boxgrinder.
ACPI und APIC sind standardmäßig nicht
aktiv. ACPI ermöglicht es, die virtuelle
Maschine durch ein ACPI-Shutdown-
Kommando geordnet herunterzufahren
beziehungsweise neu zu starten. APIC
Listing 4: Virtueller ubuntu-server mit Vmbuilder
01 vmbuilder kvm ubuntu --suite precise \
02 --libvirt qemu:///system \
03 --mem 512 --user kofler \
04 --dest /var/lib/libvirt/images/firma-abc.de \
05 --hostname firma-abc.de \
06 --bridge br0 \
07 --ip 79.47.194.162 --mask 255.255.255.248 --net
79.47.194.160 \
08 --gw 79.47.194.166 --dns 213.211.98.98 \
09 --addpkg openssh-server --addpkg acpid \
10 -v
Abbildung 1: Bei QCOW2-Images ist das Speicherformat des Datenträgers falsch voreingestellt.
46 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Vm-images bauen
VirtuA lisierung
steht für Advanced Programmable Interrupt
Controller und bezeichnet ein
Schema, um Hardware-Interrupts an die
CPUs weiterzuleiten. Sie sollten beide
Optionen im Dialogblatt »Overview« des
Virtual Maschine Managers (Unterpunkt
Maschineneinstellungen) setzen.
In der virtuellen Maschine gilt das US-
Tastaturlayout. Abhilfe: Sie müssen das
Keyboard in der Datei »/etc/sysconfig/
keyboard« richtig einstellen. In den virtuellen
Maschinen gilt die Zeitzone EDT
(Eastern Daylight Time, das ist die Zeit,
die in New York gilt). Die Lösung hierbei
ist: Kopieren Sie die geeignete Zeitzonendatei
von »/usr/share/zoneinfo« nach »/
etc/localtime«. Anschließend müssen Sie
noch innerhalb der virtuellen Maschine
die Netzwerkeinstellungen manuell
anpassen.
Die Gefahr ist aber groß, dass derartig
suboptimale Optionen übersehen werden
und die virtuelle Maschine deswegen
weniger effizient läuft, als es eigentlich
möglich wäre. Es ist unverständlich, warum
nicht von vorneherein zweckmäßigere
Defaulteinstellungen zum Einsatz
Tabelle 1: Vmbuilder-Optionen
Option
Funktion
--addpkg Name
Installiert zusätzlich das angegebene Paket. Wenn Sie mehrere Pakete wünschen, müssen Sie die Option für jedes Paket
anführen. Es ist also nicht zulässig, mehrere Paketnamen auf einmal zu nennen.
--arch i386|amd64 Gibt die gewünschte CPU-Architektur an – standardmäßig verwendet VMBuilder dieselbe Architektur wie jene des Hostrechners.
--bridge Name
Verwendet für den Netzwerkzugang die angegebene Netzwerk-Bridge.
--components
Name1,Name2
--dest Name
--firstboot Dateiname
--firstlogin Dateiname
--flavour Name
--hostname Name
Verwendet die angegebenen Paketquellen (zum Beispiel »main,universe,multiverse«) statt nur »main«. Die Liste der Paketquellen
muss ohne Leerzeichen angegeben werden!
Verwendet das angegebene Zielverzeichnis (standardmäßig »./ubuntu-kvm« relativ zum aktuellen Verzeichnis). Dieses
Verzeichnis wird von VMBuilder erzeugt. Das Verzeichnis darf noch nicht existieren, es sei denn, Sie wollen den bisherigen
Inhalt des Verzeichnisses überschreiben und führen VMBuilder mit der Option »-o« aus.
Gibt den Dateinamen eines Shell-Skripts an. Es wird in das Dateisystem der virtuellen Maschine kopiert und beim ersten
Bootprozess ausgeführt. Es darf keine interaktiven Elemente enthalten.
Gibt den Dateinamen eines Shell-Skripts an. Es wird in das Dateisystem der virtuellen Maschine kopiert und beim ersten
Login automatisch ausgeführt. Das Skript darf interaktive Elemente enthalten. Es dient in der Regel dazu, eine Basiskonfiguration
durchzuführen (beispielsweise die Veränderung des Login-Passworts, die Einstellung des Passworts des MySQL-
Servers, falls dieser installiert wurde und so weiter).
Gibt die gewünschte Kernel-Variante an. In der Regel ist »virtual« die richtige Wahl. Damit erhalten Sie einen für Virtualisierungssysteme
optimierten Kernel.
Gibt den gewünschten Hostnamen für die virtuelle Maschine an. Dieser Name wird gleichzeitig auch zur Bezeichnung der
virtuellen Maschine für die Libvirt-Werkzeuge verwendet und darf noch nicht genutzt werden. Wenn diese Option nicht angegeben
wird, verwendet VMBuilder sowohl als Hostnamen als auch als Libvirt-Namen »ubuntu«.
Die IP-Adresse der virtuellen Maschine. Ohne diese und die folgenden Angaben erwartet VM einen DHCP-Server.
--ip n.n.n.n
--mask n.n.n.n Die Netzwerkmaske der virtuellen Maschine. Der Default-Wert ist 255.255.255.0.
--net n.n.n.n
Die Netzwerkadresse der virtuellen Maschine. Der Default-Wert lautet n.n.n.0.
--bcast n.n.n.n
Die Broadcast-Adresse der virtuellen Maschine mit dem Default-Wert n.n.n.255.
--gw n.n.n.n
Die Adresse des Default Gateway. Ohne diese Angabe verwendet die VM die Adresse n.n.n.1.
--dns n.n.n.n
Die Nameserver-Adresse, per Default n.n.n.1.
--libvirt qemu:/// system Installiert die virtuelle Maschine im Libvirt-System.
-m n Weist der virtuellen Maschine n MByte Speicher zu (standardmäßig 128).
--mirror URL
Verwendet für den Download der Installationspakete den angegebenen Mirror-Server statt »http://archive.ubuntu.com/
ubuntu«. Wenn Sie vorhaben, viele Installationen durchzuführen, sollten Sie einen eigenen Mirror-Server einrichten. Beachten
Sie, dass die Mirror-Adresse auch in der Datei »/etc/apt/sources.list« der virtuellen Maschine eingetragen wird, sodass
dann auch die virtuelle Maschine diesen Mirror verwendet. Wenn Sie das nicht möchten, verwenden Sie statt »--mirror« die
Option »--install-mirror«.
--ppa Name
Verwendet außer den gewöhnlichen Paketquellen auch das angegebene Personal Package Archive (PPA).
--proxy URL
Verwendet den angegebenen Proxy-Server für den Download der Installationspakete.
-o / --overwrite Löscht den Inhalt des Verzeichnisses »./ubuntu-kvm« beziehungsweise des mit »--dir« angegebenen Verzeichnisses.
--part Dateiname Liest die gewünschte Partitionierung der Festplatte aus der angegebenen Datei. Jede Zeile dieser Datei gibt das mount-
Verzeichnis (für die Root- und Swap-Partition ohne einleitendes /-Zeichen) und die gewünschte Größe in MByte an.
--raw Dateiname Gibt den Namen einer RAW-Image-Datei an, in die das Dateisystem installiert werden soll.
--user Login
Der Login-Name für die neue VM. Per Default lauten Account und Passwort »ubuntu«, und es gibt kein Root-Passwort.
--name Fullname Den vollständigen Name für den Benutzer-Account.
--pass Passwort Das Passwort des Accounts.
--rootpass Passwort Das Root-Passwort für die virtuelle Maschine.
--suite Name Gibt den Namen der gewünschten Ubuntu-Version an (zum Beispiel »precise« für Ubuntu 12.04).
-v Gibt während der Installation Feedback darüber, was gerade passiert.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
47

VirtuA lisierung
Vm-images bauen
kommen. Mit der Notwendigkeit, diverse
Einstellungen manuell richtig zu stellen,
bleibt von der durch Boxgrinder eingesparte
Zeit beim Einrichten von virtuellen
Maschinen nicht mehr viel übrig. Abhilfe
können Scripts schaffen, die die XML-
Datei der neuen virtuellen Maschine auf
dem KVM-Host korrigieren und die innerhalb
der virtuellen Maschine diverse
Grundeinstellungen verändern (Tastaturlayout,
Zeitzone).
Künftig soll es zu Boxgrinder auch ein
grafisches Frontend namens Boxgrinder
Studio geben, das über eine REST-
Schnittstelle mit den Build-Tools zusammenarbeitet
(Abbildung 2).
VMBuilder
Das Ubuntu-spezifische Gegenstück zu
Boxgrinder ist VMBuilder. Er hilft dabei,
virtuelle Ubuntu-Maschinen mit minimalem
Aufwand einzurichten. Neben KVM/
Libvirt unterstützt es auch die Virtualisierungssysteme
Amazon EC2, Virtual-
Box, VMware und Xen. VMBuilder ist als
Python-Script realisiert, das sich im Paket
»python-vm-builder« befindet:
apt-get install python-vm-builder
Die Manpage zum Kommando VMBuilder
ist leider wenig hilfreich. Eine Liste aller
Optionen liefert »vmbuilder kvm ubuntu
--help«. Außerdem enthält der Ubuntu-
Server-Guide ein VMBuilder-Kapitel [4].
VMBuilder muss mit Root-Rechten beziehungswese
mit »sudo« ausgeführt
werden. In der Minimalvariante sieht die
Syntax wie im folgenden Beispiel aus:
vmbuilder kvm ubuntu --suite precise U
--libvirt qemu:///system
Der erste Parameter gibt das gewünschte
Virtualisierungssystem an, der zweite
die Distribution. Die Option »--suite« bestimmt
die Ubuntu-Version, wobei »precise«
der Codename für Ubuntu 12.04 ist.
Die Option »--libvirt uri« gibt schließlich
an, auf welchem KVM-Host VMBuilder
die virtuelle Maschine einrichten soll.
VMBuilder führt grundsätzlich eine Minimalinstallation
durch, die etwa 190 Pakete
umfasst und 500 MByte Speicherplatz auf
der Festplatte belegt. Die Installation umfasst
keinen grafischen Desktop.
VMBuilder erstellt die Image-Datei für
die virtuelle Festplatte im Unterverzeichnis
»ubuntu-kvm«
relativ zum gerade
aktuellen Verzeichnis.
Wenn Sie die
virtuelle Maschine
an einem anderen
Ort speichern
möchten, sollten
Sie vor der Ausführung
von VMBuilder
das Verzeichnis
wechseln oder
mit der Option
»--dest« das Zielverzeichnis
vorgeben.
VMBuilder
erzeugt das Zielverzeichnis
selbst,
es darf nicht existieren!
Ist das doch
der Fall, meldet sich VMBuilder mit einer
Fehlermeldung – ärgerlicherweise aber
erst am Ende des Build-Prozesses.
Für die von VMBuilder erzeugten virtuellen
Maschinen gibt es eine Reihe von
Standard-Einstellungen. So kommt dieselbe
CPU-Architektur wie auf dem Rechner
zum Einsatz, auf dem VMBuilder ausgeführt
wird. Wenn Sie VMBuilder also
auf einer 64-Bit-Installation von Ubuntu
ausführen, wird auch in der virtuellen
Maschine eine 64-Bit-Version von Ubuntu
installiert. Der virtuellen Maschine steht
dabei eine CPU (ein Core) sowie 128
MByte RAM zur Verfügung.
Das Dateisystem wird in einer QCOW2-
Image-Datei mit 4 GByte abgelegt. Davon
sind 3 GByte für die Systempartition und
ein weiteres GByte für die Swap-Partition
reserviert. Die Image-Datei wird im
Verzeichnis »kvm-ubuntu« gespeichert
und nicht in einen Libvirt-Speicherpool
übertragen. Die Image-Datei wird über
den IDE-Treiber an die virtuelle Maschine
weitergegeben (also nicht über den effizienteren
Virtio-Treiber). Der Netzwerkadapter
verwendet dagegen den Virtio-
Treiber. Die virtuelle Maschine befindet
sich im Default-Netzwerk der Libvirt-
Werkzeuge. In der virtuellen Maschine
wird der Benutzer »ubuntu« mit dem
Passwort »ubuntu« eingerichtet. »ubuntu«
lautet auch der Hostname.
Wenn Sie von diesen Eckdaten abweichende
Einstellungen wünschen, müssen
Sie entsprechende Optionen angeben
(siehe Tabelle 1). Das macht den Aufruf
Abbildung 2: Das in Planung befindliche Boxgrinder Studio soll als grafisches
Frontend die Erstellung virtueller Maschinen erleichtern.
des VMBuilder-Kommandos leider recht
unübersichtlich.
Listing 4 zeigt eine reale Ubuntu-Server-
Installation. Mit diesen Optionen (beachten
Sie insbesondere --dest und --hostname)
erzeugt »vmbuilder« die folgenden
Dateien, wobei »xxxxxx« eine zufällige
Zeichenkette ist:
/etc/libvirt/qemu/firma-abc.de.xml
/var/lib/libvirt/images/firma-abc.de/U
xxxxxx.qcow2
Die erste Zeile ist die XML-Datei für Libvirt,
die zweite gibt die Image-Datei an.
VMBuilder-Eigenheiten
Leider weist auch VMBuilder einige Macken
auf. So weigert er sich, die neue
virtuelle Maschine in der Libvirt-Verwaltung
einzurichten, wenn schon eine
gleichnamige Maschine existiert. Das ist
so weit sinnvoll, schön wäre nur, wenn
der entsprechende Test bereits zu Beginn
erfolgen würde und nicht erst zum Ende
des Build-Prozesses. Geben Sie also mit
»--hostname« einen eindeutigen Namen
an, der nicht nur als Hostname verwendet
wird, sondern auch als Name für die
Libvirt-Werkzeuge.
VMBuilder legt zum Erzeugen virtueller
Maschinen das Verzeichnis
»kvm-ubuntu« an, löscht es später aber
nicht mehr (selbst wenn das Verzeichnis
dank der Option »--dest« leer ist). Bei
einem neuerlichen Aufruf gibt das Skript
dann die Fehlermeldung »ubuntu-kvm
48 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Vm-images bauen
VirtuA lisierung
already exists« aus. Abhilfe: Löschen Sie
das Verzeichnis von Hand.
Der VMBuilder wählt die Hardware-
Komponenten der virtuellen Maschine
nicht optimal aus. Insbesondere der Festplattenzugriff
über einen virtuellen IDE-
Controller bremst die VM. Wenn Sie den
schnelleren Virtio-Treiber nutzen möchten,
ersetzen Sie in »/etc/fstab« der virtuellen
Maschine »/dev/sda« durch »/dev/
vda« und fahren die virtuelle Maschine
dann herunter. Anschließend stellen Sie
in der Konfiguration der virtuellen Maschine
von IDE auf Virtio um (am einfachsten
im Virtual Machine Manager).
Das Paket »acpid« wird nicht automatisch
installiert. Die virtuelle Maschine reagiert
deswegen nicht auf ACPI-Ereignisse (also
zum Beispiel auf die Shutdown-Anforderung
des Virtual Machine Managers).
Installieren Sie zur Lösung dieses Problems
das Paket »acpid« oder geben Sie
beim Einrichten der virtuellen Maschine
die Option »--addpkg acpid« an.
In der virtuellen Maschine gilt standardmäßig
das US-Tastaturlayout. Abhilfe
schafft hier das Kommando »dpkg-reconfigure
keyboard-configuration«. VMBuilder
installiert in der virtuellen Maschine
als Bootloader Grub 0.97 und nicht die
normalerweise bei Ubuntu zum Einsatz
kommende Version 2.
Im Gegensatz zu Boxgrinder legt VMBuilder
keinen Cache für die zur Installation
erforderlichen Pakete an. Daher müssen
alle erforderlichen Pakete bei jeder Installation
erneut heruntergeladen werden.
Richten Sie deshalb besser einen APT-
Proxy ein (zum Beispiel mit »approx«
oder mit »apt-cacher-ng«). Beim Aufruf
von VMBuilder müssen Sie nun mit »--install-mirror«
die Proxy-Adresse angeben.
Fazit
Boxgrinder und VMBuilder können Menge
Zeit beim regelmäßigen Einrichten virtueller
Maschinen sparen. Beide Tools sind
aber nicht ohne Tücken und richten sich
an professionelle Administratoren. Für
KVM-Anwender, die nur hin und wieder
eine neue virtuellen Maschine anlegen,
lohnt sich die Einarbeitung nicht. (ofr) n
Infos
[1] Boxgrinder: [http://boxgrinder.org]
[2] Meta-Appliance verwenden:
[http://boxgrinder. org/tutorials/boxgrinde
r-build-meta-appliance/]
[3] Appliance-Definition: [http://boxgrinder.
org/tutorials/ appliance-definition/]
[4] JeOS und VMBuilder: [https://help.
ubuntu.com/ 12. 04/ serverguide/C/
jeos-and-vmbuilder.html]
Der Autor
Michael Kofler [http:// kofler. info] arbeitet als
selbstständiger Computerbuch-Autor und Trainer.
Zuletzt hat er zusammen mit Ralf Spenneberg
das Buch „KVM für die Server-Virtualisierung“ im
Addison-Wesley-Verlag veröffentlicht.
SERVER VIRTUALISIERUNG
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
49

s eC u R i T y
ARP Cache Poisoning
© Eric Issele, 123RF
ARP Cache Poisoning und Paket-Sniffing
Ausgeschnüffelt
um in geswitchten netzwerken an sensible informationen zu gelangen und ihre eigene identität zu verbergen,
verwenden Cracker Techniken wie ARP Cache Poisoning. dieser Artikel erklärt, wie es funktioniert. david J. dodd
Listing 1: ARP-Pakete mit nemesis
In der Theorie sollten in einem Netzwerk
mit Switches die Sicherheitsrisiken
gering sein. Der Switch tauscht Daten nur
mit dem Rechner aus, für den sie gedacht
sind, statt sie wie bei einem Broadcast-
Medium allen zugänglich über eine gemeinsame
Leitung zu schicken. Doch
wie so oft haben findige Hacker auch
hier Sicherheitslücken ausgemacht, die
die schöne Theorie Makulatur werden
lassen.
Eine solche Methode besteht darin, die
eigene MAC-Adresse zu fälschen und
die ARP-Tabelle zu „vergiften“ (im Englischen
wird von ARP Cache Poisoning
gesprochen). Die ARP-Tabellen in Netzwerkgeräten
und Rechnern speichern die
Zuordnung von IP- und den MAC-Adressen,
die in der Hardware der Netzwerkkarte
festgelegt sind, sich aber dennoch
auch von Hand im Betriebssystem ändern
lassen. Weil das ARP-Protokoll keine Zustandsinformationen
speichert, lässt sich
der ARP-Cache überschreiben, außer ein
Eintrag ist explizit als „permanent“ gekennzeichnet.
ARP Cache Poisoning verschafft einem
Angreifer die Gelegenheit, die Daten
zwischen zwei Rechnern unerlaubt mitzuschneiden.
Der beteiligte Computer A
denkt dabei, er würde mit B kommunizieren,
aber aufgrund der gefälschten
ARP-Einträge gehen die Pakete in Wahrheit
an den Computer des Angreifers. Der
wiederum kann entweder A direkt antworten
oder die Pakete an B weiterleiten,
nachdem er sie zur weiteren Verwendung
gespeichert hat. Genauso macht er das
01 $ while true
02 > do
03 > sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 -D 192.168.1.133 -h 00:22:6E:71:04:BB -m
00:0C:29:B2:78:9E -H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E
04 > sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 -D 192.168.1.2 -h 00:22:6E:71:04:BB -m
00:22:6B:7E:AD:7C -H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C
05 > echo „Redirecting“
06 > sleep 10
07 > done
mit den Paketen von B, er ist also bei
diesem Angriff der klassische Man-inthe-Middle.
Tools
Um ARP Cache Poisoning anzuwenden,
muss der Angreifer sich im selben Netzwerksegment
befinden wie die Systeme,
für die er sich interessiert. Der erste
Schritt besteht darin, die IP-Adressen und
die zugehörigen MAC-Adressen herauszufinden.
Dafür gibt es einige Tools, zum
Beispiel Ettercap [1], eine Suite von Programmen
für Man-in-the-Middle-Angriffe
in einem lokalen Netz. Es kann Verbindungen
abhören (Sniffing), nach Inhalten
filtern, unterstützt aktive wie passive
Protokollanalyse und vieles mehr. Der
Befehl
ettercap -T -M arp:remote //
bringt schnell alle Hosts im aktuellen
Subnetz in Erfahrung. Um die Ergebnisse
anzusehen, drücken Sie [L]. Mit der Taste
[h] gibt das Tool einen Hilfetext aus. Um
die fortlaufende Ausgabe der gelesenen
Pakete abzustellen, drücken Sie die Leertaste.
52 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Das Arpspoof-Tool aus dem Dsniff-Paket
[2], einer freien Suite für Netzwerk-Auditing
und Penetration-Testing, erlaubt
das ARP-Poisoning einer bestimmten
Adresse derart, dass das betroffene System
nicht mehr mit anderen Rechnern
kommunizieren kann. Das Paket enthält
Programme wie »dsniff«, »filesnarf«,
»mailsnarf«, »msgsnarf«, »urlsnard« und
»webspy«, die passiv den Netzwerkverkehr
auf interessante Daten hin untersuchen.
Die Tools »arpspoof«, »dnsspoof«
und »macof« helfen dabei, Pakete mitzulesen,
die normalerweise in geswitchten
Netzwerken nicht zu sehen wären. Das
kompatible, aber eigenständige Arpspoof
[3] kann einfacher als Ettercap Pakete
umleiten:
arpspoof -i eth0 -t Target Host
Die Angabe der Netzwerkschnittstelle ist
optional, aber erforderlich, wenn man
mehr als eine Netzwerkkarte im Rechner
stecken hat. Die Option »-t« gibt den
Rechner an, dessen Traffic man übernehmen
möchte. Der Host kann etwa
das Default Gateway sein, was dann verhindert,
dass der angegriffene Rechner
Ziele außerhalb seines lokalen Netzes
erreichen kann.
Arpspoof leitet Pakete um, indem es ARP-
Antworten fälscht. Dazu verwendet es
die »arp_send()«-Funktion, die ein ARP-
Paket mit Quell-/ Ziel-IP und der MAC-
Adresse verschickt. Die Libnet ist eine
Bibliothek, die eine API für Netzwerkprogrammierung
in verschiedenen Protokollen
bietet.
Wie genau ARP-Poisoning funktioniert,
lässt sich gut mit dem Nemesis-Tool [4]
nachvollziehen. Hat man die IP- und
die MAC-Adresse des Zielrechners, kann
man mit Nemesis die ARP-Informationen
manipulieren. Nemesis ist ein Kommandozeilentool,
mit dem sich laut Dokumentation
ARP-, DNS-, Ethernet-, ICMP-,
IGMP-, IP-, OSPF-, RIP-, TCP- und UDP-
Tabelle 1: ARP-Optionen von nemesis
Option Funktion
-S Quell-IP-Adresse
-D Ziel-IP-Addresse
-h MAC-Adresse des Senders
-m MAC-Adresse des Ziels
-H Quell-MAC-Adresse
-M Ziel-MAC-Adresse
Pakete zusammenstellen und ins Netz
einschleusen lassen. Listing 1 zeigt, wie
man mit Nemesis zwei Pakete schnürt,
die den ARP-Cache manipulieren.
Die verwendeten Nemesis-Optionen
zeigt Tabelle 1. Die beiden Kommandos
fälschen die ARP-Antworten von
192.168.1.2 an 192.168.1.133 und dann
von 192.168.1.33 an 192.168.1.2 und
senden falsche ARP-Antworten, damit
der gefälschte ARP-Cache erhalten bleibt.
Um das sicherzustellen, läuft Listing 1 in
einer Schleife, die die beiden Befehle alle
zehn Sekunden aufs Neue ausführt. Der
angegriffene Rechner ist dann offline und
nicht mehr in der Lage, mit anderen zu
kommunizieren.
Sniffing
Ein Ziel eines ARP-Angriffs ist es, den
Angreifer in die Lage zu versetzen, interessante
Informationen, die über das
Netz gehen, mitzuschneiden und weiterzuverwenden.
Dafür gibt es wieder mehrere
Tools. So bietet Ettercap den Bridge
Mode, der gelesene Pakete mitschneidet,
die sich später auswerten oder auch
gleich manipulieren lassen, bevor man
sie an seine Angriffsziele weiterleitet. Der
Bridge Mode setzt zwei Netzwerkkarten
voraus, die sich im gleichen Netzwerksegment
befinden. Solchermaßen aufgesetzte
Rechner sind sehr schwer zu
finden:
ettercap -Tq -i eth0 -B eth1
Der Schalter »-i« setzt das primäres Interface
»eth0« fest, als Bridging-Interface
dient »eth1«. Im der grafischen Schnittstelle
von Ettercap, die sich mit »-G« starten
lässt, findet sich die Funktion unter
»Sniff | Bridged Sniffing«.
Um alle Pakete in eine Datei zu schreiben,
gibt es eine Reihe von Tools, darunter
»p0f«, ein passives Betriebssystem-Fingerprinting-Programm.
Mit dem
Parameter »-w« aufgerufen, schreibt »p0f«
eine Tcpdump-kompatible Datei:
p0f -w dumpfile.pcap
Genauso funktioniert das mit dem Dsniff-
Tool aus dem gleichnamigen Paket:
dsniff -w dumpfile.pcap
Auch Ettercap kann die mitgeschnittenen
Pakete in ein File schreiben:
ACH SO!
SCHULUNGEN FÜR ADMINS,
DIE DURCHBLICKEN WOLLEN
Fachlich und didaktisch kompetente
Dozenten, spannende Schulungsthemen,
eine lockere Atmosphäre im Kurs und
angenehme Unterrichtsräume – all das
erwartet Sie bei uns in Berlin an der
Heinlein Akademie.
Die nächsten Kurse:
ab 08.10.
Netzwerkrouting für Profis
ab 15.10.
Apache2 Webserver
ab 15.10.
Sichere Mailserver mit Postfix
ab 17.10.
Puppet Master Curriculum
ab 22.10.
Bacula Administration Level I
ab 22.10.
DNS und DNSsec
Jetzt anmelden unter
www.heinlein-akademie.de
www.A dmin-mAgA zin.de
53
AusgA be 05-2012 Linux höchstpersönlich.

s eC u R i T y
ARP Cache Poisoning
Abbildung 1: Im Bridge Mode schneidet Ettercap die Pakete mit, die zwischen
zwei Rechnern ausgetauscht werden.
Abbildung 2: Scapy bereitet Paket-Dump-Dateien auf Wunsch grafisch auf und
zeigt dabei den Inhalt der TCP/IP-Pakete im Detail an.
ettercap -T -M arp:remote /192.168.1.1/ U
/192.168.1.130/ -w dumpfile.pcap
Zuverlässiger ist es, nur die Pakete von
einem bestimmten Computer mitzuschneiden
statt den kompletten Traffic.
Dabei stürzt Ettercap gelegentlich ab.
Um die gespeicherten Daten zu untersuchen,
können Sie Scapy [5] verwenden,
das ebenso spezielle Datenpakete anfertigen
kann, wie auch Netze scannen, Routen
tracen und so weiter. Im interaktiven
Modus starten Sie »scapy« und lesen die
Protokolldatei ein, dann zeigt Scapy eine
Grafik ähnlich der in Abbildung 2.
>>> a=rdpcap("dumpfile.pcap")
>>> a
>>> a[423].pdfdump(layer_shift=1)
Scapy kann auch grafisch darstellen, was
im Netzwerk passiert, indem es ein einfaches
Diagramm des Datenflusses erstellt.
Dazu bietet es die Methode »conversations()«,
die voraussetzt, dass die Pakete
Graphviz und Imagemagick installiert
sind. So schneidet der folgende Befehl
den WLAN-Verkehr mit und zeigt ihn
grafisch an.
>>> a=sniff(iface="wlan0", U
prn=lambda x: x.summary())
>>> a.conversations()
Das Ergebnis ist in Abbildung 3 zu sehen.
Mit der rechten Maustaste öffnet sich auf
dem dargestellten Fenster ein Menü, mit
dem sich das Diagramm in verschiedenen
Formaten speichern lässt.
Fazit
ARP Cache Poisoning eröffnet Angreifern
die Möglichkeit, auch in geswitchten Netzen
den Datenverkehr zwischen Rechnern
mitzulesen und zu manipulieren.
Mit den hier vorgestellten Programmen
lässt sich das eigene Netzwerk dahingehend
überprüfen, ob es in dieser Hinsicht
verwundbar ist.
Eine Maßnahme gegen die hier demonstrierten
Angriffe sind die erhöhten Port-
Security-Vorkehrungen, die viele Switches
heute bieten. Sie sollte man auf jeden Fall
aktivieren. Auch Tools wie Arpwatch [6]
oder Arpalert [7] helfen dabei, solche
Attacken zu verhindern oder zumindest
aufzudecken. Gegen das Mitschneiden
von Daten hilft auf jeden Fall Verschlüsselung,
sei es HTTPS bei Webtraffic oder
SSH bei interaktiven Sessions. (ofr) n
Infos
[1] Ettercap:
[http://ettercap. sourceforge.net/]
[2] Dsniff:
[http://monkey. org/ ~dugsong/dsniff/]
[3] Arpspoof:
[http://arpspoof. sourceforge.net/]
[4] Nemesis:
[http://nemesis. sourceforge.net/]
[5] Scapy:
[http://www. secdev.org/projects/scapy/]
[6] Arpwatch: [http://linuxcommand.org/
man_pages/ arpwatch8.html]
[7] Arpalert: [http://www.arpalert.org/]
Abbildung 3: Scapy gibt eine Übersicht über den Datenfluss im Netz.
Der Autor
David J. Dodd besitzt eine „Top Secret“-Freigabe
des amerikanischen Verteidigungsministeriums
und bietet Consulting-Leistungen zu Informationssicherheit.
Er hält Vorträge auf diversen
Security-Konferenzen, ist Mitglied von Infragard
und trägt zu Securing Our eCity bei.
54 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

3 AUSGABEN
FÜR NUR 5,90 E
Jetzt bestellen: 3 Hefte zum Preis von einem. Sie sparen 66 %!
KENNENLERN-
ANGEBOT:
3 AUSGABEN
für nur 5,90 E
Jetzt bestellen unter:
www.android–user.de/miniabo
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

s eCuriT y
security Compliance manager
© Konstantin Kirillov, 123RF
Microsoft Security Compliance Manager härtet kostenlos Serversysteme ab
Gefixt und zugenäht
die microsoft-betriebssysteme gelten nicht unbedingt als inbegriff der Computersicherheit. der kostenlose
security Compliance manager hilft dabei, die grundlegenden Absicherungsmaßnahmen zu treffen. Thomas Joos
Unternehmen haben beim Einsatz mehrerer
Windows-Server oft das Problem,
Sicherheitseinstellungen einheitlich zu
verteilen und optimal zu gestalten. Der
kostenlose Microsoft Security Compliance
Manager (SCM) enthält Vorlagen
und Empfehlungen für eine Absicherung
von Servern über Gruppenrichtlinien und
PowerShell-Skripte. Im Fokus steht dabei
die Absicherung des Windows-Betriebssystems.
In der neuen Version beherrscht
das Tool auch die Absicherung von Exchange
Server 2007 SP3/ 2010 SP2.
Im Grunde genommen erstellt das Tool
Vorlagen für Gruppenrichtlinien, die bereits
Empfehlungen von Microsoft integriert
haben. Administratoren können die
Richtlinien noch an das eigene Unternehmen
anpassen und anschließend in
neue Richtlinien über Gruppenrichtlinien
integrieren und an Server verteilen. Das
Tool unterstützt aber nicht nur Active-
Directory-Server, sondern auch alleinstehende
Server. Hier bietet SCM auch ein
Befehlszeilentool, mit dem Administratoren
über Batchdateien Server absichern
können.
Kostenloses Tool
Microsoft stellt den Security Compliance
Manager (SCM) kostenlos auf [1] zum
Download bereit. Sie installieren das
Tool, importieren auf Wunsch die bestehenden
Gruppenrichtlinien von Active
Directory und können anschließend die
Einstellungen der Richtlinien mit den
Konfigurations-Empfehlungen aus dem
SCM vergleichen. Anschließend können
Sie die angepassten Richtlinien wieder in
Active Directory importieren. Haben Sie
noch keine Gruppenrichtlinien im Einsatz,
können Sie aber auch problemlos
neue Richtlinien über das SCM erstellen
oder einzelne Server auch mit SCM über
lokale Sicherheitsrichtlinien absichern.
SCM unterstützt die Absicherung von
Windows Server 2003/ 2008/ 2008 R2 sowie
die Client-Betriebssysteme Windows
XP/ Vista und Windows 7 inklusive Service
Pack 1. In der Version 2.5 des SCM
fehlt derzeit noch die Unterstützung für
Windows 8 und Windows Server 2012.
Bei Veröffentlichung dieser beiden Betriebssysteme
im letzten Quartal 2012
wird Microsoft aber wohl eine entsprechend
aktualisierte Version des SCM anbieten.
Ebenfalls absichern lassen sich
aber Internet Explorer 8/ 9, Office 2007/
2010 und Exchange Server 2007/ 2010 inklusive
der aktuellsten Service Packs, vor
allem Exchange Server 2010 SP2.
Administratoren können SCM problemlos
auf der eigenen Arbeitsstation betreiben
(Abbildung 1). Allerdings muss
auf der Arbeitsstation Windows 7 als
64-Bit-Version installiert sein. Wollen Sie
später Einstellungen von SCM in eine
Exceltabelle exportieren, muss auf dem
entsprechenden Computer Excel 2007/
2010 installiert sein. Das ist allerdings
optional und nur dann notwendig, wenn
56 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Sie verschiedene Einstellungen aus dem
SCM in Excel importieren wollen.
Security Compliance
Manager in der Praxis
SCM benötigt das .NET Framework 4.0
[2]. Auch die kostenlose Datenbank SQL
Server 2008 R2 Express Edition [3] ist
auf dem Server notwendig. Diese Voraussetzungen
sollten Sie vor dem SCM installieren.
Verwenden Sie bei beiden die
Standardeinstellungen zur Installation. In
SQL Server 2008 R2 speichert SCM seine
Konfigurationsdaten, Baselines, die Einstellungen
und Dokumentationen.
Der nächste Schritt ist die SCM-Installation
auf einer Arbeitsstation oder einem
Server. Eine Installation unter Windows
8 oder Windows Server 2012 ist derzeit
nicht möglich. Nach der Installation
steht das Verwaltungstool des SCM zur
Verfügung. Beim ersten Start liest das
Tool die entsprechenden Konfigurationsempfehlungen,
Baselines genannt, für die
Serversysteme ein und startet die SCM-
Verwaltungsoberfläche. Links wählen Sie
die Empfehlungen (Baselines) aus, in der
Mitte des Fensters lassen sich Einstellungen
vornehmen und ändern. Rechts
finden Sie Aktionen, um die Vorlagen zu
sichern und später in eine Gruppenrichtlinie
einzulesen.
Sie sollten in regelmäßigen Abständen die
SCM-Baselines in SCM über das Internet
aktualisieren lassen. Verwenden Sie dazu
den Link »Download Microsoft Baselines
manually« im Startbildschirm des SCM.
Das Tool öffnet den Internet Explorer und
schlägt neue Baselines zur Installation
vor. Über die Seite [4] können Sie Baselines
auch manuell herunterladen und in
SCM integrieren.
Baselines bearbeiten
Auf der linken Seite stehen die verschiedenen
Empfehlungen über Baselines zur
Verfügung. Um Server oder Programme
anzupassen, klicken Sie auf die Baseline,
die Sie verwenden wollen, und wählen im
rechten Bereich bei »Baseline« den Befehl
»Duplicate« im Aktionsbereich aus. Auf
diese Weise lassen sich eigene Richtlinien
erstellen und die Standardrichtlinien
bleiben erhalten. Die duplizierte Vorlage
enthält bereits Einstellungen und Empfehlungen
von Microsoft. Die nächsten
Schritte bestehen darin, die Einstellungen
der erstellten Baseline an die eigenen
Bedürfnisse anzupassen.
Sind die Einstellungen abgeschlossen,
exportieren Sie diese. Dazu stehen im
rechten Bereich verschiedene Optionen
zur Verfügung. Am besten verwenden
Sie den Export als Sicherungsdatei von
Gruppenrichtlinien. Das hat den Vorteil,
dass Sie diese Sicherung in der Gruppenrichtlinienverwaltung
als neue Gruppenrichtlinie
im Netzwerk importieren
können. Durch das Importieren werden
die Einstellungen aber nicht angewendet.
Abbildung 1: Starten des Microsoft Security Compliance Manager. NETWAYS ®
NETWAYS ®
www.A dmin-mAgA zin.de
AusgA be 05-2012
57

s eCuriT y
security Compliance manager
Sie müssen die neue Richtlinie zunächst
mit einer Organisationseinheit oder einer
Domäne verknüpfen. Die importierten
Einstellungen entsprechen einer ganz
normalen Gruppenrichtlinie.
Haben Sie die Baseline als Sicherungsdatei
für Gruppenrichtlinien exportiert,
kopieren Sie diese auf einen Domänencontroller
oder verwenden die Gruppenrichtlinienverwaltung
auf der lokalen Arbeitsstation.
Dazu müssen Sie aber die
entsprechenden Remoteserver-Verwaltungstools
installieren. Die Einstellungen
lassen sich aber auch in Vorlagen von
System Center Configuration Manager
einlesen. Unternehmen, die auf System
Center setzen, können SCM also direkt
anbinden. Die Integration über die Datensicherung
von Gruppenrichtlinien funktioniert
aber ebenso problemlos.
Einstellungen von verschiedenen selbst
erstellten Baselines können Sie in SCM
auch miteinander vergleichen und zusammenführen.
Dazu steht der Menüpunkt
»Compare | Merge« zur Verfügung.
Nach der Auswahl der Richtlinien lassen
sich diese vergleichen oder zu einer
neuen Richtlinie zusammenfassen. Sie
können auf diesem Weg auch Baselines,
die Sie selbst bearbeitet haben, mit den
Standard-Baselines vergleichen und sehen
so auf einen Blick die Änderungen,
die Sie vorgenommen haben. Die Ergebnisse
der Vergleiche lassen sich auch ins
Excel-Format exportieren, um dort besser
die Unterschiede zu erkennen. Das
ist zum Beispiel sinnvoll, wenn Sie eine
*CAB-Datei importieren, die Sie von einer
anderen SCM-Installation erhalten
haben.
Baselines erweitern
Sie können in einer Baseline aber nicht
nur mit den Vorgaben arbeiten, die Microsoft
vorschlägt oder vorhandene
Einstellungen abändern, sondern auch
Einstellungen aus anderen Baselines integrieren
und konfigurieren. So können Sie
zum Beispiel zu einer Exchange-Richtlinie
noch Einstellungen aus Office 2010 integrieren,
um auch Outlook-Einstellungen
auf Exchange-Servern zu steuern.
Um in einer Baseline weitere Einstellungen
hinzuzufügen, klicken Sie im Bereich
»Setting« auf »Add«. Hier können
Sie Einstellungen mit »Delete« auch entfernen.
Wollen Sie neue Einstellungen
gruppiert anzeigen, erstellen Sie über
»Setting Group« mit »Add« neue Einstellungsgruppen.
Baselines bearbeiten und
dokumentieren
Haben Sie die Baseline erstellt und die
Bearbeitung gestartet, finden Sie im mittleren
Teil mehrere Spalten, in denen Sie
die Einstellungen festlegen (Abbildung
2). Ganz links sehen Sie den Namen der
Einstellung. Im Bereich »Default« ist die
Standardeinstellung des entsprechenden
Server-Systems zu finden. Die Einstellung
»Microsoft« zeigt die Empfehlung von Microsoft
für diesen Bereich. Ändern Sie
Einstellungen ab, sehen Sie diese in der
Spalte »Customized«. Die Spalte »Severit«
zeigt die Wichtigkeit an, die Microsoft
der entsprechenden Einstellung zumisst.
Die letzte Spalte »Path« zeigt an, wo die
Einstellung in der Registry zu finden ist,
oder ob die Einstellung über die Powershell
eingestellt wird.
Haben Sie eigene Baselines erstellt, sind
sie im Bereich »Custom Baselines« zu
finden. Hier gibt es auch den neuen
Menüpunkt »Attachments | Guides«.
Über diesen Bereich können Sie zu Baselines
eigene Dokumentation, Tools und
Informationen anhängen, die für die
Umsetzung notwendig sind. Anhänge
lassen sich auf diesem Weg ausdrucken,
anzeigen, exportieren, speichern, oder direkt
anzeigen. Dabei unterstützt SCM 2.5
folgende Dateien: ».cab«, ».doc«, ».docx«,
».mp«, ».rtf«, ».txt«, ».url«, ».xls«, ».xlsx«,
».xlsm«, ».zip«.
Um eine Baseline nach ihrer Fertigstellung
vor ungewollten Änderungen zu
schützen, wählen Sie im Aktionsbereich
den Menüpunkt »Lock« aus. Anschließend
können Sie keinerlei Änderungen
mehr an dieser Baseline vornehmen. Sie
können aber jederzeit über »Edit« die
Bearbeitung wieder aktivieren. Alle Änderungen,
die Sie an Baselines in SCM
vornehmen, werden protokolliert. Die
Protokolldatei öffnen Sie über »View |
Baseline Change Log«. Im Fenster sehen
Sie alle Aktionen, die Sie in SCM vorgenommen
haben, auch Änderungen an
den Baselines.
Einstellungen exportieren
und importieren
Haben Sie alle Einstellungen in einer oder
mehreren Baselines abgeschlossen, können
Sie im rechten Bereich bei »Export«
auswählen, wie Sie diese Einstellungen
auf den Servern verteilen oder dokumentieren
wollen. Dazu stehen die folgenden
Optionen zur Verfügung:
n Excel: Hier erstellt das Tool eine XLSM-
Datei, die mit Excel 2007/ 2010 kompatibel
ist. Die Datei können Sie jederzeit
auch für andere Zwecke nutzen. Sie
müssen dazu nicht unbedingt auf dem
Ziel-Rechner SCM installieren.
n GPO Backup: Erstellt ein Verzeichnis
mit einer GPO-Sicherung der Baseline.
Abbildung 2: Konfigurieren von grundlegenden Einstellungen.
58 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

security Compliance manager
s eC uriT y
Diese können Sie in der
produktiven Umgebung
wieder importieren ebenso
wie eine normale Gruppenrichtlinie.
Dazu erstellen
Sie eine neue Gruppenrichtlinie
in Active Directory
und stellen die Einstellungen
aus dem GPO-
Backup in dieser neuen
Sicherung wieder her.
n SCAP: Diese Option erstellt
eine Datei auf Basis des Security
Content Automation
Protocol (SCAP). Dieses
kann auch in anderen Systemen
verwendet werden.
n SCCM DCM erstellt Pakete,
die kompatibel mit Microsoft System
Center Configuration Manager sind.
Sie lassen sich zur Überwachung und
Konfiguration der angebundenen Ziel-
Computer nutzen.
n SCM wiederum erstellt eine CAB-Datei,
die Sie in anderen SCM-Installation
wieder importieren können und
dadurch weiter bearbeiten.
Haben Sie einen SCM-kompatiblen Export
durchgeführt, können Sie diese
Einstellungen zwar nicht für den Import
von Gruppenrichtlinien nutzen, aber die
Einstellungen in der SCM-Oberfläche
wieder importieren und bearbeiten. Den
Import starten Sie entweder über den
Menü bereich »Import« auf der rechten
Seite, oder Sie verwenden die Tastenkombination
[Strg]+[I]. Im »Import
Baselines Wizard« wählen Sie das Paket
aus, das Sie importieren wollen. Klicken
Sie auf »Next« liest der Assistent die Daten
ein und zeigt die integrierten Baselines
an. Mit einem Klick auf »Import«
integriert der Assistent die Baselines in
der CAB-Datei in SCM auf dem lokalen
Rechner. Sie haben in diesem Bereich
auch die Möglichkeit, Datensicherungen
von Gruppenrichtlinien zu importieren.
Dazu wählen Sie die Option »Import | GP
Backup (folder)«.
Einstellungen
Um Windows-Server mit SCM abzusichern,
ist kein Active Directory notwendig,
die Einstellungen lassen sich auch
in lokale Richtlinien einlesen. Dazu stellt
SCM das Zusatztool »LocalGPO« zur Ver-
Abbildung 3: SCM kann Einstellungen auch als Skript importieren.
fügung. Mit dem Tool aus der Programmgruppe
»Microsoft Security Compliance
Manager« lassen sich Einstellungen lokal
aus SCM in eine Richtlinie auf dem Server
importieren.
Das Tool arbeitet in der Befehlszeile
und stellt verschiedene Optionen für
den Import zur Verfügung. LocalGPO ist
vor allem für Server gedacht, die über
keine Domänenanbindung verfügen. Im
ersten Schritt installieren Sie das Tool auf
dem Server und können anschließend
auf der Befehlszeile die Einstellungen
importieren.
Nach der Installation starten Sie dazu
»LocalGPO Command-line« in der Programmgruppe
»LocalGPO«. Um die Einstellungen
einer SCM-Baseline auf einem
lokalen Server zu importieren, erstellen
Sie zunächst die Baseline, wie zuvor beschrieben.
Anschließend exportieren Sie
diese als GPO-Backup in ein Verzeichnis.
Dieses kopieren Sie auf den Server, auf
dem Sie die Richtlinien umsetzen wollen.
Anschließend geben Sie den Befehl
»cscript LocalGPO.wsf /Path:« ein.
Bei der Umsetzung der neuen Einstellungen,
speichert LocalGPO die Einstellungen
der lokalen Richtlinie. So können Sie
diese jederzeit wiederherstellen. Um die
ursprünglichen Einstellungen auf dem
Server wiederherzustellen, verwenden
Sie den Befehl »cscript LocalGPO.wsf /
Restore«.
Mit LocalGPO haben Sie auch die Möglichkeit,
die Einstellungen der lokalen
Sicherheitsrichtlinie in eine GPO-Datensicherung
zu sichern. Diese können
Sie zum einen ebenfalls zum
Wiederherstellen nutzen, indem
Sie sie auf einem Server
wieder importieren.
Zum anderen können Sie
diese Sicherung auf anderen
lokalen Servern importieren.
Außerdem ist es möglich,
auf Basis dieser Sicherung
eine neue Active-Directory-
Gruppenrichtlinie zu erstellen
und diese Einstellungen
zu importieren. Verwenden
Sie dazu den Befehl »cscript
LocalGPO.wsf /Path:
/Export«. Importieren können
Sie diese Sicherung entweder
mit LocalGPO, oder Sie verwenden
die Gruppenrichtlinienverwaltungskonsole.
Sie können aber auch die lokale Sicherheitsrichtlinie
eines Servers in ein »GPO-
Pack« exportieren. Mit diesem können Sie
die Sicherheitseinstellungen auf einem
anderen Server importieren, ohne dass
Sie LocalGPO auf dem Zielsystem installieren
müssen. Verwenden Sie dazu
den Befehl »cscript LocalGPO.wsf /Path:
„“ /Export /GPOPack«. Mehr zu
diesem Thema lesen Sie auf der Internetseite
[5]. (ofr)
n
Infos
[1] Security Compliance Manager: [http:// go.
microsoft. com/ fwlink/ ? LinkId=182512]
[2] .NET 4.0: [http:// go. microsoft. com/ fwlink/
? LinkId=208784]
[3] SQL Server Express Edition: [http:// www.
microsoft. com/ germany/ express/ products/
database. aspx]
[4] Baselines: [http:// social. technet. microsoft.
com/ wiki/ contents/ articles/ 1865. microsoft
‐security‐compliance‐manager‐scm‐baseli
ne‐download‐help‐en‐us. aspx]
[5] SCM v2 Beta, LocalGPO Rocks: [http://
blogs. technet. com/ b/ secguide/ archive/
2011/ 07/ 05/ scm‐v2‐beta‐localgpo‐rocks.
aspx]
Der Autor
Thomas Joos ist freiberuflicher IT‐Consultant und
seit über 20 Jahren in der IT tätig. Neben seinen
Projekten schreibt er praxisnahe Fachbücher
und Fachartikel rund um Windows und andere
Microsoft‐Themen. Online trifft man ihn unter
[http:// thomasjoos. spaces. live. com].
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
59

KnOw-hOw
Ceph/ RAdOs
© Ljupco Smokovski, 123RF
Der RADOS-Objectstore und Ceph, Teil 2
Storage-Magie
im zweiten Teil des workshops zu RAdOs und Ceph geht es um die RAdOs-interna, um weitere Frontends zum
Object store neben Ceph und um das Vermeiden von Fallstricken. martin Loschwitz
Das vorletzte ADMIN-Magazin hat RA-
DOS und Ceph vorgestellt und vermittelt,
was es damit auf sich hat. Der zweite Teil
sieht nun genauer hin und erläutert die
grundlegenden Konzepte, die bei ihrer
Entwicklung eine Rolle spielen. Wie sorgt
der Cluster zum Beispiel für die interne
Redundanz der abgelegten Objekte? Und
welche Möglichkeiten existieren neben
Ceph noch, um an die Daten aus dem
Object Store heranzukommen?
Bereits die erste Folge des Workshops demonstrierte,
wie ein existierender Cluster
um einen Knoten zu erweitern ist (»ceph
osd crush add 4 osd.4 1.0 pool=default
host=daisy« unter der Annahme, dass
der Hostname des neuen Servers »daisy«
ist). Der Befehl bewirkt, dass der Host
»daisy« zum Teil des Clusters wird und
das gleiche Gewicht (1,0) erhält wie
alle anderen Knoten. So leicht wie das
Hinzufügen eines Knotens zur Clusterkonfiguration
gerät auch das Entfernen.
Der passende Befehl lautet: »ceph osd
crush remove osd.4«. Der Parameter
»pool=default« beim Hinzufügen weist
dabei schon auf ein wichtiges Feature
hin: die Pools.
Mit Pools arbeiten
RADOS hat die Möglichkeit, den zusammenhängenden
Speicher des Object
Stores zu unterteilen. Die einzelnen
Fragmente heißen Pools. Dabei entspricht
ein Pool keinem zusammenhängenden
Speicherbereich wie bei einer
Partition, sondern bildet eine logische
Ebene aus entsprechend der Poolzugehörigkeit
getagten Binärdaten. Pools erlauben
beispielsweise Konfigurationen,
innerhalb derer einzelne Benutzer nur
auf bestimmte Pools zugreifen dürfen.
In der Default-Konfiguration stehen die
Pools »metadata«, »data« und »rbd« zur
Verfügung. Eine Übersicht über alle vorhandenen
Pools ist mit »rados lspools« zu
bekommen (Abbildung 1).
Wer die Konfiguration um einen zusätzlichen
Pool erweitern will, nutzt den Befehl
»rados mkpool Name«, wobei Name
62 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

durch einen entsprechend eindeutigen
Namen zu ersetzen ist. Soll ein vorhandener
Pool verschwinden, funktioniert
»rados rmpool Name«.
RADOS-Interna: Placement
Groups und die Crushmap
Eines der ausdrücklichen Design-Ziele
von RADOS ist es, nahtlos skalierbares
Storage zu bieten. Dafür sollen Admins
die Möglichkeit haben, einen RADOS-
Objectstore jederzeit um beliebig viele
Speicherknoten zu vergrößern. Von entscheidender
Bedeutung ist dabei das
Thema Redundanz. RADOS trägt ihm
Rechnung, indem es sich selbstständig
um die Replikation von Daten kümmert,
ohne dass der Admin des RADOS-Clusters
händisch einzugreifen braucht. Aus
der Kombination mit Skalierbarkeit ergibt
sich dabei für RADOS ein Problem, mit
dem sich andere Replikationslösungen
nicht herumschlagen: Wie lassen sich
Daten innerhalb eines größeren Clusters
bestmöglich verteilen?
Zur Erinnerung: Herkömmliche Storage-
Lösungen kümmern sich in aller Regel
„nur“ darum, dass Daten von einem Server
auf den anderen kopiert werden, damit
im Zweifelsfalle ein Failover stattfinden
kann. Meist laufen solche Lösungen
überhaupt nur innerhalb eines Clusters
mit zwei oder höchstens drei Knoten,
dass weitere Knoten hinzukommen, ist
von vorneherein ausgeschlossen.
Bei RADOS geht das nicht: Hier können
theoretisch beliebig viele Knoten in den
Cluster aufgenommen werden, und bei
jedem muss sich der Object Store darum
kümmern, dass auch dessen Inhalte innerhalb
des gesamten Clusters redundant
verfügbar sind. Nicht zuletzt steht den
Entwicklern obendrein auch noch das
Thema „Rack Awareness“ ins Haus: Wer
einen 20-Knoten-Cluster mit RADOS in
seinem Rechenzentrum stehen hat, wird
dessen Knoten idealerweise auf mehrere
Brandabschnitte oder Gebäude verteilen
Abbildung 1: »rados lspool« zeigt die Pools an, die
RADOS im Augenblick kennt.
wollen, um so für zusätzliche Sicherheit
zu sorgen. Damit das funktioniert, muss
die Speicherlösung allerdings wissen,
welcher Knoten wo steht und welche Daten
wo und wie zu bekommen sind. Die
Lösung für dieses Problem, die sich die
Entwickler von RADOS und allen voran
RADOS-Guru Sage A. Weil ausdachten,
besteht aus zwei Teilen: den Placement
Groups und der Crushmap.
Data Placement in RADOS
Innerhalb eines RADOS-Clusters finden
sich drei verschiedene Maps, nämlich
einerseits die MON-Map, die eine Liste
aller Monitoring-Server ist, die OSD-
Map, in der sich alle physikalischen Object
Storage Devices (OSDs) finden, und
schließlich die Crushmap. Auf den OSDs
selbst liegen die binären Objekte, also die
tatsächlichen im Object-Store abgelegten
Daten.
Nun kommen die Placement Groups (PG)
ins Spiel: Nach außen hin wirkt es, als sei
die Zuweisung von Storage-Objekten zu
bestimmten OSDs rein zufällig. Tatsächlich
erfolgt die Zuweisung hingegen anhand
der Placement Groups. Jedes Objekt
gehört zu einer solchen Gruppe. Vereinfacht
dargestellt ist eine Placement Group
eine Liste von verschiedenen Objekten,
die im RADOS-Store abgelegt sind. Zu
welcher Placement Group ein Objekt
gehört, errechnet RADOS anhand des
Namens des Objektes, des gewünschten
Replikations-Levels sowie einer Bitmask,
die die Summe aller PGs im RADOS-
Cluster festlegt.
In der Crushmap, die der zweite Teil
dieses Systems ist, steht die Information,
welche Placement Groups wo im Cluster
– also auf welchem OSD – landen
sollen (Abbildung 2). Replikation spielt
sich stets auf der PG-Ebene ab: Alle Objekte
einer Placement-Group werden im
RADOS-Cluster zwischen verschiedenen
OSDs repliziert.
Die Crushmap verdankt ihrem Namen
übrigens dem von ihr genutzten Algorithmus.
Der Crush-Algorithmus wurde speziell
im Hinblick auf einen Einsatzzweck
wie bei RADOS entwickelt; er entstammt
ebenfalls der Feder von Sage A. Weil.
Sein Name ist ein Kunstwort, es steht für
Controlled, Scalable, Decentralized Placement
of Replicated Data. Sage Weil hebt
www.A dmin-mAgA zin.de

KnOw-hOw
Ceph/ RAdOs
ein Feature von Crush besonders hervor:
Anders als Hash-Algorithmen verhält
sich Crush auch dann stabil, wenn viele
Storage-Devices gleichzeitig den Cluster
verlassen oder hinzukommen. Das Rebalancing,
das manch andere Storage-
Lösung benötigt, sorgt meist für jede
Menge Traffic und für entsprechend lange
Wartezeiten. Crush-basierte Cluster verschieben
hingegen gerade so viele Daten
zwischen den Storage-Knoten, dass ein
ausgeglichenes Verhältnis erreicht wird.
Das Data Placement
manipulieren
Freilich hat im Hinblick auf die Frage,
welche Daten wo landen, auch der Admin
ein Wörtchen mitzureden. Praktisch
alle Parameter, die die Replikation in RA-
DOS betreffen, sind durch den Admin
zu konfigurieren. Dazu gehört beispielsweise
auch, wie oft ein einzelnes Objekt
innerhalb des RADOS-Clusters existieren
soll, wie viele Replicas es also davon
gibt. Freilich steht es dem Admin ebenso
frei, die Zuweisung der Replicas an OSDs
Listing 1: die Crushmap für 6 server in 2 Racks
001 # begin crush map
002
003 # devices
004 device 0 device0
005 device 1 device1
006 device 2 device2
007 device 3 device3
008 device 4 device4
009 device 5 device5
010
011 # types
012 type 0 device
013 type 1 host
014 type 2 rack
015 type 3 root
016
017 # buckets
018 host host0 {
019 id -1 # do not change unnecessarily
020 # weight 1.000
021 alg straw
022 hash 0 # rjenkins1
023 item device0 weight 1.000
024 }
025 host host1 {
026 id -2 # do not change unnecessarily
027 # weight 1.000
028 alg straw
029 hash 0 # rjenkins1
030 item device1 weight 1.000
031 }
032 host host2 {
033 id -3 # do not change unnecessarily
034 # weight 1.000
035 alg straw
036 hash 0 # rjenkins1
037 item device2 weight 1.000
038 }
039 host host3 {
040 id -4 # do not change unnecessarily
041 # weight 1.000
042 alg straw
043 hash 0 # rjenkins1
044 item device3 weight 1.000
045 }
046 host host4 {
047 id -5 # do not change unnecessarily
048 # weight 1.000
049 alg straw
050 hash 0 # rjenkins1
051 item device4 weight 1.000
052 }
053 host host5 {
054 id -6 # do not change unnecessarily
055 # weight 1.000
056 alg straw
057 hash 0 # rjenkins1
058 item device5 weight 1.000
059 }
060 rack rack0 {
061 id -7 # do not change unnecessarily
062 # weight 2.000
063 alg straw
064 hash 0 # rjenkins1
065 item host0 weight 1.000
066 item host1 weight 1.000
067 }
068 rack rack1 {
069 id -8 # do not change unnecessarily
070 # weight 2.000
071 alg straw
072 hash 0 # rjenkins1
073 item host2 weight 1.000
074 item host3 weight 1.000
075 }
076 rack rack2 {
077 id -9 # do not change unnecessarily
078 # weight 2.000
079 alg straw
080 hash 0 # rjenkins1
081 item host4 weight 1.000
082 item host5 weight 1.000
083 }
084 root root {
085 id -10 # do not change unnecessarily
086 # weight 6.000
087 alg straw
088 hash 0 # rjenkins1
089 item rack0 weight 2.000
090 item rack1 weight 2.000
091 item rack2 weight 2.000
092 }
093
094 # rules
095 rule data {
096 ruleset 1
097 type replicated
098 min_size 2
099 max_size 2
100 step take root
101 step chooseleaf firstn 0 type rack
102 step emit
103 }
104
105 # end crush map
64 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Ceph/ RAdOs
KnOw-hOw
zu manipulieren. So kann RADOS Rücksicht
auf den Standort bestimmter Racks
nehmen. Replikationsregelungen, die der
Admin festlegt, steuern die Verteilung
der Replicas von Placement Groups auf
verschiedene OSD-Gruppen. Eine Gruppe
kann dabei zum Beispiel alle Server in
einem RZ-Raum enthalten und eine andere
Gruppe die Server in einem zweiten
Raum.
Wie die Replikation von Daten in RADOS
funktioniert, legen Admins fest, indem
sie die Crush-Regeln entsprechend manipulieren.
Grundsätzlich gilt: Weder
auf die Einteilung der Placement Groups
noch auf die Ergebnisse der Crush- Kalkulationen
lässt sich unmittelbar Einfluss
nehmen. Stattdessen erfolgt die Festlegung
der Replikationsregeln pro Pool;
die Einteilung der Placement Groups und
die Platzierung anhand der Crushmap
erledigt RADOS im Anschluss allein. Ab
Werk kommt RADOS mit einer Default-
Regel, die besagt, dass pro Pool von jedem
Objekt zwei Replicas zu existieren haben.
Die Anzahl an Replicas ist stets pro Pool
festzulegen; ein alltägliches Beispiel
wäre es, diese Zahl auf 3 zu erhöhen.
Das geht mit folgendem Befehl:
»ceph osd pool set data size 3«
Um die gleiche Änderung für den Pool
»test« durchzusetzen, wäre an dieser
Stelle »data« durch »test« zu ersetzen.
Ob der Cluster im Anschluss tut, was der
Admin von ihm erwartet, kann er mit
»ceph -v« genauer untersuchen.
Objects
Objects
Objects
Placement Group
Placement Group
Placement Group
Diese Art der Bedienung unter Einsatz
von »ceph« ist zweifellos angenehm,
bietet aber nicht den vollen Funktionsumfang.
Denn im Beispiel verwendet
der Pool weiterhin die Crushmap, die ab
Werk mitgeliefert wird. Sie lässt Eigenschaften
wie das Rack, in dem ein Server
hängt, außen vor. Wer Replicas anhand
dieser Eigenschaften verteilen möchte,
kommt nicht umhin, eine eigene Crushmap
zu konstruieren.
Die eigene Crushmap
In einer eigenen Crushmap kann der
Administrator nach Belieben festlegen,
wie die Objekte seiner Pools zu verteilen
sind. Das Tool »crushtool« leistet in diesem
Zusammenhang wertvolle Dienste,
denn es erstellt entsprechende Vorlagen.
Das folgende Beispiel erstellt eine Crushmap
für ein Setup aus sechs OSDs (also
einzelne Storage-Devices in Servern), die
auf drei Racks verteilt sind:
»crushtool --num_osds 6 -o crush.example.map
--build host straw 1 rack
straw 2 root straw 0«
Der Parameter »--num_osds 6« legt fest,
dass dem Cluster sechs einzelne Storage-
Devices zur Verfügung stehen. »--build«
leitet ein Statement aus drei dreiteiligen
Parametern ein, die der Syntax »Name
Interner Crush- Algorithmus Zahl« folgen.
»Name« ist frei wählbar, allerdings empfiehlt
es sich, aussagekräftige Bezeichnungen
zu nutzen. »host straw 1« legt
Crush Map
Configuration
Abbildung 2: Die Elemente das RADOS-Universums, deren Zusammenspiel die Crush-Map steuert.
OSD
OSD
OSD
Pools
Pools
Pools
fest, dass pro Host eine Replica erlaubt
ist, »rack straw 2« lässt RADOS wissen,
dass pro Rack 2 Server existieren. »root
straw 0« bezieht sich auf die Anzahl der
Racks und legt fest, dass die Replicas
gleichmäßig auf die vorhandenen Racks
verteilt sein sollen.
Wer sich die entstandene Crushmap
im Klartext ansehen möchte, der greift
anschließend zum Befehl »crushtool -d
crush.example.map -o crush.example«;
die Datei, in der die Map im Klartext
steht, ist dann »crush.example« (Listing
1). Die Namen der Devices und Hosts
(»device0, device 2 ...« und »host1m host
2 ...«) sind freilich an die lokalen Gegebenheiten
anzupassen. So sollte der
Name des Devices mit dem Devicenamen
aus »ceph.conf« übereinstimmen (im Beispiel
»osd.0«), und der Hostname sollte
mit dem Hostname des Server kongruieren.
Replikas auf Racks
verteilen
Die eigentliche Replikation definiert die
Zeile »step chooseleaf firstn 0 type rack«,
die festlegt, dass Replicas auf die Racks
zu verteilen sind. Um für eine Verteilung
pro Host zu sorgen, weicht »rack« zugunsten
von »host«. Die Parameter »min_size«
und »max_size« wirken unscheinbar, sind
aber ganz besonders in Kombination mit
»ruleset 1« von großer Bedeutung dafür,
dass RADOS später tatsächlich auch die
erstellte Regel nutzt. Für jeden Pool ist
festgelegt, welches Ruleset der Crushmap
es verwendet; RADOS matcht dabei
aber nicht nur auf den Namen, sondern
eben auch auf die Paremeter »min_size«
und »max_size«, die sich auf die Anzahl
der Replikas beziehen. Konkret heißt
das: Soll RADOS einen Pool nach dem
Ruleset 1 beackern, der 2 Replicas nutzt,
greift die Regel aus dem Beispiel. Hat der
Admin aber mit dem oben erläuterten
Befehl festgelegt, dass 3 Replikas für die
Objekte des Pools vorhanden sein sollen,
würde RADOS die Regel nicht anwenden.
Um sie genereller zu gestalten, empfiehlt
sich »min_size« mit 1 und »max_size«
mit 10 – diese Regel greift dann für alle
Pools, die das Ruleset 1 nutzen und eine
bis zehn Replikas voraussetzen.
Ausgehend von diesem Beispiel ist es
Admins möglich, eine eigene Crushmap
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
65

KnOw-hOw
Ceph/ RAdOs
Abbildung 3: Besondere Vorsicht ist beim RADOS-Einsatz geboten,
wenn Ext3 oder Ext4 zum Einsatz kommen.
zu gestalten. Diese muss anschließend
ihren Weg zurück in RADOS finden.
Die vorhandene Crushmap
erweitern
In der Realität hat es sich als praktisch
herausgestellt, die existierende Crushmap
um neue Einträge zu erweitern, statt
eine komplette neue zu bauen. Um an
die gerade laufende Crushmap heranzukommen,
ist der folgende Befehl nützlich:
»ceph osd getcrushmap -o crush.
running.map« schreibt die Crushmap in
binärer Form in »crush.running.map«, es
folgt ein Decode: »crushtool -d crush.
running.map -o crush.map« befördert die
Plaintext-Ausgabe in » crush.map«. Nach
dem Editieren ist die Crushmap mittels
»crushtool -c crush.map -o crush.new.
map« wieder zu encodieren, bevor sie
mit »ceph osd setcrushmap -i crush.new.
map« ihren Weg zurück in den RADOS-
Cluster findet.
Dass ein neu angelegter Pool die erstellte
Regel verwenden soll, ist dann idealerweise
in »ceph.conf« festzulegen: Dort
wird die neue Regel einfach zum Standard-Wert.
Wenn das neue Ruleset aus
dem Beispiel in der Crushmap die ID 4
hat (»ruleset 4«), hilft beim Konfigurationsblock
»[osd]« die Zeile »osd pool default
crush rule = 4«. Zusätzlich
lässt sich mit »osd pool
default size = 3« festlegen,
dass neue Pools immer mit 3
Replicas angelegt werden.
Die 4K-Grenze bei
Ext3 und Ext4
Nach einiger Storage-Theorie
geht es zurück in den Alltag
des Sysadmins. Wer eine RA-
DOS-Installation durchführt
und als Dateisystem für die
Objekte von RADOS ein Ext3
oder Ext4 verwendet, tappt
schnell in eine Falle: Dort dürfen
die XATTR-Attribute von
Dateien, also die Extended
Attributes, eine Größe von 4
Kilobyte nicht überschreiten.
Genau das tun die XATTR-
Einträge von RADOS aber
regelmäßig. Sorgt der Admin
nicht vor, stürzt im schlimmsten
Falle »ceph-osd« ab oder wirft mit
kryptischen Fehlermeldungen um sich
(»Operation not supported«).
Abhilfe schafft die Verwendung einer externen
Datei, um die XATTR-Einträge zu
speichern. Dazu gehört in den »[osd]«-
Eintrag in »ceph.conf« die Zeile »filestore
xattr use omap = true ; for ext3/4
filesystem« (Abbildung 3). So schützt
der Admin den Cluster gegen eventuelle
Probleme.
Alternative: Das RADOS-
Blockdevice
Der erste Teil des Workshops hat sich
ausführlich mit Ceph beschäftigt, das
ein Dateisystem-Frontend für RADOS ist.
Doch Ceph ist nicht die einzige Möglichkeit,
um an Daten heranzukommen,
die in einem RADOS-Store abgelegt sind
– eine andere Möglichkeit bietet das
RADOS-Blockdevice »rbd«. Über dieses
lassen sich Objekte in RADOS ansprechen,
als lägen sie auf einer Festplatte.
Die Funktion ist besonders im Kontext
der Virtualisierung sehr hilfreich, denn
indem »kvm« ein Blockdevice als Festplatte
zugeschanzt bekommt, erspart
sich die Virtualisierung den Umweg über
ein Container-Format wie Qcow2. Hinzu
kommt, dass die Verwendung von »rbd«
sich sehr leicht gestaltet – ab Werk ist
bereits ein »rbd«-Pool angelegt, den Admins
sich zu nutze machen können. Um
beispielsweise ein »rbd«-Laufwerk mit
einer Größe von einem Gigabyte anzulegen,
genügt der Befehl »rbd create test
--size 1024«.
Danach lässt sich das Blockdevice auf
jedem Host mit »rbd«-Kernelmodul verwenden.
Das Modul gehört mittlerweile
zum Mainline-Kernel und findet sich auf
praktisch allen aktuellen Systemen. Weil
in »ceph.conf« im ersten Teil des Workshops
festgelegt ist, dass sich Benutzer
authentifizieren müssen, um an die RA-
DOS-Dienste heranzukommen, gilt das
freilich auch für »rbd«. Zur Erinnerung:
Die Login-Credentials finden ihren Weg
nach »ceph-authtool -l /etc/ceph/admin.
keyring« auf den Bildschirm.
Danach funktioniert auf einem Rechner,
der »rbd« geladen hat, folgender Befehl,
um das Rbd-Laufwerk zu aktivieren: »echo
„IP-Adressen der Mons, durch Beistriche getrennt
name=admin,secret=Authkeyrbd
test“ > /sys/ bus/ rbd/ add«
Fazit
RADOS hat das Zeug zum Star: Es bietet
Administratoren die Möglichkeit, im
Einsatz befindliche 2-Knoten-Storages
durch nahtlos skalierbares Storage auf
Grundlage von RADOS zu ersetzen. Augenblicklich
planen die Entwickler, die
Version 0.48 zur Version 1.0 zu machen,
die dann offiziell den Stempel „Ready for
Enterprise“ bekommen soll. Die vorausgehende
Version 0.47 ist inzwischen bereits
erschienen, man darf also gespannt
sein. (jcb)
n
Infos
[1] Erklärungen zum Data Placement in RA‐
DOS: [http:// www. ssrc.ucsc.edu/Papers/
weil‐osdi06. pdf]
[2] Erklärungen zum Crush‐Algorithmus:
[http://www. ssrc. ucsc.edu/Papers/
weil‐sc06. pdf]
Der Autor
Martin Gerhard Loschwitz arbeitet als Principal
Consultant bei hastexo. Er beschäftigt sich dort
intensiv mit Hochverfügbarkeitslösungen und
pflegt in seiner Freizeit den Linux‐Cluster‐Stack
für Debian GNU/ Linux.
66 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Linux-Magazin
ACADEMY
LPIC-1
All-in-One Solution
✓
✓
✓
Stellen Sie Ihr Linux-Wissen mit
einer Zertifizierung unter Beweis!
Nutzen Sie die volle Flexibilität bei
der Zeiteinteilung Ihrer Schulung!
Holen Sie sich alles, was Sie
benötigen, in einem Paket!
LPIC-1 Komplettpaket* nur € 1.490
*Zertifizierung als „Junior Level Linux Professional“
100% flexibel!
Weitere Infos: academy.linux-magazin.de/solution

Know-how
management mit Rex
© Stanislav Rishnyak, 123RF
Rechner verwalten mit Rex
König der Rechner
genau wie untertanen ihrem König gehorchen müssen, sollten auch alle Rechner und server eines unternehmens
den Kommandos ihres Administrators folgen. dank Rex muss er sich dabei noch nicht einmal von seinem
Thron erheben. Tim schürmann
Mit Rex verwaltet der Administrator
sämtliche Rechner in einem Netzwerk
von einer zentralen Stelle aus. Als einzige
Voraussetzung müssen alle Computer per
SSH erreichbar sein, der Rechner des Administrators
benötigt zudem eine installierte
Perl-Umgebung. Auf dem eigenen
Rechner definiert der Administrator dann
eine Aufgabe (Task), die wiederum einige
ausgewählte oder sogar alle anderen
Computer ausführen beziehungsweise
abarbeiten.
Auf diese Weise kann man etwa Programme
nachinstallieren und löschen,
Wartungsaufgaben ausführen, die Konfiguration
sämtlicher Stationen einheitlich
ändern, Dokumente verteilen oder
schlicht Informationen über den Gesundheitszustand
der Systeme abfragen. Mit
einem entsprechend formulierten Task
genügt beispielsweise schon der Befehl
»rex apache2«, um auf allen Webservern
Apache2 zu installieren und sie gleich
auch noch mit passenden Konfigurationsdateien
auszustatten.
Rex heißt übrigens nach dem Willen
der Programmautoren in Wirklichkeit
„(R)?ex“. Da dies aber schwer zu schreiben,
lesen und auszusprechen ist, verwendet
dieser Artikel im Weiteren eine
andere Schreibweise.
Freie Auswahl
Kontrollieren kann Rex Computer mit den
Linux-Distributionen CentOS 5 und 6,
Debian 5 und 6, Fedora, Gentoo, Mageia,
Open Suse, RHEL 5 und 6, Scientific
Linux, sowie Ubuntu 10.04, 11.04
und 12.04. Hinzu kommen noch Solaris-
(Sun OS) und BSD-Systeme. Zwar sperrt
sich Rex nicht gegen andere Linux-Distributionen,
der Anwender muss dann
aber beim Aktivieren einer Aufgabe die
Daumen drücken.
Rex selbst benötigt nur der Administrator
auf seinem eigenen Rechner. Das kann
sogar eine Windows- oder Mac-OS-X-
Maschine sein, wichtig ist lediglich eine
vorhandene Perl-Umgebung. Um Rex zu
installieren, holt man zunächst (unter
Linux mit dem Paketmanager) die Versionsverwaltung
»git« und das Werkzeug
»make« hinzu. Damit zapft man Github
an und lässt ein für die Installation notwendiges
Makefile generieren:
git clone https://github.com/krimdomu/Rex.git
cd Rex
perl Makefile.PL
Sehr wahrscheinlich tickern jetzt durch
das Terminal ein paar von Rex vermisste
Perl-Module, die man nachinstalliert –
unter Linux in der Regel über den Paketmanager.
Die eigentliche Installation erfolgt
dann mit den beiden Kommandos:
make
sudo make install
»rex -version« sollte jetzt eine Versionsnummer
ausspucken. Andernfalls ist etwas
bei der Installation schiefgelaufen,
meist fehlen benötigte Perl-Pakete.
Für alle unterstützten Linux-Distributionen
stellen die Entwickler auch Repositories
mit fertigen Rex-Paketen bereit. Wie
man die Repositories einbindet, hängt
von der Distribution ab. Das kostet unter
Umständen mehr Tipparbeit als die
hier vorgestellte Installation direkt aus
den Quellen. Im Gegenzug bleibt Rex
immer automatisch auf dem aktuellen
Stand – zumindest halbwegs, denn zum
Redaktionsschluss hinkten die Inhalte
der Repositories etwas der Rex-Version
68 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

management mit Rex
Know-how
Hinter »-H« stehen wieder die Rechner,
die eine Aufgabe mit dem Namen »uptime«
abarbeiten sollen. Die Definition
dieser Aufgabe erwartet »rex« in einer
Datei namens »uptime.rex«. Wer »uptime.rex«
in »Rexfile« umbenennt, kann
sich den Parameter »-f« sparen. Apropos
sparen: Ohne den Parameter »-H« würde
»rex« die Aktion lokal, also auf dem Rechner
des Administrators ausführen. Auf
diese Weise kann der Administrator Rex
auch zur Automatisierung von lokalen
Aufgaben missbrauchen und von ihm
beispielsweise ein Programm übersetzen
oder eine Dokumentation zusammenstellen
lassen. Alle Parameter für »rex« müssen
übrigens immer zwingend vor dem
Task-Namen stehen (im obigen Beispiel
also vor »uptime«). Andernfalls ignoriert
»rex« sie.
Sicherheitsbewussten Administratoren
dürften bei einem Blick auf Listing 1
sicherlich die Haare zu Berge stehen.
Im Rexfile stehen tatsächlich der Beaus
Github hinterher. Wer die Repositories
nutzen möchte, findet entsprechende
Installationsanleitungen unter [2].
Sobald Rex einsatzbereit ist, sollte man
noch kurz prüfen, ob alle Rechner im
Netz per SSH erreichbar sind. Kann sich
der Administrator dabei auf jedem Rechner
mit den gleichen Benutzerdaten anmelden,
vereinfacht dies das Schreiben
der Tasks.
Laufleistung
Für einen ersten kurzen Test kann Rex ermitteln,
wie lange die Computer im Netz
bereits laufen. Diese sogenannte Uptime
ermittelt für die beiden Rechner »marvin«
und »zaphod« ein bündiges:
rex -e "say run 'uptime'" -H "marvin zaphod"U
-u hans -p 123456
Hinter »-e« steht in Anführungszeichen
das auszuführende Kommando. »run 'uptime'«
weist »rex« an, auf den entfernten
Rechnern das Programm »uptime« zu
starten. Das vorangestellte »say« sorgt
dafür, dass die Ausgaben von »uptime«
im Terminal des Administrators landen.
Der Parameter »-H« listet in Anführungszeichen
alle betroffenen Rechner auf.
Anstelle der Rechnernamen darf man
selbstverständlich auch wie in Abbildung
1 die IP-Adressen verwenden. Der für die
Anmeldung an den beiden Computern
benötigte Nutzername steht schließlich
hinter »-u«, das Passwort hinter »-p«.
Damit man sich bei komplexeren Aufgaben
nicht die Finger wund tippt, kann
man alle notwendigen Informationen
auch in einer Textdatei ablegen, dem sogenannten
Rexfile. Für die Abfrage der
Uptime befüllt man sie mit dem Inhalt
aus Listing 1.
Am Anfang steht hinter »user« und »password«
in Anführungszeichen der Benut-
zername und das Passwort, mit dem sich
der Administrator auf allen Maschinen
per SSH einloggt. Danach folgt die Definition
einer Aufgabe. Was sie bewirkt,
verrät die kurze menschenlesbare Beschreibung
hinter »desc« in Anführungszeichen.
»task« gibt der Aufgabe einen
eindeutigen Namen – in Listing 1 heißt
sie schlicht »uptime«. Was Rex beim Aufruf
der Aufgabe machen soll, steht zwischen
den geschweiften Klammern. In
Listing 1 startet (»run«) auf den externen
Rechnern das Programm »uptime«, wobei
dessen Ausgaben im Terminal des Administrators
landen (»say«). Das Ende einer
jeden Zeile beziehungsweise Anweisung
ziert schließlich noch ein Semikolon.
Die so definierte Aufgabe führt der Administrator
mit folgendem Befehl aus:
rex -H "marvin zaphod" -f uptime.rex uptime
nutzername und das Passwort im Klartext.
Lässt man sie weg, muss man sie
»rex« wieder mit den Parametern »-u«
und »-p« übergeben. In der zum Redaktionsschluss
erhältlichen Version wertete
»rex« die beiden Parameter jedoch
nicht immer zuverlässig aus. Als dritte
Alternative kann man sich auch mit SSH-
Schlüsseln authentifizieren. Dazu dienen
die Zeilen:
user "hans";
private_key "/pfad/zum/private.key";
public_key "/pfad/zum/public.key";
am Anfang des Rexfiles mit den passenden
Pfaden. Sofern die Schlüssel in den
Standardverzeichnissen liegen (unter
»$HOME/.ssh«), reicht bereits die Angabe
des »user«.
Rudelbildung
Wer besonders viele Rechner zu verwalten
hat, kann diese im Rexfile in einer
Gruppe zusammenfassen:
group "intranet" => "marvin", "zaphod";
Diese Zeile muss noch vor dem ersten
Task stehen. In diesem Beispiel entsteht
eine neue Gruppe namens »intranet«, die
aus den beiden Computern »marvin« und
»zaphod« besteht. Sofern die Rechnernamen
eine fortlaufende Nummer tragen,
wie etwa »client01« bis »client05«, funktioniert
auch eine kürzere Notation:
group "intranet" => "client[01..05]";
Beim Aufruf von »rex« genügt es dann,
die Gruppe anzugeben:
rex -G "intranet" uptime
und schon führen alle darin befindlichen
Rechner die Aktion »uptime« aus. Aber
auch diese Angabe kann sparen, wer
die Aufgabe »uptime« im Rexfile auf die
Gruppe »intranet« beschränkt:
task "uptime", group => "intranet", U
sub { ...
E
Abbildung 1: Beim ersten Rechner schlägt das Login fehl, was unter anderem die kryptische Fehlermeldung am
Ende zur Folge hat. Der zweite Rechner gibt hingegen brav seine Uptime preis.
Listing 1: ein Rexfile mit einer Aufgabe
01 user "hans";
02 password "123456";
03
04 desc "Uptime ermitteln";
05 task "uptime", sub {
06 say run 'uptime';
07 };
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
69

Know-how
management mit Rex
F Abbildung 2: »rex« protokolliert auf Wunsch alle
seine Aktionen wie hier im Syslog. Die Ausgaben
der aufgerufenen Programme sind allerdings nicht
darunter. Je nach Umfang der Aufgabe kann »rex«
auch schon einmal das Syslog überfluten.
Jetzt genügt an der Kommandozeile sogar
ein simples: »rex uptime«. Mehrere Gruppen
notiert man in eckigen Klammern:
task "uptime", group => ["intranet", U
"buchhaltung"], sub { ...
Anstelle der Gruppe darf der Anwender
auch einfach die betroffenen Rechner
auflisten:
task "uptime", "marvin", "zaphod", sub { ...
Laberbacke
Rex ist ziemlich redselig und schreibt
jede seiner Aktionen ins Terminal. Damit
man dabei nicht den Überblick verliert,
veranlasst die folgende Anweisung Rex
dazu, alle Meldungen zusätzlich auch in
eine Datei:
Listing 2: erweitertes Rexfile für »uptime«
01 user "hans";
02 password "123456";
03
04 group "intranet" => "192.168.2.12",
„192.168.2.13“;
05 group "buchhaltung" => "192.168.2.14",
"192.168.2.15";
06
Listing 3: Rexfile zum einrichten von Apache
01 user "root";
02
03 desc "Apache installieren";
04 task "apacheinstallieren", sub {
05
06 install package => "apache2";
07 service "apache2" => "start";
08
09 };
10
11 desc "Konfiguration hochladen und synchron
logging to_file => "rex.log";
oder ins Syslog zu schreiben:
logging to_syslog => "local0";
Eine der beiden Zeilen gehört wieder ins
Rexfile vor den ersten Task. Doch Vorsicht:
In beiden Fällen landen nur die von
Rex selbst erzeugten Meldungen in den
Log-Dateien. Die zurückgelieferte Uptime
etwa erscheint nur im Terminal, also der
Standardausgabe (wie Abbildung 2 beweist).
Das mit allen vorgestellten Funktionen
erweiterte Rexfile zeigt Listing 2.
Paketdienst
07 logging to_file => "rex.log";
08
09 desc "Uptime ermitteln";
10 task "uptime", group => ["intranet",
"buchhaltung"], sub {
11 say run 'uptime';
12 };
halten";
12 task "apache", sub {
13
14 apacheinstallieren();
15
16 file "/etc/apache2/httpd.conf",
17 source => "/vorlagen/httpd.conf",
18 on_change => sub { service httpd =>
"reload"; };
19
20 };
Listing 3 definiert gleich zwei Aufgaben:
Die erste namens »apacheinstallieren«
installiert auf allen Servern den Webserver
Apache (»install package«) und
startet ihn (»service ... "start"«). Dabei
ist es vollkommen egal, welche Linux-
Distribution mit welchem Paketmanager
auf dem Zielsystem läuft. Rex erkennt das
System und spielt das Paket automatisch
mit den korrekten Befehlen ein.
Es gibt allerdings eine kleine Stolperfalle:
Auf allen Zielsystemen muss das Paket
mit dem Webserver »apache2« heißen.
Kennt ein Paketmanager es etwa als »apache-2«,
führt das zu einer Fehlermeldung.
In heterogenen Netzwerkumgebungen
kommt man daher meist doch nicht um
mehrere Aufgaben für verschiedene Distributionen
beziehungsweise Betriebssysteme
herum.
Kontrolle ist gut
Die zweite Aufgabe in Listing 3 namens
»apache« aktiviert zunächst die zuvor
definierte Aufgabe »apacheinstallieren«.
Damit stellt sie sicher, dass der Webserver
auf jeden Fall ordnungsgemäß
installiert ist. Anschließend kopiert sie
die Datei »/vorlagen/httpd.conf« auf jeden
Server nach »/etc/apache2/httpd.
conf«. Sofern sich die Konfigurationsdatei
mittlerweile geändert hat (und wirklich
nur dann), startet Rex Apache auf dem
Server automatisch neu. Dafür sorgt das
»on_change«.
Mit diesem Aufgaben-Duo genügt jetzt
auf der Kommandozeile ein schlichtes:
rex -H "marvin" apache -p Root-Passwort
um auf dem Rechner »marvin« den Webserver
Apache zu installieren und diesem
auch gleich noch die angepasste Konfigurationsdatei
»/vorlagen/httpd.conf« aufzudrücken.
Nach dem gleichen Prinzip
hält man auch die Konfigurationen aller
anderen Rechner im Netzwerk auf dem
aktuellen Stand.
Spätestens in Listing 3 dürfte Perl-Kennern
so einiges vertraut vorkommen.
Und tatsächlich ist ein Rexfile nichts
anderes als ein Perl-Skript. Jeder Task
ist eine Funktion, die man in anderen
Tasks aufrufen kann – damit erklärt sich
70 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

management mit Rex
Know-how
E Abbildung 3: Um Fehlern im eigenen Rexfile auf
die Schliche zu kommen, schaltet »rex« mit dem
Parameter »‐d« in einen Debug‐Modus. In ihm
protokolliert das Werkzeug penibel jede einzelne
Aktion.
auch in Listing 3 der Aufruf »apacheinstallieren();«.
Wer die Skriptsprache Perl
noch nicht kennt, findet auf der Rex-
Homepage eine schnelle Einführung [3].
Die dortigen Informationen reichen zum
Schreiben von Rexfiles vollkommen aus,
ein Perl-Experte muss man folglich nicht
werden.
Personalakte
Neben den bereits vorgestellten Aktionen
bringt Rex noch viele weitere mit. Mit
ihnen kann man unter anderem bequem
an den Netzwerkeinstellungen schrauben,
laufende Prozesse abschießen und
sogar auf die Amazon Cloud zugreifen.
Thematisch zusammengehörende Funk-
tionen haben die Entwickler in Perl-Modulen
zusammenfasst, von denen einige
standardmäßig eingebunden sind. Hierzu
zählt etwa der Dateiupload mit »file« aus
rz lam-0018 Anzeige_210x148:la1 lam-0010 Anzeige_210x148 18.08.2010 15:26 Uhr Seite 1
Listing 3. Andere, wie etwa die Funktionen
zur Benutzerverwaltung, muss man
erst noch per Hand einbinden. Listing 4
zeigt dafür ein Beispiel: Zunächst bindet
„Es gibt drei Möglichkeiten, eine Firma zu ruinieren:
mit Frauen, das ist das Angenehmste;
mit Spielen, das ist das Schnellste;
mit Computern, das ist das Sicherste.“
Oswald Dreyer-Eimbcke, deutscher Unternehmer
Es gibt allerdings auch eine ganze Reihe von Möglichkeiten, mit IT zum Unternehmenserfolg beizutragen.
Und genau damit beschäftigen wir uns seit dem Jahr 1989. In weit über 100.000 Stunden IT-Training,
technischem Consulting und Software-Entwicklung haben wir eine ganze Menge Know-how entwickelt.
Dieses umfassende Wissen kommt Ihnen heute zugute, wenn wir Sie in allen IT-Fragen unterstützen.
Wie Sie von unserem Know-how profitieren, erfahren Sie unter www.lamarc.com.
Rufen Sie uns an +49 611 26 00 23 oder schicken eine E-Mail an info@lamarc.com
Seminare OnSite Coaching Netzwerk Consulting System Consulting Developer Support Software-Entwicklung
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
71

Know-how
management mit Rex
G Abbildung 4: Hier legt »rex« mit der entsprechenden Aufgabe aus Listing 4
einen neuen Nutzer an, wie …
E Abbildung 5: … die Benutzerverwaltung des Clients beweist.
es das Modul »Rex::Commands::User« ein
und verrät (hier der Einfachheit halber)
die Login-Daten für den Benutzer »root«.
Anschließend legt es auf allen entfernten
Rechnern einen neuen Benutzer namens
»klaus« an. Dazu muss es lediglich die
benötigen Informationen in einen Hash
schieben. So gibt etwa die Zeile:
home => '/home/klaus',
den Namen des zukünftigen Heimatverzeichnisses
an. Neben den Hash-Einträgen
aus Listing 4 existieren noch weitere,
darunter auch:
expire => '2012-11-30',
Eigentlich kann man damit die Gültigkeit
des Nutzerkontos bis zu dem angegebenen
Stichtag beschränken. In der zum
Redaktionsschluss aktuellen Rex-Version
führte die Angabe auf den Testsystemen
Listing 5: Auswertung von Parametern
01 user "root";
02 password "123456";
03
04 desc "Erstelle Benutzer";
05 task "neuernutzer", sub {
06
Listing 4: erstellen eines neuen benutzerkontos
01 use Rex::Commands::User;
02
03 user "root";
04 password "123456";
05
06 desc "Erstelle Benutzer";
07 task "neuernutzer", sub {
08 create_user 'klaus' => {
09 home => '/home/klaus',
10 comment => 'Konto für Klaus',
11 password => '123456',
12 };
13 };
07 my ($params) = @_;
08 run "useradd -m " .
$params->{'benutzername'};
09
10 };
jedoch reproduzierbar zu einem Fehler.
»create_user« legt einen neuen Nutzer
an, analog löscht »delete_user« einen solchen
wieder:
delete_user „klaus“, {
delete_home => 1,
};
»delete_home => 1,« bewirkt, dass
auch das Home-Verzeichnis ins Nirwana
wandert.
Mit Anhang
Die Aufgabe aus Listing 4 ist auf den
Benutzer »klaus« festgenagelt und somit
alles andere als flexibel. Viel praktischer
wäre, wenn man der Aufgabe den Benutzernamen
beim Aufruf übergeben
könnte:
rex -H "marvin" neuernutzer U
--benutzername=klaus
Auch das ist kein Problem wie Listing
5 beweist. Dort packt zunächst das
»my ($params) = @_;« sämtliche an
»rex« zusätzlich übergebenen Parameter
in »$params«. Der Wert des Parameters
»benutzername« steckt dann in
»$params->{‚benutzername‘}«. Listing
5 übergibt ihn sinnvollerweise dem
»useradd«-Kommando, das wiederum das
passende Benutzerkonto anlegt. Analog
lassen sich beliebige weitere Parameter
hinzufügen und abfragen. Diese Parameter
müssen übrigens beim Aufruf von
»rex« diesmal zwingend hinter dem Task-
Namen stehen (wie im obigen Beispiel).
Wie »useradd« benötigen manche Kommandos
auf den entfernten Maschinen
Root-Rechte. Dazu kann sich der Administrator
wie in den hier vorgestellten
Listings als »root« anmelden. Einige
Distributionen wie Ubuntu deaktivieren
dessen Nutzerkonto jedoch. Daher kann
»rex« auf Wunsch auch jedes Kommando
einer Task mit »sudo« ausführen. Man
muss dem Aufruf von »rex« lediglich
noch ein »-s« anhängen, das notwendige
Passwort übergibt »-S«:
rex -H "marvin" -s -S 123456 neuernutzer U
--benutzername=klaus
Fazit
Wer einigermaßen Perl spricht, erhält
mit Rex ein leistungsfähiges und extrem
flexibles Fernwartungswerkzeug. Die
Einarbeitung in das System ist schnell
geschafft, die ferngesteuerten Rechner
benötigen nur einen SSH-Server. Ärgerlicherweise
stolpert man beim Schreiben
von Aufgaben immer wieder über kleinere
Unzulänglichkeiten, wie etwa das
nicht funktionierende »expire« bei der
Nutzerverwaltung. Die Dokumentation
besteht im Wesentlichen aus einem noch
spärlich bestückten Wiki [4] und ein
paar Howtos [5]. Perl-Kenner sollten
aber dennoch schnell durchblicken und
sich dann gleich auf die Funktions-Referenz
stürzen [6]. (ofr)
n
Infos
[1] Rex: [http:// rexify.org/]
[2] Offizielle Rex-Repositories:
[http://rexify. org/ get/index.html]
[3] Schnelleinführung in Perl:
[http://rexify. org/ howtos/perl.html]
[4] Rex-Wiki: [http://rexify.org/api/index.html]
[5] Rex-Howtos:
[http://rexify. org/ howtos/index.html]
[6] Rex-API-Referenz:
[http://rexify. org/ api/index.html]
Der Autor
Tim Schürmann ist selbstständiger Diplom-Informatiker
und derzeit hauptsächlich als freier
Autor unterwegs. Zu seinen Büchern gesellen
sich zahlreiche Artikel, die in Zeitschriften und
auf Internetseiten in mehreren Ländern veröffentlicht
wurden.
72 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Admin-mAGAZin diGitAl
Profi-Know-how immer Zur hAnd
vorteile
• Ideal für Rechercheure
• bereits vor dem Kiosk-
Termin als PDF lesen
• kompaktes, papierloses
Archiv
• Sparen Sie im Abo über
20% im Vergleich zum
PDF-Einzelkauf!
Jetzt bestellen unter:
www.admin–magazin.de/digisub
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@admin-magazin.de
* Preise gelten für Deutschland.
nur 44,90 E* pro Jahr
(6 Ausgaben)

Know-H ow
Kanban
© Stephen Coburn, 123RF
Wie Kanban hilft, IT-Prozesse zu verbessern
Projekt-
Jonglage
zwischen den Herausforderungen des täglichen iT-betriebs und hochtrabenden
Projekten hin- und hergerissen muss der Admin seine Ressourcen
austarieren. ein mittel, das dabei unspektakulär aber wirksam helfen
kann, ist die Kanban-methode. Jochen Lillich
kein Projekt durchgeführt, wenn es nicht
wichtig wäre, und so erwarten die Verantwortlichen,
dass das Operations-Team
ihr Projekt mit Priorität behandelt. Wo
jede Aufgabe vorgezogen werden soll,
muss es zu Konflikten kommen – und
auch die überlässt man dann ganz gerne
dem Admin.
Als wäre das nicht schon schwierig genug,
kommen dann noch die internen
Projekte hinzu, die nötig sind, um den
stabilen Betrieb der IT-Infrastruktur zu
sichern und sie für die Zukunft zu rüsten.
Da muss das Backup-System erweitert
werden, dort soll das Monitoring mit einer
stetig steigenden Anzahl von Checks
und Metriken zurechtkommen, und vielleicht
ist auch die breite Einführung einer
Automatisierungs-Software wie Puppet
oder Chef ein schon lange gehegter
Wunsch der Admins. Die Idee, dafür Personalkapazität
zu reservieren, wird außerhalb
der IT jedoch meist ähnlich viel
Zuspruch ernten wie der Vorschlag eines
mehrwöchigen Abteilungsausflugs.
Weiter kompliziert sich die Situation
durch das große Aufgabenspektrum unterhalb
des Daches „Operations“. Schichtenmodelle
wie ISO/ OSI deuten bildlich
an, wie weit entfernt die Aufgaben eines
Netzwerk-Administrators von denen einer
Datenbank-Administratorin liegen.
Doch selbst auf einer Ebene ist die Artenvielfalt
groß, man denke nur an Apache
und nginx, Varnish und Squid, MySQL
und Oracle.
Einer der wichtigsten Unterschiede zwischen
einem Software-Entwicklungs-
Team und einem Operations-Team ist
die Menge an ungeplanter Arbeit. Jede
Unterbrechung des Betriebs durch eine
Störung bedeutet, dass ein oder mehrere
Admins aus ihrer geplanten Arbeit gerissen
werden. Und diese Unterbrechungen
sind leider häufiger als man es sich
wünscht.
Schaut man nach den Gründen, warum
IT-Projekte so häufig scheitern oder zumindestens
erhebliche Schmerzen verursachen,
dann stößt man auf eine ganze
Reihe von wiederkehrenden Ursachen.
Die Probleme
Da wäre zunächst die Vielzahl der Auftraggeber,
die mit ihren Anliegen auf
die operativen Mitarbeiter zukommen.
Jeder hat seine eigenen Vorstellungen,
wie sein Projekt abzulaufen hat, aber
in einem sind sich alle einig: Das eigene
Projekt möge doch bitte vorrangig
behandelt werden. IT-Projekte kommen
aus fast allen Bereichen des Unternehmens,
zum Beispiel aus dem Marketing,
dem Produktmanagement oder auch
der Personalabteilung. Natürlich würde
Die Folgen
All dies hat erhebliche Folgen für den
täglichen Betrieb innerhalb einer Operations-Organisation.
Nur selten genießt
ein Operations-Team den Luxus eines
Personalstamms, der so groß ist, dass
jeder Mitarbeiter sich vollständig einem
einzigen Projekt widmen kann. Dies führt
dazu, dass das Team für eine Vielzahl
74 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Kanban
Know-H ow
Fehlende Kapazität, unvollständiger
Überblick, geringe Planungssicherheit
und allgemeine Unzufriedenheit waren
schon vor mehr als zehn Jahren die
Gründe, sich in der Software-Entwicklung
vom etablierten Wasserfall-Modell abzuwenden
und nach Projektmanagement-
Methoden zu suchen, die mehr Agilität
erlauben.
Beim Wasserfall-Modell durchläuft ein
Gesamtprodukt verschiedene Phasen von
der Planung über die Entwicklung bis
zur Produktion und Auslieferung. Fehler
in frühen Phasen machen sich hier oft
erst spät bemerkbar und können dann
nur zu hohen Kosten korrigiert werden.
Agile Verfahren hingegen fokussieren
sich auf leichter zu handhabende Produkt-Fragmente,
die nacheinander oder
gleichzeitig bestimmte Stationen durchlaufen.
Dies erlaubt es, Korrekturen und
sogar radikale Kurswechsel zu geringeren
Kosten durchzuführen. Das prominenteste
Beispiel für diese Verfahren ist die
Methodologie Scrum.
So verlockend solche neuen Ansätze wie
Scrum sind – es liegt wohl in der menschgleichzeitig
laufender Aufgaben
verantwortlich ist, die es
am Laufen halten muss wie
ein Jongleur die Bälle in der
Luft. Es gibt dabei immer wieder
Zeiten, zu denen mehr
Aufgaben angefangen als abgeschlossen
werden.
Oft fehlt dem Team sogar ganz
grundlegend die Kapazität,
um mit allen Eventualitäten
fertig zu werden, ohne dass
Einbußen in Kauf genommen
werden müssen. Dann reißt
jeder größere Incident Kapazität
an sich, die für ein oder
gar mehrere (Teil-) Projekte vorgesehen
war, und gefährdet somit auch deren
pünktlichen Abschluss.
Überblick bewahren
Wer behält dabei noch den Überblick?
Jedes Projekt wird zwar seinen Hauptverantwortlichen
haben, aber gibt es
auch eine Instanz, die die Gesamtheit
aller Projekte, inklusive der IT-internen,
auf dem Schirm hat? Die weiß, welcher
Sysadmin gerade an welcher Aufgabe arbeitet?
Die, auch nach außen hin, transparent
macht, welche Aufgaben auf Kurs
sind und welche gerade zu entgleisen
drohen? Falls es sie nicht gibt, sollte sie
geschaffen werden, und zwar innerhalb
der IT-Organisation.
Ohne diese Instanz ist die Planungssicherheit
weder für Operatoren noch für
den Rest des Unternehmens ausreichend.
Die Frage, ob die richtigen Fachkräfte mit
den richtigen Aufgaben beschäftigt sind,
ist dann kaum zu beantworten.
Leider ist das Fehlen einer solchen übergeordneten
Instanz für viele Operations-
Organisationen tägliche Realität, und
dementsprechend hoch ist der Grad an
Unzufriedenheit, ja sogar Misstrauen, mit
dem sich Auftraggeber und Auftragnehmer
begegnen. Der Projektmanager wird
unzufrieden sein, dass Termine nicht eingehalten
werden – selbst, wenn diese mit
der IT verabredet wurden. Und auch bei
den Sysadmins macht sich Unzufriedenheit
breit, weil es keine klaren Prioritäten
gibt, außer, dass Störungen sofort zu
behandeln sind. (Was natürlich prompt
wieder Ärger erzeugen wird, wenn deshalb
Deadlines platzen.)
Backlog
Projekt
D
In Arbeit
Projekt
B
Projekt
C
WIP-Limit: 3
Besonders frustrierend ist dabei, dass
ein Admin oft nicht einmal die grundlegende
Frage beantworten kann: „Was
ist meine nächste Aufgabe, und wann
kann ich damit anfangen?“ Die Antwort
kommt, wenn überhaupt, von außerhalb
des Teams. Das geht nicht nur
zulasten der Jobzufriedenheit, sondern
verhindert auch, dass das Ops-Team
seine bescheidenen Ressourcen optimal
einsetzen kann.
Ausweg Agilität
fertig
Projekt
A
Abbildung 1: Das Kanban-Board stellt jeden Prozessschritt in einer eigenen
Spalte dar. Die Projekte wandern von links nach rechts.
Scrum
lichen Natur, sich gegen tiefgreifende
Änderungen zu wehren.
Und oft ist es dieser Widerstand,
manchmal aus dem
Management, manchmal vonseiten
der Mitarbeiter, der gut
gemeinte Initiativen innerhalb
einer Organisation zum Scheitern
bringt. Ansätze, die auf
einen radikalen Bruch verzichten
und statt dessen graduell
zu einer Verbesserung führen,
haben eine höhere Chance auf
Erfolg. Jeder Schritt kann dann
einzeln bewertet werden und
Vertrauen erzeugen.
Viele, die in Operations-Teams Scrum einführen,
stellen fest, dass manche Ansätze
des Konzepts zu einer Verbesserung führen,
andere jedoch zu Schwierigkeiten.
Ein einfacher, aber wichtiger Grund dafür
ist, dass Entwicklungs-Teams und Operations-Teams
ähnlich, aber nicht identisch
arbeiten. Der Alltag eines Admins unterscheidet
sich in entscheidenden Aspekten
von dem eines Software-Entwicklers.
Dies wird besonders am Devops-Ansatz
sichtbar, der den gesamten Lebenszyklus
eines IT-Produkts von der Idee bis zum
Betriebsende betrachtet.
Dem Operations-Bereich fehlt zudem die
für Scrum nötige klare Rollenverteilung:
Wer ist der Product Owner eines Postfix-Clusters?
Und Admins beneiden ihre
Entwicklungs-Kollegen um deren Planungshorizont.
Immer kürzer werdende
Deployment-Zyklen sind als Rahmen für
unflexible Sprints nicht geeignet, die einerseits
keine Änderungen am Auftrag
mehr erlauben und andererseits durch
das Time-Boxing Leerlauf zu erzeugen
drohen.
Was ist Kanban?
Mit der Kanban-Methode existiert ein weiterer
agiler Ansatz für die Modellierung
von Arbeitsabläufen. Sie erfreut sich, vor
allem im IT-Bereich, stetig zunehmender
Beliebtheit, weil sie einfach zu verstehen,
einfach umzusetzen und einfach an den
eigenen Bedarf anzupassen ist.
Kanban ist ein japanisches Wort, das
sich aus den Silben „kan“ (Signal) und
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
75

Know-H ow
Kanban
„ban“ (Karte) zusammensetzt. Es ist der
Name eines Prinzips, nach dem Taiichi
Ono 1947 den Produktionsablauf bei Toyota
organisierte. Er orientierte sich dabei
erfolgreich an den zentralen Zielen des
Lean Manufacturing, die Durchlaufzeiten
zu verkürzen, die Produktivität zu erhöhen
sowie Zufriedenheit und Vertrauen
zu schaffen. Aus der Erkenntnis heraus,
dass keine Methode Perfektion erreicht,
kommt in Kanban auch dem Prinzip der
kontinuierlichen Verbesserung („kaizen“)
eine wichtige Rolle zu.
Abbildung 2: Ein Problem bei der Auslieferung blockiert die ganze Kette. Das WiP-Limit der Entwicklung
verhindert, dass unaufhörlich Projekte nachrutschen.
Der Kern: Pull und WIP
Das Herzstück von Kanban ist ein sogenanntes
Pull-Verfahren, in dem die verschiedenen
Arbeitsstationen ihre freien
Kapazitäten ohne externe Einflussnahme
selbst auffüllen. Zu diesem Zweck wurden
bei Toyota Signalkarten (daher der
Name "Kanban") eingesetzt, die der jeweils
vorangehenden Station anzeigten,
dass ihr wieder Kapazität zur Weiterbearbeitung
des Produkts zur Verfügung steht.
Die Anzahl der zur Verfügung stehenden
Karten war jeweils an die Kapazität der
Station angepasst, sodass ihre Überlastung
von vornherein vermieden wurde.
Das auf diese Weise eingeführte Work-In-
Progress-Limit (kurz: WIP Limit) ist der
entscheidende Aspekt für den Erfolg des
Kanban-Prinzips.
Ein anschauliches Beispiel für ein Pull-
Verfahren kommt heute in den Kaiserlichen
Gärten in Tokyo zum Einsatz. Jeder
Besucher erhält am Eingang eine Karte,
auf der die Bitte aufgedruckt ist, sie beim
Verlassen der Gärten wieder abzugeben.
Nun ist der Zutritt zu den Gärten zwar
kostenlos, aber er wird nur so lange gewährt,
wie noch freie Karten zur Verfügung
stehen. Und weil deren Gesamtzahl
sinnvoll begrenzt ist, spazieren immer
nur so viele Besucher durch die Gärten,
dass jedem ein angenehmer Aufenthalt
gesichert bleibt.
Als Organisationsmethode im IT-Umfeld
wurde Kanban vor allem durch David
J. Anderson und dessen Buch „Kanban:
Successful Evolutionary Change for Your
Technology Business“ bekannt. Anderson
nennt folgende Kerneigenschaften, die
die Kanban-Methode ausmachen:
1. Visualisierung: Die Einzelaufträge eines
Projekts werden für alle Beteiligten
sichtbar mit den Prozess-Schritten, die
sie aktuell durchlaufen, in Beziehung
gesetzt.
2. Begrenzte Anzahl angefangener Aufgaben:
Wie schon beschrieben, verhindert
das Pull-Prinzip in Kombination
mit der Einschränkung gleichzeitiger
Aufträge eine Überlastung der jeweiligen
Station, im IT-Kontext zum Beispiel des
QS-Teams.
3. Steuerung des Auftragsflusses: Auf Basis
wichtiger Metriken, zum Beispiel der
Durchlaufzeit eines Auftrags, der Länge
der Auftragsliste einer Station oder der
Verweildauer eines Auftrags an einer Station
können fundierte Entscheidungen
und Voraussagen getroffen werden.
4. Explizite Definition der Regeln: Die
Aufgaben jeder Station werden ebenso
vereinbart wie die Kriterien, nach denen
sie einen Auftrag als fertig betrachten
darf, und wie der Übergang zwischen den
Stationen konkret geregelt ist.
5. Aufbau von Feedback-Schleifen: Tägliche
Standup Meetings auf Team- und Mitarbeiterebene
sowie Team-übergreifende
Operations Reviews stellen sicher, dass
alle Beteiligten innerhalb der Organisation
Einfluss auf die Weiterentwicklung
der Prozesse erhalten.
6. Kooperative Verbesserung, Evolution
durch Experimente: Mithilfe wissenschaftlicher
Modelle, beispielsweise aus
der sogenannten „Theory of Constraints“,
und gezielter Experimente können aus
den erhobenen Daten Maßnahmen zur
gezielten Verbesserung der Abläufe abgeleitet
werden.
Kanban in der Praxis
Das Schöne am Kanban-Prinzip ist, dass
nur sehr wenig notwendig ist, um es in
der Praxis anzuwenden. Im Grunde sind
es nur zwei Dinge: Die explizite Erlaubnis
WIP-Limits einzuführen und eine Wand.
Die Wand, egal, ob Whiteboard, Pinwand
oder virtuell in Form einer Kanban-Applikation,
dient der Visualisierung des
Auftragsflusses. Auf dem Kanban-Board
wird jeder Prozessschritt als eine Spalte
dargestellt. Abbildung 1 zeigt ein sehr
einfaches Beispiel für ein solches Kanban
Board. Ein klassisches Entwicklungsprojekt
könnte durch die Spalten „Backlog“,
„Analyse“, „Entwicklung“, „Test“,
„Change-Vorbereitung“, „Produktion“
und „Fertig“ modelliert werden. Im anderen
Extrem nutzen Großprojekte unter
Umständen sogar mehrere, hierarchisch
gestaffelte Boards, wobei eines den Gesamtstatus
wiedergibt und weitere Boards
zur Verwaltung der einzelnen Teilprojekte
zum Einsatz kommen.
Rückendeckung erforderlich
Alle Aufträge wandern dann von links
nach rechts durch die Spalten, jeder symbolisiert
durch eine Karte. Auf der Karte
können noch zusätzliche Daten, etwa der
Verantwortliche oder der Zeitpunkt des
Auftragseingangs, festgehalten werden.
Entsprechend der Kapazität jeder Station
wird jeder Spalte ein festes WIP-Limit
zugeordnet. Der Erfolg der Kanban-Methode
steht und fällt damit, diese Grenzen
streng einzuhalten! Hierfür ist die
Rückendeckung durch das Management
fast unabdingbar, denn ohne diese werden
die WIP-Limits und damit der Nutzen
der Methode erfahrungsgemäß bald
im Machtgerangel der verschiedenen
Interessen untergehen. Nur in wirklich
seltenen Ausnahmefällen, die im Vorfeld
exakt definiert werden müssen, darf eine
76 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Kanban
Know-H ow
WIP-Grenze überschritten werden, beispielsweise
für Maßnahmen zur Behebung
eines Produktionsausfalls.
Es sei an dieser Stelle darauf hingewiesen,
dass bei der Festlegung der WIP-
Limits Gestaltungsspielraum besteht.
Eine für kleine Teams geeignete Variante
beschränkt zum Beispiel einfach spaltenübergreifend
die Anzahl der Karten,
die eine Person insgesamt auf der Wand
haben darf.
Nun gilt es, die Backlog-Spalte mit Aufträgen
zu befüllen, damit diese ihre Wanderung
über das Board beginnen können.
Dies erfolgt sinnvollerweise in regelmäßigen
Priorisierungstreffen zwischen Auftraggebern
und dem Operations-Team.
Ihr zeitlicher Abstand sollte groß genug
sein, um beim nächsten Mal wieder Platz
auf dem Board zu haben, und klein genug,
um die vorhandene Kapazität sinnvoll
auszulasten.
Was folgt?
In agilen Projekten hat sich die Gewichtung
von Backlog-Kandidaten als hohe
Kunst herausgebildet. Planning Poker
und andere Methoden sollen hier bei der
Entscheidung helfen, welche Aufgabe
als nächste angegangen werden soll. Die
Aufwandsschätzung ist im Ops-Bereich
erfahrungsgemäß kein effizientes Verfahren,
weil sie aufgrund der Komplexität
der IT-Infrastruktur die Beteiligung verschiedenster
Spezialisten (DBA, Netzwerk-Architekt,
etc.) erforderlich macht
und deshalb wegen der Koordinationskosten
nicht skaliert. Ein pragmatischeres
Verfahren hingegen wäre ein Weighted
Round Robin zwischen den Projektverantwortlichen
anhand deren Budgets.
Auch die Verzögerungskosten – „Welche
Kosten werden entstehen, wenn wir diesen
Auftrag jetzt noch liegen lassen?“
– sind ein möglicher Schlüssel zur Gewichtung.
Wichtig ist es, diese Treffen regelmäßig
abzuhalten; ein wöchentlicher Turnus
hat sich bewährt. Zum einen entstehen
dadurch Routine und Transparenz.
Wichtiger noch: Die WIP-Limits können
dann gering gehalten werden, was
es dem Team erlaubt, sich auf einzelne
Aufträge zu konzentrieren. Die dadurch
minimierten Durchlaufzeiten, zusammen
mit der Visualisierung der Fortschritte am
Kanban-Board, schaffen dann Vertrauen
in Team und Methode.
Um dieses Vertrauen weiter zu stärken,
sollte auch die Auslieferung fertiger Aufträge
regelmäßig erfolgen. Anders als
Scrum verlangt die Kanban-Methode
dabei kein Time-Boxing, was dem Ops-
Team mehr Spielraum gibt. In dringenden
Fällen kann auch eine ad-hoc-Auslieferung
sinnvoll sein. Teams, die schon eine
gewisse Prozessreife erreicht haben, können
dies in Form des Continuous Deployment
sogar zum Regelfall machen.
Täglich kommunizieren
Kommunikation spielt in der Kanban-Methode
eine wichtige Rolle, und der wichtigste
Ort dafür ist das tägliche Standup-Meeting.
Sein Ziel ist es, Probleme
im Prozessablauf aufzudecken und gemeinsam
nach Lösungen zu suchen. Teilnehmer
des Standup-Meetings sind vor
allem die Mitglieder des Admin-Teams,
und auch für die Projektverantwortlichen
ist es sinnvoll investierte Zeit.
Wie diese Standup-Meetings die kontinuierliche
Verbesserung vorantreiben
und allen Beteiligten Gelegenheit geben,
einen Beitrag dazu zu leisten, zeigt auf
sehr anschauliche Weise die im Comicstil
illustrierte Geschichte „Ein Tag in
Kanban-Land“ [1].
In den Abbildungen 2 bis 5 ist ein Abschnitt
aus der Geschichte nachgestellt.
Zunächst war alles prima gelaufen. Die
Entwickler hatten Projekt A bereits zur
Auslieferung weitergereicht, und Projekt
B wartete auch schon, dass der einzige
Platz in der Auslieferungs-Spalte wieder
frei würde. Normalerweise würde das
freie Entwicklerteam sich jetzt Projekt D
holen, aber ihr WIP-Limit verhindert es
(Abbildung 2).
Macht Kanban hier also die Entwickler
zum Engpass, obwohl sie freie Kapazität
haben? Nein! Die Methode deckt lediglich
den wahren Engpass auf, nämlich die
Auslieferung. Hier stockt der Auftragsfluss
gerade, weil es Probleme mit Projekt
A gibt. Anstatt also über die Admins, die
immer alles aufhalten, zu lästern, investieren
die Entwickler ihre freie Kapazität
effektiver in die Beseitigung der Blockade
(Abbildung 3).
Die Situation verschärft sich, als das
andere Entwicklerteam seine Arbeit an
Projekt C abschließt (Abbildung 4). Die
Freude des Projektmanagers darüber ist
nur von kurzer Dauer, denn anstatt weitere
Aufträge in den Stau schicken zu
dürfen, muss er warten, bis das Problem
aus dem Weg geräumt ist (Abbildung 5).
Spoiler Alert: Projekt A geht schließlich
erfolgreich in Produktion, und es werden
von den Beteiligten unmittelbar Maßnahmen
getroffen, um eine Wiederholung
des Problems in Zukunft zu vermeiden.
Dieses Beispiel zeigt anschaulich, wie
die Kanban-Methode den Fokus auf die
Schwachstellen im Auftragsfluss lenkt
und alle Beteiligten zwingt, sich mit ihnen
auseinanderzusetzen.
In größeren, unregelmäßigen Abständen
ist dann ein Operations Review sinnvoll,
das, ähnlich der Retrospektive in Scrum,
die kontinuierliche Verbesserung der gesamten
Projektabläufe zum Ziel hat. Deshalb
ist zusätzlich zu den IT-Mitarbeitern
das Management ein unverzichtbarer Teil
des Teilnehmerkreises.
Kanban im Vergleich
Abbildung 3: Die Entwickler helfen bei der Auslieferung, so werden ihre Kapazitäten besser investiert,
nämlich dort, wo es klemmt.
Dass Kanban dem Wasserfall-Modell bei
Weitem überlegen ist, hat es mit den an-
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
77

Know-H ow
Kanban
deren agilen Methoden gemeinsam. Insbesondere
die sich schneller zeigenden
Resultate und die weitaus verlässlicheren
Prognosen und Zusagen sind Vorteile, die
jeder schnell zu schätzen weiß.
Auch den Vergleich mit Scrum muss die
Kanban-Methode nicht scheuen. Ihre Einführung
ist deutlich einfacher, denn sie
kommt ohne vorgeschriebene Rollen aus
und benötigt nur einfachste Mittel – eine
Pinwand genügt. Dass sie, statt Generalisten
zu bevorzugen, eine Spezialisierung
der Beteiligten erlaubt, entspricht deutlich
besser der Realität eines Operation-
Bereichs mit seinen Netzwerk-Admins
und DBAs. Dadurch, dass bei Kanban
Iterationen optional (wenn auch zumindest
zu Beginn hilfreich) sowie Planung
und Auslieferung unabhängig voneinander
sind, erlaubt die Methode viel Flexibilität.
Es schafft Zufriedenheit auf beiden
Seiten, dass neue Aufträge jederzeit erteilt
werden können, ohne dass sie (dank
WIP-Limits) zu einer Überlastung führen
können. Die Größe der Aufträge ist nicht
vorgeschrieben, und auf eine teure Aufwandsschätzung
kann verzichtet werden.
Als einer der wichtigsten Vorteile gegenüber
Scrum gibt der Verzicht der Kanban-
Methode auf Time-Boxing dem Ops-Team
den nötigen Spielraum, seine Kapazität
optimal zu nutzen.
Kanban online
Dass eine Pinwand für den Start mit der
Kanban-Methode genügt, muss ja nicht
heißen, dass man unbedingt so, naja,
vorsintflutlich arbeiten muss – gerade
als ITler! Und der Einsatz digitaler Tools
hilft ja tatsächlich der effizienten Kommunikation,
speziell in größeren oder gar
verteilten Teams. Hier gibt es mittlerweile
ein großes Spektrum an Lösungen. Zum
einen kann man sich natürlich mit allgemeinen
Anwendungen wie einer Tabellenkalkulation
behelfen, es gibt aber
auch spezielle Kanban-Anwendungen,
insbesondere in Form von Web-Applikationen.
Unter diesen zeichnet sich Trello
[3] durch kostenfreie Nutzung und stetig
steigenden Funktionsumfang aus. Alternativ
sind unter anderem auch Kanban
Tool [4] und Agile Zen [5] einen Blick
wert.
Weiterführende Quellen
Abbildung 5: Sobald die Ursache der Stockung beseitigt ist, geht es überall weiter.
Abbildung 4: Der Stau vor der Auslieferung nimmt noch zu.
Wer sich tiefgreifender mit der Kanban-Methode
für IT auseinandersetzen
möchte, ist natürlich gut beraten, bei ihrem
Erfinder nachzulesen. David J. Andersons
Buch „Kanban: Successful Evolutionary
Change for Your Technology
Business“ gibt es auch in einer deutschen
Übersetzung [6]. Aktuelle Informationen
zur Evolution der Kanban-Methode veröffentlicht
Anderson auf seiner Website
[7]. Eine wachsende Zahl von Anhängern
der Kanban-Methode hat sich unter
dem Motto „YES WE KANBAN“ zur Limited
WIP Society [8] zusammengeschlossen.
Ihre Website liefert ständig neue Informationen
zum Thema und lädt zum
Erfahrungsaustausch im Forum ein.
Auch im deutschsprachigen Web finden
sich viele interessante Beiträge zum
Thema, zum Beispiel auf IT-Agile.de [9]
Und wer sich unterwegs im Auto oder
im Zug über Kanban auf dem Laufenden
halten möchte, dem sei der „ITK Podcast“
[10] ans Herz gelegt. (jcb) n
Infos
[1] Ein Tag im Kanban-Land:
[http:// www. it-agile. de/ kanban-comic.
html]
[2] Blog des Autors:
[http:// www. jochen-lillich. de]
[3] Trello: [http:// www. trello. com]
[4] Kanban Tool:
[http:// www. kanbantool. com]
[5] Agile Zen: [http:// www. agilezen. com]
[6] David J. Anderson: „Kanban: Evolutionäres
Change Management für IT-Organisationen“,
dpunkt-Verlag 2011, ISBN-10:
3898647307, 35 Euro
[7] Kanban-Infos:
[http:// agilemanagement. net]
[8] Limited WIP Society:
[http:// www. limitedwipsociety. org]
[9] IT Agile: [http:// www. it-agile. de]
[10] ITK Podcast:
[http:// itkanban. com/ category/ podcast]
Der Autor
Jochen Lillich stieß 1993 auf Linux und arbeitete
nach seinem Informatik-Studium zunächst
als Systemadministrator und Linux-Trainer. Als
Führungskraft bei WEB.DE und 1&1 sammelte er
mehrjährige Erfahrung im Betrieb großer IT-
Infrastrukturen und der Leitung von IT-Teams.
2010 gründete er das Unternehmen „freistil IT“,
das nach dem Motto „Ops for Devs“ hochgradig
optimierte IT-Plattformen für Entwickler und Anwender
von Open Source Software betreibt. Sein
persönliches Blog trägt den Namen „Associative
Disarray“ [2].
78 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

JETZT
MiT dVd!
MAGAZIN
SondErAkTion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
Jetzt schnell bestellen:
• Telefon 07131 / 2707 274
• Fax 07131 / 2707 78 601
• E-Mail: abo@linux-magazin.de
• Web: www.linux-magazin.de/probeabo
Mit großem Gewinnspiel unter:
www.linux-magazin.de/probeabo
GEwinnEn SiE...
EinES Von ZEHn „iVori“ SMArTpHonE GAdGETS
Einsendeschluss ist der 15.12.2012
gesponsert von:
.de

KnOw-hOw
btrfs
© tobi, 123RF
Ein Btrfs-Praxis-Check und -Workshop
Alles in Butter
seit ende Februar unterstützt suse btrfs offiziell im service Pack 2 seines enterprise server 11. zwei wochen
später folgte Oracle mit btrfs-support im eigenen Linux. es scheint an der zeit, sich mit den möglichkeiten des
jungen Filesystems einmal gründlich auseinanderzusetzen. Andreas Kurz
Btrfs ist noch immer als „experimental“
im Linux-Kernel eingestuft und noch
keine der Endkunden-Distributionen verwendet
es als bevorzugtes Dateisystem.
Dabei lockt das designierte Standard-
Dateisystem für Linux mit Enterprise-
Funktionen, die man in dieser Art unter
Linux bis dato nicht aus einer Hand bekommen
konnte. Lange Zeit blieb nur
ein neiderfüllter Blick in Richtung ZFS,
das allerdings mit seiner Sun Common
Development and Distribution License
(CDDL) so ganz und gar nicht kompatibel
mit der GNU General Public License
(GPL) des Linux-Kernels ist.
Vorschau
Dieser Artikel beginnt mit einer kurzen
Beschreibung der wichtigsten Eigenschaften
und Funktionen von Btrfs, gefolgt
von einer Installationsanleitung am
Beispiel einer virtuellen Instanz unter
Ubuntu 12.04. Diesem Ubuntu-System
stehen auch mehrere virtuelle Festplatten
zur Verfügung, auf denen dann erste
Schritte mit Btrfs und dem wichtigsten
Administrationswerkzeug demonstriert
werden.
Im Anschluss wird das Root-Dateisystem
des Testsystems von Ext4 nach Btrfs konvertiert
und in ein RAID 1 umgewandelt.
Damit kann dann die praktische Anwendung
von Filesystem-Snapshots im Zuge
von Software-Updates mit anschließendem
Rollback der Änderungen vorgeführt
werden.
Enterprise-Features
Btrfs ist ein Copy-on-Write-Filesystem
(CoW). Während ein Filesystem wie Ext3
Blockänderungen in einem Journal protokolliert,
schreibt Btrfs Änderungen an
einem Block immer an eine neue Stelle
auf dem Datenträger und referenziert bei
Erfolg in den Metadaten auf den neuen
Datenblock. Erst danach werden die alten
Daten zum Überschreiben freigegeben,
sofern auf sie nicht mehr anderweitig
verwiesen wird, zum Beispiel durch einen
Snapshot.
Btrfs hat sich auf die Fahnen geschrieben,
nicht nur fortgeschrittene Zusatzfunktionen
zu bieten, sondern in erster
Linie fehlertolerant, leicht administrierbar
und im Falle des Falles auch schnell
reparierbar zu sein. Es verwendet für die
Verwaltung von Metadaten und Nutzdaten
ausschließlich CoW-optimierte binäre
Bäume (B-Trees), mit Ausnahme des Superblocks.
Btrfs speichert auch Prüfsummen
(CRC32C-Hashes) für Daten und
Metadaten, um stille Datenkorruption
zu erkennen. Darüber hinaus bietet es
Funktionen, die auf hohe Skalierbarkeit
in modernen Datenzentren ausgerichtet
sind. Vor Btrfs waren dafür zusätzliche
Werkzeuge zur Verwaltung von Speicherplatz
(Logical Volume Management)
oder der Erhöhung der Ausfallsicherheit
(RAID) nötig.
80 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

trfs
KnOw-hOw
Die wichtigsten Eigenschaften von Btrfs
(Stand: Kernel Version 3.4) [1] sind:
n Prüfsummen von Metadaten und Daten
n Subvolumes (Dateisystem im Dateisystem)
n Beschreibbare Snapshots
n Snapshots von Snapshots
n Filesystem-Klone (beschreibbarer
Snapshot eines Read-Only-Filesystems)
n Datei-Klone
n Transparente Komprimierung
n Integriertes Volume-Management
(kann mehrere Festplatten verwalten)
n Unterstützung der RAID-Level 0, 1
und 10
n Umstellung des RAID-Levels im laufenden
Betrieb
n Hintergrundprozess zum proaktiven
Aufspüren und Beheben von Fehlern
(„scrubbing“)
n Filesystem-Vergrößerung und -Verkleinerung
im laufenden Betrieb
n Defragmentierung im laufenden Betrieb
n Werkzeug zur Filesystem-Reparatur
(nicht im laufenden Betrieb verwendbar)
n Verlustlose Konvertierung eines Ext3-
oder Ext4-Dateisystemes (und wieder
retour)
Quasi selbstverständlich sind eine dynamische
Anzahl von Inodes, effizientes
Speichern von kleinen Dateien, die Verwendung
von Extends, Access Control
Lists (ACLs) und erweiterte Attribute. Ein
Must-have sind auch die Unterstützung
des TRIM-Kommandos und spezielle Optimierungen
für SSD-Speicher. Die maximale
Dateisystem- und Datei-Größe ist
mit 2 64 Bytes oder 16 Exbi-Bytes (EiB)
großzügig bemessen, und mit maximal
2 64 Files pro Filesystem sollte für die
nächsten paar Jahre ausreichend vorgesorgt
sein.
Einstiegshürden
Vor der Verwendung von Btrfs gilt es
herauszufinden, was die empfohlenen
Mindestversionen für den Kernel und
die dazugehörigen Administrationsprogramme
– die Btrfs-Tools – sind. Eine
Orientierung an den Enterprise-Versionen
der Kernel von SUSE und Oracle
ist erfahrungsgemäß nicht ganz einfach,
weil diese maximal einen Ausgangspunkt
markieren, der durch mehr oder weniger
viele Zusatz-Patches in die gewünschte
Form gebracht wird. Sehr hilfreich sind
dabei einerseits das Btrfs-Wiki [1] als
auch die sehr entgegenkommenden Entwickler
im Btrfs-Channel im IRC-Netzwerk
Freenode.
Die Btrfs-Entwickler sähen natürlich am
liebsten, dass der letzte Releasekandidat
des Linux-Kernels getestet wird. Bei
genauerem Nachfragen spricht die Entwicklergemeinde
aber dem Filesystem
ab Kernel Version 3.2 schon sehr hohe
Stabilität zu.
Nicht viel übersichtlicher als die Wahl
der richtigen Version eines Distributionskernels
ist die Wahl der Version der zugehörigen
Administrations-Programme.
Sie ist seit mehr als zwei Jahren bei 0.19
eingefroren. Es existieren verschiedenste
Zwischenversionen mit mehr oder weniger
viel Funktionsumfang. Was als letzte
Rettung bleibt, ist die Orientierung am
Datum im Paketnamen oder der Paket-
beschreibung. Dieses Datum sollte zumindest
dem 28. März 2012 entsprechen,
dem Tag, an dem Chris Mason in seinem
offiziellem Git-Repository [2] auf
»kernel.org« die aktuelle Version getagt
hat. An dieser Version fällt der verheißungsvolle
Git-Tag »dangerdonteveruse«
auf, was wohl auf die Qualität des darin
enthaltenen »btrfsck«-Programms zur
Überprüfung und Reparatur von Btrfs-
Dateisystemen hinweisen soll. Das Fehlen
einer zuverlässigen Möglichkeit ein
korruptes Btrfs, mit stark beschädigten
Metadaten wieder herzustellen, war bis
jetzt ein Grund für viele Linux-Distributionen
(allen voran Fedora), mit der
Umstellung des Standard-Filesystems auf
Btrfs zu warten.
Praktischerweise erschien Ende April
die nächste Long-Term-Support-Version
12.04 von Ubuntu, basierend auf der Kernel-Version
3.2. Unverständlicherweise
enthält Ubuntu 12.04 LTS allerdings (zum
Zeitpunkt der Erstellung dieses Artikels)
eine Version des »btrfs-tools«-Paketes die
mittlerweile annähernd zwei Jahre alt ist
(siehe Launchpad Bug #894456 [3]). Der
nahen Verwandtschaft von Ubuntu zu
Debian sei Dank kann man sich des aktuellen
Paketes in Debian Sid bedienen [4],
das dort in der Version »0.19+20120328«
zur Verfügung steht. Derart gerüstet geht
es los mit einer frischen Ubuntu 12.04
LTS Server Standard-Installation als Testsystem,
erweitert um die »btrfs-tools« aus
Debian Sid.
Buttern für Einsteiger
Das Anlegen eines Btrfs-Dateisystems erfordert
erwartungsgemäß nicht viel mehr
Abbildung 1: Ein Blick ins Proc-Filesystem offenbart: Die vier unpartitionierten
Devices »/dev/vdb« bis »/dev/vde« stehen exklusiv für Btrfs zur Verfügung.
Abbildung 2: Ein Dateisystem mit dem Label »TEST« wird angelegt. Das
Multifunktionswerkzeug »btrfs« liefert zusätzliche Informationen über das
neue Btrfs Volume.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
81

KnOw-hOw
btrfs
der Metadaten darstellt, gibt »fi df« einen
genaueren Einblick, wie Btrfs Daten eines
bestimmten Typs allokiert hat. Die
Metadaten werden dabei standardmäßig
immer redundant abgelegt, zur Steigerung
der Fehlertoleranz:
Data: total=16.01GB, used=15.40GB
System, DUP: total=8.00MB, used=4.00KB
Metadata, DUP: total=1.00GB, U
used=79.20MB
Abbildung 3: Das »df«-Kommando liefert nur Informationen, wie viel Platz die Benutzerdaten belegen. Hinter
den Kulissen verbraucht Btrfs deutlich mehr Plattenspeicher.
als unbenutzten Platz auf einer Festplatte
und das entsprechende Werkzeug »mkfs.
Btrfs«. Um später auch das integrierte
Volume-Management von Btrfs zu testen,
stehen dieser virtuellen Ubuntu-Instanz
noch vier Extra-Devices mit jeweils 32
GiB zur Verfügung (siehe Abbildung 1).
Ein Filesystem mit dem Label »TEST«
wird durch das Kommando »mkfs.btrfs
-L TEST /dev/vdb« erzeugt.
Filesystem anlegen
Das Anlegen eine Btrfs-Filesystems ist
praktisch augenblicklich erledigt, da nur
wenige Metadaten geschrieben werden
müssen. Ein zeitraubendes Erzeugen
von Inode-Tabellen ist nicht notwendig.
Mit dem Universal-Werkzeug »btrfs« bekommt
man auch sofort nähere Informationen
zum frisch erstellten Btrfs-Volume
(Abbildung 2). Dieses Kommandozeilen-
Programm ist das zentrale Werkzeug, um
verschiedenste administrative Tätigkeiten
an Btrfs-Dateisystemen durchzuführen.
In diesem Beispiel wird das Btrfs-Volume
über das Label identifiziert, es kann aber
auch genauso gut über den Devicenamen
der Festplatte angesprochen werden
(»/dev/vdb«).
Ohne weitere Angaben listet das Kommando
alle dem Kernel gerade bekannten
Btrfs-Dateisysteme auf. Es sei auch erwähnt,
dass »mkfs.btrfs« nicht überprüft,
ob denn vielleicht schon ein Btrfs- geschweige
denn irgendein anderes Dateisystem,
eine LVM-Signatur oder Ähnliches
auf der Festplatte vorhanden ist.
Das frisch angelegte Filesystem kann jetzt
ganz klassisch gemountet werden:
mount /dev/vdb /mnt
Ein Mounten mithilfe der UUID oder
des Filesystem-Labels ist natürlich auch
möglich, man weiß ja nie, wann sich
die Reihenfolge oder Bezeichnung der
Festplatten ändert.
Zeit, das frische Btrfs mit Daten zu befüllen.
Mithilfe eines lokalen »rsync -a /usr
/mnt« und »dd« bevölkern auch schnell
ein paar Dateien in GByte-Größe das Volume.
Ein anschließend ausgeführtes »df
-h /mnt« zeigt erwartungsgemäß einen
entsprechenden Füllgrad von etwa 50
Prozent oder 16 GByte an. Intern verbraucht
Btrfs aber in Wirklichkeit mehr
Platz für die Verwaltung seiner wachsenden
Metadaten (siehe Abbildung 3).
Wie viel Platz ist frei?
Das Werkzeug »btrfs« liefert genauere Informationen
über den tatsächlichen Gesamtverbrauch
des Filesystems. Solange
die an »btrfs« übergebenen Kommandos
eindeutig sind, können sie abgekürzt
werden (siehe Abbildung 3).
Das Ergebnis dieser Kommandos zeigt,
wie viel an Plattenplatz zugewiesen ist,
und was davon von Metadaten und Nutzdaten
in Anspruch genommen werden
kann. Auch der effektive Grad der Benutzung
ist ablesbar. Während »fi show«
den Gesamtverbrauch der Benutzer- und
Hat Btrfs beim Anlegen des Dateisytems
nur ein Device zur Verfügung, erzeugt
es automatisch ein Duplikat der Metadaten
an einer anderen Stelle auf der Festplatte,
hier durch DUP in der Ausgabe
von »fi df«gekennzeichnet. Werden bei
der Erstellung des Dateisystems mehrere
Blockgeräte angegeben, dann wird für
Metadaten RAID 1 verwendet und RAID 0
für Daten. Sowohl für Metadaten als auch
Daten kann aus verschiedenen Profilen
gewählt werden:
n single
n RAID 0
n RAID 1
n RAID 10
Dabei werden für RAID 0 und RAID 1 zumindest
zwei Blockgeräte und für RAID
10 wenigstens vier Blockgeräte benötigt.
Mit den Schaltern »-m Profil« für Metadaten
und »-d Profil« für Daten kann beim
Ausführen von »mkfs.btrfs« detailliert gesteuert
werden, wie das neue Dateisystem
anzulegen ist. Die Stripe-Größe für
ein RAID 0 und auch RAID 10 ist auf 64
KByte fixiert und wird in absehbarer Zeit
wohl auch nicht veränderbar werden.
Voraussichtlich mit Kernel 3.6 kommen
die lange erwarteten Profile für RAID 5
und RAID 6.
Chunks
Für eine regelmäßige Kontrolle der
Checksumme auf allen Datenträgern im
RAID kann ein »btrfs scrub start Path |
Device« als Cron-Job eingesetzt werden.
Im laufenden Betrieb werden bei einem
Lese- oder Checksummen-Fehler die Daten
automatisch von einer anderen Kopie
gelesen und bei RAID 1 und RAID 10 die
fehlerhafte Replika neu angelegt.
Btrfs reserviert Speicherplatz für Daten
und Metadaten in fixen Einheiten, »Block
Groups« genannt. Block Groups wiederum
bestehen aus einem oder mehreren
82 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

trfs
KnOw-hOw
»Chunks« (je nach RAID-Level). Diese
Chunks sind für Daten meistens 1 GByte
und für Metadaten 256 MByte groß. Eine
Ausnahme bilden die ersten Metadaten-
Chunks, die von »mkfs.btrfs« mit 1 GByte
angelegt werden, genug Platz vorausgesetzt.
Bei Blockgeräten mit wenigen
GByte Größe kommen auch Zwischengrößen
zum Zug..
Jetzt erklärt sich auch, warum in dem
zuvor angelegten Filesystem insgesamt
18 GByte an Festplattenplatz bereits zugewiesen
sind: 16 x 1 GByte Benutzerdaten,
2 x 1 GByte Metadaten (weil doppelt
abgelegt) und ein kleiner Teil für die speziellen
System Chunks (dort befindet sich
der B-Tree, der alle Chunks verwaltet).
Bei Filesystemen unter 1 GByte verwendet
Btrfs automatisch spezielle Mixed
Chunks, die sowohl Benutzerdaten als
auch Metadaten beinhalten, um den geringen
Platz besser auszunutzen.
Die Metadaten belegen auf diesem Dateisystem
zwar noch keine 80 MByte, aber
es wurde auch noch nicht wirklich produktiv
genutzt. Sind Chunks einmal einem
Datentyp zugewiesen, werden diese
(bis jetzt) auch nicht mehr automatisch
freigegeben, wenn sie nicht mehr benötigt
werden. Das kann dazu führen, dass
ein Filesystem, das laut »df -h« noch über
ausreichend Reserven verfügt, beim Anlegen
neuer Daten früher als erwartet
mit einer Fehlermeldung antwortet, dass
kein Platz mehr frei ist – außer in den
Metadaten-Bereichen. Das sind dann die
berüchtigten »ENOSPC«-Fehler, über die
viele Btrfs-Benutzer berichten, vor allem,
weil sie in der Vergangenheit auch noch
viel häufiger zu Unrecht ausgeworfen
wurden. Bei Btrfs ist immer ein Blick auf
die Ausgaben von »btrfs fi show« und
»btrfs fi df mountpoint« notwendig, um
den verbrauchten aber auch potenziell
noch freien Platz in einem Dateisystem
herauszufinden. Das gute alte »df -h« hat
bei Btrfs nur begrenzte Aussagekraft, speziell
wenn es um verlässliche Aussagen
zu dem noch verfügbaren Platz geht.
Platz da!
Sollte es aus Platzgründen notwendig
sein, Chunks wiederzuverwerten, bleibt
nur der Ausweg, ein »btrfs balance« zu
starten. Wie viel Platz dadurch zurückgewonnen
werden kann, ist im Vorhinein
leider nicht ermittelbar, und es gibt auch
keine Möglichkeit eines Simulations-Laufes.
Immerhin kann dieses Kommando im
laufenden Betrieb auf ein Dateisystem angewendet
werden (siehe Abbildung 4):
Btrfs balance start /mnt &
So ein Balance-Lauf dauert je nach Füllgrad
des Dateisystems und der Leistung
des Systems entsprechend lang. Alle Daten
werden einmal komplett gelesen und
in neue Chunks geschrieben. Das bedeutet
auch, dass für ein erfolgreiches Balance
noch etwas Platz frei sein muss, zumindest
so viel, um die erste ausgewählte
Block Group kopieren zu können inklusive
dem Platz, den die Metadaten, die
während des CoW-Prozesses anfallen,
benötigen.
Nur mit aktuellem Kernel
Stört die Last eines im Hintergrund laufendes
»balance« zu sehr, lässt es sich
abbrechen, für dieses Beispiel wäre ein
»btrfs balance stop /mnt« zu verwenden.
Es stellt sich heraus, dass alle Kommandos
für »balance« außer »start« in Ubuntu
12.04 einen Fehler erzeugen. Um das zu
beheben, müsste ein aktuellerer Kernel
her. Neuere Kernel ab der Version 3.3 erlauben
es dann auch, ein »balance« temporär
anzuhalten und zu einem späteren
Zeitpunkt wieder fortzusetzen oder auch,
den aktuellen Fortschritt des Prozesses
anzuzeigen. Ebenso ist ein unfreiwilliger
Abbruch eines Balance-Vorganges,
etwa durch einen Stromausfall, nicht kritisch,
und die Aktion wird beim nächsten
Mount des Dateisystems automatisch
fortgeführt (ab Kernel 3.3 verhindert das
die Mount-Option »skip_balance«). Im
G Abbildung 5: Ein neues Subvolume mit dem Namen »subvol_test« wird
angelegt. Ein »btrfs sub list« zeigt die ID, den Namen und die ID des zugehörigen
Top-Level Volumes an. Eigentlich sollte 256 die erste verwendete ID sein, warum
Btrfs hier 276 wählt, ist unklar.
F Abbildung 4: Balance kann nicht benötigte aber zugewiesene Chunks wieder
freimachen. Ein »btrfs fi df« und ein »btrfs fi show« vor und nach dem Balance
zeigen, dass die Metadaten Chunkgröße auf 256 MByte reduziert wurden und
somit wieder 1,5 GByte (2 x 750MByte) mehr frei verfügbar sind.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
83

KnOw-hOw
btrfs
praktischen Betrieb von Btrfs wird bei
der Dimensionierung eines neuen Dateisystems
der zusätzliche Platzbedarf für
Metadaten Fall einkalkuliert werden müssen.
Mit wie viel zu rechnen ist, wird
wohl nur die Erfahrung zeigen können.
Bekannt ist: Besonders hungrig auf Metadaten
erweisen sich viele kleine Dateien,
weil diese Daten direkt in den Metadaten-
Bereichen abgelegt werden (auch leere
Dateien). Außerdem sind Snapshots in
dieser Hinsicht sehr anspruchsvoll.
Dateisystem im
Dateisystem
Für das Management von Speicherplatz
auf modernen Linux-Systemen ist LVM
fixer Bestandteil im Portfolio vieler Systembetreuer
geworden. Soll ein Unterverzeichnis
in ein eigenes Dateisystem
ausgelagert werden, sei es aus Sicherheits-
oder aus rein organisatorischen
Gründen, wird mit LVM ein eigenes
Logical Volume erzeugt und darauf ein
neues Dateisystem angelegt. Einen recht
ähnlichen Mechanismus bietet Btrfs in
der Form von »Subvolumes«, mit dem
Unterschied: Hier entfällt das gesonderte
Anlegen eines neuen Dateisystems.
Ein Subvolume verhält sich praktisch wie
ein Verzeichnis. Es besitzt einen Namen
und befindet sich irgendwo in einem
schon bestehenden Pfad auf einem bereits
bestehenden Volume.
Zum Start enthält jedes neue Btrfs-Dateisystem
genau ein Subvolume, das sogenannte
»Top-Level-Volume« mit der fixen
Subvolume-ID 5. Dieses spezielle Subvolume
wird auch standardmäßig beim Einhängen
dieses Dateisystems verwendet.
Praktisch verhält sich ein Subvolume wie
ein vollwertiges eigenes Btrfs-Dateisystem,
das sich aber seine Metadaten mit
dem Top-Level-Volume teilt. Subvolumes
können fast beliebig viele angelegt werden,
das theoretische Limit liegt bei 2 64
256 Subvolumes pro Btrfs-Dateisystem.
Mit der Kommando-Gruppe »btrfs subvolume«
können Subvolumes angelegt,
gelöscht und aufgelistet werden. Sie sind
auch an beliebiger Stelle im Verzeichnisbaum
einzuhängen und können verschiedene
Mount-Parameter verwenden (alle
generischen und subvol,subvolid) (siehe
Abbildung 5):
btrfs subvolume create /mnt/subvol_test
btrfs sub list /mnt
mkdir /mnt2 && mount -t Btrfs U
-o subvol=subvol_test /dev/vdb /mnt2
Die Ausgabe von »df -h« errinnert an
Bind-Mounts. Dementsprechend besteht
ein Weg, herauszufinden, welches Subvolume
an welcher Stelle eingehängt ist,
auch darin, einen Blick in »/proc/ self/
mountinfo« zu werfen (siehe Abbildung
6). Ein Subvolume, das sich nicht auf
oberster Ebene seines Eltern-Volumens
befindet, muss über seine ID mittels der
Mount-Option »subvolid=ID« eingehängt
werden. Dabei ist ein nicht unwichtiges
Detail: Für das Anlegen von Subvolumes
reichen normale Benutzerrechte. Mittels
einer speziellen Btrfs-Mount-Option des
Eltern-Subvolumes ist auch das Löschen
des Subvolumes erlaubt.
Wer unter LVM Logical Volumes zur Begrenzung
des maximalen Platzverbrauches
eines bestimmten Bereiches in der
Ordnerstruktur eingesetzt hat, wird mit
Btrfs noch länger keine Freude haben:
Es gibt noch keine
Möglichkeit, die
maximale Größe
eines Subvolumes
festzulegen. Wann
die sogenannten
Subvolume
Quota Gruppen
(QGroups) verfügbar sein werden, ist
noch offen, die entsprechenden Patches
existieren bereits.
Individuelle Snapshots von Teilen eines
Dateisystems sind wohl einer der Hauptgründe
für den Einsatz von Subvolumes.
Dabei handelt es sich bei Snapshots um
zum Zeitpunkt der Erstellung eingefrorene
Abbilder eines Subvolumes, wie man
sie schon vom LVM kennt. Im Gegensatz
zu normalen Subvolumes sind Snapshots
also nicht leere Ordner, sondern mit den
Daten des Quell-Subvolumes zum Zeitpunkt
der Snapshot-Erzeugung befüllt.
Dabei handelt es sich zu Beginn der Existenz
eines Snapshots fast ausschließlich
um Referenzen auf die Daten-Blöcke des
Quell-Subvolumes.
Snapshots mal anders
Das Besondere an Btrfs-Snapshots ist,
dass sie quasi umsonst mitgeliefert werden
und dadurch sehr effizient sind.
Snapshots in Btrfs verbrauchen auch
zu Beginn ihres Lebens keinerlei Platz,
es muss nicht wie bei LVM-Snapshots
ein bestimmter Teil der Festplatte gleich
zugewiesen werden. Dementsprechend
können Btrfs-Snapshots auch nicht überlaufen,
weil zur Erstellung zu wenig
vorallokiert und zu spät an ein Vergrößern
gedacht wurde. Diese Filesystem
Snapshots eröffnen ein weites Spektrum
an Anwendungsmöglichkeiten, da im Gegensatz
zu LVM-Snapshots keine (teils
dramatischen) Geschwindigkeitseinbu-
G Abbildung 6: Ein »grep« nach »btrfs« in »/proc/self/mountinfo« zeigt direkt,
welche Subvolumes wo eingehängt sind.
E Abbildung 7: Ein Snapshot des Top-Level Volumes wird erzeugt und eine 3
GByte große Datei in ein Subvolume verschoben. Das ändert die Sicht der Dinge
für »du« und »df« auf unterschiedliche Weise.
84 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

trfs
KnOw-hOw
Welchen Namen ein Snapshot bekommt,
ist prinzipiell frei wählbar, ein aussagekräftiges
Namensschema aber sehr
empfehlenswert. Man erkennt mit dem
extra Schalter »-p« für »btrfs subvolume
list« das Parent-Subvolume, von dem ein
Subvolume abstammt. Es ist aber nicht
möglich, einen Snapshot von einem Subvolume
zu unterscheiden, und es ist auch
nicht direkt erkennbar, wann der Snapshot
erstellt wurde. Dass es möglich ist, auch
Snapshots von Snapshots beliebiger Tiefe
zu machen, vereinfacht das Ganze nicht
wirklich, sie stammen nämlich alle vom
selben Eltern-Volume ab. Hier gibt es
noch Aufholbedarf hinsichtlich einfacherer
Administration. Genug Platz für das
Speichern der Deltas zwischen den Subßen
bei der Verwendung von
vielen Snapshots zu erwarten
sind. Eine Limitierung der
Anzahl an Snapshots gibt es
wie bei Subvolumes praktisch
nicht.
Wie die nahe Verwandtschaft
mit Subvolumes erahnen lässt,
sind Snapshots auch über dieselbe
Kommando-Gruppe zu
erstellen. Folgendes Beispiel
legt einen neuen Snapshot
des Top-Level Volumes an
und verschiebt anschließend
eine Datei aus dem Top-Level
in das zuvor erzeugte Subvolume.
Der Snapshot konserviert
wie gewünscht den Datenstand
zum Zeitpunkt seiner Erstellung. Wie
auf jedes andere Subvolume kann auf
einen Snapshot direkt über den Verzeichnisnamen
zugegriffen werden, ihn extra
einzuhängen, ist nicht notwendig (siehe
Abbildung 7).
Snapshots verwenden
Nach dem Verschieben einer 3 GByte
großen Datei in ein Subvolume zeigt ein
»du« des Top-Level Volumes wie erwartet
nur mehr 13 GByte statt 16 GByte an. Der
Snapshot weist noch immer die 16 GByte
aus und das Subvolume »subvol_test«
nur 3 GByte. Ein »df« weist auf die 3
GByte extra Bedarf des Snapshots hin.
Abbildung 8: Ein Filesystemcheck gefolgt von der Konvertierung des
Dateisystems von Ext4 nach Btrfs. Kurz und schmerzlos, zumindest bei einem
nur wenig befüllten Dateisystem.
volumes vorausgesetzt kann
beispielsweise ganz einfach
mittels Cron-Job stündlich
ein Snapshot eines Subvolumes
(etwa des Home-Verzeichnisses)
erstellt und alte
Snapshots automatisch gelöscht
werden. Auf Wunsch
können Snapshots auch nur
read-only, rein für Backup-
Zwecke erzeugt werden. Ein
Backup des Dateisystems auf
unabhängige Datenträger ersetzen
Snapshots aber nicht.
Sie sind an das Top-Level-
Subvolume und damit an dieselben
Festplatten gebunden.
Da Snapshots nicht rekursiv sind, kann
ganz gezielt für Unterverzeichnisse mit
stark variablen Inhalten – zum Beispiel
ein »/var/ log«- oder ein »/var/ spool«-Verzeichnis
– ein eigenes Subvolume erzeugt
werden, um es von einem Snapshot eines
darüber liegenden Verzeichnisses auszunehmen.
Das kann viel Platz während
der Lebenszeit eines Snapshots sparen.
Hardlinks begrenzt
Wer im Zuge von Backups Lösungen einsetzt,
die massiv auf den Gebrauch von
Hardlinks setzen, sollte eine Eigenheit
von Btrfs im Hinterkopf haben. Es ist nur
eine sehr kleine, begrenzte Anzahl an
Hardlinks auf ein und dieselbe Datei in-
Linux-Magazin
ACADEMY
Online-Training
IT-Sicherheit Grundlagen
mit Tobias Eggendorfer
Themen (Auszug):
❚ physikalische Sicherheit
❚ Sicherheitskonzepte
❚ Sicherheitsprüfung
❚ logische Sicherheit
• Betriebssystem
• Netzwerk
20%
Treue-Rabatt für
Abonnenten
Deckt in Teilbereichen auch das Prüfungswissen für LPIC-303-Inhalte ab.
Inklusive Benutzer- und Rechteverwaltung, Authentifizierung,
ACLs sowie wichtige Netzwerkprotokolle und mehr!
Das Grundlagentraining für IT-Sicherheit richtet sich an Systemadministratoren und solche, die es
werden wollen ebenso wie an ambitionierte Heimanwender. Nur 299 E inkl. 19 % MwSt.
@Kirsty Pargeter, 123RF
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
Informationen und Anmeldung unter: academy.linux-magazin.de/sicherheit
85

KnOw-hOw
btrfs
nerhalb eines Verzeichnisses erlaubt. Die
Release Notes zum Suse Linux Enterprise
Server 11 SP2 sprechen von etwa 150 erlaubten
Hardlinks im praktischen Betrieb
[7]. Auch hierfür sind für die Zukunft
deutliche Verbesserungen zu erwarten.
Wer auf einen vollen Snapshot eines
Subvolumes verzichten kann und nur
Snapshots einzelner Dateien benötigt,
dem kann Btrfs auch helfen. Platzschonende
CoW-Klone von Dateien werden
mithilfe von »cp --reflink SOURCE DEST«
erzeugt. Eine praktische Methode, um
beispielsweise eine Image-Datei einer virtuellen
Maschine zu klonen.
Rolle rückwärts
Für diese einfache, flexible und vor allem
günstige Art Snapshots zu erzeugen
hat sich auch schon ein Einsatzbereich
herauskristallisiert, der Systemupdates
den Schrecken nimmt: ein komplettes
Rollback nach Paketinstallationen. Unter
Open Suse und für den Suse Enterprise
Server gibt es zu diesem Zweck »Snapper«
[5], aktuelle Fedora- und Oracle-
Linux-Versionen liefern das Yum-Plugin
»yum-plugin-fs-snapshot« mit Btrfs-Support,
für aktuelle Debian und Ubuntu
Distributionen steht »apt-btrfs-snapshot«
als Plugin für »apt« zur Verfügung.
Alle diese Programme erzeugen vor der
Installation von neuen Paketen über
Hooks in den jeweiligen Paketmanagern
einen Snapshot der Subvolumes, auf denen
das System installiert ist, bevor neue
Pakete oder Updates installiert werden.
Das erlaubt nach einem fehlgeschlagenen
Update einen schnellen Rückschritt auf
eine vor dem Update noch funktionierende
System-Konfiguration. Hierbei ist
es ganz egal, ob es sich um ein manuelles
Ausführen des Paket-Managers oder
ein automatisches Update via Cron-Job
handelt, das regelmäßig aktuelle Security
Fixes über Nacht einspielt.
Dafür muss natürlich das Betriebssystem
auf Btrfs installiert sein, oder man benutzt
das Programm »btrfs-convert«, um
bestehende Ext3- oder Ext4-Dateisysteme
auf Btrfs zu konvertieren. Diese Variante
des Umstiegs beinhaltet sogar die Option
wieder auf das Original-Dateisystem
zurückzuwechseln. Die einzige Voraussetzung
für diese Konvertierung ist: ausreichend
freier Platz im ursprünglichen
Dateisystem, um sowohl die Daten des
alten als auch die Kopie davon im neuen
Btrfs-System abzulegen.
Btrfs sichert während dieses Vorganges
das erste MByte am Beginn des Devices
an eine alternative Position, baut seine
eigenen Metadaten auf und referenziert
auf die Datenblöcke des Ext3/ 4-Dateisystemes.
Am Ende existiert ein Snapshot
der ursprünglichen Daten. Neue Metadaten
und Daten werden von Btrfs an freie
Stellen auf der Festplatte geschrieben,
sodass keine Blöcke des ursprünglichen
Dateisystems verloren gehen. Solange der
Snapshot des originalen Ext3/ 4-Dateisystems
vorhanden
ist, ist eine Reversion
möglich.
Allerdings verliert man dabei alle Änderungen
seit der Konvertierung. Mit Grub
2.0 (seit 1.99-rc2) kann auch von einem
Btrfs-Dateisystem gebootet werden, es
ist keine extra Partition für »/ boot« mit
einem alternativen Dateisystem notwendig.
Kurz und schmerzlos
Eine erfolgreiche Konvertierung des
Root-Dateisystems beginnt mit einem
Reboot in eine Rettungsumgebung, wie
sie beispielsweise auf einer Ubuntu Installations-CD
zu finden ist. Dort fehlt
jedoch das Kommando »btrfs-convert«.
Daher sollte man es vor dem Reboot des
Systems nach »/boot« kopieren, das ja
üblicherweise eine eigene Partition ist.
Durch eine Änderung des Eintrages für
das Root-Dateisystem in »/etc/fstab« von
»ext4« nach »btrfs« steht einem erfolgreichem
Restart nur noch die erfolgreiche
Konvertierung im Wege. Einmal in die
Rettungsumgebung gestartet, kann statt
des Root-Dateisystems die Boot-Partition
eingehängt werden, um an das Konvertierungstool
zu gelangen. Dann folgt ein
»fsck« des ursprünglichen Dateisystems
gefolgt von der Konvertierung und einem
Neustart in das konvertierte System
(siehe Abbildung 8).
Nach dem Start des Systems sieht das
frisch konvertierte Btrfs als Root-Dateisystem
oberflächlich betrachtet recht unverdächtig
aus, bei genauerem Hinsehen
stellt sich aber heraus, dass hier einiges
passiert ist (siehe Abbildung 9). Auffallend
an diesem konvertierten Datei-
Abbildung 9: Das von Ext4 konvertierte Btrfs benötigt hier fast so viel Platz für
Metadaten wie für Daten. Außerdem ist schon die komplette Platte zugewiesen.
Das Ext4-Dateisystem ist als Image Datei verfügbar.
Abbildung 10: Das Hinzufügen von zusätzlichen Blockgeräten verteilt noch
keine bestehenden Daten neu. Die Platz der hinzugefügten Festplatte ist aber
unmittelbar verfügbar.
86 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

30. und 31. Oktober 2012
Congress Frankfurt
Wer powert Ihre Cloud?
Durch die Teilnahme an SNW Europe, Datacenter Technologies und Virtualization World
können Sie herausfinden, welche Produkte, Technologien und Serviceleistungen die derzeitig
verfügbaren Public und Private Cloud Lösungen powern. Diese werden Ihnen durch das
Branchenwissen verschiedener Verbände, unabhängiger Analysten und Kommentatoren
sowie Ihrer eigenen IT Kollegen aus ganz Europa vermittelt. Es gibt keinen besseren Ort und
Zeitpunkt, um sich auf die zukünftigen Anforderungen Ihrer IT im Unternehmen vorzubereiten.
“Cloud allows IT to return to innovating for the business”
William Fellows, VP Research EMEA, the 451 Group
Sparen Sie 120€ Eintrittsgebühr!
Kostenloser Eintritt mit
Promocode: P24M12 auf
www.poweringthecloud.com
Platin und Gold Sponsoren
Die Eigentumsrechte an SNW Europe liegen bei
SNIA und Computerworld. Die Eigentumsrechte
an Datacenter Technologies und Virtualization
World liegen bei SNIA Europe und Angel Business
Communications. Alle drei Konferenzen werden
von Angel Business Communications Ltd organisiert
und von SNIA Europe unterstützt.
Sponsoring Möglichkeiten - Bitte kontaktieren
Sie Carly Stephens:
T: +44 (0)1923 690 223
E: carly.stephens@angelbc.com

KnOw-hOw
btrfs
G Abbildung 12: Ein erneutes Balance, diesmal nur der Metadaten, gewinnt 7
GByte der 9 GByte zur allgemeinen Verwendung zurück — pro Blockgerät.
F Abbildung 11: Das Ausbalancieren inklusive der Konvertierung in ein RAID 1
erledigt ein einziger Befehl. Nachher zeigt sich eine gleichmäßige Verteilung und
auch eine Verbesserung beim Platzverbrauch.
Metadaten unterschiedlich sein kann,
wird die mögliche Gesamtkapazität bei
unterschiedlicher Festplattengröße dann
variieren. Wie in Abbildung 10 zu erkennen,
ist auf der gerade hinzugefügten
Festplatte noch kein Platz zugewiesen.
Das vergrößerte Dateisystem könnte
jetzt schon verwendet werden. Um die
Daten und Metadaten auf alle Blockgeräte
gleichmäßig zu verteilen, ist aber
ein Rebalance empfehlenswert. Der Vollständigkeit
halber sei hier auch erwähnt,
dass Btrfs auch auf einem LVM Logical
Volume oder einem Linux Software-RAID
installiert werden kann. Speziell beim
Umgang mit Logical Volumes darf natürlich
die einfache Möglichkeit des Online-
Vergrößerns und auch Online-Verkleinerns
nicht fehlen. Das gelingt mithilfe
von »btrfs filesystem resize«.
Seit Kernel 3.3 kann ein Rebalance auch
den RAID-Level der Daten und/ oder Metadaten
eines schon bestehenden Volumes
ändern. Um auch diese neuen Funktionen
auszutesten und auch zahlreiche
Verbesserungen bei der Geschwindigkeit
und Fehlerbehandlung nutzen zu können,
werden die weiteren Tests in diesem
Artikel mit einem 3.4er Kernel aus dem
Mainline-Kernel-Archiv [6] von Ubuntu
durchgeführt.
Eine gleichmäßige Verteilung der Daten
und Metadaten bedeutet in diesem Fall
eine Duplizierung, um Redundanz durch
RAID 1 zu erreichen. Zu diesem Zweck
müssen auch alle Daten bewegt werden.
Seit Kernel 3.3 kann festgelegt werden,
ob nur mehr bestimmte Teile des Dateisystem
ist auch die fehlende Metadaten-
Redundanz.
Ab in den Pool
Das ist die perfekte Gelegenheit, den Umgang
mit mehreren Blockgeräten, auch
Pooling genannt, auszutesten. Noch dazu
sollen nicht nur die Metadaten, sondern
auch die Benutzer-Daten via RAID 1 vor
Fehlern einzelner Blockgeräte aber auch
vor zufälliger Datenkorruption geschützt
werden.
Wie würde die Erweiterung eines Dateisystems
um eine Festplatte im Fall von
LVM aussehen? Mit LVM-Werkzeugen
wäre dazu zuerst ein neues Blockgerät
oder wenigstens eine Partition für den
Gebrauch als Physical Volume zu definieren.
Dieses Physical Volume müsste
dann zu einer Volume Group hinzugefügt
werden. Abschließend könnte ein Filesystem
auf einem Logical Volume vergrößert
oder auf einem neuen Logical Volume
angelegt und eingehängt werden.
In einem Schritt
Bei Btrfs erledigt das Werkzeug »btrfs«,
diesmal mit dem Schalter »device add«,
die ganze Arbeit in einem Schritt. Dieser
Befehl fügt eine unbenutzte Festplatte zu
dem Root-Dateisystem hinzu:
btrfs device add /dev/vde /
Die Blockgeräte müssen auch nicht alle
die gleiche Größe besitzen. Je nach verwendetem
RAID-Level, das für Daten und
systems ausbalanciert oder dessen RAID-
Konfiguration verändert werden soll. Ein
vollständiges und bei vielen Daten zeitaufwändiges,
komplettes Ausbalancieren
ist nicht mehr immer notwendig.
Eine Frage der Balance
Folgendes Kommando konvertiert ein
nicht-redundantes Root-Dateisystem
in ein redundantes. Der Schalter »-d«
bestimmt hierbei die Modifikation, die an
den Daten durchgeführt wird, während
»-m« die Anwendung auf Metadaten
festlegt:
btrfs fi balance start -dconvert=raid1 U
-mconvert=raid1 /
Wie in Abbildung 11 zu erkennen ist,
verteilen sich Daten und Metadaten jetzt
schön gleichmäßig über beide Blockgeräte.
Es fällt allerdings auch auf, dass
trotz des geringen Metadatenverbrauches
9 GByte dafür zugewiesen sind. Ein spezifisches
Balance der Metadaten sollte
hier Abhilfe schaffen. Mit dem folgenden
Befehl werden nur die Metadaten-Chunks
optimiert:
btrfs fi balance start -m /
Leider führte dieser Befehl auf dem Testsystem
dazu, dass das System nicht mehr
reagierte und Meldungen über hängende
Btrfs-Kernel-Tasks auf der Konsole protokollierte.
Nach einem Reset des Systems
nach einigen Stunden Wartezeit startete
alles problemlos, und der Balance-Prozess
war offensichtlich erfolgreich. Pas-
88 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Android User im Abo
Die Monatszeitschrift für Android-Fans, Smartphone- und Tablet-Nutzer
NEU MIT PRÄMIE!
15% sparen beim Print- oder
Digital-Abo und exklusive
Prämie sichern!
SoftMaker Office über Google Play erhältlich, Freischaltung erfolgt per
Gutscheincode. Angebot gilt solange der Vorrat reicht, Tablet und
Smartphone sind nicht Bestandteil der Prämie!
JETZT BESTELLEN!
www.android–user.de/abo
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

KnOw-hOw
btrfs
siert ein System-Absturz während des
Ausbalancierens, wird der Prozess nach
dem Systemstart automatisch im Hintergrund
fortgesetzt, falls er noch nicht
abgeschlossen war. Wie bereits erwähnt,
gibt es auch die Möglichkeit, den aktuellen
Fortschritt anzuzeigen, den Balance-
Prozess zu pausieren oder auch komplett
abzubrechen.
In Abbildung 12 kann man erkennen,
dass nur mehr 2 GByte pro Blockgerät für
Metadaten zugewiesen sind und damit 7
GByte pro Festplatte wieder freigemacht
wurden. Diese Werte sind für ein RAID
1 mit zwei Replikas dann immer mal
zwei zu nehmen, da ja alle Daten und
Metadaten gespiegelt sind. Ein einfaches
»df -h /« zeigt deshalb doppelt so viel
an verbrauchtem Plattenplatz an. Dieser
Wert beinhaltet auch die redundanten
Metadaten. Im Ausgleich dazu wird
aber auch die Summe aller Blockgeräte
des Volumes als Dateisystemgröße angezeigt.
Wie der Wert des noch verfügbaren
Platzes zustande kommt, ist unklar
und konnte trotz intensiver Recherche
des Autors auch nicht herausgefunden
werden. Wer kurz nachrechnet, bemerkt,
dass hier etwa 8 GByte fehlen:
root@maibutter:~# df -h /
Filesystem Size Used Avail Use% Mounted on
/dev/m/maibutter-root 60G 4.8G 47G 10% /
Die Anzahl der Replikas einer Datei für
RAID 1 und eines Stripes für RAID 10
ist übrigens immer zwei, unabhängig
von der Anzahl der Platten im Pool. Hier
soll in Zukunft auch noch die Option
für mehr als zwei Kopien hinzukommen.
RAID 5 und RAID 6 wird wohl nicht vor
Kernel 3.6 verfügbar sein.
Bei der Verwendung von mehreren Blockgeräten
für ein Btrfs-Dateisystem ist auch
zu beachten, dass nur das Laden des
Btrfs-Kernel-Modules für den Kernel
nicht ausreicht, um alle zusammengehörigen
Geräte eines Dateisystems zu
erkennen. Dazu müssen alle Blockgeräte
(es können auch nur ganz bestimmte angegeben
werden) mit »btrfs device scan«
gescannt werden. Damit das auch für
ein Root-Dateisystem funktioniert, muss
dieser Befehl in der Startumgebung, also
der »initrd« eines Systems, ausgeführt
werden. Das hier verwendete Ubuntu
12.04 hat das bereits integriert. Dann ist
es auch unerheblich, welches der Geräte
man bei einem »mount« angibt, um das
Dateisystem einzuhängen.
Volume »@«
Mit einem Root-Dateisystem auf Btrfs und
der Installation von »apt-Btrfs-snapshot«
verlieren große System-Upgrades oder
auch umfangreiche Programminstallationen
ihren Schrecken. Allerdings hat
sich da noch ein Stolperstein eingeschlichen.
Da es sich bei dem Btrfs in der
Testinstallation für diesen Artikel um ein
konvertiertes System handelt, das nicht
denselben Konventionen wie ein frisch
installiertes Ubuntu 12.04 folgt, muss
noch eine Anpassung vorgenommen
werden. Ein Vorabtest mit dem Befehl
»apt-btrfs-snapshot supported« Plugins
überprüft die Snapshotfähigkeit des Systems
und dabei stellt sich heraus, dass
für das Root-Dateisystem der spezifischer
Subvolume-Name »@« erwartet wird.
Das ist auch nicht weiter konfigurierbar
aber recht unkompliziert lösbar:
n ein Reboot des Systems in eine Rescue-Umgebung
n Erzeugung eines Subvolumes im Top
Level Volume mit dem Namen „@“
n Einhängen des Top-Level Volumes und
des neuen Root Subvolumes
n Kopieren der gesamten Root Dateisystems
in das neue Subvolume
Anschließend ist noch der Eintrag in
»/etc/fstab« zu ändern, damit in Zukunft
auch immer das Root-Subvolume „@“
gemountet wird:
/dev/mapper/maibutter-root / U
btrfs defaults,subvol=@ 0 1
Ein Aufruf von »update-grub« erweitert
in Ubuntu 12.04 automatisch die
Boot-Commandline von Grub um
»rootflags=subvol=@«.
Sichere Updates
Derart vorbereitet steht nach einem Reboot,
der Installation der mittlerweile
62 Updates für dieses Testsystem nichts
mehr im Wege (siehe Abbildung 13). Anschließend
zeigt ein Blick auf die Liste der
vorhandenen Btrfs-Subvolumes, dass ein
neuer Snapshot angelegt wurde (mit der
Uhrzeit seiner Erstellung im Namen). Es
kann auch das Kommando, das mit dem
Apt-Plugin für Snapshots mitkommt, verwendet
werden (siehe Abbildung 14):
btrfs sub list -p /
apt-btrfs-snapshot list
Wenn wie in diesem Testsystem das
»/ boot«-Verzeichnis ein eigenes Ext2-
Dateisystem auf einer extra Partition ist,
sind alle Dateien dort von einem Btrfs-
Snapshot und damit auch einem Roll-
G Abbildung 14: Nach dem Update einer Reihe von Paketen ist ein neuer
Snapshot vorhanden und mit einem aussagekräftigen Namen versehen. Im
Bedarfsfall macht man das Update schnell ungeschehen.
F Abbildung 13: Es haben sich schon einige Updates angesammelt. Ein Snapshot
direkt vor der Installation erlaubt ein einfaches Zurück, sollte die Stabilität der
Updates nicht überzeugen.
90 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

trfs
KnOw-hOw
Abbildung 15: »/proc/self/mountinfo« bestätigt, dass nun der Snapshot
eingehängt ist. Ein Update aller Pakete zeigt wieder 62 mögliche Updates an.
Abbildung 16: Nach dem Einhängen des Top-Level Volume kann das alte Root
Subvolume gelöscht und das Snapshot Volume umbenannt werden. Alles im
Live-Betrieb.
back ausgeschlossen. Will man auch
diese Dateien in Snapshots inkludiert
haben, um auch Kernel-Upgrades leichter
rückgängig zu machen, muss dieses Verzeichnis
direkt auf dem Root-Subvolume
liegen. Mit einem aktuellen Grub 2.0 ist
das möglich.
Zurück in die Zukunft
Stellt sich nun heraus, dass das letzte Update
mehr Schaden als Nutzen gebracht
hat, ist jetzt ein Rollback möglich. Dazu
ist die Datei »/etc/fstab« dahingehend
zu ändern, dass anstatt »subvol=@«
der gewünschte Snapshot (hier @aptsnapshot-2012-07-23_08:52:34)
verwendet
wird. Ein »grub-update« und ein
Reboot später ist das System wieder
auf dem Stand des Snapshots und bietet
erneut die Paket-Updates an (siehe
Abbildung 15).
Ganz unkompliziert ist es außerdem
möglich, das obsolete alte Root-Volume
(namens »@«) zu löschen und stattdessen
das gerade in Verwendung befindliche
Snapshot-Volume umzubenennen.
Hierzu muss nur das Top-Level Volume
eingehängt werden, denn dort finden
sich alle Subvolumes als in Gestalt von
Ordnern wieder. Mit der Subvolume-ID
»0« hat man dabei immer Zugriff auf
das Top- Level Volume. Das Löschen
eines unbenutzten Subvolumes und
das anschließende Umbenennen eines
Subvolumes funktionieren ohne Weiteres
auch im laufenden Betrieb (siehe dazu
Abbildung 16):
mount -o subvolid=0 /dev/dm-0 /mnt U
&& cd /mnt
btrfs sub delete @
mv @apt-snapshot-2012-07-23_08\:52\:34/ @
cd && umount /mnt
Jetzt noch den Eintrag des einzuhängenden
Subvolumes »subvol=@« in »/etc/
fstab« kontrollieren und ein »update-grub«
durchführen. Damit ist das Rollback nach
einem System-Update abgeschlossen.
Fazit
Btrfs bietet schon jetzt eine erstaunliche
Menge an praktische Funktionen an, die
den Betrieb von Rechnersystemen deutlich
vereinfachen können. Sowohl Suse
als auch Oracle sehen auch genau dadurch
den Einsatz von Btrfs gerechtfertigt,
obwohl die Entwicklung noch nicht
abgeschlossen ist.
Es hat sich bei den Recherchen zu diesem
Artikel gezeigt, dass es noch viele rauhe
Ecken und Kanten an Btrfs gibt, die einen
reibungslosen Gebrauch von Btrfs
in eine noch in die Ferne rücken lassen.
Speziell bei einem Dateisystem, dem
man seine wertvollen Daten anvertraut,
erwartet man sich eine stabile und unkomplizierte
Grundfunktion, gepaart
mit einfachen und übersichtlichen
Administrationswerkzeugen.
Btrfs ist auf einem guten Weg, zum Default-Filesystem
für Linux zu werden,
aber es werden noch einige Kernel-Releases
ins Land gehen, bis es sich eine Reputation
wie ein Ext3 in Sachen Stabilität
und Zuverlässigkeit erarbeitet hat. Ohne
Zweifel ist es Btrfs wert, als zukünftiges
Enterprise-Dateisystem im Auge behalten
zu werden. Seine Hauptmerkmale lassen
sich trotz allem bereits jetzt aussagekräftig
testen. Wer plant, Btrfs schon heute
produktiv einzusetzen, der sollte einen
lückenlosen Backup-Plan für den Notfall
zur Hand haben. Aber wer hat das nicht
– egal, auf welchem Filesystem? (jcb) n
Infos
[1] Btrfs Wiki: [https:// Btrfs. wiki. kernel. org/
index. php/ Main_Page]
[2] Git Repository der Btrfs-Programme:
[https:// git. kernel. org/ ? p=linux/ kernel/ git/
mason/ Btrfs-progs. git;a=shortlog;h=refs/
heads/ dangerdonteveruse]
[3] Update Btrfs-tools in Ubuntu 12.04 LTS,
Bug #968403:
[https:// bugs. launchpad. net/ ubuntu/
+source/ Btrfs-tools/ +bug/ 894456]
[4] Btrfs-tools Paket in Debian Sid: [http://
packages. debian. org/ sid/ Btrfs-tools]
[5] Snapper Portal:
[http:// en. opensuse. org/ Portal:Snapper]
[6] Ubuntu Mainline Kernel Archiv: [http://
kernel. ubuntu. com/ ~kernel-ppa/ mainline]
[7] SLES 11 SP2 Release Notes
[http:// www. suse. com/ releasenotes/
x86_64/ SUSE-SLES/ 11-SP2/]
Der Autor
Andreas Kurz ist als CTO und Principal Consultant
bei hastexo tätig. Hochverfügbare und skalierbare
Speicherlösungen sind seine Passion. In
seiner Freizeit kümmert er sich um seine zwei
kleinen Söhne.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
91

TesT
Active directory
© Sattapapan Tratong, 123RF
Besseres Active Directory mit Windows Server 2012
Aufpoliert
mit windows server 2012 bietet microsoft zahlreiche Verbesserungen im bereich Active directory und ermöglicht
auch eine bessere und leichtere Verwaltung. Thomas Joos
Active Directory ist das Kernstück der
meisten Windows-Netzwerke. Jetzt gibt
es mit Windows Server 2012 eine neue
Version, die gegenüber der alten einige
Verbesserungen mitbringt. Ein wichtiger
Vorteil ist, dass sich Domänencontroller
leichter virtualisieren lassen. Das Erstellen
von Snapshots für Domänencontroller
stellt in Windows Server 2012 kein
Problem mehr dar (siehe den Artikel zu
Hyper-V 3.0 in diesem Heft). Es ist zu
erwarten, dass auch VMware und die
anderen Virtualisierungsanbieter bald
nachrüsten und ebenfalls problemlos
Domänencontroller mit Windows Server
2012 virtualisieren können.
Die verwalteten Dienstkonten (Managed
Service Accounts), die Kennwörter
für Dienste selbst verwalten, lassen sich
in Windows Server 2012 auf mehreren
Servern einsetzen. DHCP-Server können
auch ohne einen Cluster zu Teams
zusammengefasst werden. Die Befehlszeile
gibt es in Windows Server 2012
weiterhin. Zusätzlich enthält der Server
wie auch der Windows-8-Client die neue
Version 3.0 der Powershell. Diese lässt
sich ebenfalls wesentlich leichter bedienen
als der Vorgänger in Windows Server
2008 R2.
Mit der dynamischen Zugriffskontrolle
(Dynamic Access Control) können Administratoren
einfacher die Berechtigungen
für den Zugriff auf Dateien, Ordner und
sogar Sharepoint-Bibliotheken steuern.
Dazu lassen sich Dateien mit Metadaten
versehen, die nur bestimmten Anwendern,
zum Beispiel allen Mitarbeitern einer
Abteilung oder der Geschäftsführung
den Zugriff erlauben, egal, in welchem
Verzeichnis oder welcher Freigabe die Daten
gespeichert sind. Das Ganze funktioniert
reibungslos auch beim Verschieben
von Dateien in Sharepoint-Bibliotheken.
Zusätzlich lässt sich über diesen Weg
auch festlegen, von welchen Geräten aus
Anwender auf die Daten zugreifen dürfen.
Unsichere PCs, Heim-Arbeitsplätze,
Computer in Internet-Cafes oder Smartphones
lassen sich so aussperren. Die
Funktion nutzt dazu die Active-Directory-
Rechteverwaltung
Domänencontroller
virtualisieren
Domänencontroller sind künftig leichter
zu installieren und zu verwalten. Microsoft
hat dazu im neuen Server Manager
auch Servergruppen implementiert
94 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Active directory
TesT
(Abbildung 1). So können Administratoren
bereits mit Bordmitteln zentral alle
Server im Netzwerk verwalten. Serverrollen
und -features lassen sich über den
Server Manager auch über das Netzwerk
installieren.
Die neue Version erlaubt zum Beispiel die
Aktivierung und Verwendung des Active-
Directory-Papierkorbs und weitere Aufgaben,
die in Windows Server 2008 R2 über
die Powershell erledigt werden mussten.
Auch die Gruppenrichtlinien für Kennwörter
lassen sich in der neuen Konsole
konfigurieren und Organisationseinheiten
zuordnen. Neu im unteren Bereich des
Active Directory Administrative Centers
ist die Windows Powershell History, die
ausgeführte Powershell-Befehle protokolliert.
Administratoren müssen nur auf
den Link klicken, um alle durchgeführten
Aufgaben der grafischen Oberfläche
als Powershell-Befehl zu sehen und auf
Wunsch zu kopieren.
Um Active Directory zu installieren,
wählen Administratoren die Serverrolle
»Active Directory Domain Services« aus.
Nach der Installation der notwendigen
Systemdateien lässt sich der Einrichtungsassistent,
den Microsoft gründlich überarbeitet
hat, über einen Link im letzten
Fenster starten. Dcpromo, der Einrichtungsassistent
der Vorgängerversionen,
ist weggefallen.
Einfachere Verwaltung
Das in Windows Server 2008 R2 eingeführte
Active Directory Administrative
Center, das Microsoft in Windows 2012
gründlich überarbeitet hat, ist die zentrale
Anlaufstelle für alle Routine-Aufgaben
im Active Directory (Abbildung
2). Der Aufbau der Konsole ist stark
aufgabenorientiert. Im Gegensatz zu
den anderen Verwaltungstools basieren
die Aufgaben im Verwaltungscenter auf
Powershell-Befehlen.
Die Standard-Verwaltungskonsolen für
Active Directory, zum Beispiel »Active
Directory-Benutzer und -Computer«, sind
immer noch verfügbar. Hier haben sich
im Vergleich zu Windows Server 2008
R2 keine großen Änderungen ergeben.
Das gilt auch für die Snap-Ins »Active
Directory-Standorte und -Dienste« und
»Active Directory-Domänen und Vertrauensstellungen«.
Abbildung 1: Im Server Manager fasst Windows Server 2012 die Domänencontroller in einer eigenen Gruppe
zusammen.
Das Active-Directory-Verwaltungscenter
bietet nicht alle Möglichkeiten der anderen
beschriebenen Snap-Ins, sondern
dient vor allem Routine-Aufgaben wie
dem Zurücksetzen von Kennwörtern oder
dem Anlegen neuer Objekte. Erstellen
Administratoren neue Objekte wie Organisationseinheiten
oder Benutzerkonten,
zeigt das Center übersichtliche und leicht
verständliche Formulare an. Das Tool
verbindet sich über die Active-Directory-
Webdienste mit dem Active Directory.
Administratoren starten das Active-Directory-Verwaltungscenter
entweder über
die Programmgruppe »Tools« im Server
Manager oder indem sie »dsac« in der Powershell
oder der Befehlszeile eingeben.
Auf der linken Seite der Konsole lässt
sich durch die Domänen und die Organisationseinheiten
navigieren. Im linken
oberen Bereich können Administratoren
zwischen einer Baumstruktur wie bei
der Active-Directory-Benutzerverwaltung
und einer Struktur ähnlich dem Startmenü
wechseln.
Verwendet man die Listenansicht, lässt
sich beim Einblenden einer Organisationseinheit
(Organisational Unit) der
Inhalt dieser OU auf das Startfenster
des Verwaltungscenters anheften, sodass
dieser Bereich dauerhaft im Verwaltungscenter
erscheint. Dazu muss
lediglich auf das blaue Pinsymbol oben
rechts geklickt werden. Mit dem Pin können
Anwender den Vorgang auch wieder
rückgängig machen.
E
Abbildung 2: Mit dem neuen AD Administrative Center gestaltet sich die Verwaltung von Active Directory in
Windows Server 2012 einfacher.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
95

TesT
Active directory
der Startbildschirm von Windows Server
2012 anzeigen. Hierüber können Sie
ebenfalls die Verwaltungsprogramme
starten und auch nach Tools suchen. Mit
der Tastenkombination [Windows]+[X]
blenden Windows 8 und Windows Server
2012 unten links ebenfalls wichtige
Verwaltungsprogramme ein. Eine weitere
neue und interessante Tastenkombination
ist [Windows]+[Drucken]. Sie erstellt
automatisch einen Screenshot und
speichert ihn in der Bilder-Bibliothek. Mit
[Windows]+[D] starten Administratoren
sofort den Desktop.
PowerShell 3.0 und Active
Directory
Abbildung 3: Active Directory ist über die Powershell in Windows Server 2012 installierbar.
Über den Menüpunkt »Globale Suche«
ist eine Suche nach Objekten in allen
Domänen der Gesamtstruktur verfügbar,
unabhängig von der Domäne, mit der das
Administrative Center aktuell verbunden
ist. Der Navigationsbereich des Active-
Directory-Verwaltungscenters lässt sich
jederzeit anpassen, indem man verschiedene
Container aus jeder beliebigen Domäne
als separate Knoten hinzufügt. Die
Liste der zuletzt verwendeten Objekte
wird automatisch unter einem Navigationsknoten
angezeigt.
Verwaltungswerkzeuge
Da auch in Windows Server 2012 das
Startmenü fehlt, müssen Administratoren
die Verwaltungswerkzeuge über andere
Wege starten. Das zentrale Verwaltungswerkzeug
ist in Windows Server 2012
der Server Manager. Hier sind die verschiedenen
Servergruppen zusammengefasst,
auch die Active-Directory-Domänendienste.
Mit einem Klick auf »ADDS«
sind alle DCs zu sehen, die sich mit dem
Manager verwalten lassen. Auch die zusammengefassten
Meldungen aus allen
Ereignisanzeigen sind zu sehen.
Um im Server Manager in Windows Server
2012 weitere Server anzubinden, genügt
ein Klick auf »Verwalten«, gefolgt
von »Server hinzufügen«. Im Fenster lässt
sich anschließend nach Servern suchen,
um sie im lokalen Server Manager zu
verwalten. Um auf Servern im Netzwerk
über den Server Manager remote Rollen
oder Features zu installieren, ist keine
vorherige Anbindung notwendig. Im Assistenten
zum Hinzufügen von zusätzlichen
Rollen erscheint ein neues Fenster,
in dem sich der Server auswählen lässt,
auf dem eine neue Rolle oder ein neues
Feature installiert werden soll.
In Windows Server 2012 sind die Assistenten
zum Hinzufügen von Rollen und
Features zusammengefasst. Über das
Kontextmenü von Servern können Administratoren
Server über das Netzwerk
remote neu starten, eine Powershell-Sitzung
auf dem Server starten oder eine
RDP-Verbindung öffnen.
Auch die Installation von Rollen und Features
über das Netzwerk ist mit dem Kontextmenü
möglich. Im Server Manager
ist am Wartungscentersymbol im oberen
Bereich zu sehen, ob Fehler auf einem
angebundenen Server vorliegen oder
Maßnahmen zur Verwaltung notwendig
sind. Allerdings lassen sich auf diesem
Weg nur Rechner mit Windows Server
2012 zentral verwalten. Windows Server
2008 R2 lässt sich nicht an den Server
Manager von Windows Server 2012 anbinden.
Die wichtigsten Verwaltungswerkzeuge
finden Sie jetzt ohne Umwege direkt im
Server Manager. Dazu reicht ein Klick
auf den Menüpunkt »Tools« oben rechts.
Über die Windows-Taste lässt sich auch
Windows Server 2012 lässt sich auch in
der Powershell verwalten. Dazu hat Microsoft
einige neue Commandlets integriert.
Die Befehle sind zu sehen, wenn
man in der Powershell 3.0 in Windows
Server 2012 zunächst das entsprechende
Modul mit »Import-Module ADDSDeployment«
lädt. Die Befehle lassen sich zum
Beispiel mit »get-command *adds*« anzeigen.
Das Commandlet »Install-ADDS-
DomainController« installiert in einer bestehenden
Domäne zum Beispiel einen
neuen Domänencontroller (Abbildung
3). »Install-ADDSDomain« installiert eine
neue Domäne, »Install-ADDSForest« eine
neue Gesamtstruktur.
Um einen Domänencontroller herabzustufen,
steht das Commandlet »UnInstall-ADDSDomainController«
zur Verfügung.
Die Commandlets fragen alle notwendigen
Optionen ab und starten den
Server neu. Konfigurationen wie DNS-
Server und globaler Katalog folgen anschließend
ohne den Assistenten. Auch
für die Installation und den Betrieb von
Active Directory gibt es neue Commandlets:
»Test-ADDSDomainControllerInstallation«,
»Test-ADDSDomainControllerUn-
Installation«, »Test-ADDSDomainInstallation«,
»Test-ADDSForestInstallation« und
»Test-ADDSReadOnlyDomainController-
UnInstallation«.
Migration
Wer einen Domänencontroller zu Windows
Server 2012 aktualisieren möchte,
muss zunächst das Schema der Gesamtstruktur
erweitern. Dazu führt man den
96 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Active directory
TesT
Befehl »adprep /forestprep« auf einem
Domänencontroller aus. Das Tool ist im
Verzeichnis »support\adprep« auf der
DVD von Windows Server 2012 zu finden.
Um das Schema erweitern zu können,
muss man vorher mit [c] die Erweiterung
bestätigen. Diese Maßnahmen
sollte man allerdings nicht in produktiven
Umgebungen durchführen, da sich
die Änderungen nicht mehr rückgängig
machen lassen.
Nach der Aktualisierung des Schemas
aktualisiert »adprep /domainprep« noch
die einzelnen Domänen. Neu installierte
Domänencontroller lassen sich problemlos
in das Active Directory aufnehmen.
Auch Mitgliedsserver mit Windows Server
2012 können in bestehende Domänen
aufgenommen werden, wenn Domänencontroller
mit Windows Server 2003/ 2003
R2/ 2008/ 2008 R2 vorhanden sind. Bei
Migrationen lassen sich die Betriebssmasterrollen
von Vorgängerversionen auf die
neuen Domänencontroller mit Windows
8 Server übernehmen. Die Vorgänge dazu
sind identisch mit der Übernahme in
Windows Server 2008 R2.
Neues DNS-System
Wegen der engen Verzahnung der Server
miteinander ist auch eine Verbesserung
des DNS-Systems notwendig, zum Beispiel
unter dem Sicherheitaspekt. Bereits
mit Windows Server 2008 R2 hat Microsoft
DNSSEC eingeführt, um Zonen
und Einträge abzusichern. Die Verwaltung
von DNS-Servern gestaltet sich im
Server Manager von Windows Server
2012 durch die Gruppierung wesentlich
effizienter.
In Windows Server 2012 lassen sich Zonen
online digital signieren. DNSSEC
lässt sich in der neuen Version komplett
in das Active Directory integrieren. Das
umfasst auch die Möglichkeit, dynamische
Updates für geschützte Zonen zu
aktivieren. Windows Server 2012 unter-
stützt offizielle Standards wie NSEC3
und RSA/ SHA-2. Neu ist auch die Unterstützung
von DNSSEC auf schreibgeschützten
Domänencontrollern (RODC).
Findet ein RODC mit Windows Server
2012 eine signierte DNS-Zone, legt er automatisch
eine sekundäre Kopie der Zone
an und überträgt die Daten der DNSECgeschützten
Zone. Das hat den Vorteil,
dass auch Niederlassungen mit RODCs
gesicherte Daten auflösen können, aber
die Signatur und Daten der Zone nicht
in Gefahr sind.
DNSSEC lässt sich über das Kontextmenü
von Zonen einrichten. Eine komplizierte
Konfiguration in der Befehlszeile ist nicht
mehr notwendig. Auch das Offline-Setzen
von Zonen entfällt. Die Signierung
der Zone erfolgt über einen Assistenten,
der die manuelle Signierung, eine
Aktualisierung der Signierung und eine
Signierung auf Basis automatischer Einstellungen
erlaubt. Mit Windows Server
2012 lassen sich signierte Zonen auch
ADMIN
Netzwerk & Security
Online-Archiv
Rund 2.000 Seiten Artikel,
Studien und Workshops aus
fünf Jahren Technical Review
+
nur
4,-e*
im Monat
Onlinezugriff auf
Heftartikel aus dem
ADMIN-Magazin von
2009 bis 2012!
Volltextsuche
Praxisrelevante Themen
für alle IT-Administratoren
* Angebot gültig nur
für Abonnenten eines
Print- oder vollen
digitalen ADMIN Abos
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
Bestellen Sie unter: www.admin-magazin.de/archiv
97

TesT
Active directory
auf andere DNS-Server im Netzwerk
replizieren. Eine weitere Neuerung ist
IP-Adressverwaltungsserver (IPAM), der
den Serverdienst überwacht und zentral
DHCP- und DNS-Server steuert. Die Installation
erfolgt als Serverrolle.
Remote verwalten
Abbildung 4: Die Powershell 3.0 in Windows Server 2012 bietet eine neue Hilfefunktion.
Administratoren können zur Remoteverwaltung
vom Active-Directory-Domänencontroller
entweder per Remotedesktop
auf den Server zugreifen oder von der
eigenen Arbeitsstation aus mit der Powershell.
Neben der Powershell stehen auch
andere Tools zur Verwaltung von Active
Directory auf Arbeitsstationen zur Verfügung.
Das funktioniert mit Windows 7
sowie Windows Server 2008 R2 und auch
in Windows 8 und Windows Server 2012.
Wer Windows Server 2012 von Arbeitsstationen
mit Windows 8 verwalten will,
muss die Remoteserver-Verwaltungstools
für Windows 8 installieren [1].
Die Verwaltungstools für Active Directory
finden sich unter »Rollenverwaltungstools
| AD DS-/AD LDS-Tools«. Hier stehen
auch die Commandlets zur Verwaltung
von Active Directory zur Verfügung, zum
Beispiel das »Active Directory-Modul für
Windows Powershell«. In Windows 8
sind die Remoteverwaltungs-Tools bereits
aktiviert. Sind diese nicht gleich im
Startbildschirm zu sehen, ist die Ansicht
„Alle Apps“ mit der Tastenkombination
[Strg]+[Tab] aktivierbar. In Windows
7 befinden sich die Tools im normalen
Startmenü.
Wer von einem Server mit Windows Server
2008 R2 oder Windows Server 2012
Serverdienste verwalten will, die auf dem
Server nicht aktiviert sind, kann auch
hier die Verwaltungstools installieren.
Dazu sind keine Patches nötig, die entsprechenden
Tools lassen sich direkt über
den Server Manager aktivieren. Die Installation
erfolgt im Server Manager über
die Auswahl von »Features | Feature hinzufügen
| Remoteserver-Verwaltungstools
| Rollenverwaltungstools«. In Windows
Server 2012 sind die Tools über »Verwalten
| Rollen und Funktionen hinzufügen«
zu erreichen.
Administratoren können auf Servern die
Installation der Verwaltungstools auch
mit der Powershell durchführen. Dazu
laden Sie die entsprechenden Commandlets
für die Verwaltung des Servers mit
»Import-Module Server Manager«. Der
Aufruf »Get-WindowsFeature« zeigt die
verfügbaren Features. Die Installation
von Features erfolgt dann mit dem Befehl
»Add-WindowsFeature «Features»«,
zum Beispiel »Add-WindowsFeature
RSAT-AD-PowerShell,RSAT-AD-Admin-
Center«. Die Befehle funktionieren in der
Powershell 2.0 von Windows Server 2008
R2 und in der neuen Powershell 3.0 von
Windows Server 2012.
Powershell im Netz
Um einen Server über die Powershell remote
zu administrieren, muss die Remote-
Verwaltung auf dem Server aktiviert sein.
Das übernimmt auf dem entsprechenden
Server der Befehl »Enable-PSRemoting
-force«, der auch die Windows-Firewall
passend konfiguriert. Per »Disable-PSRemoting
-force« lässt sich die Remoteverwaltung
eines Servers über die Powershell
wieder deaktivieren. In Remote-Powershell-Sitzungen
gibt es die gleichen
Commandlets wie auf den lokalen Servern.
Allerdings erlauben nicht alle Commandlets
die Remote-Verwaltung. Dies
zeigt sich daran, ob das Commandlet die
Option »-ComputerName« unterstützt.
Der Befehl »Get-Help * -Parameter ComputerName«
zeigt eine Liste aller dieser
Commandlets.
Wird die Hilfe zu Commandlets aufgerufen,
kann sich die Powershell selbstständig
aktualisieren. Das ging eingeschränkt
auch mit der alten Powershell 2.0, wenn
für das Commandlet »get-help« die Option
»-online« verwendet wurde. Die
Powershell 3.0 bietet das neue Commandlet
»update-help«, das die Hilfedateien aktualisieren
kann. Der Befehl ruft die Hilfe
direkt aus dem Internet ab. Ebenfalls eine
neue Funktion in der Powershell 3.0 ist
das Commandlet »show-command«, das
ein neues Fenster mit allen Befehlen einblendet,
die in der Powershell verfügbar
sind (Abbildung 4).
Es ist auch möglich, in der PowerShell
eine Remotesitzung auf einem Server
starten. Das geht am besten mit der Powershell
Integrated Script Engine (ISE),
die in Windows 8 bereits aktiviert ist.
In Windows 7 muss sie gegebenenfalls
als Windows-Feature nachträglich aktiviert
werden. Nach dem Start kann man
eine Verbindung mit »Datei | Neue Remote-PowerShell-Registerkarte«
öffnen.
Hier gibt man einen Servernamen und
einen Benutzernamen ein, mit dem man
sich verbinden möchte. (ofr)
n
Infos
[1] RSAT für Windows 8:
[http:// www. microsoft. com/ de‐de/
download/ details. aspx? id=28972]
98 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

TesT
small business server
© dskdesign, 123RF
Linux Small Business Server im Vergleich
Business
aus der Box
Admins kleiner unternehmen, die ihre gesamten infrastruktur-Anforderungen
mit einem einzigen server abdecken wollen, sind die zielgruppe
sogenannter small business server. dieser Artikel stellt drei Linux-distributionen
vor, die diese Anforderung erfüllen. Thomas drilling
Designer oder Elektronik/ SPS-Spezialist
mit IT-Kenntnissen, die sich auf den
Windows-Bereich beschränken.
Querschnitt
Eine Gemeinsamkeit der mit dem Begriff
Small Business Server bezeichneten
Produkte ist – im Gegensatz zu einem
gewöhnlichen Linux-Server – deren
Administrierbarkeit über eine grafische
Benutzeroberfläche, womit die Produkte
ihrer Zielgruppe „Admins mit begrenztem
Linux-Know-how“ gerecht werden.
In der Regel handelt es sich dabei um ein
Webinterface.
Der Markt bietet in diesem Segment
reichlich Auswahl. Univention, einer der
bekanntesten Hersteller, bietet seinen
Univention Corporate Server (UCS) [1]
sowohl als reine Infrastruktur-Lösung an,
wie auch mit installierten Anwendungen,
etwa einem Groupware-Stack. Ferner gibt
es eine Reihe von Third-Party-Produkten
und Herstellern, die den UCS als Basis
ihrer Produkte zertifizieren, etwa Open-
Xchange mit ihrer Open-Xchange Advanced
Server Edition (OXASE) [2] oder die
Applicance Edition von Zarafa.
Wir haben uns im Folgenden den All-In-
One-Server Zentyal des Herstellers eBox,
die ClearOS Community Edition der Clear
Foundation sowie die Community-Edition
des Resara-Server angesehen. Auf
eine ausführliche Vorstellung von Univentions
Corporate Server verzichten wir,
auch wenn wir den UCS gelegentlich als
Referenz heranziehen, weil das Produkt
schon einige Male im ADMIN-Magazin
Erwähnung fand (siehe etwa [2]).
Zwar hat Microsoft im Jahr 2000 mit seinem
Small Business Server die gleichnamige
Kategorie sozusagen erfunden, bietet
das Produkt aber heute nicht länger
an. In der Linux-Welt hingegen buhlen
eine Reihe von Server- und Plattformen
um die Gunst kleiner Unternehmen, die
zum Beispiel Druck- und Dateidienste
in heterogenen Netzen bereitstellen
müssen.
Small Business Server sind auf die Bedürfnisse
von Kleinunternehmen mit
zehn bis 50 Mitarbeitern zugeschnitten,
auch wenn sich Admins großer Firmen
beim Gedanken, alle Dienste auf einem
einzigen Server laufen zu lassen, die
Haare sträuben. Denen steht aber in der
Regel auch ein umfangreiches Werkzeugarsenal
für Deployment, Virtualisierung,
Backup und Monitoring zur Verfügung,
um das sich zudem ein hierarchischer
Mitarbeiterstab kümmert.
Vergisst man einmal die theoretischen
Idealvorstellungen einer zeitgemäßen
IT-Organisation im Unternehmen und
sieht sich an, wie kleine Firmen wirklich
arbeiten, ergibt sich in etwa folgendes
Bild: Meist gibt es keinen Vollzeit-Administrator.
Falls doch, handelt es sich
um einen einzelnen Mitarbeiter mit überdurchschnittlichen
IT-Kenntnissen. Nicht
selten ist das ein beförderter Ex-Web-
E Zentyal-Server
Zentyal ist ein auf Ubuntu basierender
Small Business Server, der früher unter
dem Namen „eBox“ angeboten wurde.
Entwickelt wird das Produkt vom spanischen
Open-Source-Unternehmen eBox
Technologies, und es ist wahlweise in
einer kostenlosen Basic Subscription, wie
auch als Business- und Enterprise-Edition
erhältlich [3]. Die Unterschiede zeigt das
PDF-Dokument [4]. Sie liegen im Wesentlichen
in der Nutzerzahl und den
angebotenen Update-Services.
Das Geschäftsmodell von eBox basiert
auf Support-Verträgen, die im hauseige-
100 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

small business server
TesT
Ein Klick auf »Installieren« zeigt zunächst
eine Übersicht der zu installierenden Pakete/
Paketgruppen, die noch einmal mit
»OK« zu bestätigen ist, bevor Zentyal
mit der Installation beginnt. Dieser erste
Vorbereitungsschritt nimmt zwar etwas
Zeit in Anspruch, ist aber praktisch, weil
der Admin so einen individuell konfigurierten
SBS zusammenbauen kann. Die
meisten Pakete sind praxistauglich vorkonfiguriert
und erfordern keine weitere
Konfiguration. Es gibt aber Ausnahmen,
wie etwa die Konfiguration der Netznen
Shop pro Jahr und Server abgerechnet
werden und sich durch die angebotenen
Zusatzleistungen und Support-Level
unterscheiden. Wir haben die aktuelle
Zentyal 2.2-2 Community Edition in der
64-Bit-Variante installiert. Die gibt es alternativ
auch in einer 32-Bit-Version und
als Virtual Maschine Image.
Die kommende Version 3.0 stand laut
Roadmap zwar zum Testzeitpunkt kurz
vor Veröffentlichung, war bis Redaktionsschluss
aber noch nicht verfügbar.
Zentyal 3.0 verspricht vor allem die Integration
von Samba 4, womit sich Zentyal
im Bereich Windows-File-Services als
direkter Konkurrent zu Univentions Corporation
Server oder Resara aufschwingt.
Leider ist die seit September 2011 verfügbare
Version 2.2 in Sachen Softwareausstattung
bei einigen Paketen nicht mehr
aktuell, was im Einzelfall Sicherheitslücken
eröffnet. Die Version 2.2 verwendet
ein Ubuntu-10.04-LTS-Fundament, während
die Version 3.0 [5] den Sprung auf
Ubuntu 12.04 LTS vollzieht. Alternativ
steht die Beta-Version 2.3 zum Herunterladen
zur Verfügung.
Ubuntubau
Der Zentyal Server richtet sich an Unternehmen
kleiner bis mittlerer Größe
und stellt als Alternative zum Microsoft
SBS zahlreiche via Webinterface administrierbare
Funktionen aus den Bereichen
Routing/ Gateway, Netzwerkinfrastruktur,
Kollaboration (zum Beispiel Zarafa), Sicherheit
und Kommunikation zur Verfügung.
Die Installation basiert auf dem
Ubuntu-Installer, verzichtet aber auf
dessen grafische Variante. Ubuntus Alternate-Installer
erwartet mit Ausnahme
der Angabe eines Benutzerkontos für den
Systemuser sowie des Hostnamens und
des gewünschten Tastatur-Layouts keine
weitere Interaktion.
Das Boot-Menü bietet als Alternative
zum Standard-Modus auch einen Experten-Modus
an, mit dem erfahrene Linux-
Nutzer etwa bei der Apt-Konfiguration
Ubuntu-Repositories einbinden, aktualisierte
Ubuntu-Pakete von einem Netzwerkspiegel
holen oder die Festplatte
manuell partitionieren können. Optional
gibt es im Bootmenü für beide Varianten
Einträge zum Installieren der Subskriptions-Versionen.
Nach dem Reboot öffnet sich dank automatischem
Login am Ubuntu-System ein
Firefox-Fenster mit der Login-Seite der
Zentyal-Administrationsoberfläche, in
dem sich der Admin mit dem während
der Installation angelegten Systembenutzer
anmeldet. Alternativ ist die Verwaltung
von einem beliebigen Host im Netz
über HTTPS möglich. Nach dem ersten
Login zeigt das System zunächst eine
Übersicht der verfügbaren Paketgruppen.
Klick der Admin auf eines der fünf
großen Icons am oberen Bildschirmrand,
färbt die GUI thematisch zusammengehörige
Paketgruppen ein. Der Admin
kann die benötigten Pakete aber beliebig
kombinieren und falls gewünscht auch
gleichzeitig installieren, darunter auch
die freie Zarafa-Version.
Maßgeschneidert
werkinterfaces. Bei der Wahl des Server-
Typs ist ein Nutzereingriff vonnöten,
denn Zentyal bietet neben dem Szenario
„Standalone-Server“ auch eines für den
rollenbasierten Multiserver-Betrieb, soll
der Zentyal Server etwa als (Backup) Domain
Controller in einer Active-Directory
Domäne fungieren (Abbildung 1).
Im Rahmen der MTA-Konfiguration kann
der Administrator auch die zu verwendende
Mail-Domain festlegen. Zum Abschluss
der Paket-Installation besteht
erwartungsgemäß die Möglichkeit,
eine Subscription zu registrieren. Die
Subscriptions erschließen wie erwähnt
nicht nur den Hersteller-Support, sondern
stellen auch erweiterte Funktionen
zur Verfügung, wie etwa die Sicherung
der Konfiguration in der Zentyal-Cloud,
die Bereitstellung einer Subdomain »zentyal.me«
für das direkte Adressieren des
Servers oder ein Remote-Monitoring der
wichtigsten Betriebsparameter.
Nach dem Speichern der Änderung gelangt
man mit einem Klick auf »Back to
Dashboard« auf der Übersichtseite des
Konfigurationsinterfaces. Dieses zeigt
zwar auf den ersten Blick eine Fülle
an Informationen, man findet sich aber
schnell zurecht. Ein Klick auf den Link
»Sicherheitsupdates« im Bereich »Allgemeine
Informationen« sorgt zunächst
für die Aktualisierung des Ubuntu-Fundamentes.
Die Bedienung des Webinterface
ist weitgehend intuitiv. Leider ist die
Abbildung 1: Benutzer verwaltet Zentyal selbst oder übernimmt sie von LDAP oder Active Directory.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
101

TesT
small business server
Abbildung 2: Das Dashboard gibt nicht nur eine Übersicht über den momentanen Zustand von Server und
laufenden Diensten. Letztere lassen sich von hier auch steuern.
Abbildung 3: Die Sprache für Zarafa Webaccess ist in den Einstellungen des Webclients von Zarafa
einzutragen.
während der Installation des Basissystem
gewählte Lokalisierung noch nicht durchgängig
und gelegentlich recht originell
eingedeutscht, etwa IDS mit „Eindringling
Erkennungs System“. Außerdem
bewegt sich das durchaus ansehnliche
Webinterface bei der Bedienbarkeit auf
dem Niveau von Webmin und ist völlig
Ajax-frei, erfordert also immer ein komplettes
Neuladen der einzelnen Seiten.
Die schon bei der Paketauswahl angebotene
Gruppierung mit »UTM«, »Gateway«,
»Infrastructure«, »Office und Communications«
schlägt sich im Navigationsbereich
links nieder. Der erste Eintrag
»Übersicht« des Core-Bereichs ganz oben,
der unter anderem die Netzwerkkonfiguration
beherbergt, führt ins Dashboard
(Abbildung 2).
Dort findet der Admin unter anderem den
Bereich »Status des Moduls«, der zeigt,
welche Dienste der Zentyal-Server verwaltet.
Nicht gestartete Module lassen
sich unter »Core | Status des Modusl«
aktivieren. Ferner ist es unter »Core |
Softwareverwaltung« möglich, weitere
Komponenten nachzuinstallieren.
Infrastructure, Office und
Communications
Die Installation von Zarafa beschert dem
Admin die recht aktuelle Zarafa-Version
7.08-351-78. Die weitere Konfiguration
der Groupware erfordert, dass zuvor der
Mail-Stack aktiviert und konfiguriert ist.
Die Mailserver-Konfiguration wiederum
ist nicht in der Rubrik »Infrastructure« zu
finden, sondern unter »Communication«.
Hier ist sogar das Konfigurieren eines
SMTP-Relays mit Authentifizierung über
das Webinterface möglich.
Das Speichern der Mail-Konfiguration
setzt allerdings voraus, dass das E-Mail-
Modul mit »Übersicht | Status des Moduls«
installiert und aktiviert ist, worauf
Zentyal freundlicherweise hinweist. Das
allerdings funktioniert nur dann, wenn
die Komponente »Benutzer & Gruppen«
vorhanden ist. Dafür ist es zum Beispiel
im Benutzer-Dialog vorgesehen, dass
Zarafa die Quotas des Mail-Accounts
übernimmt.
Sind die Vorbereitungen bis hierher
getroffen, kann der Admin die weitere
Zarafa-Konfiguration im Menü
»Office | Groupware« erledigen.
102 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

small business server
TesT
Ist das erledigt, steht Zarafas vorbildliches
Webinterface unter der Adresse
»http://Zentyal-Server/webaccess« zur
Verfügung (Abbildung 3).
E ClearOS
Der Small Business Server ClearOS firmierte
im Jahr 2009 noch unter dem Namen
„ClarkConnect“. Ursprünglich als
Gateway- und Router-Distribution konzipiert,
tritt ClearOS mit über die Jahre
gewachsenem Funktionsumfang heute
als Small Business Server auf. Erst kurz
vor Redaktionsschluss dieser Ausgabe ist
die brandneue Version 6.3 erschienen,
die unter anderem ebenfalls mit freier
oder kommerzieller Zarafa-Erweiterung
zu haben ist. ClearOS basiert auf CentOS
6.3 und steht in mehreren kommerziellen
Versionen (Professional-Edition) und
als Community-Variante zur Verfügung
[6], wahlweise als ISO-Image zum Installieren
und als Virtual Appliance. Die
Community-Version von ClearOS 6.3 liegt
diesem Heft als CD bei.
Die kommerziellen Versionen vermarktet
Clear in Form von Subsriptions pro Jahr
und Server. Zur Verfügung stehen Lite-,
Basic-, Standard und Premium-Subscription
mit unterschiedlichen Support-
Leveln und ansteigender Anzahl vorinstallierter
„Apps“. Erwähnenswert sind
hier beispielsweise der Active Directory
Connector [7], die Google Apps Synchronization
oder Account Synchronization
(Master/ Slave). Die Unterschiede lassen
sich im Clearcenter-Store nachlesen [8].
Ferner gibt es die Zarafa-Variante auch in
einer kommerziellen Version [9].
ClearOS Community
melden am Webinterface erforderlich,
das den Admin mit einem „Get-Started-
Guide“ begrüßt und dann mithilfe des
Assistenten durch die wichtigsten Basis-
Einstellungen leitet, etwa ob ClearOS im
Server- (ohne Firewall), Public-Server
oder Gateway-Modus betrieben werden
soll, was an die Herkunft von ClearOS
als Routersystem erinnert. Nach dem
Abarbeiten des Assistenten, der sich im
Wesentlichen der Konfiguration der Netzwerkinterfaces
widmet (Abbildung 4),
möchte das System verfügbare Updates
installieren, die sich zum Testzeitpunkt
der brandneuen Version 6.3 auf wenige
Pakete beschränkten.
Registrierung zwingend
Ist das erledigt, zwingt auch die Community-Version
den Administrator, die Installation
mit einem Clearcenter-Account
zu registrieren, sonst lassen sich keine
weitere Komponenten installieren. Dabei
muss er auch den Servernamen festlegen,
der allerdings nicht mehr – wie bei
früheren Versionen – zwangsweise der
Domain »poweredbyclear.com« vorangestellt
wird. Stattdessen kann er den, bei
ClearOS »Internet Domain« genannten
DNS-Domain-Namen im nächsten Schritt
frei wählen.
Nach der Auswahl der Zeitzone springt
der Setup-Assistenten am Ende automatisch
ins Menü »Marketplace | Server-Apps«
und ermöglicht das Nachinstallieren
der Apps aus dem Clearcenter-
Marketplace. Damit kann der Admin den,
im Gegensatz zu Zentyal sehr reduzierten
Basis-Funktionsumfang, nach seinen
Vorstellungen erweitern (Abbildung 5).
Der Clear-Marketplace bietet unabhängig
davon, ob der Admin die Community-
Version oder eine kommerzielle Variante
installiert, eine reichhaltige Auswahl
freier und kostenpflichtiger Apps, von
denen allerdings einige, wie Windows-
Networking, FTP-Server, Print Server
oder SMTP-Server eigentlich zur Grundausstattung
gehören. Offenbar sind viele
ehemalige Basis-Funktionen der Vorgängerversionen
inzwischen in den Marketplace
gewandert.
Empfehlenswert ist beispielsweise die
App „Flexshares“ (Abbildung 6), mit
deren Hilfe ein freigegebenes Verzeichnis
nicht nur via SMB oder FTP erreichbar
ist, sondern sich über den Webserver
auch als Dropbox freigeben lässt. Dies
erfordert allerdings die Installation eines
„Account Manager“, der bei Clear OS
wahlweise auf OpenLDAP (builtin) oder
Active Directory basiert. Im letzten Fall
bietet ClearOS an, den „Active Directory
Die Setup-Routine der Community-Version
basiert erwartungsgemäß auf Red
Hats Anaconda-Installer und erfordert
nur wenige Benutzereingaben, darunter
ein Passwort für den Root-Account.
Nach dem Reboot präsentiert ClearOS
eine Info-Seite, mit deren Hilfe der Admin
etwa einen Standard-Browser auswählen
oder sich an den angegebenen URL am
Webinterface »https://ClearOS-Server:81«
anmelden kann. Mit »Go to Command
Line« ist auch ein direktes Terminal-Login
mit dem Administrator-Account möglich.
Der Root-Account ist auch für das An-
Abbildung 4: Ein Konfigurations-Assistent leitet durch die wichtigsten Schritte zur Basis-Konfiguration von
ClearOS, darunter an erster Stelle der Netzwerkmodus.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
103

TesT
small business server
einfügt. Jede App zeigt im Hauptfenster
der Weboberfläche ganz oben zunächst
das Icon der App, nebst einer kurzen
Erläuterung und rechts davon die Schaltfläche
»User Guide«, die eine detaillierten
Anleitung nachlädt. Der Platz darunter
zeigt je nach App die Einstellungen
oder den Status des jeweiligen Dienstes.
Vorbildlich: Rechts davon gibt es einen
weiteren Bereich, der noch einmal den
Namen der App sowie Hersteller und Versionsnummer
zeigt und darunter einen
Hinweis „Recommended Apps“, der darüber
informiert, von welchen Apps die
installierte App abhängt. Deren Name
lässt sich dann direkt anklicken, um die
erforderliche App nachzuinstallieren.
E Resara Server
Abbildung 5: ClearOS geht mit dem Zeitgeist und verpackt Funktionen in Apps, die sich über den Marketplace
installieren lassen.
Connector“ aus dem Marketplace zu
installieren, der einen laufenden Active
Directory Server voraussetzt (Abbildung
7). Die Konfiguration von OpenLDAP
erfordert lediglich die Angabe der gewünschten
Base-Domain.
Moderne GUI
Die Administration des Systems erfolgt
im Normalfall über die Weboberfläche,
ist aber auch am Bildschirm des Servers
möglich, bei ClearOS „grafische Konsole“
genannt. Die Weboberfläche wirkt
im Vergleich mit Zentyal moderner. Am
oberen Bildschirmrand sind lediglich drei
Links zum Dashboard, zum Marketplace
und für Login/ Logout zu finden. Das
Dashboard zeigt die momentane Speicherauslastung
und bietet Funktionen
zum Herunterfahren und Neustarten des
Servers. Die weitere Navigation durch die
installierten Komponenten und Funktionsgruppen
ist wahlweise über den Navigationsbereich
links oder mithilfe von
optisch ansprechend realisierten Dropdown-Menüs
am oberen Rand möglich.
Die Gliederung in Server, Network, Gateway
und System ist ebenfalls etwas übersichtlicher
als bei Zentyal.
Beinahe sämtliche Funktionen stehen
bei ClearOS 6.3 in Form von Apps zur
Verfügung, wobei sich die Bedienung
der Apps stimmig in das GUI-Konzept
Als dritter Linux-basierter Small Business
Server stand der seit März 2011 in
Version 1.0 verfügbare Resara-Server auf
der Agenda. Während dieser Beitrag entstand,
gab Resara jedoch bekannt, das
Unternehmen aus persönlichen und finanziellen
Gründen zu schließen. Der
Resara-Server bleibt jedoch weiter interessant,
denn die Firma beabsichtigt, den
kompletten Code aller Resara-Produkte,
inklusive des kommerziellen Resara
Servers und der Enterprise Version, innerhalb
der nächsten fünf Monate der
Gemeinschaft zu übergeben.
Wir haben deshalb die seit April diesen
Jahres verfügbare Version 1.1.2 der Resara
Community-Edition in den Vergleich aufgenommen.
Die Unterschiede zwischen
der Resara Community Edition sowie den
kommerziellen Varianten „Resara Server“
und „Resara Server Enterprise“ lassen
sich der Download-Seite [10] entnehmen,
wobei der primäre Vorteil des kostenpflichtigen
Supports mit Schließung
der Firma wegfällt.
Abbildung 6: Mit der Hilfe der App Flexshare ist ein freigegebenes Verzeichnis
nicht nur via SMB oder FTP erreichbar, sondern lässt sich über den Webserver
auch als Dropbox freigeben.
Abbildung 7: Bei der Verwaltung von Benutzer-Accounts unterstützt ClearOS
neben OpenLDAP mithilfe der kommerziellen App „Active Directory Connector“
auch Microsofts Verzeichnisdienst.
104 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

MAGAZIN
Darüber hinaus boten die kommerziellen
Version auch Multi-Server Replication,
CSV Import/ Update und Server Config
Backup. Die Community-Edition ist teilweise
unter der GPLv2 und der einer BSD-
Lizenz lizensiert und steht wahlweise als
1,6 GByte großes ISO-Images oder als
Virtualbox-OVA-Image zur Verfügung.
Außerdem steht auf der Download-Seite
die Version 1.1.2 der sogenannten Admin
Console für Windows (Exe, Zip), Mac OS
und Linux (32 und 64 Bit) zur Verfügung.
Resara bietet im Unterschied zu den anderen
Produkten keine webbasierten Administration.
Das Download-Paket der
Admin Console braucht der Admin aber
nur dann, wenn er seinen Resara Server
von einer anderen Maschine im Netz aus
administrieren möchte. Das Installieren
des Server-ISOs schließt die Admin Console
für den lokalen nämlich Server ein.
Resara intern
Auch der Resara Server basiert auf
Ubuntu, allerdings wie Zentyal ebenfalls
auf der Version 10.04 LTS. Deren Installation
unterscheidet sich nicht vom Original.
Der Admin muss also außer der
geführten oder manuellen Partitionierung
nichts weiter tun, als einen Benutzer-
Account sowie Sprache und Tastaturlayout
festlegen. Resara bootet nach dem
Fertigstellen der Installation ein gewöhn-
liches Ubuntu-System. Auf dem Desktop
ist lediglich ein Icon zum Starten von
Resaras Admin Console zu finden. Außerdem
startet nach dem ersten Booten
automatisch ein Assistent zur weiteren
Konfiguration des Small Business Servers
(Abbildung 8).
Der widmet sich im ersten Schritt der
Netzwerk-Konfiguration, übernimmt
dazu aber die Daten aus der Basis-Konfiguration
des Ubuntu-Basissystems. Nach
der Konfiguration der Zeitzone muss der
Admin den Host- und Domain-Namen
festlegen. Das im Folgeschritt festzulegende
Administrator-Passwort betrifft
ausschließlich den Resara-Server, während
der Zugang zum Ubuntu-System wie
gewohnt mit dem bei der Basis-Installation
festgelegten Nutzernamen erfolgt.
Danach bietet der Assistent an, Resara
zum DHCP-Server zu machen, wobei der
Admin den gewünschten IP-Bereich festlegen
darf. Anschließend komplettiert der
Assistent ohne weiteren Benutzereingriff
die Samba-Konfiguration.
Samba zentral
Die Admin Console (Abbildung 9) dient
im Wesentlichen zur Konfiguration von
Samba, DHCP und DNS sowie zur Benutzerverwaltung.
Im Reiter »Server« ist
es möglich, Samba zu stoppen oder neu
zu starten. Das war es dann auch schon.
SondErAkTion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
nUr
MiT dVd!
Jetzt bestellen
Abbildung 8: Resara bootet nach der Basis-Installation einen gewöhnlichen Ubuntu-Desktop, startet aber
automatisch den Konfigurations-Assistenten für den Small Business Server.
www.A dmin-mAgA zin.de
• Telefon: 07131 / 2707 274
• Fax 07131 / 2707 78 601
• Mail abo@linux-magazin.de
• http://linux-magazin.de/probeabo
Mit großem Gewinnspiel
(Infos unter: www.linux-magazin.de/probeabo)
AusgA be 05-2012
*Preis gilt für Deutschland 105

TesT
small business server
(Active Directroy) bietet ClearOS im Augenblick
lediglich die Möglichkeit, mithilfe
der kommerziellen App „Active Directory
Connector“ an eine bestehe AD-
Domäne anzudocken. Zentyal verspricht
die AD-Integration für die kommende
Version 3.0, die mit dem Erscheinen dieses
Heftes bereits verfügbar sein sollte.
Beim Resara-Server steht Samba 4 beziehungsweise
die Realisierung einer
Active-Directory-kompatiblen (Windows-)Domäne
im Zentrum der Produktphilosophie.
Bleibt noch zu erwähnen,
dass Resara als einziger Kandidat
ein natives Admin-Tool für alle wichtigen
OS-Plattformen anbietet und auf ein
Webinterface verzichtet. (ofr)
n
Abbildung 9: Der Resara-Server bietet als einziger Server im Test kein Webinterface, sondern lässt sich
ausschließlich über ein natives Tool administrieren.
Im Fokus von Resara steht nämlich ausschließlich
Windows Filesharing. Dank
Samba 4 kann Resara eine echte Active-
Directory-kompatible Windows-Domäne
zur Verfügung stellen, die sämtliche AD
User/ Computer-Richtlinien, auch mit Microsoft
Management Tools unterstützt.
Für die AD-Funktionalität bietet die Admin-Konsole
die drei vordefinierten Gruppen
„Domain Admins“, „Domain Users“
und „Domain Guests“, denen ein neu
anzulegender Benutzer hinzuzufügen ist,
damit er sich an der Windows Domäne
anmelden kann. Alle weiteren Details der
Samba/ AD-Konfiguration verbirgt Resara
vor dem Nutzer.
Erfahrene Anwender werden übrigens im
Zusammenhang AD vergeblich nach den
zugehörigen Diensten Heimdal (Kerberos)
und OpenLDAP suchen, da beide Teil
der Implementation von Samba 4 sind.
Für Profis
Das Anmelden von einen Windows-
Client an der Windows-Resara-Domäne
funktioniert ausschließlich mit einer Domänen-fähigen
Windows-Version, also
beispielsweise nicht mit der Windows
7 Home Edition. Das Umstellen von lokaler
Anmeldung auf den Domänen-Betrieb
mit einem Klick auf »Einstellungen
ändern« im Bereich »Einstellungen für
Computernamen, Domäne und Arbeitsgruppe«
unter »Systemsteuerung | System
und Sicherheit | System« sollte dem Win-
dows-Admin geläufig sein. Allerdings ist
auch in den Netzwerkeinstellungen des
jeweiligen Clients darauf zu achtem, dass
er die DNS-Einträge aus die DNS-Zone
der Resara-Domäne auflösen kann. Dazu
muss der Resara-Domänen-Controller
in den Netzwerkeinstellungen als DNS-
Server eingetragen sein. Außerdem muss
der Resara-Betreiber auch Administrator
auf dem Windows-System werden und
die aktuelle Zeit konfigurieren.
Hauptsache: Windows-
Dateiserver
Die im Beitrag genannten Small Business
Server auf Linux-Basis sind einfach zu
charakterisieren: Zentyal und Clear OS
sind als typische Alleskönner konzipiert.
Der Funktionsumfang lässt sich vom
Administrator gezielt an die eigenen
Bedürfnisse anpassen. Beide bieten zur
Verwaltung ein Webinterface und sind
in einer Community-, sowie in diversen
kommerziellen Versionen verfügbar. Die
Oberfläche des auf Red Hat (CentOS) basierenden
ClearOS wirkt professioneller,
während die Zentyal-GUI funktional eher
an das schlichte Webmin erinnert.
Bei Zentyal wählt der Administrator
bereits während der Installation die gewünschten
Paketgruppen, kann aber später
Funktionen nachinstallieren. ClearOS
kommt als Minimalsystem und verlagert
sämtliche Funktionen in via Marketplace
installierbare Apps. In Sachen Samba 4
Infos
[1] Univention Corporate Server:
[http:// www. univention. de/ produkte/ ucs/]
[2] Florian Effenberger, Univention Corporate
Server 3.0, ADMIN 01/ 2012
[3] Zentyal Editions:
[http:// www. zentyal. com/ pricing‐editions]
[4] Zentyal‐Subscriptions:
[http:// www. zentyal. com/ wpcontent/
uploads/ 2012/ 07/ 2012_full_zentyal_edition_comparison_chart_en_EUR.
pdf]
[5] Zentyal 3.0:
[http:// trac. zentyal. org/ milestone/ 3. 0]
[6] Download ClearOS:
[http:// www. clearfoundation. com/
Software/ downloads. html]
[7] ClearCenter Active Directory Connector:
[http:// www. clearcenter. com/ Software/
active‐directory‐connector. html]
[8] ClearCenter Store: [http:// www.
clearcenter. com/ Store/ store. html]
[9] ClearOS mit Zarafa: [http://
www. clearcenter. com/ Software/
zarafa‐collaboration‐platform. html]
[10] Resara‐Versionen:
[http:// www. resara. org]
Der Autor
Thomas Drilling ist seit mehr als zehn Jahren
hauptberuflich als freier Journalist und Redakteur
für Wissenschafts‐ und IT‐Magazine tätig. Er
selbst und das Team seines Redaktionsbüros verfassen
regelmäßig Beiträge zu den Themen Open
Source, Linux, Server, IT‐Administration und Mac
OSX. Außerdem arbeitet Thomas Drilling als Buchautor
und Verleger, berät als IT‐Consultant kleine
und mittlere Unternehmen und hält Vorträge zu
Linux, Open Source und IT‐Sicherheit.
106 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

ALLE AUSGABEN DER LETZTEN 12 MONATE
Sie haben ein admin verpaSSt? Kein problem!
bei uns können Sie alle ausgaben des admin magazin
der letzten 12 monate ganz einfach und versandkostenfrei
unter www.admin-magazin.de/einzelheft nachbestellen:
admin 05/2011 admin 06/2011 admin 01/2012
admin 02/2012 admin 03/2012 admin 04/2012
damit Sie keine ausgabe mehr verpassen,
bestellen Sie am besten gleich ein abo
vom admin magazin und sparen:
Telefonisch unter: 07131 / 2707 274,
per Fax: 07131 / 2707 78 601 oder
E-Mail: abo@admin-magazin.de,
Web: www.admin-magazin.de/abo

ProgrA mmieren
systemtap
Ein Blick in den Linux-Kernel mit Systemtap
Abgezapft
systemtap hilft dabei, in Produktivumgebungen einen blick
in den laufenden Kernel zu werfen. wer sehen will, wo das
system bei hoher belastung hängt, sollte einen blick auf dieses
l eistungsfähige Tool werfen. steve best
© Zlatko Guzmic, 123RF
Früher hatte Linux nicht den besten Ruf,
was seine Fähigkeiten für Tracing und
Debugging betrifft. Das hat sich mit der
Einführung des System Tracing and Profiling
Framework (kurz Systemtap [1])
geändert. In den letzten fünf Jahren ist
Systemtap zu einem zuverlässigen Tool
gereift und nun in den meisten Linux-
Distributionen vorhanden. Es gibt auch
ein Eclipse-basiertes Frontend für den
Einsatz zur Systemanalyse oder zur Programmierung
[2].
Administratoren und Entwickler könnten
mit Systemtap in Echtzeit Informationen
aus einem laufenden Linux-Kernel erhalten.
Das Tool macht es einfach, Daten
zu sammeln, die man später für Performance-Analyse
oder Fehlersuche verwenden
kann. Den Kernel mit speziellen Optionen
zu übersetzen oder zu rebooten,
ist mit Systemtap nicht nötig.
Systemtap bietet eine eigene Awk-ähnliche
Programmiersprache [3] für eigene
Skripte und lässt sich ansonsten über
die Kommandozeile steuern. Die Informationen,
die Systemtap ausgibt, ähneln
der Ausgabe von Tools wie
»ps«, »top«, »sar«, »vmstat«,
»iostat«, »free«, »uptime«,
»mpstat«, »pmap«, »netstat«,
»iptraf«, »tcpdump«, »strace«,
»lsof« oder dem Proc-Filesystem.
Die meisten dieser Tools beschränken
sich auf einen Teilaspekt
des Gesamtsystems
und geben die gemessenen
Werte immer im gleichen
Format aus. Systemtap ist da
flexibler, denn es kann eine
breite Palette an Subsystemen gleichzeitig
messen und so unter Umständen Beziehungen
zueinander feststellen. Einen
Messpunkt (Probe Point) im Kernel festzulegen,
ist dabei sehr einfach.
Installation
Um mit Systemtap zu arbeiten, müssen
alle nötigen Pakete installiert sein. Das
bedeutet aber nicht nur, dass die Systemtap-Software
installiert sein muss, sondern
auch die Pakete mit den Debugging-
Symbolen der untersuchten Programme,
damit Systemtap zum Beispiel die Variablennamen
an einem Probe Point anzeigen
kann.
Die Beispiele in diesem Artikel wurden
auf einem System mit Red Hat Enterprise
Linux 5.5 ausgeführt, auf dem die folgenden
Pakete installiert wurden:
n systemtap-runtime-1.1-3.el5.ix86.rpm
n kernel-debuginfo-2.6.18-194.el5.rpm
n kernel-debuginfo-common-2.6.18-194.
el5.rpm
n kernel-devel-2.6.18-194.el5.rpm
Abbildung 1: Der schematische Ablauf beim Einsatz von Systemtap.
Beispielsweise unter Ubuntu ist für die
Debugging-Pakete ein eigenes Repository
(»http://ddebs.ubuntu.com«) erforderlich,
das Kernel-Entwickler-Paket heißt
»linux-headers«.
Systemtap bringt schon eine Anzahl von
Skripte mit, die zum Beispiel Informationen
über den Kontext eines Messpunkts
ausgeben oder eingebaute Events bereitstellen.
Ein solches Skript wird in der
Systemtap-Nomenklatur „Tapset“ genannt.
Mehr dazu verrät der gleichnamige
Kasten.
Die Manpage zu »stapfuncs« führt Funktionen
auf, die die Tapset-Bibliothek bereitstellt.
Dies sind einige gebräuchliche
Tapsets:
n »tid()«: die aktuelle Thread-ID.
n »pid()«: die Prozess-ID (Taskgroup-ID)
des aktuellen Threads.
n »execname()«: der Name des Prozesses.
n »gettimeofday_ns()«: Nanosekunden
seit der Epoche (1.1.1970).
Die Beispielskripte in diesem Artikel verwenden
diese Tapsets, die Strings oder
Zahlen zurückgeben, die sich
mit der eingebauten Print-
Funktion einfach ausgeben
lassen. Alternativ gibt es die
Funktion »printf«, die wie ihr
C-Pendant Formatstrings verarbeitet,
also etwa »%s« für
einen String und »%d« für
eine Integer-Zahl.
Die einfachste Probe ist eine,
die nur ein Event verfolgt.
Dies lässt sich bewerkstelligen,
indem man an den richtigen
Stellen Print-Statements
108 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

systemtap
ProgrA mmieren
in den Kernel einfügt. Diese Vorgehensweise
ist oft der erste Schritt dabei, ein
Kernel-Problem zu lösen: einen Aufruf
näher zu untersuchen und zu sehen, was
genau dabei passiert. Dabei wird Systemtap
nur angewiesen, bei jedem Event eine
Meldung auszugeben. Ein solches Skript
besteht also nur aus dem Ort der Probe
und der Ausgabe.
Zeitmessung
Als Nächstes könnte man messen, wie
lange ein Aufruf dauert, beispielsweise
der Systemcall »open()«. Die Zeitwerte
sollen dabei in einem Array abgelegt
werden, also muss Systemtap Werte aus
einem Array lesen. Das funktioniert im
Prinzip wie bei den meisten Programmiersprachen,
also mit Indices und geschweiften
Klammern, zum Beispiel:
delta = gettimeofday_ns() - zeit[tid()]
Setzen lassen sich Array-Werte analog:
zeit[tid()] = gettimeofday_ns()
Dieser Code setzt einen Zeitstempel, der
als Referenz dient, um die Differenz zu
berechnen. Wenn ein Skript die Zeile
ausführt, setzt Systemtap den jeweiligen
Wert für die Thread-ID als Index ein.
Gleichzeitig liefert der Aufruf »gettimeofday_ns()«
den gerade aktuellen Zeitstempel
zurück. Am Ende bleibt ein Array mit
den Thread-IDs als Schlüsseln und den
Zeitstempeln als Werten.
Die erste Probe ist in Listing 1 zu sehen.
Sie misst die Zeit, die der Kernel im Systemcall
»open()« verbracht hat, dessen
Code in »fs/open.c« zu finden ist. Der
Open-Aufruf besitzt die Syntax:
Tapsets
Bei Tapsets handelt es sich um Skripte, die
Details über bestimmte Kernel-Subsysteme
enthalten und sie anderen Skripten zur Verwendung
anbieten. Tapsets können analog zu
Bibliotheken bei C-Programmen verstanden
werden. Sie verstecken die Implementierungsdetails
eines Kernel-Subsystems und
stellen dabei die nötigen Informationen für
Messung und Überwachung zur Verfügung.
Tapsets werden üblicherweise von Experten
des jeweiligen Kernel-Bereichs geschrieben.
Anwender, die mehr ins Detail gehen wollen,
verwenden meistens keine fertigen Tapsets,
sondern schreiben eigene Skripte für eine
spezifische Anwendung.
SYSCALL_DEFINE3(U
open, const char __user *,U
filename, int, flags, int, mode)
Die Anweisung »syscall.Funktion« platziert
die Probe am Anfang der aufgeführten
Funktion, sodass die Parameter
als Kontextvariablen verfügbar sind.
»syscall.Funktion.return« setzt die Probe
dagegen direkt bei Rücksprung aus der
Funktion, womit die Rückgabewerte in
der Kontextvariable »$return« vorhanden
sind. Die Funktion könnte auch die
Parameter verändern, statt einen Wert
zurückzugeben. Deshalb ist es ratsam,
eventuell in der Return-Probe einen Blick
darauf zu werfen.
Der folgende Aufruf startet die Probe mit
dem Kommando »stap« und schreibt das
Listing 1: open-syscall
01 global time_open
02 probe syscall.open {
03 time_open[tid()] = gettimeofday_ns()
04 printf("syscall_open %s -pid %d args (%s)\n",
execname(), pid(), argstr)
05 }
06
Listing 2: ergebnisse
Listing 3: Anzahl Aufrufe
01 global count_for_sys_open
02 probe kernel.function("sys_open")
03 {
04 count_for_sys_open++
05 }
06
07 probe begin {
08 printf("starting sys_open probe \n")
09 printf("Press Ctrl-C to stop \n")
Listing 4: »mkdir()«
01 probe syscall.mkdir
02 {
03 printf( Creating directory %s mode is %d
", user_string($pathname), $mode)
04 }
05
06 probe syscall.mkdir.return
07 {
Ergebnis des Testlaufs in die Datei »output«:
stap -o output probe1.stp
Listing 2 zeigt das Resultat von einem
Probelauf, bei dem die Datei stevebest
mit Gedit geöffnet wurde. Dabei dauerte
der Open-Aufruf 9487ns.
Listing 3 zeigt, wie einfach es ist, einen
Zähler einzubauen, der die Anzahl der
Aufrufe von »open()« zählt und sie am
Ende ausgibt.
Das nächste Beispiel in Listing 4 ist eine
Probe für den Systemaufruf »mkdir()«,
die das zu erzeugende Verzeichnis, den
gewünschten Modus und das Ergebnis
ausgibt. Diese Probe verwendet die Funktion
»user_string«, um den Pfadnamen zu
07 probe syscall.open.return {
08 if(time_open[tid()]) {
09 printf("sys_open spend %d ns to complete\n",
gettimeofday_ns() - time_open[tid()])
10 delete time_open[tid()]
11 }
12 }
syscall_open gedit -pid 3976 args ("/usr/share//mime/aliases", O_RDONLY|O_LARGEFILE)
sys_open spend 9503 ns to complete
syscall_open gedit -pid 3976 args ("/usr/share//mime/subclasses", O_RDONLY|O_LARGEFILE)
sys_open spend 8746 ns to complete
syscall_open gedit -pid 3976 args ("/home/best/.gnome2/gedit-metadata.xml", O_RDONLY)
sys_open spend 8487 ns to complete
syscall_open gedit -pid 3976 args ("/home/best/stevebest", O_RDONLY)
sys_open spend 9487 ns to complete
10 }
11 probe end
12 {
13 printf("ending sys_open probe \n")
14 printf("sys_open() called %d times \n",
count_for_sys_open)
15 }
16
17 # stap probe2.stp
08 if (!$return)
09 printf("Created with rc %d \n",
$return)
10 else
11 printf("Failed with rc %d \n",
$return)
12 }
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
109

ProgrA mmieren
systemtap
erfahren. Die Syntax für den Aufruf der
Funktion ist:
user_string:string (addr:long)
Sie kopiert einen String aus dem Userspace
an die gegebene Adresse. Der
Quellcode für »sys_mkdir()« ist in der
Datei »fs/namei.c« zu finden. Die Syntax
für den Aufruf sieht so aus:
Listing 5: »vfs_write()«
01 global write_totals;
02 probe vfs.write
03 {
04 write_totals[execname(), pid()]++
05 }
06
07 probe end
08 {
09 printf("*** write totals ***\n")
10 foreach ([name,pid] in write_totals-)
11 printf("%s (%d): %d \n", name, pid, write_
totals[name,pid])
12 }
Listing 6: Ausgabe
*** write totals ***
metacity (3582): 327
gnome-screensav (3716): 260
wnck-applet (3680): 222
gnome-panel (3586): 169
bonobo-activati (3592): 152
gnome-power-man (3647): 151
gnome-settings- (3562): 137
gnome-terminal (5745): 111
notification-da (3720): 102
simpress.bin (4020): 85
asmlinkage long sys_mkdir(U
const char * pathname, int mode)
Das Resultat beim Ausführen sieht dann
in etwa so aus:
Creating directory steveb1 U
mode is 511 Created with rc 0
Das folgende Skript zeigt, wie man einem
Problem auf den Grund geht, das seine
Ursache in einer überaus großen Zahl
von Schreibvorgängen zu haben scheint.
Es verwendet das Tapset »vfs« der virtuellen
Dateisystemschicht und ein assoziatives
Array, um Buch über die Schreibvorgänge
der einzelnen Prozesse zu führen.
Listing 5 zeigt das zugehörige Skript.
Die VFS-Tapset-Library ist in der Datei
»vfs.stp« implementiert, die sich in »/usr/
share/systemtap/tapset/« befindet. Ein
Blick in dieses Verzeichnis zeigt noch
eine Reihe weiterer interessanter Tapset-
Dateien, die man in eigenen Skripten
verwenden kann. Die Kernelquellen für
»vfs_write()« sind in »fs/read_write.c« zu
finden. Wenn man das Skript aus Listing
5 ausführt, ergibt sich eine Übersicht
ähnlich zu der in Listing 6.
Weil nicht nur die Anzahl der Schreibvorgänge
eine Rolle spielt, sondern auch die
Frage, wie viele Bytes jeweils geschrieben
(und gelesen) wurden, sollte man je nach
Anwendungsfall auch dies genauer untersuchen.
Dazu bieten sich die Syscalls
»sys_read()« und »sys_write()« an, die
in »fs/read_write.c« implementiert sind.
Listing 7 zeigt eine Probe, die die gelesenen
und geschriebenen Datenmengen
protokolliert.
Fazit
Systemtap ermöglicht einen Blick ins Innerste
eines laufenden Linux-Betriebssystems.
Mit den dynamischen Probes
ist es einfach, die Untersuchung auf das
Subsystem zu konzentrieren, das bei der
Fehlersuche und beim Performance-Tuning
interessiert. Die im Artikel vorgestellten
Probes lassen sich für eigene Experimente
verwenden oder für konkrete
Anwendungen erweitern. (ofr) n
Infos
[1] Systemtap: [http://sourceware.org/
systemtap/ wiki]
[2] GUI for Systemtap: [http://stapgui.
sourceforge. net/]
[3] Systemtap-Sprachreferenz: [http://
sourceware. org/ systemtap/langref/]
Der Autor
Steve Best arbeitet im IBM Linux Technology
Center in Westford/ MA. Seit 1999 beschäftigt
er sich mit Kernel-Entwicklung in den Bereichen
Dateisystemen, Internationalisierung und Performance
Tuning. Er hat das Buch „Linux Debugging
and Performance Tuning: Tips and Techniques“
geschrieben.
Listing 7: »sys_read()« und »sys_write()«
01 global count_sys_read, count_sys_write, sys_read_bytes_req, sys_rd_
bytes, sys_write_bytes_req, sys_wr_bytes
02
03 probe kernel.function("sys_read") {
04 count_sys_read++
05 sys_read_bytes_req += $count
06 }
07
08 probe kernel.function("sys_read").return {
09 rnb = $return
10
11 if (rnb == -1)
12 printf(" +++Read not successful+++ \n")
13 else
14 sys_rd_bytes += rnb
15 }
16
17 probe kernel.function("sys_write") {
18 count_sys_write++
19 sys_write_bytes_req += $count
20 }
21
22 probe kernel.function("sys_write").return {
23 wnb = $return
24
25 if (wnb == -1)
26 printf(" ***Write not successful*** \n")
27 else
28 sys_wr_bytes += wnb
29 }
30
31 probe begin {
32 printf("Starting probe sys_read and sys_write \n")
33 }
34
35 probe end {
36 printf("Ending probe sys_read and sys_write \n")
37 printf("%d bytes requested to read \n",sys_read_bytes_req)
38 printf("Total bytes read %d \n",sys_rd_bytes)
39 printf("%d calls to sys_read() \n",count_sys_read)
40 printf("%d bytes requested to write \n",sys_write_bytes_req)
41 printf("Total bytes written %d \n",sys_wr_bytes)
42 printf("%d calls to sys_write() \n",count_sys_write)
43 }
110 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

8,90 *
140 Seiten GIMP
+ DVD
JETZT AM KIOSK!
Ja, ich bestelle LinuxUser Spezial 01/2012 zum Preis von e 8,90*.
Vorname, Name
Straße
Firma
PLZ/Ort
Abteilung
Coupon ausschneiden und an
Linux New Media AG, Putzbrunner Str. 71, 81739 München senden
Schneller bestellen per: Tel.: 089 / 99 34 11–0 E-Mail: order@linuxnewmedia.de
Fax: 089 / 99 34 11–99
http://www.linuxuser.de/spezial
*Preis gilt für Deutschland.
Linux New Media AG, Putzbrunner Str. 71, 81739 München, Vorstand: Brian Osborn, Hermann Plank, Aufsichtsrat: Rudolf Strobl (Vorsitz), Handelsregister: HRB 129161 München
E-Mail
Ja, bitte informieren Sie mich über weitere Neuheiten aus dem Bereich Linux
und OpenSource

PrO grA mmieren
Python-subprocess
© subbotina, 123RF
Kommandos mit dem Subprocess-Modul aufrufen
In der Pfeife
Für die meisten Anwendungen stellt Python eigene bibliotheken zur Verfügung. wer dennoch einmal externe
unix-Programme aufrufen oder gar verbinden will, sollte das subprocess-modul verwenden, das dieser workshop
näher vorstellt. Oliver Frommel
Jede Skriptsprache stellt Mechanismen
bereit, mit denen Anwender Unix-Systemprogramme
aufrufen können. Bei vielen
gibt es einen Aufruf namens »system()«,
mit dem sich das bewerkstelligen lässt.
Oder es gibt die von der Shell bekannten
Backticks wie »`ls`«. Auch unter Python
bietet das Modul »os« diese Funktion,
aber mit Python 2.4 wurde das Subprocess-Modul
eingeführt, dass für diesen
Zweck einige Vorteile bietet.
Das Subprocess-Modul löst einige andere
Aufrufe ab, die das OS-Modul bietet,
etwa »popen()« (das seit Python 2.6
als „deprecated“ also veraltet gilt) und
verschiedene Varianten von »spawn()«.
Weiterhin bietet das OS-Modul eine Reihe
von Exec-Aufrufen wie »execl()«, »execlp()«
und so weiter, die ihren Pendants
der C-Bibliothek entsprechen, aber das
laufende Skript komplett durch den neu
gestarteten Prozess ersetzen. Dieser Artikel
beschäftigt sich im Weiteren mit den
Methoden, die das Subprocess-Modul
bereitstellt, um in eigenen Skripten möglichst
strukturiert Kommandozeilenprogramme
aufzurufen und deren Ausgabe
weiterzuverarbeiten.
Im einfachsten Fall lässt sich ein Befehl
mit der Methode call() aufrufen, wobei
Befehl und Argument als Array übergeben
werden:
>>> import subprocess
>>> subprocess.call([„ls“, „-l“])
0
Das führt im interaktiven Python-Modus
zwar zum gewünschten Ergebnis, denn
der Inhalt des Verzeichnisses wird auch
angezeigt, aber das ist eigentlich nur ein
Ebeneffekt, weil sich Interpreter und der
Aufruf die Standardausgabe teilen. Tatsächlich
gibt der Aufruf von Call nur
den Rückgabewert des aufgerufenen Befehls
zurück, im Erfolgsfall, wie oben,
also eine Null. Der Call-Aufruf wartet,
bis das aufgerufene Kommando beendet
ist, blockiert also solange das Skript
beziehungsweise den aktuellen Thread.
Beinahe das Gleiche wie »call()« macht
»check_call()«, es prüft jedoch zusätzlich
den Rückgabewert und löst eine Exception
aus, wenn ein Fehler aufgetreten
ist.
Neu in Python-Version 2.7 ist die Methode
»subprocess.check_output()«, die
die Ausgabe des aufgerufenen Befehls
als Bytestring zurückliefert. Wer das bei
älteren Python-Versionen erreichen will,
muss sich anders behelfen, dazu gleich
mehr.
Möglicherweise empfindet man die Notwendigkeit,
den aufgerufenen Befehl und
seine Argumente als Array übergeben zu
müssen als umständlich. Allerdings hält
Python hierzu einen nützlichen Helfer
bereit, der sich in diesem Fall als typisches
Programmieridiom einsetzen lässt:
Das Modul »shlex« bietet die Methode
»split()«, die aus einem Aufruf-String genau
das von den Subprocess-Methoden
erwartete Format macht:
cmd = „convert -geometry 80x60 a.png b.png“
args = shlex.split(cmd)
subprocess.call(args)
Wenn man nicht wie in diesem Beispiel,
Dateien auf der Festplatte verändert, wird
man in Skripte typischerweise häufig die
Ausgabe eines Befehls weiterverarbeiten
wollen. Das erwähnte »subprocess.
check_open()« ist hierzu perfekt geeignet,
doch was kann man machen, wenn
man noch auf eine Python-Version älter
112 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Python-subprocess
PrO grA mmieren
Ersetzt man den Call-Aufruf in Zeile 9
durch die Methode Popen, sieht das Ergebnis
gleich anders aus (Abbildung 1).
Die Laufzeit reduziert sich damit auf ein
Drittel! Mit so einfachen Methoden lasals
2.7 angewiesen ist? Die Lösung dafür
ist leider nicht sehr elegant, denn sie
verwendet eine der Popen-Methoden, die
eigentlich für die Kommunikation mehrerer
Prozesse gedacht ist. Den Stdout-
Dateideskriptor setzt man dafür zuerst
auf den Pipe-Modus und startet dann mit
dem Aufruf von communicate die Kommunikation
mit dem Subprozess:
output = Popen(args, stdout=PIPE).U
communicate()[0]
»communicate()« gibt ein Tupel von
Daten für Stdout und Stderror zurück,
deshalb verwendet der obige Aufruf das
»[0]«-Subskript, um an die Standardausgabe
zu gelangen.
Analog funktioniert es, mit Popen mehrere
Befehle zu verketten, ähnlich wie
bei Shell-Pipelines. Der erste Prozess
bekommt als Ausgabe das Token »subprocess.PIPE«
zugewiesen, das der folgende
Prozess dann als Standardeingabe
verwendet. Am Ende lässt sich das Ergebnis
wieder mit »communicate()[0]«
auffangen. Ein Beispiel zeigt Listing 1.
Aus dem mit Newlines durchsetzten Ergebnisstring
macht dann etwa der Aufruf
»lines = output.split("\n")« ein Array
mit einzelnen Zeilen.
Shell=True
Einer der möglichen Aufrufparameter der
Subprocess-Methoden gibt an, ob beim
Ausführen des Programms eine Shell gestartet
werden soll oder nicht. Aus Sicherheitsgründen
rät die Dokumentation
davon ab, das zu tun, jedenfalls wenn ein
Skript Benutzereingaben verarbeitet, die
später in einen solchen Aufruf münden.
Das kann nämlich zu einer Sicherheitslücke
führen, die den von Webanwendungen
bekannten SQL Injections ähnelt. Sie
firmieren deshalb auch unter dem Namen
Shell Injections und funktionieren so: Der
böswillige Anwender hängt hinter eine
Eingabe mit Semikolon getrennt einen
eigenen Befehl an, den das fehlerhafte
Skript dann mit ausführt.
Parallel
Bei eigenen Skripten, die länger dauernde
Berechnungen oder Tasks durchführen,
ist es auch wichtig zu wissen, dass manche
Subprocess-Methoden die Befehle im
Hintergrund ausführen, ohne das Skript
zu blockieren. Auf Multicore-Rechnern
führen diese Methoden zum Teil zu einem
erheblichen Performance-Gewinn.
Als Beispiel konvertiert das Skript in
Listing 2 alle Jpg-Dateien im aktuellen
Verzeichnis in Thumbnails.
In dieser Form verwendet es die Call-
Methode, die ein Bild nach dem anderen
verarbeitet. Das Ganze dauert auf einem
Vierkern-Rechner etwa 30 Sekunden:
$ time python call.py
real
user
sys
0m32.028s
1m32.154s
0m4.568s
sen sich Skripte tunen, wenn man die
richtigen Python-Methoden verwendet.
Das setzt natürlich voraus, dass die verarbeiteten
Tasks voneinander unabhängig
sind. Wer möglichst fehlerfreie Skripte
schreiben will, überprüft beim Start eines
Skripts, ob alle aufgerufenen Shell-Kommandos
auch verfügbar sind. Dabei hilft
ein Python-Skript, das ausführbare Dateien
im »PATH« auf einem Unix-System
sucht (Listing 3). Es zerlegt die Umgebungsvariable
in einzelne Elemente, verkettet
sie mit dem fraglichen Befehl und
prüft, ob die Datei mit dem entstehenden
Pfad existiert und ausführbar ist. Falls ja,
gibt die Funktion sie zurück. Findet sie
keine Datei, auf die das zutrifft, ist der
Rückgabewert »False«. Mit den im Artikel
beschriebenen Methoden sollte es ein
leichtes sein, eine Funktion zu schreiben,
die das gleiche Ziel erreicht, indem sie
den Unix-Befehl »which« aufruft. n
Listing 1: Pipes
01 import shlex
02 from subprocess import Popen
03 from subprocess import PIPE
04
05 pscmd = shlex.split("ps auxw")
06 grepcmd = shlex.split("grep root")
07 ps = Popen(pscmd, stdout=PIPE)
08 grep = Popen(grepcmd, stdin=ps.stdout, stdout=PIPE)
09 output = grep.communicate()[0]
Listing 2: benchmark-Code
01 import glob
02 import subprocess
03
04 files = glob.glob("*.jpg")
05
06 for file in files:
07 cmd = "convert -geometry 640x480 " + file +
" tmp/" + file
08 print cmd
09 subprocess.call(cmd)
Abbildung 1: Mit dem Austausch nur des Methodenaufrufs von »call()« durch »Popen()« verringert sich die
Laufzeit des Skripts auf ein Drittel.
Listing 3: which
01 def which(program):
02 pathlist = os.environ['PATH'].split(os.pathsep)
03 for dir in pathlist:
04 filename = os.path.join(dir, program)
05 try:
06 st = os.stat(filename)
07 except os.error:
08 continue
09 mode = S_IMODE(st.st_mode)
10 if mode & 0111:
11 return filename
12 return False
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2012
113

s e RVi C e
impressum und Vorschau
Impressum ISSN 2190-1066
ADMIN-Magazin eine Publikation der Linux New Media AG
Redaktionsanschrift Putzbrunner straße 71
81739 münchen
Tel.: 0 89/99 34 11-0
Fax: 0 89/99 34 11-99 oder -96
internet
www.admin-magazin.de
e-mail
redaktion@admin-magazin.de
Geschäftsleitung b rian Osborn (Vorstand), bosborn@linuxnewmedia.de
Hermann Plank (Vorstand), hplank@linuxnewmedia.de
Chefredakteure Oliver Frommel (V.i.s.d.P.),
ofrommel@admin-magazin.de (ofr)
Jens-Christoph brendel
jbrendel@admin-magazin.de (jcb)
Redaktion
news/Report
ulrich bantle (Ltg.), ubantle@linuxnewmedia.de (uba)
mathias Huber, mhuber@linuxnewmedia.de (mhu)
software/Test
marcel Hilzinger, mhilzinger@linuxnewmedia.de, (mhi)
Kristian Kißling, kkissling@linuxnewmedia.de, (kki)
security/networking markus Feilner, mfeilner@linuxnewmedia.de (mfe)
Thomas Leichtenstern, tleichtenstern@linuxnewmedia.de (tle)
ständige mitarbeiter elke Knitter (schlussredaktion),
Carsten schnober, Tim schürmann, Claudia Thalgott
Produktionsleitung Christian ullrich, cullrich@linuxnewmedia.de
Grafik
Klaus Rehfeld, Judith erb
Titel: Judith erb, Ausgangsgrafik: tiero, 123RF
Abo-Infoseite
Abonnenten-Service
www.admin-magazin.de/abo
Veronika Kramer
abo@admin-magazin.de
Tel.: 07131/27 07 274, Fax: 07131/27 07 78 601
Preise Print Deutschland Österreich Schweiz Ausland EU
einzelheft € 9,80 € 10,80 sfr 19,60 (siehe Titel)
mini-Abo (2 Ausgaben) € 9,80 € 10,80 sfr 19,60 (siehe Titel)
Jahres-dVd (einzelpreis) € 14,95 € 14,95 sfr 18,90 € 14,95
Jahres-dVd (zum Abo 1 ) € 6,70 € 6,70 sfr 8,50 € 6,70
Jahresabo € 49,90 € 54,90 sfr 99,90 € 59,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PdF einzelausgabe € 9,80 € 9,80 sfr 10,71 € 9,80
digisub (6 Ausgaben) € 44,90 € 44,90 sfr 49,05 € 44,90
digisub (zum Printabo) € 6,— € 6,— sfr 6,— € 6,—
HTmL-Archiv (zum Abo 1 ) € 48,— € 48,— sfr 48,— € 48,—
Preise Kombiabos
Profi-Abo 2 € 136,60 € 151,70 sfr 259,90 € 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder digital
2
mit Linux-magazin-Abo und beiden Jahres-dVds
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines schülerausweises oder einer aktuellen
immatrikulationsbescheinigung. der aktuelle nachweis ist bei Verlängerung neu zu erbringen. Andere Abo-
Formen, ermäßigungen im Ausland etc. auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da nachsendeaufträge bei der Post nicht für zeitschriften gelten.
Pressemitteilungen info@admin-magazin.de
Anzeigen/Repräsentanz
es gilt die Anzeigenpreisliste vom 01.01.2010
National
Petra Jaser
Tel.: 089/99 34 11 24, Fax: 089/99 34 11 99
e-mail: anzeigen@admin-magazin.de
Pressevertrieb mzV, moderner zeitschriften Vertrieb gmbH
breslauer straße 5, 85386 eching
Tel.: 089/31906-0, Fax: 089/31906-113
Druck
Vogel druck und medienservice gmbH
97204 Höchberg
der begriff unix wird in dieser schreibweise als generelle bezeichnung für die unix-ähnlichen betriebssysteme
verschiedener Hersteller, zum beispiel eurix (Comfood), ultrix (digital equipment), HP/uX (Hewlett-Packard) oder sinix
(siemens) benutzt, nicht als die bezeichnung für das Trademark von X/Open. Linux ist eingetragenes marken zeichen von
Linus Torvalds und wird in unserem markennamen mit seiner erlaubnis verwendet. Alle anderen marken sind eigentum
der jeweiligen inhaber. eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung durch
die Redaktion vom Verlag nicht übernommen werden. mit der einsendung von manu s kripten gibt der Verfasser seine
zustimmung zum Abdruck im Admin-magazin. Für unverlangt ein gesandte manuskripte kann keine Haftung übernommen
werden. die Redaktion behält sich vor, Artikel zu kürzen. das exklusiv- und Verfügungsrecht für angenommene
manuskripte liegt beim Verlag. es darf kein Teil des inhalts ohne ausdrückliche schriftliche genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden. Copyright © 1994–2012 Linux new media Ag
Inserentenverzeichnis
1&1 Internet AG http:// www.einsundeins.de 14
ADMIN http:// www.admin-magazin.de 73, 97, 107, 115
Android User http:// www.android-user.de 55, 89
Angel Business Communications Ltd http:// www.angelbc.co.uk 87
Deutsche Python Konferenz - PyCon http:// de.pycon.org 13
Fernschule Weber GmbH http:// www.fernschule-weber.de 21
Galileo Press http:// www.galileo-press.de 41
German Unix User Group (GUUG) e.V. http:// www.guug.de 63
Heinlein Professional Linux
Support GmbH http:// www.heinlein-support.de 53
Hetzner Online AG http:// www.hetzner.de 116
Host Europe GmbH http:// www.hosteurope.de 7
Hostserver GmbH http:// www.hostserver.de 17
Inlab Software GmbH http:// www.inlab.de 35
IT-Security Messe http:// www.it-sa.de 99
Kamp Netzwerkdienste GmbH http:// www.kamp.net 29
Kettner Mathias - Linux Experte http:// www.mathias-kettner.de 27
Lamarc EDV-Schulungen u.
Beratung GmbH http:// www.lamarc.com 71
Linux-Hotel http:// www.linuxhotel.de 31
Linux-Magazin http:// www.linux-magazin.de 79, 105
Linux-Magazin Academy http://academy.linux-magazin.de 25, 67, 85
LinuxUser http:// www.linuxuser.de 111
Netways GmbH http:// www.netways.de 57
Netzwerktotal http:// www.netzwerktotal.de 37
outbox AG http:// www.outbox.de 2
pascom - Netzwerktechnik
GmbH & Co.KG http:// www.pascom.net 11
PlusServer AG http:// www.plusserver.de 38, 50, 60, 92
Proxmox http:// www.proxmox.com 49
Thomas Krenn AG http:// www.thomas-krenn.com 9
Webtropia http:// www.webtropia.com 33
Autoren dieser Ausgabe
Steve Best Abgezapft 108
David J. Dodd Ausgeschnüffelt 52
Thomas Drilling Business in a Box 100
Thomas Drilling Wirtshaus 34
Bernd Erk Auf Schatzsuche 26
Thomas Joos Aufpoliert 94
Thomas Joos Gefixt und zugenäht 56
Thomas Joos Revierkampf 30
© Katharina Wittfeld, 123RF
VORs CHAu
A dmin 06/2012 eR s CHeinT A m 8. nOVembeR 2012
RAID
die RAid-Technologie verspricht
höhere Performance und mehr
sicherheit beim permanenten speichern
von daten. wir geben einen
Überblick über RAid-Level, testen
Rack-systeme und verraten, wie
man kaputte RAids wiederherstellt.
Michael Kofler Virtuelle Bastelstunde 44
Andreas Kurz Alles in Butter 80
Jochen Lillich Projekt-Jonglage 74
Martin Loschwitz Storage-Magie 62
Vilma Niclas Gebraucht gekauft 16
Thorsten Scherf Schutzschild 20
Tim Schürmann König der Rechner 68
SQL Injections
schlecht programmierte webanwendungen
sind das häufigste
einfallstor für Hacker.
Admin erklärt, wie sQL injections
funktionieren, wie man sie in eigenen
Anwendungen aufspürt und
künftig vermeidet.
© fuzzbones, 123RF
114 AusgA be 05-2012 Admin www.A dmin-mAgA zin.de

Admin-mAGAZin
im JAhres-Abo
Jede Ausgabe des Admin-Magazins bietet praktisch anwendbares Wissen
von ausgewiesenen Experten und ausführliche Hintergrundberichte für alle
Systemverwalter von Linux, Unix und Windows. Die Schwerpunkte reichen von
Storage und Backup bis hin zu Netzwerk-Themen und Security.
Ein Sonderteil hilft Admins heterogener Welten.
15 % sparen
Jetzt bestellen unter:
www.admin-magazin.de/abo
sichern sie sich ihr
GrAtis Admin t-shirt!
• Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@admin-magazin.de
Mit dem Jahres-Abo erhalten Sie 6 Ausgaben des Admin-Magazins zum Vorzugspreis von E 49,90 * statt E 58,80 *
(Lieferung frei Haus).
* Preise gelten für Deutschland. Schweiz: SFr 82,32; Österreich: E 54,90; anderes Europa: E 59,90

Hetzner Online unterstützt mit der
Verwendung von 100% regenerativem
Strom aktiv den Umweltschutz.
Entscheiden Sie sich gemeinsam
mit uns für eine saubere Zukunft.