26.02.2014 Aufrufe

Linux-Magazin Neu formieren! (Vorschau)

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.

12/13<br />

Anzeige:<br />

NeU<br />

siehe<br />

STRATO iST eRSTeR Hoster Deutschlands von<br />

Servern mit neuester Intel® Xeon® E5-v2-CPU.<br />

nächste Seite<br />

strato-pro.de<br />

STR1113_DE_TKS_Dedi-Server_120x17_v2.indd 1<br />

22.10.2013 15:28:32 Uhr<br />

Vier Tools, um 25<br />

Minuten zu arbeiten<br />

Die Pomodoro-Technik animiert ihre<br />

Benutzer, sich zu konzentrieren S. 48<br />

Schöner Schein<br />

Warum Googles Businesspro<br />

duk te so toll sind, und<br />

warum das egal ist S. 56<br />

Xeon Phi<br />

Zum Mitrechnen: Alles<br />

über Intels Antwort auf<br />

Nvidias Tesla-Karten S. 82<br />

<strong>Neu</strong> <strong>formieren</strong>!<br />

Wie Admins durch Umorganisieren und agile Methoden<br />

heldenhaft den Alltag meistern<br />

■ Devops, Scrum und Kanban krempeln um S. 24<br />

■ Report: Admins im Wandel der Zeit S. 30<br />

■ Wie das Selbstmach-Portal Etsy auch<br />

den eigenen IT-Betrieb gebacken kriegt S. 34<br />

■ Organisation und Skalierung<br />

im Rechenzentrum S. 36<br />

■ ITIL hilft zu professionalisieren – wirklich S. 38<br />

■ Bibel bald in <strong>Neu</strong>auflage: „The Practice of<br />

System and Network Administration S. 44<br />

■ Android- und I-OS-Tools für Sysadmins S. 68<br />

■ Stein der Weisen: Lego Mindstorms EV3 S. 86<br />

Dank U-Boot-Einsatz und Spezialkernel: Raspberry Pi bootet übers Netz S. 90<br />

www.linux-magazin.de<br />

Deutschland Österreich Schweiz Benelux Spanien Italien<br />

4 6,40 4 7,05 sfr 12,80 4 7,50 4 8,30 4 8,30<br />

4 192587 306401 12


Vernunft im Volke<br />

Login 12/2013<br />

Editorial<br />

Die weltweit angelegte Bespitzelung von Prism und Tempora machen klar,<br />

die Bezeichnung „staatliche Überwachung“ greift zu kurz. Jeder Mensch ist<br />

nunmal in jedem Land außer dem eigenen per se ein Ausländer – und damit,<br />

wie Snowden bekannt gemacht hat, abhörtechnisch Freiwild. Offensichtlich<br />

existieren weder für den überwachten Bürger als Individuum noch für dessen<br />

Land juristische Wege der Gegenwehr (siehe auch den Rechtsartikel in diesem<br />

<strong>Magazin</strong>). Hinzu kommt der machtpolitische Aspekt, dass Regierungen,<br />

die mit den USA den stärksten Freund aller Zeit haben, sich schlicht nicht<br />

trauen, gegen dessen Tun zu opponieren.<br />

www.linux-magazin.de<br />

3<br />

Es spricht wenig dafür, dass sich die Probleme mit der Zeit von allein oder<br />

national lösen werden. Um das Übel an der Wurzel zu packen, bedürfte es<br />

eines international ausgehandelten Regelwerks, das Mindeststandards für<br />

bürgerliche Freiheiten beim Datenschutz festschreibt und sanktioniert.<br />

Jan Kleinert, Chefredakteur<br />

Den Anstoß für eine Diskussion, die Verhandlungen und die Ausgestaltung müssten, praktisch gesehen, von<br />

den Regierungen der wichtigen Industriestaaten ausgehen. Dass bei diesem Thema so wenig Bewegung<br />

wahrnehmbar ist, liegt zuförderst daran, dass Regierungen wie die deutsche dazu mit einem starken Mandat<br />

ihrer Bürger ausgestattet sein müssten – und das sind sie nicht.<br />

Bei aller medial gefühlten Prism-Empörung: Den Bürger in der Masse interessiert die EEG-Umlage im<br />

Strompreis oder die Bankenrettung ungleich mehr als die (vermeintlich) abstrakte Gefahr vom Ausland aus<br />

abgehört zu werden. Seit dem 1883 geborenen Philosophen und Psychiater Karl Jaspers ist bekannt: „Was<br />

nicht in die Masse dringt, ist unwirksam.“<br />

Mit der deutschen Bundestagswahl ist diese These schnell belegt – im Wahlkampf hat das Thema keine Rolle<br />

gespielt, und Parteien, die eines gelegentlichen Interesses an der Datenhoheit des Einzelnen verdächtig<br />

waren, sind parlamentarisch marginalisiert (Die Linke, B90/​Grüne) oder gar nicht vertreten (Piraten, FDP).<br />

Dem Wähler sei dank darf niemand es der nächsten Bundesregierung vorwerfen, wenn sie das Thema Datenschutz<br />

international nicht oder nur am Katzentisch vorbringt.<br />

Obwohl nunmehr als demokratisches Minderheitenproblem ausgemacht, wäre jede Form der Wahlnachlese<br />

unvollständig ohne eine kräftige Ohrfeige für die Piraten: 2,2 Prozent lautet ihr Ergebnis. Bei mehreren<br />

Landtagswahlen ein Jahr zuvor erbeutete die auf digitale Bürgerrechte spezialisierte Partei sieben Prozent<br />

und mehr – und das ohne das ganze Snowden-Wissen von heute. Das Versagen einer Partei gegenüber ihren<br />

Anhängern kann größer kaum sein.<br />

Vom Desinteresse ihrer Landsleute Irritierte, deren Wählerstimmen auf die eine oder andere Weise verhallt<br />

sind, finden bei Karl Jaspers wenn nicht Trost, so doch aber eine Erklärung: „Die Demokratie setzt die Vernunft<br />

im Volke voraus, die sie erst hervorbringen soll.“


Inhalt<br />

www.linux-magazin.de 12/2013 12/2013<br />

4<br />

Viele IT-Abteilungen arbeiten in historisch gewachsenen Strukturen. Mit der Menge der verwalteten<br />

Systeme und der Komplexität der Dienste kommen solche Abteilungen in die Krise.<br />

Der Schwerpunkt „<strong>Neu</strong> <strong>formieren</strong>!“ recherchiert in Theorie und Praxis neue Organisationsformen,<br />

in denen Admins ihre Aufgaben heldenhaft und intelligent umsortieren.<br />

Aktuell<br />

Titelthema: <strong>Neu</strong> <strong>formieren</strong>!<br />

6 N ew s<br />

n Open Elec 3.2.0 verbessert Mediacenter<br />

n Open-Source-Mining auf Asteroiden<br />

n Ubuntu anonymisiert Dash-Suche<br />

24 Scrum und Kanban<br />

Titel<br />

Wie organisiert eine moderne Firma<br />

ihren IT-Betrieb? Zwei deutsche <strong>Linux</strong>-<br />

Unternehmen unter der Lupe.<br />

36 Tausende gleiche Server<br />

Skaleneffekt: Hosting-Firmen profitieren<br />

von moderner Organisation besonders.<br />

38 ITIL in der Praxis<br />

Professionell Umbauen mit den Erfahrungen<br />

aus der IT Infrastructure Library.<br />

Gnome 3.10 ist da und bringt eine überarbeitete<br />

Aktivitätenansicht mit.<br />

12 Zahlen & Trends<br />

n Red Hat wächst zweistellig<br />

n Open-ZFS-Projekt gestartet<br />

Frischer Wind dank agiler Administration.<br />

30 Moderne Admins<br />

Das Berufsbild des Systemadministrators<br />

hat sich verändert.<br />

34 Devops bei Etsy<br />

Ein Administrator erläutert, wie die IT<br />

bei einem New Yorker Online versandhändler<br />

funktioniert.<br />

ITIL hilft IT-Strukturen zu organisieren.<br />

44 Bibel-Autoren im Gespräch<br />

Eine <strong>Neu</strong>auflage der 1000-seitigen<br />

Sysadmin-Bibel soll 2014 erscheinen.<br />

Angeblich gut bedienbar: Der Steam Controller.<br />

18 Zacks Kernel-News<br />

n H8/300-Architektur am Ende<br />

n Diskussionen um Rename-Funktionen<br />

20 OX Summit 2013<br />

Die Open-Xchange-Community auf St. Pauli.<br />

Stargast beim OXS13: Phil Zimmermann (rechts).<br />

Handgemachtes verkauft die Webseite von Etsy.<br />

DELUG-DVD<br />

Ubuntu 13.10<br />

TOOL<br />

Bootet von DVD: Die Server<br />

Edition von Canonicals gerade<br />

erschienenem <strong>Neu</strong>ling<br />

Virtual Appliance<br />

TOOL<br />

TOOL<br />

TOOL<br />

Zum sofortigen Loslegen:<br />

Owncloud 5.0.12 korrekt installiert<br />

auf Open Suse 12.3<br />

TOOL<br />

„Die Admins nicht im Regen stehen lassen!“<br />

Details zu DVD-<br />

TOOL<br />

Inhalten auf S. 47<br />

E-Book komplett<br />

Auf 480 Seiten: „Die Kunst des<br />

Projekt manage ments“<br />

Debconf 2013<br />

Videos: Prominente Debian-Freunde<br />

beim Entwicklertreffen, Teil II<br />

Software-Suite<br />

Passend zu den Artikeln im Heft


12/2013 12/2013<br />

Inhalt<br />

48 Catch up!<br />

Die einfache Zeitmanagementtechnik<br />

Pomodoro kommt langsam in der agilen<br />

Programmierung an. Doch bedarf es<br />

dafür der richtigen Tomaten-Tools.<br />

68 Der Admin-Touch<br />

Ob SSH, Remote Desktops, Sniffer,<br />

Pentests oder VPN: Immer mehr Apps<br />

gestatten den Zugriff auf <strong>Linux</strong>-Server<br />

auch von Android-Tablets aus.<br />

86 <strong>Linux</strong>-Lego<br />

In der neuesten Generation der Mindstorms-Serie<br />

EV 3 von Lego schlägt<br />

ein waschechtes <strong>Linux</strong>-Herz auf ARM-<br />

Basis.<br />

www.linux-magazin.de<br />

5<br />

Software<br />

Sysadmin<br />

Hardware<br />

47<br />

Einführung<br />

Auf der DELUG-DVD: Ubuntu 13.10 Server,<br />

Owncloud auf Suse 12.3, ein E-Book übers<br />

Projektmanagement und Debconf-Videos.<br />

48 Bitparade<br />

Titel<br />

Wider die Prokrastination: Vier Tools<br />

wollen mit der Pomodoro-Technik das<br />

Zeitmanagement optimieren.<br />

54 Tooltipps<br />

Dialog 1.2, Virtenv 0.8.6, Collectd 5.4.0,<br />

Convmv 1.15, und Ngircd 20.3.<br />

61 Einführung<br />

Aus dem Alltag eines Sysadmin: Charly<br />

pfeift auf alte Grundsätze und wechselt<br />

seinen Logfile-Auswerter.<br />

62 Kolab 3.1<br />

I-Rony bringt Caldav und Carddav auf<br />

Mac, <strong>Linux</strong> und Windows.<br />

82 Xeon Phi<br />

Titel<br />

Intels Tesla-Alternative packt auf eine<br />

Beschleunigerkarte zahlreiche CPU-Cores.<br />

86 Lego EV 3<br />

Titel<br />

Lego Mindstorms setzt auf <strong>Linux</strong>, aber<br />

leider bisher nur intern.<br />

Know-how<br />

90 Kern-Technik – Folge 71<br />

Titel<br />

Kernel- und Treiberprogrammierung mit<br />

dem <strong>Linux</strong>-Kernel.<br />

LXC-Verwaltung leicht machen will Virtenv.<br />

Die iPhone-App Erinnerungen gleicht alle Aufgaben<br />

mit dem Kolab Server ab.<br />

68 Admin‘s Little Helper<br />

Titel<br />

Apps zur <strong>Linux</strong>-Remote-Administration<br />

unter Android und I-OS.<br />

96 Web-RTC-Hack<br />

Sicherheitsrisiken in HTML-5-Websockets.<br />

56 Google Business Apps<br />

Titel<br />

Fünf Enterprise-Angebote von Google.<br />

Googles Search-Appliance für Unternehmen.<br />

Service<br />

Forum<br />

74 Bücher<br />

Bücher über Legoprogrammierung<br />

und gutes Webdesign<br />

76 Recht<br />

Prism, Tempora und Co.: Wer wann wen<br />

und wie abhören darf. US-, EU- und deutsches<br />

Recht im Schnelldurchlauf.<br />

Nur Safari prüft die Herkunft der Skripte.<br />

Programmieren<br />

100 C++11 – Folge 13<br />

Modernes C++ in der Praxis - Folge 13:<br />

<strong>Neu</strong>e Hashtabellen machen C++ Beine.<br />

104 Perl-Snapshot<br />

Die Webcam protokolliert auf Microblog.<br />

3 Editorial<br />

108 IT-Profimarkt<br />

109 Seminare<br />

112 Veranstaltungen<br />

112 Inserenten<br />

113 Impressum<br />

114 <strong>Vorschau</strong><br />

78 Abhörsicherheit<br />

Gastkommentar: Abhörsicherheit, VPNs,<br />

VoIP und Open Source.<br />

80 Leserbriefe<br />

Auf den Punkt gebracht.<br />

Mit Oauth meldet sich das Skript bei Tumblr an.


Aktuell<br />

www.linux-magazin.de News 12/2013<br />

6<br />

News<br />

Open Elec 3.2.0: Optimiertes Mediacenter<br />

Ein Wizard führt den Anwender durch die Konfiguration der Mediacenter-<br />

Distribution Open Elec.<br />

Open Elec, eine <strong>Linux</strong>-Distribution<br />

für Mediacenter auf<br />

XBMC-Basis, ist in der neuen<br />

stabilen Version 3.2.0 erhältlich.<br />

Deren Macher haben die<br />

verwendete Mediacenter-Anwendung<br />

XMBC in Version 12<br />

(Frodo) genommen und um<br />

Features aus dem Entwicklerzweig<br />

Gotham bereichert.<br />

Zudem verbesserten sie die<br />

Performance für den Einsatz<br />

auf dem Raspberry Pi.<br />

Als Kernel kommt <strong>Linux</strong> 3.10<br />

zum Einsatz, den Grafikstack<br />

aktualisieren Mesa 9.2 sowie<br />

neue Treiber für AMD-, Intel-<br />

und Nvidia-Karten. Ebenso<br />

hat das Audiosystem ein<br />

Update auf die Alsa-Version<br />

1.0.27 erhalten. Außerdem<br />

haben die Entwickler von<br />

Open Elec an den Netzwerk-<br />

und Bluetooth-Fähigkeiten gearbeitet,<br />

wodurch Open Elec<br />

neuerdings Bluetooth-Tastaturen<br />

und ‐Datei-Übertragungen<br />

unterstützt.<br />

Weitere Details zur neuen Version<br />

finden sich in der Release-Mitteilung<br />

des Projekts.<br />

Open Elec 3.2.0 steht unter<br />

der URL [http://​openelec.​tv/​<br />

​get‐openelec] für die Plattformen<br />

i386 und x86_64 bereit,<br />

daneben gibt es Builds für die<br />

Nvidia-Ion- und AMD-Fusion-<br />

Plattform, für Apple-TV- und<br />

Arctic-MC001-Hardware sowie<br />

für den Raspberry Pi. n<br />

Mehr Cloud: Red Hat Storage Server 2.1<br />

Raspyfi 1.0 für audiophile Pi-Nutzer<br />

Der Red Hat Storage Server<br />

erhält verbesserte Cloudfeatures<br />

und erhöht die Kompatibilität<br />

zu Windows. Zu<br />

den neuen Funktionen der<br />

Version 2.1 gehört die umfassende<br />

Unterstützung für das<br />

Cloud-Computing-Framework<br />

Open Stack: Der Storageserver<br />

lässt sich mit einem privaten<br />

Cloudstack integrieren,<br />

inklusive des Object-Storage-<br />

(Swift)-API-Layers aus der<br />

Grizzly-Release. Er dient als<br />

Speicher-Backend für den<br />

Blockspeicher Cinder und den<br />

Imageservice Glance.<br />

Daneben verbessert sich<br />

mit der Nutzung des Server-<br />

Message-Block-Protokolls in<br />

Version 2.0 (SMB 2) die Zusammenarbeit<br />

mit Windows-<br />

Maschinen. Dank seiner Active-Directory-Unterstützung<br />

übernimmt der Storageserver<br />

so auch Dienste für das Redmonder<br />

Betriebssystem. Zudem<br />

bringt die neue Version<br />

eine verbesserte Geo-Replikation<br />

mit, und beim Servermanagement<br />

verspricht die<br />

Integration mit Red Hat Satellite<br />

Vorteile bei Installation,<br />

Administration und Provisionierung.<br />

Der Hersteller bietet Webcasts<br />

passend zum Thema an, die<br />

jedoch eine Registrierung<br />

erfordern. Weitere Informationen<br />

liefert die Produktseite,<br />

Interessierte können den<br />

Server darüber hinaus in der<br />

Amazon-Cloud unter [https://​<br />

​testdrive.​redhat.​com] testen. n<br />

Eine audiophile Distribution<br />

für Raspberry-Pi-Nutzer versprechen<br />

die Macher von Raspyfi<br />

[http://​www.​raspyfi.​com], die<br />

kürzlich Version 1.0 veröffentlicht<br />

haben. Die Ankündigung<br />

beginnt mit dem Hinweis auf<br />

wichtige Reparaturen: So<br />

wurden einige Parameter optimiert,<br />

um Zugriffe auf das<br />

NAS zu vereinfachen.<br />

<strong>Neu</strong> in Version 1.0 ist die<br />

Weboberfläche, die man über<br />

die Eingabe von »http://raspyfi/«<br />

in die URL-Leiste eines<br />

Browsers erreicht. Über<br />

sie lässt sich der Audioplayer<br />

plattformübergreifend konfigurieren.<br />

Radiostationen kann<br />

man über die Weboberfläche<br />

integrieren. Dazu genügt es,<br />

Links zu Radio-Playlists im<br />

PLS- oder M3U-Format anzugeben<br />

und zu speichern.<br />

Out of the Box unterstützt Raspyfi<br />

Airplay und lässt sich so<br />

als entfernte Soundausgabe<br />

für Mobilgeräte nutzen, wenn<br />

man vor dem Einsatz das lokale<br />

Abspielen beendet. Schon<br />

länger unterstützt Raspyfi die<br />

Onlinedienste Soundcloud,<br />

Last.fm und Spotify. <strong>Neu</strong> ist<br />

der Support für RAM-Play: Dabei<br />

kopieren Anwender bis zu<br />

256 MByte an Dateien in den<br />

RAM-Play Samba Share, die<br />

Raspyfi dann abspielt.<br />

Raspyfi basiert auf der ARM-<br />

Version von Debian, verwendet<br />

den Music Player Daemon<br />

und unterstützt zudem fast<br />

alle USB-basierten Digital-<br />

Analog-Konverter. n


Crowdfunding verbessert OOXML-Support für freie Bürosuiten<br />

Wie die Arbeitsgruppe Office<br />

Interoperability der OSBA in<br />

einer Pressemitteilung [http://​<br />

​osb‐alliance.​de/​index.​php?​id=120]<br />

Mitte September bekannt gab,<br />

haben der <strong>Linux</strong>-Distributor<br />

Suse, der Hamburger Libre-<br />

Office-Spezialist Lanedo und<br />

einige Behörden unter Leitung<br />

des <strong>Linux</strong>-Verbands die<br />

Unterstützung für Microsofts<br />

XML-Format OOXML in Libre<br />

Office und Apache Open Office<br />

deutlich verbessert.<br />

Gemeinsam investierten sie<br />

160 000 Euro, um die gewünschten<br />

Änderungen zu<br />

erhalten. Die Funktionen<br />

werden schon bald über die<br />

Versionen 3.6 und 4.1 von<br />

Libre Office respektive Apache<br />

Open Office an die Öffentlichkeit<br />

weitergegeben. Das<br />

ist kein Zufall: Die Quellcode-<br />

Lizenzierung unter Apache-<br />

2.0-Lizenz und die Upstream-<br />

Weitergabe waren in der Spezifikation<br />

vorgegeben. n<br />

News 12/2013<br />

Aktuell<br />

www.linux-magazin.de<br />

7<br />

Suse bringt Qemu-AArch64-Port<br />

Ubuntu 13.10 anonymisiert Dash-Suche<br />

Software-Entwickler, die für<br />

die 64-Bit-ARM-Plattform entwickeln,<br />

wird diese Nachricht<br />

freuen: Suse hat den eigenen<br />

AArch64-Port für Qemu freigegeben.<br />

In der Emulation<br />

lasse sich AArch64-Code deutlich<br />

schneller bauen, schreiben<br />

die Entwickler in ihrer<br />

Ankündigung. Konkret ginge<br />

es zehn bis zwanzig Mal flotter<br />

als nach dem Foundation-<br />

Modell von ARM.<br />

Der Code sei Bestandteil des<br />

ARM-64-Projekts von Open<br />

Suse und dank einer Vereinbarung<br />

mit ARM bereits auf<br />

dem Weg in die Quellen des<br />

Qemu-Projekts. In den letzten<br />

Monaten hat Open Suse<br />

immer wieder mit Meldungen<br />

rund um den ARM-Support<br />

für Aufsehen gesorgt, erst<br />

ab Version 12.3 veröffentlichte<br />

man jedoch die ersten<br />

AArch64-Images. <br />

n<br />

Für seine Suchfunktion im<br />

Dash hat Ubuntu reichlich<br />

Prügel einstecken müssen,<br />

unter anderem von Richard<br />

Stallman. Der hatte die darin<br />

integrierte Amazon-Suche als<br />

Spyware bezeichnet. Etwas<br />

neutraler hatte die EFF (Electronic<br />

Frontier Foundation)<br />

ihre Kritik an der Dash-Suchfunktion<br />

formuliert.<br />

Bislang gab die standardmäßig<br />

aktivierte Suche Anfragen an<br />

Amazon weiter, das Dash präsentierte<br />

die Suchergebnisse.<br />

Zwar wanderten die Begriffe<br />

selbst verschlüsselt über Canonicals<br />

Produktserver, doch<br />

die Bilder holte der Browser<br />

per HTTP ab, Angreifer hätten<br />

die Benutzer also zuordnen<br />

können. Das soll sich ab<br />

Ubuntu 13.10 ändern: Laut<br />

Entwickler David Callé anonymisieren<br />

Canonicals Server<br />

nun auch die Bildanfragen. n<br />

Viele Änderungen in Apache Open Office 4.0<br />

Eine Sidebar gehöre zu den<br />

wesentlichen <strong>Neu</strong>erungen<br />

von Apache Open Office 4.0,<br />

schreiben die Macher der freien<br />

Bürosuite in den Release<br />

Notes. Sie mache im Vergleich<br />

zu traditionellen Toolbars einen<br />

besseren Gebrauch der<br />

populären Widescreens.<br />

Die auf der Sidebar abgebildeten<br />

Menüs richten sich<br />

dabei kontextabhängig nach<br />

der vom User ausgewählten<br />

Aufgabe. Es handelt sich um<br />

mehrere, übereinander gestapelte<br />

Bereiche, die sich<br />

einklappen lassen. Die Breite<br />

lässt sich ändern, die Sidebar<br />

auch freischwebend verwenden.<br />

Das ermöglicht es, sie im<br />

Dualbetrieb auf einen zweiten<br />

Bildschirm zu verschieben.<br />

Daneben wurde die Interoperabilität<br />

mit Microsoft Word<br />

verbessert: AOO 4.0 unterstützt<br />

die grafischen Bullets<br />

von MS Word 2003 und stellt<br />

auch sonst fortlaufende Nummerierungen,<br />

Bullets und Referenzen<br />

konsistenter dar. Das<br />

Präsentationsmodul bildet die<br />

Hintergründe in Tabellen und<br />

auf der Masterseite, grafische<br />

Apache Open Office 4.0 glänzt mit einer ganzen Reihe von <strong>Neu</strong>erungen, unter<br />

anderem einer Sidebar.<br />

Nummerierungen sowie Konnektoren<br />

besser ab.<br />

Beim Import von DOCX-Dokumenten<br />

stimmen nun die Outline-Level,<br />

die Hintergrundund<br />

Schriftfarben in Tabellen<br />

und die Nummerierungs- und<br />

Bullet-Typen. Es gibt neue<br />

Farbverläufe und eine erweiterte<br />

Farbpalette. Die Galerie<br />

kann nun SVG-Grafiken verwalten,<br />

einige Grafiken da rin<br />

wurden bereits umgestellt<br />

oder ergänzt. Beim Erstellen<br />

von Bitmap-Füllungen stellt<br />

AOO 4.0 nun Transparenzen<br />

dar und nutzt Anti-Aliasing –<br />

Letzteres klappt auch für die<br />

Druckvorschau. Einen Überblick<br />

der vielen <strong>Neu</strong>erungen<br />

geben die Release Notes. n


Aktuell<br />

www.linux-magazin.de News 12/2013<br />

8<br />

Rubygems 2.1.1 mit besserem Resolver<br />

Rubygems, das Paketsystem<br />

für die Programmiersprache<br />

Ruby, ist in Version 2.1.1 mit<br />

neuen Features verfügbar.<br />

Tatsächlich brachte bereits<br />

Version 2.1.0 die <strong>Neu</strong>erungen<br />

mit, doch wurde die 2.1.1<br />

noch rasch als Bugfix hinterhergeschoben.<br />

Der behebt die<br />

Sicherheitslücke CVE-2013-<br />

4287, die Angreifern eine<br />

Denial-of-Service-Attacke mit<br />

speziell präparierten Gems<br />

ermöglichte.<br />

Daneben erhielt Rubygems einen<br />

neuen Resolver, der dem<br />

im Bundler ähnelt. Er kann<br />

Abhängigkeiten auflösen, bei<br />

denen sein Vorgänger versagte,<br />

und gibt zudem aussagekräftigere<br />

Meldungen aus.<br />

Hinzu kommen Verbesserungen<br />

beim Bau von Gems für<br />

die ARM-Plattformen.<br />

Weitere Details finden sich in<br />

der Release-Mitteilung [http://​<br />

​blog.​rubygems.​org]. Zur Aktualisierung<br />

von Rubygems reicht<br />

meist der Befehl »gem update<br />

‐‐system« aus. Der MIT-lizenzierte<br />

Quellcode des Projekts<br />

steht auf Github bereit. n<br />

Gnome-Desktop in Version 3.10 veröffentlicht<br />

Nachdem bereits mehrere<br />

Komponenten erschienen<br />

waren, kündigte Entwickler<br />

Matthias Clasen am 25. September<br />

die fertige Version 3.10<br />

des Gnome-Desktops an. Zu<br />

den neuen Features gehören<br />

ein Application Picker in der<br />

Aktivitätenansicht, ein neu<br />

designter Systemstatus-Bereich,<br />

Unterstützung für Monitore<br />

mit höherer DPI-Zahl,<br />

die Flickr-Integration in der<br />

Fotoanwendung sowie neue<br />

Anwendungen für Musik,<br />

Kartenmaterial und Notizen.<br />

Auch erwähnenswert ist der<br />

Support für den neuen Displaymanager<br />

Wayland.<br />

Die Ankündigungswebseite<br />

[http://​www.​gnome.​org/​gnome‐3/]<br />

zählt neben der Aktivitätenansicht,<br />

die Suchfunktion,<br />

ein ausgefeiltes, bei Bedarf<br />

abschaltbares Benachrichtigungssystem<br />

sowie die gute<br />

Integration mit Onlinediensten<br />

zu den Vorteilen von<br />

Gnome 3.10. Laut Angaben<br />

auf der Downloadseite lässt<br />

sich Gnome in den nächsten<br />

Ausgaben von Fedora, Open<br />

Gnome 3.10 ist da und bringt unter anderem eine überarbeitete Aktivitätenansicht mit.<br />

Suse und Ubuntu installieren,<br />

doch auch andere Distributionen<br />

wie Arch <strong>Linux</strong> und<br />

Debian haben den Desktop im<br />

Gepäck. <br />

n<br />

Quelle: http://www.gnome.org/gnome-3/<br />

Coverity: Python-Code ist exzellent<br />

Party-Tier: GNU feiert 30. Geburtstag<br />

Eine Analyse des Quelltext-<br />

Spezialisten Coverity stellt<br />

der Standardimplementierung<br />

von Python ein hervorragendes<br />

Qualitätszeugnis aus.<br />

Nur 0,005 Fehler in 1000 Zeilen<br />

Code weise die Software<br />

des Python-Projekts auf, so<br />

schreibt das Unternehmen.<br />

Zum Vergleich: In der Software-Industrie<br />

insgesamt liegt<br />

der Durchschnitt ungefähr bei<br />

1,0, in der Open-Source-Welt<br />

bei 0,69 Prozent.<br />

Python hält die hohe Qualität<br />

seit dem Jahr 2006. Coveritys<br />

Scan hat bisher insgesamt<br />

rund 400 000 Zeilen Python-<br />

Code analysiert und dabei 996<br />

Defekte gefunden, von denen<br />

die Python-Community bereits<br />

860 behoben hat. n<br />

Am 27. September 1983 hatte<br />

Richard M. Stallman aus Ärger<br />

über proprietäre Software<br />

(konkret ging es wohl um einen<br />

Druckertreiber) seine Pläne,<br />

eine Free Software Foundation<br />

zu gründen, öffentlich<br />

gemacht. Daraus entstanden<br />

GNU, GPL und weite Teile der<br />

Freie-Software-Bewegung, die<br />

auch <strong>Linux</strong> (oder wie Stallman<br />

insistiert „GNU/​<strong>Linux</strong>“)<br />

prägten.<br />

Im Rahmen der „30 Days of<br />

GNU“ im September hatte das<br />

Projekt seinen Fans jeden Tag<br />

eine andere sinnvolle Aktion<br />

rund um Freie Software vorgeschlagen.<br />

Abgeschlossen wurde<br />

die Party am Wochenende<br />

mit der offiziellen Feier am<br />

MIT und einem Hackathon.n


Rust in Version 0.8 erschienen<br />

Rust, Mozillas keinesfalls<br />

eingerostete hauseigene Programmiersprache<br />

[http://rustlang.org],<br />

hat Ende September<br />

Version 0.8 erreicht. Die Entwickler<br />

feilen aktuell an der<br />

Standardbibliothek.<br />

Für Version 0.8 wurde die<br />

Loop-Syntax für das »For«-<br />

Keyword geändert, sodass es<br />

nun mit der »Iterator«-Eigenschaft<br />

funktioniert. Die Standardbibliothek<br />

verwendet eine<br />

neue Rust-Runtime und ein<br />

dazu passendes und noch experimentelles<br />

I/O-Subsystem<br />

namens »rt::io«. Eine Familie<br />

von »Format«-Makros für<br />

Strings soll künftig eventuell<br />

»fmt« ersetzen. Außerdem ist<br />

»Copy« kein Keyword mehr,<br />

sondern wird in der neuen<br />

Version durch die Eigenschaft<br />

»Clone« ersetzt.<br />

Alle Tools verfügen nun<br />

über Manpages, die Variable<br />

»RUST_TEST_TASKS« steuert<br />

die Zahl der parallel laufenden<br />

Test-Tasks. Es gibt noch<br />

Dutzende weiterer Änderungen,<br />

die das Mailinglisten-<br />

Anouncement in aller Ausführlichkeit<br />

auflistet.<br />

Rust befindet sich noch in<br />

lebhafter Entwicklung, daher<br />

können sich Komponenten,<br />

Module oder Eigenschaften<br />

noch permanent ändern. Mit<br />

Hilfe der Programmiersprache<br />

sollen Entwickler nach<br />

Vorstellung von Mozilla in<br />

Zukunft größere Client- und<br />

Serveranwendungen entwickeln,<br />

die über das Internet<br />

benutzbar sind. Daher liege<br />

der Fokus laut Projekt auf<br />

Sicherheit, Performance und<br />

Nebenläufigkeit. n<br />

Open Suse sucht Gastgeber für OSC 15<br />

„Wenn man Spaß hat, dann<br />

verfliegt die Zeit“, damit begann<br />

Open-Suse-Board-Member<br />

Robert Schweikert seine<br />

Mail mit dem Betreff „oSC15<br />

Location“.<br />

Obwohl die Susecon [http://​<br />

​www.​susecon.​com/] in Florida<br />

Ende November erst noch ansteht<br />

und die Entwickler die<br />

OSC 13 in Thessaloniki gerade<br />

erst hinter sich gebracht<br />

haben, sei es laut Schweikert<br />

an der Zeit, einen Gastgeber<br />

für die Open Suse Conference<br />

2015 zu suchen und auszuwählen.<br />

Im April 2014 werde die Community-Veranstaltung<br />

der<br />

Suse-Welt im kroatischen Dubrovnik<br />

stattfinden, und dort<br />

solle mindestens ein Mitglied<br />

der 2015er Veranstaltung anwesend<br />

sein, um die nächste<br />

Location zu (re)präsentieren.<br />

Wer glaubt, seine Stadt sei<br />

dafür perfekt geeignet, der<br />

könne eine Mail an [opensuse​<br />

-project@opensuse.org] oder<br />

[board@opensuse.org] schicken.<br />

Das solle aber idealerweise<br />

erst dann passieren, nachdem<br />

sich der Bewerber durch die<br />

To-do-Listen im Wiki gearbeitet<br />

und die Voraussetzungen<br />

geprüft hat.<br />

Die Veranstaltung soll im<br />

März, April oder Mai 2015<br />

stattfinden, etwa ein Jahr<br />

nach der OSC 14. Erforderlich<br />

seien etwa öffentlicher Nahverkehr,<br />

genügend Unterkünfte<br />

und ein wenig Erfahrung<br />

seitens der Organisatoren im<br />

Umgang mit Konferenzen,<br />

schreibt Schweikert. n


Aktuell<br />

www.linux-magazin.de News 12/2013<br />

10<br />

Kurznachrichten<br />

VLC 2.1.0: Der freie Videolan Client (VLC) ist ein multifunktionaler Mediaplayer.<br />

<strong>Neu</strong>: Die Entwickler haben das Audiosystem des Players komplett<br />

überarbeitet, das nun korrekt die Multi-Channel-Layouts 5.1, 6.1 und 7.1<br />

wiedergibt. Die Open-GL-Ausgabe wurde für Embedded- und Mobilsysteme<br />

nach Open GL ES portiert. VLC 2.1.0 beherrscht Hardwaredecoding für<br />

<strong>Linux</strong> mit VDPAU, für Android via Media-Codec. Lizenz: GPLv2, LGPLv2.1+<br />

[https://​videolan.​org]<br />

Juju GUI 0.10.0: Grafische Oberfläche für Juju, Canonicals Tool zur Service-Orchestrierung.<br />

<strong>Neu</strong>: Der neue Service Inspector erlaubt es, die<br />

Detailinformationen zu den Diensten sowie die erstellten Units im Auge<br />

zu behalten, ohne den Blick auf die Gesamtstruktur an Diensten zu verlieren.<br />

Änderungen an Diensten und Units zeigt der Inspector sofort an und<br />

weist auf potenzielle Konflikte hin, wenn der Admin einen Wert ändert,<br />

der mit einer Hardwarekonfiguration kollidiert. Lizenz: GPLv3 [https://​<br />

​jujucharms.​com]<br />

Nuxis 2.0: Freie Lösung für das Virtualisierungsmanagement. <strong>Neu</strong>: Der<br />

Kernel von Nuxis 2.0 trägt nun die Versionsnummer 3.4.61, Xen die 4.2.3<br />

und Libvirt die 0.10.2.6. Nuxis kann die Größe physischer Volumes ändern,<br />

schlägt Alarm, wenn einem Snapshot kein freier Platz mehr zur Verfügung<br />

steht, und kann nun I-SCSI Storage konfigurieren. Die Website listet zudem<br />

eine Reihe von Bugfixes auf. Lizenz: GPLv2 [http://​www.​nuxis.​com]<br />

Pycharm 3.0: Plattformübergreifende Python-IDE der Firma Jetbrains.<br />

<strong>Neu</strong>: Die freie Community Edition bringt nun ein vollständiges, eingebettetes<br />

Terminal mit. <strong>Neu</strong>e Refactoring-Tools sollen dabei helfen, den<br />

Code zu verwalten und zu optimieren, zugleich hat man die Code-Analyse<br />

verbessert, sodass Pycharm Fehler und merkwürdigen Code einfacher<br />

findet. Die Vervollständigung arbeitet nun intelligenter, ein Variablen-<br />

Inspektor lässt den Entwickler die Inhalte von Variablen besser tracken.<br />

Lizenz: Apache-2.0-Lizenz (Community Edition) [http://​www.​jetbrains.​<br />

​com/​pycharm/]<br />

Rethinkdb 1.10: Rethinkdb ist eine noch junge No-SQL-Datenbank mit einer<br />

einfachen Query Language (ReQL) und Support für Joins, die Map Reduce<br />

für Abfragen verwendet. <strong>Neu</strong>: Die neue Multi-Indexierungsfunktion ermöglicht<br />

es, mehrere Indexwerte für ein Dokument anzulegen, was ganze<br />

Klassen von Querys beschleunigen soll. Für kleine Integerwerte verwendet<br />

Rethinkdb nun ein Integer-Encoding in Variablenlänge und nicht mehr<br />

Double Precision, was die Performance von Dateisystem- und Netzwerkbezogenen<br />

Arbeitsgängen beschleunigt. Dank dieser und anderer kleiner<br />

Änderungen sollen die erzeugten Json-Dokumente 30 Prozent weniger<br />

Plattenplatz belegen. Nicht zuletzt wurde die Skalierbarkeit von Rethinkdb<br />

auf Servern mit vielen Kernen optimiert. Lizenz: AGPLv3.0 (Server),<br />

Apache-2.0-Lizenz (Clients) [http://​rethinkdb.​com]<br />

Open-Source-Mining im Asteroidengürtel<br />

Die amerikanische Firma<br />

Pla netary Resources [http://​<br />

​planetaryresources.​com] möchte<br />

mit Hilfe von Low-Cost-<br />

Raumschiffen, <strong>Linux</strong> und viel<br />

Open-Source-Software Himmelskörper<br />

im Sonnensystem<br />

nach Rohstoffen durchforsten<br />

und diese abbauen.<br />

Was stark nach Science-Fiction<br />

klingt, soll schon bald<br />

Realität werden: Marc Allen<br />

und Ray Ramadorai, beide arbeiten<br />

als Ingenieure in der<br />

Firma, stellten auf der <strong>Linux</strong>con<br />

ihr Konzept vor.<br />

Unter dem Namen „Building<br />

the Deep Space Data Center –<br />

How <strong>Linux</strong> and Open Source<br />

Technologies are Enabling Asteroid<br />

Mining“ berichteten die<br />

beiden Wissenschaftler über<br />

die fortlaufenden Entwicklungen.<br />

Hinter der Firma stecken<br />

prominente Investoren und<br />

Supporter wie Peter Diamandis<br />

(Xprize), Chris Lewicki<br />

(Nasa), Richard Branson (Virgin<br />

Galactic), Eric Schmidt<br />

und Larry Page (beide Google)<br />

sowie James Cameron (Regisseur<br />

und Abenteurer).<br />

Die Hardware der Sonden setzt<br />

auf kostengünstige Atom-<br />

CPUs und soll dank <strong>Linux</strong><br />

deutlich weniger kosten als die<br />

20 000-Dollar-Rechner heutiger<br />

Standard-Raumfahrzeuge.<br />

Preisgünstige Virtualisierung<br />

erhöhe dabei Sicherheit und<br />

Fehlertoleranz, erklärten die<br />

beiden Techniker. Bereits Anfang<br />

2013 hatte Planetary Resources<br />

für Aufsehen gesorgt,<br />

als das Unternehmen innerhalb<br />

weniger Monate mit einer<br />

Crowdfunding-Kampagne<br />

1,5 Millionen Dollar für das<br />

erste Open-Source-Weltraumteleskop<br />

Arkyd einsammelte,<br />

das sich gegenwärtig in der<br />

Entwicklung befindet. n<br />

Gstreamer 1.2 verbessert Live-Streaming-Support<br />

Mit Version 1.2 erscheint<br />

wieder eine stabile Ausgabe<br />

des Multimedia-Frameworks<br />

Gstreamer [http://​gstreamer.​<br />

​freedesktop.​org/]. Sie bringt einige<br />

neue Plugins, die unter<br />

anderem das Strea ming verbessern:<br />

»mssdemux« kümmert<br />

sich um die Smooth-<br />

Streaming-Technologie von<br />

Microsoft, »dashdemux« um<br />

DASH (Dynamic Adaptive<br />

Streaming over HTTP), den<br />

als ISO/​IEC 23009-1:2012 veröffentlichten<br />

Mpeg-Standard<br />

für dynamisches, adaptives<br />

Streaming.<br />

Das Plugin »bluez« hilft bei<br />

der Interaktion mit Bluetooth-<br />

Geräten, »openjpeg« dekodiert<br />

und enkodiert Jpeg 2000.<br />

Auch Plugins für eine eher<br />

experimentelle Unterstützung<br />

von Daala (»daala«), VP9<br />

(»vpx«) und Webp (»webp«)<br />

sind an Bord.<br />

Die Änderungen am API betreffen<br />

das Teilen von Kontexten<br />

(»GstContext«), den Texturen-Upload,<br />

das Stream-Start-<br />

Event und das »GstMemory«-<br />

Flag für angrenzenden und<br />

nicht mapbaren Speicher. Zu<br />

den Basis-Plugins gesellt sich<br />

»gst‐play‐1.0«, das es erlaubt,<br />

Inhalte testweise auf der Kommandozeile<br />

abzuspielen.<br />

Weitere Details zu den einzelnen<br />

Komponenten und<br />

Download möglichkeiten liefern<br />

die Links in dem Blogeintrag,<br />

der die neue Version<br />

vorstellt. (kki/mfe/mhu/Tim<br />

Schürmann)<br />

n


Aktuell<br />

www.linux-magazin.de Zahlen & Trends 12/2013<br />

12<br />

Zahlen & Trends<br />

Unter Dampf: Steam bekommt OS, Hardware und Controller<br />

Drei wichtige Ankündigungen<br />

in Folge versprach Valve,<br />

Hersteller der Spieleplattform<br />

Steam, für die letzte Septemberwoche<br />

– und lieferte. Das<br />

Unternehmen kündigte ein<br />

eigenes <strong>Linux</strong>-OS an, das auf<br />

so genannten Steam Machines<br />

läuft und dessen Spiele sich<br />

über den Steam Controller<br />

steuern lassen.<br />

Mit den Steam Machines will<br />

Valve 2014 nicht nur eine,<br />

sondern gleich mehrere Rechner<br />

auf den Markt bringen,<br />

auf denen dann die hauseigene<br />

<strong>Linux</strong>-Variante Steam<br />

OS arbeiten soll. Zunächst<br />

will man aber einen Prototyp<br />

entwickeln, der sich an den<br />

großen TV-Screen im Wohnzimmer<br />

hängen lässt.<br />

Testen will der Hersteller die<br />

Prototypen im eigenen Haus,<br />

aber auch in Kooperation<br />

mit den Usern: Erfüllen sie<br />

bestimmte Bedingungen, erhalten<br />

300 Nutzer vorab kostenlose<br />

Exemplare der Steam<br />

Machine. Das Testsystem will<br />

Beeindruckend und angeblich recht gut bedienbar: Der Steam Controller.<br />

Quelle: store.steampowered.com<br />

man für Steam OS optimieren.<br />

Die User sollen die Kontrolle<br />

über die Hardware erhalten<br />

und sie erweitern dürfen – ein<br />

Seitenhieb gegen die geschlossenen<br />

Modelle der Konkurrenz<br />

von Sony, Nintendo und<br />

Microsoft. Der Besitzer darf<br />

die Hardware auch austauschen,<br />

eigene Software installieren<br />

und das System hacken.<br />

Nach den Vorstellungen von<br />

Valve sollen die verschiedenen<br />

Steam-Machine-Varianten<br />

durch die Hersteller auf<br />

Größe, Preis, Geräuscharmut<br />

und andere Faktoren hin optimiert<br />

werden.<br />

Zu den Eingabegeräten äußerte<br />

sich Valve gegen Ende<br />

der „Verkündungswoche“<br />

ebenfalls: Zwar kann der<br />

Spieler Maus und Tastatur<br />

anschließen, doch im Fokus<br />

der Entwickler steht der neue<br />

Steam Controller. Recht markant<br />

sind der mittig eingebaute<br />

Bildschirm sowie die<br />

mit den Daumen bedienbaren<br />

Touchpads rechts und links.<br />

Von der Steuerung profitieren<br />

würden laut Valve unter anderem<br />

First Person Shooter,<br />

weil der Benutzer damit sehr<br />

genau zielen könne.<br />

Um das so wichtige Spielesortiment<br />

macht sich Valve<br />

keine Sorgen: Die Firma habe<br />

bereits Hunderte der 3000<br />

verfügbaren Spiele auf <strong>Linux</strong><br />

portiert, reine Windows- und<br />

Mac-Spiele wolle sie per Netzwerk-Streaming<br />

zur Verfügung<br />

stellen. Bis 2014 sollen zudem<br />

laut Valve weitere AAA-Titel,<br />

also besonders große und beliebte<br />

Spiele, auf Steam OS<br />

lauffähig sein.<br />

n<br />

Schweizer Open-Data-Portal startet Pilotbetrieb<br />

Das Open-Data-Portal der<br />

Schweizer Bundesverwaltung<br />

hat Mitte September seinen<br />

sechsmonatigen Pilotbetrieb<br />

aufgenommen. Unter [http://​<br />

​opendata.​admin.​ch] stehen Daten<br />

von Bundesarchiv, Nationalbibliothek<br />

und zahlreichen<br />

Schweizer Bundesbehörden<br />

zum Abruf sowie zur Nutzung<br />

bereit. Das Besondere daran:<br />

Bei der Lizenzierung des Materials<br />

kommen freie Lizenzen<br />

zum Einsatz, beispielsweise<br />

steht sehr viel unter der Creative<br />

Commons 0 (CC0). Die<br />

Formate sind allerdings noch<br />

nicht alle offen, den Löwenanteil<br />

der Dateien machen<br />

derzeit ironischerweise Excel-<br />

Sheets aus.<br />

Dennoch: Die parlamentarische<br />

Gruppe „Digitale Nachhaltigkeit“<br />

begrüßte den Start.<br />

Sie setzt sich seit Jahren für<br />

die Open-Data-Bewegung in<br />

der Eidgenossenschaft ein.<br />

Zur gleichen Zeit, vom 16.<br />

bis zum 18. September, tagte<br />

in Genf die Open Knowledge<br />

Conference (OKCon), die<br />

das Thema Open Data zum<br />

Leitmotiv machte. Die dort<br />

aufgenommenen Livestreams<br />

lassen sich nun unter [http://​<br />

​okcon.​org] betrachten. n


Qt-Projekt verabschiedet sich von Webkit<br />

Das Toolkit Qt wird als Browserengine<br />

künftig Blink verwenden,<br />

den Webkit-Fork aus<br />

dem Chromium-Projekt. Das<br />

teilte der Qt-Entwickler Lars<br />

Knoll in dem Blog [http://​blog.​<br />

​qt.​digia.​com] mit. In dem Beitrag<br />

geht er ausführlich auf<br />

die Gründe ein, aus denen<br />

sich das Projekt für Blink und<br />

gegen Apples Webkit als künftige<br />

Qt-Webengine entschieden<br />

hat.<br />

Chromium sei als Cross-Plattform-Software<br />

auf allen Desktop-Betriebssystemen<br />

sowie<br />

auf Android verfügbar, ähnlich<br />

wie Qt. Auf Apples Webkit<br />

treffe das hingegen nicht<br />

mehr zu. Zudem enthalte<br />

Blink bereits Features wie<br />

Web-RTC, die Qt ohne Mehraufwand<br />

übernehmen könne.<br />

Diese beiden Punkte ersparten<br />

dem Qt-Projekt Arbeitszeit,<br />

die es einem benutzerfreundlichen<br />

API und einer<br />

nahtlosen Qt-Integration widmen<br />

könne. Hinzu käme die<br />

gute Qualitätssicherung für<br />

den Browser Chromium, der<br />

insgesamt die progressivste<br />

Entwicklung aufweise.<br />

Knoll räumte jedoch ein, dass<br />

Chromiums Sicherheitskonzept<br />

mit getrennten Prozessen<br />

für einzelne Browsertabs eine<br />

Änderung des Qt-Webkit-API<br />

und des QObject-Embedding<br />

erforderlich mache. Zugleich<br />

beruhigte er aber bisherige<br />

Qt-Webkit-Benutzer: Das Projekt<br />

werde sich bemühen, den<br />

Umstieg auf die neue Webengine<br />

möglichst problemlos<br />

zu gestalten.<br />

Im ersten Schritt soll Qt Webkit<br />

keine neuen Features mehr<br />

erhalten. Die Entwickler werden<br />

sich nach der Release von<br />

Qt 5.2 im Herbst 2013 stattdessen<br />

auf die neue Blink-<br />

Webengine konzentrieren. Sie<br />

soll als Technology Preview<br />

bereits zusammen mit der 5.2<br />

verfügbar sein, eine stabile<br />

Release werde mit Qt 5.3 im<br />

Frühjahr 2014 folgen. n<br />

Q2 2014: Red Hat wächst zweistellig<br />

Einmal mehr gab es die neuen<br />

Quartalszahlen der <strong>Linux</strong>-<br />

Firma aus Raleigh, und die<br />

sehen nach wie vor gut aus.<br />

Das Quartal endete für die<br />

US-amerikanische Firma am<br />

31. August 2013. Der Umsatz<br />

betrug in diesem Zeitraum<br />

374 Millionen US-Dollar, 16<br />

Prozent mehr als im Vorjahresquartal.<br />

Davon entfielen<br />

327 Millionen auf Software-<br />

Subskriptionen, 17 Prozent<br />

mehr als im Vorjahreszeitraum.<br />

Der Nettogewinn betrug<br />

41 Millionen US-Dollar,<br />

verglichen mit 35 Millionen<br />

im Vorjahresquartal.<br />

Charlie Peters, Executive Vice<br />

President und Chief Financial<br />

Officer, zeigte sich wenig<br />

überraschend mächtig stolz<br />

auf die zweistelligen Wachstumsraten<br />

und das starke<br />

Subskriptionsgeschäft. Der<br />

Red-Hat-CEO Jim Whitehurst<br />

erklärte die guten Zahlen damit,<br />

dass sein Unternehmen<br />

den Kunden überzeugende<br />

Produkte für den Einstieg ins<br />

Cloud Computing biete. Wer<br />

sich für weitere Detailinformationen<br />

zu den Finanzen<br />

des <strong>Linux</strong>-Distributors interessiert,<br />

wird unter [http://​<br />

​investors.​redhat.​com] fündig. n


Aktuell<br />

www.linux-magazin.de Zahlen & Trends 12/2013<br />

14<br />

Red Hat will Docker integrieren<br />

Der <strong>Linux</strong>-Spezialist Red<br />

Hat möchte mit Dot Cloud,<br />

dem Anbieter der Container-<br />

Lösung Docker [https://​www.​<br />

​docker.​io], kooperieren, um<br />

seine PaaS-Lösung Open Shift<br />

zu erweitern. Bereits ab Version<br />

0.7 wollen die Docker-<br />

Fabrikanten Pakete für Fedora<br />

bereitstellen.<br />

Das wichtigste Ziel bestünde<br />

darin, dass Docker reibungslos<br />

mit Fedora und Red Hat<br />

Enterprise <strong>Linux</strong> zusammenarbeite,<br />

schreibt Ben Golub,<br />

Dot Clouds CEO. Vor diesem<br />

Schritt sei eine Reihe technischer<br />

Herausforderungen zu<br />

meistern. Dazu gehöre die Ablösung<br />

des Dateisystems Aufs,<br />

die Dot Cloud erreichen will,<br />

indem Docker zum Thin-Provisioning-Ansatz<br />

von Fedora<br />

wechselt, den der Device Mapper<br />

seit Kernel 3.2 unterstützt.<br />

Das sei zugleich kompatibler<br />

zu den Upstream-Kernelversionen.<br />

Zudem wolle man Libvirt<br />

für das Bereitstellen der<br />

Container einsetzen, deren<br />

Netzwerkfähigkeiten Docker<br />

nutzen könne.<br />

Daneben soll Docker weitere<br />

PaaS-Lösungen unterstützen,<br />

um eine größere Verbreitung<br />

zu finden, Projekte wie Deis,<br />

Flynn und Voxoz verwenden<br />

es bereits. Dank der Integration<br />

in Red Hats Open Shift<br />

könnten beide Technologien<br />

künftig reibungslos zusammenarbeiten,<br />

zudem soll<br />

Docker Teil von Open Shifts<br />

Cartridge-Modell werden. n<br />

Crowdfunding für Synfig Studio<br />

Jüngstes Beispiel für ein<br />

Open-Source-Projekt, das sich<br />

erfolgreich Mittel per Crowdfunding<br />

beschafft, ist Synfig<br />

Studio [http://​www.​synfig.​org].<br />

Die freie 2-D-Animationssoftware<br />

will bei den Unterstützern<br />

Geld einsammeln, diese<br />

dürfen im Gegenzug bei der<br />

Entwicklung mitreden.<br />

Nachdem Synfig Studio im<br />

Mai 2013 bereits eine bedingungslose<br />

Spende über 5000<br />

US-Dollar von der Shuttleworth<br />

Foundation erhalten<br />

hatte, arbeitet Entwickler<br />

Ivan Mahonin seit August in<br />

Vollzeit an der Software. Mit<br />

dem 1. November muss sich<br />

das Projekt allerdings nach<br />

neuen Finanzierungsquellen<br />

umschauen.<br />

Deswegen startete Mitte September<br />

auf Indiegogo eine<br />

bescheidene Finanzierungskampagne<br />

für den Oktober,<br />

über welche die User von<br />

Synfig Studio das Implementieren<br />

bestimmter Features<br />

sponsern. Auf Unterstützer<br />

warten verschiedene Prämien:<br />

Wer etwa 300 US-Dollar zahlt,<br />

kann bestimmen, welches<br />

Projekt im nächsten Monat<br />

Priorität erhält.<br />

Für den Oktober war ein Betrag<br />

von 500 US-Dollar angestrebt,<br />

am Ende kam mehr<br />

zusammen (857 US-Dollar).<br />

Finanziert wird die Arbeit an<br />

einer Single-Window-Oberfläche.<br />

Langfristig will man so<br />

einen Entwickler auf Monatsbasis<br />

finanzieren. n<br />

NSA und GCHQ: „Tor stinkt!“<br />

Gute Nachrichten für das Tor-<br />

Projekt: Von der NSA und<br />

vom britischen Geheimdienst<br />

GCHQ tauchten nun Unterlagen<br />

mit dem Titel „Tor<br />

stinks“ auf, die im Rahmen<br />

eines gemeinsamen Anti-Tor-<br />

Workshop entstanden sind.<br />

Die Folien stammen aus den<br />

Veröffentlichungen des ehemaligen<br />

Geheimdienst-Mitarbeiters<br />

Edward Snowden, der<br />

„Guardian“ hatte sie herausgegeben.<br />

Darin schreiben NSA und<br />

GCHQ: „Wir werden niemals<br />

in der Lage sein, alle Tor-Nutzer<br />

zu jeder Zeit zu enttarnen.“<br />

Und: „Mit Hilfe manueller<br />

Analysen können wir eine<br />

sehr kleine Minderheit von<br />

Tor-Nutzern deanonymisieren,<br />

aber wir werden keinen Erfolg<br />

damit haben, Nutzer auf Anfrage<br />

hin zu enttarnen.“<br />

Das hört auch das Tor-Projekt<br />

gern, das in letzter Zeit oft<br />

der Kooperation verdächtigt<br />

wurde, weil seine Arbeit unter<br />

anderem von Regierungsbehörden<br />

finanziert wird.<br />

Aktuell könne man nur sehr<br />

wenige Nodes überwachen,<br />

heißt es in dem Geheimdienstpapier.<br />

Die Erfolgsrate sei vernachlässigbar,<br />

weil es fast unmöglich<br />

sei, die drei Nodes zu<br />

erwischen, die einen Circuit<br />

ausmachen.<br />

Das mysteriöse Quick-Ant besteht<br />

offenbar darin, mit Hilfe<br />

der kontrollierten Tor-Nodes<br />

nach Benutzern zu suchen,<br />

die zur Tatzeit aus einem<br />

bestimmten Land Anfragen<br />

stellen – eine Suche nach der<br />

Nadel im Heuhaufen.<br />

In völliger Anonymität können<br />

sich Tor-Nutzer dennoch<br />

nicht wähnen, denn die NSA<br />

führt in dem Dokument verschiedene<br />

alternative Angriffswege<br />

auf. Neben der<br />

Dummheit der User betrachten<br />

die Geheimdienste auch<br />

Cookie- und DNS-Attacken<br />

als wirkungsvoll. Hauptangriffsfläche<br />

bieten daher<br />

weiterhin die Browser und<br />

Betriebssysteme der Nutzer.<br />

Davor aber warnen auch die<br />

Tor-Entwickler immer wieder.<br />

Das Tor-Browser-Bundle soll<br />

diese Angriffsfläche möglichst<br />

klein halten.<br />

Trotz Government-Shutdown<br />

äußerte sich später James R.<br />

Clapper, Chef der amerikanischen<br />

Geheimdienste, zu den<br />

Dokumenten. Auch wenn er<br />

nur von „Online Communication<br />

Tools and Technologies“<br />

sprach, zielte sein Statement<br />

wohl auch auf das Ausspionieren<br />

von Tor-Nutzern.<br />

Darin verteidigte Clapper naturgemäß<br />

das Vorgehen der<br />

NSA und sieht keine Fehler<br />

auf Seiten des Geheimdienstes:<br />

„Die Realität ist, dass<br />

die Männer und Frauen der<br />

NSA und in der gesamten<br />

Intelligence-Community die<br />

Gesetze beachten, die Bürgerrechte<br />

respektieren und alles<br />

tun, um dabei zu helfen, die<br />

Sicherheit unserer Nation zu<br />

bewahren.“<br />

Clapper hatte zuletzt einige<br />

Bekanntheit erlangt, als er vor<br />

einem Kongressausschuss verneinte,<br />

dass die NSA Telefondaten<br />

amerikanischer Bürger<br />

sammle. Als er seine Aussage<br />

später aufgrund der Aktenlage<br />

widerrufen musste, begründete<br />

er seine Falschaussage<br />

damit, die „am wenigsten unwahre“<br />

Antwort gewählt zu<br />

haben.<br />

n


Kernel-Statistik 2013<br />

Zum Auftakt der amerikanischen<br />

<strong>Linux</strong>con in New Orleans<br />

hat die <strong>Linux</strong> Foundation<br />

ihre regelmäßige Statistik<br />

dazu veröffentlicht, welche<br />

Entwickler und Firmen Code<br />

zu <strong>Linux</strong> beitragen. Der Report<br />

umfasst die Zeitspanne<br />

von April 2012 bis Juli 2013<br />

mit den Kernelversionen 3.3<br />

bis 3.10. Letztere habe die<br />

größte Zahl an Entwicklern in<br />

der Geschichte des Berichts<br />

zu verzeichnen, meldet das<br />

Industriekonsortium.<br />

Daneben zeige der steigende<br />

<strong>Linux</strong>-Einsatz auf Mobil- und<br />

Embedded-Plattformen Auswirkungen:<br />

Der gemeinsame<br />

Anteil der Embedded-Firmen<br />

Linaro, Samsung und Texas<br />

Instruments ist von 4,4 auf<br />

11 Prozent gestiegen, auch<br />

Google hat mehr Code beigesteuert.<br />

Die zehn Top-Code-<br />

Kontributoren unter den<br />

Unternehmen sind laut dem<br />

jüngsten Bericht Red Hat, Intel,<br />

Texas Instruments, Linaro,<br />

Suse, IBM, Samsung, Google,<br />

Vision Engraving Systems<br />

Consultants und Wolfson Microelectronics.<br />

Das kurze Gastspiel von<br />

Microsoft im Vorjahr gehört<br />

damit klar der Vergangenheit<br />

an. Der komplette Bericht<br />

steht gegen eine Registrierung<br />

bei der <strong>Linux</strong> Foundation zum<br />

Download bereit. <br />

n<br />

Review für Kryptostandard erneuert<br />

Das National Institute of<br />

Standards and Technology<br />

(NIST) reagierte kürzlich auf<br />

die Vorwürfe, die National<br />

Security Agency (NSA) habe<br />

den Random Number Generator<br />

(RNG) von Dual EC DRBG<br />

manipuliert. Wie die „New<br />

York Times“ im September<br />

berichtete, öffnet die Behörde<br />

als Konsequenz erneut die<br />

Entwürfe für die Standards<br />

800-90A, 800-90B sowie 800-<br />

90C für externe Kommentare.<br />

Sie alle nutzen den kompromittierten<br />

RNG. Mit diesem<br />

Schritt möchte das NIST<br />

verlorenes Vertrauen in die<br />

Sicherheitsstandards zurückgewinnen.<br />

Man würde nicht<br />

mutwillig einen kryptographischen<br />

Standard abschwächen,<br />

heißt es in einem offiziellen<br />

Statement der Behörde<br />

Das NIST arbeitet traditionell<br />

mit Kryptoexperten der NSA<br />

zusammen, um sichere Verschlüsselungsstandards<br />

zu<br />

definieren, auf welche auch<br />

Regierungsbehörden der Vereinigten<br />

Staaten offiziell vertrauen.<br />

Edward Snowdens<br />

Dokumente legen nahe, dass<br />

es der NSA gelungen ist, die<br />

kanadische Delegation aus<br />

dem Standardisierungsprozess<br />

herauszuhalten, den Entwurf<br />

neu zu schreiben und<br />

dadurch zu dessen einzigem<br />

Verfasser zu werden. n<br />

Zahlen & Trends 12/2013<br />

Aktuell<br />

www.linux-magazin.de<br />

15<br />

Anzeige


Aktuell<br />

www.linux-magazin.de Zahlen & Trends 12/2013<br />

16<br />

Secusmart stellt sicheres Smartphone vor<br />

Der Name Edward Snowden<br />

fiel gleich mehrmals in der<br />

Pressekonferenz des Bundesverbandes<br />

IT-Sicherheit e.V.<br />

(Teletrust) und von Secusmart,<br />

die Anfang Oktober in Berlin<br />

stattfand. Kein Wunder, stand<br />

doch in deren Mittelpunkt das<br />

als abhörsicher angepriesene<br />

Handy von Secusmart [http://​<br />

​www.​secusmart.​com], das Hans-<br />

Christoph Quelle, CEO der<br />

Firma, vorstellte.<br />

Es handelt sich um ein für die<br />

sichere Sprach- und Datenübertragung<br />

gehärtetes Blackberry<br />

auf Basis des Modells<br />

Z10 mit Touchscreen. Dieses<br />

erhielt kürzlich eine vorläufige<br />

Zulassung des deutschen<br />

BSI (Bundesamt für Sicherheit<br />

in der Informationstechnik)<br />

für die Geheimhaltungsstufe<br />

„Nur für den Dienstgebrauch“<br />

(VS-NfD). Laut Quelle haben<br />

bereits 23 Behörden etwa 1200<br />

der Geräte geordert, deren<br />

Stückpreis Anfang des Jahres<br />

auf 2500 Euro geschätzt<br />

wurde.<br />

Die Tatsache, dass Blackberry,<br />

die gleichnamige Firma hinter<br />

dem Smartphone, in Schwierigkeiten<br />

steckt, scheint den<br />

Bestellungen keinen Abbruch<br />

getan zu haben. Auf den<br />

Smartphones läuft die Secu-<br />

Suite, die zwischen einer sicheren<br />

(geschäftlichen) und<br />

unsicheren (persönlichen)<br />

Zone unterscheidet. Erstere<br />

lässt die Anwender mobile<br />

Daten und Sprache verschlüsselt<br />

nutzen.<br />

Die persönliche Zone gebe<br />

es, um die Nutzer nicht in<br />

ihrem Komfort einzuschränken.<br />

Diese Erkenntnis habe<br />

man aus der Erfahrung mit<br />

früheren Modellen sicherer<br />

Smartphones gewonnen.<br />

2009 sollten die Mitarbeiter<br />

zwei sichere Handys mit sich<br />

herumtragen, eins zum Telefonieren,<br />

eines zum Surfen.<br />

Tatsächlich wurde in der Praxis<br />

häufig aus Bequemlichkeit<br />

ein drittes Handy verwendet,<br />

ein iPhone, weil es den beiden<br />

anderen Modellen schlicht an<br />

Bedienkomfort und Funktionen<br />

mangelte. n<br />

Auf einer Pressekonferenz in Berlin stellte der Secusmart-CEO ein abhörsicheres<br />

Handy auf Blackberry-Basis vor.<br />

APC-Boards<br />

Gema-Alternative C3S nimmt juristische Hürde<br />

Für ihre preiswerten ARM-<br />

Computer arbeitet die Firma<br />

APC an einer angepassten<br />

Version von Mozillas Mobilbetriebssystem<br />

Firefox OS.<br />

Die Entwicklung findet in<br />

einem öffentlichen Github-<br />

Repository statt, interessierte<br />

Entwickler müssen das System<br />

momentan noch aus dem<br />

Quelltext bauen.<br />

Weil die <strong>Vorschau</strong>version<br />

noch Mängel hat, winkt APC<br />

mit Preisen: Wer einen der<br />

vorhandenen Bugs behebt,<br />

die im Issue Tracker mit dem<br />

Label „Free APC“ versehen<br />

sind, erhält einen kostenlosen<br />

APC-Computer. Bei einem<br />

Preis von rund 50 US-Dollar<br />

ist das allerdings ein eher bescheidenes<br />

Honorar. n<br />

Auf ihrer Gründungsversammlung<br />

haben die Aktivisten der<br />

als Gema-Konkurrenz angetretenen<br />

Cultural Commons<br />

Collecting Society (C3S,<br />

[http://​www.​c3s.​cc]) eine Satzung<br />

beschlossen und einen<br />

Verwaltungsrat gewählt.<br />

Das ist jedoch nur die erste<br />

Hürde auf dem Weg zur eigenen<br />

Verwertungsgesellschaft<br />

auf Creative-Commons-Basis:<br />

Als Nächstes muss ein Verband<br />

die Satzung prüfen.<br />

Stimmt dieser zu, kann sich<br />

die C3S als Europäische Genossenschaft<br />

eintragen lassen.<br />

Im Jahr 2015 will sie<br />

schließlich beim Deutschen<br />

Patent- und Markenamt die<br />

Zulassung als Verwertungsgesellschaft<br />

beantragen.<br />

Im Gegensatz zur deutschen<br />

Gema möchte die C3S auch<br />

einzelne Werke von Künstlern<br />

vertreten und ein anderes, faires<br />

und flexibleres Ausschüttungsmodell<br />

anbieten. Dafür<br />

sammelte die Gesellschaft<br />

Spenden über die Crowdfunding-Plattform<br />

Startnext.<br />

Anvisiert waren ursprünglich<br />

200 000 Euro, um Entwickler<br />

zu finanzieren und das Projekt<br />

voranzubringen.<br />

Dank einer Förderungsempfehlung<br />

hätte Nordrhein-<br />

Westfalen noch 200 000 Euro<br />

draufgelegt und das Projekt so<br />

cofinanziert. Bis zum Stichtag,<br />

dem 30. September 2013, kamen<br />

nur 119 000 Euro zusammen.<br />

Die summierten sich mit<br />

den 31 000 Euro Startkapital<br />

und abzüglich der Crowdfunding-Kosten<br />

immerhin noch<br />

auf 130 000 Euro.<br />

Weil aber Nordrhein-Westfalen<br />

sein Angebot kurz vor<br />

dem Funding-Ende bis zum<br />

31. Dezember 2013 verlängert<br />

hat, bleibt nun doch noch etwas<br />

Zeit, die restlichen 70 000<br />

Euro zusammenzukriegen.<br />

Geschäftsführer Wolfgang<br />

Senges ist optimistisch, dass<br />

es klappen kann.<br />

Unter anderem können ab<br />

Oktober Interessenten direkt<br />

über die Webseite Mitglied<br />

der C3S werden und so dabei<br />

helfen, die Finanzierungslücke<br />

zu schließen. Eine erste<br />

Generalversammlung aller<br />

Unterstützer soll dann im<br />

März 2014 stattfinden. n


Open-ZFS-Projekt gestartet<br />

Das Mitte September gegründete<br />

Open-ZFS-Projekt [http://​<br />

​www.​open‐zfs.​org] möchte die<br />

Entwickler von ZFS für Illumos,<br />

Free BSD, <strong>Linux</strong> und<br />

OS X unter ein Dach bringen,<br />

um einen freien Nachfolger<br />

für Suns zukunftsweisendes<br />

Dateisystem zu liefern.<br />

Qualität, Dokumentation, Aufmerksamkeit<br />

und Kommunikation:<br />

All dies zu verbessern<br />

hat sich Open ZFS als Ziel gesetzt.<br />

Das Open-Source-Projekt<br />

will nicht nur eine freie<br />

Implementierung des vielseitigen<br />

Dateisystems schaffen,<br />

sondern in der Community<br />

sichtbarer werden, alles besser<br />

dokumentieren, die Einsteigerfreundlichkeit<br />

erhöhen<br />

und das Teilen von Code<br />

vereinfachen. Zudem wollen<br />

die Entwickler und Unterstützerfirmen<br />

die Zuverlässigkeit,<br />

den Funktionsumfang und die<br />

Performance von Open ZFS<br />

verbessern.<br />

ZFS hat auch deshalb viele<br />

Fans, weil es Funktionen vereint,<br />

die weit über normale<br />

Dateisysteme hinausgehen.<br />

Als transaktionales Filesystem<br />

beherrscht es Volume Management,<br />

Verschlüsselung,<br />

transparente Komprimierung<br />

und vieles mehr. Ursprünglich<br />

von Sun für Open Solaris entwickelt,<br />

hatte sich die <strong>Linux</strong>-<br />

Gemeinde schnell um eine<br />

funktionierende <strong>Linux</strong>-Implementierung<br />

von ZFS bemüht.<br />

Das seit 2006 entwickelte Fuse<br />

erzielte mit dem in Open Solaris<br />

frei verfügbaren Code eher<br />

beschauliche Ergebnisse. 2007<br />

portierte Apple ZFS auf OS X,<br />

Free BSD zog 2008 nach.<br />

Im selben Jahr begann die<br />

<strong>Linux</strong>-Gemeinde einen nativen<br />

Port zu entwickeln, doch<br />

2010 schien die Mühe mit<br />

dem Ende von Open Solaris<br />

vergebens. Erst der Open-<br />

Solaris-Nachfolger Illumos<br />

[http://​wiki.​illumos.​org] zeitigte<br />

2013 Erfolge, die in der ersten<br />

stabilen Version von ZFS<br />

on <strong>Linux</strong> [http://​zfsonlinux.​org]<br />

mündeten.<br />

n<br />

Zahlen & Trends 12/2013<br />

Aktuell<br />

www.linux-magazin.de<br />

17<br />

OSV: <strong>Neu</strong>es Cloud-OS der KVM-Macher<br />

Auf der Cloud-Open-Konferenz<br />

Mitte September in New<br />

Orleans angekündigt, fällt mit<br />

Version 0.01 der Startschuss<br />

für ein neues Cloud-Betriebssystem:<br />

OSV. Dessen Macher<br />

sind prominent, unter ihnen<br />

die KVM-Entwickler Avi Kivity<br />

und Dor Laor von Qumranet.<br />

Ihr Betriebssystem besitzt einen<br />

monolithischen Kernel,<br />

der nicht aus einem abgespeckten<br />

<strong>Linux</strong> oder BSD besteht,<br />

sondern eine Eigenentwicklung<br />

ist. OSV steht unter<br />

der 3-Clause-BSD-Lizenz und<br />

erfordert Programmiersprachen,<br />

die in der Java Virtual<br />

Machine (JVM) laufen, etwa<br />

Clojure, Jruby, Javascript,<br />

Scala oder Rhino. Auch einige<br />

bereits portierte C-Applikationen<br />

sollen laufen.<br />

Pro OSV-Instanz soll dabei<br />

nur ein Application-Server<br />

oder Framework laufen, das<br />

können etwa Cassandra,<br />

Jboss oder Hadoop sein. Den<br />

einzigen Address Space teilen<br />

sich Applikation und Kernel.<br />

Generell will OSV die Duplikation<br />

von Schutzmaßnahmen<br />

auf den verschiedenen Layern<br />

reduzieren. Läuft eine Java<br />

Virtual Machine, erkennt OSV<br />

dies und übergibt die Verwaltung<br />

von Pagetables, Speicher,<br />

Scheduler und I/​O an diese,<br />

was die Performance des Systems<br />

deutlich erhöhen soll.<br />

Die JVM ist in den Kernel integriert,<br />

Spezialapplikationen<br />

können den I/​O-Stack komplett<br />

umgehen.<br />

OSV läuft bisher auf KVM, Xen<br />

und in Amazons EC2, VMware-<br />

Support ist geplant. Es soll in<br />

der Cloud effizienter arbeiten<br />

als <strong>Linux</strong> und verwendet das<br />

ZFS-Dateisystem. Zudem nutzt<br />

es Huge Pages, den TCP-Stack<br />

von Free BSD und bootet angeblich<br />

in weniger als einer Sekunde.<br />

Optimierungen lassen<br />

sich über eine zentrale Konfigurationsdatei<br />

erledigen. Mehr<br />

Informationen zur Technologie<br />

liefert [http://​www.​osv.​io]. (kki/<br />

mfe/mhu/Tim Schürmann) n


Aktuell<br />

www.linux-magazin.de Kernel-News 12/2013<br />

18<br />

Zacks Kernel-News<br />

H8/​300-Architektur am Ende<br />

Günter Roeck schrieb an die<br />

Kernel-Mailingliste: „Die Architektur<br />

H8/​300 ist schon<br />

seit Jahren tot. Der zugehörige<br />

Kernel kompiliert schon<br />

ewig nicht mehr, und auch die<br />

neueren GCC-Versionen dafür<br />

sind kaputt. Es ist an der Zeit,<br />

die Unterstützung einzustellen.“<br />

Die ursprünglich von Hitachi<br />

entwickelten 8-Bit- und<br />

16-Bit-Mikrocontroller sind<br />

nun bei Renesas beheimatet<br />

und finden sich in Embedded-<br />

Geräten, zum Beispiel auch in<br />

den ersten programmierbaren<br />

Legosteinen.<br />

Obwohl er ein Patch zum Löschen<br />

aller betroffenen Dateien<br />

eingeschickt hat, räumt<br />

Günter ein, es sei nicht einfach,<br />

eine Architektur aufzugeben:<br />

„Man sollte das zwar<br />

diskutieren, aber jemand<br />

muss den ersten Schritt tun.<br />

Eine praktisch tote Architektur<br />

am Leben zu halten kostet<br />

Ressourcen, die anderswo<br />

besser genutzt wären.“<br />

Greg Kroah-Hartman gibt<br />

dem Patch seinen Segen und<br />

meint: „Wenn sich das nicht<br />

bauen lässt und es keiner<br />

mehr verwendet, sollten wir<br />

es entfernen. Sollte es jemand<br />

wiederbeleben wollen, gibt es<br />

ja »git revert«.“ Joe Perches<br />

Abschied von einer Architektur: In der ersten Generation von Legos Mindstorms-<br />

RCX-Klotz steckte Hitachis H8/​300-Prozessor.<br />

Wikipedia/Mairi (CC-BY-SA 3.0)<br />

hat den H8/​300-Maintainer<br />

Yoshinori Sato auf Kopie gesetzt,<br />

für den Fall, dass dieser<br />

die Architektur neu beleben<br />

möchte.<br />

Was die Terminplanung angeht,<br />

möchte Günter einen<br />

Zweig in seinem persönlichen<br />

Git-Repository anlegen,<br />

ihn für <strong>Linux</strong>-next einreichen<br />

und dann Linus Torvalds bitten,<br />

diesen im nächsten Merge-Window<br />

einzupflegen, das<br />

heißt für Kernel 3.13. „Damit<br />

haben alle genug Zeit, davon<br />

zu erfahren und sich zu beschweren<br />

oder Ecken zu finden,<br />

an denen etwas fehlt“,<br />

kommentiert Günter.<br />

Geert Uytterhoeven schlägt<br />

allerdings vor, erst auf eine<br />

Reaktion von Yoshinori zu<br />

warten. Dieser plant offenbar<br />

zum Kernel Summit zu kommen,<br />

der im Oktober in Edinburgh<br />

stattfindet. Dort könnten<br />

die Entwickler persönlich<br />

diskutieren, wie es mit der<br />

Architektur weitergeht. n<br />

Was bedeutet »EXPORT_SYMBOLS_GPL«?<br />

Der Gentoo-Entwickler Richard<br />

Yao fragte auf der Mailingliste<br />

nach, warum für LZ4-<br />

Symbole die »EXPORT_SYM-<br />

BOL_GPL« gelte. Der Code<br />

für den Komprimierungsalgorithmus<br />

stehe doch unter<br />

BSD-Lizenz. Ihm antwortete<br />

Matthew Garrett: „»EXPORT_<br />

SYMBOL_GPL« signalisiert,<br />

dass beim Verwenden des<br />

Symbols wahrscheinlich ein<br />

vom <strong>Linux</strong>-Kernel abgeleitetes<br />

Werk entsteht – und der<br />

steht eben unter GPL. Das hat<br />

nichts mit zusätzlichen Lizenzen<br />

zu tun, die für einzelne<br />

Bestandteile gelten.“<br />

Joe Perches verwies auf eine<br />

juristische Erörterung zum<br />

Thema unter [http://​www.​ifross.​<br />

​org/​en/​artikel/​ongoing‐dispute‐over<br />

‐value‐exportsymbolgpl‐function].<br />

Der verdiente Entwickler Rob<br />

Landley warnte dagegen vor<br />

juristischen Spekulationen<br />

außerhalb des Gerichtssaals:<br />

Allzu leicht könne man damit<br />

Anti-GPL-Anwälten in die<br />

Hände spielen.<br />

Außerdem merkt Joe an,<br />

Matthews Erläuterung zu<br />

»EXPORT_SYMBOL_GPL« sei<br />

unvollständig, denn sie gebe<br />

nur eine von zwei konkurrierenden<br />

historischen Erklärungen<br />

wieder. Matthew dagegen<br />

findet die Historie eindeutig<br />

und beendet damit die Diskussion.<br />

n


Umbenennen – doppelt und dreifach<br />

Der ungarische Entwickler<br />

Miklos Szeredi hat einen neuen<br />

Systemaufruf vorgeschlagen.<br />

Er heißt »rename2()«<br />

und soll das bestehende »rename()«<br />

ergänzen. Während<br />

»rename()« eine einzelne<br />

Datei umbenennt, nimmt der<br />

neue Aufruf zwei Dateien<br />

und vertauscht deren Namen.<br />

„Das ermöglicht interessante<br />

Dinge, die vorher nicht gingen.<br />

Beispielsweise kann man<br />

nun ein Verzeichnis atomar<br />

durch einen symbolischen<br />

Link ersetzen“, preist er seinen<br />

Code an.<br />

Daneben schreibt Miklos,<br />

»rename2()« könne den so<br />

genannten Whiteout bei stapelbaren<br />

Dateisystemen elegant<br />

lösen, ohne Systemcalls<br />

wie »rmdir« und »mkdir« um<br />

komplizierten Code zu erweitern.<br />

Ein Whiteout kommt<br />

zum Einsatz, wenn jemand in<br />

einem Dateisystemstapel eine<br />

Datei löschen möchte, die eigentlich<br />

auf einem Read-only-<br />

Dateisystem liegt. Er gaukelt<br />

dem Anwender vor, die Datei<br />

sei verschwunden.<br />

Der Brite H. Peter Anvin<br />

spinnt den Gedanken noch<br />

weiter und schlägt Miklos vor,<br />

beim Umbenennen nicht nur<br />

den Namen A mit dem Namen<br />

B zu vertauschen, sondern ein<br />

»rename3()« zu programmieren.<br />

Dies solle A in B umbenennen<br />

und, wenn Datei B<br />

schon existiert, auch B in C.<br />

Damit, so Peter, könne Miklos<br />

gleichzeitig seinen ursprünglichen<br />

Plan umsetzen, denn<br />

»rename(A,B,A)« vertausche<br />

einfach die Namen.<br />

Hier meldete sich Linus<br />

Torvalds und erzählte, Miklos<br />

hätte das dreifache Rename<br />

bereits umgesetzt. Es sei allerdings<br />

äußerst kompliziert<br />

gewesen und hätte nicht zum<br />

Rest des API gepasst. Er bevorzuge<br />

daher die einfachere<br />

Lösung »rename2()«. Linus:<br />

„Ich war erleichtert, als ich<br />

die einfachere, saubere Version<br />

sah. Die Alternative war<br />

wirklich schrecklich.“ n<br />

AMD-Tuning<br />

Der amerikanische Entwickler<br />

Austin Hemmelgarn hat Optimierungen<br />

für einige AMD-<br />

Prozessoren eingeschickt. „Sie<br />

bieten spürbare Verbesserungen<br />

gegenüber der Standardkonfiguration<br />

für K8“, schrieb<br />

er zu seinem Patch. Borislav<br />

Petkov reagierte reserviert:<br />

„Bitte belege die Verbesserungen,<br />

denn der letzte Kandidat<br />

konnte das nicht.“ Aber auch<br />

Austins Zahlen überzeugten<br />

Borislav nicht.<br />

Austins Patch hätte ohnehin<br />

nur sehr wenige Anwender<br />

erreicht, denn <strong>Linux</strong>-Distributionen<br />

liefern ihre Kernel stets<br />

in generischer Konfiguration<br />

aus. (Zack Brown/​mhu) n<br />

Kernel-News 12/2013<br />

Aktuell<br />

www.linux-magazin.de<br />

19


Aktuell<br />

www.linux-magazin.de OX Summit 12/2013<br />

20<br />

OX-Summit 2013 in St. Pauli<br />

Volle Kraft voraus<br />

Auf einem Frachtschiff im Hamburger Hafen versammelte die Open Xchange Partner, Entwickler und Kunden<br />

zum OX Summit 2013. Zur Keynote kam PGP-Legende Phil Zimmermann, nachmittags gab es Visionen und Technik,<br />

abends Rockmusik, einen DJ oder eine Party auf der Reeperbahn. Text und Fotos: Markus Feilner<br />

alle E-Mails löschen ließ –<br />

weil er keine Daten in seinem<br />

Unternehmen haben will, die<br />

er nach geltender Rechtslage<br />

herausrücken müsste, die ihm<br />

aber nicht gehören.<br />

Zimmermann hielt sich auch<br />

nicht mit einer typischen Keynote<br />

auf, sondern eröffnete<br />

gleich nach wenigen Sätzen<br />

eine lockere Q&A-Session,<br />

was das Publikum mit vielen<br />

Fragen honorierte.<br />

Abbildung 1: An den St.-Pauli-Landungsbrücken: Der Frachter Cap San Diego, Austragungsort des OX Summit 2013.<br />

Putin, die NSA und<br />

mensch liche Makel<br />

Zwar trockenen Fußes über<br />

die Landungsbrücken des<br />

Hamburger Hafens zu erreichen,<br />

aber tief im Bauch eines<br />

angelegten Frachters präsentierte<br />

sich die Open-Xchange-<br />

Community auf ihrem Summit<br />

([1], [2]). Positive Visionen in<br />

Zeiten von Prism & Co. bieten<br />

wolle man, und selbstverständlich<br />

sei dabei Open<br />

Xchange der Einstieg in die eigene,<br />

sichere Wolke, so hatte<br />

der Groupware-Hersteller im<br />

Vorfeld erklärt.<br />

Auf dessen Einladung trafen<br />

sich an Bord des Museumsschiffes<br />

„Cap San Diego“<br />

gut 300 OX-Fans, ‐Anwender<br />

und ‐Entwickler. Zahlreiche<br />

Provider und Hoster (von<br />

Services, Servern und Diensten)<br />

und die Hersteller von<br />

Management-Tools für Cloud,<br />

mobile Geräte und Internetauftritte<br />

füllten den Bauch des<br />

Sechziger-Jahre-Frachters mit<br />

Ständen und Vorträgen (Abbildung<br />

1).<br />

Unter Deck: Apple,<br />

Orwell und die Cloud<br />

Zwischen Stahlwänden, Paletten<br />

und zahlreichem schillernden<br />

Marine-Equipment (Abbildung<br />

2) eröffnete OX-CEO<br />

Rafael Laguna die Vorträge<br />

mit einer multimedialen Einführung:<br />

Er griff zurück auf<br />

das legendäre Apple-Video<br />

aus dem Jahre 1984, in dem<br />

die amerikanische Firma vor<br />

IBMs Dominanz warnte, Orwell-Perspektiven<br />

beschwor<br />

und sich als Retter der Menschheit<br />

darstellte [3].<br />

Angesichts von Prism und der<br />

geschlossenen, zensierenden<br />

Struktur der Apple-Angebote,<br />

so Laguna, würden viele<br />

Menschen dieses Video heute<br />

sicherlich anders interpretieren.<br />

Die Lacher im Publikum<br />

hatte er damit auf seiner Seite,<br />

auch als er fortfuhr und Open<br />

Xchange als den Ausweg<br />

und die zentrale Schnittstelle<br />

in der selbst kontrollierten<br />

Cloud („Control your data!“)<br />

präsentierte. Daran wolle<br />

Open Xchange weiterhin arbeiten,<br />

zugleich plane man<br />

den weiteren Ausbau der OX<br />

App Suite mit den Web Documents<br />

und anderen Web-<br />

Office-Formaten.<br />

Die eigentliche Keynote war<br />

der Crypto-Legende Phil Zimmermann<br />

vorbehalten, dem<br />

Erfinder der Mailverschlüsselungssoftware<br />

PGP (Abbildung<br />

3). Er hat mit seiner eigenen<br />

Firma Silent Circle kürzlich<br />

für Furore gesorgt, als er die<br />

„sicheren Maildienste“ angesichts<br />

der Prism-Enthüllungen<br />

aus dem Angebot strich und<br />

Seine Meinung ist klar: Eine<br />

alles wissende Regierung<br />

war bis vor Kurzem unvorstellbar,<br />

bleibe für ihn aber<br />

purer Horror. Die NSA-Daten<br />

nennt er „eine Datenbank<br />

des menschlichen Fehlverhaltens“,<br />

Daten auf dem Server,<br />

in der Cloud, zu speichern,<br />

das sei immer eine schlechte<br />

Idee. „Man stelle sich mal vor,<br />

was jemand wie Putin mit diesen<br />

Daten anfangen würde!“,<br />

meint Zimmermann.<br />

Auch staatliche Backdoors<br />

seien niemals zielführend,<br />

sie verhinderten vielmehr<br />

jedwede Sicherheit, beteuerte<br />

er auch später hoch droben<br />

auf der Brücke der Cap<br />

San Diego im Interview mit<br />

dem <strong>Linux</strong>-<strong>Magazin</strong> (Abbildung<br />

5).<br />

Die Deutschen seien aus historischen<br />

Gründen zwar noch<br />

sensibler für das Thema als


OX Summit 12/2013<br />

Aktuell<br />

www.linux-magazin.de<br />

21<br />

Abbildung 2: Die Vorträge fanden<br />

unter Deck der Cap San Diego statt.<br />

Abbildung 3: Phil Zimmermann bei seiner Keynote im zum Konferenzzentrum umgebauten Frachtraum. Viele Fragen aus<br />

dem Publikum drehten sich um Prism, aber auch darum, warum seine Firma Silent Circle alle E-Mail-Dienste einstellte.<br />

amerikanische Bürger, aber<br />

auch die müssten früher oder<br />

später einsehen, dass über<br />

Backdoors irgendwann chinesische<br />

Hacker in die Systeme<br />

eindrängen. Bringe man die<br />

Regierungen hingegen dazu,<br />

selbst die gleiche Software<br />

zu nutzen wie ihre Bürger,<br />

verhindere das Sicherheitsbedürfnis<br />

letztlich auch Hintertüren.<br />

Aber der derzeit stattfindende<br />

Zirkelschluss der<br />

Geheimdienste beeinträchtige<br />

die Grundrechte der Amerikaner<br />

genauso, wahrscheinlich<br />

sogar mehr als die der Deutschen<br />

oder Chinesen, da ist<br />

sich Zimmermann sicher.<br />

Nur End-to-End<br />

Besonders betroffen mache<br />

ihn die Tatsache, dass hier<br />

gerade „das offene und freie<br />

Internet benutzt wird, um uns<br />

alle auszuspähen“. Ohne Endto-End-Verschlüsselung<br />

und<br />

sichere Datenspeicher gebe<br />

es keine vertrauliche Kommunikation.<br />

„Deshalb habe ich<br />

beschlossen, die Maildienste<br />

von Silent Circle [4] einzustellen<br />

und uns voll auf die<br />

VoIP-Technologie zu konzentrieren.“<br />

Die laufe anders als<br />

PGP auch auf Smartphones<br />

und erlaube für jeden Kommunikationsvorgang<br />

One-<br />

Time-Keys – so sei sie auch<br />

gegen die NSA gefeit. „Ich<br />

kenne ja Ihre Anforderungen<br />

an Security nicht, aber glauben<br />

Sie mir: Meine Ansprüche<br />

sind höher.“<br />

Don’t overcomply!<br />

Was man denn ändern könne?<br />

„Nicht kooperieren!“, fordert<br />

Zimmermann und prangert<br />

vor allem den vorauseilenden<br />

Gehorsam vieler IT-Unternehmen<br />

und Hoster an. Kurz,<br />

aber kaum übersetzbar, rät er<br />

auf Englisch: „Don’t overcomply!<br />

Niemand zwingt sie, ausschließlich<br />

unverschlüsselte<br />

Kommunikation anzubieten,<br />

niemand verlangt, dass Sie<br />

Kundendaten unverschlüsselt<br />

ablegen.“<br />

OX-CEO Rafael Laguna pflichtet<br />

ihm bei: „Jedes Volk hat<br />

die Regierung, die es verdient,<br />

das wissen wir hier<br />

in Deutschland besser als<br />

andere. Die Gesetzgeber verstehen<br />

einfach nicht, worum<br />

es geht. Vielleicht löst sich<br />

das Problem aber von selbst,<br />

wenn irgendwann mal eine<br />

Generation in die Büros einzieht,<br />

die mit dem Internet<br />

aufgewachsen ist.“<br />

Zimmermann ist nicht ganz<br />

so skeptisch: Auf die Frage,<br />

ob man wirklich nur abwarten<br />

könne, erzählt er eine Anekdote<br />

aus der Nixon-Ära: Der<br />

an chronischem Verfolgungswahn<br />

leidende US-Präsident<br />

hatte Anti-Vietnamkriegs-<br />

Demonstrationen aus der<br />

Luft mit U2-Flugzeugen beobachten<br />

lassen, um aus der<br />

Anzahl der demonstrierenden<br />

Amerikaner auf jene mit einer<br />

Haltung gegen den Krieg<br />

schließen zu können. Weil das<br />

so viele waren, so Zimmermann,<br />

habe Nixon doch keine<br />

Atombombe auf Nordvietnam<br />

werfen lassen. „Verstehen Sie?<br />

Wie mächtig kann eine Demonstration,<br />

eine Bewegung<br />

noch sein?!“, fragt er.<br />

Vier Cloud-Gebote<br />

Doch nicht nur Prism stand<br />

auf der Agenda des Summits,<br />

auch Technik und Visionen<br />

kamen nicht zu kurz: OX-CEO<br />

Abbildung 4: Hafen mit Herz: Unweit<br />

des Summits tobte der Rummel des<br />

Reeperbahn-Festivals auf St. Pauli.<br />

Abbildung 5: In der Kapitänskajüte hoch oben neben der Brücke traf sich Phil Zimmermann<br />

(rechts) zum Gespräch mit <strong>Linux</strong>-<strong>Magazin</strong>-Redakteur Markus Feilner.<br />

Abbildung 6: Open-Xchange-CEO<br />

Rafael Laguna bei seiner Keynote.


Aktuell<br />

www.linux-magazin.de OX Summit 12/2013<br />

22<br />

Abbildung 7: Lange schwarze Haare, schwarzer Hut und bunte Kleidung sind die<br />

Markenzeichen von Francisco Laguna, der sein Projekt IDDIR vorstellte.<br />

Abbildung 8: Am Nachmittag teilte sich das Programm in technische Tracks auf,<br />

in denen viele Firmen eigene OX-Erweiterungen und Admin-Tools vorführten.<br />

Laguna stellte vier Gebote für<br />

moderne, vertrauenswürdige<br />

Clouddienste vor: Diese müssten<br />

Multi-Provider-fähig sein,<br />

auch über Landesgrenzen hinweg.<br />

Anwender müssten jederzeit<br />

in der Lage sein, ihre<br />

Daten herauszuholen und<br />

woanders abzulegen. Dafür<br />

bedürfe es geeigneter Migrationstools,<br />

aber auch (drittens)<br />

einer Software des Dienstes<br />

selbst, damit auch paranoide<br />

User die Cloud im Eigenbetrieb<br />

managen könnten. Und<br />

viertens sei Laguna zufolge<br />

nur Software vertrauenswürdig,<br />

die im Quelltext vorliege.<br />

Closed-Source-Software sei<br />

nicht ausreichend überprüfbar<br />

(Abbildung 6).<br />

Technik, Tracks, Musik<br />

Nach dem Mittagessen teilte<br />

sich der OX Summit in drei<br />

Tracks auf, in denen Techniker<br />

Features und neue Addons<br />

oder Planungen für OX-Tools<br />

und ‐Implementierungen<br />

vorstellten. Open Xchange<br />

will die OX App Suite (das<br />

App-fähige Webinterface mit<br />

Dokumenten ähnlich Google<br />

Docs) weiter ausbauen und<br />

zu einer vollständigen Web-<br />

Office-Solution ausbauen.<br />

Tabellen und Präsentationen<br />

stehen als Nächstes an. Für<br />

dieses Ziel hat OX Mitarbeiter<br />

aus der ehemaligen Star-Office-Belegschaft<br />

angeworben,<br />

auch deshalb gibt es mittlerweile<br />

ein Hamburger Büro der<br />

Open Xchange GmbH.<br />

Für Aufsehen sorgte wieder<br />

einmal Lagunas Bruder Francisco,<br />

der auf den Summits<br />

regelmäßig kreative Ideen<br />

vorstellt. Er vermochte auch<br />

diesmal die Zuschauer zu begeistern<br />

– was aber zum Teil<br />

sicher an der Eiskrem lag, die<br />

er verteilte. Sein Projekt (Abbildung<br />

7) „Social Ice Cream<br />

WebService discoverable via<br />

DNS“ oder auch „Ice Cream<br />

Data Directory“ (IDDIR, [5])<br />

spielt mit der Idee, Daten, die<br />

sonst nur in sozialen Netzwerken<br />

veröffentlicht sind,<br />

auch per DNS-Lookup abrufbar<br />

zu machen – zum Beispiel<br />

die Vorliebe eines Menschen<br />

für eine Eissorte.<br />

Den Abschluss am Abend<br />

machten zwei Diskussionsrunden<br />

– wieder mit Stargast<br />

Zimmermann und der CEO-<br />

Couch, passend zur Location<br />

aus Paletten (Abbildung 9)<br />

zusammengestellt.<br />

Wem die aus dem englischen<br />

Bath angereiste Band „Kill it<br />

Kid“ (Abbildung 10) mit Rock<br />

und Keyboard-Akkorden zu<br />

laut wurde, der konnte ins<br />

nahe St. Pauli ausweichen, wo<br />

auf zahlreichen Bühnen das<br />

„Reeperbahn Festival“ (Abbildung<br />

4) Tausende Besucher<br />

anzog. Der nächste OX-<br />

Summit wird im September<br />

2014 in München stattfinden,<br />

wenige Tage vor dem Oktoberfest.<br />

<br />

n<br />

Infos<br />

[1] OX Summit 2013: [http://​<br />

summit. open‐xchange. com/]<br />

[2] <strong>Linux</strong>-<strong>Magazin</strong>-Bericht zum<br />

OXS13:<br />

[http:// www. linux‐magazin.​<br />

de/ NEWS/ Volle‐Kraft‐voraus‐<br />

OX‐Summit‐2013‐in‐St. ‐Pauli/]<br />

[3] Apple’s Macintosh Commercial:<br />

[http://www.youtube.<br />

com/watch?v=8UZV7PDt8Lw]<br />

[4] Silent Circle:<br />

[http://www.silentcircle.com]<br />

[5] Francisco Lagunas Vortrag<br />

übers Ice Cream Directory:<br />

[http:// summit. open‐xchange.​<br />

com/ fileadmin/ user_<br />

upload/ open‐xchange/ misc/​<br />

partnersummit_2013/ agenda/​<br />

FranciscoLaguna_OX. pdf]<br />

Abbildung 9 : Die CEO-Couch bestand – stilecht für ein Frachtschiff – aus Europa<br />

letten: Rafael Laguna und Phil Zimmermann bei der Podiumsdiskussion.<br />

Abbildung 10: Satter Rock im Rahmenprogramm: Kill it Kid rockte unter Deck,<br />

später brachte Promi-DJ „Mashup Germany“ die Besucher auf die Tanzfläche.


Titelthema<br />

www.linux-magazin.de Scrum und Kanban 12/2013<br />

24<br />

Administration agil: Devops, Scrum und Kanban<br />

Frischer Wind<br />

Wie organisieren moderne Firmen ihren IT-Betrieb? Das <strong>Linux</strong>-<strong>Magazin</strong> widmet dieser Frage seinen Schwerpunkt.<br />

Zu Beginn sieht sich die Redaktion in zwei Internet-Unternehmen in Berlin und München um und stieß<br />

auf die agilen Methoden Scrum und Kanban, die derzeit in Admin-Abteilungen einziehen. Kristian Kißling, Mathias Huber<br />

© Krockenmitte, photocase.com<br />

Besonderheit hin: Betriebler sitzen zusammen<br />

mit Entwicklern vor Monitoren<br />

und arbeiten in Teams an Projekten.<br />

Devops<br />

Das Foyer von Immobilienscout24, nach<br />

eigener Aussage Betreiberin von Deutschlands<br />

größter Immobilienwebseite [1],<br />

zeigt sich beim Betreten hell und freundlich.<br />

Das moderne Gebäude steht im hippen<br />

Berliner Stadtteil Friedrichshain, das<br />

für seine Startup-Dichte bekannt ist.<br />

Die Firma mit ihren 600 Mitarbeitern<br />

als Startup zu bezeichnen, wäre allerdings<br />

verfehlt: Die Muttergesellschaft, die<br />

Scout-24-Holding, sitzt in München und<br />

ist seit 2006 Tochter der Deutschen Telekom.<br />

Richtig ist jedoch, dass Immobilienscout24<br />

im selben Teich nach Mitarbeitern<br />

angelt wie die Berliner Startup-Szene<br />

– was die hier herrschende Firmenkultur<br />

zum Teil erklärt.<br />

IT-Welten<br />

Mit dem Fahrstuhl geht es in den vierten<br />

Stock, der Teile des IT-Bereiches der<br />

Firma beherbergt, durch die Schlomo<br />

Schapiro einen Rundgang führt. Er ist<br />

Open-Source-Evangelist, Systemarchitekt<br />

bei Immobilienscout24 und oft als Sprecher<br />

auf Konferenzen aktiv.<br />

Die Firmen-IT besteht grob aus zwei Bereichen,<br />

der IT und der Corporate IT.<br />

Während sich in letzterer etwa 20 Mitarbeiter<br />

um die interne Rechnerstruktur<br />

der Firma kümmern und etwa 1 200 Geräte<br />

verwalten, befasst sich die IT, die<br />

aus sechs Abteilungen mit 170 Mitarbeitern<br />

besteht, ausschließlich mit der<br />

Internetplattform. Eine Abteilung heißt<br />

IT-Production, in ihr kümmern sich 30<br />

Fachkräfte ausschließlich um den Betrieb<br />

der Plattform, welche die Firma täglich<br />

mehrmals aktualisiert.<br />

Lange Flure, keine Trennwände, offene<br />

Räume, die Arbeitsplätze sind in kleinen<br />

Clustern gruppiert. Zum Gang hin zeigen<br />

mit Zetteln beklebte Tafeln, man sieht<br />

Diagramme, bekritzelte, farbige Post-its,<br />

Grafiken, Pfeile. Schapiro weist auf eine<br />

Das ist nicht immer so gewesen, erklärt er.<br />

Beide Welten haben früher eher getrennt<br />

voneinander operiert. In der klassischen<br />

IT programmieren und testen Entwickler<br />

ein Produkt und werfen es dann den<br />

Admins „über den Zaun“. Dann heißt es<br />

zum Beispiel, diese Software braucht „einen<br />

Tomcat Version 5 auf einem RHEL,<br />

Version alt – viel Spaß damit!“ Geben<br />

aber Dutzende von Entwicklerteams ihre<br />

Vorstellungen an die Betriebler weiter,<br />

erhöht das die Komplexität der Plattform<br />

und verlangsamt die Arbeit.<br />

Die Lösung, da ist Schapiro sicher, heißt<br />

Devops. Das Kunstwort verbindet Developer<br />

und Operations und ist keine Stellenbeschreibung,<br />

sondern ein Konzept. Die<br />

Teams sollen selbst mehr Verantwortung<br />

übernehmen und die Dinge unabhängig<br />

von anderen Teams lösen. Zugleich erhalten<br />

sie mehr Freiheit: Es gibt Rootzugriffe<br />

auf die Systeme. Die Teams installieren<br />

Dienste, die sie brauchen, müssen dann<br />

aber auch Support dafür leisten. Schon<br />

deshalb sprechen sich die Mitarbeiter untereinander<br />

mehr ab.<br />

Generell versucht Immobilienscout24,<br />

die Entwicklungsteams stärker voneinander<br />

zu entkoppeln, damit diese in ihrer<br />

eigenen Geschwindigkeit arbeiten können.<br />

Es gibt zum Beispiel die „Serviceline<br />

Suche“, die sich um die Suchfunktion der<br />

Plattform kümmert und die „Serviceline<br />

Anbieten“, die alle Aufgaben betreut, die<br />

mit dem Veröffentlichen eines Immobilienobjekts<br />

zusammenhängen. Möchte die<br />

Suchabteilung früher eine neue Tomcat-


Abbildung 1: Ein Kanban-Board bei Immobilienscout24 mit den typischen Task-Zetteln.<br />

Version verwenden als die Anbieten-Abteilung,<br />

ist das laut Schapiro kein Problem<br />

mehr, alle Beteiligten achten auf<br />

Abwärtskompatibilität.<br />

Es geht weiter im Programm. Im Gang,<br />

zwischen zwei Feuertüren, hängt ein<br />

größeres Poster an der Wand, ein Kanban-Board<br />

(Abbildung 1). Das ist das<br />

Planungsinstrument der Service Lines,<br />

erklärt der Systemarchitekt. Alle haben<br />

auf diese Weise Einblick in die geleistete<br />

Arbeit sowie die anstehenden und<br />

erledigten Aufgaben. Wirtschaften die<br />

Teams, wenn sie trotz gleicher Ziele so<br />

unabhängig voneinander arbeiten, nicht<br />

aneinander vorbei? Diese Frage reicht<br />

Schapiro direkt an Sebastian Kirsch weiter,<br />

der gerade aus dem Treppenhaus<br />

kommt und Softwarearchitekt ist.<br />

Scrum und Kanban<br />

„Rein organisatorisch versuchen wir,<br />

dass diese Abhängigkeit überhaupt gar<br />

nicht existiert“, gibt Kirsch zu Protokoll.<br />

Müssen zwei Teams zusammenarbeiten,<br />

gibt es unterschiedliche Strategien, die<br />

sich nicht ohne weiteres verallgemeinern<br />

lassen. Ein Weg besteht darin, sich im<br />

Team einen Anführer zu suchen und den<br />

Ablauf zusammen mit einem Scrum-Master<br />

zu organisieren. Immobilienscout beschäftigt<br />

für solche Aufgaben 15 Scrum-<br />

Master – Organisationsprofis.<br />

Devops macht Tempo<br />

Doch warum eine klassische und bewährte<br />

IT-Struktur umkrempeln? „Mein<br />

Eindruck ist, dass man als Firma mit den<br />

alten Arbeitsmodellen nicht mehr wirtschaftlich<br />

bestehen kann.“ erklärt Schapiro.<br />

Um an der Spitze zu bleiben, muss<br />

jedes Unternehmen steigende Anforderungen<br />

bei gleichbleibender Mitarbeiterzahl<br />

kompensieren, was nur über Automatisierungen<br />

klappe, die zum Konzept<br />

von Devops gehören. Nur so sei es zum<br />

Beispiel möglich, doppelt so viele Server<br />

bei gleichen Kosten zu betreiben.<br />

In der Planungsphase gibt es meist zwei<br />

Estimation-Meetings. Im ersten werden<br />

die Aufgaben grob geplant, wobei es<br />

wichtig ist, über die Ziele (Stories) zu<br />

reden und weniger über die technische<br />

Umsetzung. Zudem entsteht ein grober<br />

Zeitplan. Im zweiten Estimation-Meeting<br />

brechen die Beteiligten die Aufgaben<br />

dann auf kleine Tasks herunter, die sie<br />

auf Zettel schreiben und abarbeiten. Weitere<br />

Informationen zur Vorgehensweise<br />

gibt der Kasten „Scrum: Gemeinsame<br />

Sprints und Rückblicke“.<br />

Scrum hat eine Entwicklung angestoßen,<br />

erklärt Schapiro, seither drehe sich in<br />

der Firmen-IT das ganze Rad der Welt<br />

ein Stück schneller. Die Organisation<br />

musste sich anpassen, um am Ruder zu<br />

bleiben. Also entschied man sich, Kanban<br />

für den Betrieb einzusetzen und in<br />

Devops-Manier gemeinsam mit den Entwicklern<br />

an den Zielen zu arbeiten. Zu<br />

den neuen Methoden gehört es auch,<br />

offener zu arbeiten, Verantwortung und<br />

Rechte abzugeben, gleichberechtigt miteinander<br />

umzugehen und die Probleme<br />

des Gegenüber stärker in die Planung zu<br />

integrieren. Auch das Management muss<br />

sich an dem Prozess beteiligen.<br />

Agil in München<br />

Die Einführung von Scrum hat auch beim<br />

Internetunternehmen Gutefrage.net [2]<br />

in München die Arbeitsweisen verändert.<br />

Das zur Holtzbrink-Gruppe gehörende<br />

Unternehmen betreibt dort mit insgesamt<br />

100 Mitarbeitern sieben verschiedene<br />

Themenportale und vier Ratgeberportale<br />

mit über zwei Millionen Mitgliedern.<br />

Scrum und Kanban 12/2013<br />

Titelthema<br />

www.linux-magazin.de<br />

25<br />

Scrum: Gemeinsame Sprints und Rückblicke<br />

Scrum ist eine Vorgehensweise in der Softwareentwicklung,<br />

bei der die Beteiligten empirisch,<br />

iterativ und inkrementell arbeiten. Die<br />

Arbeit am Produkt zerlegen sie in einzelne, gut<br />

überprüfbare Teilaufgaben. Diese arbeitet das<br />

Team wiederholt in festen Zeitintervallen ab,<br />

den so genannten Sprints, die typischerweise<br />

zwischen zwei und vier Wochen dauern. Der<br />

Scrum Master begleitet und koordiniert den<br />

Prozess, ist aber kein Mitglied des eigentlichen<br />

Entwicklerteams.<br />

Für Transparenz sorgt unter anderem der Daily<br />

Scrum am Morgen, eine kurze tägliche Besprechung<br />

von maximal 15 Minuten Dauer. Sie verschafft<br />

den Beteiligten einen Überblick über<br />

den aktuellen Stand der Arbeiten. Als Namensgeber<br />

fungierte der Scrum beim Rugby, jene<br />

dicht gedrängte Aufstellung, die die Spieler<br />

regelmäßig nach Entscheidungen des Schiedsrichters<br />

als Ausgangsposition einnehmen. Der<br />

Scrum of Scrums (SoS) findet ebenfalls täglich<br />

statt und dient der Koordination der verschiedenen<br />

Teams, jedes entsendet einen Vertreter<br />

dorthin.<br />

Einem abgeschlossenen Sprint schließen sich<br />

Review und Retrospektive zum Evaluieren der<br />

Ergebnisse und zur Reflexion über die gemachten<br />

Erfahrungen an. Darauf folgt die Planung<br />

des nächsten Sprints, der weiterer Arbeit am<br />

Produkt dient. Die Ziele und die Lösungswege<br />

haben sich unter Umständen als Resultat des<br />

vorhergehenden Sprints geändert.<br />

Aufbauend auf Arbeiten und Vorträgen in<br />

den 90er Jahren präsentierten die Amerikaner<br />

Ken Schwaber und Jeff Sutherland Scrum<br />

erstmals im Jahr 1995 als Prozess für die<br />

Softwareentwicklung in einem Konferenzbeitrag.<br />

Ihr Scrum Guide [3] gilt heute als<br />

offizielle Definition der Vorgehensweise und<br />

ist in zahlreiche Sprachen übersetzt. Organisationen<br />

wie die Scrum Alliance [4] oder<br />

Scrum.org [5] vergeben Zertifizierungen für<br />

Scrum Master und Ausbilder.<br />

Scrum verspricht, möglichst schnell und preiswert<br />

zu einem hochwertigen Produkt zu führen.<br />

Statt Anweisungen von oben steht die Zusammenarbeit<br />

in einem hochqualifizierten Team im<br />

Mittelpunkt.<br />

Fortsetzung auf Seite 26


35 Entwickler arbeiten ständig an den<br />

Webseiten und sorgen kontinuierlich für<br />

Verbesserungen und <strong>Neu</strong>erungen. Vor<br />

drei Jahren stiegen sie vom klassischen<br />

Wasserfall-Modell auf Scrum um. „Damit<br />

konnten sie schneller und marktgerechter<br />

arbeiten und häufiger Releases machen“,<br />

erklärt Robert Misch, der bei Gutefrage.<br />

net den Titel Agile Coach trägt. Der studierte<br />

Betriebswirt betreut nicht nur die<br />

Programmierer in Sachen Organisationsmethoden,<br />

sondern auch die Systemadministratoren<br />

der Operations genannten<br />

Abteilung (Abbildung 2).<br />

Seit der Einführung von agilen Methoden<br />

müssen die Admins rascher auf die<br />

Anforderungen der Entwickler reagieren.<br />

„Es gibt keine Sechs-Wochen-Projekte<br />

mehr. Wir machen praktisch täglich eine<br />

Release“, erzählt Florian Pfeiffer nicht<br />

ohne Stolz. Er ist Fachinformatiker und<br />

leitet das Operations-Team, das über 4,5<br />

Planstellen verfügt. Seine Mannschaft<br />

entsendet täglich um 11 Uhr einen Vertreter<br />

in den Scrum of Scrums (SoS), bei<br />

dem die Entwicklerteams mit ihnen die<br />

nächsten Aufgaben besprechen.<br />

Kanban<br />

Dabei praktiziert das Unternehmen gar<br />

kein Scrum im eigentlichen Sinn mehr.<br />

Seit Februar 2013 heißt die Devise Kanban<br />

(siehe Kasten „Kanban: Pull-Prinzip<br />

und Visualisierung“). Scrums feste<br />

Sprint-Zyklen haben sich für die Entwickler<br />

von Gutefrage.net als zu starr erwiesen.<br />

Auf die Arbeit der Administratoren<br />

passten sie nie, denn sie haben neben<br />

Releases stets eine Menge Wartungsarbeit<br />

(Maintenance) zu erledigen.<br />

Und so finden sich im Operations-Büro<br />

neben Monitoren, auf denen die Software<br />

Open TSDB [6] die Auslastung der<br />

Server visualisiert, zwei Whiteboards,<br />

auf denen das Team Kanban praktiziert<br />

– mit Filzstift, Magneten und Zetteln.<br />

Eines gilt der Maintenance und bildet daher<br />

auch Prioritäten ab, denn schließlich<br />

ist eine Downtime der Webanwendung<br />

dringender als ein Routine-Update einer<br />

Komponente.<br />

Wer von den Admins Zeit hat, übernimmt<br />

den nächsten anstehenden Job. Der Zettel<br />

dazu kommt praktischerweise aus<br />

einem kleinen Thermodrucker, den die<br />

Mitarbeiter an den Issue Tracker Jira [7]<br />

angebunden haben. „Man kann sich als<br />

Einzelner nicht mehr die Rosinen herauspicken“,<br />

beschreibt Pfeiffer den neuen<br />

Alltag. „Für das Team als Ganzes ist das<br />

aber gut. Zudem verteilen wir das Wissen<br />

auf alle, indem wir immer paarweise an<br />

Aufgaben arbeiten.“<br />

Das zweite Board nimmt längerfristige<br />

Projekte auf. Kommt ein Entwickler zu<br />

Besuch ins Operations-Büro, kann Pfeiffer<br />

ihm auf der Tafel zeigen, warum sein<br />

Wunsch möglicherweise noch nicht erfüllt<br />

ist. Dabei brauchen die Admins dank<br />

Chef [8], einer Open-Source-Lösung für<br />

das Konfigurationsmanagement, nur<br />

mehr fünf Minuten, um einen neuen<br />

Server aufzusetzen. „Eine Segnung der<br />

modernen Zeit“, nennt es Pfeiffer.<br />

Keine Angst vor Bewegung<br />

In Berlin endet der Rundgang bei Immobilienscout<br />

24 beim Management. Ingmar<br />

Krusch (Abbildung 3) hat ein eigenes<br />

Büro mit freiem Blick auf Baumgipfel und<br />

Hochhäuser, dessen Wände ebenfalls mit<br />

Zetteln übersät sind. Früher war er Entwickler,<br />

jetzt ist er Abteilungsleiter der<br />

IT-Production. Er glaubt: Wenn sich Menschen<br />

für ihren Job begeistern, fangen sie<br />

ganz von selbst an, Dinge zu verändern,<br />

die sie stören. Die Scrum-Einführung ist<br />

für ihn ein Paradebeispiel dafür. Mitarbeiter<br />

hatten die neuen Methoden diskutiert,<br />

die Idee wieder beiseite gelegt und später<br />

genügend Enthusiasmus für eine Schulung<br />

aufgebracht. Dann hat die Firma<br />

überlegt, wie sie das Ganze umsetzen<br />

kann und mit einem Softwarearchitektur-<br />

Projekt begonnen.<br />

Von den Erkenntnissen profitiert inzwischen<br />

die ganze Firma. Sie kann Produkte<br />

schneller veröffentlichen, ist effizienter<br />

beim Umsetzen und erreicht aufgrund der<br />

Automatisierung eine höhere Qualität.<br />

„,Never change a running system' ist das<br />

Schlimmste was es gibt.“ erklärt Krusch.<br />

Die Konfiguration eines Squid-Proxys sei<br />

ein schönes Beispiel, ergänzt Schapiro.<br />

Weil hier einiges schief gehen kann, hat<br />

die Firma ein Testtool entwickelt, das<br />

Konfigurationen vor dem Einsatz testet.<br />

Bei den Angestellten kommt das positiv<br />

an. Haben Mitarbeiter Angst, Komponenten<br />

anzufassen, weil etwas kaputtgehen<br />

kann, wird die IT zu unflexibel, um auf<br />

Veränderungen zu reagieren.<br />

Fortsetzung auf Seite 28


Titelthema<br />

www.linux-magazin.de Scrum und Kanban 12/2013<br />

28<br />

Abbildung 2: Der Coach und der Admin: Robert Misch (links) und Florian Pfeiffer<br />

von Gutefrage.net.<br />

Abbildung 3: Devops bei Immobilienscout24: Systemarchitekt Schlomo Schapiro<br />

(links) und Chef der IT-Production, Ingmar Krusch.<br />

Aber Scrum und Kanban leisten nicht nur<br />

das. Durch die schnelleren Produktionsentwicklungszyklen<br />

und die veränderte<br />

Unternehmenskultur kann das Unternehmen<br />

Talente halten und neue Mitarbeiter<br />

gewinnen. Berlin sei im IT-Bereich sehr<br />

arbeitnehmerfreundlich, daher müssen<br />

sich Unternehmen etwas einfallen lassen,<br />

um mit den Startups zu konkurrieren.<br />

Mindset<br />

„Mindset ist wichtiger als Skillset“, erklärt<br />

Krusch. Praktische Fähigkeiten<br />

kann man ausbilden, aber Offenheit lässt<br />

sich nicht erlernen. Wohl auch deshalb<br />

sieht man die Mitarbeiter von Immobilienscout<br />

häufig auf IT-Veranstaltungen:<br />

egal ob Monitorama, Devops Days oder<br />

<strong>Linux</strong>tag. Dort sollen sie sich mit anderen<br />

austauschen, neue Ideen sammeln aber<br />

auch selbst aktiv werden, um <strong>Neu</strong>es zu<br />

lernen. Er empfiehlt zudem die Mitarbeit<br />

in Open-Source-Projekten und das Halten<br />

von Vorträgen. Die Firma selbst veranstaltet<br />

intern Admin-Dojos, die sich an<br />

Coding-Dojos orientieren und zur gegenseitigen<br />

Weiterbildung von Admins beitragen.<br />

Daneben gibt es klassische LPIC-<br />

Prüfungen oder Admin-Schulungen.<br />

Von Erfolg gekrönt<br />

Auch bei Gutefrage.net habe Kanban zu<br />

mehr Transparenz geführt, resümiert der<br />

Coach Robert Misch: „Es entsteht ein<br />

Überblick über alle Plattformen, die wir<br />

betreiben. Dabei sind die Teams stärker<br />

gefordert und übernehmen mehr Verantwortung.“<br />

An Patentrezepte und Lösungen<br />

von der Stange glaubt er nicht: „Aus<br />

dem agilen Werkzeugkasten muss jeder<br />

das Passende auswählen und eine Lösung<br />

maßschneidern. Das Maintenance-<br />

Board beispielsweise haben wir schon<br />

vier Mal überarbeitet.“ Offenbar hat er<br />

mit seiner Vorgehensweise Erfolg: Gute<br />

Frage hat beschlossen, eine zweite Stelle<br />

für einen Agile Coach zu schaffen. n<br />

Infos<br />

[1] Immobilienscout24:<br />

[http:// www. immobilienscout24. de]<br />

[2] Gutefrage.net: [http:// www. gutefrage. net]<br />

[3] Scrum Guide:<br />

[https:// www. scrum. org/ Scrum‐Guides]<br />

[4] Scrum Alliance:<br />

[http:// www. scrumalliance. org]<br />

[5] Scrum.org: [http:// www. scrumalliance. org]<br />

[6] Open TSDB: [http:// opentsdb. net]<br />

[7] Jira: [www.atlassian.com/JIRA]<br />

[8] Chef: [http:// www. opscode. com/ chef/]<br />

[9] David J. Andersons Beratungsunternehmen:<br />

[http:// www. djaa. com]<br />

[10]Simulation eines Kanban-Boards:<br />

[http:// www. kanbansim. org]<br />

[11]Agile Manifesto:<br />

[http:// www. agilemanifesto. org]<br />

Kanban: Pull-Prinzip und Visualisierung<br />

Mit Kanban hat sich die IT-Branche eine Methode<br />

aus der industriellen Fertigung ausgeliehen. Der<br />

Name stammt von der japanischen Bezeichnung<br />

der dabei verwendeten Laufzettel. Ihren Anfang<br />

nahm sie nämlich Ende der 40er Jahre beim<br />

Autohersteller Toyota. In die Softwarebranche<br />

übersetzte sie der Berater David J. Anderson<br />

[9], der die Vorgehensweise seit 2004 in IT-<br />

Unternehmen implementiert und mehrere Bücher<br />

zum Thema veröffentlicht hat.<br />

Kanban beruht auf dem Pull-Prinzip: Vorgeschaltete<br />

Arbeitsgänge dürfen nur so viel<br />

produzieren, wie ihnen der nachgeschaltete<br />

Arbeitsgang abnimmt. Die Vorratshaltung der<br />

Zwischenergebnisse ist streng limitiert, und in<br />

einer Bearbeitungsstufe darf sich nur eine bestimmte<br />

Menge von Aufgaben befinden, die man<br />

als Work in Progress (WIP) bezeichnet.<br />

Um das alles zu visualisieren, kommt das<br />

Kanban-Board zum Einsatz, ein augenfälliges<br />

Kernstück der Methode. Die Schulungsfirma It-<br />

Agile hat eine solche Tafel als Webanwendung<br />

umgesetzt [10]. In der Praxis benutzen aber<br />

die meisten tatsächlich Whiteboards, Magnete<br />

und Notizzettel (Abbildung 1). Die Aufgaben<br />

wandern in Form von Zetteln von links nach<br />

rechts durch die Spalten, die verschiedene Bearbeitungsstadien<br />

symbolisieren.<br />

Stauungen in bestimmten Bereichen, bei denen<br />

das WIP den Grenzwert übersteigt, weisen auf<br />

Probleme im Prozess hin. Darauf reagiert das<br />

Team mit Anpassungen und Verbesserungen<br />

seiner Arbeitsorganisation, die sich anschließend<br />

in der Praxis bewähren müssen. Kanban<br />

bezeichnet man deshalb auch als experimentellen<br />

und evolutionären Prozess.<br />

Wie auch Scrum gehört Kanban in den agilen<br />

Bereich [11]. Beide schaffen Transparenz, um<br />

den Arbeitsprozess zu verbessern. Während<br />

Scrum aber konkrete Prozesse beschreibt und<br />

definiert, ist Kanban eher ein Framework, das<br />

die Teams mit Regeln füllen.


Titelthema<br />

www.linux-magazin.de Moderne Admins 12/2013<br />

30<br />

Verändertes Berufsbild des Systemadministrators<br />

<strong>Neu</strong>e Rolle<br />

Wohin führt die schnell zunehmende Zahl zu betreuender Systeme bei gleichbleibender Zahl an Betreuern?<br />

Zu Überforderung und Chaos? Andernfalls zu Scrum, Kanban und anderen agilen Arbeits- und Organisationsformen?<br />

Das <strong>Linux</strong>-<strong>Magazin</strong> hat vier Profis zu ihrer Rolle inmitten eines Berufes im Wandel befragt. Nils Magnus<br />

© underworld under, 123RF.com<br />

Wer auf die Visitenkarten von Mitarbeitern<br />

der IT-Abteilungen schaut, erkennt<br />

schnell die Differenzierung und den<br />

Wandel des Admin-Jobs. Wo früher noch<br />

„Administrator“ in der Signatur stand,<br />

prangen nun Begriffe wie „Systemspezialist“<br />

oder „Site Reliability Engineer“.<br />

Differenzierter sind nicht nur die Titel,<br />

auch die Aufgabenbereiche wandeln und<br />

verbreitern sich schleichend.<br />

Arbeiteten einst die Admins als Herren<br />

und Frauen über Server und Systeme in<br />

der einen Abteilung und die Programmierer<br />

und Dokuschreiber in der Entwicklungsabteilung<br />

organisatorisch und<br />

räumlich getrennt woanders, so sind die<br />

Grenzen heute fließend(er).<br />

Dieser Artikel bereist das Innere von IT-<br />

Abteilungen, um die Veränderungen der<br />

modernen IT-Arbeit mit Hilfe typischer<br />

Vertreter ihrer Zunft zu erkunden. Dabei<br />

wird schnell klar: Anders als in der reinen<br />

Software-Entwicklung, bei der moderne<br />

Methoden sowohl gut erforscht als auch<br />

vielfach angewendet werden, befinden<br />

sich Admins und Operations-Teams in<br />

vielen Fällen organisatorisch mitten in<br />

einem Umbruch.<br />

Administrierender Coder<br />

und codender Administrator<br />

Tobias Paepke (Abbildung 1) ist Senior<br />

Frontend Web Developer beim Vergleichsportal<br />

Billiger.de in Karlsruhe. „Unser<br />

Unternehmensportal nach Maßgaben von<br />

Produktmanagern weiterzuentwickeln ist<br />

mein Job“, erklärt er. Das bedeutet nicht<br />

nur Code schreiben. Zu einem Viertel<br />

seiner Zeit, schätzt er, erledigt er klassische<br />

Betriebsaufgaben wie externe<br />

Schnittstellen anpassen.<br />

So hat Paepke kürzlich die Puppet-Rezepte<br />

zur Verteilung der Frontends modifiziert<br />

und das Session-Management des<br />

Portals erweitert. „Als wichtigen Teil unserer<br />

Arbeit optimieren wir die Performance<br />

der Systeme und halten sie in einem<br />

stabilen Zustand“, umreißt er die<br />

klassische Operations-Aufgabe.<br />

Zumindest beim Jobtitel beschreitet der<br />

Freiberufler Dirk Gomez (Abbildung 2)<br />

genau Paepkes Gegenrichtung. „Im Active<br />

Directory lautet mein momentaner Jobtitel<br />

,Systemspezialist‘“, verrät Gomez, der<br />

an einem zeitlich befristeten Projekt für<br />

einen Dienstleister im Gesundheitswesen<br />

arbeitet. Dort betreibt er Webanwendungen<br />

unter <strong>Linux</strong> und Solaris, entwickelt<br />

sie aber auch weiter. Zuletzt hat er ein<br />

etwas aus der Form geratenes Typo-3-<br />

System unter seine Fittiche genommen.<br />

Es galt, das CMS zu aktualisieren, das<br />

zahlreiche geforkte Extensions hat. Zusätzlich<br />

stand ein Update auf eine neue<br />

LTS-Release an.<br />

Zu je einem Drittel seiner Zeit kümmert<br />

er sich ums Administrieren, zu einem<br />

Drittel entwickelt er Software – der Rest<br />

sind Kommunikation mit Kollegen und<br />

Auftraggebern. Diese Mischform des<br />

Code-affinen Admin einerseits oder des<br />

Entwicklers andererseits, der sich auch<br />

mit Betriebsfragen befasst, trägt der engen<br />

Verzahnung der Aufgaben in modernen<br />

IT-Abteilungen Rechnung.<br />

Betrieb großer Daten<br />

Zum Siegeszug hat das Devops-Konzept<br />

aber noch nicht angesetzt. Karolin Wachsmuth<br />

(Abbildung 3) ist als System Engineer<br />

bei der Inovex GmbH in Köln angestellt<br />

und betreut einen Großkunden aus<br />

der Medienbranche. Ihr Auftrag: „Für die<br />

Big-Data-Um gebung unseres Auftraggebers<br />

betreiben wir einen Hadoop-Cluster.<br />

Ich sorge dafür, dass der in einem Zustand<br />

bleibt, in dem unsere Entwickler<br />

gut damit arbeiten können.“<br />

„Mit Entwicklung habe ich nichts zu tun“,<br />

grenzt sie sich von der andernorts populären<br />

Mischform ab und erweitert dies


Abbildung 1: Tobias Paepke will Wissensinseln bei<br />

Billiger.de vermeiden: „Das Ausrollen und Testen<br />

einer Release übernimmt jedes Mal ein anderer.“<br />

Abbildung 2: Der Freiberufler Dirk Gomez beklagt:<br />

„Falsch interpretiert führen agile Methoden dazu,<br />

dass Mitarbeiter lediglich Kennzahlen optimieren.“<br />

auch auf ihre Kollegen: „Die Abteilung<br />

ist aufgeteilt in kleinere Teams, die sich in<br />

der Hauptsache um bestimmte Systeme<br />

kümmern, etwa um die Contentmanagement-Systeme<br />

oder Datenbanken.“ Das<br />

bedeutet aber auch, eng mit den Kollegen<br />

aus der Entwicklungsabteilung zusammenzuarbeiten.<br />

Von dort bekommt sie<br />

auch fachliche Aufträge, bewertet sie und<br />

setzt sie selbstständig um.<br />

Agiler Vollzeitadmin<br />

Aufgaben fokussiert verteilen ist auch<br />

das Ziel des Telefonie-Anbieters Sipgate<br />

in Düsseldorf. Dort arbeitet Rudolph Bott<br />

(Abbildung 4) als Systemintegrator <strong>Linux</strong><br />

und Windows. „Ich gehöre zum Admin-<br />

Team, das sich um die gesamte Infrastruktur<br />

kümmert, die Sipgate ausmacht“,<br />

stellt er seinen Job vor und zählt auf:<br />

„Angefangen von der Büro-IT über unsere<br />

Netzwerke, Anbindungen an Partner,<br />

Rechenzentren, Server, hochverfügbare<br />

Cluster bis hin zum Konfigurationsmanagement<br />

und noch weiteren Bereichen.“<br />

Einzig Entwicklung, Pflege, Konfiguration<br />

und Betrieb der hauseigenen Software<br />

sowie der Telefoniesysteme gehören<br />

nicht dazu.<br />

Es ist aber nicht allein das Aufgabengebiet,<br />

sondern vor allem die Arbeitsweise,<br />

die die agilen Methoden vom klassischen<br />

IT-Betrieb unterscheiden. Zusammenarbeit<br />

innerhalb von Teams oder Abteilungen<br />

erweist sich als wichtig. Gab klassischerweise<br />

der IT-Leiter die Marschrichtung<br />

vor, betonen Scrum und Kanban die<br />

Selbstorganisation des Teams.<br />

Rudolph Bott erläutert, wie Sipgate<br />

das handhabt: „Wir arbeiten nach dem<br />

Kanban-Prinzip – das bedeutet, dass wir<br />

unsere Aufgaben in kleine so genannte<br />

Storys aufteilen. Auf Zettel notiert ziehen<br />

wir sie an einem Board durch verschiedene<br />

Etappen, beispielsweise Work-in-<br />

Progress, QA oder Live-Deploy.“ Erst nach<br />

einer abgenommenen Qualitätssicherung<br />

verlässt eine Story das Board.<br />

Den Rücken freihalten<br />

Tobias Paepke berichtet von Billiger.de:<br />

„Ein Teamleiter unterstützt unser Team,<br />

der Basistechnologien entwickelt, aber<br />

hauptsächlich den organisatorischen<br />

Overhead von uns Entwicklern fernhält.“<br />

Ansonsten mischt das Unternehmen die<br />

einzelnen Disziplinen: Es gibt immer<br />

Sprints, in denen sich einige Teammitglieder<br />

aufhalten, der Rest macht Kanban.<br />

Paepke betont den Aspekt der Zusammenarbeit:<br />

„Wir achten darauf, dass das<br />

Sprint-Team auch über mehrere Sprints<br />

hinweg eine Gemeinschaft bildet, und<br />

darauf, dass jeder innerhalb des Jahres<br />

eine gewisse Zeit sprintet.“<br />

In einer Abteilung, deren vorrangige Aufgabe<br />

im klassischen Betrieb liegt, haben<br />

vorgeplante Sprints mit im Planning festgelegten<br />

Zielen mitunter Nachteile, weil<br />

sie nicht auf kurzfristige Ereignisse reagieren<br />

können. Das betont auch Karolin<br />

Wachsmuth: „Neben dem Ticketsystem,<br />

in dem unsere Auftraggeber die Langfristaufgaben<br />

geordnet nach Dringlichkeit<br />

hinterlegen, beobachten wir insbesondere<br />

unser Performance-Monitoring.


Titelthema<br />

www.linux-magazin.de Moderne Admins 12/2013<br />

32<br />

Abbildung 3: Karolin Wachsmuth von Inovex kümmert<br />

sich um einen Big-Data-Cluster: „Meine Aufgaben<br />

wähle ich selbst anhand von Erfordernissen.“<br />

Geht beispielsweise der Platz des HD-FS<br />

im Hadoop-Cluster zur Neige, habe ich<br />

dort automatisch etwas zu tun.“<br />

Die konkreten Aufgaben sucht sie sich<br />

meist selbst, was den eigentlichen Betrieb<br />

angeht, und differenziert: „Soll jedoch<br />

eines unserer BI-Systeme verändert<br />

oder erweitert werden, spreche ich häufig<br />

zuvor mit dem zugehörigen Teamleiter.<br />

Wissensinseln vermeiden<br />

Dirk Gomez betont die Rolle der Erfahrung:<br />

„Im Zweifel machen die erfahrenen<br />

Mitarbeiter alles, die weniger erfahrenen<br />

kümmern sich schwerpunktmäßig um ihre<br />

Anwendung.“ Erst wenn Aufgaben keinen<br />

Abnehmer finden, werde der Teamleiter<br />

aktiv. Damit spricht er eine weitere<br />

Herausforderung in IT-Abteilungen an –<br />

die Verteilung des Wissens.<br />

Paepke wie Bott wollen Wissensinseln<br />

bannen. „Wir haben im Team einen wöchentlich<br />

wechselnden ,Admin of the<br />

Week‘, der sich um alle Anfragen von<br />

außen an das Team kümmert“, beschreibt<br />

Bott. Dazu gehören das IT-Equipment im<br />

Büro, Berechtigungen oder Mailaccounts.<br />

Auf diese Weise will Sipgate zusätzlich<br />

verhindern, dass Kollegen aus der Arbeit<br />

an Storys geholt werden und unnötig den<br />

Fokus verlieren. Bott weiß aber auch um<br />

die Grenzen: „Auch wenn das bei wachsender<br />

Teamgröße nicht immer einfach<br />

ist, versuchen wir an der Alle-alles-Strategie<br />

festzuhalten.“<br />

Billiger.de setzt auf verschiedene agile<br />

Methoden wie Pair-Programming. Bei<br />

dieser Extreme-Programming-Technik<br />

Abbildung 4: Rudolph Bott bei Sipgate: „Ohne Kanban<br />

wären die Aufgaben als ,Admin of the Week‘ gar<br />

nicht zu leisten.“<br />

sitzen zwei gleichberechtigte Entwickler<br />

an einem Rechner – einer als „Pilot“, der<br />

Code schreibt, der andere als „Navigator“,<br />

der die Korrektheit überwacht und<br />

über Verbesserungen am Design nachdenkt.<br />

Alle paar Minuten wechseln beide<br />

Entwickler die Rollen. Arbeiten mehrere<br />

Paare an einem Projekt, tauschen sie sogar<br />

paarunabhängig die Plätze.<br />

„Das fördert das Verständnis untereinander<br />

und stellt das Wissen breiter auf“,<br />

findet Paepke. Wiederkehrende Standardaufgaben<br />

verteilt seine Abteilung reihum<br />

auf das ganze Team. So rollt beispielsweise<br />

jede Woche ein anderes Teammitglied<br />

die jeweils neue Release aus.<br />

Jeder macht alles<br />

Abbildung 5: Erfreut sich bei den Befragten überraschend großer Verbreitung<br />

– das Ticket- und Reportingsystem Jira.<br />

„Agil heißt, kleine Schritte zu machen“,<br />

fasst Wachsmuth den Kern der neuen<br />

Denkschule der IT-Abteilungen zusammen.<br />

Das führt aber auch zu höherem<br />

Bedarf an Austausch und Kommunikation,<br />

wofür es aber eine Reihe Werkzeuge<br />

gibt. Bezeichnenderweise gaben alle IT-<br />

Experten im Gespräch mit dem <strong>Linux</strong>-<br />

<strong>Magazin</strong> an, mit dem Ticketsystem Jira<br />

(Abbildung 5, [1]) zu arbeiten. Das<br />

Werkzeug steht unter proprietärer Lizenz,<br />

arbeitet aber als Java-Anwendung problemlos<br />

in einem Java-Container. Bott differenziert:<br />

„Wir nutzen zwei Ticketsysteme:<br />

Für Storys setzen wir auf Jira, für<br />

den ,Admin of the Week‘ auf OTRS.“<br />

Anders hält er es nicht für möglich, in<br />

dieser Rolle die vielen unterschiedlichen<br />

Anfragen zu tracken und zu lösen.<br />

Tickets stehen bisweilen – besonders bei<br />

Anwendern – in dem Ruf, die Arbeit der<br />

IT-Abteilungen zu bürokratisieren. Bei<br />

den befragten Admins hingegen sind sie<br />

wohlgelitten: „Ich finde unser Ticketsystem<br />

sehr gut“, urteilt Karolin Wachsmuth,<br />

und Dirk Gomez teilt ihre Einschätzung,<br />

schränkt aber etwas ein: „Ich bin recht<br />

zufrieden. Im Normalfall hängt aber viel<br />

vom First Level ab, etwa wie viele Details<br />

der abfragt und welche Tickets er überhaupt<br />

zu uns durchlässt. Das nämlich ist<br />

leider ziemlich schwankend.“<br />

Tobias Paepke sieht eine weitere Stärke<br />

von Jira in der Information seines Managements:<br />

„Es hat hier seine Stärken in<br />

den Reports und den Auswertungen. So<br />

wie es bei uns implementiert ist, könnte<br />

es mehr Unterstützung für den Entwickler<br />

bieten – zum Beispiel eine bessere E-<br />

Mail-Schnittstelle oder die Verknüpfung<br />

zu unseren Softwarerepositories.“<br />

Neben elektronischer setzen IT-Abteilungen<br />

auch auf direkte Kommunikation.<br />

Wachsmuth zählt auf:<br />

„Wir sind permanent<br />

im Skype-Chat mit<br />

unserem Kunden. Alle<br />

zwei Tage veranstaltet<br />

unserer Team so genannte<br />

Twodailys. Da<br />

berichtet jeder, was<br />

in den letzten zwei<br />

Tagen vorgefallen ist<br />

und was wir in den<br />

nächsten beiden Tagen<br />

vorhaben.“ Zusätzlich<br />

bespricht sie sich einmal<br />

wöchentlich mit<br />

anderen Teams, die<br />

für ihren Kunden ar-


eiten, sowie alle zwei Wochen mit ihren<br />

Kollegen beim Auftraggeber.<br />

Bei so vielen Meetings kommt es auf<br />

Disziplin an. Rudolph Bott verrät einen<br />

Trick: „Wir leihen uns einen Scrum-Master<br />

bei unseren Entwicklern, der unsere<br />

morgendlichen 20-Minuten-Standups begleitet<br />

und einmal pro Woche eine einstündige<br />

Retrospektive mit uns abhält.“<br />

Theorie trifft Praxis<br />

Den großen Durchbruch in den IT-Abteilungen<br />

hat Scrum anders als bei den Software-Entwicklern<br />

offenbar noch nicht erzielt.<br />

Bott: „Unsere Entwickler organisieren<br />

sich in Scrum-Teams und Sprints, die<br />

Sysadmins nicht.“ Ihm pflichtet Gomez<br />

bei: „Nur unsere Entwickler verwenden<br />

Scrum.“ Bei Billiger.de hat die Sys temadministration<br />

laut Paepke zwar Schnittstellen<br />

zum Kanban, organisiere sich aber<br />

über simple Tickets selbst.<br />

Unter Scrum-Verfechtern kursiert bisweilen<br />

die Auffassung, dass nur das vollständige<br />

Befolgen des komplexen Regelwerks<br />

zu guten Ergebnissen führe. Das sehen<br />

viele IT-Abteilungen in der Praxis offenbar<br />

pragmatischer. Paepke etwa ist der<br />

Überzeugung, dass es das Scrum nicht<br />

gibt: „Das lässt sich nicht nach Lehrbuch<br />

umsetzen. Man ist ja agil. Wir probieren<br />

ab und an einen Bruch der Regeln, um<br />

zu sehen, wie gut oder wie schlecht die<br />

Methoden auf uns passen, und lernen<br />

daraus. Das Grundsetup der aktuellen<br />

Methoden wie Scrum oder Kanban setzen<br />

wir wie gedacht ein.“<br />

Bott formuliert es ähnlich: „Es gibt sicherlich<br />

nicht das universelle, perfekte<br />

Kanban, sondern immer nur die mehr<br />

oder weniger gut auf die eigene Situation<br />

angepasste Variante. Wir halten uns zwar<br />

recht eng an unsere selbst aufgestellten<br />

Regeln, sehen aber alles als iterativen<br />

Prozess an. Wenn uns etwas an der effizienten<br />

Arbeit behindert, probieren wir<br />

Änderungen aus, behalten sie oder gehen<br />

wieder zurück zur Ausgangslage.“<br />

Was bringt’s am Ende?<br />

Bleibt die Frage nach messbaren Ergebnissen<br />

– meistens dem, wonach sich<br />

Management und Controlling sehnen.<br />

Rudolph Bott erkennt Kanban eine deutliche<br />

Steigerung von Produktivität und<br />

Qualität zu. Er zerlegt damit größere anstehende<br />

Aufgaben in kleinere Storys:<br />

„Wir erreichen dann Stück für Stück ein<br />

größeres Ziel, ohne uns von Nebenaufgaben<br />

ablenken zu lassen.“<br />

Auch Paepke gibt sich überzeugt, seit<br />

der Einführung produktiver geworden zu<br />

sein: „Wir arbeiten mehr als Team und<br />

haben dadurch mehr Spaß an der Arbeit.<br />

Das sind für mich die wichtigsten Punkte,<br />

die mich dazu bringen, an das Konzept<br />

zu glauben.“<br />

Oft liefert ein sowieso eingesetztes Tool<br />

Kennzahlen. Gomez hat beobachtet: „Aus<br />

dem Ticket-Tracking-System purzeln Zahlen<br />

heraus. Aber wie sich Qualität messen<br />

lässt, weiß ich nicht, da ich nicht Teil<br />

der Organisation bin. Mein Eindruck ist,<br />

dass Mitarbeiter eher auf die Zahlen als<br />

auf ihre Tätigkeit optimieren.“ Bott wendet<br />

ein: „Wir brechen Kennzahlen nicht<br />

auf einzelne Personen herunter. Aber anhand<br />

der Zahlen können wir Storys als<br />

Ausreißer identifizieren. Dann überlegen<br />

wir, was im Einzelnen dazu geführt hat<br />

und wie wir das beim nächsten Mal verhindern.“<br />

Unvollendete Evolution<br />

Dieser Report zeigt, IT-Abteilungen befinden<br />

sich vielerorts im Umbruch. Anders<br />

als in der Software-Entwicklung, die ihre<br />

Arbeitsweise schon vielerorts auf agile<br />

Methoden wie Scrum und Kanban umgestellt<br />

hat, feilen die Mitglieder der<br />

Operations-Teams und Systemadministratoren<br />

noch an der Ausgestaltung ihrer<br />

neuen Rollen. Die Form der Umsetzung<br />

differiert zudem stark von Unternehmen<br />

zu Unternehmen. Gleichwohl: Trotz nicht<br />

abgeschlossener Feinabstimmung haben<br />

die Methoden in vielen Abteilungen offenbar<br />

schon positive Spuren hinterlassen,<br />

denn die Effizienz steigt – da sind<br />

sich fast alle einig. (jk) <br />

n<br />

Infos<br />

[1] Jira: [https:// www. atlassian. com/ de/​<br />

software/ jira]<br />

Der Autor<br />

Nils Magnus entwirft als Senior System Engineer<br />

bei der Inovex GmbH skalier- und automatisierbare<br />

Datacenter-Lösungen. Als Pro gram Chair<br />

plant er das Vortragsprogramm beim <strong>Linux</strong>tag.


Titelthema<br />

www.linux-magazin.de Devops bei Etsy 12/2013<br />

34<br />

IT-Organisation in New York<br />

Handgemachte IT<br />

Selbstgebastelte Gegenstände liegen im Trend. Etsy, ein New Yorker Unternehmen für Handgemachtes,<br />

organisiert seine IT auch in Eigenregie — ein Porträt. Kristian Kißling, Tim Schürmann<br />

chungen reagieren. Um sich mit anderen<br />

Etsy-Mitarbeitern abzustimmen, nehmen<br />

die Admins zudem im Schnitt täglich an<br />

drei bis fünf Meetings teil. Die genaue<br />

Anzahl schwankt abhängig von den Personen<br />

und dem Bedarf. Schichtdienste<br />

gibt es zwar nicht, ein Mitarbeiter aus<br />

dem Operations-Bereich muss jedoch immer<br />

in Rufbereitschaft sein.<br />

Operationsmodus<br />

© Martin Hochrein, photocase.com<br />

Über das Portal Etsy.com können Benutzer<br />

handgemachte Produkte kaufen und<br />

verkaufen. Zur Auswahl stehen derzeit<br />

etwa Schmuck, Kunst, Dekorationsartikel<br />

und Haushaltsgegenstände – darunter bemalte<br />

Gläser und Tassen. Betreiber Etsy<br />

Inc. mit Sitz in Brooklyn eröffnete seinen<br />

Onlinemarktplatz bereits 2005, das<br />

Angebot zielte zunächst auf den amerikanischen<br />

Markt. Seit 2010 gibt es auch<br />

eine Niederlassung in Berlin, die für die<br />

deutschsprachige Variante der Onlineplattform<br />

(Abbildung 1) verantwortlich<br />

zeichnet.<br />

Die Organisation der IT hat sich bei Etsy<br />

in den letzten zwei Jahren nicht groß<br />

verändert: Die IT gehört zum Technical<br />

Operations Team und besteht derzeit<br />

aus fünf Ingenieuren. Die Internetfirma<br />

unterscheidet dabei zwischen IT und<br />

Web Operations, letztgenannte Abteilung<br />

kümmert sich um den Betrieb der<br />

Plattform Etsy.com. Diese wird im Zuge<br />

eines speziell angepassten Continuous-<br />

Delivery-Verfahrens pro Tag zwischen 20<br />

und 40 Mal aktualisiert [1].<br />

Tagesgeschäft<br />

„Der typische Alltag eines Admins sowohl<br />

in der IT als auch in den Web Operations<br />

besteht zum größten Teil aus Projektarbeit“,<br />

erläutert Daniel Schauenberg, einer<br />

der Administratoren bei Etsy. Die Admins<br />

im Operations-Bereich treiben derzeit vor<br />

allem den Ausbau der Infrastruktur voran<br />

und planen die Kapazitäten. Darüber<br />

hinaus sorgen sie für einen reibungslosen<br />

Betrieb der Plattform. Der Bereich IT<br />

verbessert die Office-Infrastruktur und<br />

übernimmt das Laptop-Management für<br />

die Mitarbeiter. Zudem kümmert er sich<br />

um den Helpdesk für die Mitarbeiter.<br />

Neben ihrer Arbeit an den Projekten müssen<br />

Admins auf Monitor-Alerts, Fragen<br />

von Entwicklern und ähnliche Unterbre-<br />

Die anfallende Arbeit teilen sich die<br />

Admins brüderlich auf, wie es Daniel<br />

Schauenberg beschreibt: „Jeder arbeitet<br />

an allem.“ Zwar gebe es einzelne Personen,<br />

die sich etwas besser mit bestimmten<br />

Bereichen auskennen, aber lediglich<br />

um die MySQL-Server, die in Master-<br />

Master-Paaren operieren, kümmert sich<br />

exklusiv ein Datenbankadministrator.<br />

In einer interessanten Fragestunde auf<br />

Reddit [2] verwendeten Mitarbeiter von<br />

Etsy daher auch den Begriff Devops. Wer<br />

sich um eine Komponente kümmert, ist<br />

auch verantwortlich für deren Erreichbarkeit.<br />

Sie halten die mit dem Begriff<br />

verbundene Firmenkultur jedoch fast für<br />

wichtiger, als die Art der Arbeitsteilung<br />

selbst. Menschliche Fehler müsse man<br />

zum Beispiel nicht als unvermeidbar betrachten,<br />

sondern man wolle eine Umgebung<br />

schaffen, die es im Idealfall unmöglich<br />

macht, eine Software fehlerhaft<br />

zu bedienen.<br />

Harte Ware<br />

Die Angestellten dürfen als Arbeitsstation<br />

entweder ein Macbook oder ein Lenovo-<br />

Laptop verwenden, letzteres läuft wahlweise<br />

unter Windows oder Ubuntu <strong>Linux</strong>.<br />

Wer mag, darf aber auch eine andere<br />

Distribution einsetzen. Jeder Mitarbeiter


automatisch in der Überwachungsliste<br />

der Monitoringsoftware Nagios.<br />

Um Software für die Plattform vor dem<br />

Einsatz zu testen, laufen automatisierte<br />

Tests in LXC-Containern ab, wobei die<br />

Operations-Teams zwischen schwergewichtigen<br />

(heavy) und anderen (any)<br />

Tests unterscheiden. Etsy betreibt derzeit<br />

zwei voneinander unabhängige Netzwerke:<br />

Neben dem Büro-, Entwicklungsund<br />

Produktions-Netzwerk existiert noch<br />

ein abgetrenntes Corporate Network über<br />

das die Mitarbeiter Jira, IRC und die Wikis<br />

erreichen.<br />

Devops bei Etsy 12/2013<br />

Titelthema<br />

www.linux-magazin.de<br />

35<br />

Abbildung 1: Die Website Etsy.com sitzt in New York und verkauft handgemachte Produkte.<br />

Handwerkszeug<br />

erhält auf einem Rechner Adminrechte<br />

und kann somit die Werkzeuge und Programme<br />

nachinstallieren, die er braucht.<br />

Größere Betriebssystemupdates testet vor<br />

der Installation das IT-Team, über das<br />

Einspielen kleinerer Patches entscheiden<br />

die Mitarbeiter selbst. Eine BYOD-Policy<br />

gibt es bei Etsy nicht, das Unternehmen<br />

bietet aber ein VPN für I-OS und Android<br />

an sowie eine Unterstützung für die Mailund<br />

Kalender-Apps.<br />

Die Eigenverantwortung der Mitarbeiter<br />

macht auch vor Backups nicht halt:<br />

Bei Etsy gibt es kein zentral laufendes<br />

Backup. „Jeder ist dafür selbst verantwortlich,<br />

da generell keine wichtigen Daten<br />

außerhalb von Gits und Wikis existieren<br />

sollten“, erklärt Schauenberg.<br />

Was passiert, wenn ein neuer Mitarbeiter<br />

hinzukommt? „Es gibt eine Checkliste,<br />

um den Laptop aufzusetzen und den<br />

Schreibtisch mit einem Display auszustatten.“<br />

Handelt es sich um einen Techniker,<br />

richtet die IT zudem eine virtuelle<br />

Maschine mit der Entwicklerversion von<br />

Etsy ein. Das <strong>Neu</strong>aufsetzen von Laptops<br />

und LDAP-Accounts hält Schauenberg<br />

für den einzigen Bereich, der sich nur<br />

schlecht automatisieren lasse. Falle ein<br />

Rechner aus, benachrichtige der Angestellte<br />

die Corporate IT. Für Macbooks<br />

gibt es einen Lagerbestand, Lenovo-Laptops<br />

werden nachbestellt.<br />

Toolchain<br />

Unter den Tools, die bei Etsy zum Einsatz<br />

kommen, sind viele alte Bekannte.<br />

Die Admins nutzen laut Schauenberg<br />

vor allem Open-Source-Werkzeuge: Neben<br />

SSH, Bash und Co. verwendet der<br />

Operations-Bereich vornehmlich Chef<br />

[3] und Git, in Form einer Enterprise-<br />

Variante von Github [4]. Etsy entwickelt<br />

auch eigene Open-Source-Tools und veröffentlicht<br />

diese auf Github [5].<br />

Die Webseite selbst läuft auf einem<br />

LAMMP-Stack, der aus <strong>Linux</strong> (Cent OS),<br />

Apache, Memcached, MySQL und PHP<br />

besteht. Sie wird in Git verwaltet, aber<br />

ohne Branches, ausgeliefert wird Trunk.<br />

Die Hauptseite besteht fast ausschließlich<br />

aus einer monolithischen PHP-Applikation,<br />

die Konfiguration aus einer<br />

PHP-Datei, die ein riesiges Array enthält.<br />

Features werden im Code geflaggt und<br />

lassen sich, wenn sie einsatzbereit sein,<br />

aktivieren.<br />

Die IT-Seite setzt mit Vorliebe die Casper<br />

OSX Management Suite [6] und den<br />

Google Account Manager [7] ein. Eine<br />

besondere Rolle kommt IRC zu: Sämtliche<br />

Abteilungen der Firma sind über Chaträume<br />

erreichbar. Aber nicht nur das: Der<br />

Push Train, der alle Codeänderungen an<br />

die Staging-Version der Plattform ausliefert,<br />

ist ein Bot, Pushbot genannt, der in<br />

einem IRC-Channel operiert.<br />

Die Arbeitseffizienz misst das Projektverfolgungstool<br />

Jira [8], über das auch<br />

die von Mitarbeitern gemeldeten Bugs<br />

eingehen. Die Admins beobachten die<br />

entsprechenden Tickets genau und versuchen,<br />

die Prozesse weiter zu verbessern<br />

und zu optimieren. Für das Monitoring<br />

kommt Nagios zum Einsatz, die Server<br />

werden dafür und zur Verwaltung mit<br />

Chef in funktionale Gruppen unterteilt.<br />

Lernt Chef einen neuen Rechner kennen,<br />

landet dieser über die Chef-Metadaten<br />

Wer bei Etsy als Admin anfangen möchte,<br />

muss laut Daniel Schauenberg keinen bestimmten<br />

Ausbildungshintergrund mitbringen.<br />

Notwendig seien lediglich das<br />

Interesse am Fachgebiet und verschiedene<br />

Level an Erfahrung, je nachdem ob<br />

man sich für eine Junior- oder Senior-<br />

Position bewirbt. Bei Etsy angestellte<br />

Admins bilden sich vor allem durch den<br />

Besuch von Konferenzen, das Lesen von<br />

News und die Mitarbeit auf internen wie<br />

externen Mailinglisten weiter.<br />

Größere Aufgaben sind in der nächsten<br />

Zeit für die IT nicht zu erwarten, wie<br />

Daniel Schauenberg verrät: „Momentan<br />

sind keine großen Umbaumaßnahmen<br />

geplant. Wir arbeiten generell so, dass<br />

wir konstant kleinere Änderungen vornehmen,<br />

um stetig auf Änderungen reagieren<br />

zu können.“ <br />

n<br />

Infos<br />

[1] Daniel Schauenberg, „Scaling Deployment<br />

at Etsy“: [https:// www. youtube. com/​<br />

watch? v=AwOG65UGAH4]<br />

[2] IAMA-Thread auf Reddit:<br />

[http:// www. reddit. com/ r/ IAmA/​<br />

comments/ 1k7tlu/ we_are_the_operations_<br />

team_at_etsy_ask_us_anything/]<br />

[3] Chef: [http://www.opscode.com/chef/]<br />

[4] Github: [https://enterprise.github.com]<br />

[5] Open-Source-Code von Etsy:<br />

[https:// github. com/ etsy]<br />

[6] Casper Suite: [http://www.jamfsoftware.<br />

com/software/casper-suite]<br />

[7] Google Account Manager:<br />

[https://accounts.google.com]<br />

[8] Jira Ticketsystem: [https://www.atlassian.<br />

com/de/software/jira]


Titelthema<br />

www.linux-magazin.de Rechenzentren 12/2013<br />

36<br />

Skaleneffekt: Hosting-Firmen profitieren bei besserer Organisation besonders<br />

Pflege en gros<br />

Für Firmen, die tausende gleichartiger Server betreiben, müsste schon ein kleiner Effizienzgewinn beim Administrieren<br />

einer Maschine übers ganze Rechenzentrum betrachtet einen großen Fortschritt bringen. Jan Kleinert<br />

© smileus, 123RF.com<br />

In wessen Bürofenster ein paar Blumentöpfe<br />

den Alltag verschönern, der nimmt<br />

ab und an die Gießkanne zur Hand und<br />

sorgt für den Weiterbestand des floralen<br />

Ensembles. Wer aber Herr oder Frau über<br />

mehrere Gewächshäuser ist, lässt seine<br />

Gärtner besser nicht mit Gießkannen über<br />

Gänge mäandern, sondern bringt computergesteuerte<br />

Beregnungsanlagen in<br />

Stellung. Auf die IT übertragen: Admins<br />

mit einem bunten und beziehungsreichen<br />

Anwendungszoo<br />

werden von Fall zu Fall<br />

zwischen dem Aufwand<br />

für einen formvollendeten<br />

Zuschnitt und dem<br />

Nutzen entscheiden.<br />

In großen Rechenzentren<br />

dagegen, in denen<br />

zudem viele der Systeme<br />

gleich ausgestattet<br />

und mit sehr ähnlichen<br />

Diensten betraut sind,<br />

liegt der Verdacht nahe,<br />

dass Verbesserungen in<br />

der Ablauforganisation<br />

und bei Tools wegen des<br />

Skalierungseffekts sofort<br />

Abbildung 1: René Wienholtz ist Vorstand<br />

für Technologie und Innovation<br />

der Strato AG und CTO der Gruppe.<br />

positiv durchschlagen. Der Artikel prüft<br />

diese These in einer Branche mit starken<br />

Server-Armeen nach: Webhosting.<br />

Der Branchenprimus 1&1 gibt sich auf<br />

Nachfrage zugeknöpft. Die eigenen Entwickler<br />

agierten zwar agil und die Administratoren<br />

in unkonventionell erscheinenden<br />

Strukturen. Letztere könnte man aber<br />

„nicht als neue oder moderne Organisationsform<br />

gelten“ lassen, so ein Sprecher.<br />

1&1 – eine sehr normale Firma.<br />

Mehr Karten legt René<br />

Wienholtz von der Strato<br />

AG in Berlin auf den<br />

Tisch (Abbildung 1). Er<br />

berichtet: „Bei der prozeduralen<br />

Organisation haben<br />

mit der Normierung<br />

und Zertifizierung nach<br />

ISO 27 001 einen großen<br />

Schritt gemacht und beim<br />

Einführen agiler Methoden<br />

einen zweiten. Der<br />

erste lenkt den Fokus aufs<br />

Risiko- und Sicherheitsmanagement,<br />

zwingt zu<br />

prozessorientiertem Handeln,<br />

zu Dokumentation<br />

und wird extern geprüft. Agile Methoden<br />

verändern das Planen und die Kommunikation<br />

im gesamten Unternehmen.“<br />

Technisch setzte Strato laut Wienholtz bis<br />

etwa zum Jahr 2010 auf hochhomogene<br />

Infrastrukturen, die sich leicht verwalten<br />

ließen und sehr große Kostenvorteile<br />

brachten. Dann aber erhöhte sich die Frequenz<br />

der technologischen Umwälzung<br />

so weit, dass Strato fürchtete, bei Erhalt<br />

der Homogenität in technisch veraltete<br />

Hardware zu investieren. Wienholtz,<br />

Herr über 50 000 Server, beschreibt den<br />

Ausweg: „Kreativität war geboten, zumal<br />

wir ein margensensibles Geschäft betreiben.<br />

Jetzt setzen wir auf freie Software<br />

und gute, aber günstige Hardware – und<br />

tauschen nicht mehr effizient zu betreibender<br />

Rechner aus. Wir haben Abstraktions-<br />

und Verwaltungsebenen geschaffen,<br />

die heterogene Strukturen so einfach<br />

verwaltbar machen wie homogene.“<br />

Organisation unter Freunden<br />

Die Rekrutierung des Entwicklungs-<br />

Kernteams fürs Shared Hosting passierte<br />

auf Basis persönlicher Bekanntschaften.<br />

Daraus hat sich ein selbstorganisierendes<br />

Team gebildet. Der CTO der 500-Mitarbeiter-AG<br />

hat erlebt: „Diese Organisationsform<br />

funktioniert nur, wenn die Teammitglieder<br />

sehr gut zueinander passen und<br />

die Firma auf ihre Fähigkeiten blind vertrauen<br />

kann. Die Führungsspanne liegt<br />

selbst unter diesen idealen Voraussetzungen<br />

bei maximal 20 Mitarbeitern.“<br />

René Wienholtz’ Credo: „Organisation ist<br />

immer nur für den Moment und muss<br />

stets überprüft werden.“ Mit Blick auf den<br />

Menschen dahinter beschreibt er die Crux:<br />

„Gerade langjährige Mitarbeiter brauchen<br />

Veränderung. Zugleich ist es aber das,<br />

was sie am wenigsten mögen.“ n


Titelthema<br />

www.linux-magazin.de ITIL 12/2013<br />

38<br />

IT-Abteilungen modernisieren mit ITIL-Ideen<br />

Suche nach Struktur<br />

IT-Abteilungen unterliegen ebenso einem Wandel wie ihr Gegenstand, die IT. Organisch gewachsene Strukturen,<br />

die beim Weiterwachsen deutliche Schmerzen verursachen, sollten Verantwortliche dringend ordnen<br />

und professionalisieren. ITIL kann ihnen dabei helfen. Oliver Kluge<br />

© Buchachon Petthanya, 123RF.com<br />

Mit „ITIL ist eine Sammlung von Büchern<br />

...“ beginnen fast alle Ausführungen<br />

[1] zur IT Infrastructure Library [2]-<br />

[4]. Zurecht, denn die Aussage ist elementar<br />

und ITIL wirklich nur Best Practice,<br />

also eine Darstellung von guten Beispielen,<br />

um ein IT-Service-Management<br />

(ITSM) zu etablieren. Zwar gibt es mit<br />

ISO/​IEC 20 000 lange schon eine richtige<br />

Norm, gegen die sich Organisationseinheiten<br />

(für drei Jahre) zertifizieren lassen<br />

können. Aber der Kerngedanke von ITIL<br />

bleibt, dass sich eine Firma anhand der<br />

Beispiele ihr eigenes Qualitätsmanagement-System<br />

maßschneidert (Abbildung<br />

1), und das geht ohne Zertifikat.<br />

Die gute Nachricht lautet: Das Ganze ist<br />

kein Hexenwerk, solange die IT-Abteilung<br />

nicht riesig groß ist und eine Zertifizierung<br />

– falls überhaupt angestrebt – erst<br />

am Schluss stehen soll. Der Prozess lässt<br />

sich weitgehend ohne professionelle Beratung<br />

in Eigenregie einrichten, oder man<br />

holt sich Unterstützung aus einer Firma,<br />

die so etwas schon einmal an sich selbst<br />

gemacht hat.<br />

Vorarbeit spart Aufwand<br />

Wichtig ist von allem die gründliche Vorarbeit.<br />

Alles, was jemand hier versäumt,<br />

bereut er später – das Nachholen vervielfacht<br />

häufig den notwendigen Aufwand,<br />

so die Erfahrung. Ein Teil der Vorarbeit<br />

kristallisiert sich in der Configuration Management<br />

Database (CMDB), die alle Betriebsmittel<br />

der IT (Configuration Items,<br />

CI) erfasst. Mit ihr steht und fällt zugleich<br />

ITIL. Dabei muss die CMDB nicht zwingend<br />

eine einheitliche Datenbank sein<br />

– in großen Firmen ist sie es tatsächlich<br />

häufig nicht –, aber eine Gesamt-CMDB<br />

vereinfacht später es später, die Toolunterstützung<br />

aufzusetzen.<br />

Dank der CMDB hält eine IT-Abteilung in<br />

zentral vorgehaltenen Strukturen ihr Wissen<br />

vor, welche Geräte sie besitzt, verwaltet<br />

und betreibt, welche Services sie<br />

anbietet und wie die funktionieren. Letztere<br />

Informationen liegen häufig schon<br />

vor, zum Beispiel weil die Firma mit einem<br />

SAP-System bucht. Daher bleibt in<br />

den meisten Fällen das Zusammentragen<br />

aller Informationen über Hard- und<br />

Software der mit Abstand arbeitsaufwändigste<br />

Akt.<br />

Die LAN-Geräte kann der Admin häufig<br />

durch einen Netzwerkscan automatisiert<br />

erfassen, und bringt mit Hilfe der MAC-<br />

Adresse die anderen Informationen wie<br />

Ausstattung, Kaufdatum und Benutzer sowie<br />

Services ans Licht. Standortinformationen<br />

(Raum-, aber auch Telefonnummern)<br />

muss er meist manuell einpflegen.<br />

Dabei ist nicht immer der Anwender auch<br />

der Kunde, sondern häufig dessen Chef,<br />

an den die Rechnung ging.<br />

Schwieriger ist die Software (auf Windows-Rechnern)<br />

zu erfassen – <strong>Linux</strong>-Maschinen<br />

mit ihrem einheitlichen Paketmanagement<br />

erleichtern diese Aufgabe. Ganz<br />

allgemein gibt es Tools, die Software erkennen.<br />

Der IT-Verantwortliche sollte<br />

aber darauf achten, dass daraus keine<br />

Überwachung der Mitarbeiter entsteht –<br />

allein der Verdacht genügt, um Ärger zu<br />

bekommen. Wer jetzt noch beispielswei se<br />

aus dem SAP die Services gewinnen<br />

kann, ist einen großen Schritt weiter.<br />

Von Calls und Tickets<br />

Der nächste große Schritt zielt auf die<br />

Auswahl eines Tools, das, als Mindestanforderung,<br />

Störungsmeldungen der


Anwender und die daraufhin<br />

erledigten Arbeiten<br />

erfasst. Je nach<br />

Tool heißen solche<br />

Meldungen Tickets<br />

oder Calls. Sie zu managen,<br />

ist neben der<br />

CMDB die zweite unverzichtbare<br />

Säule.<br />

Abteilungen mit organisch<br />

gewachsenen<br />

Strukturen hantieren<br />

hier genau wie bei der<br />

CMDB gerne nur mit<br />

Papierformularen oder<br />

E-Mails. Das geht eine<br />

ganze Zeit gut, danach<br />

aber verlieren die Admins<br />

in der Mailflut<br />

den Überblick, und die<br />

Erkenntnis reift, dass es ohne Tool nicht<br />

mehr geht. Die Auswahl an Ticketsystemen<br />

erscheint mehr als reichlich.<br />

Neben der Zertifizierung gegen Ende<br />

scheint es hier eine zweite Gelegenheit<br />

zu geben, um punktuell professionelle<br />

Hilfe einzuholen. Denn die Tools unterscheiden<br />

sich in vielen Merkmalen, vor<br />

allem in der Art, wie sie Prozesse und<br />

Workflows abbilden. Probleme ergeben<br />

sich nämlich, wenn bereits vorhandene<br />

Systeme zu integrieren sind, häufig SAP<br />

& Co. Das macht die Eigenarbeit schwierig,<br />

aber möglich.<br />

Es gibt Tools, die einen eigenständigen<br />

Ansatz verfolgen und bei denen Workflows<br />

erst beim Customizing entstehen<br />

– was den Vorteil hat, dass die dann<br />

wirklich maßgeschneidert sind. Und es<br />

gibt Tools, die mit einem vorgefertigten<br />

Satz an ITIL-Prozessen kommen, und so<br />

schneller zum Erfolg führen. Manchmal<br />

ist es aber nötig, einen Workflow an das<br />

Tool anzupassen.<br />

Prozesse mit Augenmaß<br />

Abbildung 1: Die prinzipielle Struktur von ITIL, dargestellt als Kreis.<br />

Während ein Admin das Tool aufsetzt<br />

und mit der CMDB füttert, sollte jemand<br />

zumindest einen Rohentwurf seiner<br />

wichtigsten Prozesse anlegen. Hilfreich ist<br />

es, bereits vorhandene Dokumentation<br />

heran zuziehen und zu vereinheitlichen.<br />

Denn: Jeder noch so geniale <strong>Neu</strong>entwurf<br />

haftet ein Makel an – eben, dass er neu<br />

und damit für Mitarbeiter unbekannt ist.<br />

Je ähnlicher der <strong>Neu</strong>entwurf der bisherigen<br />

Praxis ist, desto leichter und reibungsärmer<br />

wird er umgesetzt werden.<br />

Prozesse haben Besitzer. Das sind Mitarbeiter,<br />

die definieren, wie die Firma einen<br />

Prozess konkret ausgestaltet. Ein solcher<br />

Owner kümmert sich um die Weiterentwicklung<br />

der Prozessdokumentation, und<br />

er sorgt dafür, sie mit Leben zu füllen.<br />

Prozesse definieren Rollen, die wiederum<br />

Mitarbeiter ausführen. Die Basisprozesse,<br />

ohne die nichts geht, sind:<br />

n Incident Management<br />

n Configuration Management<br />

n Change Management.<br />

Wer sie sauber definiert, für den sind<br />

die meisten anderen Prozesse nicht mehr<br />

weit. Er sollte sich jedoch unbedingt hüten,<br />

zu viel auf einmal zu wollen. Fürs<br />

Erste lässt sich ohne Problem Management<br />

arbeiten, sich wiederholende Störungen<br />

fängt das Incident Management<br />

ab, das ohnehin stets mit im Boot ist.<br />

Das Release Management vermag das<br />

Change Management mit abzuhandeln<br />

et cetera. Spezialdisziplinen wie Availability<br />

oder Capacity Management brauchen<br />

realistisch betrachtet ohnehin fast nur<br />

Großbetriebe, oder man fasst Prozesse<br />

zusammen.<br />

Botschafter mit<br />

Außenwirkung<br />

Im Incident Management (in ITIL zu finden<br />

unter: Service Operation | Incident<br />

Management) muss sich die IT-Abteilung<br />

der Außenwirkung wegen entscheiden,<br />

© ITIL.org - Glenfis AG


Titelthema<br />

www.linux-magazin.de ITIL 12/2013<br />

40<br />

© ITIL.org - Glenfis AG<br />

Abbildung 2: Das proaktive Servicedesk mit seinen Facetten sollte viele Probleme sofort am Telefon lösen.<br />

ob sie nur ein Helpdesk oder (besser) ein<br />

Servicedesk betreiben möchte. Ideal ist<br />

ein so genannter Skilled Service Desk mit<br />

Mitarbeitern, die versuchen, die Hälfte<br />

oder mehr aller eingehenden Störungen<br />

zu beheben, während der Anwender<br />

noch am Telefon ist. In den meisten Firmen<br />

nehmen die normalen Angestellten<br />

von der IT-Abteilung als Ganzes im Normalfall<br />

nichts wahr. Sehen können sie<br />

nur die Leute, die mal einen PC ausliefern<br />

oder reparieren. Zu hören bekommen sie<br />

IT-Kräfte am Telefon, wenn sie etwas bestellen<br />

oder eine Störung melden. Tipp:<br />

Diese IT-Mitarbeiter sollte man auf ihre<br />

Rollen als „Botschafter“ der IT-Abteilung<br />

einschwören.<br />

Ausdifferenziert<br />

Mit steigender Größe wird eine Aufgabenteilung<br />

in der Entstörung sinnvoll.<br />

Die IT-Abteilung braucht ohnehin Leute,<br />

die arbeitsintensivere Sachen nachverfolgen<br />

oder Auskünfte bei Herstellern einholen.<br />

Fürs vertiefte Bearbeiten schafft<br />

man einen Second-Level-Support und für<br />

Hausbesuche bei Anwendern und Kunden<br />

einen Außendienst. Für den Betrieb<br />

eines Rechenzentrums sollten die Admins<br />

einige Rollen definieren.<br />

Um die so mühsam erstellte CMDB weiter<br />

gut in Schuss zu halten, erweist sich ein<br />

Configuration Management als absolut<br />

unverzichtbar (in ITIL: Service Transition<br />

| Service Asset & Configuration Manage-<br />

ment). Es regelt, welche Daten von wem<br />

wann wie womit zu erheben sind, wer<br />

sie pflegt und wer sie überprüft. Eine Validitäts-<br />

und Integritätskontrolle ist lästig,<br />

muss aber ab und zu sein. Nicht zwingend<br />

dagegen sind manuell Inventuren,<br />

denn dafür gibt es automatische Tools.<br />

Der Probestart<br />

Wer die elementaren Prozesse beieinander<br />

hat, darf mit der Testphase beginnen.<br />

Die größte Umstellung für Mitarbeiter ist<br />

sicherlich das Rollenmodell an sich. In<br />

vielen organisch gewachsenen IT-Abteilungen<br />

gibt es Zuständigkeiten: Server<br />

ITIL: Mythen und Wahrheiten<br />

Um ITIL ranken sich Mythen und Sagen. Ein paar<br />

davon seien hier auf ihren Wahrheitsgehalt hin<br />

abgeklopft:<br />

n ITIL ist furchtbar kompliziert und komplex<br />

Es handelt sich um keinen Mythos. In Reinform<br />

und in voller Ausprägung ist ITIL furchtbar komplex.<br />

Aber: Die volle Ausprägung braucht kaum<br />

jemand! Weniger ist hier mehr. Wenige, dafür<br />

gut dokumentierte und gut gelebte Prozesse<br />

bringen viel mehr als eine Vollausstattung, die<br />

viele Mitarbeiter nur zu umgehen suchen.<br />

n ITIL spart Geld<br />

ITIL ist aus der Sicht von ISO 9001 ein Qualitätsmanagementsystem.<br />

Es hat nicht zum primären<br />

Ziel, Kosten zu sparen. Es soll die Verlässlichkeit<br />

und Planbarkeit erhöhen. Dabei lässt<br />

sich hier und da etwas sparen. Zunächst aber<br />

erzeugt es höhere Verwaltungsaufwände, und<br />

damit eigene Kosten in nennenswerter Höhe.<br />

repariert der Kollege Huber. Die Telefonanlage<br />

macht Franz. Am Telefon sitzt<br />

Karla Meier. Mit ITIL gibt es das so nicht<br />

mehr. Eine Rolle heißt hier, ein Mitarbeiter<br />

führt eine Funktion aus. Ein anderer<br />

Mitarbeiter kann die gleiche Rolle und<br />

damit Funktion ausführen.<br />

Ein Mitarbeiter darf zudem mehr als eine<br />

Rolle innehaben – dann hat er sinnbildlich<br />

mehrere Hüte auf. Hier ist es wichtig,<br />

dass sich kein Kollege überfordert fühlt.<br />

Drei Hüte aufhaben heißt nicht automatisch,<br />

für drei arbeiten zu müssen. Das<br />

richtig zu justieren ist Aufgabe der Vorgesetzten<br />

und nicht immer einfach.<br />

Das Servicedesk beziehungsweise das<br />

Auftragsmanagement (oder die Kombination<br />

beider) soll so organisiert sein, dass<br />

es als die einzige Anlaufstelle für Anwender<br />

und Kunden fungiert (Abbildung 2).<br />

Als professionell kann eine IT-Abteilung<br />

erst gelten, wenn ein Anwender nicht<br />

mehr seinen Lieblingsspezialisten direkt<br />

anruft, denn die persönliche Bindung erweist<br />

sich zwar als schnell, ist aber nicht<br />

nachhaltig. Dabei entstehen undokumentierte<br />

Lösungen. Wer sich entscheidet,<br />

das Auftragsmanagement separat zu betreiben,<br />

kann seine Struktur recht ähnlich<br />

zu der vom Servicedesk wählen (in ITIL:<br />

Service Operations | Request Fulfillment).<br />

King of the Ring<br />

Schwieriger als das in irgendeiner Form<br />

ohnehin vorhandenen Servicedesk zu<br />

n ITIL beschleunigt Prozesse<br />

In sehr gut eingeführten ITIL-Prozessen kann<br />

das der Fall sein. In der Einführungsphase tritt<br />

aber fast immer der gegenteilige Effekt auf:<br />

Bis sich alle eingewöhnt haben, dauert vieles<br />

viel länger als früher, daher ist ein gewisser<br />

Durchhaltewille notwendig.<br />

n ITIL ist besser als ISO 9001<br />

Definitiv ein Mythos, denn ITIL ist selbst ein<br />

QMS, während ISO 9001 beschreibt, dass eine<br />

Organisation ein QMS haben muss, aber nicht<br />

welches. Für die IT-Abteilung kann das dann<br />

ITIL/​ISO 20 000 sein, für andere Abteilungen<br />

nicht. Der Fokus ist ein anderer. ISO 9001<br />

kommt aus dem produzierenden Gewerbe und<br />

ist viel älter, hat daher andere Schwerpunkte.<br />

Manches daraus kann sich auch ein ITIL-Prozess<br />

abgucken, etwa die Dokumentenlenkung. Fazit:<br />

ITIL und ISO 9001 ergänzen sich gut.


e<strong>formieren</strong>, ist es, das Change Management<br />

(Service Transition | Change Management)<br />

zu starten. Denn die Spezialisten<br />

im Haus, die wissen „wie man es<br />

macht“, lassen sich erfahrungsgemäß nur<br />

ungern sagen, dass sie künftig nicht „mal<br />

schnell“ etwas ändern dürfen. Vielmehr<br />

müssen sie nun einen Antrag (Request<br />

for Change, RfC) formulieren, über den<br />

ein Change Advisory Board berät – und<br />

den es auch mal ablehnt.<br />

In einer gut geführten IT-Abteilung kommt<br />

kein Administrator einfach so ins Rechenzentrum,<br />

sofern er keinen genehmigten<br />

RfC und einen Termin (im Forward Schedule<br />

of Change) hat. Und nach jedem<br />

Change kommt der PIR, der Post Implementation<br />

Review. Nur Änderungen,<br />

die erfolgreich waren, haben Bestand.<br />

Andernfalls muss man einen Rollback<br />

erwägen. Für Routine-Aufgaben gibt es<br />

übrigens abgespeckte Changes, damit die<br />

Bürokratie nicht zu sehr wuchert (Standard<br />

Change – vorab autorisiert).<br />

Keine Schikane<br />

Was im ersten Moment nach ausufernder<br />

Bürokratie klingt, ist in Wirklichkeit die<br />

einzige Chance, Ordnung in den Wildwuchs<br />

zu bringen und eine zwingende<br />

Voraussetzung für erfolgreiche Entstörungen.<br />

Salopp ausgedrückt muss jeder die<br />

Welt neu dokumentieren, wenn er sie ändert.<br />

Für Systemadministratoren bedeutet<br />

es sicherlich eine Umstellung, nicht mehr<br />

„King of the Ring“ zu sein, sondern Teil<br />

eines Teams. Doch wer schon einmal erlebt<br />

hat, was passiert, wenn so ein King<br />

kündigt (oder nur krank wird), weiß um<br />

die Gefahren. Wenn dann, wie so oft,<br />

die Dokumentation nicht stimmt, wird es<br />

schnell brenzlig.<br />

Gerade wenn die IT-Abteilung nicht besonders<br />

groß ist und trotzdem jede Rolle<br />

mit einem oder gar mehreren Mitarbeitern<br />

zu besetzen ist, bekommen viele<br />

Admins mehrere Hüte aufgesetzt, sprich<br />

mehrere Rollen zugewiesen. Ideal ist es,<br />

wenn der Organisator dabei die bisherige<br />

Tätigkeit der Mitarbeiter abbilden kann.<br />

Andernfalls sollte er sachlich Naheliegendes<br />

kombinieren.<br />

Wie in allen modernen QM-Systemen ist<br />

in ITIL auch der Deming-Cycle integraler<br />

Bestandteil. Der Zyklus wird auch Plando-check-Act<br />

oder kontinuierlicher Verbesserungsprozess<br />

genannt. Er sieht vor,<br />

dass jeder Vorgang erst geplant, dann<br />

ausgeführt und dann überprüft wird, und<br />

daraufhin wird die Planung verbessert<br />

und so weiter.<br />

Die weitere Reise<br />

Ist diese Einführungsphase geschafft,<br />

kann sich die Firma daran machen, die<br />

Buchhaltung anzuflanschen (ITIL: Service<br />

Strategy | Financial Management),<br />

und zum Beispiel die Ergebnisse der<br />

Aufwandsbuchungen für Tickets SAP zu<br />

übergeben. Ohne SAP-Spezialisten geht<br />

da gar nichts – eigentlich wie immer,<br />

wenn es um Geld geht. Dann zieht man<br />

weitere Verästelungen ein.<br />

Sicher lässt das erste Problem nicht lange<br />

auf sich warten. Fünf Kollegen können<br />

auf einmal nicht mehr drucken. Jemand<br />

muss – nachdem die unmittelbare Störung<br />

behoben ist – untersuchen, ob es<br />

ein Spoolerproblem gab. Oder es leigt ein<br />

tiefgreifendes Problem mit dem Drucker<br />

vor, der eventuell den Anforderungen<br />

nicht gewachsen ist. Oder es gab eine<br />

Netzwerkstörung oder eine Putzfrau hat<br />

schlicht ein paar Stecker gezogen. Kurz:<br />

Ein Problem Management (Service Operation<br />

| Problem Management) muss her,<br />

das nach den Wurzeln des Übels (Root<br />

Causes) sucht und Known-Error-Dokumente<br />

erstellt (oder anfertigen lässt). So<br />

hat der Servicedesk beim Eingang weiterer<br />

Störmeldungen erste Handlungsanweisungen<br />

und kann die Experten auftreiben,<br />

damit sie wo möglich Lösungen<br />

schaffen und dokumentieren (Abbildung<br />

3). Gerade bei großen Störungen bewährt<br />

sich ein Problem Management.<br />

Spätestens der nächste Betriebssystemwechsel<br />

oder ein Leasingtausch wird die<br />

Notwendigkeit des Release Managements<br />

(Service Transition | Release and Deploy<br />

Management) zeigen, eine Art aufgebohrtes<br />

Change Management. Für die Planung<br />

des Ausbaus kann ein Capacity Management<br />

(Service Design | Capacity Management)<br />

sinnvoll sein, für das Einhalten der<br />

Servicelevel ein Availability Management<br />

(Service Design | Availability Management).<br />

Einen Qualitätsmanager sollte<br />

spätestens dann bereitstehen, wenn es<br />

ans Zertifizieren geht. Er wacht unter<br />

anderem darüber, dass alle Prozesse sauber<br />

dokumentiert sind, und prüft mit re-


Titelthema<br />

www.linux-magazin.de ITIL 12/2013<br />

42<br />

© ITIL.org - Glenfis AG<br />

Abbildung 3: Das Problem Management sucht nach Root Causes und fertigt Known-Error-Dokumente an.<br />

gelmäßigen internen Audits, ob sich auch<br />

alle an die Regeln halten.<br />

Jedes Firma kann morgen Opfer eines<br />

Hackerangriffs werden, weshalb ITIL jeder<br />

IT-Abteilung ein Security Management<br />

angedeihen lässt (Service Design |<br />

Information Security Management).<br />

Mit Sicherheit mehr<br />

Das Ende des Artikel bringt den ITIL-<br />

Interessierten allerdings noch nicht zum<br />

Ende seiner Todo-Liste: Vertragsmanagement,<br />

Lizenzmanagement, Supplier Management,<br />

Business Relation Management,<br />

Service Portfolio Management, IT<br />

Service Continuity Management, Access<br />

Management – es bleiben viele Dinge,<br />

die er tun kann, wenn die Zeit dafür gekommen<br />

ist. Wie schon erwähnt: Lieber<br />

anfangs weniger, dafür bessere Prozesse.<br />

Und wer den Eindruck hat, dass alles<br />

schön läuft, darf eine Zertifizierung ins<br />

Auge fassen. Hier ist professionelle Hilfe<br />

unerlässlich, denn nur sie erkennt Stolperstellen,<br />

bevor man ein teures externes<br />

Audit versemmelt.<br />

Fazit<br />

ITIL ist ein Weg zur Professionalisierung.<br />

Nicht der einzige, aber ein bewährter.<br />

Sofern eine IT-Abteilung nicht zu viel auf<br />

einmal will oder sich unnötigerweise vom<br />

Start weg unter Zeitdruck setzt, kann sie<br />

damit viel erreichen. Ein echter Königsweg<br />

existiert nicht, aber die sichere Erkenntnis,<br />

dass die Qualität der CMDB<br />

über jeden Zweifel erhaben sein muss,<br />

um eine Chance auf Sieg zu haben. Den<br />

Kunden und Anwendern ist es meistens<br />

viel wichtiger, dass alles „schön flutscht“.<br />

Wichtiger als Zertifikate allemal. (jk) n<br />

Infos<br />

[1] Oliver Kluge, Peter Pieronczyk, „IT-Qualitätsmanagement<br />

nach den ITIL-Versionen 2<br />

und 3“, <strong>Linux</strong>-<strong>Magazin</strong> 12/07, S. 108<br />

[2] ITIL: [http://www.itil-officialsite.com]<br />

[3] ITIL.org: [http:// www. itil. org]<br />

[4] IT Service Management Forum (Verein):<br />

[http:// www. itsmf. de]<br />

Der Autor<br />

Oliver Kluge ist ITIL-geprüft<br />

und zertifizierter Qualitätsmanagementbeauftragter<br />

und ‐Auditor (QMB/​QMA)<br />

nach ISO 9001. Er ist verantwortlich<br />

für das technische<br />

Qualitätsmanagement in der IT des Flughafens<br />

München und leitet dort das Testlabor. Er arbeitet<br />

auch als Problem Manager und berät IT-Abteilungen<br />

anderer Flughäfen in vielen Ländern der Welt.<br />

Kluge hat Informatik studiert, war Redakteur bei<br />

großen PC-Zeitschriften und 2001 beim<br />

<strong>Linux</strong>-<strong>Magazin</strong> Leiter des damaligen Competence<br />

Center Hardware.


Titelthema<br />

www.linux-magazin.de Buch-Preview 12/2013<br />

44<br />

Sysadmin-Bibel<br />

„We love Devops!“<br />

Der 1000-Seiter „The Practice of System and Network Administration“ (kurz TPOSANA) gilt vielen als<br />

Sysadmin-Bibel — doch die letzte Auflage stammt von 2007. Das <strong>Linux</strong>-<strong>Magazin</strong> hat die Autoren befragt,<br />

welche Kapitel sie für die <strong>Neu</strong>auflage ändern müssen, die nächstes Jahr erscheinen soll. Kristian Kißling<br />

© Benis Arapovic, 123RF.com<br />

sichtigen sollte. Hinter den einzelnen<br />

Sätzen stehen Verweise auf Kapitel und<br />

Abschnitte. Kann sich ein Sysadmin nicht<br />

mehr genau an alle Punkte in einem Kapitel<br />

erinnern, springt er über die Liste direkt<br />

zur entsprechenden Stelle im Buch.<br />

Die Liste streift Fragen wie „Welche Tools<br />

sollte jeder Sysadmin besitzen?“ Zu den<br />

Antworten gehört in diesem Fall ein portabler<br />

Label-Drucker, eine kleine Digitalkamera,<br />

um Fehlermeldungen abzufotografieren,<br />

Kabeltester, Walkie-Talkies für<br />

die Kommunikation im Rechenzentrum<br />

sowie Patchkabel in verschiedenen Längen<br />

inklusive ein oder zwei 30-Meter-<br />

Varianten für Spezialfälle. Warum der<br />

Sysadmin all diese Dinge brauchen kann,<br />

erläutern die Artikel dann ausführlich.<br />

Entstaubte <strong>Neu</strong>auflage<br />

Will man „The Practice of System and<br />

Network Administration“ adäquat beschreiben,<br />

eignet sich ein Satz auf Seite<br />

130 ganz besonders: „Auf den ersten<br />

Blick sieht es ziemlich einfach aus, ein<br />

Rechenzentrum aufzubauen. Sie brauchen<br />

einen großen Raum mit Tischen,<br />

Racks oder Drahtgitter-Regalen darin und<br />

Voilà!“ Klar, scheint wirklich nicht so<br />

kompliziert zu sein.<br />

Das Überraschende ist, dass es den Autoren<br />

Thomas A. Limoncelli, Christine<br />

J. Lear (vormals Hogan) und Strata R.<br />

Chalup tatsächlich gelingt – und das ist<br />

das Verdienst des Buches – diese Mammutaufgabe<br />

Stück für Stück auf zahlreiche<br />

kleine Tasks herunter zu brechen,<br />

die am Ende beherrschbar erscheinen.<br />

Allerdings beschleicht den Leser nach<br />

der Lektüre des etwa 1000 Seiten langen<br />

Wälzers, der nur auf Englisch vorliegt,<br />

ein leichtes Schwindelgefühl ob der unzähligen<br />

Tipps und Tricks (Abbildung 1).<br />

Am Ende der Kapitel folgt jedoch jeweils<br />

eine Zusammenfassung der wichtigsten<br />

Punkte.<br />

Besonders hübsch sind aber die Kästen,<br />

die im Buch immer wieder auftauchen.<br />

In ihnen erzählen die Autoren lehrreiche<br />

Anekdoten, die auf selbst gemachten<br />

Erfahrungen in der Praxis basieren.<br />

Daneben schildern sie sehr anschaulich<br />

die Erlebnisse anderer Sysadmins, um<br />

auf negative, aber auch positive Effekte<br />

hinzuweisen, die aus bestimmten Handlungen<br />

entstehen können.<br />

Die Liste<br />

Um den Gesamtüberblick zu behalten,<br />

hilft zudem die Liste weiter. Sie reicht<br />

von Seite 3 bis 26 und zählt in einer<br />

langen Reihung all die Dinge auf, die<br />

ein Sysadmin bei seiner Arbeit berück-<br />

Eine Digitalkamera zum Fotografieren,<br />

aber warum kein Smartphone? Die Antwort<br />

auf diese Frage führt zu einem<br />

Manko des Buches hin: Die letzte Auflage<br />

stammt von 2007 (siehe Kasten „Buchinfo“).<br />

Obwohl TPOSANA zu großen<br />

Teilen noch immer aktuell ist, wirken<br />

einige Passagen leicht angestaubt: Kein<br />

Wunder, sechs Jahre sind in der IT eine<br />

Ewigkeit. Das wissen auch die Autoren<br />

und arbeiten an einer dritten Auflage,<br />

die im Herbst nächsten Jahres erscheinen<br />

soll – in einer <strong>Neu</strong>auflage („Enterprise“)<br />

und einer schlankeren „Cloud“-Ausgabe.<br />

Dem <strong>Linux</strong>-<strong>Magazin</strong> haben sie vorab und<br />

exklusiv ihre Einschätzungen zu kommenden<br />

Trends und aktuellen Entwicklungen<br />

verraten.<br />

Der Teil über Rechenzentren ist beispielsweise<br />

noch vor dem großen Energiesparumbruch<br />

(Green Computing) entstanden.<br />

Tom Limoncelli arbeitete in dieser


Umbruchzeit bei Google, seine Energiesparerfahrungen<br />

dürften also in die <strong>Neu</strong>auflage<br />

einfließen. Daneben brachten die<br />

Autoren, ganz in der Manier des Buches,<br />

gleich noch ein anderes Beispiel, wie sich<br />

im Datacenter Energie sparen lässt. Im<br />

Rechenzentrum von Sun liefen seinerzeit<br />

noch einige alte Maschinen offenbar<br />

ungenutzt vor sich hin. Indem Sun die<br />

Besitzer der Maschinen einzeln befragte,<br />

ob sie diese Maschinen noch verwenden,<br />

ließ sich das Rechenzentrum mit<br />

einfachsten Mitteln optimieren.<br />

Zwischenmenschliches<br />

Allerdings glauben die Autoren auch,<br />

dass derzeit die größten Probleme für<br />

Sysadmins nicht technischer Natur sind.<br />

Für alle technischen Probleme gebe<br />

es mittlerweile Lösungen, es sei denn,<br />

man sei selbst in einer Firma tätig, die<br />

Pionierarbeit betreibt. Sysadmins würden<br />

sich heute eher Problemen sozialer<br />

Natur gegenübersehen:<br />

Kommunikation,<br />

Wall<br />

Door<br />

Planung, den Umgang 2 ft. square<br />

mit Ausfällen und<br />

Back of racks<br />

Budgetfragen. Es gebe<br />

einen höheren Druck,<br />

mit weniger Geld mehr<br />

zu erledigen.<br />

Schon 2007 war das<br />

Buch nicht nur technischer<br />

Ratgeber: Die<br />

Front of racks<br />

Front of racks<br />

Walkway<br />

Verhandlungen mit<br />

dem Management, der<br />

Umgang mit Kollegen<br />

und Kunden – auch für<br />

Back of racks<br />

die zwischenmenschliche<br />

Ebene liefert das Abbildung 1: Das ideale Rechenzentrum aus Sicht der Autoren im Jahr 2007.<br />

Werk praktische Anleitungen.<br />

Ein Beispiel: Meist nehmen<br />

die Mitarbeiter und das Management<br />

ihre Admins ja erst dann wahr, wenn es<br />

irgendwo brennt. Das Buch zeigt, wie<br />

Admins auch außerhalb dieses Zusammenhangs<br />

auf ihre Arbeit aufmerksam<br />

machen und positive Eindrücke hinterlassen<br />

können. Zudem sei es für Admins<br />

wichtig, die Ziele des Managements zu<br />

verstehen und mit diesen Zielen zu argumentieren,<br />

wenn es um die eigene IT-<br />

Strategie geht.<br />

Quelle: TPOSANA<br />

Buch-Preview 12/2013<br />

Titelthema<br />

www.linux-magazin.de<br />

45


Titelthema<br />

www.linux-magazin.de Buch-Preview 12/2013<br />

46<br />

Generell fordern die Autoren auf, mehr<br />

mit den Kunden zu kommunizieren und<br />

Prioritäten intelligent zu setzen. So widmet<br />

sich Kapitel 12 ethischen Fragen.<br />

Es sei wichtig, den ethischen Code für<br />

Sysadmins zu kennen und zu beherzigen<br />

und etwa nicht unlizenzierte Software<br />

zu installieren, weil es das Managemenr<br />

will. Ein anderes Kapitel im Buch beschäftigt<br />

sich mit dem Organisieren von<br />

Helpdesks („Don't forget the help in helpdesk.“),<br />

die für den Kunden häufig als<br />

einzige Schnittstelle zu einem Unternehmen<br />

auftreten.<br />

Devops<br />

Angesprochen auf die größten Veränderungen<br />

für Sysadmins seit 2007 fällt auch<br />

den Verfassern der Sysadmin-Bibel das<br />

Schlagwort Devops ein: „Wir lieben Devops.<br />

Wir denken, es nimmt all die guten<br />

Dinge auf, die wir empfohlen haben, und<br />

schnürt sie zu einem netten Paket“, loben<br />

sie. Tatsächlich betont das Buch immer<br />

wieder, wie wichtig Automatisierung ist,<br />

und mahnt eine sorgfältige und frühe<br />

Implementierung von Prozessen an.<br />

Devops fördere eine Kultur des Teilens<br />

und der Kooperation und optimiere so<br />

das komplette System, anstatt sich auf<br />

einzelne Baustellen zu konzentrieren und<br />

das große Ganze womöglich schlechter zu<br />

machen. Dank Automatisierung würden<br />

Aufgaben nicht nur schneller, sondern<br />

auch konsistenter und fehlerresistenter<br />

erledigt. Es ermutige Messprozesse und<br />

datenbasierte Entscheidungen. Als ihr<br />

erstes Buch erschien, gab es noch kein<br />

Monitoring. Heute heißt es: Wenn das<br />

Monitoring fehlt, ist es kein Dienst.<br />

Doch das Autorenteam sieht auch Grenzen<br />

der Automatisierung: Die liegen vor<br />

allem im Enduser-Support. Um ein Problem<br />

zu lösen, sei es manchmal effizienter,<br />

einen Menschen zu schicken als den<br />

Info<br />

Thomas Limoncelli,<br />

Christine Hogan, Strata<br />

Chalup:<br />

„The Practice of<br />

System and Network<br />

Administration“<br />

Addison-Wesley, 2007<br />

ISBN 978-0321492661<br />

Preis: 39,00 Euro<br />

technischen Supportweg einzufordern –<br />

Automatisierung sei nur dort gut, wo sie<br />

tatsächlich Zeit und Geld spare. Auf der<br />

anderen Seite mache die Supportautomatisierung<br />

Fortschritte, für OS X werden<br />

Simian [1] und Munki [2] genannt. User<br />

könnten heutzutage auch einfach eine<br />

Webseite besuchen, einen VPN-Zugriff<br />

anfordern und ihre Rechner in kurzer Zeit<br />

konfigurieren lassen.<br />

Nicht zuletzt gehöre zu den Veränderungen<br />

seit 2007, dass Anschaffungspreise<br />

für Technik heute weniger wichtiger seien<br />

als TCO (Total Cost of Ownership).<br />

Public versus Private Cloud<br />

Natürlich spielt auch die Cloud eine wesentliche<br />

Rolle: Public Clouds wie die von<br />

Amazon würden weniger durch ihre Kosten<br />

und mehr durch ihre Features punkten:<br />

Die bestehen in Flexibilität, leichter<br />

Bedienbarkeit und Elastizität. Wer nur<br />

für eine kurze Zeitspanne viele Server<br />

benötige, werde so in die Lage versetzt,<br />

Ressourcen nur kurzfristig einbinden und<br />

dann wieder loswerden zu können – das<br />

ginge mit physischer Hardware nicht.<br />

In einigen Firmen, in denen die IT nicht<br />

gut funktioniere, würden zudem einzelne<br />

Abteilungen mit Hilfe solcher Webservices<br />

um die IT-Probleme herum arbeiten,<br />

was aber andere Probleme nach sich ziehen<br />

könne. Langfristig, so das Resümee<br />

der Autoren, sei es aber günstiger, einen<br />

Wagen zu kaufen, als ihn zu mieten.<br />

Zudem lauerten in der Cloud auch Gefahren,<br />

etwa ein Kontrollverlust und die<br />

rechtlichen Probleme. Im Gegensatz zur<br />

Private Cloud kann ein konkurrierendes<br />

Unternehmen in der Public Cloud<br />

einen Dienst mit Hilfe rechtlicher Mittel<br />

abschalten lassen. Auch der Staat oder<br />

Strafverfolgungsbehörden könnten sich<br />

im Datenfundus eines Unternehmens<br />

bedienen, nach amerikanischem Recht<br />

muss die Firma davon nicht einmal etwas<br />

mitbekommen.<br />

Wohl auch aus diesem Grund erklärte<br />

Google kürzlich, wer Daten an einen<br />

Drittanbieter übergebe, dürfe keine<br />

rechtlichen Erwartungen auf die Erhaltung<br />

der Privatsphäre für diese Informationen<br />

hegen [3] – dem schließen sich<br />

die Autoren an. Zudem erinnern sie an<br />

Sicherheitsprobleme, die auch virtuelle<br />

Maschinen betreffen: Gelangt Schadcode,<br />

die den Hypervisor angreift, auf eine ungesicherte<br />

virtuelle Maschine, ziehe das<br />

womöglich auch die eigenen Gastmaschinen<br />

in Mitleidenschaft.<br />

Lokalkolorit<br />

Die Frage, ob es denn auch Tipps für<br />

Admins im deutschsprachigen Raum<br />

gebe, beantwortete Christine Lear, die<br />

schon länger in der Schweiz arbeitet.<br />

Selbst in kleineren Unternehmen sei für<br />

Admins aus ihrer Sicht heute die Mehrsprachigkeit<br />

wichtig, um in internationalen<br />

Teams zu arbeiten und mit englischsprachigen<br />

Kunden zu reden.<br />

Sie habe zudem Unterschiede zwischen<br />

Europa und den USA bemerkt. So gebe<br />

es in Europa weniger große Konferenzen<br />

für Sysadmins, wie etwa die Usenix Lisa<br />

[4] in den USA. Dafür sei das Verhältnis<br />

zwischen Arbeit und Urlaub in Europa<br />

besser geregelt: Für Angestellte sei Urlaub<br />

selbstverständlicher, auch auf die<br />

Ernährung werde mehr geachtet.<br />

Blick in die Zukunft<br />

Natürlich darf auch eine Zukunftsprognose<br />

nicht fehlen: Wenig überraschend<br />

nennen die Schreiber IPv6 als Herausforderung,<br />

auf die Admins vorbereitet sein<br />

müssen. Zudem sollte ein Admin heute<br />

wissen, welche Cloud-Lösungen es gibt<br />

und ob er seine empfohlene Variante tatsächlich<br />

auch unterstützen kann.<br />

Nicht zuletzt sei auch Bring Your Own<br />

Device (BYOD) ein Thema für die Zukunft:<br />

Während die Firmen glauben,<br />

diese Geräte seien einfach zu verwalten,<br />

würden sie in der Praxis häufig mehr Backend-Services<br />

benötigen, die mehr und<br />

nicht weniger Fähigkeiten erforderten.<br />

Man darf also gespannt auf die nächste<br />

Ausgabe sein und den schreibenden Sysadmins<br />

bis dahin im Internet über die<br />

Schulter schauen [5]. <br />

n<br />

Infos<br />

[1] Simian: [http:// code. google. com/ p/ simian/]<br />

[2] Munki: [http:// code. google. com/ p/ munki/]<br />

[3] Google zum Internet: [http:// rt. com/ usa/<br />

google‐gmail‐motion‐privacy‐453/]<br />

[4] Usenix Lisa: [https:// www. usenix. org]<br />

[5] Everything Sysadmin:<br />

[http:// everythingsysadmin. com]


In eigener Sache: DELUG-DVD<br />

Ubuntu, Owncloud, E-Book<br />

Einführung 12/2010 12/2013<br />

Software<br />

DELUG-Käufer erwartet auch diesmal eine randvolle DVD: Auf der Silberscheibe finden sie die neueste Version<br />

von Ubuntu Server, dazu zahlreiche Tools zu den Artikeln, eine virtuelle Appliance auf Basis von Suse 12.3 mit<br />

Owncloud, ein kostenloses E-Book übers Projektmanagement und Debconf-Videos. Markus Feilner<br />

www.linux-magazin.de<br />

47<br />

Inhalt<br />

48 Bitparade<br />

Pomodoro – hinter dem tomatigen Namen<br />

verbirgt sich eine Zeitmanagement-<br />

Technik, mit deren Hilfe vier Werkzeuge<br />

die Planung leichter machen wollen.<br />

54 Tooltipps<br />

Kurz angetestet: Dialog 1.2, Virtenv<br />

0.8.6, Collectd 5.4.0, Convmv 1.15 und<br />

Ngircd 20.3.<br />

56 Google Business Apps<br />

Fünf Angebote für Unternehmen vom<br />

Suchmaschinenriesen.<br />

Neben einem normalen <strong>Linux</strong>-<strong>Magazin</strong><br />

und dem Abonnement ohne Datenträger<br />

gibt es die DELUG-Ausgabe mit Monats-<br />

DVD, bei der die Redaktion den Datenträger<br />

nach einem speziellen Konzept<br />

zusammenstellt: In einer Art modularem<br />

System enthält er Programme und Tools,<br />

die in der jeweiligen <strong>Magazin</strong>-Ausgabe<br />

getestet und besprochen werden. Zudem<br />

gibt es nicht im Heft abgehandelte<br />

Abbildung 2: Kostenlos auf der DELUG-DVD: „Die<br />

Kunst des IT-Projektmanagements“.<br />

Software, die die Redaktion besonders<br />

empfiehlt, alles gebündelt unter einer<br />

HTML-Oberfläche.<br />

Für die Cloud: 64-Bit-<br />

Ubuntu 13.10 Server<br />

Von der DVD bootet Mark Shuttleworths<br />

neuestes Kind, Ubuntu 13.10, in der Server-Edition<br />

(Abbildung 1). Für die hat<br />

das <strong>Linux</strong>-<strong>Magazin</strong> extra den Presstermin<br />

der DELUG-DVD verschoben. Ungetestet,<br />

aber dafür brandaktuell setzt die <strong>Neu</strong>e<br />

voll auf die Cloud und will „die schnellste<br />

und flexibelste Plattform für skalierbare<br />

EDV sein“, schreibt Shuttleworth selbst,<br />

und der Produktmanagement-Leiter seines<br />

Server-Teams ist sich sicher: „Wir<br />

bieten ihnen eine vollständige Palette<br />

von Compliance-, Performance-, Überwachungs-<br />

und Sicherheitstools, die sie in<br />

allen Cloud- und physischen Umgebungen<br />

einsetzen können.“, und verweist auf<br />

Landscape, das Ubuntu-Management-<br />

Tool für Cloud-Installationen.<br />

E-Book und Videos<br />

Wer auf den Silberling mit dem Browser<br />

zugreift, der findet im Hauptmenü<br />

zwei Exklusiv-Einträge: Zum einen den<br />

zweiten Teil der besten Videos von der<br />

Debconf 2013. Da gibt sich die Debian-<br />

Prominenz ein Stelldichein, wenn Steve<br />

Schnepp über Munin, Andreas Mundt<br />

übers Deployen oder Harald Hoyer zu<br />

Dracut, James Hunt und Steve Langasek<br />

über Upstart reden und „Wookey“ seinen<br />

ARM-BoF durchzieht.<br />

Von Scott Berkun stammt das für DELUG-<br />

Leser kostenlose E-Book (Abbildung 2),<br />

in der deutschen Übersetzung von Thomas<br />

Demmig: „Die Kunst des IT-Projektmanagement“<br />

aus dem Verlag O’Reilly.<br />

Abbildung 1: Die auf den Cloud-Einsatz optimierte<br />

Ubuntu 13.10 Server Edition bietet bei der<br />

Installation zahlreiche Rollen an.<br />

Der praxisorientiere Ratgeber zeigt auf<br />

480 Seiten Entwicklern und Entscheidern<br />

die wichtigsten Stolperfallen bei größeren<br />

Projekten und beleuchtet die klassischen<br />

Aufgaben, Facetten und Mechanismen<br />

des Projektmanagements. Gedruckt kostet<br />

das Werk 40 Euro, DELUG-Käufer bekommen<br />

es einfach so.<br />

Suse mit Owncloud<br />

Als virtuelle Appliance liegt auf der DVD<br />

Open Suse 12.3 mit der ebenfalls brandneuen<br />

Owncloud-Edition 5.0.12, die viele<br />

Fehler behebt und es erlaubt, einen eigenen<br />

Synchronisations und Cloudspeicher<br />

einzurichten. Mit Owncloud lassen sich<br />

Dateien im Team, aber auch mit externen<br />

Mitarbeitern teilen, synchronisieren oder<br />

aber unter eine gemeinsame Versionskontrolle<br />

stellen.<br />

Damit nicht genug: Zu den Tools aus<br />

Bitparade und Tooltipps gesellen sich auf<br />

der DVD auch noch das U-Boot aus der<br />

Kerntechnik, Go Access, Samba 4.1 und<br />

Virtualbox 4.3 – allesamt kurz vor Redaktionsschluss<br />

erschienen. <br />

n


Software<br />

www.linux-magazin.de Bitparade 12/2013<br />

48<br />

Vier Pomodoro-Tools im Test<br />

Catch up!<br />

Flexible Arbeitszeiten, Eigenverantwortung, Homeoffice – der größte Gegner vieler Anwender ist die Prokrastination.<br />

Eine einfache Technik namens Pomodoro will das Zeitmanagement verbessern und findet langsam den<br />

Weg in die agile Programmierung. Vier Tools helfen bei der Konzentration. Mela Eckenfels<br />

© Maria Volosina, 123RF.com<br />

Ob im Büro, in der Uni-Bibliothek oder<br />

am Heimarbeitsplatz – viele Nutzer haben<br />

Schwierigkeiten, konzentriert am<br />

Stück zu arbeiten, und lassen sich gerne<br />

ablenken. Zudem überfordern komplexe<br />

Projekte zunächst viele. Vorhaben wie<br />

„Heute schreibe ich an meiner Abschlussarbeit“<br />

oder „Bis zum Abend debugge<br />

ich meinen Compiler“ versickern wegen<br />

mangelnder Strukturen schnell in Prokrastination.<br />

Genau hier setzt die Pomodoro-Technik<br />

[1] an, die seit den 1980er<br />

Jahren beim Fokussieren hilft.<br />

Zunächst überlegt sich der Anwender,<br />

was genau die Aufgabe ist, um sie dann<br />

in kleinere Häppchen aufzuteilen. Jeden<br />

Schritt soll er in maximal 25 Minuten abarbeiten<br />

können. Der Erfinder der Technik,<br />

Francesco Cirillo, legt Wert darauf,<br />

dass keine besonderen Hilfsmittel dazu<br />

nötig sind. Er selbst verwendet neben<br />

Stift und Papier lediglich eine tomatenförmige<br />

Eieruhr, die der Technik den Namen<br />

gab (Pomodoro: Tomate).<br />

Sobald der Timer startet, muss der Nutzer<br />

25 Minuten lang jede Ablenkung<br />

ausblenden. Ist die Aufgabe erfüllt, darf<br />

er sie durchstreichen. An jede Pomodoro-<br />

Phase schließt sich eine kurze Pause von<br />

5 Minuten an, in der Anwender ihre kreativen<br />

Energien aufladen sollen. Nach vier<br />

Pomodori, also alle zwei Stunden, gibt es<br />

eine Viertelstunde Pause.<br />

So lernen Nutzer, sich gegen Störungen<br />

von außen zu verteidigen. Schweifen sie<br />

ab oder klingelt das Telefon, vermerken<br />

sie diese Unterbrechungen. Ein weiterer<br />

Lernerfolg ist, dass Anwender den tatsächlichen<br />

Zeitbedarf für eine Teilaufgabe<br />

immer besser einschätzen können. Jeder,<br />

der einem großen Arbeitsberg gegenübersteht,<br />

profitiert davon, erreichbare Zwischenziele<br />

zu beschreiben.<br />

Diesen Ansatz verfolgen auch Scrum [2]<br />

und die agile Programmierung [3], so ist<br />

es kein Wunder, dass Pomodoro-Tools für<br />

den Desktop oder das Smartphone den<br />

einfachen Küchenwecker ablösen wollen,<br />

auch wenn das Ticken der Uhr laut Erfinder<br />

beim Konzentrieren hilft.<br />

Zum Test melden sich Flowkeeper [4],<br />

Pomodorium [5], Teamviz [6] und Tomate<br />

[7] unter Debian 7.2, Ubuntu 13.04<br />

und <strong>Linux</strong> Mint Olivia Cinnamon (alle<br />

32 Bit). Die Pomodoro-Tools sollen zeigen,<br />

wie gut sie den Anwendern bei der<br />

Einteilung und Zeitmessung helfen, wie<br />

es mit der Optik und den Soundeffekten<br />

aussieht, ob sie Auswertungs- und Statistikfunktionen<br />

mitbringen und wie es mit<br />

der Synchronisation mit anderen Geräten<br />

und der Teamfähigkeit aussieht.<br />

E Flowkeeper<br />

Der erste Kandidat ist in Java geschrieben,<br />

steht unter einer proprietären Lizenz,<br />

ist aber kostenlos: Flowkeeper [4]<br />

stammt aus der Feder des Entwicklers<br />

Constantine Kulak. Die Projektseite bietet<br />

einen Windows-Installer und eine Java-<br />

Archive-Datei (<strong>Linux</strong> und OS X) zum<br />

Download an. <strong>Linux</strong>-Anwender starten<br />

das Programm über den Aufruf »java ‐jar<br />

flowkeeper.jar«. Über das Hauptfenster<br />

erreichen sie die Programmeinstellungen,<br />

aktuelle Arbeitspläne und eine Taskverwaltung.<br />

Während viele Pomodoro-Tools<br />

auf dem Markt lediglich eine Timerfunktion<br />

bieten, unterstützt Flowkeeper den<br />

Anwender auch beim ersten Schritt: der<br />

Aufgabenplanung.<br />

Abbildung 1: Der Flowkeeper-Countdown läuft –<br />

jetzt ist Arbeitszeit.


Abbildung 2: Flowkeeper zeichnet die Vorgänge des aktuellen Tages auf und zeigt in der Statistik auch an,<br />

wie viele Unterbrechungen der Nutzer erfasst hat.<br />

Über »Create new« stellen Arbeitswillige<br />

zunächst den Plan für den aktuellen Tag<br />

auf. Danach definieren sie über »Add task«<br />

die einzelnen Aufgaben und wählen über<br />

ein Dropdownmenü die voraussichtliche<br />

Anzahl der benötigten Pomodori aus. In<br />

der Voreinstellung sind diese Abschnitte<br />

25 und die Pausen 5 Minuten lang. Bis<br />

zu vier Phasen sind möglich. Fügt der<br />

Nutzer zu einem späteren Zeitpunkt über<br />

das Hauptfenster ein weiteres Pomodoro<br />

hinzu, warnt Flowkeeper, dass mehr als<br />

vier pro Task nicht sinnvoll sind, ergänzt<br />

es aber dennoch.<br />

Ein Klick auf das Weckersymbol startet<br />

den Timer (siehe Abbildung 1). Ein<br />

neues Fenster zeigt den Countdown an<br />

und bietet Buttons, die aktuelle Sessions<br />

unterbrechen (»Interruption«) oder beenden<br />

(»Void it«). Eine Pausenfunktion<br />

fehlt allerdings, sodass der Timer immer<br />

weiterläuft.<br />

Der Knopf »Hide« verschiebt das Fenster<br />

ins Benachrichtigungsabteil; das Hauptfenster<br />

verschwindet automatisch, sobald<br />

die Uhr läuft. Das Tray-Icon erscheint<br />

mitunter recht pixelig oder einfach nur<br />

als schwarzes Kästchen ohne Funktion.<br />

Den Timer auf den Desktop zurückholen<br />

ist damit Glückssache.<br />

Die Flowkeeper-Oberfläche wirkt aufgeräumt<br />

und gut strukturiert. Angelegte<br />

Tasks gelten allerdings nur für den jeweils<br />

aktuellen Tag; das Tool nimmt Unerledigtes<br />

nicht mit in den nächsten Tag.<br />

Auch die angebotene Statistik hilft nur<br />

dabei, die aktuelle Tagesleistung zu rekapitulieren.<br />

Erfassungen über einen längeren<br />

Zeitraum sind ebenso wenig möglich<br />

wie der Export. Die Länge der Pomodori,<br />

der Pausen und das generelle Verhalten<br />

beeinflussen Nutzer über die »Settings«.<br />

Eine Erinnerungsfunktion für längere Erholungsabschnitte<br />

ist nicht vorhanden.<br />

Tomatensugo<br />

Im Test gelang es nicht, Flowkeeper<br />

unter <strong>Linux</strong> einen Ton zu entlocken. In<br />

den Genuss des leicht blechernen Tickens<br />

kommen lediglich Windows- und<br />

OS-X-Anwender. Die recht einfach gehaltene<br />

Tagesauswertung speichert das<br />

Programm nicht, sodass jeder selbst per<br />

Copy & Paste seine Leistungen und Fortschritte<br />

nachtragen muss. Die Statistik erfasst,<br />

wie viele Pomodori der Anwender<br />

geplant und erledigt hat; auch ungeplante<br />

und nachträglich hinzugefügte Phasen<br />

tauchen hier auf (siehe Abbildung 2).<br />

Das Tool wertet zudem aus, wie viele<br />

Pomodori er abgebrochen hat und wie<br />

oft er sich ablenken ließ.<br />

Flowkeeper kann seine Daten nicht zwischen<br />

mehreren Arbeitsplätzen synchronisieren,<br />

es ist ebenfalls nicht möglich,<br />

im Team auf dieselbe Liste von Tasks<br />

zuzugreifen. Das Programm richtet sich<br />

damit an Einzelkämpfer, die zu Beginn<br />

des Arbeitstages Schlachtpläne entwerfen<br />

und diese Stück für Stück abarbeiten<br />

möchten. Die Weiterentwicklung scheint<br />

derzeit zu stagnieren. Der letzte Eintrag<br />

stammt vom Januar 2011 und Feature Requests<br />

in den Diskussionsforen verhallen<br />

ungehört.<br />

E Pomodorium<br />

Der zweite Testkandidat ist ein echter<br />

Exot. Pomodorium [5] entstand, so die<br />

Aussage seines namenlosen Entwicklers,<br />

um ihm über seinen enormen Missbrauch<br />

von Massively Multiplayer Online


Software<br />

www.linux-magazin.de Bitparade 12/2013<br />

50<br />

Role-Playing Games (MMORPG) hinwegzuhelfen.<br />

Er bezeichnet seine Software<br />

als „Motivational Game“ und verpackt<br />

sie in ein Rollenspiel. Benutzer erhalten<br />

Gold für fertiggestellte Aufgaben, das sie<br />

investieren können, um dem eigenen Pomodorium-Charakter<br />

Gegenstände oder<br />

Ausrüstung zu beschaffen. Erst wenn<br />

dieser kräftig genug ist, gibt es als Belohnung<br />

ein kleines Spiel – der Charakter<br />

zieht in die Schlacht.<br />

Pomodorium steht ebenfalls unter einer<br />

proprietären Lizenz. Die ersten zehn Tage<br />

und fünf Level dürfen Anwender kostenfrei<br />

testen. Wer die Software danach<br />

weiterverwenden möchte, muss knapp<br />

20 US-Dollar investieren. Pomodorium<br />

läuft unter <strong>Linux</strong>, Windows und OS X<br />

und nutzt dazu Adobe Air [8].<br />

Der Einsatz dieser plattformunabhängigen<br />

Laufzeitumgebung ist für <strong>Linux</strong>er<br />

derzeit noch mit Air 2.6 möglich – mit<br />

dieser Version hat Adobe die Unterstützung<br />

aber eingestellt. Es ist daher nur<br />

eine Frage der Zeit, bis die alternde Software<br />

nicht mehr mit modernen Distributionen<br />

zusammenarbeitet.<br />

Auf allen drei Testsystemen hakte die<br />

Installation, aber die Anleitung unter [9]<br />

löste das Problem. Ist Adobe Air eingespielt,<br />

laden Anwender von der Pomodorium-Website<br />

den Installer »Pomodorium.air«<br />

herunter und rufen ihn auf.<br />

Beim ersten Start öffnet sich ein winziges<br />

Fensterchen, das neben dem Timer eine<br />

Statistikübersicht bietet.<br />

Der Anwender erfährt hier, wie viele Pomodori<br />

er ingesamt abgeschlossen hat<br />

und wie viele er durchschnittlich pro<br />

Tag fertigstellt. Außerdem steht hier die<br />

Summe der Goldstücke, der Gesundheitszustand<br />

des Charakters, die gesammelten<br />

Erfahrungspunkte, der aktuelle Spiel-Level<br />

und die Zahl der Städte, die der Charakter<br />

bisher von Monstern befreit hat.<br />

Tomatenschlacht<br />

Den Timer startet der Nutzer über »Go«.<br />

Ein Pomodoro ist 25 Minuten lang. Daran<br />

schließen sich 5 Minuten Pause an, das<br />

nachfolgende Pomodoro startet automatisch.<br />

Nach vier Phasen unterbricht das<br />

Tool die Serie und erlaubt eine richtige<br />

Pause. Einstellmöglichkeiten für die Intervalle<br />

oder andere Programmkomponenten<br />

sind nicht vorhanden, auch für<br />

die Planung und Selbstkontrolle<br />

greifen Anwender zu<br />

Zettel und Stift.<br />

Die Optik ist genauso gewöh<br />

nungsbedürftig wie das<br />

Konzept (Abbildung 3). Das<br />

Look & Feel lässt sehr zu<br />

wünschen übrig, denn so<br />

wirklich grün sind sich <strong>Linux</strong><br />

und Air-Programme nicht. Es<br />

ist unmöglich, die Schrift zu vergrößern<br />

oder einen besseren Kontrast einzustellen.<br />

Auf dem Debian-Testrechner waren<br />

alle Menüs zu sehen, unter <strong>Linux</strong> Mint<br />

versteckte sich das Menü »My Character«<br />

dagegen halb am oberen Rand.<br />

Jede neue Pomodoro-Einheit startet mit<br />

einer Fanfare und endet mit dem Geräusch<br />

klimpernder Münzen. In der Zeit<br />

dazwischen stört kein Ticken – wer diesen<br />

Sound als Motivationshilfe braucht,<br />

dürfte enttäuscht sein, denn Pomodorium<br />

bietet keine Gelegenheit, den Klang zu<br />

konfigurieren. Nutzer, die das Tool im<br />

Büro einsetzen möchten, schalten besser<br />

die Lautsprecher ab, vor allem wenn<br />

sie die Pausen für die eingebauten Spielelemente<br />

nutzen.<br />

Da Pomodorium nicht erfasst, welcher<br />

Aufgabe sich der Benutzer gerade widmet,<br />

fehlen auch alle Statistiken, die<br />

über die einfache Information der durchschnittlich<br />

erledigten Pomodori pro Tag<br />

hinausgehen.<br />

Jede fertiggestellte Einheit spült 25 Goldstücke<br />

in die Kasse. Arbeitet der Nutzer<br />

vier Phasen nacheinander (mit Pausen)<br />

ab, kommen 60 Taler dazu. Den virtuellen<br />

Abbildung 3: Pomodorium<br />

punktet nicht gerade mit<br />

seinem Aussehen.<br />

Reichtum gibt er über »My<br />

Character« aus, kauft Aus rüstung,<br />

Heiltränke oder Waffen<br />

(Abbildung 4). Dann geht’s<br />

weiter zur »Map«, um Städte<br />

zu besuchen und sie von<br />

Monstern zu befreien.<br />

Im Laufe des Spiels werden<br />

die Monster immer widerstandsfähiger,<br />

und um die<br />

Reisen zwischen den Orten zu bezahlen,<br />

sind wieder Münzen fällig. Der Disziplin<br />

nicht besonders förderlich ist, dass sich<br />

im Menü »Help« ein Hintertürchen findet,<br />

über das Anwender echtes Geld gegen<br />

virtuelles Gold tauschen dürfen.<br />

Synchronisation ist nicht vorgesehen. Benutzer<br />

mit mehr als einem Arbeitsplatz<br />

müssen jeden Charakter getrennt auf<br />

höhere Level befördern. Obwohl das Gesamtkonzept<br />

eigentlich danach schreit,<br />

gegeneinander zu spielen, ist Pomodorium<br />

nicht teamfähig.<br />

Das Tool ist sicher nicht die erste Wahl,<br />

wenn es um professionellen Einsatz geht.<br />

Für Studenten oder Freiberufler mit Motivationsschwierigkeiten<br />

und einem Faible<br />

für Rollenspiele ist es aber ein kurzweiliges<br />

Hilfsmittel. Sind die Bugs oder die<br />

Kollegen einmal besonders anstrengend,<br />

ist es schon befreiend, in den Pausen ein<br />

paar Monster ins Jenseits zu befördern.<br />

E Teamviz<br />

Dieses Programm motiviert und unterstützt<br />

Anwender nicht nur auf dem Desktop,<br />

sondern auch auf mobilen Geräten.<br />

Abbildung 4: Das Rollenspiel, der eigene Charakter und die Schlacht gegen Monster stehen bei Pomodorium<br />

eindeutig im Vordergrund.


Teamviz [6], ursprünglich als Pomodoro<br />

App bekannt, steht für Windows, OS X<br />

und Ubuntu auf der Homepage zur Verfügung.<br />

Links zu einer Android-App und<br />

der iPhone-Variante finden Nutzer ebenfalls<br />

im Downloadbereich.<br />

Die Software setzt auf Qt, steht unter<br />

einer geschlossenen Lizenz und setzt<br />

auf ein Freemium-Modell. Der einfache<br />

Client ist kostenlos. Um die Daten zwischen<br />

stationären und mobilen Geräten<br />

synchron zu halten, zahlt ein Anwender<br />

rund 2 US-Dollar pro Jahr. Die Enterprise-<br />

Version (rund 50 US-Dollar jährlich) für<br />

die Arbeit im Team (bis zu zwölf Personen)<br />

ist derzeit noch nicht verfügbar und<br />

mit „Coming Soon“ bezeichnet.<br />

Die Tester schauten sich das aktuelle<br />

Teamviz 3.2 an. Die <strong>Linux</strong>-Version befand<br />

sich zu Redaktionsschluss noch im Betastadium.<br />

Der Hersteller bietet 32-Bit- und<br />

64-Bit-Varianten für Ubuntu an. Diese<br />

liefen problemlos auch unter <strong>Linux</strong> Mint<br />

und Debian. Letzteres benötigt zusätzlich<br />

Curl, das Anwender gegebenenfalls<br />

nachrüsten. Nach dem Download und<br />

dem Entpacken des Archivs startet der<br />

Aufruf von »./TeamViz« das Programm.<br />

Benutzer erzeugen zunächst einen Account<br />

für die Teamviz-Server und melden<br />

sich dann an.<br />

Genau wie Flowkeeper hilft Teamviz dabei,<br />

die Aufgaben zu planen. Anwender<br />

legen Listen für verschiedene Projekte an,<br />

weisen diesen einzelne Tasks zu, denen<br />

das Tool jeweils ein Pomodoro zuordnet.<br />

Mehrere Phasen sind nur bei den mobilen<br />

Apps möglich. Dafür dürfen Benutzer<br />

eine Aufgabe bei der Desktopvariante<br />

mehrmals aufrufen, sollte ein Pomodoro<br />

nicht ausreichen. Mit den Listen planen<br />

sie weit über den aktuellen Tag hinaus.<br />

Fährt der Nutzer mit der Maus über eine<br />

Aufgabe in der aktuellen Liste, erscheint<br />

dort ein kleines Timersymbol. Ein Klick<br />

darauf ordnet es der To-do-Liste »Today‘s<br />

Tasks« hinzu. Bleibt ein Punkt der Aufstellung<br />

unbearbeitet, übernimmt Teamviz<br />

ihn ohne weitere Nachfrage für den<br />

nächsten Tag.<br />

Um ein Pomodoro zu starten, bewegen<br />

Anwender die Maus über die Aufgaben<br />

der Tagesliste und klicken dort auf das<br />

Icon mit der Tomate. Das Timerfenster<br />

öffnet sich und mit »Start« beginnt die<br />

Abbildung 5: Wer die Arbeit unterbrechen möchte, der gibt am besten direkt den Grund dafür an. Einträge<br />

erscheinen automatisch in der Liste »Unplanned Tasks«.<br />

Abbildung 6: Teamviz punktet bei der grafisch ansprechenden und informativen Statistik. Lediglich unter<br />

<strong>Linux</strong> verweigert das Tool derzeit den Export der Daten; auf den anderen Plattformen klappt das schon.<br />

Uhr zu laufen. Das Hauptfenster zieht<br />

sich in den Hintergrund zurück, lediglich<br />

ein kleiner Zeitgeber verbleibt am oberen<br />

Bildschirmrand.<br />

Um den Arbeitsfluss zu unterbrechen,<br />

klicken Nutzer auf das traurige Gesicht<br />

im kleinen Fenster. Im Test reagierte das<br />

Programm zäh; besser gelingt es, wenn<br />

sie das Hauptfenster nach vorne holen<br />

und den Grund für die Auszeit ins Eingabefeld<br />

tippen (Abbildung 5). Die Funktion<br />

eignet sich gut dazu, spontane Ideen<br />

oder vergessene Aufgaben zu notieren,<br />

denn die Einträge erscheinen automatisch<br />

in der Liste »Unplanned Tasks«.<br />

Tomaten auf den Ohren<br />

An eine erledigte Aufgabe schließt sich<br />

eine Pause an. Die Länge der Auszeiten<br />

und der Pomodori können Nutzer anpassen.<br />

Letztere sind mindestens 10 und<br />

maximal 90 Minuten lang. Auch die Pausendauer<br />

ist variabel. Nicht beeinflussbar<br />

ist die Abfolge kleiner und großer Unterbrechungen.<br />

Teamviz startet nach jedem<br />

Pomodoro einen kleinen Time out, nach<br />

jeder vierten Arbeitsphase ist automatisch<br />

eine lange Pause fällig.<br />

Das klassische Weckerticken deaktivieren<br />

Nutzer über die Programmeinstellungen,<br />

allerdings gibt Teamviz nach wie vor bei<br />

jedem Start einer Pomodoro-Einheit ein<br />

kurzes Geräusch von sich. Während der<br />

Pausen schweigt das Tool, am Ende einer<br />

Phase schrillt ein Alarm.<br />

Als einziger Kandidat im Test bereitet<br />

Teamviz die Statistik über erledigte oder<br />

abgebrochene Pomodori grafisch auf. So<br />

sehen Nutzer auf einen Blick, wann sie<br />

Bitparade 12/2013<br />

Software<br />

www.linux-magazin.de<br />

51


Software<br />

www.linux-magazin.de Bitparade 12/2013<br />

52<br />

in einem bestimmten Zeitraum besonders<br />

produktiv waren (siehe Abbildung 6).<br />

Aus einer Tabelle entnehmen sie, wie<br />

viele Pomodori für eine Aufgabe nötig<br />

waren und wann sie laufende Phasen<br />

unterbrochen haben.<br />

Ein Klick auf »Export« sollte die Daten<br />

theoretisch in einer CSV-Datei abspeichern.<br />

Die <strong>Linux</strong>-Version des Programms<br />

zeigte sich allerdings sperrig und stürzte<br />

auf allen Testrechnern reproduzierbar ab.<br />

Hier zeigt sich, warum das Programm<br />

für diese Plattform noch das „Beta“ im<br />

Namen trägt.<br />

Dafür klappte der Abgleich mit anderen<br />

Geräten im Test reibungslos. Die Synchronisations-Funktion<br />

ist in der Gratisvariante<br />

nur im ersten Monat kostenlos,<br />

danach bittet der Hersteller zur Kasse.<br />

Für den Abgleich nutzt das Programm<br />

die Teamviz-Server. Einen eigenen Server<br />

über Webdav oder Ähnliches einzurichten<br />

sieht die Software nicht vor.<br />

E Tomate<br />

Das von Elio Esteves Duarte entwickelte<br />

Python-Programm Tomate [7] steht unter<br />

der GPLv3. Im Test gelang die Installation<br />

der neuesten Version 0.2.1 weder unter<br />

Debian noch unter <strong>Linux</strong> Mint. In beiden<br />

Fällen mochte das Tool nicht mit dem<br />

aktuellen Paket »python‐distutils‐extra«<br />

zusammenarbeiten. Ubuntu-Anwender<br />

spielen das Pomodoro-Werkzeug über<br />

das Launchpad-PPA ein:<br />

sudo add‐apt‐repository ppa:stvs/tomate<br />

sudo apt‐get update && sudo apt‐get installU<br />

‐y tomate<br />

Das Hauptfenster zeigt einen großen<br />

Timer und darunter die Anzahl der erfolgreich<br />

beendeten Pomodori. Über die<br />

Buttons wählt der Nutzer aus, ob er einen<br />

Pomodoro, eine kurze oder eine lange<br />

Pause starten möchte. Die Länge der Abschnitte<br />

definiert er in den Einstellungen.<br />

Tomate gestattet flexible Werte in Minutenschritten<br />

zwischen 1 und 93 Minuten.<br />

Der große grüne Pfeil startet die Zeitmessung,<br />

der blaue kreisförmige Pfeil setzt<br />

den Zähler auf Null zurück.<br />

Tomate nistet sich oben rechts im Unity-<br />

Panel und links im Dash ein und motiviert<br />

den Anwender nach dem Start mit<br />

einem Benachrichtigungsfenster (siehe<br />

Abbildung 7). Das Panel- und das Dash-<br />

Symbol geben auf<br />

Wunsch Auskunft darüber,<br />

wie viel Zeit im<br />

aktuellen Pomodoro<br />

verstrichen ist. Die<br />

Anzeige für die beiden<br />

Icons aktivieren Nutzer<br />

in den Programmeinstellungen<br />

(Abbildung<br />

8).<br />

Mehr ist nicht drin:<br />

Die Tomate-Anwender<br />

dürfen keine Pläne,<br />

Aufgaben oder To-do-Listen definieren,<br />

auch statistische Auswertungen unterbleiben.<br />

Die Synchronisation mit anderen<br />

Geräten oder ein Teammodus fehlen<br />

ebenfalls. Dieses Pomodoro-Tool tickt<br />

nicht mal – auch in der Konfiguration<br />

findet sich dafür kein Schalter. Das Ende<br />

einer Arbeitsphase kündigt ein kurzer<br />

Piepton an. Damit eignet sich Tomate für<br />

Benutzer, die einfach einen Timer benötigen<br />

und die verstrichene Zeit im Blick<br />

behalten möchten.<br />

Basta, Pomodoro!<br />

Abbildung 7: Tomate integriert sich<br />

gut in den Unity-Desktop.<br />

Die vier Testkandidaten hinterlassen einen<br />

gemischten Salat. Tomate ist nur ein<br />

schlichter Zeitnehmer für den Ubuntu-<br />

Desktop. Benutzer anderer Distributionen<br />

schauen in die Röhre, ersetzen das<br />

Tool aber flugs durch eine andere Uhr<br />

oder einen Küchentimer – mehr bietet<br />

Tomate selbst auch nicht.<br />

Flowkeeper ist ein handliches Werkzeug,<br />

mit dem Anwender zu Beginn eines Tages<br />

einen Schlachtplan entwerfen und ihn<br />

nacheinander abarbeiten. Sobald weitere<br />

Mitarbeiter oder mehrere Arbeitsplätze<br />

ins Spiel kommen, stößt das Tool an seine<br />

Grenzen. Zudem scheint die Weiterentwicklung<br />

zu stagnieren; ob Flowkeeper<br />

künftig neue Features und Updates erhält,<br />

steht in den Sternen.<br />

Pomodorium richtet sich in erster Linie<br />

an Spielkinder mit großem inneren<br />

Schweinehund. Rollenspieler kommen<br />

auf ihre Kosten, das Tool funktioniert,<br />

eignet sich aber nicht für den Einsatz im<br />

Großraumbüro oder im Team. Wegen seines<br />

Adobe-Air-Unterbaus ist es für <strong>Linux</strong>-<br />

Nutzer nicht zukunftsfähig.<br />

Somit küren die Tester Teamviz als Sieger.<br />

Das Aussehen und die Anordnung des<br />

Hauptfensters gefällt und die Anordnung<br />

Abbildung 8: Tomate beschränkt<br />

sich auf das Wesentliche.<br />

in Listen sorgt für Übersicht. Die mobile<br />

Version ist nicht ganz so gut gelungen,<br />

denn die App kommt selbst auf größeren<br />

Displays nicht an die Aufgeräumtheit der<br />

Desktopversion heran. Die Grundfunktionen<br />

stehen in der kostenlosen Variante<br />

zur Verfügung, wer Daten zwischen mehreren<br />

Geräten synchronisieren möchte,<br />

der greift zur Bezahlversion. Obwohl der<br />

<strong>Linux</strong>-Client noch im Betastadium ist,<br />

zeigte er sich im Test bis auf die Abstürze<br />

beim Export stabil.<br />

Eine echte Zeiterfassung bietet keiner der<br />

Testkandidaten. Die Werkzeuge sind wie<br />

die Pomodoro-Technik selbst lediglich<br />

Hilfsmittel, um effektiver und fokussierter<br />

zu arbeiten. Anwender, die ihre Leistung<br />

aufzeichnen und mit Nachweisen in<br />

Rechnung stellen möchten, greifen daher<br />

am besten zu einem professionellen Zeiterfassungstool<br />

[10]. (hej) <br />

n<br />

Infos<br />

[1] Die Pomodoro-Technik:<br />

[http:// pomodorotechnique. com]<br />

[2] Scrum: [https:// www. scrum. org]<br />

[3] Wikipedia zu agiler Software-Entwicklung:<br />

[http:// de. wikipedia. org/ wiki/ Agile_<br />

Softwareentwicklung]<br />

[4] Flowkeeper:<br />

[http:// flowkeeper. sourceforge. net]<br />

[5] Pomodorium:<br />

[http:// www. pomodorium. com]<br />

[6] Teamviz: [http:// www. teamviz. com]<br />

[7] Tomate: [https:// launchpad. net/ tomate]<br />

[8] Adobe Air: [http:// helpx. adobe. com/ air/​<br />

kb/ install‐32‐bit‐air‐linux. html]<br />

[9] Adobe Air unter Ubuntu und Mint installieren:<br />

[http:// linuxg. net/ how‐to‐install<br />

‐adobe‐2‐6‐air‐on‐ubuntu‐13‐04<br />

‐raring‐ringtail‐and‐linux‐mint‐15‐olivia]<br />

[10] Mela Eckenfels, „Clockwork Office“:<br />

<strong>Linux</strong>-<strong>Magazin</strong> 06/​12, S. 42


Software<br />

www.linux-magazin.de Tooltipps 12/2013<br />

54<br />

Werkzeuge im Kurztest<br />

Tooltipps<br />

Dialog 1.2<br />

Dialoge für Shellskripte<br />

Quelle: [http:// invisible‐island. net/ dialog]<br />

Lizenz: LGPLv2.1<br />

Alternativen: Zenity, Xdialog<br />

Virtenv 0.8.6<br />

Grafische LXC-Verwaltung<br />

Quelle: [http:// virtenv. sourceforge. net]<br />

Lizenz: GPLv2<br />

Alternativen: LXC-Provider, Virt-Manager<br />

Collectd 5.4.0<br />

Systemdaten sammeln und aufbereiten<br />

Quelle: [http:// collectd. org]<br />

Lizenz: GPLv2<br />

Alternativen: RRD Util, Ecostats<br />

Mit einem Tool wie Dialog statten Nutzer<br />

ihre Shellskripte mit grafischen Elementen<br />

aus und gestalten beispielsweise Fenster<br />

für Benutzerabfragen. Die Rückgabewerte<br />

entscheiden dann über den weiteren Verlauf<br />

des Skripts. Das C-Programm setzt<br />

auf Ncurses und benötigt somit keinen<br />

laufenden X-Server. Anwender steuern<br />

das Werkzeug über Kommandozeilen-<br />

Parameter und beeinflussen damit das<br />

Aussehen und die Inhalte.<br />

Über 20 verschiedene Dialogtypen stehen<br />

zur Verfügung, darunter Benachrichtigungsboxen,<br />

Datei-Auswahldialoge und<br />

Passwortabfragen. In den letzten Jahren<br />

waren die Entwickler nicht untätig, haben<br />

zahlreiche Fehler korrigiert und viele<br />

neue Funktionen implementiert. So sind<br />

etwa die von Xdialog bekannten Typen<br />

»buildlist«, »rangebox« und »treeview«<br />

hinzugekommen. Die Standardausgabe<br />

externer Programme zeigt »‐‐prgbox« in<br />

der Ncurses-Oberfläche an. Eine Alternative<br />

dazu bietet »‐‐programbox«: Über<br />

eine Pipe betten Benutzer die Ausgaben<br />

von Shellkommandos ein.<br />

Weitere neue Funktionen wie »‐‐help‐button«<br />

oder »‐‐extra‐button« ermöglichen es<br />

den Benutzern, die Bedienelemente der<br />

Oberfläche ganz nach eigenen Wünschen<br />

zu gestalten.<br />

★★★★★ Dialog ist Ncurses-basiert, benötigt<br />

also keinen laufenden X-Server<br />

und ist damit recht anspruchslos. n<br />

Die Virtualisierungslösung <strong>Linux</strong> Containers<br />

(LXC) ist seit Version 2.6.29 fester<br />

Bestandteil des Kernels. Damit sind<br />

einfache Applikations-, aber auch Systemcontainer<br />

möglich – sogar für andere<br />

Distributionen. Das Qt-4-Programm Virtenv<br />

bietet grafische Schnittstellen, mit<br />

denen Anwender Schritt für Schritt LXC-<br />

Umgebungen erzeugen.<br />

Nach dem Aufruf von »virtenv« startet<br />

ein Assistent, der im ersten Dialog vorhandene<br />

Virtenv-Maschinen anzeigt und<br />

startet. Alternativ tragen Benutzer einen<br />

neuen Namen ein. Im nächsten Schritt<br />

fragt das Werkzeug nach der Auflösung,<br />

falls eine grafische Umgebung und ein X-<br />

Server gewünscht sind. Soll die Maschine<br />

netzwerkfähig sein, geben Anwender zudem<br />

das Interface, die IP-Adresse und das<br />

Gateway an. Virtenv richtet bis zu vier<br />

Schnittstellen ein.<br />

Sämtliche Konfigurationsdateien legt das<br />

Tool im Ordner »~/.virtenv« ab. Das<br />

Rootverzeichnis mountet das Programm<br />

beim Start der virtuellen Umgebung via<br />

»copy‐on‐write« in das jeweilige »rootdir«-<br />

Verzeichnis. Daher sind zum Start einer<br />

VM Rootrechte erforderlich.<br />

★★★★★ Mit Virtenv erzeugen Anwender<br />

in wenigen Schritten <strong>Linux</strong>-Container-Umgebungen.<br />

Das Tool eignet sich<br />

hervorragend dazu, schnell Testsysteme<br />

und Sandboxes zu generieren. n<br />

Wie der Name vermuten lässt, sammelt<br />

dieser Daemon Daten über die Systemperformance.<br />

Die Datenerfassung erfolgt<br />

über Plugins. Collectd hat über 90 solcher<br />

Erweiterungen im Angebot, etwa für<br />

Apache, Bind, IPtables, Nginx, MySQL,<br />

PostgreSQL und Oracle. Erfahrene Entwickler<br />

setzen optional eigene ein; Implementierungen<br />

in C, Java, Perl oder<br />

Python sind laut Wiki auf der Projektseite<br />

möglich.<br />

Welche Dienste und Ressourcen Collectd<br />

überwacht, legt der Anwender in der<br />

Konfigurationsdatei »/etc/collectd.conf«<br />

fest. Um dort ein Plugin zu aktivieren,<br />

lädt er es zunächst und beschreibt danach<br />

die Konfiguration. Je nach Modul<br />

gibt er hier Verzeichnisse, Ports oder<br />

Schwellenwerte vor. Das C-Programm<br />

legt die erfassten Daten im RRD-Format<br />

ab. Ein entsprechendes RRD-Tool-Frontend<br />

erzeugt daraus aussagekräftige und<br />

ansprechende Graphen – Collectd selbst<br />

sammelt nur und zeichnet nicht.<br />

Optional speichert das Tool die Informationen<br />

im CSV-Format. Das ist etwa dann<br />

hilfreich, wenn Benutzer die Daten vor<br />

der Visualisierung automatisiert verarbeiten<br />

möchten.<br />

★★★★★ Collectd ist ein leistungsfähiger<br />

Dienst, der zuverlässig Systemdaten<br />

aufzeichnet. Dank der Plugin-Struktur<br />

gestalten Anwender den Einsatz ganz<br />

individuell für das eigene Setup. n


Convmv 1.15<br />

Datei- und Verzeichnisnamen konvertieren<br />

Quelle: [https:// www. j3e. de/ linux/ convmv]<br />

Lizenz: GPLv2<br />

Alternativen: Rename, Iconv<br />

Ngircd 20.3<br />

Portabler IRC-Server<br />

Quelle: [http:// ngircd. barton. de]<br />

Lizenz: GPLv2<br />

Alternativen: We Ircd, Rage Ircd<br />

Wer oft mit unterschiedlichen Zeichensätzen<br />

kämpft, der darf sich von Convmv<br />

unterstützen lassen. Das Tool konvertiert<br />

das Encoding in Datei- und Verzeichnisnamen<br />

und benennt auch ganze Ordnerhierarchien<br />

um, den Inhalt lässt es<br />

unangetastet. Das Perl-Skript kümmert<br />

sich auch um Symlinks, löst sie auf und<br />

wandelt gegebenenfalls den Zeigernamen<br />

in einen anderen Zeichensatz um.<br />

Convmv handhabt in der aktuellen Version<br />

124 Zeichensätze; zusammen mit<br />

»‐‐list« aufgerufen schreibt es alle bekannten<br />

Encodings auf die Standardausgabe.<br />

Um etwas zu konvertieren, geben<br />

Anwender hinter »‐f« den aktuellen und<br />

hinter »‐t« den neuen Zeichensatz an. Soll<br />

das Werkzeug rekursiv arbeiten, verwenden<br />

sie zusätzlich »‐r«. Um im selben Arbeitsschritt<br />

die Schreibweise der Namen<br />

anzupassen, definieren Nutzer optional<br />

»‐‐lower« oder »‐‐upper«, und das Tool<br />

wandelt die Dateinamen in Klein- beziehungsweise<br />

Großbuchstaben um.<br />

Das Perl-Skript hat mehrere Schutzvorrichtungen<br />

eingebaut. Vor dem Trans<strong>formieren</strong><br />

prüft es, ob eine Datei nicht schon<br />

in der gewünschten Kodierung vorliegt,<br />

und stellt gegebenenfalls den Dienst ein.<br />

Mit »‐‐nosmart« deaktivieren Anwender<br />

diese Kontrolle. In der Voreinstellung arbeitet<br />

Convmv außerdem im Testmodus<br />

und gibt nur an, welche Änderungen anstehen.<br />

Um diese tatsächlich durchzuführen,<br />

starten Benutzer das Werkzeug mit<br />

dem Parameter »‐‐notest«.<br />

★★★★★ Convmv ist ein praktischer Helfer,<br />

um angerichteten Zeichensalat bei<br />

Datei- und Verzeichnisnamen zu korrigieren.<br />

Die Bedienung ist intuitiv, der<br />

Standardtestmodus verhindert Schäden<br />

durch voreilige Aktionen.<br />

n<br />

An IRC-Servern besteht unter <strong>Linux</strong><br />

wahrlich kein Mangel. Der Next Generation<br />

IRC Daemon (Ngircd) basiert jedoch<br />

nicht auf dem ursprünglichen Ircd wie<br />

viele andere Server. Der portable und<br />

leichtgewichtige Daemon für den Internet<br />

Relay Chat eignet sich besonders für<br />

kleinere oder private Netze, ist schnell<br />

konfiguriert, kann mit dynamischen<br />

IP-Adressen umgehen und unterstützt<br />

IPv6, SSL-Verschlüsselung sowie PAM-<br />

Authentifizierung.<br />

Die Einrichtungsdatei ist übersichtlich.<br />

Das Quellarchiv enthält einige Beispiele,<br />

die als Vorlage dienen können. Die Konfiguration<br />

gliedert sich in die Bereiche<br />

»global«, »limits«, »options«, »ssl«, »operator«<br />

und »channel«. Unter »global«<br />

definieren Nutzer den Servernamen, die<br />

Ports und Schnittstellen, auf denen der<br />

Daemon Verbindungen annimmt. In der<br />

Abteilung »limits« beschränken sie die<br />

Anzahl der Verbindungen und die Länge<br />

der Nicknamen.<br />

In »options« stehen allgemeine Einstellungen<br />

zu Chroot oder DNS-Lookup.<br />

Benutzer legen hier ebenfalls fest, ob<br />

der IRC-Server IPv4 oder IPv6 nutzt.<br />

Einstellungen zur sicheren Kommunikation<br />

nimmt der Abschnitt »ssl« auf.<br />

Mit »‐t« prüfen Admins die Konfigurationsdatei<br />

auf Syntaxfehler. Weitere Aufrufparameter<br />

unterbinden konfigurierte<br />

automatische Verbindungen zu anderen<br />

IRC-Servern oder halten Ngircd zur Fehleranalyse<br />

im Vordergrund.<br />

★★★★★ Ngircd ist ein schlanker IRC-<br />

Server, der alle wichtigen Funktionen<br />

beherrscht. Da der Daemon auch mit dynamischen<br />

IP-Adressen zurechtkommt,<br />

eignet er sich besonders für Ad-hoc-Installationen.<br />

(U. Vollbracht/​hej) n


Software<br />

www.linux-magazin.de Google Business 12/2013<br />

56<br />

Googles Rundum-sorglos-Pakete für Unternehmen<br />

Arbeiten statt suchen<br />

Mit fünf Produktgruppen sucht der Branchenprimus im Suchgeschäft in der DACH-Region in Unternehmen Fuß<br />

zu fassen. Die Suchmaschine, für die Google bekannt ist, gibt’s als Appliance, doch stehen andere Produkte im<br />

Mittelpunkt von Googles „Apps for Business“-Strategie Martin Loschwitz, Markus Feilner<br />

bedingungen der Businessprodukte, die<br />

sich positiv von denen für Endkunden<br />

unterscheiden, schaffen es nicht, das<br />

ungute Gefühl in der Magengegend zu<br />

vertreiben. Ob es sich lohnt, sich mit<br />

den Tools zu beschäftigen, muss da jeder<br />

Admin selbst entscheiden, und häufig<br />

bleibt die Entscheidungsgrundlage im<br />

Emotionalen.<br />

E Google Enterprise<br />

Search Appliance<br />

© almir1968, 123RF.com<br />

Wer Google hört, denkt vorrangig an die<br />

Suchmaschine im Internet. Das ist nicht<br />

weiter verwunderlich, da jenes Geschäft<br />

Google ja erst zu dem gemacht hat, was<br />

es heute ist – zum unangefochtenen und<br />

gleichermaßen umstrittenen Branchenprimus,<br />

was das Suchen und Finden im<br />

Internet angeht.<br />

Mehr als nur Suche: Google<br />

strebt ins Unternehmen<br />

Tatsächlich ist aber seit Google Mail, den<br />

Weboffice-Applikationen und Android<br />

bereits offensichtlich, dass das Such-Imperium<br />

viel mehr sein will. So bietet das<br />

Unternehmen mit Hauptsitz in Mountain<br />

View (Abbildung 1) mittlerweile auch<br />

eine Reihe von Diensten an, die sich direkt<br />

an Unternehmen richten und nur<br />

mittelbar mit der Internetsuche in Verbindung<br />

stehen. Für jeden Anwendungsfall<br />

habe man, so behauptet Google, ein<br />

Produkt im Angebot.<br />

Für den DACH-Raum lassen sich fünf<br />

Kerndienste ausmachen, die das Unternehmen<br />

beackert: Neben dem omnipräsenten<br />

Suchmaschinen-Thema bietet<br />

Google die Business-Applikationen an,<br />

hinzu kommen Infrastruktur- und Plattformangebote<br />

im Stile klassischer Hosted-Anwendungen<br />

sowie Geodienste wie<br />

Google Earth. Nicht zu vergessen ist freilich<br />

auch Chrome OS, das mit „Chrome<br />

4 Business“ ebenfalls eine eigene Business-Sparte<br />

vorweist, und die damit verbundene<br />

Hardwaresparte. Android hat ja<br />

nach Google-Lesart in einem Unternehmen<br />

nichts verloren.<br />

Für die Firmen jedoch sind die von<br />

Google angebotenen Dienste ein zweischneidiges<br />

Schwert. Einerseits klingt es<br />

verführerisch, sich durch Onlinedienste<br />

viel administrativen Aufwand zu sparen,<br />

andererseits eilt Google auch der Ruf der<br />

Datenkrake voraus, die alle Informationen<br />

über die Benutzer erkunden und<br />

verwerten möchte. Selbst die Nutzungs-<br />

Größere Unternehmen beispielsweise sehen<br />

sich oft mit dem Problem konfrontiert,<br />

dass sie intern zahlreiche Datenquellen<br />

besitzen, über die niemand mehr<br />

wirklich einen Überblick hat. An dieser<br />

Stelle setzt „Google Enterprise Search“<br />

[1] an und verspricht dem Admin, alle<br />

Informationen jederzeit per Mausklick<br />

verfügbar zu machen – analog zur Suchmaschine<br />

im Web. Wenn es etwas gibt,<br />

das Google besser beherrscht als jeder<br />

andere, dann ist es das Aufspüren spezifischer<br />

Inhalte.<br />

Es ist ganz gleich, welche Arten von Dokumenten<br />

eine Firma nutzt, ob Word-<br />

Dokumente, PDF-Dateien, Datenbanken,<br />

ERP-Systeme, Windows-Share und dergleichen<br />

mehr: Die Appliance mit Enterprise<br />

Search findet jedes Stichwort darin,<br />

verspricht Google. Wer auf der Suche<br />

nach bestimmten Datenbankinhalten ist,<br />

wird genauso fündig, als wenn er Zahlen<br />

aus der Bilanz von vor drei Jahren<br />

benötigt.<br />

Bei Enterprise Search handelt es sich<br />

im Grunde um eine kleine Ausgabe von<br />

Google, die speziell an die Bedürfnisse<br />

des jeweiligen Unternehmens angepasst<br />

ist. Das Produkt kommt in Form fertiger<br />

Appliances von Dell ins Haus, die au-


Quelle: Wikipedia, Austin McKinley, CC BY 3.0<br />

Abbildung 1: Googleplex, der Google-Campus in Mountain View, Kalifornien.<br />

ßen quietschgelb sind und innen eine<br />

gehärtete <strong>Linux</strong>-Version nutzen – wenig<br />

überraschend handelt es sich um Centos<br />

(Abbildung 2) .<br />

Zwei Ausgaben stehen zur Verfügung:<br />

Die G100 indiziert bis zu 20 Millionen<br />

einzelne Dokumente, das Model G500<br />

schafft bis zu 100 Millionen. Natürlich<br />

skaliert die Anwendung Google-typisch<br />

in die Breite, sodass selbst riesige Unternehmen<br />

keine Sorge haben müssen,<br />

irgendwann an die Performancegrenzen<br />

der Suchlösung zu stoßen. Obendrein<br />

macht Google darauf aufmerksam, dass<br />

Wartung und Betrieb der Geräte für die<br />

Unternehmen vor Ort kaum Arbeit machen<br />

– die Kisten verwalten sich selbst<br />

– und um die tieferen Details kümmert<br />

sich ausschließlich Google.<br />

Mit beiden Modellen haben Admins somit<br />

die Möglichkeit, eine eigene Google-<br />

Suche für ihr Unternehmen zu betreiben,<br />

die in Sachen Präzision alle Bastellösungen<br />

in den Schatten stellt und obendrein<br />

auf <strong>Linux</strong> aufbaut.<br />

Google lässt sich das nach Angaben<br />

von Kunden allerdings teuer bezahlen,<br />

schon für die kleinen Appliances muss<br />

der Kunde recht tief in die Tasche greifen.<br />

Preise finden sich im Web nicht,<br />

Google rückt sie nur auf Anfrage raus<br />

und möchte wohl auch nicht, dass die<br />

Kunden darüber sprechen. In Foren kursieren<br />

fünfstellige Einstiegspreise von<br />

10 000 bis 15 000 Euro bei einer halben<br />

Million Dokumente. Die Suchappliance<br />

von Google richtet sich insofern vorrangig<br />

an größere Unternehmen.<br />

E Google Apps 4 Business<br />

Ganz anders sieht es da mit den Google-<br />

Apps-4-Business-Diensten aus [2], die<br />

der Hersteller im deutschsprachigen Europa<br />

ebenfalls anbietet (Abbildung 3).<br />

Die „GApps4Business“-Produkte sollen<br />

Kunden unter einer einheitlichen Oberfläche<br />

all jene Funktionen bieten, die<br />

sich Unternehmen bisher selbst zusammenbasteln<br />

mussten: Webspace, E-Mails,<br />

eine Officesuite samt interner Dokumentenverwaltung,<br />

nahtlose Integration mit<br />

allen mobilen Geräten – all das bieten die<br />

kommerziellen Google-Apps quasi von<br />

Anfang an. Und das gibt es zu einem<br />

durchaus akzeptablen Preis: Pro Nutzer<br />

schlägt die gesamte Palette der Dienste<br />

mit rund 6 Euro pro Jahr zu Buche. Darin<br />

enthalten ist Zugriff auf praktisch<br />

alle Dienste, die Bestandteil des Google-<br />

Apps-4-Business-Paketes sind, also auch<br />

Google Docs, die Mailfunktionen sowie<br />

Google Drive.<br />

Als klassisches SaaS (Software as a Service)<br />

aufgebaut, strebt Google Apps 4<br />

Business wohl an, die ultimative Lösung<br />

für das Groupware-Thema zu werden,<br />

auch wenn man freilich Wert darauf legt,<br />

einen „echten Cloud-Dienst“ anzubieten,<br />

der überall funktioniert und auf spezielle<br />

Clientprogramme keinen Wert legt. Alle<br />

Funktionen sind über Webbrowser erreichbar,<br />

das gilt für das E-Mail-Interface<br />

genauso wie für die Kalenderfunktion,<br />

die Officedokumente und den Google-<br />

Chat namens Talk.<br />

Das Angenehme an diesen Business-Apps<br />

ist, dass Google sich – typisch amerikanisch<br />

– recht ungezwungen im Hinblick<br />

auf die Art und Weise gibt, wie Benutzer<br />

den Dienst in Anspruch nehmen<br />

wollen. Der Anwender hat weitgehend<br />

freie Hand: Neben dem Webinterface<br />

stehen für die meisten Dienste Schnittstellen<br />

nach freiem Standard parat, an<br />

seine E-Mails kommt er beispielsweise<br />

Quelle: Wikipedia, Barabas, CC BY 3.0<br />

Google Business 12/2013<br />

Software<br />

www.linux-magazin.de<br />

57<br />

Abbildung 2: Googles Search-Appliance bietet<br />

Google-Suche für Unternehmen an, um den internen<br />

Datenwust unter Kontrolle zu halten.<br />

Abbildung 3: Google Apps 4 Business soll das Rundum-sorglos-Paket für Unternehmen sein, Browser-basiert<br />

und mit beeindruckendem Funktionsumfang.


Software<br />

www.linux-magazin.de Google Business 12/2013<br />

58<br />

Abbildung 4: Über die Google Apps 4 Business integriert Google auch Android in seine Profi-Anwendungen.<br />

per IMAP, auch das Versenden per SMTP<br />

bereitet keine Probleme.<br />

Der Google-Kalender unterstützt Apples<br />

Ical-Format, auch wenn Google bereits<br />

mehrere Male erklärte, dieser Funktion<br />

bald den Saft abdrehen zu wollen. Dem<br />

hauseigenen Jabber-Chat ist das bereits<br />

passiert, zumindest teilweise: Google<br />

Hangouts ersetzt den vorherigen Dienst<br />

Talk, der echtes XMPP geboten hat, durch<br />

eine reine Google-Lösung.<br />

Hinzu kommt die Möglichkeit, über<br />

Googles App-Store Zusatzanwendungen<br />

direkt und nahtlos in die eigene Businessplattform<br />

zu integrieren, wer zum<br />

Beispiel auf ein CRM-System nicht verzichten<br />

möchte, integriert dies in Windeseile<br />

in den eigenen Businesszugang<br />

und hat anschließend sogar die Kontakte<br />

aus dem eigenen Adressbuch bereits im<br />

CRM zur Verfügung.<br />

Das alleine ist freilich ein kleines Detail,<br />

doch viele kleine Details summieren<br />

sich, und letztlich macht die Nutzung<br />

von Google-Apps gerade im Hinblick<br />

auf die verschwindend geringen Kosten<br />

einfach Spaß. Wer behauptet, für das<br />

gleiche Geld eine eigene, ausfallsichere<br />

Infrastruktur betreiben zu können, wird<br />

sich folglich schwer tun: Das gesamte Paket<br />

für eine 5-Mann-Firma schlägt mit 30<br />

Euro zu Buche. Google Apps 4 Business<br />

darf insofern sicher auch als Köder für<br />

andere Google-Dienste gelten.<br />

Die Android-Connection<br />

einbezieht (Abbildung 4). Googles offizielles<br />

Statement ist, dass Android kein<br />

Enterprise-Produkt ist und es auf absehbare<br />

Zeit auch kein speziell getrimmtes<br />

Android geben wird.<br />

Immerhin erlauben die Business-Apps,<br />

Android-Geräte in die Servicestruktur<br />

einzubinden, das bringt insbesondere<br />

Funktionen wie das Aufspüren von verlorenen<br />

Androiden und Remote-Wipes.<br />

Voraussetzung ist, dass auf den betroffenen<br />

Geräten die »Google Apps Device<br />

Policy«-App (Abbildung 5) installiert ist<br />

– dann lassen sich Geräte an der Domain<br />

anmelden. Die Device-Policy-App fällt<br />

noch recht rudimentär aus, doch baut<br />

Google die Managementschnittstelle zu<br />

den Geräten sukzessive aus und wird<br />

hier sicher noch einige wichtige Funktionen<br />

nachliefern.<br />

Optionen wie den Sicherheitscheck des<br />

Clients vor dem Aufbau einer VPN-Verbindung<br />

gibt es bereits länger, nur sind<br />

nicht alle bereits aktiviert oder durchweg<br />

integriert. Android fährt eben bei Google<br />

nicht auf der Enterprise-Schiene und<br />

scheint dort daher auch nicht unbedingt<br />

Priorität zu genießen.<br />

E Compute, IaaS und PaaS<br />

Weil Google im Rang der IaaS- und PaaS-<br />

Cloudplattform-Anbieter natürlich nicht<br />

fehlen darf, bietet das Unternehmen<br />

mittlerweile auch umfassende Computingdienste<br />

an [3]. Diese lassen sich am<br />

ehesten als simple virtuelle Maschinen<br />

bezeichnen, die der Benutzer nach Bedarf<br />

sowohl startet als auch wieder stoppt.<br />

Der Dienst gleicht Amazon AWS in vielerlei<br />

Hinsicht frappierend. Das dürfte<br />

aber auch daran liegen, dass bei derartigen<br />

On-Demand-Angeboten nur bedingt<br />

Gestaltungsspielraum für den jeweiligen<br />

Anbieter bleibt.<br />

Bei der technischen Umsetzung setzt<br />

Google auch hier auf die Vorzüge freier<br />

Software: Die virtuellen Maschinen basieren<br />

auf KVM und die gesamte Plattform<br />

läuft auf <strong>Linux</strong>-Servern. Als Distribution<br />

kommen bei der Compute-Engine übrigens<br />

ebenfalls Centos oder wahlweise<br />

auch Debian zum Einsatz.<br />

Zur gleichen Säule wie die Compute-<br />

Engine gehören auch Googles IaaS- und<br />

PaaS-Angebote, bei denen Kunden sich<br />

nicht einzelne VMs mieten und selbst<br />

konfigurieren, sondern die VMs von<br />

Google gestellt und mit passender Software<br />

vorab bestückt erhalten. Google bietet<br />

hier eine Vielzahl von Plattformen an,<br />

darunter fertige Systeme für PHP, Datenbanken<br />

(NoSQL oder MySQL) oder auch<br />

Java-basierte Anwendungen. Google<br />

Google Apps 4 Business ist übrigens auch<br />

deshalb interessant, weil es Googles einziges<br />

Angebot ist, das Android-Geräte irgendwie<br />

sinnvoll in den Businesskontext<br />

Abbildung 5: Android-Geräte sind zwar nicht Enterprise-ready, meint Google, aber dennoch arbeitet der<br />

Konzern an Managementschnittstellen wie der »Google Apps Device Policy«-App.


selbst sieht seine Plattform als „brauchbares<br />

Werkzeug für die Auswertung von<br />

Big Data“, wobei der Konzern auf eine<br />

genauere Definition verzichtet.<br />

E Googles Geo-Dienste<br />

Als spezielle „For Business“-Version bietet<br />

Google Geo-Dienste an, also insbesondere<br />

Google Maps und Google Earth [4],<br />

und will mit jenen Diensten Unternehmen<br />

in die Lage versetzen, Logistik und<br />

das global verteilte Arbeiten besser in<br />

den Griff zu bekommen. Dazu zählt zum<br />

Beispiel die Möglichkeit, sich mit Hilfe<br />

der Google-Maps-Engine kundenspezifische<br />

Karten zu entwickeln und diese<br />

anschließend direkt in Google Maps anzeigen<br />

zu lassen.<br />

Eine solche Funktion könnte nützlich<br />

sein, wenn beispielsweise ein Logistikunternehmen<br />

die Routen für seine Fahrer<br />

plant – durch die firmeninterne Veröffentlichung<br />

auf Google Maps ließe sich dem<br />

Fahrer gewissermaßen seine persönliche<br />

Route direkt mitteilen. Im Gegensatz zu<br />

herkömmlichen Navigationssystemen<br />

wären die Routen eines Unternehmens<br />

sogar unter den Fahrern abgestimmt, es<br />

wäre also sicher, dass jeder Fahrer optimale<br />

Routen fährt.<br />

Das Google-Maps-API ist das Kernstück<br />

des gesamten Dienstes, der ein breitgefächertes<br />

Portfolio an Software zu bieten<br />

hat (Abbildung 6). Neben der schon<br />

erwähnten Funktionalität kann sie freilich<br />

noch viel mehr: Sie versorgt Google-<br />

Kunden ganz spezifisch mit Nutzdaten<br />

im Hinblick auf bestimmte Regionen.<br />

Wer zum Beispiel wissen möchte, wo in<br />

der eigenen Umgebung vor allem junge<br />

oder ältere Menschen leben, um diese<br />

anschließend bewusst per Werbung anzusprechen,<br />

greift zum Business-API von<br />

Google Maps.<br />

Dabei ist Google-typisch der Umfang der<br />

Daten überaus beeindruckend, den der<br />

Suchmaschinenriese den eigenen Kunden<br />

anbietet: Hochauflösende Umgebungsbilder,<br />

demografische Daten, Heat-Maps<br />

basierend auf Daten und Parametern, die<br />

der Kunde selbst bestimmt – all das ist<br />

kein Problem.<br />

Noch näher an den Ort des Geschehens<br />

bringt Google Earth Pro: Die Business-<br />

Version von Google Earth richtet sich an<br />

Firmen wie Bauunternehmen, die auf<br />

aktuelle Kartografie so angewiesen sind<br />

wie darauf, sich möglichst unkompliziert<br />

in die Lage „vor Ort“ hineinzuversetzen.<br />

So lassen sich mit Google Earth Pro nicht<br />

nur genaue Entfernungen zwischen zwei<br />

Punkten bestimmen, sondern auch die<br />

Maße von Gebäuden – ohne dass jemals<br />

ein Mitarbeiter der Firma vor Ort gewesen<br />

wäre und gemessen hätte. Direkt<br />

aus Google Earth Pro heraus lassen sich<br />

damit sogar professionell anmutende Videos<br />

erstellen.<br />

Alle Geo-Dienste von Google folgen der<br />

Prämisse, dass Anwender sie entweder<br />

im Browser oder mit einem spezifischen<br />

binären Client bedienen. <strong>Linux</strong> unterstützt<br />

Google dabei vorbildlich, die stets<br />

aktuelle RHEL- oder Ubuntu-Version sofort<br />

nach deren Erscheinen. Wer freie und<br />

veröffentlichte Software sucht, sieht sich<br />

allerdings enttäuscht, vor allem weil es<br />

auf FOSS-Basis praktisch keine vergleichbaren<br />

Dienste gibt.<br />

E Chrome OS & Hardware<br />

Die fünfte und letzte Säule von Googles<br />

Firmenangebot trägt den Namen Chrome<br />

OS [5] und hat – wie Android – eigene<br />

Hardware im Schlepptau. Im Gegensatz<br />

zum Smartphone-OS versteht Google<br />

Chrome OS sich aber als wichtige Komponente<br />

seines eigenen App-Stack, die<br />

Geräte sollen quasi die Grundlage dafür<br />

werden, dass sich alle vormals bezeichneten<br />

Google-Dienste unter einer einheitlichen<br />

Oberfläche nutzen lassen und so<br />

ein perfektes Business-Feeling entsteht.<br />

Die vielen kritischen Stimmen, die Googles<br />

eigenes Betriebssystem ursprünglich<br />

auf den Plan rief, sind mittlerweile verstummt,<br />

Chrome OS hat sich eine eigene<br />

Nische erkämpft.<br />

Das liegt sicherlich auch daran, dass<br />

Google die zu Chrome OS gehörenden<br />

Geräte ziemlich rabiat unters Volk zu<br />

bringen versucht. Die unter anderem von<br />

Samsung und Acer gebauten Chromebooks<br />

sind dank ihres niedrigen Preises<br />

zweifellos konkurrenzfähig. Umso verwunderlicher<br />

klafft in Googles DACH-<br />

Angebot gerade hier eine böse Lücke: Das<br />

Flaggschiff der Chromebook-Reihe, das<br />

Chromebook Pixel (Abbildung 7, [6]),<br />

ist – obwohl bereits im Februar 2013 vorgestellt<br />

– bis heute in Mitteleuropa de<br />

facto nicht zu bekommen. E


Software<br />

www.linux-magazin.de Google Business 12/2013<br />

60<br />

Dabei wäre das Gerät durchaus interessant:<br />

Die Auflösung des 13-Zoll-Bildschirms<br />

stellt selbst Apples gleich großes<br />

Retina-Display in den Schatten, preislich<br />

liegt das Gerät jenseits des großen Teichs<br />

mit 1200 US-Dollar im guten Mittelfeld,<br />

und die <strong>Linux</strong>-Unterstützung für alle<br />

Komponenten des Geräts sind bereits im<br />

Kernel integriert. Wer nach dem Kauf auf<br />

Chrome OS verzichten kann, installiert<br />

sich also einfach ein <strong>Linux</strong> seiner Wahl<br />

und kann losarbeiten.<br />

Hierzulande bleibt das aber graue Theorie,<br />

denn solange das Gerät nur via Import<br />

für fast 1800 Euro zu haben ist, sind die<br />

schicken Highend-Notebooks eher uninteressant.<br />

Wer sich die schlanken Geräte<br />

in Deutschland anschauen will, kann<br />

derzeit nur um eine Audienz in einer der<br />

Google-Niederlassungen ersuchen: Den<br />

deutschen Mitarbeitern hat der Konzern<br />

bereits seit Anfang des Jahres Chromebook<br />

Pixel zur Verfügung gestellt.<br />

Chrome OS selbst ist indes nur für jene<br />

wirklich sinnvoll nutzbar, die sich in das<br />

gesamte Google-Apps-Universum integrieren.<br />

Wer nicht auf Google Apps 4 Business<br />

setzt, fängt mit den meisten Komponenten<br />

von Chrome OS nur wenig an und<br />

degradiert ein Chrome-OS-basiertes Gerät<br />

zu einem Browser mit Tastatur. „Wenn<br />

schon Google“, so lautet wohl die Devise<br />

des Herstellers, „dann ganz.“<br />

Datenschutz<br />

Google liefert in gewohnter Manier bei<br />

seinen Enterprise-Produkten ordentliches<br />

Handwerk ab – für kleines Geld erhalten<br />

Kunden eine solide Leistung. Doch bleibt<br />

Abbildung 7: Das hochwertige Chromebook Pixel ist in Europa nur via Import zu Mondpreisen zu bekommen.<br />

das Problem mit dem Datenschutz: Ist es<br />

für ein Unternehmen in Deutschland oder<br />

Österreich überhaupt eine gute Idee, seine<br />

Daten Google anzuvertrauen?<br />

Freilich muss die Antwort auf diese Frage<br />

eher juristischer als technischer Natur<br />

sein. Denn aus technischer Sicht ist die<br />

Sache klar: Wer Daten unverschlüsselt<br />

bei einem Drittanbieter speichert, gibt<br />

die Kontrolle über diese Daten effektiv<br />

auf. Zuverlässig ließen sich die ausgetauschten<br />

Daten eines solchen Dienstes<br />

nur vor den Blicken Dritter schützen,<br />

wenn durchgängige End-to-End-Verschlüsselung<br />

immer und durchgehend<br />

zum Einsatz kommt. Am Beispiel von<br />

Googles Maildienst könnte das beispielsweise<br />

bedeuten, konsequent auf Gnu PG<br />

zu setzen – im Alltag ist das allerdings<br />

illusorisch.<br />

Rechtlich sieht die Sache anders aus.<br />

Nach Prism & Co. ist es seitens der EU-<br />

Kommission mittlerweile die öffentlich<br />

propagierte Meinung, dass selbst das<br />

Safe-Harbor-Abkommen nicht zuverläs-<br />

sig schützt. Dass Firmen wie Microsoft<br />

und Google von US-Unternehmen in die<br />

Zange genommen werden, ist bekannt.<br />

Dass US-amerikanische Geheimgerichte<br />

die gleichen Unternehmen notfalls zur<br />

Herausgabe von Daten zwingen, machte<br />

das Beispiel von Lavabit [7] deutlich.<br />

Wer auf den sicheren Schutz von Daten<br />

angewiesen ist, muss im Augenblick<br />

also zwangsläufig einen Bogen um die<br />

Google-Angebote machen, so schön sie<br />

auch sein mögen. <br />

n<br />

Infos<br />

[1] Google Search Appliance:<br />

[http:// www. google. com/ enterprise/​<br />

search/ products/ gsa. html]<br />

[2] Google Apps 4 Business: [http:// www.​<br />

google. com/ enterprise/ apps/ business/]<br />

[3] Google Compute:<br />

[http:// cloud. google. com]<br />

[4] Googles Geo-Dienste: [http:// www. google.​<br />

com/ enterprise/ mapsearth/]<br />

[5] Chrome OS:<br />

[https:// www. google. com/ intl/ en/ chrome/]<br />

[6] Chromebook Pixel:<br />

[http:// www. google. com/ intl/ en/ chrome/​<br />

devices/ chromebook‐pixel/]<br />

[7] Lavabit macht dicht:<br />

[http:// www.​zeit.de/digital/2013-08/<br />

snowden-mailanbieter-geschlossen]<br />

Quelle: Wikipedia, Austin McKinley, CC BY 3.0<br />

Abbildung 6: Karten-Engine, Maps-API, Maps Coordinate, Earth Pro und mehr: Google Maps for Business.<br />

Der Autor<br />

Martin Gerhard Loschwitz<br />

arbeitet als Principal Consultant<br />

bei Hastexo. Er beschäftigt<br />

sich dort intensiv<br />

mit den Themen High Availability,<br />

Distributed Storage<br />

und Open Stack. In seiner Freizeit pflegt er den<br />

Clustermanager Pacemaker für Debian.


Aus dem Alltag eines Sysadmin: Go Access<br />

Süßes Logmittel<br />

Einführung 12/2013<br />

Sysadmin<br />

So wie ein Handwerker sich nicht jeden Monat einen anderen Winkelschleifer kauft, wechselt ein Sysadmin<br />

nicht dauernd seine eingespielten Tools. Kolumnist Charly Kühnast pfeift diesmal auf den konservativen<br />

Grundsatz, denn der Wechsel zu einem neuen Logfile-Tool scheint zu attraktiv. Charly Kühnast<br />

www.linux-magazin.de<br />

61<br />

Inhalt<br />

62 I-Rony in Kolab 3.1<br />

Mit der Integration der Protokolle<br />

Caldav und Carddav vergrößert Kolab<br />

die Zahl kompatibler Clients erheblich.<br />

68 Remote-Admin-Tools<br />

Systeme remote per Smartphone verwalten?<br />

Technische Entwicklung und die<br />

richtige App machen’s möglich.<br />

So kurzlebig die Duelle des Sysadmin<br />

mit dem Alltag sind, so konservativ fällt<br />

oftmals die Wahl der Waffen aus. Die<br />

Log-Auswertungen meiner Webserver<br />

beispielsweise erledigt seit einer gefühlten<br />

Ewigkeit Webalizer. Alternativen gäbe<br />

es schon: Awstats, Awffull und einige andere.<br />

Doch warum experimentieren? Die<br />

anderen bauen auch nur wie Webalizer<br />

aus der Logdatei des Webservers übersichtliche<br />

Auswertungen.<br />

Abzuweichen lohnt, wenn ich sekundengenaue<br />

Zusammenfassungen in Echtzeit<br />

brauche. Einen Ansatz liefert Apachetop,<br />

über das ich hier vor langer Zeit<br />

geschrieben [1] habe. Mittlerweile geht<br />

es aber besser: mit Go Access [2]. Das<br />

Tool liest die Logdatei des Webservers,<br />

wertet sie bis zum aktuellen Zeitpunkt<br />

aus und zeigt die Ergebnisse auf der Konsole<br />

an. Go Access liest die üblichen Logdateien<br />

im Common Logfile Format, auch<br />

im Combined Logfile Format. Wer etwas<br />

Exotischeres hat, kann Go Access auch<br />

dies beibringen.<br />

Der Autor<br />

Charly Kühnast administriert<br />

Unix-Syste me im Rechenzentrum<br />

Niederrhein. Zu seinen<br />

Aufgaben gehören Sicherheit<br />

und Verfügbarkeit der<br />

Firewalls und der DMZ.<br />

Go Access schreibt seine Ausgabe kontinuierlich<br />

fort, sodass ich live verfolgen<br />

darf, wie der Webserver arbeitet. Im<br />

einfachsten Fall übergebe ich beim Start<br />

einen einzigen Parameter, der den Pfad<br />

zum Logfile angibt:<br />

goaccess ‐f /var/log/apache2/access.log<br />

Als sehr praktisch erweist sich die Möglichkeit,<br />

gleich eine IP-Adresse dazuzupacken,<br />

deren Zugriffe Go Access ignorieren<br />

soll:<br />

goaccess ‐f /var/log/apache2/access.logU<br />

‐e 10.50.1.25<br />

Auf diese Weise bleiben Zugriffe von<br />

Überwachungssystemen (Nagios, Icinga<br />

oder Loadbalancer) bei der Kalkulation<br />

außen vor, die zyklisch nachschauen, ob<br />

der Server noch lebt.<br />

Rolle vorwärts<br />

Die Anzeige auf der Konsole ist in Abschnitte<br />

unterteilt, Go Access nennt sie<br />

Module. Die Module reihen sich von oben<br />

nach unten, sodass ich scrollen muss, um<br />

alle zu sehen. Glück hat, wer seinen Monitor<br />

im Hochformat betreiben kann – ich<br />

gehöre leider nicht dazu.<br />

In Abbildung 1 sind nur die ersten vier<br />

Module und die erste Zeile des fünften zu<br />

sehen, tatsächlich stellt Go Access aber<br />

elf Module dar, darunter Übersichten über<br />

die meistverwendeten Browser und Betriebssysteme<br />

der Clients, die häufigsten<br />

Referrer-Seiten und Suchbegriffe, anhand<br />

derer Suchmaschinen ihre User auf meine<br />

Webseite gelotst haben. Praktischerweise<br />

unterscheidet Go Access beim Auflisten<br />

der Clients penibel zwischen Craw lern<br />

und richtigen Browsern.<br />

Ein Modul zeigt nur die Top-6-Liste seiner<br />

Kategorie an. Mehr Details sind jedoch<br />

Abbildung 1: Das echtzeitfähige Go Access zeigt hier<br />

nur vier der elf Module und deren Top-6-Listen an.<br />

schnell zur Hand: Jedem Modul ist eine<br />

Zahl zugeordnet, sie steht in der Überschrift,<br />

zum Beispiel »6 ‐ Operating Systems«.<br />

Tippe ich die Zahl auf der Tastatur<br />

und danach [O] (für Open Detail View),<br />

bekomme ich die vollständige Liste angezeigt.<br />

Weitere interaktive Tastenkürzel<br />

blendet [F1] ein.<br />

Aussagekräftige Reports über abgeschlossene<br />

Logdateien, mithin die Paradedisziplin<br />

klassischer Logauswerter wie Webalizer<br />

& Co., beherrscht Go Access natürlich<br />

auch. Sieht aus, als ob ich Webalizer<br />

und Apachetop Tickets in die ewigen<br />

Jagdgründe ausstellen muss. (jk) n<br />

Infos<br />

[1] Charly Kühnast, „Aus dem Alltag eines Sysadmin:<br />

Webalizer Xtended“: <strong>Linux</strong>-<strong>Magazin</strong><br />

02/​06, S. 65<br />

[2] Go Access:<br />

[http:// goaccess. prosoftcorp. com]


Sysadmin<br />

www.linux-magazin.de Kolab 3.1 I-Rony 12/2013<br />

62<br />

Kolab 3.1 I-Rony bringt Caldav- und Carddav-Support<br />

Organisierte Ironie<br />

Offene Standards und Open Source sind das Dogma der Groupware Kolab. Die aktuelle Alpha der kommenden<br />

Version 3.1 erweitert mit den Protokolle Caldav und Carddav die Zahl der kompatiblen Clients immens: Bald<br />

sollen so Kolab-Daten auch auf I-OS, Mac OS X, Thunderbird und Evolution kommen. Andrej Radonic, Markus Feilner<br />

karen roach, 123RF<br />

Mit zunehmender Verbreitung mobiler<br />

Clients kommen Admins immer seltener<br />

darum herum, ihren Anwendern Remotezugriff<br />

auf Kalender und Adressdaten<br />

einzurichten. Trotz seiner Veranlagung<br />

als Open-Source- und Open-Standardsgetriebene<br />

Groupware hat das einst vom<br />

Bundesamt für Sicherheit in der Informationstechnik<br />

(BSI) mitinitiierte Kolab<br />

[1] hierbei bislang wenig zu bieten: Nur<br />

die eigenen Clients (Kontact, das Webinterface<br />

Horde und später Roundcube,<br />

dazu proprietäre Outlook-Plugins) konnten<br />

die zentralen Kalender und Adressen<br />

nutzen. Mobilgeräte fanden nur über Microsofts<br />

Active-Sync-Protokoll oder (bis<br />

Kolab 3) übers veraltete Sync ML Kontakt<br />

zur quelloffenen Groupware.<br />

Ab der anstehenden Version 3.1 bringt<br />

das Kolab-Team rund um die Schweizer<br />

Firma Kolab Systems auch die offenen<br />

Protokollstandards Caldav und Carddav<br />

für den Austausch von Terminen, Aufgaben<br />

und Kontakten in den Server: So<br />

lassen sich nun viele existierende Groupware-fähige<br />

Clients wie die Thunderbird-<br />

Extension Lightning, Evolution, OS-X-<br />

Anwendungen wie Apples I-Cal sowie<br />

I-OS- und Android-Systeme mit Kolab-<br />

Daten versorgen.<br />

Damit das funktioniert, hat das Kolab-<br />

Team das Rad nicht neu erfunden, son-<br />

dern integriert das bewährte PHP-Paket<br />

von Sabredav ([2], Abbildung 1), das<br />

den Webdav-Protokollstack als Server<br />

implementiert. Die damit in Kolab neu<br />

geschaffene Protokollschicht hört auf den<br />

Namen I-Rony [3] und ist ab der kommenden<br />

Version 3.1 fester Bestandteil des<br />

Groupwarepakets.<br />

Eine komplette Testinstallation gelingt<br />

seit Kolab 3.0 schon mit ein bis zwei<br />

Tassen Kaffee und stellt keine großen<br />

Anforderungen mehr an den Admin. Das<br />

unter [4] Beschriebene gilt auch für die<br />

bei Redaktionsschluss vorliegende Alphaversion.<br />

Die Kolab-Entwickler empfehlen<br />

ein aktuelles Centos (am besten also 6.4)<br />

als Basis und fordern nur wenige Vorarbeiten:<br />

Ein FQDN ist nötig, SE <strong>Linux</strong><br />

muss im Permissive-Modus laufen.<br />

Nachdem der künftige Kolab-Administrator<br />

die drei RPMs aus Listing 1 installiert<br />

hat, setzt er mit »yum install kolab«<br />

komfortabel das gesamte Groupwarepaket<br />

auf. Dessen Konfiguration erledigt er<br />

mit dem Kommando »setup‐kolab«, was<br />

unter anderem dabei hilft, die Admin-<br />

Passwörter der Dienste zu definieren.<br />

Stolperstein Standardkonfiguration<br />

Über die URL »http://Kolab‐Server/​<br />

kolab‐webadmin« sollte der Administrator<br />

nun Zugang zum Admin-GUI haben.<br />

Die Anmeldung klappt mit dem Userna-<br />

Listing 1: Kolab-RPMs installieren<br />

01 # EPEL installieren<br />

02 rpm ‐Uvh http://mirror.switch.ch/ftp/mirror/epel/6/i386/epel‐release‐6‐8.noarch.rpm<br />

03 # Kolab 3.1 Community Release Package installieren<br />

04 rpm ‐Uvh http://mirror.kolabsys.com/pub/redhat/kolab‐3.1/el6/development/i386/kolab‐3.1‐community‐release‐6‐2.el6.kolab_3.1.noarch.rpm<br />

05 # Kolab Development Package installieren<br />

06 rpm ‐Uvh http://mirror.kolabsys.com/pub/redhat/kolab‐3.1/el6/development/i386/kolab‐3.1‐community‐release‐development‐6‐2.el6.kolab_3.1.noarch.rpm


men »cn=Directory Manager« und dem<br />

zuvor definierten Admin-Passwort.<br />

Es empfiehlt sich, als ersten Verwaltungsakt<br />

einen normalen User anzulegen. Mit<br />

diesem gelingt anschließend der Login<br />

in Roundcubemail, dem Kolab-Webclient,<br />

der unter »http://Kolab‐Server/​<br />

roundcubemail« erreichbar ist. Dabei<br />

kann als Benutzername beim Login einer<br />

der Aliase oder die Mailadresse dienen.<br />

Mit diesem User sind flugs einige Kalender,<br />

Adressen und Aufgaben erstellt, die<br />

Testmaterial für die Anbindung mit Dav-<br />

Clients liefern können.<br />

Bei der getesteten Version gab es jedoch<br />

bis Redaktionsschluss ein Konfigurationsproblem,<br />

das die Benutzung von I-Rony<br />

verhinderte: Kolab publiziert seine Dav-<br />

Dienste unter der URL »http://Kolab‐Server/<br />

iRony«. Diese liefert anfangs aber<br />

eine URL-Exception (Listing 2), die jedoch<br />

mit Hilfe aus der Kolab-Mailingliste<br />

einfach zu beheben war: In der I-Rony-<br />

Konfigurationsdatei »/etc/iRony/dav.inc.<br />

php« ersetzt der Administrator den Wert<br />

des Konfigurationsparameters »$rcmail_<br />

config['base_uri']« durch »'/iRony/'« und<br />

startet mit »service kolabd restart« den<br />

Kolab-Daemon neu. Damit ist Kolab startklar<br />

für den Austausch von Daten über<br />

den I-Rony-Protokollstack.<br />

Anbandlversuche<br />

Nun muss der designierte Client den<br />

ersten Verbindungsversuch über eines<br />

der Dav-Protokolle mit Kolab meistern.<br />

Grundsätzlich ist im Client die Kolab-<br />

Server-URL nach dem Schema »http://<br />

Kolab‐Server/ iRony« anzugeben. Alternativ<br />

kann der Anwender<br />

theoretisch sogar<br />

das Unterverzeichnis<br />

weglassen, denn standardkonforme<br />

Clients<br />

suchen zunächst nach<br />

der so genannten<br />

Principals Adress unter<br />

»../.well‐known/<br />

caldav«.<br />

Die Kolab-I-Rony-Konfiguration<br />

des Apache<br />

beinhaltet entsprechende<br />

Redirects, die<br />

diesen Aufruf nach<br />

»/iRony/« umleiten.<br />

Mit dem auf diese<br />

Weise abgefragten<br />

User namen lässt sich das korrekte Userverzeichnis<br />

lokalisieren.<br />

Blitz, Donner und Evolution<br />

Soweit die Theorie – in der Praxis machen<br />

allerdings auch verbreitete Groupware-<br />

Clients wie Lightning (Thunderbird) und<br />

Evolution bei dieser Gelegenheit mächtig<br />

Zicken, da sie Service-Discovery nicht<br />

oder zumindest nicht korrekt beherrschen.<br />

Bei solch problematischen Clients<br />

gibt der Anwender die vollständige Kalender-<br />

oder Adressbuch-URL an.<br />

Besitzt ein Anwender mehrere Kalender,<br />

dann muss er in diesen Fällen jeden Kalender<br />

separat konfigurieren. Da zeigt es<br />

sich mal wieder, dass so mancher Mailclient<br />

nie für den Enterprise-Groupware-<br />

Betrieb gedacht war (wie Thunderbird)<br />

oder aber zu wenige Entwickler daran<br />

arbeiten (Evolution).<br />

Abbildung 2: I-Rony offenbart sein Innenleben nur bei etwas Nachhilfe.<br />

Leider kann sich der Anwender in Roundcube<br />

derzeit nur die ICS-Adresse und<br />

nicht die Caldav-URL des jeweiligen Kalenders<br />

anzeigen lassen. Daher braucht<br />

es einen anderen Weg, um an die URL<br />

des Kolab-Kalenders zu gelangen: Das<br />

naheliegende Verfahren dazu wäre, dem<br />

Kolab-Server seine Dav-Verzeichnisstruktur<br />

über den Aufruf der I-Rony-URL zu<br />

entlocken.<br />

Widerspenstige Schnittstelle<br />

Allerdings zeigt sich beim ersten Aufruf<br />

von »http://Kolab‐Server/ iRony« die<br />

Kolab-Schnittstelle wieder recht widerspenstig,<br />

quittiert sie doch Aufrufe mit<br />

der Meldung aus Listing 3. Zwar zeigt<br />

dies nur das korrekte Funktionieren der<br />

Schnittstelle an und ist daher nicht als<br />

Fehler zu werten, für Testzwecke erweist<br />

sich derlei aber als äußerst unpraktisch.<br />

Wer dem Modul auch diese Flausen<br />

austreiben will, ergänzt in der Apache-<br />

Konfiguration für I-Rony in »/etc/httpd/<br />

conf.d/iRony.conf« die Zeile »SetEnv<br />

DAVBROWSER 1«<br />

Nach einem Httpd-Restart lassen sich nun<br />

endlich die I-Rony-URL aufrufen und die<br />

benutzerspezifische Verzeichnisstruktur<br />

erkunden (Abbildung 2).<br />

Thunderbird als Kolab-Client<br />

Kolab 3.1 I-Rony 12/2013<br />

Sysadmin<br />

www.linux-magazin.de<br />

63<br />

Abbildung 1: Auf der Webseite Mykolab.com bietet Kolab Systems einen Webdienst, der alle Funktionen der<br />

Kolab-Groupware beinhaltet. Im Bild der Filebrowser, den Sabredav bereitstellt<br />

So gerüstet kann der Kolab-Admin nun<br />

Lightning als Kalender-Plugin [5] für<br />

Mozillas Mailprogramm Thunderbird<br />

installieren und mit der Groupware verbinden.<br />

Ein aktueller Thunderbird sollte


Sysadmin<br />

www.linux-magazin.de Kolab 3.1 I-Rony 12/2013<br />

64<br />

mit Support sowohl für Caldav wie auch<br />

für Carddav. Die Probleme fangen erst<br />

später an. Auch bei Evolution gilt: Beim<br />

Konfigurieren der Dav-Dienste ist jeweils<br />

die komplette URL zu spezifizieren. Die<br />

Dialoge hierfür finden sich unter »Datei |<br />

<strong>Neu</strong> | Name des Dienstes«.<br />

Beim Kalender und bei den Aufgaben<br />

wählt der Administrator den Typ<br />

»CalDAV«, beim Adressbuch den Typ<br />

»WebDAV«. Zu beachten ist bei Letzteren:<br />

Aufgrund eines Bugs in Evolution<br />

funktioniert das Anlegen von Kontakten<br />

nicht bei Carddav-Servern [8].<br />

EM-Client auf Windows –<br />

schlicht und effizient<br />

Abbildung 3: Bitte Kolab-Credentials eingeben – Thunderbird, Lightning und Kolab arbeiten über Sabredav<br />

zusammen. Das klappt jedoch nicht immer reibungslos.<br />

Der EM Client ([9], Abbildung 6) beweist<br />

als reines Windows-Programm,<br />

dass auch in der Microsoft-Welt sauber<br />

implementierte Webschnittstellen heimisch<br />

sind. Hier klappt die Auto-Discovery<br />

ohne weitere Umstände, bei der<br />

Konfiguration muss der Anwender lediglich<br />

die Kolab-URL eingeben. Hierzu legt<br />

er im Menü »Extras | Konten | <strong>Neu</strong>es<br />

Konto« ein Konto vom Typ »Kalender/<br />

CalDAV« an. Anschließend muss er im<br />

Kontextmenü unter »Delegation« die korrekten<br />

Berechtigungen für den jeweiligen<br />

User setzen.<br />

Der Client listet sodann alle freigegebenen<br />

Kalender automatisch. Aufgaben<br />

erscheinen ebenfalls ohne weiteres Zutun,<br />

inklusive in Kolab definierter und<br />

zugewiesener Tags. So wünschte sich das<br />

auch der Thunderbird- oder Evolution-<br />

Anwender. Um Kontakte zu synchronisiees<br />

sein, ebenso bedarf es eines neueren<br />

Lightning. Über den Menüpunkt »<strong>Neu</strong>er<br />

Kalender« wählt der Admin im Konfigurationsdialog<br />

als Typ »Netzwerk« und<br />

als Format »Caldav« aus und definiert<br />

mit Hilfe der vorher ermittelten Caldav-<br />

URL seinen Kalender. Abschließend<br />

wird Thunderbird ihn wie in Abbildung<br />

3 nach den Userdaten fragen. Sind die<br />

korrekt, dann synchronisiert Lightning<br />

klaglos Termine mit dem Kolab-Server<br />

(Abbildung 4).<br />

Allerdings fehlt noch so manches Feature,<br />

etwa die Unterstützung für Aufgaben.<br />

Sollen Thunderbird-Anwender in ihrem<br />

Mailclient auch auf Kolab-Adressbücher<br />

zugreifen können, muss der Administrator<br />

mit dem Sogo Connector [6] ein<br />

weiteres Plugin installieren, um die im<br />

Mozilla-Mailer fehlende Carddav-Unterstützung<br />

nachzurüsten.<br />

Evolution ohne Revolution,<br />

aber mit Kolab-Groupware<br />

Auch der bei Gnome-Anwendern beliebte<br />

Groupware-Client Evolution ([7],<br />

Abbildung 5) lässt sich zunächst problemlos<br />

mit Kolab verbinden und glänzt<br />

erfreulicherweise bereits von Haus aus<br />

Listing 2: I-Rony sträubt sich<br />

01 <br />

02 Sabre\DAV\Exception\Forbidden<br />

<br />

03 Requested uri (/iRony/) is out of base uri<br />

(ony/public_html/)<br />

04 1.8.6<br />

05 <br />

Listing 3: (Keine) Fehlermeldung<br />

01 <br />

02 Sabre\DAV\Exception\NotImplemented<br />

<br />

03 GET is only implemented on File objects<br />

<br />

04 1.8.6<br />

05 <br />

Abbildung 4: Links Roundcube, der Webmailclient von Kolab, rechts der gleiche Kalender in Thunderbird. Weil<br />

der Mozilla-Mailer nicht für den Unternehmenseinsatz gedacht war, zeigt er als Groupware-Client Schwächen.


en, legt der EM-Benutzer auf gleichem<br />

Wege ein separates Konto an, wählt dabei<br />

aber die Option »Kontakte/CardDAV«.<br />

Als sehr hilfreich erweist sich auch das<br />

integrierte Fehlerprotokoll, das für viel<br />

Transparenz sorgt, falls der Admin auf<br />

Probleme stößt.<br />

Sonderbehandlung für<br />

tragbare Apple-Geräte<br />

Apples Mobilgeräte iPhone und iPad<br />

vertragen sich erfreulich gut mit Kolabs<br />

I-Rony-Dienst (Abbildung 7). Allerdings<br />

bedarf die Kontakte-Synchronisation<br />

über Carddav einer Sonderbehandlung:<br />

Das I-OS-Adressbuch findet sich nicht<br />

zurecht, wenn Carddav nicht im Hauptverzeichnis,<br />

also dem Webserver-Root,<br />

ansprechbar ist. Für die Apple-Anwender<br />

liefert das Kolab-Team eine beispielhafte<br />

Virtual-Host-Konfiguration, welche<br />

die Probleme der Apple-Clients behebt<br />

(Listing 4).<br />

Die Konfiguration am Gerät erfolgt anschließend<br />

wie gewohnt in den Systemeinstellungen<br />

unter dem Punkt »Mail,<br />

Kontakte, Kalender« mit dem Anlegen<br />

eines neuen Kontos. Bei der Serveradresse<br />

gibt der Anwender die Basis-URL<br />

des Kolab-Servers an und spezifiziert<br />

wie bei den anderen Clients die Kolab-<br />

Mailadresse als Username. Neben der<br />

Kalender- und der Kontakte-Anbindung<br />

werden damit auch Aufgaben synchronisiert,<br />

die I-OS in der Erinnerungen-App<br />

verwaltet (Abbildung 8).<br />

Vorzeigbar: Mac OS X<br />

I-Rony unterstützt auch die zweite auf<br />

dem Desktop verbreitete proprietäre Plattform:<br />

Apples Mac OS X mit der Standard-<br />

Abbildung 5: Evolution funktioniert mit Einschränkungen: Kontakte anlegen geht nicht, Kalenderfunktionen<br />

dagegen schon. Insgesamt scheinen nicht mehr viele Entwickler an der Gnome-Groupware zu arbeiten.<br />

Abbildung 6: Ein Windows-Tool bietet die beste Anbindung an den Caldav/​Carddav-Server: EM Client.<br />

Kalenderapplikation Ical (Abbildung 9).<br />

Die funktioniert recht unkompliziert, mit<br />

der Einrichtung nach dem Howto auf<br />

[10] funktioniert alles out of the Box,<br />

worauf der Hersteller auch einigermaßen<br />

stolz ist.<br />

Die Anbindung von I-Books und I-Macs<br />

dürfte wohl neben den mobilen Geräten<br />

eine der wichtigsten Triebfedern hinter I-<br />

Rony gewesen sein, und deshalb verwundert<br />

die Qualität der Anbindung auch<br />

nicht. Zu groß und lukrativ ist der Markt<br />

Kolab 3.1 I-Rony 12/2013<br />

Sysadmin<br />

www.linux-magazin.de<br />

65<br />

Listing 4: »kolab‐caldav‐vhost.conf«<br />

01 <br />

02 ServerName caldav.yourkolab.com<br />

03 ServerAdmin support@yourkolab.com<br />

04 <br />

05 DocumentRoot /usr/share/iRony/public_html/<br />

06 <br />

07 ErrorLog logs/caldav.yourkolab.com‐error_log<br />

08 CustomLog logs/caldav.yourkolab.com‐access_log combined<br />

09 <br />

10 <br />

11 AllowOverride All<br />

12 Order Allow,Deny<br />

13 Allow from All<br />

14 <br />

15 RewriteEngine On<br />

16 RewriteBase /<br />

17 RewriteRule ^\.well‐known/caldav / [R,L]<br />

18 RewriteRule ^\.well‐known/carddav / [R,L]<br />

19 <br />

20 RewriteCond %{REQUEST_FILENAME} !‐f<br />

21 RewriteCond %{REQUEST_FILENAME} !‐d<br />

22 RewriteRule (.*) index.php [qsappend,last]<br />

23 <br />

24 <br />

25 <br />

26


Sysadmin<br />

www.linux-magazin.de Kolab 3.1 I-Rony 12/2013<br />

66<br />

Abbildung 7: Mit I-Rony kommen erstmals auch die Besitzer von Apple-<br />

Geräten in den Kolab-Genuss, hier der Kalender eines iPad.<br />

der zahlungskräftigen Apple-Kundschaft,<br />

als dass ihn Kolab dauerhaft links liegen<br />

lassen könnte.<br />

Fazit: Positiv<br />

Der <strong>Neu</strong>ling I-Rony verrichtet seine Arbeit<br />

genau, wie er soll: unauffällig und zuverlässig.<br />

Nach nur wenigen Vorarbeiten für<br />

den Administrator, die bei der Release der<br />

Version 3.1 sicherlich<br />

nicht mehr nötig sein<br />

werden, entsteht eine<br />

mächtige standardkonforme<br />

Schnittstelle<br />

für das Sharing von<br />

Kalendern, Kontakten<br />

und Aufgaben. Kolab<br />

öffnet sich damit für<br />

eine Fülle am Markt<br />

etablierter Clients.<br />

Auch Macs bei<br />

Kolab Systems<br />

Auf Rückfrage des<br />

<strong>Linux</strong>-<strong>Magazin</strong>s bestätigt<br />

Thorsten Grote,<br />

der „Kolab Evangelist“<br />

im Dienste von Kolab<br />

Systems, die Ergebnisse:<br />

„Einer unserer<br />

I-Rony Entwickler hat<br />

selbst einen Mac, vermutlich<br />

wird daher<br />

diese Plattform am<br />

besten unterstützt.<br />

Persönlich finde ich es auch ein wenig<br />

schade, dass Evolution und Thunderbird<br />

dabei so schwächeln, I-Rony macht deren<br />

Perspektive deutlich besser. Früher gab es<br />

ja noch die Thunderbird-Extension Sync<br />

Kolab [11], die wir jetzt aber nicht mehr<br />

empfehlen. Wir raten lieber zu den Dav-<br />

Protokollen. Und auch wenn das alles<br />

recht einfach zu installieren ist, empfehlen<br />

wir trotzdem unseren gehosteten<br />

Dienst. Da ist alles vorkonfiguriert, besonders<br />

für Anwender, die keinen eigenen<br />

Server betreiben wollen.“<br />

Die Probleme verursachen aber vor allem<br />

die Clients. Vor allem die teilweise lückenhafte<br />

Umsetzung der Service-Disco-<br />

very kann selbst erfahrenen Anwendern<br />

das Leben schwer machen.<br />

Dank Sabredav unterstützt Kolab mit der<br />

kommenden Release 3.1 nun auch Webdav<br />

und ermöglicht es damit deutlich<br />

einfacher, Dateien über den integrierten<br />

Webclient zu verwalten. Über eine<br />

Middleware lassen sich verschiedene<br />

Dateispeicher nutzen und sogar eine Integration<br />

mit Owncloud oder Dropbox<br />

realisieren. (mfe)<br />

n<br />

Infos<br />

[1] Kolab: [http:// www. kolab. org]<br />

[2] Sabredav: [http://www. sabredav.org]<br />

[3] I-Rony: [http:// kolab. org/ news/ 2013/ 07/​<br />

16/ kolab‐3. 1‐alpha‐released‐irony]<br />

[4] Markus Feilner, „Willkommene Nummer“:<br />

<strong>Linux</strong>-<strong>Magazin</strong> 03/13 S 48.<br />

[5] Lightning: [http:// addons. mozilla. org/ de/​<br />

thunderbird/ addon/ lightning/]<br />

[6] Sogo für Lightning: [http:// www. sogo. nu/​<br />

fr/ downloads/ frontends. html]<br />

[7] Evolution:<br />

[http:// projects. gnome. org/ evolution/]<br />

[8] Evolution mit Sabre DAV: [http:// code.​<br />

google. com/ p/ sabredav/ wiki/ Evolution]<br />

[9] EM Client: [http:// de. emclient. com]<br />

[10] Kolab mit OS-X-Clients einrichten:<br />

[https:// mykolab. com/ clients/ osx]<br />

[11] Sync Kolab im <strong>Linux</strong>-<strong>Magazin</strong>:<br />

[http:// www. linux‐magazin. de/ NEWS/<br />

Thunderbird‐lernt‐mehr‐Kolab‐Sync<br />

‐Kolab‐3. 0‐veroeffentlicht]<br />

Der Autor<br />

Andrej Radonic arbeitet<br />

(vor allem rund um<br />

Virtualisierung, Cloud und<br />

Groupware) als freier Journalist,<br />

Fachbuchautor und<br />

Vorstand der Intersales AG.<br />

Abbildung 8: Die iPhone-App Erinnerungen gleicht<br />

auf Wunsch alle Aufgaben mit dem Kolab Server ab.<br />

Abbildung 9: Auch Mac OS X spielt bei I-Rony mit: Sowohl Kontakte, Kalender, Aufgaben und natürlich E-Mails<br />

lassen sich in Apples Tools (Apple Mail, Contacts, Ical) integrieren.


Sysadmin<br />

www.linux-magazin.de Admin’s Little Helper 12/2013<br />

68<br />

<strong>Linux</strong> Remote Administration unter Android und I-OS<br />

Der Admin-Touch<br />

Smartphones gehören zur Standardausrüstung von Systemverwaltern, oft gesellt sich noch ein Tablet dazu.<br />

Dann bleibt das Notebook im Büro und der Admin greift zu Geräten, die ihren Gadget-Status abgelegt haben.<br />

Das <strong>Linux</strong>-<strong>Magazin</strong> hat die wichtigsten Apps für Admins getestet. Holger Gantikow, Markus Feilner<br />

Auf Apple-Seite standen ein iPhone mit<br />

I-OS 6 und ein iPad der ersten Generation<br />

mit I-OS 5 für die Tests zur Verfügung.<br />

Auch hier traten keine Komplikationen<br />

auf (Abbildungen 1 und 2).<br />

Stores und VPN<br />

© Buchachon Petthanya, 123RF.com<br />

In der Prä-Smartphone-Ära, die noch<br />

gar nicht so lange vergangen ist, war<br />

an den Einsatz eines mobilen Geräts für<br />

die System verwaltung praktisch kaum zu<br />

denken – wenn man von Laptops mit<br />

grafischen und Weboberflächen oder<br />

auf hohe Latenzen spezialisierter Terminalsoftware<br />

[1] absieht.<br />

Breitband bringt mobile<br />

Geräte ins Unternehmen<br />

Doch das hat sich geändert: Mit allgegenwärtigen<br />

breitbandigen und mobilen Datenverbindungen,<br />

Hotspots und auch in<br />

Firmen verbreiteten WLANs kommen die<br />

Admins zunehmend hinter dem Schreibtisch<br />

hervor und aus dem Serverraum<br />

raus. Smartphones und Tablets mit ausreichend<br />

großen Bildschirmdiagonalen<br />

werden zu Multifuntionswerkzeugen,<br />

mit denen sich die wichtigsten Aufgaben<br />

nicht nur im Notfall und von unterwegs<br />

erledigen lassen.<br />

Ein typischer Gerätezoo<br />

Da sich Android-Geräte nicht durch einen<br />

homogenen Versionsstand auszeichnen,<br />

haben die Autoren die Programme auf<br />

verschiedenen Devices getestet: So kamen<br />

ein Nexus 4 mit aktuellem Android<br />

4.3, ein Nook HD+ mit einer etwas älteren<br />

4er Version, aber auch ein betagteres<br />

Motorola Defy mit Cyanogen Mod<br />

7 und Android 2.3.7 zum Einsatz, dazu<br />

ein Sony Experia Go mit Android 2.3 und<br />

zahlreichen Backports des Herstellers sowie<br />

ein HTC Desire Z mit Android AOSP<br />

4.2.2. Keines der getesteten Programme<br />

zeigte dabei auf einem der Geräte Kompatibilitätsprobleme.<br />

Wer den Play Store von Google oder Apples<br />

App Store durchwühlt, findet eine<br />

große Zahl von meist kostenlosen Apps,<br />

die Sysadmins dabei helfen wollen, mit<br />

einem vergleichsweise kleinen Endgerät<br />

halbwegs komfortabel die von ihnen betreuten<br />

Systemen von unterwegs zu verwalten.<br />

Darüber hinaus gibt es eine Vielzahl<br />

von Werkzeugen, die IT-Spezialisten<br />

das Leben leichter machen.<br />

Da die meisten Systeme nicht einfach<br />

schutzlos über das Internet zu erreichen<br />

sind, sondern gut gesichert hinter der<br />

Firewall einer Firma stehen, kann ein Zugriff<br />

meist nur über eine VPN-Verbindung<br />

erfolgen. Das Einrichten einer solchen<br />

Verbindung beschreiben [2] für Android<br />

und [3] für I-OS.<br />

Herr der Konsole<br />

Wer häufig Unix- und <strong>Linux</strong>-Server verwaltet,<br />

benötigt als primäres Allzweckwerkzeug<br />

zunächst einen SSH-Client. Auf<br />

Android-Geräten stellt der Connectbot<br />

[4] von Kenny Root und Jeffrey Sharkey<br />

die zurzeit wohl beste Wahl dar. Er<br />

unterstützt die Anmeldung mittels SSH-<br />

Schlüsselpaar und kann auch Ports tunneln.<br />

Das erweist sich vor allem dann<br />

als hilfreich, wenn ein Zugang per SSH<br />

als Ersatz für ein vollwertiges VPN vorgesehen<br />

ist.<br />

Connectbot (Abbildung 3) baut auch<br />

mehrere simultane Sitzungen auf und


www.linux-magazin.de<br />

Admin’s Little Helper 12/2013<br />

Sysadmin<br />

69<br />

Abbildung 1: Es muss nicht immer das Notebook sein. Smartphones und Tablets<br />

in unterschiedlichen Größen, Preisklassen und Geschmacksrichtungen ermöglichen<br />

das mobile Administrieren.<br />

Abbildung 2: Auch betagte Geräte wie das mehrere Jahre alte HTC Desire Z<br />

eignen sich für die schnelle Admin-Arbeit von unterwegs. Ein aktuelles, halbwegs<br />

sicheres Android mit VPN ist dann allerdings Pflicht.<br />

ermöglicht Copy & Paste zu anderen Anwendungen,<br />

um beispielsweise Kollegen<br />

den aktuellen Systemstand per Mail mitzuteilen<br />

oder einen Spickzettel mit häufig<br />

benötigten Kommandos zu nutzen. Auch<br />

wer unterwegs einen Passwortmanager<br />

wie Keepass Droid [5] einsetzt, wird<br />

diese Funktion bald schätzen. Ein nettes<br />

Detail ist, dass der Anwender nach einem<br />

Login automatisch Kommandos absetzen<br />

kann. Diese Post-Login-Automation erledigt<br />

dann zum Beispiel Standardaufgaben<br />

wie das Prüfen aktiver Logins oder<br />

von Ressourcen.<br />

X für Android<br />

Ebenfalls nützlich ist dies, um ein Display<br />

zu exportieren, sodass in Kombination<br />

mit dem X-Server<br />

für Android [6] der Start<br />

von grafischen Anwendungen<br />

möglich wird.<br />

Leider unterstützt der<br />

Android-X-Server nicht<br />

alle erforderlichen Extensions,<br />

um etwa Firefox<br />

zu starten. Dennoch<br />

bietet er nach wie vor<br />

die umfangreichste X-<br />

Server-Implementierung<br />

auf Android.<br />

auch auf Touchscreens nach einigen erweiterten<br />

Features. Das fängt schon bei<br />

der vielerorts fehlenden Tabulator-Taste<br />

für die Autocompletion an, nur die wenigsten<br />

Androiden haben dieses praktische<br />

Detail bereits eingebaut (Abbildung<br />

2). Erst Hacker’s Keyboard ([7],<br />

Abbildung 4) macht die Unix-Shell mit<br />

Connectbot um einiges angenehmer bedienbar,<br />

da es Tabulator-, [Strg]-, [Esc]-<br />

und Pfeiltasten nachrüstet.<br />

Schmerzlich vermisst:<br />

Tabulator-Tasten<br />

Bei der Installation ist zu beachten, dass<br />

aus Sicherheitsgründen neue Android-<br />

Tastaturen nicht automatisch aktiv sind,<br />

sondern der Anwender diese erst über<br />

die Systemeinstellungen<br />

aktivieren muss. Das<br />

scheint zwar auf den<br />

ersten Blick unnötig kompliziert, doch<br />

ist es durchaus sinnvoll: Unbeabsichtigt<br />

installierte Tastaturen könnten als Keylogger<br />

funktionieren und unter anderem<br />

Passwörter abgreifen.<br />

Apfelkonsole<br />

Auch an der I-OS-Front versieht mit I-<br />

SSH ([8], Abbildung 5) ein mächtiger<br />

SSH-Client seinen Dienst, der außer den<br />

bei Connectbot beschriebenen Features<br />

ab Werk sogar mit dem Remote Desktop<br />

Protocol (RDP) und Virtual Network<br />

Computing (VNC) klarkommt und einen<br />

eigenen X-Server mitbringt.<br />

Da funktioniert auch der Start von Firefox<br />

problemlos, auch wenn im Vergleich zu<br />

der für Tablets und Smartphones optimierten<br />

mobilen Version die Anwender<br />

hier Abstriche machen müssen. Für den<br />

schnellen Zugriff auf Intranet-Ressourcen<br />

Hacker’s<br />

Keyboard<br />

Wer die Vorteile bei der<br />

Tastaturbedienung einer<br />

Shell kennt, sehnt sich<br />

Abbildung 3: Connectbot emuliert<br />

zahlreiche für die Shell nützliche<br />

Funktionstasten auf Android-Telefonen<br />

und ‐Tablets.<br />

Abbildung 4: Connectbot und Hacker’s Keyboard gemeinsam in Aktion. Freunde der<br />

Kommandozeile dürften sich hier heimischer fühlen als mit dem Standardlayout.


Sysadmin<br />

www.linux-magazin.de Admin’s Little Helper 12/2013<br />

70<br />

Abbildung 5: I-SSH für I-OS-Geräte bietet einen integrierten X-Server, der neben<br />

X11-Anwendungen (hier Xclock) auch Firefox starten kann.<br />

Abbildung 6: Teamviewer steht für eine Vielzahl an Client-Server-Kombinationen<br />

bereit. Hier in Aktion bei der Verwaltung einer Mac-OS-Sitzung.<br />

mag das dennoch eine sicherere Alternative<br />

eröffnen. I-SSH ist durch den eingebauten<br />

X-Server deutlich komfortabler zu<br />

verwenden als das Gespann aus Connectbot<br />

und X-Server, da wesentlich weniger<br />

Konfigurationsaufwand notwendig ist.<br />

Entfernt fensterln<br />

Wenn ein Konsolenzugriff nicht genügt,<br />

sondern auch Zugriff auf Windows-Systeme<br />

erforderlich ist, bieten Einzel-Apps<br />

für Terminalserver-Protokolle wie das<br />

Remote Desktop Protocol (RDP) und Virtual<br />

Network Connectivity (VNC) eine<br />

breite Auswahl. Der Wunsch nach mehr<br />

Komfort führt zu einer App mit dem umständlichen<br />

Namen Pocket Cloud Remote<br />

RDP/​VNC [9] von Wyse Technology. Sie<br />

ermöglicht RDP- und VNC-Zugriffe auf<br />

Windows-, <strong>Linux</strong>- und Mac-Systeme und<br />

steht sowohl für Android als auch für<br />

I-OS zur Verfügung.<br />

Zwei Varianten<br />

Die App unterstützt zwei Wege zur Anmeldung.<br />

Beim ersten fragt ein Dialog<br />

die IP-Adresse oder den Hostnamen des<br />

Zielsystems, den Zielport und eventuell<br />

weitere notwendige Login-Informationen<br />

ab. Zweitens bietet das Tool aber auch<br />

einen automatischen Modus, wobei hier<br />

der Pocket Cloud Companion auf dem<br />

Zielsystem installiert sein muss. Auch ein<br />

Gmail-Account ist nötig. Vor allem für<br />

regelmäßig betreute Privatsysteme jenseits<br />

des Firmennetzes dürfte das eine<br />

interessante Alternative sein.<br />

Als große Einschränkung der kostenlosen<br />

Version ist zu beachten, dass sie nur<br />

eine Verbindung zu speichern gestattet.<br />

Vor dem Anlegen einer neuen Verbindung<br />

muss der Anwender die bestehende<br />

löschen. Wem dies nicht genügt, der<br />

kann für knapp 12 Euro die kommerzielle<br />

Version erwerben, die keine solche<br />

Einschränkung kennt und auch noch<br />

256-Bit-NLA/​TLS-Encryption für RDP-<br />

Verbindungen und die Unterstützung für<br />

VMware View mitbringt.<br />

Wer häufig mehrere unterschiedliche<br />

RDP-Sitzungen aufbauen muss, kann<br />

den 2XClient RDP/​Remote Desktop [10]<br />

einsetzen. Er funktioniert schon seit der<br />

uralten Android-Version 1.6 und ermöglicht<br />

es, mehrere Verbindungen anzulegen.<br />

Für reinen VNC-Zugriff bietet Mocha<br />

VNC Lite für Android und I-OS [11] eine<br />

Alternative. Leider erlaubt auch sie nur<br />

einen Server.<br />

Nomachine<br />

Admins, die beim Verwalten ihrer Remote-<br />

Systeme auf Free NX oder das proprietäre<br />

NX von Nomachine angewiesen sind, stehen<br />

momentan noch ein wenig im Regen.<br />

Bislang existiert hier noch kein Client,<br />

der auf Android oder I-OS läuft. Zwar findet<br />

sich für besonders Hartgesottene eine<br />

Anleitung, die beschreibt, wie sich NX<br />

in einer Chroot-Umgebung mit Ubuntu<br />

auf Android betreiben lässt [12], doch<br />

scheint der Nutzen dieser Lösung im harten<br />

Alltag noch recht gering.<br />

Nomachine arbeitet aber derzeit offenbar<br />

an einem Client für Android und I-OS,<br />

will sich laut dem Hinweis auf der Download-Seite<br />

[13] damit aber wohl noch bis<br />

Dezember 2013 Zeit lassen. Der Quelle ist<br />

nicht zu entnehmen, ob ältere Versionen<br />

als die V4 des Protokolls unterstützt werden<br />

– und für die kürzlich erschienene<br />

vierte Programmausgabe haben sich die<br />

ehemals italienischen, jetzt luxemburgischen<br />

Hersteller viele Jahre Zeit genommen,<br />

sehr zum Ärger vieler Kunden. Da<br />

scheint einige Geduld gefragt.<br />

Teamviewer mit dem<br />

Remote-Touch<br />

Neben den gängigsten Desktop-Betriebssystemen<br />

Windows, Mac OS und <strong>Linux</strong><br />

steht die verbreitete proprietäre, aber für<br />

den privaten Einsatz kostenfreie Desktop-Sharing-Software<br />

Teamviewer ([14],<br />

Abbildung 6) ebenfalls für Android und<br />

I-OS in einer Client-Version zur Verfügung.<br />

Teamviewer lässt sich für Online-<br />

Präsentationen oder ‐Meetings nutzen,<br />

eignet sich aber auch gut für Fernwartungsaufgaben.<br />

Hierbei macht sich positiv<br />

bemerkbar, dass es eine Quick-Support-Version<br />

gibt, die keine Installation<br />

erfordert und sich somit besonders für<br />

die spontane und unkomplizierte Hilfe<br />

für technisch weniger versierte Anwender<br />

eignet.<br />

Diese müssen nur ein Programm herunterladen<br />

und starten. Danach zeigt<br />

ihnen die Software eine Session-ID und<br />

ein Passwort an. Beides teilen sie dem<br />

mobilen Helfer in der Not am Telefon mit<br />

– und schon kann der sich auf das System<br />

verbinden und das Problem lösen. Jetzt


übernimmt der das Ruder, er kann sogar<br />

per Gestensteuerung das System bedienen<br />

und Dateien in beide Richtungen<br />

übertragen.<br />

Handarbeit<br />

So elegant ein Konsolen-Login oder eine<br />

grafische Sitzung auch sein kann, oft<br />

sind einfach nur die üblichen Fragen zu<br />

beantworten, die einen Systemverwalter<br />

umtreiben. Welchen Füllstand haben die<br />

Dateisysteme, wie viele User sind auf<br />

dem System angemeldet und wie lange<br />

läuft es eigentlich schon?<br />

Wer seine Systeme nicht in ein übergeordnetes<br />

Monitoringsystem wie Nagios<br />

integriert hat, findet an einem Werkzeug<br />

wie dem nur für Android erhältlichen<br />

Cura-Sysadmin ([15], Abbildung 7) sicherlich<br />

Gefallen. Cura beantwortet diese<br />

und weitere Fragen unter einer Oberfläche<br />

und bringt noch einen eher rudimentären<br />

Terminal-Emulator, den Portscanner<br />

Nmap und einen Logfile-Betrachter mit.<br />

Dieser bietet vorkonfigurierten Zugriff<br />

auf die wichtigsten Systemprotokolle in<br />

»/var/log«, die sich auch auf dem Android-Gerät<br />

speichern lassen.<br />

Ein unschönes, aber optionales Feature<br />

von Cura verhindert die Installation auf<br />

Android-Geräten, die keine SIM-Karte<br />

haben: Weil Cura eine Option zum entfernten<br />

Löschen der Cura-Datenbank<br />

und zum Versenden einer SMS/​E-Mail<br />

mit den aktuellen Positionsdaten im Verlustfall<br />

implementiert hat, ist die GSM-<br />

Konnektivität zwingend notwendig.<br />

Dateien managt der<br />

ES Datei Explorer<br />

der mit den meisten<br />

Formaten umzugehen<br />

weiß.<br />

Jenseits des eigenen<br />

Geräts gewinnt eine<br />

breite Protokollunterstützung<br />

an Bedeutung.<br />

So erlaubt der<br />

ES Datei Explorer den<br />

Zugriff auf per FTP,<br />

SFTP, FTPS, Webdav<br />

und CIFS bereitgestellte<br />

Ressourcen.<br />

Wer seine Daten in<br />

der Cloud ablegt,<br />

kann unter anderem<br />

zu Dropbox, Skydrive,<br />

Gdrive und Amazons einen Android-Blick.<br />

S3 Verbindung aufbauen.<br />

In besonders heterogenen Umgebungen<br />

würde man sich noch über eine<br />

Implementierung des Network File System<br />

(NFS) und des Apple Filing Protocol<br />

(AFP) freuen – doch die ist auf mobilen<br />

Devices rar.<br />

I-OS-Anwender, die auf Netzwerk-Shares<br />

und Cloudressourcen zugreifen wollen,<br />

greifen zu Werkzeugen wie den kostenpflichtigen<br />

File Explorer [17], dessen kostenfreie<br />

Version (File Explorer Free) auf<br />

ein Ziel beschränkt bleibt.<br />

Das eigene Netzwerk<br />

scannen und sniffen<br />

Abbildung 7: Cura-Sysadmin zeigt die<br />

wichtigsten Monitoring-Daten auf<br />

Wer genug mobil administriert hat und<br />

in seinem Netzwerk nach dem Rechten<br />

schauen will, dem sei die eierlegende<br />

Wollmilchsau Fing ([18],<br />

Abbildung 8) ans Herz<br />

gelegt. Sie arbeitet sowohl<br />

auf Android als auch<br />

I-OS und erfasst alle im<br />

Netzwerk angemeldeten<br />

Geräte mit Hostnamen,<br />

IP- und MAC-Adresse und<br />

wenn möglich auch dem<br />

Hersteller des Netzwerkgeräts.<br />

Die übersichtliche Liste<br />

kann helfen, um schnell<br />

die IP-Adresse eines vergessenen<br />

Geräts zu ermitteln<br />

oder zu checken, ob<br />

eine Maschine online ist,<br />

und welche DHCP-Adresse<br />

sie vom Server bekommen<br />

hat. Die Listen lassen sich entweder direkt<br />

auf dem Gerät oder beim Hersteller<br />

in der Cloud der allerdings kostenpflichtigen<br />

Fingbox speichern.<br />

Portscan und Wake-on-LAN<br />

Das Antippen eines Eintrags startet einen<br />

Portscan auf dem entsprechenden<br />

Target. Wer dabei offene Dienste findet,<br />

kann direkt zum Dienst passende Apps<br />

aufrufen. Bei SSH sieht die App etwa<br />

Connectbot vor, And FTP [19] für SCP<br />

und SFTP. Auch ein direkter Zugriff auf<br />

CIFS-Verbindungen per And SMB [20]<br />

ist vorkonfiguriert, ebenso der Zugriff auf<br />

ein gefundenes Webinterface.<br />

Darüber hinaus lässt sich für einen Host<br />

eine Reihe klassischer Netzwerktools auf-<br />

Admin’s Little Helper 12/2013<br />

Sysadmin<br />

www.linux-magazin.de<br />

71<br />

Anwender, die einen Dateimanager<br />

suchen, der sich auch<br />

für den Einsatz im Netzwerk<br />

eignet, kommen fast nicht<br />

um den ES Datei Explorer<br />

[16] herum. Neben seiner<br />

Funktionalität als einfach zu<br />

bedienender Dateimanager<br />

mit Unterstützung für Zipund<br />

Rar-Archive bietet er<br />

auch eine Suchfunktion, mit<br />

der sich exemplarisch alle<br />

Videodateien auf dem Gerät<br />

ermitteln lassen, und einen<br />

integrierten Dateibetrachter,<br />

Abbildung 8: Von links nach rechts: Fing listet die auf einem gescannten System laufenden Dienste und verknüpft entsprechende<br />

Zugriffsprogramme, zeigt die Informationen zum aktuellen WLAN an und ermittelt den Internetanbieter. Ganz<br />

rechts der Passwortverwalter Keepass Droid, der als mobile Brieftasche für Passwörter dienen mag.


Sysadmin<br />

www.linux-magazin.de Admin’s Little Helper 12/2013<br />

72<br />

Abbildung 9: Der Wifi Analyzer zeigt alle gefunden WLANs und erlaubt es, nach möglichst<br />

wenig genutzten Kanälen zu suchen.<br />

rufen, Telnet, Ping und Traceroute beispielsweise.<br />

Aber auch das Aufwecken<br />

eines Systems per Wake-on-LAN (WOL)<br />

ist eingebaut. Wer ein nicht in der Liste<br />

verzeichnetes Gerät aufwecken will, erreicht<br />

das über das globale Einstellungsmenü.<br />

Dort kann er auch DNS-Einträge<br />

nachschlagen oder Pings und Traceroutes<br />

auf beliebige Rechner ausführen.<br />

Fing ist auch als Securitytool nützlich:<br />

Wer beispielsweise unterwegs im Hotel-<br />

WLAN feststellen möchte, ob der Router<br />

Client Isolation betreibt, also die einzelnen<br />

Endgeräte sich gegenseitig sehen oder<br />

nicht, ist nach einem Fing-Lauf schlauer.<br />

Sieht er andere Systeme und Dienste,<br />

sollte er es sich sehr genau überlegen,<br />

unverschlüsselt Daten zu übertragen.<br />

Wifi Analyzer<br />

Mehr Spaß mit Rootrechten<br />

Keine der im Artikel vorgestellten Anwendungen<br />

erfordert Rootrechte. Wer jedoch die erweiterten<br />

Berechtigungen auf seinem Gerät<br />

vorweisen kann, öffnet die Tür für weitere<br />

interessante Apps, etwa das Netzwerksicherheitstool<br />

Wifiinspect [23]. Ein Netzwerkscan<br />

geht damit zwar wesentlich behäbiger vonstatten<br />

als bei Fing, dafür klopft das Tool aber auch<br />

Rechner auf gängige Sicherheitslücken ab oder<br />

schneidet Netzwerktraffic im Pcap-Format mit.<br />

Intern dienen dazu altbekannte Werkzeuge wie<br />

Nmap oder Tcpdump.<br />

nen Blick auf den Klassiker Wifi Analyzer<br />

[21] werfen. Das intuitive, schon für<br />

Laien geeignete Werkzeug scannt alle in<br />

Reichweite gefundenen Funknetzwerke<br />

und stellt sie in der Kanalübersicht verständlich<br />

in Form einer farbigen Kurvengrafik<br />

dar (Abbildung 9). Das hilft bei<br />

Empfangsproblemen oder bei der WLAN-<br />

Planung.<br />

Geht es darum, den optimalen Standort<br />

eines Accesspoints zu ermitteln, hilft<br />

der Signalstärkemodus mit seiner Tachonadel,<br />

die den Empfang zur ausgewählten<br />

Gegenstelle in Echtzeit entweder grün,<br />

gelb oder grau darstellt. Wer den Ton<br />

aktiviert, kann die App wie einen Geigerzähler<br />

verwenden und sich akustisch<br />

über die Empfangsqualität in<strong>formieren</strong>.<br />

WLAN-Planung und<br />

Interferenzanalyse<br />

Die Kanalbewertung erlaubt es aber auch,<br />

das eigene Funknetz auf einem möglichst<br />

interferenzfreien Kanal zu betreiben. Sie<br />

Die Funktionsübersicht in Googles Play Store<br />

listet weitere Schmankerl auf, so etwa das<br />

Testen von Accesspoints auf nicht veränderte,<br />

unsichere Default-Passwörter.<br />

Ebenfalls attraktiv für sicherheitsbewusste<br />

Admins sind Schwachstellendetektoren wie<br />

die Pentesting-App Zanti ([24], Abbildung 10)<br />

oder Android-Forensiktools wie das Arbeitsspeicher-Analyseprogramm<br />

Volatility oder<br />

das RAM-Schnappschuss-Tool Lime [25]. Die<br />

meisten dieser Werkzeuge entwickeln ihr volles<br />

Potenzial erst mit Rootrechten.<br />

Abbildung 10: Scannt lokale Netze<br />

auf Verwundbarkeiten: Zanti.<br />

Administratoren, die weniger die Geräte<br />

im eigenen Netzwerk erkunden wollen,<br />

sondern sich eher für die Funknetze in<br />

der Umgebung interessieren, sollten eizeigt<br />

die einzelnen Kanäle<br />

mit Sternchen bewertet an<br />

und hilft, schnell die am<br />

wenigsten frequentierten<br />

zu ermitteln, was in<br />

dicht bewohnten Gebieten<br />

durchaus zu einer Herausforderung<br />

gerät.<br />

Eher für technisch interessierte<br />

Nutzer oder fürs<br />

fortgeschrittene Debuggen<br />

ist die AP-Liste gedacht,<br />

die neben den Namen<br />

der einzelnen Netzwerke<br />

auch die verwendeten<br />

Kanäle, Frequenzen, Verschlüsselungen<br />

und die<br />

Signalstärken anzeigt, bei<br />

mehreren verfügbaren Accesspoints mit<br />

derselben ESSID auch deren Details.<br />

Apple erlaubt keine Sniffer<br />

Auf I-OS-Seite hat sich die Auswahl an<br />

solchen Apps deutlich verschlechtert,<br />

da Apple Mitte 2010 systematisch damit<br />

begann, Sniffer aus dem App Store zu<br />

entfernen. Begründung: Sniffer setzten<br />

auf unerlaubte „private Frameworks<br />

zum Ausspähen von Zugangs- und Wifi-<br />

Daten“, also direkt auf die eingesetzten<br />

Funkchips, nicht auf die von Apple verlangten<br />

Bibliotheksaufrufe.<br />

Weiter erlaubt bleiben Anwendungen mit<br />

einer eigenen WLAN-Datenbank, was<br />

aber nur wenig dabei hilft, die Funknetze<br />

in der eigenen Umgebung zu untersuchen.<br />

Den Ausweg bahnen nur ein<br />

Jailbreak und das Ausweichen auf das<br />

App-Verzeichnis Cydia, das eine breitere<br />

Auswahl von Sniffern bietet.<br />

Ob der Rootzugriff eine Alternative ist,<br />

muss der Admin im Einzelfall selbst entscheiden,<br />

viele Sicherheitsexperten raten<br />

ohnehin dazu, nach dem Motto „Möglich<br />

ist er, also machen Sie das doch lieber<br />

selbst, als dieses Feld nur dem Hacker<br />

zu überlassen“. Dennoch bietet dieses<br />

Thema Stoff für hitzige Diskussionen unter<br />

Securityberatern.<br />

Wem es weniger darum geht, einzelne<br />

Geräte, sondern das große Ganze im Blick<br />

zu behalten, der setzt meist ohnehin eine<br />

Monitoringlösung wie Nagios oder Icinga<br />

ein. Für beide sind passende Apps und<br />

Webinterfaces erhältlich, mit denen der<br />

Admin unterwegs alle wichtigen Systeme


auch auf einem kleinen Bildschirm im<br />

Blick behält. Die Nagios-Homepage kann<br />

gar eine ganze Handvoll mobiler Interfaces<br />

aufzählen [22].<br />

Fazit<br />

Smartphones und Tablets mit Android<br />

und I-OS haben sich in den letzten Jahren<br />

für Admins zu einer sehr brauchbaren<br />

Alternative entwickelt, wenn es<br />

darum geht, mal eben schnell auf einem<br />

betreuten System nach dem Rechten zu<br />

schauen. Sie haben trotz gravierender<br />

Sicherheitsmängel ihr unseriöses Image<br />

verloren. Eine breite Auswahl von Apps<br />

für praktisch jeden Einsatzzweck macht<br />

die mobilen Geräte zu Allzweckwerkzeugen,<br />

und zwar bereits ohne Rootrechte<br />

auf den Devices (siehe Kasten „Mehr<br />

Spaß mit Rootrechten“).<br />

Das Marschgepäck des mobilen Admin<br />

wird deutlich leichter, Notebook und PC<br />

bleiben stationär. Für ausgedehnte Sitzungen<br />

kann es aber nicht schaden, ein<br />

Notebook parat zu haben oder zumindest<br />

per Bluetooth eine richtige Tastatur anzubinden.<br />

Der Rest ist Touch. n<br />

Infos<br />

[1] Markus Feilner, „GPRS, NX, Openvpn“:<br />

<strong>Linux</strong> Technical Review 05/​07, S. 84<br />

[2] Markus Feilner, Ronny Weiss und Daniel<br />

Salcher, „Löchrige Netze“: <strong>Linux</strong>-<strong>Magazin</strong><br />

10/​11, [http:// www. linux‐magazin. de/​<br />

Ausgaben/ 2011/ 10/ Mobile‐VPNs]<br />

[3] Konstantin Agouros, „Geschützte Äpfel“:<br />

<strong>Linux</strong>-<strong>Magazin</strong>, 02/​12, [http:// www.​<br />

linux‐magazin. de/ Ausgaben/ 2012/ 02/​<br />

IPsec‐und‐I‐OS]<br />

[4] Connectbot:<br />

[https:// code. google. com/ p/ connectbot/]<br />

[5] Keepass Droid:<br />

[https:// play. google. com/ store/ apps/​<br />

details? id=com. android. keepass]<br />

[6] X-Server für Android:<br />

[https:// play. google. com/ store/ apps/​<br />

details? id=au. com. darkside. XServer]<br />

[7] Hacker’s Keyboard: [https:// code. google.​<br />

com/ p/ hackerskeyboard/]<br />

[8] Apple-Konsole: [http:// www. zinger‐soft.​<br />

com/ iSSH_features. html]<br />

[9] Pocket Cloud: [https:// itunes. apple. com/​<br />

de/ app/ pocketcloud‐remote‐desktop/],<br />

[https:// play. google. com/ store/ apps/​<br />

details? id=com. wyse. pocketcloudfree]<br />

[10] 2Xclient: [https:// play. google. com/ store/​<br />

apps/ details? id=com. tux. client& hl=de]<br />

[11] Mocha VNC Lite: [https:// play. google.​<br />

com/ store/ apps/ details? id=dk. mochsoft.​<br />

vnc], [https:// itunes. apple. com/ de/ app/​<br />

mocha‐vnc‐lite/​]<br />

[12] NX-Chroot: [http:// www. nerdenmeister.​<br />

org/ 2012/ 11/ 07/ nx‐on‐android/]<br />

[13] Nomachine:<br />

[http:// www. nomachine. com/ download]<br />

[14] Teamviewer: [http:// www. teamviewer.​<br />

com/ de/], [https:// play. google. com/<br />

store/ apps/ details? id=com. teamviewer.​<br />

teamviewer. market. mobile],<br />

[https:// itunes. apple. com/ de/ app/​<br />

teamviewer‐fur‐fernsteuerung/​]<br />

[15] Cura: [https:// play. google. com/ store/​<br />

apps/ details? id=com. cura]<br />

[16] ES-Datei-Explorer:<br />

[https:// play. google. com/ store/ apps/​<br />

details? id=com. estrongs. android. pop]<br />

[17] File Explorer und File Explorer Free:<br />

[https:// itunes. apple. com/ de/ app/​<br />

fileexplorer/ ], [https:// itunes. apple. com/​<br />

de/ app/ fileexplorer‐free/​]<br />

[18] Fing: [https:// play. google. com/ store/​<br />

apps/ details? id=com. overlook. android.​<br />

fing], [https:// itunes. apple. com/ de/ app/​<br />

fing‐network‐scanner/ ]<br />

[19] And FTP: [https:// play. google. com/ store/​<br />

apps/ details? id=lysesoft. andftp]<br />

[20] And SMB: [https:// play. google. com/ store/​<br />

apps/ details? id=lysesoft. andsmb]<br />

[21] Wifi Analyzer:<br />

[https:// play. google. com/ store/ apps/​<br />

details? id=com. farproc. wifi. analyzer]<br />

[22] Nagios/​Icinga mobile: [http:// www.​<br />

nagios. org/ download/ frontends]<br />

[23] Wifinspect: [https:// play. google. com/​<br />

store/ apps/ details? id=uk. co. opticiancms.​<br />

wifiprobe]<br />

[24] Zanti: [http:// zantiapp. com/ anti. html#]<br />

[25] Android Forensics mit Volatility und<br />

Lime: [http:// www. youtube. com/ watch?​<br />

v=Khnas55TV0w]<br />

Der Autor<br />

Holger Gantikow hat an der<br />

Hochschule Furtwangen Informatik<br />

studiert und ist bei<br />

der Science + Computing AG<br />

in Tübingen als Senior Systems<br />

Engineer tätig. Dort<br />

beschäftigt er sich mit der Komplexität heterogener<br />

Systeme im CAE-Berechnungsumfeld und<br />

betreut Kunden aus dem technisch-wissenschaftlichen<br />

Bereich.


Forum<br />

www.linux-magazin.de Bücher 12/2013<br />

74<br />

Bücher über Webdesign und über Lego-NXT-Programmierung<br />

Tux liest<br />

Das <strong>Linux</strong>-<strong>Magazin</strong> bespricht zwei Bücher, die den Einstieg in neue Sachgebiete ermöglichen. Das erste<br />

widmet sich dem Webdesign, das zweite dem Programmieren von Lego-NXT-Robotern. Andreas Möller, Wilhelm Kolb<br />

In seinem Buch „Grundkurs Gutes Webdesign“<br />

breitet Björn Rohles auf rund 420<br />

Seiten den Werkzeugkasten eines Webdesigners<br />

aus. Der Titel richtet sich an<br />

Leute mit wenig Erfahrung im Gestalten<br />

und Coden von Webseiten.<br />

Webdesign für Einsteiger<br />

Info<br />

Björn Rohles:<br />

Grundkurs Gutes<br />

Webdesign<br />

Galileo Computing, 2013<br />

420 Seiten<br />

25 Euro (Online-Ausgabe<br />

20 Euro)<br />

ISBN 978-3-8362-1992-1<br />

reichsten, dem vierten Kapitel beschäftigt<br />

sich Rohles mit dem Layout. Nach Gedanken<br />

zur Wahrnehmung von Formen<br />

und deren Bezügen beschreibt er eine<br />

Reihe technischer Aspekte in CSS 3: Genauigkeit<br />

von Selektoren, fixe, fluide und<br />

elastische Layouts, Raster, Box-Modell<br />

und Weißraum.<br />

Danach widmet sich der Verfasser den Bereichen<br />

Typografie, Farbe und Grafik. Er<br />

bespricht deren Wirkung und gibt Tipps<br />

zur Umsetzung, zum Beispiel mit Webfonts,<br />

einem Farbschema oder durch das<br />

Skalieren von Bildern für hochauflösende<br />

Retina-Bildschirme. Außerdem behandelt<br />

das Buch das Testen und Optimieren einer<br />

Webseite unter Einbeziehung von<br />

Browserstatistiken und geeigneten Test-<br />

Tools. Im letzten Kapitel betrachtet Rohles<br />

Audio und Video in HTML 5 sowie<br />

Animation in CSS 3.<br />

Dem Band liegt eine CD-ROM mit den<br />

Listings bei. Leider fehlen dem ansonsten<br />

mit viel Liebe zum Detail geschriebenen<br />

Lehrbuch die Übungsaufgaben.<br />

Lego-Roboter<br />

programmieren<br />

Das Buch „Lego Mindstorms NXT“ führt<br />

in das Programmieren von Legos Roboter-Hardware<br />

ein und orientiert sich an<br />

einem pädagogischen Konzept namens<br />

Roberta des Fraunhofer Instituts. Basis<br />

für die Programme ist die Programmiersprache<br />

NXC (Not exactly C), die für<br />

Windows, <strong>Linux</strong> und Mac OS X verfügbar<br />

ist. Die Inhalte lassen sich mit allen im<br />

Handel erhältlichen Lego-NXT-Sets umsetzen.<br />

Im Abschnitt B des Bandes findet<br />

sich eine detaillierte und farbig bebilderte<br />

Bauanleitung.<br />

Hat der Leser den Roboter Roberta zusammen<br />

mit dem Grundstück, auf dem<br />

Der Autor demonstriert die Arbeit mit<br />

HTML 5 und CSS 3 am Beispiel einer<br />

eigenen Webseite. Das meiste erklärt er<br />

anhand mehrerer Hundert farbiger Abbildungen,<br />

Codebeispiele nehmen bei ihm<br />

dagegen nur einen geringen Platz ein.<br />

Dennoch lernt der Leser den Einsatz von<br />

semantischem Markup mit HTML 5 sowie<br />

wichtige CSS-3-Techniken. Javascript<br />

spielt so gut wie keine Rolle.<br />

Das Buch ist in neun Kapitel gegliedert.<br />

Im ersten Kapitel erarbeitet Rohles Grafiken<br />

mit Adobe Photoshop, man kann den<br />

Inhalt aber durchaus auch mit dem Open-<br />

Source-Programm Gimp nachvollziehen.<br />

Im zweiten Kapitel konzipiert er seine<br />

Beispielwebseite. Methodisch fundiert<br />

bestimmt er die Zielgruppe und bewertet<br />

die resultierenden Design-Ideen in einer<br />

Projektmatrix.<br />

Im folgenden Kapitel beschreibt er die<br />

Anforderungen in Sachen Benutzerfreundlichkeit<br />

an seine Webseite und<br />

bezieht dabei Barrierefreiheit und Responsive<br />

Webdesign mit ein. Im umfanger<br />

sich später bewegt, fertiggestellt, kann<br />

er ihm auch schon die ersten Lebenszeichen<br />

entlocken. Selbst wer kein NXT-<br />

Set besitzt, kann das Programmieren<br />

mit NXC erlernen, denn der Autor Frank<br />

Knefel hat mit Nxcsimulator eine Simulationssoftware<br />

für NXC entwickelt. Der<br />

Simulator ist Teil der Entwicklungsumgebung<br />

Nxceditor und läuft unter <strong>Linux</strong>.<br />

Er umfasst zwar nicht alle Befehle der<br />

Sprache NXC, unterstützt aber die ersten<br />

Programmierversuche und die meisten<br />

Beispiele des Buches.<br />

In sechs äußerst ausführlichen Kapiteln<br />

lernt Roberta mit NXC-Programmen, sich<br />

im Raum zu bewegen, Temperaturen zu<br />

messen, zu fühlen, zu hören, zu sehen,<br />

Musik zu machen, Fußball zu spielen<br />

oder mit ihren Artgenossen zu kommunizieren.<br />

Lösungen für die gestellten Aufgaben<br />

enthält das Buch nicht.<br />

Dieser Band vermittelt sehr anschaulich<br />

die erforderlichen theoretischen<br />

Grundlagen aus Mathematik und Programmierung.<br />

Auch wichtige Größen der<br />

Mess- und Regelungstechnik wie Kraft,<br />

Geschwindigkeit oder Temperatur sind<br />

in Form von Experimenten mit Roberta<br />

spannend dargestellt – Motivation, um<br />

das erworbene Wissen in eigenen Experimenten<br />

zu erproben. Das Buch lädt ein<br />

zu einer faszinierenden Reise in die Welt<br />

der Roboter und der Programmierung –<br />

Erwachsene wie Kinder. (mhu) n<br />

Info<br />

Frank Knefel:<br />

Lego Mindstorms NXT<br />

Open Source Press, 2013<br />

260 Seiten<br />

25 Euro<br />

(E-Book 20 Euro)<br />

ISBN: 978-3-941841-85-7


Forum<br />

www.linux-magazin.de Recht 12/2013<br />

76<br />

Prism, Tempora & Co.: Wer wie, warum und wen abhören darf<br />

Freibrief für Spitzel<br />

Die US-Regierung lagerte sogar die Administration und Überwachung von Geheimdienstrechnern an Dienstleister<br />

aus. Nach nur drei Monaten bekam so der externe Berater Edward Snowden Zugriff auf die NSA-Überwachungsdaten.<br />

Ein Blick auf die rechtlichen Hintergründe der Fernmeldeüberwachung. Markus Feilner<br />

© Wikimedia, Public Domain<br />

Abbildung 1: Echelon, eines der amerikanisch-britischen Abhörprogramme,<br />

hatte Ohren auch im oberbayerischen Bad Aibling, bis die EU es enttarnte.<br />

Richard „Dick“ Cheney hat kürzlich<br />

die Wireless-Schnittstelle seines Herzschrittmachers<br />

deaktivieren lassen [1].<br />

Angeblich aus Angst, ein Hacker könne<br />

das lebenswichtige Helferlein umprogrammieren.<br />

Der Ex-US-Vizepräsident<br />

hat sich während seiner Amtszeit viele<br />

Feinde gemacht. Eine der wesentlichen<br />

„Errungenschaften“ von Cheney war es,<br />

in Regierungsbehörden konsequentes<br />

Outsourcing durchzusetzen, auch in sicherheitskritischen<br />

Zonen, bei Geheimdiensten<br />

und angeschlossenen Bereichen.<br />

Nicht selten bekamen gute Freunde den<br />

Zuschlag. Dass ausgerechnet der Hardliner<br />

Cheney damit den Weg bereitete für<br />

einen der größten Enthüllungsskandale,<br />

entbehrt nicht einer gewissen Komik.<br />

Problemfall Outsourcing<br />

Als Mitte 2013 ein junger <strong>Linux</strong>-Consultant<br />

namens Edward Snowden erst abund<br />

dann auftauchte, erfuhr die US-Öffentlichkeit<br />

wie vermutlich auch weite<br />

Teile der US-Regierung erstmals vom Ausmaß<br />

des Outsourcing, das sowohl nachrichtendienstlich<br />

höchst schützenswerte<br />

Inhalte als auch den<br />

Datenschutz betrifft.<br />

Gerade mal drei Monate<br />

war Snowden<br />

beim Red-Hat-Vorzeigepartner<br />

Booz Allen<br />

Hamilton [2] beschäftigt,<br />

als er Zugriff auf<br />

sensible Daten aus den<br />

weltweiten Quellen<br />

der National Security<br />

Agency (NSA) erhielt.<br />

Derlei Karrieren sind<br />

offenbar nichts Außergewöhnliches:<br />

Externe<br />

Dienstleister brüsten sich damit, innerhalb<br />

weniger Jahre „zuverlässig über vier<br />

Millionen Background-Checks“, also die<br />

nachrichtendienstliche Unbedenklichkeitsprüfung<br />

von Personen, absolviert<br />

zu haben [3].<br />

Die vom Whistleblower via „Guardian“<br />

und „Washington Post“ nach und nach<br />

enthüllten Dokumente legten den technischen<br />

Stand der geheimdienstlichen<br />

Überwachung durch US-Nachrichtendiente<br />

offen. Nach Echelon (Abbildung<br />

1, [4]), den UKUSA- und Five-Eyes-Enthüllungen<br />

2009 [5] konnte allenfalls das<br />

Ausmaß der Überwachung den informierten<br />

Beobachter überraschen.<br />

Bereits vor anderhalb Jahrzehnten hatte<br />

das Europaparlament im Echelon-Sonderausschuss<br />

nachgewiesen, dass die „Five<br />

Eyes“ – das Vereinigte Königreich, die<br />

USA, <strong>Neu</strong>seeland, Australien und Kanada<br />

– gemeinsam Telefonverbindungen, Satellitenkommunikation<br />

und anderes mehr<br />

abgreifen und auch zur Wirtschaftsspionage<br />

nutzen. Auf den weiter unten<br />

beschriebenen Xkeyscore-Folien (Abbildung<br />

2) von 2008 spiegelt sich das in den<br />

Kürzeln der fünf Länder.<br />

Andererseits sind die Prism-Enthüllungen<br />

aber auch ein Dokument des technischen<br />

Fortschritts: Nach dem 9/​11-Terrorschock<br />

hat die Bedeutung der Satellitenkommunikation<br />

dramatisch abgenommen und<br />

spielt nur mehr auf Schiffen oder mit Kabeln<br />

oder Mobilfunk schlecht versorgten<br />

Gebieten (zum Beispiel via Iridium-Satellitentelefon)<br />

eine Rolle. An ihre Stelle<br />

traten die interkontinentalen Übersee-<br />

Glasfaserkabel.<br />

Gleichzeitig nahm die digitale Kommunikation<br />

enorm zu, konsequentes Least-<br />

Cost-Routing lässt heute einzelne Teile<br />

von Datenübertragungen, beispielsweise<br />

Teile von E-Mails, auch mal über andere<br />

Kontinente und somit durch fremde<br />

Rechtsräume laufen. Nicht zuletzt die rapide<br />

Verbreitung von Smartphones, das<br />

sprunghaft gestiegene Datenvolumen vor<br />

allem im mobilen Internet und fortgeschrittene<br />

Auswertungsmethoden (Big<br />

Data) machten neue, konkurrenzfähige<br />

IT-Infrastrukturen notwendig – und dem<br />

trugen die US-Geheimdienste Rechnung.<br />

Anlassbezo­gen: Prism<br />

Auf der rechtlichen Grundlage des FISA-<br />

Gesetz (Foreign Intelligence Surveillance<br />

Act, [6]) und des USA Patriot Act zwingen<br />

die amerikanischen Geheimdienste<br />

die Top-Webkonzerne zur Kooperation.<br />

Zwar dürfen sie nur die Kommunikation<br />

von Nicht-US-Bürgern im Ausland, innerhalb<br />

der USA dagegen nur mit FISA-Genehmigung<br />

(„Home Grown Terrorists“)<br />

ausforschen. Doch nur das Geheimgericht<br />

FISC – das C steht für Court – überwacht<br />

die Einhaltung des FISA.<br />

Im Detail funktioniert das bei Prism so:<br />

Ein Mitarbeiter der NSA stellt einen Antrag,<br />

sein Vorgesetzter prüft ihn. Gibt


Quelle: The Guardian, [8]<br />

Abbildung 2: Edward Snowden leakte die Xkeyscore-Folien an den „Guardian“.<br />

er grünes Licht, dann steht die wie in<br />

Deutschland (SINA-Box) auch ohnehin<br />

vorhandene FBI-Technik beim Provider<br />

bereit und kann die Daten spiegeln. Anbieter<br />

wie Facebook zwingt ein National<br />

Security Letter zu kooperieren und verpflichtet<br />

sie zur Verschwiegenheit gegenüber<br />

dem überwachten Kunden.<br />

Die Inhalte werten dann – so glauben Experten<br />

– ebenfalls automatische Systeme<br />

wie Nucleon (gesprochene Sprache, Kommunikation)<br />

und Marina (Surfverhalten)<br />

aus. Prism ermöglicht also eine automatische,<br />

verdachtsabhängige und komplette,<br />

aber auf eine Person beschränkte Einzelüberwachung.<br />

Erst nach diesem Filter<br />

sichten menschliche Auswerter die von<br />

den Programmen als relevant betrachteten<br />

Inhalte.<br />

Das ganze Prozedere lief im Jahr 2011<br />

117 000-mal ab, wahrscheinlich nur so<br />

vergleichweise selten, weil die Manpower<br />

im letzten Schritt für mehr Überwachung<br />

nicht ausreicht. Allein Facebook hat über<br />

eine Milliarde Mitglieder.<br />

Full Take: Tempora<br />

Ganz anders funktioniert Tempora: Hier<br />

greifen britische Behörden (zusammen<br />

mit US-amerikanischen) an den Knoten<br />

der interkontinentalen Glasfaserkabel die<br />

gesamten Daten der Kommunikation ab<br />

und speichern sie drei Tage lang als Full<br />

Take in einem Fifo-Ringpuffer. Die zugehörigen<br />

Metadaten speichert das GCHQ,<br />

das Hauptquartier der britischen SIGINT-<br />

Aufklärung [7], 30 Tage lang.<br />

An dieser Stelle kommt auch das oben<br />

angesprochene Auswertetool Xkeyscore<br />

ins Spiel. Wie aus den vom Guardian<br />

veröffentlichten Folien<br />

(Abbildung 2, [8])<br />

hervorgeht, können<br />

die Schlapphüte darin<br />

teils lokal, teils global<br />

nach Personen (Strong<br />

Selection) oder Sachverhalten<br />

(Soft Selection)<br />

suchen. Auch<br />

regionale Beschränkungen<br />

sind möglich,<br />

so zum Beispiel die<br />

Frage: „Zeige mir alle<br />

VPN-Verbindungsaufbauten<br />

[SSL-Handshakes]<br />

im Iran!“ – immer<br />

bezogen auf die (Meta-)Daten des<br />

Tempora-Ringpuffers.<br />

Die US-Gesetzgebung ist recht eindeutig<br />

und unterscheidet klar zwischen<br />

US-Bürgern und Nicht-US-Bürgern, wobei<br />

bei der Überwachung der Letzteren<br />

kaum Beschränkungen gelten. Die UN-<br />

Grundrechte-Charta, der Internationale<br />

Pakt für Bürgerliche Freiheiten oder der<br />

UN-Menschenrechtsausschuss schützt<br />

nur auf dem Papier, ähnlich wie Artikel<br />

7 der EU-Charta der Grundrechte. Die ist<br />

zwar seit dem Lissabon-Vertrag (2009)<br />

Gesetz, gilt aber nur für das Handeln der<br />

EU-Organe, oder wenn Mitgliedsstaaten<br />

EU-Recht umsetzen. Großbritannien und<br />

Polen haben sich dem ohnehin durch<br />

Opt-Out entzogen. Für die Fernmeldeüberwachung<br />

durch Nachrichtendienste<br />

und polizeiliche Ermittlungen gilt das jeweils<br />

nationale Recht, die EU bietet also<br />

keinen wirksamen Schutz.<br />

Ja, die dürfen das!<br />

In Deutschland regelt gleich eine ganze<br />

Reihe von Gesetzen die strategische<br />

Fernmelde überwachung: Militärischer-<br />

Abschirmdienst-Gesetz (MADG), Verfassungsschutzgesetz<br />

(VerfSchG), Bundesnachrichtendienstgesetz<br />

(BNDG) und<br />

vor allem das Artikel-10-Gesetz [9], kurz<br />

G-10. In dessen 18 Paragrafen finden sich<br />

detaillierte Vorgaben, die gar nicht so weit<br />

von denen des FISA entfernt liegen.<br />

So wird beispielsweise nach § 17 mit bis<br />

zu zwei Jahren bestraft, wer etwa als Provider<br />

einem Überwachten mitteilt, dass<br />

der BND gerade seine Daten abschnorchelt.<br />

Der § 3 regelt die Voraussetzungen,<br />

also den Katalog der Sachverhalte, die die<br />

Überwachung durch den Geheimdienst<br />

rechtfertigen. § 3b beschreibt den Umgang<br />

mit Zeugnisverweigerungs-Berechtigten,<br />

§ 15 die Funktion der so genannten<br />

G-10-Kommission, deren Zustimmung<br />

zum Abhören notwendig ist.<br />

Auch die Polizei überwacht<br />

Neben der Tätigkeit der Geheimdienste,<br />

die auch in Deutschland im Zuge des Terrorismus-Bekämpfungsgesetzes<br />

deutlich<br />

mehr politisches Gewicht bekam, gibt es<br />

natürlich Überwachungsmaßnahmen, die<br />

direkt der Verbrechensbekämpfung dienen.<br />

Auch die Polizei darf überwachen,<br />

Daten abgreifen und mehr – sie braucht<br />

dafür jedoch immer einen richterlichen<br />

Beschluss. Den gibt es zwar nur in einem<br />

eng umgrenzten Rahmen von Straftaten,<br />

allerdings sehr häufig bis zu drei Tage<br />

nachträglich.<br />

Die Details regelt der § 100a StPO. Doch<br />

änderte sich hier in den vergangenen Jahren<br />

einiges, nicht erst seit den Novellen<br />

des Telekommunikationsgesetz (§ 113<br />

TKG), dem Terrorismusbekämpfungsgesetz<br />

(„Otto-Katalog“), den <strong>Neu</strong>erungen<br />

des Thüringer Polizeigesetzes oder dem<br />

Hin und Her um eine Vorratsdatenspeicherung<br />

und den entsprechenden Urteilen<br />

des Bundesverfassungsgerichtes. n<br />

Infos<br />

[1] Cheney deaktiviert Herzschrittmacher:<br />

[http:// nation. time. com/ 2013/ 10/ 19/ cheney<br />

‐feared‐terrorists‐could‐hack‐his‐heart/]<br />

[2] Booz Allen Hamilton: [http:// www.​<br />

theguardian. com/ world/ 2013/ jun/ 09/<br />

booz‐allen‐hamilton‐edward‐snowden]<br />

[3] Snowden und das Outsourcing: [http://​<br />

www. huffingtonpost. com/ 2013/ 07/ 06/​<br />

edward‐snowden‐case_n_3554665. html]<br />

[4] Echelon:<br />

[http:// de. wikipedia. org/ wiki/ Echelon]<br />

[5] UKUSA-Vereinbarung, „Five Eyes“: [http://​<br />

de. wikipedia. org/ wiki/ UKUSA‐Vereinbarung]<br />

[6] Hintergründe zu Patriot Act, FISC und FISA:<br />

[http:// epic. org/ privacy/ terrorism/]<br />

[7] GCHQ: [http://www. gchq. gov. uk]<br />

[8] Xkeyscore-Folien beim Guardian:<br />

[http:// www. theguardian. com/ world/​<br />

interactive/ 2013/ jul/ 31/ nsa‐xkeyscore<br />

‐program‐full‐presentation]<br />

[9] G-10-Gesetz: [http:// www.​<br />

gesetze‐im‐internet. de/ g10_2001/]<br />

Recht 12/2013<br />

Forum<br />

www.linux-magazin.de<br />

77


Forum<br />

www.linux-magazin.de Abhörsicherheit 12/2013<br />

78<br />

Gastkommentar: Abhörsicherheit<br />

Kein Freizeichen<br />

Allerspätestens seit Ed Snowden ist klar, dass Geheimdienste – und wer weiß, wer sonst noch – IP-Telefonate<br />

abhören. <strong>Magazin</strong>-Autor Eitel Dignatz wundert sich, wie wenige Firmen Maßnahmen dagegen ergreifen, und<br />

streut zugleich Sand ins ratternde Offener-Quellcode-ist-sicher-Getriebe. Eitel Dignatz<br />

© Amy Walters, 123RF.com<br />

Edward Snowden verdanken wir viele Erkenntnisse,<br />

darunter die, dass es Geheimdiensten<br />

nicht nur um Terroristenhatz<br />

geht, sondern auch um das wirtschaftliche<br />

Wohlergehen des eigenen Landes,<br />

vulgo: Wirtschaftsspionage. Wie reagieren?<br />

E-Mails zu verschlüsseln ist kein<br />

Problem der Technik, eher der Disziplin.<br />

Abhörsichere Telefonie dagegen erweist<br />

sich in der Praxis als Herausforderung, da<br />

man die technische Umgebung und das<br />

Verhalten seines Telefonierpartners nicht<br />

unter Kontrolle hat.<br />

Formal kann das verbreitete Video-, Telefonie-<br />

und Chatprogramm Skype die Lösung<br />

bringen, da es augenscheinlich die<br />

Verbindungen verschlüsselt und Inhalte<br />

vor fremden Ohren und Augen schützt.<br />

Ein wichtiges Argument für die Entwicklung<br />

des so genannten Bundestrojaners<br />

war, dass sich selbst Geheimdienste an<br />

Skype-Verbindungen die Zähne ausbeißen<br />

würden und deshalb gewungen seien, die<br />

Endgeräte zu verwanzen.<br />

Doch weit gefehlt: Im Mai 2013, also<br />

schon vor Snowdens Enthüllungen,<br />

kam ans Licht, dass der Skype-Besitzer<br />

Microsoft serienmäßig Skype-Chats<br />

auswertet [1]. Warum<br />

sollte ausgerechnet die<br />

Telefoniefunktion unangetastet<br />

bleiben, zumal<br />

Menschen vertrauliche<br />

Angelegeneheiten<br />

lieber per Telefon bereden<br />

als im Chat?<br />

Einmal unter Verdacht,<br />

gerät Microsofts per<br />

SRTP und TLS formal<br />

ebenfalls gut geschütztes<br />

Businesskonferenzund<br />

Telefoniewerkzeug<br />

Lync gleich mit in Verdacht.<br />

Was kann eine Firma tun, um Vertrauliches<br />

am Telefon zu besprechen?<br />

SIP, RTP und IAX2 über VPN<br />

Erfreulicherweise ist wenigstens für Telefonate<br />

innerhalb eines Unternehmens die<br />

Lösung vergleichsweise schnell gefunden:<br />

Wer Asterisk benutzt und VoIP-Verbindungen<br />

zwischen seinen Standorten per<br />

Open VPN tunnelt, muss sich einerseits<br />

nicht mit SRTP, SIPS und dergleichen herumschlagen.<br />

Er darf andererseits auch<br />

mobile Geräte ohne SRTP- und SIPS-fähige<br />

Clients einbeziehen oder das Trunking<br />

verteilter Asterisk-Server per IAX2-<br />

Protokoll (Inter-Asterisk Exchange 2)<br />

sicher realisieren. Der Open-VPN-Tunnel<br />

erledigt die Verschlüsselung. Umso mehr<br />

überrascht es, wie wenige Unternehmen<br />

davon Gebrauch machen.<br />

Die Vertraulichkeit bleibt allerdings nur<br />

gewährleistet, so lange jeder Gesprächsteilnehmer<br />

einen Tunnel benutzt. Kommt<br />

auch nur ein einziger per ISDN- oder<br />

VoIP-Provider vermittelter Teilnehmer<br />

zu einer Telefonkonferenz hinzu, dann<br />

werden auch die Gesprächsbeiträge aller<br />

anderen Teilnehmer kompromittierbar.<br />

Gleiches gilt bei Dect-Telefonen und zu<br />

Handys weitergeleiteten Gesprächen.<br />

Thompsons Warnung<br />

Können Anwender, die Skype und andere<br />

proprietäre Software meiden, denn <strong>Linux</strong>,<br />

Open VPN und Asterisk vertrauen? Sie<br />

dürfen ja den Quellcode inspizieren und<br />

selbst kompilieren. Ken Thompson, einer<br />

der beiden Unix-Väter, zeigte 1984 – drei<br />

Jahrzehnte vor Snowden – einen Weg, um<br />

einen Compiler mit Schadcode zu versehen<br />

[2]. Das Perfide: Wer mit dem Compiler-Binary<br />

den Sourcecode eines Compilers<br />

ohne Schadcode übersetzt, erzeugt<br />

wieder ein Binary, das den ursprünglichen<br />

Schadcode propagiert.<br />

Thompsons Fazit: Niemand kann Code<br />

vertrauen, den er nicht in Gänze selbst<br />

geschrieben hat. Ironisch fügt er hinzu:<br />

„Vor allem keinem Code von Firmen, die<br />

Leute wie mich beschäftigen.“ – Derzeit<br />

arbeitet Thompson für Google. (jk) n<br />

Infos<br />

[1] Vorsicht beim Skypen – Microsoft liest mit:<br />

[http:// www. heise. de/ security/ meldung/<br />

Vorsicht‐beim‐Skypen‐Microsoft‐liest‐mit<br />

‐1857620. html]<br />

[2] Ken Thompson, „Reflections on Trusting<br />

Trust“: [http:// cm. bell‐labs. com/ who/ ken/​<br />

trust. html]<br />

Der Autor<br />

Eitel Dignatz hat gut 30<br />

Jahre Unix im Blut und ist<br />

Unternehmensberater und<br />

Inhaber von Dignatz Consulting,<br />

München [http:// www.​<br />

dignatz. de/ spot465].


Forum<br />

www.linux-magazin.de Leserbriefe 12/2013<br />

80<br />

Auf den Punkt gebracht<br />

Leserbriefe<br />

Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-­magazin.­de].<br />

Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit<br />

Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.<br />

Apt-Interna<br />

09/​13, S. 30: Zum Artikel über Apt habe<br />

ich noch eine Frage. Ich habe gehört,<br />

dass Debian alle Updates in einem lokalen<br />

Verzeichnis speichert. Angenommen<br />

ich möchte ein altes Debian nach vielen<br />

Jahren wieder von einer DVD installieren,<br />

auf die ich das Cache-Verzeichnis<br />

nach dem letztem Update gesichert hatte.<br />

Wie kann ich dann ohne Internetverbindung<br />

die lokal gespeicherten Updates<br />

installieren?<br />

Harry Buntz, per Mail<br />

Alleine mit Apt und ohne weitere Tools ist<br />

das zwar möglich, erfordert aber einige<br />

manuelle Schritte. Von dem alten System<br />

müssen Sie die Dateien »/etc/apt/sources.<br />

list«, »/apt/apt/sources.list.d/*«, »/etc/<br />

apt/preferences«, »/var/lib/apt/lists/*« sowie<br />

»/var/cache/apt/archives/*« auf das<br />

neue kopieren. Danach genügt »apt‐get<br />

dist‐upgrade« als Root, um das System<br />

aus dem Cache zu aktualisieren.<br />

Dazu müssen die Debian-Pakete als Dateien<br />

in »/var/cache/apt/archives« vollständig<br />

vorhanden sein. In der Regel ist<br />

das aber nicht der Fall, da ein Cronjob<br />

dort regelmäßig aufräumt. Außerdem<br />

gehen bei der Installation von DVD die<br />

Informationen über zusätzliche Pakete<br />

verloren. Mit Zusatztools wie »apt‐clone«<br />

kann man diese Daten aber sichern und<br />

wiederherstellen. (Michael Vogt)<br />

Datenschutz beim Sportfest<br />

09/​13, S. 80: Ich denke, im „Rechtsrat“<br />

zur Sportvereins-Website ist Ihnen<br />

ein kleiner Fehler unterlaufen. Ich gehe<br />

davon aus, dass ein Sportfest eine öffentliche<br />

Veranstaltung ist. Das Kunst-<br />

UrhG besagt in Paragraf 23, 1.3, dass<br />

Bilder „von Versammlungen, Aufzügen<br />

und ähnlichen Vorgängen, an denen die<br />

dargestellten Personen teilgenommen haben“<br />

nicht der nach Paragraf 22 erforderlichen<br />

Einwilligung bedürfen. Wichtig ist,<br />

dass der Betreffende nicht als Individuum<br />

herausgestellt, sondern als Mitglied der<br />

Gruppe oder Teilnehmer der Veranstaltung<br />

abgebildet wird. Zu berücksichtigen<br />

ist zudem das Persönlichkeitsrecht, das<br />

die Veröffentlichung von entstellenden,<br />

die Würde der Person verletzenden Abbildungen<br />

nicht zulässt.<br />

Eine im Zusammenhang mit der Veranstaltung<br />

stehende Berichterstattung<br />

mit einem Porträt des Siegers ist meiner<br />

Meinung nach auch zulässig, da es sich<br />

dann um eine relative Person der Zeitgeschichte<br />

handelt (Paragraf 23, 1.1).<br />

Oliver Tong, per E-Mail<br />

Datei-Details<br />

10/​13, S. 52: Im Artikel über die Ext-FS-<br />

Familie habe ich einen Fehler ausgemacht.<br />

Bei den drei Zeitstempeln handelt es sich<br />

um Aktualisierung (Access), Änderung<br />

des Inhalts (Modify) und Änderung der<br />

Attribute (Change). Das Verwechseln<br />

liegt jedoch nahe – einerseits weil die Abkürzung<br />

Ctime einem das „create“ aufdrängt,<br />

andererseits weil es nicht leicht<br />

ist, „change“ und „modify“ differenziert<br />

ins Deutsche zu übersetzen.<br />

Wenn jemand den Inhalt einer Datei modifiziert,<br />

ändert sich die Mtime und, da<br />

diese im Inode gespeichert ist, zeitgleich<br />

die Ctime. Letztere aktualisiert sich, wenn<br />

etwa der Besitz oder die Berechtigungen<br />

einer Datei geändert werden.<br />

Ein Detail am Rande: Das Umbenennen<br />

einer Datei ändert nicht die Ctime der<br />

Datei, sondern die des Verzeichnisses,<br />

in dem sie liegt, da der Name dort gespeichert<br />

ist. Eine Datei weiß also nicht<br />

selbst, wie sie heißt.<br />

Christian Rusa, per E-Mail<br />

Sie haben vollkommen Recht, die Darstellung<br />

im Heft ist mindestens unglücklich.<br />

Ihre Randbemerkung ist sehr amüsant,<br />

aber sind Sie sich sicher, dass nicht noch<br />

weitere Zeitstempel im Spiel sind? Meine<br />

Tests zeigen: Beim Verzeichnis ändern sich<br />

Mtime und Ctime, bei der Datei auch die<br />

Ctime. Ersteres ist auch sofort verständlich.<br />

Das Umbenennen einer Datei verändert<br />

den Inhalt des Verzeichnisses und<br />

erfordert die Aktualisierung des Modify-<br />

Zeitstempels. Dieser triggert dann erst die<br />

Änderung der Ctime.<br />

Es gibt übrigens ein Gegenstück zu Ihrer<br />

Bemerkung, wenn man sich die klassischen<br />

Unix-Berechtigungen ansieht: Eine<br />

Datei kann sich nicht selbst vor dem Löschen<br />

schützen – das kann nur das enthaltende<br />

Verzeichnis. (Udo Seidel)<br />

Web-Reifeprüfung<br />

11/​13, S. 39: Mein Kompliment für das<br />

Wettrennen der Weblösungen. Nach langem<br />

Vergleich von Frameworks sind wir<br />

vor etwa zwei Jahren glücklich in den<br />

Django-Hafen eingelaufen. Aus dem Artikel<br />

von Sven Schannak konnten wir<br />

einige Anregungen holen und sind hundertprozentig<br />

auf seiner Linie.<br />

„Geschmacklich“ garnieren wir Django<br />

aber viel mit Jquery und vermehrt mit<br />

Dojo, das seit Version 1.9 deutlich an<br />

Qualität zugelegt hat, weil die Templates<br />

alleine nicht schick genug aussehen.<br />

Harald Sichert, Myvision IT-Management,<br />

per E-Mail<br />

n


Hardware<br />

www.linux-magazin.de Xeon Phi 12/2013<br />

82<br />

Intels Tesla-Alternative<br />

Kern-Kraftwerk<br />

Mit der Beschleunigerkarte Xeon Phi geht Intel einen Sonderweg: Anstelle einer GPU rechnen auf dem Coprozessor<br />

zahlreiche CPU-Kerne, was die Programmierung erleichtert. Anselm Busse, Jan Richling<br />

Xeon-Phi-Karte vor und erklärt, was sie<br />

anders macht als die GPUs.<br />

Von Single- zu Manycore<br />

subbotina, 123RF<br />

Im Bereich des Hochleistungsrechnens<br />

setzen in den letzten Jahren immer mehr<br />

Anwender auf GPU-Computing. Anstelle<br />

von CPUs rechnen dabei ein oder mehrere<br />

GPUs an einem umfangreichen Problem.<br />

Die zu bearbeitenden Daten kopiert<br />

ein Hostrechner in den Speicher der Grafikkarte,<br />

die sie prozessiert und wieder<br />

zurückschickt.<br />

Davon profitieren vor allem Anwendungen,<br />

die immer gleiche Operationen auf<br />

eine große Datenmenge anwenden. Eine<br />

GPU spielt hier ihre Stärke aus, da sich<br />

ihre zahlreichen (zum Teil über 1000) Recheneinheiten<br />

jeweils ein Datenelement<br />

vornehmen. So verarbeiten GPUs Daten<br />

um Größenordnungen schneller und<br />

energieeffizienter als CPUs. Bestimmte<br />

Anwendungen erscheinen daher nur<br />

noch mit GPU-Unterstützung sinnvoll –<br />

das Minen von Bitcoins etwa.<br />

Dieser Leistungsvorsprung hat seinen<br />

Preis beim zusätzlichen Entwicklungsaufwand.<br />

Das Programmiermodell und<br />

somit das Prozedere beim Erstellen von<br />

Programmen unterscheidet sich fundamental<br />

von dem für CPUs. Daher lassen<br />

sich bestehende Programme nicht direkt<br />

für GPUs migrieren, ihre Programmierer<br />

müssen sich umstellen. Open CL versucht<br />

zwar möglichst viele dieser Unterschiede<br />

vor den Entwicklern zu verbergen und<br />

zu abstrahieren, das gelingt jedoch nicht<br />

vollständig.<br />

Unter anderem aus diesem Grund sucht<br />

Intel nach einem eigenen Weg und bietet<br />

hierfür seit Anfang des Jahres die<br />

Beschleunigerkarte Xeon Phi an, die auf<br />

x86-Technik basiert. Aufmerksamkeit<br />

erregte die Karte in den vergangenen<br />

Monaten vor allem deshalb, weil der<br />

zurzeit schnellste Supercomputer – der<br />

Tianhe-2 [1] – sie massiv einsetzt: 48 000<br />

Xeon-Phi-Karten sind darin verbaut. Damit<br />

toppt er den bis dahin schnellsten<br />

GPU-basierten Supercomputer, den Titan<br />

von Cray [2], indem er fast die doppelte<br />

Rohleistung bringt. Der Artikel stellt die<br />

Im Jahr 2005 geriet Intel mit der Netburst-Mikroarchitektur<br />

in eine Sackgasse<br />

und begrub das Jahrzehnte alte Dogma,<br />

die Leistung im wesentlichen über Taktraten<br />

zu steigern. Seitdem erhöht die<br />

Firma die Leistung ihrer Chipsätze trotz<br />

nur moderat steigender Taktraten, indem<br />

sie die Mikroarchitektur verbessert und<br />

auf Multicore-Architekturen setzt.<br />

Das aber verlangt von den Entwicklern<br />

ein Umdenken: Um von dem Mehr an<br />

Prozessorleistung zu profitieren, müssen<br />

sie ihre Programme erst an die Multicore-<br />

Systeme anpassen. Intels Tera-Scale-Programm<br />

trägt dem Rechnung, indem es<br />

neben zukünftigen Multicore- vor allem<br />

Manycore-Architekturen untersucht und<br />

Programmiermethoden sowie Modelle für<br />

diese entwickelt.<br />

Polaris und SCC<br />

Als erstes Resultat des Forschungsprogramms<br />

stellte Intel 2007 neue Hardware<br />

vor: den Teraflops Research Chip, auch<br />

Polaris genannt. Er besitzt 80 Kerne und<br />

erreicht eine Leistung von 19,4 Gigaflops<br />

pro Watt bei einer Gesamtleistung von<br />

400 Gigaflops [3]. Ein Gigaflop entspricht<br />

dabei einer Gleitkommaberechnung pro<br />

Milliardstelsekunde. Zum Vergleich: Ein<br />

damals aktueller Core-2-Quad-Prozessor<br />

schaffte lediglich 0,9 Gigaflops pro Watt<br />

bei 85 Gigaflops.<br />

Der Polaris war jedoch aufgrund seiner<br />

Architektur nur äußerst schwer zu programmieren<br />

und wurde nie als kommerzielles<br />

Produkt verfügbar – lediglich fünf<br />

Personen schrieben zu Forschungszwe-


GDDR 5<br />

GDDR 5<br />

GDDR 5<br />

GDDR 5<br />

GDDR 5<br />

PCIe-IO<br />

GDDR-<br />

IO<br />

cken jemals Software für den Chip. Im<br />

nächsten Schritt entwickelte Intel den<br />

Singlechip Cloud Computer (SCC, Codename<br />

Rock Creek). Der Prozessor brachte<br />

48 Kerne mit (24 Einheiten mit je zwei<br />

Kernen), die weitgehend identisch mit<br />

den Kernen der Pentium-S-Prozessoren<br />

waren und untereinander über ein Hochgeschwindigkeits-Verbindungsnetzwerk<br />

sowie vier DDR-3-Speicherkanäle kommunizierten.<br />

Anders als beim Polaris<br />

stellte Intel einige Hundert SCC her und<br />

verteilte sie auch an Forschungseinrichtungen<br />

weltweit.<br />

Neben seinem Einsatz als Cluster auf<br />

einem Chip war insbesondere der Umgang<br />

mit Betriebssystemen speziell: Der<br />

SCC konnte auf jedem der 48 Kerne eine<br />

eigene <strong>Linux</strong>-Instanz booten. Der Einsatz<br />

als 48-Kern-Maschine unter einer<br />

Betriebssysteminstanz scheiterte vor allem<br />

daran, dass der SCC keine Cache-<br />

Kohärenz in Hardware sicherstellte, wie<br />

es aktuelle Prozessoren gewöhnlich tun.<br />

Änderungen im Cache eines Kerns landeten<br />

nicht automatisch in den Zwischenspeichern<br />

der anderen Kerne. Daher erforderte<br />

eine effiziente Nutzung ein anderes<br />

Programmierkonzept und weitreichende<br />

Anpassungen am Betriebssystem – oder<br />

gleich ein spezielles Betriebssystem.<br />

Larrabees Erbe<br />

PCIe Client<br />

Logic<br />

GDDR-MC<br />

GDDR-MC<br />

Core<br />

L2<br />

TD<br />

TD<br />

L2<br />

Core<br />

Core<br />

L2<br />

TD<br />

TD<br />

L2<br />

Core<br />

Core<br />

L2<br />

TD<br />

TD<br />

L2<br />

Core<br />

Parallel zum Tera-Scale-Programm versuchte<br />

Intel seit 2007 unter dem Codename<br />

Larrabee eine eigene leistungsfähige<br />

GPU zu entwickeln, um in den Markt der<br />

diskreten Grafikkarten einzusteigen. Anders<br />

als im Bereich der GPUs üblich sollte<br />

Larrabee nicht aus vielen Spezialrecheneinheiten<br />

bestehen, sondern aus zahlreichen<br />

modifizierten Pentium-Prozessoren<br />

(P54C), die x86-Code ausführen.<br />

Die erste Larrabee-Generation schaffte es<br />

nie zur Marktreife, weil sie vermutlich<br />

nicht mit der Konkurrenz von Nvidia und<br />

AMD/​ATI mithalten konnte. Mit den Erfahrungen<br />

aus dem Tera-Scale-Programm<br />

entschloss sich Intel zwar das Larrabee-<br />

Projekt fortzusetzen, aber die Hardware<br />

in Form einer Beschleunigerkarte für den<br />

HPC-Bereich auf den Markt zu bringen,<br />

in Konkurrenz etwa zu den Tesla-Grafikprozessoren<br />

von Nvidia.<br />

Unter der Bezeichnung Knights Ferry gingen<br />

zunächst Prototypen an Forschungseinrichtungen,<br />

um die Verwendbarkeit<br />

der Karte als Rechenbeschleuniger zu<br />

prüfen. Dies mündete in einer Beschleunigerkarte<br />

mit dem Codenamen Knights<br />

Corner, die seit Anfang 2013 als Xeon Phi<br />

kommerziell vertrieben wird.<br />

Architektur<br />

Core<br />

L2<br />

TD<br />

TD<br />

L2<br />

Core<br />

TD = Tag Directory<br />

GDDR-MC<br />

GDDR-MC<br />

Abbildung 1: Ein Ringbus verbindet die Kerne untereinander, ein weiterer bindet sie an das PCIe-Interface.<br />

Die Xeon Phi ist als PCI-Express-Karte<br />

in mehreren Konfigurationen erhältlich,<br />

die sich in der Anzahl der Kerne (57, 60<br />

oder 61), im Speicherausbau (6, 8 oder 16<br />

GByte), in der Taktrate (1053, 1100 oder<br />

1238 MHz) sowie im Kühlkonzept (aktiv<br />

oder passiv) unterscheiden [4].<br />

Die grundsätzliche Architektur ist bei<br />

allen Karten gleich: Die CPU-Kerne basieren<br />

– wie bei Larrabee und dem SCC –<br />

auf denen der ersten Pentium-Generation<br />

(P54C). Intel hat sie aber um 64-Bit- und<br />

GDDR-<br />

IO<br />

GDDR 5<br />

GDDR 5<br />

GDDR 5<br />

GDDR 5<br />

GDDR 5<br />

Floating-Point-Instruktionen<br />

(x87) sowie um<br />

eine Vektoreinheit mit<br />

32 Registern (512 Bit<br />

Breite) erweitert. Mit<br />

Letzterer lassen sich<br />

bis zu 16 Single-Precision-Gleitkommazahlen<br />

oder 32-Bit-Integer<br />

parallel verarbeiten.<br />

Zusätzlich ist jeder<br />

Kern vierfach multithreaded,<br />

womit eine<br />

Xeon Phi der 7100er<br />

Reihe bei 61 Kernen<br />

bis zu 244 Threads<br />

zeitgleich ausführen<br />

kann.<br />

Die Kerne stellen jeweils einen 64-KByte-<br />

L1-Cache und einen 512-KByte-L2-Cache<br />

bereit und sind durch einen Ringbus miteinander<br />

verbunden. Anders als bei den<br />

meisten Multicore-Prozessoren fehlt ein<br />

geteilter Cache zwischen den Kernen,<br />

dafür gibt es, im Gegensatz zum SCC,<br />

Hardware-seitige Cache-Kohärenz. Bis zu<br />

acht GDDR-5-Speicher-Controller verbinden<br />

den Speicher über je zwei Kanäle<br />

mit dem Ringbus (Abbildung 1), an dem<br />

auch das PCIe-Interface hängt.<br />

Auf der Xeon-Phi-Beschleunigerkarte befindet<br />

sich neben dem Prozessor und dem<br />

Speicher auch Sensorik zum Überwachen<br />

von Temperatur und Stromverbrauch. Ein<br />

System Management Controller macht<br />

diese sowohl dem Xeon-Phi-Prozessor als<br />

auch dem Hostsystem zugänglich. Über<br />

den Controller lässt sich der Prozessor<br />

steuern, um so zum Beispiel einen <strong>Neu</strong>start<br />

der Karte zu erzwingen.<br />

Weil die Karte ansonsten keine weiteren<br />

Ein- und Ausgabemöglichkeiten besitzt,<br />

müssen alle Daten über die PCIe-<br />

Schnittstelle und somit über den PCIeund<br />

System-Management-Bus fließen.<br />

Physisch verfügt die Karte ungefähr über<br />

die Dimension (und den entsprechenden<br />

Kühlkörper) einer Hochleistungsgrafikkarte<br />

ohne Monitorausgänge und lässt<br />

sich am ehesten mit einer Nvidia-Tesla-<br />

Karte vergleichen.<br />

Betriebssystem<br />

Da die Xeon Phi über vollwertige CPU-<br />

Kerne und nicht nur über hochoptimierte<br />

Spezialrecheneinheiten verfügt, lässt sich<br />

Xeon Phi 12/2013<br />

Hardware<br />

www.linux-magazin.de<br />

83


Hardware<br />

www.linux-magazin.de Xeon Phi 12/2013<br />

84<br />

auf ihr ein eigenes Betriebssystem<br />

betreiben. Intel nutzt diese<br />

Möglichkeit, um die Ressourcen<br />

der Karte zu verwalten und die<br />

Software-Entwicklung zu vereinfachen.<br />

Beim Booten des Hostrechners<br />

taucht die Xeon Phi zunächst<br />

als gewöhnliches PCIe-Gerät<br />

auf, der Prozessor der Karte ist<br />

inaktiv. Um die Karte zu aktivieren,<br />

lädt der Nutzer nun ein<br />

Initrd-Image mit einkompilierter<br />

Busybox in ihren Speicher.<br />

Dabei hilft ihm der System Management<br />

Controller des Hostsystems.<br />

Der eingesetzte <strong>Linux</strong>-Kernel<br />

unterscheidet sich nur wenig<br />

von einem gewöhnlichen<br />

x86-Kernel, seine Anpassungen<br />

sind etwa mit denen eines<br />

ARM-Image für eine andere<br />

ARM-Plattform vergleichbar. Ist<br />

das Image übertragen, wird der<br />

Prozessor gestartet und somit<br />

das <strong>Linux</strong> auf der Karte zum<br />

ersten Mal gebootet. Als Root-<br />

Datei system verwendet der Coprozessor<br />

entweder direkt die<br />

Initrd oder lädt ein Dateisystem vom<br />

Hostrechner in den Speicher der Karte<br />

oder holt es sich per NFS.<br />

Datenaustausch<br />

Da die Karte nur über die PCIe-Schnittstelle<br />

mit der Außenwelt kommuniziert,<br />

stellt sich die Frage, wie sie die Kommunikation<br />

mit dem Hostrechner und anderen<br />

Komponenten umsetzt. Prinzipiell<br />

erlaubt der PCIe-Bus, dass das Hostsystem<br />

Daten in den Speicher einer Erweiterungskarte<br />

schreibt. Umgekehrt dürfen<br />

Erweiterungskarten auch in den Speicher<br />

des Hostrechners schreiben. Dies wäre<br />

aber für den Anwendungsprogrammierer<br />

äußerst umständlich, da ein solcher<br />

Low-Level-Datentransfer meist nur auf<br />

Treiberebene stattfindet.<br />

Aus diesem Grund stellt Intel das Symmetric<br />

Communications Interface (SCIF)<br />

zur Verfügung, eine Bibliothek, die eine<br />

einfach zu nutzende Schnittstelle für den<br />

Low-Level-Speichertransfer mitbringt. Es<br />

bildet die effizienteste Möglichkeit, Daten<br />

zwischen Hostrechner und Xeon Phi<br />

TCP<br />

Host<br />

Tools & Apps<br />

Sockets<br />

Virtual Ethernet<br />

<strong>Linux</strong>-Kernel<br />

IP<br />

User - SCIF<br />

UDP<br />

Host SCIF Driver<br />

KNX Host Driver<br />

PCI Express<br />

<strong>Linux</strong>-Distrib<br />

Modified <strong>Linux</strong><br />

Legend<br />

auszutauschen, sie kommt auch bei der<br />

oben beschriebenen Startmethode zum<br />

Übertragen des Root-Dateisystems in den<br />

Speicher der Karte zum Einsatz.<br />

Netzwerk via Virtio<br />

User - SCIF<br />

UDP<br />

Xeon Phi<br />

Tools & Apps<br />

Sockets<br />

Virtual Ethernet<br />

SCIF Driver<br />

/proc/sysfs<br />

<strong>Linux</strong>-Kernel<br />

Abbildung 2: Mit Hilfe virtueller Ethernet-Schnittstellen lässt sich die<br />

Beschleunigerkarte in das lokale Netzwerk integrieren.<br />

Intel hat noch weitere Mechanismen<br />

für den Datenaustausch implementiert.<br />

Den wichtigsten bindet die Karte in ein<br />

Netzwerk ein, da die Xeon-Phi-Plattform<br />

keinen eigenen Netzwerkzugang besitzt.<br />

Hierfür nutzt Intel unter anderem das<br />

Virtio-Framework [5]. Es stellt sowohl<br />

im Hostsystem als auch im Betriebssystem<br />

der Karte virtuelle Ethernet-Schnittstellen<br />

bereit. Statt über ein Kabel wandern<br />

die Daten über den PCIe-Bus. <strong>Linux</strong><br />

als Host-Betriebssystem bindet dann<br />

in der bekannten Manier die virtuelle<br />

Ethernet-Schnittstelle an eine physische<br />

Schnittstelle und integriert sie ins lokale<br />

Netzwerk (Abbildung 2).<br />

Nach dem gleichen Prinzip hat Intel eine<br />

virtuelle serielle Schnittstelle und ein virtuelles<br />

Blockgerät implementiert. Erstere<br />

soll das Bootlog, Debugmeldungen und<br />

IP<br />

TCP<br />

ähnliche Statusinformationen<br />

an den Hostrechner übertragen.<br />

Das Blockgerät ist eigentlich<br />

dazu gedacht, dem <strong>Linux</strong> auf<br />

der Karte Auslagerungsspeicher<br />

(Swap) zur Verfügung zu stellen.<br />

Passt der Entwickler die<br />

von Intel gelieferten Initskripte<br />

aber entsprechend an, liefert es<br />

auch ein Root-Dateisystem und<br />

schafft so quasi eine vierte Option<br />

zum Starten der Karte.<br />

Übersetzungsproblem<br />

Xeon-Phi-Entwicklern dürften<br />

sich vor allem zwei Fragen<br />

stellen: Sind besondere Schritte<br />

zum Übersetzen des Quelltextes<br />

auf der Karte notwendig? Wie<br />

lassen sich ihre Ressourcen effizient<br />

nutzen?<br />

Laut Intels Marketingaussagen<br />

dürfte sich das erste Problem<br />

nicht stellen, da die Xeon Phi<br />

ja aus x86-Kernen besteht. Die<br />

allerdings unterscheiden sich<br />

zum Teil signifikant von denen<br />

in herkömmlichen x86-Prozessoren.<br />

Das betrifft die Vektoreinheiten<br />

und die zugehörigen Register.<br />

Zudem fehlen den Kernen sämtliche Erweiterungen<br />

seit MMX. Somit können<br />

sie weder mit MMX-, SSE- oder AVX-<br />

Instruktionen umgehen, noch besitzen<br />

sie die mit diesen Instruktionssätzen eingeführten<br />

Register.<br />

Das ist problematisch, weil sowohl Intel<br />

als auch AMD seit Einführung des MMX-<br />

Befehlssatzes empfehlen, diesen oder<br />

seine Nachfolger für Gleitkommazahlen-<br />

Berechnungen zu nutzen und zugleich die<br />

Berechnung über eine x87-Einheit nicht<br />

mehr unterstützen. Da die Beschleunigerkarte<br />

jedoch nur die x87-Befehle versteht,<br />

muss der Entwickler beim Übersetzen<br />

darauf Rücksicht nehmen.<br />

Das ist einer der Gründe, warum sich etwa<br />

eine GNU-Toolchain nicht ohne Weiteres<br />

einsetzen lässt. Intel hat zwar sowohl ein<br />

Patch für den GNU Assembler als auch<br />

für den GNU GCC Compiler entwickelt,<br />

um Software für die Xeon-Phi-Karte zu<br />

übersetzen. Letzterer fehlt aber leider<br />

die Unterstützung für die Vektoreinheit,<br />

da hierfür beim Übersetzen weiter reichende<br />

Optimierungen notwendig wären.


Um auch diese zu verwenden, muss der<br />

Entwickler derzeit zu einem proprietären<br />

Compiler von Intel greifen [6].<br />

Um die Rechenleistung der Karte voll<br />

auszunutzen, stehen mehrere Möglichkeiten<br />

offen. Da es sich bei der Karte<br />

um ein eigenständiges System mit <strong>Linux</strong><br />

als Betriebssystem handelt, das lediglich<br />

die Ressourcen des Hostrechners zur Einund<br />

Ausgabe benötigt, lassen sich auf<br />

ihr Programme wie auf jedem Rechner<br />

ausführen. Ein Programmierer kann also<br />

die üblichen Methoden wie etwa Posix-<br />

Threads oder Open MP nutzen, um parallelisierte<br />

Programme zu schreiben und<br />

auszuführen (Abbildung 3).<br />

Allerdings sollte er dabei beachten, dass<br />

die Maschine für die Anzahl der Kerne<br />

relativ wenig Hauptspeicher besitzt. So<br />

stehen bei einer Karte der 5100er Reihe<br />

für jeden Thread im Schnitt 35 MByte<br />

Hauptspeicher bereit, auf aktuellen Serversystemen<br />

sind es pro Thread hingegen<br />

oft mehrere Hundert Megabyte. Wegen<br />

der beschränkten Speichergröße ergibt<br />

es Sinn, die Xeon Phi als Beschleunigereinheit<br />

im Zusammenspiel mit der<br />

Hostmaschine oder anderen Rechnern<br />

im Netzwerk zu betreiben.<br />

Hierfür stehen mehrere Möglichkeiten bereit.<br />

Das angesprochene SCIF hilft dabei,<br />

auf komfortable Weise Daten zwischen<br />

der Karte und dem Hostrechner auszutauschen.<br />

Somit lassen sich bestimmte<br />

Teile der Berechnung auf die Xeon Phi<br />

auslagern. Noch komfortabler übergibt<br />

der Entwickler Berechnungen mit Hilfe<br />

des Message Passing Interfaces (MPI).<br />

Das ist machbar, weil die Xeon Phi im<br />

Netzwerk – grob vereinfacht gesagt – nur<br />

als weiterer Rechner mit sehr vielen Kernen<br />

auftaucht. Schlussendlich ist auch<br />

noch ein Open-CL-Compiler verfügbar,<br />

der Berechnungen auf<br />

die Karte auslagern<br />

kann.<br />

Da es sich bei der Xeon<br />

Phi zum Teil um ein<br />

eigenständiges System<br />

handelt, ist aber auch<br />

der umgekehrte Weg<br />

gangbar: Arbeit lässt<br />

sich von der Karte auf<br />

den Hostrechner oder<br />

andere Rechner im<br />

Netzwerk übertragen.<br />

Abbildung 3: Die Beschleunigerkarte Xeon Phi funktioniert wie ein eigenständiges<br />

<strong>Linux</strong>-System, das allerdings ein paar Kerne mehr an Bord hat,<br />

wie dieser Ausschnitt der »htop«-Ausgabe zeigt.<br />

In Abbildung 4 sind die Möglichkeiten<br />

der Arbeitsverteilung dargestellt.<br />

Xeon Phi versus GPU<br />

Xeon<br />

PCIe<br />

MIC<br />

Abschließend stellt sich die Frage, welche<br />

Daseinsberechtigung die Xeon-Phi-Karte<br />

eigentlich hat. Nüchtern betrachtet liefert<br />

eine Tesla-Karte der Kepler-Generation<br />

von Nvidia für unwesentlich mehr Geld<br />

etwa die dreifache Rohleistung in Flops,<br />

was die Xeon Phi beim Preis-Leistungs-<br />

Verhältnis haushoch unterlegen macht.<br />

Das Preisspektrum der Xeon-Phi-Varianten<br />

reicht aktuell von ungefähr 1300 Euro<br />

bis etwa 3000 Euro [7].<br />

Bei genauerem Hinsehen sprechen aber<br />

zwei Punkte für die Karte: Erstens unterstützt<br />

sie mit MPI ein Programmiermodell,<br />

das bereits an die 20 Jahre auf dem<br />

Buckel hat, während Open CL zum Beispiel<br />

nur fünf Jahre alt ist. Hier ließe sich<br />

argumentieren, dass die Programmierer<br />

erfahrener sind und somit einfacher bessere<br />

Programme schreiben können. Zweitens<br />

verfügt die Xeon Phi nicht nur über<br />

hochspezialisierte Recheneinheiten für<br />

sehr eingeschränkte Arten von Berechnungen,<br />

sie ist durch ihre PC-nahe Architektur<br />

auch in der Lage, existierende<br />

Software mit deutlich<br />

geringeren Anpassungen<br />

auszuführen.<br />

Ausblick<br />

Xeon<br />

native<br />

Main( )<br />

Foo( )<br />

MPI_*( )<br />

Xeon Autonomous MIC-hosted<br />

hosted MIC Mode Xeon<br />

co-processed<br />

co-processed<br />

Main( )<br />

Foo( )<br />

MPI_*( )<br />

Main( )<br />

Foo( )<br />

MPI_*( )<br />

Foo( ) Main( )<br />

Foo( )<br />

MPI_*( )<br />

Foo( )<br />

Main( )<br />

Foo( )<br />

MPI_*( )<br />

MIC<br />

native<br />

Main( )<br />

Foo( )<br />

MPI_*( )<br />

Abbildung 4: Da die Xeon-Phi-Karte ein eigenständiges System ist, kann sie<br />

Arbeit auch auf andere Rechner im Netzwerk verteilen.<br />

Intel hat bereits den<br />

Nachfolger der Xeon<br />

Phi angekündigt, der<br />

zurzeit unter dem Namen<br />

Knights Landing<br />

firmiert. Die neue<br />

Plattform soll um den<br />

AVX-512-Instruktionssatz<br />

erweitert werden, den wohl künftig<br />

auch herkömmliche Prozessoren von Intel<br />

mitbringen. AVX 512 soll zudem eine<br />

bessere Kompatibilität mit SSE und AVX<br />

bieten. Ob dies auch für die Xeon Phi gilt,<br />

wird sich erst zeigen müssen.<br />

Weit interessanter ist, dass Intel Knights<br />

Landing nicht nur wie bisher als Erweiterungskarte<br />

anbieten will, sondern zusätzlich<br />

als eigenständige Plattform beziehungsweise<br />

als Prozessor. Dies wäre<br />

ein erster Schritt weg von einer Speziallösung<br />

für Hochleistungsrechner mit einem<br />

bestimmten Anwendungsprofil hin zu<br />

einer Lösung für allgemeine Server mit<br />

hochparallelen Anwendungen, zu denen<br />

etwa Webserver zählen.<br />

Komponenten der Xeon-Phi-Technologie<br />

könnten so in Zukunft auch in den Desktopbereich<br />

einfließen, was den Xeon-Phi-<br />

Coprozessor wiederum zu einem Vorboten<br />

für die Rechner im Zeitalter von<br />

Manycore-Systemen macht. (kki) n<br />

Infos<br />

[1] Tianhe-2:<br />

[http:// www. top500. org/ system/ 177999]<br />

[2] Titan von Cray:<br />

[http:// www. top500. org/ system/ 177975]<br />

[3] Technischer Hintergrund zu Polaris:<br />

[http:// cs. anu. edu. au/ student/ comp8320/​<br />

refs/ Intel80core. pdf]<br />

[4] Xeon-Phi-Datenblatt: [http:// www. intel. com/​<br />

content/ dam/ www/ public/ us/ en/ documents/​<br />

product‐briefs/ high‐performance‐xeon‐phi<br />

‐coprocessor‐brief. pdf]<br />

[5] Virtio-Framework von <strong>Linux</strong>:<br />

[http:// www. linux‐kvm. org/ page/ Virtio]<br />

[6] Proprietäre Compiler von Intel: [http://​<br />

software. intel. com/ en‐us/ intel‐compilers]<br />

[7] Preisspanne der Xeon-Phi-Karte: [http://<br />

www.deltacomputer.de/produkte/gpu/<br />

Intel_Xeon_Phi.shtml]<br />

Xeon Phi 12/2013<br />

Hardware<br />

www.linux-magazin.de<br />

85


Hardware<br />

www.linux-magazin.de Lego EV 3 12/2013<br />

86<br />

Lego Mindstorms setzt auf <strong>Linux</strong> – bisher nur intern<br />

<strong>Linux</strong>-Lego<br />

Pünktlich zum Weihnachtsgeschäft bringt Lego die neue Generation EV3 des Roboterbausatzes Mindstorms<br />

auf den Markt. Das neue System ist wesentlich leistungsfähiger als seine Vorgänger, zudem läuft die Kontrolleinheit<br />

auf <strong>Linux</strong>. Doch im Zusammenspiel mit <strong>Linux</strong>-PCs offenbart der Baustein Schwächen. Konstantin Agouros<br />

Foto: Markus Feilner<br />

Wer vor Glück weint, dessen erste Träne<br />

quillt angeblich aus dem linken Auge, und<br />

wer aus Gram losschluchzt, dem schlüpft<br />

der erste Tropfen aus dem rechten. Aus<br />

beiden Augen zugleich flennen seit Generationen<br />

all die Kleinkinder los, die<br />

barfuß auf einen Legostein getreten sind.<br />

Aller Fehltritte zum Trotz begeistern die<br />

bunten dänischen Plastikbausteine seit<br />

Jahrzehnten Väter und Kinder, und seit<br />

dem Lego-Produkt Mindstorms rinnt aus<br />

dem linken Auge manches <strong>Linux</strong>-Nerds<br />

die eine oder andere Freudenträne.<br />

EV3: Zwei Versionen<br />

Die neueste Generation der Mindstorms<br />

liefert Lego in zwei Editionen aus: eine<br />

normale und eine Education-Version für<br />

Schulen samt Ergänzungssatz mit mehr<br />

Bauteilen für größere Modelle. Der normale<br />

Baukasten, den das <strong>Linux</strong>-<strong>Magazin</strong><br />

in diesem Test benutzt, besteht neben<br />

dem programmierbaren Baustein (Brick)<br />

mit Akku aus weit über 500 Lego-Technik-Bauteilen,<br />

zwei großen und einem<br />

kleinen Motor sowie Sensoren, die Abstände<br />

per Infrarot messen, Druck fühlen<br />

und Farben erkennen.<br />

Enthalten ist außerdem auch eine gedruckte<br />

Bauanleitung für einen der fünf<br />

Standardroboter, weitere Dokumentation<br />

wie auch die Bedienungsanleitung für<br />

den EV3 gibt es lediglich online auf der<br />

Lego-Webseite unter [1]. Zusätzlich zu<br />

den PDF-Versionen der Anleitungen bietet<br />

der Hersteller auch noch eine 3-D-<br />

Builder-App an.<br />

Verpackung selbst gemacht<br />

Neben dem Brick, den Motoren, Kabeln<br />

und Sensoren bekommt der Käufer in<br />

dem Set eine stattliche Anzahl verschiedener<br />

Lego-Technik-Bauteile, viele davon<br />

erstaunlich klein. Im Gegensatz zur aufwändigeren<br />

Education-Version hat der<br />

Hersteller diese aber nicht in die praktische<br />

Aufbewahrungsbox mit Fächern<br />

gepackt, sondern nur in Tüten, die den<br />

Hang haben, sich selbst aufzulösen.<br />

Wer viele Modelle bauen will, sollte sich<br />

dringend so etwas wie einen Schrauben-<br />

Aufbewahrungskasten besorgen, der<br />

viele Fächer hat, da er sonst beim Bauen<br />

nach Anleitung schon viel Zeit mit dem<br />

Suchen der richtigen Teile verbringt.<br />

Schlimmstenfalls rollen da auch gerade<br />

die kleinen Steckverbinder davon und<br />

verkrümeln sich staubsaugerfreundlich<br />

in dunkle Ecken.<br />

Um ein Gefühl dafür zu bekommen, was<br />

mit den Teilen an komplizierten Mechaniken<br />

konstruierbar ist, sollte der stolze<br />

Besitzer auf jeden Fall ein paar der Roboter<br />

aus den Anleitungen nachbauen,<br />

bevor er sich zu eigenen Konstruktionen<br />

inspirieren lässt.<br />

Anschalten = Booten<br />

Wer den Brick anschaltet, bemerkt<br />

schnell, dass er ein komplexeres Betriebssystem<br />

bootet beziehungsweise beim<br />

Ausschalten herunterfährt. Das Haupt-


menü der Bedienoberfläche auf dem kleinen<br />

Display zeigt vier Einträge:<br />

n Die zuletzt verwendeten Programme.<br />

n Installierte Programme in den Projektordnern.<br />

n Ein Menü »Steuerung«, über das der<br />

Anwender testen kann, was an den<br />

Ports angeschlossen ist – diese automatische<br />

Erkennung ist eine der<br />

neuen Funktionen gegenüber dem<br />

Vorgängermodell. Im gleichen Menü<br />

steuert er Motoren und liest angeschlossene<br />

Sensoren aus, bedient die<br />

Infrarot-Fernbedienung und erstellt<br />

einfache Programme.<br />

n Den Menüpunkt »Einstellungen«, in<br />

dem sich Lautstärke und automatische<br />

Abschaltzeit regeln sowie Bluetooth<br />

und WLAN aktivieren und konfigurieren<br />

lassen.<br />

Ein vielbeachteter Artikel in der deutschen<br />

Wochenzeitung „Die Zeit“ [2]<br />

kritisierte unter der Überschrift „Lego<br />

Mindstorms ist kein Kinderspielzeug“<br />

unter anderem, die Benutzerführung sei<br />

viel zu umständlich. Doch der 6-jährige<br />

Sohn des <strong>Linux</strong>-<strong>Magazin</strong>-Autors würde<br />

dem widersprechen: Schon nach kurzem<br />

Spielen wusste er, wie EV3 Programme<br />

startet und wie er den Brick hoch- und<br />

wieder herunterfährt.<br />

Düster: Display und WLAN<br />

Tabelle 1: Ev3 und sein Vorgänger im Vergleich<br />

EV3<br />

Was dagegen wirklich nervt, ist das recht<br />

schwache Display des Brick: Wer wenig<br />

Licht hat, wird sich schwertun, es zu<br />

lesen. Dazu kommt, dass das WLAN nur<br />

mit einem externen Adapter funktioniert.<br />

Den gibt’s zwar bei Lego, allerdings hat<br />

sich in diversen Foren schon herumgesprochen,<br />

dass es sich dabei um einen<br />

Netgear WNA 1100 handelt, der im einschlägigen<br />

Elektrohandel deutlich günstiger<br />

zu erwerben wäre als die von Lego<br />

vertriebene Version. Überhaupt ist nicht<br />

nachvollziehbar, warum Lego hier offensichtlich<br />

nur eine einzige USB-ID akzeptiert.<br />

Ein TP-Link-Dongle, der genau den<br />

gleichen Chip und Treiber benutzt, funktionierte<br />

im Test nicht.<br />

<strong>Linux</strong> nur teilweise<br />

In den Einstellungen des Displays findet<br />

sich auch die Information über die Firmware:<br />

Nur an einer einzigen Stelle wird<br />

sichtbar, dass in dem Brick <strong>Linux</strong> läuft<br />

(Abbildung 1). In Sachen Hardware weiß<br />

der neue Controller durchaus zu überzeugen,<br />

der mit einer leistungsfähigeren CPU<br />

und mehr Hauptspeicher ausgestattet ist<br />

als sein Vorgänger Mindstorms NXT 2.0<br />

(Tabelle 1). Der USB-Hostmodus, der unter<br />

anderem den Anschluss des WLAN-<br />

Display Monochrom-LCD mit 178 x 128 Pixel Monochrom-LCD mit 100 x 64 Pixel<br />

Prozessor ARM9, 300 MHz Atmel ARM7TDMI, 48 MHz<br />

Speicher<br />

64 MByte RAM, 16 MByte Flash, 64 KByte RAM, 256 KByte Flash<br />

Micro-SDHC-Slot<br />

USB-Host ja ja<br />

WLAN Optional, über USB nein<br />

Bluetooth ja ja<br />

Steuerung über Apps ja, Android und I-OS nein<br />

Preis ab 350 Euro ab 200 Euro<br />

Abbildung 1: Das Display des Brick (in der Mitte des Roboter-Corpus) mit dem Hauptmenü fällt zwar recht<br />

dunkel aus, offenbart aber als einzige Stelle des Systems die <strong>Linux</strong>-Natur der Hardware.<br />

NXT<br />

Dongle erlaubt, ist ebenso neu wie die<br />

Möglichkeit, eine Micro-SD-Karte für weitere<br />

Programme einzustecken.<br />

Ebenfalls nur auf der Webseite findet der<br />

Roboterfan die Labview-Software fürs<br />

grafische Programmieren (Abbildung<br />

2). Leider existiert sie bisher nur für<br />

OS X und Windows-Systeme. Ein wenig<br />

Stöbern im Installationsverzeichnis der<br />

Software auf einem Mac lässt jedoch den<br />

Verdacht aufkommen, dass sie dort innerhalb<br />

einer Mono-Umgebung läuft. Die<br />

Chancen, sie auch auf <strong>Linux</strong> zum Laufen<br />

zu bekommen, stehen also theoretisch<br />

nicht schlecht.<br />

Neben der grafischen Entwicklungsumgebung<br />

nennt die FAQ auf der Lego-Webseite<br />

auch die kommerzielle Entwicklungsumgebung<br />

Robot C [3]. Mit der lassen<br />

sich auch Programme für Plattformen<br />

wie Arduino entwickeln. Der Haken: Die<br />

Webseite des Herstellers spricht derzeit<br />

nur von Unterstützung für den Vorgänger<br />

Mindstorms NXT, außerdem steht die<br />

Software wiederum nur für Windows zur<br />

Verfügung.<br />

Community<br />

Bei den NXT-Bricks hat die überaus große<br />

Fangemeinde es möglich gemacht, von<br />

<strong>Linux</strong> aus Programme auf dem Brick zu<br />

starten. Die Projekte haben zwar allesamt<br />

EV3-Support angekündigt, aber zum Re-<br />

Lego EV 3 12/2013<br />

Hardware<br />

www.linux-magazin.de<br />

87


Hardware<br />

www.linux-magazin.de Lego EV 3 12/2013<br />

88<br />

Abbildung 2: Läuft der 3-D-Designer Labview auf Mono? Die Dateien hinter dem schicken GUI geben Anlass zu<br />

dieser Annahme. Dann könnte die Software früher oder später doch auf <strong>Linux</strong> kommen.<br />

daktionsschluss war der noch nirgends<br />

verfügbar. Nur der WLAN-Zugang lässt<br />

sich erfolgreich zur Kommunikation und<br />

Steuerung verwenden [4].<br />

Vermisst: Java<br />

Auch der Hersteller wünscht sich in der<br />

FAQ-Liste, die Mindstorms-Community<br />

möge aktiv zusätzliche Sprachen auf die<br />

Geräte bringen – „beispielsweise Java“.<br />

Der Wunsch könnte in Erfüllung gehen:<br />

Weil die Firmware auf <strong>Linux</strong> aufbaut,<br />

kann sich der Fan auch seine eigene<br />

bauen. Unter [5] findet er eine Anleitung,<br />

wo und wie er den Code herunter-<br />

Abbildung 3: Für Android und I-OS<br />

verfügbar: Eine spacige Fernsteuerung<br />

über drahtlose Netzwerke als<br />

Smartphone-App.<br />

laden kann. Allerdings ist dies weder eine<br />

offizielle Lego-Seite, noch findet sich auf<br />

Mindstorms-Seiten ein Verweis auf die<br />

Quellen. Hier ist wohl beim Hersteller<br />

ein bisschen Nachholbedarf beim Umgang<br />

mit freier Software unter der GPL zu<br />

erkennen – vielleicht noch bevor Harald<br />

Welte darauf aufmerksam wird.<br />

Smarte Apps für die<br />

3-D-Programmierung<br />

Natürlich bietet Lego im Zeitalter, in dem<br />

alle mit dem Handy spielen, auch zwei<br />

Apps für Android und I-OS an. Der Mindstorms<br />

Robot Commander erlaubt es, via<br />

Bluetooth oder WLAN<br />

Roboter fernzusteuern<br />

(Abbildung 3). Der<br />

Mindstorms 3D Builder<br />

ist eine animierte<br />

Bauanleitung der fünf<br />

Standardroboter des<br />

Bausatzes.<br />

Statt der bei Lego<br />

üblichen bebilderten<br />

Anleitungen ist dies<br />

eine 3-D-Animation,<br />

in die der Anwender<br />

hineinzoomt und die<br />

Anleitungen rotiert.<br />

Das ist gerade bei<br />

komplexeren Modellen<br />

von Vorteil, bei denen<br />

nur bedingt sichtbar<br />

Abbildung 4: In der Konstruktions-<br />

App sind Zoomen und Rotieren<br />

notwendig, um die Bauanleitungen<br />

nachzuvollziehen.<br />

ist, in welches Loch ein Verbindungsstück<br />

gehört. Abbildung 4 zeigt so einen<br />

Screenshot.<br />

Teuer und noch wenig <strong>Linux</strong>,<br />

aber fesselnd<br />

Die neue Version von Mindstorms ist<br />

eine fesselnde Freizeitbeschäftigung für<br />

Kinder und jung gebliebene Erwachsene.<br />

Die grafische Programmierumgebung<br />

eignet sich gerade für Jugendliche als<br />

Einstieg in Basics wie If-Abfragen und<br />

Schleifenkonstrukte. Dass dabei ein im<br />

wörtlichen Sinne begreifbares Ergebnis<br />

herauskommt, macht den Einstieg lohnender<br />

als jedes Programm, das nur im<br />

abstrakten Hauptspeicher abläuft.<br />

Doch Lego verlangt mit 349 Euro laut<br />

Liste für den Standardkasten einen stolzen<br />

Preis. Bei ernsthaftem Interesse sollten<br />

Fans gleich die Education-Variante<br />

in Betracht ziehen, die mit dem Ergänzungssatz<br />

mehr Möglichkeiten und Komfort<br />

bietet, aber auch mehr kostet.<br />

<strong>Linux</strong>-Nutzer müssen sich gedulden, bis<br />

sie die neuen Bricks programmieren können<br />

– oder selbst Hand anlegen. Erste Betas<br />

der Bricx-Software, die EV3-Support<br />

ankündigt, sind schon aufgetaucht, allerdings<br />

nur in Form von Windows-Binaries.<br />

Doch wird die Open-Source-Community<br />

sicher nachziehen. (mfe) <br />

n<br />

Infos<br />

[1] EV3: [http:// www. lego. com/ mindstorms]<br />

[2] „Zeit Online“ über EV3: [http://​<br />

www. zeit. de/ digital/ games/ 2013‐09/​<br />

lego‐mindstorms‐ev3]<br />

[3] Robot C: [http:// www. robotc. net]<br />

[4] Wifi-Connection mit EV3: [http:// www.​<br />

monobrick. dk/ guides/ how‐to‐establish<br />

‐a‐wifi‐connection‐with‐the‐ev3‐brick/]<br />

[5] Sourcecode für EV3: [http:// botbench.​<br />

com/ blog/ 2013/ 07/ 31/ lego‐mindstorms<br />

‐ev3‐source‐code‐available/]<br />

Der Autor<br />

Konstantin Agouros arbeitet<br />

bei der N.runs Professionals<br />

GmbH als Berater für Netzwerksicherheit.<br />

Dabei liegt<br />

sein Schwerpunkt im Bereich<br />

der Mobilfunknetze.<br />

Sein Buch „DNS/​DHCP“ ist bei Opensource Press<br />

erschienen.


Know-how<br />

www.linux-magazin.de Kern-Technik 12/2013<br />

90<br />

Kernel- und Treiberprogrammierung mit dem <strong>Linux</strong>-Kernel – Folge 71<br />

Kern-Technik<br />

Mit dem flexiblen Bootloader U-Boot, einem Tftp-Server, angepasstem Kernel und Userland sowie etwas Konfiguration<br />

booten eingebettete Systeme wie der Raspberry Pi vom Netz. Jürgen Quade, Eva-Katharina Kunst<br />

© psdesign1, Fotolia<br />

71<br />

Der mitgelieferte Bootloader des Raspberry<br />

Pi hat einen großen Nachteil: Er<br />

kann nur Dateien von der ersten Partition<br />

der SD-Karte laden, zudem muss diese<br />

mit einem FAT-32-Dateisystem formatiert<br />

sein. Für die meisten Fälle scheint das<br />

ausreichend, für Entwickler aber, die mit<br />

Kernel oder Root-Filesystem experimentieren,<br />

ist es zu umständlich. Das hängt<br />

mit der Host-Target-Entwicklung zusammen:<br />

Dabei übersetzt der Entwickler etwa<br />

einen neuen Kernel auf seinem Arbeitsrechner<br />

(Host), den er dann irgendwie<br />

auf die Bootpartition des Rasp berry Pi<br />

(Target) bringen muss.<br />

Läuft auf dem Raspberry Pi bereits ein<br />

<strong>Linux</strong> und ist die Himbeere per LAN-Kabel<br />

im Netzwerk erreichbar, kann das sehr<br />

einfach per »scp« oder »netcat« erfolgen.<br />

Ist der kopierte Kernel aber fehlerhaft,<br />

bleibt spätestens nach dem nächsten Reboot<br />

nur noch der Transfer über die SD-<br />

Karte. Konkret: SD-<br />

Karte aus dem Raspberry<br />

Pi, SD-Karte in<br />

den Entwicklungsrechner,<br />

Boot partition<br />

einhängen (erfolgt oft<br />

automatisch), funktionstüchtigen<br />

Kernel<br />

auf die Bootpartition<br />

kopieren, Bootpartition<br />

aushängen, SD-<br />

Karte entfernen und<br />

in den Raspberry Pi<br />

einstecken. Da muss<br />

es doch etwas Besseres<br />

geben!<br />

Moderne Bootloader,<br />

etwa der in der Embedded-Branche<br />

verbreitete<br />

Loader „Das<br />

U-Boot“ [1], bieten<br />

den Systemstart vom<br />

Netzwerk an. Das mit dem U-Boot ausgestattete<br />

Gerät initialisiert direkt nach dem<br />

Einschalten sein Netzwerk, lässt sich per<br />

DHCP eine Adresse geben, sucht einen<br />

Tftp-Server, der den zu bootenden Kernel<br />

hostet, und holt sich von diesem den<br />

Betriebssystemkern. Man kann sogar das<br />

Root-Filesystem laden lassen, doch dazu<br />

später mehr.<br />

Leider lässt sich der Bootloader des Raspberry<br />

Pi nicht einfach gegen das U-Boot<br />

austauschen. Aber der findige Anwender<br />

bedient sich eines Tricks: Er konfiguriert<br />

den Original-Bootloader so, dass er<br />

nicht wie üblich den <strong>Linux</strong>-Kernel in den<br />

Hauptspeicher lädt, sondern stattdessen<br />

DELUG-DVD<br />

DELUG-DVD<br />

Die Delug-DVD zu diesem <strong>Magazin</strong><br />

enthält ein angepasstes U-Boot, Tools<br />

und eine Bootpartition für den Raspberry Pi.<br />

U-Boot (Abbildung 1). Das beschleunigt<br />

zwar nicht gerade den normalen Bootprozess,<br />

bringt aber im Gegenzug Features<br />

wie Netzwerkboot oder die Auswahl aus<br />

verschiedenen Kerneln oder Root-Filesystemen<br />

beim Booten.<br />

Aus der Quelle<br />

Um dies zu realisieren, benötigt man U-<br />

Boot für den Raspberry Pi. Im Netz findet<br />

sich der Bootloader aber zunächst nur im<br />

Quellcode, der zum einen für den Raspberry<br />

Pi cross-kompiliert, zum anderen<br />

aber zusätzlich mit einem Header versehen<br />

werden muss, damit ihn der normale<br />

Bootloader des Raspberry Pi überhaupt<br />

laden kann. Deshalb haben die Autoren<br />

eine lauffähige Version generiert, die auf<br />

der Delug-DVD dieses <strong>Magazin</strong>s sowie<br />

unter [2] als Tar-File bereitsteht. Dieses<br />

rund 40 MByte große Archiv enthält noch<br />

weitere Dateien, die dem Leser einige<br />

aufwändige Generierungsschritte ersparen<br />

(siehe Tabelle 1).<br />

Für den ganz <strong>Neu</strong>gierigen liegt sogar das<br />

Image einer Raspberry-Pi-Bootpartition<br />

mit U-Boot, einem Kernel, einem Initram-<br />

FS und der benötigten Konfiguration bei.<br />

Das braucht er nur per »dd« auf die erste<br />

Partition einer SD-Karte zu schreiben, um<br />

den modifizierten Bootvorgang testen zu<br />

können. Wer dagegen den Bootloader<br />

selbst erzeugen und dabei möglicherweise<br />

anders konfigurieren oder erweitern<br />

möchte, findet eine Anleitung dazu<br />

im Kasten „U-Boot für den Raspberry<br />

Pi übersetzen“.<br />

Ob selbst kompiliert oder in der Version<br />

des <strong>Linux</strong>-<strong>Magazin</strong>s: Der mit dem Header<br />

versehene Bootloader »u‐boot.img«<br />

wandert im nächsten Schritt auf die SD-<br />

Karte. Auch hier gibt es mehrere Wege.<br />

Der wohl einfachste besteht darin, die auf


einer SD-Karte vorhandene<br />

Installation<br />

eines Rasp bian zu modifizieren<br />

[4] und das<br />

U-Boot-Image anstelle<br />

der Datei »kernel.img«<br />

auf die Bootpartition<br />

der SD-Karte zu kopieren.<br />

Etwas übersichtlicher<br />

ist es allerdings, nicht<br />

einfach plump »kernel.<br />

img« mit »u‐boot.img«<br />

zu überschreiben, sondern<br />

»u‐boot.img« zusätzlich<br />

auf die Karte<br />

zu packen und dann die ebenfalls auf der<br />

Bootpartition zu findende Datei »config.<br />

txt« um die Zeile »kernel=u‐boot.img«<br />

zu ergänzen.<br />

Ist die Bootpartition der SD-Karte auf<br />

dem Host unter dem Verzeichnis »/media/boot/«<br />

eingehängt, geht das mit den<br />

folgenden beiden Befehlen:<br />

cp kernel.img /media/boot/u‐boot.img<br />

echo "kernel=u‐boot.img"U<br />

>>/media/boot/config.txt<br />

»bootcode.bin«<br />

»start.elf«<br />

»kernel.img«<br />

Nach der Installation des Bootloaders ist<br />

die Zeit für den ersten Probelauf gekommen.<br />

Steckt man die präparierte SD-Karte<br />

in den Raspberry Pi und versorgt den<br />

Mini-Computer mit Strom, bootet U-Boot<br />

in einen Shellprompt (siehe Tabelle 2<br />

„Wichtige U-Boot Kommandos“). Die<br />

Tabelle 1: Dateien in [2]<br />

Raspberry Pi<br />

Standard-Bootloader<br />

<strong>Linux</strong>-Kernel<br />

»uImage«<br />

dabei erscheinenden Bootmeldungen<br />

sind in Abbildung 3 zu sehen.<br />

Kein USB-Keyboard<br />

U-Boot<br />

»u-boot.img«<br />

Abbildung 1: Bootsequenz des Raspberry Pi mit untergeschobenem U-Boot.<br />

Wer versucht mit einer angesteckten<br />

USB-Tastatur Kommandos aufzurufen,<br />

wird allerdings enttäuscht: Kommandos<br />

nimmt der Bootloader in der vorliegenden<br />

Konfiguration nur über eine serielle<br />

Schnittstelle entgegen, über die U-Boot<br />

seine Meldungen auch ausgibt. Wer über<br />

die serielle Schnittstelle das Kommando<br />

»fatls mmc 0« eintippt, bekommt alle auf<br />

der ersten Partition der SD-Karte abgelegten<br />

Dateien angezeigt. Auf das Kommando<br />

»dhcp« holt sich die über Ethernet<br />

angeschlossene Himbeere von einem im<br />

Netzwerk vorhandenen DHCP-Server<br />

Objektname Funktion Schritt in Abbildung 2<br />

mkimage.32, mkimage.64<br />

mkimage/​imagetool-uncompressed.py<br />

Generator der U-Boot-Meta-<br />

Information<br />

Generator für die RPI-Meta-<br />

Information<br />

u-boot.img Einsatzbereiter Bootloader 4<br />

boot.txt<br />

U-Boot-Befehle zum Booten 5<br />

vom Flash<br />

boot.scr<br />

U-Boot-Skript zum Booten vom 5<br />

Flash<br />

boot-net.txt<br />

U-Boot-Befehle zum Netzwerk- 5<br />

Boot des Kernels<br />

boot-initramfs.txt<br />

U-Boot-Befehle zum Netzwerk- 5<br />

Boot (Kernel und Initram-FS)<br />

uImage Präparierter <strong>Linux</strong>-Kernel 7<br />

initramfs.uboot Schlankes Initram-FS 8<br />

boot.dd<br />

Image einer Bootpartition,<br />

Installation auf eine bereits<br />

partitionierte SD-Karte per<br />

»dd if=boot.dd of=/dev/sdX1«<br />

1<br />

3<br />

eine IP-Adresse. Ansonsten kann man<br />

eine lokale Adresse mit »set env ipaddr<br />

IP‐Adresse« einstellen.<br />

Weniger erfolgreich dürfte jedoch der<br />

Versuch ablaufen, einen per »fatload<br />

mmc 0 00200000 kernel.img« in den<br />

Hauptspeicher geladenen Kernel über<br />

das Kommando »bootm« zu starten. Das<br />

hängt damit zusammen, dass nicht nur<br />

der hauseigene Bootloader, sondern auch<br />

U-Boot für die zu ladenden Dateien einen<br />

speziellen Header benötigt.<br />

Wie es für den Pi-Bootloader ein entsprechendes<br />

Programm für das Schreiben<br />

der Meta-Informationen gibt, bringt auch<br />

U-Boot in seinem Quellcode mit »mkimage«<br />

ein solches Tool mit. Wer U-Boot<br />

selbst kompiliert hat, findet »mkimage«<br />

im U-Boot-Quellcodeverzeichnis unter<br />

»u‐boot‐pi/tools/mkimage«. Eine fertige<br />

Version sowohl für 32 als auch für 64 Bit<br />

gibt es auch unter [2].<br />

Das Kommando in Listing 1 generiert die<br />

notwendige Headerinformation für den<br />

von Raspbian mitgelieferten Kernel (auf<br />

einer mit Raspbian installierten SD-Karte<br />

die Datei »kernel.img«).<br />

q<br />

w<br />

e<br />

r<br />

t<br />

y<br />

u<br />

i<br />

o<br />

U-Boot-Quellcode herunterladen,<br />

konfigurieren, kompilieren<br />

U-Boot-Programm »mkimage« in die<br />

Cross-Entwicklungs-Toolchain kopieren<br />

»Imagetool-uncompressed.py« zum<br />

Erzeugen von Raspberry-Pi-Bootloader-<br />

Headern herunterladen<br />

»u-boot.bin« mit Raspberry-Pi-Header<br />

versehen<br />

(»imagetool-uncompressed.py«)<br />

Bootbefehle in Textdatei schreiben;<br />

mit »mkimage« eine U-Boot-Skriptdatei<br />

erzeugen<br />

U-Boot auf die Bootpartition installieren:<br />

Raspian installieren<br />

»u-boot.img« und »boot.scr« kopieren<br />

»config.txt« anpassen<br />

Existierenden Kernel mit U-Boot-Meta-Informationen<br />

versehen (»mkimage«) oder<br />

Kernel als »uImage« generieren<br />

»make uImage ARCH=...CROSS_COMPILE=...«<br />

Kernel (evtl. Initram-FS)<br />

auf Tftp-Server ablegen<br />

Raspberry Pi mit LAN-Kabel verbinden<br />

und rebooten<br />

Abbildung 2: <strong>Neu</strong>n Schritte sind erforderlich, um<br />

den Raspberry Pi auf Netzwerkboot umzurüsten.<br />

Kern-Technik 12/2013<br />

Know-how<br />

www.linux-magazin.de<br />

91


Know-how<br />

www.linux-magazin.de Kern-Technik 12/2013<br />

92<br />

Wer den Kernel ohnehin selbst generiert,<br />

wie beispielsweise in [3] beschrieben,<br />

der kopiert als Root »mkimage« in das<br />

Verzeichnis der Cross-Toolchain und ergänzt<br />

den Programmnamen noch durch<br />

den Namensvorsatz der Toolchain. Bei<br />

der Toolchain von Ubuntu 12.04 beispielsweise<br />

ruft er »cp mkimage /usr/<br />

bin/arm‐linux‐gnueabi‐mkimage« auf.<br />

Danach gibt er im Quellcodeverzeichnis<br />

des <strong>Linux</strong>-Kernels das Kommando<br />

make uImage ARCH=armU<br />

CROSS_COMPILE=arm‐linux‐gnueabiein.<br />

Das Kernel-Buildsystem generiert jetzt<br />

nicht nur den Kernel, sondern versieht ihn<br />

auch direkt mit den Meta-Informationen<br />

für U-Boot. Das erspart das separate Aufrufen<br />

von »mkimage«.<br />

Aufgetaucht<br />

Im ersten Test bootet U-Boot in einen<br />

Prompt, der über die serielle Schnittstelle<br />

Kommandos entgegennimmt. Damit der<br />

Bootloader ohne Interaktion den präparierten<br />

Kernel lädt, ist noch ein weiteres<br />

01 echo "Loading uImage..."<br />

02 fatload mmc 0:1 00200000 uImage<br />

03 bootm 00200000<br />

Abbildung 3: U-Boot auf dem Raspberry Pi meldet<br />

sich auf der seriellen Konsole.<br />

Listing 1: »mkimage«-Aufruf<br />

01 $ mkimage ‐A arm ‐O linux ‐C none ‐T kernel \<br />

02 ‐a 0x00008000 ‐e 0x00008000 ‐n "linux‐kernel" ‐d<br />

kernel.img uImage<br />

03 Image Name: linux‐kernel<br />

04 Created: Thu Oct 3 16:45:13 2013<br />

05 Image Type: ARM <strong>Linux</strong> Kernel Image (uncompressed)<br />

06 Data Size: 2802568 Bytes = 2736.88 kB = 2.67 MB<br />

07 Load Address: 00008000<br />

08 Entry Point: 00008000<br />

Listing 2: Texteingabe für U-Boot-<br />

Skript »boot.txt«<br />

U-Boot-Skript erforderlich. Es schiebt per<br />

»fatload« zunächst einmal den Kernel von<br />

der SD-Karte in den Hauptspeicher (an<br />

Adresse 0x00200000) und startet ihn danach<br />

per »bootm« (Listing 2).<br />

Um ein lauffähiges U-Boot Skript zu bekommen,<br />

schreibt man die Kommandos<br />

in eine Textdatei (»boot.txt«) und versieht<br />

sie per »mkimage« mit der notwendigen<br />

Meta-Information. Das so präparierte<br />

Skript findet unter dem Namen »boot.<br />

scr« ebenfalls seinen Platz auf der Bootpartition<br />

der SD-Karte:<br />

# mkimage ‐A arm ‐O linux ‐T scriptU<br />

‐C none ‐d boot.txt boot.scr<br />

Tabelle 2: Wichtige U-Boot-Kommandos<br />

Kommando<br />

help Kommando<br />

fatls mmc 0<br />

fatload mmc 0 Speicheradresse<br />

Datei<br />

usb start<br />

bootm Speicheradresse<br />

Initramfs Devicetree<br />

dhcp Speicheradresse IP-<br />

Adresse:Bootfile<br />

tftpboot Speicheradresse<br />

IP-Adresse:Bootfile<br />

reset<br />

Bedeutung<br />

Auf der Bootpartition müssen sich damit<br />

mindestens die folgenden Dateien befinden<br />

(Abbildung 5):<br />

n »bootcode.bin«<br />

n »start.elf«<br />

n »uImage«<br />

n »boot.scr«<br />

n »u‐boot.img«<br />

n »config.txt«<br />

Damit bootet Raspbian wie gehabt, sieht<br />

man einmal von dem Zwischenschritt<br />

U-Boot ab. Wer mit dem Raspberry Pi<br />

per serieller Schnittstelle Verbindung hat,<br />

kann den Bootprozess anhalten. Gibt es<br />

alternative Kernel, kann er nun diese ausprobieren.<br />

Besonders interessant ist es jedoch, den<br />

Kernel über das Netzwerk zu laden. Das<br />

erfordert einen Tftp-Server, der die Dateien<br />

vorhält. Viele DHCP-Server, beispielsweise<br />

eine Fritzbox, bieten auch<br />

Tftp-Dienste an. Da man dort aber nicht<br />

so einfach Dateien ablegen kann, ist<br />

es sinnvoll, neben einem vorhandenen<br />

DHCP-Server einen eigenen Tftp-Server<br />

auf dem lokalen Entwicklungssystem zu<br />

installieren.<br />

Als Tftp-Server bietet sich unter Ubuntu<br />

»tftpd‐hpa« an, der in Version 12.04 mit<br />

»sudo apt‐get install tftpd‐hpa« rasch installiert<br />

ist. Der Server stellt die Dateien<br />

aus dem Verzeichnis »/var/lib/tftpboot/«<br />

im Netzwerk zur Verfügung. Allerdings<br />

gibt es bei der installierten Version einen<br />

Bug: Nach einem Reboot startet der Server<br />

nicht korrekt, der Ubuntu-Anwender<br />

muss ihn daher händisch per »sudo service<br />

tftpd‐hpa restart« anschubsen.<br />

Ins Netz gegangen<br />

Damit U-Boot den richtigen Tftp-Server<br />

wählt, benötigt man dessen IP-Adresse,<br />

die beispielsweise auf dem lokalen Entwicklungssystem<br />

per »ifconfig« zu erfahren<br />

ist. Mit diesen Informationen lässt<br />

sich das U-Boot-Skript »boot‐net.txt«<br />

schreiben:<br />

usb start<br />

dhcp 00200000 IP‐Adresse :uImage<br />

bootm 00200000<br />

Dabei ist die IP-Adresse des Tftp-Servers<br />

einzusetzen, in vielen Fällen also die<br />

IP-Adresse des Entwicklungsrechners.<br />

Die Skriptbefehle gehören wieder in eine<br />

Ohne Option werden die zur Verfügung stehenden Kommandos<br />

gelistet (Abbildung 4). Ansonsten gibt es eine Kurzhilfe zu »Kommando«.<br />

Listet den Inhalt auf der ersten Partition der ersten SD-Karte<br />

(»mmc«) auf.<br />

Lädt »Datei« von der ersten Partition des Geräts »mmc« an die<br />

»Speicheradresse«.<br />

Initialisierung des USB-Stacks (notwendig, um Zugriff auf das<br />

Netzwerk zu bekommen).<br />

Bootet das Image an der »Speicheradresse«. Falls »Initramfs«<br />

angegeben ist, wird dem Kernel dessen Adresse übergeben. Falls<br />

sich im Speicher der »Devicetree« befindet, wird auch dessen<br />

Adresse übergeben.<br />

Lässt sich per DHCP eine IP-Adresse zuweisen und lädt danach<br />

vom Tftp-Server mit »IP-Adresse« die Datei »Bootfile« an die<br />

»Speicheradresse«.<br />

Lädt die Datei »Bootfile« vom Tftp-Server mit der »IP-Adresse«<br />

an die »Speicheradresse«.<br />

<strong>Neu</strong>start


MBR<br />

/dev/sdX1 (FAT 32) /dev/sdX2 (Ext 2/Ext 4)<br />

Pi-Bootloader:<br />

bootcode.bin<br />

start.elf<br />

config.txt<br />

U-Boot:<br />

u-boot.img<br />

boot.scr<br />

<strong>Linux</strong>-Kernel:<br />

uImage<br />

Root-Dateisystem:<br />

/bin/<br />

/etc/<br />

/sbin/<br />

/usr/<br />

/dev/<br />

/home/<br />

/var/<br />

/proc/<br />

/tmp/<br />

[...]<br />

Kern-Technik 12/2013<br />

Know-how<br />

www.linux-magazin.de<br />

93<br />

Abbildung 4: Booten zum Prompt: Per serieller Schnittstelle lässt sich das<br />

U-Boot interaktiv kommandieren.<br />

Abbildung 5: Diese Dateien auf der SD-Karte sind am Bootvorgang beteiligt.<br />

Textdatei geschrieben, per »mkimage« mit<br />

der notwendigen Meta-Information versehen<br />

und schließlich auf der SD-Karte<br />

abgelegt. Wenn jetzt noch der Kernel unter<br />

dem Namen »uImage« auf dem Tftp-<br />

Server liegt und der Raspberry Pi per<br />

LAN-Kabel am Netzwerk angeschlossen<br />

ist, steht dem ersten Netzwerkboot nichts<br />

mehr entgegen. Einmal eingerichtet ist<br />

die Anwendung einfach. Um einen neuen<br />

Kernel auszuprobieren, legt man diesen<br />

einfach mit dem Namen »uImage« in das<br />

Verzeichnis »/var/lib/tftpboot/«. Beim<br />

nächsten Booten holt sich die Himbeere<br />

den Kernel, legt ihn in den Hauptspeicher<br />

und startet ihn.<br />

Besonders interessant ist diese Technik,<br />

wenn der Benutzer nicht nur den Kernel,


Know-how<br />

www.linux-magazin.de Kern-Technik 12/2013<br />

94<br />

01 usb start<br />

sondern auch das Userland per Netzwerk<br />

lädt. <strong>Linux</strong> bietet mit der Technologie<br />

Initram-FS [5] die Möglichkeit, einen Teil<br />

des Hauptspeichers als eine Art Ramdisk<br />

zu verwenden, in der sich die zum<br />

Betrieb notwendigen Verzeichnisse und<br />

Dateien befinden. Dieses Verfahren wird<br />

vor allem für eingebettete System eingesetzt<br />

und bringt einige Vorteile: Mit jedem<br />

<strong>Neu</strong>start liegt ein konsistentes Filesystem<br />

vor, auch wenn dem System mal<br />

der Strom abgeschaltet wurde, ohne es<br />

sauber herunterzufahren. Ein Filesystem-<br />

Check ist daher unnötig.<br />

Alles im Speicher<br />

Das System lässt sich einfach durch Austausch<br />

der zugehörigen Imagedatei aktualisieren,<br />

der Zugriff ist sehr schnell, da<br />

die Daten alle im Hauptspeicher liegen.<br />

Das typischerweise schlanke Initram-FS<br />

bootet deutlich schneller als ein ausgewachsenes<br />

Userland von Raspbian. Al-<br />

02 dhcp 00200000 192.168.178.25:uImage<br />

03 tftpboot 00f00000 192.168.178.25:initramfs.uboot<br />

04 bootm 00200000 00f00000<br />

01 mkdir ~/linux‐magazin<br />

02 cd ~/linux‐magazin<br />

Listing 3: U-Kernel und Initram-FS<br />

laden<br />

Listing 4: Generieren einer Cross-<br />

Toolchain<br />

03 wget http://www.buildroot.net/downloads/<br />

buildroot‐2013.08.1.tar.bz2<br />

04 tar xvf buildroot‐2013.08.1.bz2<br />

05 cd buildroot‐2013.08.1<br />

06 make rpi_defconfig<br />

07 make toolchain<br />

01 cd ~/linux‐magazin<br />

02 git clone git://github.com/gonzoua/u‐boot‐pi<br />

03 cd u‐boot‐pi<br />

Listing 5: Generieren von U-Boot<br />

04 export CROSS_COMPILE=arm‐linux‐<br />

05 PATH=$PATH:~/linux‐magazin/buildroot‐2013.08.1/<br />

output/host/usr/bin/<br />

06 make rpi_b_config<br />

07 make rpi_b<br />

08 cd ..<br />

09 git clone http://github.com/raspberrypi/tools<br />

10 cd tools/mkimage/<br />

11 ./imagetool‐uncompressed.py ../../u‐boot‐pi/<br />

u‐boot.bin<br />

12 cp kernel.img ~/linux‐magazin/<br />

lerdings befinden sich Änderungen im<br />

Userland zunächst nur im RAM, gehen<br />

also beim nächsten Reboot ohne weitere<br />

Maßnahmen verloren.<br />

Um ein Initram-FS zu nutzen, muss der<br />

Anwender den Kernel passend konfigurieren.<br />

Dazu aktiviert er in der Kernelkonfiguration<br />

mit »make menuconfig«<br />

den Punkt »General setup | Initial RAM<br />

filesystem and RAM disk (initramfs/initrd)<br />

support«. Danach übersetzt er den<br />

Kernel und legt ihn auf den Tftp-Server:<br />

make uImage ARCH=arm CROSS_COMPILE=U<br />

arm‐linux‐gnueabicp<br />

arch/arm/boot/uImage /var/lib/tftpboot/<br />

Daneben ist das Initram-FS als solches<br />

erforderlich. Der Einfachheit halber gibt<br />

es auf der Delug-DVD und dem Server<br />

des <strong>Linux</strong>-<strong>Magazin</strong>s ein schlankes Initram-FS,<br />

das sich für Tests eignet [2].<br />

Der Benutzer kann sich darauf mit dem<br />

Passwort »root« als Root anmelden. Viele<br />

Befehle sind allerdings nicht eingebaut,<br />

denn es dient hauptsächlich zur Demonstration<br />

des Bootprozesses.<br />

Jetzt fehlt nur noch das U-Boot-Skri