Linux-Magazin Neu formieren! (Vorschau)

12/13
Anzeige:
NeU
siehe
STRATO iST eRSTeR Hoster Deutschlands von
Servern mit neuester Intel® Xeon® E5-v2-CPU.
nächste Seite
strato-pro.de
STR1113_DE_TKS_Dedi-Server_120x17_v2.indd 1
22.10.2013 15:28:32 Uhr
Vier Tools, um 25
Minuten zu arbeiten
Die Pomodoro-Technik animiert ihre
Benutzer, sich zu konzentrieren S. 48
Schöner Schein
Warum Googles Businesspro
duk te so toll sind, und
warum das egal ist S. 56
Xeon Phi
Zum Mitrechnen: Alles
über Intels Antwort auf
Nvidias Tesla-Karten S. 82
Neu formieren!
Wie Admins durch Umorganisieren und agile Methoden
heldenhaft den Alltag meistern
■ Devops, Scrum und Kanban krempeln um S. 24
■ Report: Admins im Wandel der Zeit S. 30
■ Wie das Selbstmach-Portal Etsy auch
den eigenen IT-Betrieb gebacken kriegt S. 34
■ Organisation und Skalierung
im Rechenzentrum S. 36
■ ITIL hilft zu professionalisieren – wirklich S. 38
■ Bibel bald in Neuauflage: „The Practice of
System and Network Administration S. 44
■ Android- und I-OS-Tools für Sysadmins S. 68
■ Stein der Weisen: Lego Mindstorms EV3 S. 86
Dank U-Boot-Einsatz und Spezialkernel: Raspberry Pi bootet übers Netz S. 90
www.linux-magazin.de
Deutschland Österreich Schweiz Benelux Spanien Italien
4 6,40 4 7,05 sfr 12,80 4 7,50 4 8,30 4 8,30
4 192587 306401 12

Vernunft im Volke
Login 12/2013
Editorial
Die weltweit angelegte Bespitzelung von Prism und Tempora machen klar,
die Bezeichnung „staatliche Überwachung“ greift zu kurz. Jeder Mensch ist
nunmal in jedem Land außer dem eigenen per se ein Ausländer – und damit,
wie Snowden bekannt gemacht hat, abhörtechnisch Freiwild. Offensichtlich
existieren weder für den überwachten Bürger als Individuum noch für dessen
Land juristische Wege der Gegenwehr (siehe auch den Rechtsartikel in diesem
Magazin). Hinzu kommt der machtpolitische Aspekt, dass Regierungen,
die mit den USA den stärksten Freund aller Zeit haben, sich schlicht nicht
trauen, gegen dessen Tun zu opponieren.
www.linux-magazin.de
3
Es spricht wenig dafür, dass sich die Probleme mit der Zeit von allein oder
national lösen werden. Um das Übel an der Wurzel zu packen, bedürfte es
eines international ausgehandelten Regelwerks, das Mindeststandards für
bürgerliche Freiheiten beim Datenschutz festschreibt und sanktioniert.
Jan Kleinert, Chefredakteur
Den Anstoß für eine Diskussion, die Verhandlungen und die Ausgestaltung müssten, praktisch gesehen, von
den Regierungen der wichtigen Industriestaaten ausgehen. Dass bei diesem Thema so wenig Bewegung
wahrnehmbar ist, liegt zuförderst daran, dass Regierungen wie die deutsche dazu mit einem starken Mandat
ihrer Bürger ausgestattet sein müssten – und das sind sie nicht.
Bei aller medial gefühlten Prism-Empörung: Den Bürger in der Masse interessiert die EEG-Umlage im
Strompreis oder die Bankenrettung ungleich mehr als die (vermeintlich) abstrakte Gefahr vom Ausland aus
abgehört zu werden. Seit dem 1883 geborenen Philosophen und Psychiater Karl Jaspers ist bekannt: „Was
nicht in die Masse dringt, ist unwirksam.“
Mit der deutschen Bundestagswahl ist diese These schnell belegt – im Wahlkampf hat das Thema keine Rolle
gespielt, und Parteien, die eines gelegentlichen Interesses an der Datenhoheit des Einzelnen verdächtig
waren, sind parlamentarisch marginalisiert (Die Linke, B90/​Grüne) oder gar nicht vertreten (Piraten, FDP).
Dem Wähler sei dank darf niemand es der nächsten Bundesregierung vorwerfen, wenn sie das Thema Datenschutz
international nicht oder nur am Katzentisch vorbringt.
Obwohl nunmehr als demokratisches Minderheitenproblem ausgemacht, wäre jede Form der Wahlnachlese
unvollständig ohne eine kräftige Ohrfeige für die Piraten: 2,2 Prozent lautet ihr Ergebnis. Bei mehreren
Landtagswahlen ein Jahr zuvor erbeutete die auf digitale Bürgerrechte spezialisierte Partei sieben Prozent
und mehr – und das ohne das ganze Snowden-Wissen von heute. Das Versagen einer Partei gegenüber ihren
Anhängern kann größer kaum sein.
Vom Desinteresse ihrer Landsleute Irritierte, deren Wählerstimmen auf die eine oder andere Weise verhallt
sind, finden bei Karl Jaspers wenn nicht Trost, so doch aber eine Erklärung: „Die Demokratie setzt die Vernunft
im Volke voraus, die sie erst hervorbringen soll.“

Inhalt
www.linux-magazin.de 12/2013 12/2013
4
Viele IT-Abteilungen arbeiten in historisch gewachsenen Strukturen. Mit der Menge der verwalteten
Systeme und der Komplexität der Dienste kommen solche Abteilungen in die Krise.
Der Schwerpunkt „Neu formieren!“ recherchiert in Theorie und Praxis neue Organisationsformen,
in denen Admins ihre Aufgaben heldenhaft und intelligent umsortieren.
Aktuell
Titelthema: Neu formieren!
6 N ew s
n Open Elec 3.2.0 verbessert Mediacenter
n Open-Source-Mining auf Asteroiden
n Ubuntu anonymisiert Dash-Suche
24 Scrum und Kanban
Titel
Wie organisiert eine moderne Firma
ihren IT-Betrieb? Zwei deutsche Linux-
Unternehmen unter der Lupe.
36 Tausende gleiche Server
Skaleneffekt: Hosting-Firmen profitieren
von moderner Organisation besonders.
38 ITIL in der Praxis
Professionell Umbauen mit den Erfahrungen
aus der IT Infrastructure Library.
Gnome 3.10 ist da und bringt eine überarbeitete
Aktivitätenansicht mit.
12 Zahlen & Trends
n Red Hat wächst zweistellig
n Open-ZFS-Projekt gestartet
Frischer Wind dank agiler Administration.
30 Moderne Admins
Das Berufsbild des Systemadministrators
hat sich verändert.
34 Devops bei Etsy
Ein Administrator erläutert, wie die IT
bei einem New Yorker Online versandhändler
funktioniert.
ITIL hilft IT-Strukturen zu organisieren.
44 Bibel-Autoren im Gespräch
Eine Neuauflage der 1000-seitigen
Sysadmin-Bibel soll 2014 erscheinen.
Angeblich gut bedienbar: Der Steam Controller.
18 Zacks Kernel-News
n H8/300-Architektur am Ende
n Diskussionen um Rename-Funktionen
20 OX Summit 2013
Die Open-Xchange-Community auf St. Pauli.
Stargast beim OXS13: Phil Zimmermann (rechts).
Handgemachtes verkauft die Webseite von Etsy.
DELUG-DVD
Ubuntu 13.10
TOOL
Bootet von DVD: Die Server
Edition von Canonicals gerade
erschienenem Neuling
Virtual Appliance
TOOL
TOOL
TOOL
Zum sofortigen Loslegen:
Owncloud 5.0.12 korrekt installiert
auf Open Suse 12.3
TOOL
„Die Admins nicht im Regen stehen lassen!“
Details zu DVD-
TOOL
Inhalten auf S. 47
E-Book komplett
Auf 480 Seiten: „Die Kunst des
Projekt manage ments“
Debconf 2013
Videos: Prominente Debian-Freunde
beim Entwicklertreffen, Teil II
Software-Suite
Passend zu den Artikeln im Heft

12/2013 12/2013
Inhalt
48 Catch up!
Die einfache Zeitmanagementtechnik
Pomodoro kommt langsam in der agilen
Programmierung an. Doch bedarf es
dafür der richtigen Tomaten-Tools.
68 Der Admin-Touch
Ob SSH, Remote Desktops, Sniffer,
Pentests oder VPN: Immer mehr Apps
gestatten den Zugriff auf Linux-Server
auch von Android-Tablets aus.
86 Linux-Lego
In der neuesten Generation der Mindstorms-Serie
EV 3 von Lego schlägt
ein waschechtes Linux-Herz auf ARM-
Basis.
www.linux-magazin.de
5
Software
Sysadmin
Hardware
47
Einführung
Auf der DELUG-DVD: Ubuntu 13.10 Server,
Owncloud auf Suse 12.3, ein E-Book übers
Projektmanagement und Debconf-Videos.
48 Bitparade
Titel
Wider die Prokrastination: Vier Tools
wollen mit der Pomodoro-Technik das
Zeitmanagement optimieren.
54 Tooltipps
Dialog 1.2, Virtenv 0.8.6, Collectd 5.4.0,
Convmv 1.15, und Ngircd 20.3.
61 Einführung
Aus dem Alltag eines Sysadmin: Charly
pfeift auf alte Grundsätze und wechselt
seinen Logfile-Auswerter.
62 Kolab 3.1
I-Rony bringt Caldav und Carddav auf
Mac, Linux und Windows.
82 Xeon Phi
Titel
Intels Tesla-Alternative packt auf eine
Beschleunigerkarte zahlreiche CPU-Cores.
86 Lego EV 3
Titel
Lego Mindstorms setzt auf Linux, aber
leider bisher nur intern.
Know-how
90 Kern-Technik – Folge 71
Titel
Kernel- und Treiberprogrammierung mit
dem Linux-Kernel.
LXC-Verwaltung leicht machen will Virtenv.
Die iPhone-App Erinnerungen gleicht alle Aufgaben
mit dem Kolab Server ab.
68 Admin‘s Little Helper
Titel
Apps zur Linux-Remote-Administration
unter Android und I-OS.
96 Web-RTC-Hack
Sicherheitsrisiken in HTML-5-Websockets.
56 Google Business Apps
Titel
Fünf Enterprise-Angebote von Google.
Googles Search-Appliance für Unternehmen.
Service
Forum
74 Bücher
Bücher über Legoprogrammierung
und gutes Webdesign
76 Recht
Prism, Tempora und Co.: Wer wann wen
und wie abhören darf. US-, EU- und deutsches
Recht im Schnelldurchlauf.
Nur Safari prüft die Herkunft der Skripte.
Programmieren
100 C++11 – Folge 13
Modernes C++ in der Praxis - Folge 13:
Neue Hashtabellen machen C++ Beine.
104 Perl-Snapshot
Die Webcam protokolliert auf Microblog.
3 Editorial
108 IT-Profimarkt
109 Seminare
112 Veranstaltungen
112 Inserenten
113 Impressum
114 Vorschau
78 Abhörsicherheit
Gastkommentar: Abhörsicherheit, VPNs,
VoIP und Open Source.
80 Leserbriefe
Auf den Punkt gebracht.
Mit Oauth meldet sich das Skript bei Tumblr an.

Aktuell
www.linux-magazin.de News 12/2013
6
News
Open Elec 3.2.0: Optimiertes Mediacenter
Ein Wizard führt den Anwender durch die Konfiguration der Mediacenter-
Distribution Open Elec.
Open Elec, eine Linux-Distribution
für Mediacenter auf
XBMC-Basis, ist in der neuen
stabilen Version 3.2.0 erhältlich.
Deren Macher haben die
verwendete Mediacenter-Anwendung
XMBC in Version 12
(Frodo) genommen und um
Features aus dem Entwicklerzweig
Gotham bereichert.
Zudem verbesserten sie die
Performance für den Einsatz
auf dem Raspberry Pi.
Als Kernel kommt Linux 3.10
zum Einsatz, den Grafikstack
aktualisieren Mesa 9.2 sowie
neue Treiber für AMD-, Intel-
und Nvidia-Karten. Ebenso
hat das Audiosystem ein
Update auf die Alsa-Version
1.0.27 erhalten. Außerdem
haben die Entwickler von
Open Elec an den Netzwerk-
und Bluetooth-Fähigkeiten gearbeitet,
wodurch Open Elec
neuerdings Bluetooth-Tastaturen
und ‐Datei-Übertragungen
unterstützt.
Weitere Details zur neuen Version
finden sich in der Release-Mitteilung
des Projekts.
Open Elec 3.2.0 steht unter
der URL [http://​openelec.​tv/​
​get‐openelec] für die Plattformen
i386 und x86_64 bereit,
daneben gibt es Builds für die
Nvidia-Ion- und AMD-Fusion-
Plattform, für Apple-TV- und
Arctic-MC001-Hardware sowie
für den Raspberry Pi. n
Mehr Cloud: Red Hat Storage Server 2.1
Raspyfi 1.0 für audiophile Pi-Nutzer
Der Red Hat Storage Server
erhält verbesserte Cloudfeatures
und erhöht die Kompatibilität
zu Windows. Zu
den neuen Funktionen der
Version 2.1 gehört die umfassende
Unterstützung für das
Cloud-Computing-Framework
Open Stack: Der Storageserver
lässt sich mit einem privaten
Cloudstack integrieren,
inklusive des Object-Storage-
(Swift)-API-Layers aus der
Grizzly-Release. Er dient als
Speicher-Backend für den
Blockspeicher Cinder und den
Imageservice Glance.
Daneben verbessert sich
mit der Nutzung des Server-
Message-Block-Protokolls in
Version 2.0 (SMB 2) die Zusammenarbeit
mit Windows-
Maschinen. Dank seiner Active-Directory-Unterstützung
übernimmt der Storageserver
so auch Dienste für das Redmonder
Betriebssystem. Zudem
bringt die neue Version
eine verbesserte Geo-Replikation
mit, und beim Servermanagement
verspricht die
Integration mit Red Hat Satellite
Vorteile bei Installation,
Administration und Provisionierung.
Der Hersteller bietet Webcasts
passend zum Thema an, die
jedoch eine Registrierung
erfordern. Weitere Informationen
liefert die Produktseite,
Interessierte können den
Server darüber hinaus in der
Amazon-Cloud unter [https://​
​testdrive.​redhat.​com] testen. n
Eine audiophile Distribution
für Raspberry-Pi-Nutzer versprechen
die Macher von Raspyfi
[http://​www.​raspyfi.​com], die
kürzlich Version 1.0 veröffentlicht
haben. Die Ankündigung
beginnt mit dem Hinweis auf
wichtige Reparaturen: So
wurden einige Parameter optimiert,
um Zugriffe auf das
NAS zu vereinfachen.
Neu in Version 1.0 ist die
Weboberfläche, die man über
die Eingabe von »http://raspyfi/«
in die URL-Leiste eines
Browsers erreicht. Über
sie lässt sich der Audioplayer
plattformübergreifend konfigurieren.
Radiostationen kann
man über die Weboberfläche
integrieren. Dazu genügt es,
Links zu Radio-Playlists im
PLS- oder M3U-Format anzugeben
und zu speichern.
Out of the Box unterstützt Raspyfi
Airplay und lässt sich so
als entfernte Soundausgabe
für Mobilgeräte nutzen, wenn
man vor dem Einsatz das lokale
Abspielen beendet. Schon
länger unterstützt Raspyfi die
Onlinedienste Soundcloud,
Last.fm und Spotify. Neu ist
der Support für RAM-Play: Dabei
kopieren Anwender bis zu
256 MByte an Dateien in den
RAM-Play Samba Share, die
Raspyfi dann abspielt.
Raspyfi basiert auf der ARM-
Version von Debian, verwendet
den Music Player Daemon
und unterstützt zudem fast
alle USB-basierten Digital-
Analog-Konverter. n

Crowdfunding verbessert OOXML-Support für freie Bürosuiten
Wie die Arbeitsgruppe Office
Interoperability der OSBA in
einer Pressemitteilung [http://​
​osb‐alliance.​de/​index.​php?​id=120]
Mitte September bekannt gab,
haben der Linux-Distributor
Suse, der Hamburger Libre-
Office-Spezialist Lanedo und
einige Behörden unter Leitung
des Linux-Verbands die
Unterstützung für Microsofts
XML-Format OOXML in Libre
Office und Apache Open Office
deutlich verbessert.
Gemeinsam investierten sie
160 000 Euro, um die gewünschten
Änderungen zu
erhalten. Die Funktionen
werden schon bald über die
Versionen 3.6 und 4.1 von
Libre Office respektive Apache
Open Office an die Öffentlichkeit
weitergegeben. Das
ist kein Zufall: Die Quellcode-
Lizenzierung unter Apache-
2.0-Lizenz und die Upstream-
Weitergabe waren in der Spezifikation
vorgegeben. n
News 12/2013
Aktuell
www.linux-magazin.de
7
Suse bringt Qemu-AArch64-Port
Ubuntu 13.10 anonymisiert Dash-Suche
Software-Entwickler, die für
die 64-Bit-ARM-Plattform entwickeln,
wird diese Nachricht
freuen: Suse hat den eigenen
AArch64-Port für Qemu freigegeben.
In der Emulation
lasse sich AArch64-Code deutlich
schneller bauen, schreiben
die Entwickler in ihrer
Ankündigung. Konkret ginge
es zehn bis zwanzig Mal flotter
als nach dem Foundation-
Modell von ARM.
Der Code sei Bestandteil des
ARM-64-Projekts von Open
Suse und dank einer Vereinbarung
mit ARM bereits auf
dem Weg in die Quellen des
Qemu-Projekts. In den letzten
Monaten hat Open Suse
immer wieder mit Meldungen
rund um den ARM-Support
für Aufsehen gesorgt, erst
ab Version 12.3 veröffentlichte
man jedoch die ersten
AArch64-Images.
n
Für seine Suchfunktion im
Dash hat Ubuntu reichlich
Prügel einstecken müssen,
unter anderem von Richard
Stallman. Der hatte die darin
integrierte Amazon-Suche als
Spyware bezeichnet. Etwas
neutraler hatte die EFF (Electronic
Frontier Foundation)
ihre Kritik an der Dash-Suchfunktion
formuliert.
Bislang gab die standardmäßig
aktivierte Suche Anfragen an
Amazon weiter, das Dash präsentierte
die Suchergebnisse.
Zwar wanderten die Begriffe
selbst verschlüsselt über Canonicals
Produktserver, doch
die Bilder holte der Browser
per HTTP ab, Angreifer hätten
die Benutzer also zuordnen
können. Das soll sich ab
Ubuntu 13.10 ändern: Laut
Entwickler David Callé anonymisieren
Canonicals Server
nun auch die Bildanfragen. n
Viele Änderungen in Apache Open Office 4.0
Eine Sidebar gehöre zu den
wesentlichen Neuerungen
von Apache Open Office 4.0,
schreiben die Macher der freien
Bürosuite in den Release
Notes. Sie mache im Vergleich
zu traditionellen Toolbars einen
besseren Gebrauch der
populären Widescreens.
Die auf der Sidebar abgebildeten
Menüs richten sich
dabei kontextabhängig nach
der vom User ausgewählten
Aufgabe. Es handelt sich um
mehrere, übereinander gestapelte
Bereiche, die sich
einklappen lassen. Die Breite
lässt sich ändern, die Sidebar
auch freischwebend verwenden.
Das ermöglicht es, sie im
Dualbetrieb auf einen zweiten
Bildschirm zu verschieben.
Daneben wurde die Interoperabilität
mit Microsoft Word
verbessert: AOO 4.0 unterstützt
die grafischen Bullets
von MS Word 2003 und stellt
auch sonst fortlaufende Nummerierungen,
Bullets und Referenzen
konsistenter dar. Das
Präsentationsmodul bildet die
Hintergründe in Tabellen und
auf der Masterseite, grafische
Apache Open Office 4.0 glänzt mit einer ganzen Reihe von Neuerungen, unter
anderem einer Sidebar.
Nummerierungen sowie Konnektoren
besser ab.
Beim Import von DOCX-Dokumenten
stimmen nun die Outline-Level,
die Hintergrundund
Schriftfarben in Tabellen
und die Nummerierungs- und
Bullet-Typen. Es gibt neue
Farbverläufe und eine erweiterte
Farbpalette. Die Galerie
kann nun SVG-Grafiken verwalten,
einige Grafiken da rin
wurden bereits umgestellt
oder ergänzt. Beim Erstellen
von Bitmap-Füllungen stellt
AOO 4.0 nun Transparenzen
dar und nutzt Anti-Aliasing –
Letzteres klappt auch für die
Druckvorschau. Einen Überblick
der vielen Neuerungen
geben die Release Notes. n

Aktuell
www.linux-magazin.de News 12/2013
8
Rubygems 2.1.1 mit besserem Resolver
Rubygems, das Paketsystem
für die Programmiersprache
Ruby, ist in Version 2.1.1 mit
neuen Features verfügbar.
Tatsächlich brachte bereits
Version 2.1.0 die Neuerungen
mit, doch wurde die 2.1.1
noch rasch als Bugfix hinterhergeschoben.
Der behebt die
Sicherheitslücke CVE-2013-
4287, die Angreifern eine
Denial-of-Service-Attacke mit
speziell präparierten Gems
ermöglichte.
Daneben erhielt Rubygems einen
neuen Resolver, der dem
im Bundler ähnelt. Er kann
Abhängigkeiten auflösen, bei
denen sein Vorgänger versagte,
und gibt zudem aussagekräftigere
Meldungen aus.
Hinzu kommen Verbesserungen
beim Bau von Gems für
die ARM-Plattformen.
Weitere Details finden sich in
der Release-Mitteilung [http://​
​blog.​rubygems.​org]. Zur Aktualisierung
von Rubygems reicht
meist der Befehl »gem update
‐‐system« aus. Der MIT-lizenzierte
Quellcode des Projekts
steht auf Github bereit. n
Gnome-Desktop in Version 3.10 veröffentlicht
Nachdem bereits mehrere
Komponenten erschienen
waren, kündigte Entwickler
Matthias Clasen am 25. September
die fertige Version 3.10
des Gnome-Desktops an. Zu
den neuen Features gehören
ein Application Picker in der
Aktivitätenansicht, ein neu
designter Systemstatus-Bereich,
Unterstützung für Monitore
mit höherer DPI-Zahl,
die Flickr-Integration in der
Fotoanwendung sowie neue
Anwendungen für Musik,
Kartenmaterial und Notizen.
Auch erwähnenswert ist der
Support für den neuen Displaymanager
Wayland.
Die Ankündigungswebseite
[http://​www.​gnome.​org/​gnome‐3/]
zählt neben der Aktivitätenansicht,
die Suchfunktion,
ein ausgefeiltes, bei Bedarf
abschaltbares Benachrichtigungssystem
sowie die gute
Integration mit Onlinediensten
zu den Vorteilen von
Gnome 3.10. Laut Angaben
auf der Downloadseite lässt
sich Gnome in den nächsten
Ausgaben von Fedora, Open
Gnome 3.10 ist da und bringt unter anderem eine überarbeitete Aktivitätenansicht mit.
Suse und Ubuntu installieren,
doch auch andere Distributionen
wie Arch Linux und
Debian haben den Desktop im
Gepäck.
n
Quelle: http://www.gnome.org/gnome-3/
Coverity: Python-Code ist exzellent
Party-Tier: GNU feiert 30. Geburtstag
Eine Analyse des Quelltext-
Spezialisten Coverity stellt
der Standardimplementierung
von Python ein hervorragendes
Qualitätszeugnis aus.
Nur 0,005 Fehler in 1000 Zeilen
Code weise die Software
des Python-Projekts auf, so
schreibt das Unternehmen.
Zum Vergleich: In der Software-Industrie
insgesamt liegt
der Durchschnitt ungefähr bei
1,0, in der Open-Source-Welt
bei 0,69 Prozent.
Python hält die hohe Qualität
seit dem Jahr 2006. Coveritys
Scan hat bisher insgesamt
rund 400 000 Zeilen Python-
Code analysiert und dabei 996
Defekte gefunden, von denen
die Python-Community bereits
860 behoben hat. n
Am 27. September 1983 hatte
Richard M. Stallman aus Ärger
über proprietäre Software
(konkret ging es wohl um einen
Druckertreiber) seine Pläne,
eine Free Software Foundation
zu gründen, öffentlich
gemacht. Daraus entstanden
GNU, GPL und weite Teile der
Freie-Software-Bewegung, die
auch Linux (oder wie Stallman
insistiert „GNU/​Linux“)
prägten.
Im Rahmen der „30 Days of
GNU“ im September hatte das
Projekt seinen Fans jeden Tag
eine andere sinnvolle Aktion
rund um Freie Software vorgeschlagen.
Abgeschlossen wurde
die Party am Wochenende
mit der offiziellen Feier am
MIT und einem Hackathon.n

Rust in Version 0.8 erschienen
Rust, Mozillas keinesfalls
eingerostete hauseigene Programmiersprache
[http://rustlang.org],
hat Ende September
Version 0.8 erreicht. Die Entwickler
feilen aktuell an der
Standardbibliothek.
Für Version 0.8 wurde die
Loop-Syntax für das »For«-
Keyword geändert, sodass es
nun mit der »Iterator«-Eigenschaft
funktioniert. Die Standardbibliothek
verwendet eine
neue Rust-Runtime und ein
dazu passendes und noch experimentelles
I/O-Subsystem
namens »rt::io«. Eine Familie
von »Format«-Makros für
Strings soll künftig eventuell
»fmt« ersetzen. Außerdem ist
»Copy« kein Keyword mehr,
sondern wird in der neuen
Version durch die Eigenschaft
»Clone« ersetzt.
Alle Tools verfügen nun
über Manpages, die Variable
»RUST_TEST_TASKS« steuert
die Zahl der parallel laufenden
Test-Tasks. Es gibt noch
Dutzende weiterer Änderungen,
die das Mailinglisten-
Anouncement in aller Ausführlichkeit
auflistet.
Rust befindet sich noch in
lebhafter Entwicklung, daher
können sich Komponenten,
Module oder Eigenschaften
noch permanent ändern. Mit
Hilfe der Programmiersprache
sollen Entwickler nach
Vorstellung von Mozilla in
Zukunft größere Client- und
Serveranwendungen entwickeln,
die über das Internet
benutzbar sind. Daher liege
der Fokus laut Projekt auf
Sicherheit, Performance und
Nebenläufigkeit. n
Open Suse sucht Gastgeber für OSC 15
„Wenn man Spaß hat, dann
verfliegt die Zeit“, damit begann
Open-Suse-Board-Member
Robert Schweikert seine
Mail mit dem Betreff „oSC15
Location“.
Obwohl die Susecon [http://​
​www.​susecon.​com/] in Florida
Ende November erst noch ansteht
und die Entwickler die
OSC 13 in Thessaloniki gerade
erst hinter sich gebracht
haben, sei es laut Schweikert
an der Zeit, einen Gastgeber
für die Open Suse Conference
2015 zu suchen und auszuwählen.
Im April 2014 werde die Community-Veranstaltung
der
Suse-Welt im kroatischen Dubrovnik
stattfinden, und dort
solle mindestens ein Mitglied
der 2015er Veranstaltung anwesend
sein, um die nächste
Location zu (re)präsentieren.
Wer glaubt, seine Stadt sei
dafür perfekt geeignet, der
könne eine Mail an [opensuse​
-project@opensuse.org] oder
[board@opensuse.org] schicken.
Das solle aber idealerweise
erst dann passieren, nachdem
sich der Bewerber durch die
To-do-Listen im Wiki gearbeitet
und die Voraussetzungen
geprüft hat.
Die Veranstaltung soll im
März, April oder Mai 2015
stattfinden, etwa ein Jahr
nach der OSC 14. Erforderlich
seien etwa öffentlicher Nahverkehr,
genügend Unterkünfte
und ein wenig Erfahrung
seitens der Organisatoren im
Umgang mit Konferenzen,
schreibt Schweikert. n

Aktuell
www.linux-magazin.de News 12/2013
10
Kurznachrichten
VLC 2.1.0: Der freie Videolan Client (VLC) ist ein multifunktionaler Mediaplayer.
Neu: Die Entwickler haben das Audiosystem des Players komplett
überarbeitet, das nun korrekt die Multi-Channel-Layouts 5.1, 6.1 und 7.1
wiedergibt. Die Open-GL-Ausgabe wurde für Embedded- und Mobilsysteme
nach Open GL ES portiert. VLC 2.1.0 beherrscht Hardwaredecoding für
Linux mit VDPAU, für Android via Media-Codec. Lizenz: GPLv2, LGPLv2.1+
[https://​videolan.​org]
Juju GUI 0.10.0: Grafische Oberfläche für Juju, Canonicals Tool zur Service-Orchestrierung.
Neu: Der neue Service Inspector erlaubt es, die
Detailinformationen zu den Diensten sowie die erstellten Units im Auge
zu behalten, ohne den Blick auf die Gesamtstruktur an Diensten zu verlieren.
Änderungen an Diensten und Units zeigt der Inspector sofort an und
weist auf potenzielle Konflikte hin, wenn der Admin einen Wert ändert,
der mit einer Hardwarekonfiguration kollidiert. Lizenz: GPLv3 [https://​
​jujucharms.​com]
Nuxis 2.0: Freie Lösung für das Virtualisierungsmanagement. Neu: Der
Kernel von Nuxis 2.0 trägt nun die Versionsnummer 3.4.61, Xen die 4.2.3
und Libvirt die 0.10.2.6. Nuxis kann die Größe physischer Volumes ändern,
schlägt Alarm, wenn einem Snapshot kein freier Platz mehr zur Verfügung
steht, und kann nun I-SCSI Storage konfigurieren. Die Website listet zudem
eine Reihe von Bugfixes auf. Lizenz: GPLv2 [http://​www.​nuxis.​com]
Pycharm 3.0: Plattformübergreifende Python-IDE der Firma Jetbrains.
Neu: Die freie Community Edition bringt nun ein vollständiges, eingebettetes
Terminal mit. Neue Refactoring-Tools sollen dabei helfen, den
Code zu verwalten und zu optimieren, zugleich hat man die Code-Analyse
verbessert, sodass Pycharm Fehler und merkwürdigen Code einfacher
findet. Die Vervollständigung arbeitet nun intelligenter, ein Variablen-
Inspektor lässt den Entwickler die Inhalte von Variablen besser tracken.
Lizenz: Apache-2.0-Lizenz (Community Edition) [http://​www.​jetbrains.​
​com/​pycharm/]
Rethinkdb 1.10: Rethinkdb ist eine noch junge No-SQL-Datenbank mit einer
einfachen Query Language (ReQL) und Support für Joins, die Map Reduce
für Abfragen verwendet. Neu: Die neue Multi-Indexierungsfunktion ermöglicht
es, mehrere Indexwerte für ein Dokument anzulegen, was ganze
Klassen von Querys beschleunigen soll. Für kleine Integerwerte verwendet
Rethinkdb nun ein Integer-Encoding in Variablenlänge und nicht mehr
Double Precision, was die Performance von Dateisystem- und Netzwerkbezogenen
Arbeitsgängen beschleunigt. Dank dieser und anderer kleiner
Änderungen sollen die erzeugten Json-Dokumente 30 Prozent weniger
Plattenplatz belegen. Nicht zuletzt wurde die Skalierbarkeit von Rethinkdb
auf Servern mit vielen Kernen optimiert. Lizenz: AGPLv3.0 (Server),
Apache-2.0-Lizenz (Clients) [http://​rethinkdb.​com]
Open-Source-Mining im Asteroidengürtel
Die amerikanische Firma
Pla netary Resources [http://​
​planetaryresources.​com] möchte
mit Hilfe von Low-Cost-
Raumschiffen, Linux und viel
Open-Source-Software Himmelskörper
im Sonnensystem
nach Rohstoffen durchforsten
und diese abbauen.
Was stark nach Science-Fiction
klingt, soll schon bald
Realität werden: Marc Allen
und Ray Ramadorai, beide arbeiten
als Ingenieure in der
Firma, stellten auf der Linuxcon
ihr Konzept vor.
Unter dem Namen „Building
the Deep Space Data Center –
How Linux and Open Source
Technologies are Enabling Asteroid
Mining“ berichteten die
beiden Wissenschaftler über
die fortlaufenden Entwicklungen.
Hinter der Firma stecken
prominente Investoren und
Supporter wie Peter Diamandis
(Xprize), Chris Lewicki
(Nasa), Richard Branson (Virgin
Galactic), Eric Schmidt
und Larry Page (beide Google)
sowie James Cameron (Regisseur
und Abenteurer).
Die Hardware der Sonden setzt
auf kostengünstige Atom-
CPUs und soll dank Linux
deutlich weniger kosten als die
20 000-Dollar-Rechner heutiger
Standard-Raumfahrzeuge.
Preisgünstige Virtualisierung
erhöhe dabei Sicherheit und
Fehlertoleranz, erklärten die
beiden Techniker. Bereits Anfang
2013 hatte Planetary Resources
für Aufsehen gesorgt,
als das Unternehmen innerhalb
weniger Monate mit einer
Crowdfunding-Kampagne
1,5 Millionen Dollar für das
erste Open-Source-Weltraumteleskop
Arkyd einsammelte,
das sich gegenwärtig in der
Entwicklung befindet. n
Gstreamer 1.2 verbessert Live-Streaming-Support
Mit Version 1.2 erscheint
wieder eine stabile Ausgabe
des Multimedia-Frameworks
Gstreamer [http://​gstreamer.​
​freedesktop.​org/]. Sie bringt einige
neue Plugins, die unter
anderem das Strea ming verbessern:
»mssdemux« kümmert
sich um die Smooth-
Streaming-Technologie von
Microsoft, »dashdemux« um
DASH (Dynamic Adaptive
Streaming over HTTP), den
als ISO/​IEC 23009-1:2012 veröffentlichten
Mpeg-Standard
für dynamisches, adaptives
Streaming.
Das Plugin »bluez« hilft bei
der Interaktion mit Bluetooth-
Geräten, »openjpeg« dekodiert
und enkodiert Jpeg 2000.
Auch Plugins für eine eher
experimentelle Unterstützung
von Daala (»daala«), VP9
(»vpx«) und Webp (»webp«)
sind an Bord.
Die Änderungen am API betreffen
das Teilen von Kontexten
(»GstContext«), den Texturen-Upload,
das Stream-Start-
Event und das »GstMemory«-
Flag für angrenzenden und
nicht mapbaren Speicher. Zu
den Basis-Plugins gesellt sich
»gst‐play‐1.0«, das es erlaubt,
Inhalte testweise auf der Kommandozeile
abzuspielen.
Weitere Details zu den einzelnen
Komponenten und
Download möglichkeiten liefern
die Links in dem Blogeintrag,
der die neue Version
vorstellt. (kki/mfe/mhu/Tim
Schürmann)
n

Aktuell
www.linux-magazin.de Zahlen & Trends 12/2013
12
Zahlen & Trends
Unter Dampf: Steam bekommt OS, Hardware und Controller
Drei wichtige Ankündigungen
in Folge versprach Valve,
Hersteller der Spieleplattform
Steam, für die letzte Septemberwoche
– und lieferte. Das
Unternehmen kündigte ein
eigenes Linux-OS an, das auf
so genannten Steam Machines
läuft und dessen Spiele sich
über den Steam Controller
steuern lassen.
Mit den Steam Machines will
Valve 2014 nicht nur eine,
sondern gleich mehrere Rechner
auf den Markt bringen,
auf denen dann die hauseigene
Linux-Variante Steam
OS arbeiten soll. Zunächst
will man aber einen Prototyp
entwickeln, der sich an den
großen TV-Screen im Wohnzimmer
hängen lässt.
Testen will der Hersteller die
Prototypen im eigenen Haus,
aber auch in Kooperation
mit den Usern: Erfüllen sie
bestimmte Bedingungen, erhalten
300 Nutzer vorab kostenlose
Exemplare der Steam
Machine. Das Testsystem will
Beeindruckend und angeblich recht gut bedienbar: Der Steam Controller.
Quelle: store.steampowered.com
man für Steam OS optimieren.
Die User sollen die Kontrolle
über die Hardware erhalten
und sie erweitern dürfen – ein
Seitenhieb gegen die geschlossenen
Modelle der Konkurrenz
von Sony, Nintendo und
Microsoft. Der Besitzer darf
die Hardware auch austauschen,
eigene Software installieren
und das System hacken.
Nach den Vorstellungen von
Valve sollen die verschiedenen
Steam-Machine-Varianten
durch die Hersteller auf
Größe, Preis, Geräuscharmut
und andere Faktoren hin optimiert
werden.
Zu den Eingabegeräten äußerte
sich Valve gegen Ende
der „Verkündungswoche“
ebenfalls: Zwar kann der
Spieler Maus und Tastatur
anschließen, doch im Fokus
der Entwickler steht der neue
Steam Controller. Recht markant
sind der mittig eingebaute
Bildschirm sowie die
mit den Daumen bedienbaren
Touchpads rechts und links.
Von der Steuerung profitieren
würden laut Valve unter anderem
First Person Shooter,
weil der Benutzer damit sehr
genau zielen könne.
Um das so wichtige Spielesortiment
macht sich Valve
keine Sorgen: Die Firma habe
bereits Hunderte der 3000
verfügbaren Spiele auf Linux
portiert, reine Windows- und
Mac-Spiele wolle sie per Netzwerk-Streaming
zur Verfügung
stellen. Bis 2014 sollen zudem
laut Valve weitere AAA-Titel,
also besonders große und beliebte
Spiele, auf Steam OS
lauffähig sein.
n
Schweizer Open-Data-Portal startet Pilotbetrieb
Das Open-Data-Portal der
Schweizer Bundesverwaltung
hat Mitte September seinen
sechsmonatigen Pilotbetrieb
aufgenommen. Unter [http://​
​opendata.​admin.​ch] stehen Daten
von Bundesarchiv, Nationalbibliothek
und zahlreichen
Schweizer Bundesbehörden
zum Abruf sowie zur Nutzung
bereit. Das Besondere daran:
Bei der Lizenzierung des Materials
kommen freie Lizenzen
zum Einsatz, beispielsweise
steht sehr viel unter der Creative
Commons 0 (CC0). Die
Formate sind allerdings noch
nicht alle offen, den Löwenanteil
der Dateien machen
derzeit ironischerweise Excel-
Sheets aus.
Dennoch: Die parlamentarische
Gruppe „Digitale Nachhaltigkeit“
begrüßte den Start.
Sie setzt sich seit Jahren für
die Open-Data-Bewegung in
der Eidgenossenschaft ein.
Zur gleichen Zeit, vom 16.
bis zum 18. September, tagte
in Genf die Open Knowledge
Conference (OKCon), die
das Thema Open Data zum
Leitmotiv machte. Die dort
aufgenommenen Livestreams
lassen sich nun unter [http://​
​okcon.​org] betrachten. n

Qt-Projekt verabschiedet sich von Webkit
Das Toolkit Qt wird als Browserengine
künftig Blink verwenden,
den Webkit-Fork aus
dem Chromium-Projekt. Das
teilte der Qt-Entwickler Lars
Knoll in dem Blog [http://​blog.​
​qt.​digia.​com] mit. In dem Beitrag
geht er ausführlich auf
die Gründe ein, aus denen
sich das Projekt für Blink und
gegen Apples Webkit als künftige
Qt-Webengine entschieden
hat.
Chromium sei als Cross-Plattform-Software
auf allen Desktop-Betriebssystemen
sowie
auf Android verfügbar, ähnlich
wie Qt. Auf Apples Webkit
treffe das hingegen nicht
mehr zu. Zudem enthalte
Blink bereits Features wie
Web-RTC, die Qt ohne Mehraufwand
übernehmen könne.
Diese beiden Punkte ersparten
dem Qt-Projekt Arbeitszeit,
die es einem benutzerfreundlichen
API und einer
nahtlosen Qt-Integration widmen
könne. Hinzu käme die
gute Qualitätssicherung für
den Browser Chromium, der
insgesamt die progressivste
Entwicklung aufweise.
Knoll räumte jedoch ein, dass
Chromiums Sicherheitskonzept
mit getrennten Prozessen
für einzelne Browsertabs eine
Änderung des Qt-Webkit-API
und des QObject-Embedding
erforderlich mache. Zugleich
beruhigte er aber bisherige
Qt-Webkit-Benutzer: Das Projekt
werde sich bemühen, den
Umstieg auf die neue Webengine
möglichst problemlos
zu gestalten.
Im ersten Schritt soll Qt Webkit
keine neuen Features mehr
erhalten. Die Entwickler werden
sich nach der Release von
Qt 5.2 im Herbst 2013 stattdessen
auf die neue Blink-
Webengine konzentrieren. Sie
soll als Technology Preview
bereits zusammen mit der 5.2
verfügbar sein, eine stabile
Release werde mit Qt 5.3 im
Frühjahr 2014 folgen. n
Q2 2014: Red Hat wächst zweistellig
Einmal mehr gab es die neuen
Quartalszahlen der Linux-
Firma aus Raleigh, und die
sehen nach wie vor gut aus.
Das Quartal endete für die
US-amerikanische Firma am
31. August 2013. Der Umsatz
betrug in diesem Zeitraum
374 Millionen US-Dollar, 16
Prozent mehr als im Vorjahresquartal.
Davon entfielen
327 Millionen auf Software-
Subskriptionen, 17 Prozent
mehr als im Vorjahreszeitraum.
Der Nettogewinn betrug
41 Millionen US-Dollar,
verglichen mit 35 Millionen
im Vorjahresquartal.
Charlie Peters, Executive Vice
President und Chief Financial
Officer, zeigte sich wenig
überraschend mächtig stolz
auf die zweistelligen Wachstumsraten
und das starke
Subskriptionsgeschäft. Der
Red-Hat-CEO Jim Whitehurst
erklärte die guten Zahlen damit,
dass sein Unternehmen
den Kunden überzeugende
Produkte für den Einstieg ins
Cloud Computing biete. Wer
sich für weitere Detailinformationen
zu den Finanzen
des Linux-Distributors interessiert,
wird unter [http://​
​investors.​redhat.​com] fündig. n

Aktuell
www.linux-magazin.de Zahlen & Trends 12/2013
14
Red Hat will Docker integrieren
Der Linux-Spezialist Red
Hat möchte mit Dot Cloud,
dem Anbieter der Container-
Lösung Docker [https://​www.​
​docker.​io], kooperieren, um
seine PaaS-Lösung Open Shift
zu erweitern. Bereits ab Version
0.7 wollen die Docker-
Fabrikanten Pakete für Fedora
bereitstellen.
Das wichtigste Ziel bestünde
darin, dass Docker reibungslos
mit Fedora und Red Hat
Enterprise Linux zusammenarbeite,
schreibt Ben Golub,
Dot Clouds CEO. Vor diesem
Schritt sei eine Reihe technischer
Herausforderungen zu
meistern. Dazu gehöre die Ablösung
des Dateisystems Aufs,
die Dot Cloud erreichen will,
indem Docker zum Thin-Provisioning-Ansatz
von Fedora
wechselt, den der Device Mapper
seit Kernel 3.2 unterstützt.
Das sei zugleich kompatibler
zu den Upstream-Kernelversionen.
Zudem wolle man Libvirt
für das Bereitstellen der
Container einsetzen, deren
Netzwerkfähigkeiten Docker
nutzen könne.
Daneben soll Docker weitere
PaaS-Lösungen unterstützen,
um eine größere Verbreitung
zu finden, Projekte wie Deis,
Flynn und Voxoz verwenden
es bereits. Dank der Integration
in Red Hats Open Shift
könnten beide Technologien
künftig reibungslos zusammenarbeiten,
zudem soll
Docker Teil von Open Shifts
Cartridge-Modell werden. n
Crowdfunding für Synfig Studio
Jüngstes Beispiel für ein
Open-Source-Projekt, das sich
erfolgreich Mittel per Crowdfunding
beschafft, ist Synfig
Studio [http://​www.​synfig.​org].
Die freie 2-D-Animationssoftware
will bei den Unterstützern
Geld einsammeln, diese
dürfen im Gegenzug bei der
Entwicklung mitreden.
Nachdem Synfig Studio im
Mai 2013 bereits eine bedingungslose
Spende über 5000
US-Dollar von der Shuttleworth
Foundation erhalten
hatte, arbeitet Entwickler
Ivan Mahonin seit August in
Vollzeit an der Software. Mit
dem 1. November muss sich
das Projekt allerdings nach
neuen Finanzierungsquellen
umschauen.
Deswegen startete Mitte September
auf Indiegogo eine
bescheidene Finanzierungskampagne
für den Oktober,
über welche die User von
Synfig Studio das Implementieren
bestimmter Features
sponsern. Auf Unterstützer
warten verschiedene Prämien:
Wer etwa 300 US-Dollar zahlt,
kann bestimmen, welches
Projekt im nächsten Monat
Priorität erhält.
Für den Oktober war ein Betrag
von 500 US-Dollar angestrebt,
am Ende kam mehr
zusammen (857 US-Dollar).
Finanziert wird die Arbeit an
einer Single-Window-Oberfläche.
Langfristig will man so
einen Entwickler auf Monatsbasis
finanzieren. n
NSA und GCHQ: „Tor stinkt!“
Gute Nachrichten für das Tor-
Projekt: Von der NSA und
vom britischen Geheimdienst
GCHQ tauchten nun Unterlagen
mit dem Titel „Tor
stinks“ auf, die im Rahmen
eines gemeinsamen Anti-Tor-
Workshop entstanden sind.
Die Folien stammen aus den
Veröffentlichungen des ehemaligen
Geheimdienst-Mitarbeiters
Edward Snowden, der
„Guardian“ hatte sie herausgegeben.
Darin schreiben NSA und
GCHQ: „Wir werden niemals
in der Lage sein, alle Tor-Nutzer
zu jeder Zeit zu enttarnen.“
Und: „Mit Hilfe manueller
Analysen können wir eine
sehr kleine Minderheit von
Tor-Nutzern deanonymisieren,
aber wir werden keinen Erfolg
damit haben, Nutzer auf Anfrage
hin zu enttarnen.“
Das hört auch das Tor-Projekt
gern, das in letzter Zeit oft
der Kooperation verdächtigt
wurde, weil seine Arbeit unter
anderem von Regierungsbehörden
finanziert wird.
Aktuell könne man nur sehr
wenige Nodes überwachen,
heißt es in dem Geheimdienstpapier.
Die Erfolgsrate sei vernachlässigbar,
weil es fast unmöglich
sei, die drei Nodes zu
erwischen, die einen Circuit
ausmachen.
Das mysteriöse Quick-Ant besteht
offenbar darin, mit Hilfe
der kontrollierten Tor-Nodes
nach Benutzern zu suchen,
die zur Tatzeit aus einem
bestimmten Land Anfragen
stellen – eine Suche nach der
Nadel im Heuhaufen.
In völliger Anonymität können
sich Tor-Nutzer dennoch
nicht wähnen, denn die NSA
führt in dem Dokument verschiedene
alternative Angriffswege
auf. Neben der
Dummheit der User betrachten
die Geheimdienste auch
Cookie- und DNS-Attacken
als wirkungsvoll. Hauptangriffsfläche
bieten daher
weiterhin die Browser und
Betriebssysteme der Nutzer.
Davor aber warnen auch die
Tor-Entwickler immer wieder.
Das Tor-Browser-Bundle soll
diese Angriffsfläche möglichst
klein halten.
Trotz Government-Shutdown
äußerte sich später James R.
Clapper, Chef der amerikanischen
Geheimdienste, zu den
Dokumenten. Auch wenn er
nur von „Online Communication
Tools and Technologies“
sprach, zielte sein Statement
wohl auch auf das Ausspionieren
von Tor-Nutzern.
Darin verteidigte Clapper naturgemäß
das Vorgehen der
NSA und sieht keine Fehler
auf Seiten des Geheimdienstes:
„Die Realität ist, dass
die Männer und Frauen der
NSA und in der gesamten
Intelligence-Community die
Gesetze beachten, die Bürgerrechte
respektieren und alles
tun, um dabei zu helfen, die
Sicherheit unserer Nation zu
bewahren.“
Clapper hatte zuletzt einige
Bekanntheit erlangt, als er vor
einem Kongressausschuss verneinte,
dass die NSA Telefondaten
amerikanischer Bürger
sammle. Als er seine Aussage
später aufgrund der Aktenlage
widerrufen musste, begründete
er seine Falschaussage
damit, die „am wenigsten unwahre“
Antwort gewählt zu
haben.
n

Kernel-Statistik 2013
Zum Auftakt der amerikanischen
Linuxcon in New Orleans
hat die Linux Foundation
ihre regelmäßige Statistik
dazu veröffentlicht, welche
Entwickler und Firmen Code
zu Linux beitragen. Der Report
umfasst die Zeitspanne
von April 2012 bis Juli 2013
mit den Kernelversionen 3.3
bis 3.10. Letztere habe die
größte Zahl an Entwicklern in
der Geschichte des Berichts
zu verzeichnen, meldet das
Industriekonsortium.
Daneben zeige der steigende
Linux-Einsatz auf Mobil- und
Embedded-Plattformen Auswirkungen:
Der gemeinsame
Anteil der Embedded-Firmen
Linaro, Samsung und Texas
Instruments ist von 4,4 auf
11 Prozent gestiegen, auch
Google hat mehr Code beigesteuert.
Die zehn Top-Code-
Kontributoren unter den
Unternehmen sind laut dem
jüngsten Bericht Red Hat, Intel,
Texas Instruments, Linaro,
Suse, IBM, Samsung, Google,
Vision Engraving Systems
Consultants und Wolfson Microelectronics.
Das kurze Gastspiel von
Microsoft im Vorjahr gehört
damit klar der Vergangenheit
an. Der komplette Bericht
steht gegen eine Registrierung
bei der Linux Foundation zum
Download bereit.
n
Review für Kryptostandard erneuert
Das National Institute of
Standards and Technology
(NIST) reagierte kürzlich auf
die Vorwürfe, die National
Security Agency (NSA) habe
den Random Number Generator
(RNG) von Dual EC DRBG
manipuliert. Wie die „New
York Times“ im September
berichtete, öffnet die Behörde
als Konsequenz erneut die
Entwürfe für die Standards
800-90A, 800-90B sowie 800-
90C für externe Kommentare.
Sie alle nutzen den kompromittierten
RNG. Mit diesem
Schritt möchte das NIST
verlorenes Vertrauen in die
Sicherheitsstandards zurückgewinnen.
Man würde nicht
mutwillig einen kryptographischen
Standard abschwächen,
heißt es in einem offiziellen
Statement der Behörde
Das NIST arbeitet traditionell
mit Kryptoexperten der NSA
zusammen, um sichere Verschlüsselungsstandards
zu
definieren, auf welche auch
Regierungsbehörden der Vereinigten
Staaten offiziell vertrauen.
Edward Snowdens
Dokumente legen nahe, dass
es der NSA gelungen ist, die
kanadische Delegation aus
dem Standardisierungsprozess
herauszuhalten, den Entwurf
neu zu schreiben und
dadurch zu dessen einzigem
Verfasser zu werden. n
Zahlen & Trends 12/2013
Aktuell
www.linux-magazin.de
15
Anzeige

Aktuell
www.linux-magazin.de Zahlen & Trends 12/2013
16
Secusmart stellt sicheres Smartphone vor
Der Name Edward Snowden
fiel gleich mehrmals in der
Pressekonferenz des Bundesverbandes
IT-Sicherheit e.V.
(Teletrust) und von Secusmart,
die Anfang Oktober in Berlin
stattfand. Kein Wunder, stand
doch in deren Mittelpunkt das
als abhörsicher angepriesene
Handy von Secusmart [http://​
​www.​secusmart.​com], das Hans-
Christoph Quelle, CEO der
Firma, vorstellte.
Es handelt sich um ein für die
sichere Sprach- und Datenübertragung
gehärtetes Blackberry
auf Basis des Modells
Z10 mit Touchscreen. Dieses
erhielt kürzlich eine vorläufige
Zulassung des deutschen
BSI (Bundesamt für Sicherheit
in der Informationstechnik)
für die Geheimhaltungsstufe
„Nur für den Dienstgebrauch“
(VS-NfD). Laut Quelle haben
bereits 23 Behörden etwa 1200
der Geräte geordert, deren
Stückpreis Anfang des Jahres
auf 2500 Euro geschätzt
wurde.
Die Tatsache, dass Blackberry,
die gleichnamige Firma hinter
dem Smartphone, in Schwierigkeiten
steckt, scheint den
Bestellungen keinen Abbruch
getan zu haben. Auf den
Smartphones läuft die Secu-
Suite, die zwischen einer sicheren
(geschäftlichen) und
unsicheren (persönlichen)
Zone unterscheidet. Erstere
lässt die Anwender mobile
Daten und Sprache verschlüsselt
nutzen.
Die persönliche Zone gebe
es, um die Nutzer nicht in
ihrem Komfort einzuschränken.
Diese Erkenntnis habe
man aus der Erfahrung mit
früheren Modellen sicherer
Smartphones gewonnen.
2009 sollten die Mitarbeiter
zwei sichere Handys mit sich
herumtragen, eins zum Telefonieren,
eines zum Surfen.
Tatsächlich wurde in der Praxis
häufig aus Bequemlichkeit
ein drittes Handy verwendet,
ein iPhone, weil es den beiden
anderen Modellen schlicht an
Bedienkomfort und Funktionen
mangelte. n
Auf einer Pressekonferenz in Berlin stellte der Secusmart-CEO ein abhörsicheres
Handy auf Blackberry-Basis vor.
APC-Boards
Gema-Alternative C3S nimmt juristische Hürde
Für ihre preiswerten ARM-
Computer arbeitet die Firma
APC an einer angepassten
Version von Mozillas Mobilbetriebssystem
Firefox OS.
Die Entwicklung findet in
einem öffentlichen Github-
Repository statt, interessierte
Entwickler müssen das System
momentan noch aus dem
Quelltext bauen.
Weil die Vorschauversion
noch Mängel hat, winkt APC
mit Preisen: Wer einen der
vorhandenen Bugs behebt,
die im Issue Tracker mit dem
Label „Free APC“ versehen
sind, erhält einen kostenlosen
APC-Computer. Bei einem
Preis von rund 50 US-Dollar
ist das allerdings ein eher bescheidenes
Honorar. n
Auf ihrer Gründungsversammlung
haben die Aktivisten der
als Gema-Konkurrenz angetretenen
Cultural Commons
Collecting Society (C3S,
[http://​www.​c3s.​cc]) eine Satzung
beschlossen und einen
Verwaltungsrat gewählt.
Das ist jedoch nur die erste
Hürde auf dem Weg zur eigenen
Verwertungsgesellschaft
auf Creative-Commons-Basis:
Als Nächstes muss ein Verband
die Satzung prüfen.
Stimmt dieser zu, kann sich
die C3S als Europäische Genossenschaft
eintragen lassen.
Im Jahr 2015 will sie
schließlich beim Deutschen
Patent- und Markenamt die
Zulassung als Verwertungsgesellschaft
beantragen.
Im Gegensatz zur deutschen
Gema möchte die C3S auch
einzelne Werke von Künstlern
vertreten und ein anderes, faires
und flexibleres Ausschüttungsmodell
anbieten. Dafür
sammelte die Gesellschaft
Spenden über die Crowdfunding-Plattform
Startnext.
Anvisiert waren ursprünglich
200 000 Euro, um Entwickler
zu finanzieren und das Projekt
voranzubringen.
Dank einer Förderungsempfehlung
hätte Nordrhein-
Westfalen noch 200 000 Euro
draufgelegt und das Projekt so
cofinanziert. Bis zum Stichtag,
dem 30. September 2013, kamen
nur 119 000 Euro zusammen.
Die summierten sich mit
den 31 000 Euro Startkapital
und abzüglich der Crowdfunding-Kosten
immerhin noch
auf 130 000 Euro.
Weil aber Nordrhein-Westfalen
sein Angebot kurz vor
dem Funding-Ende bis zum
31. Dezember 2013 verlängert
hat, bleibt nun doch noch etwas
Zeit, die restlichen 70 000
Euro zusammenzukriegen.
Geschäftsführer Wolfgang
Senges ist optimistisch, dass
es klappen kann.
Unter anderem können ab
Oktober Interessenten direkt
über die Webseite Mitglied
der C3S werden und so dabei
helfen, die Finanzierungslücke
zu schließen. Eine erste
Generalversammlung aller
Unterstützer soll dann im
März 2014 stattfinden. n

Open-ZFS-Projekt gestartet
Das Mitte September gegründete
Open-ZFS-Projekt [http://​
​www.​open‐zfs.​org] möchte die
Entwickler von ZFS für Illumos,
Free BSD, Linux und
OS X unter ein Dach bringen,
um einen freien Nachfolger
für Suns zukunftsweisendes
Dateisystem zu liefern.
Qualität, Dokumentation, Aufmerksamkeit
und Kommunikation:
All dies zu verbessern
hat sich Open ZFS als Ziel gesetzt.
Das Open-Source-Projekt
will nicht nur eine freie
Implementierung des vielseitigen
Dateisystems schaffen,
sondern in der Community
sichtbarer werden, alles besser
dokumentieren, die Einsteigerfreundlichkeit
erhöhen
und das Teilen von Code
vereinfachen. Zudem wollen
die Entwickler und Unterstützerfirmen
die Zuverlässigkeit,
den Funktionsumfang und die
Performance von Open ZFS
verbessern.
ZFS hat auch deshalb viele
Fans, weil es Funktionen vereint,
die weit über normale
Dateisysteme hinausgehen.
Als transaktionales Filesystem
beherrscht es Volume Management,
Verschlüsselung,
transparente Komprimierung
und vieles mehr. Ursprünglich
von Sun für Open Solaris entwickelt,
hatte sich die Linux-
Gemeinde schnell um eine
funktionierende Linux-Implementierung
von ZFS bemüht.
Das seit 2006 entwickelte Fuse
erzielte mit dem in Open Solaris
frei verfügbaren Code eher
beschauliche Ergebnisse. 2007
portierte Apple ZFS auf OS X,
Free BSD zog 2008 nach.
Im selben Jahr begann die
Linux-Gemeinde einen nativen
Port zu entwickeln, doch
2010 schien die Mühe mit
dem Ende von Open Solaris
vergebens. Erst der Open-
Solaris-Nachfolger Illumos
[http://​wiki.​illumos.​org] zeitigte
2013 Erfolge, die in der ersten
stabilen Version von ZFS
on Linux [http://​zfsonlinux.​org]
mündeten.
n
Zahlen & Trends 12/2013
Aktuell
www.linux-magazin.de
17
OSV: Neues Cloud-OS der KVM-Macher
Auf der Cloud-Open-Konferenz
Mitte September in New
Orleans angekündigt, fällt mit
Version 0.01 der Startschuss
für ein neues Cloud-Betriebssystem:
OSV. Dessen Macher
sind prominent, unter ihnen
die KVM-Entwickler Avi Kivity
und Dor Laor von Qumranet.
Ihr Betriebssystem besitzt einen
monolithischen Kernel,
der nicht aus einem abgespeckten
Linux oder BSD besteht,
sondern eine Eigenentwicklung
ist. OSV steht unter
der 3-Clause-BSD-Lizenz und
erfordert Programmiersprachen,
die in der Java Virtual
Machine (JVM) laufen, etwa
Clojure, Jruby, Javascript,
Scala oder Rhino. Auch einige
bereits portierte C-Applikationen
sollen laufen.
Pro OSV-Instanz soll dabei
nur ein Application-Server
oder Framework laufen, das
können etwa Cassandra,
Jboss oder Hadoop sein. Den
einzigen Address Space teilen
sich Applikation und Kernel.
Generell will OSV die Duplikation
von Schutzmaßnahmen
auf den verschiedenen Layern
reduzieren. Läuft eine Java
Virtual Machine, erkennt OSV
dies und übergibt die Verwaltung
von Pagetables, Speicher,
Scheduler und I/​O an diese,
was die Performance des Systems
deutlich erhöhen soll.
Die JVM ist in den Kernel integriert,
Spezialapplikationen
können den I/​O-Stack komplett
umgehen.
OSV läuft bisher auf KVM, Xen
und in Amazons EC2, VMware-
Support ist geplant. Es soll in
der Cloud effizienter arbeiten
als Linux und verwendet das
ZFS-Dateisystem. Zudem nutzt
es Huge Pages, den TCP-Stack
von Free BSD und bootet angeblich
in weniger als einer Sekunde.
Optimierungen lassen
sich über eine zentrale Konfigurationsdatei
erledigen. Mehr
Informationen zur Technologie
liefert [http://​www.​osv.​io]. (kki/
mfe/mhu/Tim Schürmann) n

Aktuell
www.linux-magazin.de Kernel-News 12/2013
18
Zacks Kernel-News
H8/​300-Architektur am Ende
Günter Roeck schrieb an die
Kernel-Mailingliste: „Die Architektur
H8/​300 ist schon
seit Jahren tot. Der zugehörige
Kernel kompiliert schon
ewig nicht mehr, und auch die
neueren GCC-Versionen dafür
sind kaputt. Es ist an der Zeit,
die Unterstützung einzustellen.“
Die ursprünglich von Hitachi
entwickelten 8-Bit- und
16-Bit-Mikrocontroller sind
nun bei Renesas beheimatet
und finden sich in Embedded-
Geräten, zum Beispiel auch in
den ersten programmierbaren
Legosteinen.
Obwohl er ein Patch zum Löschen
aller betroffenen Dateien
eingeschickt hat, räumt
Günter ein, es sei nicht einfach,
eine Architektur aufzugeben:
„Man sollte das zwar
diskutieren, aber jemand
muss den ersten Schritt tun.
Eine praktisch tote Architektur
am Leben zu halten kostet
Ressourcen, die anderswo
besser genutzt wären.“
Greg Kroah-Hartman gibt
dem Patch seinen Segen und
meint: „Wenn sich das nicht
bauen lässt und es keiner
mehr verwendet, sollten wir
es entfernen. Sollte es jemand
wiederbeleben wollen, gibt es
ja »git revert«.“ Joe Perches
Abschied von einer Architektur: In der ersten Generation von Legos Mindstorms-
RCX-Klotz steckte Hitachis H8/​300-Prozessor.
Wikipedia/Mairi (CC-BY-SA 3.0)
hat den H8/​300-Maintainer
Yoshinori Sato auf Kopie gesetzt,
für den Fall, dass dieser
die Architektur neu beleben
möchte.
Was die Terminplanung angeht,
möchte Günter einen
Zweig in seinem persönlichen
Git-Repository anlegen,
ihn für Linux-next einreichen
und dann Linus Torvalds bitten,
diesen im nächsten Merge-Window
einzupflegen, das
heißt für Kernel 3.13. „Damit
haben alle genug Zeit, davon
zu erfahren und sich zu beschweren
oder Ecken zu finden,
an denen etwas fehlt“,
kommentiert Günter.
Geert Uytterhoeven schlägt
allerdings vor, erst auf eine
Reaktion von Yoshinori zu
warten. Dieser plant offenbar
zum Kernel Summit zu kommen,
der im Oktober in Edinburgh
stattfindet. Dort könnten
die Entwickler persönlich
diskutieren, wie es mit der
Architektur weitergeht. n
Was bedeutet »EXPORT_SYMBOLS_GPL«?
Der Gentoo-Entwickler Richard
Yao fragte auf der Mailingliste
nach, warum für LZ4-
Symbole die »EXPORT_SYM-
BOL_GPL« gelte. Der Code
für den Komprimierungsalgorithmus
stehe doch unter
BSD-Lizenz. Ihm antwortete
Matthew Garrett: „»EXPORT_
SYMBOL_GPL« signalisiert,
dass beim Verwenden des
Symbols wahrscheinlich ein
vom Linux-Kernel abgeleitetes
Werk entsteht – und der
steht eben unter GPL. Das hat
nichts mit zusätzlichen Lizenzen
zu tun, die für einzelne
Bestandteile gelten.“
Joe Perches verwies auf eine
juristische Erörterung zum
Thema unter [http://​www.​ifross.​
​org/​en/​artikel/​ongoing‐dispute‐over
‐value‐exportsymbolgpl‐function].
Der verdiente Entwickler Rob
Landley warnte dagegen vor
juristischen Spekulationen
außerhalb des Gerichtssaals:
Allzu leicht könne man damit
Anti-GPL-Anwälten in die
Hände spielen.
Außerdem merkt Joe an,
Matthews Erläuterung zu
»EXPORT_SYMBOL_GPL« sei
unvollständig, denn sie gebe
nur eine von zwei konkurrierenden
historischen Erklärungen
wieder. Matthew dagegen
findet die Historie eindeutig
und beendet damit die Diskussion.
n

Umbenennen – doppelt und dreifach
Der ungarische Entwickler
Miklos Szeredi hat einen neuen
Systemaufruf vorgeschlagen.
Er heißt »rename2()«
und soll das bestehende »rename()«
ergänzen. Während
»rename()« eine einzelne
Datei umbenennt, nimmt der
neue Aufruf zwei Dateien
und vertauscht deren Namen.
„Das ermöglicht interessante
Dinge, die vorher nicht gingen.
Beispielsweise kann man
nun ein Verzeichnis atomar
durch einen symbolischen
Link ersetzen“, preist er seinen
Code an.
Daneben schreibt Miklos,
»rename2()« könne den so
genannten Whiteout bei stapelbaren
Dateisystemen elegant
lösen, ohne Systemcalls
wie »rmdir« und »mkdir« um
komplizierten Code zu erweitern.
Ein Whiteout kommt
zum Einsatz, wenn jemand in
einem Dateisystemstapel eine
Datei löschen möchte, die eigentlich
auf einem Read-only-
Dateisystem liegt. Er gaukelt
dem Anwender vor, die Datei
sei verschwunden.
Der Brite H. Peter Anvin
spinnt den Gedanken noch
weiter und schlägt Miklos vor,
beim Umbenennen nicht nur
den Namen A mit dem Namen
B zu vertauschen, sondern ein
»rename3()« zu programmieren.
Dies solle A in B umbenennen
und, wenn Datei B
schon existiert, auch B in C.
Damit, so Peter, könne Miklos
gleichzeitig seinen ursprünglichen
Plan umsetzen, denn
»rename(A,B,A)« vertausche
einfach die Namen.
Hier meldete sich Linus
Torvalds und erzählte, Miklos
hätte das dreifache Rename
bereits umgesetzt. Es sei allerdings
äußerst kompliziert
gewesen und hätte nicht zum
Rest des API gepasst. Er bevorzuge
daher die einfachere
Lösung »rename2()«. Linus:
„Ich war erleichtert, als ich
die einfachere, saubere Version
sah. Die Alternative war
wirklich schrecklich.“ n
AMD-Tuning
Der amerikanische Entwickler
Austin Hemmelgarn hat Optimierungen
für einige AMD-
Prozessoren eingeschickt. „Sie
bieten spürbare Verbesserungen
gegenüber der Standardkonfiguration
für K8“, schrieb
er zu seinem Patch. Borislav
Petkov reagierte reserviert:
„Bitte belege die Verbesserungen,
denn der letzte Kandidat
konnte das nicht.“ Aber auch
Austins Zahlen überzeugten
Borislav nicht.
Austins Patch hätte ohnehin
nur sehr wenige Anwender
erreicht, denn Linux-Distributionen
liefern ihre Kernel stets
in generischer Konfiguration
aus. (Zack Brown/​mhu) n
Kernel-News 12/2013
Aktuell
www.linux-magazin.de
19

Aktuell
www.linux-magazin.de OX Summit 12/2013
20
OX-Summit 2013 in St. Pauli
Volle Kraft voraus
Auf einem Frachtschiff im Hamburger Hafen versammelte die Open Xchange Partner, Entwickler und Kunden
zum OX Summit 2013. Zur Keynote kam PGP-Legende Phil Zimmermann, nachmittags gab es Visionen und Technik,
abends Rockmusik, einen DJ oder eine Party auf der Reeperbahn. Text und Fotos: Markus Feilner
alle E-Mails löschen ließ –
weil er keine Daten in seinem
Unternehmen haben will, die
er nach geltender Rechtslage
herausrücken müsste, die ihm
aber nicht gehören.
Zimmermann hielt sich auch
nicht mit einer typischen Keynote
auf, sondern eröffnete
gleich nach wenigen Sätzen
eine lockere Q&A-Session,
was das Publikum mit vielen
Fragen honorierte.
Abbildung 1: An den St.-Pauli-Landungsbrücken: Der Frachter Cap San Diego, Austragungsort des OX Summit 2013.
Putin, die NSA und
mensch liche Makel
Zwar trockenen Fußes über
die Landungsbrücken des
Hamburger Hafens zu erreichen,
aber tief im Bauch eines
angelegten Frachters präsentierte
sich die Open-Xchange-
Community auf ihrem Summit
([1], [2]). Positive Visionen in
Zeiten von Prism & Co. bieten
wolle man, und selbstverständlich
sei dabei Open
Xchange der Einstieg in die eigene,
sichere Wolke, so hatte
der Groupware-Hersteller im
Vorfeld erklärt.
Auf dessen Einladung trafen
sich an Bord des Museumsschiffes
„Cap San Diego“
gut 300 OX-Fans, ‐Anwender
und ‐Entwickler. Zahlreiche
Provider und Hoster (von
Services, Servern und Diensten)
und die Hersteller von
Management-Tools für Cloud,
mobile Geräte und Internetauftritte
füllten den Bauch des
Sechziger-Jahre-Frachters mit
Ständen und Vorträgen (Abbildung
1).
Unter Deck: Apple,
Orwell und die Cloud
Zwischen Stahlwänden, Paletten
und zahlreichem schillernden
Marine-Equipment (Abbildung
2) eröffnete OX-CEO
Rafael Laguna die Vorträge
mit einer multimedialen Einführung:
Er griff zurück auf
das legendäre Apple-Video
aus dem Jahre 1984, in dem
die amerikanische Firma vor
IBMs Dominanz warnte, Orwell-Perspektiven
beschwor
und sich als Retter der Menschheit
darstellte [3].
Angesichts von Prism und der
geschlossenen, zensierenden
Struktur der Apple-Angebote,
so Laguna, würden viele
Menschen dieses Video heute
sicherlich anders interpretieren.
Die Lacher im Publikum
hatte er damit auf seiner Seite,
auch als er fortfuhr und Open
Xchange als den Ausweg
und die zentrale Schnittstelle
in der selbst kontrollierten
Cloud („Control your data!“)
präsentierte. Daran wolle
Open Xchange weiterhin arbeiten,
zugleich plane man
den weiteren Ausbau der OX
App Suite mit den Web Documents
und anderen Web-
Office-Formaten.
Die eigentliche Keynote war
der Crypto-Legende Phil Zimmermann
vorbehalten, dem
Erfinder der Mailverschlüsselungssoftware
PGP (Abbildung
3). Er hat mit seiner eigenen
Firma Silent Circle kürzlich
für Furore gesorgt, als er die
„sicheren Maildienste“ angesichts
der Prism-Enthüllungen
aus dem Angebot strich und
Seine Meinung ist klar: Eine
alles wissende Regierung
war bis vor Kurzem unvorstellbar,
bleibe für ihn aber
purer Horror. Die NSA-Daten
nennt er „eine Datenbank
des menschlichen Fehlverhaltens“,
Daten auf dem Server,
in der Cloud, zu speichern,
das sei immer eine schlechte
Idee. „Man stelle sich mal vor,
was jemand wie Putin mit diesen
Daten anfangen würde!“,
meint Zimmermann.
Auch staatliche Backdoors
seien niemals zielführend,
sie verhinderten vielmehr
jedwede Sicherheit, beteuerte
er auch später hoch droben
auf der Brücke der Cap
San Diego im Interview mit
dem Linux-Magazin (Abbildung
5).
Die Deutschen seien aus historischen
Gründen zwar noch
sensibler für das Thema als

OX Summit 12/2013
Aktuell
www.linux-magazin.de
21
Abbildung 2: Die Vorträge fanden
unter Deck der Cap San Diego statt.
Abbildung 3: Phil Zimmermann bei seiner Keynote im zum Konferenzzentrum umgebauten Frachtraum. Viele Fragen aus
dem Publikum drehten sich um Prism, aber auch darum, warum seine Firma Silent Circle alle E-Mail-Dienste einstellte.
amerikanische Bürger, aber
auch die müssten früher oder
später einsehen, dass über
Backdoors irgendwann chinesische
Hacker in die Systeme
eindrängen. Bringe man die
Regierungen hingegen dazu,
selbst die gleiche Software
zu nutzen wie ihre Bürger,
verhindere das Sicherheitsbedürfnis
letztlich auch Hintertüren.
Aber der derzeit stattfindende
Zirkelschluss der
Geheimdienste beeinträchtige
die Grundrechte der Amerikaner
genauso, wahrscheinlich
sogar mehr als die der Deutschen
oder Chinesen, da ist
sich Zimmermann sicher.
Nur End-to-End
Besonders betroffen mache
ihn die Tatsache, dass hier
gerade „das offene und freie
Internet benutzt wird, um uns
alle auszuspähen“. Ohne Endto-End-Verschlüsselung
und
sichere Datenspeicher gebe
es keine vertrauliche Kommunikation.
„Deshalb habe ich
beschlossen, die Maildienste
von Silent Circle [4] einzustellen
und uns voll auf die
VoIP-Technologie zu konzentrieren.“
Die laufe anders als
PGP auch auf Smartphones
und erlaube für jeden Kommunikationsvorgang
One-
Time-Keys – so sei sie auch
gegen die NSA gefeit. „Ich
kenne ja Ihre Anforderungen
an Security nicht, aber glauben
Sie mir: Meine Ansprüche
sind höher.“
Don’t overcomply!
Was man denn ändern könne?
„Nicht kooperieren!“, fordert
Zimmermann und prangert
vor allem den vorauseilenden
Gehorsam vieler IT-Unternehmen
und Hoster an. Kurz,
aber kaum übersetzbar, rät er
auf Englisch: „Don’t overcomply!
Niemand zwingt sie, ausschließlich
unverschlüsselte
Kommunikation anzubieten,
niemand verlangt, dass Sie
Kundendaten unverschlüsselt
ablegen.“
OX-CEO Rafael Laguna pflichtet
ihm bei: „Jedes Volk hat
die Regierung, die es verdient,
das wissen wir hier
in Deutschland besser als
andere. Die Gesetzgeber verstehen
einfach nicht, worum
es geht. Vielleicht löst sich
das Problem aber von selbst,
wenn irgendwann mal eine
Generation in die Büros einzieht,
die mit dem Internet
aufgewachsen ist.“
Zimmermann ist nicht ganz
so skeptisch: Auf die Frage,
ob man wirklich nur abwarten
könne, erzählt er eine Anekdote
aus der Nixon-Ära: Der
an chronischem Verfolgungswahn
leidende US-Präsident
hatte Anti-Vietnamkriegs-
Demonstrationen aus der
Luft mit U2-Flugzeugen beobachten
lassen, um aus der
Anzahl der demonstrierenden
Amerikaner auf jene mit einer
Haltung gegen den Krieg
schließen zu können. Weil das
so viele waren, so Zimmermann,
habe Nixon doch keine
Atombombe auf Nordvietnam
werfen lassen. „Verstehen Sie?
Wie mächtig kann eine Demonstration,
eine Bewegung
noch sein?!“, fragt er.
Vier Cloud-Gebote
Doch nicht nur Prism stand
auf der Agenda des Summits,
auch Technik und Visionen
kamen nicht zu kurz: OX-CEO
Abbildung 4: Hafen mit Herz: Unweit
des Summits tobte der Rummel des
Reeperbahn-Festivals auf St. Pauli.
Abbildung 5: In der Kapitänskajüte hoch oben neben der Brücke traf sich Phil Zimmermann
(rechts) zum Gespräch mit Linux-Magazin-Redakteur Markus Feilner.
Abbildung 6: Open-Xchange-CEO
Rafael Laguna bei seiner Keynote.

Aktuell
www.linux-magazin.de OX Summit 12/2013
22
Abbildung 7: Lange schwarze Haare, schwarzer Hut und bunte Kleidung sind die
Markenzeichen von Francisco Laguna, der sein Projekt IDDIR vorstellte.
Abbildung 8: Am Nachmittag teilte sich das Programm in technische Tracks auf,
in denen viele Firmen eigene OX-Erweiterungen und Admin-Tools vorführten.
Laguna stellte vier Gebote für
moderne, vertrauenswürdige
Clouddienste vor: Diese müssten
Multi-Provider-fähig sein,
auch über Landesgrenzen hinweg.
Anwender müssten jederzeit
in der Lage sein, ihre
Daten herauszuholen und
woanders abzulegen. Dafür
bedürfe es geeigneter Migrationstools,
aber auch (drittens)
einer Software des Dienstes
selbst, damit auch paranoide
User die Cloud im Eigenbetrieb
managen könnten. Und
viertens sei Laguna zufolge
nur Software vertrauenswürdig,
die im Quelltext vorliege.
Closed-Source-Software sei
nicht ausreichend überprüfbar
(Abbildung 6).
Technik, Tracks, Musik
Nach dem Mittagessen teilte
sich der OX Summit in drei
Tracks auf, in denen Techniker
Features und neue Addons
oder Planungen für OX-Tools
und ‐Implementierungen
vorstellten. Open Xchange
will die OX App Suite (das
App-fähige Webinterface mit
Dokumenten ähnlich Google
Docs) weiter ausbauen und
zu einer vollständigen Web-
Office-Solution ausbauen.
Tabellen und Präsentationen
stehen als Nächstes an. Für
dieses Ziel hat OX Mitarbeiter
aus der ehemaligen Star-Office-Belegschaft
angeworben,
auch deshalb gibt es mittlerweile
ein Hamburger Büro der
Open Xchange GmbH.
Für Aufsehen sorgte wieder
einmal Lagunas Bruder Francisco,
der auf den Summits
regelmäßig kreative Ideen
vorstellt. Er vermochte auch
diesmal die Zuschauer zu begeistern
– was aber zum Teil
sicher an der Eiskrem lag, die
er verteilte. Sein Projekt (Abbildung
7) „Social Ice Cream
WebService discoverable via
DNS“ oder auch „Ice Cream
Data Directory“ (IDDIR, [5])
spielt mit der Idee, Daten, die
sonst nur in sozialen Netzwerken
veröffentlicht sind,
auch per DNS-Lookup abrufbar
zu machen – zum Beispiel
die Vorliebe eines Menschen
für eine Eissorte.
Den Abschluss am Abend
machten zwei Diskussionsrunden
– wieder mit Stargast
Zimmermann und der CEO-
Couch, passend zur Location
aus Paletten (Abbildung 9)
zusammengestellt.
Wem die aus dem englischen
Bath angereiste Band „Kill it
Kid“ (Abbildung 10) mit Rock
und Keyboard-Akkorden zu
laut wurde, der konnte ins
nahe St. Pauli ausweichen, wo
auf zahlreichen Bühnen das
„Reeperbahn Festival“ (Abbildung
4) Tausende Besucher
anzog. Der nächste OX-
Summit wird im September
2014 in München stattfinden,
wenige Tage vor dem Oktoberfest.
n
Infos
[1] OX Summit 2013: [http://​
summit. open‐xchange. com/]
[2] Linux-Magazin-Bericht zum
OXS13:
[http:// www. linux‐magazin.​
de/ NEWS/ Volle‐Kraft‐voraus‐
OX‐Summit‐2013‐in‐St. ‐Pauli/]
[3] Apple’s Macintosh Commercial:
[http://www.youtube.
com/watch?v=8UZV7PDt8Lw]
[4] Silent Circle:
[http://www.silentcircle.com]
[5] Francisco Lagunas Vortrag
übers Ice Cream Directory:
[http:// summit. open‐xchange.​
com/ fileadmin/ user_
upload/ open‐xchange/ misc/​
partnersummit_2013/ agenda/​
FranciscoLaguna_OX. pdf]
Abbildung 9 : Die CEO-Couch bestand – stilecht für ein Frachtschiff – aus Europa
letten: Rafael Laguna und Phil Zimmermann bei der Podiumsdiskussion.
Abbildung 10: Satter Rock im Rahmenprogramm: Kill it Kid rockte unter Deck,
später brachte Promi-DJ „Mashup Germany“ die Besucher auf die Tanzfläche.

Titelthema
www.linux-magazin.de Scrum und Kanban 12/2013
24
Administration agil: Devops, Scrum und Kanban
Frischer Wind
Wie organisieren moderne Firmen ihren IT-Betrieb? Das Linux-Magazin widmet dieser Frage seinen Schwerpunkt.
Zu Beginn sieht sich die Redaktion in zwei Internet-Unternehmen in Berlin und München um und stieß
auf die agilen Methoden Scrum und Kanban, die derzeit in Admin-Abteilungen einziehen. Kristian Kißling, Mathias Huber
© Krockenmitte, photocase.com
Besonderheit hin: Betriebler sitzen zusammen
mit Entwicklern vor Monitoren
und arbeiten in Teams an Projekten.
Devops
Das Foyer von Immobilienscout24, nach
eigener Aussage Betreiberin von Deutschlands
größter Immobilienwebseite [1],
zeigt sich beim Betreten hell und freundlich.
Das moderne Gebäude steht im hippen
Berliner Stadtteil Friedrichshain, das
für seine Startup-Dichte bekannt ist.
Die Firma mit ihren 600 Mitarbeitern
als Startup zu bezeichnen, wäre allerdings
verfehlt: Die Muttergesellschaft, die
Scout-24-Holding, sitzt in München und
ist seit 2006 Tochter der Deutschen Telekom.
Richtig ist jedoch, dass Immobilienscout24
im selben Teich nach Mitarbeitern
angelt wie die Berliner Startup-Szene
– was die hier herrschende Firmenkultur
zum Teil erklärt.
IT-Welten
Mit dem Fahrstuhl geht es in den vierten
Stock, der Teile des IT-Bereiches der
Firma beherbergt, durch die Schlomo
Schapiro einen Rundgang führt. Er ist
Open-Source-Evangelist, Systemarchitekt
bei Immobilienscout24 und oft als Sprecher
auf Konferenzen aktiv.
Die Firmen-IT besteht grob aus zwei Bereichen,
der IT und der Corporate IT.
Während sich in letzterer etwa 20 Mitarbeiter
um die interne Rechnerstruktur
der Firma kümmern und etwa 1 200 Geräte
verwalten, befasst sich die IT, die
aus sechs Abteilungen mit 170 Mitarbeitern
besteht, ausschließlich mit der
Internetplattform. Eine Abteilung heißt
IT-Production, in ihr kümmern sich 30
Fachkräfte ausschließlich um den Betrieb
der Plattform, welche die Firma täglich
mehrmals aktualisiert.
Lange Flure, keine Trennwände, offene
Räume, die Arbeitsplätze sind in kleinen
Clustern gruppiert. Zum Gang hin zeigen
mit Zetteln beklebte Tafeln, man sieht
Diagramme, bekritzelte, farbige Post-its,
Grafiken, Pfeile. Schapiro weist auf eine
Das ist nicht immer so gewesen, erklärt er.
Beide Welten haben früher eher getrennt
voneinander operiert. In der klassischen
IT programmieren und testen Entwickler
ein Produkt und werfen es dann den
Admins „über den Zaun“. Dann heißt es
zum Beispiel, diese Software braucht „einen
Tomcat Version 5 auf einem RHEL,
Version alt – viel Spaß damit!“ Geben
aber Dutzende von Entwicklerteams ihre
Vorstellungen an die Betriebler weiter,
erhöht das die Komplexität der Plattform
und verlangsamt die Arbeit.
Die Lösung, da ist Schapiro sicher, heißt
Devops. Das Kunstwort verbindet Developer
und Operations und ist keine Stellenbeschreibung,
sondern ein Konzept. Die
Teams sollen selbst mehr Verantwortung
übernehmen und die Dinge unabhängig
von anderen Teams lösen. Zugleich erhalten
sie mehr Freiheit: Es gibt Rootzugriffe
auf die Systeme. Die Teams installieren
Dienste, die sie brauchen, müssen dann
aber auch Support dafür leisten. Schon
deshalb sprechen sich die Mitarbeiter untereinander
mehr ab.
Generell versucht Immobilienscout24,
die Entwicklungsteams stärker voneinander
zu entkoppeln, damit diese in ihrer
eigenen Geschwindigkeit arbeiten können.
Es gibt zum Beispiel die „Serviceline
Suche“, die sich um die Suchfunktion der
Plattform kümmert und die „Serviceline
Anbieten“, die alle Aufgaben betreut, die
mit dem Veröffentlichen eines Immobilienobjekts
zusammenhängen. Möchte die
Suchabteilung früher eine neue Tomcat-

Abbildung 1: Ein Kanban-Board bei Immobilienscout24 mit den typischen Task-Zetteln.
Version verwenden als die Anbieten-Abteilung,
ist das laut Schapiro kein Problem
mehr, alle Beteiligten achten auf
Abwärtskompatibilität.
Es geht weiter im Programm. Im Gang,
zwischen zwei Feuertüren, hängt ein
größeres Poster an der Wand, ein Kanban-Board
(Abbildung 1). Das ist das
Planungsinstrument der Service Lines,
erklärt der Systemarchitekt. Alle haben
auf diese Weise Einblick in die geleistete
Arbeit sowie die anstehenden und
erledigten Aufgaben. Wirtschaften die
Teams, wenn sie trotz gleicher Ziele so
unabhängig voneinander arbeiten, nicht
aneinander vorbei? Diese Frage reicht
Schapiro direkt an Sebastian Kirsch weiter,
der gerade aus dem Treppenhaus
kommt und Softwarearchitekt ist.
Scrum und Kanban
„Rein organisatorisch versuchen wir,
dass diese Abhängigkeit überhaupt gar
nicht existiert“, gibt Kirsch zu Protokoll.
Müssen zwei Teams zusammenarbeiten,
gibt es unterschiedliche Strategien, die
sich nicht ohne weiteres verallgemeinern
lassen. Ein Weg besteht darin, sich im
Team einen Anführer zu suchen und den
Ablauf zusammen mit einem Scrum-Master
zu organisieren. Immobilienscout beschäftigt
für solche Aufgaben 15 Scrum-
Master – Organisationsprofis.
Devops macht Tempo
Doch warum eine klassische und bewährte
IT-Struktur umkrempeln? „Mein
Eindruck ist, dass man als Firma mit den
alten Arbeitsmodellen nicht mehr wirtschaftlich
bestehen kann.“ erklärt Schapiro.
Um an der Spitze zu bleiben, muss
jedes Unternehmen steigende Anforderungen
bei gleichbleibender Mitarbeiterzahl
kompensieren, was nur über Automatisierungen
klappe, die zum Konzept
von Devops gehören. Nur so sei es zum
Beispiel möglich, doppelt so viele Server
bei gleichen Kosten zu betreiben.
In der Planungsphase gibt es meist zwei
Estimation-Meetings. Im ersten werden
die Aufgaben grob geplant, wobei es
wichtig ist, über die Ziele (Stories) zu
reden und weniger über die technische
Umsetzung. Zudem entsteht ein grober
Zeitplan. Im zweiten Estimation-Meeting
brechen die Beteiligten die Aufgaben
dann auf kleine Tasks herunter, die sie
auf Zettel schreiben und abarbeiten. Weitere
Informationen zur Vorgehensweise
gibt der Kasten „Scrum: Gemeinsame
Sprints und Rückblicke“.
Scrum hat eine Entwicklung angestoßen,
erklärt Schapiro, seither drehe sich in
der Firmen-IT das ganze Rad der Welt
ein Stück schneller. Die Organisation
musste sich anpassen, um am Ruder zu
bleiben. Also entschied man sich, Kanban
für den Betrieb einzusetzen und in
Devops-Manier gemeinsam mit den Entwicklern
an den Zielen zu arbeiten. Zu
den neuen Methoden gehört es auch,
offener zu arbeiten, Verantwortung und
Rechte abzugeben, gleichberechtigt miteinander
umzugehen und die Probleme
des Gegenüber stärker in die Planung zu
integrieren. Auch das Management muss
sich an dem Prozess beteiligen.
Agil in München
Die Einführung von Scrum hat auch beim
Internetunternehmen Gutefrage.net [2]
in München die Arbeitsweisen verändert.
Das zur Holtzbrink-Gruppe gehörende
Unternehmen betreibt dort mit insgesamt
100 Mitarbeitern sieben verschiedene
Themenportale und vier Ratgeberportale
mit über zwei Millionen Mitgliedern.
Scrum und Kanban 12/2013
Titelthema
www.linux-magazin.de
25
Scrum: Gemeinsame Sprints und Rückblicke
Scrum ist eine Vorgehensweise in der Softwareentwicklung,
bei der die Beteiligten empirisch,
iterativ und inkrementell arbeiten. Die
Arbeit am Produkt zerlegen sie in einzelne, gut
überprüfbare Teilaufgaben. Diese arbeitet das
Team wiederholt in festen Zeitintervallen ab,
den so genannten Sprints, die typischerweise
zwischen zwei und vier Wochen dauern. Der
Scrum Master begleitet und koordiniert den
Prozess, ist aber kein Mitglied des eigentlichen
Entwicklerteams.
Für Transparenz sorgt unter anderem der Daily
Scrum am Morgen, eine kurze tägliche Besprechung
von maximal 15 Minuten Dauer. Sie verschafft
den Beteiligten einen Überblick über
den aktuellen Stand der Arbeiten. Als Namensgeber
fungierte der Scrum beim Rugby, jene
dicht gedrängte Aufstellung, die die Spieler
regelmäßig nach Entscheidungen des Schiedsrichters
als Ausgangsposition einnehmen. Der
Scrum of Scrums (SoS) findet ebenfalls täglich
statt und dient der Koordination der verschiedenen
Teams, jedes entsendet einen Vertreter
dorthin.
Einem abgeschlossenen Sprint schließen sich
Review und Retrospektive zum Evaluieren der
Ergebnisse und zur Reflexion über die gemachten
Erfahrungen an. Darauf folgt die Planung
des nächsten Sprints, der weiterer Arbeit am
Produkt dient. Die Ziele und die Lösungswege
haben sich unter Umständen als Resultat des
vorhergehenden Sprints geändert.
Aufbauend auf Arbeiten und Vorträgen in
den 90er Jahren präsentierten die Amerikaner
Ken Schwaber und Jeff Sutherland Scrum
erstmals im Jahr 1995 als Prozess für die
Softwareentwicklung in einem Konferenzbeitrag.
Ihr Scrum Guide [3] gilt heute als
offizielle Definition der Vorgehensweise und
ist in zahlreiche Sprachen übersetzt. Organisationen
wie die Scrum Alliance [4] oder
Scrum.org [5] vergeben Zertifizierungen für
Scrum Master und Ausbilder.
Scrum verspricht, möglichst schnell und preiswert
zu einem hochwertigen Produkt zu führen.
Statt Anweisungen von oben steht die Zusammenarbeit
in einem hochqualifizierten Team im
Mittelpunkt.
Fortsetzung auf Seite 26

35 Entwickler arbeiten ständig an den
Webseiten und sorgen kontinuierlich für
Verbesserungen und Neuerungen. Vor
drei Jahren stiegen sie vom klassischen
Wasserfall-Modell auf Scrum um. „Damit
konnten sie schneller und marktgerechter
arbeiten und häufiger Releases machen“,
erklärt Robert Misch, der bei Gutefrage.
net den Titel Agile Coach trägt. Der studierte
Betriebswirt betreut nicht nur die
Programmierer in Sachen Organisationsmethoden,
sondern auch die Systemadministratoren
der Operations genannten
Abteilung (Abbildung 2).
Seit der Einführung von agilen Methoden
müssen die Admins rascher auf die
Anforderungen der Entwickler reagieren.
„Es gibt keine Sechs-Wochen-Projekte
mehr. Wir machen praktisch täglich eine
Release“, erzählt Florian Pfeiffer nicht
ohne Stolz. Er ist Fachinformatiker und
leitet das Operations-Team, das über 4,5
Planstellen verfügt. Seine Mannschaft
entsendet täglich um 11 Uhr einen Vertreter
in den Scrum of Scrums (SoS), bei
dem die Entwicklerteams mit ihnen die
nächsten Aufgaben besprechen.
Kanban
Dabei praktiziert das Unternehmen gar
kein Scrum im eigentlichen Sinn mehr.
Seit Februar 2013 heißt die Devise Kanban
(siehe Kasten „Kanban: Pull-Prinzip
und Visualisierung“). Scrums feste
Sprint-Zyklen haben sich für die Entwickler
von Gutefrage.net als zu starr erwiesen.
Auf die Arbeit der Administratoren
passten sie nie, denn sie haben neben
Releases stets eine Menge Wartungsarbeit
(Maintenance) zu erledigen.
Und so finden sich im Operations-Büro
neben Monitoren, auf denen die Software
Open TSDB [6] die Auslastung der
Server visualisiert, zwei Whiteboards,
auf denen das Team Kanban praktiziert
– mit Filzstift, Magneten und Zetteln.
Eines gilt der Maintenance und bildet daher
auch Prioritäten ab, denn schließlich
ist eine Downtime der Webanwendung
dringender als ein Routine-Update einer
Komponente.
Wer von den Admins Zeit hat, übernimmt
den nächsten anstehenden Job. Der Zettel
dazu kommt praktischerweise aus
einem kleinen Thermodrucker, den die
Mitarbeiter an den Issue Tracker Jira [7]
angebunden haben. „Man kann sich als
Einzelner nicht mehr die Rosinen herauspicken“,
beschreibt Pfeiffer den neuen
Alltag. „Für das Team als Ganzes ist das
aber gut. Zudem verteilen wir das Wissen
auf alle, indem wir immer paarweise an
Aufgaben arbeiten.“
Das zweite Board nimmt längerfristige
Projekte auf. Kommt ein Entwickler zu
Besuch ins Operations-Büro, kann Pfeiffer
ihm auf der Tafel zeigen, warum sein
Wunsch möglicherweise noch nicht erfüllt
ist. Dabei brauchen die Admins dank
Chef [8], einer Open-Source-Lösung für
das Konfigurationsmanagement, nur
mehr fünf Minuten, um einen neuen
Server aufzusetzen. „Eine Segnung der
modernen Zeit“, nennt es Pfeiffer.
Keine Angst vor Bewegung
In Berlin endet der Rundgang bei Immobilienscout
24 beim Management. Ingmar
Krusch (Abbildung 3) hat ein eigenes
Büro mit freiem Blick auf Baumgipfel und
Hochhäuser, dessen Wände ebenfalls mit
Zetteln übersät sind. Früher war er Entwickler,
jetzt ist er Abteilungsleiter der
IT-Production. Er glaubt: Wenn sich Menschen
für ihren Job begeistern, fangen sie
ganz von selbst an, Dinge zu verändern,
die sie stören. Die Scrum-Einführung ist
für ihn ein Paradebeispiel dafür. Mitarbeiter
hatten die neuen Methoden diskutiert,
die Idee wieder beiseite gelegt und später
genügend Enthusiasmus für eine Schulung
aufgebracht. Dann hat die Firma
überlegt, wie sie das Ganze umsetzen
kann und mit einem Softwarearchitektur-
Projekt begonnen.
Von den Erkenntnissen profitiert inzwischen
die ganze Firma. Sie kann Produkte
schneller veröffentlichen, ist effizienter
beim Umsetzen und erreicht aufgrund der
Automatisierung eine höhere Qualität.
„,Never change a running system' ist das
Schlimmste was es gibt.“ erklärt Krusch.
Die Konfiguration eines Squid-Proxys sei
ein schönes Beispiel, ergänzt Schapiro.
Weil hier einiges schief gehen kann, hat
die Firma ein Testtool entwickelt, das
Konfigurationen vor dem Einsatz testet.
Bei den Angestellten kommt das positiv
an. Haben Mitarbeiter Angst, Komponenten
anzufassen, weil etwas kaputtgehen
kann, wird die IT zu unflexibel, um auf
Veränderungen zu reagieren.
Fortsetzung auf Seite 28

Titelthema
www.linux-magazin.de Scrum und Kanban 12/2013
28
Abbildung 2: Der Coach und der Admin: Robert Misch (links) und Florian Pfeiffer
von Gutefrage.net.
Abbildung 3: Devops bei Immobilienscout24: Systemarchitekt Schlomo Schapiro
(links) und Chef der IT-Production, Ingmar Krusch.
Aber Scrum und Kanban leisten nicht nur
das. Durch die schnelleren Produktionsentwicklungszyklen
und die veränderte
Unternehmenskultur kann das Unternehmen
Talente halten und neue Mitarbeiter
gewinnen. Berlin sei im IT-Bereich sehr
arbeitnehmerfreundlich, daher müssen
sich Unternehmen etwas einfallen lassen,
um mit den Startups zu konkurrieren.
Mindset
„Mindset ist wichtiger als Skillset“, erklärt
Krusch. Praktische Fähigkeiten
kann man ausbilden, aber Offenheit lässt
sich nicht erlernen. Wohl auch deshalb
sieht man die Mitarbeiter von Immobilienscout
häufig auf IT-Veranstaltungen:
egal ob Monitorama, Devops Days oder
Linuxtag. Dort sollen sie sich mit anderen
austauschen, neue Ideen sammeln aber
auch selbst aktiv werden, um Neues zu
lernen. Er empfiehlt zudem die Mitarbeit
in Open-Source-Projekten und das Halten
von Vorträgen. Die Firma selbst veranstaltet
intern Admin-Dojos, die sich an
Coding-Dojos orientieren und zur gegenseitigen
Weiterbildung von Admins beitragen.
Daneben gibt es klassische LPIC-
Prüfungen oder Admin-Schulungen.
Von Erfolg gekrönt
Auch bei Gutefrage.net habe Kanban zu
mehr Transparenz geführt, resümiert der
Coach Robert Misch: „Es entsteht ein
Überblick über alle Plattformen, die wir
betreiben. Dabei sind die Teams stärker
gefordert und übernehmen mehr Verantwortung.“
An Patentrezepte und Lösungen
von der Stange glaubt er nicht: „Aus
dem agilen Werkzeugkasten muss jeder
das Passende auswählen und eine Lösung
maßschneidern. Das Maintenance-
Board beispielsweise haben wir schon
vier Mal überarbeitet.“ Offenbar hat er
mit seiner Vorgehensweise Erfolg: Gute
Frage hat beschlossen, eine zweite Stelle
für einen Agile Coach zu schaffen. n
Infos
[1] Immobilienscout24:
[http:// www. immobilienscout24. de]
[2] Gutefrage.net: [http:// www. gutefrage. net]
[3] Scrum Guide:
[https:// www. scrum. org/ Scrum‐Guides]
[4] Scrum Alliance:
[http:// www. scrumalliance. org]
[5] Scrum.org: [http:// www. scrumalliance. org]
[6] Open TSDB: [http:// opentsdb. net]
[7] Jira: [www.atlassian.com/JIRA]
[8] Chef: [http:// www. opscode. com/ chef/]
[9] David J. Andersons Beratungsunternehmen:
[http:// www. djaa. com]
[10]Simulation eines Kanban-Boards:
[http:// www. kanbansim. org]
[11]Agile Manifesto:
[http:// www. agilemanifesto. org]
Kanban: Pull-Prinzip und Visualisierung
Mit Kanban hat sich die IT-Branche eine Methode
aus der industriellen Fertigung ausgeliehen. Der
Name stammt von der japanischen Bezeichnung
der dabei verwendeten Laufzettel. Ihren Anfang
nahm sie nämlich Ende der 40er Jahre beim
Autohersteller Toyota. In die Softwarebranche
übersetzte sie der Berater David J. Anderson
[9], der die Vorgehensweise seit 2004 in IT-
Unternehmen implementiert und mehrere Bücher
zum Thema veröffentlicht hat.
Kanban beruht auf dem Pull-Prinzip: Vorgeschaltete
Arbeitsgänge dürfen nur so viel
produzieren, wie ihnen der nachgeschaltete
Arbeitsgang abnimmt. Die Vorratshaltung der
Zwischenergebnisse ist streng limitiert, und in
einer Bearbeitungsstufe darf sich nur eine bestimmte
Menge von Aufgaben befinden, die man
als Work in Progress (WIP) bezeichnet.
Um das alles zu visualisieren, kommt das
Kanban-Board zum Einsatz, ein augenfälliges
Kernstück der Methode. Die Schulungsfirma It-
Agile hat eine solche Tafel als Webanwendung
umgesetzt [10]. In der Praxis benutzen aber
die meisten tatsächlich Whiteboards, Magnete
und Notizzettel (Abbildung 1). Die Aufgaben
wandern in Form von Zetteln von links nach
rechts durch die Spalten, die verschiedene Bearbeitungsstadien
symbolisieren.
Stauungen in bestimmten Bereichen, bei denen
das WIP den Grenzwert übersteigt, weisen auf
Probleme im Prozess hin. Darauf reagiert das
Team mit Anpassungen und Verbesserungen
seiner Arbeitsorganisation, die sich anschließend
in der Praxis bewähren müssen. Kanban
bezeichnet man deshalb auch als experimentellen
und evolutionären Prozess.
Wie auch Scrum gehört Kanban in den agilen
Bereich [11]. Beide schaffen Transparenz, um
den Arbeitsprozess zu verbessern. Während
Scrum aber konkrete Prozesse beschreibt und
definiert, ist Kanban eher ein Framework, das
die Teams mit Regeln füllen.

Titelthema
www.linux-magazin.de Moderne Admins 12/2013
30
Verändertes Berufsbild des Systemadministrators
Neue Rolle
Wohin führt die schnell zunehmende Zahl zu betreuender Systeme bei gleichbleibender Zahl an Betreuern?
Zu Überforderung und Chaos? Andernfalls zu Scrum, Kanban und anderen agilen Arbeits- und Organisationsformen?
Das Linux-Magazin hat vier Profis zu ihrer Rolle inmitten eines Berufes im Wandel befragt. Nils Magnus
© underworld under, 123RF.com
Wer auf die Visitenkarten von Mitarbeitern
der IT-Abteilungen schaut, erkennt
schnell die Differenzierung und den
Wandel des Admin-Jobs. Wo früher noch
„Administrator“ in der Signatur stand,
prangen nun Begriffe wie „Systemspezialist“
oder „Site Reliability Engineer“.
Differenzierter sind nicht nur die Titel,
auch die Aufgabenbereiche wandeln und
verbreitern sich schleichend.
Arbeiteten einst die Admins als Herren
und Frauen über Server und Systeme in
der einen Abteilung und die Programmierer
und Dokuschreiber in der Entwicklungsabteilung
organisatorisch und
räumlich getrennt woanders, so sind die
Grenzen heute fließend(er).
Dieser Artikel bereist das Innere von IT-
Abteilungen, um die Veränderungen der
modernen IT-Arbeit mit Hilfe typischer
Vertreter ihrer Zunft zu erkunden. Dabei
wird schnell klar: Anders als in der reinen
Software-Entwicklung, bei der moderne
Methoden sowohl gut erforscht als auch
vielfach angewendet werden, befinden
sich Admins und Operations-Teams in
vielen Fällen organisatorisch mitten in
einem Umbruch.
Administrierender Coder
und codender Administrator
Tobias Paepke (Abbildung 1) ist Senior
Frontend Web Developer beim Vergleichsportal
Billiger.de in Karlsruhe. „Unser
Unternehmensportal nach Maßgaben von
Produktmanagern weiterzuentwickeln ist
mein Job“, erklärt er. Das bedeutet nicht
nur Code schreiben. Zu einem Viertel
seiner Zeit, schätzt er, erledigt er klassische
Betriebsaufgaben wie externe
Schnittstellen anpassen.
So hat Paepke kürzlich die Puppet-Rezepte
zur Verteilung der Frontends modifiziert
und das Session-Management des
Portals erweitert. „Als wichtigen Teil unserer
Arbeit optimieren wir die Performance
der Systeme und halten sie in einem
stabilen Zustand“, umreißt er die
klassische Operations-Aufgabe.
Zumindest beim Jobtitel beschreitet der
Freiberufler Dirk Gomez (Abbildung 2)
genau Paepkes Gegenrichtung. „Im Active
Directory lautet mein momentaner Jobtitel
,Systemspezialist‘“, verrät Gomez, der
an einem zeitlich befristeten Projekt für
einen Dienstleister im Gesundheitswesen
arbeitet. Dort betreibt er Webanwendungen
unter Linux und Solaris, entwickelt
sie aber auch weiter. Zuletzt hat er ein
etwas aus der Form geratenes Typo-3-
System unter seine Fittiche genommen.
Es galt, das CMS zu aktualisieren, das
zahlreiche geforkte Extensions hat. Zusätzlich
stand ein Update auf eine neue
LTS-Release an.
Zu je einem Drittel seiner Zeit kümmert
er sich ums Administrieren, zu einem
Drittel entwickelt er Software – der Rest
sind Kommunikation mit Kollegen und
Auftraggebern. Diese Mischform des
Code-affinen Admin einerseits oder des
Entwicklers andererseits, der sich auch
mit Betriebsfragen befasst, trägt der engen
Verzahnung der Aufgaben in modernen
IT-Abteilungen Rechnung.
Betrieb großer Daten
Zum Siegeszug hat das Devops-Konzept
aber noch nicht angesetzt. Karolin Wachsmuth
(Abbildung 3) ist als System Engineer
bei der Inovex GmbH in Köln angestellt
und betreut einen Großkunden aus
der Medienbranche. Ihr Auftrag: „Für die
Big-Data-Um gebung unseres Auftraggebers
betreiben wir einen Hadoop-Cluster.
Ich sorge dafür, dass der in einem Zustand
bleibt, in dem unsere Entwickler
gut damit arbeiten können.“
„Mit Entwicklung habe ich nichts zu tun“,
grenzt sie sich von der andernorts populären
Mischform ab und erweitert dies

Abbildung 1: Tobias Paepke will Wissensinseln bei
Billiger.de vermeiden: „Das Ausrollen und Testen
einer Release übernimmt jedes Mal ein anderer.“
Abbildung 2: Der Freiberufler Dirk Gomez beklagt:
„Falsch interpretiert führen agile Methoden dazu,
dass Mitarbeiter lediglich Kennzahlen optimieren.“
auch auf ihre Kollegen: „Die Abteilung
ist aufgeteilt in kleinere Teams, die sich in
der Hauptsache um bestimmte Systeme
kümmern, etwa um die Contentmanagement-Systeme
oder Datenbanken.“ Das
bedeutet aber auch, eng mit den Kollegen
aus der Entwicklungsabteilung zusammenzuarbeiten.
Von dort bekommt sie
auch fachliche Aufträge, bewertet sie und
setzt sie selbstständig um.
Agiler Vollzeitadmin
Aufgaben fokussiert verteilen ist auch
das Ziel des Telefonie-Anbieters Sipgate
in Düsseldorf. Dort arbeitet Rudolph Bott
(Abbildung 4) als Systemintegrator Linux
und Windows. „Ich gehöre zum Admin-
Team, das sich um die gesamte Infrastruktur
kümmert, die Sipgate ausmacht“,
stellt er seinen Job vor und zählt auf:
„Angefangen von der Büro-IT über unsere
Netzwerke, Anbindungen an Partner,
Rechenzentren, Server, hochverfügbare
Cluster bis hin zum Konfigurationsmanagement
und noch weiteren Bereichen.“
Einzig Entwicklung, Pflege, Konfiguration
und Betrieb der hauseigenen Software
sowie der Telefoniesysteme gehören
nicht dazu.
Es ist aber nicht allein das Aufgabengebiet,
sondern vor allem die Arbeitsweise,
die die agilen Methoden vom klassischen
IT-Betrieb unterscheiden. Zusammenarbeit
innerhalb von Teams oder Abteilungen
erweist sich als wichtig. Gab klassischerweise
der IT-Leiter die Marschrichtung
vor, betonen Scrum und Kanban die
Selbstorganisation des Teams.
Rudolph Bott erläutert, wie Sipgate
das handhabt: „Wir arbeiten nach dem
Kanban-Prinzip – das bedeutet, dass wir
unsere Aufgaben in kleine so genannte
Storys aufteilen. Auf Zettel notiert ziehen
wir sie an einem Board durch verschiedene
Etappen, beispielsweise Work-in-
Progress, QA oder Live-Deploy.“ Erst nach
einer abgenommenen Qualitätssicherung
verlässt eine Story das Board.
Den Rücken freihalten
Tobias Paepke berichtet von Billiger.de:
„Ein Teamleiter unterstützt unser Team,
der Basistechnologien entwickelt, aber
hauptsächlich den organisatorischen
Overhead von uns Entwicklern fernhält.“
Ansonsten mischt das Unternehmen die
einzelnen Disziplinen: Es gibt immer
Sprints, in denen sich einige Teammitglieder
aufhalten, der Rest macht Kanban.
Paepke betont den Aspekt der Zusammenarbeit:
„Wir achten darauf, dass das
Sprint-Team auch über mehrere Sprints
hinweg eine Gemeinschaft bildet, und
darauf, dass jeder innerhalb des Jahres
eine gewisse Zeit sprintet.“
In einer Abteilung, deren vorrangige Aufgabe
im klassischen Betrieb liegt, haben
vorgeplante Sprints mit im Planning festgelegten
Zielen mitunter Nachteile, weil
sie nicht auf kurzfristige Ereignisse reagieren
können. Das betont auch Karolin
Wachsmuth: „Neben dem Ticketsystem,
in dem unsere Auftraggeber die Langfristaufgaben
geordnet nach Dringlichkeit
hinterlegen, beobachten wir insbesondere
unser Performance-Monitoring.

Titelthema
www.linux-magazin.de Moderne Admins 12/2013
32
Abbildung 3: Karolin Wachsmuth von Inovex kümmert
sich um einen Big-Data-Cluster: „Meine Aufgaben
wähle ich selbst anhand von Erfordernissen.“
Geht beispielsweise der Platz des HD-FS
im Hadoop-Cluster zur Neige, habe ich
dort automatisch etwas zu tun.“
Die konkreten Aufgaben sucht sie sich
meist selbst, was den eigentlichen Betrieb
angeht, und differenziert: „Soll jedoch
eines unserer BI-Systeme verändert
oder erweitert werden, spreche ich häufig
zuvor mit dem zugehörigen Teamleiter.
Wissensinseln vermeiden
Dirk Gomez betont die Rolle der Erfahrung:
„Im Zweifel machen die erfahrenen
Mitarbeiter alles, die weniger erfahrenen
kümmern sich schwerpunktmäßig um ihre
Anwendung.“ Erst wenn Aufgaben keinen
Abnehmer finden, werde der Teamleiter
aktiv. Damit spricht er eine weitere
Herausforderung in IT-Abteilungen an –
die Verteilung des Wissens.
Paepke wie Bott wollen Wissensinseln
bannen. „Wir haben im Team einen wöchentlich
wechselnden ,Admin of the
Week‘, der sich um alle Anfragen von
außen an das Team kümmert“, beschreibt
Bott. Dazu gehören das IT-Equipment im
Büro, Berechtigungen oder Mailaccounts.
Auf diese Weise will Sipgate zusätzlich
verhindern, dass Kollegen aus der Arbeit
an Storys geholt werden und unnötig den
Fokus verlieren. Bott weiß aber auch um
die Grenzen: „Auch wenn das bei wachsender
Teamgröße nicht immer einfach
ist, versuchen wir an der Alle-alles-Strategie
festzuhalten.“
Billiger.de setzt auf verschiedene agile
Methoden wie Pair-Programming. Bei
dieser Extreme-Programming-Technik
Abbildung 4: Rudolph Bott bei Sipgate: „Ohne Kanban
wären die Aufgaben als ,Admin of the Week‘ gar
nicht zu leisten.“
sitzen zwei gleichberechtigte Entwickler
an einem Rechner – einer als „Pilot“, der
Code schreibt, der andere als „Navigator“,
der die Korrektheit überwacht und
über Verbesserungen am Design nachdenkt.
Alle paar Minuten wechseln beide
Entwickler die Rollen. Arbeiten mehrere
Paare an einem Projekt, tauschen sie sogar
paarunabhängig die Plätze.
„Das fördert das Verständnis untereinander
und stellt das Wissen breiter auf“,
findet Paepke. Wiederkehrende Standardaufgaben
verteilt seine Abteilung reihum
auf das ganze Team. So rollt beispielsweise
jede Woche ein anderes Teammitglied
die jeweils neue Release aus.
Jeder macht alles
Abbildung 5: Erfreut sich bei den Befragten überraschend großer Verbreitung
– das Ticket- und Reportingsystem Jira.
„Agil heißt, kleine Schritte zu machen“,
fasst Wachsmuth den Kern der neuen
Denkschule der IT-Abteilungen zusammen.
Das führt aber auch zu höherem
Bedarf an Austausch und Kommunikation,
wofür es aber eine Reihe Werkzeuge
gibt. Bezeichnenderweise gaben alle IT-
Experten im Gespräch mit dem Linux-
Magazin an, mit dem Ticketsystem Jira
(Abbildung 5, [1]) zu arbeiten. Das
Werkzeug steht unter proprietärer Lizenz,
arbeitet aber als Java-Anwendung problemlos
in einem Java-Container. Bott differenziert:
„Wir nutzen zwei Ticketsysteme:
Für Storys setzen wir auf Jira, für
den ,Admin of the Week‘ auf OTRS.“
Anders hält er es nicht für möglich, in
dieser Rolle die vielen unterschiedlichen
Anfragen zu tracken und zu lösen.
Tickets stehen bisweilen – besonders bei
Anwendern – in dem Ruf, die Arbeit der
IT-Abteilungen zu bürokratisieren. Bei
den befragten Admins hingegen sind sie
wohlgelitten: „Ich finde unser Ticketsystem
sehr gut“, urteilt Karolin Wachsmuth,
und Dirk Gomez teilt ihre Einschätzung,
schränkt aber etwas ein: „Ich bin recht
zufrieden. Im Normalfall hängt aber viel
vom First Level ab, etwa wie viele Details
der abfragt und welche Tickets er überhaupt
zu uns durchlässt. Das nämlich ist
leider ziemlich schwankend.“
Tobias Paepke sieht eine weitere Stärke
von Jira in der Information seines Managements:
„Es hat hier seine Stärken in
den Reports und den Auswertungen. So
wie es bei uns implementiert ist, könnte
es mehr Unterstützung für den Entwickler
bieten – zum Beispiel eine bessere E-
Mail-Schnittstelle oder die Verknüpfung
zu unseren Softwarerepositories.“
Neben elektronischer setzen IT-Abteilungen
auch auf direkte Kommunikation.
Wachsmuth zählt auf:
„Wir sind permanent
im Skype-Chat mit
unserem Kunden. Alle
zwei Tage veranstaltet
unserer Team so genannte
Twodailys. Da
berichtet jeder, was
in den letzten zwei
Tagen vorgefallen ist
und was wir in den
nächsten beiden Tagen
vorhaben.“ Zusätzlich
bespricht sie sich einmal
wöchentlich mit
anderen Teams, die
für ihren Kunden ar-

eiten, sowie alle zwei Wochen mit ihren
Kollegen beim Auftraggeber.
Bei so vielen Meetings kommt es auf
Disziplin an. Rudolph Bott verrät einen
Trick: „Wir leihen uns einen Scrum-Master
bei unseren Entwicklern, der unsere
morgendlichen 20-Minuten-Standups begleitet
und einmal pro Woche eine einstündige
Retrospektive mit uns abhält.“
Theorie trifft Praxis
Den großen Durchbruch in den IT-Abteilungen
hat Scrum anders als bei den Software-Entwicklern
offenbar noch nicht erzielt.
Bott: „Unsere Entwickler organisieren
sich in Scrum-Teams und Sprints, die
Sysadmins nicht.“ Ihm pflichtet Gomez
bei: „Nur unsere Entwickler verwenden
Scrum.“ Bei Billiger.de hat die Sys temadministration
laut Paepke zwar Schnittstellen
zum Kanban, organisiere sich aber
über simple Tickets selbst.
Unter Scrum-Verfechtern kursiert bisweilen
die Auffassung, dass nur das vollständige
Befolgen des komplexen Regelwerks
zu guten Ergebnissen führe. Das sehen
viele IT-Abteilungen in der Praxis offenbar
pragmatischer. Paepke etwa ist der
Überzeugung, dass es das Scrum nicht
gibt: „Das lässt sich nicht nach Lehrbuch
umsetzen. Man ist ja agil. Wir probieren
ab und an einen Bruch der Regeln, um
zu sehen, wie gut oder wie schlecht die
Methoden auf uns passen, und lernen
daraus. Das Grundsetup der aktuellen
Methoden wie Scrum oder Kanban setzen
wir wie gedacht ein.“
Bott formuliert es ähnlich: „Es gibt sicherlich
nicht das universelle, perfekte
Kanban, sondern immer nur die mehr
oder weniger gut auf die eigene Situation
angepasste Variante. Wir halten uns zwar
recht eng an unsere selbst aufgestellten
Regeln, sehen aber alles als iterativen
Prozess an. Wenn uns etwas an der effizienten
Arbeit behindert, probieren wir
Änderungen aus, behalten sie oder gehen
wieder zurück zur Ausgangslage.“
Was bringt’s am Ende?
Bleibt die Frage nach messbaren Ergebnissen
– meistens dem, wonach sich
Management und Controlling sehnen.
Rudolph Bott erkennt Kanban eine deutliche
Steigerung von Produktivität und
Qualität zu. Er zerlegt damit größere anstehende
Aufgaben in kleinere Storys:
„Wir erreichen dann Stück für Stück ein
größeres Ziel, ohne uns von Nebenaufgaben
ablenken zu lassen.“
Auch Paepke gibt sich überzeugt, seit
der Einführung produktiver geworden zu
sein: „Wir arbeiten mehr als Team und
haben dadurch mehr Spaß an der Arbeit.
Das sind für mich die wichtigsten Punkte,
die mich dazu bringen, an das Konzept
zu glauben.“
Oft liefert ein sowieso eingesetztes Tool
Kennzahlen. Gomez hat beobachtet: „Aus
dem Ticket-Tracking-System purzeln Zahlen
heraus. Aber wie sich Qualität messen
lässt, weiß ich nicht, da ich nicht Teil
der Organisation bin. Mein Eindruck ist,
dass Mitarbeiter eher auf die Zahlen als
auf ihre Tätigkeit optimieren.“ Bott wendet
ein: „Wir brechen Kennzahlen nicht
auf einzelne Personen herunter. Aber anhand
der Zahlen können wir Storys als
Ausreißer identifizieren. Dann überlegen
wir, was im Einzelnen dazu geführt hat
und wie wir das beim nächsten Mal verhindern.“
Unvollendete Evolution
Dieser Report zeigt, IT-Abteilungen befinden
sich vielerorts im Umbruch. Anders
als in der Software-Entwicklung, die ihre
Arbeitsweise schon vielerorts auf agile
Methoden wie Scrum und Kanban umgestellt
hat, feilen die Mitglieder der
Operations-Teams und Systemadministratoren
noch an der Ausgestaltung ihrer
neuen Rollen. Die Form der Umsetzung
differiert zudem stark von Unternehmen
zu Unternehmen. Gleichwohl: Trotz nicht
abgeschlossener Feinabstimmung haben
die Methoden in vielen Abteilungen offenbar
schon positive Spuren hinterlassen,
denn die Effizienz steigt – da sind
sich fast alle einig. (jk)
n
Infos
[1] Jira: [https:// www. atlassian. com/ de/​
software/ jira]
Der Autor
Nils Magnus entwirft als Senior System Engineer
bei der Inovex GmbH skalier- und automatisierbare
Datacenter-Lösungen. Als Pro gram Chair
plant er das Vortragsprogramm beim Linuxtag.

Titelthema
www.linux-magazin.de Devops bei Etsy 12/2013
34
IT-Organisation in New York
Handgemachte IT
Selbstgebastelte Gegenstände liegen im Trend. Etsy, ein New Yorker Unternehmen für Handgemachtes,
organisiert seine IT auch in Eigenregie — ein Porträt. Kristian Kißling, Tim Schürmann
chungen reagieren. Um sich mit anderen
Etsy-Mitarbeitern abzustimmen, nehmen
die Admins zudem im Schnitt täglich an
drei bis fünf Meetings teil. Die genaue
Anzahl schwankt abhängig von den Personen
und dem Bedarf. Schichtdienste
gibt es zwar nicht, ein Mitarbeiter aus
dem Operations-Bereich muss jedoch immer
in Rufbereitschaft sein.
Operationsmodus
© Martin Hochrein, photocase.com
Über das Portal Etsy.com können Benutzer
handgemachte Produkte kaufen und
verkaufen. Zur Auswahl stehen derzeit
etwa Schmuck, Kunst, Dekorationsartikel
und Haushaltsgegenstände – darunter bemalte
Gläser und Tassen. Betreiber Etsy
Inc. mit Sitz in Brooklyn eröffnete seinen
Onlinemarktplatz bereits 2005, das
Angebot zielte zunächst auf den amerikanischen
Markt. Seit 2010 gibt es auch
eine Niederlassung in Berlin, die für die
deutschsprachige Variante der Onlineplattform
(Abbildung 1) verantwortlich
zeichnet.
Die Organisation der IT hat sich bei Etsy
in den letzten zwei Jahren nicht groß
verändert: Die IT gehört zum Technical
Operations Team und besteht derzeit
aus fünf Ingenieuren. Die Internetfirma
unterscheidet dabei zwischen IT und
Web Operations, letztgenannte Abteilung
kümmert sich um den Betrieb der
Plattform Etsy.com. Diese wird im Zuge
eines speziell angepassten Continuous-
Delivery-Verfahrens pro Tag zwischen 20
und 40 Mal aktualisiert [1].
Tagesgeschäft
„Der typische Alltag eines Admins sowohl
in der IT als auch in den Web Operations
besteht zum größten Teil aus Projektarbeit“,
erläutert Daniel Schauenberg, einer
der Administratoren bei Etsy. Die Admins
im Operations-Bereich treiben derzeit vor
allem den Ausbau der Infrastruktur voran
und planen die Kapazitäten. Darüber
hinaus sorgen sie für einen reibungslosen
Betrieb der Plattform. Der Bereich IT
verbessert die Office-Infrastruktur und
übernimmt das Laptop-Management für
die Mitarbeiter. Zudem kümmert er sich
um den Helpdesk für die Mitarbeiter.
Neben ihrer Arbeit an den Projekten müssen
Admins auf Monitor-Alerts, Fragen
von Entwicklern und ähnliche Unterbre-
Die anfallende Arbeit teilen sich die
Admins brüderlich auf, wie es Daniel
Schauenberg beschreibt: „Jeder arbeitet
an allem.“ Zwar gebe es einzelne Personen,
die sich etwas besser mit bestimmten
Bereichen auskennen, aber lediglich
um die MySQL-Server, die in Master-
Master-Paaren operieren, kümmert sich
exklusiv ein Datenbankadministrator.
In einer interessanten Fragestunde auf
Reddit [2] verwendeten Mitarbeiter von
Etsy daher auch den Begriff Devops. Wer
sich um eine Komponente kümmert, ist
auch verantwortlich für deren Erreichbarkeit.
Sie halten die mit dem Begriff
verbundene Firmenkultur jedoch fast für
wichtiger, als die Art der Arbeitsteilung
selbst. Menschliche Fehler müsse man
zum Beispiel nicht als unvermeidbar betrachten,
sondern man wolle eine Umgebung
schaffen, die es im Idealfall unmöglich
macht, eine Software fehlerhaft
zu bedienen.
Harte Ware
Die Angestellten dürfen als Arbeitsstation
entweder ein Macbook oder ein Lenovo-
Laptop verwenden, letzteres läuft wahlweise
unter Windows oder Ubuntu Linux.
Wer mag, darf aber auch eine andere
Distribution einsetzen. Jeder Mitarbeiter

automatisch in der Überwachungsliste
der Monitoringsoftware Nagios.
Um Software für die Plattform vor dem
Einsatz zu testen, laufen automatisierte
Tests in LXC-Containern ab, wobei die
Operations-Teams zwischen schwergewichtigen
(heavy) und anderen (any)
Tests unterscheiden. Etsy betreibt derzeit
zwei voneinander unabhängige Netzwerke:
Neben dem Büro-, Entwicklungsund
Produktions-Netzwerk existiert noch
ein abgetrenntes Corporate Network über
das die Mitarbeiter Jira, IRC und die Wikis
erreichen.
Devops bei Etsy 12/2013
Titelthema
www.linux-magazin.de
35
Abbildung 1: Die Website Etsy.com sitzt in New York und verkauft handgemachte Produkte.
Handwerkszeug
erhält auf einem Rechner Adminrechte
und kann somit die Werkzeuge und Programme
nachinstallieren, die er braucht.
Größere Betriebssystemupdates testet vor
der Installation das IT-Team, über das
Einspielen kleinerer Patches entscheiden
die Mitarbeiter selbst. Eine BYOD-Policy
gibt es bei Etsy nicht, das Unternehmen
bietet aber ein VPN für I-OS und Android
an sowie eine Unterstützung für die Mailund
Kalender-Apps.
Die Eigenverantwortung der Mitarbeiter
macht auch vor Backups nicht halt:
Bei Etsy gibt es kein zentral laufendes
Backup. „Jeder ist dafür selbst verantwortlich,
da generell keine wichtigen Daten
außerhalb von Gits und Wikis existieren
sollten“, erklärt Schauenberg.
Was passiert, wenn ein neuer Mitarbeiter
hinzukommt? „Es gibt eine Checkliste,
um den Laptop aufzusetzen und den
Schreibtisch mit einem Display auszustatten.“
Handelt es sich um einen Techniker,
richtet die IT zudem eine virtuelle
Maschine mit der Entwicklerversion von
Etsy ein. Das Neuaufsetzen von Laptops
und LDAP-Accounts hält Schauenberg
für den einzigen Bereich, der sich nur
schlecht automatisieren lasse. Falle ein
Rechner aus, benachrichtige der Angestellte
die Corporate IT. Für Macbooks
gibt es einen Lagerbestand, Lenovo-Laptops
werden nachbestellt.
Toolchain
Unter den Tools, die bei Etsy zum Einsatz
kommen, sind viele alte Bekannte.
Die Admins nutzen laut Schauenberg
vor allem Open-Source-Werkzeuge: Neben
SSH, Bash und Co. verwendet der
Operations-Bereich vornehmlich Chef
[3] und Git, in Form einer Enterprise-
Variante von Github [4]. Etsy entwickelt
auch eigene Open-Source-Tools und veröffentlicht
diese auf Github [5].
Die Webseite selbst läuft auf einem
LAMMP-Stack, der aus Linux (Cent OS),
Apache, Memcached, MySQL und PHP
besteht. Sie wird in Git verwaltet, aber
ohne Branches, ausgeliefert wird Trunk.
Die Hauptseite besteht fast ausschließlich
aus einer monolithischen PHP-Applikation,
die Konfiguration aus einer
PHP-Datei, die ein riesiges Array enthält.
Features werden im Code geflaggt und
lassen sich, wenn sie einsatzbereit sein,
aktivieren.
Die IT-Seite setzt mit Vorliebe die Casper
OSX Management Suite [6] und den
Google Account Manager [7] ein. Eine
besondere Rolle kommt IRC zu: Sämtliche
Abteilungen der Firma sind über Chaträume
erreichbar. Aber nicht nur das: Der
Push Train, der alle Codeänderungen an
die Staging-Version der Plattform ausliefert,
ist ein Bot, Pushbot genannt, der in
einem IRC-Channel operiert.
Die Arbeitseffizienz misst das Projektverfolgungstool
Jira [8], über das auch
die von Mitarbeitern gemeldeten Bugs
eingehen. Die Admins beobachten die
entsprechenden Tickets genau und versuchen,
die Prozesse weiter zu verbessern
und zu optimieren. Für das Monitoring
kommt Nagios zum Einsatz, die Server
werden dafür und zur Verwaltung mit
Chef in funktionale Gruppen unterteilt.
Lernt Chef einen neuen Rechner kennen,
landet dieser über die Chef-Metadaten
Wer bei Etsy als Admin anfangen möchte,
muss laut Daniel Schauenberg keinen bestimmten
Ausbildungshintergrund mitbringen.
Notwendig seien lediglich das
Interesse am Fachgebiet und verschiedene
Level an Erfahrung, je nachdem ob
man sich für eine Junior- oder Senior-
Position bewirbt. Bei Etsy angestellte
Admins bilden sich vor allem durch den
Besuch von Konferenzen, das Lesen von
News und die Mitarbeit auf internen wie
externen Mailinglisten weiter.
Größere Aufgaben sind in der nächsten
Zeit für die IT nicht zu erwarten, wie
Daniel Schauenberg verrät: „Momentan
sind keine großen Umbaumaßnahmen
geplant. Wir arbeiten generell so, dass
wir konstant kleinere Änderungen vornehmen,
um stetig auf Änderungen reagieren
zu können.“
n
Infos
[1] Daniel Schauenberg, „Scaling Deployment
at Etsy“: [https:// www. youtube. com/​
watch? v=AwOG65UGAH4]
[2] IAMA-Thread auf Reddit:
[http:// www. reddit. com/ r/ IAmA/​
comments/ 1k7tlu/ we_are_the_operations_
team_at_etsy_ask_us_anything/]
[3] Chef: [http://www.opscode.com/chef/]
[4] Github: [https://enterprise.github.com]
[5] Open-Source-Code von Etsy:
[https:// github. com/ etsy]
[6] Casper Suite: [http://www.jamfsoftware.
com/software/casper-suite]
[7] Google Account Manager:
[https://accounts.google.com]
[8] Jira Ticketsystem: [https://www.atlassian.
com/de/software/jira]

Titelthema
www.linux-magazin.de Rechenzentren 12/2013
36
Skaleneffekt: Hosting-Firmen profitieren bei besserer Organisation besonders
Pflege en gros
Für Firmen, die tausende gleichartiger Server betreiben, müsste schon ein kleiner Effizienzgewinn beim Administrieren
einer Maschine übers ganze Rechenzentrum betrachtet einen großen Fortschritt bringen. Jan Kleinert
© smileus, 123RF.com
In wessen Bürofenster ein paar Blumentöpfe
den Alltag verschönern, der nimmt
ab und an die Gießkanne zur Hand und
sorgt für den Weiterbestand des floralen
Ensembles. Wer aber Herr oder Frau über
mehrere Gewächshäuser ist, lässt seine
Gärtner besser nicht mit Gießkannen über
Gänge mäandern, sondern bringt computergesteuerte
Beregnungsanlagen in
Stellung. Auf die IT übertragen: Admins
mit einem bunten und beziehungsreichen
Anwendungszoo
werden von Fall zu Fall
zwischen dem Aufwand
für einen formvollendeten
Zuschnitt und dem
Nutzen entscheiden.
In großen Rechenzentren
dagegen, in denen
zudem viele der Systeme
gleich ausgestattet
und mit sehr ähnlichen
Diensten betraut sind,
liegt der Verdacht nahe,
dass Verbesserungen in
der Ablauforganisation
und bei Tools wegen des
Skalierungseffekts sofort
Abbildung 1: René Wienholtz ist Vorstand
für Technologie und Innovation
der Strato AG und CTO der Gruppe.
positiv durchschlagen. Der Artikel prüft
diese These in einer Branche mit starken
Server-Armeen nach: Webhosting.
Der Branchenprimus 1&1 gibt sich auf
Nachfrage zugeknöpft. Die eigenen Entwickler
agierten zwar agil und die Administratoren
in unkonventionell erscheinenden
Strukturen. Letztere könnte man aber
„nicht als neue oder moderne Organisationsform
gelten“ lassen, so ein Sprecher.
1&1 – eine sehr normale Firma.
Mehr Karten legt René
Wienholtz von der Strato
AG in Berlin auf den
Tisch (Abbildung 1). Er
berichtet: „Bei der prozeduralen
Organisation haben
mit der Normierung
und Zertifizierung nach
ISO 27 001 einen großen
Schritt gemacht und beim
Einführen agiler Methoden
einen zweiten. Der
erste lenkt den Fokus aufs
Risiko- und Sicherheitsmanagement,
zwingt zu
prozessorientiertem Handeln,
zu Dokumentation
und wird extern geprüft. Agile Methoden
verändern das Planen und die Kommunikation
im gesamten Unternehmen.“
Technisch setzte Strato laut Wienholtz bis
etwa zum Jahr 2010 auf hochhomogene
Infrastrukturen, die sich leicht verwalten
ließen und sehr große Kostenvorteile
brachten. Dann aber erhöhte sich die Frequenz
der technologischen Umwälzung
so weit, dass Strato fürchtete, bei Erhalt
der Homogenität in technisch veraltete
Hardware zu investieren. Wienholtz,
Herr über 50 000 Server, beschreibt den
Ausweg: „Kreativität war geboten, zumal
wir ein margensensibles Geschäft betreiben.
Jetzt setzen wir auf freie Software
und gute, aber günstige Hardware – und
tauschen nicht mehr effizient zu betreibender
Rechner aus. Wir haben Abstraktions-
und Verwaltungsebenen geschaffen,
die heterogene Strukturen so einfach
verwaltbar machen wie homogene.“
Organisation unter Freunden
Die Rekrutierung des Entwicklungs-
Kernteams fürs Shared Hosting passierte
auf Basis persönlicher Bekanntschaften.
Daraus hat sich ein selbstorganisierendes
Team gebildet. Der CTO der 500-Mitarbeiter-AG
hat erlebt: „Diese Organisationsform
funktioniert nur, wenn die Teammitglieder
sehr gut zueinander passen und
die Firma auf ihre Fähigkeiten blind vertrauen
kann. Die Führungsspanne liegt
selbst unter diesen idealen Voraussetzungen
bei maximal 20 Mitarbeitern.“
René Wienholtz’ Credo: „Organisation ist
immer nur für den Moment und muss
stets überprüft werden.“ Mit Blick auf den
Menschen dahinter beschreibt er die Crux:
„Gerade langjährige Mitarbeiter brauchen
Veränderung. Zugleich ist es aber das,
was sie am wenigsten mögen.“ n

Titelthema
www.linux-magazin.de ITIL 12/2013
38
IT-Abteilungen modernisieren mit ITIL-Ideen
Suche nach Struktur
IT-Abteilungen unterliegen ebenso einem Wandel wie ihr Gegenstand, die IT. Organisch gewachsene Strukturen,
die beim Weiterwachsen deutliche Schmerzen verursachen, sollten Verantwortliche dringend ordnen
und professionalisieren. ITIL kann ihnen dabei helfen. Oliver Kluge
© Buchachon Petthanya, 123RF.com
Mit „ITIL ist eine Sammlung von Büchern
...“ beginnen fast alle Ausführungen
[1] zur IT Infrastructure Library [2]-
[4]. Zurecht, denn die Aussage ist elementar
und ITIL wirklich nur Best Practice,
also eine Darstellung von guten Beispielen,
um ein IT-Service-Management
(ITSM) zu etablieren. Zwar gibt es mit
ISO/​IEC 20 000 lange schon eine richtige
Norm, gegen die sich Organisationseinheiten
(für drei Jahre) zertifizieren lassen
können. Aber der Kerngedanke von ITIL
bleibt, dass sich eine Firma anhand der
Beispiele ihr eigenes Qualitätsmanagement-System
maßschneidert (Abbildung
1), und das geht ohne Zertifikat.
Die gute Nachricht lautet: Das Ganze ist
kein Hexenwerk, solange die IT-Abteilung
nicht riesig groß ist und eine Zertifizierung
– falls überhaupt angestrebt – erst
am Schluss stehen soll. Der Prozess lässt
sich weitgehend ohne professionelle Beratung
in Eigenregie einrichten, oder man
holt sich Unterstützung aus einer Firma,
die so etwas schon einmal an sich selbst
gemacht hat.
Vorarbeit spart Aufwand
Wichtig ist von allem die gründliche Vorarbeit.
Alles, was jemand hier versäumt,
bereut er später – das Nachholen vervielfacht
häufig den notwendigen Aufwand,
so die Erfahrung. Ein Teil der Vorarbeit
kristallisiert sich in der Configuration Management
Database (CMDB), die alle Betriebsmittel
der IT (Configuration Items,
CI) erfasst. Mit ihr steht und fällt zugleich
ITIL. Dabei muss die CMDB nicht zwingend
eine einheitliche Datenbank sein
– in großen Firmen ist sie es tatsächlich
häufig nicht –, aber eine Gesamt-CMDB
vereinfacht später es später, die Toolunterstützung
aufzusetzen.
Dank der CMDB hält eine IT-Abteilung in
zentral vorgehaltenen Strukturen ihr Wissen
vor, welche Geräte sie besitzt, verwaltet
und betreibt, welche Services sie
anbietet und wie die funktionieren. Letztere
Informationen liegen häufig schon
vor, zum Beispiel weil die Firma mit einem
SAP-System bucht. Daher bleibt in
den meisten Fällen das Zusammentragen
aller Informationen über Hard- und
Software der mit Abstand arbeitsaufwändigste
Akt.
Die LAN-Geräte kann der Admin häufig
durch einen Netzwerkscan automatisiert
erfassen, und bringt mit Hilfe der MAC-
Adresse die anderen Informationen wie
Ausstattung, Kaufdatum und Benutzer sowie
Services ans Licht. Standortinformationen
(Raum-, aber auch Telefonnummern)
muss er meist manuell einpflegen.
Dabei ist nicht immer der Anwender auch
der Kunde, sondern häufig dessen Chef,
an den die Rechnung ging.
Schwieriger ist die Software (auf Windows-Rechnern)
zu erfassen – Linux-Maschinen
mit ihrem einheitlichen Paketmanagement
erleichtern diese Aufgabe. Ganz
allgemein gibt es Tools, die Software erkennen.
Der IT-Verantwortliche sollte
aber darauf achten, dass daraus keine
Überwachung der Mitarbeiter entsteht –
allein der Verdacht genügt, um Ärger zu
bekommen. Wer jetzt noch beispielswei se
aus dem SAP die Services gewinnen
kann, ist einen großen Schritt weiter.
Von Calls und Tickets
Der nächste große Schritt zielt auf die
Auswahl eines Tools, das, als Mindestanforderung,
Störungsmeldungen der

Anwender und die daraufhin
erledigten Arbeiten
erfasst. Je nach
Tool heißen solche
Meldungen Tickets
oder Calls. Sie zu managen,
ist neben der
CMDB die zweite unverzichtbare
Säule.
Abteilungen mit organisch
gewachsenen
Strukturen hantieren
hier genau wie bei der
CMDB gerne nur mit
Papierformularen oder
E-Mails. Das geht eine
ganze Zeit gut, danach
aber verlieren die Admins
in der Mailflut
den Überblick, und die
Erkenntnis reift, dass es ohne Tool nicht
mehr geht. Die Auswahl an Ticketsystemen
erscheint mehr als reichlich.
Neben der Zertifizierung gegen Ende
scheint es hier eine zweite Gelegenheit
zu geben, um punktuell professionelle
Hilfe einzuholen. Denn die Tools unterscheiden
sich in vielen Merkmalen, vor
allem in der Art, wie sie Prozesse und
Workflows abbilden. Probleme ergeben
sich nämlich, wenn bereits vorhandene
Systeme zu integrieren sind, häufig SAP
& Co. Das macht die Eigenarbeit schwierig,
aber möglich.
Es gibt Tools, die einen eigenständigen
Ansatz verfolgen und bei denen Workflows
erst beim Customizing entstehen
– was den Vorteil hat, dass die dann
wirklich maßgeschneidert sind. Und es
gibt Tools, die mit einem vorgefertigten
Satz an ITIL-Prozessen kommen, und so
schneller zum Erfolg führen. Manchmal
ist es aber nötig, einen Workflow an das
Tool anzupassen.
Prozesse mit Augenmaß
Abbildung 1: Die prinzipielle Struktur von ITIL, dargestellt als Kreis.
Während ein Admin das Tool aufsetzt
und mit der CMDB füttert, sollte jemand
zumindest einen Rohentwurf seiner
wichtigsten Prozesse anlegen. Hilfreich ist
es, bereits vorhandene Dokumentation
heran zuziehen und zu vereinheitlichen.
Denn: Jeder noch so geniale Neuentwurf
haftet ein Makel an – eben, dass er neu
und damit für Mitarbeiter unbekannt ist.
Je ähnlicher der Neuentwurf der bisherigen
Praxis ist, desto leichter und reibungsärmer
wird er umgesetzt werden.
Prozesse haben Besitzer. Das sind Mitarbeiter,
die definieren, wie die Firma einen
Prozess konkret ausgestaltet. Ein solcher
Owner kümmert sich um die Weiterentwicklung
der Prozessdokumentation, und
er sorgt dafür, sie mit Leben zu füllen.
Prozesse definieren Rollen, die wiederum
Mitarbeiter ausführen. Die Basisprozesse,
ohne die nichts geht, sind:
n Incident Management
n Configuration Management
n Change Management.
Wer sie sauber definiert, für den sind
die meisten anderen Prozesse nicht mehr
weit. Er sollte sich jedoch unbedingt hüten,
zu viel auf einmal zu wollen. Fürs
Erste lässt sich ohne Problem Management
arbeiten, sich wiederholende Störungen
fängt das Incident Management
ab, das ohnehin stets mit im Boot ist.
Das Release Management vermag das
Change Management mit abzuhandeln
et cetera. Spezialdisziplinen wie Availability
oder Capacity Management brauchen
realistisch betrachtet ohnehin fast nur
Großbetriebe, oder man fasst Prozesse
zusammen.
Botschafter mit
Außenwirkung
Im Incident Management (in ITIL zu finden
unter: Service Operation | Incident
Management) muss sich die IT-Abteilung
der Außenwirkung wegen entscheiden,
© ITIL.org - Glenfis AG

Titelthema
www.linux-magazin.de ITIL 12/2013
40
© ITIL.org - Glenfis AG
Abbildung 2: Das proaktive Servicedesk mit seinen Facetten sollte viele Probleme sofort am Telefon lösen.
ob sie nur ein Helpdesk oder (besser) ein
Servicedesk betreiben möchte. Ideal ist
ein so genannter Skilled Service Desk mit
Mitarbeitern, die versuchen, die Hälfte
oder mehr aller eingehenden Störungen
zu beheben, während der Anwender
noch am Telefon ist. In den meisten Firmen
nehmen die normalen Angestellten
von der IT-Abteilung als Ganzes im Normalfall
nichts wahr. Sehen können sie
nur die Leute, die mal einen PC ausliefern
oder reparieren. Zu hören bekommen sie
IT-Kräfte am Telefon, wenn sie etwas bestellen
oder eine Störung melden. Tipp:
Diese IT-Mitarbeiter sollte man auf ihre
Rollen als „Botschafter“ der IT-Abteilung
einschwören.
Ausdifferenziert
Mit steigender Größe wird eine Aufgabenteilung
in der Entstörung sinnvoll.
Die IT-Abteilung braucht ohnehin Leute,
die arbeitsintensivere Sachen nachverfolgen
oder Auskünfte bei Herstellern einholen.
Fürs vertiefte Bearbeiten schafft
man einen Second-Level-Support und für
Hausbesuche bei Anwendern und Kunden
einen Außendienst. Für den Betrieb
eines Rechenzentrums sollten die Admins
einige Rollen definieren.
Um die so mühsam erstellte CMDB weiter
gut in Schuss zu halten, erweist sich ein
Configuration Management als absolut
unverzichtbar (in ITIL: Service Transition
| Service Asset & Configuration Manage-
ment). Es regelt, welche Daten von wem
wann wie womit zu erheben sind, wer
sie pflegt und wer sie überprüft. Eine Validitäts-
und Integritätskontrolle ist lästig,
muss aber ab und zu sein. Nicht zwingend
dagegen sind manuell Inventuren,
denn dafür gibt es automatische Tools.
Der Probestart
Wer die elementaren Prozesse beieinander
hat, darf mit der Testphase beginnen.
Die größte Umstellung für Mitarbeiter ist
sicherlich das Rollenmodell an sich. In
vielen organisch gewachsenen IT-Abteilungen
gibt es Zuständigkeiten: Server
ITIL: Mythen und Wahrheiten
Um ITIL ranken sich Mythen und Sagen. Ein paar
davon seien hier auf ihren Wahrheitsgehalt hin
abgeklopft:
n ITIL ist furchtbar kompliziert und komplex
Es handelt sich um keinen Mythos. In Reinform
und in voller Ausprägung ist ITIL furchtbar komplex.
Aber: Die volle Ausprägung braucht kaum
jemand! Weniger ist hier mehr. Wenige, dafür
gut dokumentierte und gut gelebte Prozesse
bringen viel mehr als eine Vollausstattung, die
viele Mitarbeiter nur zu umgehen suchen.
n ITIL spart Geld
ITIL ist aus der Sicht von ISO 9001 ein Qualitätsmanagementsystem.
Es hat nicht zum primären
Ziel, Kosten zu sparen. Es soll die Verlässlichkeit
und Planbarkeit erhöhen. Dabei lässt
sich hier und da etwas sparen. Zunächst aber
erzeugt es höhere Verwaltungsaufwände, und
damit eigene Kosten in nennenswerter Höhe.
repariert der Kollege Huber. Die Telefonanlage
macht Franz. Am Telefon sitzt
Karla Meier. Mit ITIL gibt es das so nicht
mehr. Eine Rolle heißt hier, ein Mitarbeiter
führt eine Funktion aus. Ein anderer
Mitarbeiter kann die gleiche Rolle und
damit Funktion ausführen.
Ein Mitarbeiter darf zudem mehr als eine
Rolle innehaben – dann hat er sinnbildlich
mehrere Hüte auf. Hier ist es wichtig,
dass sich kein Kollege überfordert fühlt.
Drei Hüte aufhaben heißt nicht automatisch,
für drei arbeiten zu müssen. Das
richtig zu justieren ist Aufgabe der Vorgesetzten
und nicht immer einfach.
Das Servicedesk beziehungsweise das
Auftragsmanagement (oder die Kombination
beider) soll so organisiert sein, dass
es als die einzige Anlaufstelle für Anwender
und Kunden fungiert (Abbildung 2).
Als professionell kann eine IT-Abteilung
erst gelten, wenn ein Anwender nicht
mehr seinen Lieblingsspezialisten direkt
anruft, denn die persönliche Bindung erweist
sich zwar als schnell, ist aber nicht
nachhaltig. Dabei entstehen undokumentierte
Lösungen. Wer sich entscheidet,
das Auftragsmanagement separat zu betreiben,
kann seine Struktur recht ähnlich
zu der vom Servicedesk wählen (in ITIL:
Service Operations | Request Fulfillment).
King of the Ring
Schwieriger als das in irgendeiner Form
ohnehin vorhandenen Servicedesk zu
n ITIL beschleunigt Prozesse
In sehr gut eingeführten ITIL-Prozessen kann
das der Fall sein. In der Einführungsphase tritt
aber fast immer der gegenteilige Effekt auf:
Bis sich alle eingewöhnt haben, dauert vieles
viel länger als früher, daher ist ein gewisser
Durchhaltewille notwendig.
n ITIL ist besser als ISO 9001
Definitiv ein Mythos, denn ITIL ist selbst ein
QMS, während ISO 9001 beschreibt, dass eine
Organisation ein QMS haben muss, aber nicht
welches. Für die IT-Abteilung kann das dann
ITIL/​ISO 20 000 sein, für andere Abteilungen
nicht. Der Fokus ist ein anderer. ISO 9001
kommt aus dem produzierenden Gewerbe und
ist viel älter, hat daher andere Schwerpunkte.
Manches daraus kann sich auch ein ITIL-Prozess
abgucken, etwa die Dokumentenlenkung. Fazit:
ITIL und ISO 9001 ergänzen sich gut.

eformieren, ist es, das Change Management
(Service Transition | Change Management)
zu starten. Denn die Spezialisten
im Haus, die wissen „wie man es
macht“, lassen sich erfahrungsgemäß nur
ungern sagen, dass sie künftig nicht „mal
schnell“ etwas ändern dürfen. Vielmehr
müssen sie nun einen Antrag (Request
for Change, RfC) formulieren, über den
ein Change Advisory Board berät – und
den es auch mal ablehnt.
In einer gut geführten IT-Abteilung kommt
kein Administrator einfach so ins Rechenzentrum,
sofern er keinen genehmigten
RfC und einen Termin (im Forward Schedule
of Change) hat. Und nach jedem
Change kommt der PIR, der Post Implementation
Review. Nur Änderungen,
die erfolgreich waren, haben Bestand.
Andernfalls muss man einen Rollback
erwägen. Für Routine-Aufgaben gibt es
übrigens abgespeckte Changes, damit die
Bürokratie nicht zu sehr wuchert (Standard
Change – vorab autorisiert).
Keine Schikane
Was im ersten Moment nach ausufernder
Bürokratie klingt, ist in Wirklichkeit die
einzige Chance, Ordnung in den Wildwuchs
zu bringen und eine zwingende
Voraussetzung für erfolgreiche Entstörungen.
Salopp ausgedrückt muss jeder die
Welt neu dokumentieren, wenn er sie ändert.
Für Systemadministratoren bedeutet
es sicherlich eine Umstellung, nicht mehr
„King of the Ring“ zu sein, sondern Teil
eines Teams. Doch wer schon einmal erlebt
hat, was passiert, wenn so ein King
kündigt (oder nur krank wird), weiß um
die Gefahren. Wenn dann, wie so oft,
die Dokumentation nicht stimmt, wird es
schnell brenzlig.
Gerade wenn die IT-Abteilung nicht besonders
groß ist und trotzdem jede Rolle
mit einem oder gar mehreren Mitarbeitern
zu besetzen ist, bekommen viele
Admins mehrere Hüte aufgesetzt, sprich
mehrere Rollen zugewiesen. Ideal ist es,
wenn der Organisator dabei die bisherige
Tätigkeit der Mitarbeiter abbilden kann.
Andernfalls sollte er sachlich Naheliegendes
kombinieren.
Wie in allen modernen QM-Systemen ist
in ITIL auch der Deming-Cycle integraler
Bestandteil. Der Zyklus wird auch Plando-check-Act
oder kontinuierlicher Verbesserungsprozess
genannt. Er sieht vor,
dass jeder Vorgang erst geplant, dann
ausgeführt und dann überprüft wird, und
daraufhin wird die Planung verbessert
und so weiter.
Die weitere Reise
Ist diese Einführungsphase geschafft,
kann sich die Firma daran machen, die
Buchhaltung anzuflanschen (ITIL: Service
Strategy | Financial Management),
und zum Beispiel die Ergebnisse der
Aufwandsbuchungen für Tickets SAP zu
übergeben. Ohne SAP-Spezialisten geht
da gar nichts – eigentlich wie immer,
wenn es um Geld geht. Dann zieht man
weitere Verästelungen ein.
Sicher lässt das erste Problem nicht lange
auf sich warten. Fünf Kollegen können
auf einmal nicht mehr drucken. Jemand
muss – nachdem die unmittelbare Störung
behoben ist – untersuchen, ob es
ein Spoolerproblem gab. Oder es leigt ein
tiefgreifendes Problem mit dem Drucker
vor, der eventuell den Anforderungen
nicht gewachsen ist. Oder es gab eine
Netzwerkstörung oder eine Putzfrau hat
schlicht ein paar Stecker gezogen. Kurz:
Ein Problem Management (Service Operation
| Problem Management) muss her,
das nach den Wurzeln des Übels (Root
Causes) sucht und Known-Error-Dokumente
erstellt (oder anfertigen lässt). So
hat der Servicedesk beim Eingang weiterer
Störmeldungen erste Handlungsanweisungen
und kann die Experten auftreiben,
damit sie wo möglich Lösungen
schaffen und dokumentieren (Abbildung
3). Gerade bei großen Störungen bewährt
sich ein Problem Management.
Spätestens der nächste Betriebssystemwechsel
oder ein Leasingtausch wird die
Notwendigkeit des Release Managements
(Service Transition | Release and Deploy
Management) zeigen, eine Art aufgebohrtes
Change Management. Für die Planung
des Ausbaus kann ein Capacity Management
(Service Design | Capacity Management)
sinnvoll sein, für das Einhalten der
Servicelevel ein Availability Management
(Service Design | Availability Management).
Einen Qualitätsmanager sollte
spätestens dann bereitstehen, wenn es
ans Zertifizieren geht. Er wacht unter
anderem darüber, dass alle Prozesse sauber
dokumentiert sind, und prüft mit re-

Titelthema
www.linux-magazin.de ITIL 12/2013
42
© ITIL.org - Glenfis AG
Abbildung 3: Das Problem Management sucht nach Root Causes und fertigt Known-Error-Dokumente an.
gelmäßigen internen Audits, ob sich auch
alle an die Regeln halten.
Jedes Firma kann morgen Opfer eines
Hackerangriffs werden, weshalb ITIL jeder
IT-Abteilung ein Security Management
angedeihen lässt (Service Design |
Information Security Management).
Mit Sicherheit mehr
Das Ende des Artikel bringt den ITIL-
Interessierten allerdings noch nicht zum
Ende seiner Todo-Liste: Vertragsmanagement,
Lizenzmanagement, Supplier Management,
Business Relation Management,
Service Portfolio Management, IT
Service Continuity Management, Access
Management – es bleiben viele Dinge,
die er tun kann, wenn die Zeit dafür gekommen
ist. Wie schon erwähnt: Lieber
anfangs weniger, dafür bessere Prozesse.
Und wer den Eindruck hat, dass alles
schön läuft, darf eine Zertifizierung ins
Auge fassen. Hier ist professionelle Hilfe
unerlässlich, denn nur sie erkennt Stolperstellen,
bevor man ein teures externes
Audit versemmelt.
Fazit
ITIL ist ein Weg zur Professionalisierung.
Nicht der einzige, aber ein bewährter.
Sofern eine IT-Abteilung nicht zu viel auf
einmal will oder sich unnötigerweise vom
Start weg unter Zeitdruck setzt, kann sie
damit viel erreichen. Ein echter Königsweg
existiert nicht, aber die sichere Erkenntnis,
dass die Qualität der CMDB
über jeden Zweifel erhaben sein muss,
um eine Chance auf Sieg zu haben. Den
Kunden und Anwendern ist es meistens
viel wichtiger, dass alles „schön flutscht“.
Wichtiger als Zertifikate allemal. (jk) n
Infos
[1] Oliver Kluge, Peter Pieronczyk, „IT-Qualitätsmanagement
nach den ITIL-Versionen 2
und 3“, Linux-Magazin 12/07, S. 108
[2] ITIL: [http://www.itil-officialsite.com]
[3] ITIL.org: [http:// www. itil. org]
[4] IT Service Management Forum (Verein):
[http:// www. itsmf. de]
Der Autor
Oliver Kluge ist ITIL-geprüft
und zertifizierter Qualitätsmanagementbeauftragter
und ‐Auditor (QMB/​QMA)
nach ISO 9001. Er ist verantwortlich
für das technische
Qualitätsmanagement in der IT des Flughafens
München und leitet dort das Testlabor. Er arbeitet
auch als Problem Manager und berät IT-Abteilungen
anderer Flughäfen in vielen Ländern der Welt.
Kluge hat Informatik studiert, war Redakteur bei
großen PC-Zeitschriften und 2001 beim
Linux-Magazin Leiter des damaligen Competence
Center Hardware.

Titelthema
www.linux-magazin.de Buch-Preview 12/2013
44
Sysadmin-Bibel
„We love Devops!“
Der 1000-Seiter „The Practice of System and Network Administration“ (kurz TPOSANA) gilt vielen als
Sysadmin-Bibel — doch die letzte Auflage stammt von 2007. Das Linux-Magazin hat die Autoren befragt,
welche Kapitel sie für die Neuauflage ändern müssen, die nächstes Jahr erscheinen soll. Kristian Kißling
© Benis Arapovic, 123RF.com
sichtigen sollte. Hinter den einzelnen
Sätzen stehen Verweise auf Kapitel und
Abschnitte. Kann sich ein Sysadmin nicht
mehr genau an alle Punkte in einem Kapitel
erinnern, springt er über die Liste direkt
zur entsprechenden Stelle im Buch.
Die Liste streift Fragen wie „Welche Tools
sollte jeder Sysadmin besitzen?“ Zu den
Antworten gehört in diesem Fall ein portabler
Label-Drucker, eine kleine Digitalkamera,
um Fehlermeldungen abzufotografieren,
Kabeltester, Walkie-Talkies für
die Kommunikation im Rechenzentrum
sowie Patchkabel in verschiedenen Längen
inklusive ein oder zwei 30-Meter-
Varianten für Spezialfälle. Warum der
Sysadmin all diese Dinge brauchen kann,
erläutern die Artikel dann ausführlich.
Entstaubte Neuauflage
Will man „The Practice of System and
Network Administration“ adäquat beschreiben,
eignet sich ein Satz auf Seite
130 ganz besonders: „Auf den ersten
Blick sieht es ziemlich einfach aus, ein
Rechenzentrum aufzubauen. Sie brauchen
einen großen Raum mit Tischen,
Racks oder Drahtgitter-Regalen darin und
Voilà!“ Klar, scheint wirklich nicht so
kompliziert zu sein.
Das Überraschende ist, dass es den Autoren
Thomas A. Limoncelli, Christine
J. Lear (vormals Hogan) und Strata R.
Chalup tatsächlich gelingt – und das ist
das Verdienst des Buches – diese Mammutaufgabe
Stück für Stück auf zahlreiche
kleine Tasks herunter zu brechen,
die am Ende beherrschbar erscheinen.
Allerdings beschleicht den Leser nach
der Lektüre des etwa 1000 Seiten langen
Wälzers, der nur auf Englisch vorliegt,
ein leichtes Schwindelgefühl ob der unzähligen
Tipps und Tricks (Abbildung 1).
Am Ende der Kapitel folgt jedoch jeweils
eine Zusammenfassung der wichtigsten
Punkte.
Besonders hübsch sind aber die Kästen,
die im Buch immer wieder auftauchen.
In ihnen erzählen die Autoren lehrreiche
Anekdoten, die auf selbst gemachten
Erfahrungen in der Praxis basieren.
Daneben schildern sie sehr anschaulich
die Erlebnisse anderer Sysadmins, um
auf negative, aber auch positive Effekte
hinzuweisen, die aus bestimmten Handlungen
entstehen können.
Die Liste
Um den Gesamtüberblick zu behalten,
hilft zudem die Liste weiter. Sie reicht
von Seite 3 bis 26 und zählt in einer
langen Reihung all die Dinge auf, die
ein Sysadmin bei seiner Arbeit berück-
Eine Digitalkamera zum Fotografieren,
aber warum kein Smartphone? Die Antwort
auf diese Frage führt zu einem
Manko des Buches hin: Die letzte Auflage
stammt von 2007 (siehe Kasten „Buchinfo“).
Obwohl TPOSANA zu großen
Teilen noch immer aktuell ist, wirken
einige Passagen leicht angestaubt: Kein
Wunder, sechs Jahre sind in der IT eine
Ewigkeit. Das wissen auch die Autoren
und arbeiten an einer dritten Auflage,
die im Herbst nächsten Jahres erscheinen
soll – in einer Neuauflage („Enterprise“)
und einer schlankeren „Cloud“-Ausgabe.
Dem Linux-Magazin haben sie vorab und
exklusiv ihre Einschätzungen zu kommenden
Trends und aktuellen Entwicklungen
verraten.
Der Teil über Rechenzentren ist beispielsweise
noch vor dem großen Energiesparumbruch
(Green Computing) entstanden.
Tom Limoncelli arbeitete in dieser

Umbruchzeit bei Google, seine Energiesparerfahrungen
dürften also in die Neuauflage
einfließen. Daneben brachten die
Autoren, ganz in der Manier des Buches,
gleich noch ein anderes Beispiel, wie sich
im Datacenter Energie sparen lässt. Im
Rechenzentrum von Sun liefen seinerzeit
noch einige alte Maschinen offenbar
ungenutzt vor sich hin. Indem Sun die
Besitzer der Maschinen einzeln befragte,
ob sie diese Maschinen noch verwenden,
ließ sich das Rechenzentrum mit
einfachsten Mitteln optimieren.
Zwischenmenschliches
Allerdings glauben die Autoren auch,
dass derzeit die größten Probleme für
Sysadmins nicht technischer Natur sind.
Für alle technischen Probleme gebe
es mittlerweile Lösungen, es sei denn,
man sei selbst in einer Firma tätig, die
Pionierarbeit betreibt. Sysadmins würden
sich heute eher Problemen sozialer
Natur gegenübersehen:
Kommunikation,
Wall
Door
Planung, den Umgang 2 ft. square
mit Ausfällen und
Back of racks
Budgetfragen. Es gebe
einen höheren Druck,
mit weniger Geld mehr
zu erledigen.
Schon 2007 war das
Buch nicht nur technischer
Ratgeber: Die
Front of racks
Front of racks
Walkway
Verhandlungen mit
dem Management, der
Umgang mit Kollegen
und Kunden – auch für
Back of racks
die zwischenmenschliche
Ebene liefert das Abbildung 1: Das ideale Rechenzentrum aus Sicht der Autoren im Jahr 2007.
Werk praktische Anleitungen.
Ein Beispiel: Meist nehmen
die Mitarbeiter und das Management
ihre Admins ja erst dann wahr, wenn es
irgendwo brennt. Das Buch zeigt, wie
Admins auch außerhalb dieses Zusammenhangs
auf ihre Arbeit aufmerksam
machen und positive Eindrücke hinterlassen
können. Zudem sei es für Admins
wichtig, die Ziele des Managements zu
verstehen und mit diesen Zielen zu argumentieren,
wenn es um die eigene IT-
Strategie geht.
Quelle: TPOSANA
Buch-Preview 12/2013
Titelthema
www.linux-magazin.de
45

Titelthema
www.linux-magazin.de Buch-Preview 12/2013
46
Generell fordern die Autoren auf, mehr
mit den Kunden zu kommunizieren und
Prioritäten intelligent zu setzen. So widmet
sich Kapitel 12 ethischen Fragen.
Es sei wichtig, den ethischen Code für
Sysadmins zu kennen und zu beherzigen
und etwa nicht unlizenzierte Software
zu installieren, weil es das Managemenr
will. Ein anderes Kapitel im Buch beschäftigt
sich mit dem Organisieren von
Helpdesks („Don't forget the help in helpdesk.“),
die für den Kunden häufig als
einzige Schnittstelle zu einem Unternehmen
auftreten.
Devops
Angesprochen auf die größten Veränderungen
für Sysadmins seit 2007 fällt auch
den Verfassern der Sysadmin-Bibel das
Schlagwort Devops ein: „Wir lieben Devops.
Wir denken, es nimmt all die guten
Dinge auf, die wir empfohlen haben, und
schnürt sie zu einem netten Paket“, loben
sie. Tatsächlich betont das Buch immer
wieder, wie wichtig Automatisierung ist,
und mahnt eine sorgfältige und frühe
Implementierung von Prozessen an.
Devops fördere eine Kultur des Teilens
und der Kooperation und optimiere so
das komplette System, anstatt sich auf
einzelne Baustellen zu konzentrieren und
das große Ganze womöglich schlechter zu
machen. Dank Automatisierung würden
Aufgaben nicht nur schneller, sondern
auch konsistenter und fehlerresistenter
erledigt. Es ermutige Messprozesse und
datenbasierte Entscheidungen. Als ihr
erstes Buch erschien, gab es noch kein
Monitoring. Heute heißt es: Wenn das
Monitoring fehlt, ist es kein Dienst.
Doch das Autorenteam sieht auch Grenzen
der Automatisierung: Die liegen vor
allem im Enduser-Support. Um ein Problem
zu lösen, sei es manchmal effizienter,
einen Menschen zu schicken als den
Info
Thomas Limoncelli,
Christine Hogan, Strata
Chalup:
„The Practice of
System and Network
Administration“
Addison-Wesley, 2007
ISBN 978-0321492661
Preis: 39,00 Euro
technischen Supportweg einzufordern –
Automatisierung sei nur dort gut, wo sie
tatsächlich Zeit und Geld spare. Auf der
anderen Seite mache die Supportautomatisierung
Fortschritte, für OS X werden
Simian [1] und Munki [2] genannt. User
könnten heutzutage auch einfach eine
Webseite besuchen, einen VPN-Zugriff
anfordern und ihre Rechner in kurzer Zeit
konfigurieren lassen.
Nicht zuletzt gehöre zu den Veränderungen
seit 2007, dass Anschaffungspreise
für Technik heute weniger wichtiger seien
als TCO (Total Cost of Ownership).
Public versus Private Cloud
Natürlich spielt auch die Cloud eine wesentliche
Rolle: Public Clouds wie die von
Amazon würden weniger durch ihre Kosten
und mehr durch ihre Features punkten:
Die bestehen in Flexibilität, leichter
Bedienbarkeit und Elastizität. Wer nur
für eine kurze Zeitspanne viele Server
benötige, werde so in die Lage versetzt,
Ressourcen nur kurzfristig einbinden und
dann wieder loswerden zu können – das
ginge mit physischer Hardware nicht.
In einigen Firmen, in denen die IT nicht
gut funktioniere, würden zudem einzelne
Abteilungen mit Hilfe solcher Webservices
um die IT-Probleme herum arbeiten,
was aber andere Probleme nach sich ziehen
könne. Langfristig, so das Resümee
der Autoren, sei es aber günstiger, einen
Wagen zu kaufen, als ihn zu mieten.
Zudem lauerten in der Cloud auch Gefahren,
etwa ein Kontrollverlust und die
rechtlichen Probleme. Im Gegensatz zur
Private Cloud kann ein konkurrierendes
Unternehmen in der Public Cloud
einen Dienst mit Hilfe rechtlicher Mittel
abschalten lassen. Auch der Staat oder
Strafverfolgungsbehörden könnten sich
im Datenfundus eines Unternehmens
bedienen, nach amerikanischem Recht
muss die Firma davon nicht einmal etwas
mitbekommen.
Wohl auch aus diesem Grund erklärte
Google kürzlich, wer Daten an einen
Drittanbieter übergebe, dürfe keine
rechtlichen Erwartungen auf die Erhaltung
der Privatsphäre für diese Informationen
hegen [3] – dem schließen sich
die Autoren an. Zudem erinnern sie an
Sicherheitsprobleme, die auch virtuelle
Maschinen betreffen: Gelangt Schadcode,
die den Hypervisor angreift, auf eine ungesicherte
virtuelle Maschine, ziehe das
womöglich auch die eigenen Gastmaschinen
in Mitleidenschaft.
Lokalkolorit
Die Frage, ob es denn auch Tipps für
Admins im deutschsprachigen Raum
gebe, beantwortete Christine Lear, die
schon länger in der Schweiz arbeitet.
Selbst in kleineren Unternehmen sei für
Admins aus ihrer Sicht heute die Mehrsprachigkeit
wichtig, um in internationalen
Teams zu arbeiten und mit englischsprachigen
Kunden zu reden.
Sie habe zudem Unterschiede zwischen
Europa und den USA bemerkt. So gebe
es in Europa weniger große Konferenzen
für Sysadmins, wie etwa die Usenix Lisa
[4] in den USA. Dafür sei das Verhältnis
zwischen Arbeit und Urlaub in Europa
besser geregelt: Für Angestellte sei Urlaub
selbstverständlicher, auch auf die
Ernährung werde mehr geachtet.
Blick in die Zukunft
Natürlich darf auch eine Zukunftsprognose
nicht fehlen: Wenig überraschend
nennen die Schreiber IPv6 als Herausforderung,
auf die Admins vorbereitet sein
müssen. Zudem sollte ein Admin heute
wissen, welche Cloud-Lösungen es gibt
und ob er seine empfohlene Variante tatsächlich
auch unterstützen kann.
Nicht zuletzt sei auch Bring Your Own
Device (BYOD) ein Thema für die Zukunft:
Während die Firmen glauben,
diese Geräte seien einfach zu verwalten,
würden sie in der Praxis häufig mehr Backend-Services
benötigen, die mehr und
nicht weniger Fähigkeiten erforderten.
Man darf also gespannt auf die nächste
Ausgabe sein und den schreibenden Sysadmins
bis dahin im Internet über die
Schulter schauen [5].
n
Infos
[1] Simian: [http:// code. google. com/ p/ simian/]
[2] Munki: [http:// code. google. com/ p/ munki/]
[3] Google zum Internet: [http:// rt. com/ usa/
google‐gmail‐motion‐privacy‐453/]
[4] Usenix Lisa: [https:// www. usenix. org]
[5] Everything Sysadmin:
[http:// everythingsysadmin. com]

In eigener Sache: DELUG-DVD
Ubuntu, Owncloud, E-Book
Einführung 12/2010 12/2013
Software
DELUG-Käufer erwartet auch diesmal eine randvolle DVD: Auf der Silberscheibe finden sie die neueste Version
von Ubuntu Server, dazu zahlreiche Tools zu den Artikeln, eine virtuelle Appliance auf Basis von Suse 12.3 mit
Owncloud, ein kostenloses E-Book übers Projektmanagement und Debconf-Videos. Markus Feilner
www.linux-magazin.de
47
Inhalt
48 Bitparade
Pomodoro – hinter dem tomatigen Namen
verbirgt sich eine Zeitmanagement-
Technik, mit deren Hilfe vier Werkzeuge
die Planung leichter machen wollen.
54 Tooltipps
Kurz angetestet: Dialog 1.2, Virtenv
0.8.6, Collectd 5.4.0, Convmv 1.15 und
Ngircd 20.3.
56 Google Business Apps
Fünf Angebote für Unternehmen vom
Suchmaschinenriesen.
Neben einem normalen Linux-Magazin
und dem Abonnement ohne Datenträger
gibt es die DELUG-Ausgabe mit Monats-
DVD, bei der die Redaktion den Datenträger
nach einem speziellen Konzept
zusammenstellt: In einer Art modularem
System enthält er Programme und Tools,
die in der jeweiligen Magazin-Ausgabe
getestet und besprochen werden. Zudem
gibt es nicht im Heft abgehandelte
Abbildung 2: Kostenlos auf der DELUG-DVD: „Die
Kunst des IT-Projektmanagements“.
Software, die die Redaktion besonders
empfiehlt, alles gebündelt unter einer
HTML-Oberfläche.
Für die Cloud: 64-Bit-
Ubuntu 13.10 Server
Von der DVD bootet Mark Shuttleworths
neuestes Kind, Ubuntu 13.10, in der Server-Edition
(Abbildung 1). Für die hat
das Linux-Magazin extra den Presstermin
der DELUG-DVD verschoben. Ungetestet,
aber dafür brandaktuell setzt die Neue
voll auf die Cloud und will „die schnellste
und flexibelste Plattform für skalierbare
EDV sein“, schreibt Shuttleworth selbst,
und der Produktmanagement-Leiter seines
Server-Teams ist sich sicher: „Wir
bieten ihnen eine vollständige Palette
von Compliance-, Performance-, Überwachungs-
und Sicherheitstools, die sie in
allen Cloud- und physischen Umgebungen
einsetzen können.“, und verweist auf
Landscape, das Ubuntu-Management-
Tool für Cloud-Installationen.
E-Book und Videos
Wer auf den Silberling mit dem Browser
zugreift, der findet im Hauptmenü
zwei Exklusiv-Einträge: Zum einen den
zweiten Teil der besten Videos von der
Debconf 2013. Da gibt sich die Debian-
Prominenz ein Stelldichein, wenn Steve
Schnepp über Munin, Andreas Mundt
übers Deployen oder Harald Hoyer zu
Dracut, James Hunt und Steve Langasek
über Upstart reden und „Wookey“ seinen
ARM-BoF durchzieht.
Von Scott Berkun stammt das für DELUG-
Leser kostenlose E-Book (Abbildung 2),
in der deutschen Übersetzung von Thomas
Demmig: „Die Kunst des IT-Projektmanagement“
aus dem Verlag O’Reilly.
Abbildung 1: Die auf den Cloud-Einsatz optimierte
Ubuntu 13.10 Server Edition bietet bei der
Installation zahlreiche Rollen an.
Der praxisorientiere Ratgeber zeigt auf
480 Seiten Entwicklern und Entscheidern
die wichtigsten Stolperfallen bei größeren
Projekten und beleuchtet die klassischen
Aufgaben, Facetten und Mechanismen
des Projektmanagements. Gedruckt kostet
das Werk 40 Euro, DELUG-Käufer bekommen
es einfach so.
Suse mit Owncloud
Als virtuelle Appliance liegt auf der DVD
Open Suse 12.3 mit der ebenfalls brandneuen
Owncloud-Edition 5.0.12, die viele
Fehler behebt und es erlaubt, einen eigenen
Synchronisations und Cloudspeicher
einzurichten. Mit Owncloud lassen sich
Dateien im Team, aber auch mit externen
Mitarbeitern teilen, synchronisieren oder
aber unter eine gemeinsame Versionskontrolle
stellen.
Damit nicht genug: Zu den Tools aus
Bitparade und Tooltipps gesellen sich auf
der DVD auch noch das U-Boot aus der
Kerntechnik, Go Access, Samba 4.1 und
Virtualbox 4.3 – allesamt kurz vor Redaktionsschluss
erschienen.
n

Software
www.linux-magazin.de Bitparade 12/2013
48
Vier Pomodoro-Tools im Test
Catch up!
Flexible Arbeitszeiten, Eigenverantwortung, Homeoffice – der größte Gegner vieler Anwender ist die Prokrastination.
Eine einfache Technik namens Pomodoro will das Zeitmanagement verbessern und findet langsam den
Weg in die agile Programmierung. Vier Tools helfen bei der Konzentration. Mela Eckenfels
© Maria Volosina, 123RF.com
Ob im Büro, in der Uni-Bibliothek oder
am Heimarbeitsplatz – viele Nutzer haben
Schwierigkeiten, konzentriert am
Stück zu arbeiten, und lassen sich gerne
ablenken. Zudem überfordern komplexe
Projekte zunächst viele. Vorhaben wie
„Heute schreibe ich an meiner Abschlussarbeit“
oder „Bis zum Abend debugge
ich meinen Compiler“ versickern wegen
mangelnder Strukturen schnell in Prokrastination.
Genau hier setzt die Pomodoro-Technik
[1] an, die seit den 1980er
Jahren beim Fokussieren hilft.
Zunächst überlegt sich der Anwender,
was genau die Aufgabe ist, um sie dann
in kleinere Häppchen aufzuteilen. Jeden
Schritt soll er in maximal 25 Minuten abarbeiten
können. Der Erfinder der Technik,
Francesco Cirillo, legt Wert darauf,
dass keine besonderen Hilfsmittel dazu
nötig sind. Er selbst verwendet neben
Stift und Papier lediglich eine tomatenförmige
Eieruhr, die der Technik den Namen
gab (Pomodoro: Tomate).
Sobald der Timer startet, muss der Nutzer
25 Minuten lang jede Ablenkung
ausblenden. Ist die Aufgabe erfüllt, darf
er sie durchstreichen. An jede Pomodoro-
Phase schließt sich eine kurze Pause von
5 Minuten an, in der Anwender ihre kreativen
Energien aufladen sollen. Nach vier
Pomodori, also alle zwei Stunden, gibt es
eine Viertelstunde Pause.
So lernen Nutzer, sich gegen Störungen
von außen zu verteidigen. Schweifen sie
ab oder klingelt das Telefon, vermerken
sie diese Unterbrechungen. Ein weiterer
Lernerfolg ist, dass Anwender den tatsächlichen
Zeitbedarf für eine Teilaufgabe
immer besser einschätzen können. Jeder,
der einem großen Arbeitsberg gegenübersteht,
profitiert davon, erreichbare Zwischenziele
zu beschreiben.
Diesen Ansatz verfolgen auch Scrum [2]
und die agile Programmierung [3], so ist
es kein Wunder, dass Pomodoro-Tools für
den Desktop oder das Smartphone den
einfachen Küchenwecker ablösen wollen,
auch wenn das Ticken der Uhr laut Erfinder
beim Konzentrieren hilft.
Zum Test melden sich Flowkeeper [4],
Pomodorium [5], Teamviz [6] und Tomate
[7] unter Debian 7.2, Ubuntu 13.04
und Linux Mint Olivia Cinnamon (alle
32 Bit). Die Pomodoro-Tools sollen zeigen,
wie gut sie den Anwendern bei der
Einteilung und Zeitmessung helfen, wie
es mit der Optik und den Soundeffekten
aussieht, ob sie Auswertungs- und Statistikfunktionen
mitbringen und wie es mit
der Synchronisation mit anderen Geräten
und der Teamfähigkeit aussieht.
E Flowkeeper
Der erste Kandidat ist in Java geschrieben,
steht unter einer proprietären Lizenz,
ist aber kostenlos: Flowkeeper [4]
stammt aus der Feder des Entwicklers
Constantine Kulak. Die Projektseite bietet
einen Windows-Installer und eine Java-
Archive-Datei (Linux und OS X) zum
Download an. Linux-Anwender starten
das Programm über den Aufruf »java ‐jar
flowkeeper.jar«. Über das Hauptfenster
erreichen sie die Programmeinstellungen,
aktuelle Arbeitspläne und eine Taskverwaltung.
Während viele Pomodoro-Tools
auf dem Markt lediglich eine Timerfunktion
bieten, unterstützt Flowkeeper den
Anwender auch beim ersten Schritt: der
Aufgabenplanung.
Abbildung 1: Der Flowkeeper-Countdown läuft –
jetzt ist Arbeitszeit.

Abbildung 2: Flowkeeper zeichnet die Vorgänge des aktuellen Tages auf und zeigt in der Statistik auch an,
wie viele Unterbrechungen der Nutzer erfasst hat.
Über »Create new« stellen Arbeitswillige
zunächst den Plan für den aktuellen Tag
auf. Danach definieren sie über »Add task«
die einzelnen Aufgaben und wählen über
ein Dropdownmenü die voraussichtliche
Anzahl der benötigten Pomodori aus. In
der Voreinstellung sind diese Abschnitte
25 und die Pausen 5 Minuten lang. Bis
zu vier Phasen sind möglich. Fügt der
Nutzer zu einem späteren Zeitpunkt über
das Hauptfenster ein weiteres Pomodoro
hinzu, warnt Flowkeeper, dass mehr als
vier pro Task nicht sinnvoll sind, ergänzt
es aber dennoch.
Ein Klick auf das Weckersymbol startet
den Timer (siehe Abbildung 1). Ein
neues Fenster zeigt den Countdown an
und bietet Buttons, die aktuelle Sessions
unterbrechen (»Interruption«) oder beenden
(»Void it«). Eine Pausenfunktion
fehlt allerdings, sodass der Timer immer
weiterläuft.
Der Knopf »Hide« verschiebt das Fenster
ins Benachrichtigungsabteil; das Hauptfenster
verschwindet automatisch, sobald
die Uhr läuft. Das Tray-Icon erscheint
mitunter recht pixelig oder einfach nur
als schwarzes Kästchen ohne Funktion.
Den Timer auf den Desktop zurückholen
ist damit Glückssache.
Die Flowkeeper-Oberfläche wirkt aufgeräumt
und gut strukturiert. Angelegte
Tasks gelten allerdings nur für den jeweils
aktuellen Tag; das Tool nimmt Unerledigtes
nicht mit in den nächsten Tag.
Auch die angebotene Statistik hilft nur
dabei, die aktuelle Tagesleistung zu rekapitulieren.
Erfassungen über einen längeren
Zeitraum sind ebenso wenig möglich
wie der Export. Die Länge der Pomodori,
der Pausen und das generelle Verhalten
beeinflussen Nutzer über die »Settings«.
Eine Erinnerungsfunktion für längere Erholungsabschnitte
ist nicht vorhanden.
Tomatensugo
Im Test gelang es nicht, Flowkeeper
unter Linux einen Ton zu entlocken. In
den Genuss des leicht blechernen Tickens
kommen lediglich Windows- und
OS-X-Anwender. Die recht einfach gehaltene
Tagesauswertung speichert das
Programm nicht, sodass jeder selbst per
Copy & Paste seine Leistungen und Fortschritte
nachtragen muss. Die Statistik erfasst,
wie viele Pomodori der Anwender
geplant und erledigt hat; auch ungeplante
und nachträglich hinzugefügte Phasen
tauchen hier auf (siehe Abbildung 2).
Das Tool wertet zudem aus, wie viele
Pomodori er abgebrochen hat und wie
oft er sich ablenken ließ.
Flowkeeper kann seine Daten nicht zwischen
mehreren Arbeitsplätzen synchronisieren,
es ist ebenfalls nicht möglich,
im Team auf dieselbe Liste von Tasks
zuzugreifen. Das Programm richtet sich
damit an Einzelkämpfer, die zu Beginn
des Arbeitstages Schlachtpläne entwerfen
und diese Stück für Stück abarbeiten
möchten. Die Weiterentwicklung scheint
derzeit zu stagnieren. Der letzte Eintrag
stammt vom Januar 2011 und Feature Requests
in den Diskussionsforen verhallen
ungehört.
E Pomodorium
Der zweite Testkandidat ist ein echter
Exot. Pomodorium [5] entstand, so die
Aussage seines namenlosen Entwicklers,
um ihm über seinen enormen Missbrauch
von Massively Multiplayer Online

Software
www.linux-magazin.de Bitparade 12/2013
50
Role-Playing Games (MMORPG) hinwegzuhelfen.
Er bezeichnet seine Software
als „Motivational Game“ und verpackt
sie in ein Rollenspiel. Benutzer erhalten
Gold für fertiggestellte Aufgaben, das sie
investieren können, um dem eigenen Pomodorium-Charakter
Gegenstände oder
Ausrüstung zu beschaffen. Erst wenn
dieser kräftig genug ist, gibt es als Belohnung
ein kleines Spiel – der Charakter
zieht in die Schlacht.
Pomodorium steht ebenfalls unter einer
proprietären Lizenz. Die ersten zehn Tage
und fünf Level dürfen Anwender kostenfrei
testen. Wer die Software danach
weiterverwenden möchte, muss knapp
20 US-Dollar investieren. Pomodorium
läuft unter Linux, Windows und OS X
und nutzt dazu Adobe Air [8].
Der Einsatz dieser plattformunabhängigen
Laufzeitumgebung ist für Linuxer
derzeit noch mit Air 2.6 möglich – mit
dieser Version hat Adobe die Unterstützung
aber eingestellt. Es ist daher nur
eine Frage der Zeit, bis die alternde Software
nicht mehr mit modernen Distributionen
zusammenarbeitet.
Auf allen drei Testsystemen hakte die
Installation, aber die Anleitung unter [9]
löste das Problem. Ist Adobe Air eingespielt,
laden Anwender von der Pomodorium-Website
den Installer »Pomodorium.air«
herunter und rufen ihn auf.
Beim ersten Start öffnet sich ein winziges
Fensterchen, das neben dem Timer eine
Statistikübersicht bietet.
Der Anwender erfährt hier, wie viele Pomodori
er ingesamt abgeschlossen hat
und wie viele er durchschnittlich pro
Tag fertigstellt. Außerdem steht hier die
Summe der Goldstücke, der Gesundheitszustand
des Charakters, die gesammelten
Erfahrungspunkte, der aktuelle Spiel-Level
und die Zahl der Städte, die der Charakter
bisher von Monstern befreit hat.
Tomatenschlacht
Den Timer startet der Nutzer über »Go«.
Ein Pomodoro ist 25 Minuten lang. Daran
schließen sich 5 Minuten Pause an, das
nachfolgende Pomodoro startet automatisch.
Nach vier Phasen unterbricht das
Tool die Serie und erlaubt eine richtige
Pause. Einstellmöglichkeiten für die Intervalle
oder andere Programmkomponenten
sind nicht vorhanden, auch für
die Planung und Selbstkontrolle
greifen Anwender zu
Zettel und Stift.
Die Optik ist genauso gewöh
nungsbedürftig wie das
Konzept (Abbildung 3). Das
Look & Feel lässt sehr zu
wünschen übrig, denn so
wirklich grün sind sich Linux
und Air-Programme nicht. Es
ist unmöglich, die Schrift zu vergrößern
oder einen besseren Kontrast einzustellen.
Auf dem Debian-Testrechner waren
alle Menüs zu sehen, unter Linux Mint
versteckte sich das Menü »My Character«
dagegen halb am oberen Rand.
Jede neue Pomodoro-Einheit startet mit
einer Fanfare und endet mit dem Geräusch
klimpernder Münzen. In der Zeit
dazwischen stört kein Ticken – wer diesen
Sound als Motivationshilfe braucht,
dürfte enttäuscht sein, denn Pomodorium
bietet keine Gelegenheit, den Klang zu
konfigurieren. Nutzer, die das Tool im
Büro einsetzen möchten, schalten besser
die Lautsprecher ab, vor allem wenn
sie die Pausen für die eingebauten Spielelemente
nutzen.
Da Pomodorium nicht erfasst, welcher
Aufgabe sich der Benutzer gerade widmet,
fehlen auch alle Statistiken, die
über die einfache Information der durchschnittlich
erledigten Pomodori pro Tag
hinausgehen.
Jede fertiggestellte Einheit spült 25 Goldstücke
in die Kasse. Arbeitet der Nutzer
vier Phasen nacheinander (mit Pausen)
ab, kommen 60 Taler dazu. Den virtuellen
Abbildung 3: Pomodorium
punktet nicht gerade mit
seinem Aussehen.
Reichtum gibt er über »My
Character« aus, kauft Aus rüstung,
Heiltränke oder Waffen
(Abbildung 4). Dann geht’s
weiter zur »Map«, um Städte
zu besuchen und sie von
Monstern zu befreien.
Im Laufe des Spiels werden
die Monster immer widerstandsfähiger,
und um die
Reisen zwischen den Orten zu bezahlen,
sind wieder Münzen fällig. Der Disziplin
nicht besonders förderlich ist, dass sich
im Menü »Help« ein Hintertürchen findet,
über das Anwender echtes Geld gegen
virtuelles Gold tauschen dürfen.
Synchronisation ist nicht vorgesehen. Benutzer
mit mehr als einem Arbeitsplatz
müssen jeden Charakter getrennt auf
höhere Level befördern. Obwohl das Gesamtkonzept
eigentlich danach schreit,
gegeneinander zu spielen, ist Pomodorium
nicht teamfähig.
Das Tool ist sicher nicht die erste Wahl,
wenn es um professionellen Einsatz geht.
Für Studenten oder Freiberufler mit Motivationsschwierigkeiten
und einem Faible
für Rollenspiele ist es aber ein kurzweiliges
Hilfsmittel. Sind die Bugs oder die
Kollegen einmal besonders anstrengend,
ist es schon befreiend, in den Pausen ein
paar Monster ins Jenseits zu befördern.
E Teamviz
Dieses Programm motiviert und unterstützt
Anwender nicht nur auf dem Desktop,
sondern auch auf mobilen Geräten.
Abbildung 4: Das Rollenspiel, der eigene Charakter und die Schlacht gegen Monster stehen bei Pomodorium
eindeutig im Vordergrund.

Teamviz [6], ursprünglich als Pomodoro
App bekannt, steht für Windows, OS X
und Ubuntu auf der Homepage zur Verfügung.
Links zu einer Android-App und
der iPhone-Variante finden Nutzer ebenfalls
im Downloadbereich.
Die Software setzt auf Qt, steht unter
einer geschlossenen Lizenz und setzt
auf ein Freemium-Modell. Der einfache
Client ist kostenlos. Um die Daten zwischen
stationären und mobilen Geräten
synchron zu halten, zahlt ein Anwender
rund 2 US-Dollar pro Jahr. Die Enterprise-
Version (rund 50 US-Dollar jährlich) für
die Arbeit im Team (bis zu zwölf Personen)
ist derzeit noch nicht verfügbar und
mit „Coming Soon“ bezeichnet.
Die Tester schauten sich das aktuelle
Teamviz 3.2 an. Die Linux-Version befand
sich zu Redaktionsschluss noch im Betastadium.
Der Hersteller bietet 32-Bit- und
64-Bit-Varianten für Ubuntu an. Diese
liefen problemlos auch unter Linux Mint
und Debian. Letzteres benötigt zusätzlich
Curl, das Anwender gegebenenfalls
nachrüsten. Nach dem Download und
dem Entpacken des Archivs startet der
Aufruf von »./TeamViz« das Programm.
Benutzer erzeugen zunächst einen Account
für die Teamviz-Server und melden
sich dann an.
Genau wie Flowkeeper hilft Teamviz dabei,
die Aufgaben zu planen. Anwender
legen Listen für verschiedene Projekte an,
weisen diesen einzelne Tasks zu, denen
das Tool jeweils ein Pomodoro zuordnet.
Mehrere Phasen sind nur bei den mobilen
Apps möglich. Dafür dürfen Benutzer
eine Aufgabe bei der Desktopvariante
mehrmals aufrufen, sollte ein Pomodoro
nicht ausreichen. Mit den Listen planen
sie weit über den aktuellen Tag hinaus.
Fährt der Nutzer mit der Maus über eine
Aufgabe in der aktuellen Liste, erscheint
dort ein kleines Timersymbol. Ein Klick
darauf ordnet es der To-do-Liste »Today‘s
Tasks« hinzu. Bleibt ein Punkt der Aufstellung
unbearbeitet, übernimmt Teamviz
ihn ohne weitere Nachfrage für den
nächsten Tag.
Um ein Pomodoro zu starten, bewegen
Anwender die Maus über die Aufgaben
der Tagesliste und klicken dort auf das
Icon mit der Tomate. Das Timerfenster
öffnet sich und mit »Start« beginnt die
Abbildung 5: Wer die Arbeit unterbrechen möchte, der gibt am besten direkt den Grund dafür an. Einträge
erscheinen automatisch in der Liste »Unplanned Tasks«.
Abbildung 6: Teamviz punktet bei der grafisch ansprechenden und informativen Statistik. Lediglich unter
Linux verweigert das Tool derzeit den Export der Daten; auf den anderen Plattformen klappt das schon.
Uhr zu laufen. Das Hauptfenster zieht
sich in den Hintergrund zurück, lediglich
ein kleiner Zeitgeber verbleibt am oberen
Bildschirmrand.
Um den Arbeitsfluss zu unterbrechen,
klicken Nutzer auf das traurige Gesicht
im kleinen Fenster. Im Test reagierte das
Programm zäh; besser gelingt es, wenn
sie das Hauptfenster nach vorne holen
und den Grund für die Auszeit ins Eingabefeld
tippen (Abbildung 5). Die Funktion
eignet sich gut dazu, spontane Ideen
oder vergessene Aufgaben zu notieren,
denn die Einträge erscheinen automatisch
in der Liste »Unplanned Tasks«.
Tomaten auf den Ohren
An eine erledigte Aufgabe schließt sich
eine Pause an. Die Länge der Auszeiten
und der Pomodori können Nutzer anpassen.
Letztere sind mindestens 10 und
maximal 90 Minuten lang. Auch die Pausendauer
ist variabel. Nicht beeinflussbar
ist die Abfolge kleiner und großer Unterbrechungen.
Teamviz startet nach jedem
Pomodoro einen kleinen Time out, nach
jeder vierten Arbeitsphase ist automatisch
eine lange Pause fällig.
Das klassische Weckerticken deaktivieren
Nutzer über die Programmeinstellungen,
allerdings gibt Teamviz nach wie vor bei
jedem Start einer Pomodoro-Einheit ein
kurzes Geräusch von sich. Während der
Pausen schweigt das Tool, am Ende einer
Phase schrillt ein Alarm.
Als einziger Kandidat im Test bereitet
Teamviz die Statistik über erledigte oder
abgebrochene Pomodori grafisch auf. So
sehen Nutzer auf einen Blick, wann sie
Bitparade 12/2013
Software
www.linux-magazin.de
51

Software
www.linux-magazin.de Bitparade 12/2013
52
in einem bestimmten Zeitraum besonders
produktiv waren (siehe Abbildung 6).
Aus einer Tabelle entnehmen sie, wie
viele Pomodori für eine Aufgabe nötig
waren und wann sie laufende Phasen
unterbrochen haben.
Ein Klick auf »Export« sollte die Daten
theoretisch in einer CSV-Datei abspeichern.
Die Linux-Version des Programms
zeigte sich allerdings sperrig und stürzte
auf allen Testrechnern reproduzierbar ab.
Hier zeigt sich, warum das Programm
für diese Plattform noch das „Beta“ im
Namen trägt.
Dafür klappte der Abgleich mit anderen
Geräten im Test reibungslos. Die Synchronisations-Funktion
ist in der Gratisvariante
nur im ersten Monat kostenlos,
danach bittet der Hersteller zur Kasse.
Für den Abgleich nutzt das Programm
die Teamviz-Server. Einen eigenen Server
über Webdav oder Ähnliches einzurichten
sieht die Software nicht vor.
E Tomate
Das von Elio Esteves Duarte entwickelte
Python-Programm Tomate [7] steht unter
der GPLv3. Im Test gelang die Installation
der neuesten Version 0.2.1 weder unter
Debian noch unter Linux Mint. In beiden
Fällen mochte das Tool nicht mit dem
aktuellen Paket »python‐distutils‐extra«
zusammenarbeiten. Ubuntu-Anwender
spielen das Pomodoro-Werkzeug über
das Launchpad-PPA ein:
sudo add‐apt‐repository ppa:stvs/tomate
sudo apt‐get update && sudo apt‐get installU
‐y tomate
Das Hauptfenster zeigt einen großen
Timer und darunter die Anzahl der erfolgreich
beendeten Pomodori. Über die
Buttons wählt der Nutzer aus, ob er einen
Pomodoro, eine kurze oder eine lange
Pause starten möchte. Die Länge der Abschnitte
definiert er in den Einstellungen.
Tomate gestattet flexible Werte in Minutenschritten
zwischen 1 und 93 Minuten.
Der große grüne Pfeil startet die Zeitmessung,
der blaue kreisförmige Pfeil setzt
den Zähler auf Null zurück.
Tomate nistet sich oben rechts im Unity-
Panel und links im Dash ein und motiviert
den Anwender nach dem Start mit
einem Benachrichtigungsfenster (siehe
Abbildung 7). Das Panel- und das Dash-
Symbol geben auf
Wunsch Auskunft darüber,
wie viel Zeit im
aktuellen Pomodoro
verstrichen ist. Die
Anzeige für die beiden
Icons aktivieren Nutzer
in den Programmeinstellungen
(Abbildung
8).
Mehr ist nicht drin:
Die Tomate-Anwender
dürfen keine Pläne,
Aufgaben oder To-do-Listen definieren,
auch statistische Auswertungen unterbleiben.
Die Synchronisation mit anderen
Geräten oder ein Teammodus fehlen
ebenfalls. Dieses Pomodoro-Tool tickt
nicht mal – auch in der Konfiguration
findet sich dafür kein Schalter. Das Ende
einer Arbeitsphase kündigt ein kurzer
Piepton an. Damit eignet sich Tomate für
Benutzer, die einfach einen Timer benötigen
und die verstrichene Zeit im Blick
behalten möchten.
Basta, Pomodoro!
Abbildung 7: Tomate integriert sich
gut in den Unity-Desktop.
Die vier Testkandidaten hinterlassen einen
gemischten Salat. Tomate ist nur ein
schlichter Zeitnehmer für den Ubuntu-
Desktop. Benutzer anderer Distributionen
schauen in die Röhre, ersetzen das
Tool aber flugs durch eine andere Uhr
oder einen Küchentimer – mehr bietet
Tomate selbst auch nicht.
Flowkeeper ist ein handliches Werkzeug,
mit dem Anwender zu Beginn eines Tages
einen Schlachtplan entwerfen und ihn
nacheinander abarbeiten. Sobald weitere
Mitarbeiter oder mehrere Arbeitsplätze
ins Spiel kommen, stößt das Tool an seine
Grenzen. Zudem scheint die Weiterentwicklung
zu stagnieren; ob Flowkeeper
künftig neue Features und Updates erhält,
steht in den Sternen.
Pomodorium richtet sich in erster Linie
an Spielkinder mit großem inneren
Schweinehund. Rollenspieler kommen
auf ihre Kosten, das Tool funktioniert,
eignet sich aber nicht für den Einsatz im
Großraumbüro oder im Team. Wegen seines
Adobe-Air-Unterbaus ist es für Linux-
Nutzer nicht zukunftsfähig.
Somit küren die Tester Teamviz als Sieger.
Das Aussehen und die Anordnung des
Hauptfensters gefällt und die Anordnung
Abbildung 8: Tomate beschränkt
sich auf das Wesentliche.
in Listen sorgt für Übersicht. Die mobile
Version ist nicht ganz so gut gelungen,
denn die App kommt selbst auf größeren
Displays nicht an die Aufgeräumtheit der
Desktopversion heran. Die Grundfunktionen
stehen in der kostenlosen Variante
zur Verfügung, wer Daten zwischen mehreren
Geräten synchronisieren möchte,
der greift zur Bezahlversion. Obwohl der
Linux-Client noch im Betastadium ist,
zeigte er sich im Test bis auf die Abstürze
beim Export stabil.
Eine echte Zeiterfassung bietet keiner der
Testkandidaten. Die Werkzeuge sind wie
die Pomodoro-Technik selbst lediglich
Hilfsmittel, um effektiver und fokussierter
zu arbeiten. Anwender, die ihre Leistung
aufzeichnen und mit Nachweisen in
Rechnung stellen möchten, greifen daher
am besten zu einem professionellen Zeiterfassungstool
[10]. (hej)
n
Infos
[1] Die Pomodoro-Technik:
[http:// pomodorotechnique. com]
[2] Scrum: [https:// www. scrum. org]
[3] Wikipedia zu agiler Software-Entwicklung:
[http:// de. wikipedia. org/ wiki/ Agile_
Softwareentwicklung]
[4] Flowkeeper:
[http:// flowkeeper. sourceforge. net]
[5] Pomodorium:
[http:// www. pomodorium. com]
[6] Teamviz: [http:// www. teamviz. com]
[7] Tomate: [https:// launchpad. net/ tomate]
[8] Adobe Air: [http:// helpx. adobe. com/ air/​
kb/ install‐32‐bit‐air‐linux. html]
[9] Adobe Air unter Ubuntu und Mint installieren:
[http:// linuxg. net/ how‐to‐install
‐adobe‐2‐6‐air‐on‐ubuntu‐13‐04
‐raring‐ringtail‐and‐linux‐mint‐15‐olivia]
[10] Mela Eckenfels, „Clockwork Office“:
Linux-Magazin 06/​12, S. 42

Software
www.linux-magazin.de Tooltipps 12/2013
54
Werkzeuge im Kurztest
Tooltipps
Dialog 1.2
Dialoge für Shellskripte
Quelle: [http:// invisible‐island. net/ dialog]
Lizenz: LGPLv2.1
Alternativen: Zenity, Xdialog
Virtenv 0.8.6
Grafische LXC-Verwaltung
Quelle: [http:// virtenv. sourceforge. net]
Lizenz: GPLv2
Alternativen: LXC-Provider, Virt-Manager
Collectd 5.4.0
Systemdaten sammeln und aufbereiten
Quelle: [http:// collectd. org]
Lizenz: GPLv2
Alternativen: RRD Util, Ecostats
Mit einem Tool wie Dialog statten Nutzer
ihre Shellskripte mit grafischen Elementen
aus und gestalten beispielsweise Fenster
für Benutzerabfragen. Die Rückgabewerte
entscheiden dann über den weiteren Verlauf
des Skripts. Das C-Programm setzt
auf Ncurses und benötigt somit keinen
laufenden X-Server. Anwender steuern
das Werkzeug über Kommandozeilen-
Parameter und beeinflussen damit das
Aussehen und die Inhalte.
Über 20 verschiedene Dialogtypen stehen
zur Verfügung, darunter Benachrichtigungsboxen,
Datei-Auswahldialoge und
Passwortabfragen. In den letzten Jahren
waren die Entwickler nicht untätig, haben
zahlreiche Fehler korrigiert und viele
neue Funktionen implementiert. So sind
etwa die von Xdialog bekannten Typen
»buildlist«, »rangebox« und »treeview«
hinzugekommen. Die Standardausgabe
externer Programme zeigt »‐‐prgbox« in
der Ncurses-Oberfläche an. Eine Alternative
dazu bietet »‐‐programbox«: Über
eine Pipe betten Benutzer die Ausgaben
von Shellkommandos ein.
Weitere neue Funktionen wie »‐‐help‐button«
oder »‐‐extra‐button« ermöglichen es
den Benutzern, die Bedienelemente der
Oberfläche ganz nach eigenen Wünschen
zu gestalten.
★★★★★ Dialog ist Ncurses-basiert, benötigt
also keinen laufenden X-Server
und ist damit recht anspruchslos. n
Die Virtualisierungslösung Linux Containers
(LXC) ist seit Version 2.6.29 fester
Bestandteil des Kernels. Damit sind
einfache Applikations-, aber auch Systemcontainer
möglich – sogar für andere
Distributionen. Das Qt-4-Programm Virtenv
bietet grafische Schnittstellen, mit
denen Anwender Schritt für Schritt LXC-
Umgebungen erzeugen.
Nach dem Aufruf von »virtenv« startet
ein Assistent, der im ersten Dialog vorhandene
Virtenv-Maschinen anzeigt und
startet. Alternativ tragen Benutzer einen
neuen Namen ein. Im nächsten Schritt
fragt das Werkzeug nach der Auflösung,
falls eine grafische Umgebung und ein X-
Server gewünscht sind. Soll die Maschine
netzwerkfähig sein, geben Anwender zudem
das Interface, die IP-Adresse und das
Gateway an. Virtenv richtet bis zu vier
Schnittstellen ein.
Sämtliche Konfigurationsdateien legt das
Tool im Ordner »~/.virtenv« ab. Das
Rootverzeichnis mountet das Programm
beim Start der virtuellen Umgebung via
»copy‐on‐write« in das jeweilige »rootdir«-
Verzeichnis. Daher sind zum Start einer
VM Rootrechte erforderlich.
★★★★★ Mit Virtenv erzeugen Anwender
in wenigen Schritten Linux-Container-Umgebungen.
Das Tool eignet sich
hervorragend dazu, schnell Testsysteme
und Sandboxes zu generieren. n
Wie der Name vermuten lässt, sammelt
dieser Daemon Daten über die Systemperformance.
Die Datenerfassung erfolgt
über Plugins. Collectd hat über 90 solcher
Erweiterungen im Angebot, etwa für
Apache, Bind, IPtables, Nginx, MySQL,
PostgreSQL und Oracle. Erfahrene Entwickler
setzen optional eigene ein; Implementierungen
in C, Java, Perl oder
Python sind laut Wiki auf der Projektseite
möglich.
Welche Dienste und Ressourcen Collectd
überwacht, legt der Anwender in der
Konfigurationsdatei »/etc/collectd.conf«
fest. Um dort ein Plugin zu aktivieren,
lädt er es zunächst und beschreibt danach
die Konfiguration. Je nach Modul
gibt er hier Verzeichnisse, Ports oder
Schwellenwerte vor. Das C-Programm
legt die erfassten Daten im RRD-Format
ab. Ein entsprechendes RRD-Tool-Frontend
erzeugt daraus aussagekräftige und
ansprechende Graphen – Collectd selbst
sammelt nur und zeichnet nicht.
Optional speichert das Tool die Informationen
im CSV-Format. Das ist etwa dann
hilfreich, wenn Benutzer die Daten vor
der Visualisierung automatisiert verarbeiten
möchten.
★★★★★ Collectd ist ein leistungsfähiger
Dienst, der zuverlässig Systemdaten
aufzeichnet. Dank der Plugin-Struktur
gestalten Anwender den Einsatz ganz
individuell für das eigene Setup. n

Convmv 1.15
Datei- und Verzeichnisnamen konvertieren
Quelle: [https:// www. j3e. de/ linux/ convmv]
Lizenz: GPLv2
Alternativen: Rename, Iconv
Ngircd 20.3
Portabler IRC-Server
Quelle: [http:// ngircd. barton. de]
Lizenz: GPLv2
Alternativen: We Ircd, Rage Ircd
Wer oft mit unterschiedlichen Zeichensätzen
kämpft, der darf sich von Convmv
unterstützen lassen. Das Tool konvertiert
das Encoding in Datei- und Verzeichnisnamen
und benennt auch ganze Ordnerhierarchien
um, den Inhalt lässt es
unangetastet. Das Perl-Skript kümmert
sich auch um Symlinks, löst sie auf und
wandelt gegebenenfalls den Zeigernamen
in einen anderen Zeichensatz um.
Convmv handhabt in der aktuellen Version
124 Zeichensätze; zusammen mit
»‐‐list« aufgerufen schreibt es alle bekannten
Encodings auf die Standardausgabe.
Um etwas zu konvertieren, geben
Anwender hinter »‐f« den aktuellen und
hinter »‐t« den neuen Zeichensatz an. Soll
das Werkzeug rekursiv arbeiten, verwenden
sie zusätzlich »‐r«. Um im selben Arbeitsschritt
die Schreibweise der Namen
anzupassen, definieren Nutzer optional
»‐‐lower« oder »‐‐upper«, und das Tool
wandelt die Dateinamen in Klein- beziehungsweise
Großbuchstaben um.
Das Perl-Skript hat mehrere Schutzvorrichtungen
eingebaut. Vor dem Transformieren
prüft es, ob eine Datei nicht schon
in der gewünschten Kodierung vorliegt,
und stellt gegebenenfalls den Dienst ein.
Mit »‐‐nosmart« deaktivieren Anwender
diese Kontrolle. In der Voreinstellung arbeitet
Convmv außerdem im Testmodus
und gibt nur an, welche Änderungen anstehen.
Um diese tatsächlich durchzuführen,
starten Benutzer das Werkzeug mit
dem Parameter »‐‐notest«.
★★★★★ Convmv ist ein praktischer Helfer,
um angerichteten Zeichensalat bei
Datei- und Verzeichnisnamen zu korrigieren.
Die Bedienung ist intuitiv, der
Standardtestmodus verhindert Schäden
durch voreilige Aktionen.
n
An IRC-Servern besteht unter Linux
wahrlich kein Mangel. Der Next Generation
IRC Daemon (Ngircd) basiert jedoch
nicht auf dem ursprünglichen Ircd wie
viele andere Server. Der portable und
leichtgewichtige Daemon für den Internet
Relay Chat eignet sich besonders für
kleinere oder private Netze, ist schnell
konfiguriert, kann mit dynamischen
IP-Adressen umgehen und unterstützt
IPv6, SSL-Verschlüsselung sowie PAM-
Authentifizierung.
Die Einrichtungsdatei ist übersichtlich.
Das Quellarchiv enthält einige Beispiele,
die als Vorlage dienen können. Die Konfiguration
gliedert sich in die Bereiche
»global«, »limits«, »options«, »ssl«, »operator«
und »channel«. Unter »global«
definieren Nutzer den Servernamen, die
Ports und Schnittstellen, auf denen der
Daemon Verbindungen annimmt. In der
Abteilung »limits« beschränken sie die
Anzahl der Verbindungen und die Länge
der Nicknamen.
In »options« stehen allgemeine Einstellungen
zu Chroot oder DNS-Lookup.
Benutzer legen hier ebenfalls fest, ob
der IRC-Server IPv4 oder IPv6 nutzt.
Einstellungen zur sicheren Kommunikation
nimmt der Abschnitt »ssl« auf.
Mit »‐t« prüfen Admins die Konfigurationsdatei
auf Syntaxfehler. Weitere Aufrufparameter
unterbinden konfigurierte
automatische Verbindungen zu anderen
IRC-Servern oder halten Ngircd zur Fehleranalyse
im Vordergrund.
★★★★★ Ngircd ist ein schlanker IRC-
Server, der alle wichtigen Funktionen
beherrscht. Da der Daemon auch mit dynamischen
IP-Adressen zurechtkommt,
eignet er sich besonders für Ad-hoc-Installationen.
(U. Vollbracht/​hej) n

Software
www.linux-magazin.de Google Business 12/2013
56
Googles Rundum-sorglos-Pakete für Unternehmen
Arbeiten statt suchen
Mit fünf Produktgruppen sucht der Branchenprimus im Suchgeschäft in der DACH-Region in Unternehmen Fuß
zu fassen. Die Suchmaschine, für die Google bekannt ist, gibt’s als Appliance, doch stehen andere Produkte im
Mittelpunkt von Googles „Apps for Business“-Strategie Martin Loschwitz, Markus Feilner
bedingungen der Businessprodukte, die
sich positiv von denen für Endkunden
unterscheiden, schaffen es nicht, das
ungute Gefühl in der Magengegend zu
vertreiben. Ob es sich lohnt, sich mit
den Tools zu beschäftigen, muss da jeder
Admin selbst entscheiden, und häufig
bleibt die Entscheidungsgrundlage im
Emotionalen.
E Google Enterprise
Search Appliance
© almir1968, 123RF.com
Wer Google hört, denkt vorrangig an die
Suchmaschine im Internet. Das ist nicht
weiter verwunderlich, da jenes Geschäft
Google ja erst zu dem gemacht hat, was
es heute ist – zum unangefochtenen und
gleichermaßen umstrittenen Branchenprimus,
was das Suchen und Finden im
Internet angeht.
Mehr als nur Suche: Google
strebt ins Unternehmen
Tatsächlich ist aber seit Google Mail, den
Weboffice-Applikationen und Android
bereits offensichtlich, dass das Such-Imperium
viel mehr sein will. So bietet das
Unternehmen mit Hauptsitz in Mountain
View (Abbildung 1) mittlerweile auch
eine Reihe von Diensten an, die sich direkt
an Unternehmen richten und nur
mittelbar mit der Internetsuche in Verbindung
stehen. Für jeden Anwendungsfall
habe man, so behauptet Google, ein
Produkt im Angebot.
Für den DACH-Raum lassen sich fünf
Kerndienste ausmachen, die das Unternehmen
beackert: Neben dem omnipräsenten
Suchmaschinen-Thema bietet
Google die Business-Applikationen an,
hinzu kommen Infrastruktur- und Plattformangebote
im Stile klassischer Hosted-Anwendungen
sowie Geodienste wie
Google Earth. Nicht zu vergessen ist freilich
auch Chrome OS, das mit „Chrome
4 Business“ ebenfalls eine eigene Business-Sparte
vorweist, und die damit verbundene
Hardwaresparte. Android hat ja
nach Google-Lesart in einem Unternehmen
nichts verloren.
Für die Firmen jedoch sind die von
Google angebotenen Dienste ein zweischneidiges
Schwert. Einerseits klingt es
verführerisch, sich durch Onlinedienste
viel administrativen Aufwand zu sparen,
andererseits eilt Google auch der Ruf der
Datenkrake voraus, die alle Informationen
über die Benutzer erkunden und
verwerten möchte. Selbst die Nutzungs-
Größere Unternehmen beispielsweise sehen
sich oft mit dem Problem konfrontiert,
dass sie intern zahlreiche Datenquellen
besitzen, über die niemand mehr
wirklich einen Überblick hat. An dieser
Stelle setzt „Google Enterprise Search“
[1] an und verspricht dem Admin, alle
Informationen jederzeit per Mausklick
verfügbar zu machen – analog zur Suchmaschine
im Web. Wenn es etwas gibt,
das Google besser beherrscht als jeder
andere, dann ist es das Aufspüren spezifischer
Inhalte.
Es ist ganz gleich, welche Arten von Dokumenten
eine Firma nutzt, ob Word-
Dokumente, PDF-Dateien, Datenbanken,
ERP-Systeme, Windows-Share und dergleichen
mehr: Die Appliance mit Enterprise
Search findet jedes Stichwort darin,
verspricht Google. Wer auf der Suche
nach bestimmten Datenbankinhalten ist,
wird genauso fündig, als wenn er Zahlen
aus der Bilanz von vor drei Jahren
benötigt.
Bei Enterprise Search handelt es sich
im Grunde um eine kleine Ausgabe von
Google, die speziell an die Bedürfnisse
des jeweiligen Unternehmens angepasst
ist. Das Produkt kommt in Form fertiger
Appliances von Dell ins Haus, die au-

Quelle: Wikipedia, Austin McKinley, CC BY 3.0
Abbildung 1: Googleplex, der Google-Campus in Mountain View, Kalifornien.
ßen quietschgelb sind und innen eine
gehärtete Linux-Version nutzen – wenig
überraschend handelt es sich um Centos
(Abbildung 2) .
Zwei Ausgaben stehen zur Verfügung:
Die G100 indiziert bis zu 20 Millionen
einzelne Dokumente, das Model G500
schafft bis zu 100 Millionen. Natürlich
skaliert die Anwendung Google-typisch
in die Breite, sodass selbst riesige Unternehmen
keine Sorge haben müssen,
irgendwann an die Performancegrenzen
der Suchlösung zu stoßen. Obendrein
macht Google darauf aufmerksam, dass
Wartung und Betrieb der Geräte für die
Unternehmen vor Ort kaum Arbeit machen
– die Kisten verwalten sich selbst
– und um die tieferen Details kümmert
sich ausschließlich Google.
Mit beiden Modellen haben Admins somit
die Möglichkeit, eine eigene Google-
Suche für ihr Unternehmen zu betreiben,
die in Sachen Präzision alle Bastellösungen
in den Schatten stellt und obendrein
auf Linux aufbaut.
Google lässt sich das nach Angaben
von Kunden allerdings teuer bezahlen,
schon für die kleinen Appliances muss
der Kunde recht tief in die Tasche greifen.
Preise finden sich im Web nicht,
Google rückt sie nur auf Anfrage raus
und möchte wohl auch nicht, dass die
Kunden darüber sprechen. In Foren kursieren
fünfstellige Einstiegspreise von
10 000 bis 15 000 Euro bei einer halben
Million Dokumente. Die Suchappliance
von Google richtet sich insofern vorrangig
an größere Unternehmen.
E Google Apps 4 Business
Ganz anders sieht es da mit den Google-
Apps-4-Business-Diensten aus [2], die
der Hersteller im deutschsprachigen Europa
ebenfalls anbietet (Abbildung 3).
Die „GApps4Business“-Produkte sollen
Kunden unter einer einheitlichen Oberfläche
all jene Funktionen bieten, die
sich Unternehmen bisher selbst zusammenbasteln
mussten: Webspace, E-Mails,
eine Officesuite samt interner Dokumentenverwaltung,
nahtlose Integration mit
allen mobilen Geräten – all das bieten die
kommerziellen Google-Apps quasi von
Anfang an. Und das gibt es zu einem
durchaus akzeptablen Preis: Pro Nutzer
schlägt die gesamte Palette der Dienste
mit rund 6 Euro pro Jahr zu Buche. Darin
enthalten ist Zugriff auf praktisch
alle Dienste, die Bestandteil des Google-
Apps-4-Business-Paketes sind, also auch
Google Docs, die Mailfunktionen sowie
Google Drive.
Als klassisches SaaS (Software as a Service)
aufgebaut, strebt Google Apps 4
Business wohl an, die ultimative Lösung
für das Groupware-Thema zu werden,
auch wenn man freilich Wert darauf legt,
einen „echten Cloud-Dienst“ anzubieten,
der überall funktioniert und auf spezielle
Clientprogramme keinen Wert legt. Alle
Funktionen sind über Webbrowser erreichbar,
das gilt für das E-Mail-Interface
genauso wie für die Kalenderfunktion,
die Officedokumente und den Google-
Chat namens Talk.
Das Angenehme an diesen Business-Apps
ist, dass Google sich – typisch amerikanisch
– recht ungezwungen im Hinblick
auf die Art und Weise gibt, wie Benutzer
den Dienst in Anspruch nehmen
wollen. Der Anwender hat weitgehend
freie Hand: Neben dem Webinterface
stehen für die meisten Dienste Schnittstellen
nach freiem Standard parat, an
seine E-Mails kommt er beispielsweise
Quelle: Wikipedia, Barabas, CC BY 3.0
Google Business 12/2013
Software
www.linux-magazin.de
57
Abbildung 2: Googles Search-Appliance bietet
Google-Suche für Unternehmen an, um den internen
Datenwust unter Kontrolle zu halten.
Abbildung 3: Google Apps 4 Business soll das Rundum-sorglos-Paket für Unternehmen sein, Browser-basiert
und mit beeindruckendem Funktionsumfang.

Software
www.linux-magazin.de Google Business 12/2013
58
Abbildung 4: Über die Google Apps 4 Business integriert Google auch Android in seine Profi-Anwendungen.
per IMAP, auch das Versenden per SMTP
bereitet keine Probleme.
Der Google-Kalender unterstützt Apples
Ical-Format, auch wenn Google bereits
mehrere Male erklärte, dieser Funktion
bald den Saft abdrehen zu wollen. Dem
hauseigenen Jabber-Chat ist das bereits
passiert, zumindest teilweise: Google
Hangouts ersetzt den vorherigen Dienst
Talk, der echtes XMPP geboten hat, durch
eine reine Google-Lösung.
Hinzu kommt die Möglichkeit, über
Googles App-Store Zusatzanwendungen
direkt und nahtlos in die eigene Businessplattform
zu integrieren, wer zum
Beispiel auf ein CRM-System nicht verzichten
möchte, integriert dies in Windeseile
in den eigenen Businesszugang
und hat anschließend sogar die Kontakte
aus dem eigenen Adressbuch bereits im
CRM zur Verfügung.
Das alleine ist freilich ein kleines Detail,
doch viele kleine Details summieren
sich, und letztlich macht die Nutzung
von Google-Apps gerade im Hinblick
auf die verschwindend geringen Kosten
einfach Spaß. Wer behauptet, für das
gleiche Geld eine eigene, ausfallsichere
Infrastruktur betreiben zu können, wird
sich folglich schwer tun: Das gesamte Paket
für eine 5-Mann-Firma schlägt mit 30
Euro zu Buche. Google Apps 4 Business
darf insofern sicher auch als Köder für
andere Google-Dienste gelten.
Die Android-Connection
einbezieht (Abbildung 4). Googles offizielles
Statement ist, dass Android kein
Enterprise-Produkt ist und es auf absehbare
Zeit auch kein speziell getrimmtes
Android geben wird.
Immerhin erlauben die Business-Apps,
Android-Geräte in die Servicestruktur
einzubinden, das bringt insbesondere
Funktionen wie das Aufspüren von verlorenen
Androiden und Remote-Wipes.
Voraussetzung ist, dass auf den betroffenen
Geräten die »Google Apps Device
Policy«-App (Abbildung 5) installiert ist
– dann lassen sich Geräte an der Domain
anmelden. Die Device-Policy-App fällt
noch recht rudimentär aus, doch baut
Google die Managementschnittstelle zu
den Geräten sukzessive aus und wird
hier sicher noch einige wichtige Funktionen
nachliefern.
Optionen wie den Sicherheitscheck des
Clients vor dem Aufbau einer VPN-Verbindung
gibt es bereits länger, nur sind
nicht alle bereits aktiviert oder durchweg
integriert. Android fährt eben bei Google
nicht auf der Enterprise-Schiene und
scheint dort daher auch nicht unbedingt
Priorität zu genießen.
E Compute, IaaS und PaaS
Weil Google im Rang der IaaS- und PaaS-
Cloudplattform-Anbieter natürlich nicht
fehlen darf, bietet das Unternehmen
mittlerweile auch umfassende Computingdienste
an [3]. Diese lassen sich am
ehesten als simple virtuelle Maschinen
bezeichnen, die der Benutzer nach Bedarf
sowohl startet als auch wieder stoppt.
Der Dienst gleicht Amazon AWS in vielerlei
Hinsicht frappierend. Das dürfte
aber auch daran liegen, dass bei derartigen
On-Demand-Angeboten nur bedingt
Gestaltungsspielraum für den jeweiligen
Anbieter bleibt.
Bei der technischen Umsetzung setzt
Google auch hier auf die Vorzüge freier
Software: Die virtuellen Maschinen basieren
auf KVM und die gesamte Plattform
läuft auf Linux-Servern. Als Distribution
kommen bei der Compute-Engine übrigens
ebenfalls Centos oder wahlweise
auch Debian zum Einsatz.
Zur gleichen Säule wie die Compute-
Engine gehören auch Googles IaaS- und
PaaS-Angebote, bei denen Kunden sich
nicht einzelne VMs mieten und selbst
konfigurieren, sondern die VMs von
Google gestellt und mit passender Software
vorab bestückt erhalten. Google bietet
hier eine Vielzahl von Plattformen an,
darunter fertige Systeme für PHP, Datenbanken
(NoSQL oder MySQL) oder auch
Java-basierte Anwendungen. Google
Google Apps 4 Business ist übrigens auch
deshalb interessant, weil es Googles einziges
Angebot ist, das Android-Geräte irgendwie
sinnvoll in den Businesskontext
Abbildung 5: Android-Geräte sind zwar nicht Enterprise-ready, meint Google, aber dennoch arbeitet der
Konzern an Managementschnittstellen wie der »Google Apps Device Policy«-App.

selbst sieht seine Plattform als „brauchbares
Werkzeug für die Auswertung von
Big Data“, wobei der Konzern auf eine
genauere Definition verzichtet.
E Googles Geo-Dienste
Als spezielle „For Business“-Version bietet
Google Geo-Dienste an, also insbesondere
Google Maps und Google Earth [4],
und will mit jenen Diensten Unternehmen
in die Lage versetzen, Logistik und
das global verteilte Arbeiten besser in
den Griff zu bekommen. Dazu zählt zum
Beispiel die Möglichkeit, sich mit Hilfe
der Google-Maps-Engine kundenspezifische
Karten zu entwickeln und diese
anschließend direkt in Google Maps anzeigen
zu lassen.
Eine solche Funktion könnte nützlich
sein, wenn beispielsweise ein Logistikunternehmen
die Routen für seine Fahrer
plant – durch die firmeninterne Veröffentlichung
auf Google Maps ließe sich dem
Fahrer gewissermaßen seine persönliche
Route direkt mitteilen. Im Gegensatz zu
herkömmlichen Navigationssystemen
wären die Routen eines Unternehmens
sogar unter den Fahrern abgestimmt, es
wäre also sicher, dass jeder Fahrer optimale
Routen fährt.
Das Google-Maps-API ist das Kernstück
des gesamten Dienstes, der ein breitgefächertes
Portfolio an Software zu bieten
hat (Abbildung 6). Neben der schon
erwähnten Funktionalität kann sie freilich
noch viel mehr: Sie versorgt Google-
Kunden ganz spezifisch mit Nutzdaten
im Hinblick auf bestimmte Regionen.
Wer zum Beispiel wissen möchte, wo in
der eigenen Umgebung vor allem junge
oder ältere Menschen leben, um diese
anschließend bewusst per Werbung anzusprechen,
greift zum Business-API von
Google Maps.
Dabei ist Google-typisch der Umfang der
Daten überaus beeindruckend, den der
Suchmaschinenriese den eigenen Kunden
anbietet: Hochauflösende Umgebungsbilder,
demografische Daten, Heat-Maps
basierend auf Daten und Parametern, die
der Kunde selbst bestimmt – all das ist
kein Problem.
Noch näher an den Ort des Geschehens
bringt Google Earth Pro: Die Business-
Version von Google Earth richtet sich an
Firmen wie Bauunternehmen, die auf
aktuelle Kartografie so angewiesen sind
wie darauf, sich möglichst unkompliziert
in die Lage „vor Ort“ hineinzuversetzen.
So lassen sich mit Google Earth Pro nicht
nur genaue Entfernungen zwischen zwei
Punkten bestimmen, sondern auch die
Maße von Gebäuden – ohne dass jemals
ein Mitarbeiter der Firma vor Ort gewesen
wäre und gemessen hätte. Direkt
aus Google Earth Pro heraus lassen sich
damit sogar professionell anmutende Videos
erstellen.
Alle Geo-Dienste von Google folgen der
Prämisse, dass Anwender sie entweder
im Browser oder mit einem spezifischen
binären Client bedienen. Linux unterstützt
Google dabei vorbildlich, die stets
aktuelle RHEL- oder Ubuntu-Version sofort
nach deren Erscheinen. Wer freie und
veröffentlichte Software sucht, sieht sich
allerdings enttäuscht, vor allem weil es
auf FOSS-Basis praktisch keine vergleichbaren
Dienste gibt.
E Chrome OS & Hardware
Die fünfte und letzte Säule von Googles
Firmenangebot trägt den Namen Chrome
OS [5] und hat – wie Android – eigene
Hardware im Schlepptau. Im Gegensatz
zum Smartphone-OS versteht Google
Chrome OS sich aber als wichtige Komponente
seines eigenen App-Stack, die
Geräte sollen quasi die Grundlage dafür
werden, dass sich alle vormals bezeichneten
Google-Dienste unter einer einheitlichen
Oberfläche nutzen lassen und so
ein perfektes Business-Feeling entsteht.
Die vielen kritischen Stimmen, die Googles
eigenes Betriebssystem ursprünglich
auf den Plan rief, sind mittlerweile verstummt,
Chrome OS hat sich eine eigene
Nische erkämpft.
Das liegt sicherlich auch daran, dass
Google die zu Chrome OS gehörenden
Geräte ziemlich rabiat unters Volk zu
bringen versucht. Die unter anderem von
Samsung und Acer gebauten Chromebooks
sind dank ihres niedrigen Preises
zweifellos konkurrenzfähig. Umso verwunderlicher
klafft in Googles DACH-
Angebot gerade hier eine böse Lücke: Das
Flaggschiff der Chromebook-Reihe, das
Chromebook Pixel (Abbildung 7, [6]),
ist – obwohl bereits im Februar 2013 vorgestellt
– bis heute in Mitteleuropa de
facto nicht zu bekommen. E

Software
www.linux-magazin.de Google Business 12/2013
60
Dabei wäre das Gerät durchaus interessant:
Die Auflösung des 13-Zoll-Bildschirms
stellt selbst Apples gleich großes
Retina-Display in den Schatten, preislich
liegt das Gerät jenseits des großen Teichs
mit 1200 US-Dollar im guten Mittelfeld,
und die Linux-Unterstützung für alle
Komponenten des Geräts sind bereits im
Kernel integriert. Wer nach dem Kauf auf
Chrome OS verzichten kann, installiert
sich also einfach ein Linux seiner Wahl
und kann losarbeiten.
Hierzulande bleibt das aber graue Theorie,
denn solange das Gerät nur via Import
für fast 1800 Euro zu haben ist, sind die
schicken Highend-Notebooks eher uninteressant.
Wer sich die schlanken Geräte
in Deutschland anschauen will, kann
derzeit nur um eine Audienz in einer der
Google-Niederlassungen ersuchen: Den
deutschen Mitarbeitern hat der Konzern
bereits seit Anfang des Jahres Chromebook
Pixel zur Verfügung gestellt.
Chrome OS selbst ist indes nur für jene
wirklich sinnvoll nutzbar, die sich in das
gesamte Google-Apps-Universum integrieren.
Wer nicht auf Google Apps 4 Business
setzt, fängt mit den meisten Komponenten
von Chrome OS nur wenig an und
degradiert ein Chrome-OS-basiertes Gerät
zu einem Browser mit Tastatur. „Wenn
schon Google“, so lautet wohl die Devise
des Herstellers, „dann ganz.“
Datenschutz
Google liefert in gewohnter Manier bei
seinen Enterprise-Produkten ordentliches
Handwerk ab – für kleines Geld erhalten
Kunden eine solide Leistung. Doch bleibt
Abbildung 7: Das hochwertige Chromebook Pixel ist in Europa nur via Import zu Mondpreisen zu bekommen.
das Problem mit dem Datenschutz: Ist es
für ein Unternehmen in Deutschland oder
Österreich überhaupt eine gute Idee, seine
Daten Google anzuvertrauen?
Freilich muss die Antwort auf diese Frage
eher juristischer als technischer Natur
sein. Denn aus technischer Sicht ist die
Sache klar: Wer Daten unverschlüsselt
bei einem Drittanbieter speichert, gibt
die Kontrolle über diese Daten effektiv
auf. Zuverlässig ließen sich die ausgetauschten
Daten eines solchen Dienstes
nur vor den Blicken Dritter schützen,
wenn durchgängige End-to-End-Verschlüsselung
immer und durchgehend
zum Einsatz kommt. Am Beispiel von
Googles Maildienst könnte das beispielsweise
bedeuten, konsequent auf Gnu PG
zu setzen – im Alltag ist das allerdings
illusorisch.
Rechtlich sieht die Sache anders aus.
Nach Prism & Co. ist es seitens der EU-
Kommission mittlerweile die öffentlich
propagierte Meinung, dass selbst das
Safe-Harbor-Abkommen nicht zuverläs-
sig schützt. Dass Firmen wie Microsoft
und Google von US-Unternehmen in die
Zange genommen werden, ist bekannt.
Dass US-amerikanische Geheimgerichte
die gleichen Unternehmen notfalls zur
Herausgabe von Daten zwingen, machte
das Beispiel von Lavabit [7] deutlich.
Wer auf den sicheren Schutz von Daten
angewiesen ist, muss im Augenblick
also zwangsläufig einen Bogen um die
Google-Angebote machen, so schön sie
auch sein mögen.
n
Infos
[1] Google Search Appliance:
[http:// www. google. com/ enterprise/​
search/ products/ gsa. html]
[2] Google Apps 4 Business: [http:// www.​
google. com/ enterprise/ apps/ business/]
[3] Google Compute:
[http:// cloud. google. com]
[4] Googles Geo-Dienste: [http:// www. google.​
com/ enterprise/ mapsearth/]
[5] Chrome OS:
[https:// www. google. com/ intl/ en/ chrome/]
[6] Chromebook Pixel:
[http:// www. google. com/ intl/ en/ chrome/​
devices/ chromebook‐pixel/]
[7] Lavabit macht dicht:
[http:// www.​zeit.de/digital/2013-08/
snowden-mailanbieter-geschlossen]
Quelle: Wikipedia, Austin McKinley, CC BY 3.0
Abbildung 6: Karten-Engine, Maps-API, Maps Coordinate, Earth Pro und mehr: Google Maps for Business.
Der Autor
Martin Gerhard Loschwitz
arbeitet als Principal Consultant
bei Hastexo. Er beschäftigt
sich dort intensiv
mit den Themen High Availability,
Distributed Storage
und Open Stack. In seiner Freizeit pflegt er den
Clustermanager Pacemaker für Debian.

Aus dem Alltag eines Sysadmin: Go Access
Süßes Logmittel
Einführung 12/2013
Sysadmin
So wie ein Handwerker sich nicht jeden Monat einen anderen Winkelschleifer kauft, wechselt ein Sysadmin
nicht dauernd seine eingespielten Tools. Kolumnist Charly Kühnast pfeift diesmal auf den konservativen
Grundsatz, denn der Wechsel zu einem neuen Logfile-Tool scheint zu attraktiv. Charly Kühnast
www.linux-magazin.de
61
Inhalt
62 I-Rony in Kolab 3.1
Mit der Integration der Protokolle
Caldav und Carddav vergrößert Kolab
die Zahl kompatibler Clients erheblich.
68 Remote-Admin-Tools
Systeme remote per Smartphone verwalten?
Technische Entwicklung und die
richtige App machen’s möglich.
So kurzlebig die Duelle des Sysadmin
mit dem Alltag sind, so konservativ fällt
oftmals die Wahl der Waffen aus. Die
Log-Auswertungen meiner Webserver
beispielsweise erledigt seit einer gefühlten
Ewigkeit Webalizer. Alternativen gäbe
es schon: Awstats, Awffull und einige andere.
Doch warum experimentieren? Die
anderen bauen auch nur wie Webalizer
aus der Logdatei des Webservers übersichtliche
Auswertungen.
Abzuweichen lohnt, wenn ich sekundengenaue
Zusammenfassungen in Echtzeit
brauche. Einen Ansatz liefert Apachetop,
über das ich hier vor langer Zeit
geschrieben [1] habe. Mittlerweile geht
es aber besser: mit Go Access [2]. Das
Tool liest die Logdatei des Webservers,
wertet sie bis zum aktuellen Zeitpunkt
aus und zeigt die Ergebnisse auf der Konsole
an. Go Access liest die üblichen Logdateien
im Common Logfile Format, auch
im Combined Logfile Format. Wer etwas
Exotischeres hat, kann Go Access auch
dies beibringen.
Der Autor
Charly Kühnast administriert
Unix-Syste me im Rechenzentrum
Niederrhein. Zu seinen
Aufgaben gehören Sicherheit
und Verfügbarkeit der
Firewalls und der DMZ.
Go Access schreibt seine Ausgabe kontinuierlich
fort, sodass ich live verfolgen
darf, wie der Webserver arbeitet. Im
einfachsten Fall übergebe ich beim Start
einen einzigen Parameter, der den Pfad
zum Logfile angibt:
goaccess ‐f /var/log/apache2/access.log
Als sehr praktisch erweist sich die Möglichkeit,
gleich eine IP-Adresse dazuzupacken,
deren Zugriffe Go Access ignorieren
soll:
goaccess ‐f /var/log/apache2/access.logU
‐e 10.50.1.25
Auf diese Weise bleiben Zugriffe von
Überwachungssystemen (Nagios, Icinga
oder Loadbalancer) bei der Kalkulation
außen vor, die zyklisch nachschauen, ob
der Server noch lebt.
Rolle vorwärts
Die Anzeige auf der Konsole ist in Abschnitte
unterteilt, Go Access nennt sie
Module. Die Module reihen sich von oben
nach unten, sodass ich scrollen muss, um
alle zu sehen. Glück hat, wer seinen Monitor
im Hochformat betreiben kann – ich
gehöre leider nicht dazu.
In Abbildung 1 sind nur die ersten vier
Module und die erste Zeile des fünften zu
sehen, tatsächlich stellt Go Access aber
elf Module dar, darunter Übersichten über
die meistverwendeten Browser und Betriebssysteme
der Clients, die häufigsten
Referrer-Seiten und Suchbegriffe, anhand
derer Suchmaschinen ihre User auf meine
Webseite gelotst haben. Praktischerweise
unterscheidet Go Access beim Auflisten
der Clients penibel zwischen Craw lern
und richtigen Browsern.
Ein Modul zeigt nur die Top-6-Liste seiner
Kategorie an. Mehr Details sind jedoch
Abbildung 1: Das echtzeitfähige Go Access zeigt hier
nur vier der elf Module und deren Top-6-Listen an.
schnell zur Hand: Jedem Modul ist eine
Zahl zugeordnet, sie steht in der Überschrift,
zum Beispiel »6 ‐ Operating Systems«.
Tippe ich die Zahl auf der Tastatur
und danach [O] (für Open Detail View),
bekomme ich die vollständige Liste angezeigt.
Weitere interaktive Tastenkürzel
blendet [F1] ein.
Aussagekräftige Reports über abgeschlossene
Logdateien, mithin die Paradedisziplin
klassischer Logauswerter wie Webalizer
& Co., beherrscht Go Access natürlich
auch. Sieht aus, als ob ich Webalizer
und Apachetop Tickets in die ewigen
Jagdgründe ausstellen muss. (jk) n
Infos
[1] Charly Kühnast, „Aus dem Alltag eines Sysadmin:
Webalizer Xtended“: Linux-Magazin
02/​06, S. 65
[2] Go Access:
[http:// goaccess. prosoftcorp. com]

Sysadmin
www.linux-magazin.de Kolab 3.1 I-Rony 12/2013
62
Kolab 3.1 I-Rony bringt Caldav- und Carddav-Support
Organisierte Ironie
Offene Standards und Open Source sind das Dogma der Groupware Kolab. Die aktuelle Alpha der kommenden
Version 3.1 erweitert mit den Protokolle Caldav und Carddav die Zahl der kompatiblen Clients immens: Bald
sollen so Kolab-Daten auch auf I-OS, Mac OS X, Thunderbird und Evolution kommen. Andrej Radonic, Markus Feilner
karen roach, 123RF
Mit zunehmender Verbreitung mobiler
Clients kommen Admins immer seltener
darum herum, ihren Anwendern Remotezugriff
auf Kalender und Adressdaten
einzurichten. Trotz seiner Veranlagung
als Open-Source- und Open-Standardsgetriebene
Groupware hat das einst vom
Bundesamt für Sicherheit in der Informationstechnik
(BSI) mitinitiierte Kolab
[1] hierbei bislang wenig zu bieten: Nur
die eigenen Clients (Kontact, das Webinterface
Horde und später Roundcube,
dazu proprietäre Outlook-Plugins) konnten
die zentralen Kalender und Adressen
nutzen. Mobilgeräte fanden nur über Microsofts
Active-Sync-Protokoll oder (bis
Kolab 3) übers veraltete Sync ML Kontakt
zur quelloffenen Groupware.
Ab der anstehenden Version 3.1 bringt
das Kolab-Team rund um die Schweizer
Firma Kolab Systems auch die offenen
Protokollstandards Caldav und Carddav
für den Austausch von Terminen, Aufgaben
und Kontakten in den Server: So
lassen sich nun viele existierende Groupware-fähige
Clients wie die Thunderbird-
Extension Lightning, Evolution, OS-X-
Anwendungen wie Apples I-Cal sowie
I-OS- und Android-Systeme mit Kolab-
Daten versorgen.
Damit das funktioniert, hat das Kolab-
Team das Rad nicht neu erfunden, son-
dern integriert das bewährte PHP-Paket
von Sabredav ([2], Abbildung 1), das
den Webdav-Protokollstack als Server
implementiert. Die damit in Kolab neu
geschaffene Protokollschicht hört auf den
Namen I-Rony [3] und ist ab der kommenden
Version 3.1 fester Bestandteil des
Groupwarepakets.
Eine komplette Testinstallation gelingt
seit Kolab 3.0 schon mit ein bis zwei
Tassen Kaffee und stellt keine großen
Anforderungen mehr an den Admin. Das
unter [4] Beschriebene gilt auch für die
bei Redaktionsschluss vorliegende Alphaversion.
Die Kolab-Entwickler empfehlen
ein aktuelles Centos (am besten also 6.4)
als Basis und fordern nur wenige Vorarbeiten:
Ein FQDN ist nötig, SE Linux
muss im Permissive-Modus laufen.
Nachdem der künftige Kolab-Administrator
die drei RPMs aus Listing 1 installiert
hat, setzt er mit »yum install kolab«
komfortabel das gesamte Groupwarepaket
auf. Dessen Konfiguration erledigt er
mit dem Kommando »setup‐kolab«, was
unter anderem dabei hilft, die Admin-
Passwörter der Dienste zu definieren.
Stolperstein Standardkonfiguration
Über die URL »http://Kolab‐Server/​
kolab‐webadmin« sollte der Administrator
nun Zugang zum Admin-GUI haben.
Die Anmeldung klappt mit dem Userna-
Listing 1: Kolab-RPMs installieren
01 # EPEL installieren
02 rpm ‐Uvh http://mirror.switch.ch/ftp/mirror/epel/6/i386/epel‐release‐6‐8.noarch.rpm
03 # Kolab 3.1 Community Release Package installieren
04 rpm ‐Uvh http://mirror.kolabsys.com/pub/redhat/kolab‐3.1/el6/development/i386/kolab‐3.1‐community‐release‐6‐2.el6.kolab_3.1.noarch.rpm
05 # Kolab Development Package installieren
06 rpm ‐Uvh http://mirror.kolabsys.com/pub/redhat/kolab‐3.1/el6/development/i386/kolab‐3.1‐community‐release‐development‐6‐2.el6.kolab_3.1.noarch.rpm

men »cn=Directory Manager« und dem
zuvor definierten Admin-Passwort.
Es empfiehlt sich, als ersten Verwaltungsakt
einen normalen User anzulegen. Mit
diesem gelingt anschließend der Login
in Roundcubemail, dem Kolab-Webclient,
der unter »http://Kolab‐Server/​
roundcubemail« erreichbar ist. Dabei
kann als Benutzername beim Login einer
der Aliase oder die Mailadresse dienen.
Mit diesem User sind flugs einige Kalender,
Adressen und Aufgaben erstellt, die
Testmaterial für die Anbindung mit Dav-
Clients liefern können.
Bei der getesteten Version gab es jedoch
bis Redaktionsschluss ein Konfigurationsproblem,
das die Benutzung von I-Rony
verhinderte: Kolab publiziert seine Dav-
Dienste unter der URL »http://Kolab‐Server/
iRony«. Diese liefert anfangs aber
eine URL-Exception (Listing 2), die jedoch
mit Hilfe aus der Kolab-Mailingliste
einfach zu beheben war: In der I-Rony-
Konfigurationsdatei »/etc/iRony/dav.inc.
php« ersetzt der Administrator den Wert
des Konfigurationsparameters »$rcmail_
config['base_uri']« durch »'/iRony/'« und
startet mit »service kolabd restart« den
Kolab-Daemon neu. Damit ist Kolab startklar
für den Austausch von Daten über
den I-Rony-Protokollstack.
Anbandlversuche
Nun muss der designierte Client den
ersten Verbindungsversuch über eines
der Dav-Protokolle mit Kolab meistern.
Grundsätzlich ist im Client die Kolab-
Server-URL nach dem Schema »http://
Kolab‐Server/ iRony« anzugeben. Alternativ
kann der Anwender
theoretisch sogar
das Unterverzeichnis
weglassen, denn standardkonforme
Clients
suchen zunächst nach
der so genannten
Principals Adress unter
»../.well‐known/
caldav«.
Die Kolab-I-Rony-Konfiguration
des Apache
beinhaltet entsprechende
Redirects, die
diesen Aufruf nach
»/iRony/« umleiten.
Mit dem auf diese
Weise abgefragten
User namen lässt sich das korrekte Userverzeichnis
lokalisieren.
Blitz, Donner und Evolution
Soweit die Theorie – in der Praxis machen
allerdings auch verbreitete Groupware-
Clients wie Lightning (Thunderbird) und
Evolution bei dieser Gelegenheit mächtig
Zicken, da sie Service-Discovery nicht
oder zumindest nicht korrekt beherrschen.
Bei solch problematischen Clients
gibt der Anwender die vollständige Kalender-
oder Adressbuch-URL an.
Besitzt ein Anwender mehrere Kalender,
dann muss er in diesen Fällen jeden Kalender
separat konfigurieren. Da zeigt es
sich mal wieder, dass so mancher Mailclient
nie für den Enterprise-Groupware-
Betrieb gedacht war (wie Thunderbird)
oder aber zu wenige Entwickler daran
arbeiten (Evolution).
Abbildung 2: I-Rony offenbart sein Innenleben nur bei etwas Nachhilfe.
Leider kann sich der Anwender in Roundcube
derzeit nur die ICS-Adresse und
nicht die Caldav-URL des jeweiligen Kalenders
anzeigen lassen. Daher braucht
es einen anderen Weg, um an die URL
des Kolab-Kalenders zu gelangen: Das
naheliegende Verfahren dazu wäre, dem
Kolab-Server seine Dav-Verzeichnisstruktur
über den Aufruf der I-Rony-URL zu
entlocken.
Widerspenstige Schnittstelle
Allerdings zeigt sich beim ersten Aufruf
von »http://Kolab‐Server/ iRony« die
Kolab-Schnittstelle wieder recht widerspenstig,
quittiert sie doch Aufrufe mit
der Meldung aus Listing 3. Zwar zeigt
dies nur das korrekte Funktionieren der
Schnittstelle an und ist daher nicht als
Fehler zu werten, für Testzwecke erweist
sich derlei aber als äußerst unpraktisch.
Wer dem Modul auch diese Flausen
austreiben will, ergänzt in der Apache-
Konfiguration für I-Rony in »/etc/httpd/
conf.d/iRony.conf« die Zeile »SetEnv
DAVBROWSER 1«
Nach einem Httpd-Restart lassen sich nun
endlich die I-Rony-URL aufrufen und die
benutzerspezifische Verzeichnisstruktur
erkunden (Abbildung 2).
Thunderbird als Kolab-Client
Kolab 3.1 I-Rony 12/2013
Sysadmin
www.linux-magazin.de
63
Abbildung 1: Auf der Webseite Mykolab.com bietet Kolab Systems einen Webdienst, der alle Funktionen der
Kolab-Groupware beinhaltet. Im Bild der Filebrowser, den Sabredav bereitstellt
So gerüstet kann der Kolab-Admin nun
Lightning als Kalender-Plugin [5] für
Mozillas Mailprogramm Thunderbird
installieren und mit der Groupware verbinden.
Ein aktueller Thunderbird sollte

Sysadmin
www.linux-magazin.de Kolab 3.1 I-Rony 12/2013
64
mit Support sowohl für Caldav wie auch
für Carddav. Die Probleme fangen erst
später an. Auch bei Evolution gilt: Beim
Konfigurieren der Dav-Dienste ist jeweils
die komplette URL zu spezifizieren. Die
Dialoge hierfür finden sich unter »Datei |
Neu | Name des Dienstes«.
Beim Kalender und bei den Aufgaben
wählt der Administrator den Typ
»CalDAV«, beim Adressbuch den Typ
»WebDAV«. Zu beachten ist bei Letzteren:
Aufgrund eines Bugs in Evolution
funktioniert das Anlegen von Kontakten
nicht bei Carddav-Servern [8].
EM-Client auf Windows –
schlicht und effizient
Abbildung 3: Bitte Kolab-Credentials eingeben – Thunderbird, Lightning und Kolab arbeiten über Sabredav
zusammen. Das klappt jedoch nicht immer reibungslos.
Der EM Client ([9], Abbildung 6) beweist
als reines Windows-Programm,
dass auch in der Microsoft-Welt sauber
implementierte Webschnittstellen heimisch
sind. Hier klappt die Auto-Discovery
ohne weitere Umstände, bei der
Konfiguration muss der Anwender lediglich
die Kolab-URL eingeben. Hierzu legt
er im Menü »Extras | Konten | Neues
Konto« ein Konto vom Typ »Kalender/
CalDAV« an. Anschließend muss er im
Kontextmenü unter »Delegation« die korrekten
Berechtigungen für den jeweiligen
User setzen.
Der Client listet sodann alle freigegebenen
Kalender automatisch. Aufgaben
erscheinen ebenfalls ohne weiteres Zutun,
inklusive in Kolab definierter und
zugewiesener Tags. So wünschte sich das
auch der Thunderbird- oder Evolution-
Anwender. Um Kontakte zu synchronisiees
sein, ebenso bedarf es eines neueren
Lightning. Über den Menüpunkt »Neuer
Kalender« wählt der Admin im Konfigurationsdialog
als Typ »Netzwerk« und
als Format »Caldav« aus und definiert
mit Hilfe der vorher ermittelten Caldav-
URL seinen Kalender. Abschließend
wird Thunderbird ihn wie in Abbildung
3 nach den Userdaten fragen. Sind die
korrekt, dann synchronisiert Lightning
klaglos Termine mit dem Kolab-Server
(Abbildung 4).
Allerdings fehlt noch so manches Feature,
etwa die Unterstützung für Aufgaben.
Sollen Thunderbird-Anwender in ihrem
Mailclient auch auf Kolab-Adressbücher
zugreifen können, muss der Administrator
mit dem Sogo Connector [6] ein
weiteres Plugin installieren, um die im
Mozilla-Mailer fehlende Carddav-Unterstützung
nachzurüsten.
Evolution ohne Revolution,
aber mit Kolab-Groupware
Auch der bei Gnome-Anwendern beliebte
Groupware-Client Evolution ([7],
Abbildung 5) lässt sich zunächst problemlos
mit Kolab verbinden und glänzt
erfreulicherweise bereits von Haus aus
Listing 2: I-Rony sträubt sich
01
02 Sabre\DAV\Exception\Forbidden
03 Requested uri (/iRony/) is out of base uri
(ony/public_html/)
04 1.8.6
05
Listing 3: (Keine) Fehlermeldung
01
02 Sabre\DAV\Exception\NotImplemented
03 GET is only implemented on File objects
04 1.8.6
05
Abbildung 4: Links Roundcube, der Webmailclient von Kolab, rechts der gleiche Kalender in Thunderbird. Weil
der Mozilla-Mailer nicht für den Unternehmenseinsatz gedacht war, zeigt er als Groupware-Client Schwächen.

en, legt der EM-Benutzer auf gleichem
Wege ein separates Konto an, wählt dabei
aber die Option »Kontakte/CardDAV«.
Als sehr hilfreich erweist sich auch das
integrierte Fehlerprotokoll, das für viel
Transparenz sorgt, falls der Admin auf
Probleme stößt.
Sonderbehandlung für
tragbare Apple-Geräte
Apples Mobilgeräte iPhone und iPad
vertragen sich erfreulich gut mit Kolabs
I-Rony-Dienst (Abbildung 7). Allerdings
bedarf die Kontakte-Synchronisation
über Carddav einer Sonderbehandlung:
Das I-OS-Adressbuch findet sich nicht
zurecht, wenn Carddav nicht im Hauptverzeichnis,
also dem Webserver-Root,
ansprechbar ist. Für die Apple-Anwender
liefert das Kolab-Team eine beispielhafte
Virtual-Host-Konfiguration, welche
die Probleme der Apple-Clients behebt
(Listing 4).
Die Konfiguration am Gerät erfolgt anschließend
wie gewohnt in den Systemeinstellungen
unter dem Punkt »Mail,
Kontakte, Kalender« mit dem Anlegen
eines neuen Kontos. Bei der Serveradresse
gibt der Anwender die Basis-URL
des Kolab-Servers an und spezifiziert
wie bei den anderen Clients die Kolab-
Mailadresse als Username. Neben der
Kalender- und der Kontakte-Anbindung
werden damit auch Aufgaben synchronisiert,
die I-OS in der Erinnerungen-App
verwaltet (Abbildung 8).
Vorzeigbar: Mac OS X
I-Rony unterstützt auch die zweite auf
dem Desktop verbreitete proprietäre Plattform:
Apples Mac OS X mit der Standard-
Abbildung 5: Evolution funktioniert mit Einschränkungen: Kontakte anlegen geht nicht, Kalenderfunktionen
dagegen schon. Insgesamt scheinen nicht mehr viele Entwickler an der Gnome-Groupware zu arbeiten.
Abbildung 6: Ein Windows-Tool bietet die beste Anbindung an den Caldav/​Carddav-Server: EM Client.
Kalenderapplikation Ical (Abbildung 9).
Die funktioniert recht unkompliziert, mit
der Einrichtung nach dem Howto auf
[10] funktioniert alles out of the Box,
worauf der Hersteller auch einigermaßen
stolz ist.
Die Anbindung von I-Books und I-Macs
dürfte wohl neben den mobilen Geräten
eine der wichtigsten Triebfedern hinter I-
Rony gewesen sein, und deshalb verwundert
die Qualität der Anbindung auch
nicht. Zu groß und lukrativ ist der Markt
Kolab 3.1 I-Rony 12/2013
Sysadmin
www.linux-magazin.de
65
Listing 4: »kolab‐caldav‐vhost.conf«
01
02 ServerName caldav.yourkolab.com
03 ServerAdmin support@yourkolab.com
04
05 DocumentRoot /usr/share/iRony/public_html/
06
07 ErrorLog logs/caldav.yourkolab.com‐error_log
08 CustomLog logs/caldav.yourkolab.com‐access_log combined
09
10
11 AllowOverride All
12 Order Allow,Deny
13 Allow from All
14
15 RewriteEngine On
16 RewriteBase /
17 RewriteRule ^\.well‐known/caldav / [R,L]
18 RewriteRule ^\.well‐known/carddav / [R,L]
19
20 RewriteCond %{REQUEST_FILENAME} !‐f
21 RewriteCond %{REQUEST_FILENAME} !‐d
22 RewriteRule (.*) index.php [qsappend,last]
23
24
25
26

Sysadmin
www.linux-magazin.de Kolab 3.1 I-Rony 12/2013
66
Abbildung 7: Mit I-Rony kommen erstmals auch die Besitzer von Apple-
Geräten in den Kolab-Genuss, hier der Kalender eines iPad.
der zahlungskräftigen Apple-Kundschaft,
als dass ihn Kolab dauerhaft links liegen
lassen könnte.
Fazit: Positiv
Der Neuling I-Rony verrichtet seine Arbeit
genau, wie er soll: unauffällig und zuverlässig.
Nach nur wenigen Vorarbeiten für
den Administrator, die bei der Release der
Version 3.1 sicherlich
nicht mehr nötig sein
werden, entsteht eine
mächtige standardkonforme
Schnittstelle
für das Sharing von
Kalendern, Kontakten
und Aufgaben. Kolab
öffnet sich damit für
eine Fülle am Markt
etablierter Clients.
Auch Macs bei
Kolab Systems
Auf Rückfrage des
Linux-Magazins bestätigt
Thorsten Grote,
der „Kolab Evangelist“
im Dienste von Kolab
Systems, die Ergebnisse:
„Einer unserer
I-Rony Entwickler hat
selbst einen Mac, vermutlich
wird daher
diese Plattform am
besten unterstützt.
Persönlich finde ich es auch ein wenig
schade, dass Evolution und Thunderbird
dabei so schwächeln, I-Rony macht deren
Perspektive deutlich besser. Früher gab es
ja noch die Thunderbird-Extension Sync
Kolab [11], die wir jetzt aber nicht mehr
empfehlen. Wir raten lieber zu den Dav-
Protokollen. Und auch wenn das alles
recht einfach zu installieren ist, empfehlen
wir trotzdem unseren gehosteten
Dienst. Da ist alles vorkonfiguriert, besonders
für Anwender, die keinen eigenen
Server betreiben wollen.“
Die Probleme verursachen aber vor allem
die Clients. Vor allem die teilweise lückenhafte
Umsetzung der Service-Disco-
very kann selbst erfahrenen Anwendern
das Leben schwer machen.
Dank Sabredav unterstützt Kolab mit der
kommenden Release 3.1 nun auch Webdav
und ermöglicht es damit deutlich
einfacher, Dateien über den integrierten
Webclient zu verwalten. Über eine
Middleware lassen sich verschiedene
Dateispeicher nutzen und sogar eine Integration
mit Owncloud oder Dropbox
realisieren. (mfe)
n
Infos
[1] Kolab: [http:// www. kolab. org]
[2] Sabredav: [http://www. sabredav.org]
[3] I-Rony: [http:// kolab. org/ news/ 2013/ 07/​
16/ kolab‐3. 1‐alpha‐released‐irony]
[4] Markus Feilner, „Willkommene Nummer“:
Linux-Magazin 03/13 S 48.
[5] Lightning: [http:// addons. mozilla. org/ de/​
thunderbird/ addon/ lightning/]
[6] Sogo für Lightning: [http:// www. sogo. nu/​
fr/ downloads/ frontends. html]
[7] Evolution:
[http:// projects. gnome. org/ evolution/]
[8] Evolution mit Sabre DAV: [http:// code.​
google. com/ p/ sabredav/ wiki/ Evolution]
[9] EM Client: [http:// de. emclient. com]
[10] Kolab mit OS-X-Clients einrichten:
[https:// mykolab. com/ clients/ osx]
[11] Sync Kolab im Linux-Magazin:
[http:// www. linux‐magazin. de/ NEWS/
Thunderbird‐lernt‐mehr‐Kolab‐Sync
‐Kolab‐3. 0‐veroeffentlicht]
Der Autor
Andrej Radonic arbeitet
(vor allem rund um
Virtualisierung, Cloud und
Groupware) als freier Journalist,
Fachbuchautor und
Vorstand der Intersales AG.
Abbildung 8: Die iPhone-App Erinnerungen gleicht
auf Wunsch alle Aufgaben mit dem Kolab Server ab.
Abbildung 9: Auch Mac OS X spielt bei I-Rony mit: Sowohl Kontakte, Kalender, Aufgaben und natürlich E-Mails
lassen sich in Apples Tools (Apple Mail, Contacts, Ical) integrieren.

Sysadmin
www.linux-magazin.de Admin’s Little Helper 12/2013
68
Linux Remote Administration unter Android und I-OS
Der Admin-Touch
Smartphones gehören zur Standardausrüstung von Systemverwaltern, oft gesellt sich noch ein Tablet dazu.
Dann bleibt das Notebook im Büro und der Admin greift zu Geräten, die ihren Gadget-Status abgelegt haben.
Das Linux-Magazin hat die wichtigsten Apps für Admins getestet. Holger Gantikow, Markus Feilner
Auf Apple-Seite standen ein iPhone mit
I-OS 6 und ein iPad der ersten Generation
mit I-OS 5 für die Tests zur Verfügung.
Auch hier traten keine Komplikationen
auf (Abbildungen 1 und 2).
Stores und VPN
© Buchachon Petthanya, 123RF.com
In der Prä-Smartphone-Ära, die noch
gar nicht so lange vergangen ist, war
an den Einsatz eines mobilen Geräts für
die System verwaltung praktisch kaum zu
denken – wenn man von Laptops mit
grafischen und Weboberflächen oder
auf hohe Latenzen spezialisierter Terminalsoftware
[1] absieht.
Breitband bringt mobile
Geräte ins Unternehmen
Doch das hat sich geändert: Mit allgegenwärtigen
breitbandigen und mobilen Datenverbindungen,
Hotspots und auch in
Firmen verbreiteten WLANs kommen die
Admins zunehmend hinter dem Schreibtisch
hervor und aus dem Serverraum
raus. Smartphones und Tablets mit ausreichend
großen Bildschirmdiagonalen
werden zu Multifuntionswerkzeugen,
mit denen sich die wichtigsten Aufgaben
nicht nur im Notfall und von unterwegs
erledigen lassen.
Ein typischer Gerätezoo
Da sich Android-Geräte nicht durch einen
homogenen Versionsstand auszeichnen,
haben die Autoren die Programme auf
verschiedenen Devices getestet: So kamen
ein Nexus 4 mit aktuellem Android
4.3, ein Nook HD+ mit einer etwas älteren
4er Version, aber auch ein betagteres
Motorola Defy mit Cyanogen Mod
7 und Android 2.3.7 zum Einsatz, dazu
ein Sony Experia Go mit Android 2.3 und
zahlreichen Backports des Herstellers sowie
ein HTC Desire Z mit Android AOSP
4.2.2. Keines der getesteten Programme
zeigte dabei auf einem der Geräte Kompatibilitätsprobleme.
Wer den Play Store von Google oder Apples
App Store durchwühlt, findet eine
große Zahl von meist kostenlosen Apps,
die Sysadmins dabei helfen wollen, mit
einem vergleichsweise kleinen Endgerät
halbwegs komfortabel die von ihnen betreuten
Systemen von unterwegs zu verwalten.
Darüber hinaus gibt es eine Vielzahl
von Werkzeugen, die IT-Spezialisten
das Leben leichter machen.
Da die meisten Systeme nicht einfach
schutzlos über das Internet zu erreichen
sind, sondern gut gesichert hinter der
Firewall einer Firma stehen, kann ein Zugriff
meist nur über eine VPN-Verbindung
erfolgen. Das Einrichten einer solchen
Verbindung beschreiben [2] für Android
und [3] für I-OS.
Herr der Konsole
Wer häufig Unix- und Linux-Server verwaltet,
benötigt als primäres Allzweckwerkzeug
zunächst einen SSH-Client. Auf
Android-Geräten stellt der Connectbot
[4] von Kenny Root und Jeffrey Sharkey
die zurzeit wohl beste Wahl dar. Er
unterstützt die Anmeldung mittels SSH-
Schlüsselpaar und kann auch Ports tunneln.
Das erweist sich vor allem dann
als hilfreich, wenn ein Zugang per SSH
als Ersatz für ein vollwertiges VPN vorgesehen
ist.
Connectbot (Abbildung 3) baut auch
mehrere simultane Sitzungen auf und

www.linux-magazin.de
Admin’s Little Helper 12/2013
Sysadmin
69
Abbildung 1: Es muss nicht immer das Notebook sein. Smartphones und Tablets
in unterschiedlichen Größen, Preisklassen und Geschmacksrichtungen ermöglichen
das mobile Administrieren.
Abbildung 2: Auch betagte Geräte wie das mehrere Jahre alte HTC Desire Z
eignen sich für die schnelle Admin-Arbeit von unterwegs. Ein aktuelles, halbwegs
sicheres Android mit VPN ist dann allerdings Pflicht.
ermöglicht Copy & Paste zu anderen Anwendungen,
um beispielsweise Kollegen
den aktuellen Systemstand per Mail mitzuteilen
oder einen Spickzettel mit häufig
benötigten Kommandos zu nutzen. Auch
wer unterwegs einen Passwortmanager
wie Keepass Droid [5] einsetzt, wird
diese Funktion bald schätzen. Ein nettes
Detail ist, dass der Anwender nach einem
Login automatisch Kommandos absetzen
kann. Diese Post-Login-Automation erledigt
dann zum Beispiel Standardaufgaben
wie das Prüfen aktiver Logins oder
von Ressourcen.
X für Android
Ebenfalls nützlich ist dies, um ein Display
zu exportieren, sodass in Kombination
mit dem X-Server
für Android [6] der Start
von grafischen Anwendungen
möglich wird.
Leider unterstützt der
Android-X-Server nicht
alle erforderlichen Extensions,
um etwa Firefox
zu starten. Dennoch
bietet er nach wie vor
die umfangreichste X-
Server-Implementierung
auf Android.
auch auf Touchscreens nach einigen erweiterten
Features. Das fängt schon bei
der vielerorts fehlenden Tabulator-Taste
für die Autocompletion an, nur die wenigsten
Androiden haben dieses praktische
Detail bereits eingebaut (Abbildung
2). Erst Hacker’s Keyboard ([7],
Abbildung 4) macht die Unix-Shell mit
Connectbot um einiges angenehmer bedienbar,
da es Tabulator-, [Strg]-, [Esc]-
und Pfeiltasten nachrüstet.
Schmerzlich vermisst:
Tabulator-Tasten
Bei der Installation ist zu beachten, dass
aus Sicherheitsgründen neue Android-
Tastaturen nicht automatisch aktiv sind,
sondern der Anwender diese erst über
die Systemeinstellungen
aktivieren muss. Das
scheint zwar auf den
ersten Blick unnötig kompliziert, doch
ist es durchaus sinnvoll: Unbeabsichtigt
installierte Tastaturen könnten als Keylogger
funktionieren und unter anderem
Passwörter abgreifen.
Apfelkonsole
Auch an der I-OS-Front versieht mit I-
SSH ([8], Abbildung 5) ein mächtiger
SSH-Client seinen Dienst, der außer den
bei Connectbot beschriebenen Features
ab Werk sogar mit dem Remote Desktop
Protocol (RDP) und Virtual Network
Computing (VNC) klarkommt und einen
eigenen X-Server mitbringt.
Da funktioniert auch der Start von Firefox
problemlos, auch wenn im Vergleich zu
der für Tablets und Smartphones optimierten
mobilen Version die Anwender
hier Abstriche machen müssen. Für den
schnellen Zugriff auf Intranet-Ressourcen
Hacker’s
Keyboard
Wer die Vorteile bei der
Tastaturbedienung einer
Shell kennt, sehnt sich
Abbildung 3: Connectbot emuliert
zahlreiche für die Shell nützliche
Funktionstasten auf Android-Telefonen
und ‐Tablets.
Abbildung 4: Connectbot und Hacker’s Keyboard gemeinsam in Aktion. Freunde der
Kommandozeile dürften sich hier heimischer fühlen als mit dem Standardlayout.

Sysadmin
www.linux-magazin.de Admin’s Little Helper 12/2013
70
Abbildung 5: I-SSH für I-OS-Geräte bietet einen integrierten X-Server, der neben
X11-Anwendungen (hier Xclock) auch Firefox starten kann.
Abbildung 6: Teamviewer steht für eine Vielzahl an Client-Server-Kombinationen
bereit. Hier in Aktion bei der Verwaltung einer Mac-OS-Sitzung.
mag das dennoch eine sicherere Alternative
eröffnen. I-SSH ist durch den eingebauten
X-Server deutlich komfortabler zu
verwenden als das Gespann aus Connectbot
und X-Server, da wesentlich weniger
Konfigurationsaufwand notwendig ist.
Entfernt fensterln
Wenn ein Konsolenzugriff nicht genügt,
sondern auch Zugriff auf Windows-Systeme
erforderlich ist, bieten Einzel-Apps
für Terminalserver-Protokolle wie das
Remote Desktop Protocol (RDP) und Virtual
Network Connectivity (VNC) eine
breite Auswahl. Der Wunsch nach mehr
Komfort führt zu einer App mit dem umständlichen
Namen Pocket Cloud Remote
RDP/​VNC [9] von Wyse Technology. Sie
ermöglicht RDP- und VNC-Zugriffe auf
Windows-, Linux- und Mac-Systeme und
steht sowohl für Android als auch für
I-OS zur Verfügung.
Zwei Varianten
Die App unterstützt zwei Wege zur Anmeldung.
Beim ersten fragt ein Dialog
die IP-Adresse oder den Hostnamen des
Zielsystems, den Zielport und eventuell
weitere notwendige Login-Informationen
ab. Zweitens bietet das Tool aber auch
einen automatischen Modus, wobei hier
der Pocket Cloud Companion auf dem
Zielsystem installiert sein muss. Auch ein
Gmail-Account ist nötig. Vor allem für
regelmäßig betreute Privatsysteme jenseits
des Firmennetzes dürfte das eine
interessante Alternative sein.
Als große Einschränkung der kostenlosen
Version ist zu beachten, dass sie nur
eine Verbindung zu speichern gestattet.
Vor dem Anlegen einer neuen Verbindung
muss der Anwender die bestehende
löschen. Wem dies nicht genügt, der
kann für knapp 12 Euro die kommerzielle
Version erwerben, die keine solche
Einschränkung kennt und auch noch
256-Bit-NLA/​TLS-Encryption für RDP-
Verbindungen und die Unterstützung für
VMware View mitbringt.
Wer häufig mehrere unterschiedliche
RDP-Sitzungen aufbauen muss, kann
den 2XClient RDP/​Remote Desktop [10]
einsetzen. Er funktioniert schon seit der
uralten Android-Version 1.6 und ermöglicht
es, mehrere Verbindungen anzulegen.
Für reinen VNC-Zugriff bietet Mocha
VNC Lite für Android und I-OS [11] eine
Alternative. Leider erlaubt auch sie nur
einen Server.
Nomachine
Admins, die beim Verwalten ihrer Remote-
Systeme auf Free NX oder das proprietäre
NX von Nomachine angewiesen sind, stehen
momentan noch ein wenig im Regen.
Bislang existiert hier noch kein Client,
der auf Android oder I-OS läuft. Zwar findet
sich für besonders Hartgesottene eine
Anleitung, die beschreibt, wie sich NX
in einer Chroot-Umgebung mit Ubuntu
auf Android betreiben lässt [12], doch
scheint der Nutzen dieser Lösung im harten
Alltag noch recht gering.
Nomachine arbeitet aber derzeit offenbar
an einem Client für Android und I-OS,
will sich laut dem Hinweis auf der Download-Seite
[13] damit aber wohl noch bis
Dezember 2013 Zeit lassen. Der Quelle ist
nicht zu entnehmen, ob ältere Versionen
als die V4 des Protokolls unterstützt werden
– und für die kürzlich erschienene
vierte Programmausgabe haben sich die
ehemals italienischen, jetzt luxemburgischen
Hersteller viele Jahre Zeit genommen,
sehr zum Ärger vieler Kunden. Da
scheint einige Geduld gefragt.
Teamviewer mit dem
Remote-Touch
Neben den gängigsten Desktop-Betriebssystemen
Windows, Mac OS und Linux
steht die verbreitete proprietäre, aber für
den privaten Einsatz kostenfreie Desktop-Sharing-Software
Teamviewer ([14],
Abbildung 6) ebenfalls für Android und
I-OS in einer Client-Version zur Verfügung.
Teamviewer lässt sich für Online-
Präsentationen oder ‐Meetings nutzen,
eignet sich aber auch gut für Fernwartungsaufgaben.
Hierbei macht sich positiv
bemerkbar, dass es eine Quick-Support-Version
gibt, die keine Installation
erfordert und sich somit besonders für
die spontane und unkomplizierte Hilfe
für technisch weniger versierte Anwender
eignet.
Diese müssen nur ein Programm herunterladen
und starten. Danach zeigt
ihnen die Software eine Session-ID und
ein Passwort an. Beides teilen sie dem
mobilen Helfer in der Not am Telefon mit
– und schon kann der sich auf das System
verbinden und das Problem lösen. Jetzt

übernimmt der das Ruder, er kann sogar
per Gestensteuerung das System bedienen
und Dateien in beide Richtungen
übertragen.
Handarbeit
So elegant ein Konsolen-Login oder eine
grafische Sitzung auch sein kann, oft
sind einfach nur die üblichen Fragen zu
beantworten, die einen Systemverwalter
umtreiben. Welchen Füllstand haben die
Dateisysteme, wie viele User sind auf
dem System angemeldet und wie lange
läuft es eigentlich schon?
Wer seine Systeme nicht in ein übergeordnetes
Monitoringsystem wie Nagios
integriert hat, findet an einem Werkzeug
wie dem nur für Android erhältlichen
Cura-Sysadmin ([15], Abbildung 7) sicherlich
Gefallen. Cura beantwortet diese
und weitere Fragen unter einer Oberfläche
und bringt noch einen eher rudimentären
Terminal-Emulator, den Portscanner
Nmap und einen Logfile-Betrachter mit.
Dieser bietet vorkonfigurierten Zugriff
auf die wichtigsten Systemprotokolle in
»/var/log«, die sich auch auf dem Android-Gerät
speichern lassen.
Ein unschönes, aber optionales Feature
von Cura verhindert die Installation auf
Android-Geräten, die keine SIM-Karte
haben: Weil Cura eine Option zum entfernten
Löschen der Cura-Datenbank
und zum Versenden einer SMS/​E-Mail
mit den aktuellen Positionsdaten im Verlustfall
implementiert hat, ist die GSM-
Konnektivität zwingend notwendig.
Dateien managt der
ES Datei Explorer
der mit den meisten
Formaten umzugehen
weiß.
Jenseits des eigenen
Geräts gewinnt eine
breite Protokollunterstützung
an Bedeutung.
So erlaubt der
ES Datei Explorer den
Zugriff auf per FTP,
SFTP, FTPS, Webdav
und CIFS bereitgestellte
Ressourcen.
Wer seine Daten in
der Cloud ablegt,
kann unter anderem
zu Dropbox, Skydrive,
Gdrive und Amazons einen Android-Blick.
S3 Verbindung aufbauen.
In besonders heterogenen Umgebungen
würde man sich noch über eine
Implementierung des Network File System
(NFS) und des Apple Filing Protocol
(AFP) freuen – doch die ist auf mobilen
Devices rar.
I-OS-Anwender, die auf Netzwerk-Shares
und Cloudressourcen zugreifen wollen,
greifen zu Werkzeugen wie den kostenpflichtigen
File Explorer [17], dessen kostenfreie
Version (File Explorer Free) auf
ein Ziel beschränkt bleibt.
Das eigene Netzwerk
scannen und sniffen
Abbildung 7: Cura-Sysadmin zeigt die
wichtigsten Monitoring-Daten auf
Wer genug mobil administriert hat und
in seinem Netzwerk nach dem Rechten
schauen will, dem sei die eierlegende
Wollmilchsau Fing ([18],
Abbildung 8) ans Herz
gelegt. Sie arbeitet sowohl
auf Android als auch
I-OS und erfasst alle im
Netzwerk angemeldeten
Geräte mit Hostnamen,
IP- und MAC-Adresse und
wenn möglich auch dem
Hersteller des Netzwerkgeräts.
Die übersichtliche Liste
kann helfen, um schnell
die IP-Adresse eines vergessenen
Geräts zu ermitteln
oder zu checken, ob
eine Maschine online ist,
und welche DHCP-Adresse
sie vom Server bekommen
hat. Die Listen lassen sich entweder direkt
auf dem Gerät oder beim Hersteller
in der Cloud der allerdings kostenpflichtigen
Fingbox speichern.
Portscan und Wake-on-LAN
Das Antippen eines Eintrags startet einen
Portscan auf dem entsprechenden
Target. Wer dabei offene Dienste findet,
kann direkt zum Dienst passende Apps
aufrufen. Bei SSH sieht die App etwa
Connectbot vor, And FTP [19] für SCP
und SFTP. Auch ein direkter Zugriff auf
CIFS-Verbindungen per And SMB [20]
ist vorkonfiguriert, ebenso der Zugriff auf
ein gefundenes Webinterface.
Darüber hinaus lässt sich für einen Host
eine Reihe klassischer Netzwerktools auf-
Admin’s Little Helper 12/2013
Sysadmin
www.linux-magazin.de
71
Anwender, die einen Dateimanager
suchen, der sich auch
für den Einsatz im Netzwerk
eignet, kommen fast nicht
um den ES Datei Explorer
[16] herum. Neben seiner
Funktionalität als einfach zu
bedienender Dateimanager
mit Unterstützung für Zipund
Rar-Archive bietet er
auch eine Suchfunktion, mit
der sich exemplarisch alle
Videodateien auf dem Gerät
ermitteln lassen, und einen
integrierten Dateibetrachter,
Abbildung 8: Von links nach rechts: Fing listet die auf einem gescannten System laufenden Dienste und verknüpft entsprechende
Zugriffsprogramme, zeigt die Informationen zum aktuellen WLAN an und ermittelt den Internetanbieter. Ganz
rechts der Passwortverwalter Keepass Droid, der als mobile Brieftasche für Passwörter dienen mag.

Sysadmin
www.linux-magazin.de Admin’s Little Helper 12/2013
72
Abbildung 9: Der Wifi Analyzer zeigt alle gefunden WLANs und erlaubt es, nach möglichst
wenig genutzten Kanälen zu suchen.
rufen, Telnet, Ping und Traceroute beispielsweise.
Aber auch das Aufwecken
eines Systems per Wake-on-LAN (WOL)
ist eingebaut. Wer ein nicht in der Liste
verzeichnetes Gerät aufwecken will, erreicht
das über das globale Einstellungsmenü.
Dort kann er auch DNS-Einträge
nachschlagen oder Pings und Traceroutes
auf beliebige Rechner ausführen.
Fing ist auch als Securitytool nützlich:
Wer beispielsweise unterwegs im Hotel-
WLAN feststellen möchte, ob der Router
Client Isolation betreibt, also die einzelnen
Endgeräte sich gegenseitig sehen oder
nicht, ist nach einem Fing-Lauf schlauer.
Sieht er andere Systeme und Dienste,
sollte er es sich sehr genau überlegen,
unverschlüsselt Daten zu übertragen.
Wifi Analyzer
Mehr Spaß mit Rootrechten
Keine der im Artikel vorgestellten Anwendungen
erfordert Rootrechte. Wer jedoch die erweiterten
Berechtigungen auf seinem Gerät
vorweisen kann, öffnet die Tür für weitere
interessante Apps, etwa das Netzwerksicherheitstool
Wifiinspect [23]. Ein Netzwerkscan
geht damit zwar wesentlich behäbiger vonstatten
als bei Fing, dafür klopft das Tool aber auch
Rechner auf gängige Sicherheitslücken ab oder
schneidet Netzwerktraffic im Pcap-Format mit.
Intern dienen dazu altbekannte Werkzeuge wie
Nmap oder Tcpdump.
nen Blick auf den Klassiker Wifi Analyzer
[21] werfen. Das intuitive, schon für
Laien geeignete Werkzeug scannt alle in
Reichweite gefundenen Funknetzwerke
und stellt sie in der Kanalübersicht verständlich
in Form einer farbigen Kurvengrafik
dar (Abbildung 9). Das hilft bei
Empfangsproblemen oder bei der WLAN-
Planung.
Geht es darum, den optimalen Standort
eines Accesspoints zu ermitteln, hilft
der Signalstärkemodus mit seiner Tachonadel,
die den Empfang zur ausgewählten
Gegenstelle in Echtzeit entweder grün,
gelb oder grau darstellt. Wer den Ton
aktiviert, kann die App wie einen Geigerzähler
verwenden und sich akustisch
über die Empfangsqualität informieren.
WLAN-Planung und
Interferenzanalyse
Die Kanalbewertung erlaubt es aber auch,
das eigene Funknetz auf einem möglichst
interferenzfreien Kanal zu betreiben. Sie
Die Funktionsübersicht in Googles Play Store
listet weitere Schmankerl auf, so etwa das
Testen von Accesspoints auf nicht veränderte,
unsichere Default-Passwörter.
Ebenfalls attraktiv für sicherheitsbewusste
Admins sind Schwachstellendetektoren wie
die Pentesting-App Zanti ([24], Abbildung 10)
oder Android-Forensiktools wie das Arbeitsspeicher-Analyseprogramm
Volatility oder
das RAM-Schnappschuss-Tool Lime [25]. Die
meisten dieser Werkzeuge entwickeln ihr volles
Potenzial erst mit Rootrechten.
Abbildung 10: Scannt lokale Netze
auf Verwundbarkeiten: Zanti.
Administratoren, die weniger die Geräte
im eigenen Netzwerk erkunden wollen,
sondern sich eher für die Funknetze in
der Umgebung interessieren, sollten eizeigt
die einzelnen Kanäle
mit Sternchen bewertet an
und hilft, schnell die am
wenigsten frequentierten
zu ermitteln, was in
dicht bewohnten Gebieten
durchaus zu einer Herausforderung
gerät.
Eher für technisch interessierte
Nutzer oder fürs
fortgeschrittene Debuggen
ist die AP-Liste gedacht,
die neben den Namen
der einzelnen Netzwerke
auch die verwendeten
Kanäle, Frequenzen, Verschlüsselungen
und die
Signalstärken anzeigt, bei
mehreren verfügbaren Accesspoints mit
derselben ESSID auch deren Details.
Apple erlaubt keine Sniffer
Auf I-OS-Seite hat sich die Auswahl an
solchen Apps deutlich verschlechtert,
da Apple Mitte 2010 systematisch damit
begann, Sniffer aus dem App Store zu
entfernen. Begründung: Sniffer setzten
auf unerlaubte „private Frameworks
zum Ausspähen von Zugangs- und Wifi-
Daten“, also direkt auf die eingesetzten
Funkchips, nicht auf die von Apple verlangten
Bibliotheksaufrufe.
Weiter erlaubt bleiben Anwendungen mit
einer eigenen WLAN-Datenbank, was
aber nur wenig dabei hilft, die Funknetze
in der eigenen Umgebung zu untersuchen.
Den Ausweg bahnen nur ein
Jailbreak und das Ausweichen auf das
App-Verzeichnis Cydia, das eine breitere
Auswahl von Sniffern bietet.
Ob der Rootzugriff eine Alternative ist,
muss der Admin im Einzelfall selbst entscheiden,
viele Sicherheitsexperten raten
ohnehin dazu, nach dem Motto „Möglich
ist er, also machen Sie das doch lieber
selbst, als dieses Feld nur dem Hacker
zu überlassen“. Dennoch bietet dieses
Thema Stoff für hitzige Diskussionen unter
Securityberatern.
Wem es weniger darum geht, einzelne
Geräte, sondern das große Ganze im Blick
zu behalten, der setzt meist ohnehin eine
Monitoringlösung wie Nagios oder Icinga
ein. Für beide sind passende Apps und
Webinterfaces erhältlich, mit denen der
Admin unterwegs alle wichtigen Systeme

auch auf einem kleinen Bildschirm im
Blick behält. Die Nagios-Homepage kann
gar eine ganze Handvoll mobiler Interfaces
aufzählen [22].
Fazit
Smartphones und Tablets mit Android
und I-OS haben sich in den letzten Jahren
für Admins zu einer sehr brauchbaren
Alternative entwickelt, wenn es
darum geht, mal eben schnell auf einem
betreuten System nach dem Rechten zu
schauen. Sie haben trotz gravierender
Sicherheitsmängel ihr unseriöses Image
verloren. Eine breite Auswahl von Apps
für praktisch jeden Einsatzzweck macht
die mobilen Geräte zu Allzweckwerkzeugen,
und zwar bereits ohne Rootrechte
auf den Devices (siehe Kasten „Mehr
Spaß mit Rootrechten“).
Das Marschgepäck des mobilen Admin
wird deutlich leichter, Notebook und PC
bleiben stationär. Für ausgedehnte Sitzungen
kann es aber nicht schaden, ein
Notebook parat zu haben oder zumindest
per Bluetooth eine richtige Tastatur anzubinden.
Der Rest ist Touch. n
Infos
[1] Markus Feilner, „GPRS, NX, Openvpn“:
Linux Technical Review 05/​07, S. 84
[2] Markus Feilner, Ronny Weiss und Daniel
Salcher, „Löchrige Netze“: Linux-Magazin
10/​11, [http:// www. linux‐magazin. de/​
Ausgaben/ 2011/ 10/ Mobile‐VPNs]
[3] Konstantin Agouros, „Geschützte Äpfel“:
Linux-Magazin, 02/​12, [http:// www.​
linux‐magazin. de/ Ausgaben/ 2012/ 02/​
IPsec‐und‐I‐OS]
[4] Connectbot:
[https:// code. google. com/ p/ connectbot/]
[5] Keepass Droid:
[https:// play. google. com/ store/ apps/​
details? id=com. android. keepass]
[6] X-Server für Android:
[https:// play. google. com/ store/ apps/​
details? id=au. com. darkside. XServer]
[7] Hacker’s Keyboard: [https:// code. google.​
com/ p/ hackerskeyboard/]
[8] Apple-Konsole: [http:// www. zinger‐soft.​
com/ iSSH_features. html]
[9] Pocket Cloud: [https:// itunes. apple. com/​
de/ app/ pocketcloud‐remote‐desktop/],
[https:// play. google. com/ store/ apps/​
details? id=com. wyse. pocketcloudfree]
[10] 2Xclient: [https:// play. google. com/ store/​
apps/ details? id=com. tux. client& hl=de]
[11] Mocha VNC Lite: [https:// play. google.​
com/ store/ apps/ details? id=dk. mochsoft.​
vnc], [https:// itunes. apple. com/ de/ app/​
mocha‐vnc‐lite/​]
[12] NX-Chroot: [http:// www. nerdenmeister.​
org/ 2012/ 11/ 07/ nx‐on‐android/]
[13] Nomachine:
[http:// www. nomachine. com/ download]
[14] Teamviewer: [http:// www. teamviewer.​
com/ de/], [https:// play. google. com/
store/ apps/ details? id=com. teamviewer.​
teamviewer. market. mobile],
[https:// itunes. apple. com/ de/ app/​
teamviewer‐fur‐fernsteuerung/​]
[15] Cura: [https:// play. google. com/ store/​
apps/ details? id=com. cura]
[16] ES-Datei-Explorer:
[https:// play. google. com/ store/ apps/​
details? id=com. estrongs. android. pop]
[17] File Explorer und File Explorer Free:
[https:// itunes. apple. com/ de/ app/​
fileexplorer/ ], [https:// itunes. apple. com/​
de/ app/ fileexplorer‐free/​]
[18] Fing: [https:// play. google. com/ store/​
apps/ details? id=com. overlook. android.​
fing], [https:// itunes. apple. com/ de/ app/​
fing‐network‐scanner/ ]
[19] And FTP: [https:// play. google. com/ store/​
apps/ details? id=lysesoft. andftp]
[20] And SMB: [https:// play. google. com/ store/​
apps/ details? id=lysesoft. andsmb]
[21] Wifi Analyzer:
[https:// play. google. com/ store/ apps/​
details? id=com. farproc. wifi. analyzer]
[22] Nagios/​Icinga mobile: [http:// www.​
nagios. org/ download/ frontends]
[23] Wifinspect: [https:// play. google. com/​
store/ apps/ details? id=uk. co. opticiancms.​
wifiprobe]
[24] Zanti: [http:// zantiapp. com/ anti. html#]
[25] Android Forensics mit Volatility und
Lime: [http:// www. youtube. com/ watch?​
v=Khnas55TV0w]
Der Autor
Holger Gantikow hat an der
Hochschule Furtwangen Informatik
studiert und ist bei
der Science + Computing AG
in Tübingen als Senior Systems
Engineer tätig. Dort
beschäftigt er sich mit der Komplexität heterogener
Systeme im CAE-Berechnungsumfeld und
betreut Kunden aus dem technisch-wissenschaftlichen
Bereich.

Forum
www.linux-magazin.de Bücher 12/2013
74
Bücher über Webdesign und über Lego-NXT-Programmierung
Tux liest
Das Linux-Magazin bespricht zwei Bücher, die den Einstieg in neue Sachgebiete ermöglichen. Das erste
widmet sich dem Webdesign, das zweite dem Programmieren von Lego-NXT-Robotern. Andreas Möller, Wilhelm Kolb
In seinem Buch „Grundkurs Gutes Webdesign“
breitet Björn Rohles auf rund 420
Seiten den Werkzeugkasten eines Webdesigners
aus. Der Titel richtet sich an
Leute mit wenig Erfahrung im Gestalten
und Coden von Webseiten.
Webdesign für Einsteiger
Info
Björn Rohles:
Grundkurs Gutes
Webdesign
Galileo Computing, 2013
420 Seiten
25 Euro (Online-Ausgabe
20 Euro)
ISBN 978-3-8362-1992-1
reichsten, dem vierten Kapitel beschäftigt
sich Rohles mit dem Layout. Nach Gedanken
zur Wahrnehmung von Formen
und deren Bezügen beschreibt er eine
Reihe technischer Aspekte in CSS 3: Genauigkeit
von Selektoren, fixe, fluide und
elastische Layouts, Raster, Box-Modell
und Weißraum.
Danach widmet sich der Verfasser den Bereichen
Typografie, Farbe und Grafik. Er
bespricht deren Wirkung und gibt Tipps
zur Umsetzung, zum Beispiel mit Webfonts,
einem Farbschema oder durch das
Skalieren von Bildern für hochauflösende
Retina-Bildschirme. Außerdem behandelt
das Buch das Testen und Optimieren einer
Webseite unter Einbeziehung von
Browserstatistiken und geeigneten Test-
Tools. Im letzten Kapitel betrachtet Rohles
Audio und Video in HTML 5 sowie
Animation in CSS 3.
Dem Band liegt eine CD-ROM mit den
Listings bei. Leider fehlen dem ansonsten
mit viel Liebe zum Detail geschriebenen
Lehrbuch die Übungsaufgaben.
Lego-Roboter
programmieren
Das Buch „Lego Mindstorms NXT“ führt
in das Programmieren von Legos Roboter-Hardware
ein und orientiert sich an
einem pädagogischen Konzept namens
Roberta des Fraunhofer Instituts. Basis
für die Programme ist die Programmiersprache
NXC (Not exactly C), die für
Windows, Linux und Mac OS X verfügbar
ist. Die Inhalte lassen sich mit allen im
Handel erhältlichen Lego-NXT-Sets umsetzen.
Im Abschnitt B des Bandes findet
sich eine detaillierte und farbig bebilderte
Bauanleitung.
Hat der Leser den Roboter Roberta zusammen
mit dem Grundstück, auf dem
Der Autor demonstriert die Arbeit mit
HTML 5 und CSS 3 am Beispiel einer
eigenen Webseite. Das meiste erklärt er
anhand mehrerer Hundert farbiger Abbildungen,
Codebeispiele nehmen bei ihm
dagegen nur einen geringen Platz ein.
Dennoch lernt der Leser den Einsatz von
semantischem Markup mit HTML 5 sowie
wichtige CSS-3-Techniken. Javascript
spielt so gut wie keine Rolle.
Das Buch ist in neun Kapitel gegliedert.
Im ersten Kapitel erarbeitet Rohles Grafiken
mit Adobe Photoshop, man kann den
Inhalt aber durchaus auch mit dem Open-
Source-Programm Gimp nachvollziehen.
Im zweiten Kapitel konzipiert er seine
Beispielwebseite. Methodisch fundiert
bestimmt er die Zielgruppe und bewertet
die resultierenden Design-Ideen in einer
Projektmatrix.
Im folgenden Kapitel beschreibt er die
Anforderungen in Sachen Benutzerfreundlichkeit
an seine Webseite und
bezieht dabei Barrierefreiheit und Responsive
Webdesign mit ein. Im umfanger
sich später bewegt, fertiggestellt, kann
er ihm auch schon die ersten Lebenszeichen
entlocken. Selbst wer kein NXT-
Set besitzt, kann das Programmieren
mit NXC erlernen, denn der Autor Frank
Knefel hat mit Nxcsimulator eine Simulationssoftware
für NXC entwickelt. Der
Simulator ist Teil der Entwicklungsumgebung
Nxceditor und läuft unter Linux.
Er umfasst zwar nicht alle Befehle der
Sprache NXC, unterstützt aber die ersten
Programmierversuche und die meisten
Beispiele des Buches.
In sechs äußerst ausführlichen Kapiteln
lernt Roberta mit NXC-Programmen, sich
im Raum zu bewegen, Temperaturen zu
messen, zu fühlen, zu hören, zu sehen,
Musik zu machen, Fußball zu spielen
oder mit ihren Artgenossen zu kommunizieren.
Lösungen für die gestellten Aufgaben
enthält das Buch nicht.
Dieser Band vermittelt sehr anschaulich
die erforderlichen theoretischen
Grundlagen aus Mathematik und Programmierung.
Auch wichtige Größen der
Mess- und Regelungstechnik wie Kraft,
Geschwindigkeit oder Temperatur sind
in Form von Experimenten mit Roberta
spannend dargestellt – Motivation, um
das erworbene Wissen in eigenen Experimenten
zu erproben. Das Buch lädt ein
zu einer faszinierenden Reise in die Welt
der Roboter und der Programmierung –
Erwachsene wie Kinder. (mhu) n
Info
Frank Knefel:
Lego Mindstorms NXT
Open Source Press, 2013
260 Seiten
25 Euro
(E-Book 20 Euro)
ISBN: 978-3-941841-85-7

Forum
www.linux-magazin.de Recht 12/2013
76
Prism, Tempora & Co.: Wer wie, warum und wen abhören darf
Freibrief für Spitzel
Die US-Regierung lagerte sogar die Administration und Überwachung von Geheimdienstrechnern an Dienstleister
aus. Nach nur drei Monaten bekam so der externe Berater Edward Snowden Zugriff auf die NSA-Überwachungsdaten.
Ein Blick auf die rechtlichen Hintergründe der Fernmeldeüberwachung. Markus Feilner
© Wikimedia, Public Domain
Abbildung 1: Echelon, eines der amerikanisch-britischen Abhörprogramme,
hatte Ohren auch im oberbayerischen Bad Aibling, bis die EU es enttarnte.
Richard „Dick“ Cheney hat kürzlich
die Wireless-Schnittstelle seines Herzschrittmachers
deaktivieren lassen [1].
Angeblich aus Angst, ein Hacker könne
das lebenswichtige Helferlein umprogrammieren.
Der Ex-US-Vizepräsident
hat sich während seiner Amtszeit viele
Feinde gemacht. Eine der wesentlichen
„Errungenschaften“ von Cheney war es,
in Regierungsbehörden konsequentes
Outsourcing durchzusetzen, auch in sicherheitskritischen
Zonen, bei Geheimdiensten
und angeschlossenen Bereichen.
Nicht selten bekamen gute Freunde den
Zuschlag. Dass ausgerechnet der Hardliner
Cheney damit den Weg bereitete für
einen der größten Enthüllungsskandale,
entbehrt nicht einer gewissen Komik.
Problemfall Outsourcing
Als Mitte 2013 ein junger Linux-Consultant
namens Edward Snowden erst abund
dann auftauchte, erfuhr die US-Öffentlichkeit
wie vermutlich auch weite
Teile der US-Regierung erstmals vom Ausmaß
des Outsourcing, das sowohl nachrichtendienstlich
höchst schützenswerte
Inhalte als auch den
Datenschutz betrifft.
Gerade mal drei Monate
war Snowden
beim Red-Hat-Vorzeigepartner
Booz Allen
Hamilton [2] beschäftigt,
als er Zugriff auf
sensible Daten aus den
weltweiten Quellen
der National Security
Agency (NSA) erhielt.
Derlei Karrieren sind
offenbar nichts Außergewöhnliches:
Externe
Dienstleister brüsten sich damit, innerhalb
weniger Jahre „zuverlässig über vier
Millionen Background-Checks“, also die
nachrichtendienstliche Unbedenklichkeitsprüfung
von Personen, absolviert
zu haben [3].
Die vom Whistleblower via „Guardian“
und „Washington Post“ nach und nach
enthüllten Dokumente legten den technischen
Stand der geheimdienstlichen
Überwachung durch US-Nachrichtendiente
offen. Nach Echelon (Abbildung
1, [4]), den UKUSA- und Five-Eyes-Enthüllungen
2009 [5] konnte allenfalls das
Ausmaß der Überwachung den informierten
Beobachter überraschen.
Bereits vor anderhalb Jahrzehnten hatte
das Europaparlament im Echelon-Sonderausschuss
nachgewiesen, dass die „Five
Eyes“ – das Vereinigte Königreich, die
USA, Neuseeland, Australien und Kanada
– gemeinsam Telefonverbindungen, Satellitenkommunikation
und anderes mehr
abgreifen und auch zur Wirtschaftsspionage
nutzen. Auf den weiter unten
beschriebenen Xkeyscore-Folien (Abbildung
2) von 2008 spiegelt sich das in den
Kürzeln der fünf Länder.
Andererseits sind die Prism-Enthüllungen
aber auch ein Dokument des technischen
Fortschritts: Nach dem 9/​11-Terrorschock
hat die Bedeutung der Satellitenkommunikation
dramatisch abgenommen und
spielt nur mehr auf Schiffen oder mit Kabeln
oder Mobilfunk schlecht versorgten
Gebieten (zum Beispiel via Iridium-Satellitentelefon)
eine Rolle. An ihre Stelle
traten die interkontinentalen Übersee-
Glasfaserkabel.
Gleichzeitig nahm die digitale Kommunikation
enorm zu, konsequentes Least-
Cost-Routing lässt heute einzelne Teile
von Datenübertragungen, beispielsweise
Teile von E-Mails, auch mal über andere
Kontinente und somit durch fremde
Rechtsräume laufen. Nicht zuletzt die rapide
Verbreitung von Smartphones, das
sprunghaft gestiegene Datenvolumen vor
allem im mobilen Internet und fortgeschrittene
Auswertungsmethoden (Big
Data) machten neue, konkurrenzfähige
IT-Infrastrukturen notwendig – und dem
trugen die US-Geheimdienste Rechnung.
Anlassbezo­gen: Prism
Auf der rechtlichen Grundlage des FISA-
Gesetz (Foreign Intelligence Surveillance
Act, [6]) und des USA Patriot Act zwingen
die amerikanischen Geheimdienste
die Top-Webkonzerne zur Kooperation.
Zwar dürfen sie nur die Kommunikation
von Nicht-US-Bürgern im Ausland, innerhalb
der USA dagegen nur mit FISA-Genehmigung
(„Home Grown Terrorists“)
ausforschen. Doch nur das Geheimgericht
FISC – das C steht für Court – überwacht
die Einhaltung des FISA.
Im Detail funktioniert das bei Prism so:
Ein Mitarbeiter der NSA stellt einen Antrag,
sein Vorgesetzter prüft ihn. Gibt

Quelle: The Guardian, [8]
Abbildung 2: Edward Snowden leakte die Xkeyscore-Folien an den „Guardian“.
er grünes Licht, dann steht die wie in
Deutschland (SINA-Box) auch ohnehin
vorhandene FBI-Technik beim Provider
bereit und kann die Daten spiegeln. Anbieter
wie Facebook zwingt ein National
Security Letter zu kooperieren und verpflichtet
sie zur Verschwiegenheit gegenüber
dem überwachten Kunden.
Die Inhalte werten dann – so glauben Experten
– ebenfalls automatische Systeme
wie Nucleon (gesprochene Sprache, Kommunikation)
und Marina (Surfverhalten)
aus. Prism ermöglicht also eine automatische,
verdachtsabhängige und komplette,
aber auf eine Person beschränkte Einzelüberwachung.
Erst nach diesem Filter
sichten menschliche Auswerter die von
den Programmen als relevant betrachteten
Inhalte.
Das ganze Prozedere lief im Jahr 2011
117 000-mal ab, wahrscheinlich nur so
vergleichweise selten, weil die Manpower
im letzten Schritt für mehr Überwachung
nicht ausreicht. Allein Facebook hat über
eine Milliarde Mitglieder.
Full Take: Tempora
Ganz anders funktioniert Tempora: Hier
greifen britische Behörden (zusammen
mit US-amerikanischen) an den Knoten
der interkontinentalen Glasfaserkabel die
gesamten Daten der Kommunikation ab
und speichern sie drei Tage lang als Full
Take in einem Fifo-Ringpuffer. Die zugehörigen
Metadaten speichert das GCHQ,
das Hauptquartier der britischen SIGINT-
Aufklärung [7], 30 Tage lang.
An dieser Stelle kommt auch das oben
angesprochene Auswertetool Xkeyscore
ins Spiel. Wie aus den vom Guardian
veröffentlichten Folien
(Abbildung 2, [8])
hervorgeht, können
die Schlapphüte darin
teils lokal, teils global
nach Personen (Strong
Selection) oder Sachverhalten
(Soft Selection)
suchen. Auch
regionale Beschränkungen
sind möglich,
so zum Beispiel die
Frage: „Zeige mir alle
VPN-Verbindungsaufbauten
[SSL-Handshakes]
im Iran!“ – immer
bezogen auf die (Meta-)Daten des
Tempora-Ringpuffers.
Die US-Gesetzgebung ist recht eindeutig
und unterscheidet klar zwischen
US-Bürgern und Nicht-US-Bürgern, wobei
bei der Überwachung der Letzteren
kaum Beschränkungen gelten. Die UN-
Grundrechte-Charta, der Internationale
Pakt für Bürgerliche Freiheiten oder der
UN-Menschenrechtsausschuss schützt
nur auf dem Papier, ähnlich wie Artikel
7 der EU-Charta der Grundrechte. Die ist
zwar seit dem Lissabon-Vertrag (2009)
Gesetz, gilt aber nur für das Handeln der
EU-Organe, oder wenn Mitgliedsstaaten
EU-Recht umsetzen. Großbritannien und
Polen haben sich dem ohnehin durch
Opt-Out entzogen. Für die Fernmeldeüberwachung
durch Nachrichtendienste
und polizeiliche Ermittlungen gilt das jeweils
nationale Recht, die EU bietet also
keinen wirksamen Schutz.
Ja, die dürfen das!
In Deutschland regelt gleich eine ganze
Reihe von Gesetzen die strategische
Fernmelde überwachung: Militärischer-
Abschirmdienst-Gesetz (MADG), Verfassungsschutzgesetz
(VerfSchG), Bundesnachrichtendienstgesetz
(BNDG) und
vor allem das Artikel-10-Gesetz [9], kurz
G-10. In dessen 18 Paragrafen finden sich
detaillierte Vorgaben, die gar nicht so weit
von denen des FISA entfernt liegen.
So wird beispielsweise nach § 17 mit bis
zu zwei Jahren bestraft, wer etwa als Provider
einem Überwachten mitteilt, dass
der BND gerade seine Daten abschnorchelt.
Der § 3 regelt die Voraussetzungen,
also den Katalog der Sachverhalte, die die
Überwachung durch den Geheimdienst
rechtfertigen. § 3b beschreibt den Umgang
mit Zeugnisverweigerungs-Berechtigten,
§ 15 die Funktion der so genannten
G-10-Kommission, deren Zustimmung
zum Abhören notwendig ist.
Auch die Polizei überwacht
Neben der Tätigkeit der Geheimdienste,
die auch in Deutschland im Zuge des Terrorismus-Bekämpfungsgesetzes
deutlich
mehr politisches Gewicht bekam, gibt es
natürlich Überwachungsmaßnahmen, die
direkt der Verbrechensbekämpfung dienen.
Auch die Polizei darf überwachen,
Daten abgreifen und mehr – sie braucht
dafür jedoch immer einen richterlichen
Beschluss. Den gibt es zwar nur in einem
eng umgrenzten Rahmen von Straftaten,
allerdings sehr häufig bis zu drei Tage
nachträglich.
Die Details regelt der § 100a StPO. Doch
änderte sich hier in den vergangenen Jahren
einiges, nicht erst seit den Novellen
des Telekommunikationsgesetz (§ 113
TKG), dem Terrorismusbekämpfungsgesetz
(„Otto-Katalog“), den Neuerungen
des Thüringer Polizeigesetzes oder dem
Hin und Her um eine Vorratsdatenspeicherung
und den entsprechenden Urteilen
des Bundesverfassungsgerichtes. n
Infos
[1] Cheney deaktiviert Herzschrittmacher:
[http:// nation. time. com/ 2013/ 10/ 19/ cheney
‐feared‐terrorists‐could‐hack‐his‐heart/]
[2] Booz Allen Hamilton: [http:// www.​
theguardian. com/ world/ 2013/ jun/ 09/
booz‐allen‐hamilton‐edward‐snowden]
[3] Snowden und das Outsourcing: [http://​
www. huffingtonpost. com/ 2013/ 07/ 06/​
edward‐snowden‐case_n_3554665. html]
[4] Echelon:
[http:// de. wikipedia. org/ wiki/ Echelon]
[5] UKUSA-Vereinbarung, „Five Eyes“: [http://​
de. wikipedia. org/ wiki/ UKUSA‐Vereinbarung]
[6] Hintergründe zu Patriot Act, FISC und FISA:
[http:// epic. org/ privacy/ terrorism/]
[7] GCHQ: [http://www. gchq. gov. uk]
[8] Xkeyscore-Folien beim Guardian:
[http:// www. theguardian. com/ world/​
interactive/ 2013/ jul/ 31/ nsa‐xkeyscore
‐program‐full‐presentation]
[9] G-10-Gesetz: [http:// www.​
gesetze‐im‐internet. de/ g10_2001/]
Recht 12/2013
Forum
www.linux-magazin.de
77

Forum
www.linux-magazin.de Abhörsicherheit 12/2013
78
Gastkommentar: Abhörsicherheit
Kein Freizeichen
Allerspätestens seit Ed Snowden ist klar, dass Geheimdienste – und wer weiß, wer sonst noch – IP-Telefonate
abhören. Magazin-Autor Eitel Dignatz wundert sich, wie wenige Firmen Maßnahmen dagegen ergreifen, und
streut zugleich Sand ins ratternde Offener-Quellcode-ist-sicher-Getriebe. Eitel Dignatz
© Amy Walters, 123RF.com
Edward Snowden verdanken wir viele Erkenntnisse,
darunter die, dass es Geheimdiensten
nicht nur um Terroristenhatz
geht, sondern auch um das wirtschaftliche
Wohlergehen des eigenen Landes,
vulgo: Wirtschaftsspionage. Wie reagieren?
E-Mails zu verschlüsseln ist kein
Problem der Technik, eher der Disziplin.
Abhörsichere Telefonie dagegen erweist
sich in der Praxis als Herausforderung, da
man die technische Umgebung und das
Verhalten seines Telefonierpartners nicht
unter Kontrolle hat.
Formal kann das verbreitete Video-, Telefonie-
und Chatprogramm Skype die Lösung
bringen, da es augenscheinlich die
Verbindungen verschlüsselt und Inhalte
vor fremden Ohren und Augen schützt.
Ein wichtiges Argument für die Entwicklung
des so genannten Bundestrojaners
war, dass sich selbst Geheimdienste an
Skype-Verbindungen die Zähne ausbeißen
würden und deshalb gewungen seien, die
Endgeräte zu verwanzen.
Doch weit gefehlt: Im Mai 2013, also
schon vor Snowdens Enthüllungen,
kam ans Licht, dass der Skype-Besitzer
Microsoft serienmäßig Skype-Chats
auswertet [1]. Warum
sollte ausgerechnet die
Telefoniefunktion unangetastet
bleiben, zumal
Menschen vertrauliche
Angelegeneheiten
lieber per Telefon bereden
als im Chat?
Einmal unter Verdacht,
gerät Microsofts per
SRTP und TLS formal
ebenfalls gut geschütztes
Businesskonferenzund
Telefoniewerkzeug
Lync gleich mit in Verdacht.
Was kann eine Firma tun, um Vertrauliches
am Telefon zu besprechen?
SIP, RTP und IAX2 über VPN
Erfreulicherweise ist wenigstens für Telefonate
innerhalb eines Unternehmens die
Lösung vergleichsweise schnell gefunden:
Wer Asterisk benutzt und VoIP-Verbindungen
zwischen seinen Standorten per
Open VPN tunnelt, muss sich einerseits
nicht mit SRTP, SIPS und dergleichen herumschlagen.
Er darf andererseits auch
mobile Geräte ohne SRTP- und SIPS-fähige
Clients einbeziehen oder das Trunking
verteilter Asterisk-Server per IAX2-
Protokoll (Inter-Asterisk Exchange 2)
sicher realisieren. Der Open-VPN-Tunnel
erledigt die Verschlüsselung. Umso mehr
überrascht es, wie wenige Unternehmen
davon Gebrauch machen.
Die Vertraulichkeit bleibt allerdings nur
gewährleistet, so lange jeder Gesprächsteilnehmer
einen Tunnel benutzt. Kommt
auch nur ein einziger per ISDN- oder
VoIP-Provider vermittelter Teilnehmer
zu einer Telefonkonferenz hinzu, dann
werden auch die Gesprächsbeiträge aller
anderen Teilnehmer kompromittierbar.
Gleiches gilt bei Dect-Telefonen und zu
Handys weitergeleiteten Gesprächen.
Thompsons Warnung
Können Anwender, die Skype und andere
proprietäre Software meiden, denn Linux,
Open VPN und Asterisk vertrauen? Sie
dürfen ja den Quellcode inspizieren und
selbst kompilieren. Ken Thompson, einer
der beiden Unix-Väter, zeigte 1984 – drei
Jahrzehnte vor Snowden – einen Weg, um
einen Compiler mit Schadcode zu versehen
[2]. Das Perfide: Wer mit dem Compiler-Binary
den Sourcecode eines Compilers
ohne Schadcode übersetzt, erzeugt
wieder ein Binary, das den ursprünglichen
Schadcode propagiert.
Thompsons Fazit: Niemand kann Code
vertrauen, den er nicht in Gänze selbst
geschrieben hat. Ironisch fügt er hinzu:
„Vor allem keinem Code von Firmen, die
Leute wie mich beschäftigen.“ – Derzeit
arbeitet Thompson für Google. (jk) n
Infos
[1] Vorsicht beim Skypen – Microsoft liest mit:
[http:// www. heise. de/ security/ meldung/
Vorsicht‐beim‐Skypen‐Microsoft‐liest‐mit
‐1857620. html]
[2] Ken Thompson, „Reflections on Trusting
Trust“: [http:// cm. bell‐labs. com/ who/ ken/​
trust. html]
Der Autor
Eitel Dignatz hat gut 30
Jahre Unix im Blut und ist
Unternehmensberater und
Inhaber von Dignatz Consulting,
München [http:// www.​
dignatz. de/ spot465].

Forum
www.linux-magazin.de Leserbriefe 12/2013
80
Auf den Punkt gebracht
Leserbriefe
Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-­magazin.­de].
Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit
Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.
Apt-Interna
09/​13, S. 30: Zum Artikel über Apt habe
ich noch eine Frage. Ich habe gehört,
dass Debian alle Updates in einem lokalen
Verzeichnis speichert. Angenommen
ich möchte ein altes Debian nach vielen
Jahren wieder von einer DVD installieren,
auf die ich das Cache-Verzeichnis
nach dem letztem Update gesichert hatte.
Wie kann ich dann ohne Internetverbindung
die lokal gespeicherten Updates
installieren?
Harry Buntz, per Mail
Alleine mit Apt und ohne weitere Tools ist
das zwar möglich, erfordert aber einige
manuelle Schritte. Von dem alten System
müssen Sie die Dateien »/etc/apt/sources.
list«, »/apt/apt/sources.list.d/*«, »/etc/
apt/preferences«, »/var/lib/apt/lists/*« sowie
»/var/cache/apt/archives/*« auf das
neue kopieren. Danach genügt »apt‐get
dist‐upgrade« als Root, um das System
aus dem Cache zu aktualisieren.
Dazu müssen die Debian-Pakete als Dateien
in »/var/cache/apt/archives« vollständig
vorhanden sein. In der Regel ist
das aber nicht der Fall, da ein Cronjob
dort regelmäßig aufräumt. Außerdem
gehen bei der Installation von DVD die
Informationen über zusätzliche Pakete
verloren. Mit Zusatztools wie »apt‐clone«
kann man diese Daten aber sichern und
wiederherstellen. (Michael Vogt)
Datenschutz beim Sportfest
09/​13, S. 80: Ich denke, im „Rechtsrat“
zur Sportvereins-Website ist Ihnen
ein kleiner Fehler unterlaufen. Ich gehe
davon aus, dass ein Sportfest eine öffentliche
Veranstaltung ist. Das Kunst-
UrhG besagt in Paragraf 23, 1.3, dass
Bilder „von Versammlungen, Aufzügen
und ähnlichen Vorgängen, an denen die
dargestellten Personen teilgenommen haben“
nicht der nach Paragraf 22 erforderlichen
Einwilligung bedürfen. Wichtig ist,
dass der Betreffende nicht als Individuum
herausgestellt, sondern als Mitglied der
Gruppe oder Teilnehmer der Veranstaltung
abgebildet wird. Zu berücksichtigen
ist zudem das Persönlichkeitsrecht, das
die Veröffentlichung von entstellenden,
die Würde der Person verletzenden Abbildungen
nicht zulässt.
Eine im Zusammenhang mit der Veranstaltung
stehende Berichterstattung
mit einem Porträt des Siegers ist meiner
Meinung nach auch zulässig, da es sich
dann um eine relative Person der Zeitgeschichte
handelt (Paragraf 23, 1.1).
Oliver Tong, per E-Mail
Datei-Details
10/​13, S. 52: Im Artikel über die Ext-FS-
Familie habe ich einen Fehler ausgemacht.
Bei den drei Zeitstempeln handelt es sich
um Aktualisierung (Access), Änderung
des Inhalts (Modify) und Änderung der
Attribute (Change). Das Verwechseln
liegt jedoch nahe – einerseits weil die Abkürzung
Ctime einem das „create“ aufdrängt,
andererseits weil es nicht leicht
ist, „change“ und „modify“ differenziert
ins Deutsche zu übersetzen.
Wenn jemand den Inhalt einer Datei modifiziert,
ändert sich die Mtime und, da
diese im Inode gespeichert ist, zeitgleich
die Ctime. Letztere aktualisiert sich, wenn
etwa der Besitz oder die Berechtigungen
einer Datei geändert werden.
Ein Detail am Rande: Das Umbenennen
einer Datei ändert nicht die Ctime der
Datei, sondern die des Verzeichnisses,
in dem sie liegt, da der Name dort gespeichert
ist. Eine Datei weiß also nicht
selbst, wie sie heißt.
Christian Rusa, per E-Mail
Sie haben vollkommen Recht, die Darstellung
im Heft ist mindestens unglücklich.
Ihre Randbemerkung ist sehr amüsant,
aber sind Sie sich sicher, dass nicht noch
weitere Zeitstempel im Spiel sind? Meine
Tests zeigen: Beim Verzeichnis ändern sich
Mtime und Ctime, bei der Datei auch die
Ctime. Ersteres ist auch sofort verständlich.
Das Umbenennen einer Datei verändert
den Inhalt des Verzeichnisses und
erfordert die Aktualisierung des Modify-
Zeitstempels. Dieser triggert dann erst die
Änderung der Ctime.
Es gibt übrigens ein Gegenstück zu Ihrer
Bemerkung, wenn man sich die klassischen
Unix-Berechtigungen ansieht: Eine
Datei kann sich nicht selbst vor dem Löschen
schützen – das kann nur das enthaltende
Verzeichnis. (Udo Seidel)
Web-Reifeprüfung
11/​13, S. 39: Mein Kompliment für das
Wettrennen der Weblösungen. Nach langem
Vergleich von Frameworks sind wir
vor etwa zwei Jahren glücklich in den
Django-Hafen eingelaufen. Aus dem Artikel
von Sven Schannak konnten wir
einige Anregungen holen und sind hundertprozentig
auf seiner Linie.
„Geschmacklich“ garnieren wir Django
aber viel mit Jquery und vermehrt mit
Dojo, das seit Version 1.9 deutlich an
Qualität zugelegt hat, weil die Templates
alleine nicht schick genug aussehen.
Harald Sichert, Myvision IT-Management,
per E-Mail
n

Hardware
www.linux-magazin.de Xeon Phi 12/2013
82
Intels Tesla-Alternative
Kern-Kraftwerk
Mit der Beschleunigerkarte Xeon Phi geht Intel einen Sonderweg: Anstelle einer GPU rechnen auf dem Coprozessor
zahlreiche CPU-Kerne, was die Programmierung erleichtert. Anselm Busse, Jan Richling
Xeon-Phi-Karte vor und erklärt, was sie
anders macht als die GPUs.
Von Single- zu Manycore
subbotina, 123RF
Im Bereich des Hochleistungsrechnens
setzen in den letzten Jahren immer mehr
Anwender auf GPU-Computing. Anstelle
von CPUs rechnen dabei ein oder mehrere
GPUs an einem umfangreichen Problem.
Die zu bearbeitenden Daten kopiert
ein Hostrechner in den Speicher der Grafikkarte,
die sie prozessiert und wieder
zurückschickt.
Davon profitieren vor allem Anwendungen,
die immer gleiche Operationen auf
eine große Datenmenge anwenden. Eine
GPU spielt hier ihre Stärke aus, da sich
ihre zahlreichen (zum Teil über 1000) Recheneinheiten
jeweils ein Datenelement
vornehmen. So verarbeiten GPUs Daten
um Größenordnungen schneller und
energieeffizienter als CPUs. Bestimmte
Anwendungen erscheinen daher nur
noch mit GPU-Unterstützung sinnvoll –
das Minen von Bitcoins etwa.
Dieser Leistungsvorsprung hat seinen
Preis beim zusätzlichen Entwicklungsaufwand.
Das Programmiermodell und
somit das Prozedere beim Erstellen von
Programmen unterscheidet sich fundamental
von dem für CPUs. Daher lassen
sich bestehende Programme nicht direkt
für GPUs migrieren, ihre Programmierer
müssen sich umstellen. Open CL versucht
zwar möglichst viele dieser Unterschiede
vor den Entwicklern zu verbergen und
zu abstrahieren, das gelingt jedoch nicht
vollständig.
Unter anderem aus diesem Grund sucht
Intel nach einem eigenen Weg und bietet
hierfür seit Anfang des Jahres die
Beschleunigerkarte Xeon Phi an, die auf
x86-Technik basiert. Aufmerksamkeit
erregte die Karte in den vergangenen
Monaten vor allem deshalb, weil der
zurzeit schnellste Supercomputer – der
Tianhe-2 [1] – sie massiv einsetzt: 48 000
Xeon-Phi-Karten sind darin verbaut. Damit
toppt er den bis dahin schnellsten
GPU-basierten Supercomputer, den Titan
von Cray [2], indem er fast die doppelte
Rohleistung bringt. Der Artikel stellt die
Im Jahr 2005 geriet Intel mit der Netburst-Mikroarchitektur
in eine Sackgasse
und begrub das Jahrzehnte alte Dogma,
die Leistung im wesentlichen über Taktraten
zu steigern. Seitdem erhöht die
Firma die Leistung ihrer Chipsätze trotz
nur moderat steigender Taktraten, indem
sie die Mikroarchitektur verbessert und
auf Multicore-Architekturen setzt.
Das aber verlangt von den Entwicklern
ein Umdenken: Um von dem Mehr an
Prozessorleistung zu profitieren, müssen
sie ihre Programme erst an die Multicore-
Systeme anpassen. Intels Tera-Scale-Programm
trägt dem Rechnung, indem es
neben zukünftigen Multicore- vor allem
Manycore-Architekturen untersucht und
Programmiermethoden sowie Modelle für
diese entwickelt.
Polaris und SCC
Als erstes Resultat des Forschungsprogramms
stellte Intel 2007 neue Hardware
vor: den Teraflops Research Chip, auch
Polaris genannt. Er besitzt 80 Kerne und
erreicht eine Leistung von 19,4 Gigaflops
pro Watt bei einer Gesamtleistung von
400 Gigaflops [3]. Ein Gigaflop entspricht
dabei einer Gleitkommaberechnung pro
Milliardstelsekunde. Zum Vergleich: Ein
damals aktueller Core-2-Quad-Prozessor
schaffte lediglich 0,9 Gigaflops pro Watt
bei 85 Gigaflops.
Der Polaris war jedoch aufgrund seiner
Architektur nur äußerst schwer zu programmieren
und wurde nie als kommerzielles
Produkt verfügbar – lediglich fünf
Personen schrieben zu Forschungszwe-

GDDR 5
GDDR 5
GDDR 5
GDDR 5
GDDR 5
PCIe-IO
GDDR-
IO
cken jemals Software für den Chip. Im
nächsten Schritt entwickelte Intel den
Singlechip Cloud Computer (SCC, Codename
Rock Creek). Der Prozessor brachte
48 Kerne mit (24 Einheiten mit je zwei
Kernen), die weitgehend identisch mit
den Kernen der Pentium-S-Prozessoren
waren und untereinander über ein Hochgeschwindigkeits-Verbindungsnetzwerk
sowie vier DDR-3-Speicherkanäle kommunizierten.
Anders als beim Polaris
stellte Intel einige Hundert SCC her und
verteilte sie auch an Forschungseinrichtungen
weltweit.
Neben seinem Einsatz als Cluster auf
einem Chip war insbesondere der Umgang
mit Betriebssystemen speziell: Der
SCC konnte auf jedem der 48 Kerne eine
eigene Linux-Instanz booten. Der Einsatz
als 48-Kern-Maschine unter einer
Betriebssysteminstanz scheiterte vor allem
daran, dass der SCC keine Cache-
Kohärenz in Hardware sicherstellte, wie
es aktuelle Prozessoren gewöhnlich tun.
Änderungen im Cache eines Kerns landeten
nicht automatisch in den Zwischenspeichern
der anderen Kerne. Daher erforderte
eine effiziente Nutzung ein anderes
Programmierkonzept und weitreichende
Anpassungen am Betriebssystem – oder
gleich ein spezielles Betriebssystem.
Larrabees Erbe
PCIe Client
Logic
GDDR-MC
GDDR-MC
Core
L2
TD
TD
L2
Core
Core
L2
TD
TD
L2
Core
Core
L2
TD
TD
L2
Core
Parallel zum Tera-Scale-Programm versuchte
Intel seit 2007 unter dem Codename
Larrabee eine eigene leistungsfähige
GPU zu entwickeln, um in den Markt der
diskreten Grafikkarten einzusteigen. Anders
als im Bereich der GPUs üblich sollte
Larrabee nicht aus vielen Spezialrecheneinheiten
bestehen, sondern aus zahlreichen
modifizierten Pentium-Prozessoren
(P54C), die x86-Code ausführen.
Die erste Larrabee-Generation schaffte es
nie zur Marktreife, weil sie vermutlich
nicht mit der Konkurrenz von Nvidia und
AMD/​ATI mithalten konnte. Mit den Erfahrungen
aus dem Tera-Scale-Programm
entschloss sich Intel zwar das Larrabee-
Projekt fortzusetzen, aber die Hardware
in Form einer Beschleunigerkarte für den
HPC-Bereich auf den Markt zu bringen,
in Konkurrenz etwa zu den Tesla-Grafikprozessoren
von Nvidia.
Unter der Bezeichnung Knights Ferry gingen
zunächst Prototypen an Forschungseinrichtungen,
um die Verwendbarkeit
der Karte als Rechenbeschleuniger zu
prüfen. Dies mündete in einer Beschleunigerkarte
mit dem Codenamen Knights
Corner, die seit Anfang 2013 als Xeon Phi
kommerziell vertrieben wird.
Architektur
Core
L2
TD
TD
L2
Core
TD = Tag Directory
GDDR-MC
GDDR-MC
Abbildung 1: Ein Ringbus verbindet die Kerne untereinander, ein weiterer bindet sie an das PCIe-Interface.
Die Xeon Phi ist als PCI-Express-Karte
in mehreren Konfigurationen erhältlich,
die sich in der Anzahl der Kerne (57, 60
oder 61), im Speicherausbau (6, 8 oder 16
GByte), in der Taktrate (1053, 1100 oder
1238 MHz) sowie im Kühlkonzept (aktiv
oder passiv) unterscheiden [4].
Die grundsätzliche Architektur ist bei
allen Karten gleich: Die CPU-Kerne basieren
– wie bei Larrabee und dem SCC –
auf denen der ersten Pentium-Generation
(P54C). Intel hat sie aber um 64-Bit- und
GDDR-
IO
GDDR 5
GDDR 5
GDDR 5
GDDR 5
GDDR 5
Floating-Point-Instruktionen
(x87) sowie um
eine Vektoreinheit mit
32 Registern (512 Bit
Breite) erweitert. Mit
Letzterer lassen sich
bis zu 16 Single-Precision-Gleitkommazahlen
oder 32-Bit-Integer
parallel verarbeiten.
Zusätzlich ist jeder
Kern vierfach multithreaded,
womit eine
Xeon Phi der 7100er
Reihe bei 61 Kernen
bis zu 244 Threads
zeitgleich ausführen
kann.
Die Kerne stellen jeweils einen 64-KByte-
L1-Cache und einen 512-KByte-L2-Cache
bereit und sind durch einen Ringbus miteinander
verbunden. Anders als bei den
meisten Multicore-Prozessoren fehlt ein
geteilter Cache zwischen den Kernen,
dafür gibt es, im Gegensatz zum SCC,
Hardware-seitige Cache-Kohärenz. Bis zu
acht GDDR-5-Speicher-Controller verbinden
den Speicher über je zwei Kanäle
mit dem Ringbus (Abbildung 1), an dem
auch das PCIe-Interface hängt.
Auf der Xeon-Phi-Beschleunigerkarte befindet
sich neben dem Prozessor und dem
Speicher auch Sensorik zum Überwachen
von Temperatur und Stromverbrauch. Ein
System Management Controller macht
diese sowohl dem Xeon-Phi-Prozessor als
auch dem Hostsystem zugänglich. Über
den Controller lässt sich der Prozessor
steuern, um so zum Beispiel einen Neustart
der Karte zu erzwingen.
Weil die Karte ansonsten keine weiteren
Ein- und Ausgabemöglichkeiten besitzt,
müssen alle Daten über die PCIe-
Schnittstelle und somit über den PCIeund
System-Management-Bus fließen.
Physisch verfügt die Karte ungefähr über
die Dimension (und den entsprechenden
Kühlkörper) einer Hochleistungsgrafikkarte
ohne Monitorausgänge und lässt
sich am ehesten mit einer Nvidia-Tesla-
Karte vergleichen.
Betriebssystem
Da die Xeon Phi über vollwertige CPU-
Kerne und nicht nur über hochoptimierte
Spezialrecheneinheiten verfügt, lässt sich
Xeon Phi 12/2013
Hardware
www.linux-magazin.de
83

Hardware
www.linux-magazin.de Xeon Phi 12/2013
84
auf ihr ein eigenes Betriebssystem
betreiben. Intel nutzt diese
Möglichkeit, um die Ressourcen
der Karte zu verwalten und die
Software-Entwicklung zu vereinfachen.
Beim Booten des Hostrechners
taucht die Xeon Phi zunächst
als gewöhnliches PCIe-Gerät
auf, der Prozessor der Karte ist
inaktiv. Um die Karte zu aktivieren,
lädt der Nutzer nun ein
Initrd-Image mit einkompilierter
Busybox in ihren Speicher.
Dabei hilft ihm der System Management
Controller des Hostsystems.
Der eingesetzte Linux-Kernel
unterscheidet sich nur wenig
von einem gewöhnlichen
x86-Kernel, seine Anpassungen
sind etwa mit denen eines
ARM-Image für eine andere
ARM-Plattform vergleichbar. Ist
das Image übertragen, wird der
Prozessor gestartet und somit
das Linux auf der Karte zum
ersten Mal gebootet. Als Root-
Datei system verwendet der Coprozessor
entweder direkt die
Initrd oder lädt ein Dateisystem vom
Hostrechner in den Speicher der Karte
oder holt es sich per NFS.
Datenaustausch
Da die Karte nur über die PCIe-Schnittstelle
mit der Außenwelt kommuniziert,
stellt sich die Frage, wie sie die Kommunikation
mit dem Hostrechner und anderen
Komponenten umsetzt. Prinzipiell
erlaubt der PCIe-Bus, dass das Hostsystem
Daten in den Speicher einer Erweiterungskarte
schreibt. Umgekehrt dürfen
Erweiterungskarten auch in den Speicher
des Hostrechners schreiben. Dies wäre
aber für den Anwendungsprogrammierer
äußerst umständlich, da ein solcher
Low-Level-Datentransfer meist nur auf
Treiberebene stattfindet.
Aus diesem Grund stellt Intel das Symmetric
Communications Interface (SCIF)
zur Verfügung, eine Bibliothek, die eine
einfach zu nutzende Schnittstelle für den
Low-Level-Speichertransfer mitbringt. Es
bildet die effizienteste Möglichkeit, Daten
zwischen Hostrechner und Xeon Phi
TCP
Host
Tools & Apps
Sockets
Virtual Ethernet
Linux-Kernel
IP
User - SCIF
UDP
Host SCIF Driver
KNX Host Driver
PCI Express
Linux-Distrib
Modified Linux
Legend
auszutauschen, sie kommt auch bei der
oben beschriebenen Startmethode zum
Übertragen des Root-Dateisystems in den
Speicher der Karte zum Einsatz.
Netzwerk via Virtio
User - SCIF
UDP
Xeon Phi
Tools & Apps
Sockets
Virtual Ethernet
SCIF Driver
/proc/sysfs
Linux-Kernel
Abbildung 2: Mit Hilfe virtueller Ethernet-Schnittstellen lässt sich die
Beschleunigerkarte in das lokale Netzwerk integrieren.
Intel hat noch weitere Mechanismen
für den Datenaustausch implementiert.
Den wichtigsten bindet die Karte in ein
Netzwerk ein, da die Xeon-Phi-Plattform
keinen eigenen Netzwerkzugang besitzt.
Hierfür nutzt Intel unter anderem das
Virtio-Framework [5]. Es stellt sowohl
im Hostsystem als auch im Betriebssystem
der Karte virtuelle Ethernet-Schnittstellen
bereit. Statt über ein Kabel wandern
die Daten über den PCIe-Bus. Linux
als Host-Betriebssystem bindet dann
in der bekannten Manier die virtuelle
Ethernet-Schnittstelle an eine physische
Schnittstelle und integriert sie ins lokale
Netzwerk (Abbildung 2).
Nach dem gleichen Prinzip hat Intel eine
virtuelle serielle Schnittstelle und ein virtuelles
Blockgerät implementiert. Erstere
soll das Bootlog, Debugmeldungen und
IP
TCP
ähnliche Statusinformationen
an den Hostrechner übertragen.
Das Blockgerät ist eigentlich
dazu gedacht, dem Linux auf
der Karte Auslagerungsspeicher
(Swap) zur Verfügung zu stellen.
Passt der Entwickler die
von Intel gelieferten Initskripte
aber entsprechend an, liefert es
auch ein Root-Dateisystem und
schafft so quasi eine vierte Option
zum Starten der Karte.
Übersetzungsproblem
Xeon-Phi-Entwicklern dürften
sich vor allem zwei Fragen
stellen: Sind besondere Schritte
zum Übersetzen des Quelltextes
auf der Karte notwendig? Wie
lassen sich ihre Ressourcen effizient
nutzen?
Laut Intels Marketingaussagen
dürfte sich das erste Problem
nicht stellen, da die Xeon Phi
ja aus x86-Kernen besteht. Die
allerdings unterscheiden sich
zum Teil signifikant von denen
in herkömmlichen x86-Prozessoren.
Das betrifft die Vektoreinheiten
und die zugehörigen Register.
Zudem fehlen den Kernen sämtliche Erweiterungen
seit MMX. Somit können
sie weder mit MMX-, SSE- oder AVX-
Instruktionen umgehen, noch besitzen
sie die mit diesen Instruktionssätzen eingeführten
Register.
Das ist problematisch, weil sowohl Intel
als auch AMD seit Einführung des MMX-
Befehlssatzes empfehlen, diesen oder
seine Nachfolger für Gleitkommazahlen-
Berechnungen zu nutzen und zugleich die
Berechnung über eine x87-Einheit nicht
mehr unterstützen. Da die Beschleunigerkarte
jedoch nur die x87-Befehle versteht,
muss der Entwickler beim Übersetzen
darauf Rücksicht nehmen.
Das ist einer der Gründe, warum sich etwa
eine GNU-Toolchain nicht ohne Weiteres
einsetzen lässt. Intel hat zwar sowohl ein
Patch für den GNU Assembler als auch
für den GNU GCC Compiler entwickelt,
um Software für die Xeon-Phi-Karte zu
übersetzen. Letzterer fehlt aber leider
die Unterstützung für die Vektoreinheit,
da hierfür beim Übersetzen weiter reichende
Optimierungen notwendig wären.

Um auch diese zu verwenden, muss der
Entwickler derzeit zu einem proprietären
Compiler von Intel greifen [6].
Um die Rechenleistung der Karte voll
auszunutzen, stehen mehrere Möglichkeiten
offen. Da es sich bei der Karte
um ein eigenständiges System mit Linux
als Betriebssystem handelt, das lediglich
die Ressourcen des Hostrechners zur Einund
Ausgabe benötigt, lassen sich auf
ihr Programme wie auf jedem Rechner
ausführen. Ein Programmierer kann also
die üblichen Methoden wie etwa Posix-
Threads oder Open MP nutzen, um parallelisierte
Programme zu schreiben und
auszuführen (Abbildung 3).
Allerdings sollte er dabei beachten, dass
die Maschine für die Anzahl der Kerne
relativ wenig Hauptspeicher besitzt. So
stehen bei einer Karte der 5100er Reihe
für jeden Thread im Schnitt 35 MByte
Hauptspeicher bereit, auf aktuellen Serversystemen
sind es pro Thread hingegen
oft mehrere Hundert Megabyte. Wegen
der beschränkten Speichergröße ergibt
es Sinn, die Xeon Phi als Beschleunigereinheit
im Zusammenspiel mit der
Hostmaschine oder anderen Rechnern
im Netzwerk zu betreiben.
Hierfür stehen mehrere Möglichkeiten bereit.
Das angesprochene SCIF hilft dabei,
auf komfortable Weise Daten zwischen
der Karte und dem Hostrechner auszutauschen.
Somit lassen sich bestimmte
Teile der Berechnung auf die Xeon Phi
auslagern. Noch komfortabler übergibt
der Entwickler Berechnungen mit Hilfe
des Message Passing Interfaces (MPI).
Das ist machbar, weil die Xeon Phi im
Netzwerk – grob vereinfacht gesagt – nur
als weiterer Rechner mit sehr vielen Kernen
auftaucht. Schlussendlich ist auch
noch ein Open-CL-Compiler verfügbar,
der Berechnungen auf
die Karte auslagern
kann.
Da es sich bei der Xeon
Phi zum Teil um ein
eigenständiges System
handelt, ist aber auch
der umgekehrte Weg
gangbar: Arbeit lässt
sich von der Karte auf
den Hostrechner oder
andere Rechner im
Netzwerk übertragen.
Abbildung 3: Die Beschleunigerkarte Xeon Phi funktioniert wie ein eigenständiges
Linux-System, das allerdings ein paar Kerne mehr an Bord hat,
wie dieser Ausschnitt der »htop«-Ausgabe zeigt.
In Abbildung 4 sind die Möglichkeiten
der Arbeitsverteilung dargestellt.
Xeon Phi versus GPU
Xeon
PCIe
MIC
Abschließend stellt sich die Frage, welche
Daseinsberechtigung die Xeon-Phi-Karte
eigentlich hat. Nüchtern betrachtet liefert
eine Tesla-Karte der Kepler-Generation
von Nvidia für unwesentlich mehr Geld
etwa die dreifache Rohleistung in Flops,
was die Xeon Phi beim Preis-Leistungs-
Verhältnis haushoch unterlegen macht.
Das Preisspektrum der Xeon-Phi-Varianten
reicht aktuell von ungefähr 1300 Euro
bis etwa 3000 Euro [7].
Bei genauerem Hinsehen sprechen aber
zwei Punkte für die Karte: Erstens unterstützt
sie mit MPI ein Programmiermodell,
das bereits an die 20 Jahre auf dem
Buckel hat, während Open CL zum Beispiel
nur fünf Jahre alt ist. Hier ließe sich
argumentieren, dass die Programmierer
erfahrener sind und somit einfacher bessere
Programme schreiben können. Zweitens
verfügt die Xeon Phi nicht nur über
hochspezialisierte Recheneinheiten für
sehr eingeschränkte Arten von Berechnungen,
sie ist durch ihre PC-nahe Architektur
auch in der Lage, existierende
Software mit deutlich
geringeren Anpassungen
auszuführen.
Ausblick
Xeon
native
Main( )
Foo( )
MPI_*( )
Xeon Autonomous MIC-hosted
hosted MIC Mode Xeon
co-processed
co-processed
Main( )
Foo( )
MPI_*( )
Main( )
Foo( )
MPI_*( )
Foo( ) Main( )
Foo( )
MPI_*( )
Foo( )
Main( )
Foo( )
MPI_*( )
MIC
native
Main( )
Foo( )
MPI_*( )
Abbildung 4: Da die Xeon-Phi-Karte ein eigenständiges System ist, kann sie
Arbeit auch auf andere Rechner im Netzwerk verteilen.
Intel hat bereits den
Nachfolger der Xeon
Phi angekündigt, der
zurzeit unter dem Namen
Knights Landing
firmiert. Die neue
Plattform soll um den
AVX-512-Instruktionssatz
erweitert werden, den wohl künftig
auch herkömmliche Prozessoren von Intel
mitbringen. AVX 512 soll zudem eine
bessere Kompatibilität mit SSE und AVX
bieten. Ob dies auch für die Xeon Phi gilt,
wird sich erst zeigen müssen.
Weit interessanter ist, dass Intel Knights
Landing nicht nur wie bisher als Erweiterungskarte
anbieten will, sondern zusätzlich
als eigenständige Plattform beziehungsweise
als Prozessor. Dies wäre
ein erster Schritt weg von einer Speziallösung
für Hochleistungsrechner mit einem
bestimmten Anwendungsprofil hin zu
einer Lösung für allgemeine Server mit
hochparallelen Anwendungen, zu denen
etwa Webserver zählen.
Komponenten der Xeon-Phi-Technologie
könnten so in Zukunft auch in den Desktopbereich
einfließen, was den Xeon-Phi-
Coprozessor wiederum zu einem Vorboten
für die Rechner im Zeitalter von
Manycore-Systemen macht. (kki) n
Infos
[1] Tianhe-2:
[http:// www. top500. org/ system/ 177999]
[2] Titan von Cray:
[http:// www. top500. org/ system/ 177975]
[3] Technischer Hintergrund zu Polaris:
[http:// cs. anu. edu. au/ student/ comp8320/​
refs/ Intel80core. pdf]
[4] Xeon-Phi-Datenblatt: [http:// www. intel. com/​
content/ dam/ www/ public/ us/ en/ documents/​
product‐briefs/ high‐performance‐xeon‐phi
‐coprocessor‐brief. pdf]
[5] Virtio-Framework von Linux:
[http:// www. linux‐kvm. org/ page/ Virtio]
[6] Proprietäre Compiler von Intel: [http://​
software. intel. com/ en‐us/ intel‐compilers]
[7] Preisspanne der Xeon-Phi-Karte: [http://
www.deltacomputer.de/produkte/gpu/
Intel_Xeon_Phi.shtml]
Xeon Phi 12/2013
Hardware
www.linux-magazin.de
85

Hardware
www.linux-magazin.de Lego EV 3 12/2013
86
Lego Mindstorms setzt auf Linux – bisher nur intern
Linux-Lego
Pünktlich zum Weihnachtsgeschäft bringt Lego die neue Generation EV3 des Roboterbausatzes Mindstorms
auf den Markt. Das neue System ist wesentlich leistungsfähiger als seine Vorgänger, zudem läuft die Kontrolleinheit
auf Linux. Doch im Zusammenspiel mit Linux-PCs offenbart der Baustein Schwächen. Konstantin Agouros
Foto: Markus Feilner
Wer vor Glück weint, dessen erste Träne
quillt angeblich aus dem linken Auge, und
wer aus Gram losschluchzt, dem schlüpft
der erste Tropfen aus dem rechten. Aus
beiden Augen zugleich flennen seit Generationen
all die Kleinkinder los, die
barfuß auf einen Legostein getreten sind.
Aller Fehltritte zum Trotz begeistern die
bunten dänischen Plastikbausteine seit
Jahrzehnten Väter und Kinder, und seit
dem Lego-Produkt Mindstorms rinnt aus
dem linken Auge manches Linux-Nerds
die eine oder andere Freudenträne.
EV3: Zwei Versionen
Die neueste Generation der Mindstorms
liefert Lego in zwei Editionen aus: eine
normale und eine Education-Version für
Schulen samt Ergänzungssatz mit mehr
Bauteilen für größere Modelle. Der normale
Baukasten, den das Linux-Magazin
in diesem Test benutzt, besteht neben
dem programmierbaren Baustein (Brick)
mit Akku aus weit über 500 Lego-Technik-Bauteilen,
zwei großen und einem
kleinen Motor sowie Sensoren, die Abstände
per Infrarot messen, Druck fühlen
und Farben erkennen.
Enthalten ist außerdem auch eine gedruckte
Bauanleitung für einen der fünf
Standardroboter, weitere Dokumentation
wie auch die Bedienungsanleitung für
den EV3 gibt es lediglich online auf der
Lego-Webseite unter [1]. Zusätzlich zu
den PDF-Versionen der Anleitungen bietet
der Hersteller auch noch eine 3-D-
Builder-App an.
Verpackung selbst gemacht
Neben dem Brick, den Motoren, Kabeln
und Sensoren bekommt der Käufer in
dem Set eine stattliche Anzahl verschiedener
Lego-Technik-Bauteile, viele davon
erstaunlich klein. Im Gegensatz zur aufwändigeren
Education-Version hat der
Hersteller diese aber nicht in die praktische
Aufbewahrungsbox mit Fächern
gepackt, sondern nur in Tüten, die den
Hang haben, sich selbst aufzulösen.
Wer viele Modelle bauen will, sollte sich
dringend so etwas wie einen Schrauben-
Aufbewahrungskasten besorgen, der
viele Fächer hat, da er sonst beim Bauen
nach Anleitung schon viel Zeit mit dem
Suchen der richtigen Teile verbringt.
Schlimmstenfalls rollen da auch gerade
die kleinen Steckverbinder davon und
verkrümeln sich staubsaugerfreundlich
in dunkle Ecken.
Um ein Gefühl dafür zu bekommen, was
mit den Teilen an komplizierten Mechaniken
konstruierbar ist, sollte der stolze
Besitzer auf jeden Fall ein paar der Roboter
aus den Anleitungen nachbauen,
bevor er sich zu eigenen Konstruktionen
inspirieren lässt.
Anschalten = Booten
Wer den Brick anschaltet, bemerkt
schnell, dass er ein komplexeres Betriebssystem
bootet beziehungsweise beim
Ausschalten herunterfährt. Das Haupt-

menü der Bedienoberfläche auf dem kleinen
Display zeigt vier Einträge:
n Die zuletzt verwendeten Programme.
n Installierte Programme in den Projektordnern.
n Ein Menü »Steuerung«, über das der
Anwender testen kann, was an den
Ports angeschlossen ist – diese automatische
Erkennung ist eine der
neuen Funktionen gegenüber dem
Vorgängermodell. Im gleichen Menü
steuert er Motoren und liest angeschlossene
Sensoren aus, bedient die
Infrarot-Fernbedienung und erstellt
einfache Programme.
n Den Menüpunkt »Einstellungen«, in
dem sich Lautstärke und automatische
Abschaltzeit regeln sowie Bluetooth
und WLAN aktivieren und konfigurieren
lassen.
Ein vielbeachteter Artikel in der deutschen
Wochenzeitung „Die Zeit“ [2]
kritisierte unter der Überschrift „Lego
Mindstorms ist kein Kinderspielzeug“
unter anderem, die Benutzerführung sei
viel zu umständlich. Doch der 6-jährige
Sohn des Linux-Magazin-Autors würde
dem widersprechen: Schon nach kurzem
Spielen wusste er, wie EV3 Programme
startet und wie er den Brick hoch- und
wieder herunterfährt.
Düster: Display und WLAN
Tabelle 1: Ev3 und sein Vorgänger im Vergleich
EV3
Was dagegen wirklich nervt, ist das recht
schwache Display des Brick: Wer wenig
Licht hat, wird sich schwertun, es zu
lesen. Dazu kommt, dass das WLAN nur
mit einem externen Adapter funktioniert.
Den gibt’s zwar bei Lego, allerdings hat
sich in diversen Foren schon herumgesprochen,
dass es sich dabei um einen
Netgear WNA 1100 handelt, der im einschlägigen
Elektrohandel deutlich günstiger
zu erwerben wäre als die von Lego
vertriebene Version. Überhaupt ist nicht
nachvollziehbar, warum Lego hier offensichtlich
nur eine einzige USB-ID akzeptiert.
Ein TP-Link-Dongle, der genau den
gleichen Chip und Treiber benutzt, funktionierte
im Test nicht.
Linux nur teilweise
In den Einstellungen des Displays findet
sich auch die Information über die Firmware:
Nur an einer einzigen Stelle wird
sichtbar, dass in dem Brick Linux läuft
(Abbildung 1). In Sachen Hardware weiß
der neue Controller durchaus zu überzeugen,
der mit einer leistungsfähigeren CPU
und mehr Hauptspeicher ausgestattet ist
als sein Vorgänger Mindstorms NXT 2.0
(Tabelle 1). Der USB-Hostmodus, der unter
anderem den Anschluss des WLAN-
Display Monochrom-LCD mit 178 x 128 Pixel Monochrom-LCD mit 100 x 64 Pixel
Prozessor ARM9, 300 MHz Atmel ARM7TDMI, 48 MHz
Speicher
64 MByte RAM, 16 MByte Flash, 64 KByte RAM, 256 KByte Flash
Micro-SDHC-Slot
USB-Host ja ja
WLAN Optional, über USB nein
Bluetooth ja ja
Steuerung über Apps ja, Android und I-OS nein
Preis ab 350 Euro ab 200 Euro
Abbildung 1: Das Display des Brick (in der Mitte des Roboter-Corpus) mit dem Hauptmenü fällt zwar recht
dunkel aus, offenbart aber als einzige Stelle des Systems die Linux-Natur der Hardware.
NXT
Dongle erlaubt, ist ebenso neu wie die
Möglichkeit, eine Micro-SD-Karte für weitere
Programme einzustecken.
Ebenfalls nur auf der Webseite findet der
Roboterfan die Labview-Software fürs
grafische Programmieren (Abbildung
2). Leider existiert sie bisher nur für
OS X und Windows-Systeme. Ein wenig
Stöbern im Installationsverzeichnis der
Software auf einem Mac lässt jedoch den
Verdacht aufkommen, dass sie dort innerhalb
einer Mono-Umgebung läuft. Die
Chancen, sie auch auf Linux zum Laufen
zu bekommen, stehen also theoretisch
nicht schlecht.
Neben der grafischen Entwicklungsumgebung
nennt die FAQ auf der Lego-Webseite
auch die kommerzielle Entwicklungsumgebung
Robot C [3]. Mit der lassen
sich auch Programme für Plattformen
wie Arduino entwickeln. Der Haken: Die
Webseite des Herstellers spricht derzeit
nur von Unterstützung für den Vorgänger
Mindstorms NXT, außerdem steht die
Software wiederum nur für Windows zur
Verfügung.
Community
Bei den NXT-Bricks hat die überaus große
Fangemeinde es möglich gemacht, von
Linux aus Programme auf dem Brick zu
starten. Die Projekte haben zwar allesamt
EV3-Support angekündigt, aber zum Re-
Lego EV 3 12/2013
Hardware
www.linux-magazin.de
87

Hardware
www.linux-magazin.de Lego EV 3 12/2013
88
Abbildung 2: Läuft der 3-D-Designer Labview auf Mono? Die Dateien hinter dem schicken GUI geben Anlass zu
dieser Annahme. Dann könnte die Software früher oder später doch auf Linux kommen.
daktionsschluss war der noch nirgends
verfügbar. Nur der WLAN-Zugang lässt
sich erfolgreich zur Kommunikation und
Steuerung verwenden [4].
Vermisst: Java
Auch der Hersteller wünscht sich in der
FAQ-Liste, die Mindstorms-Community
möge aktiv zusätzliche Sprachen auf die
Geräte bringen – „beispielsweise Java“.
Der Wunsch könnte in Erfüllung gehen:
Weil die Firmware auf Linux aufbaut,
kann sich der Fan auch seine eigene
bauen. Unter [5] findet er eine Anleitung,
wo und wie er den Code herunter-
Abbildung 3: Für Android und I-OS
verfügbar: Eine spacige Fernsteuerung
über drahtlose Netzwerke als
Smartphone-App.
laden kann. Allerdings ist dies weder eine
offizielle Lego-Seite, noch findet sich auf
Mindstorms-Seiten ein Verweis auf die
Quellen. Hier ist wohl beim Hersteller
ein bisschen Nachholbedarf beim Umgang
mit freier Software unter der GPL zu
erkennen – vielleicht noch bevor Harald
Welte darauf aufmerksam wird.
Smarte Apps für die
3-D-Programmierung
Natürlich bietet Lego im Zeitalter, in dem
alle mit dem Handy spielen, auch zwei
Apps für Android und I-OS an. Der Mindstorms
Robot Commander erlaubt es, via
Bluetooth oder WLAN
Roboter fernzusteuern
(Abbildung 3). Der
Mindstorms 3D Builder
ist eine animierte
Bauanleitung der fünf
Standardroboter des
Bausatzes.
Statt der bei Lego
üblichen bebilderten
Anleitungen ist dies
eine 3-D-Animation,
in die der Anwender
hineinzoomt und die
Anleitungen rotiert.
Das ist gerade bei
komplexeren Modellen
von Vorteil, bei denen
nur bedingt sichtbar
Abbildung 4: In der Konstruktions-
App sind Zoomen und Rotieren
notwendig, um die Bauanleitungen
nachzuvollziehen.
ist, in welches Loch ein Verbindungsstück
gehört. Abbildung 4 zeigt so einen
Screenshot.
Teuer und noch wenig Linux,
aber fesselnd
Die neue Version von Mindstorms ist
eine fesselnde Freizeitbeschäftigung für
Kinder und jung gebliebene Erwachsene.
Die grafische Programmierumgebung
eignet sich gerade für Jugendliche als
Einstieg in Basics wie If-Abfragen und
Schleifenkonstrukte. Dass dabei ein im
wörtlichen Sinne begreifbares Ergebnis
herauskommt, macht den Einstieg lohnender
als jedes Programm, das nur im
abstrakten Hauptspeicher abläuft.
Doch Lego verlangt mit 349 Euro laut
Liste für den Standardkasten einen stolzen
Preis. Bei ernsthaftem Interesse sollten
Fans gleich die Education-Variante
in Betracht ziehen, die mit dem Ergänzungssatz
mehr Möglichkeiten und Komfort
bietet, aber auch mehr kostet.
Linux-Nutzer müssen sich gedulden, bis
sie die neuen Bricks programmieren können
– oder selbst Hand anlegen. Erste Betas
der Bricx-Software, die EV3-Support
ankündigt, sind schon aufgetaucht, allerdings
nur in Form von Windows-Binaries.
Doch wird die Open-Source-Community
sicher nachziehen. (mfe)
n
Infos
[1] EV3: [http:// www. lego. com/ mindstorms]
[2] „Zeit Online“ über EV3: [http://​
www. zeit. de/ digital/ games/ 2013‐09/​
lego‐mindstorms‐ev3]
[3] Robot C: [http:// www. robotc. net]
[4] Wifi-Connection mit EV3: [http:// www.​
monobrick. dk/ guides/ how‐to‐establish
‐a‐wifi‐connection‐with‐the‐ev3‐brick/]
[5] Sourcecode für EV3: [http:// botbench.​
com/ blog/ 2013/ 07/ 31/ lego‐mindstorms
‐ev3‐source‐code‐available/]
Der Autor
Konstantin Agouros arbeitet
bei der N.runs Professionals
GmbH als Berater für Netzwerksicherheit.
Dabei liegt
sein Schwerpunkt im Bereich
der Mobilfunknetze.
Sein Buch „DNS/​DHCP“ ist bei Opensource Press
erschienen.

Know-how
www.linux-magazin.de Kern-Technik 12/2013
90
Kernel- und Treiberprogrammierung mit dem Linux-Kernel – Folge 71
Kern-Technik
Mit dem flexiblen Bootloader U-Boot, einem Tftp-Server, angepasstem Kernel und Userland sowie etwas Konfiguration
booten eingebettete Systeme wie der Raspberry Pi vom Netz. Jürgen Quade, Eva-Katharina Kunst
© psdesign1, Fotolia
71
Der mitgelieferte Bootloader des Raspberry
Pi hat einen großen Nachteil: Er
kann nur Dateien von der ersten Partition
der SD-Karte laden, zudem muss diese
mit einem FAT-32-Dateisystem formatiert
sein. Für die meisten Fälle scheint das
ausreichend, für Entwickler aber, die mit
Kernel oder Root-Filesystem experimentieren,
ist es zu umständlich. Das hängt
mit der Host-Target-Entwicklung zusammen:
Dabei übersetzt der Entwickler etwa
einen neuen Kernel auf seinem Arbeitsrechner
(Host), den er dann irgendwie
auf die Bootpartition des Rasp berry Pi
(Target) bringen muss.
Läuft auf dem Raspberry Pi bereits ein
Linux und ist die Himbeere per LAN-Kabel
im Netzwerk erreichbar, kann das sehr
einfach per »scp« oder »netcat« erfolgen.
Ist der kopierte Kernel aber fehlerhaft,
bleibt spätestens nach dem nächsten Reboot
nur noch der Transfer über die SD-
Karte. Konkret: SD-
Karte aus dem Raspberry
Pi, SD-Karte in
den Entwicklungsrechner,
Boot partition
einhängen (erfolgt oft
automatisch), funktionstüchtigen
Kernel
auf die Bootpartition
kopieren, Bootpartition
aushängen, SD-
Karte entfernen und
in den Raspberry Pi
einstecken. Da muss
es doch etwas Besseres
geben!
Moderne Bootloader,
etwa der in der Embedded-Branche
verbreitete
Loader „Das
U-Boot“ [1], bieten
den Systemstart vom
Netzwerk an. Das mit dem U-Boot ausgestattete
Gerät initialisiert direkt nach dem
Einschalten sein Netzwerk, lässt sich per
DHCP eine Adresse geben, sucht einen
Tftp-Server, der den zu bootenden Kernel
hostet, und holt sich von diesem den
Betriebssystemkern. Man kann sogar das
Root-Filesystem laden lassen, doch dazu
später mehr.
Leider lässt sich der Bootloader des Raspberry
Pi nicht einfach gegen das U-Boot
austauschen. Aber der findige Anwender
bedient sich eines Tricks: Er konfiguriert
den Original-Bootloader so, dass er
nicht wie üblich den Linux-Kernel in den
Hauptspeicher lädt, sondern stattdessen
DELUG-DVD
DELUG-DVD
Die Delug-DVD zu diesem Magazin
enthält ein angepasstes U-Boot, Tools
und eine Bootpartition für den Raspberry Pi.
U-Boot (Abbildung 1). Das beschleunigt
zwar nicht gerade den normalen Bootprozess,
bringt aber im Gegenzug Features
wie Netzwerkboot oder die Auswahl aus
verschiedenen Kerneln oder Root-Filesystemen
beim Booten.
Aus der Quelle
Um dies zu realisieren, benötigt man U-
Boot für den Raspberry Pi. Im Netz findet
sich der Bootloader aber zunächst nur im
Quellcode, der zum einen für den Raspberry
Pi cross-kompiliert, zum anderen
aber zusätzlich mit einem Header versehen
werden muss, damit ihn der normale
Bootloader des Raspberry Pi überhaupt
laden kann. Deshalb haben die Autoren
eine lauffähige Version generiert, die auf
der Delug-DVD dieses Magazins sowie
unter [2] als Tar-File bereitsteht. Dieses
rund 40 MByte große Archiv enthält noch
weitere Dateien, die dem Leser einige
aufwändige Generierungsschritte ersparen
(siehe Tabelle 1).
Für den ganz Neugierigen liegt sogar das
Image einer Raspberry-Pi-Bootpartition
mit U-Boot, einem Kernel, einem Initram-
FS und der benötigten Konfiguration bei.
Das braucht er nur per »dd« auf die erste
Partition einer SD-Karte zu schreiben, um
den modifizierten Bootvorgang testen zu
können. Wer dagegen den Bootloader
selbst erzeugen und dabei möglicherweise
anders konfigurieren oder erweitern
möchte, findet eine Anleitung dazu
im Kasten „U-Boot für den Raspberry
Pi übersetzen“.
Ob selbst kompiliert oder in der Version
des Linux-Magazins: Der mit dem Header
versehene Bootloader »u‐boot.img«
wandert im nächsten Schritt auf die SD-
Karte. Auch hier gibt es mehrere Wege.
Der wohl einfachste besteht darin, die auf

einer SD-Karte vorhandene
Installation
eines Rasp bian zu modifizieren
[4] und das
U-Boot-Image anstelle
der Datei »kernel.img«
auf die Bootpartition
der SD-Karte zu kopieren.
Etwas übersichtlicher
ist es allerdings, nicht
einfach plump »kernel.
img« mit »u‐boot.img«
zu überschreiben, sondern
»u‐boot.img« zusätzlich
auf die Karte
zu packen und dann die ebenfalls auf der
Bootpartition zu findende Datei »config.
txt« um die Zeile »kernel=u‐boot.img«
zu ergänzen.
Ist die Bootpartition der SD-Karte auf
dem Host unter dem Verzeichnis »/media/boot/«
eingehängt, geht das mit den
folgenden beiden Befehlen:
cp kernel.img /media/boot/u‐boot.img
echo "kernel=u‐boot.img"U
>>/media/boot/config.txt
»bootcode.bin«
»start.elf«
»kernel.img«
Nach der Installation des Bootloaders ist
die Zeit für den ersten Probelauf gekommen.
Steckt man die präparierte SD-Karte
in den Raspberry Pi und versorgt den
Mini-Computer mit Strom, bootet U-Boot
in einen Shellprompt (siehe Tabelle 2
„Wichtige U-Boot Kommandos“). Die
Tabelle 1: Dateien in [2]
Raspberry Pi
Standard-Bootloader
Linux-Kernel
»uImage«
dabei erscheinenden Bootmeldungen
sind in Abbildung 3 zu sehen.
Kein USB-Keyboard
U-Boot
»u-boot.img«
Abbildung 1: Bootsequenz des Raspberry Pi mit untergeschobenem U-Boot.
Wer versucht mit einer angesteckten
USB-Tastatur Kommandos aufzurufen,
wird allerdings enttäuscht: Kommandos
nimmt der Bootloader in der vorliegenden
Konfiguration nur über eine serielle
Schnittstelle entgegen, über die U-Boot
seine Meldungen auch ausgibt. Wer über
die serielle Schnittstelle das Kommando
»fatls mmc 0« eintippt, bekommt alle auf
der ersten Partition der SD-Karte abgelegten
Dateien angezeigt. Auf das Kommando
»dhcp« holt sich die über Ethernet
angeschlossene Himbeere von einem im
Netzwerk vorhandenen DHCP-Server
Objektname Funktion Schritt in Abbildung 2
mkimage.32, mkimage.64
mkimage/​imagetool-uncompressed.py
Generator der U-Boot-Meta-
Information
Generator für die RPI-Meta-
Information
u-boot.img Einsatzbereiter Bootloader 4
boot.txt
U-Boot-Befehle zum Booten 5
vom Flash
boot.scr
U-Boot-Skript zum Booten vom 5
Flash
boot-net.txt
U-Boot-Befehle zum Netzwerk- 5
Boot des Kernels
boot-initramfs.txt
U-Boot-Befehle zum Netzwerk- 5
Boot (Kernel und Initram-FS)
uImage Präparierter Linux-Kernel 7
initramfs.uboot Schlankes Initram-FS 8
boot.dd
Image einer Bootpartition,
Installation auf eine bereits
partitionierte SD-Karte per
»dd if=boot.dd of=/dev/sdX1«
1
3
eine IP-Adresse. Ansonsten kann man
eine lokale Adresse mit »set env ipaddr
IP‐Adresse« einstellen.
Weniger erfolgreich dürfte jedoch der
Versuch ablaufen, einen per »fatload
mmc 0 00200000 kernel.img« in den
Hauptspeicher geladenen Kernel über
das Kommando »bootm« zu starten. Das
hängt damit zusammen, dass nicht nur
der hauseigene Bootloader, sondern auch
U-Boot für die zu ladenden Dateien einen
speziellen Header benötigt.
Wie es für den Pi-Bootloader ein entsprechendes
Programm für das Schreiben
der Meta-Informationen gibt, bringt auch
U-Boot in seinem Quellcode mit »mkimage«
ein solches Tool mit. Wer U-Boot
selbst kompiliert hat, findet »mkimage«
im U-Boot-Quellcodeverzeichnis unter
»u‐boot‐pi/tools/mkimage«. Eine fertige
Version sowohl für 32 als auch für 64 Bit
gibt es auch unter [2].
Das Kommando in Listing 1 generiert die
notwendige Headerinformation für den
von Raspbian mitgelieferten Kernel (auf
einer mit Raspbian installierten SD-Karte
die Datei »kernel.img«).
q
w
e
r
t
y
u
i
o
U-Boot-Quellcode herunterladen,
konfigurieren, kompilieren
U-Boot-Programm »mkimage« in die
Cross-Entwicklungs-Toolchain kopieren
»Imagetool-uncompressed.py« zum
Erzeugen von Raspberry-Pi-Bootloader-
Headern herunterladen
»u-boot.bin« mit Raspberry-Pi-Header
versehen
(»imagetool-uncompressed.py«)
Bootbefehle in Textdatei schreiben;
mit »mkimage« eine U-Boot-Skriptdatei
erzeugen
U-Boot auf die Bootpartition installieren:
Raspian installieren
»u-boot.img« und »boot.scr« kopieren
»config.txt« anpassen
Existierenden Kernel mit U-Boot-Meta-Informationen
versehen (»mkimage«) oder
Kernel als »uImage« generieren
»make uImage ARCH=...CROSS_COMPILE=...«
Kernel (evtl. Initram-FS)
auf Tftp-Server ablegen
Raspberry Pi mit LAN-Kabel verbinden
und rebooten
Abbildung 2: Neun Schritte sind erforderlich, um
den Raspberry Pi auf Netzwerkboot umzurüsten.
Kern-Technik 12/2013
Know-how
www.linux-magazin.de
91

Know-how
www.linux-magazin.de Kern-Technik 12/2013
92
Wer den Kernel ohnehin selbst generiert,
wie beispielsweise in [3] beschrieben,
der kopiert als Root »mkimage« in das
Verzeichnis der Cross-Toolchain und ergänzt
den Programmnamen noch durch
den Namensvorsatz der Toolchain. Bei
der Toolchain von Ubuntu 12.04 beispielsweise
ruft er »cp mkimage /usr/
bin/arm‐linux‐gnueabi‐mkimage« auf.
Danach gibt er im Quellcodeverzeichnis
des Linux-Kernels das Kommando
make uImage ARCH=armU
CROSS_COMPILE=arm‐linux‐gnueabiein.
Das Kernel-Buildsystem generiert jetzt
nicht nur den Kernel, sondern versieht ihn
auch direkt mit den Meta-Informationen
für U-Boot. Das erspart das separate Aufrufen
von »mkimage«.
Aufgetaucht
Im ersten Test bootet U-Boot in einen
Prompt, der über die serielle Schnittstelle
Kommandos entgegennimmt. Damit der
Bootloader ohne Interaktion den präparierten
Kernel lädt, ist noch ein weiteres
01 echo "Loading uImage..."
02 fatload mmc 0:1 00200000 uImage
03 bootm 00200000
Abbildung 3: U-Boot auf dem Raspberry Pi meldet
sich auf der seriellen Konsole.
Listing 1: »mkimage«-Aufruf
01 $ mkimage ‐A arm ‐O linux ‐C none ‐T kernel \
02 ‐a 0x00008000 ‐e 0x00008000 ‐n "linux‐kernel" ‐d
kernel.img uImage
03 Image Name: linux‐kernel
04 Created: Thu Oct 3 16:45:13 2013
05 Image Type: ARM Linux Kernel Image (uncompressed)
06 Data Size: 2802568 Bytes = 2736.88 kB = 2.67 MB
07 Load Address: 00008000
08 Entry Point: 00008000
Listing 2: Texteingabe für U-Boot-
Skript »boot.txt«
U-Boot-Skript erforderlich. Es schiebt per
»fatload« zunächst einmal den Kernel von
der SD-Karte in den Hauptspeicher (an
Adresse 0x00200000) und startet ihn danach
per »bootm« (Listing 2).
Um ein lauffähiges U-Boot Skript zu bekommen,
schreibt man die Kommandos
in eine Textdatei (»boot.txt«) und versieht
sie per »mkimage« mit der notwendigen
Meta-Information. Das so präparierte
Skript findet unter dem Namen »boot.
scr« ebenfalls seinen Platz auf der Bootpartition
der SD-Karte:
# mkimage ‐A arm ‐O linux ‐T scriptU
‐C none ‐d boot.txt boot.scr
Tabelle 2: Wichtige U-Boot-Kommandos
Kommando
help Kommando
fatls mmc 0
fatload mmc 0 Speicheradresse
Datei
usb start
bootm Speicheradresse
Initramfs Devicetree
dhcp Speicheradresse IP-
Adresse:Bootfile
tftpboot Speicheradresse
IP-Adresse:Bootfile
reset
Bedeutung
Auf der Bootpartition müssen sich damit
mindestens die folgenden Dateien befinden
(Abbildung 5):
n »bootcode.bin«
n »start.elf«
n »uImage«
n »boot.scr«
n »u‐boot.img«
n »config.txt«
Damit bootet Raspbian wie gehabt, sieht
man einmal von dem Zwischenschritt
U-Boot ab. Wer mit dem Raspberry Pi
per serieller Schnittstelle Verbindung hat,
kann den Bootprozess anhalten. Gibt es
alternative Kernel, kann er nun diese ausprobieren.
Besonders interessant ist es jedoch, den
Kernel über das Netzwerk zu laden. Das
erfordert einen Tftp-Server, der die Dateien
vorhält. Viele DHCP-Server, beispielsweise
eine Fritzbox, bieten auch
Tftp-Dienste an. Da man dort aber nicht
so einfach Dateien ablegen kann, ist
es sinnvoll, neben einem vorhandenen
DHCP-Server einen eigenen Tftp-Server
auf dem lokalen Entwicklungssystem zu
installieren.
Als Tftp-Server bietet sich unter Ubuntu
»tftpd‐hpa« an, der in Version 12.04 mit
»sudo apt‐get install tftpd‐hpa« rasch installiert
ist. Der Server stellt die Dateien
aus dem Verzeichnis »/var/lib/tftpboot/«
im Netzwerk zur Verfügung. Allerdings
gibt es bei der installierten Version einen
Bug: Nach einem Reboot startet der Server
nicht korrekt, der Ubuntu-Anwender
muss ihn daher händisch per »sudo service
tftpd‐hpa restart« anschubsen.
Ins Netz gegangen
Damit U-Boot den richtigen Tftp-Server
wählt, benötigt man dessen IP-Adresse,
die beispielsweise auf dem lokalen Entwicklungssystem
per »ifconfig« zu erfahren
ist. Mit diesen Informationen lässt
sich das U-Boot-Skript »boot‐net.txt«
schreiben:
usb start
dhcp 00200000 IP‐Adresse :uImage
bootm 00200000
Dabei ist die IP-Adresse des Tftp-Servers
einzusetzen, in vielen Fällen also die
IP-Adresse des Entwicklungsrechners.
Die Skriptbefehle gehören wieder in eine
Ohne Option werden die zur Verfügung stehenden Kommandos
gelistet (Abbildung 4). Ansonsten gibt es eine Kurzhilfe zu »Kommando«.
Listet den Inhalt auf der ersten Partition der ersten SD-Karte
(»mmc«) auf.
Lädt »Datei« von der ersten Partition des Geräts »mmc« an die
»Speicheradresse«.
Initialisierung des USB-Stacks (notwendig, um Zugriff auf das
Netzwerk zu bekommen).
Bootet das Image an der »Speicheradresse«. Falls »Initramfs«
angegeben ist, wird dem Kernel dessen Adresse übergeben. Falls
sich im Speicher der »Devicetree« befindet, wird auch dessen
Adresse übergeben.
Lässt sich per DHCP eine IP-Adresse zuweisen und lädt danach
vom Tftp-Server mit »IP-Adresse« die Datei »Bootfile« an die
»Speicheradresse«.
Lädt die Datei »Bootfile« vom Tftp-Server mit der »IP-Adresse«
an die »Speicheradresse«.
Neustart

MBR
/dev/sdX1 (FAT 32) /dev/sdX2 (Ext 2/Ext 4)
Pi-Bootloader:
bootcode.bin
start.elf
config.txt
U-Boot:
u-boot.img
boot.scr
Linux-Kernel:
uImage
Root-Dateisystem:
/bin/
/etc/
/sbin/
/usr/
/dev/
/home/
/var/
/proc/
/tmp/
[...]
Kern-Technik 12/2013
Know-how
www.linux-magazin.de
93
Abbildung 4: Booten zum Prompt: Per serieller Schnittstelle lässt sich das
U-Boot interaktiv kommandieren.
Abbildung 5: Diese Dateien auf der SD-Karte sind am Bootvorgang beteiligt.
Textdatei geschrieben, per »mkimage« mit
der notwendigen Meta-Information versehen
und schließlich auf der SD-Karte
abgelegt. Wenn jetzt noch der Kernel unter
dem Namen »uImage« auf dem Tftp-
Server liegt und der Raspberry Pi per
LAN-Kabel am Netzwerk angeschlossen
ist, steht dem ersten Netzwerkboot nichts
mehr entgegen. Einmal eingerichtet ist
die Anwendung einfach. Um einen neuen
Kernel auszuprobieren, legt man diesen
einfach mit dem Namen »uImage« in das
Verzeichnis »/var/lib/tftpboot/«. Beim
nächsten Booten holt sich die Himbeere
den Kernel, legt ihn in den Hauptspeicher
und startet ihn.
Besonders interessant ist diese Technik,
wenn der Benutzer nicht nur den Kernel,

Know-how
www.linux-magazin.de Kern-Technik 12/2013
94
01 usb start
sondern auch das Userland per Netzwerk
lädt. Linux bietet mit der Technologie
Initram-FS [5] die Möglichkeit, einen Teil
des Hauptspeichers als eine Art Ramdisk
zu verwenden, in der sich die zum
Betrieb notwendigen Verzeichnisse und
Dateien befinden. Dieses Verfahren wird
vor allem für eingebettete System eingesetzt
und bringt einige Vorteile: Mit jedem
Neustart liegt ein konsistentes Filesystem
vor, auch wenn dem System mal
der Strom abgeschaltet wurde, ohne es
sauber herunterzufahren. Ein Filesystem-
Check ist daher unnötig.
Alles im Speicher
Das System lässt sich einfach durch Austausch
der zugehörigen Imagedatei aktualisieren,
der Zugriff ist sehr schnell, da
die Daten alle im Hauptspeicher liegen.
Das typischerweise schlanke Initram-FS
bootet deutlich schneller als ein ausgewachsenes
Userland von Raspbian. Al-
02 dhcp 00200000 192.168.178.25:uImage
03 tftpboot 00f00000 192.168.178.25:initramfs.uboot
04 bootm 00200000 00f00000
01 mkdir ~/linux‐magazin
02 cd ~/linux‐magazin
Listing 3: U-Kernel und Initram-FS
laden
Listing 4: Generieren einer Cross-
Toolchain
03 wget http://www.buildroot.net/downloads/
buildroot‐2013.08.1.tar.bz2
04 tar xvf buildroot‐2013.08.1.bz2
05 cd buildroot‐2013.08.1
06 make rpi_defconfig
07 make toolchain
01 cd ~/linux‐magazin
02 git clone git://github.com/gonzoua/u‐boot‐pi
03 cd u‐boot‐pi
Listing 5: Generieren von U-Boot
04 export CROSS_COMPILE=arm‐linux‐
05 PATH=$PATH:~/linux‐magazin/buildroot‐2013.08.1/
output/host/usr/bin/
06 make rpi_b_config
07 make rpi_b
08 cd ..
09 git clone http://github.com/raspberrypi/tools
10 cd tools/mkimage/
11 ./imagetool‐uncompressed.py ../../u‐boot‐pi/
u‐boot.bin
12 cp kernel.img ~/linux‐magazin/
lerdings befinden sich Änderungen im
Userland zunächst nur im RAM, gehen
also beim nächsten Reboot ohne weitere
Maßnahmen verloren.
Um ein Initram-FS zu nutzen, muss der
Anwender den Kernel passend konfigurieren.
Dazu aktiviert er in der Kernelkonfiguration
mit »make menuconfig«
den Punkt »General setup | Initial RAM
filesystem and RAM disk (initramfs/initrd)
support«. Danach übersetzt er den
Kernel und legt ihn auf den Tftp-Server:
make uImage ARCH=arm CROSS_COMPILE=U
arm‐linux‐gnueabicp
arch/arm/boot/uImage /var/lib/tftpboot/
Daneben ist das Initram-FS als solches
erforderlich. Der Einfachheit halber gibt
es auf der Delug-DVD und dem Server
des Linux-Magazins ein schlankes Initram-FS,
das sich für Tests eignet [2].
Der Benutzer kann sich darauf mit dem
Passwort »root« als Root anmelden. Viele
Befehle sind allerdings nicht eingebaut,
denn es dient hauptsächlich zur Demonstration
des Bootprozesses.
Jetzt fehlt nur noch das U-Boot-Skript
»boot‐initramfs.txt«. Unter der Voraussetzung,
dass der Tftp-Server die IP-Adresse
192.168.178.25 hat, sieht es aus wie in
Listing 3. Das Kommando »mkimage«
macht aus der Textdatei das lauffähige
Skript. Das Initram-FS wird im Speicher
des Raspberry Pi an die hexadezimale
Adresse 00f00000 gelegt, um dann beim
U-Boot für den Raspberry Pi übersetzen
Booten vom Kernel an einen geeigneten
Platz verschoben zu werden.
Einmaliger Aufwand
Zugegebenermaßen ist anfänglich etwas
Aufwand zu treiben, um den Raspberry
Pi vom Netzwerk sowohl Kernel als auch
Initram-FS holen zu lassen. Es lohnt sich
aber: Einmal eingerichtet spart das Booten
vom Netz viel Zeit. (mhu) n
Infos
[1] Das U-Boot:
[http:// www. denx. de/ wiki/ U‐Boot]
[2] Listings und Dateien zum Artikel:
[http:// www. linux‐magazin. de/ static/​
listings/ magazin/ 2013/ 12/ kern‐technik/]
[3] Quade, Kunst: „Kern-Technik – Folge 69“:
Linux-Magazin 08/​13, S. 86
[4] Raspbian: [http:// www. raspbian. org]
[5] Quade, Kunst: „Kern-Technik – Folge 39“:
Linux-Magazin 05/​08, S. 98
[6] Buildroot: [http:// buildroot. uclibc. org]
[7] Quade, Kunst, „Kern-Technik – Folge 59“:
Linux-Magazin 11/​11, S. 96
Die Autoren
Eva-Katharina Kunst, Journalistin, und Jürgen
Quade, Professor an der Hochschule Niederrhein,
sind seit den Anfängen von Linux Fans von Open
Source. In der Zwischenzeit ist die dritte Auflage
ihres Buches „Linux Treiber entwickeln“
erschienen.
Die Standardversion von U-Boot bietet zwar
Unterstützung für den Raspberry Pi, sie funktioniert
aber nicht out of the Box. Insbesondere
macht sie noch Probleme mit USB und damit
auch der Netzwerkfunktionalität. Glücklicherweise
findet sich aber eine gepatchte Version
unter [http:// github. com/ gonzoua/ u‐boot‐pi].
Deren Quellcode lässt sich per »git clone« auf
den Entwicklungsrechner holen.
Um aus dem Quellcode ein auf dem Raspberry
Pi lauffähiges Programm zu generieren, ist ein
Cross-Compiler erforderlich. Ubuntu 12.04 hat
zwar standardmäßig einen ARM-Cross-Compiler
im Paketarchiv, doch der taugt für diesen
Zweck nicht. Daher muss der Pi-Besitzer eine
eigene Toolchain installieren.
Vergleichsweise einfach geht das mit dem Systembuilder
Buildroot (siehe [6], [7]). Wer
unter Ubuntu 12.04 die in Listing 4 abgedruckten
Kommandos eingibt, der hat anschließend
unterhalb von »~/linux‐magazin/« – im Verzeichnis
»buildroot‐2013.08.01/output/host/
usr/bin/« – die Programme der Cross-Toolchain
liegen.
Listing 5 zeigt die Kommandos, die erforderlich
sind, um den U-Boot-Quellcode zu laden, die
Pfadvariable anzupassen (damit der Cross-
Compiler zu finden ist) und den Bootloader
zu konfigurieren, zu generieren sowie mit einem
Header zu versehen. Dieser Header ist
notwendig, da der hauseigene Bootloader
des Raspberry Pi zum Laden des alternativen
Bootloaders Meta-Informationen benötigt, beispielsweise
die Adresse, ab der der Bootloader
in den Speicher geladen werden soll.
Das Programm »imagetool‐uncompressed.py«
verknüpft diese Informationen mit dem selbst
übersetzten U-Boot-Binary. Listing 5 kopiert
das Ergebnis (»kernel.img«) in das Verzeichnis
»~/linux‐magazin«, um es leichter zu finden.
So lässt sich U-Boot auf der SD-Karte quasi
anstelle des Linux-Kernels installieren.

Know-how
www.linux-magazin.de Web-RTC-Hack 12/2013
96
Sicherheitsrisiken in HTML-5-Websockets
Hintertür im LAN
Ein Artikel im Linux-Magazin 08/​13 brachte einen Magazin-Autor auf die Idee, Web RTC genauer unter die Lupe
zu nehmen. Heraus kamen gravierende Sicherheitslücken, die offensichtlich so gewollt sind. Konstantin Agouros
© tlorna, 123RF.com
Am Anfang sollte es nur ein kleines Experiment
sein, um der Web-RTC-Technologie,
die der Linux-Magazin-Artikel [1]
vorstellte, mit einem System aus Tomcat
7, Javascript und Apache mal aus Sicherheitsaspekten
auf den Zahn zu fühlen.
Schnell zeigte sich Überraschendes: Auch
wenn die Javascript-Dateien auf einem
separaten Apache-Server lagen, also nicht
auf dem Tomcat Application Server, kam
die Websocket-Verbindung zustande – ein
klarer Verstoß gegen die Same Origin Policy.
Die besagt nämlich, dass Javascript
nur Verbindungen zu jenem Server erlaubt,
von dem das Skript stammt. Doch
die meisten gängigen Browser ignorieren
diese Vorgabe – absichtlich und mit dem
Segen der Hersteller.
Ein simpler Host- und
Portscanner
Das jedoch lässt sich sehr leicht von böswilligen
Angreifern ausnutzen: Fürs erste
Beispiel dient die Idee, einen Host- und
Portscanner zu implementieren. Versucht
der Browser mit der Websocket-Connect-
Methode eine Verbindung aufzubauen,
sind folgende Fehlerfälle möglich:
n Der Host ist nicht erreichbar.
n Der Host ist zwar erreichbar, aber auf
dem angesprochenen Port lauscht kein
Dienst.
n Auf dem angesprochenen Host und
Port lauscht zwar ein Dienst, aber kein
Webserver.
n Es lauscht zwar ein Webserver, aber
dieser versteht das Websocket-Protokoll
nicht.
n Der Zugriff wird durch den Webserver
oder den Webproxy verboten.
Manchmal lässt die Fehlermeldung, die
der Aufruf zurückgibt, Rückschlüsse darauf
zu, was am anderen Ende der Verbindung
geschieht. Mit einer geeigneten
Anzahl von Tests könnte ein Angreifer
herausfinden, welche Ports und Hosts
auf dem Zielsystem ansprechbar sind.
Dazu bringt er sein Opfer dazu, den Code
in den Browser zu laden. Dieser scannt
dann das lokale Netz und lädt die Ergebnisse
zum Angreifer hoch.
Leider unterschieden sich im Test die
Fehlercodes, die der Client in den fünf
Fällen ausgab, nicht immer: Nur wenn
der Verbindungsaufbau in einen Timeout
lief, ließ sich das anhand der entstehenden
Verzögerung erkennen.
Misst das Programm die Zeit zwischen
dem Auslösen der Anfrage und dem Eintreffen
der Antwort oder des Fehlers, kann
der Angreifer zwischen erreichbaren und
nicht erreichbaren Hosts unterscheiden.
Allerdings darf er diese Technik nicht
zu schnell hintereinander für denselben
Host anwenden, da sonst die IP-Adresse
in der lokalen ARP-Tabelle als nicht erreichbar
markiert ist und der Fehlerfall
deshalb sofort eintritt.
Ebenfalls Vorsicht ist geboten, wenn die
Verbindungen über Proxys laufen – dann
gelten die gemessenen Zeiten relativ zum
Proxy, nicht zum Client. In allen anderen
Fällen wird der Versuch schlicht erfolgreich
oder nicht erfolgreich beendet,
mehr oder weniger unmittelbar und ohne
Anzeichen einer Ursache.
Ein schneller Test zeigt den
Fehler
Am einfachsten lässt sich die Fehlerart
über einen Event Handler erkennen.
Listing 1 zeigt ein einfaches Beispiel, in
dem der Code sequenziell scannt. Das
Codefragment holt sich über die Methode
»getNextIP()« die nächste zu scannende
Adresse. Dann speichert es die aktuelle
Zeit und versucht eine Websocket-Verbindung
zur Adresse aufzubauen. Der darunter
definierte Error Handler vergleicht
die gespeicherte Zeit mit der aktuellen
und speichert das Ergebnis in einem
Hash mit dem Schlüssel der IP-Adresse.

Schließlich ruft sich die Routine selbst
auf, um den Vorgang für die nächste Adresse
zu wiederholen.
Zielerfassung mit Web RTC
Da der Angreifer bei dieser Methode relativ
blind um sich schießt, erscheint es
hilfreich, wenn er den Adressenbereich,
der gescannt werden soll, einschränken
kann. Erst hier kommt Web RTC ins Spiel.
Bei der Initialisierung sammelt der Client
in Firefox und Chrome die lokalen und
die externen IP-Adressen und ermöglicht
es, sie per Javascript abzurufen (Listing
2). Das Skript muss jetzt nur noch den
String in der Variablen »Description«
nach RFC-1918-Netzen durchsuchen, die
üblicherweise die LAN-Adressen eines
Clients anzeigen und als Basis für den
Scan dienen können.
»XMLHTTPRequest«
Neben Websockets als Kommunikationsmethode,
die voraussetzen, dass der Server
am anderen Ende der Verbindung das
Websocketprotokoll auch versteht, gibt
es noch eine weitere Möglichkeit, Verbindungen
aus Javascript heraus aufzubauen:
die Klasse »XMLHTTPRequest«.
Sie ist dazu gedacht, dass beispielsweise
Json-basierte Applikationen kompliziertere
Requests (also auch »POST«) absetzen
können, um so von ihrem zugehörigen
Applikationsserver Daten zu
bekommen, die sich dann in Javascript
auswerten lassen.
Auch »XMLHTTPRequest« sollte sich aus
Sicht der Sicherheit an die Same-Origin-
Abbildung 1: Das Skript hat das lokale Netz vom
Firefox-Browser aus gescannt und dabei drei reagierende
Hosts gefunden.
Regel halten – tut es aber nicht. Führt
ein Skript »XMLHTTPRequest« zu einer
anderen Site aus, löst das zwar auch einen
Fehler aus, bei dem je nach Browser
sogar ersichtlich ist, dass der Grund des
Fehlers der Verstoß gegen eben diese Regel
ist. Beobachtet man aber die Logdatei
des Webservers, der ja vermeintlich
nicht angesprochen wurde, oder schaut
der Admin mit Wireshark zu, erlebt er
eine Überraschung: Der Request findet
trotzdem statt.
Die Scanroutine aus Listing 1 lässt sich
durch einen Scan mit »XMLHTTPRequest«
nachbilden, da auch hier ein Error
Handler (hier heißt er »onreadystatechange«)
ausgelöst wird. Und dann sind
im Gegensatz zu den Websockets mit dieser
Routine schwere Schäden möglich, da
sich komplexe Requests auslösen lassen,
in denen Angreifer Angriffsvektoren aus
den OWASP Top Ten [3] integrieren.
Das Skript des Angreifers sieht zwar nicht
selbst die Ergebnisse seiner Versuche,
aber neben den bereits beschriebenen
Möglichkeiten, die Adressbereiche einzuschränken,
sind Standard-Hostnamen
wie »wiki« oder »intranet« gute Kandidaten,
um einen Treffer zu landen.
Zur Rede gestellt
Wer nun meint, das Verhalten sei ein
Bug, der sieht sich getäuscht: Als sich
der Autor dieses Artikels daran machte,
bei Google, Microsoft und Mozilla einen
Bug report zu eröffnen, lautete die Antwort
schlicht, dieses Verhalten sei gewollt
und von der Cross Origin Ressource
Sharing Policy [4] des W3C abgedeckt.
Diese Policy gestattet es, dass ein von
»http:// example. org« heruntergeladenes
Skript Zugriff auf »http:// beispiel. org/​
serverscript« über »XMLHTTPRequest«
oder andere Calls erhält.
Und damit der Browser weiß, dass er
das darf, landet gar ein neuer Header im
HTTP-Protokoll, der »Access‐Control‐Allow‐Origin:«
heißt, gefolgt von der URL,
von der aus der Zugriff erfolgen kann. Es
Listing 2: Lokale IP-Adressen in
Firefox finden
01 var serv=null;
02 pc = new mozRTCPeerConnection(serv);
03 pc.createOffer(function(sd)
04 {
05 pc.setLocalDescription(sd);
06 description = sd.sdp;
07 }, null, {'mandatory': {'OfferToReceiveAudio':
true,
08 'OfferToReceiveVideo': true} }
09 );
Web-RTC-Hack 12/2013
Know-how
www.linux-magazin.de
97
Listing 1: Der Event Handler
01 function getNextIP()
16 return(network[ipindex++]);
30 if(navigator.userAgent.search
02 {
17 }
("Firefox")>0)
03 var network = networklist[netindex];
04
05 if(network.length == ipindex)
06 {
07 network = networklist[++netindex];
08 if(network == null)
09 {
10 dumpResults();
11 return null;
12 }
13 else
18
19
20 function scan
21 {
22 var currentip=getNextIP();
23 if(currentip != null)
24 {
25 var now=new Date();
26 var channel = new WebSocket("ws://"
+currentip+":8000", 'wstest');
27 channel.onerror = function(evt)
31 errTimestamp = Math.floor(errTimestamp/
1000); // Firefox macht das in Nanosekunden
32 var timediff = errTimestamp ‐ now;
33 results[currentip] = timediff;
34 scan();
35 };
36
37 channel.onopen = function()
38 {
39 results[currentip] = "up+websocket";
40 scan();
41 };
14 ipindex = 0;
28 {
42 }
15 }
29 var errTimestamp = evt.timeStamp;
43 }

Know-how
www.linux-magazin.de Web-RTC-Hack 12/2013
98
Abbildung 2: Das Frontend sieht in Firefox und Safari zwar gleich aus, doch nur Apples Browser prüft, ob der
Webserver fremde Quellen gestattet.
klingt absurd: Da der Browser erst durch
den Server mitgeteilt bekommt, ob er
überhaupt Requests ausführen darf, ergibt
sich ein Henne-Ei-Problem.
Henne und Ei
Der anfragende Browser erfährt erst nach
der Antwort, ob er die Frage überhaupt
stellen darf. Dem versucht die Spezifikation
damit zu begegnen, dass der Client
eine einfache Preflight-Anfrage erstellen
darf, um in Erfahrung zu bringen, ob der
folgende komplexere Zugriff überhaupt
erlaubt ist.
Dabei gibt es wohl noch einige Unklarheiten:
Laut Aussage des Mozilla-Teams
zählen »POST«-Requests nicht dazu, laut
Dokument schon. Der Bearbeiter des
Bugs aus dem Mozilla-Team bemerkte
auch, dass Firefox bis Version 24 erst einen
Options-Request ausführt. Der neue
Browser dagegen sendet den Origin-Header
mit, sodass sich eine Applikation auf
dem Server gegen Requests fremden Ur-
sprungs wehren kann, zumindest wenn
der Request als solcher nicht gleich den
ganzen Webserver zum Absturz bringt.
Konsequenzen
Im Kapitel über die Security Considerations
der W3C-Spezifikation sagen die
Autoren, dass Applikationen sich selbst
schützen sollen, da sie ja am Origin Header
erkennen könnten, woher die Anfrage
kommt. Von den getesteten Browsern
Firefox, Chrome, Internet Explorer
und Safari führt lediglich Safari vor dem
Zugriff einen Test mit der »OPTIONS«-
Methode durch, um zu prüfen, ob der
Webserver den Zugriff von einer fremden
Quelle erlauben würde (Abbildungen 1
und 2). In der Praxis bedeutet dies für
den Administrator jedoch, dass die Aussage
„Unser Webserver ist sicher, denn
der ist nur im Intranet erreichbar!“ nicht
mehr gilt, vor allem dann, wenn der Server
einen leicht erratbaren DNS-Namen
trägt (siehe Kasten „Nachgefragt“).
Alle Webapplikationen im LAN um
Checks in Sachen Origin Header erweitern,
das scheint wohl nur im Elfenbeinturm
des W3C realistisch. Wünschenswert
wäre es ohne Frage, aber in realen
LANs ist es sicher nicht umsetzbar. Dem
Problem kommen jedoch mehr und mehr
Experten auf die Schliche [5].
Zur Stunde bleibt dem Webserveradmin
jedoch nichts anderes übrig, als seine Applikationen
und Server so abzusichern,
als stünden sie im Internet. Von den
Browserherstellern ist zumindest nicht
zu erwarten, dass sie das vermeintliche
Fehlverhalten ändern.
Wer Lust hat, in dieser Richtung noch
weiter zu „spielen“, findet im Blog des
Autors noch zwei Beispielskripte ([6]
und [7]), um weitere Funktionen auszuprobieren.
(mfe)
n
Infos
[1] Andreas Möller, „Direkter Draht“:
Linux-Magazin 08/​13, S. 92
[2] Same Origin Policy: [http:// en. wikipedia.​
org/ wiki/ Same‐origin_policy]
[3] OWASP Top Ten:
[https:// www. owasp. org/ index. php/​
Category:OWASP_Top_Ten_Project]
[4] CORS: [http:// www. w3. org/ TR/ cors/]
[5] Einar Otto Stangvik, „Local IP discovery
with HTML5 WebRTC“:
[https:// 2x. io/ read/ security‐by‐obscurity]
[6] XML-Scan:
[http:// blog. nruns. com/ blog/ 2013/ 10/ 07/​
Risk‐of‐HTML5‐Konstantin/ xmlscan. html]
[7] Netzwerkscan: [[http:// blog. nruns. com/​
blog/ 2013/ 10/ 07/ Risk‐of‐HTML5‐Konstantin/​
networkscan. html]
[8] Beef: [http:// blog. beefproject. com/ 2012/​
06/ beef‐in‐real‐world‐pen‐test‐part‐4. html]
[9] Flash-Scan: [http:// scan. flashsec. org]
Nachgefragt
Das Linux-Magazin hat bei dem Sicherheitsexperten
Christian Horchert, Senior Security
Consultant und Geschäftsführer der Sektion
Eins GmbH nachgefragt, wie er das Problem
bewertet und ob er denn Lösungsansätze sieht.
Seine Antwort fällt reichlich skeptisch aus:
Linux-Magazin: Kann ich mich als Admin oder
Anwender vor dem oben erwähnten Problem
schützen?
Christian Horchert: Technisch gesehen sind
HTML 5, Web RTC, JSEP, CORS, JSONP und wie
sie alle noch heißen eine wahre Katastrophe.
Das wird in Zukunft sicher nicht besser, wenn
mehr und mehr Anwender anfangen HTTP über
UDP zu machen - also das, was Google SPDY
nennt. Einer der wenigen und einigermaßen
wirksamen Verteidigungsmechanismen ist CSP
(Content Security Policy), der zumindest für aktive
Inhalte ganz gut funktioniert, offene Ports
aber nicht erkennt.
Linux-Magazin: Gibt es bereits Tools, die derartige
Fehler ausnutzen?
Christian Horchert: Ja, das ist alles bekannt
und gut dokumentiert. Es gibt ein Tool mit Namen
Beef [8], das sich einige dieser Eigenschaften
aus den Standards zunutze macht. Mit
Beef lässt sich beispielsweise XSS auf richtig
elegante Weise für Discovery und Angriffe auf
lokale Netze ausnutzen. Das gab es auch mal
für Flash, dort ist das aber angeblich schon eine
ganze Weile gefixt [9].
Das Bedrohungsszenario ist bei all diesen Methoden
– wie im Artikel beschrieben – recht einfach:
Angreifer können Hosts in lokalen Netzen
entdecken, also auch hinter Firewalls oder NAT.
Sich dagegen schützen ist nicht trivial.

Programmieren
www.linux-magazin.de C++11 12/2013
Modernes C++ in der Praxis – Folge 13
Geschwindigkeit zählt
100
„Performance matters“: Was sich wie ein Glaubensbekenntnis anhört, bleibt ein wichtiges Designkriterium in
C++. Mit den neuen Hashtabellen kann der Programmierer richtig Tempo machen. Rainer Grimm
C++11
asynchrone Aktionen
override
decltype jenen in C++11 gegenüber, die ein ähnliches
Interface anbieten. Listing 1 zeigt
Move-Semantik
Neue Container
auto
die beiden gebräuchlichsten Container
Variadic Templates
»std::map« und »std::unordered_map« im
bind Einsatz.
Type Traits
Das kleine Programm ist relativ unspektakulär.
Zuerst füllt Zeile 10 mit einer
C++11
Alias Templates
Tuple
Initialisierer-Liste die »std::map« mit zwei
default
function
Paaren. Der Typ des Schlüssels ist ein
Range-basierte
C++11
String, der des Wertes eine natürliche
nullptr
For-Schleife
Zahl. Der Index-Operator erlaubt sowohl
Zufallszahlen
Zeitbibliothek (in Zeile 11), die Map um ein zusätzli-
delete
final
ches Paar zu erweitern, als auch in der
Benutzerdefinierte Literale
Smart Pointer anschließenden Zeile, den Wert zum
Hashtabellen
static_assert
reguläre Ausdrücke
Schlüssel »Ritchie« zu finden.
Threads
Lambda-Funktionen
Array Pärchenweise
Dank der neuen Range-basierten For-
Zu den am meisten vermissten Features
im alten C++-Standard gehören Hash-
einen feinen Unterschied: Die Schlüssel
der klassischen assoziativen Arrays sind
geordnet. Damit hängt die Zugriffszeit
auf die Werte logarithmisch von der
Anzahl der Schlüssel ab. Konsequenterweise
erhalten die neuen Hashtabellen in
C++11 den Namenszusatz „unordered“:
»std::unordered_map«, »std::unordered_
multimap«, »std::unordered_set« und
»std::unordered_multiset«.
Um ein wenig Übersicht zu schaffen,
stellt Tabelle 1 die Container aus C++98
Allerlei Arrays
Schleife lassen sich alle Schlüssel-Wert-
Paare direkt ausgeben. Dazu kommen die
Attribute »p.first« und »p.second« zum
Einsatz. Ein einzelnes Paar löscht die Methode
»m.erase("Scott")« (Zeile 14), die
ganze Map lässt sich mit der Methode
»m.clear()« (Zeile 17) leeren. Dieser Code
wiederholt sich von Zeile 24 an. Die einzige
Variation besteht darin, dass nun
»std::unordered_map« zur Verwendung
kommt. Ein scharfer Blick auf die Ausgabe
des Programms in Abbildung 1 zeigt, dass
die Schlüssel der »std::unordered_map«
nicht sortiert sind.
Warum aber besitzt modernes C++ acht
assoziative Container, jeweils zwei mit
tabellen. Diese Datenstrukturen sind
auch unter den Namen Dictionaries oder
assoziative Arrays bekannt. Hashtabellen
sind Container, die Schlüssel-Wert-Paare
enthalten. Der Programmierer verwendet
den Schlüssel, um dessen assoziierten
Wert zu erhalten.
Der Zugriff ist sowohl komfortabel als
auch performant: Komfortabel, da natürliche
Zahlen, Fließkommazahlen, Zeiger
und Strings als Schlüssel zur Auswahl
stehen. Performant, da die Zugriffszeit im
Idealfall konstant ist – sie ist unabhängig
davon, wie groß die Hashtabelle ist. Der
Kasten „Allerlei Arrays“ macht es einfacher,
Hashtabellen als Teil von C++ zu
begreifen.
Hashtabellen gehören zum täglich Brot
professioneller Entwickler. Das klassische
C++ bietet mit »std::map«, »std::multimap«,
»std::set« und »std::multiset« bereits
vier assoziative Arrays an, die sich
wie Hashtabellen verhalten. Es gibt aber
Der Datentyp „assoziatives Array“ wird leichter
verständlich, wenn man ihn sich als ein
verallgemeinertes Array vorstellt. Sind bei
einem herkömmlichen Array nur natürliche
Zahlen als Schlüssel erlaubt, unterstützt das
assoziative Array neben den Built-in-Datentypen
auch eigene Datentypen als Schlüssel,
sofern für diese eine Hashfunktion definiert
ist. Der einzige Unterschied zwischen assoziativen
Arrays und Arrays besteht dann nur
noch darin, dass man die Schlüssel bei normalen
Arrays als Indizes bezeichnet.
Tabelle 1: Assoziative Container in
C++98 und C++11
C++98
std::map
std::set
std::multimap
std::multiset
C++11
std::unordered_map
std::unordered_set
std::unordered_multimap
std::unordered_multiset

C++11 12/2013
Programmieren
Abbildung 1: »std::map« und »std::unordered_map«:
Im zweiten Fall sind die Schlüssel unsortiert.
ähnlichem Interface? Vier bieten die
Schlüssel sortiert, die vier mit dem Namenszusatz
»unordered« unsortiert an.
Daneben lassen sich zwei weitere Unterscheidungsmerkmale
anwenden: Ist dem
Schlüssel ein Wert zugeordnet? Darf ein
Schüssel mehrfach vorkommen? Tabelle
2 beantwortet diese Fragen für alle acht.
In [1] sind alle komplexen Details zu den
acht assoziativen Containern detailliert
dargestellt.
Das beantwortet allerdings nicht die
Frage, warum man das klassische C++
um vier ungeordnete Container erweitert
hat. Die Antwort ist zweiteilig: Zum
Abbildung 2: Performancevergleich von »std::map«
und »std::unordered_map«, nicht optimiert.
einen brauchen die Schlüssel in den ungeordneten
Containern keine Kleiner-als-
Relation zu unterstützen, zum anderen:
Performance matters.
C++11 überholt C++
Tabelle 2: Übersicht der acht assoziativen Container
Container
Ist ein assoziatives Array sehr groß und
brauchen die Schlüssel nicht geordnet
zu sein, sollte eine Hashtabelle die erste
Wahl des Programmierers sein. Mit ein
wenig Aufwand lässt sich das in einem
kleinen Experiment belegen. Zu diesem
Zweck liest ein Programm – zufällig verteilt
– eine Million Schlüssel aus zehn
Millionen Schlüssel-Wert-Paaren.
Listing 2 füllt eine »std::map« und eine
»std::unordered_map« mit jeweils zehn
Ist dem Schlüssel ein
Wert zugeordnet?
std::map, std::unordered_map ja nein
std::set, std::unordered_set nein nein
std::multimap, std::unordered_multimap ja ja
std::multiset, std::unordered_multiset nein ja
Darf ein Schlüssel
mehrfach vorkommen?
Abbildung 3: Performancevergleich von »std::map«
und »std::unordered_map« mit GCC-Optimierungen.
Millionen Schlüssel-Wert-Paaren (Zeilen
18, 19). Der Einfachheit halber sind die
Schlüssel und Werte identisch. Der Vektor
»randValues« dient als Container für
eine Million gleichmäßig verteilter Zufallszahlen
von Null bis zehn Millionen
(Zeilen 26 bis 29).
Das Entscheidende an Listing 2 sind
die Abschnitte von Zeile 31 bis 36 und
von Zeile 38 bis 43. Hier misst das Programm,
wie lange das Auslesen einer
Million Schlüssel dauert. Im Fall der
»std::map« sind es 1,7 Sekunden, bei der
»std::unordered_map« 0,3 Sekunden. Das
Ergebnis ist in Abbildung 2 zu sehen.
Übersetzt man den Sourcecode mit dem
GCC-Compiler voll optimiert, ergibt sich
ein noch größerer Unterschied (Abbildung
3). Dann stehen 1,2 Sekunden 0,08
Sekunden gegenüber. Der unsortierte
Container ist um den Faktor 15 schneller.
Was für ein Performance-Boost!
Abbildung 4 zeigt die interne Struktur
der geordneten assoziativen Container,
Abbildung 5 die der ungeordneten.
Beide enthalten die Schlüssel »Grimm«,
»Grimm‐Jaud«, »Schmidt« und »Huber«.
www.linux-magazin.de
101
Listing 1: »std::map« und »std::unordered_map«
01 #include
02 #include
03 #include
04
05 int main(){
06
07 std::cout

Programmieren
www.linux-magazin.de C++11 12/2013
102
01 #include
02 #include
03 #include
04 #include
Schön ist zu sehen, dass geordnete Container
als binäre Suchbäume implementiert
sind, während ihre ungeordneten
Verwandten ihre Schlüssel in Buckets
speichern. Die Baumstruktur heißt binärer
Suchbaum, da jeder Knoten maximal
zwei Kinder besitzt und die Knoten eine
Ordnung aufweisen.
Während ein Programm beim geordneten
Container den ganzen Suchbaum bis zum
richtigen Blatt durchqueren muss, um
den Wert zu einem Schlüssel zu erhalten,
ermittelt beim ungeordneten Container
die Hashfunktion, in welchem Bucket
sich der Schlüssel befindet.
Das erklärt den Performance-Unterschied:
Die Tiefe des binären Suchbaums und
somit die erforderliche Zugriffszeit hängt
logarithmisch von der Anzahl der ent-
05 #include
06
07 static const long long mapSize= 10000000;
08 static const long long accSize= 1000000;
09
10 int main(){
11
12 std::cout

Programmieren
www.linux-magazin.de Perl-Snapshot 12/2013
104
Webcam protokolliert auf Tumblr
Zimmer mit Aussicht
Ist Perlmeister Schilli unterwegs, weiß er gern, was daheim abgeht. Mit zwei Skripten bekommt er es hin, dass
die angeschaffte Billigkamera über das Tumblr-API zyklisch Schnappschüsse auf der Micro-Blogplattform ablegt.
Tierisch schick, diese Überwachung. Michael Schilli
© Aenbde, photocase.com
Dass der eingebaute Foscam-Server sein
Passwort im Klartext per HTTP statt per
HTTPS entgegennehmen will, ist ein weiterer
Fauxpas, dem vernunftbegabte User
bei übers Internet übertragenen Bildern
mit einem VPN begegnen.
Steht die Kamera daheim und möchte
man von außen darauf zugreifen, muss
die Firewall des Routers mittels Portforwarding
eingehende Requests weiterleiten.
Da die Kamera mit einem dynamischen
DNS-Dienst zusammenarbeitet,
bleibt das Webinterface unabhängig von
der dynamisch vergebenen WAN-IP stets
unter der gleichen URL erreichbar, etwa
»http://XXX.myfoscam.org:5148«.
Der Plan: Bloggen auf
Kommando
Wenn ich auf Reisen bin, trägt es sehr zu
meiner Beruhigung bei, zu wissen, dass
meine Wohnung weder durch eine Feuersbrunst
noch durch eine anrückende
Diebesbande bedroht ist. Um mein Sicherheitsbedürfnis
nicht zum telefonischen
Problem für meine Nachbarschaft
zu machen, äugt seit einiger Zeit eine
schwenkbare Kamera durch mein Wohnzimmerfenster
hinaus auf die Skyline San
Franciscos (Abbildung 1). Das gerade
mal 60 US-Dollar teure Modell Foscam
FI 8910W mit Wifi-Anschluss kann ich
übers Internet fernsteuern und den Videostream
aufs Handy holen – egal wo
ich gerade bin.
Eine Menge Macken
Vor euphorischen Impulskäufen sei jedoch
gewarnt, denn der billigen Foscam-
Kamera haften einige nervige Macken an.
Die erste: In der Dunkelheit schaltet sie
jedes Mal ihren Infrarot-LED-Ring ein,
wenn sie sich aufhängt und frisch bootet,
was hin und wieder aus unerfindlichen
Gründen vorkommt. Das Einschaltverhalten
klingt im ersten Moment wie ein
sinnvolles Feature, erweist sich bei der
Platzierung unmittelbar vor einem spiegelnden
Fenster aber als Fiasko, denn
die Kamera blendet sich selbst so lange,
bis jemand den Fehler bemerkt und den
Infrarot -Ring ausschaltet.
Auf ein Firmware-Update, das sie von
diesem „Feature“ erlöst, warten Kunden
bislang vergebens. „You get what you pay
for“, so sagt man lakonisch in Amerika.
Hinzu kommt, dass das Webinterface der
Kamera wie ein Überbleibsel aus dem
letzten Jahrhundert ausschaut: Der User
bekommt einen ruckligen Videostream
zu sehen und darf mit den Steuerknöpfen
links oben den Kamerakopf etwa 180
Grad zu den Seiten und 90 Grad nach
oben schwenken (Abbildung 2).
Da ich aber nun mal die Kamera besitze,
versuche ich das Beste draus zu machen.
In erster Linie erscheint es mir sinnvoll,
statt mich hin und wieder übers Internet
in die Kamera einzuwählen und nach
dem Rechten zu sehen, dass ich regelmäßig
Schnappschüsse von der Kamera
ziehe und ins Internet stelle. Die Standbilder
kann ein Skript dann auf einer
Webseite aufreihen – und ein Blick genügt,
um den Tagesablauf zu kontrollieren.
Genau das ist mein Plan für diesen
Perl-Snapshot.
Passend dazu fiel mir neulich auf, dass
die Micro-Blogplattform Tumblr, die mein
Arbeitgeber Yahoo vor etwa einem halben
Jahr geschluckt hat, ein programmier-
Online PLUS
In einem Screencast demonstriert
Michael Schilli das Beispiel: [http://​
www.linux-magazin.de/​plus/​2013/12]

Perl-Snapshot 12/2013
Programmieren
www.linux-magazin.de
105
Abbildung 1: Die schwenkbare Foscam-Kamera im
Wohnzimmer des Perlmeisters blickt auf Downtown
San Francisco.
Abbildung 2: Das funktionsarme und optisch altbackene Webinterface der Foscam-Kamera.
bares API anbietet. Ein Blick ins CPAN
offenbarte, dass ein eifriger Open-Source-
Programmierer mit WWW::Tumblr bereits
ein entsprechendes Perl-Modul veröffentlicht
hat. Der Rest war Formsache:
Ein Cronjob ruft das später in Listing 2
vorgestellte Skript mehrmals am Tag auf
und holt einen aktuellen Schnappschuss
von der Kamera ab.
Das Bild schickt das Skript dann per API
an das Tumblr-Blog, das die Meldungen
chronologisch darstellt und allerhand
sozialen Plattformschnickschnack wie
Like-Knöpfe oder eine Reblog-Funktion
anbietet (Abbildung 3). Da die meisten
Tumblr-User mehrere Blogs verfolgen,
bietet es sich an, den heimisch produzierten
Bilderreigen in die Reihe interessierender
Blogs aufzunehmen und
neben anderen Postings zu konsumieren
(Abbildung 4).
Oauth gewährt Zugang
zum Tumblr-Blog
Damit das Perl-Skript »tumblr‐post« nachher
automatisch auf das Blog eines Users
schreibend zugreifen darf, muss Tumblr
es als Applikation registriert haben. Zudem
ist es nötig, dass der User der Applikation
entsprechende Rechte einräumt.
Die Schritte dorthin beschreibt [3].
Abbildung 5 zeigt die Registrierung der
Testapplikation »Perlsnapshot«; da es sich
um ein Skript und nicht um eine App fürs
iPhone oder ein Android-Gerät handelt,
lasse ich die Felder »App Store URL« und
»Google Play Store URL« leer. Als »Default
Callback URL«, also die Webadresse, die
Tumblr nach der Autorisierung seitens
des Users mit den generierten Access-Tokens
aufruft, ist »http://localhost:8082«
eingetragen (Abbildung 6).
Als Applikations-Icon habe ich einfach
ein 128 mal 128 Pixel großes Selbstporträt
hochgeladen. Das später aufgerufene
Skript in Listing 1 zum Einholen
der Genehmigung des Users und zum
Einsammeln der Zugriffsschlüssel startet
nämlich einen Webserver auf dem heimischen
Linux-Rechner.
Nach einem Klick auf »Register« unter
dem ausgefüllten Formular präsentiert
Tumblr einen Consumer Key und einen
Secret Key (Abbildung 7). Diese beiden
Hex-Strings identifizieren eine registrierte
Abbildung 3: Bei jedem Aufruf des Skripts
»tumblr‐post« taucht im Tumblr-Blog ein Standbild
der Kamera auf.
Tumblr-Applikation, die wiederum bei
Usern um Zugriffsrechte buhlen darf.
Alleskönner Mojo
Wie schon in früheren Perl-Snapshots
mit Oauth-kontrollierten Applikationen
wie Google Drive [4] holt auch Listing 1
per Mojolicious-Modul vom CPAN die Erlaubnis
zum Publizieren von Blogeinträgen
ein. Beim Start per »./tumblr‐oauth«
fährt es entsprechend der Meldung
[Sat Oct 12 09:56:27 2013] [info]
Listening at "http://localhost:8082".
Server available at http://localhost:8082.
auf Localhost und auf Port 8082 einen
Webserver hoch, der, falls ein Browser
Abbildung 4: Nachdem das Blog in die Folgeliste
aufgenommen ist, platzieren sich seine Postings
zwischen andere Publikationen.

Programmieren
www.linux-magazin.de Perl-Snapshot 12/2013
106
Abbildung 7: … erzeugt die Tumblr-API-Seite bereitwillig
den Oauth-Token.
nur einen Token, den er zudem jederzeit
widerrufen kann.
Ein lokaler Webserver
Abbildung 5: Nach Registrieren der Applikation …
die URL »http://localhost:8082« anfragt,
diesem nur einen Link mit dem Text
„Login on Tumblr“ zuschickt. Klickt der
User darauf, landet er auf Tumblrs Login-
Seite, wo er sich mit E-Mail-Adresse und
Passwort identifizieren soll, falls er nicht
sowieso schon eingeloggt war.
Tumblr zeigt dann den Dialog in Abbildung
8 an, um vom User für die Applikation
»Perlsnapshot« die Erlaubnis
einzuholen, lesend wie schreibend auf
dessen Blog zuzugreifen. Das vorher
von mir zu Testzwecken eingerichtete
Blog „Schtonk’s Rants“ unter [schtonk.​
Abbildung 6: … unter Angabe der Callback-URL …
tumblr. com] soll später die Kamerabilder
darstellen. Klickt der User auf »Allow«,
verweist Tumblr den Browser zurück
auf die vorher eingestellte Callback-URL
(»http://localhost:8082«) und schiebt
dem Server dort mit »oauth_token« und
»oauth_verifier« zwei weitere Zugriffstokens
unter.
Mit diesen darf der Empfänger den gewährten
Rechten entsprechend auf dem
Blog des Users herumorgeln, beinahe
so, als wäre er selbst dort eingeloggt.
Allerdings musste der User der Applikation
kein Passwort mitteilen, sondern
Listing 1 zieht hierzu das CPAN-Modul
»WWW::Tumblr::Authentication::OAuth«
herein, das die zum Abholen der Tokens
notwendigen URLs bereits enthält. In den
Zeilen 12 und 13 stehen in den Variablen
»$consumer_key« und »$secret_key« die
in Abbildung 7 beim Registrieren der
Applikation erhaltenen Werte.
Damit das Modul Mojolicious::Lite den
Webserver startet, erwartet es einige Optionen
auf der Kommandozeile. Entgegen
allen Erwartungen startet die Option
»dae mon« den Webserver im Vordergrund
und »‐‐listen« bekommt die in Zeile 11
gesetzte URL. Damit »tumblr‐oauth« ohne
Kommandozeilen-Parameter auskommt,
Listing 1: »tumblr‐oauth«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use Storable;
04 use WWW::Tumblr::Authentication::OAuth;
05 use Mojolicious::Lite;
06 use YAML qw( DumpFile );
07 use Sysadm::Install qw( :all );
08
09 my( $home ) = glob "~";
10 my $cfg_file = "$home/.tumblr.yml";
11 my $local_url = "http://localhost:8082";
12 my $consumer_key = "XXX";
13 my $secret_key = "YYY";
14
15 my $tumblr_oauth =
16 WWW::Tumblr::Authentication::OAuth‐>new(
17 consumer_key => $consumer_key,
18 secret_key => $secret_key,
19 callback => "$local_url/callback",
20 )‐>oauth_tools;
21
22 @ARGV = (qw(daemon ‐‐listen), $local_url);
23
24 ###########################################
25 get '/' => sub {
26 ###########################################
27 my( $self ) = @_;
28
29 $self‐>stash‐>{login_url} =
30 $tumblr_oauth‐>authorize_url();
31
32 } => 'index';
33
34 ###########################################
35 get '/callback' => sub {
36 ###########################################
37 my ( $self ) = @_;
38
39 my $oauth_token =
40 $self‐>param( "oauth_token" );
41 my $oauth_verifier =
42 $self‐>param( "oauth_verifier" );
43
44 $tumblr_oauth‐>oauth_token(
45 $oauth_token );
46 $tumblr_oauth‐>oauth_verifier(
47 $oauth_verifier );
48
49 DumpFile( $cfg_file, {
50 oauth_token => $oauth_token,
51 oauth_verifier => $oauth_verifier,
52 consumer_key => $consumer_key,
53 secret_key => $secret_key,
54 token => $tumblr_oauth‐>token(),
55 token_secret =>
56 $tumblr_oauth‐>token_secret(),
57 } );
58
59 $self‐>render(
60 text => "Tokens saved in $cfg_file.",
61 layout => 'default' );
62 };
63
64 app‐>start();
65
66 __DATA__
67 ###########################################
68 @@ index.html.ep
69 % layout 'default';
70 Login on Tumblr
72
73 @@ layouts/default.html.ep
74
75 Token Fetcher
76
77
78
79
80
81

Abbildung 8: Der User autorisiert das Skript zum
Posten von neuen Tumblr-Artikeln.
stopft Zeile 22 die Optionen kurzerhand
in den Array »@ARGV« und schiebt sie
so dem Mojolicious-Modul unter.
Browseranfragen auf Port 8082 ohne
Pfadangabe landen beim Code ab Zeile
25, der die Stash-Variable »login_url«
setzt und dann damit das Template im
»DATA«-Bereich des Skripts ab Zeile 68
in eine HTML-Seite mit einem Login-Link
umwandelt und den Browser darstellen
lässt. Verzweigt Tumblr nach dem Einholen
der Erlaubnis beim User zurück zum
Mojolicious-Server, geschieht dies unter
dem Pfad »/callback« und der Code ab
Zeile 35 kommt zur Ausführung.
Zeile 49 legt mit »DumpFile()« aus dem
CPAN-Modul YAML alle vier erhaltenen
Tokens sowie zwei neue mit »token()« beziehungsweise
»token_secret()« erzeugte
Accesstokens im lesbaren Yaml-Format
in der Datei ».tumblr.yml« im Homeverzeichnis
ab. Später greifen Applikationsskripte
auf die Datei zu, lesen die Tokens
aus und erhalten dadurch Zugang zum
Blog des Users.
Kamera einsetzen, dazu den Usernamen
und das Passwort für die Weboberfläche
der Kamera. Die Methode »credentials()«
des Objekts vom Typ WWW::Mechanize
speichert diese Information und fügt sie
bei Webanfragen automatisch bei, sobald
der Kamera-Webserver nach einem Passwort
fragt. Eigentlich genügt zum Einholen
von Daten auf einem Webserver das
Perl-Modul LWP::UserAgent, aber die Superklasse
WWW::Mechanize bietet eine
bequemere »credential()«-Methode an,
die weniger Parameter erfordert.
Die Foscom-Kamera liefert unter dem Pfad
»/snapshot.cgi« einen Schnappschuss
ihres Blickfelds, die Funktion »blurt()«
aus dem CPAN-Modul Sysadm::Install
schreibt die Bilddaten in Zeile 22 in eine
lokale Datei namens »snapshot.jpg«.
Abschluss und Ausblick
Nun kommen die Tumblr-Funktionen
zum Zuge, Zeile 24 liest die Yaml-Datei
mit den Tokens ein, Zeile 26 erzeugt ein
neues Objekt vom Typ WWW::Tumblr.
Über das Tumblr-API holt Zeile 33 dann
Informationen zum vorher definierten
Testblog auf »schtonk.tumblr.com« ein
und die Methode »post()« sendet den
Bilddatei-Inhalt unter Angabe des Typs
»photo« an den Tumblr-Server. Den Erfolgsfall
signalisiert »$post« mit einem
wahren Wert. Wer nun das Skript per
Listing 2: »tumblr‐post«
01 #!/usr/local/bin/perl ‐w
02 use strict;
»./tumblr‐post« startet, erhält die ID des
neu angelegten Blogeintrags:
I have published post id: 63791478637
Leider bietet das API keine Möglichkeit,
dem Bild einen Text beizufügen. Das
scheint zurzeit nur per Browserinterface
zu funktionieren, das HTML-Seiten mit
eingebauten Fotos erlaubt. Theoretisch
könnte das Skript jedoch Texte hochladen
und die Bilder von einer anderen Seite referenzieren;
doch für die Überwachungsfotos
ist es praktischer, wenn Tumblr die
Bilder selbst speichert. Eine praktikable
Variante wäre die Beschriftung im Bild
selbst, wie vorigen Monat im Snapshot
mit dem CPAN-Modul Imager vorgestellt.
So ließen sich kurze Texte, die aktuell gemessene
Außentemperatur zum Beispiel,
ins Bild einpassen. (jk)
n
Infos
[1] Listings zu diesem Artikel:
[ftp:// www. linux‐magazin. de/ pub/ listings/​
magazin/ 2013/ 12/ Perl]
[2] Foscam FI 8910W: [http:// foscam. us/ fosca
m‐fi8910w‐wireless‐ip‐camera. html]
[3] Tumblr-API:
[http:// www. tumblr. com/ docs/ en/ api/ v2]
[4] Michael Schilli, „Onlinebücherei“: Linux-
Magazin 02/​13, S. 94,
[http:// www. linux‐magazin. de/ Ausgaben/​
2013/ 02/ Perl‐Snapshot]
23
24 my $cfg = LoadFile( $cfg_file );
Perl-Snapshot 12/2013
Programmieren
www.linux-magazin.de
107
Schüsse aus dem Fenster
03 use Sysadm::Install qw(:all);
04 use YAML qw( LoadFile );
05 use WWW::Tumblr;
25
26 my $t = WWW::Tumblr‐>new(
27 consumer_key => $cfg‐>{ consumer_key },
Listing 2 zeigt die eigentliche Anwendung,
die Fotos von der Überwachungskamera
abholt. Ab Zeile 13 muss der
Benutzer die Webadresse seiner eignen
06 use WWW::Mechanize;
07
08 my( $home ) = glob "~";
09 my $cfg_file = "$home/.tumblr.yml";
10
11 my $ua = WWW::Mechanize‐>new();
28 secret_key => $cfg‐>{ secret_key },
29 token => $cfg‐>{ token },
30 token_secret => $cfg‐>{ token_secret },
31 );
32
33 my $blog = $t‐>blog( $site );
Der Autor
Michael Schilli arbeitet
als Software-Engineer bei
Yahoo in Sunnyvale, Kalifornien.
In seiner seit 1997
laufenden Kolumne forscht
er jeden Monat nach praktischen
Anwendungen der Skriptsprache Perl.
Unter [mschilli@perlmeister. com] beantwortet
er gerne Fragen.
12 my $picfile = "snapshot.jpg";
13 my $url = "http://XXX.myfoscam.org" .
14 ":5148/snapshot.cgi";
15 my $site = "schtonk.tumblr.com";
16 my $cam_user = "XXX";
17 my $cam_pass = "YYY";
18
19 $ua‐>credentials( $cam_user, $cam_pass );
20
21 my $resp = $ua‐>get( $url );
22 blurt $resp‐>content(), $picfile;
34
35 my $post = $blog‐>post(
36 type => 'photo', data => [$picfile] ,
37 );
38
39 if( $post ) {
40 print "I have published post id: " .
41 $post‐>{id}, "\n";
42 } else {
43 die $blog‐>error;
44 }

Service
www.linux-magazin.de IT-Profimarkt 12/2013
108
PROFI
MARKT
Sie fragen sich, wo Sie maßgeschneiderte
Linux-Systeme und kompetente
Ansprechpartner zu Open-Source-Themen
finden? Der IT-Profimarkt weist Ihnen
als zuverlässiges Nachschlagewerk
den Weg. Die hier gelisteten Unternehmen
beschäftigen Experten auf ihrem
Gebiet und bieten hochwertige Produkte
und Leistungen.
Die exakten Angebote jeder Firma entnehmen
Sie deren Homepage. Der ersten
Orientierung dienen die Kategorien
Hardware, Software, Seminaranbieter,
Systemhaus, Netzwerk/TK und Schulung/Beratung.
Der IT-Profimarkt-Eintrag
ist ein Service von Linux-Magazin
und LinuxUser.
Online-Suche
Besonders bequem finden Sie einen
Linux-Anbieter in Ihrer Nähe über die
neue Online-Umkreis-Suche unter:
[http://www.it-profimarkt.de]
Informationen
fordern Sie bitte an bei:
Medialinx AG
Anzeigenabteilung
Putzbrunner Str. 71
D-81739 München
Tel.: +49 (0)89/99 34 11-23
Fax: +49 (0)89/99 34 11-99
E-Mail: anzeigen@linux-magazin.de
IT-Profimarkt – Liste sortiert nach Postleitzahl
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
4= Fachliteratur 4= Seminaranbieter 5 = Software 5 = Software 6 = Schulung/Beratung 6 = Firma Anschrift Telefon Web 1 2 3 4 5 6
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de √ √ √ √
imunixx GmbH UNIX consultants
01468 Moritzburg,
Heinrich-Heine-Str. 4
0351-83975-0 www.imunixx.de √ √ √ √ √
Heinlein Support GmbH 10119 Berlin, Schwedter Straße 8/​9b 030-405051-0 www.heinlein-support.de √ √ √ √ √
TUXMAN Computer 10369 Berlin, Anton-Saefkow-Platz 8 030-97609773 www.tuxman.de √ √ √ √ √
Compaso GmbH 10439 Berlin, Driesener Strasse 23 030-3269330 www.compaso.de √ √ √ √ √
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2345869-6 www.elegosoft.com √ √ √ √
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de √ √ √
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de √ √ √ √
Sybuca GmbH 20459 Hamburg, Herrengraben 26 040-27863190 www.sybuca.de √ √ √ √ √
JEL Ingenieurbuero 23911 Einhaus, Hauptstr. 7 04541-8911-71 www.jeltimer.de √
beitco - Behrens IT-Consulting 26197 Ahlhorn, Lessingstr. 27 04435-9537330-0 www.beitco.de √ √ √ √ √
talicom GmbH
30169 Hannover,
Calenberger Esplanade 3
0511-123599-0 www.talicom.de √ √ √ √ √
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net √ √ √ √ √
LINET Services GmbH 38118 Braunschweig, Cyriaksring 10a 0531-180508-0 www.linet-services.de √ √ √ √ √ √
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-239577-0 www.OpenIT.de √ √ √ √ √
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de √ √ √ √ √
Linuxhotel GmbH 45279 Essen, Antonienallee 1 0201-8536-600 www.linuxhotel.de √
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.de √
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 intevation.de √ √ √ √
Sigs Datacom GmbH 53842 Troisdorf, Lindlaustraße 2c 02241-2341-201 sigs-datacom.de √
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-27561-0 www.uib.de √ √ √ √
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-49960 www.lisa-gmbh.de √ √ √ √ √
GONICUS GmbH 59755 Arnsberg, Moehnestr. 55 02932-9160 www.gonicus.com √ √ √ √ √
saveIP GmbH 64283 Darmstadt, Schleiermacherstr. 23 06151-666266 www.saveip.de √ √ √ √ √
LAMARC EDV-Schulungen u. Beratung
GmbH
LinuxHaus Stuttgart
Manfred Heubach EDV und
Kommunikation
Waldmann EDV Systeme + Service
65193 Wiesbaden, Sonnenberger
Straße 14
70565 Stuttgart,
Hessenwiesenstrasse 10
0611-260023 www.lamarc.com √ √ √ √
0711-2851905 www.linuxhaus.de √ √ √ √ √
73728 Esslingen, Hindenburgstr. 47 0711-4904930 www.heubach-edv.de √ √ √ √
74321 Bietigheim-Bissingen,
Pleidelsheimer Str. 25
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
07142-21516 www.waldmann-edv.de √ √ √ √ √
(S.110)

Imagery: Earth by NASA / The Blue Marble Project - http://visibleearth.nasa.gov | Penguin Variant by Larry Ewing, Simon Budig & Anja Gerwinski
Embedded Linux
Beratung - Schulung - Entwicklung
Linux Portierung - Web - AJAX - Qt - Echtzeit
www.pengutronix.de
+49 (5121) 20 69 17 - 0
vertrieb@jeltimer.de
Wareneingang
Inventuren
Erfassung mit
Barcodes
100.000 fach
bewährte Qualität
Ausweiserstellung
Zutrittssysteme
Zeiterfassung
Joberfassung
12345678
HT-630
Inventuren
Wareneingang
JEL-MR370
Terminal
als WEBSERVER

main red
white
gradient bottom
black
Service
www.linux-magazin.de IT-Profimarkt Markt 12/2013
110
IT-Profimarkt/Markt
IT-Profimarkt – Liste sortiert nach Postleitzahl (Fortsetzung von S. 108)
Firma Anschrift Telefon Web 1 2 3 4 5 6
in-put Das Linux-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-6803288-0 www.in-put.de √ √ √ √ √ √
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1476120 www.bodenseo.de √ √ √
Linux Information Systems AG 81739 München, Putzbrunnerstr. 71 089-993412-0 www.linux-ag.com √ √ √ √ √
LinuxLand International GmbH 81739 München, Putzbrunnerstr. 71 089-99341441 www.linuxland.de √ √ √ √ √ √
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89080500 www.synergysystems.de √ √ √ √ √
B1 Systems GmbH 85088 Vohburg, Osterfeldstrasse 7 08457-931096 www.b1-systems.de √ √ √ √ √
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-4523538-0 www.atix.de √ √ √ √ √ √
Tuxedo Computers GmbH 86343 Königsbrunn , Zeppelinstr. 3 0921-16 49 87 87-0 www.linux-onlineshop.de √ √ √ √
OSTC Open Source Training and
Consulting GmbH
90425 Nürnberg,
Waldemar-Klink-Str. 10
0911-3474544 www.ostc.de √ √ √ √ √ √
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-505241 www.stockmayer.de √ √ √
pascom - Netzwerktechnik GmbH &
Co.KG
94469 Deggendorf, Berger Str. 42 0991-270060 www.pascom.net √ √ √ √ √
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3824444 www.realstuff.ch √ √ √
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3302630 www.catatec.ch √ √ √
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 0041-44-4542010 www.syscon.ch √ √ √ √ √
Würth Phoenix GmbH IT-39100 Bozen, Kravoglstraße 4 0039 0471 56 41 11 www.wuerth-phoenix.com √ √ √ √
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
n
Einfache IMAP-Server mit Dovecot
Mit Peer Heinlein
n Bauen Sie Ihren eigenen IMAP-Server mit Dovecot!
n Holen Sie sich Infos aus erster Hand vom Mailserverexperten Peer Heinlein!
n Nutzen Sie bewährte Lösungen aus der Providerpraxis!
MEDIALINX
IT-ACADEMY
powered by
IT-Onlinetrainings
Mit Experten lernen.
Einfache IMAP-Server mit Dovecot
mit Peer Heinlein,
Heinlein Support GmbH
249 €
YOUTUBE LOGO SPECS
PRINT
on light backgrounds
standard
on dark backgrounds
standard
PMS 1795C
C0 M96 Y90 K2
PMS 1815C
C13 M96 Y81 K54
WHITE
C0 M0 Y0 K0
BLACK
C100 M100 Y100 K100
no gradients
no gradients
watermark
watermark
stacked logo (for sharing only)
stacked logo (for sharing only)
/MedialinxAcademy
www.medialinx-academy.de

u
Seminare
IT-Onlinetrainings
Mit Experten lernen.
LPIC-1 / LPIC-2 Training
LPIC-1 (LPI 101 + 102)
mit Ingo Wichmann,
Linuxhotel
499 €
LPIC-2 (LPI 201 + 202)
mit Marco Göbel,
Com Computertraining GmbH
499 €
www.medialinx-academy.de
IT-Academy_1-9_LPIC-Schulungen.indd 1
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
MEDIALINX
IT-ACADEMY
Einfache IMAP-Server
mit Dovecot
mit Peer Heinlein,
Heinlein Support GmbH
249 €
02.08.2013 11:53:58 Uhr
www.medialinx-academy.de
Teststudium
ohne Risiko!
DiD you
know?
Fernstudium
IT-Sicherheit
Aus- und Weiterbildung zur Fachkraft für
IT-Sicherheit. Ein Beruf mit Zukunft. Kostengünstiges
und praxisgerechtes Studium
ohne Vorkenntnisse. Beginn jederzeit.
NEU:PC-Techniker, Netzwerk-Techniker,
Linux-Administrator LPI, Webmaster
Teststudium ohne Risiko.
GRATIS-Infomappe
gleich anfordern!
FERNSCHULE WEBER
-seit 1959-
Postfach 21 61
Abt. C25
26192 Großenkneten
Tel. 0 44 87 / 263
Fax 0 44 87 / 264
www.fernschule-weber.de
UNIX-C-C++ Java
Seminare
in Nürnberg
(oder inhouse)
UNIX/Linux
UNIX/Linux-Aufbau
C, C-Aufbau
C++
OOA/OOD (mit UML)
Java
Perl, XML
weitere Kurse auf Anfrage, Telephonhotline
Dipl.-Ing.
Christoph Stockmayer GmbH
90571 Schwaig/Nbg • Dreihöhenstraße 1
Tel.: 0911/505241 • Fax 0911/5009584
EMail: sto@stockmayer.de
http://www.stockmayer.de
tl
a
ta
s
•
n
c
i
e
h
g
e
p
rü
Fernstudium
s
s
a
el
g
f
t
n
d
z
u
IT-Academy_1-9_Dovecot-Schulung.indd 1
02.08.2013 11:53:34 Uhr
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Python für
Systemadministratoren
mit Rainer Grimm,
science + computing AG
199 €
Vereinfachen Sie Ihren Sysadmin-Alltag
mit Skripting-Know-How für Profis!
www.medialinx-academy.de
WusstEn siE’s?
Linux-Magazin und LinuxUser haben
ein englisches Schwester magazin!
Am besten, Sie informieren gleich
Ihre Linux-Freunde in aller Welt...
www.linux-magazine.com
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Effiziente BASH-Skripte
mit Klaus Knopper,
Gründer der
Knoppix-Distribution,
KNOPPER.NET
199 €
Automatisieren Sie komplexe
Aufgaben mit Hilfe effizienter Skripte!
www.medialinx-academy.de
IT-Academy_1-9_Python-Schulung.indd 1
02.08.2013 11:54:11 Uhr
LMI_german_2-9h_black_1908-2013.indd 1
IT-Academy_1-9_Bash-Schulung.indd 1
19.08.2013 10:11:51 Uhr
02.08.2013 11:53:16 Uhr

Service
www.linux-magazin.de Inserenten 12/2013
112
Inserentenverzeichnis
1&1 Internet AG http://​www.einsundeins.de 26, 27
ADMIN http://​www.admin-magazin.de 43, 99, 103
CANDAN THE WEB COMPANY http://www.canhost.de 17
embedded projects GmbH http://​www.embedded-projects.net 109
Fernschule Weber GmbH http://​www.fernschule-weber.de 111
Galileo Press http://​www.galileo-press.de 19
GIMP Magazin http://www.gimp-magazin.de 42
Heinlein Support GmbH http://​www.heinlein-support.de 55, 59
Host Europe GmbH http://​www.hosteurope.de 23
Ico Innovative Computer GmbH http://​www.ico.de 33
JEL GmbH, Jannsen Electronic http://​www.jelgmbh.de 109
Linux Magazine http://www.linux-magazine.com 111
Linux-Hotel http://​www.linuxhotel.de 15
Medialinx IT-Academy http://​www.medialinx-academy.de 29,
93, 110, 111
Netways GmbH http://​www.netways.de 49, 73
O’Reilly Verlag GmbH & Co KG http://​www.oreilly.de 9
Open Source Press GmbH http://​www.opensourcepress.de 41
Pengutronix e.K. http://​www.pengutronix.de 109
PlusServer AG http://​www.plusserver.de 37, 53, 67,
75, 81, 95
Schlittermann internet & unix support http://​schlittermann.de 109
Spenneberg Training & Consulting http://​www.spenneberg.com 111
Stockmayer GmbH http://​www.stockmayer.de 111
Strato AG http://​www.strato.de 1, 2, 11
Linux-Magazin http://​www.linux-magazin.de 89, 115
Linux-Magazin Online http://​www.linux-magazin.de 45
LinuxUser http://​www.linuxuser.de 79
MailStore Software GmbH http://www.mailstore.com 13
Thomas Krenn AG http://​www.thomas-krenn.com 116
Webtropia http://​www.webtropia.com/​ 31, 39
Einem Teil dieser Ausgabe liegt eine Beilage der Firma European IT Storage Ltd.
(http://​www.eurostor.com) bei. Wir bitten unsere Leser um freundliche Beachtung.
Veranstaltungen
03.-08.11.2013
USENIX LISA ’13
Washington, D.C.
https://www.usenix.org/conference/lisa13
15.-16.11.2013
7. Linux-Informationstage Oldenburg
Oldenburg, Deutschland
http://lit-ol.de
25.-27.02.2014
Wearables DevCon 2014
San Francisco, CA, USA
http://wearablesdevcon.com
08.11.2013
Deutsche PostgreSQL Konferenz 2013
Zinkfabrik Altenberg
Oberhausen, Deutschland
http://2013.pgconf.de
08.-10.11.2013
FSCONS 2013
Göteborg, Sweden
https://fscons.org/2013/
09.-10.11.2013
OpenRheinRuhr
Zinkfabrik Altenberg
Oberhausen, Deutschland
http://openrheinruhr.de
17.-22.11.2013
SC13
Denver, CO, USA
http://sc13.supercomputing.org
22.-24.11.2013
PyconES 2013
Madrid, Spain
http://2013.es.pycon.org
23.11.2013
14. Vorarlberger LinuxDay
HTL Dornbirn
Dornbirn, Österreich
http://www.linuxday.at
31.03.-02.04.2014
Big Data TechCon
Boston, MA, USA
http://www.bigdatatechcon.com
27.-30.05.2014
Android DevCon 2014
Boston, MA, USA
http:// www.andevcon.com
23.-25.06.2014
Cloud DevCon: AWS Developer Con 2014
San Francisco, CA, USA
http://www.clouddevcon.net
18.-21.11.2014
Android DevCon Fall 2014
San Francisco, CA, USA
http:// www.andevcon.com

Impressum
Linux-Magazin eine Publikation der Linux New Media, einem
Geschäftsbereich der Medialinx AG
Redaktionsanschrift Putzbrunner Str. 71
81739 München
Tel.: 089/993411-0
Fax: 089/993411-99 oder -96
Internet
www.linux-magazin.de
E-Mail
redaktion@linux-magazin.de
Geschäftsleitung
Chefredakteur
stv. Chefredakteure
Redaktionsltg. Online
Brian Osborn (Vorstand), bosborn@medialinx-gruppe.de
Hermann Plank (Vorstand), hplank@medialinx-gruppe.de
Jan Kleinert (V.i.S.d.P.), jkleinert@linux-magazin.de (jk)
Markus Feilner, mfeilner@linux-magazin.de (mfe)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Print- und Onlineredaktion
Aktuell, Forum, Software, Kristian Kissling, kkissling@linux-magazin.de (kki)
Programmierung Mathias Huber, mhuber@linux-magazin.de (mhu)
Sysadmin, Know-how Markus Feilner, mfeilner@linux-magazin.de (mfe)
Ständige Mitarbeiter Fred Andresen, Zack Brown, Mela Eckenfels, Heike Jurzik (hej),
Charly Kühnast, Martin Loschwitz, Michael Schilli, Tim
Schürmann, Mark Vogelsberger, Uwe Vollbracht, Arnold
Zimprich (azi)
Schlussredaktion
Grafik
Bildnachweis
DELUG-DVD
Chefredaktionen
International
Produktion
Onlineshop
Abo-Infoseite
Abonnenten-Service
ISSN 1432 – 640 X
Jürgen Manthey
Mike Gajer, Judith Erb (Art Director)
xhoch4, München (Titel-Illustration)
123RF.com, Fotolia.de, Photocase.com, Pixelio.de und andere
Thomas Leichtenstern, tleichtenstern@linux-magazin.de (tle)
Linux Magazine International
Joe Casad (jcasad@linux-magazine.com)
Linux Magazine Poland
Artur Skura (askura@linux-magazine.pl)
Linux Magazine Spain
Paul C. Brown (pbrown@linux-magazine.es)
Linux Magazine Brasil
Rafael Peregrino (rperegrino@linuxmagazine.com.br)
Christian Ullrich, cullrich@linux-magazin.de
www.medialinx-shop.de
www.linux-magazin.de/Produkte
A.B.O. Verlagservice GmbH
Gudrun Blanz (Teamleitung)
abo@medialinx-gruppe.de
Tel.: +49-(0)7131-2707-274
Fax: +49-(0)7131-2707-78-601
Preise Print Deutschland Österreich Schweiz Ausland EU
No-Media-Ausgabe 4 6,40 4 7,05 Sfr 12,80 (siehe Titel)
DELUG-DVD-Ausgabe 4 8,50 4 9,35 Sfr 17,— (siehe Titel)
Jahres-DVD (Einzelpreis) 4 14,95 4 14,95 Sfr 18,90 4 14,95
Jahres-DVD (zum Abo 1 ) 4 6,70 4 6,70 Sfr 8,50 4 6,70
Mini-Abo (3 Ausgaben) 4 3,— 4 3,— Sfr 4,50 4 3,—
Jahresabo No Media 4 65,20 4 71,90 Sfr 107,50 4 84,60
Jahresabo DELUG-DVD 4 87,90 4 96,90 Sfr 142,80 4 99,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe 4 6,40 4 6,40 Sfr 8,30 4 6,40
DigiSub (12 Ausgaben) 4 65,20 4 65,20 Sfr 84,80 4 65,20
DigiSub (zum Printabo) 4 12,— 4 12,— Sfr 12,— 4 12,—
HTML-Archiv (zum Abo 1 ) 4 12,— 4 12,— Sfr 12,— 4 12,—
Preise Kombiabos Deutschland Österreich Schweiz Ausland EU
Mega-Kombi-Abo 2 4 143,40 4 163,90 Sfr 199,90 4 173,90
Profi-Abo 3 4 136,60 4 151,70 Sfr 168,90 4 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit LinuxUser-Abo (DVD) und beiden Jahres-DVDs, inkl. DELUG-Mitgliedschaft (monatl.
DELUG-DVD)
3
mit ADMIN-Abo und beiden Jahres-DVDs
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises
oder einer aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei
Verlän gerung neu zu erbringen. Andere Abo-Formen, Ermäßigungen im Ausland etc.
auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht
für Zeitschriften gelten.
Pressemitteilungen
Marketing und Vertrieb
Mediaberatung D, A, CH
presse-info@linux-magazin.de
Petra Jaser, pjaser@linux-magazin.de
Tel.: +49 (0)89 / 99 34 11 – 24
Fax: +49 (0)89 / 99 34 11 – 99
Michael Seiter, mseiter@linux-magazin.de
Tel.: +49 (0)89 / 99 34 11 – 23
Mediaberatung USA Ann Jesse, ajesse@linux-magazine.com
und weitere Länder Tel.: +1 785 841 8834
Darrah Buren, dburen@linux-magazine.com
Tel.:+1 785 856 3082
Pressevertrieb
Druck
Es gilt die Anzeigen-Preisliste vom 01.01.2013.
MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG
Ohmstraße 1, 85716 Unterschleißheim
Tel.: 089/31906-0, Fax: 089/31906-113
Vogel Druck GmbH, 97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unixähnlichen
Betriebssysteme verschiedener Hersteller benutzt. Linux ist eingetragenes
Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner
Erlaubnis verwendet.
Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung
durch die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von
Manus kripten gibt der Verfasser seine Zustimmung zum Abdruck. Für unverlangt
eingesandte Manuskripte kann keine Haftung übernommen werden.
Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim Verlag. Es
darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden.
Copyright © 1994 – 2013 Medialinx AG
Impressum 12/2013
Service
www.linux-magazin.de
113
Krypto-Info
GnuPG-Schlüssel der Linux-Magazin-Redaktion:
pub 1024D/44F0F2B3 2000-05-08 Redaktion Linux-Magazin
Key fingerprint = C60B 1C94 316B 7F38 E8CC E1C1 8EA6 1F22 44F0 F2B3
Public-Key der DFN-PCA:
pub 2048R/7282B245 2007-12-12,
DFN-PGP-PCA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 39 D9 D7 7F 98 A8 F1 1B 26 6B D8 F2 EE 8F BB 5A
PGP-Zertifikat der DFN-User-CA:
pub 2048R/6362BE8B (2007-12-12),
DFN-PGP-User-CA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 30 96 47 77 58 48 22 C5 89 2A 85 19 9A D1 D4 06
Root-Zertifikat der CAcert:
Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/
Email=support@cacert.org
SHA1 Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
MD5 Fingerprint=A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
GPG-Schlüssel der CAcert:
pub 1024D/​65D0FD58 2003-07-11 [expires: 2033-07-03]
Key fingerprint = A31D 4F81 EF4E BD07 B456 FA04 D2BB 0D01 65D0 FD58
uid CA Cert Signing Authority (Root CA)
Autoren dieser Ausgabe
Konstantin Agouros Hintertür im LAN 96
Konstantin Agouros Linux-Lego 86
Zack Brown Zacks Kernel-News 18
Anselm Busse Kern-Kraftwerk 82
Eitel Dignatz Kein Freizeichen 78
Mela Eckenfels Catch up! 48
Holger Gantikow Der Admin-Touch 68
Rainer Grimm Geschwindigkeit zählt 100
Oliver Kluge Suche nach Struktur 38
Wilhelm Kolb Tux liest 74
Eva-Katharina Kunst Kern-Technik 90
Charly Kühnast Süßes Logmittel 61
Martin Loschwitz Arbeiten statt suchen 56
Nils Magnus Neue Rolle 30
Andreas Möller Tux liest 74
Jürgen Quade Kern-Technik 90
Andrej Radonic Organisierte Ironie 62
Jan Richling Kern-Kraftwerk 82
Michael Schilli Zimmer mit Aussicht 104
Tim Schürmann Handgemachte IT 34
Uwe Vollbracht Tooltipps 54

Service
www.linux-magazin.de Vorschau 02/2013 01/2014 01/2013 12/2013
114
Vorschau
01/2014 Dachzeile
Klick und Schnappschuss
© iqoncept, 123RF.com
Vernetzt wohnen und arbeiten
Die Rolle des intelligenten Internet-Terminals zu Hause hat
zum Glück der Tabletcomputer bekommen und nicht die Mikrowelle,
wie vor einem Jahrzehnt prognostiziert. Gleichwohl
stehen heute Haushalte und Büros an der Schwelle zur umfassenden
Vernetzung, bei der traditionelle PCs und Laptops
unter ferner liefen zu buchen sind.
Das nächste Magazin analysiert die (Linux)-Technik aktueller
Geräte und Systeme und bewertet ihren Nutzwert, aber auch
den Geek-Faktor. Neben klassischer Heimautomation und verteilten
Multimedia-Anwendungen gelangen auch IP-Kameras,
LED-Beleuchtungssysteme oder neuartige Routeranwendungen
ins Blickfeld und auf die Schreibtische der Redaktion.
MAGAZIN
Überschrift
Die Praxistauglichkeit von Virtualisierungen unter freien Lizenzen
steigt. Einer der jüngsten Fortschritte: Das Libvirt-GUI
beherrscht die bislang nur per Kommandozeile auslösbare
Snapshotfunktion für virtuelle KVM-Gäste. Das Magazin plant
einen Oberflächen-Blick mit Tiefgang.
Qubes OS
Ebenfalls eine Virtualisierung, aber mit Xen, setzt auch das
Open-Source-Betriebssystem Qubes OS ein. Der Sicherheit wegen
und nach Uservorgabe isoliert Qubes seine Komponenten
in Securityzonen. Hinter dem Projekt steckt übrigens die Rootkit-Expertin
und Blue-Pill-Entwicklerin Joanna Rutkowska.
Zukunft der Standard-Firewall
Das seit 2010 eingeschlafene NFtables-Projekt von Jonathan
Corbet nimmt mit neuen Programmierern wieder Fahrt auf.
Der Netfiltercode soll in den stabilen Linux-Kernel und geht in
direkte Konkurrenz zu IPtables und Arptables. Die Magazin-
Redaktion plant einen Artikel über den Reanimierten.
Die Ausgabe 01/2014
erscheint am 5. Dezember 2013
© Kecmec, sxc.hu
Vorschau
auf 12/2013
Die nächste Ausgabe erscheint am 21.11.2013
Geodaten optimal nutzen
Handliche GPS-Geräte gibt es heute schon fürs ganz kleine
Geld. Die Daten aus den Trackern helfen dabei, Bilder auf einer
Karte zu verorten, die Lage von Objekten zu präzisieren
oder sich im unwegsamen Gelände sicher zu bewegen.
Der kommende Schwerpunkt nimmt Kurs und beschäftigt
sich auf vielschichtige Weise mit dem Thema Geodaten. Sie
erfahren unter anderem, wie Sie einen ausgedienten PC zum
Offroad-Navi umfunktionieren oder welche Tools helfen, Fotos
und GPS-Daten zu vereinen, um sie in einen attraktiven Reisebericht
zu verwandeln.
Mail im Blick mit Geary
Die Mail hat als Kommunikationsmittel noch lange nicht ausgedient.
Damit bei der Vielzahl der Nachrichten nicht die
Übersicht verloren geht, hat das Entwicklerteam rund um den
Mailclient Geary einen neuen Ansatz gewählt.
Scannen mit Vuescan
Das kommerzielle Programm Vuescan lockt mit dem Versprechen,
die Daten vom Scanner perfekt aufzubereiten und bei
der Arbeit mit vielen Funktionen zu unterstützen. Unser Test
zeigt, ob die Applikation das Versprechen einlöst.