GUUG e.V.
Grube-Nassau-Straße 3
56462 Höhn
kontakt@guug.de
Impressum

Abstracts

OpenStack in der Praxis
von Christoph Arnold
Dienstag, 23.2.2016 10:00-18:00 und
Mittwoch, 24.2.2016 10:00-18:00

Das zweitägige Tutorium "OpenStack in der Praxis" richtet sich an alle, die sich genauer mit Cloud Computing und OpenStack befassen wollen. Teilnehmer dieses Tutoriums sollten erfahrene Linux-Systemadministratoren sein, die tiefer in die Praxis von OpenStack einsteigen wollen. Im Verlauf des Tutoriums erfahren die Teilnehmer, wie sie ihre Cloudumgebung von Grund auf selber planen, einrichten und verwalten.

Noch bevor die Teilnehmer tief in die Praxis einer OpenStack Umgebung einsteigen, lernen sie die Hintergründe und Grundlagen von OpenStack kennen: Was ist eine Cloud und welche Typen gibt es? Wie kam es zur Entwicklung von OpenStack und wie ist der aktuelle Stand? Welche grundlegenden Komponenten hat eine OpenStack-Umgebung, wie interagieren sie miteinander und welche optionalen Erweiterungen stehen für den späteren Ausbau zur Verfügung?

Der eigentliche Aufbau der eigenen Cloud beginnt mit der Installation und Konfiguration von Keystone, dem Identity Service, zur zentralen Authentifizierung. Ist die Authentifizierung eingerichtet, werden die übrigen Komponenten darauf aufbauend konfiguriert. Die Verwaltung von Maschinenimages übernimmt Glance, der Image-Service. Der Compute-Dienst Nova übernimmt dann die Verwaltung der Instanzen. Block Storage kann über den Dienst Cinder bereitgestellt werden. Wie die Instanzen miteinander und der Außenwelt verbunden sind, bestimmt der Netzwerkdienst Neutron. Mit Horizon steht dem Administrator neben der Kommandozeile ein webbasiertes Frontend zur Verwaltung der Cloud zur Verfügung. Heat übernimmt die automatisierte Verwaltung von Infrastruktur-Ressourcen für Cloudanwendungen. Die Ressourcen überwacht und erfasst Ceilometer.

Für das Tutorium werden virtuelle Maschinen bereitgestellt, die die benötigte Software enthalten, es ist bitte ein Laptop mitzubringen, der folgende Voraussetzungen erfüllt:

  • VirtualBox oder KVM als Hypervisor
  • mindestens 4GB besser 8GB RAM, mindestens 2 CPUs, 30GB Festplatte

Der grundlegende Umgang mit dem eingesetzten Hypervisor sollte bekannt sein, insbesondere die Einrichtung der virtuellen Maschine sowie der Netzwerkkonfiguration.

Über den Referenten:

Christoph Arnold konzipiert und realisiert Cloudumgebungen mit OpenStack und Hochverfügbarkeitslösungen. Zu seinen Kernthemen gehören Linux Cluster und Cluster-Dateisysteme. Darüber hinaus beschäftigt er sich seit Jahren mit dem Aufbau virtualisierter Umgebungen mit Open-Source-Tools. Er ist seit 2009 als Linux Consultant und Trainer für die B1 Systems GmbH tätig.

Puppet4 – richtig aufsetzen, nutzen und migrieren
von Martin Alfke
Dienstag, 23.2.2016 10:00-18:00 und
Mittwoch, 24.2.2016 10:00-18:00

Puppet wird bereits von vielen Firmen und Privatpersonen als Konfigurationsmanagement zur Verwaltung von kleinen und großen Infrastrukturen eingesetzt. Viele Systemadministratoren bevorzugen die Software, weil sie nicht programmieren müssen, sondern statt dessen eine Abstraktionssprache (Puppet DSL) verwenden können. Die bestehenden Puppet-Implementierungen sind aber oft auf einem alten Stand und ein Update wird nicht gemacht.

Dieses Tutorium richtet sich an Anwender von Puppet, die wissen wollen, wie man eine bestehende Puppet-Infrastruktur auf Puppet 4 aktualisiert und an Interessierte, die die Funktionen der neuen Version 4 kennenlernen wollen.

Im Laufe des Tutoriums werden die Teilnehmer bestehenden Puppet-3-Code analysieren und mit Hilfe von Tests herausfinden, ob der Code auch auf Puppet 4 funktioniert. Weiterhin werden sie die Unterschiede zwischen einem Update und einer Migration auf Puppet 4 erfahren. Danach wird auf die neuen Funktionalitäten in Puppet 4 eingegangen.

Die Teilnehmer brauchen erweitertes Wissen in der *nix Systemadministration auf LPI-2 Niveau und müssen Erfahrungen im Umgang Puppet haben (Puppet Fundamentals/Practitioner Training oder mindestens drei Monate intensive Arbeit mit Puppet). Der Workshop wird mit Hilfe von virtuellen Maschinen durchgeführt. Jeder Teilnehmer sollte eine von Puppet unterstützte VM mitbringen (zum Beispiel Debian, CentOS, RHEL oder SLES).

Über den Referenten:

Martin Alfke ist Mitgründer und Geschäftsführer der example42 GmbH und langjähriger PuppetLabs Training Partner. Seit Oktober 2015 unterstützt er als erster europäischer PuppetLabs Certified Consultant Groß- und Enterprisekunden im Puppetumfeld.

Plattformübergreifende Dateidienste sicher anbieten
von Michael Weiser und Daniel Kobras
Abgesagt
Dienstag, 23.2.2016 10:00-18:00 und
Mittwoch, 24.2.2016 10:00-18:00

Das Tutorium behandelt die Implementierung sicherer Dateidienste für Unix-, Linux- und Windows-Clients. Es wendet sich an Administratoren, die in ihren Umgebungen Dateidienste über SMB oder NFS anbieten und nun die Sicherheit dieser Services erhöhen möchten. Dazu werden folgende Netzwerkdateisysteme betrachtet:

1. SMB: Hier soll gezeigt werden, wie Linux- und Unix-Systeme SMB nach aktuellem Sicherheits- und Komfortstandard als Client nutzen und mittels Samba lokale Dateisysteme als SMB-Freigaben exportieren. Es werden neue Funktionen und Möglichkeiten der SMB-Protokollversionen 2 und 3 am Beispiel des Windows-internen Dateidienstes sowie des Dateidienstes von Samba4 vorgestellt (aber nicht die Active-Directory-Domänencontrollerfunktionalität). Dabei wird besonders auf sichere und komfortable Authentisierung mit Kerberos eingegangen. Schließlich werden die Möglichkeiten und Stolpersteine des Einbindens in das Client-Dateisystem nach typischer Unix-Semantik (mount) betrachtet.

2. NFSv4: Die aktuelle Version des traditionellen Netzwerkdateisystems für Unix-Systeme wird vorgestellt. Neue Funktionen und abweichende Arbeitsweisen werden erläutert. Auch hier wird besonders auf die Sicherheitsmechanismen und starke Authentisierung mit Kerberos eingegangen. Aktuelle Entwicklungen in Linux, wie GSS-Proxy, die Kernel-Keyring-Infrastruktur und die Rückkehr des NFS-Servers in den Userspace mit NFS-Ganesha, runden den Überblick ab.

3. OpenAFS: Mit AFS eröffnet sich die Möglichkeit eines einheitlichen Dateidienstes für Unix-, Linux- und Windows-Clients. Verglichen mit SMB und NFS entsteht hier ein höherer Migrationsaufwand, da kein vorhandenes lokales Dateisystem exportiert, sondern ein komplett neues erstellt wird. AFS nutzt ebenfalls Kerberos für Authentisierung und Datensicherung. Auch hier wird auf aktuelle Entwicklungen wie die Unterstützung starker Verschlüsselung in OpenAFS eingegangen.

Die Sicherheit der einzelnen Varianten unterscheidet sich hinsichtlich der Kriterien Daten-Integrität, -Vertraulichkeit und Authentisierung. Zusammen mit den Teilnehmern werden die einzelnen Lösungen im Verlauf des Workshops daraufhin analysiert und bewertet. Als Infrastruktur dient ein Active Directory, vor allem zur Bereitstellung des Kerberos-Dienstes. Die für das Verständnis notwendigen Grundlagen von Kerberos werden im Workshop eingeführt. Vorkenntnisse zu Kerberos werden nicht benötigt.

Voraussetzungen: Grundlegendes Know-How in der Linux-Netzwerkadministration. Grundkenntnisse zu LDAP, Samba und NFS sind empfehlenswert.

Mitgebrachte Rechner sollten folgende Voraussetzungen erfüllen:

  • frisch installiertes, nicht produktiv genutztes Linux einer aktuellen Distribution, das weitreichend umkonfiguriert werden kann. Debian 8 ist empfohlen, aktuelle Versionen von Ubuntu, OpenSuSE und Fedora sind möglich; abweichende Distributionen auf eigene Gefahr des Teilnehmers (gegebenenfalls ist das Übersetzen fehlender Software nötig -- wir unterstützen dabei);
  • Möglichkeit zum Nachinstallieren von Distributionssoftware (Installations-CDs oder Online-Repositories via Netzwerk);
  • Optional ein frisch installiertes, nicht produktiv genutztes Windows 7 oder höher (Professional/Ultimate, keine Home Edition);
  • Je eines oder auch beide Systeme können virtualisiert laufen. Sie benötigen dann direkten Zugriff auf das Netzwerk (bridged mode).
  • Auf Anfrage stellen wir virtuelle Maschinen mit Debian und Windows zur Verfügung. Hierfür ist ein aktueller, installierter und funktionsfähiger VMware-Player oder Workstation mitzubringen und der Umgang damit zu beherrschen.
Über die Referenten:

Michael Weiser und Daniel Kobras sind als Senior Solution Architects bei der science+computing ag beschäftigt. Dort begleitet Michael Weiser seit 2004 Projekte und Workshops zu den Themen LDAP, Kerberos und AD-Integration sowie High-Performance-Computing. Daniel Kobras arbeitet unter anderem an skalierbaren Speicherlösungen für Kunden der Automobilindustrie.

Ceph für Einsteiger: in einem Tag zum Storage-Cluster
von Florian Haas
Dienstag, 23.2.2016 10:00-18:00

Im Tutorial gewinnen Teilnehmer einen tiefen Einblick in die Architektur, das Design und die Implementierung des verteilten Speichersystems Ceph sowie nehmen einen eigenen Ceph-Cluster in Betrieb. Der Workshop behandelt dabei die Themen Ceph-Design und -Architektur, Object Storage und horizontale Skalierbarkeit. Er geht ein auf die unterschiedlichen Komponenten eines Ceph-Speichersystems und deren Installation und Konfiguration. Im Tutorial erfahren die Teilnehmer Details über den Storage-Algorithmus CRUSH und seine Feinabstimmung.

Die Teilnehmer gehen weiterhin auf die verschiedenen Clientkomponenten in einem Ceph-System ein: Sie behandeln RBD und CephFS sowie RADOS-Clientbibliotheken und Radosgw. Sie werden im Rahmen des Workshops einen eigenen Ceph-Cluster in Betrieb nehmen. Ceph-Vorkenntnisse sind nicht erforderlich; solides Linux-Grundwissen wird allerdings erwartet. Ebenso notwendig ist ein Laptop, auf dem Teilnehmer aber für diesen Workshop nicht mehr benötigen als einen SSH-Client und einen Webbrowser.

Über den Referenten:

Florian Haas ist seit 2012 in der Ceph-Community aktiv und hat zum Thema bereits auf dem OpenStack Summit, LinuxCon, CloudOpen und linux.conf.au gesprochen. Er leitet hastexo, ein auf Open-Source-Cloud-Technologie spezialisiertes Professional Services-Unternehmen.

Automatisierung mit SaltStack
von Thorsten Kramm
Dienstag, 23.2.2016 10:00-18:00

SaltStack (kurz: Salt) ist eine Open-Source-Software zur Automatisierung der Konfiguration von Serversystemen. Mit SaltStack lassen sich beispielsweise Software-Pakete installieren und konfigurieren sowie beliebige Konfigurationsbefehle von einem zentralen Rechner aus auf einer Vielzahl verwalteter Server ausführen. Administratoren legen auf einem Server zentral die Konfiguration anderer Rechner fest, die die Management-Software dann auf den Clients umsetzt. Mit SaltStack verwalten Systemverwalter kleine Umgebungen sowie große Setups mit mehreren tausend Servern. Der große Vorteil von SaltStack ist der einfache Einstieg.

Der Workshop geht mit konkreten Übungen auf folgende Aspekte ein. Dazu gehören die Installation von Master und Minion, das Ausführen von Kommandos auf entfernten Systemen und die Differenzierung von Systemen mit Grains. Teilnehmer lernen das Anlegen und Ausrollen von Konfigurationen (Stalt States), diese Salt State zu strukturieren und Konfigurationen dynamisch mit Jinja zu gestalten. Thema ist ebenfalls das Speichern und Verwenden von Variablen mit Pillars.

Dies ist ein langer Workshop. Ziel ist es, konkreten und praktischen in Salt und die Systemautomatisierung einzusteigen. Die Teilnehmer benötigen einen Laptop mit SSH-Client. Jeder Teilnehmer bekommt zwei virtuelle Maschinen in der Cloud gestellt, um alle Beispiele konkret umzusetzen. Gute Linuxkenntnisse sowie der sichere Umgang mit der Bash und einem Editor wie dem Vi werden vorausgesetzt.

Über den Referenten:

Thorsten Kramm beschäftigt sich seit 1999 mit IT-Systemen im Unternehmenseinsatz. In verschiedenen Firmen leitete er die IT-Abteilungen. Frustriert über die mangelnde Benutzerfreundlichkeit von CfEngine3 kam er zu SaltStack. Als Berater hat er in vielen Firmen Zabbix eingeführt und große Setups aufgebaut.

Thorsten Kramm beschäftigt sich nicht nur mit den technischen Details von IT-Systemen. Sein Augenmerk gilt auch den Softskills und der menschlichen Komponente. Ein System funktioniert nur so gut, wie die Menschen, die es betreiben. Thorsten Kramm gibt Trainings zu den Themen Monitoring, IT-Automatisierung und Kanban in der IT. Er lebt und arbeitet in Berlin.

Continuous Delivery of Continuous Delivery
von Gerd Aschemann
Mittwoch, 24.2.2016 10:00-18:00

Viele Organisationen haben in den letzten Jahren eine Plattform für Continuous Integration oder gar Continuous Delivery aufgebaut. Man kann auch die Plattform selbst nach dem Prinzip "Infrastructure as Code" erstellen und kontinuierlich reproduzieren und testen, sie also zum Gegenstand einer Continuous Delivery Strategie machen. Damit lässt sich nicht nur die Funktionsfähigkeit der Plattform permanent prüfen und garantieren, sondern es können auch sehr leicht weitergehende Use Cases abgebildet werden, beispielsweise die Weiterentwicklung oder das Upgrade einer Komponente, die Integration neuer Komponenten und Plugins oder der Austausch einer Komponente. Außerdem lassen sich beispielsweise Mitarbeiter oder Entwickler damit schulen oder komplexe CI-/CD-Prozesse testen, beispielsweise das Release von Komponenten.

Im Tutorial wird eine Referenz-Plattform vorgestellt und von den Teilnehmern selbst nachgebaut (Hands-On). Die Plattform besteht aus typischen Open Source-Komponenten, wie sie sich im Java-/Enterprise-Umfeld finden, darunter einem SCM-Manager (Source Code Management mit SVN, Git oder Mercurial), einem Artifact-Repository wie Nexus und Jenkins als Build-Server. Die Qualitätssicherung übernimmt SonarQube. Die Plattform wird als virtuelle Maschine mit Vagrant und Puppet aufgebaut, die Komponenten werden weitgehend als Docker-Container installiert.

Das Tutorium stellt zunächst die Komponenten Vagrant, Docker sowie CI/CD-Server (Nexus, Jenkins, SCM-Manager, SonarQube) zum Aufbau der eigenen CI/CD-Plattform vor. Am Ende des Tutorials sollte jeder Teilnehmer mit seiner Variante ein Referenz-Projekt bauen und ausliefern können, beispielsweise auf der Basis von Spring-Boot.

Voraussetzung zur Teilnahme sind grundlegende Kenntnisse in der Linux-Administration oder Erfahrungen im DevOps-Bereich (Build-/Konfigurationsmanagement), sowie im Skripting und Versionskontrolle mit SVN oder Git. Technische Voraussetzung ist ein eigener Laptop mit mindestens 4 GByte RAM, 20 GByte Platz auf der Festplatte sowie vorinstalliertem, aktuellem Vagrant und VirtualBox.

Über den Referenten:

Gerd Aschemann ist als freiberuflicher Berater im Java-Umfeld unterwegs. In den letzten Jahren hat er mehrfach für kleine und große Unternehmen Plattformen für Continuous Integration/Delivery aufgebaut. Er berät in grundlegenden Fragen zum Thema Build-, Konfigurations- und Versionsmanagement. Er hat schon mehrere JEE-Projekte als ausführender Software- und Systemarchitekt in die Produktion überführt. Gerd Aschemann hat an der TU Darmstadt Informatik studiert und im Anschluss dort einige Jahre als wissenschaftlicher Mitarbeiter mit dem Schwerpunkt "Management Verteilter Systeme/Konfigurationsmanagement" geforscht.

PDF-KungFoo mit Vim (und ein paar Spezial-Tools)
von Kurt Pfeifle
Mittwoch, 24.2.2016 10:00-18:00

PDF-Dateien untersuchen, verstehen, debuggen, analysieren und modifizieren erscheint trivialer als es sich im Detail darstellt. Dabei repräsentiert PDF das zweit-wichtigste Dokumentenformat der heutigen Zeit nach reinem Text. Weil zwar jeder die damit verbundenen Werkzeuge verwendet, aber kaum einmal richtig in sie reinschaut, führt dieses Tutorium etwas hinter die Kulissen.

Teilnahmevoraussetzung: Interesse am Thema, kein weiteres Vorwissen erforderlich. Dieses Tutorium gibt Hilfestellungen für Teilnehmer, die mehr über PDFs wissen, lernen und forschen wollen und Interesse daran haben, solche zu analysieren, sezieren, verändern, modifizieren, manipulieren oder zu debuggen. Es besteht aus drei Teilen:

In der ersten Stunde schreibt der Vortragende "live am Beamer" eine einfache PDF-Datei nur mit einem Text-Editor -- selbstverständlich mit Vim. Dabei erläutert er Schritt für Schritt die wichtigsten Syntax-Elemente der PDF-"Sprache". Kein Byte bleibt unerklärt! Parallel zum fortschreitenden PDF-Code führt er einige Kommandozeilen-Tools vor. Deren Ausgabe zeigt an, ob und wann der Code die ersten Anzeichen von "PDF-Sein" erkennen lässt.

Hand-in-Hand mit dem Fortschreiten dieses "Hello World"-PDF-Dokuments zeigt er relevante Abschnitte der offiziellen PDF-Spezifikation. Seine Lese-Hinweise hierzu werden dem ambitionierten Teilnehmer einen Kickstart verschaffen, um diese ansonsten schwer verdauliche Kost zu bewältigen. Sobald das "Hello, World!"-PDF erfolgreich im PDF-Viewer rendert, geht das Tutorium noch tiefer und fragt, wie Anwender die Seiten-Dimensionen ändern, eine Seite rotieren, die Schriftfarbe ändern oder das Seiten-Bild verzerren. Sie lernen, wie man eine Schrift unsichtbar macht, ein Viereck zeichnet und ein Bild einfügt. Den Abschluss des Abschnitts bildet die Frage, wie sich Schriften einbetten lassen.

Der zweite Teil dreht sich dann Real-Life-PDFs: Warum sehen die im Text-Editor so viel anders aus, als das selbst-geschriebene Dokument der ersten Stunde? Welche Tools gibt es, die meine Echte-Welt-PDFs in eine Form überführen, die sich für ein Öffnen im Text-Editor eignet? Welche anderen Werkzeuge gibt es, um PDFs zu analysieren, zu debuggen oder zu manipulieren und zu ändern?

Der dritte Teil behandelt als Bonustrack je nach verbliebener Zeit noch Spezialfragen: Warum kann man die Schrift auf PDF-Seiten manchmal klar und deutlich lesen, aber den dargestellten Text trotzdem nicht sauber rauskopieren? Wo und wie kann man Nachrichten in PDFs verstecken? Wo und wie stellen Teilnehmer fest, ob ein PDF-Dokument unbeabsichtigterweise vertrauliche Informationen enthält, die sie besser ganz entfernen?

Die Teilnehmer haben die Möglichkeit, dem Referenten vorab Problemstellungen und Fragen mit Beispiel-Dateien zukommen zu lassen, die er im Tutorium beantwortet. Lese-Hinweise: PDF-KungFoo mit Ghostscript & Co. -- Ein E-Book, das ebenfalls zum Thema gehört. Mehrere, vom Autor handgeschriebene PDFs, die unterschiedliche Aspekte der PDF-Syntax demonstrieren

Das Tutorium besteht vorwiegend aus Live-Vorführungen. Folien-Vorführungen am Beamer beschränken sich auf ein Minimum. Teilnehmer werden weitere Unterlagen mit Übungs-Blättern sowie Folien in digitaler Form als Tarball erhalten, die sie dann zum Nacharbeiten und Üben zuhause verwenden können.

Über den Referenten:

Kurt Pfeifle ist Freiberufler im IT-Bereich. Er ist spezialisiert auf Themen rund um's Drucken: CUPS, IPP, IPP Everywhere, Druckdaten, Druckdaten-Konvertierungen, PostScript, PDF, AFP, PCL, PJL. Außerdem interessiert er sich brennend für alle Arten von Software, die aus einfachem Markdown-Text andere Dateiformate erzeugen. Pandoc ist dabei augenblicklich sein Favorit; Markdeep ist aber bereits am ersten Tag seiner Veröffentlichung im Oktober 2015 auf den Platz 2 seiner persönlichen Top 10 eingestiegen.

Von Kutschern, Schriftsetzern, Managern und Systemadministratoren
von Johann-Peter Hartmann
Donnerstag, 25.2.2016 9:15-10:15
Die großen Consultancies nennen es "Digitale Transformation", Marc Andreessen nennt es "Software eats the World". Eher aus Versehen haben wir IT-ler mit Unix und Internet etwas angestoßen, dass die ganze Wirtschaft - von Handel über Organisationsdesign bis zum Management - durch den Wolf dreht. Mit den Unternehmen schlägt das jetzt wieder auf die Systemadministratoren zurück, und stellt deren Rollen und Positionen in Frage. Im Gegensatz zu den Managern wird es aber vermutlich auch in Zukunft noch relevante Aufgaben für Administratoren geben.
Über den Referenten: Johann bezeichnet sich als "Chief Tailwind Officer" und sieht Rückenwind für Kollegen, Teams und das Unternehmen als seine oberste Aufgabe. Er mag tatsächlich seine Arbeit mit den Kollegen sehr und ist dankbar dafür, mit ihnen zusammenarbeiten zu dürfen.
IPv6 jenseits der Provider
von Benedikt Stockebrand
Donnerstag, 25.2.2016 10:45-11:30

Nachdem die Mehrheit der Internet Service Provider und Content-Anbieter IPv6 inzwischen halbwegs in den Griff bekommen haben, kommen auch Unternehmen immer mehr in Zugzwang. Hier treten ganz neue Probleme in den Vordergrund: Im Netzwerk selbst nehmen Fragen rund um Netztopologien, Micro-Segmentation, das Vermeiden von flächendeckendem Dual-Stacking und die schwindende Verfügbarkeit von echtem IPv4 ohne DS-Lite für Kunden und die mobilen eigenen Mitarbeiter eine ganz neue Qualität an.

Sobald das Netzwerk IPv6 unterstützt, werden die Anwendungen zu einem großen Problem. Selbstentwickelte Software wird schnell zu einem schwer kalkulierbaren Kostenfaktor, wenn sie niemand mehr wartet oder sie auf Sprachen oder Libraries aufsetzt, die IPv6 nicht unterstützen. Noch kritischer sind extern eingekaufte Produkte, deren Hersteller -- sofern er nicht längst pleite gemacht hat -- die Unterstützung von IPv6 als bequeme Einnahmequelle missbrauchen. Alternativ setzen sie das Protokoll als Hebel ein, um Kunden zum auf ein neues Produkt zu zwingen und damit auch gleich die Support-Verpflichtungen für Altprodukte loszuwerden. In diesen Fällen kann es passieren, dass sich das Problem auch mit Geld nicht mehr einfach aus der Welt schaffen lässt, weil sich der Hersteller schlicht verweigert. Spätestens, wenn die Support-Anfrage nach IPv6-Unterstützung von der Rechtsabteilung des Herstellers beantwortet wird, darf man allmählich nervös werden.

Wenn dann noch eine chronisch überlastete IT nicht unbedingt begeistert auf die Aussicht reagiert, mit IPv6 noch eine zusätzliche und schwer abzuschätzende Baustelle aufgebürdet zu bekommen und das Management typischerweise schon im Vorfeld nach "Planungssicherheit" bei den zu erwartenden Aufwänden verlangt, führt das oft genug dazu, dass IPv6 auf die lange Bank geschoben wird, bis die Probleme unkontrollierbar werden.

Wer IPv6 jedoch in Angriff nimmt, bevor akuter Leidensdruck zu zweifelhaften, aber schnellen Workarounds zwingt, oder es sogar als Gelegenheit sieht, aufzuräumen und diverse Probleme an der Wurzel zu lösen, kann immer noch größere Krisen verhindern. Das Vortrag zeigt, mit welchen Problemen Anwender im Enterprise-Umfeld rechnen sollten, wie sie sinnvoll vorgehen und wie sie mit unschönen Überraschungen umgehen. Es basiert auf den Erfahrungen des Autors in den letzten Jahren.

Über den Referenten:

Benedikt Stockebrand beschäftigt sich seit 2003 als Hauptarbeitsschwerpunkt mit dem Deployment und produktiven Betrieb von IPv6. Er ist international als Trainer und Berater mit seiner Firma Stepladder IT Training+Consulting GmbH tätig. Mit seinem Buch "IPv6 in Practice -- A Unixer's Guide to the Next Generation Internet" (Springer 2006) hat er ein Standardwerk zum Thema IPv6 geschaffen, das frühzeitig die operativen Aspekte von IPv6 zum Thema hatte.

Seit 2014 ist er einer der Chairs der IPv6 Working Group des RIPE; über die operativen Aspekte von IPv6 hinaus ist er auch innerhalb der IETF im Rahmen seiner Möglichkeiten aktiv. Seit einiger Zeit beschäftigt er sich nebenbei auch mit Crypto-Hardware, und dabei insbesondere der Konstruktion, der Validierung und dem Test von Hardware-Zufallszahlengeneratoren. Dabei kooperiert er unter anderem auch mit dem Cryptech-Projekt, das in Folge der Snowden-Enthüllungen im Umfeld der IETF entstanden ist.

Kernel-Log: Aktuelle Entwicklungen beim Linux-Kernel
von Thorsten Leemhuis
Donnerstag, 25.2.2016 10:45-11:30

Der Vortrag gibt einen Überblick über alltagsrelevante Verbesserungen in den beiden neuesten Versionen des Linux-Kernels und dem in Kürze erwarten Linux 4.5. Er beleuchtet ferner einige der entscheidenden Entwicklungen des letzten Jahres und geht auf einige der wichtigsten Techniken ein, an denen die Kernel-Entwickler gerade für das nächste Jahr arbeiten. Der Fokus liegt dabei auf für System- und Netzwerk-Admins wichtige Änderungen -- also bei Bereichen wie Dateisystemen, Netzwerktechniken und Hardware-Unterstützung.

Über den Referenten:

Thorsten Leemhuis schreibt für c't, heise online und heise open das "Kernel-Log", in der er regelmäßig einen Einblick in die Entwicklung des Linux-Kernels liefert.

MARS: Langstrecken-Replikation von Petabytes
von Thomas Schöbel-Theuer
Donnerstag, 25.2.2016 11:30-12:15

MARS Light ist eine Block-Layer Daten-Replikation auf Kernel-Ebene für Langstrecken, das echte Georedundanz hoch verfügbar herstellt. Das Projekt ist bei der 1&1 Internet SE auf mehr als 800 Storage-Servern mit insgesamt mehr als 12 PByte Datenvolumen im Einsatz, hat bereits mehr als 4 Millionen Betriebsstunden ohne nennenswerte Störungen absolviert und bereits ein Teil-Phasen-Stromausfall-Desaster erfolgreich kompensiert.

Der Vortrag erklärt, weshalb Anwender Langstrecken-Replikation bei mehr als 50km Distanz oder über potentielle Netzwerk-Flaschenhälse unbedingt auf Block-Ebene durchführen sollten. Der Unterschied zwischen DRBD und MARS wird herausgearbeitet und einige neuere Features werden erklärt.

Über den Referenten:

Thomas Schöbel-Theuer war Assistent in der Abteilung Betriebsysteme der Universität Stuttgart sowie Vertretungsprofessor für Betriebsysteme und Datenbanken an der Fachhochschule Bingen. In den 1990er Jahren hat er das Original-Konzept des Dentry Cache für den Linux-Kernel entwickelt. Zurzeit arbeitet er bei der 1&1 Internet in Karlsruhe, vor allem an der Replikation großer Datenmengen.

Neueste Entwicklungen in LVM RAID
von Heinz Mauelshagen
Donnerstag, 25.2.2016 11:30-12:15

LVM2 unterstützt seit einer geraumen Weile RAID 1, RAID 4, RAID 5, RAID 6 und eine eingeschränkte Variante von RAID 10 near. Es fällt allerdings noch funktional hinter MD und das Tool Mdadm zurück, obwohl es die Kernel-Komponenten von MD per dm-raid als ein Device-Mapper-Target mitbenutzt. Features wie etwa Takover, Reshape und Verkleinerung bestehender Logical Volumes sind Gegenstand aktueller Entwicklungen in Device-Mapper und LVM2. Der Vortrag gibt eine Übersicht mit Demo der Unterstützung dieser Features in LVM2/Device-Mapper und stellt neue vor, die über die Möglichkeiten von MD hinausgehen.

Über den Referenten:

Heinz Mauelshagen hat in grauer Vorzeit Linux den Logical Volume Manager beigebracht und arbeitet für Red Hat im Dunstkreis von Clustered Storage.

Multi-Context-Firewalling mit Linux und nft
von Hendrik Schwartke
Donnerstag, 25.2.2016 13:45-14:30

Linux bietet seit vielen Jahren umfangreiche, stabile und sichere Funktionen zur Filterung von Netzwerkpaketen. Die hiermit realisierbaren Sicherheitslösungen reichen von der Absicherung einzelner Server über die Realisierung einfacher Paketfilter bis hin zu komplexen und hochverfügbaren Firewallsystemen.

Die Architektur dieser Funktionen geht jedoch auf das Jahr 2001 zurück und zeigt altersbedingt einige Schwächen. Zu nennen sind hier beispielhaft Performanceprobleme beim Filtern großer Datenmengen (10G+), wenn diese komplexe Filterregeln verwenden. Auch ist mit der bisherigen Lösung Netfilter ein atomares Laden eines umfangreichen Filterwerks nicht möglich. Ein weiteres Argument gegen den Einsatz von Linux als Firewalllösung war bislang oftmals die wenig intuitive Syntax des Regelwerks.

Aus diesem Grund wurden die Paketfilterfunktionen des Linux-Kernels als auch die zugehörigen Adminstrationswerkzeuge von Grund auf überarbeitet. Das Ergebnis ist eine zum größten Teil neu implementierte Filterarchitektur innerhalb des Linux-Kernels. Dabei wird nicht mehr jede Regel des Regelwerks durch den Kernel verwaltet und sukzessiv auf jedes Netzwerkpaket anwendet. Stattdessen wird das Regelwerk im User-Space kompiliert und dem Kernel in Form eines Programms übergeben, das auf der Filtersprache des Berkeley Packet Filter (bpf) basiert. Dieses Programm wendet der Kernel auf die eingehenden Netzwerkpakete an und bestimmt so deren weitere Verarbeitung. Dieser Ansatz reduziert nicht nur den Umfang des im Kernel notwendigen Codes, er erlaubt auch wesentlich höhere Datendurchsatzraten im Zusammenhang mit komplexen Regelwerken.

Die für den Firewall-Adminstrator viel offensichtlicheren Änderungen betreffen jedoch die zu verwendenden Werkzeuge. Während die bisherige Administration von Filterfunktionen je nach Einsatzgebiet mehrere Werkzeuge (iptables, ip6tables, ebtables, arptables) benötigte, löst sie zukünftig das einzelne Werkzeug nft ab. In diesem Zuge wurde insbesondere die Syntax von Filterregeln mit dem Ziel überarbeitet, intuitive, leicht lesbare und einheitliche Regelwerke zu ermöglichen.

Der Vortrag zeigt neben den grundlegenden Eigenschaften der modernen Filterarchitektur auch weiterführende Konzepte. Im Mittelpunkt steht die Frage, wie Admins am Übergang zwischen Netzen effizient filtern, die administrativ und organisatorisch unabhängig sind. Dies kann durch die Virtualisierung der Firewallfunktion mit Hilfe von Namespaces erfolgen. Hiermit können die Administratoren unabhängige Filterwerke für die unterschiedlichen Netzwerke definieren. Der Vortrag demonstriert daher eine Multi-Context-Firewall, die mehrere netzwerkspezifische Regelwerke auf Basis von Linux und nft gleichzeitig implementiert.

Das Zielpublikum des Vortrags umfasst in erster Linie Administratoren, die bereits Erfahrungen mit der Administration einer (Linux-) Firewall haben.

Über den Referenten:

Hendrik Schwartke arbeitet seit 2010 als IT-Sicherheitsspezialist für OpenSource Security Ralf Spenneberg. Zu seinen Aufgabengebieten gehören neben der sicherheitstechnischen Analyse von Open-Source-Software das Untersuchen von eingebetteten Systemen. In dieser Funktion war er maßgeblich an der Konzeption des Fuzzing-Frameworks vUSBf zur systematischen Ermittlung von sicherheitskritischen Fehlern in Betriebssystemtreibern beteiligt. Ferner ist er Autor der Sicherheitsanalyse SUSIv8, die im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik entstand und die sich mit den Eigenschaften des Unified Extensible Firmware Interface (UEFI) befasst. Zuvor studierte er an der Fachhochschule Münster, erwarb dort im Jahr 2010 einen Abschluss zum Master of Science im Studiengang Informationstechnik sowie im Jahr 2008 einen Abschluss zum Bachelor of Science im Studiengang Angewandte Informatik.

Samba Status Update
von Volker Lendecke
Donnerstag, 25.2.2016 13:45-14:30

Der Vortrag stellt den aktuellen Stand der Samba-Entwicklung dar. Mit Samba 4.2 von März 2015 und 4.3 von September 2015 sind einige wesentliche Verbesserungen hinzugekommen. Dazu zählen beispielsweise Performanceverbesserungen: Die Samba-Basisinfrastruktur TDB und das Samba-interne Messaging haben große Verbesserungen und Umstrukturierungen erfahren. Mit Samba 4.3 ist ein deutlich skalierbareres System für FileChangeNotify hinzugekommen.

Ctdb ist nun Teil von Samba. Die Software ist als AD-Mitglied sicherer geworden: Der Winbind verlangt nun signierte Verbindungen zum Domain Controller, um MITM-Angriffe zwischen winbind und Domain Controller zu unterbinden. Die neue Version hat SMB2-Leases eingeführt. Diese und weitere Entwicklungen werden im Vortrag vorgestellt.

Über den Referenten:

Volker Lendecke ist Mitgründer der SerNet GmbH in Göttingen und Mitglied des Samba Teams.

Securing Security with DANE
von Patrick Koetter
Donnerstag, 25.2.2016 14:30-15:15

TLS bietet vor und während des Session-Aufbaus Angriffspunkte, um den Client mit dem falschen Server zu verbinden. Im ungünstigsten Fall liefert der Client im guten Glauben die Daten bei einem Angreifer ab. Client-seitiges Certificate Pinning bietet Abhilfe, aber es ist aufwändig in Aufbau und Pflege. Viele meiden Certificate Pinning deshalb.

DANE, ein neuer RFC-Standard, löst dieses und andere Probleme. Es spezifiziert ein Framework, über das sich TLS-Policys, sicherheitsrelevante Daten wie etwa Public Keys von PGP oder S/MIME-Zertifikate über einen vertrauenswürdigen Kanal verteilen lassen.

Über den Referenten:

Patrick Koetter ist einer der Ziehväter von DANE. Als Lektor hat er gemeinsam mit Viktor Dukhovni und Wes Hardaker am "SMTP DANE RFC" gearbeitet. Mit seiner Firma sys4 hat er den "DANE Validator" entwickelt, um Administratoren ein Werkzeug zur Qualitätssicherung bei der Implementierung von DANE an die Hand zu geben. Zusammen dem DENIC, dem BSI und dem Heise Verlag hat Patrick Koetter im Sommer 2015 den DNSSEC-Day veranstaltet. Sein Engagement ist einer der Gründe dafür, dass Deutschland heute weltweit bei der Adaption von DANE führt.

NFS oder die Unmöglichkeit zusammenzuarbeiten
von Daniel Kobras
Donnerstag, 25.2.2016 14:30-15:15

(Eine Tragödie in 16 Gruppen und vier Versionen unter Mitwirkung falscher Rechte, unerwünschter Masken, armer und reicher ACLs.)

Will eine Nutzergruppe ihre Daten zentral speichern und den Zugriff nach Projektteams getrennt verwalten, klingt das nach einer alltäglichen Aufgabe für einen beliebigen Fileserver. Doch wer versucht, die Anforderungen umzusetzen, stößt bald auf eine überraschende Vielzahl an Einschränkungen und Fallstricken. Der Vortrag vergleicht verschiedene Herangehensweisen in Unix-Umgebungen auf Basis des NFS-Protokolls zum Dateiaustausch, beleuchtet kurz diverse Problemstellen in älteren Protokollversionen und zeigt auf, weshalb die Probleme auch mit aktuellen Versionen nicht geringer werden. Spezielles Augenmerk liegt dabei auf der Praxistauglichkeit von NFSv4 ACLs sowie deren Umsetzung in verschiedenen Implementierungen.

Über den Referenten:

Daniel Kobras ist als Senior Solution Architect bei der Tübinger science+computing ag beschäftigt. Zu seinen Schwerpunkten zählen unter anderem die Themen Benutzerverwaltung, sichere Dateidienste und High-Performance Computing.

Æ-DIR – paranoide Benutzerverwaltung für Linux-/Unix-Server mit OpenLDAP
von Michael Ströder und Axel Hoffmann
Donnerstag, 25.2.2016 15:45-16:30

Der Vortrag stellt die Architektur und das Vorgehen für eine paranoide Benutzerverwaltung für Linux mit OpenLDAP vor, die in einem Unternehmen für mehr als 9000 Server eingesetzt wird. Besondere Vorkehrungen wurden getroffen, um die Sichtbarkeit von Benutzern, Gruppen und weiteren Ressourcen so weit wie möglich einzuschränken.

Der Vortrag beleuchtet auch im anlaufenden Betrieb gemachte Erfahrungen und die Erweiterung mit 2-Faktor-Authentifizierung (OATH/HOTP/yubikey). Der Referent hat ihn bereits auf der CLT2015, GPN15 und der LDAPcon 2015 in Edinburgh gehalten.

Über die Referenten:

Michael Ströder arbeitet seit 16 Jahren als freier Berater mit den Schwerpunkten Verzeichnisdienste (LDAP), User-Management (IAM) und angewandte Verschlüsselung.

Axel Hoffmann ist Linux System Administrator bei der 1&1 Mail & Media Development & Technology GmbH in Karlsruhe. Seine Kollegen und er betreuen die Systeme der Webmailer für die Marken GMX, web.de, Mail.com und 1&1. Zuvor studierte er an der Fachhochschule Frankfurt den Master-Studiengang "High Integrity Systems".

Ceph – Aufbau und Anwendung eine objektbasierten Speichersystems
von Christian Schubert
Donnerstag, 25.2.2016 15:45-16:30

Der Vortrag benennt Beweggründe für eine objektbasiertes Speichersystem und erklärt, warum RAID nicht immer Spaß macht. Er erläutert Elemente und Funktionsweise des Software-Defined-Storage (SDS) Systems Ceph und stellt zwei Realisierungsbeispiele und Anwendungen vor: Im OSZimt erstrahlt gebrauchte Hardware im neuen Glanz. Beim Einsatz in einem Krankenhaus hat Ceph die Projektkosten um mehr als 30% reduziert. In seinem Praxisbericht begleiten Ups and Downs, Stolpersteine, Hardware-Einsatz und Ausfallsicherheit das Thema. Anwendungsbeispiele des Storage-Systems ergänzen den Vortrag.

Ceph ist ein quelloffenes, skalierbares, selbstheilendes und softwarebasierendes Speichersystem. Es bietet die Möglichkeit, Daten als Objekt-, Block- und Dateisystem in einer einzigen Plattform zu speichern. Petabyte (1000 Terabyte) große Datenmengen können mehrfach redundant, flexibel verwaltet und unkompliziert genutzt werden. Der Erfahrungsbericht soll zeigen, dass das alles nicht nur wohlklingende Eigenschaften sind, sondern in der Praxis funktioniert.

Über den Referenten:

Christian Schubert ist Lehrer am Oberstufenzentrum Informations- und Medizintechnik in Berlin (OSZ IMT). Er ist mit der Fachleitung CAD beauftragt, unterrichtet das Fach IT-Systeme in den Abschlussjahrgängen der IT-Assistenten und bereitet die Linux-Enthusiasten der Fachinformatiker auf die LPIC-Zertifizierung vor. Darüber hinaus betreut er die externe Serverlandschaft des OSZ IMT.

Schwachstellen gescannt, 6.000 Stück gefunden. Was nun?
von Alexander Koderman
Donnerstag, 25.2.2016 16:30-17:15

Nachdem selbst der Senior VP von Norton Antivirus den Virenscanner für tot erklärt hat, übernimmt nach und nach der Schwachstellen-Scan die Rolle der Last Line of Defense im internen Netzwerk. Anders als bei Schadsoftware -- die man entfernt -- gestaltet sich hier aber der Umgang mit dem Scan-Ergebnis als die eigentliche Herausforderung. Wo wurden Schwachstellen gefunden? Wer ist für welche Software auf welchen Systemen zuständig? Kann der Patch installiert werden? Und was, wenn es keinen Patch gibt, oder eine Abhängigkeit zu einer alten fehlerbehafteten Software existiert?

Der Vortrag zeigt die Vorgaben aus Standards wie BSI IT-Grundschutz sowie ISO 27001 zum Umgang mit dem Thema und liefert praktische Lösungen bis hin zur Tool-Unterstützung: Er kombiniert die beiden Open-Source-Tools OpenVAS und Verinice, die einen gemeinsamen Workflow zum Entdecken und Beheben der Schwachstellen bis hin zur automatischen Bestätigung des erfolgreichen Patches bieten.

Über den Referenten:

Alexander Koderman (PMP, CISA, BSI-zert. Auditor, ISO 27001 Lead Auditor) leitet die Abteilung "Certifications & Audits" bei der Göttinger SerNet GmbH und ist Product Owner von Verinice, dem Open-Source-Tool für Informationssicherheitsmanagement.

Von der Bourne- zur POSIX-Shell und weiter
von Jörg Schilling
Donnerstag, 25.2.2016 16:30-17:15

Der Vortrag beschreibt die Geschichte der Bourne-Shell und seiner Abkömmlinge sowie Nachbauten, die Unterschiede zwischen den einzelnen Implementierungen und den aktuellen und geplanten Entwicklungen des POSIX-Standards. Er beginnt mit einem Abriss der Shell-Entwicklung von der Thompson-Shell bis zur Bourne-Shell, die Funktionen besaß.

Die Geschichte der Korn-Shell und die Erweiterungen der Bourne-Shell im Rahmen der SVR4-Entwicklung markieren Grundlagen, die Neuentwicklungen wie Bash, die Almquist-Shell sowie abgeleitete Versionen wie dash und dtksh motivieren. Der Vortrag erklärt, wie sich die Shells unterscheiden und was zu beachten ist, wenn man portable Skripte schreiben will. Er diskutiert, welche Eigenschaften der Korn-Shell, die zum Vorbild des aktuellen POSIX-Standards wurde, dort ganz bewusst Einzug fanden.

Aktuelle Entwicklungen in den diversen Shells sind Erweiterungen der eingebauten Kommandos und eine damit verbundene Problematik des Namensraums. Hier wurden kürzlich Änderungen in der POSIX-Definition vorgenommen, die in Kürze als SUSV7 tc2 erscheinen. Ab Frühjahr 2016 sollen weitere Erweiterungen für SUSv8 in den POSIX-Standard Einzug finden, die größtenteils der Entwicklung der ksh93 entstammen. Auch auf diese Erweiterungen, etwa der geplanten Beseitigung der Sonderstellung eingebauter Kommandos, wird der Vortrag eingehen.

Über den Referenten:

Jörg Schilling hatte seinen ersten bezahlten Unix-Job 1982 mit UNOS, dem ersten Unix-Klon, der echtzeitfähig war. Er schrieb den ersten LRU-History-Editor 1982 und eine Shell mit integrierten History-Editor 1984. Im Februar 1985 arbeitete er an der ersten nach Europa geholten Sun. 1986 schrieb er den ersten generischen SCSI-Treiber und 1988 einen Treiber, der ein Block-Device in einer Datei emuliert. Zwischen 1988 und 1991 entwickelte er das erste Copy-on-Write Dateisystem. 1995 schrieb er cdrecord.

Sind wir mit dem IT-Sicherheitsgesetz auf dem richtigen Weg?
von Wilhelm Dolle
Donnerstag, 25.2.2016 17:15-17:45

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Es soll den Schutz der Bürgerinnen und Bürger sowie die Sicherheit von Unternehmen im Internet verbessern. Erklärtes Ziel ist, die digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Dennoch bleiben viele Fragen offen, nicht nur bei den Betreibern von kritischen Infrastrukturen selber sondern auch bei Dienstleistern, Hart- und Softwareanbietern und Sicherheitsexperten.

Der Vortragende hat in den letzten Jahren verschiedenen Studien zum Thema "Sicherheit in kritischen Infrastrukturen" in diversen betroffenen Branchen und zum IT-Sicherheitsgesetz durchgeführt. Auf dieser Basis und aus vielen Projekten in diesem Umfeld soll die Frage beantwortet werden, ob und in welcher Weise das neue IT-Sicherheitsgesetz geeignet ist, das Sicherheitsniveau in Deutschland effektiv zu verbessern. Wie lassen sich die Anforderungen sinnvoll technisch und organisatorisch umsetzen?

Über den Referenten:

Wilhelm Dolle verantwortet als Partner der KPMG den Bereich Security Consulting. Er verfügt über mehr als 20 Jahre Berufserfahrung und ist Experte sowohl für technische als auch organisatorische Aspekte der Informationssicherheit. Dazu gehören etwa Risiko- und Sicherheitsanalysen, der Aufbau von Informationssicherheitsmanagementsystemen bis zur Zertifizierungsreife, aber auch Themen wie Penetrationstests und digitale Forensik.

Wilhelm Dolle beschäftigt ebenfalls intensiv mit regulatorischen Anforderungen an die Informationssicherheit und das IT-Risikomanagement. Er hat einige Studien zum IT-Sicherheitsgesetz und zur Sicherheit in kritischen Infrastrukturen verfasst, ist Autor zahlreicher Artikel in Fachzeitschriften und hat Lehraufträge an verschiedenen Hochschulen inne.

Gnuplot – Malen mit Zahlen
von Harald König
Donnerstag, 25.2.2016 17:15-18:15

Gnuplot ist in der Unix-Werkzeugkiste des Referenten seit langem nicht mehr wegzudenken. Das Werkzeug kann viel mehr, als nur mathematische Funktionen schön zu darzustellen. Wann immer man ein paar Zahlen antrifft, die irgendwie in zusammengehören (ob Spritpreise, das Wetter oder sogar die Lottozahlen) -- eine Grafik verdeutlicht Zusammenhänge und Entwicklungen. Und das lässt sich einfach mit nur wenigen, intuitiven Befehlen bewerkstelligen.

Im Vortrag wird anhand von Beispielen erklärt, wie man Zahlen in informative und skalierbare Grafiken verwandelt, wie man mit Gnuplot Daten auswertet und Kurven-Fits an Ausgleichsfunktionen in Sekundenschnelle erstellt.

Über den Referenten:

Harald König hat Physik in Tübingen studiert, arbeitet seit 1985 mit VMS und TeX, seit etwa 1987 mit Unix und mit Linux seit Ende 1992 (Kernel 0.98.4). Er hat den Support für XFree86 S3-Treiber von 1993 bis 2001 geleistet.

Von 2001 bis 2014 war er bei science+computing ag in Tübingen mit der Software-Entwicklung und beim Consulting im Linux-Umfeld von technisch-wissenschaftlichen Embedded-Portierungen beschäftigt. Seine Spezialität sind das Lösen von technischen Problemen, X11- und Kernel-Debugging, Anpassungen aller Art -- am liebsten mit vielen kleinen Shell-Helferlein. Seit 2014 arbeitet er bei der Bosch Sensortec GmbH in Kusterdingen/Reutlingen als "System Experte" an Linux- und Android-Treibern.

Automatic Server Hardening
von Patrick Meier
Donnerstag, 25.2.2016 17:45-18:15

Im Internet bereitgestellte Dienste sollten durch eine besonders gehärtete Serverkonfiguration abgesichert werden. Bei einer größeren Zahl von Servern, insbesondere in der Cloud, bietet es sich an, die Härtung mit Hilfe des Konfigurationsmanagements durchzuführen. Dazu wird jeder betriebene Server separat und individuell gegen äußere Angriffe abgesichert: Das Open-Source-Projekt "Automatic Server Hardening", führt eine Basissicherung von Servern durch.

Die Härtung integriert sich dabei in Tools wie Ansible, Puppet oder Chef. Sie werden als Chef-Cookbooks und Puppet-Module bereitgestellt und sind für Red Hat, Ubuntu, Oracle Linux und Debian getestet. Neben Kosten- und Zeitersparnis profitieren davon unter anderem Testumgebungen, die bislang kein Budget für eine ausreichende Härtung hatten. Sie erhalten per günstiger Härtungsbereitstellung Sicherheit nach Konzernstandard. Konzerne wie die Deutsche Telekom, gewinnen außerdem einen umfassenden Überblick über die Serverkonfigurationen, da Server nach einem einheitlichen Standard gehärtet werden.

Dies erleichtert das Compliance-Checks. Projekte erhalten so eine höhere Qualität und einen Sicherheitsstandard, der den Prüfprozess der Konzernsicherheit verbessert und beschleunigt. Automatic Server Hardening steht unter einer Open-Source-Lizenz zur Verfügung.

Über den Referenten:

Dominik Richter ist ein führender Experte sowohl für Sicherheit als auch Automation. Er ist der Erfinder des Hardening Framework und ein wesentlicher Treiber für dieses Projekt und Gründer von Vulcanosec. Übrigens spricht er Chef nativ.

Christoph Hartmann ist einer der erfahrensten Full-Stack-Entwickler. Er spricht unzählige Sprachen, kennt jeden Core Service und ist ein Meister der Automatisierung. Er ist Mitbegründer des Projektes und verantwortet dessen komplette CI-Infrastruktur basierend auf OpenStack und Jenkins.

Patrick Meier kennt die Sicherheit in- und auswendig. Er besitzt sehr gute Kenntnisse sowohl für den Schutz und das Hacken von Systemen, die er zwischen die Finger bekommt. Er ist für die Sicherheit vieler unternehmenskritischer IT-Systeme der Deutschen Telekom zuständig und kennt unzählige kritische Sicherheitslücken. Er ist Mitbegründer des Projekts und bestätigt alle unsere Tests und stellt die Umsetzung der höchsten Sicherheitsstandards im Projekt sicher.

Ansible – Konfigurationsmanagement nur einen SSH-Key weit entfernt
von Christoph Berkemeier
Freitag, 26.2.2016 9:15-10:00

Von den Anfängen "Wer-hat-das-installiert?" über selbst geschriebene Shellskripte bis hin zu Software wie Ansible hat sich im Thema Konfigurationsmanagement viel getan. Für den Referenten steht fest: Konfigurationsmanagement eines von den Werkzeugen, die man nicht erst benutzen sollte, wenn man sie wirklich nötig hat.

Ansible setzt sich von anderer Konfigurationsmanagment-Software ab, indem es nicht auf einen Masterserver angewiesen ist. Ansible benutzt SSH anstatt ein eigenen Protokolls. Bootstrap-Probleme hat der Anwender nur, wenn Python 2.X auf seiner frisch installierten Machine fehlt. Wie auch andere Projekte setzt Ansible auf YAML für die Konfigurationsrezepte. Der Vortrag zeigt, was Ansible alles kann und wie man damit grundsätzlich etwas tut.

Über den Referenten:

Christoph Berkemeier administriert und konfiguriert schon seit Jahren alles, was ihm in die Finger kommt. Dabei betätigt er sich auch immer wieder als Systemarchäologe und entdeckt Konfigurationen, vermutlich kultischem Ursprungs, deren genau Bedeutung unbekannt ist. Er hofft, dass dies in Zukunft dank Konfigurationsmanagement seltener werden wird.

Mit Silicon Secured Memory Heartbleed und Co. vorbeugen
von Franz Haberhauer
Freitag, 26.2.2016 9:15-10:00

Oracle beschreitet mit Software in Silicon neue Wege, indem auf Prozessoren Funktionalitäten jenseits der traditionellen Instruktionssätze implementiert werden. Sun war bereits Vorreiter bei den Crypto-Acceleratoren auf CPUs, die heute einen durchgängige Verschlüsselung praktisch ohne Performance-Verluste in Anwendungen erlauben. Mit dem SPARC M7 Prozessor wurde nun Silicon Secured Memory eingeführt -- ursprünglich als Application Data Integrity (ADI) bezeichnet. Dabei werden Speicherbereiche mit Metainformationen versehen, gegen die beim Zugriff entsprechende Informationen in den Adressen validiert werden -- und zwar ohne Performance-Verlust. Damit eröffnen sich neue Möglichkeiten für die Software-Qualitätssicherung und insbesondere -Sicherheit. Es gibt Entwicklungswerkzeuge, die ähnliche Technologien in Software implementieren, allerdings verhindert der damit verbundene Overhead den Einsatz auch in der Produktion -- und damit die Nutzung zur Abwehr von Angriffen. Durch die Hardware-Implementierung ist dies jetzt möglich.

Technisch ist Silicon Secured Memory durch zusätzliche Bits in Adressen realisiert, die man als Codierung für Farben interpretieren kann. Zugriffe auf Speicherbereich in einer Farbe sind nur mit Adressen zulässig, die dieselbe Farbe tragen. Andere Zugriffe triggern einen Trap. Der Vortrag stellt vor, wie damit ein breites Spektrum von sicherheitsrelevanten Programmierfehlern insbesondere Pufferüberläufe abgefangen werden kann. Ein solcher Fehler lag dem zu trauriger Berühmtheit gelangten Heartbleed-Bug in OpenSSL zugrunde. Darüber hinaus ist die Diagnose mancher sich bislang hartnäckig einer Analyse entziehender Programmabstürze möglich, die zum Beispiel auf Programmierfehler zurückgehen, wo durch Schreiben an falsche Adressen etwa programminterne Datenstrukturen korrumpiert werden. Solaris liefert dynamische Bibliotheken mit entsprechend instrumentierten Funktionen "malloc()" und "free()". Damit kann Silicon Secured Memory ohne Neukompilieren von Anwendungen direkt genutzt werden. Es können aber auch eigene Memory Allocator entsprechend instrumentiert werden.

Über den Referenten:

Franz Haberhauer ist bei Oracle als Chief Technologist für den Geschäftsbereich Systems tätig. Er kam über die Aquisition von Sun zu Oracle. Seit über 20 Jahren unterstützte er Kunden bei der Einführung neuer Technologien insbesondere in und rund um Solaris.

Puppet 4 – Was ist neu, was wird anders, was geht nicht mehr?
von Martin Alfke
Freitag, 26.2.2016 10:00-10:45

Puppet 4 wurde im April 2015 veröffentlicht und hat mittlerweile zwei Aktualisierungen bekommen. Viele Administratoren, DevOps, Engineers oder PuppetMaster haben aber noch nicht auf Puppet 4 aktualisiert. Zu groß scheinen die Bedenken zu sein, was alles nach einem Update nicht mehr funktioniert. Dieser Vortrag richtet sich an alle IT-Zuständigen, die eine Puppet-Infrastruktur betreuen und stellt die neuen Funktionen von Puppet 4 vor. Ausserdem wird im Detail auf alle nicht mehr möglichen, alten Best Practices eingegangen und es wird dargelegt, wie Anwender den bestehenden Puppet-Code anpassen. Zum Abschluss werden mehrere Upgrade- und Migrationsverfahren für eine Aktualisierung dargestellt.

Über den Referenten:

Martin Alfke ist Geschäftsführer und Mitgründer der example42 GmbH. Martin nutzt Puppet seit 2007, ist seit 2011 autorisierter PuppetLabs Trainings Partner und seit 2015 Puppet Certified Consultant. Neben der Arbeit am example42 OpenSource Projekt unterstützt Martin Kunden bei der Planung, dem Einsatz und der Migration in Hinsicht auf Konfigurationsmanagement und Automatisierung.

OpenSolaris: Totgesagte leben länger
von Volker A. Brandt
Freitag, 26.2.2016 10:00-10:45

... und SPARC zuckt auch noch! Noch immer gibt es mehrere quicklebendige Nachfolger des seligen OpenSolaris, sogar auf der schon abgeschriebenen SPARC-Plattform tut sich wieder einiges. Diverse solarisoide Distributionen tummeln sich abseits des Linux-Mainstreams, vom Gnome-basierten Desktop bis zum hoch skalierbaren Virtualisierungsträger zur Cloud-Provisionierung steht einiges zur Auswahl, alles basierend auf einer gemeinsamen Code-Basis: Illumos.

Die BSD-Unixe und Illumos pflegen einen regen Austausch: Treiber wandern vom BSD ins Illumos, ZFS-Innovationen von dort ins BSD-Unix. Und die modernen Hype-Themen wie DevOps oder Docker kann man auch auf Illumos-basierten Plattformen implementieren! Diese Präsentation pickt die Rosinen heraus und stellt einige Highlights vor, wie beispielsweise die "LX branded zones", also auf SmartOS gehostete Linux-Container. Und sie soll ein bisschen motivieren, sich den Betriebssystem-Opa Solaris und seine frei verfügbaren Abkömmlinge ein wenig näher anzuschauen.

Über den Referenten:

Volker A. Brandt ist zusammen mit seinem Bruder Inhaber einer kleinen Firma, die sich auf heterogene RZ-Infrastruktur mit Schwerpunkt Solaris spezialisiert. Er beschäftigt sich mit Systeminstallationen, Data Center Automation, Paketierung und systemnaher Programmierung sowie neuerdings auch viel mit Migrationen nach Solaris 11. Er hat bereits einige Vorträge und Workshops über Solaris 10 und 11, AI, IPS und verwandte Themen gehalten und redet gerne, viel und oft über Solaris.

Ein Einstieg in CFEngine
von Bernhard Glomm
Freitag, 26.2.2016 11:15-12:00

Die Nutzung und die Vorteile des Konfigurationsmanagements sind unter Systemadministratoren heutzutage weitgehend unstrittig. Die Auswahl an kostenlosen Open-Source-Tools für diesen Zweck ist erfreulich groß -- von cluster-ssh über Ansible, Chef und Puppet bis CFEngine gibt es eine große Auswahl von Programmen und Frameworks mit unterschiedlichen Voraussetzungen und Leistungen. Die Entscheidung für eine der möglichen Optionen hängt ebenso von den Anforderungen und Bedingungen der Systemumgebung wie den Vorlieben und Erfahrungen der System Engineers ab.

Anhand des Reviews von funktionstüchtigem Code für das Deployment von ufw (Firewall), ossec (HIDS) und des ELK-Stacks (aggregierte Visualisierung von ufw-Logs und ossec-Meldungen) stellt dieser Vortrag die zentralen Konzepte von CFEngine vor und macht mit der Syntax vertraut. Er stellt "promise theory" und "desired stage configuration" prozeduralen Ansätzen gegenüber. Desweiteren werden "decision making" und "implicit looping" sowie "promise types" und "normal order" thematisiert.

Über den Referenten:

Bernhard Glomm ist als Systemadministrator beim Ecologic Institut in Berlin angestellt. Er arbeitet seit über zehn Jahren als System Engineer und Administrator im Umfeld von Linux.

Quo vadis Linux? Wie Clouddistributionen die IT verändern
von Udo Seidel
Freitag, 26.2.2016 11:15-12:00

Der Einzug von OpenStack in mittlere und große IT-Landschaften hat eine Art Domino-Effekt ausgelöst. Die traditionellen Ansätze zur Sichtweise auf und dem Verwalten von Linux ändern sich ebenfalls. Eine neue Klasse von so genannten Cloud-Betriebssystemen etabliert sich in diesem Umfeld. Die unterscheiden sich vor allem darin, wie stark sie mit den bekannten Ansätzen brechen. CoreOS ist dabei eher dem konservativen Lager zuzurechnen. Deutlich weiter gehen beispielsweise MirageOS oder gar OSv. Dieser Vortrag stellt die grundlegenden Idee und Ansätze hinter den drei Kandidaten vor. Er zeigt, wie sich Linux und auch die zugehörigen Administratoren verändern, damit sie in der neuen Welt bestehen.

Über den Referenten:

Dr. Udo Seidel ist eigentlich Mathe-Physik-Lehrer und seit 1996 Linux-Fan. Nach seiner Promotion hat er als Linux/Unix-Trainer, Systemadministrator und Senior Solution Engineer gearbeitet. Heute ist er als Chef-Architekt Mitglied des CTO-Teams bei der Amadeus Data Processing GmbH in Erding.

Icinga2 in the middle of your toolstack
von Bernd Erk
Freitag, 26.2.2016 12:00-12:45

Lange Zeit lag Monitoring am Ende der Lieferkette gelegt, um die Verfügbarkeit gemeinsamer Umgebungen zu gewährleisten. Aber moderne Infrastrukturen, vor allem hochdynamische Microservices, sollten aus der Mitte des Toolstacks überwacht werden. Monitoring kümmert sich nicht länger ausschließlich darum, die Verfügbarkeit zu überwachen: Auch das Erheben von Messdaten, das Führen von Protokollen, das Sammeln von BI-Daten und nicht zuletzt die Integration mit gängigen Tools gehört dazu.

Mit Icinga2 ändert sich die Art und Weise, wie die Verfügbarkeitsüberwachung arbeitet und skaliert. Aber das ist nicht alles: Eine voll funktionsfähige API macht das Überwachen viel flexibler und erlaubt auch den Einsatz in dynamischen Umgebungen. Hinzu kommt, dass ein besonderes Augenmerk auf der Integration mit Konfigurations- und Logmanagement liegt. Die Präsentation stellt die Icinga2-API vor und zeigt anhand einiger Beispiele, wie sich Monitoring bereits früh im Projektzyklus einsetzen lässt. Sie erklärt ferner, wie es Anwendern gelingt, Metriken und Loginformationen an zentraler Stelle vereinheitlichen, aber dennoch weiter auf die Flexibilität und Leistungsfähigkeit einzelner Werkzeuge setzen.

Über den Referenten:

Bernd Erk ist Mitbegründer und Community-Lead von Icinga. In seinem Job ist er CEO von NETWAYS, einem Unternehmen für Open-Source-Services. Er versucht, sich um die wichtigsten Dinge zu kümmern, vor allem um Menschen. Bernd veröffentlicht regelmäßig Beiträge und präsentiert Themen, die mit Monitoring, Communitybuilding und Kultur zu tun haben. Er ist ebenfalls Core-Organizer der DevOpsDays und verbreitet die frohe Kunde, wo und wann immer er kann. In seiner Freizeit kämpft er mit seinem Sohn um die Benutzung ihres iPads.

Bits and Bytes im Flow – Netzwerk im Wandel der Zeit
von Michel Rode
Freitag, 26.2.2016 12:00-12:45

Mehr und mehr Firmen bringen SDN-fähige Switche heraus, die das Leben als Netzwerker erleichtern sollen. Nur warum? Was ist SDN, und warum sollen es nun alle einsetzen? Der Vortrag zeigt, wie sich die Wege und Möglichkeiten des Netzwerks im Laufe der OpenStack-Releases geändert haben. Dabei wird von Juno über Kilo bis Liberty auf Neuerungen und Features eingegangen. Der Fokus im Vortrag liegt dabei auf dem Netzwerk. Es wird demonstriert, wie Instanzen innerhalb von OpenStack über unterschiedliche Techniken mit der Außenwelt kommunizieren und wie sie erreicht werden können.

Neben einer Betrachtung der Software-Router von Neutron und deren möglicher Hochverfügbarkeit (VRRP, DVR), geht der Vortrag auch auf die Flows innerhalb von OpenStack ein und stellt vor, wie diese ein SDN-Controller verwaltet. Ziel ist es, eine Übersicht zu geben, wie der Paketfluss innerhalb von OpenStack läuft, welche Kontrollinstanzen es dort gibt und wie Traffic oder Flows beeinflusst werden können.

Über den Referenten:

Michel Rode beschäftigt sich seit über zehn Jahren mit IT und Netzwerktechnik. Seine Interessenschwerpunkte verschoben sich in den letzten Jahren immer mehr in Richtung Cluster, Hochverfügbarkeit und Virtualisierung. Seit 2008 ist er bei der B1 Systems GmbH als Consultant und Trainer beschäftigt.

Apple OSX und iOS management
von Marko Jung
Freitag, 26.2.2016 14:00-14:30

Im Juli 2015 haben Apple und IBM eine Allianz angekündigt, um den Bereich der Enterprise Mobility zu revolutionieren. Durch die Kombination der IBM Professional Services mit den Produkten von Apple steht Unternehmen nun ein global verfügbares Serviceportfolio zur Unterstützung von "mobile first" Strategien zur Verfügung.

Immer mehr Mitarbeiter fordern von ihren IT-Abteilungen, MacBooks, iPads und iPhones auch im beruflichen Kontext einsetzen zu dürfen. Der IT-Betrieb beschafft daraufhin oft diese Geräte, konfiguriert sie initial und übergibt sie mit guter Hoffnung in die Obhut der Anwender. Nachdem Angriffe und Exploits auch bei den populären Apple-Systemen angekommen sind, suchen Systemadministratoren nach belast- und skalierbaren Managementlösungen auch für diese Plattform, die sie beim Deployment, Konfigurations- und Patchmanagement unterstützen.

Apple stellt viele Tools und Frameworks zum Management beider Betriebssysteme zur Verfügung. Allerdings skalieren die kaum und sind eher als Referenzimplemntierung anzusehen. Daher hat sich ein umfangreiches, aber auch unübersichtliches Ökosystem entwickelt. Viele kommerzielle Angebote versprechen umfassende Managementlösungen. Pfiffige Entwickler stellen zuverlässige Alternativen als Open Source zur Verfügung, etwa Munki zur Softwareverteilung, Osquery zur Analyse und Monitoring, oder SAL zum Inventory und Reporting.

Apple verwendet viele Marketing-Akronyme, um Sachverhalte zu benennen, die dem Unix-Admin unter anderem Namen bekannt sind. So steht Beispielsweise BSDP für Boot Service Discovery Protocol, was in Wirklichkeit nicht mehr als DHCP ist. Der Vortrag übersetzt Apples Marketing-Jargon in gängige Technologien und erklärt, wieso sich betroffene Admins eben keine Mac Minis als Server in ihr Rechenzentrum stellen müssen. Darüber hinaus werden für gängige Deployment-Techniken und Management-Strategien die verfügbaren Tools diskutiert. Hierbei fließen die Erkenntnisse aus über einem Jahrzehnt Apple-Management an der University of Oxford in die Bewertung ein.

Über den Referenten:

Markos erster Computer war eine Sun SparcStation. Er benutzt Unix -- das tollste Textadventure der Welt -- seit 20 Jahren und hat für seine Ninja-fertigkeiten dort einen schwarzen Gürtel erhalten. Er findet, dass ein Betriebssystem ohne Konsole nutzlos sei, reagiert allergisch auf bunte Icons, lässt sich jedoch gerne von glänzenden Gegenständen ködern.

Marko studierte Informatik an der Universität des Saarlandes, hat am Max-Planck-Institut für Informatik und bei den SUSE Labs gearbeitet, bevor er an der University of Oxford eine Gruppe von Linux- and Apple-OS-X-Experten führte. Wenn er nicht für seinen MBA an der Mannheim University lernt, findet man ihn meistens beim Wandern oder Tauchen.

Software und Infrastruktur Lifecycle Management auf OpenStack
von Christian Berendt
Freitag, 26.2.2016 14:00-14:30

Dieser Vortrag erläutert anhand eines konkreten Beispiels, wie Anwender einen vollständigen Software- und Infrastruktur-Lifecycle auf OpenStack abbilden, pflegen und einsetzen. Neben Heat, dem Orchestrierungs-Layer von OpenStack, geht er dabei auch auf Mistral, einen Workflow-Service und Astara, ein Netzwerk-Orchestrierungs-Service ein.

Besonderes Augenmerk liegt dabei auf der Software-Konfigurationen sowie Scaling Groups von Heat und deren Zusammenspiel mit dem neuen Alarming-Service aodh, das bislang Bestandteil von Ceilometer war. Als Alternative zu den zuvor aufgeführten, bereits in OpenStack integrierten Diensten, stellt der Beitrag Terraform von Hashicorp vor.

Über den Referenten:

Christian Berendt ist bei der B1 Systems GmbH als Berater und Entwickler für Linux und mehrere Unix-Derivate beschäftigt. Derzeitig ist er als Solution Architect für den Bereich "Cloud Computing" zuständig, beschäftigt sich aber gerne auch mit Lösungen zum Konfigurations- und Systemmanagement.

Adminteams und Projekte mit Kanban organisieren
von Thorsten Kramm
Freitag, 26.2.2016 14:30-15:00

Ein Projekt schließt man nicht nur durch gute Fachkenntnisse erfolgreich ab. Und Systeme laufen nicht nur deshalb stabil, weil sie von guten Fachleuten betreut werden. Die Organisation der Arbeit, des Teams und der Prozesse entscheiden ebenfalls über den Erfolg. Mit Kanban können Teams ein einfaches aber effektives und effizientes Modell auf IT-Abteilungen adaptieren.

Der Vortrag gibt einen Überblick darüber, wie man ein Admin-Team und deren Arbeit mit Kanban organisieren kann. Anhand vieler Bespiele aus der Praxis vermittelt er den Fluss der Arbeit, das Visualisieren von Arbeitsschritten, den Umgang mit Blockaden und das Priorisieren ebenso wie das Abweisen von Aufgaben.

Die Präsentation stellt Methoden zur kontinuierlichen Verbesserung vor und fasst die Kernaussagen von agilen Methoden zusammen. Neben Scrum ist Kanban das momentan erfolgreichste Modell zur Arbeitsorganisation von IT-Teams. Welche Firma Pionier im Bereich Kanban in der IT war, wird erst während des Vortrags verraten.

Über den Referenten:

Thorsten Kramm beschäftigt sich seit 1999 mit IT-Systemen im Unternehmenseinsatz. In verschiedenen Firmen leitete er die IT-Abteilungen. Er beschäftigt sich nicht nur mit den technischen Details von IT-Systemen. Sein Augenmerk gilt auch den Softskills und der menschlichen Komponente. Ein System funktioniert nur so gut, wie die Menschen, die es betreiben. Thorsten Kramm gibt Trainings zu den Themen Monitoring, IT-Automatisierung und Kanban in der IT. Er lebt und arbeitet in Berlin.

Terraform: Config Management for Cloud Services
von Martin Schütte
Freitag, 26.2.2016 14:30-15:00

Hashicorps Terraform bietet Konfigurationsmanagement für Cloud-Dienste. Das Werkzeug benutzt eine deklarative Notation ähnlich wie Puppet, um verschiedene Ressourcen, so zum Beispiel PaaS-Anwendungen, Serverinstanzen, Datenbanken oder DNS-Einträge zu beschreiben. Besondere Stärke ist die Unabhängigkeit von einem Anbieter: Es lassen sich Dienste verschiedener Plattformen nutzen und kombinieren. Falls die bereitgestellten Anbieter nicht ausreichen, lässt sich die Software zudem mittels Plugins erweitern.

Dieser Vortrag stellt vor, wie Anwender die Infrastruktur einer Webanwendung mit Terraform beschreiben und wie einfach sie alle zugehörigen Komponenten starten und wieder beenden. Außerdem wird gezeigt, wie auch größere Projekte mit Modulen überschaubar bleiben, und skizziert, wie man mit wenigen Golang-Kenntnissen eigene Plugins schreibt.

Über den Referenten:

Martin Schütte ist Systemadministrator und Entwickler in Hamburg. Seine Themenschwerpunkte sind Automatisierung (Puppet, Jenkins) und Monitoring (Syslog, Graylog2, Zabbix) im DevOps-Umfeld.

Lessons learned: IT-Dokumentation in der Praxis
von Anika Kehrer
Freitag, 26.2.2016 15:00-15:45

IT-Dokumentation ist eher ungeliebt: Sie kostet Zeit, und Informationen sinnvoll aufbereiten mag (und kann) auch nicht jeder. Doch spätestens, wenn ein menschlicher Datenträger ausfällt oder ein System kollabiert, ist Chaos angesagt, und wertvolle Zeit geht verloren. Abgesehen von Operations- und Managementaufgaben erscheint Wissen um den eigenen Betrieb höchst sicherheitsrelevant. Das gilt für Verfügbarkeit, Performance und Bedarfsorientierung genauso wie für Daten- und Einbruchschutz: Nur, was man weiß, kann man im Blick haben. Von der Relevanz fürs Service-Management wollen wir gar nicht erst anfangen.

Gut gebrüllt, Löwe! In der Praxis ist es leider manchmal schwer, die Dokumentation zu pflegen. Es fehlt zum Beispiel an einer systematischen Ablage, an Einigung darüber, was überhaupt aufzuschreiben ist, an dem Wissen, wie man etwas sinnvoll aufschreibt, und vor allem anderen an Zeit.

Dieser Vortrag versucht zu systematisieren, auf welche Schwierigkeiten eine IT-Abteilung stößt, die einen Dokumentationsprozess implementieren möchte. Er präsentiert Lösungsvorschläge, wie sich ihnen beikommen ließe. Soweit die Praxiserfahrung der Referentin bis dato erlauben, gibt es Best und Bad Practices.

Dieser Vortrag behandelt hingegen keine Produktdokumentation. Die Bereiche der technischen Dokumentation werden oft miteinander vermengt, weshalb je nach Bedarf des Publikums am Anfang des Vortrags eine kleine Abgrenzung erfolgt.

Über die Referentin:

Anika Kehrer arbeitet seit 2007 als IT-Journalistin in München und Berlin. Ihr Portfolio umfasst Text und Konzeption für Technik-Magazine und Digital-Business-Medien. Seit 2012 ist sie im Auftrag der German Unix User Group Chefredakteurin der GUUG-Vereinszeitschrift UpTimes. Seit 2015 arbeitet die Geistes- und Sozialwissenschaftlerin außerdem als IT-Dokumentatorin in München. Hier ist im Rahmen eines Projekts ihre Aufgabe, die IT-Dokumentation einer kleineren IT-Abteilung zu systematisieren. Vorträge hält die Referentin aus eigenem Antrieb, wenn nicht anders gekennzeichnet.

Die Cloud im Griff mit Consul
von Alexander Schwartz
Freitag, 26.2.2016 15:00-15:45

In der Cloud werden Dienste nach Bedarf dynamisch skaliert. Fallen einzelne Knoten aus oder ändern sich Konfigurationseinstellungen, so sollten dies allen Teilnehmer erfahren. Die Software Consul tritt an, die drei Herausforderungen Service Discovery, Monitoring und Konfigurationsmanagement zu lösen -- unabhängig von der darunter liegenden Cloud-Technologie.

Consul ist ein junges Open-Source-Projekt. Ebenso wie Packer und Vagrant ist es ein Produkt von HashiCorp. Es bietet eine Lösung für Aufgaben, die ansonsten verschiedene Werkzeuge übernehmen würden. Der Vortrag zeigt die Vorteile, die sich aus der Kombination ergeben. Dieser Vortrag gibt mit praktischen Beispielen einen Überblick über die Funktionen von Consul und die APIs, die es zur Verfügung stellt. Die Arbeitsweise demonstriert durchgängiges Beispiel einer Anwendung mit Load Balancer und Application Server.

Über den Referenten:

Alexander Schwartz arbeitet als Principal IT Consultant bei der msg systems ag. In den vergangenen Jahren hat er Softwareprojekte in verschiedenen Rollen als Entwickler, ScrumMaster, Architekt und Projektmanager begleitet. Im Laufe der Zeit arbeitete er mit mehreren Web-Technologien. Er schätzt produktive Arbeitsumgebungen, agile Projekte und automatisierte Tests.

Sicherer Betrieb von OpenStack
von Kurt Garloff
Freitag, 26.2.2016 16:00-16:45

Viele Unternehmen nutzen OpenStack als Cloudplattform. Die Software kommt in vielen Fällen aber als interne Plattform (Private Cloud) zum Einsatz. Häufig werden zunächst interne Test- und Entwicklungsplattformen auf der Plattform bereitgestellt, um dann später zunehmend interne Dienste auf der internen Cloud zu betreiben. Der nächste Evolutionsschritt für OpenStack ist der zunehmende Einsatz als Public Cloud. Die Plattform und die Betriebsprozesse müssen dazu für die feindliche Umgebung Internet fit gemacht werden.

Dabei gilt es, ebenso Angriffe aus dem Internet abzuwehren wie auch auch Fehler und Angriffe von den virtuellen Maschinen der Nutzer. In keinem Fall darf die Isolation zur Infrastruktur oder zwischen den Nutzern durchbrochen werden; auch die Verfügbarkeit und Leistung der Plattform soll nicht in Mitleidenschaft gezogen werden. Um diese Ziele zu erreichen sind einerseits Maßnahmen am Design der Plattform notwendig: So trennt der sicherheitsbewusste Admin Funktionen und Netze und prüft Kommunikationswege genau. Weiterhin berücksichtigt er auch betriebliche Aspekte. Er stellt sicher, dass kritische Sicherheitspatches zeitnah getestet und breit ausgerollt werden, ohne dabei die Verfügbarkeit der Plattform für den Kunden zu unterbrechen.

Die T-Systems nimmt die Herausforderung einer sicheren OpenStack basierten Public Cloud an und geht bald mit der Open Telekom Cloud an den Start. Die Sprecher stellen einige der Maßnahmen vor, die für den Betrieb dieser Cloud bereits vorgenommen wurden oder in naher Zukunft umgesetzt werden.

Über den Referenten:

Kurt Garloff hat neben dem Physikstudium am Linux Kernel an SCSI gearbeitet und später bei der SUSE die SUSE Labs aufgebaut, wo er die Entwicklung von Kernel, Compiler und X11 leitete. Er hatte später einige technische und geschäftliche Führungsrollen bei der SUSE, bevor er 2011 ausschied. Seit 2011 beschäftigt er sich hauptsächlich mit der Entwicklung und Aufbau von OpenStack basierten Clouds, zunächst bei der Telekom (Business Marketplace und MedienCenter), bei Huawei und zuletzt bei T-Systems (Open Telekom Cloud).

Lognormalisierung in Echtzeit
von Rainer Gerhards
Freitag, 26.2.2016 16:00-16:45

Logdaten liegen in einer verwirrenden Vielfalt von Formaten vor. Das gleiche Ereignis wie beispielsweise ein Loginvorgang stellen verschiedene Tools sehr unterschiedlich dar. Schlimmer noch: Manchmal haben ähnlich ausschauende Formate große Bedeutungsunterschiede. Eine große Herausforderung in der Loganalyse ist daher das Überführen in ein einheitliches Format, die so genannte "Normalisierung". Erst diese ermöglicht es, Daten sinnvoll in nachgelagerten Skripten und Systemen zu verarbeiten.

Ein üblicher Ansatz ist die Normalisierung mittels regulärer Ausdrücke. Oft kommt Grok zum Einsatz, das zwar einfach ist, aber erhebliche Durchsatzprobleme hat und es so für Echtzeit-Normalisierung ungeeignet macht. Rainer Gerhards hat mit Liblognorm 2011 ein System vorgestellt und in Rsyslog integriert, das den Echtzeitanforderungen auch größerer Datenmengen genügt. Allerdings war die Konfiguration recht schwierig, so dass die Bibliothek zunächst wenig Verbreitung fand.

2015 hat Rainer Gerhards die Software im Rahmen seiner MSc-Thesis komplett neu entwickelt. Dabei hat er den Durchsatz weiter gesteigert und insbesondere die Konfiguration wesentlich vereinfacht. Sie ist nun stark an Grok angelehnt. Der Vortrag klassifiziert Typen von Log-Daten und erläutert den übliche Normalisierungsansatz. Dann beschreibt er die Grundlagen von Liblognorm und erklärt Echtzeitfähigkeit. Der Vortrag betrachtet dann die Konfiguration und stellt vor, wie sich das Subsystem innerhalb von Rsyslog, aber auch als eigenständiges Werkzeug einsetzen lässt. Als Bonus für Entwickler wird bei Interesse erläutert, wie Liblognorm in eigene Projekte eingebunden wird.

Über den Referenten:

Rainer Gerhards ist Gründer der Adiscon GmbH, einem IT-Beratungs- und Softwarehaus in der Nähe von Würzburg. Er initiierte 2004 das Rsyslog-Projekt und ist dessen Hauptautor. Er entwickelt seit 1981 systemnahe Software auf vielen Platformen, unter anderem Mainframes, Windows und Linux. Darüber hinaus bietet er Consulting im Bereich der System-Infrastruktur an. Als Mitglied der Syslog-Arbeitsgruppe der IETF gilt Rainer Gerhards als Logging-Experte und hat wesentliche Lösungen zum Reengineering des Syslog-Protokolls beigetragen. Er ist Autor vom Basis-RFC5424 sowie einer Reihe weiterer RFCs in diesem Umfeld. Von 2010 bis 2013 war er Mitglied im Mitre CEE Board und hat dort im Rahmen des Project Lumberjack Akzente für die Standardisierung von IT-Events gesetzt.

Rainer Gerhards hat den ersten Syslog-Server unter Windows entwickelt und die Produktkategorie der "EventLog to syslog Forwarder" erfunden, die heute ein Baustein fast jeder Security-Infrastruktur ist. Die Adiscon GmbH vertreibt und perfektioniert bis heute das ursprüngliche Tool "EventReporter", dessen Technologie auch in den rsyslog Windows Agent Einzug gefunden hat.

Cloud und Sicherheit 1960 bis 1990 – Alles schon mal da gewesen, inklusive Lösungen
von John G. Zabolitzky
Freitag, 26.2.2016 16:45-17:30

Im Laufe der Jahrzehnte kommen in der Informationstechnik ähnliche Themen verpackt in neue Namen immer wieder vor: Der klassische Rechenzentrumsbetrieb in der zweiten Hälfte des vergangenen Jahrhunderts ist das prototypische Muster des heutigen Cloud-Ansatzes. Die Parallelen in Aufgabenstellungen, Problemen und Lösungen sind augenfällig. Das Neuerfinden des Rades ist unnötig, das Erkennen der Gemeinsamkeiten erlaubt es längst erprobte Lösungen zu nutzen, sofern man sich in der Geschichte ein wenig auskennt.

IT-Sicherheit ist ebenfalls ein altes Thema, insbesondere wenn man daran denkt, dass militärische Anwendungen in der Anfangszeit ein sehr wichtiger Teilmarkt waren. Die unterschiedlichsten Verfahren und Lösungen wurden über die vergangenen Jahrzehnte in Hardware und Software gefunden, erfolgreich implementiert und genutzt. An Beispielen stellt der Vortrag dies dar. Auch hier sind scheinbare Neuerfindungen oft Wiedergeburten längst erprobter Dinge in anderen Kleidern.

Aufmerksame Beobachter nehmen einen Widerstreit zwischen stromlinienförmigen, sicheren, effizienten Verfahren sowie Wünschen nach ausufernder Funktionalität wahr. Der Vortrag ruft auf, dem entgegenzuwirken. Eine Vielzahl von Funktionen mögen eine leicht verbesserte Bequemlichkeit erreichen, aber um welchen Preis? Das Besinnen auf das Essentielle, wirklich Notwendige und Erforderliche im Gegensatz zum überflüssigen Nice-to-Have erscheint gerade in der IT-Sicherheit besonders angebracht.

Über den Referenten:

Prof. Dr. John G. Zabolitzky, Jahrgang 1949, betreibt Impulstechnik seit 1962, promovierte 1972 in theoretischer Physik (Computersimulation) und erhielt 1980 eine Professur der Universität zu Köln 1980. Seit 1985 war er Professor of Physics and Fellow of the Supercomputer Institute University of Minnesota in Minneapolis. Er nutzte industrielle Supercomputer, entwickelte und baute Spezialrechner.

Seit 1987 ist Prof. Zabolitzky Geschäftsführer, Gründer und geschäftsführender Gesellschafter diverser Unternehmen im Bereich digitaler Bildverarbeitung im Umfeld industrieller Fertigungs-Messtechnik mit Schwerpunkt digitaler Hochleistungs-Bildverarbeitung. Seit 2009 ist er selbstständiger Berater für diesen Bereich. Er gründete 2002 die Gesellschaft für historische Rechenanlagen und ist ihr Vorstandsvorsitzender. Die Gesellschaft sammelt, rekonstruiert, betreibt, wartet und ergänzt historische Rechner aller Kategorien und Provenienzien um Peripherie-Emulatoren, wenn die benötigt sind.

World of Docker
von Erkan Yanar
Freitag, 26.2.2016 16:45-17:30

Docker und auch seine Abstraktion runC können nicht ohne umgebende Infrastruktur sein. Was können Systemverwalter und -architekten tun, wenn die aber fehlt? Der Talk gibt einen kleinen Überblick was Docker und runC sind und warum Projekte wie Docker Swarm, Network, CoreOS, Kubernetes, Mesos und Consul existieren. Deren Unterschiede beschreibt der Vortrag ebenso.

Über den Referenten:

Erkan Yanar ist Freiberufler mit den Schwerpunkten MySQL (Cluster, Galera), Containervirtualisierung (LXC, Docker), Linux, Puppet und Cloud Computing (OpenStack) auf Rechenzentrumsniveau. Er ist zudem Autor in einigen Fachzeitschriften und regelmäßig Vortragender auf vielen Konferenzen.

Veranstaltungen
OpenPGP.conf
OpenPGP.conf 2016
08. - 09.09.2016 in Köln
Kalender
26.Juli 2016
KWMoDiMiDoFrSaSo
29  18 19 20 21 22 23 24
30  25 26 27 28 29 30 31
31  1 2 3 4 5 6 7
32  8 9 10 11 12 13 14
33  15 16 17 18 19 20 21
34  22 23 24 25 26 27 28
GUUG News