Seit Docker erleben Container einen regelrechten Hype. Wollen wir große Cluster mit Containern betreiben, brauchen wir eine Orchestrierungssoftware. Google hat mit Kubernetes ein #GIFEE (Google Infrastructure for Every Else) ein Projekt gestartet, das im Augenblick alle Rekorde bricht.

Kubernetes ist eines der am schnellsten wachsenden Open Source Projekte und hat bereits mehr als 2500 Projekte hervorgebracht, die darauf aufbauen. Cluster lassen sich in allen Clouds und auf eigener Hardware "on premises" aufbauen.

Rund um Container ist ein ganzes Ökosystem entstanden. Bei der Herausforderung, eine Web Applikation zu orchestrieren, will Kubernetes eine Unterstützung auf planetarer Skala geben. Sicherheit steht dabei ebenso im Vordergrund wie das einfache Deployment und Updates von tausenden von Nodes.

In diesem Tutorium wollen wir klären, wie sich Container im großen Stil einsetzen lassen, welche Vorteile sich daraus ergeben und worauf wir immer achten müssen.

Technisch sind Container isolierte Prozesse, die direkt unter dem Linux Kernel laufen. Die Abschottung wird durch User, Network und Prozess Namespaces erzeugt, die Prozesse innerhalb eines Containers von anderen Containern und den Prozessen ausserhalb trennt. Die Container können Capabilities erhalten, die ihnen zusätzliche Privilegien verleihen, sie dürfen dann Netzwerk-Interfaces erzeugen, auf externe Devices, Files, Sockets zugreifen und ähnliches.

Tag 1:

• Docker für Kubernetes
• Linux Namespaces, Capablities, Seccomp
• Container vs Virtual Machines
• Images
• Registries
• von Containern zu Pods
• Basic Concepts
• Master and Nodes
• kubectl
• Minikube
• Openshift
• Deployments
• Rolling Updates
• Replicasets
• Services

Tag 2:

• Kubernetes aus den Quellen bauen
• Kubernetes in KVM
• Ports
• Filesystems
• Scaling
• Network
• Verteilte Systeme
• Container Pattern
• Mit dem System spielen

Bis zu maximal 20 Teilnehmer, mit guten bis sehr guten Linux Kenntnissen.

Voraussetzung: Linux Laptop mit mindestens 8 GByte, besser 16 GByte. Tag 1 geht auch mit Mac oder Windows.

Dr. Thomas Fricke ist CTO und Partner der Endocode AG und hat als Cloud-Architekt zahlreiche Clouds entworfen und aufgebaut. Derzeit bearbeitet er große Projekte im Umfeld PaaS und baut dort an Containern angepassten Microservices. Vorher war er 10 Jahre selbstständig und hat neben dem Aufbau von Clouds große Web-Plattformen automatisiert.

Feedback zu den Tutorials.

Æ-DIR ist ein LDAP-Dienst, der auf OpenLDAPs slapd aufsetzt und um einige Funktionen ergänzt wie Sicherheit und Stabilität ergänzt. Es steht als Acronym für Authorized Entities Directory.

Eintägiges Hands-On-Tutorium:

1. Einführung in Æ-DIR
2. Testinstallation in vier virtuellen Maschinen auf Teilnehmer-Laptops
3. Erste Schritte Administration
4. Client-Integration auf weiterer VM:
• Linux-Login
• Apache-Beispiel
• etc. (je nach Zeit)
5. Integration Zwei-Faktor-Authentifizierung basierend auf OATH-LDAP mit Yubikey.

Technische Voraussetzungen für die Teilnehmer:

• Vier VMs auf dem eigenen Laptop für Æ-DIR-Repliken (mit Debian Jessie, openSUSE Tumbleweed, SLES12SP2)
• Eine VM fauf dem eigenen Laptop für Client-Tests.
• alle VMs benötigen Zugangs zum Internet.
• Weitere technische Voraussetzungen zu DNS usw. stehen auf der Projektseite.
• Optional: Leerer, unbenutzter Yubikey für eigene Tests, der neu initialisiert wird.

Erforderliche Vorkenntnisse:

• Linux-Administration und Shell-Kommandos.
• LDAP-Basiskenntnisse sind für das Verständnis hilfreich.

Michael Ströder arbeitet als freier IT-Berater im Bereich IT-Security, speziell Identity & Access Management (IAM) sowie angewandte Verschlüsselung. Er ist der Autor und Maintainer von web2ldap, python-ldap, Æ-DIR und OATH-LDAP.

Feedback zu den Tutorials.

Der MongoDB Ops Manager dient zum Verwalten von MongoDB-Installationen. Die drei Kernkomponenten von Ops Manager sind das Monitoring, das Backup und die Automatisierung. Der Ops Manager wird zusammen mit der MongoDB Advanced Enterprise Version vertrieben.

Das Tutorial richtet sich an interessierte Systemadministratoren, die MongoDB einsetzen (wollen) und auf der Suche nach einem Verwaltungssystem sind. Anhand eines Beispiel-Setups wird das gewonnene Wissen praktisch umgesetzt.

Nach einer allgemeinen Einführung in den Ops Manager werden verschiedene Deploymenttypen des Ops Manager vorgestellt. Dann wird anhand eines Beispiel-Setups die Automatisierung von MongoDB angegangen. Mit Hilfe von Load-Skripten werden anschließend Monitoring und Backup besprochen. Schließlich wird die API und das Skripten des Ops Managers angeschaut. Letztlich wird als Übung ein stand-alone MongoDB Deployment bis zum Sharded Cluster hochgezogen.

Das Tutorium ist ein gemeinsamer Workshop, in dem die Teilnehmer erste Erfahrungen mit dem Ops Manager sammeln werden.

Torsten Spindler ist Senior Consulting Engineer bei MongoDB. Er beschäftigt sich seit vielen Jahren mit Unix und Linux Systemen und ist seit Mai 2016 bei MongoDB. Im letzten Jahr hat Torsten viele Erfahrungen mit dem MongoDB Ops Manager bei Einsätzen beim Kunden gesammelt.

Feedback zu den Tutorials.

Das Tutorium bietet eine praktische Einführung ins Monitoring mit Icinga2 einschließlich dessen Installation und Konfiguration des Backends. Das Tutorium zeigt, wie Teilnehmer Clients ins Monitoring aufnehmen und geeignete Metriken definieren. Teilnehmer lernen, wie sie das Webfrontend Icinga Web 2 einsetzen, um typische Abläufe im IT-Service Management (Vorfälle, Probleme) zu bearbeiten. Abhängig vom Lernfortschritt und Interesse der Teilnehmer kommt das Plugin Business Process View zur Sprache, das die Brücke zwischen IT und Management mit schönen, aussagekräftigen und visualisierten Messzahlen liefert und die Visualisierung von Trends mit Graphite/Influxdb/Grafana.

Alexander Wirt ist Senior IT Consultant bei der credativ GmbH in Mönchengladbach.

Feedback zu den Tutorials.

Bei allen Best Practises um WLAN-Sicherheit auf dem Transportlayer mit VPNs, TLS & Co. und den Mechanismen um Verschlüsselung mit WPA2 auf dem Linklayer wird oft vergessen, dass heute auch viele Teile der Hardware von Software gesteuert sind. Wer es schafft, aus der Sandbox der Firmware auszubrechen, hat auf mobilen Geräten weitgehende Rechte und sitzt praktisch an der Quelle.

Der im populären Nexus 5 verbaute BCM-4339-Chipsatz erlaubt beispielsweise solche Modifikationen. Im Rahmen des Nexmon-Projekts hat eine Arbeitsgruppe des Profilbereichs CYSEC an der TU Darmstadt ein Framework geschaffen, mit dem solche Veränderungen nachvollziehbar sind. Im Rahmen der Keynote wird motiviert, welche Implikationen dies auf moderne WLAN-Sicherheit hat.

Matthias Schulz forscht an mobiler Sicherheit mit einem Schwerpunkt auf dem physikalischen Layer am Center for Advanced Security Research Darmstadt. Der Doktorand am Fachbereichs Informatik der Technischen Universität Darmstadt ist einer der Maintainer des Nexmon-Projekts.

Bitte bewerten Sie den Vortrag.

DevOps ist aus der IT nicht mehr wegzudenken und hat sich als Arbeitsweise etabliert, die nicht nur die Qualität und operative Effizienz verbessert, sondern auch eine nachhaltige Entwicklung ermöglicht. In den meisten Unternehmen ist die IT jedoch eine Minderheit. Wie können wir mit den Ideen und Erkenntnissen aus der DevOps Welt die ganze Firma voranbringen? Warum funktioniert die agile Zusammenarbeit nicht automatisch mit anderen Abteilungen? Was macht die ITler so besonders?

Die Schnittstelle zwischen allen Mitarbeitern und IT Themen ist die interne IT. Sie trägt die Verantwortung dafür, dass alle Mitarbeiter mit Hilfe von IT ihre Aufgaben effizient und effektiv erledigen können. Während die interne IT oftmals nur als Kostenstelle betrachtet wird, leistet sie in Wahrheit einen sehr hohen Beitrag zur Wertschöpfungskette: Schlechte Werkzeuge führen direkt zu langsamer Arbeit und frustrieren, gute Werkzeuge befähigen die Mitarbeiter und erhöhen die Freude an der gemeinsamen Arbeit.

Heute leisten es sich viele Unternehmen noch, dass ihre Mitarbeiter auf einer digitalisierten Plattform manuelle Tätigkeiten verrichten. Messgrößen sind etwa die Anzahl der Copy-Paste Vorgänge (Mensch als technische Schnittstelle), die Anzahl an internen Emails mit Dateianhang (Dokumente werden vervielfältigt anstatt sie zentral bereit zu stellen) sowie die Anzahl der Logins die ein Mitarbeiter täglich absolviert (schwach oder gar nicht integrierte Systeme). Die Herausforderungen der fortschreitenden Digitalisierung und Verteuerung von Arbeitskraft erfordern hier auch ein Umdenken.

Der Vortrag zeichnet einen Weg von DevOps in der IT zu einem neuen Denkansatz für den Umgang mit IT im Unternehmen. Dabei entwickeln sich Mitarbeiter von IT Konsumenten zu beteiligten Nutzern, die den Computer als Werkzeug für sich entdecken können. Die interne IT stellt nicht nur gute Services zur Verfügung sondern fokussiert sich auf die Produktivität und Zufriedenheit aller Mitarbeiter.

Schlomo Schapiro ist Head of Product und Product Owner bei der Zalando SE in Berlin.

Bitte bewerten Sie den Vortrag.

Das von Grund auf neu entwickelte Zammad vereinfacht den Umgang mit dem Helpdesk- und Support-System. Die WebApp ist intuitiv und auch von Laien ohne Schulungsaufwand bedienbar. Jeder ist eingeladen, an Zammad mitzumachen. Über Github kann am Quellcode oder der Dokumentation mitgearbeitet werden. Der Quellcode gehört der Zammad-Stiftung, welche die Freiheit der Software und des Projekts nachhaltig sicher stellt.

In diesem Vortrag werden anhand eines Use Cases die Konfiguration und Basisfunktionalitäten (u. a. Berechtigung, Textbausteine oder Speichern von Entwürfen) von Zammad gezeigt und Fragen des Publikums beantwortet.

Martin Edenhofer ist seit 16 Jahren im Bereich Helpdesk- und Support-Systemen aktiv. Er hat u. a. 2001 das Open Source Projekt OTRS gestartet und die ersten OTRS-Versionen 2002 die ersten Versionen veröffentlicht.

Im Oktober 2016 startete er Zammad, nach nur 12 Monaten konnten das Projekt über 24.000 Downloads, #1 Trending "Open Source Projekt (Ruby)" auf Github, die erste Contribution nach 5 Stunden nach Veröffentlichung und 69 Pull Requests auf Github verzeichnen.

Bitte bewerten Sie den Vortrag.

Flatpak und Snap wollen revolutionieren, wie Linux-Anwender an Software gelangen. Statt Distributions-spezifischen Paketen im Debian- oder RPM-Format laufen als Flatpak oder Snaps vertriebenen Programme nämlich unter verschiedensten Distributionen. Anwender sollen so leichter an Programme kommen, die der eingesetzten Linux-Distribution fehlen oder in einer veralteten Version beiliegen. Die neuen, bei Fedora und Ubuntu geförderten Ansätze machen Linux auch attraktiver für Entwickler, denn die müssen sich nicht mehr um Unterschiede zwischen Distributionen scheren.

Der Vortrag beschreibt die Eckdaten der zwei neuen Paketformate und grenzt diese zu älteren Ansätzen ab, die ähnliches versprechen. Dabei kommen auch die wesentlichsten Unterschiede zwischen Flatpak und Snap zur Sprache: Beide gehen zwar an einigen Stellen ähnlich vor, unterscheiden sich an anderen aber signifikant. Anhand dieser Unterschiede will der Vortrag aufzeigen, wie es um die Erfolgsaussichten der beiden Formate für Desktop- und Server-Systeme steht.

Thorsten Leemhuis beschäftigt sich privat wie beruflich gerne mit Linux. Speziell der Kernel und die Hardware-Unterstützung haben es ihm angetan. Ein "Frickler" ist er aber nicht: Er schätzt es, wenn Dinge funktionieren, ohne dass man sich einen Kopf um sie machen muss.

Bitte bewerten Sie den Vortrag.

Dienste müssen heute hochverfügbar sein, performant und sicher. Viele Gründe führen zum Verschieben von Systemen in andere Rechenzentren: Dazu zählen Cloudhosting, Verlegung von Firmen oder Abteilung, Fusionen, aber auch politische oder wirtschaftliche Gründe. Die Migration an eine andere Lokationen ist immer ein heißes Eisen, das aber -- gut geplant -- von Fachleuten gemeistert werden kann.

Der Vortrag vermittelt Erfahrungen beim Umzug von RZ-Environment. Dazu zählen ebenso Erkenntnisse beim Übertragen von Hardware sonstiger Umgebungskomponenten sowie der Transport von Daten über weite (WAN) und nahe Strecken (LAN). Dabei hilft die richtige Unterstützung durch das Betriebssystem (hier insbesondere Unix und Linux) mit Logical Volume Manager (LVM) bzw. mdadm. Der Umzug von Systemen im Kontext von Clustering, Mirroring und Replikation erfordert eigene Konzepte, ebenso wie der Umzug von VM-Guests. Beschrieben wird weiterhin die Applikationsunterstützung durch Oracle und den Einsatz von ASM/GRID/Dataguard. Betrachtung findet die storagebased Replikation sowie das Mirroring mit und ohne SDS.

Die Teilnehmer erhalten Ratschläge und Hinweise für eigene geplante Umzüge. Dieser Vortrag basiert auf praktischen Umsetzungen der letzten neun Jahre. Fallbeispiele aus Versicherungs- und Bankenwirtschaft, sowie Unternehmen der Automotive- und Airline-Industrie untermauern die Theorie.

Dirk Reuper hat nach seinem Studium an der FH FFM sich der IT zugewandt. Er sammelte Erfahrung als IT-Leiter, CAD-Systems-Manager, Systemingenieur und Consultant bei Endkunden, Fachhandel und Distribution. Er verfügt somit über breites Wissen und ist seit 2001 umfangreich zertifiziert. Seit neun Jahren ist er im RZ-Betrieb mit HA-MC Anforderungen tätig, seit 2011 bei einem großen Transportunternehmen in Frankfurt.

Bitte bewerten Sie den Vortrag.

Architekturmuster waren in der Computertechnik immer von großer Bedeutung. Wir kennen bereits Patterns, die die Eigenschaften und Beziehungen zwischen Softwaresystemen, Servern und Netzwerken beschreiben. Das neue Microservice-Paradigma erfordert und erzeugt neue Pattern.

In diesem Talk schauen wir uns die ersten Pattern and, um verteilte Applikationen in Microservices mit Kubernetes [0] zu beschreiben. Wir starten auf der Linux Kernel Ebene und schauen uns Namespaces, Capabilities und Seccomp unter diesem Aspekt und wie sie in Docker implementiert werden an. Über die Container Design Patterns [1] gehen wir zu den orchestrierten Systemen, die auf eine alte Idee von Microsoft [2] zurückgehen und mit Helm [3] beschrieben werden. Last but not least haben wir mit Deployments und Rolling Updates [4] auch endlich DevOps Pattern direkt in einer Orchestrierungsplattform implemtiert.

[0] Kubernetes: http://kubernetes.io/

[1] Brendan Burns and David Oppenheimers om 'Container Design Pattern': http://blog.kubernetes.io/2016/06/container-design-patterns.html

[2] 'Outdated' description of 'Deployment Patterns': https://msdn.microsoft.com/en-us/library/ff646997.aspx

[3] Kubernetes Helm: https://github.com/kubernetes/helm

[4] Deployments: kubernetes.io/docs/user-guide/deployments/

Dr. Thomas Fricke ist CTO und Partner der Endocode AG und hat als Cloud-Architekt zahlreiche Clouds entworfen und aufgebaut. Derzeit bearbeitet er große Projekte im Umfeld PaaS und baut dort an Containern angepassten Microservices. Vorher war er 10 Jahre selbstständig und hat neben dem Aufbau von Clouds große Web-Plattformen automatisiert.

Bitte bewerten Sie den Vortrag.

Den Begriff des Software-defined Storage findet man zwar mittlerweile auf den Webseiten aller Storage-Anbieter, aber er erfasst nicht, welche technologische Revolution hinter den Kulissen wirklich im Gange ist. Zwar war Storage auf Software-Basis schon immer irgendwie da, aber technologische Entwicklungen wie schnelles Ethernet auf Hardware-Seite oder Algorithmen wie Paxos auf Software-Seite ermöglichen eine neue Qualität der Entkopplung von Hardware.

Der Vortrag wird die wichtigsten Technologie-Entwicklungen skizzieren, eine Übersicht über Software Storage Architekturen geben und anhand von Beispielen zeigen, was heute mit Software-Storage möglich ist.

Felix Hupfeld ist einer der Gründer von Quobyte, wo er als CTO zusammen mit seinem Engineering-Team ein Software-Speichersystem der nächsten Generation entwickelt. Vor Quobyte arbeitete Felix bei Google an skalierbarer Speicherinfrastruktur und half dabei, dass Gmail sein Beta-Label los wurde. Er ist außerdem einer der Architekten des XtreemFS-Dateisystems und hat während seines Studiums in Karlsruhe an einem auf dem L4-Microkernel basierenden Betriebssystem gearbeitet.

Bitte bewerten Sie den Vortrag.

Predictive analytics, Internet of Things, Industrie 4.0: Begriffe, die in aller Munde sind. Wie aber sehen echte Installationen aus? Wie können containerbasierte Microservices den Deploymentprozess vereinfachen und gleichzeitig die Produktivität erhöhen? Claus Matzinger von Crate.io wird in diesem Vortrag all diese Fragen beantworten und mittels Raspberry Pis, Grafana und Rust einige Best Practices aus der "echten Welt" vorstellen.

Nach einer Karriere als Consultant und als Start-Up-CTO arbeitet Claus Matzinger nun als Software Engineer mit vielen Nutzern und Kunden bei Crate.io und hilft ihnen bei spezifischen Probleme und Fragen rund um verteilte SQL-Datenbanken. Als Anhänger der Sprache Rust bastelt er in seiner Freizeit gerne an seinen Raspberry Pis und erstellt und wartet Rust-Treiber für verschiedene Sensoren dafür. Neben Rust und IoT redet Claus noch gerne über Datenbanken, Container und was man daraus machen kann.

Bitte bewerten Sie den Vortrag.

Ceph ist die bekannteste Open Source Software-Defined-Storage-Lösung, und nicht nur im Umfeld von Cloud und Open Stack verbreitet. Ebenfalls kommt es für Medienbibliotheken, Backuparchive und mehr zum Einsatz. Es bietet reichhaltige Funktionen als Block-, Object- und auch File-Storage-System. Dabei kommen Standardhardwaarekomponenten zum Einsatz die mittels Ceph skalierbar, redundant und hoch verfügbar verbunden werden.

In diesem Vortrag stellen wir die aktuellen Funktionen und Funktionsweise von Ceph vor und geben einen Einblick auf die kommende Version. Dies insbesondere vor dem Hintergrund der Planung und im täglichen Betrieb.

Lars Marowsky-Brée begann sein Leben als SysAdmin bei einem ISP und wechselte dann in den Bereich der Software-Entwicklung. In diversen Rollen seit 2000 bei SUSE beschäftigt, arbeitet er aktuell als Architekt für SUSE Enterprise Storage, welches auf Ceph basiert. Im Jahre 2012 wurde er zum Distinguished Engineer ernannt. Er vertritt SUSE im Ceph Advisory Board. Seine Basis ist derzeit in Berlin.

Bitte bewerten Sie den Vortrag.

Seit der Einführung von nativer Replikation mit Version 9.0 im Jahr 2010 hat PostgreSQL mit jeder neuen Version Verbesserungen und weitere Möglichkeiten sowohl bei der Replikation also auch bei der Skalierbarkeit und in anderen Bereichen erhalten. Durch die traditionell umfangreiche Abdeckung von SQL-Features und Anbindungen an verschiedene Programmiersprachen, das inzwischen eingeführte Erweiterungs-System sowie die Zusammenarbeit mit externen Projekten, ist heutzutage ein stabiler, performanter und auch hochverfügbarer Betrieb von Unternehmens-kritischen Datenbanken möglich.

Dieser Vortrag stellt den momentan Stand der Best-Practises und Lösungen für Skalierung, Replikation und Hochverfügbarkeit von PostgreSQL und auf Postgres basierenden Projekten unter anderem an Hand von in der Praxis umgesetzten Kunden-Projekten vor. Außerdem gibt er einen Einblick in die für das Thema relevanten neuen Features der für Ende 2017 erwarteten Version 10.

Michael Banck ist Projektleiter und Senior Consultant bei der credativ GmbH, einem Herstellerunabhängigen Beratungs- und Dienstleistungsunternehmen, welches Services und Support für die Einführung und den Betrieb von Open Source Software im Unternehmenseinsatz bietet. Er ist ferner seit 2001 Mitglied des Debian Projekts und auch in weiteren Open Source Projekten aktiv.

Als Mitglied des Datenbank-Teams von credativ hat er in den letzten Jahren verschiedene Kunden bei der Lösung von Problemen mit und dem täglichen Betrieb von Postgres, sowie bei der Einführung von Hochverfügbarkeits-Lösungen im Bereich Datenbanken unterstützt und beraten. Michael Banck war vor seiner Arbeit bei der credativ GmbH wissenschaftlicher Mitarbeiter an der Technischen Universität München, von welcher er auch einen Abschluss als Diplom-Chemiker besitzt.

Bitte bewerten Sie den Vortrag.

Eine Live Hintergrundmigration von Kundendaten während des Betriebs ist eine kostengünstige Alternative zu SANs zum Aufbau großer, skalierbarer virtueller Speicherpools. Sie hat mehrere Vorteile, wie das Zulassen von lokalem Storage gemischt mit Remote Storage. Sie erlaubt geringer dimensionierte Netzwerke bei gleichzeitig höherer Performance.

Bei der 1&1 Internet SE wird aktuell eine Lösung aufgebaut, bei der geo-redundante MARS-Cluster in geo-redundante große virtuelle Speicherpools zusammengeschaltet werden, die aus tausenden von Nodes bestehen. Einige Teile davon werden im Vortrag präsentiert. Das Konzept kann auch bei anderen grossen Installationen für "nicht-georedundante" skalierbare Operationen eingesetzt werden (sogenannter "standalone Modus")

Thomas Schöbel-Theuer arbeitet als Experte für Linux Kernel und Storage bei der 1&1 Internet SE.

Bitte bewerten Sie den Vortrag.

IT-Infrastruktur wird mittlerweile durch Konfigurations-Management-Systeme wie Puppet oder Ansible installiert und konfiguriert. Ist Infrastruktur durch Code beschrieben und wird Infrastruktur automatisch durch Code generiert und konfiguriert, spricht man von Infrastructure as Code (IaaS). Im dazugehörigen Entwicklungsprozess (DevOps!) findet man neben Code-Repositories Unit- und Integrations-Tests und Continuous Integration Systeme.

Ziel solcher CI-Systeme ist es, einen hohen Automatisierungsgrad zuerst für die Test-Prozeduren des Codes (Continuous Integration) bereitzustellen. In nachfolgender Ausbaustufe hat man das Ziel, zur Auslieferung geeignete Artefakte zu bauen (Continuous Delivery; bei Infrastruktur eher ungewöhnlich) und danach tatsächlich zu deployen (Continuous Deployment).

Zentral sind hier automatische Tests, denn nur wenn die Korrektheit des entwickelten Infrastruktur-Codes nachgewiesen ist, können die Entwickler die Verantwortung übernehmen, automatisch auszurollen und damit die Infrastruktur zu verändern.

In den letzten Jahren will man automatische Tests möglichst gemeinsam mit dem "tatsächlichen" Code entwickeln. Um hierfür ständige und kontinuierliche Tests zu unterstützen, wurden in in den letzten Jahren sogenannte CI-Pipelines entwickelt. Dabei wird eine einzelne Datei mit der Spezifikation eines Test-Workflows in das Repository gelegt und bei bestimmten, Operationen (zum Beispiel commit, pull request, merge) automatisch ausgeführt.

Oft wird die Pipeline durch den Repository-Provider bereitgestellt (etwa travis.ci in Verbindung mit github.com, gitlab-ci bei gitlab.com). Interessanter, weil vom Repository technisch entkoppelt, ist die Ausführung durch einen CI-Server. Dies ist beim CI-Server Jenkins das Jenkinsfile-Plugin. Hier können (in Groovy) programmatisch Aktionen spezifiziert werden, die bei bestimmten Operationen auf ein oder mehrere konfigurierten Repositories Aktionen durchführen.

Der Beitrag verschafft anhand einfacher Beispiele einen Überblick, wie man in einem Infrastruktur-Repository zuerst statisch syntaktische und stilistische Checks auf den Code durchführt, danach dynamisch den Code auf Test-Maschinen appliziert, den Erfolg dieser Operation prüft und schließlich auf den Test-Server mit rspec/serverspec Akzeptanz-Tests ausführt. Diese Operation führt ein Jenkinsfile zusammen. Es zeigt, wie Tests häufig und reproduzierbar im Repository ausgeführt und entwickelt werden können.

Als Beispiel dient Puppet-Code in einem Test-Framework, deren virtualisierte Test-Maschinen docker-Applikations-Container mit systemd verwenden (eine leicht schmutzige Lösung). Der Beitrag führt vor, wie sich der Ansatz auch auf andere Machine-Provider wie VMware, GCE, AWS und andere Konfigurations-Frameworks abstrahieren lässt.

Christopher J. Ruwe (Jahrgang 1982) hat in und nach seinem Studium der BWL festgestellt, dass er doch lieber etwas Vernünftiges hätte lernen sollen. Deswegen hat er an der Fern-Uni Hagen danach parallel zu seinem Beruf Informatik mit Schwerpunkt Betriebssysteme und Verteilte Systeme aufgesattelt, um jetzt in seinem Beratungs-Alltag als freiberuflicher DevOps-Consultant und -Engineer (offizielle Rolle) oder auch als System-Archäologe (eigentliche Rolle), festzustellen, dass er doch lieber etwas Vernünftiges hätte lernen und werden sollen. Vielleicht Gärtner. Man könnte dann Rosen züchten ...

Als persönliche Instanziierung des "wat nen Dreck"-Mantras konzentriert er sich mit Vorliebe auf korrekt gebaute Systeme und deren Verfikation. Er legt großen Wert auf die Feststellung, kein Masochist zu sein.

Bitte bewerten Sie den Vortrag.

Solaris? War das nicht mal Open Source, jetzt aber nicht mehr? Und dafür verlangt Oracle doch ganz viel Geld... aber man darf es kostenlos benutzen? Ist das nicht doch eher was für SPARC-Leute? Aber es gibt eine i386-Live-DVD mit Gnome-Desktop! Aber es ist doch ohnehin tot. Oder nicht?

Es ist schwierig genug, beim Oracle-Solaris den Überblick zu behalten. Noch schwieriger ist es aber, sich bei den verschiedenen Abkömmlingen von OpenSolaris. Welche Fassung lohnt sich zu benutzen? Seit der letzten Bestandsaufnahme vom FFG 2016 sind sogar noch zwei oder drei neue OpenSolaris-Ableger dazugekommen.

Schaut man sich aber die OpenSolaris-Forks an, die aktiv weiterentwickelt werden und für die es optional kommerziellen Support gibt, wird die Liste schon deutlich kleiner. Ein solches System ist das OmniOS der US-amerikanischen Software-Schmiede OmniTI: Ein knackiges, effizientes, konsequent auf Server-Umgebungen getrimmtes x64-only-Betriebssystem, das noch sehr viel gemeinsam mit dem "offiziellen" Solaris hat, aber trotzdem seinen eigenen Weg geht und inzwischen auch eine Community, auch in Deutschland, aufgebaut hat.

Diese Präsentation möchte zeigen, wie OmniOS und seine Community ticken, was es gut kann und was nicht. Sie zeigt, wie Releases und Updates (insbesondere den Security Fixes) organisisert sind, und warum es sich lohnt, auch als "einzelner Hacker" zuhause ein reinrassiges Server-Betriebssystem einzusetzen.

Volker A. Brandt ist zusammen mit seinem Bruder Rainer Inhaber einer kleinen Firma, die sich auf heterogene RZ-Infrastruktur mit Schwerpunkt Solaris spezialisiert. Er beschäftigt sich mit Systeminstallationen, Data Center Automation, Paketierung und systemnaher Programmierung sowie allem anderen rund um Solaris 11. Er hat bereits einige Vorträge und Workshops über Solaris 10 und 11, AI, IPS und verwandte Themen gehalten und redet gerne, viel und oft über Solaris.

Bitte bewerten Sie den Vortrag.

Mit der Einführung von Containern haben sich in der Entwicklung viele neue Möglichkeiten ergeben. Um diesen Möglichkeiten im Alltag gerecht zu werden habt die Firma inovex eine Deployment-Pipeline mit Gitlab CI und Kubernetes erstellt. Die Vortragenden möchten diese Architektur beleuchten und die Fragestellung beantworten, welche Vorteile dies im Alltag mit sich bringt.

Benjamin Stein ist als Linux Systems Engineer bei der inovex GmbH tätig. Neben Devops befasst er sich mit Themen rund um CI/CD und SDD.

Christoph Petrausch ist als Linux Systems Engineer bei der inovex GmbH tätig. Neben der Container Orchestrierung mit Kubernetes beschäftigt er sich mit der Auswertung von Log und Monitoringdaten. Aktuell beschäftigt er sich viel mit der Entwicklung von Infrastruktur-Microservices in Go.

Bitte bewerten Sie den Vortrag.

Ein Problem beim Ausführen von Enterprise Anwendungen in Container-Schedulern wie Apache Mesos oder Kubernetes ist es die Anwendung und ihre Daten hochverfügbar zu machen. Bereits jetzt gehören Datenbanken zu den am meist geladenen Containern auf Docker Hub. Bisher hat die Verwendung von lokalen Datenträgern auf Compute Nodes uns Datenpersistenz gegeben. Aber gleichzeitig raubt sie uns die Datenmobilität, welche uns Toleranz gegenüber Nodeausfällen gegeben hat.

Wir werden diskutieren wie wir das lokale Persistenzproblem mit Software Defined Storage (SDS) lösen können, indem wir den Storage der einzelnen Nodes zu einem globalen Pool zusammenführen. Dabei werden wir uns ansehen, wie ein Scheduler auf einen solchen Pool zugreifen kann. Dabei liegt der Fokus auf einer möglichst einfachen Integration in den Scheduler, ohne dass die Applikationen angepasst werden müssen. Wir werden zeigen, wie man mit demselben Mechanismus Storage in der Public Cloud anbinden kann.

Ulrich Hölscher arbeitet bei Dell EMC als Systems Engineer. Während seiner Zeit bei Dell EMC hat er verschiedenen Kundenprojekte umgesetzt, vom klassischen Storage Konzept bis zu Cloud und PaaS Lösungen. Sein persönlicher Schwerpunkt liegt auf IT Transformationen mit DevOps und PaaS Ansätzen. Bei seinen Kunden spielen Container Technologien eine immer zentralere Rolle.

Bitte bewerten Sie den Vortrag.

Blockchain ist eine Technologie, die seit 2009 existiert, aber erst seit ein paar Jahren für Schlagzeilen sorgt. Im Vortrag werden technische und fachliche Aspekte des Ansatzes erläutert. Er zeigt, warum Blockchain eine neue Dimension der Dezentralisierung und des Peer-to-Peer-Computing darstellt und erst jetzt IoT wirklich möglich macht.

Der Beitrag erläutert das Konzept eines Trustless Systems und das Internet of Value und geht der Frage nach, wie eine dezentralisierte autonome Organisation funktioniert. Er erläutert, warum wir das alles brauchen und wofür es jetzt bereits eingesetzt wird. Blockchain hat auch Smart Contracts möglich gemacht, die in der Theorie schon seit 1992 existierten, aber mit konventionellen Technologien nicht implementiert werden konnten. Der Vortrag erklärt deren Idee und Funktionsweise. Zum Schluss werden die aktuellsten Entwicklungen erläutert und ein Ausblick in die Zukunft gewagt.

Andrei Martchouk ist Geschäftsführer der KI decentralized GmbH, ein Software- und Beratungsunternehmen mit dem Fokus auf Blockchain-Technologie. Davor war er CEO und Mitgründer der Yacuna AG, einer Cryptocurrency-Börse und Blockchain-Lösungsanbieter.

Vor der Yacuna-Gründung war er für eines der ersten deutschen Fintech-Unternehmen, ClickandBuy, als Chief Architect und Leiter Entwicklung tätig. Andrei Martchouk war für ein In-House Team und mehrere verteilte internationale Teams zur Entwicklung innovativer Paymentlösungen verantwortlich. Nach der Übernahme von ClickandBuy durch die Deutsche Telekom war er in der Business Unit Payment der Deutschen Telekom weiterhin für die Entwicklung der Paymentlösungen im Onlinebereich zuständig. In diesem Umfeld hat er seine 14-jährige Erfahrung im Payment-Segment gesammelt. Schwerpunkte: Online-Payment-Systeme für E-Commerce, Emoney-Wallets und Payment-Card Lösungen. Der Diplominformatiker, Absolvent der Fachhochschule Köln und der Linguistischen Universität Minsk wurde 2010 zu einem Bitcoin-Enthusiasten.

https://www.linkedin.com/in/martchouk/

https://twitter.com/martchouk

Bitte bewerten Sie den Vortrag.

In den letzten Jahren ist ein riesiger Hype um das Thema 'Container' in allen Lebenslagen entstanden. Mittlerweile hat dieses Thema auch die High Performance Computing-Welt erreicht. Im Vortrag wird 'Singularity' - ein Container-System speziell entwickelt auf die Bedürfnisse von HPC - beleuchtet. Es wird aufgezeigt, in welchen Eigenschaften es sich von anderen Container-Systemen unterscheidet und welche Problem es zu lösen vermag.

Egbert Eich hat Physik an der TU Darmstadt studiert. Während des Studiums administrierte er verschiedene Unix Systeme - darunter AIX und True64 und befasst sich seit 1992 mit Linux. Unter anderem leistete er massgebliche Beiträge zum X Window System und hardware-nahen Komponenten des Grafik-Stacks. Seit 2001 ist er bei der SUSE Linux GmbH beschäftigt, wo er alle Themen rund um den Grafik-Stack betreute. Seit 2016 ist er als Project Manager und Architekt fuer den Bereich HPC bei SUSE zuständig.

Bitte bewerten Sie den Vortrag.

In den letzten Jahren wurde viel über TLS-Sicherheit geredet, SSH jedoch selten erwähnt. SSH ist nicht nur ein Standardwerkzeug für Administratoren, sondern leistet auch vielen Benutzern gute Dienste. Doch wer hat schon einen Überblick, welche Schlüsseltypen es gibt und wie die Verbindung verschlüsselt wird? Gefahr, unsicherere Einstellungen zu nutzen, laufen zudem Administratoren, die ihre Schlüssel und Konfiguration über mehrere Rechnergeneration hinweg migriert haben. Dokumentation und RFCs zu den Standards und Tools sind oft komplex und nicht jeder hat die Zeit, neue Revisionen und Releasenotes eines jeden Werkzeugs zu lesen. Daher werden als Einstieg nochmal SSH-Grundlagen theoretisch und an einer interaktiven Session aufgefrischt. Nachdem alle wieder mit dem Verbindungsaufbau und den gängigsten Konfigurationsoptionen vertraut sind, stellt der Beitrag einige nützliche Optionen vor, die vielleicht nicht jedem bekannt sind. Danach werden Möglichkeiten zur Schlüsselverwaltung mit dem Keysigning-Feature demonstriert und diskutiert. Falls noch Zeit über ist, werden die zahlreichen Tunnelingfunktionen besprochen. Ziel ist es, dass jeder Zuhörer am Ende des Vortrags wieder mit der Funktionsweise von SSH vertraut ist und mit nach Hause nimmt, wie er sein SSH-Setup verbessern kann.

André Niemann fing mit Linux als Hobby zu Zeiten an, als es noch gängig war, Textinstaller zu benutzen. Seit 2013 ist er neben seinem IT-Sicherheitsstudium als Linux-Systemengineer mit Fokus auf Systemsicherheit als Freelancer unterwegs und hält Fachvorträge bei Usergroups und Open-Source-Konferenzen.

Bitte bewerten Sie den Vortrag.

Golang ist eine von Google entwickelte Programmiersprache, die aktuell einen enormen Zulauf erhält. Seitdem Sebastian Mancke golang für sich entdeckt hat, macht ihm das programmieren doppelt so viel Spaß wie vorher. Der fun-Faktor der Sprache entsteht durch ihre Einfachheit, Robustheit und hohe Performance. Außerdem ist Golang sehr leicht zu lernen. All das hat die Experten bei der Firma tarent so sehr überzeugt, dass golang dort nun auch in großen Entwicklerteams produktiv eingesetzt wird. In diesem Talk möchte Sebastian Mancke seinen Zuhörern Golang näher bringen. Dazu wird er die Kernkonzepte und Philosophie vorstellen sowie ein paar Highlights der Sprache demonstrieren: Nebenläufigkeit mit Goroutinen und Channels.

Sebastian Mancke ist head of technology bei der tarent solutions GmbH in Bonn. Er konnte in einer Vielzahl kleiner und sehr großer Projekte unterschiedlichste Erfahrung sammeln. Am liebsten programmiert er aber einfach selbst und baut auf Docker basierte Web Plattformen auf.

Bitte bewerten Sie den Vortrag.

Nicht enden wollende Passwortskandale. Ist das Passwort wirklich tot? Was ist sinnvoll? Was ist U2F und wieso hat es sich immer noch nicht durchgesetzt? Welche alten und neuen Möglichkeiten gibt es, Zwei-Faktor- oder Mehr-Faktor-Authentifizierung zu realisieren? Gerade auch im Unix-Umfeld aber auch in heterogenen Netzwerken?

Dieser Vortrag bietet einen Überblick über die Herausforderungen und Möglichkeiten der sicheren Authentifzierung. Außerdem zeigt er, welche Möglichkeiten es gibt, im Open-Source- und Unix-Umfeld Anmeldeverfahren besser abzusichern.

Cornelius Kölbel arbeitet seit 23 Jahren produktiv mit Linux. Seit 12 Jahren liegt sein Arbeitsschwerpunkt im Bereich Mehr-Faktor-Authentifizierung. Als Berater lernte er viele verschiedene Kundenanforderungen auch in heterogenen Netzwerken kennen und verstehen. Er plante und implementierte Public-Key-Infrastrukturen für Smartcard-Nutzung und beschäftigte sich als einer der Ersten mit der Interoperabilität des Aladdin eTokens zwischen Windows und Linux.

2006 initierte er das erste Linux-basierte Einmal-Passwort-System auf Basis des Aladdin eToken-NG OTP. 2009 rief er als Produktmanager die OTP-Lösung LinOTP2 in Leben. Im Jahr 2014 startete er das Projekt privacyIDEA, das eine unternehmenstaugliche Management-Lösung für verschiedene Arten von Authentifizierungsobjekten bereitstellt. Zur gleichen Zeit gründete er das Unternehmen NetKnights mit dem er Dienstleistungen rund um die Themen Identitäten und Authentifizierung anbietet.

Bitte bewerten Sie den Vortrag.

Bereits seit Februar 2008 bietet die Thomas-Krenn.AG mit dem Thomas-Krenn-Wiki umfangreiche Informationen rund um den professionellen Server-Einsatz. Ursprünglich als internes Wiki mit FAQs für das IT-Support-Team gestartet, stellte es sich bald als sinnvoll heraus, diese Informationen offen im Internet bereitzustellen. Heute stellen die Techniker von Thomas-Krenn über 1.700 technische Artikel im Wiki bereit, Tendenz kontinuierlich steigend.

Eine besondere Herausforderung ist es, diese große Anzahl an Beiträgen auf einem aktuellen hohen Niveau bereitzustellen. Schon beim Schreiben eines neuen Beitrags stellen sich viele Fragen: Woher kommen die Informationen? Wie können diese geprüft werden? Was ist relevant und was lenkt nur ab? Wie können wir Feedback von Lesern nutzen? Anschließend kommen noch weitere Fragen hinzu: Wie halten wir die Informationen aktuell? Wie archivieren wir Beiträge zu mittlerweile veralteten Software- und Hardwarelösungen?

Wie die Techniker von Thomas-Krenn diese Fragen beantworten, welchen Leitfaden sie dazu erstellt haben und warum sich MediaWiki als optimale Wahl herausstellte zeigt Werner Fischer in diesem Vortrag.

Werner Fischer arbeitet als IT Experte im Communications/Knowledge-Transfer Team des bayerischen Serverherstellers Thomas-Krenn. Schwerpunkte seiner technischen Arbeit sind die Analyse von neuen Software- und Hardware-Technologien, die Entwicklung von Hardware-Monitoring-Plugins, sowie Performance-Optimierungen, vor allem im Storage-Umfeld. Er ist ein regelmäßiger Vortragender auf zahlreichen Open Source Konferenzen wie OSDC, OSMC, LinuxCon und vormals auf dem LinuxTag. Als Autor ist Werner Fischer für das Thomas-Krenn-Wiki und darüber hinaus nebenberuflich als freier Journalist für diverse IT Magazine tätig (ix, c't, IT-Administrator).

Bitte bewerten Sie den Vortrag.

Virtualisierung hat sich zu einem der wesentlichen Vorgehensweisen entwickelt, um Serversysteme und IT-Dienste bereitzustellen und zu betreiben. Dies trifft sowohl auf kleine und mittelständische als auch auf große Unternehmen und Behörden zu. Durch Virtualisierung ist eine Abstraktion der tatsächlichen physischen Hardware heute gelebte Praxis. Im Open-Source-Bereich wird Virtualisierung heute vor allem mittels Kernel-based Virtual Machine (KVM) umgesetzt.

Virtualisierung bedingt jedoch auch eine Reihe von sicherheitstechnischen Implikationen. Insbesondere steht und fällt die Vertraulichkeit, Integrität und Verfügbarkeit der Datenverarbeitung in einer virtualisierten Umgebung mit der Sicherheit des virtualisierenden Systems. Aus diesem Grund hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2015 eine Sicherheitsanalyse von KVM (KVMSec) in Auftrag gegeben. Der Vortrag fast die Ergebnisse dieser Studie zusammen.

Den Schwerpunkt der Studie bildet die sicherheitstechnische Untersuchung der für die Virtualisierung benötigten Komponenten. Dies umfasst die systematische Untersuchung von QEMU und KVM auf konzeptionelle und architektonische Schwächen als auch auf sicherheitskritische Implementierungsfehler. Auch wird eine allgemeine Beurteilung der Qualität des entsprechenden Quelltextes durchgeführt.

In diesem Zusammenhang wurden drei Leitfragen untersucht: Ist ein Ausbruch aus der virtuellen Umgebung möglich? Ist dem Gast ein Zugriff auf sensible Daten anderer Gäste oder des Hosts möglich? Ist es dem Gast möglich, die Funktionstüchtigkeit anderer Gäste oder des Hosts zu stören?

Der zweite Analyseschwerpunkt ist die Netzanbindung der virtuellen Maschinen. Während in kleineren Virtualisierungsumgebungen mit nur einem Host häufig sämtliche virtuelle Maschinen über einen einzelnen virtuellen Switch mit der Außenwelt verbunden sind, ist in größeren Umgebungen mit mehreren Hosts und in Cloud-Umgebungen die Trennung der virtuellen Gäste in unterschiedliche Netze und die Trennung des Netzverkehrs notwendig.

Wesentliche Aufgabe der Virtualisierungsumgebung ist daher die Separation der Datenströme unterschiedlicher Gäste. Es soll verhindert werden, dass Daten die an einen Gast gesendet oder von ihm versendet werden, durch einen anderen Gast eingesehen, modifiziert oder unterdrückt werden können. Aus diesem Grund wird die Robustheit der Paketvermittlung der Virtualisierungsumgebung untersucht. Dies umfasst insbesondere die Widerstandsfähigkeit gegenüber bekannten Angriffen auf Layer 2 und 3 des OSI-Referenzmodells. Ebenfalls werden Konfigurationsfehler, die zu einer Einschränkung der Sicherheit führen, aufgezeigt.

Wenngleich das technische Fundament der betrachteten Virtualisierung aus KVM und QEMU sowie der Netzwerkanbindung besteht, so bedürfen komplexe Virtualisierungsumgebungen einer zusätzlichen Managementumgebung. Aus diesem Grund wird insbesondere libvirt bzgl. seiner sicherheitstechnischen Merkmale analysiert. Hierbei werden die von libvirt eingesetzten Schutzfunktionen, insbesondere SELinux, auf Effektivität hin überprüft.

Abschließend werden mögliche Härtungsmaßnahmen für den Einsatz einer Virtualisierungsumgebung auf Basis von KVM aufgeführt.

Der Vortrag fasst die Ergebnisse der Studie zusammen und hat das Ziel sowohl Administratoren als auch IT-Sicherheitsbeauftragten wesentliche Gefahren und Fallstricke der Virtualisierung mit KVM näher zu bringen. Hierzu wird insbesondere auf die erarbeiteten Härtungsmaßnahmen eingegangen.

Hendrik Schwartke ist Mitarbeiter bei OpenSource Security Ralf Spenneberg. Dort beschäftigt er sich vor allem mit Fragen der IT-Sicherheit von Linux-Systemen sowohl im Serverbereich als auch von eingebetteten Systemen. Er war verwantwortlich für die Durchführung der Studie "Sicherheitsanalyse von KVM (KVMSec)" im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik. Hendrik Schwartke hat einen Abschluss zum Master of Science im Studiengang Informationstechnik im Jahr 2010 und zuvor einen Bachelor of Science im Fach Angewandte Informatik an der Fachhochschule Münster erworben.

Bitte bewerten Sie den Vortrag.

Die Themen Infrastructure Automation und Orchestration, Cloud und Software Defined Networks sind in aller Munde. Nahezu jeder Netzwerkhersteller, der etwas auf sich hält, bietet Produkte, und stellenweise sogar Lösungen, in dieser Buzzwordblase an.

In den letzten Jahren konnte man eine Besinnung auf offene Standards (OSPF, ISIS, BGP, MPLS) und einen Paradigmenwechsel hin zu mehr (Host/Segment-)Routing und weniger Layer2-Magie wahrnehmen. Das hat uns im Bereicht der Data-Center-Netzwerke Dinge wie »IP Fabrics« und neue Standards (z.B. VXLAN) beschert und Open-Source-basierte "Open Networking"-Plattformen auf dem Markt erscheinen lassen. All das schwappt so langsam aber sicher auch in den Access-Bereich. Auf einmal ist man nicht mehr an das Betriebsystem und die Vorstellungen des Hardwarevendors gebunden, sondern kann die Control-Plane einiger Geräte mit verschiedenen Linux-basierten Produkten nahezu vollständig selbst kontrollieren und orchestrieren.

Dank der Linux-Basis und Freude am Open-Source-Gedanken mancher Hersteller sind einige Features in Open-Source-Komponenten (Linux-VRFs, MPLS-Forwarding-Plane im Linux-Kernel, etc.) gewandert und stehen somit für Jedermann zur Verfügung. Besonders zu erwähnen ist hier das Debian-basierte System von Cumulus Networks, aus deren Feder u.a. ifupdown2 sowie VRF-Support für Linux stammen.

Eine Sammlung dieser Technologien und Ansätze lassen sich nicht nur in Low-Budget- und/oder Eigenbau-Netzwerken anwenden und können hier erstaunliche und mächtige Optionen eröffnen. Der Vortrag wird am Beispiel der Netzwerk- und Server-Infrastruktur des Freifunk Hochstift darlegen, wie man mit ein bisschen SaltStack, knapp 1000 Zeilen Python und erschwinglicher Hardware eine SDN-basierte Service-Provider Infrastruktur bereitstellen kann, in der Overlay-Netze und Anycast keine Fremdworte sind.

Das Zielpublikum des Vortrags umfasst in erster Linie (Linux-)Administratoren und Netzwerker, die bereits Erfahrungen mit der jeweils anderen Welt haben und wissen was Routing ist. Eine positive Einstellung zum Thema Automatisierung ist von Vorteil.

Maximilian Wilhelm ist tagsüber Senior Infrastructure Architect in Rechenzentrum der Universität Paderborn und hackt nachts an der Freifunk-Hochstift-Infrastruktur und Open-Source-Projekten. Er hat seit Anfang der 2000er ein Herz für Linux und Open Source, hat vor langer Zeit ein Faible für Netzwerke, IPv6 und Routing entwickelt und war im letzten Jahr Sprecher und Tutor bei den #Routingdays. Aktuell macht er sich die Finger schmutzig mit ifupdown2, VXLAN, Linux VRFs, Infrastructure Automation mit Salt Stack und kommunistischen Frickelnetzen und hat seitdem Angst vor SDNs. In seiner Freizeit spielt er gerne Klavier und Orgel, fotografiert, oder versucht beim Windsurfing auf dem Brett zu bleiben.

Bitte bewerten Sie den Vortrag.

Reproducible builds enable everyone to verify that a given binary is made from the source it is claimed to be made from, by enabling anyone to create bit by bit identical binaries.

This talk will report on the state of reproducible builds in various distributions (Debian, Archlinux, coreboot, F-Droid, Fedora, FreeBSD, Guix, NetBSD, OpenWrt, SuSE, and Qubes OS - to name a few) and thus should be interesting and insightful for anyone working on any free software project.

Holger will explain how he started working on this in the Debian context and how his focus shifted slightly over the time. So he will start with explaining the status of Reproducible Debian, but this is quickly followed by an overview of common problems and solutions, followed by a quick explaination of the shared test infrastructure for reproducible tests of any project. You will learn how the community was broadened, what future plans we have to address what might be needed beyond being able to reproducible build something, so this becomes truly meaningful for users in practice.

Holger Levsen has been a Debian user for 20 years and started contributing 15 years ago. He got involved in doing QA work on Debian in 2007 via first working on piuparts, which led him to start https://jenkins.debian.net in 2012. At the end of 2013 he had the idea to use this jenkins setup and a small script to build some packages twice and compare the results. That's how he got involved in Reproducible Builds.

Besides working on technical issues of Debian he also greatly enjoys meeting and interacting with people directly, so until recently he was also active in organizing the Debian conferences. This made him start the DebConf videoteam, which has resulted in a huge archive available online on https://video.debian.net and today via git-annex as well.

Bitte bewerten Sie den Vortrag.

Die Möglichkeiten, die realen Fähigkeiten von Grafikkarten in virtuellen Maschinen zu nutzen, sind in den letzten zwei Jahren rapide gestiegen. Inzwischen ist es möglich, geeignete VGPUs an mehrere Maschinen quasi gleichzeitig durchzureichen und zum geeigneten Zeitpunkt scharf zu schalten.

Des weiteren stabilisieren sich die Fähigkeiten des Kernels, dedizierte Grafikkarten als Ganzes durchzureichen, Stichwort VFIO. Dieser Vortrag demonstriert den aktuellen Stand der Technik.

Oliver Rath ist seit Mitte der Neunziger Jahre im Open-Source-Bereich tätig. Sein aktueller Arbeitgeber entwickelt Desktop Management Systeme, die beliebige Betriebssysteme ohne (Voll-)Virtualsierung über Netzwerk betreiben und warten können. Seine freie Zeit verbringt er am liebstem beim experimentellen Bierbrauen oder mit seinem Hund.

Bitte bewerten Sie den Vortrag.

Die Tatsache, dass kryptografisches Schlüsselmaterial und andere sensiblen Informationen aus Mikrocontrollern durch Analyse der Stromaufnahme ausgelesen werden können ist nicht neu. Ein Beispiel für einen erfolgreichen Angriff ist die Kompromitierung des KeeLoq-Systems, das für Autoschlösser unter anderem von Volkswagen verwendet wird.

Der Vortrag vermittelt Grundlagen der Differential Power Analysis (DPA). Es wird ein Laboraufbau beschrieben und erläutert welche Hardware und Software für einen DPA notwendig ist. Hiermit wird der Angriff auf zwei Demonstrationsgeräte mit unterschiedlichen Microcontrollern vorgestellt. Ferner werden Herausforderungen beim Angriff auf reale Hardware erläutert.

Erich Klundt ist Mitarbeiter beim OpenSource Security Ralf Spenneberg. Hier hat er ein Labor zur Durchführungen von Power Analysis-Angriffen aufgebaut.

Bitte bewerten Sie den Vortrag.

OpenStack und Open Telekom Cloud (Details folgen so bald wie möglich)

Kurt Garloff hat neben dem Physikstudium am Linux Kernel an SCSI gearbeitet und später bei der SUSE die SUSE Labs aufgebaut, wo er die Entwicklung von Kernel, Compiler und X11 leitete. Er hatte später einige technische und geschäftliche Führungsrollen bei der SUSE, bevor er 2011 ausschied. Seit 2011 beschäftigt er sich hauptsächlich mit der Entwicklung und Aufbau von OpenStack basierten Clouds, zunächst bei der Telekom (Business Marketplace und MedienCenter), bei Huawei und zuletzt bei T-Systems (Open Telekom Cloud).

Bitte bewerten Sie den Vortrag.

Drucker verarbeiten große Mengen hochsensibler Informationen und ihre Sicherheit sollte unverzichtbar sein. Wie die meisten Embedded-Geräte, bieten Drucker Firmware-Update-Mechanismen. Wir haben die Update-Funktionalität von Epson Multifunktionsdruckern erstmals auf Firmware-Modifikation-Angriffe analysiert und Schwachstellen sowohl in der Firmware-Struktur als auch im Update-Mechanismus gefunden. Wir diskutieren die Prozesse, die zur Entdeckung der Schwachstelle geführt haben, und implementieren eine Proof-of-Concept-Malware, um die Praktikabilität der Schwachstelle für Angriffe zu demonstrieren.

Unsere Malware ist in der Lage ein Netzwerk aufzuklären, Daten zu exfiltrieren und das eingebaute Fax-Modem eines Druckers für versteckte Kommunikation über das öffentliche Telefonnetz zu nutzen. Wir demonstrieren, wie bösartige Firmware auf netzwerkfähigen Druckern mit Hilfe von Cross-Site-Request-Forgery installiert werden kann. Wir zeigen, dass ein Angreifer dazu weder direkt mit einem anfälligen Gerät kommunizieren muss noch dass der Drucker direkten Zugriff auf das Internet haben muss. Um Einblicke in die anfällige Gerätepopulation zu gewinnen, analysieren wir Firmware von mehreren Druckermodellen in verschiedenen Fertigungsreihen auf ihre Anfälligkeit für die gefundene Schwachstelle. Darüber hinaus zeigen wir Ergebnisse unserer Analyse der Firmware-Versions-Verteilung und Patch-Verteilung für alle öffentlich verfügbaren Drucker im IPv4-Adressbereich. Firmware-Modifikation-Angriffe sind seit Jahren bekannt und eignen sich hervorragend für Angriffe. Andere Forscher haben in der Vergangenheit ähnliche Untersuchungen durchgeführt und konnten ähnliche Design-Fehler in allen Arten von Embedded-Geräten aufdecken.

Take away: Die Fähigkeiten heutiger eingebetteter Systeme, insbesondere von vermeintlich alltäglichen Geräten wie Druckern werden oft unterschätzt. Diese Geräte verarbeiten hochsensible Dokumente, sind meist dauerhaft eingeschaltet und haben Zugriff auf das lokale Netzwerk. Wir demonstrieren wie Firmware-Update Schwachstellen in diesen Geräten aufgedeckt und von Angreifern selbst ohne direkte Kommunikation mit den Geräten ausgenutzt werden können. Wir demonstrieren, dass ein MFP als Brückenkopf genutzt werden kann, um beliebige Daten aus einem geschlossenen Netzwerk zu exfiltrieren und zu infiltrieren.

Why: Die technischen Möglichkeiten der heutigen Multifunktionsgeräte und die daraus entstehenden Gefahren werden unterschätzt. Insbesondere die Möglichkeit Daten mit dem integrierten FAX-Modem unbemerkt aus gesicherten Netzwerken und Netzen ohne IP-Konnektivität zu exfiltrieren, oder das Gerät als Proxy für weitere Angriffe zu nutzen ist wenig bekannt. Wir demonstrieren in diesem Vortrag die Nutzung des Faxmodems eines MFP für diesen Angriff. Unseres Wissens ist dies die erste Untersuchung und Veröffentlichung zu diesem Thema. Wir glauben, dass die in der Analyse gewonnenen Erkenntnisse wertvoll für die weitere Untersuchung von eingebetteten Systemen in zukünftigen Forschungsprojekten sein werden.

Yves-Noel Weweler (23 Jahre) besitzt den Bachelor in der Informatik und studiert aktuell im Masterstudiengang Informatik an der Fachhochschule Münster. Vor seinem Studium hat er eine Ausbildung zum Informationstechnischen Assistenten abgeschlossen. Aktuell ist er bei OpenSource-Security Ralf Spenneberg angestellt. Er ist Gründungsmitglied und Vorsitzender der Studentengruppe der Gesellschaft für Informatik Münsterland.

Hendrik Schwartke arbeitet seit 2010 als IT-Sicherheitsspezialist für OpenSource Security Ralf Spenneberg. Zu seinen Aufgabengebieten gehören neben der sicherheitstechnischen Analyse von OpenSource-Software die Untersuchung von eingebetteten Systemen. In dieser Funktion war er maßgeblich an der Konzeption des Fuzzing-Frameworks vUSBf zur systematischen Ermittlung von sicherheitskritischen Fehlern in Betriebssystemtreibern beteiligt. Ferner ist er Autor der Sicherheitsanalyse SUSIv8, welche im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik erstellt wurde und sich mit den sicherheitstechnischen Eigenschaften des Unified Extensible Firmware Interface (UEFI) untersucht befasst. Zuvor studierte er an der Fachhochschule Münster und erwarb dort im Jahr 2010 einen Abschluss zum Master of Science im Studiengang Informationstechnik und im Jahr 2008 einen Abschluß zum Bachelor of Science im Studiengang Angewandte Informatik.

Bitte bewerten Sie den Vortrag.

Ratschläge in Sachen IT-Sicherheit gibt es viele. Nicht selten stammen sie von Firmen, die einen vor allem davon überzeugen wollen, deren Produkt zu kaufen. Fachleute haben oft völlig konträre Ansichten - und für Nutzer ist kaum erkennbar, welche Ratschläge sinnvoll und welche Unsinn sind.

In den wenigsten Fällen gibt es solide wissenschaftliche Belege für Behauptungen. Warum testen wir IT-Sicherheitsprodukte und Ratschläge nicht wie Medikamente in kontrollierten Studien? Wie sähe eine evidenzbasierteW IT-Sicherheit aus?

Hanno Böck ist freier Journalist und Hacker. Er schreibt regelmäßig für Golem.de und für andere Publikationen, vorwiegend über Kryptographie und IT-Sicherheit. Zudem betreibt der das von der Core Infrastructure Initiative unterstütze Fuzzing Project und versucht, die Sicherheit von freier Software zu verbessern.

Bitte bewerten Sie den Vortrag.