GUUG e.V.
Antonienallee 1
45279 Essen
kontakt@guug.de
Impressum

Abstracts

Plattformbergreifende Dateidienste sicher anbieten
von Daniel Kobras und Michael Weiser
Dienstag, 23.9.2014 10:00-18:00 und
Mittwoch, 24.9.2014 10:00-18:00

Das Tutorium behandelt die Implementierung sicherer Dateidienste für Unix-, Linux- und Windows-Clients. Es wendet sich an Administratoren, die in ihren Umgebungen Dateidienste über SMB oder NFS anbieten und nun die Sicherheit dieser Services erhöhen möchten. Dazu werden folgende Netzwerkdateisysteme betrachtet:

1. SMB: Hier soll gezeigt werden, wie Linux- und UNIX-Systeme SMB nach aktuellem Sicherheits- und Komfortstandard als Client nutzen und mittels samba lokale Dateisysteme als SMB-Freigaben exportieren können. Es werden neue Funktionen und Moeglichkeiten des Dateidienstes von samba4 vorgestellt (aber nicht die Active-Directory- Domänencontrollerfunktionalität). Dabei wird besonders auf sichere und komfortable Authentisierung mit Kerberos eingegangen. Schließlich werden die Möglichkeiten und Stolpersteine einer Einbindung in das Client-Dateisystem nach typischer UNIX-Semantik (mount) betrachtet.

2. NFSv4: Die aktuelle Version des traditionellen Netzwerkdateisystems für UNIX-Systeme wird vorgestellt. Neue Funktionen und abweichende Arbeitsweisen werden erläutert. Auch hier wird besonders auf die Sicherheitsmechanismen und starke Authentisierung mit Kerberos eingegangen. Aktuelle Entwicklungen in Linux, wie gss-proxy, die Kernel-keyring-Infrastruktur und die Rückkehr des NFS-Servers in den Userspace mit NFS-Ganesha runden den Überblick ab.

3. OpenAFS: Mit AFS eröffnet sich die Möglichkeit eines einheitlichen Dateidienstes für Unix-, Linux- und Windows-Clients. Verglichen mit SMB und NFS entsteht hier ein höherer Migrationsaufwand, da keine vorhandenen lokalen Dateisysteme exportiert, sondern ein komplett neues erstellt wird. Auch AFS nutzt Kerberos für Authentisierung und Datensicherung. Auch hier wird auf aktuelle Entwicklungen, wie die Unterstützung starker Verschlüsselung in OpenAFS eingegangen.

Die Sicherheit der einzelnen Varianten unterscheidet sich hinsichtlich der Kriterien Daten-Integrität, -Vertraulichkeit und Authentisierung. Zusammen mit den Teilnehmern werden die einzelnen Lösungen im Verlauf des Workshops darauf hin analysiert und bewertet.

Als Infrastruktur dient ein Active Directory, vor allem zur Bereitstellung des Kerberos-Dienstes. Die für das Verständnis notwendigen Grundlagen von Kerberos werden im Workshop eingeführt. Vorkenntnisse zu Kerberos werden nicht benötigt.

Voraussetzungen: Grundlegendes Know-How in der Linux-Netzwerkadministration. Grundkenntnisse zu LDAP, Samba und NFS sind empfehlenswert.

Mitgebrachte Rechner sollten folgende Voraussetzungen erfüllen:

  • frisch installiertes, nicht produktiv genutztes Linux einer aktuellen Distribution, das weitreichend umkonfiguriert werden kann. Debian 7 empfohlen, aktuelle Ubuntu, OpenSuSE und Fedora möglich abweichende Distributionen auf eigene Gefahr des Teilnehmers (gegebenenfalls Übersetzen fehlender Software nötig - wir unterstützen dabei)
  • Möglichkeit zum Nachinstallieren von Distributionssoftware (Installations-CDs oder Online-Repositories via Netzwerk)
  • optional ein frisch installiertes, nicht produktiv genutztes Windows XP, Vista oder 7 (Professional/Ultimate, keine Home Edition)
  • Je eines oder auch beide Systeme können virtualisiert laufen. Sie benötigen dann direkten Zugriff auf das Netzwerk (bridged mode).
  • Auf Anfrage stellen wir virtuelle Maschinen mit Debian 7 und Windows 7 Ultimate zur Verfügung. Hierfür ist ein aktueller, installierter und funktionsfähiger VMware Player, Server oder Workstation mitzubringen und der Umgang damit zu beherrschen.

Mark Pröhl ist bei der science + computing ag als Solution Architect im Bereich Identity & Access Management beschäftigt und befasst sich neben den Themen Kerberos, LDAP und Active Directory auch mit Samba und NFSv4.

Daniel Kobras ist als Senior Systems Engineer bei der Tübinger science+computing ag beschäftigt. Dort arbeitet er unter anderem an skalierbaren Speicherlösungen für Kunden der Automobilindustrie.

Michael Weiser begleitet seit 2004 bei der science+computing ag Projekte und Workshops zu den Themen LDAP, Kerberos und AD-Integration sowie High-Performance-Computing.

Sichere Webentwicklung
von Niemietz, Marcus
Dienstag, 23.9.2014 10:00-18:00 und
Mittwoch, 24.9.2014 10:00-18:00

Webanwendungen sind verführerisch einfach zu erstellen: ein wenig HTML, ein wenig Code und eine neue Anwendung ist weltweit verfügbar. Programmierer werden von der einfachen Entwicklung jedoch oft dazu verleitet, Sicherheitsaspekte zu vernachlässigen. Dadurch entstehen weltweit zugängliche Einfallstore für Angreifer, die oft mit einfachsten Mitteln für Cracking und Datendiebstahl genutzt werden können.

Im Intensivseminar Sichere Webentwicklung wird den Teilnehmern anhand von Real-Life-Beispielen (in der Sprache PHP, viele Beispiele sind allerdings direkt auf fast jede andere Sprache übertragbar) zunächst vermittelt, wie ein Angreifer Sicherheitslücken ausspäht und ausnutzt; die Absicherung der eigenen Anwendung steht dann in einem umfangreichen Praxisteil auf dem Programm.

Neben altbewährten und immer wieder brisanten Themen wie SQL Injection, Remote File Inclusion und Cross-Site Scripting kommen auch brandaktuelle Gefahren durch das neue HTML5 zur Sprache.

Über die Referenten:

Marcus Niemietz forscht an der Ruhr-Universität Bochum nach Methoden, um Hackern einen Schritt voraus zu sein und sowohl UI-Redressing als auch Cross-Site Scripting Angriffe zu verhindern. Darüber hinaus ist er Dozent bei der renommierten Lehrveranstaltung HackerPraktikum. Er ist ein aktiver Sprecher auf zahlreichen internationalen IT-Security Konferenzen; in der Vergangenheit u. a. auf der Hackerkonferenz von Microsoft in Redmond oder auf der Black Hat in Abu Dhabi und Singapur. Neben seinen universitären Tätigkeiten arbeitet er bei der 3curity GmbH und ist seit 2006 als Penetrationstester und Web-Security-Trainer aktiv. Marcus Niemietz ist ein publizierender Buchautor im Bereich der Websicherheit.

OpenStack in der Praxis
von Nähring, Andre
Dienstag, 23.9.2014 10:00-18:00 und
Mittwoch, 24.9.2014 10:00-18:00

Das zweitägige Tutorium "OpenStack in der Praxis" richtet sich an alle, die sich genauer mit Cloud Computing und OpenStack befassen wollen. Teilnehmer dieses Tutoriums sollten erfahrene Linux-Systemadministratoren sein, die tiefer in die Praxis von OpenStack einsteigen wollen. Im Verlauf des Tutoriums erfahren die Teilnehmer, wie sie ihre Cloudumgebung von Grund auf selber planen, einrichten und verwalten.

Noch bevor die Teilnehmer tief in die Praxis einer OpenStack-Cloud einsteigen, lernen sie die Hintergründe und Grundlagen von OpenStack kennen: Was ist eine Cloud? Welche Cloud-Typen gibt es? Wie kam es zu OpenStack? Welche Komponenten hat eine OpenStack-Umgebung und wie interagieren sie?

Der eigentliche Aufbau der eigenen Cloud beginnt der Installation und Konfiguration von Keystone zur zentralen Authentifizierung. Ist die Authentifizierung eingerichtet, werden die übrigen Komponenten darauf aufbauend konfiguriert. Die Verwaltung von Maschinenimages übernimmt der Glance Imageservice. Der Compute-Dienst Nova übernimmt dann die Verwaltung der Instanzen. Wie die Instanzen miteinander und der Außenwelt verbunden sind, bestimmt der Netzwerkdienst Neutron. Mit Horizon steht dem Administrator neben der Kommandozeile ein webbasiertes Frontend zur Verwaltung der Cloud zur Verfügung. Heat übernimmt die automatisierte Verwaltung von Infrastruktur-Ressourcen für Cloudanwendungen. Die Ressourcen werden mit Ceilometer überwacht und erfasst.

Über die Referenten:

Andre Nähring betreut bei B1 Systems als Solutions Architect den Bereich Cloud Computing. Er ist außerdem als Linux/Unix Trainer und Consultant tätig.

Systemmanagement mit Puppet
von Giese, Mattias
Dienstag, 23.9.2014 10:00-18:00 und
Mittwoch, 24.9.2014 10:00-18:00

Puppet hilft dabei, die Konfiguration von Systemen zu automatisieren. Dabei definiert der Administrator nicht das Wie dieser Vorgänge, sondern das Ziel jeder Operation. Puppet abstrahiert die distributions- bzw. betriebssystemspezifischen Komponenten wie Paket-, Benutzerverwaltung, u.a.. Beim Erstellen einer Puppet-Konfigurationsbeschreibung kann der Administrator auf eine Vielzahl vordefinierter Konfigurationsmodule zugreifen oder selbst verfassen und anderen zur Verfügung stellen. Sobald die Konfigurationsbeschreibungen ausgerollt sind, kann Puppet automatisch alle benötigten Pakete installieren, Dienste starten und berücksichtigt alle definierten Abhängigkeiten. Abweichungen vom Sollzustand werden erfasst und korrigiert. Die zentrale Sammelstelle für alle von Puppet generierten Daten ist z.B. PuppetDB; die dort erfassten Daten können von anderen, auf Puppet aufbauenden Anwendungen weiterverwendet werden. Puppet unterstützt alle gängigen Linuxdistributionen, AIX, Solaris und Microsoft Windows.

Dieses zweitätgige Tutorium zeigt beispielhaft, wie ein "frisches" System installiert und konfiguriert wird. Er richtet sich an alle, die sich mit dem Thema Systemmanagement täglich auseinandersetzen müssen und eine große Anzahl von Systemen installieren und verwalten müssen. Die Zuhörer sollten über Grundwissen zur Linux-Systemadministration verfügen.

Über die Referenten:

Mattias Giese ist als Solutions Architect für Systemmanagement und Monitoring bei der B1 Systems GmbH tätig. Dort befasst er sich vor allem damit, Administratoren, die eine Vielzahl von Systemen verwalten müssen, das Leben zu erleichtern, in dem er die einzelnen Komponenten des Systemmanagements dazu bringt, reibungslos und effizient zusammenzuarbeiten.

LBaaS-Loadbalancer as a Service
von Walzer, Jan
Dienstag, 23.9.2014 10:00-18:00

Subtitle:Lightweight applicationspecific IP-Loadbalancer virtualization with LXC

Erkan Yanar, Jörg Jungermann, Jan Walzer - GUUG FFG 2014

Workshop 1 Tag

Abstract: IP-Loadbalancer werden oft eingesetzt, um Redundanz zu ermöglichen.

Wir möchten in einem Hands-On Workshop zeigen, wie die LXC-Technologie(Linux-Container) genutzt werden kann, um mit Hilfe von Network-Namespaces mehrere "leichtgewichtige" unabhängige Balancer-Instanzen auf einem Host zu betreiben.

Dies ist in großen Unternehmen hilfreich wenn einzelne Fachgruppen ihre "low-traffic" Dienste rendundant gestalten wollen, sich aber nicht mit dem Betrieb des Loadbalancers belasten wollen. Ein dediziertes Team kann den Betrieb mehrerer Balancer mit der dafür notwendigen Erfahrung sicherstellen.

Dieser Workshop richtet sich an Teilnehmer, die bereits Grundkenntnisse sowohl mit LXC als auch mit IPVS besitzen. Wir werden in einem bereitgestellten Labor-Environment den Teilnehmern die Möglichkeit geben, nach Anleitung, einen Host aufzusetzen, der für beliebig Dienste mittels eines Containers einen IPVS-Balancer zu starten.

Über die Referenten:

Die Dozenten: Erkan Yanar: "Erkan kennt ihr schon ... " (OT)

Jan Walzer:Jan Walzer arbeitet seit 2011 als Systemadministrator bei der 1&1 Internet AG und beschäftigt sich dort auch stark mit dem Betrieb von Loadbalancing Infrastruktur. Zuvor war er Jahrelang als Netzwerkconsultant im Bereich Loadbalancing angestellt. Seine ersten Erfahrungen mit Linux sammelte er privat 1997 und beschäftigte sich seit 2003 auch beruflich damit.

Jörg Jungermann: Joerg Jungermann streichelt bei der 1&1 Internet AG UDP-basierte Low-Latency Infrastuktur Dienste. Er studierte Mathematik- und Informatiker betreut von Zeit zu Zeit Auszubildende. In seiner Freizeit spielt er mit eingebetten Systemen und versucht sich bei allerlei Sport nicht die Knochen zu brechen.

Volumemanager reloaded - LVM2 und ZFS unter Linux
von Rath, Oliver
Dienstag, 23.9.2014 10:00-18:00

Längere Zeit fristeten LVM und ZFS unter Linux ein Schattendasein, doch seit letztem Jahr starten beide Varianten durch. LVM2 wird durch Redhat massiv unterstützt und hat laut Entwickler Alasdair Kergon als Ziel ausgerufen, 100000 Volumes in einer Maschine effizient unterstützen zu wollen. Wichtige neue Features wie Caching und Thin-Provisioning-Volumes wurden in LVM2 eingeführt.

Auf der anderen Seite hat der ZFS-Port open-zfs.org (welcher nativ in den Kerneln von Linux, FreeBSD, Illumos und OS-X, läuft), die Lizenzprobleme unter Linux offenbar in den Griff bekommen und wird inzwischen von einigen Firmen offiziell unterstützt.

In diesem Tutorium wollen wir ein Gefühl für beide Systeme bekommen und deren Vor- und Nachteile ausloten.

Über die Referenten:

Oliver Rath ist Mitbegründer der Firma GreenUnit, welche Netbootlösungen für beliebige Client-Betriebssysteme anbietet (sprich: alles, was lokal bootet, kann hier auch über Netzwerk gebootet werden).

Er beschäftigt sich mit Linux seit 1997 und nutzt Volumenmanager seit langem. Er fühlt sich auf vielen unixoiden Plattformen zuhause, auch wenn er Linux als Schwerpunkt sieht.

Transportverschlüsselung - jetzt aber mal richtig
von Strotmann, Carsten
Mittwoch, 24.9.2014 10:00-18:00

Die klassische Transportverschlüsselung im Internet mittels X.509 Zertifikaten (bekannt als TLS/SSL) ist kaputt, das Vertrauen in das System mit kommerziellen hierarchischen Zertifizierungsanbietern (CA) ist zerstört. Mittels abgesichertem DNS, eigenen Zertifikaten und neuen DNS Record Typen werden die CAs abgelöst, die Besitzer der Dienste nehmen die Sicherheits der Transportverschlüsselung selbst in die Hand, ohne eine Abhängigkeit von externen Zertifizierungsstellen.

DANE und DNSSEC ===============

TLS/SSL Zertifikate können mittels DNS und DNSSEC abgesichert werden, ohne Zertifizierungstsellen, ohne extra Kosten, ohne Bearbeitungszeiten und mit verbesserter Sicherheit.

Aber wie geht denn das? -----------------------

Administratoren stehen vor einem Berg neuer Konzepte, Termini, Befehlen. DANE Sicherheit setzt DNSSEC vorraus. Was wird für DNSSEC benötigt? Welche Registrare unterstützen DNSSEC und DANE heute? Muss ich meinen eigenen DNS Server betreiben?

Theorie und Praxis ... ----------------------

... werden in diesem Tutorium verschmelzen. Jeder Teilnehmer bekommt einen (virtuellen) Server (mit Debian Linux). Wir werden zusammen:

* einen BIND 9 DNS Server installieren * eine DNS Zone für unsere Zone erstellen * DNSSEC Schluessel für die Zone erzeugen * die DNS Zone DNSSEC signieren * einen Webserver einrichten (Apache oder NGINX) * ein TLS/SSL Zertifikat mittels OpenSSL erstellen (selbst-signiert) * das TLS/SSL Zertifikat im Webserver einrichten * ein TLSA Record des Zertifikats im DNS hinterlegen * einen DNSSEC validierenden Resolver (Unbound) einrichten * per Webbrowser-Plugin die DANE TLSA Konfiguration testen * SSH Server-Fingerprint im DNS hinterlegen * OpenSSH Client einrichten, so das der SSH Fingerprint aus dem DNS geprüft wird

Bei jedem Schritt werden die Schritte erklärt (Praxis) und die Hintergründe erleutert (Theorie)

Wenn die Zeit reicht, sprechen wir noch über die Konfiguration von DANE/TLSA fuer E-Mail (Postfix) und Prosody (Jabber/XMPP)

Teilnehmer brauchen ein Laptop mit SSH Client (OpenSSH, Putty, TeraTerm, ZOC ...), Firefox/Safari/aktueller IE/Opera, Kenntnisse auf der Unix/Linux Kommandozeile und Systemadministration, Kenntnisse in einem der Server-Dienste: SSH, Apache/NGINX, Postfix, Prosody IM

Über die Referenten:

Carsten Strotmann ist ein Forscher in den Tiefen und Untiefen unixoider Betriebssysteme, berichtet von Expeditionen unter Linux, OpenBSD, MacOS X, Plan 9, Solaris; und schreckt auch vor Windows Server nicht zurück. Schwerpunkte seiner Arbeit sind DNS, DHCP, IPv6, ein Open-Source DNS Server Projekt mit dem Namen 'Bundy' und eine Programmiersprache namens Forth.

Amazon Web Services Essentials Tutorial
von Gonzalez, Constantin
Mittwoch, 24.9.2014 10:00-18:00

Dieses Tutorium gibt eine Einführung in die Amazon Web Services (AWS) Cloud-Plattform:

- Terminologie und Konzepte im Zusammenhang mit der AWS-Plattform - Navigieren durch die AWS Management Console - Grundlegendes zu den Sicherheitsmaßnahmen von AWS - Unterscheiden der AWS-Speicheroptionen und Erstellen eines Amazon Simple Storage Service (S3)-Buckets - AWS-Datenverarbeitungs- und Netzwerkoptionen und Arbeiten mit Amazon Elastic Compute Cloud (EC2) und Amazon Elastic Block Storage (EBS) - Überblick über Managed Services- und Datenbankoptionen und Starten einer Amazon Relational Database Service (RDS)-Instance - Bereitstellungs- und Verwaltungsoptionen

Zielgruppe: SysOps-Administratoren und Entwickler, die Interesse an der Nutzung von AWS-Services haben.

Das Tutorium umfasst eine Mischung aus Vorträgen, Videos und praktischer Übungen für bis zu 20 Kursteilnehmer und dauert 1 Tag. Es ist äquivalent zum „AWS Essentials” Trainingskurs, der normalerweise EUR 500 pro Teilnehmer kosten würde.

Über die Referenten:

Constantin Gonzalez arbeitet als Solutions Architect bei Amazon Web Services Germany in München. Seit über 20 Jahren beschäftigt er sich mit verschiedenen Technologien rund um die IT, u.a. CPU- und Systemarchitekturen, Betriebssysteme, High Performance Computing, Web-Technologien und Cloud Computing. Bei Amazon Web Services hilft er Kunden, ihre Infrastruktur in der Cloud zu programmieren, um effiziente und innovative Lösungen zu ermöglichen.

In seiner Freizeit beschäftigt er sich mit Bloggen, Podcasting und Laufen. Er ist verheiratet und hat zwei Töchter.

works as a Solutions Architect at Amazon Web Services Germany GmbH in Munich. For more than 20 years he has been dealing with various technologies such as CPU and systems architecture, operating systems, high performance computing, web technologies and cloud computing. At Amazon, he helps customers program their infrastructure in the cloud in order to be more efficient and innovative. In his free time, he blogs about programming your own biochemistry in order to be lean and fit. Constantin is married and has two daughters who don¿t give a damn about programming anything. Yet.

IT Automatisierung mit Salt Stack
von Kramm, Thorsten
Donnerstag , 25.9.2014 10:45-11:30

Zentrales Systemmanagement kann ganz einfach sein. Salt macht dem Platzhirschen Puppet Konkurrenz.

Salt bzw. Saltstack ermöglicht eine zentrale Verwaltung von Serverfarmen und heterogenen Umgebungen. Aber auch wer nur wenige Hosts verwaltet, sollte einen Blick auf Salt werfen. Die Installtaion ist verblüffend einfach. Das Modul zur Remote-Execution läuft sofort. Wie von anderen sogenannten Parallel-Shells bekannt, können nun Kommandos auf mehreren Hosts ausgeführt werden. Doch Salt bietet bei der Remote-Execution mehr als eine Shell. Module für Standardaufgaben wie Updates, Paketverwaltung oder dem Editieren von Dateien machen dem Admin das Leben leichter.

Nach nur wenigen Minuten Einarbeitung können schon die ersten Regeln zur zentralisierten Verwaltung von Hosts geschrieben und ausgerollt werden.

Salt erfordert keine lange Einarbeitung oder das Wälzen von dicken Handbüchern. Jeder kann einfach anfangen und nach Belieben tiefer vordringen.

Es gibt kaum eine Aufgabe, die Salt nicht bewältigt: Systeme installieren, Dienste konfigurieren, Benutzer anlegen, Backup durchführen, Content ausrollen, alles ist möglich. Salt abstrahiert die Konfiguration vom Betriebssystem, so dass Regeln auf alle Distributionen und bei Bedarf auch auf Microsoft Windows angewendet werden können.

Über die Referenten:

Thorsten Kramm ist IT-Leiter und Consultant. Er berät Firmen zum Thema Monitoring und Systemoptimierung. Sein Spezialgebiet sind Webportale mit PHP und MySQL.

Die Technik des elektronischen Personalausweises
von Schilling, Jörg
Donnerstag , 25.9.2014 10:45-11:30

Der Vortrag beginnt mit dem Aufbau des Ausweises und erklärt warum RFID gewählt wurde.

Danach werden zunächst die Kommunikation mit dem Ausweis und die Sicherheits-Konzepte, wie PACE-Verschlüsselung und Absicherung mit Zertifikaten, sowie die Datenfelder und Sonderfunktionen beschrieben.

Im zweiten Teil wird die Kommunikation der AusweisApp mit dem Web-Browser, dem Anbieter-Portal und dem eID-Server beschrieben und erklärt, warum der Ausweis seinem Besitzer nicht vertraut.

Bei genügend Zeit am Ende wird eine in C geschriebene portable AusweisApp vorgeführt um die Kommunikation mit dem eID Server zu veranschaulichen.

Der Vortrag ermöglicht es die Sicherheitskonzepte des Ausweises zu verstehen und beschreibt warum der Ausweis bei Verwendung eines Kartenlesers mit PACE in Firmware und PIN-Eingabe als sicher anzusehen ist.

Über die Referenten:

Jörg Schilling beschäftigt sich seit 1982 mit UNIX. Ab 1984 arbeitete er bei der H.Bertold AG an der Entwicklung einer UNOS-Variante mit virtueller Speicherverwaltung und ab Frühjahr 1985 an den ersten Sun Systemen in Europa. Als Diplomarbeit entwickelte er ein Copy-on Write Filesystem für SunOS-4.0, Abgabetermin Mai 1991.

Seit 1995 arbeitet er beim Institut FOKUS (damals GMD, heute Fraunhofer) in Berlin als wissenschaftlicher Mitarbeiter.

Am 17. Juni 2005 veröffentlichte er die erste OpenSolaris Distribution (SchilliX) nachdem er seit September 2004 Mitglied im OpenSolaris Pilot war.

Er ist unter Anderem Autor der OSS-Programme star (1982), smake (1985) und der cdrtools (1996).

Our Puppet Story
von Schütte, Martin
Donnerstag , 25.9.2014 11:30-12:15

Wir bauen und betreiben Entwicklungs-, Test-, und Produktivumgebungen für große Web-Projekte. Sich laufend verändernde Infrastrukturanforderungen sind dort die Regel. Gleichzeitig muss die Software stets in definierten Umgebungen entwickelt, getestet und betrieben werden. -- Eine Aufgabe, die sich nur mit Automatisierung und guten Tools effizient lösen lässt.

Dies ist daher keine "Einführung in Puppet" sondern ein Erfahrungsbericht zu Konfigurationsmanagement. Es geht um verschiedene große und kleine Programme die sich bei uns bewährt und die Produktivität gesteigert haben -- vom VM-Image bis zur Cluster-Orchestrierung mit den Tools Puppet, Hiera, Facter, Vagrant und Git.

Über die Referenten:

Martin Schütte ist Systemadministrator und Entwickler. Themenschwerpunkte sind Automatisierung (Puppet, Jenkins) und Monitoring (Syslog, Graylog2, Zabbix). Er arbeitet zur Zeit als System Automation Engineer bei DECK36 in Hamburg.

Schwachstellen loswerden mit OpenVAS und verinice
von Koderman, Alexander
Donnerstag , 25.9.2014 11:30-12:15

Performanceprobleme zählen zu den anspruchsvollsten Herausforderungen für den Administrator: Denn arbeitet ein System zwar langsam, aber im Prinzip noch korrekt, sind klare Fehlermeldungen oder ähnlich aussagekräftige Hinweise auf die Ursache oft Mangelware. Der Vortrag zeigt, welche Fehlerquellen im I/O-Stack von typischen Linux-Fileservern für Durchsatzprobleme verantwortlich sein können, mit welchen Werkzeugen man ihnen systematisch auf die Spur kommt und wie sie sich beheben lassen.

Über die Referenten:

Daniel Kobras ist als Senior Systems Engineer bei der Tübinger science+computing ag beschäftigt. Zu seinen Schwerpunkten zählen unter anderem Parallele Dateisysteme und High-Performance Computing.

Dtrace für Einsteiger
von Nau, Thomas
Donnerstag , 25.9.2014 13:00-13:45

In der Zwischenzeit ist DTrace, wenngleich nicht mit der selben Funktionalität, auch über die Grenzen von Solaris hinaus für Linux und MacOS verfügbar. Ein Grund mehr Einsteigern einen Einblick in die vielfältigen Möglichkeiten zu bieten.

Im Falle von Performance-Engpässen, entweder des Gesamtsystems oder einzelner Anwendungen, denken viele Systemadministratoren und Entwickler in erster Linie an CPUs, Caches oder Compiler-Optionen. Dabei vernachlässigen sie häufig die Einflüsse des Kernels ebenso wie mögliche Wechselwirkungen zwischen den parallel laufenden Anwendungen auf dem System.

Diese Sichtweise geht vor allem auf das Fehlen einfach zu bedienender Werkzeuge zurück, die dynamisch beide Bereiche, Anwendung und Kernel, abdecken können und die bedenkenlos auch im produktiven Umfeld einsetzbar sind.

Diese Mängel wurden mit der Einführung von DTrace in Solaris 10 beseitigt. Auf dem besten Weg ist DTrace auch in aktuellen Ausgaben des Linux Kernels oder in Apples MacOS.

Der Vortrag wird Einsteigern die Möglichkeiten von DTrace nahe bringen, die eine deutlich detailliertere Sicht auf mögliche Problemzonen erlauben. Der Schwerpunkt wird hierbei auf der Analyse des Gesamtsystems liegen jedoch nicht ohne auch anwendungsnahe Szenarien in Betracht zu ziehen.

Über die Referenten:

Mit mehr als 25 Jahren an Erfahrung zählt Thomas Nau zu den alten Hasen im Hard- und Software Umfeld.

Nach seinem Diplom-Abschluss in Physik an der Universität Ulm 1991 arbeitete er mehrere Jahre im Universitäts-Klinikum bevor er zurück an das Rechenzentrum der Universität wechselte. Sein Fokus liegt sein vielen Jahren in erster Linie im Bereich Betriebssysteme, vornehmlich UNIX im Allgemeinen und Solaris im Speziellen.

Nach einigen Jahren als stellvertretender Leiter des Universitäts- Rechenzentrums ist Thomas Nau seit 2002 Leiter der "Abteilung Infrastruktur" am "Kommunikations- und Informationszentrum" der Ulmer Universität. Derzeit zeichnet die Abteilung für den reibungslosen Betrieb mehrerer campusweiter Netze, sowie einer Telefonanlage mit 14.000 Anschlüssen verantwortlich. Integraler Bestandteil sind daneben auch der Betrieb zentraler Ressourcen wie Mail, File- und Directory-Dienste sowie insbesondere auch deren kontinuierliche Fortentwicklung.

Neben seiner Familie und seiner Arbeit arbeitet er gelegentlich als Autor, EU-Consultant oder Tutor. Daneben hat er ein Faible für asiatisches oder allgemein gutes Essen.

SSL-Absicherung mit DANE und DNSsec
von Heinlein, Peer
Donnerstag , 25.9.2014 13:00-13:45

Das SSL/TLS mit seinen Zertifizierungsstellen in der Kritik steht, ist bekannt. Und überraschenderweise ist eine TLS-Verschlüsselung besonders zwischen zwei Mailservern gar nicht mal so einfach sicherzustellen.

DANE ist die neue Antwort aus dem Jahr 2014 -- doch ein DANE kommt nicht allein, denn ohne DNSsec ist DANE wertlos.

Doch: DNSsec ist prima -- zumindest in der Theorie. In der Praxis gab es bislang jedoch dermaßen viele Fallstricke und Dinge, die man beachten muß, dass viele lieber die Finger von DNSsec gelassen haben. Schließlich reicht ein einzelner kleiner Fehler und schon ist die gesamte eigene Domain down -- und das unter Umständen für Stunden oder Tage, je nachdem, wie lange die TTL der DNS-Einträge reicht.

Dieser Vortrag erklärt, wie DANE und auch DNSsec funktionieren und zeigt anhand funktionierender gelebter Praxis wie sich heute gefahrlos und mit geringem Aufwand DNSsec-Zonen mit bind 9.x betreiben lassen.

Über die Referenten:

Peer Heinlein betreibt mit seinem Team seit 1992 einen eigenen Internet-Service-Provider und ist routinierter Linux-Administrator. Sein 2002 erschienenes "Postfix-Buch" über den Betrieb von Mailservern ist zum Standardwerk geworden; mittlerweile sind auch seine Bücher "LPIC-1" und "Snort, Acid & Co." bei Open Source Press erschienen. Peer Heinlein ist zertifiziert nach LPIC-2 und führt seit vielen Jahren Schulungen für UNIX-/Linux-Administratoren über Aufbau und Betrieb sicherer IP-Netzwerke durch.

Linux Kernel Live Patching mit kpatch und kGraft
von Seyfried, Stefan
Donnerstag , 25.9.2014 14:30-15:15

Ein Wunschtraum vieler Admins ist wohl, Kernel-Patches (Sicherheitsupdates und Bugfixes) ohne Reboot und damit verbundener Downtime einzuspielen.

Im Februar 2014 haben sowohl SUSE (kGraft) als auch Red Hat (kpatch) ihre Lösungen vorgestellt, um Linux Kernel-Patches live und ohne Downtime einzuspielen.

Beide Lösungen sind komplett Open Source, ihre Funktionsweise ist ähnlich, aber sie unterscheiden sich in Details.

Dieser Vortrag gibt einen Überblick über die Möglichkeiten beider Ansätze führt anhand einer kleinen Demonstration in deren Funktion ein.

Über die Referenten:

Stefan Seyfried beschäftigt sich seit über 10 Jahren hauptberuflich mit Linux in allen Varianten. Zunächst war er als Systemadministrator bei der SUSE Linux GmbH in Nürnberg tätig. 2004 wurde er Entwickler für mobile Endgeräte, Hardware Enablement und Systemintegration. Dabei lernte er Probleme in allen Bereichen- vom Bootloader bis zum Desktop- zu analysieren und zu beseitigen. 2009 war er für die Sphairon Access Systems als Entwickler für Wireless Technologies tätig und unterstützt seit 2010 die B1 Systems GmbH als Consultant und Entwickler. Wenn er keine Server virtualisiert oder andere kniffligen Probleme löst, kümmert er sich in seiner Freizeit um Embedded Linux Systeme aller Art.

Firewall Management ohne Kopfschmerzen
von Henke, Anders
Donnerstag , 25.9.2014 14:30-15:15

Firewalls sind ein wichtiger, aber auch ungeliebter Pfeiler im IT-Grundschutz.

Je mehr Server, Technologien und Funktionen aber zum Einsatz kommen und je genauer gefirewalled werden soll, umso mehr Netze und Firewallregeln sind nötig. Die im Laufe der Zeit dabei entstehende Regelmenge überfordert nicht nur jeden Auditor, sondern auch die Hardware klassischer Firewalls und deren Managementsoftwares.

Eine mögliche Lösung darauf ist es, besonders feingranulare Firewallregeln auf die Server zu verlagern. Dies löst einen Teil der Probleme, bringt aber eine Reihe neuer Herausforderungen mit sich.

Als Antwort darauf entwickelte man bei 1&1 ein neuartiges Konzept objektorientierten Firewallings. Eine interne Software sorgt mit diesem Konzept dafür, dass nicht nur die Admins die Übersicht behalten, sondern auch Nicht-Admins Firewallregeln verstehen, sie korrekt schreiben und auf den Servern umsetzen können.

Über die Referenten:

Anders Henke sorgte seit 1999 bei der 1&1 Internet AG für sichere, skalierbare und verfügbare IT-Systeme, als Systemarchitekt unterstützt er heute Admins, Entwickler und Manager im Treffen und Umsetzen der "richtigen" Entscheidungen.

Medley der Containertechniken (Kernel)
von Yanar, Erkan
Donnerstag , 25.9.2014 15:45-16:30

Chroot, Namespaces und CGroups: Fertig ist der Container mit Linux Bordmitteln.

Dieser Vortrag stellt kurz die Zutaten vor und zeigt kleine Tricks mit unshare und ip.

Es folgt ein Medley von bekannteren Containerimplementierungen, die da währen: * LXC * Docker * systemd-nspawn * LXC@libvirt

Diese alle nutzen die anfangs vorgestellten Zutaten:)

Über die Referenten:

Erkan Yanar ist ein klassischer Nerd mit einem Fabel für Containervirtualisierung und MySQL.

MQTT für Systemadministratoren
von Mens, Jan-Piet
Donnerstag , 25.9.2014 15:45-16:30

MQTT mag "das" Thema fuer das IoT (Internet der Dinge) sein, es ist dennoch auch fuer Systemadministratoren sehr interessant. Wir besprechen was das MQTT Protokoll ist, wozu es eingesetzt werden kann (z.B. fuer Monitoring) und sprechen selbstredend auch ueber einige Gadgets.

Über die Referenten:

Jan-Piet Mens ist ein unabhaengiger Unix/Linux Berater und Systemadministrator der seit 1985 taetig ist. Jan-Piet hat bei Grosskunden Infrastrukturthemen implementiert. Einer seiner Spezialitaeten ist das DNS und er hat dazu auch ein Buch verfasst, sowie etliche weitere Publikationen. (http://mens.de)

I Love Logging
von Kühnel, Jens
Donnerstag , 25.9.2014 16:30-17:15

Logging mit Graylog2 und Logstash sind zur Zeit in. Dieser Vortrag wird einen Überblick über strukturiertes Logging geben und verschiedene Lösungsansätze aufzeigen.

Über die Referenten:

Jens Kühnel ist freiberuflicher Sysadmin und Trainer. Er ist seit über 15 Jahren auf verschiedenen Konferenz unterwegs und hat diese Jahr das Projekt "I Love Logging" gegründet um die Zusammenarbeit der verschiedenen Logging System zu verbessern.

Projektdokumentation mit reStructuredText und Sphinx: Eine Einführung
von Grimmer, Lenz
Donnerstag , 25.9.2014 16:30-17:15

Es gibt viele Möglichkeiten der Projekt-Dokumentation, von Word-Dokumenten auf einem File-Server, Doku-Seiten auf einem Wiki bis hin zu komplexeren Dokumentationsystemen wie DocBook XML. Jede davon hat Ihre besonderen Eigenschaften und Vor- und Nachteile, z.B. im Hinblick auf die Erlern- und Benutzbarkeit, Teamfähigkeit, Revisionskontrolle, Automatisierung sowie der verfügbaren Ausgabeformate.

reStructuredText (reST) ist eine relativ einfach aufgebaute und schnell zu erlernende Text-Markup-Sprache, in der selbst der Dokumenten-Quelltext sehr gut les- und editierbar ist, ohne den eigentlichen Inhalt zu sehr mit Markup-Code zu verunstalten. Der Parser ist Bestandteil des Python-basierten "Docutils" Projekts und unterstützt diverse Ausgabeformate wie z.B. HTML, XML oder LaTeX.

Das auf reST basierende Dokumentationswerkzeug Sphinx erweitert dessen Fähigkeiten und bietet die Möglichkeit, damit auch komplexere und umfangreichere Dokumente komfortabel zu verwalten. Sphinx wird von einer großen Zahl von Open-Source-Projekten für die Dokumentation verwendet und wird selbst von einer sehr engagierten Community stetig weiter entwickelt.

Dieser Vortrag gibt einen Überblick und eine Einführung in reST und Sphinx und wie sich diese Kombination anhand der oben genannten Kriterien von den anderen Möglichkeiten unterscheidet.

Er richtet sich an Entwickler und Administratoren, die auf der Suche nach einer schlanken und flexiblen Lösung für die Erstellung und Pflege ihrer Dokumentation oder nach einer Alternative zu einer bestehenden Dokumentations-Lösung sind. Mögliche Migrations-Pfade dafür werden ebenfalls vorgestellt.

Über die Referenten:

Lenz Grimmer arbeitet bei der TeamDrive Systems GmbH als Product Manager für die LAMP-basierten TeamDrive Serverprodukte.

Er ist seit 1995 im Linux- und Open-Source-Umfeld aktiv und arbeitete u.a. als Entwickler, Community Relations Manager und Product Manager bei Firmen wie der SuSE Linux AG, MySQL AB, Sun Microsystems und Oracle.

rsyslog: dem Admin das Leben erleichtern
von Gerhards, Rainer
Donnerstag , 25.9.2014 17:15-18:00

Nicht "besser, größer, schneller" steht im Mittelpunkt dieses Vortrags. Es geht nicht um die coolen neuen Features, die v8 bietet. Vielmehr liegt unser Fokus darauf, dem Admin das Leben zu erleichtern. Denn neuere Versionen von rsyslog bieten eine Vielzahl von Möglichkeiten, mit denen das geht - und keiner kennt sie! Damit soll nach dem Vortrag Schluß sein! Wenn Sie also rsyslog einsetzen und wissen möchten, wie man das im Alltag einfacher und effizienter kann ... dann ist dieser Vortrag für Sie!

Wir sprechen über:
  • die neue Konfigurationssprache (ab v7) ... und warum sich die Umstellung auf sie lohnt ... und warum die Umstellung auch punktuell erfolgen kann
  • Einfaches Erstellen von Plugins in Python, Perl, ... (ab v8) Traditionellerweise war C Know-How notwendig um rsyslog Plugins zu schreiben. Seit v8 kann jede beliebige Sprache verwendet werden. Damit wird es dem Admin möglich, mit einfachen "Hausmitteln" noch nicht direkt unterstützte Systeme einzubinden bzw. komplexe Modifikationen an den Meldungen vorzunhemen (z.B. die Anonymisierung von Kreditkartendaten).

    Dieses Thema ist ein Schwerpunkt des Vortrags und es wird in einem kompletten Mini-Tuturial gezeigt, wie man binnen weniger Minuten eigenen Code einbinden kann.

  • Analysieren von rsyslog-performance and Bottlenecks Das kaum bekannte impstats modul bietet tiefgehende Einblicke in eine laufende rsyslog-Instanz. Es kann potentielle Problempunkte proaktiv aufdecken und ist extrem hilfreich, wenn es um high-performance logging geht. Auf der rsyslog-website gibt es ausserdem ein Tool, das bei der Analyse der statistik-Logs unterstützt.
  • "other goodies" ... warum habe ich dieses alte Zeug installiert? oder: das rsyslog package repository ... wenn es mal schnell gehen muss: das config builder tool der rsyslog webseite ... gibt es vernünftige Doku? oder: das rsyslog-doc Projekt

Selbstverständlich können wir in knapp 40 Minuten nicht ins Detail abtauchen. Wir bieten aber viele Anregugen, die in der Praxis direkt umsetzbar sind und zeigen auf, wie man zu weiteren Informationen kommt. Ein Highlight ist das Mini-Tutorial zur Plugin-Erstellung, dass jeden einer Script-Sprache mächtigen Teilnehmer in die Lage versetzt, ein funktionsfähiges rsyslog Plugin zu schreiben. Dieses Tutorial ist in einer erweiterten Form auch im Konferenz Paper verfügbar, das somit ein echtes "step-by-step HOWTO" zur Erstellung von Plugins darstellt.

Der Vortrag wird in deutscher Sprache gehalten, die schriftlichen Unterlagen sind in Englisch.

Über die Referenten:

Rainer Gerhards ist Gründer der Adiscon GmbH, einem kleinen, aber feinen IT-Beratungs- und Softwarehaus in der Nähe von Würzburg. Er initiierte das rsyslog-Projekt in 2004 und ist bis heute dessen Hauptautor. Er entwickelt seit 1981 systemnahe Software auf verschiedensten Platformen, unter anderem Mainframes, Windows und Linux. Darüber hinaus bietet er Consulting im Bereich der System-Infrastruktur an. Im Laufe der letzten 20 Jahren ist Herr Gerhards zum anerkannten Logging Experten geworden. Als Mitglied der IETF syslog-Arbeitsgruppe hat er wesentliche Lösungen zum Reengineering des syslog-Protokolls beigetragen und ist Autor vom Basis-RFC5424 sowie einer Reihe anderer RFCs in diesem Umfeld. Von 2010 bis dessen Auflösung in 2013 war er Mitglied im Mitre CEE Board, dass sich die Schaffung eines neuen Standards zur einheitlichen Repräsentierung von IT-Events (und damit Log-Daten) zum Ziel gesetzt hatte. Während Mitre CEE keinen Standard publiziert hat, setzte es wesentliche Akzente zum strukturierten Logging, die in "Project Lumberjack" unter Federführung von Red Hat fortgeführt wurden. Insbesondere die Einführung von "JSON over syslog" ist diesen Projekten zu verdanken.

Herr Gerhards hat ausserdem den ersten Syslog-Server unter Windows entwickelt sowie die Produktkategorie der "EventLog to syslog Forwarder", die heute ein Baustein fast jeder Security-Infrastruktur ist, erfunden. Die Adiscon GmbH vertreibt und perfektioniert bis heute das ursprüngliche Tool "EventReporter", dessen Technologie auch in den rsyslog Windows Agent Einzug gefunden hat.

Verwaltung von IT Geräte mit GLPI
von Becker, Karsten
Donnerstag , 25.9.2014 17:15-18:00

GLPI (Gestionnaire libre de parc informatique) ist ein IT Asset Management System, welches die automatische Verwaltung von IT Geräten ermöglicht.

Neben der automatischen Inventarisierung von Arbeitsplatzsystemen vieler Betriebssysteme inkl. Android im Zusammenspiel mit OCS Inventory NG oder FusionInventory bietet es die Möglichkeit, Lizenz und Vertragsdaten zu erfassen, ein Helpdesk sowie die Möglichkeit Leihgeräte zu verwalten (Loan Pool Management).

Durch GLPI werden manuell gepflegte Excel-Listen überflüssig. Der Administrator größerer Infrastrukturen kann mit wenigen Klicks prüfen, wo sich welches System befindet, welchem Mitarbeiter es zugewiesen ist und wie es hardwareseitig ausgerüstet und mit Software ausgestattet ist. Außerdem kann jederzeit der Soll-/Ist-Zustand der Stand lizenzpflichtiger Software geprüft werden.

Der Vortrag gibt einen Einblick über die Nutzungsmöglichkeiten von GLPI und seine Verknüpfung mit den Inventarisierungsystemen OCS Inventory NG sowie FusionInventory.

Über die Referenten:

Karsten Becker sammelte erste Erfahrungen mit Computersystemen Ende der 80er Jahre mit dem Commodore Amiga. Fasziniert von der Dynamik in der IT, begann er Anfang der Nullerjahre zunächst als Anwendungsentwickler für betriebssystemnahe Programmierung. In dieser Zeit lernte er Linux und Open-Source-Software kennen und wechselte schließlich von der Softwareentwicklung in die Systemadministration. Sein Spezialgebiet ist der Aufbau und Betrieb inhomogener Netzwerke.

Karsten Becker leitet das IT-Team des Ecologic Instituts in Berlin, einer transdisziplinären Organisation, die mit zurzeit ca. 130 Mitarbeitern weltweit schwerpunktmäßig Umweltforschung betreibt. Er ist zuständig für die strategische Planung und Weiterentwicklung des standortübergreifenden IT-Netzwerks.

Volumemanager reloaded - LVM2 und ZFS unter Linux
von Rath, Oliver
Freitag , 26.9.2014 9:30-10:15

Längere Zeit fristeten LVM und ZFS unter Linux ein Schattendasein, doch seit letztem Jahr starten beide Varianten durch. LVM2 wird durch Redhat massiv unterstützt und hat laut Entwickler Alasdair Kergon als Ziel ausgerufen, 100000 Volumes in einer Maschine effizient unterstützen zu wollen. Wichtige neue Features wie Raid, Caching und Thin-Provisioning-Volumes wurden in LVM2 eingeführt.

Auf der anderen Seite wurden alle ZFS-Aktivitäten auf open-zfs.org (welcher nativ in den Kerneln von Linux, FreeBSD, Illumos und OS-X, läuft) gebündelt, was v.a. die Linux-Variante von ZFS enorm nach vorne gebracht hat. Allein nach der Liste der Hersteller, die openzfs unter Linux verwenden, kann man den Port inzwischen als production-stable bezeichnen; die Lizenzprobleme unter Linux hat man offenbar in den Griff bekommen.

Im Bezug auf den letztjährigen Vergleich von btrfs und zfs legt der Schwerpunkt hier auf der Verwaltung der Block-Devices.

Über die Referenten:

Oliver Rath ist Mitbegründer der Firma GreenUnit, welche Netbootlösungen für beliebige Client-Betriebssysteme anbietet (sprich: alles, was lokal bootet, kann hier auch über Netzwerk gebootet werden).

Er beschäftigt sich mit Linux seit 1997 und nutzt Volumenmanager seit langem. Er fühlt sich auf vielen unixoiden Plattformen zuhause, auch wenn er Linux als Schwerpunkt sieht.

(Private) Cloud mit ganeti
von Bloch, Julius
Freitag , 26.9.2014 9:30-10:15

Dieser Vortrag gibt einen Überblick wie man mittels ganeti seine eigene Cloud erstellen, betreiben und erweitern kann. Der erste Teil wird die grundsätzliche Funktionsweise von ganeti und seinen Komponenten vorstellen. Im zweiten Teil geht es um die Erfahrungen die bei der Einführung/Migration von ganeti im letzten Jahr gesammelt wurden. Es werden dabei besonders die folgenden Punkte näher betrachtet - Planung und Architektur eines ganeti Clusters - Wie setz ich einen ganeti Cluster inital auf - Wie kann man Instancen erstellen, anpassen und steuern - Wie kann man einen ganeti Cluster erweitern - Probleme und Stolpersteine bei der Inbetriebnahme und im täglichen Betrieb

Die einzelnen Schritte werden auch in einer Live Demonstration gezeigt.

Über die Referenten:

Julius Bloch beschäftigt sich seit der Jahrtausenwende mit Linuxsysteme und Opensource im Allgemeinen. Er war zu erst im GNOME Projekt aktiv und hat danach maßgeblich die ubuntu Community in Deutschland mitgestaltet. In den letzten Jahren hat er seine Schwerpunkt auf das Design und Betrieb von Serverinfrastruktur mit OpenSource Technologie verlagert. Aktuell ist er bei einer event Agentur in Hannover als IT Projektleiter angestellt und verantwortet den Betrieb der IT Infrastuktur

Ohne Tempolimit: I/O-Performanceproblemen in Linux-Systemen auf der Spur
von Kobras, Daniel
Freitag , 26.9.2014 10:15-11:00

Performanceprobleme zählen zu den anspruchsvollsten Herausforderungen für den Administrator: Denn arbeitet ein System zwar langsam, aber im Prinzip noch korrekt, sind klare Fehlermeldungen oder ähnlich aussagekräftige Hinweise auf die Ursache oft Mangelware. Der Vortrag zeigt, welche Fehlerquellen im I/O-Stack von typischen Linux-Fileservern für Durchsatzprobleme verantwortlich sein können, mit welchen Werkzeugen man ihnen systematisch auf die Spur kommt und wie sie sich beheben lassen.

Über die Referenten:

Daniel Kobras ist als Senior Systems Engineer bei der Tübinger science+computing ag beschäftigt. Zu seinen Schwerpunkten zählen unter anderem Parallele Dateisysteme und High-Performance Computing.

OpenStack in Solaris 11.2 - OS-Technologien für Clouds
von Haberhauer, Franz
Freitag , 26.9.2014 10:15-11:00

OpenStack ist ein populäres Cloud-Framework insbesondere für Infrastructure-as-a-Service, das als Open Source Projekt von zahlreichen Anbietern von IT-Infrastruktur vorangetrieben wird. OpenStack hat eine modulare Architektur, so dass etwa Speichersysteme durch die Implementierung der OpenStack-Schnittstellen zur Datenhaltung direkt integrierbar gemacht oder selbst alternative Cloud-Frameworks über die OpenStack-Schnittstellen in Gesamtlösungen integriert werden können.

Oracle ist Corporate Sponsor der OpenStack Foundation und unterstützt OpenStack in Oracle VM, Oracle Linux, liefert OpenStack mit Solaris 11.2 und arbeitet an der Integration des OpenStack Management in weiteren Produkten wie den Speichersystemen.

Der Vortrag stellt zunächst kurz OpenStack im allgemeinen vor sowie die verschiedenen Ansätze zur Integration. Anhand praktischer Beispiele wird dann im Besonderen die enge Integration in Solaris gezeigt, bei der spezifischen Technologien für die einzelnen Komponenten genutzt werden. Darunter sind Solaris Zonen für Nova (Compute Virtualisierung), der Solaris Elastic Virtual Switch für Neutron (Cloud Networking), ZFS für die Datenhaltung (Cinder/Swift) und Unified Archives für Glance (Image Deployment). Diese enge Integration in Solaris ermöglicht zudem eine besonders schnelle produktive Nutzung von OpenStack.

Über die Referenten:

Franz Haberhauer ist bei Oracle als Chief Technologist für den Geschäftsbereich Systems tätig. Er kam über die Aquisition von Sun zu Oracle. Seit über 20 Jahren unterstützte er Kunden bei der Einführung neuer Technologien insbesondere in und rund um Solaris.

Nginx als Frontend-Gateway: Reverse/Caching Proxy, Loadbalancer, WAF
von Manzke, Markus
Freitag , 26.9.2014 11:30-12:15

Im Bereich moderner Webapplikationen, die serversitig mit Frontend, ApplicationServern & Daten-Backends realisiert werden, übernehmen Frontends einen Großteil der Verarbeitung von Anfragen und können mit richtigem Setup und Tuning dafür sorgen, dass die Zugriffszeiten beschleunigt, die dahinterliegenden ApplicationServer entlastet und vor unberechtigten Zugriffen geschützt werden.

Nginx hat sich in kurzer Zeit einen festen Stammplatz als ReverseProxy, Static-Server und Loadbalancer erarbeitet und überzeugt dabei mit Performance, Stabilität und geringen Anforderungen an Ressourcen. Seit Mai 2014 ist Nginx nach den Statistiken von W3Tech die Nr 1 unter den Top 10.000 - Websites.

Der Vortrag erklärt den Einsatz von Nginx als ReverseProxy, Static-Server, Caching-Server, Loadbalancer anhand von Live-Szenarien, geht auf Best Practices ein und zeigt, wie man durch geschickten Einsatz der richtigen Elemente Last von Applicationservern nehmen und die Performance optimieren kann.

Im 2ten Teil wird die für Nginx verfügbare WebApplicationFirewall Naxsi vorgestellt und anhand anhand von Beispielen verdeutlicht, inwieweit WAFs als Schutz für WebApplikationen sinnvoll sind, wovor sie schützen und wo sie versagen.

Im 3ten Teil wird die LuaWAF vorgestellt, die anders als traditionelle, signaturbasierte WAFs anhand von Profilen unerwünschet Zugriffe blockieren kann, und durch die Schnittstelle zu einem zentralen "Known-Bad-Store" in der Lage ist, Angreifern grundsätzlich den Zugang zu verwehren.

Über die Referenten:

Markus Manzke konzipiert, betreut, schütz und hackt seit 1998 Webserver-Infrastrukturen von klein bis mittel(stands)groß. Als aktives Mitglied der Naxsi- und OSSEC-Community entwickelt er in Rahmen seiner Arbeit bei MARE system aktuelle Regelsätze für WAFs und OSSEC (Doxi-Rules) und ist als technischer Lead für die Entwicklung von Nginx-Modulen verantwortlich. Als Sprecher hat er Vorträge bei der SLAC, CeBIT, OWASP Hamburg, diversen Barcamps und Inhouse-Veranstaltungen gehalten; hin und wieder schreibt er Artikel für ix oder ADMIN-MAGAZIN zu den Themen Web/Server/Security

Apache Cloudstack als Cloud-Management-Umgebung
von Kalle, Claus
Freitag , 26.9.2014 11:30-12:15

Die Lizenzkosten der Firma VMware nehmen zunehmend prohibitive Werte an. VMware Cloud-Director hat sich nicht weiter am Markt etablieren können.

Die OpenSource-Community weiß da Abhilfe: 4 "freie" Virtualisierungs-Management Software-Produkte sind seit Jahren unterwegs, um Lizenzkosten-freie Virtualisierungs-Umgebungen managebar zu machen.

Als Beispiel soll hier Apache Cloudstack vorgestellt werden, das mit relativ geringem Aufwand das Management einer heterogenen Hypervisor-Umgebung ermöglicht und relativ schnelle Erfolge verspricht. Hinzunehmen ist dabei ein erhöhter Eigenaufwand und eine geringere Gesamt-Stabilität, was aber für einen großen Anteil der virtualisierten Last an Hochschulrechenzentren akzeptabel erscheint.

Über die Referenten:

Claus ist nach Physik-Studium seit 1984 am regionalen Rechenzentrum der Universität zu Köln (RRZK) Mitarbeiter in der Betriebssystemgruppe. Mit der Einführung der Internet-Technik 1986 begann der intensive Kontakt zu UNIX. Seit 1989 Leiter der Abteilung Systeme war er Anfang der 90-er Jahre aktiv mit der Verbeitung der TCP/IP-Protokolle im DFN-Umfeld engagiert. Heute ist der Einsatz und Betrieb von sehr leistungsfähigen Server- und Speichersystemen in einer heterogenen, virtualisierten, offenen Rechenzentrumsumgebung als infrastrukturelle Dienstleistung für eine sehr grosse Universität alltägliche Herausforderung.

Claus war von 1994 bis 1997 im Vorstand der Vereinigung deutscher UNIX-Benutzer e.V. (GUUG) als Beisitzer für den Bereich Netze verantwortlich und mehrfach an der Universität Köln die UNIX-Fachtagung "GUUG-Frühjahrsfachgespräch" organisiert. Er war von 1999-2000 Vorsitzender der GUUG und mehrfach als Gastgeber des Linux-Kongress und des FFG aktiv.

Von der Kommandozeile zum Shell-Skript -- Schritt für Schritt
von König, Harald
Freitag , 26.9.2014 12:15-13:00

Mit der Shell (bash) und einer kleinen Zahl hilfreicher Kommandozeilen-Tools kann man sehr schön Daten bearbeiten, umwandeln, verarbeiten und auswerten. Einmal erlernt und geübt ist dies ein praktisches und mächtiges Werkzeug in UNIX, welches durch die grafischen Oberflächen vielfach zu Unrecht immer mehr in Vergessenheit gerät.

Als Beispiele können z.B. dienen -- jeweils alles in einer Zeile:

- ssh-Einbruchsversuche in syslog-Einträgen auswerten, ein bissl Statistik treiben und sich beim verantwortlichen Domain-Admin beschweren - Sprit-Preise überwachen und aus dem zeitlichen Verlauf lernen, wann und wo man günstig tanken kann - gelöschte RAW-Bilder auf einer CFCARD wieder herstellen ...

Über die Referenten:

Harald König hat Physik in Tübingen studiert, und arbeitet seit 1985/96 mit VMS und TeX, seit ~1987 mit UN*X und mit Linux seit Ende 1992 (kernel 0.98.4). Er hat den Support für XFree86 S3-Treiber von 1993 bis 2001 geleistet.

Von 2001 2014 arbeitete er bei science + computing ag in Tübingen in der Software-Entwicklung und -Consulting im Linux-Umfeld von technisch-wissenschaftlichen Umfeld von Embedded-Portierungen, technischen Problemen und X11/Kernel-Debugging und -Anpassungen und mit vielen kleinen Shell-Helferlein.

Seit 1.7.2014 arbeitet er nun bei Bosch Sensortec GmbH an der Treiberentwicklung für neue Hardware u.a. im Android-Umfeld.

Software Defined Networking - Die Zukunft des Netzes?
von Bozakov, Zdravk
Freitag , 26.9.2014 12:15-13:00

Das Konzept des Software Defined Networking (SDN) hat in den vergangenen Jahren für erhebliches Interesse, sowohl in der Forschung, als auch in der Industrie gesorgt. Viele sehen SDN als längst überfälligen Paradigmenwechsel für den Design und Betrieb von Netzwerken. Mit OpenFlow steht mittlerweile eine ausgereifte SDN Technologie zur Verfügung, die von einigen namhaften Unternehmen erfolgreich im Produktivbetrieb eingesetzt wird.

Ziel des Vortrags, ist es einen Überblick über die SDN Architektur und die Motivation des Ansatzes zu geben. Des Weiteren, wird die grundsätzliche Funktionsweise von OpenFlow erläutert und die Software OpenVSwitch vorgestellt, welche eine Open-Source Implementierung von OpenFlow auf Unix Systemen zur Verfügung stellt. Abschliessend, folgt ein Ausblick über interessante Ansätze, die durch SDN ermöglicht werden, sowie eine Diskussion von einigen aktuell offenen Problemen.

Über die Referenten:

Zdravko Bozakov ist Doktorand am Institut für Kommunikationstechnik an der Leibniz Universität Hannover. Dort forscht auf den Gebieten Netzwerk-Virtualisierung, SDN und Leistungsbewertung von Netzwerken.

The Document Foundation - Ein Blick hinter die Kulissen
von Effenberger, Florian
Freitag , 26.9.2014 14:15-15:00

The Document Foundation (TDF) ist die gemeinnützige Stiftung hinter LibreOffice, der freien Office-Suite. Sie bietet dem Projekt nicht nur einen rechtlichen Rahmen, sondern verwaltet zugleich auch Rechtsgüter und Spenden, um die Weiterentwicklung von Software und Community zu ermöglichen. Der Aufbau der TDF ist dabei einzigartig - mit der Wahl einer deutschen Stiftung hat sich die Community für eine Organisationsform entschieden, die stark, stabil und auf Dauer angelegt ist. Deren Satzung stellt sicher, dass das Projekt unabhängig von einem einzelnen Sponsor ist, und hebt besonders die zentralen Werte Transparenz, Offenheit und Meritokratie hervor.

In seinem Vortrag gibt Florian Effenberger, einer der Gründer der TDF, einen Überblick darüber, wie die Stiftung aufgebaut ist, welche Ziele sie in den letzten zweieinhalb Jahren ihres Bestehens verwirklicht hat, wie ein Projekt dieser Größenordnung koordiniert wird, und welche Ziele und Pläne die Community für die Zukunft hat.

Über die Referenten:

Florian Effenberger engagiert sich seit über zehn Jahren für freie Software. Er ist einer der Gründer und Geschäftsführer der The Document Foundation, der gemeinnützigen Stiftung hinter LibreOffice.

Einer für alle - Ceph und Openstack als Dream-Team
von Loschwitz, Martin und Udo Seidel
Freitag , 26.9.2014 14:15-15:00

Ceph ist keine unbekannte Grösse im Storage-Umfeld. In den vergangenen Jahren gab es auch einige FFG-Vorträge zu dieser Opensource-Implementierung von verteilten Datenablagen. Analoges gilt für Openstack. Noch viel wichtiger aber ist die hervorragende Integration von Ceph in Openstack. SUSEs Cloud-Angebot als auch Red Hats Übernahme von Inktank unterstreichen das ausdrücklich. Dieser Vortrag wird kurz die Architektur sowohl von Ceph als auch Openstack skizzieren und die aktuellen Neuerungen und Verbesserung beschreiben. Der Hauptteil beschreibt, wie der verteilte Storage als Swift, Cinder und/oder Glance agiert. Wie sieht die konkrete Konfiguration aus, was gilt es zu beachten, wo lauern Fallstricke.

Über die Referenten:

Martin Gerhard Loschwitz arbeitet als Principal Consultant bei Hastexo. Er beschäftigt sich dort intensiv mit den Themen HA, Distributed Storage und Openstack. In seiner Freizeit pflegt er Pacemaker für die Debian-Distribution. Ausserdem ist er Autor zahlreicher Veröffentlichungen und ein anerkannter HA-Spezialist.

Dr. Udo Seidel ist eigentlich Mathe-Physik-Lehrer und seit 1996 Linux-Fan. Nach seiner Promotion hat er als Linux/Unix-Trainer, Systemadministrator und Senior Solution Engineer gearbeitet. Heute ist er Leiter des Linux Strategie Teams bei der Amadeus Data Processing GmbH in Erding.

Erfolgreiche Retrospektiven moderieren
von Andresen, Judith
Freitag , 26.9.2014 15:00-15:45

Retrospektiven sind der Motor der agilen Veränderung. Diesen Anspruch lösen viele Teams nicht ein. Stattdessen gibt es Kuschel-Retros ohne Ergebnis, gelangweilte Abfragen der "Was war gut, was war schlecht?" und kilometerlange Ergebnislisten, die keine Änderung herbeiführen. Derartige Retrospektiven helfen nicht, sie frustrieren. Es geht besser!

Im Vortrag werden die sechs Phasen der Retrospektive sowie spannende Moderationsbeispiele vorgestellt. Ein praktischer Leitfaden für alle, die mehr Spannung und Ergebnisse wollen.

Über die Referenten:

Judith Andresen coacht Teams und Unternehmen. Sie ist eine erfahrene Projektbegleiterin und hilft, eine passende, effiziente und angemessene Projekt- und Unternehmenskultur auszuprägen.

Sheepdog fordert Ceph und GlusterFS heraus
von Seidel, Udo
Freitag , 26.9.2014 15:00-15:45

Schon seit einiger Zeit ist verteilter Storage ein heisses Thema. Neben den Branchengrössen Ceph und GlusterFS gibt es aber noch eine ganze Menge alternativer Implementierungen von verteilten Datenträgern. Insbesondere Sheepdog beweist hier eine ausgesprochene Hartnäckigkeit und bekommt auch die entsprechende Aufmerksamkeit von nutzniessenden Projekten wie QEMU oder Openstack. Kazutaka Morita hob das Sheepdog-Projekt 2009 aus der Taufe. Der primäre Treiber was das Fehlen einer Open Source Implementierung einer Cloud-fähigen Storage-Lösung - quasi als Gegenstück zu Amazons S3. Skalierbarkeit, (Hoch-)Verfügbarkeit und Verwaltbarkeit waren und sind die wesentlichen Merkmale, die Sheepdog liefern soll. Kazutaka war das Setup von Ceph, welches damals schon existierte, zu kompliziert. GlusterFS wiederum war weitgehend unbekannt. Ausserdem gilt für beide, dass sie damals eher den NAS-Markt addressierten. Der Vortrag gibt Einblick in die Ansätze von Sheepdog, erläutert die Architektur und wie man die ersten Schritte geht.

Über die Referenten:

Dr. Udo Seidel ist eigentlich Mathe-Physik-Lehrer und seit 1996 Linux-Fan. Nach seiner Promotion hat er als Linux/Unix-Trainer, Systemadministrator und Senior Solution Engineer gearbeitet. Heute ist er Leiter des Linux Strategie Teams bei der Amadeus Data Processing GmbH in Erding. Er veröffentlicht regelmässig zu verschiedenen Themen rund um Linux und trägt auf Konferenzen vor.

Ich will Artikel schreiben!
von Kehrer, Anika
Freitag , 26.9.2014 15:45-16:30

So weit, so gut. Doch wie weiter: Ich will das, doch kann ich das auch? Worüber soll ich schreiben, was wollen die Leute lesen, welche Leute sollen das überhaupt lesen, wie fange ich an - und wie höre ich auch wieder auf! -, wie schreibt man gut, was heißt schon "gut", und wie bringe ich das Ganze an den Mann - also den intendierten Leser, beziehungsweise die Redaktion?

Die Referentin nimmt ihre Berufserfahrung (früher angestellte Redakteurin, jetzt freie Journalistin) sowie Anschauungsobjekte zur Hilfe (iX, Linux Magazin, UpTimes, Heise.de, Pro-Linux.de, Netzpolitik.org), um diese Fragen zu beantworten.

Dieser Vortrag richtet sich an Fachleute aus dem Unix- und IT-Umfeld, die keine bis mittlere Erfahrung mit journalistischen oder Fachtexten gesammelt haben. Auch erfahrene Autoren sind willkommen: Das eine oder andere wird Euch vielleicht neu oder wenig bewusst sein, außerdem hilft vielleicht das Q&A, für bisher offene Probleme eine Lösung zu finden.

Über die Referentin:

Anika Kehrer ist freie Journalistin mit den Schwerpunkten IT und Technik in München und Berlin und schreibt für journalistische Print- und Online-Medien. Außerdem erstellt und betreut sie als Chefredakteurin seit 2012 die UpTimes, Mitgliederzeitschrift der GUUG, gemeinsam mit einem ehrenamtlichen Redaktionsteam aus GUUG-Mitgliedern.

Virtualisierung im Cloud-Zeitalter - Spielt der Hypervisor noch eine Rolle?
von Gantikow, Holger
Freitag , 26.9.2014 15:45-16:30

Virtualisierung von und unter Linux ist vor allem eines: vielfältig! Auch wenn Containertechniken wie Docker immer mehr an Fahrt gewinnen, werden die meisten virtuellen Umgebungen nach wie vor von Hypervisor-basierten Lösungen angetrieben.

Im Jahr 2014 buhlen weiterhin eine Vielzahl von Virtualisierungslösungen um die Gunst der Anwender und Administratoren und bieten eine große Wahlfreiheit. Speziell für den Servereinsatz gibt es mehrere leistungsfähige hypervisorbasierte Lösungen, namentlich Xen, KVM und vSphere Hypervisor (ESXi), die die letzten Jahre im Funktionsumfang immer umfangreicher, aber sich auch immer ähnlicher wurden. Selbst historisch eher auf dem Desktop angesiedelte Werkzeuge wie VirtualBox bieten inzwischen Features wie Live-Migration, wie man sie gerne im Rechenzentrum einsetzt.

Hinzu kommt, dass Cloud-Management-Lösungen wie OpenNebula und OpenStack eine Vielzahl von Hypervisoren unterstützen und die Virtualisierungs-API libvirt mit darauf aufbauenden Werkzeugen alles noch ähnlicher erscheinen lässt, da sie die unterschiedlichen Hypervisor abstrahiert und unter einer Schnittstelle vereint.

Dies führt dazu, dass sich der Systemverwalter irgendwann ratlos die Fragen stellen muss, welche Lösung für sein Szenario die optimale Wahl ist oder ob diese nicht gänzlich egal ist.

Der Vortrag stellt die gängigsten Lösungen kurz vor und untersucht die Fragestellung, ob im Jahr 2014 die Wahl des Hypervisors wirklich noch eine Rolle spielt und ob deren Leistungsunterschied in der Praxis wirklich so marginal ist, wie es die Datenblätter in der Theorie nahelegen oder zu einer leichtfertig treffbaren Bauchentscheidung verkommen darf.

Als reales Beispiel aus der Praxis dient die Evaluierung einer Virtualisierungsplattform für eine Build-Farm wie sie für regelmässige Builds im Zuge von Continuous Integration eingesetzt wird. Dort dürfen die Virtualisierungslösungen Xen, KVM, vSphere und als Exot VirtualBox in Kombination mit den beiden Linux-Distributionen RedHat Enterprise Linux und openSUSE in einem definierten Szenario ihre Leistungsfähigkeit unter Beweis stellen.

Über die Referenten:

Holger Gantikow hat an der Hochschule Furtwangen Informatik studiert und ist bei der science + computing ag in Tübingen als Senior Systems Engineer tätig. Dort beschäftigt er sich mit der Komplexität heterogener Systeme im CAE-Berechnungsumfeld und betreut Kunden aus dem technisch-wissenschaftlichen Bereich.

Neben der Virtualisierung schlägt sein Herz fachlich für Cloud Management Lösungen wie OpenNebula und den weiten Bereich des High Performance Computing.

Veranstaltungen
FFG2019
Frühjahrsfachgespräch 2019
9.-12. April 2019 am KIT in Karlsruhe
Kalender
10.November 2019
KWMoDiMiDoFrSaSo
44  28 29 30 31 1 2 3
45  4 5 6 7 8 9 10
46  11 12 13 14 15 16 17
47  18 19 20 21 22 23 24
48  25 26 27 28 29 30 1
49  2 3 4 5 6 7 8
GUUG News