German Unix User Group (GUUG)
Abstracts | FFG2007 | Frühjahrsfachgespräch
http://www.guug.de/veranstaltungen/ffg2007/abstracts.html
2019-11-10

Abstracts

Kerberos/LDAP
von Joachim Keltsch und Mark Pröhl
Ausgebucht
Dienstag, 27.02.2007 10:00-18:00 und
Mittwoch, 28.02.2007 10:00-18:00

Der Workshop beschäftigt sich mit der Authentisierung über Kerberos und der Benutzerverwaltung über LDAP. Er erstreckt sich über zwei Tage, wobei jedes der Themen jeweils den Schwerpunkt eines Tages darstellt.

Zielgruppe des Workshops sind Administratoren reiner Linux Netze oder gemischter Linux/Windows Umgebungen. Vorausgesetzt werden Linux Administrationserfahrung, Netzwerkerfahrung, sowie ein Grundverständnis symmetrischer und asymmetrischer kryptographischer Verfahren.

Am Anfang jedes Workshop-Tages wird in einem ca. zweistündigen Vortrag ein Überblick über das Thema gegeben, das dann den Rest des Tages von den Teilnehmern praktisch umgesetzt wird, begleitet von kurzen theoretischen Erläuterungen.

Der Workshop im Detail

1. Tag: Kerberos - ein kryptographischer Authentisierungsdienst

Vortrag: Der Kerberos Authentisierungsdienst

Der Vortrag beschäftigt sich mit den Design-Zielen von Kerberos, den Rahmenbedingungen, denen diese Ziele unterliegen, sowie mit der tatsächlichen Umsetzung in Kerberos V.

Zentraler Inhalt des Konzeptes hinter Kerberos ist ein Single-Sign-On. Dabei kann ein Benutzer, nachdem er sich lokal an einer Workstation mit seinem Passwort angemeldet hat, auf Netzwerk-Dienste zugreifen, ohne erneut ein Passwort angeben zu müssen.

Im Vortrag wird entwickelt, wie man dieses Ziel eines Single-Sign-On umsetzen kann, welche Probleme dabei auftreten, und wie man diese mit kryptographischen Methoden bei Kerberos V gelöst hat.

Praxis: Aufbau einer MIT-Kerberos Realm

Unter debian Linux setzen die Teilnehmer in Zweiergruppen einen Kerberos Authentisierungsdienst auf (Key-Distribution-Center, KDC).

Die Authentisierung einer Linux-Workstation wird über die PAM in die Kerberos Realm integriert, ebenso wird eine Windows-XP-Workstation eingebunden.

Zusätzlich zum integrierten Login wird am Beispiel des Web-Servers Apache eine Anwendung kerberisiert. Als Clients stehen Mozilla 1.8 und IE 6 zur Verfügung.

2. Tag: LDAP - ein hierarchischer Verzeichnisdienst

Vortrag: Lightweight Directory Access Protocol

Zunächst wird in einem Überblick über die LDAP Entwicklungsgeschichte die Verwandtschaft zum X500 Verzeichnisdienst dargestellt. Daraus werden Gemeinsamkeiten und Unterschiede zwischen LDAP und X500 entwickelt.

Darauf aufbauend werden die Stärken und Schwächen eines so allgemeinen Verzeichnisses dargestellt. Kerninhalte stellen Delegation und Replikation dar.

Zum Schluss werden Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.

Praxis: Aufbau eines OpenLDAP Verzeichnis-Dienstes

Unter debian Linux setzen die Teilnehmer in Zweiergruppen einen openLDAP Server auf und populieren ihn mit Kommandozeilen- und grafischen Werkzeugen.

Dann wird der Netzwerkzugriff auf den Server über TLS abgesichert, dazu ist ein kurzer Exkurs über Zertifikatmanagement mit openssl notwenig. Im Anschluss daran replizieren die Teilnehmer ihren Server zur Erhöhung der Verfügbarkeit des Verzeichnisses. Abschließend wird der Zugriff auf den LDAP Dienst kerberisiert.

Als Anwendung der aufgebauten LDAP Infrastruktur steht den Teilnehmern die Adressbuchfunktion im Mozilla zur Verfügung, außerdem kann das Benutzerverzeichnis der Linux-Workstation an LDAP angebunden werden. Damit wird der erste Tag abgerundet, da Kerberos ausschließlich ein Authentisierungsdienst ist und Benutzerdaten zwingend aus einem Verzeichnisdienst wie LDAP oder NIS+ bezogen werden müssen.

Über die Referenten:

Joachim Keltsch hat an der Universität Stuttgart Physik studiert und arbeitet seit 1996 im IT-Service der science+computing AG in Tübingen. Er ist dort seitdem auf den Gebieten Konzeption und Systemmanagement großer heterogener Rechnernetze tätig.

Außerdem engagiert er sich im Bereich Trainingsentwicklung und Durchführung von IT Schulungen. In diesem Umfeld war er unter anderem 2000 für ein halbjähriges Traineeprogramm verantwortlich, das s+c zur Qualifikation neuer Mitarbeiter durchführte.

Seitdem hat sich sein Schwerpunkt zu Open-Source-Migrationsprojekten und der Beobachtung, Evaluierung und Entwicklung neuer Methoden und Konzepte im IT-Service verlagert.

Erste Erfahrungen mit Kerberos hatte er bereits 1992 bei der Systemadministration einer AFS Umgebung gesammelt. Mit LDAP beschäftigt er sich seit einigen Jahren im Zusammenhang mit Samba Migrationsprojekten.

Mark Pröhl beendete im Januar 1999 sein Physikstudium an der Universität in Tübingen mit einer Diplomarbeit am Institut für Theoretische Physik. Seine dort gesammelten Kenntnisse in der Systemadministration setzt er seit dem 1. April 1999 bei s+c im Geschäftsbereich IT-Service Tübingen ein. Dort befasst er sich vor allem mit Betrieb und Konzeption heterogener Unix/Linux/Windows- Umgebungen und so auch intensiv mit den Infrastruktur-Komponenten Samba, LDAP und Kerberos.

Netzwerküberwachung mit Open Source Tools
von Jens Link, Wilhelm Dolle, Thomas Fritzinger und Christoph Wegener
Ausgebucht
Dienstag, 27.02.2007 10:00-18:00 und
Mittwoch, 28.02.2007 10:00-18:00

Durch die wachsende Abhängigkeit unseres täglichen Lebens von einer funktionierenden IT-Landschaft und die gleichzeitig rapide zunehmende Komplexität der dazu benötigten Infrastrukturen, gewinnen die Themen Netzwerkmanagement und Netzwerküberwachung immer mehr an Bedeutung. Zur Netzwerküberwachung existiert eine Reihe von komplexen und oft sehr teuren kommerziellen Werkzeugen. Dieser Workshop zeigt, wie man eine analoge Funktionalität mit spezialisierten, freien und quelloffenen Programmen erreichen kann.

Themen im Detail/Ablauf des Tutoriums:

  • Organsisatorische Fragen
    • Möglichkeiten der Netzwerküberwachung
    • Business Planing / Business Continuity / TCO
    • Warum freie und quelloffene Software?
    • Bedeutung der Netzwerküberwachung beim Risikomanagement im Rahmen von Basel II und des Sarbanes-Oxley Acts (SOX)
  • Rechtliche Aspekte
  • Simple Network Management Protocol (SNMP)
  • Qualitative Überwachung
    • Multi Router Traffic Grapher (MRTG)
  • Verfügbarkeitsüberwachung
    • Nagios
  • Proaktive Überwachung, Auswerten von Logdateien
  • Fehlersuche in Netzwerken mit Wireshark (ehem. Ethereal)
  • NetFlow Analyse mit nfdump/nfsen
  • Sicherheits-Monitoring
    • nmap
    • Nessus und neue Open-Source Alternativen
    • Snort

Die Inhalte werden im Vortragsstil vermittelt und durch praktische Übungen durch die Teilnehmer am eigenen Rechner vertieft. Ergänzend steht das Vortragsscript als Folienkopien mit der Möglichkeit für Notizen bereit.

Zielgruppe/Voraussetzungen:

Das zweitägige Tutorium richtet sich an erfahrene Systemadministratoren, deren Aufgabe die Betreuung, Überwachung und Optimierung von komplexen Netzwerkumgebungen ist. Die Teilnehmer sollten bereits Erfahrungen mit der Installation von Programmen unter Linux haben und rudimentäre Grundkenntnisse des TCP/IP-Stacks mitbringen.

Die Teilnehmer müssen einen Rechner mit einer aktuellen Linux-Distribution mitbringen. Hinweis: Benutzer anderer Betriebssysteme (*BSD oder MacOS) sollten sich vor der Veranstaltung mit den Vortragenden in Verbindung setzen.

Im Laufe des Workshops wird der Aufbau eines Überwachungsservers auf Basis von Linux mit exemplarischen Diensten gezeigt und diskutiert werden. Dabei werden aber nicht nur die rein technischen Aspekte der Netzwerküberwachung beleuchtet, sondern auch die Grundlagen der notwendigen organisatorischen und rechtlichen Rahmenbedingungen aufzeigen und berücksichtigt. Nach der Veranstaltung können die Teilnehmer die gewonnenen Erkenntnisse dann selbständig in die Praxis umsetzen.

Über die Referenten:

Wilhelm Dolle ist Senior Security Consultant bei der HiSolutions AG, einem Beratungshaus für Information Security und Risk Consulting, in Berlin und seit vielen Jahren im IT-Sicherheitsumfeld tätig. Er ist CISA, CISSP sowie vom BSI lizensierter ISO 27001 / Grundschutzauditor und hat bereits in früheren Positionen als Abteilungsleiter und Mitglied der Geschäftsleitung eines mittelständischen Unternehmens Erfahrungen in den Bereichen IT-Sicherheitsmanagement, Risiko- und Sicherheitsanalysen sowie Incident Management sammeln können.

Thomas Fritzinger ist ausgebildeter Fachinformatiker für Systemintegration. Seit 2002 ist für die interActive Systems GmbH tätig und leitet dort die Abteilung für Networking Development.

Jens Link Netzwerk- und Security-Consultant. Er ist seit mehr als 10 Jahren im IT-Bereich tätig. In dieser Zeit musste er sich immer wieder mit den verschiedensten Netzwerkproblemen (auf allen zehn Ebenen des OSI-Modells) auseinandersetzen.

Christoph Wegener, promovierter Physiker, ist seit 1999 mit der wecon.it-consulting freiberuflich in den Themen IT-Sicherheit und Open Source / Linux aktiv; seit Anfang 2005 ist er zudem im europäischen Kompetenzzentrum für Sicherheit in der Informationstechnologie (eurobits) in Bochum tätig. Darüber hinaus ist er Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) e.V. und dort Vorsitzender des Verwaltungsrats.

IPv6 mit Unix
von Benedikt Stockebrand
Dienstag, 27.02.2007 10:00-18:00 und
Mittwoch, 28.02.2007 10:00-18:00

Ziel des Tutoriums ist es, aus Unix-Rechnern ein IPv6-Netzwerk aufzubauen, das in sich funktionsfähig ist, aber auch nahtlos in eine IPv4-Welt eingebunden werden kann.

Das nötige IPv6-Wissen, von der Terminologie über den Aufbau und die Notation von IPv6-Adressen bis zu den grundsätzlichen Unterschieden zwischen IPv4 und IPv6, eignen wir uns rund um diese Experimente an. IPv6-Vorkenntnisse sind also nicht nötig, etwas Erfahrung im Umgang mit (dem eigenen) Unix und IPv4-Netzen allerdings schon.

Wir sind darauf angewiesen, daß möglichst viele Teilnehmer einen eigenen Unix-Rechner mitbringen, auf dem die Man Pages, eventuell die gängigen Entwicklungswerkzeuge (make, cc/gcc, ld, binutils) und wenn möglich ein Packet Sniffer (tcpdump, snoop, ethereal/wireshark, ...) installiert sind. Das gewählte Unix-Derivat sollte dem jeweiligen Teilnehmer einigermaßen vertraut (und IPv6-fähig) sein, andere Einschränkungen gibt es nicht. Wer das Unix in einer VMware oder ähnlichem laufen lassen will, kann das gerne tun.

Das Tutorium im Detail:

IPv6-Unterstützung im Betriebssystem: Wir richten im Betriebssystem, soweit nötig, die IPv6-Unterstützung ein und überprüfen ihre Funktionsfähigkeit.

Adresskonfiguration: Wir konfigurieren zunächst statische IPv6-Adressen. Dann richten wir Router so her, daß Hosts damit per Stateless Autoconfiguration ihre IPv6-Adressen dynamisch selbst konfigurieren können.

DNS: Wir richten DNS-Server ein, die auch über IPv6 angesprochen werden können, tragen statische Daten ein, erlauben kryptographisch abgesicherte dynamische Updates von den eingetragenen Rechnern und synchronisieren kontinuierlich die Forward und Reverse Zones miteinander.

IPv6-fähige Services: Mit SSH, NTP, Syslog, SMTP, IMAP, (x)inetd, HTTP und NFS vervollständigen wir unsere Systeme.

Routing: Wir richten auf mehreren Routern statisches und dynamisches Routing ein und untersuchen dabei einige Eigenheiten von IPv6 und Unterschiede zwischen den IPv6-Implementierungen.

Dual-Stack-Konfiguration: Wir richten Rechner mit IPv4- und IPv6-Stack ein, so daß sie sowohl auf IPv4- als auch auf IPv6-Ressourcen zugreifen können.

Application Gateways: Für DNS und HTTP bauen wir Application Gateways, die zwischen beiden Welten auf Applikationsebene vermitteln.

Protocol Translation: Ähnlich wie mit einem NAT-Gateway, das IPv4-Adressen dynamisch umschreibt, bauen wir ein TRT-Gateway, das zwischen IPv6- und IPv4-Adressen konvertiert.

Neue Funktionalitäten: Nachdem im Tutorium fast ausschließlich Funktionalitäten berücksichtigt wurden, die schon IPv4 zur Verfügung stellt, gehen wir auf interessante Features ein, die IPv4 nicht oder nur eingeschränkt zu bieten hat.

Offene Probleme: Die IPv6-Spezifikationen werden noch immer weiterentwickelt, die Implementierungen hinken mehr oder weniger stark hinterher. Wir sprechen einige Bereiche an, in denen in naher Zukunft wichtige Fortschritte zu erwarten sind.

Strategie: Abschließend diskutieren wir, wie und wann der Aufbau einer IPv6-Infrastruktur strategisch sinnvoll ist.

Die Teilnehmer müssen einen IPv6-fähigen Laptop mitbringen, um sinnvoll am Tutorium teilnehmen zu können. Als Arbeitsgrundlage erhält jeder Teilnehmer ein Exemplar des Buchs "IPv6 in Practice" des Referenten.

Über den Referenten:

Benedikt Stockebrand ist Dipl.-Inform. und arbeitet freiberuflich als Trainer, Fachjournalist und -autor im Unix- und TCP/IP-Umfeld.

Seit einigen Jahren ist sein Schwerpunktthema IPv6, vor allem aus Sicht der Systemadministration und -architektur. Im Oktober 2006 ist sein Buch "IPv6 in Practice -- A Unixer's Guide to the Next Generation Internet", bei Springer, Heidelberg erschienen.

Wenn er sich nicht gerade mit IPv6 beschäftigt, tauchen geht oder mit dem Fahrrad Kontinente sammelt, ist er unter stockebrand@guug.de und http://www.benedikt-stockebrand.de zu erreichen.

IPv4 - Basiswissen ohne Mystik mit Linux
von Johannes Hubertz
Dienstag, 27.02.2007 10:00-18:00

Ein eintägiges Tutorium soll in die Internet-Protokollsuite einführen. Dabei sollen auch Sicherheitsaspekte beleuchtet werden.

IP-Adresse, Netzmaske, Routing sind die Grundlage für anschließende Beschäftigung mit ICMP, UDP, TCP, Layer2, MAC, ARP, RIP, OSPF, DNS, HTTP, SMTP, ... der ganze Protokoll-Zoo wartet darauf, entdeckt und verstanden zu werden.

Der IP-Header nach RFC971 bildet die Grundlage des heutigen Internet und dient als Einstieg ins Thema. Adresse, Netzmaske, Routing führen schnell dazu, mehrere Maschinen zu vernetzen. Hierzu ist die Kenntnis der Konfigurationsdateien notwendig, Linux soll als Beispiel für Unix-Systeme ausreichen. Wie statisches Routing funktioniert, wird an einem kleinen Beispielnetz auf Folien vorgestellt. Dynamisches Routing (RIP,OSPF) wird kurz vorgestellt, jedoch nicht vertieft.

Redirects führen zum Thema ICMP. Mit einem Ping Daten zu transportieren, soll mit libnet-rawip-perl gezeigt werden. UDP und TCP sollen kurz vorgestellt werden, die Zuverlässigkeit wie auch Aufzeichnung mit Ethereal stellen sofort die manglende Vertraulichkeit unter Beweis.

DNS stellt den bei weitem wichtigsten Dienst im Netz dar. Die Teilnehmer sollen erfahren, wie er funktioniert und was dabei wichtig ist. Einige Begriffe sollen verständlich werden: Delegation, Authoritativer Nameserver, TTL, Cache-Mechanismen, Rekursive Abfragen. 'dig' als universelles Hilfsmittel soll zeigen, was es kann. Aber auch DNS-Spoofing soll erklärt werden.

Email als ältester allgemein genutzter Dienst im Netz soll kurz und prägnant mittels Telnet auf Port 25 gezeigt werden. Ebenso kann ein Webserver angesprochen werden, eine Aufzeichnung mit Ethereal oder tcpdump zeigt, wie es geht.

Sicherheitsaspekte sollen zu allen Protokollen angesprochen werden, z.B. [Arp|IP]-Spoofing und/oder [Arp|DNS]-Poisoning. Nicht nur die einfache Fälschbarkeit von Email-Absendern sollte nach dem Tutorial jedem Teilnehmer bewusst sein.

Die Teilnehmer müssen einen Laptop mit lauffähigen Linux (möglich auch die Verwendung von Knoppix) mitbringen.

Über den Referenten:

Johannes Hubertz wurde 1954 in Köln geboren und studierte nach seinem Abitur ab 1973 etwas Elektrotechnik in Aachen. Ab 1980 arbeitete er bei einer großen europäischen IT-Firma, erst in der Hardware-Reparatur, dann ab 1984 in der Softwareentwicklung für Datenerfassungs- und übertragungsgeräte.

Mit Unix kam er erst 1987 in Form von Xenix in Berührung, später mit AIX, SCO-Unix und anderen Derivaten. Richtig gefallen hat ihm nur Linux, da er sich darin die Bits einzeln so genau ansehen kann, wie er gerne möchte. Ab 1996 beschäftigte er sich mit dem Internet und den dazu benötigten elektrischen Geräten. Das Betreiben von Routern, Email-, DNS-, News- und Webservern, u.a. auch www.bundestag.de, war eine schöne Herausforderung und schulte in Sachen System-Verfügbarkeit und -kenntnis.

Ab dem Frühjahr 1997 war nur noch IT-Sicherheit sein Thema, zuerst war ssleay angesagt, um eine AS400 für Aussendienstler per Browser verfügbar zu machen, später kamen andere Sicherheitsthemen hinzu. IPSec und PKI wurden öfter und gerne für Kunden implementiert.

Ab 1998 setzte er Linux bei seinem Arbeitgeber für einige sicherheitskritische Dinge wie Routing, DNS und Server-Überwachung ein, dabei wurde Debian schnell der Favorit. Eine kostengünstige Firewall- und VPN-Lösung mußte 2001 entwickelt werden, zur eigenen und Kundenverwendung. Die wird bei der nun bei eigenen Kundschaft weiterentwickelt und betrieben. Seit August 2005 ist er selbständig und hat eigene Kundschaft zu beglücken.

Kontrollierte Wege ins Web mit Squid
von Dirk Dithardt
Mittwoch, 28.02.2007 10:00-18:00

Squid ist der wohl bekannteste freie Web-Cache-Proxyserver und als Proxyserver für HTTP/HTTPS und FTP sehr gut geeignet. Er kann sowohl für sehr kleine und preiswerte Installationen (5-10 Nutzer) wie auch für große Proxyverbünde in Weitverkehrsnetzen mit mehreren hunderttausend Nutzern eingesetzt werden.

Ursprünglich vornehmlich als Cachepool zur Bandbreitenersparnis eingesetzt, hat diese Funktionalität heute aufgrund sich ständig verdoppelnder Bandbreiten, wegfallender Volumenbeschränkungen und zunehmender Dynamik des Web nur noch untergeordnete Bedeutung.

Dieses Tutorium vermittelt den heute weit wichtigeren Nutzen eines Proxyservers zur Verkehrssteuerung und zur Filterung von Webzugriffen. Durch umfangreiche Vernetzungen verschiedenster privater und öffentlicher Netze, die verstärkte Nutzung von VLANs und VPNs wird eine gezielte Steuerung von Webzugriffen immer komplexer.

Intranet, Extranet, Filialnetze und nicht zuletzt das Internet bieten unter verschiedensten Adressen und Wege erreichbare Informationen an, die über die meist simplen Konfigurationsmöglichkeiten der gängigen Browser nur noch schwer in Ihrer Gesamtheit erreichbar sind.

Hier kann Squid mit seinen komplexen Konfigurationsmöglichkeiten Zugriffe gezielt lenken, steuern und regeln. Netze können je nach Anfrage über unterschiedliche Wege erreichbar gemacht werden, Zugriffe können auf bestimmte Bereiche des Web begrenzt werden, Adressen können über unterschiedliche DNS-Server aufgelöst werden.

Durch Proxy-Verbünde können Wege optimiert, Verbindungen leichter durch fremde Netze getunnelt oder Lasten über mehrere Zugänge Verteilt werden.

Das Tutorium vermittelt im ersten Teil die grundlegenden Kenntnisse zur Installation von Squid und zur Konfiguration der beschrieben Scenarien.

Im zweiten Teil werde die Routingfunktionalitäten an mehren praktischen Beispielen konfiguriert und getestet.

Im dritten Teil werden sowohl die internen Filterfuntionalitäten von Squid wie auch externe Filtermöglichkeiten (squidGuard) konfiguriert und ein Ausblick auf weitere Möglichkeiten der Einbindung externer Server (ICAP) aufgezeigt.

Über den Referenten:

Dirk Dithardt verfügt über mehr als zehn Jahre Berufserfahrung in der Systemadministration und ist heute bei der Niedersächsischen Landesverwaltung beschäftigt. Schwerpunkte seiner Arbeit sind Intranet- und Internetdienste, wie DNS, Web und Proxys. Im Besonderen beschäftigt er sich mit dem zentralen Proxyserver/Webfilter für die rund 2.000 Dienststellen der Landesverwaltung und ihre 70.000 Nutzer.

MySQL Performance Tuning
von Kristian Köhntopp
Mittwoch, 28.02.2007 10:00-18:00

MySQL ist die populärste Open Source Datenbank. Das Tutorium demonstriert anhand verschiedene Performanceprobleme mögliche Optimierungsmöglichkeiten für die Datenbank: Hardwareauswahl, Konfigurationsoptimierung, Optimierung von SQL und Schema und skalierbare Architekturen.

Es ist hilfreich, aber NICHT erforderlich, einen Laptop mit MySQL 5.0.27, mindestens 512M (besser 1024M) sowie 4-8G freiem Plattenplatz mitzubringen.

Über den Referenten:

Kristian Köhntopp ist derzeit als Senior Consultant für MySQL AB unterwegs. In anderen Leben war er Senior Security Engineer bei einem großen Webportal, Dozent für Security Management, Contributor für einige größere Open Source Projekte. Seine Blogs sind unter http://blog.koehntopp.de und http://mysqldump.azundris.com zu finden, der interssante Teil seiner Website hat die URL http://kris.koehntopp.de/artikel/.

World domination - Open Source im Auswärtigen Amt
von Torsten Werner
Donnerstag, 01.03.2007 9:30-10:15

Das Auswärtige Amt hat bereits 2002 begonnen Linux und Open Source weltweit einzusetzen. Zwei jüngere Projekte aus dem Jahr 2006 sollen etwas näher vorgestellt werden, die zeigen, dass es mit Open Source sehr gut möglich ist, sowohl leistungsfähige und gleichzeitig wirtschaftliche IT-Infrastrukturen aufzubauen.

Ab dem 2. Halbjahr 2006 begann das AA, weltweit an über 220 Auslandsvertretungen hochverfügbare Heartbeatserver mit Debian GNU/Linux zu installieren, um die künfigen Anforderungen bezüglich Erfassung biometrischer Daten erfüllen zu können. Die Cluster arbeiten sowohl in einer Loadbalancing-Konfiguration und beherrschen automatisches Failover und speichern ihre Daten redundant über DRBD. Dafür und für die vollautomatische Installation sowie Softwareverteilung wurden notwendige Anpassungen am Debianbetriebssystem hauptsächlich durch eigenes Personal durchgeführt.

Im Rahmen der Vorbereitung auf die deutsche EU-Ratspräsidentschaft werden seit Herbst 2006 mehrere hundert Notebooks verteilt, die ausschließlich mit Debian in einer Konfiguration ausgestattet sind, die für mobiles Arbeiten mit sicherer Kommunikation via IPSEC optimiert sind. Die Notebooks werden von den Anwendern mit großer Begeisterung eingesetzt, weil der Nutzen einer sicheren mobilen Kommunikation eine mögliche Abwehrhaltung gegenüber neuen Open-Source-Anwendungen beim Nutzer überwiegt.

Über den Referenten:

Torsten Werner hat an der Technischen Universität Dresden Physik studiert und ist seit dieser Zeit aktiver Debian-Entwickler. Danach war er mehrere Jahre als Assistent an derselben Universität mit den Aufgabenschwerpunkten Atom- und Plasmaphysik sowie Verkehrswirtschaft tätig. Seit 3 Jahren arbeitet er in der Arbeitsgruppe "IT-Strategie" des Auswärtigen Amts.

HTTP(S) Loadbalancing und Failover mit dem Apache 2.2 und Heartbeat
von Torgen Foertsch
Donnerstag, 01.03.2007 10:15-11:00

Mit dem Release des Apache-Webservers in der Version 2.2 hat der Apache neue interessante Funktionen spendiert bekommen. Eine dieser neuen Funktionen stellt das Modul "mod_proxy_balancer" bereit.

Mit diesem Modul lassen sich lastverteilende Setups realisieren, wahlweise fuer das HTTP(S)-,FTP- oder AJP13-Protokoll. Die verschiedenen Protokolle sind jeweils in Hilfsmodulen implementiert. Bei der Realisierung kann man zwischen zwei Scheduler-Algorithmen waehlen. Die Scheduler-Algorithmen "byrequests" und "bytraffic" werden im Rahmen diese Vortrages kurz vorgestellt. Ebenfalls existiert eine Weboberflaeche fuer die Administration des Loadbalancers.

Eine Besonderheit in einem solchem Setup ist das HTTPS-Protokoll. Eigenheiten bei der Verwendung in einem solchen Setup werden ebenfalls behandelt.

In Kombination mit Heartbeat kann hier ein hochverfuegbarer, lastverteilender Webserver-Cluster aufgesetzt werden. Dies wird durch praktische Beispiel demonstriert.

Über den Referenten:

Torgen Förtsch ist als Senior Consultant, Trainer und Systemarchitekt im Bereich Opensource Software fuer die SerNet GmbH tätig. Schwerpunktmäßig beschäftigt er sich mit der Administration von Linux, Webservern, Datenbanken und Security sowie der Entwicklung von datenbankgestützter Webapplikationen.

Sicherheit sensibler Daten im Unternehmen
von Christian Götz
Donnerstag, 01.03.2007 10:15-11:00

Dass es in Unternehmen vertrauliche Daten gibt, ist nichts Neues. Der typische technische Ansatz um die Sicherheit solcher Daten zu gewährleisten ist einerseits die Verschlüsselung von Festplatten und andererseits die Implementation von Zugriffsschutz, so dass sich externe Personen weder physisch noch logisch Zugriff zu solchen Daten verschaffen können. Warum also ein Vortrag über sensible Daten im Unternehmen?

Die Antwort auf diese Frage erschließt sich am einfachsten über mehrere Gegenfragen: Wie gelangen sensible Daten eines Unternehmens am wahrscheinlichsten in falsche Hände? Kann man das Problem auf den Schutz vor externen Personen reduzieren? Und wenn nicht, was hilft die Verschlüsselung von Festplatten gegen Mitarbeiter, die berechtigterweise täglich mit den Daten arbeiten und sie versehentlich oder im schlimmsten Fall sogar vorsätzlich an Dritte weitergeben? Kann man sich davor denn überhaupt schützen? Diese und viele weitere Fragen sollen im Mittelpunkt des Beitrags stehen.

Wenn sich Unternehmen überlegen, was denn wirklich sensible Daten sind, dann kommen viele IT-Verantwortliche vorschnell zu dem Schluss, dass es bei ihnen ja gar nichts zu holen gibt. Die Konkurrenten sehen das oft anders. Detaillierte Kundenlisten mit Vertragsdetails sind für einen existierenden oder zukünftigen Mitbewerber oft bares Geld wert. Nicht selten und in den verschiedensten Branchen verlassen Mitarbeiter den bisherigen Arbeitgeber, um dann selbst ein Konkurrenzunternehmen zu eröffnen. Wie viele Daten sie dabei mitnehmen lässt sich meist nicht nachvollziehen.

Aber nicht nur Kundendaten sind dabei interessant. Firmen, die eigene Forschung oder Produktentwicklung betreiben, investieren oft beträchtliche Beträge in diese Entwicklung und entsprechend groß wären die Verluste falls ein ausländischer Mitbewerber mit ähnlichen Produkten auf Basis von gestohlenen Entwicklungsdaten früher auf den Markt kommt.

Eine weitere Variante von sensiblen Daten sind personenbezogene Daten oder börsenrelevante Daten, die schlicht aufgrund von gesetzlichen Bestimmungen zu schützen sind. In jedem Fall aber geht es um Daten, mit denen im Unternehmen gearbeitet wird. Eine Sicherheitslösung, die eigene Mitarbeiter nicht berücksichtigt oder die sich bei der Arbeit störend bemerkbar macht, kommt deshalb für viele Unternehmen nicht in Frage.

In dem endgültigen Beitrag sollen die einzelnen Bedrohungsszenarien ausführlich dargestellt werden.

Um sensible Daten zu schützen, ist es nicht sinnvoll in blindem Aktionismus verschiedenste Sicherheitsprodukte einzukaufen und zu implementieren. Stattdessen sollte man sich zunächst überlegen, wovor man die Daten eigentlich schützen möchte und welche die wahrscheinlichsten Bedrohungsszenarien sind.

Im endgültigen Beitrag werden bisherige Lösungsansätze skizziert und neue innovative technologische Ansätze zum Schutz ausführlich erläutert.

Über den Referenten:

Nach dem Abitur studierte Christian Götz Medizinische Informatik an der Universität Heidelberg und der Fachhochschule Heilbronn. Seit 1998 ist er als IT-Sicherheitsberater für große, internationale Unternehmen tätig, wobei er auf die Bereiche Verwundbarkeits-Management, Intrusion Prevention und Sicherheitsüberprüfungen spezialisiert ist. Als Autor hat er diverse Artikel in Zeitschriften veröffentlicht.

XAMPP
von Kai Seidler
Donnerstag, 01.03.2007 11:30-12:15

XAMPP ist eine vom non-profit Projekt Apache Friends zusammengestellte kostenlos erhältliche Apache-Distribution für die Betriebssysteme Linux, Solaris, Mac OS X und Windows. XAMPP zeichnet sich dadurch aus, dass es besonders einfach zu installieren ist und es so auch dem Laien möglich macht, diese Technologien zu nutzen. Der Begriff Laien schießt in diesem Fall aber auch professionelle Entwickler ein, die sich aber nicht mit Administrationsproblemen beschäftigen wollen.

Erwünschter Nebeneffekt von XAMPP ist eine Kapselung der webbasierten Anwendung und ihrer Laufumgebnung gegenüber dem Betriebssystem: Eine Applikation kann also z. B. sehr leicht mit XAMPP unter einem SuSE- oder Debian-Linux entwickelt werden und für die Produktion auf einen Solaris-Rechner mit XAMPP migriert werden.

Im Falle von Linux löst XAMPP auch die Abhängigkeit von der Linux-Distribution: XAMPP für Linux ist zum Beispiel so zusammengestellt, dass es extrem unabhängig von der Distribution ist und sowohl unter aktuellen als auch unter sehr alten Linux-Versionen lauffähig ist. XAMPP ist abwärtskompatibel zu Distributionen ab Debian 2.2 (August 2000), SuSE 7.0 (Oktober 2000) und RedHat 7 (September 2000). D. h. auch wenn der Support für eine SuSE-Version eingestellt wurde, muss nicht zwangsläufig auf die neuste SuSE-Version umgestellt werden. Oder wenn eine neue MySQL-Version benötigt wird, muss nicht gleich die gesamte System-Distribution aktualisiert werden.

Schwerpunkte des Vortrags sind:

  • Was ist eigentlich XAMPP?
  • Installation und Konfiguration
  • Erste Schritte mit XAMPP
  • XAMPP im Alltag
  • XAMPP in der Produktion
  • Weiterentwicklung und Erweiterung von XAMPP
  • Ausblick in die Zukunft: XAMPP 2.0

Das voraussichtlich im Herbst 2007 erscheinende XAMPP 2.0 bietet zusätzlich automatisierte Funktionen um Entwicklern und Administratoren bei der Migration einer Webanwendung (zum Beispiel von einem Entwicklungs-System zum Produktionssystem) zu unterstützen.

In diesem Vortrag wird vorgestellt, wie XAMPP in Entwicklungs-Prozessen eingesetzt werden kann und wie diese durch die neue Migrations-Unterstütung vereinfacht und automatisiert werden können.

Über den Referenten:

Kai Seidler, geboren 1970 in Hamburg, hat 1989 bis 1999 Informatik an der Technischen Universität Berlin studiert. Seine Diplomarbeit beschäftigte sich mit der Verwendung von Software-Agenten im Rahmen von Verkehrstelematikdiensten.

Neben seinem Studium arbeite er als freier Trainer und Dozent unter anderem an der Freien Universität Berlin (ZEDAT), der Verwaltungsakademie Berlin (VAk), Schule für Rundfunktechnik (srt) und für die SuSE Solutions AG. Von 1993 bis 1998 arbeite er in der Projektgruppe "Kulturraum Internet" am Wissenschaftszentrum Berlin für Sozialforschung und betreute dort den auf Linux basierenden Webserver der Projektgruppe.

Nach seinem Studium arbeite er zunächst an der Technischen Universität Berlin als Systemadministrator für Solaris-Systeme. Seit 2001 arbeitet er als Systemadministrator der outermedia GmbH.

Ehrenamtlich engagierte Kai Seidler sich als FTP-Administrator von ftp.cs.tu-berlin.de und als IRC-Administrator von irc.fu-berlin.de. Im Jahr 2002 gründete er mit Kay Vogelgesang das "Apache Friends"-Projekt zur Förderung von webbasierten Technologien.

Kai ist Co-Autor der Bücher "Apache für Dummies" und "LAMP für Dummies". 2006 erschien sein Buch "Das XAMPP-Handbuch" bei Addison-Wesley Deutschland.

RFID -- Richtig Fiese Incidents und Desaster?
von Thomas Maus
Donnerstag, 01.03.2007 11:30-12:15

RFID ist angesagt. RFID macht die Welt besser. RFID löst eigentlich fast alle Probleme. Kurz: RFID ist Hype-Tech.

Da bei Hype-Tech, erfahrungsgemäß, im Rausch der Visionen leicht der Blick für die Risiken und Nebenwirkungen einer Technologie verloren geht, sollen diese in diesem Vortrag etwas beleuchtet werden.

Das "Internet der Dinge", wie RFID auch genannt wird -- diese Analogie könnte weit zutreffender sein, als uns das lieb sein dürfte, denn die allermeisten Angriffstrategien auf den Schichten 1 bis 8 lassen sich auf RFID-Lösungen übertragen.

Neben einer eventuellen Verbesserung logistischer Prozesse (da holt die Realität die Technologie aber auch schon ein ...), werden diese auch in überraschender Weise angreifbar. Manche moderne Plage, seien es die Industriespione oder Terr^H^H^Houristen dürften ihre helle Freude an dieser Technologie entdecken.

Über den Referenten:

Thomas Maus - Diplom-Informatiker (Uni), 25 Jahre IT- und IT-Security-Erfahrung. Mit 16 gewann er in einem kleinen Team in einem landesweiten Wettbewerb Computer für die Schule, an der in einem Informatik-Schulversuch dann die Schulverwaltungs-SW für Rheinland-Pfalz entwickelt wurde -- womit ein anhaltendes Interesse für Fragen der Systemsicherheit, -performance und -architektur geweckt wurde. 1984 begeisterte er sich für UNIX-Systeme und IP-Stacks, sowie die Idee der Freien Software.

Seit 1993 berät er in den Bereichen IT-Sicherheit, System-Performance und dem Management großer, heterogener, unternehmenskritischer Installationen.

Seine Tätigkeiten spannen einen weiten Bogen von der Planung, Inbetriebnahme und Betriebsführung großer Anwendungskomplexe, technischer Projektleitung, organisatorischem und technischem Trouble-Shooting über Sicherheitskonzepte und -analysen etwa für Handelsräume bis hin zum Training internationaler Polizeikräfte zur Cyber-Crime-Bekämpfung.

Sicherheitsrisiko Web-2.0-Anwendung
von Carola Kummert
Donnerstag, 01.03.2007 12:15-13:00

Das sogenannte Web 2.0 ist in aller Munde, man könnte den Begriff inzwischen durchaus sogar als Hype bezeichnen. Damit ist fast alles, was im Web keine AJAX-basierten Features aufweisen kann, vollkommen outdated und geht keinesfalls mehr mit der Zeit - zumindest, wenn man den vollmundigen Ansagen des Marketings verschiedenster Firmen trauen darf.

Dass sich hinter den neuartigen Applikationen allerdings auch neue Sicherheitsrisiken verbergen, ist nur den Wenigsten bewusst. Noch weniger Menschen wissen zudem, dass sich diverse AJAX-Anwendungen dazu missbrauchen lassen, den Browser des Surfers zu übernehmen und zum eigenen Nutzen fernzusteuern. Dabei reicht das Spektrum vom Ausspähen von persönlichen Daten bis zur Installation von Schadsoftware. Behält man dazu im Hinterkopf, dass sich via Browser fast plattformunabhängig Manipulationen durchführen lassen, kann man nicht nur vom Web 2.0 sondern auch von einer Angriffswelle der nächsten Generation sprechen.

Der Vortrag stellt daher verschiedene Angriffsvektoren, gegen die es sich zu schützen gilt, sowie erfolgreiche Möglichkeiten, diesen Schutz zu realisieren, vor.

Über den Referenten:

Carola 'Sammy' Kummert lebt und arbeitet seit kurzem in Hamburg

Sesam schließe dich
von Oliver Tennert
Donnerstag, 01.03.2007 12:15-13:00

In der heutigen Zeit muss man nicht viele Worte verlieren, um die Verschlüsselung von Daten und Dateien zu motivieren. Nahezu jede Linux-Distribution bringt die eine oder andere auf Standardmechanismen beruhende Lösung zur Datei- und Partitionsverschlüsselung mit.

Dabei ist in der jüngsten Vergangenheit ein eindeutiger Trend zu verzeichnen, der weg führt von der expliziten (gnupg, mcrypt) oder auch der transparenten Verschlüsselung einzelner Dateien (CFS) hin zur Verschlüsselung kompletter Blockgeräte, sprich Partitionen oder Logical Volumes. Die dm-crypt-Implementierung, die mit LUKS in den zukünftigen Linux-Distributionen wohl verstärkte Anwendung finden dürfte, ist hierfür ebenso ein Beispiel wie das aus dem Projekt E4M ("encryption for the masses") hervorgegangene TrueCrypt, welches sogar Interoperabilität mit der Windows-Welt herstellt.

Diesem Trend stellt sich nun eCryptfs entgegen, indem es eine Lösung im aktuellen Linux-Kernel darstellt, die voll auf transparente Verschlüsselung einzelner Dateien setzt, mit all den bekannten Nachteilen, aber auch den Vorteilen.

In diesem Vortrag werden dm-crypt/LUKS, TrueCrypt und eCryptfs vorgestellt und ihre Gemeinsamkeiten und Unterschiede aufgezeigt, wobei auch auf kryptographische Details eingegangen wird.

Über den Referenten:

Dr. Oliver Tennert ist eigentlich Theoretischer Physiker, hat aber vor geraumer Zeit Beruf und Hobby getauscht und ist seit 1999 bei dem Tübinger IT-Dienstleister science + computing ag als Senior Solution Engineer tätig.

Seine Interessensschwerpunkte umfassen neben Sicherheitslösungen und Konzepten und Funktionsweise sogenannter sicherer Betriebssysteme vor allem Cluster- und Storage-Konzepte, Design und Implementierungen moderner Dateisysteme sowie Methoden der modernen Computerforensik -- Themen, zu denen er zahlreiche Artikel in mehreren Zeitschriften veröffentlicht hat.

Jabber: Mehr als Instant Messaging
von Jochen Topf
Donnerstag, 01.03.2007 14:30-15:15

Jabber ist ein auf offenen Standards basierendes Instant-Messaging und Chat-System. Jeder kann einen eigenen Server aufsetzen und damit am weltweiten Jabber-System teilnehmen, so ähnlich wie man es auch von der E-Mail kennt. Durch das erweiterbare XML-basierte Protokoll bietet Jabber eine Flexibilität, die die proprietären Alternativen von AOL's AIM über ICQ bis MSN nicht kennen.

Der Vortrag gibt einen Überblick über die Welt von Jabber und das Extensible Messaging and Presence Protocol (XMPP) und seine Erweiterungen. Er zeigt, warum Jabber nicht nur eine gute Wahl für ein Chat-System ist, sondern auch, wie es für den Austausch von strukturierten Daten eingesetzt werden kann.

Über den Referenten:

Jochen Topf (Jahrgang 1970) arbeitet seit 1995 als selbständiger Berater, und Entwickler in der Internetwirtschaft.

Innovationen in Solaris - heute und morgen
von Franz Haberhauer
Donnerstag, 01.03.2007 14:30-15:15

Die Solaris Entwicklung erfolgt als Open Source Projekt und damit quasi im Goldfischglas. Für einen produktiven Einsatz kommen neue Funktionalitäten aber meist erst in Betracht nachdem sie in einen Solaris 10 Update integriert wurden. Für jemanden, der sich nicht intensiv mit der Solaris-Entwicklung auseinander setzt, ist es schwierig hier den Überblick zu behalten. Dieser Vortrag stellt einige der wesentlichen neuen Funktionalitäten im aktuellen Solaris 10 Update und Solaris Express vor - insbesondere solche, die für Administratoren relevant sind. Unter anderem werden die neuen Möglichkeiten der Netzwerklink-Administration mit dladm - von der WiFi-Konfiguration bis hin zur Linkaggregation vorgestellt - dazu auch einige Neuerungen, die nicht zuletzt für Solaris auf Laptops relevant sind wie das neue Management von Removable Media Management. Dazu gibt der Vortrag einen Ausblick auf weitere Projekte, die Administratoren für ihre Planungen kennen sollten.

Über den Referenten:

Franz Haberhauer fungiert bei Sun in Deutschland seit 1994 als Operating Systems Ambassador - einer Evangelisten- und Mittlerrolle zwischen Suns Feldorganisation und den Engineering- , Produktmanagement und -marketingbereichen mit einen besonderen Fokus auf das Thema Betriebssysteme. Mit zu seinem Plattform Technologie Team gehören auch die beiden anderen deutschen OS-Ambassadore Uli Gräf und Detlef Drewanz.

Franz Haberhauer begann seine Laufbahn bei Sun 1993 in der Technischen Vertriebsunterstützung in der Geschäftsstelle Stuttgart. 1998 bis 2001 vertrat er im Technology and Architecture Office deutschlandweit Suns Technologieportfolio und wurde 2002 Technischen Direktor ernannt, einer fachlichen Führungsposition.

Franz Haberhauer schloss 1986 sein Studium an der Universität Stuttgart als Diplom-Informatiker ab. Bereits während des Studiums sammelte er als freier Mitarbeiter in erste Erfahrungen in der industriellen Software-Entwicklung. Danach war er zunächst als wissenschaftlicher Mitarbeiter an der Universität in der Datenbankforschung tätig. 1989 übernahm er dort die Leitung des Rechnerlabors des Instituts für Parallele und Verteilte Höchstleistungsrechner.

Erfolgreich bewerben und arbeiten in der IT-Branche und im Projektgeschäft
von Martina Diel
Donnerstag, 01.03.2007 15:15-16:00

Ziel des Vortrages ist es, Menschen, die in der IT-Branche arbeiten oder arbeiten wollen, einige Tipps und Handwerkszeug für Spaß und Erfolg im Job mitzugeben.

Schwerpunkte des Vortrages sind:

Techie oder Manager, Spezialist oder Generalist, Organisator oder Macher: was bin ich und was ist der richtige Job für mich? Und wenn ich es weiß: wie finde ich Firmen, die für mich geeignet sind?

Soll ich als Angestellter oder freiberuflich arbeiten - was sind Vor- und Nachteile?

Als Freelancer: Wie finde ich meine Projekte? Was sind Bodyleasing-Firmen und wie arbeiten sie? Wie kann ich mein Honorar kalkulieren?

Als Angestellter: Wie sollte ich mich bewerben? Wie muss ein Anschreiben aussehen, was gehört in den Lebenslauf? Ich zeige Positiv- und Negativbeispiele und erkläre, was Personaler und „Schlipse“ lesen wollen und was sie zum Gähnen oder gar zum Aussortieren der Unterlagen bringt. Außerdem zeige ich, wie man auch einem IT-fremden Leser nahebringt, wo die eigenen Stärken liegen.

Wichtiger noch als Lebenslauf und Anschreiben ist das IT-Profil: Wie erstelle ich ein aussagekräftiges IT-(Projekt)profil? Wie unterscheidet sich ein Profil von einem Lebenslauf?

Was gibt es sonst noch zu beachten, z.B. bei einer Mailbewerbung?

Wenn der erste Schritt geschafft ist, wird es ernst: wie verhalte ich mich richtig im Vorstellungsgespräch? Was sind absolute No-Nos?

Ein Thema, das in aller Munde ist: Was genau ist eigentlich Networking? Welche Netzwerke empfehlen sich und wie nutze ich sie? Was geht gar nicht?

(Almost) last but not least: Wie überlebe in einer nicht techie-freundlichen Umgebung und bleibe bei Verstand? Projektmanager und BWLer verstehen leichtgemacht. :-)

Schließlich: Nützliche Links und Literatur

Über den Referenten:

Martina Diel, Jahrgang 1966, ist nach einem Studium der Fremdsprachen und der Agrarökonomie seit 1994 in der IT-Beratung tätig, zunächst als Beraterin in Bank-IT-Projekten, später als Projektleiterin, Projektmanager und Key Account Manager mit Verantwortung für das Recruiting zahlreicher freiberuflicher und festangestellter Mitarbeiter. Der Schwerpunkt ihrer Projektarbeit liegt im Bereich Anwendungsentwicklung in Grossrechnerumgebungen (MVS-Mainframes), dem Reporting und Controlling für Großprojekte, der Vereinbarung von SLAs und der technisch-organisatorischen Umsetzung von Gesetzesänderungen. Im Jahr 2006 gründete Martina Diel Ziele - Wege - Perspektiven, ein Unternehmen, das sich mit Beratung und Coaching von Einzelpersonen rund um Bewerbung und Beruf befasst – der Schwerpunkt liegt dabei auf Kunden aus der IT-Branche. Seit einigen Jahren ist sie mit unixoiden Betriebssystemen als Anwenderin vertraut und arbeitet privat sehr zufrieden mit debian.

Solaris Container Best Practices
von Detlef Drewanz
Donnerstag, 01.03.2007 15:15-16:00

Virtualisierung ist heute eines der zentralen Themen im Rechenzentrum. Solaris Container sind eine Technologie in Solaris mit der sich Sun vom Wettbewerb differenzieren. Mittlerweile sind in verschiedenen Projekten Erfahrungen im Einsatz von Containern gesammelt worden, konkrete Erfahrungen, wo die Container-Technologie besonders vorteilhaft ist und auch worauf beim Einsatz zu achten ist.

Dieser Vortrag geht auf konkrete Einsatzgebiete und Erfahrungen aus verschiedenen Projekten mit Solaris Containern ein. Weiterhin werden an Beispielen unterschiedliche Konfigurationsmöglichkeiten von Containern diskutiert und bewertet.

Über den Referenten:

Detlef Drewanz ist seit 1998 bei Sun Microsystems in Berlin im Bereich PreSales tätig. Seit 4 Jahren ist er als OS Ambassador deutschlandweit für Solaris 10 Themen zuständig. Davor war er Mitarbeiter an der Uni Rostock, FB Informatik und bei Hitachi internetworking.

Systeme mit Systrace härten
von Stefan Schumacher
Donnerstag, 01.03.2007 16:30-17:15

Systrace von Niels Provos ist ein System, das Zugriffsrechte unter Unix auf einzelne System-Calls herunterbricht. Somit ist es möglich Programme, die bisher SUID/SGID liefen als unpriviliegierter Benutzer auszuführen und lediglich Zugriff auf die benötigten privilegierten Syscalls zu gewähren. Dies erhöht die Sicherheit eines Systems enorm. Systrace läuft u.a. unter NetBSD, OpenBSD und Linux.

Der Vortrag zeigt Einrichtung und Benutzung von Systrace unter NetBSD.

Über den Referenten:

Stefan Schumacher ist Student und nebenbei Systemadministrator und Datenbankentwickler/-administrator (PostgreSQL), arbeitet im NetBSD-Projekt mit und interessiert sich insbesondere für Computersicherheit (Kryptographie, IDS, Honeypots) und Datenbanken.

Dtrace in der Administration
von Ulrich Gräf
Donnerstag, 01.03.2007 16:30-17:15

Dtrace oder Dynamic Tracing ist eine neue Möglichkeit die Aufrufe im Kernel vom Solaris/OpenSolaris zu untersuchen. Das heißt aber auch, dass die Systemcalls der Applikationen untersucht werden können.

Dtrace hat daher einen vollständig anderen Ansatz als truss (Linux: strace). Mit truss muß die zu untersuchende Applikation schon bekannt sein, weil man nur von der Applikation aus tracen kann. Das ist schwierig wenn viele Applikationen auf einem Rechner konsolidiert sind. Mit Dtrace ist man in der Lage vom Kernel aus die Systemcalls den verschiedenen Applikationen zuzuordnen und ggf. Statistiken zu erstellen.

Das klingt erstmal nach viel Overhead ist aber elegant mittels asynchronem Schreiben in shared Memory so implementiert, daß normale Messungen mit Dtrace keine messbare (<0.1%) Verlangsamung der Applikation bewirken. Daher ist trace auch problemlos im Produktions-Environment nutzbar (anders als truss/strace).

Dtrace kann auch Programme untersuchen, die mit dtrace Probes instrumentiert sind (z.B. Java 5 und Java 6).

Nach einer kurzen Einführung über Dtrace werden Beispiele für den Einsatz in Adminstration vorgestellt, unter anderem zum Lösen von Performance-Problemen.

Über den Referenten:

Ulrich Gräf ist seit 14 Jahren bei Sun tätig; davon 4 Jahre im deutschen Benchmark-Zentrum von Sun und die vergangenen 5 Jahre als OS Ambassador deutschlandweit für Betriebssysteme und Performance. Davor war er Mitarbeiter der TH Darmstadt, Institut für Theoretische Informatik, FG Systemprogrammierung.

bcfg2 - Konfigurationsmanagement für heterogene Umgebungen
von Marko Jung und Robert Gogolok
Donnerstag, 01.03.2007 17:15-18:00

Bcfg2 hilft Systemadministratoren eine konsistente, reproduzierbare und verifizierbare Spezifikation ihrer Systemumgebung zu erstellen und bietet mit Visualisierungs- und Reporting-Tools notwendige Werkzeuge für alltägliche administrative Aufgaben.

Das distributions- und plattformübergreifende Tool basiert auf einem Modell, in welchem die Systembeschreibung verwendet werden kann, um den Status von Systemen zu validieren und (optional) anzupassen. Als Alleinstellungsmerkmal bietet bcfg2 die Möglichkeit, die Vollständigkeit der Spezifikation aufgrund der Rückmeldungen der Konfigurationsclients zu überprüfen. Dieses Feature ermöglicht es eine akkurate, allumfassende Konfiguration zu definieren.

Als fünftes selbst entwickeltes Konfigurationstool der Argonne National Laboratory wurde bcfg2 so entworfen, dass der Angleich zwischen der Spezifikation und dem Status des Systems sehr sanft geschehen kann und manuelle Konfigurationsänderungen besonders behutsam behandelt werden können. Mit bcfg2 erhält man das richtige Tool um komplexe Migrationen oder Deployments durchzuführen, wodurch man dem rasanten Entwicklungstempo moderner Netzwerke mit wechselnden Clients und Betriebssystemen Schritt halten kann.

Über die Referenten:

Marko Jung beschäftigt sich bereits seit mehr als 10 Jahren mit Freier Software. Als freiberuflicher IT-Berater unterstützt er kleine und mittelständige Unternehmen bei Migrationen und dem Einsatz von freier Software.

Robert Gogolok studiert Informatik an der Universität des Saarlandes.

Beide beteiligen sich aktiv an der Entwicklung von bcfg2.

Was sind Roles, Authorizations und Privileges genau?
von Wolfgang Ley
Donnerstag, 01.03.2007 17:15-18:00

Solaris bietet seit Solaris 8 Role-Based Access Control (RBAC) als festen Bestandteil des Betriebssystems mit an. Die damit verbundenen Bestandteile wie Authorizations, Roles oder Profiles sind aber wenig bekannt. Dis konstante Erweiterungen dieses Frameworks (z.B. durch Ressource-Controls ab Solaris 9 oder Privileges in Solaris 10) haben hieraus ein ueberaus maechtiges Werkzeug gemacht, dass weit ueber die Faehigkeiten von "sudo" hinausgeht.

Im Rahmen des Vortrages werden die einzelnen Komponenten mit Ihren Aufgaben vorgestellt und schließlich gezeigt wie diese in ein Gesamtkonzept aufgehen.

Teilnehmer erhalten einen Einblick in die Features und sind danach in der Lage zu erkennen wann und welche der Konzepte im Einzelfall sinnvoll angewendet werden koennen und wie diese tatsaechlich genutzt werden koennen.

Über den Referenten:

Wolfgang Ley (39) hat nach seinem Studion an der TU Clausthal in der Zeit von 1994-1998 als Diplom-Informatiker maßgeblich an dem Aufbau des DFN-CERTs (Computer Emergency Response Teams) mitgewirkt. Seit seinem Wechsel 1999 zu Sun in das Mission Critical Solution Center beschäftigt er sich neben Sicherheit hauptsächlich mit den Kernel- und Netzwerkkomponenten von Solaris. Bereichsübergreifend fungiert er dabei als Solaris Experte.

Anatomie einer Debian-Package
von Marc Haber
Freitag, 02.03.2007 10:15-11:00

Debian und von Debian abgeleitete Distributionen benutzen anders als viele andere Distributionen ein "eigenes" Packageformat. Auch bei diesem wird in einem automatisierbaren Prozess aus einer Source-Package eine Binary-Package erstellt, die - mit umfangreichen Metadaten versehen - schließlich auf dem Zielsystem die saubere Installation der Software und aller benutzten Libraries, Helfer etc. sicherstellt.

Im gegebenen Zeitrahmen kann natürlich nur eine Kurzeinführung gegeben werden.

Zu den angesprochenen Themen zählen:

  • Kurzeinführung in Debian
    • Was ist Debian
    • Geschichte
    • Debian Free Software Guidelines
    • Debian-Policy
    • Der Debian Release-Prozess: unstable, testing, stable und Feinheiten
  • Format einer Source-Package
    • Pristine Sources: Soweit möglich, ist der vom Programmautor freigegebene Original-Tarball in unveränderter Version die Grundlage der Debian-Source-Package.
    • Debian-diff: Ein Satz von Patches, die nach dem Auspacken auf den Original-Tarball angewendet werden, um die baubare Debian-Package zu erhalten.
  • Kontrolldateien
    • debian/rules: Die zentrale Datei, die den Bau einer Debian-Package steuert und die alle Regeln und Sonderregeln enthält.
    • debian/control: Enthält Beschreibung von Source- und Binary-Package und deklariert die Abhängigkeiten der vorliegenden Package zu anderen Packages im System. Dabei können Abhängigkeiten sowohl zur Bau- als auch zur Installationszeit sichergestellt werden.
    • debian/changelog: Enthält neben des Changelogs noch weitere Informationen über die aktuelle Version der Package.
    • Maintainer-Scripts
    • Dokumentation
  • Helfer
    • debhelper
  • Format einer Binärpackage

Zielgruppe des Vortrags sind Administratoren von Debian-Systemen, die mehr Werkzeug haben wollen, um im Störungsfall das System wieder zu reparieren, und Entwickler, die einen Überblick über die Bestandteile einer Debian-Package und deren Interaktion erhalten wollen.

Über den Referenten:

Marc Haber, Jahrgang 1969, hat ein Informatik-Diplom der Universität Karlsruhe (TH). Der Schwerpunkt seiner Tätigkeit liegt seit 1998 bei IT-Sicherheit, Netzen und Internet-Diensten unter unixoiden Betriebssystemen.

Nach beratender Tätigkeit für Rechtsanwälte und Steuerberater in den 1990er-Jahren arbeitete er einige Jahre für verschiedene kleine Internetprovider und konnte sich dort breites und vielseitiges Wissen aneignen. Seit 2004 ist er Geschäftsführer der syscovery network services GmbH mit Sitz in Mannheim. Seit 2001 arbeitet Marc Haber als Developer im Debian-Projekt mit und zeichnet dort unter anderem verantwortlich für das Packaging des Default-MTA exim.

Zu seinen Publikationen zählen unter anderem das Buch "Sicher ins Netz mit Freier Software", erschienen im Jahr 2000. Er ist Co-Autor des Heidelberger Mustervertrags "Internet-Dienste-Vertrag".

Routing im Internet - Eine Einführung in BGP
von Thorsten Dahm
Freitag, 02.03.2007 10:15-11:00

In diesem Vortag geht es ganz grob darum das "Mysterium" BGP ein wenig näher zu beleuchten. Es werden Begriffe wie Autonomes System, BGP Attribute u. ä. erläutert. Der Vortag soll dazu dienen Leuten, die nicht täglich ihr Geld mit Internet-Routing verdienen, einen kleinen Einblick in diese Welt zu geben.

Über den Referenten:

Thorsten Dahm arbeitet seit 1997 in der IT-Branche, seit 2000 als Network Engineer. Zur Zeit ist er für AOL Deutschland in Hamburg tätig. Seine Aufgabengebiete erstecken sich vom Design über Implementation und Betrieb bis hin zum Troubleshooting komplexer Netze mit den Komponenten Routing, Switching, Firewalling/Security und Loadbalancing.

ErlGrey - Replizierte Mailfilterung
von Ignatios Souvatzis
Freitag, 02.03.2007 11:30-12:15

Filterung im weitesten Sinne ist in den letzten Jahren die Norm beim E-mail-Empfang gewesen. Leider hat jede Strategie nur eine begrenzte Lebensdauer; schließlich ist Werbemüll technisch nicht wirklich von Nutznachrichten zu unterscheiden, und die Unterscheidung ist einerseits von den persönlichen Bedürfnissen der Empfänger abhängig, andererseits denken sich Spamversender regelmäßig neue Tarnstrategien aus. Deswegen müssen regelmäßig neue Regeln oder gar neue Strategien zum Einsatz gebracht werden.

Herkömmliche Lösungen kranken daran, dass ein Austausch von Regeln nur in engen Grenzen möglich ist; der Austausch einer kompletten Filterstrategie ist in der Regel entweder mit einer kurzen Betriebsunterbrechung oder gar mit dem Ausfall der Filterung - also kurzzeitiger ungefilterter Zustellung der Post - verbunden.

Darüber hinaus bauen dynamische Regelwerke - beispielsweise Greylisting - Datenbanken auf, die zwar theoretisch nicht unbedingt sicherungswürdig sind, nach dem Verlust etwa der Spoolplatte aber nicht a priori in einem konsistenten Zustand wieder herzustellen sind. Auch sollten Mailfilterungssysteme auf Hauptserver und Backup MX grundsätzlich parallel gefahren werden, da sonst der Müll zur Hintertür hereinkommt und - etwa bei gefälschten Absendern - gegebenenfalls Bouncemails oder Fehlermeldungen zum Postmaster des Backup MX erzeugt, statt auf der SMTP- Ebene abgewiesen zu werden.

Mit Erlang stehen eine funktionale Sprache und Laufzeitsystem zur Verfügung, die es erlaubt, den Code langlaufender Server unterbrechungsfrei auf der Funktionsebene auszutauschen. Daneben enthält Erlang Kommunikationskonstrukte, die es erlauben, Datenstrukturen der Programme auszutauschen.

Der Autor hat den Versuch gestartet, Blacklisting, Greylisting, und Ausnahmeregelungen in einem Erlang- Modul zu realisieren und in sein Mailsystem zu integrieren. Das Datenbanksystem wird von Erlang in Echtzeit synchron gehalten, so dass mehrere Inkarnationen als "hot spare" bei Ausfall des Hauptsystems oder als parallel laufende sekundäre Mail Exchanger dienen können.

Erste Erfahrungen werden vorgestellt.

Über den Referenten:

Ignatios Souvatzis ist "Systemprogrammierer" (in Wirklichkeit eine Kombination eines Systemadministrators, eines Bandoperators, eines Kernelhackers und eines Benutzerberaters) in der Abteilung V des Instituts für Informatik der Universität Bonn. Er glaubt, den ersten WWW- Server an seiner Universität - jedenfalls aber in der Informatik - eingerichtet zu haben und weiß rückblickend nicht, ob er es nicht bedauern sollte.

Er ist außerdem ein NetBSD- Entwickler und war dort hauptsächlich für einige Gerätetreiber, das neue ARP-Subsystem und den Amiga-Port verantwortlich.

Er schrieb Beiträge über Unix-Anwendungen und -Administration für verschiedene Zeitschriften und ist Co-Autor je eines Buches über FreeBSD- und NetBSD- Systemadministration.

Unix lernte er in seinem zweiten Studienjahr in einer kleinen Softwarefirma auf einem Z8000- System kennen. Später kamen - neben diversen Nicht-Unizes - Ultrix auf DECstation 2100 bis 5000/260, ConvexOS auf Convex C1, AIX 2.2.1 (IBM RT), SunOS 4 und SunOS 5.x (Sparc) dazu.

MPLS - Multiprotocol Label Switching
von Jens Link
Freitag, 02.03.2007 11:30-12:15

Wenn es um die Vernetzung von Unternehmensstandorten geht kommt häufig die Sprache auf MPLS. Der Vortrag erklärt wie MPLS funktioniert und welche Vorteile und Nachteile MPLS basierende VPNs bieten.

Darüber hinaus wird auf die Implementierung von MPLS basierenden VPNs eingegangen und gezeigt, wie Trafficengeniering mit MPLS funktioniert.

Über den Referenten:

Jens Link ist Netzwerk- und Security-Consultant und seit 10 Jahren im IT Bereich tätig.. Seitdem muss er sich immer wieder mit den verschiedensten Netzwerkproblemen (auf allen zehn Ebenen des OSI-Modells) auseinandersetzen.

Blacklistings gegen Spam: Fluch oder Segen?
von Bert Ungerer
Freitag, 02.03.2007 12:15-13:00

Aus derzeit etwa 40.000 Müll-Mails täglich generiert der Spam-Filter der iX-Redaktion "NiX Spam" eine laufend aktualisierte Blacklist von IP-Adressen, die in jüngster Zeit als Spam-Quellen in Erscheinung getreten sind. Sie steht in Textform zum Download zur Verfügung, aber auch als DNSBL (DNS-basierte Blacklist/Blocking List). Auch wenn derartige Blacklists immer wieder reichlich Kritik ernten, scheint es einen großen Bedarf daran zu geben: Die DNSBL von NiX Spam wird mehrere 1000 Mal pro Sekunde von Mailservern in aller Welt abgefragt. Das geschieht nicht selten zu dem Zweck, E-Mails von gelisteten Adressen noch während des SMTP-Dialogs abzulehnen, obwohl ein einzelnes Filterkriterium eigentlich generell nicht als ausreichend anzusehen ist.

Der Vortrag gibt einen Überblick über die Funktionsweise der weitgehend automatisiert arbeitenden Blacklist sowie unabdingbare Vorsichtsmaßnahmen wie eine parallel zu führende Whitelist und das Ermöglichen einer vorzeitigen, zumindest vorübergehenden Austragung durch die Blacklist-Opfer selbst. Häufig handelt es sich dabei um Endanwender, die schlecht gepflegte, von Spammern missbrauchte Mailserver verwenden, ohne etwas von der Funktionsweise von E-Mail, geschweige denn von IP-Blacklists zu wissen.

Neben der Abwägung der Vor- und Nachteile von IP-Blacklists und einem Überblick über einige besonders beliebte finden sich Informationen über weniger schmerzhafte Alternativen, zum Beispiel Hash-Vergleiche zur Erkennung bekannter Spam-Mails, die der Mail-Filter der iX ebenso anbietet. Ferner soll die Möglichkeit einer allgemeineren Liste zur Diskussion gestellt werden, die IP-Adressen von SMTP-Clients eine Reputation zuordnet und ohne die grundsätzlich fehlerträchtige Filterung von E-Mails auskommt.

Über den Referenten:

Dipl.-Phys. Bert Ungerer ist seit 1989 Redakteur beim Heise-Verlag (zunächst bei c't, seit 1996 bei iX). E-Mail ist für ihn die erste und bis heute mit Abstand wichtigste Internet-Anwendung.

Unter anderem zur Verteidigung gegen unerwünschte E-Mails startete er 2002 die Entwicklung eines eigenen Filters. Das Procmail-Script bewahrt nicht nur diverse Verlagsmitarbeiter vor Spam, sondern analysiert auch E-Mails an zahlreiche Spamfallen.

Die letzte Verteidigungslinie
von Florian Brand
Freitag, 02.03.2007 12:15-13:00

Die Firewall ist offen. Der einzige Admin ist im Urlaub, und da meldet bugtrack einen Exploit genau für die verwendete Apache Version...

Dieser Talk beschäftigt sich mit einigen Technologien, die dann einspringen, wenn die normalen Mechanismen versagt haben.

Der Talk beginnt mit einem kurzen Überblick zu verschiedenen Angriffstechniken. Im Anschluss beleuchtet er Ansätze mit denen die Auswirkungen einer Sicherheitslücke minimiert werden können. Der Fokus liegt dabei auf Techniken, die ab Fedora Core 5, beziehungsweise Red Hat Enterprise Linux 5 standardmäßig verwendet werden: Execshield, SELinux und Compiler/GlibC Security Features.

Die einfache Anpassung von SELinux an eigene Bedürfnisse bildet die zweite Hälfte des Vortrags. Es wird gezeigt, wie man -- ohne Modifikation der komplexen Policy -- SELinux für den täglichen Servereinsatz anpassen kann. Dies geschieht mittels sogenannten Booleans und Security Contexts. Als Beispiel dient hier der Klassiker: Linux im Webserver-Betrieb.

Ein Ausblick auf die tiefergehenden Möglichkeiten von SELinux rundet den Vortrag ab.

Über den Referenten:

Florian Brand ist seit 1999 bei Red Hat in Stuttgart als Trainer angestellt. Er gib dort international Schulungen des Red Hat Certified Engineer(RHCE) und Red Hat Certified Architect (RHCA) Curriculums. Seine Themen-Schwerpunkte sind Red Hat Network, HA Clustering, Webserver und Security. Florian Brand ist ausserdem Kursautor und trat auch auf verschiedenen Konferenzen als Speaker in Erscheinung. Vor seiner Zeit bei Red Hat studierte er Physik an der Universität Würzburg und wurde dort mit dem "Unixvirus" infiziert.

SCdaemon - Ein neue Infrastruktur für Smartcards
von Werner Koch
Freitag, 02.03.2007 14:00-14:45

Smardcards unter Unix leiden seit Jahren unter uneinheitlichen und inkompatiblem Schnittstellen sowie fehlerhaften Treibern. Unterstützung für Anwendungen auf Smartcards sind noch seltener anzutreffen und in der Regel alles andere als fehlerfrei. Nachdem das GnuPG Projekt seit Jahren eine voll funktionsfähige Smartcard auf allen Plattformen unterstützt, ist es an der Zeit über die Infrastruktur neu nachzudenken.

Mit SCdaemon, einer Komponente von GnuPG 2.0, existiert nun eine einheitliche Schnittstelle zu Smartcards, die es ermöglich jede beliebige Smartcard Anwendung zu unterstüzten. Statt auf eine Low-level Schnittstelle, wie PC/SC aufzusetzen, implementiert SCdaemon ein High-Level API, welches wesentlich mehr Freiheiten gibt und besser verständlich ist. Die Abfrage von PINs und anderen Daten kann transparent durch GUI Popups erreicht werden.

Scdaemon setzt direkt auf dem modernen CCID Standard zum Ansprechen eines Chipkartenlesers auf; kann aber auch PC/SC hierzu benutzen. Der Hostanwendung hin stellt scdaemon sich als intelligentes Token mit eigener graphischer Schnittstelle dar. Dessen API ist Textbasiert und deswegen leicht zu protokollieren und debuggen. Intern verwendet SCdaemon eine einheitliches Schnittstelle zu Modulen, welche den Zugriff auf die jeweilige Smartcardanwendung abstrahieren. Diese Module ermöglichen es, Funktionalitäten - die technisch nicht auf der Smartcard implementiert werden müßen - auf die Hostanwendung auszulagern. So wird es ermöglicht, die wesentlich größeren Resourcen des Hosts sowie moderne Implementationstechniken zu verwenden. Zur Zeit sind Module zum Zugriff auf verschiedene PKCS#15 Anwendungen, DINSIG, OpenPGP und die Telesec Karte vorhanden.

Dargestellt wird die Entwicklunsgeschichte des SCdaemon, der generelle Aufbau von Modulen, das API und geplante Weiterentwicklungen. Desweiteren wird am Beispiel von Scute, einem PKCS#11 Konnektor, beschrieben, wie das High-Level API in der Praxis benutzt wird.

Über den Referenten:

Nach Schule, Zivildienst und einer Lehre als Elektriker, arbeitete er als Softwareenwickler bei der AFS Düsseldorf; nebenbei studierte er Informatik an der FH Dortmund. Er war danach einige Jahre der Chefentwickler der PC Softwarestruktur bei ABIT Software und arbeitete von 1991 bis 2001 als freiberuflicher Berater und Entwickler. 2001 gründete er die Firma g10 Code zur kommerziellen Weiterentwicklung der Freien Software GnuPG.

Seit den späten 70er Jahren ist Koch Funkamateur und an Softwareentwicklung interessiert. Über die Jahre arbeitete er sowohl mit kleinen CP/M Systemen als auch mit Mainframes, Sprachen von Assembler bis Smalltalk und Anwendung von Treibern bis zu Finanzierungssoftware. Er benutzt GNU/Linux als Entwicklungsplattform seit 1993, ist der Hauptautor des GNU Privacy Guards und Gründungsmitglied der FSF Europe.

Bacula
von Jens Kuehnel
Freitag, 02.03.2007 14:00-14:45

Bacula ist ein OpenSource Backupprogramm, das alle wichtigen Funktionen bietet die in einem Unternehmen benötigt werden.

Viele Administratoren von Unixrechner bauen ihr Backup mit Hilfe von Skripten, cpio und tar selbst oder benutzen Closed Source Programm wie arkeia, arkserv oder andere. Als einzige echte OpenSource Backup-Lösung wurde bis jetzt hauptsächlich amanda eingesetzt. Das Programm bacula ist zwar etwas neuer, aber jetzt auch für den Produktiveinsatz geeignet und hat einige sehr interessante Features.

bacula besteht aus mehreren Modulen die auf unterschiedlichen Rechner verteilt werden können. Der Director-Deamon ist das Herz des ganzen, er verwaltet und koordiniert das Backup/Restore. Der Storage-Server schreibt die Daten auf Tape oder Festplatte. Der Datenbank-Server enthält den Catalog indem alle gesicherten Dateien gespeichert sind. Die zu sichernden Daten von einem System zu saugen, ist Aufgabe des File-Servers. Dieser FileServer ist nicht nur für Unix, sondern auch für Windows (ohne die Hilfe von cygwin) verfügbar, damit müssen die zusichernden Daten nicht mehr per SMB vom System abgeholt werden.

Als Datenbank kann mysql, postgresql oder sqlite eingesetzt werden. Es werden selbstverständlich Multi-Volumebackups unterstützt, ebenso Backup auf CD/DVD oder Backup von nicht permanent vorhanden Rechnern, wie z.B. Laptops.

Dieser Vortrag soll aufzeigen welche Vorteile und Möglichkeiten sich mit bacula bieten. Vor allem den grundsätzliche Aufbau und einige Begriffe sind am Anfang des Vortrages wichtig, da ein Einstieg sonst schwierig werden kann. Danach soll gezeigt werden, wie man eine einfache Client-/Server-Backup Lösung mit bacula aufbauen kann. Abgerundet wird das ganze mit der Vorstellung eines komplexten Backup-Szenarios. Zum Abschluss darf natürlich ein Ausblick auf zukünftige Versionen nicht fehlen.

Über den Referenten:

Jens Kühnel ist freier Linux-Trainer, Consultant und Buchautor und hat erst kürzlich festgestellt, das seine Laptop-Festplatte seit über 2 Monaten nicht mehr gesichert wurde. Bei seiner Suche nach einer Backuplösung fand er bacula, dessen klarer Aufbau, Multiplatformfähigkeit und gute Dokumentation ihn sofort aufgefallen ist. Er sammelt Unix-Zertifikate wie die von LPI, Redhat und Novell und ist als Trainer für RedHat, SuSE(Novell) und Microsoft zertifiziert. Als Vortragender ist er auf verschiedenen Konferenzen (LinuxTag, Chemnitzer Linuxtage, Linuxdan Ljubljana Slovenien, ...) aufgetreten.

FreeWRT als Firmware für WLAN Router / VoIP mit Embedded Systemen
von Michael Schwab
Freitag, 02.03.2007 14:45-15:30

Auf vielen DSL/WLAN Routern, die man im Fachhandel kaufen kann (z.B. Linksys Router, Netgear WGT634U), läuft ein Linux. Leider liegt es nicht im Interesse der Hersteller dem Endkunden Zugriff auf das System zu geben, damit bleiben die vielfältigen Möglichkeiten die Linux bietet weitgehend ungenutzt. Das FreeWRT Projekt hat sich der Problematik angenommen und eine freie auf Linux basierende Firmware für verschiedene Router und embedded Plattformen entwickelt. Die FreeWRT-Firmware lässt sich sehr leicht installieren und gibt einem volle Kontrolle über das Gerät und die darin vorhandene Hardware wie z.B. der eingebauten WLAN Karte. Zugnag per SSH gehören genauso zum Distributionsumfang wie ein Paketemanagementsystem. Dem Benutzer stehen etwa 300 Pakete zur Auswahl wie z.B. Webserver, Proxyserver, VPN Clients und Server, Samba, Anbindung von USB Festplatten und VoIP. Als beispielhafte Anwendung für ein embedded System wird in diesem Vortrag eine Asterisk Telefonanlage vorgestellt die auf einem embedded System läuft und alle Funktionen mitbringt, die man sich von einer vollwertigen VoIP Telefonanlage wünscht.

Siehe auch: Linux klein und fein - Ein vollwertiges Linux für Embedded-Systeme in der Preisregion unter 100 Euro - UpTimes Februar 2006

Über den Referenten:

Der Autor, Michael Schwab ist mit seiner Firma de-SOLUTION selbständiger Unternehmer, er ist eines der Gründungsmitglieder des FreeWRT Projekts und beschäftigt sich schon länger mit VoIP und embedded Systemen.

Referenzen:

  • Artikel in der UpTimes Dezember 2005 - VoIP mit Asterisk
  • Artikel in der UpTimes Februar 2006 - Linux klein und fein - Ein vollwertiges Linux für Embedded-Systeme in der Preisregion unter 100 Euro
  • Vorträge auf dem FFG 2006 und LinuxTag 2006 zum Thema VoIP und Asterisk
Monitoring MySQL
von Kristian Köhntopp
Freitag, 02.03.2007 14:45-15:30

Jeder, der einen MySQL Server produktiv im Einsatz hat muß diesen Überwachen. Der Vortrag geht das Thema von Grund auf an:

  • Welche Informationen kann man wie aus einem MySQL-Server herausziehen?
  • Wie integriert man diese Informationen in eine bestehende Überwachungsinfrastruktur auf der Basis von SNMP, Nagios, Cacti?
  • Welche abgeleiteten Meßwerte sind als Kennzahlen interessant?
Über den Referenten:

Kristian Köhntopp ist derzeit als Senior Consultant für MySQL AB unterwegs. In anderen Leben war er Senior Security Engineer bei einem großen Webportal, Dozent für Security Management, Contributor für einige größere Open Source Projekte. Seine Blogs sind unter http://blog.koehntopp.de und http://mysqldump.azundris.com zu finden, der interssante Teil seiner Website hat die URL http://kris.koehntopp.de/artikel/.

libfind - Neue Paradigmen bei Entwurf und Implementierung von UNIX Programmen
von Jörg Schilling
Freitag, 02.03.2007 15:45-16:30

In den 1970er Jahren lief UNIX auf sehr kleinen Rechnern (PDP-7...PDP-11) mit maximal 128 kB RAM. Virtuelle Speicherverwaltung war unbekannt, und die einzige Möglichkeit mit den knappen Resourcen umzugehen war das Swappen (der komplette Austausch von Programmen im Speicher). Als um 1975 die "Pipes" erfunden wurden, glaubte man die universelle Lösung gefunden haben, um komplexe Funktionalität mit Hilfe von kleinen Programmen zu implementieren.

Obwohl die aus dieser Problemlage entstandenen Programmierregeln spätestens keinen Sinn mehr ergeben seit Rechner typischerweise mit mehr als 100 MB RAM ausgestattet wurden, hält sich bei UNIX-Entwicklern und -Administratoren hartnäckig das Gerücht, es wäre ein Fehler, die Regeln aus den 1970er Jahren durch neuere zu ersetzen.

Der Vortrag versucht, neue Methoden zu beschreiben, die mit Hilfe von Shared Libraries Code wiederverwendbar machen und dabei komplexere Funktionalität mit weniger Rechnerbelastung zu implementieren als dies mit den althergebrachten Methoden möglich wäre. Es wird auf David Korn und die neue ksh93 eingegangen, die versucht, aufwändige exec(2) Aufrufe durch Integration der typischen Programme aus /usr/bin zu vermeiden. Es wird auf libfind sowie star und mkisofs eingegangen und erklärt, wie man mit Hilfe der neuen libfind ungeahnte neue Möglichkeiten schaffen kann, die über die einfache Kombination der Kommandozeilenprogramme hinausgehen. Es wird erklärt, warum dies auch eine Möglichkeit ist zu vermeiden, dass Programme immer komplexere Kommandozeilenoptionen benötigen.

Über den Referenten:

Jörg Schilling arbeitet seit dem Frühjahr 1985 mit SunOS/Solaris und hat seit Mai 1986 eine "eigene Sun" zu Hause. Er ist der Autor der ältesten freien "tar" Implementierung "star" und ist als Autor von cdrtools/cdrecord bekannt.

Weitere Informationen unter:

Virtual Machine Based Rootkits - eine neue Bedrohung
von Wilhelm Dolle und Christoph Wegener
Freitag, 02.03.2007 15:45-16:30

Der Vortrag wird kurz in auf die Grundlagen und technischen Hintergründe von traditionellen Rootkits, der Virtualisierung und den Unterschieden zwischen Software-/und Hardware-Virtualisierung eingehen.

Rootkits, deren Hauptaugenmerk darauf liegt ihrem Anwender einen dauerhaften und unbemerkten Zugriff auf einem kompromittieren System zu geben, gewinnen durch die Benutzung von Virtualisierungstechniken nochmals deutlich an Gefahr. "SubVirt", "Bluepill" und "Vitriol" werden als Vertreter dieser VMBRs genannten Gattung genauer hinsichtlich der Möglichkeiten ihrer Erkennung und Entfernung besprochen. Ebenso werden Möglichkeiten aufgezeigt die verhindern, dass sich diese Art von Schädlingen erst auf einem System einnistet, beispielsweise Trusted Computing.

Über die Referenten:

Wilhelm Dolle ist Senior Security Consultant bei der HiSolutions AG, einem Beratungshaus für Information Security und Risk Consulting, in Berlin und seit vielen Jahren im IT-Sicherheitsumfeld tätig. Er ist CISA, CISSP sowie vom BSI lizensierter ISO 27001 / Grundschutzauditor und hat bereits in früheren Positionen als Abteilungsleiter und Mitglied der Geschäftsleitung eines mittelständischen Unternehmens Erfahrungen in den Bereichen IT-Sicherheitsmanagement, Risiko- und Sicherheitsanalysen sowie Incident Management sammeln können.

Christoph Wegener, promovierter Physiker, ist seit 1999 mit der wecon.it-consulting freiberuflich in den Themen IT-Sicherheit und Open Source / Linux aktiv; seit Anfang 2005 ist er zudem im europäischen Kompetenzzentrum für Sicherheit in der Informationstechnologie (eurobits) in Bochum tätig. Darüber hinaus ist er Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) e.V. und dort Vorsitzender des Verwaltungsrats.

Snoopy's Little Shop of Horrors
von Snoopy
Freitag, 02.03.2007 16:30-17:15

Snoopy erzählt Anekdoten aus seinem wild bewegten EDV-Leben: Legenden von wirklichen Desastern, Fehlplanungen und Menschen, die es gut meinten, aber dann doch versagten. Einige Desaster beleben den tristen Arbeitsalltag in der EDV-Welt, aber auch die reale Welt hat in dieser Beziehung einiges zu bieten. Wie bei Snoopy üblich wird der Vortrag nicht nur kabarettistisch unterhalten, sondern hoffentlich auch zum Nachdenken anregen.

Über den Referenten:

In grauer EDV-Vorzeit (UNIX Version 6) Studium am Queen Mary College, London. Im Herzen immer Sysadmin gewesen, aber ein paar Abstecher in die Niederungen der Hardware-Entwicklung, Tonstudiotechnik, Flugsimulator-Bau und gar Gastronomie gemacht. Seit ein paar Jahren hat ihn der Ruf der Selbstständigkeit erreicht und er tingelt als Berater, Seher, Alchemist, Hofnarr und Autor durch die Kunden-Netze.