Abstracts

Das Tutorium behandelt die Implementierung sicherer Dateidienste für Unix-, Linux- und Windows-Clients. Es wendet sich an Administratoren, die in ihren Umgebungen Dateidienste über CIFS oder NFS anbieten und nun die Sicherheit dieser Services erhöhen möchten. Dazu werden folgende Szenarien betrachtet:

1. Infrastruktur Active Directory: Dieses Szenario geht aus von einer bestehenden Infrastruktur basierend auf Active Directory, in der Dateidienste über CIFS und NFSv3 angeboten werden. Das Ziel ist die Migration auf NFSv4 mit GSS als Security Flavor. Die Teilnehmer lernen hier den Aufbau eines kerberisierten NFSv4-Dienstes mit Anbindung an das Active Directory.

2. Open-Source-Infrastruktur mit OpenLDAP und Samba: Die Ausgangslage in diesem Szenario ist eine reine Open-Source-Infrastruktur mit OpenLDAP und einer Samba-3-Domäne. Als Dateidienste existieren auch hier bereits CIFS und NFSv3. Das Ziel ist ebenfalls die Ablösung von NFSv3 durch sicheres NFSv4. Während das Active Directory aus Szenario-1 bereits eine vollständige Kerberos-Infrastruktur beinhaltet, soll diese hier mit möglichst geringem Aufwand erst noch aufgebaut werden. Dazu lernen die Teilnehmer, wie sich die Samba-3-Domäne mit Hilfe der Kerberos-Implementierung Heimdal ohne Migrationsaufwand zu einer Kerberos Realm erweitern lässt.

3. Neue Infrastruktur mit OpenAFS: Im dritten Szenario verzichten die Teilnehmer auf CIFS und NFS, um statt dessen eine alternative Lösung mit OpenAFS aufzubauen. Damit eröffnet sich die Möglichkeit eines einheitlichen Dateidienstes für Unix-, Linux- und Windows-Clients. Verglichen mit Szenario-1 und 2 entsteht hier ein höherer Migrationsaufwand. Die Kerberos-Infrastruktur aus Szenario-1 oder 2 lässt sich jedoch auch für OpenAFS verwenden. Die Sicherheit der einzelnen Varianten unterscheidet sich hinsichtlich der Kriterien Daten-Integrität, -Vertraulichkeit und Authentisierung. Zusammen mit den Teilnehmern werden die einzelnen Lösungen im Verlauf des Workshops darauf hin analysiert und bewertet.

Voraussetzungen: Grundlegendes Know-How in der Linux-Netzwerkadministration. Grundkenntnisse zu Kerberos, LDAP, Samba und NFS sind empfehlenswert.

Mitgebrachte Rechner sollten folgende Voraussetzungen erfüllen:

• frisch installiertes, nicht produktiv genutztes Linux einer aktuellen Distribution, das weitreichend umkonfiguriert werden kann.
• Debian 6 empfohlen, aktuelle Ubuntu, OpenSuSE und Fedora möglich
• abweichende Distributionen auf eigene Gefahr des Teilnehmers (gegebenenfalls Übersetzen fehlender Software nötig, z.B. Heimdal KDC unter Fedora – wir unterstützen dabei)
• Möglichkeit zum Nachinstallieren von Distributionssoftware (Installations-CDs oder Online-Repositories via Netzwerk)
• optional ein frisch installiertes, nicht produktiv genutztes Windows XP, Vista oder 7 (Professional/Ultimate, keine Home Edition)
• Je eines oder auch beide Systeme können virtualisiert laufen. Sie benötigen dann direkten Zugriff auf das Netzwerk (bridged mode).
• Auf Anfrage stellen wir virtuelle Maschinen mit Debian 6 und Windows 7 Ultimate zur Verfügung. Hierfür ist ein aktueller, installierter und funktionsfähiger VMware Player, Server oder Workstation mitzubringen und der Umgang damit zu beherrschen.

Daniel Kobras ist als Senior Systems Engineer bei der Tübinger science+computing ag beschäftigt. Dort arbeitet er unter anderem an skalierbaren Speicherlösungen für Kunden der Automobilindustrie.

Michael Weiser begleitet seit 2004 bei der science+computing ag Projekte und Workshops zu den Themen LDAP, Kerberos und AD-Integration sowie High-Performance-Computing.

OpenNMS (Open Network Management System) ist das älteste, freie, „große“ Netzwerkmanagement-System. OpenNMS überwacht Server, Router, Switche, Drucker, Getränkeautomaten, Wetterstationen. Die Erfassung von Daten kann über „klassische“ Protokolle (SNMP, JMX) und alternative Wege (http(s), JDBC, ..) erfolgen. Der Fantasie und Kreativität sind kaum Grenzen gesetzt ;)

Als Trap-Sink und Endpunkt für Syslog-Nachrichten kann OpenNMS die gesammelten und empfangenen Daten graphisch darstellen, analysieren und entscheiden, ob ein Zustand die Aufmerksamkeit eines Menschen verlangt oder nicht („Alarm!“). Alarme können von OpenNMS über die mitgelieferten Wege (XMPP, Mail, http) oder beliebige Erweiterungen (bash, perl, php, python..) an den Admin gebracht werden. Die Möglichkeit, Nodes in eine oder mehrere Kategorien einzuteilen und diese Kategorien in Filterregeln zu nutzen erlaubt es OpenNMS, diese Informationen sehr fein zu sortieren – damit hat die Überflutung der von Admins mit nicht mehr gelesenen Alarmen ein Ende.

Die Reporting-Funktionen erlauben dem System die Kunden-/Managementgerechte Aufbereitung der gemessenen Werte, Echtzeit-Informationen zeigt OpenNMS in Kartenform an.

Umsysteme (CMDBs) können OpenNMS mit Daten füttern oder (Ticketingsysteme) von OpenNMS gefüttert werden. Die wichtigsten Funktionen sind über eine REST-Schnittstelle verfügbar.

Die Entwicklung von OpenNMS treiben größtenteils Unternehmen voran, die es als Ersatz für die Big-Player im Netzwerk-Management einsetzen. Die von diesen Unternehmen durchgeführten Anpassungen fliessen vollständig in das Open-Source-Produkt ein – es gibt von OpenNMS keine “Enterprise”-Version.

In den letzten Jahren hat OpenNMS sich stark weiterentwickelt – die komplett in Java geschriebene Applikation ist auch ohne Java-Kenntnisse installier-, benutz- und erweiterbar. Der Ressourcenhunger der Anwendung ist gering, einige hundert Nodes können noch von einer virtuellen Maschine aus überwacht werden.

OpenNMS ist ein ausgereiftes, mächtiges und flexibles Werkzeug um sämtliche Dinge zu messen und managen, die über das Netz ausgelesen werden können.

Am Ende des Tutorials können die Teilnehmer OpenNMS installieren, Nodes hinzufügen und Notifications einrichten. Je nach Geschwindigkeit gehen wir weiter in die Konfiguration von SNMP oder Syslog-Notifications ein.

Alexander Finger hat OpenNMS bei einem europäischen Internet-Dienstleister eingeführt, um über 60.000 Geräte in ganz Europa zu überwachen. Im Rahmen dieses Projektes wurde die Zusammenarbeit mit OpenNMS so intensiv, dass er Mitglied des Projekt-Teams („Order of the green polo“) wurde. Gemeinsam mit Ronny Trommer und Klaus Thielking-Riechert hat er das Buch zum Einstieg in OpenNMS (Netzwerkmanagement mit OpenNMS) geschrieben. Heute unterstützt er das OpenNMS-Projekt mit Beratungsdienstleistungen und hilft, OpenNMS in Europa bekannter zu machen.

Er arbeitet für einen großen Schweizer IT-Dienstleister als Berater und führt freiberuflich Trainings zu OpenNMS und dem Request Tracker durch.

Wireshark ist ein mächtiges Werkzeug, um alle möglichen Kommunikationsprotokolle zu analysieren, vermutlich hat jeder FFG-Teilnehmer bereits damit gearbeitet.

Dieses Tutorium gibt einen Überblick über die Features und Konfigurationsmöglichkeiten von Wireshark und zeigt auch weniger offensichtliche Anwendungsmöglichkeiten auf. Außerdem werden die kürzlich hinzugegekommenen Funktionen vorgestellt und über die aktuelle Entwicklung berichtet. Es wird auch gezeigt, wie einfach man Unterstützung für ein neues Protokoll hinzufügen kann. Und nicht zuletzt ist ausreichend Zeit eingeplant für Fragen zu Wireshark und für Anregungen, was an Wireshark fehlt oder verbessert werden könnte.

Die Teilnehmer sollten einen Rechner mit der aktuellen Wireshark Version 1.8 mitbringen. Und natürlich Fragen und Anregungen. Wer möchte, bringt noch die Spezifikation und Logfiles eines Protokolls mit, das Wireshark noch nicht unterstützt.

Geplante Themen des Tutoriums sind:

• Grundlegende Funktionen
  • GUI-Oberfläche
  • Überblick über die Kommandozeilen-Tools
• Architektur
  • Wie arbeitet Wireshark? Aus welchen Komponenten besteht es?
• Konfigurationsmöglichkeiten
  • „Wireshark muss nicht als Root laufen“
  • Display Filter, Capture Filter
  • Columns, Preferences, Coloring rules, ...
• Neue Features der aktuellen Wireshark-Version 1.8
  • pcapng-Dateiformat
  • Kommentare für Captures und Pakete
  • Logging auf mehreren Interfaces
• Anwendungsbeispiele
  • Smartcard-Initialisierung
  • Sendersuchlauf beim digitalen Fernsehen
  • Analyse eines Verschlüsselungsprotokolls
• Wie kann ich wireshark erweitern?
  • Unterstützung für ein neues Protokoll
  • Unterstützung für ein neues Dateiformat
  • Plugin-Schnittstelle für binäre Erweiterungen (und warum man seine Erweiterungen trotzdem als Open Source veröffentlichen sollte)
• Ausblick auf künftige Versionen
• Fragen, Diskussion

Martin Kaiser ist Mitglied des Wireshark Core Teams und arbeitet an der Weiterentwicklung von Wireshark mit.

Als Softwareentwickler bei Panasonic Europe im Bereich Digitales Fernsehen standardisiert und implementiert er Pay-TV Protokolle wie DVB-CI und CI+, die Bestandteil aller aktuellen TV-Geräte sind. Bei der Suche nach geeigneten Analyse-Tools wurde er auf Wireshark aufmerksam und war begeistert davon, wie gut sich Wireshark selbst für Aufgaben verwenden lässt, für die es nie gedacht war.

Nach seinem Studium der Elektrotechnik an der Universität Karlsruhe war er zunächst bei einem großen Internetprovider beschäftigt, wo er für die Konzeption und Administration von IP-Netzen und Unix-Servern verantwortlich war.

Das eintägige Tutorium befähigt die Teilnehmer, die wichtigen Komponenten eines Managementsystems für Informationssicherheit (ISMS) nach dem internationalen Standard ISO 27001 sowie der deutschen Erweiterung BSI IT-Grundschutz zu verstehen und mit Hilfe des freien Tools „verinice“ wesentliche notwendige Schritte zur Implementierung selbst durchzuführen, u.a.:

• Definition des Geltungsbereichs
• IS-Policy / ISMS-Policy (Abgrenzung)
• Anwendbarkeit der Standard-Controls / Maßnahmen
• Selbst-Audit zur Einschätzung des Zustands der IS
• Inventar der Informationswerte
• Durchführen einer Risikobewertung
• Risikobehandlung
• Erstellen von Referenzdokumenten

Die Inhalte werden jeweils erst fachlich vorgestellt und anschließend mit Spaß am Gerät umgesetzt.

Die Teilnehmer müssen einen eigenen Rechner (Linux / Windows / MacOS X) mitbringen, um an den praktischen Übungen teilzunehmen.

Alexander Koderman ist Leiter der Abteilung „Certifications & Audits“ bei der SerNet GmbH in Berlin. Er ist CISA, lizenzierter BSI IT-Grundschutz Auditor und ISO 27001 Lead Auditor. Er verfügt über langjährige Erfahrung in der Prüfung und Umsetzung von IS-Managementsystemen in Organisationen jeder Größenordnung. Als Projektleiter ist er für die fachliche Weiterentwicklung von verinice verantwortlich, dem OpenSource Tool für IS-Management und Auditierung.

Zabbix ist eine Enterprise Opensource Monitoringlösung, die alle Bereiche von komplexen EDV-Systemen überwacht. Im Tutorium lernen die Teilnehmer den schnellen Einstieg.

• Einsatzgebiete und Leistungsfähigkeit von Zabbix
• Installation
• Daten Sammeln: Item Einrichten
• Daten auswerten: Trigger einrichten
• Daten visualisieren, Graphen auswerten
• Alarmieren: Action und Media einrichten

Nach dem Tutorium kennen die Teilnehmer die Leistungsfähigkeit von Zabbix und können erste Überwachungen anlegen. Viele Best-Practice-Beispiele runden das Tutorium ab.

Thorsten Kramm ist Systemadministrator und Consultant mit den Schwerpunkten Monitoring mit Zabbix, Monitoring großer Systeme, Webhosting, PHP und MySQL sowie Autor des deutschen Zabbix Wikis.

Bei Metasploit handelt es sich um ein so genanntes Exploiting oder Pentesting Framework. Die Betonung liegt an dieser Stelle ganz klar auf Framework. Neben den typischen Exploits die in Metasploit integriert sind, unterstützt es nicht ausschließlich den Pentester sondern ebenso den Sicherheitsforscher mit unterschiedlichsten weiteren Möglichkeiten zur Erkennung und Analyse bekannter wie auch unbekannter Schwachstellen in IT Systemumgebungen.

Speziell durch den Open Source Charakter von Metasploit erfreut es sich im IT-Security Bereich großer Beliebtheit und Verbreitung.

Der Workshop wird Pentesting und Vulnerabilityscanning bzw. deren Unterschiede darstellen. Es werden kurz die am Markt vorhandenen Pentesting Frameworks vorgestellt um direkt im Anschluss Informationen zur Entstehung und zum Funktionsumfang von Metasploit zu zeigen. Neben dem fortschrittlichen Meterpreter Payload werden die unterschiedlichen Oberflächen und Funktionsweisen betrachtet.

Im Detail:

• Einführung in Pentesting und Backtrack
• Einführung in Exploiting Frameworks
• Einführung in das Metasploit Framework
• Anwendung des Metasploit Frameworks anhand von typischen Angriffsszenarien
  • Pass the Hash
  • von Cross Site Scripting zur vollständigen Infiltration
  • Umgehung aktueller Sicherheitsmaßnahmen
• Metasploit Community Edt und Metasploit Pro

Um die Funktionalität bzw. die Möglichkeiten von Metasploit etwas besser darzustellen werden mehrere Angriffsszenarien betrachtet. Unter anderem wird über einen Client-Side Angriff Zugriff zum internen Netzwerk erlangt.

Über diesen ersten Zugriff ist es möglich weitere interne Systeme anzugreifen und erfolgreich zu kompromittieren. Es kommt dabei zu einer Eskalation der Berechtigungen von einem nicht privilegierten User zum Administrator der Windows Domäne.

Zum Abschluss werden Möglichkeiten vorgestellt wie diese offensiven Sicherheitsmaßnahmen im eigenen IT-Security Prozess integriert und umgesetzt werden können. Dabei kommt es zur Vorstellung von Metasploit Pro welches mit einer graphischen Oberfläche und umfangreichen Automatisierungsmechanismen den Administrator und Pentester bei seiner täglichen Arbeit unterstützt.

Michael Messner ist IT Security Consultant bei der Integralis Deutschland GmbH und führt regelmäßig Sicherheitsüberprüfungen namhafter deutscher Unternehmen und Konzerne durch. Die dabei aufgedeckten Schwachstellen dienen den Unternehmen als Grundlage für die Verbesserung ihrer technischen sowie organisatorischen Sicherheit.

Er hat ein umfassendes, deutschsprachiges Buch zum Metasploit Framework herausgeben (Metasploit: Das Handbuch zum Penetration-Testing-Framework). Neben diesen Tätigkeiten ist er zudem Trainer im Metasploit Bereich und führt die Trainings „Pentesting mit dem Metasploit Framework“ und das „Metasploit Expert Training“ durch. Dabei handelt es sich um Intensiv-Workshops mit umfangreichen Hands On Aufgaben im Labor.

Neue Hardware für DC wird vermehrt in Blade-Technologie angeboten. Damit muss man neue Überlegungen im Bereich SAN, LAN, OS und Infrastruktur bringen weil die vorhandenen Konzepte nicht mehr passen.

In dem Tutorium wird eingegangen auf:

• HA-Mission Critical – was gehört dazu
• Wirtschaftlichkeitsbetrachtung
• Infrastruktur (RZ, Standortstrategie, Strom und Abwärme, Netzwerk- und SAN-Anbindung)
• BLADE-Hardware (Ansätze und Marktrends)
• Server (Virtualisierung, Clustering mit UNIX und LINUX unter verschiedensten Vorgaben, wichtige OS Filesysteme)
• Storage (virtualisierter Speicher – Arten und Einsatz, Mirroring mit OS und „storage based“)
• LAN (V-LAN , Redundanz, Problematik Interconnect: Bandbreite, Latenz, Admin-LAN, Produktiv-LAN)
• SAN (vermaschte Systeme, dynamisches Wachstum)
• Desaster-Recovery, Sicherheit, Verfügbarkeit

Der Teilnehmer erhält Ratschläge und Hinweise für den Umgang mit dem immer wichtigeren Thema Hochverfügbarkeit. Dieser Vortrag basiert auf praktischen Umsetzungen der letzten 6 Jahre. Fallbeispiele untermauern die Theorie.

Dirk Reuper hat nach seinem Studium an der FH FFM sich der IT zugewandt. Er sammelte Erfahrung als IT-Leiter , CAD-Systems-Manager, Systemingenieur und Consultanten bei Endkunde, Fachhandel und Distribution. Er verfügt somit über breites Wissen und ist seit 2001 umfangreich zertifiziert. Seit 6 Jahren ist er im Bereich RZ Betrieb mit HA-MC Anforderung tätig, seit 2011 bei einem großen Transportunternehmen in FFM.

In dem Tutorium wird auf die Entwicklung von Hardware in Theorie und Praxis eingegangen. Jeder Teilnehmer baut ein ARM Cortex M3 basiertes Development Board zusammen, dabei werden praktische Fähigkeiten, insbesondere das Verarbeiten von SMD Bauelementen, vermittelt. Das Board besteht aus grob 20 verschiedenen Elementen – im Wesentlichen das Allernötigste, um den Betrieb des Prozessors und der USB Verbindung zu ermöglichen. Begleitend zu dem praktischen Teil erläutern wir etappenweise jede Bauteilgruppe, so dass am Ende nicht nur ein fertiges Board mit nach Hause genommen werden kann, sondern auch ein etwas tieferes Verständnis, wie das Board en detail funktioniert.

Im zweiten Teil wird ein Einstieg in die Software Entwicklung für diese Plattform vermittelt.

Das Tutorium ist mehr als eine unterhaltsame Bastelstunde: Einerseits lässt sich das Board später als Peripheriegerät für beliebigige Mess- und Steueraufgaben verwenden, andererseits bietet es mit seiner aktuellen und übersichtlichen Embedded-Architektur Einsichten in Low-Level-Programmierung, die auf Desktop-Systemen und Servern aufgrund ihrer Komplexität nur noch schwer zugänglich sind.

Die Teilnehmer sollten ein grundsätzliches Interesse an Hardware bzw. SMD Löttechnik mitbringen, etwas Fingerspitzengefühl ist hilfreich.

Wir arbeiten mit recht kleinen Werkstücken, Brillenträger sollten geeignete Sehhilfen mitbringen. Uhrmacherlupen werden zur Verfügung gestellt. Damit das fertige Board direkt in den Programmierübungen praktisch genutzt werden kann, ist es sinnvoll, einen Laptop und ein Micro-USB-Kabel mitzubringen.

Tim Becker ist freiberuflicher Berater mit Schwerpunkt elektronischer Zahlungsverkehr. Gemeinsam mit Matthias betreut er das Anykey0x.de Projekt.

Matthias Krauß ist Informatiker. Nach einigen Stationen in mehreren Forschungseinrichtungen mit dem Schwerpunkt HCI arbeitet er nun als freiberuflicher Berater in den Bereichen Interaktion, Medien und Embedded-Systeme.

Mit einem relativ geringem Aufwand macht das Galera-Plugin für MySQL aus der MySQL-Installation einen HA-Cluster.

Am Anfang des Vortrages werden die bis sonst eingesetzten 'HA' Lösungen (DRBD, MySQL Cluster, Replikation, MMM, MHA) vorgestellt und kategorisiert um zu zeigen wo Galera die wohl beste Alternative ist. Und das wo, Galera keine eigene Infrastruktur braucht, Sondern – vereinfacht – ein Hook in MySQL ist und via MySQL bedient wird.

Nach dem Vortrag werden die gängigen Implementierungen für ein HA vom MySQL bekannst sein und wohl ein großes Interesse an Galera herrschen.

Erkan Yanar ist schon seit dem letztem Jahrtausend LinuxNerd und hält gerne und regelmäßig Vorträge. Derzeit ist er Senior DBA bei einem großem Telekomunikationsunternehmen.

Web-Server stehen unter ständigem Beschuss – immer erreichbar und für die Welt verfügbar sind sie häufig ein leichtes Ziel für Angreifer. In den letzten Jahren hat die Anzahl der (automatisierten) Angriffe auf Web-Seiten stetig zugenommen.

Der Einsatz von Web-Application Firewalls ist eine Möglichkeit einen großen Teil der Angriffe wirksam zu erkennen und erfolgreich zu verteidigen. Das Open-Source Projekt ModSecurity stellt eine effiziente WAF für die Integration in den Apache oder den NGinx Web-Server bereit.

Sobald eine WAF in Betrieb genommen wurde beginnt jedoch die Arbeit erst – der Web-Server beginnt Alarm-Meldungen, Audit-Log Einträge und allerlei Informationen über die erkannten Angriffe zu protokollieren. Ohne eine intelligente Sichtung, Präsentation und automatische Filterung dieser Log-Daten ist der Betrieb einer jedoch WAF sinnlos. Zu groß ist die Gefahr in der schieren Menge der False-Positives unterzugehen oder wichtige Informationen über erkannte Angriffe zu übersehen.

Mit der AuditConsole stellt eine frei verfügbare Management-Console für die zentrale Verwaltung von Log-Daten der ModSecurity Web-Application Firewall bereit. Sie ermöglicht das Speichern und Indizieren der komplexen Audit-Daten in einer Datenbank und ermöglicht eine Verarbeitung der Daten über ein einfaches Regel-System. Dies erlaubt zeitnahe Filterung der Daten, automatische E-mail-Benachrichtigungen und einfache Intrusion-Response Mechanismen. Zudem bietet die AuditConsole die Erstellung von Reports, die Ausführung von Archivierungsjobs und die Definition von benutzerdefinierten Filtern.

Neben einer Aufbereitung der Alarm-Meldungen bietet die AuditConsole einen integrierten RBL-Server, Multi-User Views für die Daten, sowie eine Integration in bestehende Authentifizierungssysteme (OpenID, LDAP, Kerberos). Hiermit ist sie auch mandantenfähig und kann sogar in komplexen Hostingumgebungen eingesetzt werden.

Innerhalb der letzten Jahre hat sich die AuditConsole zur Standard-Console für ModSecurity Log-Daten entwickelt und wird selbst auf www.modsecurity.org zum Logging eingesetzt.

Der Vortrag gibt einen Überblick über die Verwendung der ModSecurity Web-Application Firewall und die Integration der AuditConsole zu einem effizienten Log-Monitoring für Web-Server.

Christian Bockermann ist wissenschaftlicher Mitarbeiter an der TU Dortmund und Open-Source Entwickler der AuditConsole sowie einer Reihe von weiteren Tools um das ModSecurity Projekt.

Neben der Entwicklung von Open-Source Werkzeugen beschäftigt er sich in seinem Forschungsumfeld mit Daten-Stromalgorithmen und maschinellen Lernverfahren für eine (künstlich) intelligente Analyse der immer größer werdenden Berge an Log-Daten.

Der Vortrag demonstriert einige der Top-10-Probleme (Reihung nach der subjektiven Erfahrung des Autors), die bei PDF-Dateien in der Praxis auftreten können. Dazu gehören unter anderem:

• Darstellung von Schriften auf dem Bildschirm oder im Druckbild
• Darstellung von transparenten Grafik-Elementen im Druckbild
• Extraktion von Text-Stellen oder ganzen Texten
• Konvertierung von RGB- oder CMYK-Schwarz oder Grau nach „echtem“ Schwarz/Grau
• Extraktion von Bildern
• Reduzierung der Dateigröße
• Erkennung gescannter Seiten
• Skalierung von PDF-Seiten
• Ungewollte Änderungen bei eingebetteten Bildern (Farbraum, Auflösung)
• Linearisierung („Web-Optimierung“) von PDFs

Er führt außerdem einige mehr und auch weniger bekannte Kommandozeilen-Tools vor, die man zum Analysieren und Reparieren dieser Problembereiche verwenden kann:

• qpdf
• pdftk
• pdfinfo
• pdffonts
• pdfimages
• pdfunite
• pdfwalker
• pdf-parser.py
• pdfid.py
• diverse 'podofo'-Tools
• mubusy
• origami
• Ghostscript (mit wenig bekannten, aber sehr nützlichen Kommandozeilen-Parametern)

Dieser Vortrag wird nicht viele Folien zeigen – stattdessen wird er gelingen (oder scheitern) wegen seines großen Anteils an live vorgeführten Beispielen.

Kurt Pfeifle ist IT-Freelancer und verdient einen Teil seines Lebensunterhalts dadurch, dass er sich bei IT-Projekten um die Themen Netzwerkdrucken, Datenkonvertierungen und PDF-Debugging kümmert. Er führt derzeit die „All-time Top-Scorer-Liste“ derjenigen Stackoverflow-Mitglieder an, die bei den Themen [CUPS], [PDF], [Ghostscript] und [ImageMagick] aktiv sind.

Die Anforderungen an die Verfügbarkeit von Systemen steigen. Gleichzeitig steigt jedoch auch die Komplexität der Systeme: Die Anzahl der Schnittstellen, involvierte Hard- und Software-Komponenten und so fort. Der Vortrag beschreibt die Migration eines hochverfügbaren Datenbanksystems eines Großunternehmens, Grundlagen zur Architektur-Entscheidung, die Umsetzung sowie Hürden und Best Practices.

• Anforderungen:
  • Plattform-Wechsel: Von Solaris nach Suse SLES
  • Release-Wechsel: Von Oracle 11.0.1.0.7 nach 11.2.0.3
  • Zeichensatz-Wechsel: Von WE8ISO8859P1 nach UTF 8
  • Architektur-Wechsel: Von Oracle RAC nach Active Data Guard
  • Minimierung der Downtime
  • Wie kriegt man das unter einen Hut?
• Migrationsoptionen / Vor- und Nachteile:
  • Duplicate Database, Cloning
  • Oracle Streams
  • Golden Gate
  • Transportable Tablespaces
  • Export / Import
  • Data Pump
• Die eigentliche Umsetzung:
  • Hürden
  • Best Practices
• Fragen und Antworten / Diskussion

Andrea Held arbeitet als Oracle Administratorin und technische Architektin in Kunden-Projekten für mittelständische und große Unternehmen im deutschprachigen Raum. Mit einigen weiteren Kollegen gehört sie dem Netzwerk „Oranerds“ an, in dem sich unabhängige Datenbank-„nerds“ austauschen.

Sie ist Leiterin der Frankfurter Datenbanktage, einer Konferenz rund um den Einsatz von Datenbankmanagementsystemen, und Autorin von Büchern zu Oracle-Datenbanken. Artikel in den Fachzeitschriften IX (Heise-Verlag), Linux Magazin (Linux New Media), XML Magazin und „Der Entwickler“ (Software- und Support-Verlag).

Wenn man ein UNIX-basiertes System am Internet betreibt, sieht man viele SSH-Anmeldeversuche von fremden Systemen. Verbindet man versehentlich ein Test-System mit schwachem Root-Passwort mit dem Netz, findet man schnell heraus, dass die Anmeldeversuche keine Versehen sind, sondern konkrete Angriffe.

Bären fängt man mit Honig. Hacker kann man mit sogenannten Honeypot-Systemen anlocken, die Sicherheitslücken lediglich vortäuschen. Die Autoren verwendeten über mehrere Jahre hinweg drei verschiedene Typen von Honeypots, um mehr über die SSH-Hacker herauszufinden: Welche Werkzeuge werden benutzt, wie wird vorgegangen und von wo kommen die Angreifer? Und vor allem: Wie kann man sich effektiver schützen?

Aktuell wird gegen SSH-Angriffe vor allem mit Hilfe von Sperren auf IP-Basis vorgegangen. Die zu sperrende IP-Adresse ist entweder lokal durch vielfache Anmeldeversuche aufgefallen oder die Adresse wurde innerhalb einer Community als Angreifer gemeldet (z.B. DenyH0st). Dieser Ansatz ist einfach und effektiv.

Die Analyse mehrerer tausend Angriffe ergab allerdings, dass praktisch alle angreifenden Systeme selbst kompromittiert wurden und dass ein Teil dieser Systeme regelmäßig die eigene IP-Adresse wechselt. Diese Angriffe können nicht mit IP-basierten Sperrlisten gestoppt werden.

Die Autoren schlagen daher alternative Merkmale vor anhand derer Angreifer frühzeitig erkannt werden können. Zum einen können die gängigen Angriffswerkzeuge teilweise schon beim Aufbau der SSH-Verbindung erkannt werden noch bevor ein Authentifikationsversuch stattfindet. Weiterhin können bekannte angreifende Systeme anhand ihres Dienste-Profils wiedererkannt werden. Die verschiedenen Merkmale werden statistisch verglichen und der IP-Wechsel der angreifenden Systeme im Allgemeinen untersucht.

Der Vortrag stellt die Ergebnisse und Rückschlüsse vor, die aus dem mehrjährigen Betrieb von Honeypots gezogen werden konnten. Es wird erläutert, wie die Angreifer im Detail vorgehen und was passiert, sobald sie Zugang zu einem System erlangt haben. Schließlich werden neue Methoden vorgestellt, um die angreifenden Systeme effektiver zu erkennen und so die eigenen Server besser zu schützen. Die Autoren möchten weiterhin mit dem Publikum diskutieren, ob die vorgeschlagenen Schutzmaßnahmen – wie z.B. Port Scans gegen unbekannte Systeme von denen Anmelde-Versuche kommen – zur Angriffsabwehr praktikabel oder zu invasiv sind.

Andreas Bunten war seit 1996 als UNIX Administrator tätig und 8 Jahre lang Mitglied des Incident Response Team des DFN-CERT. Seit 2009 berät er im Competence Center Security die Kunden der Controlware GmbH zur Reaktion auf und Vermeidung von Sicherheitsvorfällen.

Torsten Voss studierte technische Informatik und arbeitet rund 7 Jahre beim DFN-CERT im Incident Response Team des Deutschen Forschungsnetzes. Sein Schwerpunkt ist die Aufklärung von Sicherheitsvorfällen.

Nachdem der Autor beim letzten FFG strace und system calls im allgemeinen vorgestellt hat, konzentriert sich dieser Vortrag nun auf das Treiben und Verstehen der UN*X-Shells am Beispiel der BASH.

Mit Hilfe von strace kann man endlich mal beobachten und damit dann hoffentlich auch verstehen (oder zumindest glauben;-), wie wildcards, quoting, I/O redirection, piping usw. in der Shell funktionieren und warum man nicht

tippen muss (sollte? ;-).

Harald König hat Physik in Tübingen studiert, und arbeitet seit 1985/96 mit VMS und TeX, seit ~1987 mit UN*X und mit Linux seit Ende 1992 (kernel 0.98.4). Er hat den Support für XFree86 S3-Treiber von 1993 bis 2001 geleistet.

Seit 2001 arbeitet er bei science + computing ag in Tübingen in der Software-Entwicklung und -Consulting im Linux-Umfeld von technisch-wissenschaftlichen Umfeld von Embedded-Portierungen, technischen Problemen und X11/Kernel-Debugging und -Anpassungen und mit vielen kleinen Shell-Helferlein.

Um wenige OpenSource-Produkte entstand es in letzter Zeit ein solcher Hype wie um Puppet. Hat ein Tool zum Konfigurationsmanagement diese ganze Aufregung wirklich verdient? Hat der klassische Sysadmin damit endgültig ausgedient? Müssen wir alle unsere SSH-Logins abgeben? Die absolute Kontrolle mit den Jungs im Development teilen? Oder sie gar völlig abgeben?

Nach den ersten eigenen Gehversuchen mit Puppet stellen sich dann schon die nächsten Fragen: wofür will man Puppet nutzen, wofür besser nicht? Ist Puppet das neue Paketmanagement? Müssen wir jetzt alle Ruby lernen? Braucht man heutzutage tatsächlich eine Message Queue zur Serveradministration? Skaliert das alles? Und ist es überhaupt sicher?

Wie bringt man alsdann diesen neuen Alien im eigenen stetig wachsenden Software-Fuhrpark dazu, sich mit den anderen Kameraden anzufreunden? Soll Puppet das Monitoring-System mit Leben befüllen? Oder die CMDB? Oder doch besser andersrum? Und ist 42 wirklich die Antwort?

Der Referent ist Puppet-Trainer und -Berater, aber dennoch kein Puppet-Evangelist. Er versucht mit seiner Präsentation Puppet möglichst neutral als das zu betrachten, was es ist: ein Tool, das seinen Job machen muss. Wie dieser am Ende aussieht, muss jeder für sich selbst herausfinden. Der Vortrag will versuchen, eine kleine Hilfe dabei zu sein.

Thomas Gelf ist als Senior Consultant und (Puppet-)Trainer für die Nürnberger Netways GmbH immer auf Achse. Erfahren in Architektur und Umsetzung von skalierbaren und hochverfügbaren Plattformen mit ebenso breitem wie tiefgehenden Wissen schreibt er wenn es der straffe Zeitplan erlaubt gerne Fachartikel und hält Vorträge und Workshops auf unterschiedlichsten Konferenzen.

In seiner Freizeit lässt ihn seine Arbeit nicht los, er entwickelt gerne und liefert unterschiedlichsten OSS-Projekten Feedback und Patches. Aufgewachsen an der Südtiroler Weinstraße lernte er aber sehr früh, dass tiefe kühle Kellerräume neben Datacentern auch noch andere Schätze beherbergen können.

The DNS has recently seen many reflection amplification attacks in the wild. Reflection attacks are attacks where the IP source address in UDP packets are forged and server responses are redirected to the victim. Through amplification, the miscreant is able to increase the traffic volume in an attack. The result is a denial of service, where the network bandwidth is used in such an extent that it is dropping packets, including legitimate traffic.

More and more DNS reflection amplification attacks on authoritative servers have been reported. These attacks will cause the DNS operator to use more bandwidth, and effectively may cost money. Not only that, the server is liable as it is part of the denial of service attack, and thus this problem cannot be ignored by the DNS operators.

What are the characteristics of these attacks and how can they be alleviated? Network filtering seems to work in some cases, but is considered to be a too naive solution. DNS response rate limiting is seen as the way to combat reflection attacks, where the high volume of DNS response streams are being blocked.

This talk explains DNS reflection amplification attacks and how they can be mitigated. It will explain how DNS response rate limiting works and how you, as an operator of a name server, can use this to reduce the bandwidth and damage caused to the victims of the attacks.

Matthijs Mekking is a software developer at NLnet Labs, a foundation that focuses on providing open-source software and open-source standards that can enhance the open, secure, and innovative nature of the Internet for all.

He is actively involved in the developments of several DNS projects, such as NSD and OpenDNSSEC. Because of that, Mekking got involved in the DNS community and became an active participant within the IETF.

Matthijs Mekking was born in the eighties and lives in Nijmegen, where he studied Computer Science. He graduated in 2007 by researching Shim6, an IPv6 host-based multi-homing protocol.

Schulungen eigener Mitarbeiter und auch in Schulungszentren leiden häufig an fehlender Praxisnähe. Für uns stellte sich die einfache Problematik, dass für eine effiziente Schulung bei vielen Themen, komplexere Setups erforderlich sind. Diese lassen sich nicht einfach mit einem System je Teilnehmer realisieren. Hier ist eine Virtualisierung sinnvoll. Leider unterstützt jedoch keine vorhandene Virt-Verwaltung die speziellen Ansprüche im Rahmen einer Schulung. Daher haben wir mit Unterstützung des BSI die nun unter GPLv3 veröffentlichte Software TacNET entwickelt.

TacNET erlaubt die Definition virtueller Netzwerke mit mehrere virtuellen Hosts, Routern, Switches und Firewalls. TacNET bezeichnet diese Definitionen als Module. TacNET stellt dann diese Module mehrfach, je Schulungsteilnehmer einmal, zur Verfügung. Dabei werden die virtuellen Netze grafisch visualisiert und der Dozent kann zur Laufzeit die Vernetzung der virtuellen Systeme ändern, Switches hinzufügen und die Leistungsdaten zur Laufzeit ändern. Auch ist ein Konsolenzugriff auf jedes virtuelle System über TacNET möglich.

Ein besonderes Feature ist aber auch die Möglichkeit einzelne Systeme oder alle virtuellen Umgebungen aller Teilnehmer in den Ausgangszustand zu versetzen. Somit müssen die Systeme nicht vor jeder Schulung neu aufgesetzt werden.

Um auch für komplexe Szenarien gewappnet zu sein, ist TacNET in der Lage die virtuellen Netze auf mehrere physikalische Systeme zu verteilen.

Für die Einbindung nicht-virtualisierbarer Systeme besteht die Möglichkeit auch physikalische Systeme direkt an beliebiger Stelle in das virtuelle Netz einzubinden.

Die Teilnehmer arbeiten strikt voneinander getrennt in ihren eigenen Netzen. Die Anbindung der Teilnehmer an der Virtualisierungsplattform erfolgt über einen VLAN-fähigen Switch.

Grundsätzlich ist TacNET aber auch zu anderen Zwecken einsetzbar. So können Softwareupdates in komplexen Umgebungen einfach getestet werden. Da TacNET mehrere unterschiedliche „Module“ verwalten kann, können unterschiedliche Szenarien definiert und bei Bedarf aktiviert werden. Die definierten Systeme befinden sich dann immer in einem definierten Ausgangszustand und können einfach zurückgesetzt werden, wenn ein Test fehlschlägt.

TacNET nutzt die Libvirt-Bibliothek und die KVM-Virtualisierung. Die Verwaltung erfolgt über einen Web-Browser. Im Rahmen der Implementierung haben wir einige Fehler in den Libvirt- und Netcf-Bibliotheken behoben und beide Bibliotheken auch erweitert. Sämtliche Änderungen sind Upstream. Im Moment arbeiten wir noch an der Möglichkeit, über TacNET den pcap-Netzwerkmitschnitt jeder virtuellen Netzwerkkarte in Wireshark als Live-Mitschnitt zur Verfügung zu stellen. Dies erfordert jedoch noch eine Erweiterung der Libvirt-Bibliothek.

Ralf Spenneberg berät und schult seit 1999 Unternehmen bei dem Einsatz von Open-Source-Software in sicherheitskritischen Umgebungen.

Installation, Pflege und Wartung des Betriebssystems, Anwendungs-Installation und Konfiguration. In diesem Tätigkeiten finden sich viele Entwickler, System-Administratoren und DevOps wieder. Neben den großen bekannte Konfigurations-Management-Werkzeugen (Cfengine, Puppet, Bcfg2) und den SSH-Wrappern (Cluster-ssh und Distributed Shell) gibt es einen neuen Ansatz, der versucht das eine Werkzeug für die genannten Aufgaben zu sein: Ansible.

Entwickelt von Michel DeHaan (Mitentwickler bei Func und Puppet) stellt Ansible einen einfaches Werkzeug (ohne den Einsatz von Agenten und Daemonen) bereit, Server und Software zu „orchestrieren“.

Ansible ist in Python implementiert, die Konfigurationsdateien werden in einer einfachen Syntax erstellt (YAML) und die Netzwerkkommunikation erfolgt über SSH. Grundsätzlich ist Ansible für Linuxsysteme entworfen, an den Client stellt es geringe Anforderungen und auch der Server braucht nur geringe Resourcen.

Durch Modularisierung wird die Wiederverwendung von Konfigurationen unterstützt. Steuerung der Abläufe durch Gruppierung der Systeme in der Gruppen, aber auch durch auf dem Zielsystem gewonnenen Informationen (Ähnlich Facter) erleichtern das Konfigurations-Management. Sogenannte Playbooks steuern und gruppieren die Aufgaben. Daneben sind auch typische One-Shot/On-All-Aufgaben einfach mit Ansible zu bewältigen. Auch die Integration in Test-Umgebungen z.B. mit Vagrant gelingt leicht und erlaubt das Testen und Entwickeln von Playbooks.

Der Vortrag soll einen Überblick über die Möglichkeiten von Ansible geben. Neben dem Kommandozeilen-Einsatz, der Verwendung von Regelwerken (Playbooks) wird auf die Erweiterbarkeit und das Projekt-Umfeld eingegangen.

Philipp Grau lebt und arbeitet in Berlin. Er ist an der Zentraleinrichtung für Datenverarbeitung (ZEDAT) an der Freien Universität Berlin beschäftigt, wo die Administration von Linux/Unix-Servern zu seinen Aufgaben gehört.

Neben älteren Sun-Systemen, Linux-Servern, der Virtualisierungs-Infrastruktur und einigen Storage-Systemen, die seine Aufmerksamkeit fordern, ist die Suche nach Werkzeugen, die ihm helfen würden, sich selber überflüssig zu machen, sein Steckenpferd. Mittlerweile fast 20 Jahre Systemadministator, fasziniert ihn dieses Gebiet immer noch.

Aktuelle Unternehmensnetzwerke werden mit unterschiedlichsten Sicherheitsmechanismen immer besser geschützt. Der Mitarbeiter soll aber gerade im heutigen Umfeld möglichst flexibel arbeiten können. Um dies zu erreichen nutzt er sein Arbeitsmittel, wie das Notebook, von unterwegs ebenso wie auch zuhause im Home Office. Bei dem Heimnetzwerk des Mitarbeiters handelt es sich für das Unternehmen um eine nicht kontrollierbare Netzwerkumgebung wie jede andere Netzwerkumgebung.

Während im Unternehmensnetzwerk typischerweise eine Fülle unterschiedlichster Sicherheitseinrichtungen aktiv sind, fehlen diese allerdings im Netzwerk zuhause. Aber gerade dort befinden sich mittlerweile eine Fülle unterschiedlichster netzwerkfähiger Geräte wie Internet Router, WLAN Access Points, Multi Media Center, Print Server und viele mehr.

Diese Geräte können gravierende Sicherheitslücken aufweisen die einem Angreifer die Möglichkeit weiterer Angriffe erst eröffnen. Im Rahmen dieses Talks wird diese Problematik dargestellt und es wird ein Auszug erkannter Schwachstellen in unterschiedlichen Home Network Devices vorgestellt.

Michael Messner ist IT Security Consultant bei der Integralis Deutschland GmbH und führt regelmäßig Sicherheitsüberprüfungen namhafter deutscher Unternehmen und Konzerne durch. Die dabei aufgedeckten Schwachstellen dienen den Unternehmen als Grundlage für die Verbesserung ihrer technischen sowie organisatorischen Sicherheit.

Er hat ein umfassendes, deutschsprachiges Buch zum Metasploit Framework herausgeben (Metasploit: Das Handbuch zum Penetration-Testing-Framework). Neben diesen Tätigkeiten ist er zudem Trainer im Metasploit Bereich und führt die Trainings „Pentesting mit dem Metasploit Framework“ und das „Metasploit Expert Training“ durch. Dabei handelt es sich um Intensiv-Workshops mit umfangreichen Hands On Aufgaben im Labor.

Seit Jahren tobt der Hype um virtuelle Maschinen und deren Infrastruktur. Die Big Player drängen in den Markt und verkaufen einen virtuellen Overkill, und das auch noch in der sogenannten Cloud. Das Management feiert, der Anwender darf es auslöffeln.

Man bezahlt eine Maschine als Guckloch zum Server, auch Client genannt, den Server, die Lizenzen für Client, Server-OS, Virtualisierungslösung, die virtualisierten OSe. Warum eigentlich?

Der Vorteil sind standardisierte Maschinen, die man schnell clonen kann. Weiterhin kann man von überall darauf zugreifen, solange man Internet hat.

Nachteile sind die hohen Kosten für die Mehrfachanschaffung von Client Server, Lizenzen und die v.a. Geschwindigkeitsprobleme, die bei Remotezugriffen auftreten.

Doch braucht man für die o.g. Vorteile wirklich Virtualisierung? Sicher, es gibt sinnvolle Anwendungsgebiete, wie z.B. in Entwicklung und Test, doch lohnt der Overkill an Hard- und Software für den Alltagsgebrauch?

In diesem Vortrag werden Alternativen aufgezeigt, wie die Vorteile von virtualisierten Umgebungen mit denen herkömmlicher Systeme durch Verwendung von freien Techniken wie iSCSI, AoE, PXE, rDesktop, Spice etc. ohne Virtualisierung und ohne den entsprechenden Overhead (für Linux und MS-Windows) kombiniert werden können.

Oliver Rath hat Mathematik und informatik an der TU München studiert und beschäftigt sich seit 1997 mit freier Betriebssystemen wie FreeBSD und Linux. Aktuell entwickelt er hauptberuflich für die GreenUnit UG Management-Backends in C++, C# und diversen Skriptsprachen.

Zum Zeitpunkt der Konferenz wird Icinga die Version 1.9 finalisieren, die neben verbessertem Reporting und Performance des Webinterfaces viele kleine Neuerungen mit sich bringen wird. Neben einem Überblick über den aktuellen Projektstatus wird ein Ausblick auf Icinga2, einer kompatiblen Neuentwicklung des bisherigen Cores, und eine Live-Demo der verfügbaren Features den Vortrag abrunden.

Bernd Erk ist bei dem Nürnberger Open Source und Systems Management Spezialisten NETWAYS GmbH als Managing Director tätig. Zuvor war er bei der Quelle Schickedanz AG & Co. als Systemspezialist tätig, wobei sein Tätigkeitsschwerpunkt auf Solaris, HPUX, sowie Oracle-Datenbanken lag. Anschließend arbeitete Bernd knappe acht Jahre als Business Unit Manager für ise-informatik und beschäftigte sich dort hauptsächlich mit Oracle-Datenbanken und serviceorientierten Architekturen. Im Icinga Projekt ist er u. a. für Projektmanagement und Präsentation verantwortlich.

Zunehmend nehmen gesetzliche, vertragliche und regulatorische Vorgaben Einfluss auf den IT-Betrieb. Kunden oder Wirtschaftsprüfer schicken Auditoren zu ihren Dienstleistern um einen ordnungsgemäßen und sicheren IT-Betrieb und das Vorhandensein eines Sicherheitskonzepts zu hinterfragen. Der Vortrag zählt die wichtigsten Regularien auf, beschreibt die notwendige Tiefe und zu erwartende Aufwände bei der Umsetzung und nennt die „best of audit“ – die Dauerbrenner der Prüfpraxis.

Alexander Koderman ist lizenzierter IT-Grundschutz Auditor, CISA, ISO 27001 Lead Auditor und Leiter der Abteilung „Certs & Audits“ bei der SerNet GmbH in Berlin. Er leitet Audits in Organisationen von 10 bis 100.000 Mitarbeitern. Als Projektleiter ist er für die Entwicklung von verinice, dem Open Source Tool für IS-Management und Auditierung, verantwortlich.

Speicherplatz in der „Cloud“ wird immer beliebter. Nicht nur für Unternehmen und virtuelle Systeme, sondern auch für Endanwender bzw. Userdaten. Vorteile wie Backup, Daten teilen, usw. werden von unterschiedlichen Unternehmen und Community-Projekten angeboten.

Dieser Vortrag zeigt, wie man mit Hilfe der freien Software ownCloud diese Dienste auf einfache Art und Weise selbst aufsetzen bzw. betreiben kann und somit selbst Herr über seine Daten bleibt. Ist es doch für viele Unternehmen und Anwender eine wichtige Voraussetzung, dass die Daten nicht in anderen Ländern oder fremden Rechenzentren liegen. Das Selbe gilt bei der Verschlüsselung von z. B. abgelegten Daten.

Für ownCloud sprechen auch die zahlreichen unterstützten Endgeräte wie Linux, Microsoft, Android und iOS. Ganz gleich, ob es um die gemeinsame Arbeit an einem Dokument, Terminkoordination oder schlicht die gemeinsam Nutzung von Daten geht: In diesem Vortrag wird live gezeigt, wie man von verschiedenen Geräten und Plattformen auf seine Daten zugreifen und diese mit Anderen teilen kann. Auch im Hinblick auf Sicherheitsaspekte und den Schutz der eigenen Privatsphäre erfährt der Zuhörer, welche individuellen Möglichkeiten ihm und seinem Unternehmen dank Community- und Corporate-Sparten bei ownCloud und Partnern wie B1 Systems zur Verfügung stehen.

Christian Schneemann ist Linux/Open Source Consultant und Trainer bei der B1 Systems GmbH. Seine Arbeitsschwerpunkte sind Monitoring und der Open Build Service. Mit Nagios arbeitet er seit 7 Jahren und ist im openSUSE Projekt als Maintainer an den Paketen von Nagios und Addons beteiligt.

Die Ruhr-Universität Bochum ist seit Jahren vollvernetzt. Das Hochschulinterne Rechnernetz (HIRN) erstreckt sich über den Campus sowie einige von der Universität in der Stadt angemietete Gebäude und wächst ständig. Jeder der mehr als 60.000 Netzwerkanschlussports in Benutzerzugriff befindet sich in einem von über 900 VLANs und ist durch das Network Operation Center managebar. Dabei wird Hardware von zur Zeit drei verschiedenen Herstellern eingesetzt. Das Management erfolgt mit einer selbst entwickelten Software, die über Jahre gewachsen ist und auch Benutzern zahlreiche Möglichkeiten bietet, per Web-Interface auf ihre Netzkonfiguration Einfluss zu nehmen.

In diesem Vortrag wird aus der Praxis berichtet. Zum Beispiel: Wie werden Geräte verschiedener Hersteller mit einer einzigen Software „Hersteller-Transparent“ gemanaged? Wie wird die Dokumentation aktuell gehalten? Was passiert, wenn man „von Hand“ an den Geräten konfiguriert? Was sind typische Fallstricke?

Robin Schröder arbeitet als Fachinformatiker im Network Operation Center der Ruhr-Universität Bochum. Zu seinen Aufgaben zählen die Campusweite Netz-Konfiguration, die Administration von dynamischen Routingprotokollen, Troubleshooting, Monitoring, die Entwicklung von Software für den Eigenbedarf sowie die Einführung von IPv6 auf dem Campus. Er administriert zahlreiche Unix-, Linux-, und Solaris-Systeme und überwacht den Netz- und Applikationsbetrieb mit verschiedenen Open-Source-Tools. Mit Computern, Linux und Netzwerken beschäftigt er sich bereits seit 1995.

In der öffentlichen Diskussion steht der „neue“ Protokollstandard IPv6 häufig für einen Verlust der Privatsphäre. Dass diese Besorgnis nicht unbegründet ist und durch das neue Adresssystem tatsächlich bislang zum Teil nicht wahrgenommene Herausforderungen für den Datenschutz entstehen, zeigt dieser Vortrag. Dies gilt insbesondere auch für die Frage, ob es sich bei IP-Adressen um personenbezogene Daten handelt, die bei der Nutzung von IPv6 technisch und vor allem juristisch noch einmal neu bewertet werden muss.

Nach einer Einführung in die datenschutzrechtlichen Grundlagen geht der Vortrag zunächst auf die Neuerungen in Bezug auf „IPv6 und Datenschutz“ ein. Danach zeigt der Vortrag, welche Konsequenzen mit einem datenschutzgerechten Einsatz von IPv6, aber auch IPv4 verbunden sein können.

Dr. Christoph Wegener (CISA, CISM, CRISC, GDDcert, CCSK) ist seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv und arbeitet zudem am Horst Görtz Institut für IT-Sicherheit (HGI) an der Ruhr-Universität Bochum. Herr Dr. Wegener ist Autor zahlreicher Fachbeiträge, Sprecher auf nationalen und internationalen Konferenzen und engagiert sich in der Ausbildung im Bereich der Informationssicherheit. Darüber hinaus ist er Mitglied des Beirats der Zeitschrift „Datenschutz und Datensicherheit – DuD“, Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und des German Chapters der Cloud Security Alliance (CSA) und dort, sowie in der German Unix User Group (GUUG), Mitglied des Vorstands.

Rechtsanwalt Joerg Heidrich, Fachanwalt für IT-Recht, ist seit 2001 als Justiziar und Datenschutzbeauftragter des Heise Zeitschriften Verlags (c't, iX, Technology Review, heise online) und Rechtsanwalt für den Bereich der neuen Medien in Hannover tätig. Nach dem Studium der Rechtswissenschaften in Köln und Concord, NH, USA, beschäftigt er sich seit über fünfzehn Jahren mit den Problemen des Internet- und Medienrechts. Heidrich ist Autor zahlreicher Fachbeiträge zu rechtlichen Aspekten der IT-Sicherheit sowie regelmäßig als Referent in diesem Bereich tätig. Seit 2007 ist er als Fachanwalt für IT-Recht zugelassen. Zudem ist er einer der Herausgeber der Loseblattsammlung Heise Online-Recht.

Inzwischen hat sich die Live-Überwachung von Systemen und Netzwerken in vielen Firmen etabliert. Viele Administratoren vertrauen dabei aufgrund ihrer bisherigen Erfahrung auf alte Bekannte, wie dem Noch-Platzhirsch Nagios oder entsprechende Forks wie Icinga. Dabei gibt es viele davon unabhängige Entwicklungen, vor allem auch aus dem Open-Source-Bereich, mit welchen sich Systeme und Netze äußerst komfortabel überwachen lassen, beispielsweise Zabbix und Zenoss.

Anhand des Monitoring-Projektes Zabbix soll dargelegt werden, wie auch mit anderen Produkten hervorragende Ergebnisse erreicht werden können, welche neuen Aspekte sie für das Monitoring bieten und wie sie für bestimmte Szenarien teils besser geeignet sind, als die derzeit meistgenutzten Tools.

Zabbix bietet nach nunmehr über zehn Jahren Entwicklungsarbeit und Praxiserfahrung eine sehr stabile und anwenderfreundliche Monitoring-Lösung. Bedient wird die Software vor allem über eine ansprechende Web-GUI. Neben den typischen Standardtests wie Ping- oder SSH-Checks und SNMP-Überwachung, überzeugen vor allem die zuverlässigen Agenten, über die man auch mit eigenen Checks und Skripten eine sehr umfassende und angepasste Überwachung der Systeme ermöglichen kann. Gesammelte Daten werden auf den zuständigen Servern in einer Datenbank vereint, dort über Bedingungen ausgewertet und zum Beispiel bei Überschreiten von Grenzwerten einer vorgegebenen Warnstufe zugeordnet. Selbstverständlich bietet das Tool auch Möglichkeiten zur Eskalation von Problemen und zur Benachrichtigung abseits der Web-Oberfläche. Des Weiteren wartet Zabbix beispielsweise mit grundlegenden Visualisierungsmöglichkeiten für die erhaltenen Daten und überwachten Netze auf.

Die Zuhörer sollen durch den Vortrag Einblick in die Möglichkeiten, geeignete Einsatzszenarien und Praxis von Zabbix erhalten.

Stefan Gazdag studiert Informatik (Master) an der HaW Ingolstadt. Mit dem Thema Monitoring kam er das erste Mal im Rahmen eines Praktikums bei der genua mbH während seines Bachelor-Studiums in Berührung. Seitdem hat ihn die Thematik nicht mehr losgelassen, weshalb auch seine Bachelorarbeit in den Bereich des System Monitorings führte.

IPv6 wird kommen, das ist seit fünfzehn Jahren keine Frage mehr. Die Frage ist eher, wann es kommt, und wie es kommt. Während viele IPv6-Anwender und -Fans das klassische IPv4 schon als „legacy IP“ bezeichnen und die Aktivierung von IPv6 gerne als „ganz einfach, geht alles automatisch“ beschreiben, wird Marc Haber in diesem Vortrag schwerpunktmäßig auf den „Spaß“ eingehen, den der Systemadministrator bei der Aktivierung von IPv6 haben wird.

Der Vortrag beginnt mit einer Kurzeinführung in IPv6, wird aber versuchen, keine all zu große Überschneidung zu Jens Links zu vergangenen Frühjahrsfachgesprächen gehaltenen Vorträgen über IPv6 zu erreichen.

Zu den Herausforderungen, die man bei der Systemadministration in einem IPv6-Netzwerk haben kann, zählt vor allen Dingen die in die Jahre gekommene Programmierschnittstelle des TCP/IP-Stacks, die auf zur Laufzeit veränderliche Netzwerkkonfiguration wie hinzukommende und wegfallende IP-Adressen nicht eingerichtet ist.

Der Vortrag wird eine Reihe der üblichen Aussagen über IPv6 in der Praxis kritisch hinterfragen und erläutern, warum es eben doch nicht so einfach ist („Renumbering ist einfach? Klar, wenn der einzig relevante Netzwerkdienst ping ist“).

Ein weiterer Abschnitt des Vortrags wird sich dem Privacy-Bereich widmen und den Umgang mit den IPv6 Privacy Extensions behandeln – und warum sie alleine keine universelle Lösung sind.

Seinen Abschluss findet der Vortrag in einem kurzen Ausblick über die Dinge, die mit IPv4 noch gehen, aber mit IPv6 – beispielsweise aufgrund der längeren Adressen – nicht mehr realistisch sind.

Marc Haber, Jahrgang 1969, macht seit 1986 professionell IT und kümmert sich seit fünfzehn Jahren um unixoide Systeme. Er ist freiberuflicher IT-Berater und berät Unternehmen und sonstige Organisationen rund um Netzwerk, Linux, Infrastruktur und Security. Marc ist Debian Developer und publiziert von Zeit zu Zeit.

Er setzt für seine eigenen Systeme erst seit 2006 auf IPv6 und weiß durch eine Erfahrungen mit IPv6 in kontrollierten und weniger kontrollierten Umgebungen, an welchen Stellen man mit IPv6 gewaltig umdenken muss und warum ein Projekt zu Einführung von IPv6 fast immer komplexer ist als man es erwartet hat.

OpenStack Compute ist eine Software zum Verwalten und Provisionieren virtueller Maschinen. Als Teilprojekt von OpenStack hat es sich in den letzten 2 Jahren seit der Veröffentlichung rasant entwickelt und verbreitet.

In diesem Vortrag wird der Aufbau und die Konfiguration von OpenStack Compute (nova) beschrieben. Welche Abhänigkeiten existieren, worauf muss geachtet werden? Wie funktioniert das Starten von VMs? All dies wird im Vortrag anschaulich beantwortet. Zusätzlich werden Hinweise zur Nutzung gegeben und auf welche kleinen Fallstricke man achten muss.

Christian Berendt ist bei der B1 Systems GmbH als Berater und Entwickler für Linux und unterschiedliche Unix-Derivate beschäftigt.

Derzeitig ist er als Solution Architect fuer den Bereich „Cloud Computing“ zuständig, beschäftigt sich aber gerne auch mit Loesungen zum Configuration und System Management.

Wenn er nicht gerade Incidents bearbeitet, Changes durchführt oder an internen Projekten arbeitet, beschäftigt er sich mit Software-Entwicklung, künstlicher Intelligenz, Microcontrollern und vielem mehr.

ctdb is the clustering component of the Samba project. Using ctdb, Samba is able to provide SMB locking semantics on top of a cluster file system. Clustered Samba is successfully deployed in a lot of small and large installations.

The ctdb architecture is based on the Samba internal "Trivial Database" tdb and provides a distributed lock manager for Samba.

Recent large installations have shown some performance bottlenecks that are not easy to overcome in the current ctdb architecture. Two main performance problems are:

• The completely async nature of lock requests shows potential for locks bouncing back and forth in the cluster without being useable by Samba itself.
• A single ctdb process works on every node in a non-threaded fashion. This was appropriate with 4 or 8 cores on a cluster node. With more cores per node there is a growing disbalance, Samba on 64 cores easily outperforms the single ctdb process.

This talk will present a precise description of the ctdb architecture and the problems inherent in it.

This talk also will present an architecture for a new distributed lock manager for Samba that will remove all bottlenecks that are visible now and provide room for scaling up to more nodes and more cores per node than it is possible now.

Volker Lendecke ist Mitglied des internationalen Samba-Entwicklerteams und Mitgründer der SerNet GmbH in Göttingen.

Ein Mailserver ist ein sensibles Geschöpf: Auch wenn oberflächlich alles läuft, d.h. Mails akzeptiert und versandt werden, lauern im Detail viele kleine Fallstricke und Hakeleien. Hier entscheidet sich, ob der Mailverkehr sauber und reibungslos läuft, in der Annahme die Spreu vom Weizen getrennt wird und ob im Versand die Kommunikation mit anderen Mailservern problemlos klappt.

Dieser Vortrag ist keine Einführung in die eigene Spamfilterung, sondern beleuchtet vielmehr, was man alles beachten muß, um nicht von anderen Spamfiltern geblockt zu werden oder um unter jeder Spamwelle erneut zusammenzubrechen. Anders als bei anderen Servern ist es nicht möglich, einen Mailserver einfach nur durch Learning-by-doing aufzusetzen. Denn nur weil etwas erstmal funktioniert heißt das noch lange nicht, dass es optimal und bestmöglichst funktioniert.

Wer durch Trial-and-Error versucht herauszufinden, wie seine Konfiguration auszusehen hat, muß zwangsläufig scheitern – oder er hat einen SEHR langen und mühsamen Weg vor sich, der immer wieder von unzustellbaren und problematischen Mails geprägt ist.

Der Vortrag beleuchtet wertvolles Hintergrundwissen zu Mailservern und gibt klare Anweisung zur Best Practice bei Syntax-Prüfungen (hilfreich!), DNS-Einstellungen (heikel!), Reverse-Lookups (wichtig!), Loadbalancern (überflüssig!), Fail-Over-Szenarien (einfach!), Resource-Einstellungen (überlebenswichtig!) und vielen anderen Möglichkeiten – aber eben auch Unmöglichkeiten, denn mit einigen fixen Spamschutz-Ideen wird aufgeräumt und nachgewiesen, dass man sie besser nicht einsetzen sollte.

Peer Heinlein betreut mit seinem Unternehmen Heinlein Support die Linux-IT mehrerer Hundert Kunden. Er selbst ist seit 1992 auf Maildienste spezialisiert, hat das „Postfix-Buch“ geschrieben und ist für die Mailserver, Spam- und Virenabwehr verschiedener ISPs, Rechenzentren und Unternehmen verantwortlich. Jährlich besuchen viele Hundert Administratoren seine Konferenzen und Linux-Akademie in Berlin.

Lange haben die Anwender auf das Release von "Samba4" gewartet, auf die Implementierung eines Active Directory Servers in Samba. Mit der Version 4.0 (Stand Oktober 2012: 4.0.0rc3) ist der AD-Server für Linux endlich verfügbar! Aber Samba 4.0 ist kein reines Active Directory Release: Die Enwickler haben in einem mehrere Jahre dauernden Prozess die zuvor getrennten Samba-Enwicklungszweige Samba4 (AD) und Samba3 (den als Version 3.X bekannten produktiven Fileserver) zusammengeführt. Damit ist Samba 4.0 zwar die erste Version, die als größte Neuerung den Active Directory Server enthält, aber auch die direkte Fortführung der Samba 3.X Fileserver-Serie.

Der Active Directory Server ist dank des neuen integrierten DNS-Servers komplett autark und bedarf keiner externer kompliziert anzubindender Komponenten mehr. Einfache Domänen sind mit dem mitgeliferten provision Kommando kinderleicht aufzusetzen.

Aber auch als Fileserver-Release muss sich Samba 4.0 nicht verstecken. Nachdem Samba 3.6 grundlegende Unterstützung für Version 2.0 des SMB-Protokolls bereitstellte, wird dies mit Samba 4.0 mit der Unterstützung von so genannten "durable file handles" vervollständigt, geöffneten Dateien, die gegen kurze Netzwerkausfälle gefeit sind. Weiter liefert Samba 4.0 bereits die meisten Features von SMB 2.1 und grundlegende Unterstützung von SMB 3.0, das mit Windows 8 grade erst das Licht der Welt erblickt hat. Weitere Elemente von SMB 3 sind in Entwicklung für Samba 4.1.

Dieser Vortrag beschreibt das Konstrukt, durch das Samba 4.0 die Vereinigung des Active Directory Servers mit dem smbd-Fileserver bewerkstelligt. Es wird auf die Neuerungen in der Konfiguration gegenüber Samba 3 eingegangen, und die unterstützten Setups werden beschrieben. Ebenso wird auf die Neuerungen im Fileserver-Bereich eingegangen, speziell die Erweiterungen des SMB-Protokolls von SMB 2.0 über 2.1 zu den Cluster-Featurs von SMB 3.0.

Michael Adam ist Diplom-Mathematiker und leitet als Software-Entwickler und Consultant die Samba-Abteilung bei der Göttinger SerNet GmbH. Als Mitglied im internationalen Samba-Entwickler-Team und entwickelt er zur Zeit vor allem am SMB-Server und ist auch am Clustering mit der CTDB-Software beteiligt.

Anfang 2012 haben sich die Entwickler von rsyslog, syslog-ng, auditd sowie eine Reihe von anderen am Logging interessierten Personen auf der Fedora Developer Conference getroffen, und „Project Lumberjack“ aus der Taufe gehoben. Ziel des Projekts ist es, auf Basis von offenen Standards (MITRE CEE, in Entwicklung befindlich) und gemeinsammen Verständnis eine interoperable Infrastruktur für strukturiertes Logging zu erstellen. Hierdurch soll es langfristig möglich werden, unterschiedliche, jedoch inhaltsähnliche, Log-Meldungen gleich zu verarbeiten. Kurzfristig bietet Projekt Lumberjack neue Möglichkeiten, log-Informationen eindeutiger und besser verständlich zu übermitteln und zu verarbeiten. Neben Linux-basierenden Implementierungen stehen auch bereits unterstützende Implementierungen auf Windows zur Verfügung.

Im Vortrag wird die Motivation für Project Lumberjack vorgestellt, die (wenigen) technischen Details die zur Interoperabilität notwendig sind, sowie neue Features in rsyslog, die das Arbeiten mit Lumberjack ermöglichen. Dabei wird auch darauf eingegangen, wie Legacy-Meldungen normalisiert und somit in ein strukturiertes Logging-System übernommen werden können.

Dieses Thema ist interessant für alle, die Log-Meldungen aus heterognene Quellen verwalten müssen und nach effzientieren Möglichkeiten suchen, dies zu tun. Ausserdem ist es von Interesse für all dejenigen, die sich einen Überblick über neue Entwicklungen im Logging-Bereich verschaffen möchten, z.B. im Hinblick auf Infrastruktur-Weichenetzungen für die kommenden Jahre.

Rainer Gerhards ist Gründer der Adiscon GmbH, einem kleinen, aber feinen IT-Beratungs- und Softwarehaus in der Nähe von Würzburg. Er gründete das rsyslog-Projekt in 2004 und ist bis heute dessen Hauptautor. Er entwickelt seit 1981 systemnahe Software auf verschiedensten Platformen, unter Anderem Mainframes, Windows und Linux. Darüber hinaus bietet er Consulting im Bereich der System-Infrastruktur an. Im Laufe der letzten 17 Jahre ist Herr Gerhards zum anerkannten Logging Experten geworden. Als Mitglied der IETF syslog-Arbeitsgruppe hat er wesentliche Lösungen zum Reengineering des syslog-Protokolls beigetragen und ist Autor vom Basis-RFC5424 sowie einer Reihe anderer RFCs im logging-Bereich. Seit 2010 ist er darüber hinaus Mitglied im Mitre CEE Board, dass sich die Schaffung eines neuen Standards zur einheitlichen Repräsentierung von IT-Events (und damit Log-Daten) zum Ziel gesetzt hat. Darüber hinaus hat er zu den Gründungsvätern von „Projekt Lumberjack“, das sich der praktischen Umsetzung des CEE-Gedankens verschrieben hat.

Die Entwicklung moderner Dateisysteme teilt sich aktuell in zwei Strömungen: Lokale Dateisysteme wie ZFS oder btrfs verbessern Fehlertoleranz und -erkennung, reduzieren durch Online-Prüfprogramme die nötigen Wartungsfenster oder erhöhen durch intelligente Algorithmen den Datendurchsatz für kritische I/O-Zugriffsmuster. Verteilte Dateisysteme wie GPFS oder Lustre setzen auf Skalierbarkeit, indem sie eine Vielzahl von Fileservern zu einem logischen System zusammenfassen. In ihren zugrunde liegenden, lokalen Datenspeichern verwenden sie jedoch vorwiegend noch traditionelle Speichertechniken.

Das vom Lawrence Livermore National Laboratory (LLNL) initiierte Projekt zfsonlinux.org hat sich zum Ziel gesetzt, beide Welten zu vereinen. Die Data Management Unit von ZFS modernisiert hier den Unterbau des verteilten Dateisystems Lustre. Nach etlichen Widrigkeiten technischer und vor allem nicht-technischer Natur steht das Projekt inzwischen vor dem Abschluss und soll vollständig in die kommende Version 2.4 des Lustre-Dateisystems integriert sein. Seine Praxistauglichkeit beweist der Code allerdings bereits seit langem am Sequoia-Cluster des LLNL, nichts geringerem als dem – Stand Juni 2012 – weltweit schnellsten Supercomputer.

Der Vortrag beschreibt den Werdegang des zfsonlinux.org-Projekts, erläutert die technischen Hintergründe, präsentiert erste Erfahrungen aus eigenen Tests und zeigt auf, warum eine vollwertige Linux-Implementierung für ZFS eigentlich nur ein (willkommenes) Abfallprodukt des Projekts ist.

Daniel Kobras ist als Senior Systems Engineer bei der Tübinger science+computing ag beschäftigt. Dort arbeitet er unter anderem an Speicherlösungen für Kunden der Automobilindustrie.

Änderungen am Linux-Kernel sind keine Seltenheit und eher die Normalität. Im Falle von Sicherheits-Updates ist es sogar sehr zeitkritisch, dass der neue Kern auf den Systemen landet und in Betrieb geht. Im Normalfall erfordert der Austausch auf Kernel-Ebene einen Neustart des Betriebssystems. Dies ist aber manchmal aus operativen Gründen nicht wirklich durchführbar. Abhilfe schafft hier Ksplice, welches ein Patchen des Kernels im laufenden Betrieb ermöglicht.

Der Vortrag gibt Einblick in die Ansätze des Ksplice, erläutert die Architektur und veranschaulicht beides in einer Live-Demonstration.

Dr. Udo Seidel ist eigentlich Mathe-Physik-Lehrer und seit 1996 Linux-Fan. Nach seiner Promotion hat er als Linux/Unix-Trainer, Systemadministrator und Senior Solution Engineer gearbeitet. Heute ist er Leiter eines Linux/Unix-Teams bei der Amadeus Data Processing GmbH in Erding.

Für einen Kunden wurde eine Verfügbarkeitsüberwachung für virtuelle Maschinen implementiert mit dem Ziel, diese bei Problemen automatisch auf demselben oder (falls nicht möglich) auf einem anderen Hypervisor neu zu starten.

Während der Implementierung stellte sich ziemlich schnell die Frage, wie man diese am besten untere möglichst realitätsnahen Bedingungen testen könnte. Die zu überwachende VM einfach abstürzen zu lassen wurde für zu einfach befunden – schließlich erkennt der Hypervisor eine Kernel Panic im Gast und dieser verschwindet dann z.B. aus der Liste der laufenden Gäste.

Eine Lösung des Problems war dann ein Kernelmodul, welches den Linux Kernel ausreichend „beschädigt“, so dass sich dieser aufhängt und dadurch den Überwachungsmechanismus auslöst. Dieses Aufhängen kann in unterschiedlichen Varianten mit verschiedenen Auswirkungen auf das zu testende System ausgelöst werden.

Der Vortrag stellt kurz die Überwachungslösung und das Kernelmodul sowie einige andere interessante Methoden, ein Linux-System „kaputt“ zu machen vor.

Stefan Seyfried beschäftigt sich seit über 10 Jahren hauptberuflich mit Linux in allen Varianten. Zunächst war er als Systemadministrator bei der SUSE Linux GmbH in Nürnberg tätig. 2004 wurde er Entwickler für mobile Endgeräte, Hardware Enablement und Systemintegration. Dabei lernte er Probleme in allen Bereichen- vom Bootloader bis zum Desktop- zu analysieren und zu beseitigen. 2009 war er für die Sphairon Access Systems als Entwickler für Wireless Technologies tätig und unterstützt seit 2010 die B1 Systems GmbH als Consultant und Entwickler. Wenn er keine Server virtualisiert oder andere kniffligen Probleme löst, kümmert er sich in seiner Freizeit um Embedded Linux Systeme aller Art.

Linux und Oracle Solaris bieten beide sehr fortschrittliche Methoden zur Organisation und Speicherung von Daten auf Festplatten. Auf Linux-Seite bietet das Btrfs-Dateisystem mittlerweile eine Reihe von sehr interessanten Funktionen, die weit über das hinausgehen, was die „herkömmlichen“ Linux-Dateisysteme bisher so zu bieten hatten. Bei Oracle Solaris-Anwendern gewinnt das ZFS-Dateisystem aufgrund seiner weitreichenden Möglichkeiten mehr und mehr an Popularität.

Einerseits haben Btrfs und ZFS viele Gemeinsamkeiten; beide unterstützen sehr große Dateien und Dateisysteme, bieten integrierte Volume-Management Funktionalität, Dateisystem-Snapshots und unterstützen die Sicherstellung der Datenintegrität mit Techniken wie Copy-on-Write, Checksummen und RAID.

Trotz dieser Gemeinsamkeiten werden beide Dateisysteme unabhängig voneinander entwickelt und unterscheiden sich daduch in vielen Dingen und Implementierungsdetails. In diesem Vortrag wollen Ulrich Graef und Lenz Grimmer einige der Gemeinsamkeiten und Unterschiede dieser Dateisysteme hervorheben und den Zuhörern einen allgemeinen Überblick über den aktuellen Stand der Entwicklungen geben.

Dabei soll es nicht darum gehen, einen Sieger zu küren oder einen Flamewar zu entfachen. Beide Systeme werden ohne Wertung gegenübergestellt – es bleibt dem Zuhörer überlassen, sich für die jeweils besser geeignete Lösung zu entscheiden.

Lenz Grimmer ist bei Oracle als Produktmanager für die Oracle Linux Distribution tätig. Er war von 2002 bis 2011 im MySQL-Team als Release Engineer und Community Relations Manager beschäftigt. Davor arbeitete er vier Jahre bei der SuSE Linux AG in Nürnberg als Distributions-Entwickler.

Ulrich Gräf ist Systemberater im Bereich Storage und Solaris-Spezialist bei Oracle und arbeitet seit mehr als 20 Jahren im Solaris-Umfeld. Nach einer Tätigkeit in der Vertriebsunterstützung in der Finanz-Branche war er am Aufbau des Benchmark-Zentrums für Deutschland beteiligt. Seit 2000 betreut er deutschlandweit die Themen Solaris, Storage, große Architekturen und Performance.

Linux auf ARM kennt fast jeder und haben viele auch im Smartphone. Aber bald auch auf dem Server im Rechenzentrum?

2013 könnte der Beginn von ARM in Rechenzentren sein. Mit der ersten ARM System-on-Chip Server Systemen 2012 und initialer Linux Kernel Unterstützung von Aarch64 (64bit ARM) wird ARM für den Enterprise Server Bereich langsam aber sicher greifbar. Nach dem Jahr der Cloud und immer stärker vertretenen Scale-Out Technologien ist der Bedarf nach vielen und sparsamen Serversystem größer denn je.

Der Vortrag gibt eine Überblick über die aktuellen Linux-Entwicklungen in Sachen ARM SoC und welche bedeutend sind für den Server-Bereich. Des Weiteren wird gezeigt, in welchen Anwendungsfällen ARM-Serversysteme herkömmliche x86-Serversysteme ersetzen können und in welchen nicht, außerdem eine ARM Server Landschaft aussehen könnte – bestehend aus knapp 200 Cores auf knapp 50 einzelnen Linux-Systemen in einem Gehäuse, das insgesamt nur wenige hundert Watt verbraucht. Und schließlich, wie der Portierungsaufwand von ARM nach x86 deutlich gesenkt werden kann.

Daniel Gollub ist bei B1 Systems GmbH als Software-Entwickler in verschiedensten Open Source Bereichen tätig. Das Spektrum reicht von Linux Kernel Entwicklung über Toolchain bis hin zu Testautomatisierung und Desktop Entwicklung. Für B1 Systems sind seine Schwerpunkte bei Linux Kernel nahen Themen, Debugging sowie Beratung bezüglich Software Qualitätssicherung. Er ist seit 2005 aktiver Beitragender in zahlreichen Open Source Projekten. Bis 2009 war er bei SUSE/Novell an der Entwicklung verschiedener Linux Produkte beteiligt. Seit 2010 beteiligt er sich im Auftrag von B1 Systems an verschiedenen Open Source Projekten und unterstützt deren Entwicklung. Seine Vorlieben sind hartnäckigen Software Problemen auf die Schliche zu kommen, sowie den Ablauf zu Programmen analysieren und beschleunigen. Unter anderem auch mit Perl.

Nach der Übernahme von Sun durch Oracle wurde die OpenSolaris-Distribution nicht mehr weiter gepflegt, und die als Open Source durchgeführte Entwicklung findet wieder hinter verschlossenen Türen statt.

In diese Lücke stieß zunächst Illumos. Ziel der Initiatioren von Illumos ist eine freie und vollständige Version einer Solaris-kompatiblen Systemumgebung. Bald entwickelten sich diverse Distributionen um diesen Kern: OpenIndiana, SmartOS, Belenix, illumian, OmniOS, StormOS, DilOS und noch diverse weitere.

Dabei reicht die Palette vom Ein-Mann-Hack (Tribblix) bis zum kommerziell verwendeten Cloud-Provisionierungs-Tool (SmartOS). In diesem Vortrag werden einige Distributionen näher beleuchtet und ihre Zielsetzung, die handelnden Personen und die herausragenden Features dargestellt.

Zum Schluss wird ein wenig darüber philosopiert, was den „Geist“ von OpenSolaris ausgemacht hat, und ob es tatsächlich so etwas wie einen Nachfolger von OpenSolaris gibt.

Volker A. Brandt ist zusammen mit seinem Bruder Inhaber einer kleinen Firma, die sich auf heterogene RZ-Infrastruktur mit Schwerpunkt Solaris spezialisiert hat. Er beschäftigt sich mit Systeminstallationen, Data Center Automation, Paketierung, und systemnaher Programmierung. Er hat bereits einige Vorträge und Workshops über Solaris 10 und 11, AI, IPS und verwandte Themen gehalten und redet gerne, viel und oft über Solaris.

Für heutige Webapplikationen ist es erforderlich eine Vielzahl von Anfragen in kurzer Zeit zu bearbeiten und/oder eine große Anzahl gleichzeitiger Verbindungen zu bedienen. Hierbei steht oftmals die Auslieferung von ganz oder zeitweise statischen Inhalten (zum Beispiel Bildern und JavaScript) im Vordergrund. Mit den richtigen Mitteln ist es möglich einen Großteil der Last vom Webserver auf stark optimierte Caching-Systeme zu verlagern. Eine sehr flexible Lösung stellt hierbei „varnish“ zu Verfügung.

Praxiserfahrungen zeigen, dass durch effektives Caching bis zu 98% aller http-Anfragen durch einen vorgeschalteten varnish-Cache bedient werden können. Die so gewonnenen Ressourcen auf den Backend-Systemen stehen hierbei der Applikation zur Auslieferung dynamischer Inhalte zur Verfügung. Anhand von Regeln lässt sich die Last über verschiedene Backend-Systeme verteilen, individuelle Haltezeiten oder Abhängigkeiten der Inhalte von bestimmten Client-Merkmalen realisieren.

Im Vortrag wird der Einsatz von regelbasiertem Caching inkl. Skripting-Möglichkeiten mit alltäglichen Applikationen wie z.B. TYPO3 gezeigt. In Verbindung mit dem Content-Management-System lassen sich Inhalte jederzeit einfach und kurzfristig bearbeiten. Trotz langer Haltezeiten kann der Cache durch aktive Benachrichtigungen seitens des CMS über geänderte Inhalte stets aktuelle Inhalte zur Verfügung stellen. Spezielle Lösungen wie z.B. Benutzergruppen-abhängiges Caching sind durch Nutzung der Varnish Configuration Language (VCL) individuell realisierbar.

Stefan Neufeind ist Geschäftsführer der SpeedPartner GmbH, einem Internet-Service-Provider für kleine/mittelständische Unternehmen. Im Fokus stehen Realisierung und Betrieb von Web- und Portallösungen (z.B. mittels TYPO3, Magento und OpenEMM). Hierbei bilden Entwicklung und Consulting kombiniert mit Domain-/DNS-Diensten und maßgeschneiderten sowie lastverteilten/redundanten Hosting-Lösungen aus erster Hand eine ideale Kombination. Für Kunden betreibt SpeedPartner Portallösungen, die mittels individuell abgestimmtem Caching von Webinhalten eine Anwendungen beschleunigen, Applikationsserver entlasten und eine flexible Lastverteilung ermöglichen.

Der Arbeitsalltag von Administratoren und Programmierern ist durchsetzt von Störungen und Unterbrechungen. In der Fachliteratur wird berichtet, dass im Durchschnitt alle 11 Minuten Störungen am Arbeitsplatz auftreten. Unser Gehirn benötigt danach bis zu 15 Minuten, um sich wieder in die ursprüngliche Arbeitssituation zurück zu versetzen. Arbeitsqualität und Effizienz sinken.

Störungen können durch externe Faktoren wie E-Mail, Instant Messaging, anfragende Kollegen, Kunden und Chefs und durch interne Faktoren wie Unkonzentriertheit, Hunger, Durst oder Müdigkeit ausgelöst werden. Manch eine Störung führt zu einer Unterbrechungen des aktuellen Arbeitsprozesses.

Der Vortragende analysiert die Charakteristiken von Störungen und erläutert, wie unser Gehirn damit umgeht. Durch das Wissen um die psychologischen und neurologischen Prozesse können die negativen Folgen von Störungen gemindert werden.

Neben Tipps zum Umgang mit Unterbrechungen und Störungen gibt der Vortragende auch Hinweise, wie das eigene Arbeitsumfeld und die Kommunikation im Team und mit anderen optimiert werden können. Er zeigt außerdem, wie durch Timeboxing Unterbrechungen gezielt zur Steigerung der Produktivität und Kreativität eingesetzt werden können. Dazu zieht er aktuelle Forschungsergebnisse der NASA und praktische Erfahrungen aus dem Alltag von Administratoren und Programmierern heran.

Karsten Schulz leitet das Linux Systemhaus Schulz in Dortmund, welches Dienstleistungen rund um Linux Server, Firewalls, Netzwerke und Open Source anbietet. Seine weiteren Standbeine sind die Auftragsprogrammierung von Speziallösungen und die Beratungstätigkeit als externer Datenschutzbeauftragter. Seit Anfang 2000 ist er zudem als Trainer in der Erwachsenenbildung aktiv, bildet Anwendungsentwickler aus und führt Seminare in den Bereichen Softwareentwicklung und Lifehacker Methoden durch.

Loadbalancer werden nicht nur zur Lastverteilung, sondern auch zur Fehlertoleranz einzelner Systeme eingesetzt. Um Ausfälle von kritischer Infrastruktur bis hin zu ganzen Rechenzentren abzufangen, ist oft auch ein georedundanter Betrieb nötig. In diesen Anwendungsbereichen setzt 1&1 Tausende von Realservern mit Hunderten von Linux-IPVS-basierten Loadbalancern ein.

Die bestehenden IPVS-Loadbalancer sind nach unterschiedlichen Kriterien gewachsen, jeweils mit eigenen Stärken und Schwächen.

Um diese Schwächen zu lösen, Stärken zu bündeln und eine einheitliche, zuverlässig administrierbare Loadbalancer-Plattform anbieten zu können, wurde ein internes Framework entwickelt. An erster Stelle stand dabei eine vereinfachte Konfiguration der Systeme durch eine abstrakte Beschreibung, das Vermeiden von Redundanzen, Fehlerprüfungen und starke Automatisierung.

Seit August 2012 ist ein Prototyp im Hause für interne Dienste im Einsatz und im November ist der Livegang der ersten öffentlichen Dienste geplant.

Jan Walzer arbeitet seit 2011 als Systemadministrator bei der 1&1 Internet AG und treibt dort unter anderem die Entwicklung des genannten Frameworks voran.

Zuvor war er Jahrelang als Netzwerkconsultant im Bereich Loadbalancing angestellt. Seine ersten Erfahrungen mit Linux sammelte er privat 1997 und beschäftigte sich seit 2003 auch beruflich damit.

Freelancer in der IT, das muss beneidenswert sein. Kein Chef, von dem man abhängig ist, sich die spannendsten Projekte aussuchen können, und dann noch einen fünfstelligen Betrag jeden Monat überwiesen bekommen – das muss das Paradies sein. Oder?

Denn es gibt auch viele Fragen:

• Muss man für so etwas nicht ein ganz bestimmter Typ sein, und woher weiß ich, ob ich das bin?
• Wie komme ich auch als One-man-show an gute Projekte und was sind eigentlich Bodyleaser?
• Wie hoch darf, wie hoch muss mein Honorar sein?
• Welche juristischen Fußangeln sollte ich vermeiden und welchen Fettnäpfchen ausweichen?
• Wie werde ich gut Freund mit dem Finanzamt?
• Wie ist das mit der Haftung, der Scheinselbständigkeit, der Verlängerungsoption und dem Kundenschutz?
• Wie entgehe ich der „Projektfalle“?
• Was ändert sich sonst noch, wenn ich selbständig bin?

Martina Diel klärt in ihrem Vortrag Vorzüge und Nachteile, Chancen und Probleme des Lebens einer ganz besonderen Species: des IT-Freelancers. Mit provokanten Thesen und praktischen Beispielen zeichnet sie ein realistisches Bild von der Selbständigkeit in der IT-Branche und gibt wertvolle Hinweise für eine erfolgreiche Tätigkeit als freier Mitarbeiter in IT-Projekten

Martina Diel, Jahrgang 1966, ist nach einem geisteswissenschaftlichen Studium seit Mitte der 90er Jahre als Consultant, Projektleiterin und Projektmanager vorwiegend in Banken tätig, seit Mitte der 2000er Jahre als Freelancer. Angeregt durch die Erfahrungen mit dem Recruiting von freiberuflichen und festangestellten Mitarbeitern für Projekte gründete sie im Jahr 2006 „Ziele – Wege – Perspektiven“, ein Unternehmen, das sich mit Beratung und Coaching von Einzelpersonen rund um Bewerbung und Beruf befasst – der Schwerpunkt liegt dabei auf Kunden aus der IT-Branche. Seit rund zehn Jahren Jahren ist Martina Diel mit unixoiden Betriebssystemen als Anwenderin vertraut und arbeitet privat sehr zufrieden mit debian. 2008 erschien im O'Reilly-Verlag ihr „IT-Karrierehandbuch“, das mittlerweile in der 3. Auflage erhältlich ist.