Zugschlusbeobachtungen (Entries tagged as linuxtag)

Linuxtag 2005

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Fri, 24 Jun 2005 22:00:00 +0200

Meine Impressionen vom Linuxtag 2005

Karlsruhe ist auch ein halbes Jahr nachdem ich weggezogen bin ein Dorf. In der Strassenbahn vom Bahnhof zum Supermarkt treffe ich Meike, und wir verabreden uns zum Mittagessen.

Die Ausstellungshalle ist nicht merkbar weniger bevölkert als in der Vergangenheit. Die Besucher scheinem dem Linuxtag die Abkehr von der Kostenfreiheit nicht übel genommen zu haben, oder man hat so viele Einladungen verschickt, dass doch wieder kaum einer Geld bezahlt hat. Die Mädels, die am Eingang die Badges prüfen, sind allerdings eine Augenweide.

Auf den ersten Blick sieht man wenig große Namen im Ausstellerverzeichnis. Microsoft ist wieder mit dabei, und diesmal sogar mit einem Stand mit Inhalt: Man präsentiert die Services for UNIX, und das neue Windows-Sicherheitskonzept. Hübsch gemacht, und es wird sich später herausstellen, dass der beste von mir gehörte Vortrag des diesjährigen Linuxtags der Vortrag eines Microsoft-Mitarbeiters sein wird.

Die Messe-Mafia hat die letzten Enklaven der bezahlbaren Gastronomie erfolgreich ausgerottet: Jolt wird inzwischen auch vom Vertragscaterer verkauft (zum doppelten Preis, versteht sich), und die KaLUG darf im Internetcafé keinen Kaffee ausschenken. Pfui, Messe Karlsruhe. Glück für die Donerbuden drumrum.

Das Internetcafe ist großzügig mit Hardware und Switchports ausgestattet, und ich nutze das Angebot für den ersten Schwung Blogartikel. Überhaupt ist das Messenetz dieses Jahr recht seltsam konfiguriert - Web geht nur über einen Proxy, Port 25 ist ausgehend gesperrt, 587 auch, so dass ich mir auf dem Debian-Stand anhören muss, warum exim nicht in der Lage ist, direkt ssmtp zu sprechen. Inzwischen weiss ich: Exim kann das tatsächlich nicht. Muss Philip nochmal einen Wishlist-Bug reindrücken. In den Vortragsräumen im Keller gibt es kein Wireless LAN, das im Practical Linux Forum geht nur, wenn es grad mal will. Strom in hinreichender Menge gibt es auch nur im Internetcafe, und nicht in den Vortragsräumen. Dabei wäre es so praktisch, den Akku bei der Gelegenheit, dass man einem Vortrag lauschen möchte, wieder aufladen zu können.

Links auf die Vortragsmanuskripte kann ich leider keine liefern - der Linuxtag möchte noch zusätzlich Kohle machen, und verkauft die Manuskripte auf der Messe-DVD. Download ist nicht. Pfui.

Ich besuche folgende Vorträge:

Donnerstag

Peer Heinlein: Greylisting und SPF
Carsten Brunke: Alternativen zu Exchange, Bernhard Reiter: Kolab 2
Den Rest des Tages verbringe ich in der Messehalle und unterhalte mich mit bekannten und unbekannten Menschen.

Freitag

Jürgen Pfeifer: Windows Services for UNIX
Dirk Primbs: Privacy in a connected world
Alasdair Kergon: LVM2
Kurt Pfeifle und Fabian Franz: NX
Jens Kruse: “Nagios und Strukturen”
Die Messehalle habe ich am heutigen Tag kein einziges Mal betreten.

Linuxtag - Nagios und Strukturen

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Fri, 24 Jun 2005 18:00:00 +0200

Jens Kruse, eCONNEX AG, spricht über Strukturierte Überwachung von Diensten mit Nagios.

Die Vortragsfolien sind von eCONNEX herunterladbar.

Wertung: Guter Ansatz, aber ausbaufähig

Das ist glücklicherweise nicht nur eine simple Einführung in das, was Nagios kann, sondern der Vortrag enthält auch Hinweise über das Design der Überwachungsstruktur.

Gängige Fehler beim Entwurf einer Überwachung sind:

Nur Host-Überwachung
Keine Eltern-Kind-Beziehungen
Flache Hierarchien
Keine Abhängigkeiten

Deswegen sind die folgenden Entscheidungen zu treffen:

Netzwerkaufnahme, Abbildung der logischen Netzwerkstruktur mit Eltern/Kind-Beziehungen
Welche Dienste werden überwacht
Abhängigkeiten der Dienste untereinander
Abfrage von überwachenden, aber auch überwachten Rechnern durch Firewall

Beim Design für Alarmierung muss man für jeden Dienst entscheiden, ob einen Alarmierung überhaupt erfolgen soll, an wen und wann. Die Eskalationsstufen sind ebenfalls zu definieren.

Zu kurz kommt leider die Lösung der mir aus meiner Vergangenheit mit Netsaint bekannten Probleme mit multiplen Abhängigkeiten. So kann zum Beispiel in einem Ring eine Störung nicht durch “ping” erkannt werden, da sich das Datenpaket automatisch einen anderen Weg zum Ziel sucht und kein Host “down” geht. In anderen Fällen kann eine Störung in einem wichtigen Dienst wie DNS andere Dienste beeinflussen. Diese Abhängigkeiten konnte man damals bei Netsaint nicht befriedigend in der Konfiguration abbilden, und die sehr hilfreichen Antworten von Jens auf meine Fragen (“Dann muss man das halt sauber designen”) tragen nicht dazu bei, mich in den Glauben zu bringen dass diese Herausforderungen inzwischen behoben sind.

Je mehr Gedanken man sich über die Geschichte macht, desto komplexer wird die Lösung, die man eigentlich bauen sollte. Mehrstufige Konzepte - ob nun verteilt, redundant oder failover - sind Herausforderungen, die man heute mit einigem Aufwand bereits realisieren kann, aber noch nicht so wirklich richtig von der Software unterstützt.

Der Vortrag endet mit einem Ausblick darauf, was in den nächsten major releases noch mit Nagios geschehen wird. Es gibt eine relativ klare Roadmap, die Nagios’ Schicksal in den nächsten Jahren schon voraussehen lässt. Es gibt viel zu tun, und das Programm wird immer besser.

Schön, dass Jens sich nicht darauf beschränkt hat, die Featureliste vorzulesen, sondern auch aus der Erfahrung gesprochen hat, worauf man achten muss beim Design. Schade, dass nix dabei war, was man sich nicht mit ein bisschen Erfahrung und Hirnschmalz auch selbst hätte denken können.

Linuxtag - NX - Dauerwerbesendung

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Fri, 24 Jun 2005 17:00:00 +0200

Kurt Pfeifle und Fabian Franz reden über NX und zeigen - wie man es schon gewohnt ist - Weltpremieren.

Wertung: Viel Lärm um ein gutes Produkt.

Warum ist X über das Netz langsam? X-Server und -Client sind verhältnismäßig eng miteinander gekoppelt, und es sind etliche Roundtrips notwendig, um eine Grafikoperation abzuschliessen. So dauert es über eine 9600-bps-GSM-Datenverbindung sieben Minuten, bis ein Mozilla gestartet ist.

NX schiebt in diese Kommunikationsbeziehung einen Proxy dazwischen, der über ein eigenes Protokoll mit seinem Client kommuniziert. Durch effektives Protokolldesign, exzessives Caching und Kompression lässt sich der oben erwähnte Mozilla-Start auf 20 Sekunden verkürzen.

Wenn nicht X, sondern RDP (Windows Terminal Services) oder RFB (VNC) ersetzt werden soll, ist die Steigerung der Effizienz immer noch über einen Faktor von 5 bis 7.

Nach dieser Einführung lässt Kurt die Katze aus dem Sack: Der bisherige Teil des Vortrags wurde über eine remote NX-Session auf den Beamer geworfen. Er connected ein paarmal wild durch die Gegend, schließlich auf eine S390 und ein Windows-System.

Wenn ich Kurt richtig verstanden habe, benutzt NX keinen eigenen Daemon, sondern wird über ssh transportiert. Auf diese Weise hat man keine weitere Exposure auf Netzwerkebene.

Schliesslich zeigt Fabian die neue Version des NX-Clients (closed souce, free as in free beer) mit dem dazugehörigen GPL-Server, der einige neue Features bietet. So können Applikationen in einer disconnecteten NX-Session inzwischen wie bei RDP weiterlaufen, das Clientfenster kann während der Session seine Größe verändern, und man kann aus der Session
auf den am Client verfügbaren Druckern drucken. Das wird dadurch erreicht, dass eine CUPS-Session über SOCKS getunnelt
wird, ist für den Benutzer aber völlig transparent: Die lokal konfigurierten Drucker tauchen im kprinter der Session auf als wären sie immer schon da gewesen.

Der ganze Vortrag ist ziemlich unverblümt verpackte Werbung für NX und den Anbieter Nomachine, die zweifelsohne hervorragende Arbeit abgeliefert haben und die die Entwicklung der offenen Komponenten unterstützen. Etwas mehr technischen Inhalt hätte ich mir trotzdem gewünscht. Offene Frage: Geht das nur mit KDE, oder gibt es auch für GNOME oder herkömmliche Windowmanager vergleichbar gute Integration?

Linuxtag - XEN überfüllt

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Fri, 24 Jun 2005 12:00:00 +0200

Der XEN-Vortrag fällt für mich leider aus. Die Leute stehen bis auf den Gang raus. Nein, das tu ich mir nicht an. Schade - das war der Vortrag, wegen dem ich eigentlich heute hier bin.

Linuxtag - Privacy in a connected world

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Fri, 24 Jun 2005 12:00:00 +0200

Dirk Primbs (Microsoft Deutschland) spricht über Privacy.

Wertung: Insightful

Ein Vortrag, der zu großen Teilen auch auf einer CCC-Veranstaltung “on topic” gewesen wäre, kam von einem weiteren Microsoft-Mitarbeiter. “Privacy in a connected world” berichtet von Datenschutz und Security von einem technischen Standpunkt (“Privacy mit technischen Noten”), nachdem darauf hingewiesen wurde, dass Datenschutzvorträge sehr oft aus einem administrativ-juristischen Standpunkt gehalten werden.

Kurz geht er auf das Datenschutzrecht (“Grundsatz der Datenvermeidung”) ein und erwähnt auch, dass jeder Programmierer sich eigentlich ständig überlegen sollte, ob er das was er da tut überhaupt darf.

Dirk trägt gut und lebhaft vor (“Wir arbeiten immer nach dem größten Vorteil für Micros, äh, den Nutzer”) und zeigt einen durchaus kritischen Umgang mit neuen Techniken. Trustworthy Computing ist natürlich mit seinen vier Untergruppen Security, Privacy, Reliability und Business Practices ein großer Teil des Vortrags, und er erklärt auch, was Microsoft unter dieser Maßgabe versteht.

Er erklärt, wie die Unternehmensstruktur an “Trustworthy Computing” angepasst wurde, und welche Grundsätze für alle Microsoftmitarbeiter von A bis Z gelten. “Wir sind die guten” steht zwischen allen Zeilen, und ich kann ihm mindestens teilweise in dieser Argumentation folgen.

Ein Punkt seiner Argumentation ist, dass die Security heutzutage oft auf dem Perimeter konzentriert wird, während die wirklichen Sicherheitslöcher weiter innen sind. Die Security Efforts müssen sich auf dem Datenstrahl Richtlinie, Physische Sicherheit, Perimeter, Netzwerk, Host, Anwendung, Daten weiter nach “hinten” verschieben, wenn wir Sicherheit haben wollen. Vorne eine dicke Firewall, und hinten eine zusammengestümperte Anwendung führt zu solchen Dingen wie dem aktuellen Kreditkarten-Hack.

Eine kurze Vorführung der neuen Antispyware-Anwendung aus dem Hause Microsoft lockert den Vortrag ein wenig auf, der schließlich mit ein paar Döntjes aus dem Leben (“Mein Vater ist der einzige Mensch auf Erden, der Fehlermeldungen schneller wegklickt als sie gezeichnet werden”) abschließt. Dabei kommt dann leider auch noch ein Stück Fehlinformation raus, denn eine Firewall schützt ja eben gerade nicht dagegen, dass sich der Anwender ein Trojanisches Pferd einfängt.

Linuxtag - Windows Services for UNIX

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Fri, 24 Jun 2005 11:00:00 +0200

Jürgen Pfeifer von Microsoft hält einen sehr guten Vortrag über “Services for UNIX”

Wertung: Der für mich beste Vortrag des Linuxtags

Der erste Vortrag des Freitags ist für mich der Vortrag über Microsoft Services for Unix. Der Referent, Jürgen Pfeifer, ist ein alter Hase in der Softwareentwicklung, hat viele Jahre UNIX-Erfahrung (ist unter anderem der führende Autor von ncurses) und ist seit Ende der 90er “Senior Architecture Evangelist” bei Microsoft. Am Anfang kann er sich den “Schwanzlängenvergleich” nicht verkneifen und ist tatsächlich derjenige im Raum, der sowohl auf die längste UNIX-, als auch auf die längste Linux-Erfahrung zurückblicken kann.

Durch seinen Background in der Software-Entwicklung kommen die Tool-Aspekte der Microsoft Services for UNIX leider zu kurz. So wird nur erwähnt, dass ein Windows-Server mit SFU zu einem NFS- und einem AD-integrierten NIS-Server wird. Schade, das ist für mich das eigentlich interessante.

Der Rest des Vortrags erklärt, dass Windows mit SFU zu einem vollständigen und POSIX-konformen, modernen UNIX wird. Es gibt ein Single-Rooted Filesytem, /proc und numerische PIDs, und sogar einen GCC. Wir bekommen praktisch gezeigt, wie sich ncurses mit dem klassischen Dreikampf “configure; make; make install” auf SFU kompileren lässt. Er erwähnt, dass größtenteils auf NetBSD-Code zurückgegriffen wird und auch das Packagemanagement von NetBSD ausgeliehen ist.

Eins der Ziele der Services for UNIX ist die Herstellung einer Plattform, die den Einsatz von UNIX-Anwendungen in der Windows-Welt ermöglicht, ohne den hohen Portierungsaufwand zu haben. Kommunikation zwischen UNIX- und Windows-Anwendungen auf derselben Maschine ist rasend schnell möglich, da sowohl das Win32- als auch das UNIX-Subsystem auf dieselben Mechanismen (Shared Memory, Semaphoren etc) zurückgreifen können.

Weniger überzeugt hat mich die Vorführung von SFU in Verbindung mit .NET. Mit wenigen Zeilen Code wurde eine .NET-Anwendung erstellt, die die Ausgabe einer Kommandozeilenapplikation in ein Array parsed und per Webservice einem auf einem PDA laufenden Client zur Verfügung stellt. Ich bin mir nicht sicher, ob man zumindest diese einfache Demo mit PHP nicht genauso gut hinbekommen hätte. Ich kenne .NET zu wenig, um zu beurteilen, wie gut das für komplexere Anwendungen taugt.

Qualitätsurteil: Gut.

Linuxtag - Alternativen zu Exchange

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Thu, 23 Jun 2005 15:00:00 +0200

Auf dem Linuxtag redet Carsten Brunke über Alternativen zu Exchange, und Bernhard Reiter über Kolab

Wertung: Informativ, Businessrelevant

Freie Softwarepakete, die als Alternative zu Microsoft Exchange antreten, gibt es inzwischen wie Sand am Meer. Die Art und Weise der Ausführung ist freilich bei den einzelnen Programmen unterschiedlich wie Tag und Nacht. Manche Anwendungen kommen als reine webbasierte Software, andere haben eigene Clients und wieder andere setzen auf Outlook auf.

Wirklich rüber kommt aber nur eine Aussage: Wenn es um eine große Installation geht, skalieren viele der offenen Lösungen nicht so wirklich. Ausserm ist der Ansatz der Exchange-Ersatz-Server - natürlich - eher Windows-Like (Alles aus einer Hand), was der klassischen Philosophie unixoider Systeme (“one job, one tool”) eher widerspricht. Aber der Markt will es halt so.

Gemischte Gefühle.

Linuxtag - Peer Heinlein über Greylisting und SPF

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Thu, 23 Jun 2005 13:00:00 +0200

Peer Heinlein spricht auf dem Linuxtag über Spamfilter, Greylisting und SPF, und verteilt dabei leider einen Haufen Halbwissen und Desinformation.

Wertung: Zeitverschwendung

Peer hält den für mich ersten Vortrag des Linuxtags 2005 und spricht über Greylisting und SPF. Er verwendet dafür die Folien seiner “Wanderpredigt”. Dem entsprechend lässt er die Hälfte des Stoffs weg, springt verhältnismäßig wild in der Präsentation hin und her und lässt nicht aus, ständig darauf hinzuweisen, dass er in diesem Bereich auch Dienstleistungen anbietet.

Er spricht sehr schnell, was es nicht wirklich einfach macht, ihm im Vortrag zu folgen oder gar zu verstehen, welche Informationen er zwischen den Zeilen zu transportieren versucht. Ich denke, viele Leute lieben ihn, weil er eine “gute Show” abliefert. Leider wird mir nicht klar, ob er nun für oder gegen Greylisting und SPF argumentieren möchte, denn er widerspricht sich nicht nur einmal. Tendenziell wischt er die Gegenargumente eher vom Tisch als die Argumente für diese Maßnahmen.

Den Vortrag beschließt er mit etwas Statistik. Leider sind die Zahlen veraltet, so dass aus der Statistik nicht hervorgeht, wie effektiv Greylisting und SPF nun wirklich sind - denn die Zahlen kommen aus einer Zeit, als er diese Methoden noch nicht einsetzte. Interessanterweise verlässt sich sein Spamfilter wirklich hauptsächlich auf DNS-basierte Blocklisten wie die DUL, und der Frage nach der durch diese Listen erzeugten False Positives weicht er aus: “Es hat sich noch niemand beschwert.”

Ich gehe mit sehr gemischen Vorträgen aus dem Vortrag raus. Gut, dass ich mir auch mal einen Vortrag von Peer angehört habe - denn so kann ich seine Veröffentlichungen in den richtigen Kontext stellen.

Linuxtag - Ports

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Thu, 23 Jun 2005 13:00:00 +0200

Auf dem Ports-Stand zeigen die Liebhaber historischer Hardware wie immer ihre Schätzchen.

Heute hat mir ein Stück Hardware von Karsten besonders gut gefallen - ein RS6000-Notebook von IBM, geschätzt zehn Jahre alt, mit eingebauter Kamera. Gegenüber dem letzten Jahr hat das Schätzchen inzwischen auch Grafik, und es läuft ein X, mit dem man sogar leidlich gut arbeiten kann.

Die Kamera wird man freilich wohl nicht mehr zum laufen bringen, das ist ein Spezialdesign von S3. Trotzdem: Mein Glückwunsch zu so viel funktionstüchtiger non-Mainstream-Hardware.