Ubuntu

Die letzten Jahre hatte ich verschiedene Homeserver im Einsatz, der Erste war ein Flepo Alpha, welcher aber schon ca. 2010 durch einen leistungsfähigeren Atom ersetzt wurde. Durch ein neues Backupkonzept, welches ich hier demnächst vorstellen möchte, ist aber deutlich mehr Leistung erforderlich. Konkret geht es dabei um die Unterstützung von AES-NI durch die CPU, denn meine Daten sollen auch in den eigenen vier Wänden zukünftig nur noch verschlüsselt vorhanden sein. AES-NI Lange Zeit war diese CPU-Erweiterung nur den Intel Core i7 Prozessoren vorbehalten, welche für einen Homeserver meist zu teuer und ineffizient (Energie!) sind. Seit einiger Zeit gibt es jedoch Prozessoren aus der Intel Core i3 Serie, wie z.B. den Intel Core i3 4130T, welche ebenfalls AES-NI unterstützen. Moderne Intel (und wohl auch AMD) Prozessoren unterstützen dabei schon seit einiger Zeit viele von Notebooks bekannte Energiesparfunktionen, welche dabei helfen den Verbrauch ohne Last (Idle) deutlich zu senken. ...

Gestern Abend habe ich, vor lauter Wut im Bauch, auf Google+ etwas über die "guten" alten Dienste atd, crond und logrotate geschrieben. Der Beitrag war mit insgesamt 114 Zeichen natürlich nicht sonderlich ausführlich, hat aber trotz dieser kürze einige Menschen zum Kommentieren motiviert. Mein Post auf Google+ entstand durch den Umstand, dass ich mal wieder mit diesen sehr alten Unix Tools einen Fehler suchen durfte, den es so mit modernen Lösungen (z.B. journald, Timer Units) nicht geben würde. ...

Ich verwende auf all meinen Systemen, mal von diesen Android Spielsachen abgesehen, stets LVM zur Verwaltung der vorhandenen Datenträger. Der Vorteil ist, dass ich auf eine umfangreiche und schlecht änderbare Partitionierung verzichten kann, dazu kommen noch einige sehr praktische Features von LVM wie z.B. Snapshots oder die Möglichkeit Volumes online in der Größe ändern zu können. Das Problem Ich habe mir mittlerweile für sehr viele Fremde, also nicht von mir installierte, Systeme Zugang verschafft. Dort fällt mir sehr oft auf das zwar LVM verwendet wird, jedoch meiner Meinung nach falsch. Hintergrund ist das dort in der Regel eine große Volume Group existiert, und dort sind genau 2 Volumes enthalten: Swap mit 1-2 GiB, der Rest vollständig für das /-Dateisystem. In der Praxis sieht das dann so aus: ...

Nicht erst durch die Geschichte mit der NSA verschlüsseln viele Anwender ihre Festplatten, was auch sehr sinnvoll ist. Dennoch halten sich die Mythen hartnäckig das die Performance darunter leidet und man daher darauf verzichten sollte oder die in Festplatten eingebaute Verschlüsselung genutzt werden sollte. Die Implementierung in einer Festplattenfirmware kann nicht geprüft werden, es ist egal welche Performance diese liefert, wenn nicht sicher ist ob und wie verschlüsselt wurde. Hersteller versprechen gerne, dass hierbei AES verwendet wird, zum Thema ECB und Co schweigen die Datenblätter aber gerne. Ich selbst stehe technischen Daten von Herstellern stets skeptisch gegenüber ;) ...

Durch die Migration einiger großer Internet Provider in Richtung IPv6, unabhängig von dessen technischer Umsetzung, häufen sich bei mir die Anfragen, wie es den mit der Privatsphäre aussieht. Dazu kommen dann noch die Fragen, wie es den mit der Sicherheit aussieht, schließlich ist der eigene PC jetzt direkt aus dem Internet erreichbar. Die meisten Fragen kommen dadurch zustande das NAT, also die bei den meisten DSL Routern verwendete Network Address Translation, als Feature für Datenschutz und Sicherheit verstanden wird. Ich werde nachfolgend mal auf die verschiedenen Mythen und Missverständnisse zu diesem Thema eingehen, und erläutern warum man mit IPv6 nicht prinzipbedingt schlechter dran ist. ...

Der Entwickler von systemd, Lennart Poettering, hat eine meiner Meinung nach großartige Artikelserie über dieses neue Init System veröffentlicht. Insgesamt handelt es sich dabei mittlerweile um 20 Artikel, den letzten habe ich hier verlinkt da am Kopf des aktuellsten Artikels immer alle Vorgänger ebenfalls verlinkt sind. Der ein oder andere Artikel hat nur selten gebrauchte Features, wieder andere dürften vor allem für Systemadministratoren relevant sein und zeigen das ein neues modernes Init System viele hässliche Workarounds der letzten 20 Jahre überflüssig macht. ...

In den letzten Jahren habe ich mir einen ganz bestimmten Workflow angeeignet, dieser ermöglicht es mir Dinge effizient zu tun, ohne viele Anpassungen an meinem Betriebssystem durchzuführen. Ich versuche wann immer möglich Standardsysteme zu verwenden, je weniger Anpassungen ich benötige um Arbeiten zu können, desto weniger Zeit brauche ich auf einem neuem System für meine Arbeit. Aus diesem Grund nutze ich nur Desktop Umgebungen welche das Starten von Programmen, oder finden von Dateien, standardmäßig über die Windows Taste erledigen. Ich verweigere wann immer möglich also die Arbeit an einem Windows XP System, genauso vermeide ich auch Desktops bei welchen ich erst 10-20 Optionen Einstellen muss um dieses verhalten zu haben. Bei mir gibt es keine Startleisten, Docks oder diese furchtbaren Desktop Icons, all das muss bei mir die Suchfunktion auf der Windows Taste zuverlässig und schnell für mich erledigen. Ich möchte mich also nicht damit beschäftigen wo etwas ist, das ist Aufgabe vom Betriebssystem, denn auf der Shell gebe ich auch keine vollen Pfadangaben an, sondern starte ein Programm und es wird schon irgendwo in meinem Suchpfad vorkommen. Die Windows Taste hat so bei mir einen Sinn, ich mag die Taste, nur das Logo darauf finde ich etwas hässlich. ...

Wir schreiben das Jahr 2013, ein Jahr in dem wir ständig gegen einen Grundsatz aus dem Datenschutz verstoßen: Die Datensparsamkeit. Hintergrund von diesem Grundsatz ist das man Daten die nicht entstehen oder zumindest nicht gespeichert werden auch nicht besonders Schützen muss. Dieser Grundsatz ist eigentlich eine gute Idee, aber leider machen es gerade moderne Anwendungen immer schwerer diesem Grundsatz zu entsprechen. Dazu kommt noch ein weiterer Punkt: Wir verlassen uns beim Thema Datenschutz zu viel auf Schlangenöl wie Privatsphäreeinstellungen von Facebook (und anderen Sozialen Netzwerken) oder die entsprechenden Einstellungen von unserem Smartphone. ...

Einer der am meisten unterschätzten Dienste im Internet und auch in vielen lokalen Netzwerken dürfte wohl der DNS Dienst sein. Erst wenn er ausgefallen ist bekommen wir zu spüren das nichts mehr funktioniert und Namensauflösung nicht gerade unwichtig ist. Zusätzlich gibt es durch sog. Virtual Hosts sogar die Anforderung eine funktionierende Namensauflösung zu haben, den ein Webserver mit mehreren Hosts benötigt in der Anfrage zwingend den Hostname und nicht nur eine IP die man sich vielleicht noch merken konnte. ...

Seit vielen Jahren habe ich schon diverse Server am laufen, viele davon sind direkt aus dem Internet erreichbar. Wer direkt aus dem Internet erreichbar ist, kann auch direkt über das Internet angegriffen werden. Ein gängiges und beliebtes Ziel für Angriffe ist der SSH Dienst, die Gründe dafür dürften zum einen dessen Verbreitung (jeder Linux Server hat diesen) und dessen Möglichkeiten (Shellzugang) sein. In der Praxis gibt es viele Rechner im Internet welche automatisch nach verwundbaren SSH Versionen oder ungeschützten Zugängen (kein oder ein schlechtes Passwort) suchen. Das Problem mit den ungeschützten Zugängen löst man heute in der Regel mittels Public-Key-Authentifizierung, und die Sache mit den verwundbaren SSH Versionen lösen wir mit Updates. Als Administrator wissen wir das SSH sofort nach einem verfügbaren Update auch aktualisiert (und neu gestartet) werden muss. ...