Einträge von Maddin

Wie ich letztens ja schon erwähnt hatte, haben wir den Admin Blog seit geraumer Zeit leider etwas vernachlässigt. Das hatte ganz einfach den Grund, dass wir an einer neuen Idee programmiert und gefeilt haben, die wir euch heute vorstellen möchten - webPerf.

WebPerf ist, wie der Name schon sagt, ein Web Performance und Analyse Tool. Es wurde zur periodischen Auswertung von Webseiten, sowie der Messung von einzelnen Leistungsdaten, wie z.B. Anzahl der Dokumente, größe der Dokumente, Trankationen oder der JavaScript-Ausführungszeit, entwickelt. Und hier ist auch schon einer der großen Vorteile von webPerf. Alle Informationen die webPerf sammelt, werden periodisch von der jeweiligen Webseite abgefragt und dann gespeichert. Diese Informationen können dann zum Beispiel dafür genutzt werden, um eine längerfristigen Betrachtung der untersuchten Webseite darzustellen. Weitere Infos gibt es auf webPerf.de.

Für unsere treuen Leser gibt es hier auch noch 5 Invite-Codes, womit kostenlos und unverbindlich der "Basic 100" Tarif genutzt werden kann. Als Gegenleistung würden wir uns über Feedback zu webPerf sehr freuen.

Bitte einen der folgenden Links zur Anmeldung verwenden, um einen Invite zu nutzen (jeder Link ist nur für eine Anmeldung nutzbar):

https://www.webperf.de/users/add/vJrn1E
https://www.webperf.de/users/add/G3LPmc
https://www.webperf.de/users/add/s8Atac
https://www.webperf.de/users/add/q9z18W
https://www.webperf.de/users/add/A7gxKV

UPDATE, 28.10.2010

Der Basistarif ist nun dauerhaft für alle Nutzer gratis. Weitere Informationen im webPerf.de Blog.

Sorry, dass es schon so lange nicht's mehr von uns zu hören gab, aber zur Zeit haben wir echt viel beruflich zu tun und zu coden. Mehr davon demnächst von Rob.

Heute möchte ich mal wieder etwas Frust los werden. Neuerlich hatten wir uns nach einer Online-Storage-Lösung für Backups und "Immererreichbardaten" umgesehen. Abgesehen davon, dass es leider nur wenige Anbieter gibt, die verschlüsselte Online-Storages bieten (z.B. Cryptoheaven, Swissdisk) war bei diesen das Problem, dass es diesen Storage nur in kleinen Grössen gab. Da wir aber in etwa 500 GB aufwärts benötigen, kam für einen vernünftigen Preis eigentlich nur Strato in Frage. Diese bieten im Moment ein Angebot namens HiDrive Pro an, bei dem man 1TB Speicher für 19€/Monat bekommt. Ein auf den ersten Blick sehr angenehmes Angebot.

Also ruck-zuck dieses Angebot bestellt und ein paar Tage später hatte ich dann auch die erste Gelegenheit mir das Produkt genauer anzusehen. Hier muss ich zugeben, dass sich Strato echt Mühe gegeben hat. Das Webfrontend, was sehr im Web-2.0 Style daherkommt, hat viele Funktionen und lässt eine einfache Verwaltung des gebuchten Online-Speichers zu. Dabei gibt es verschiedene Möglichkeiten um von unterschiedlichen Betriebssystemen auf den Speicherplatz zu zugreifen. Unter anderen etwa SMB welches unter den gängigsten Betriebssystemen verfügbar ist. Auch an WebDAV, FTP in allen erdenklichen Varianten, sowie SSH wurde gedacht. Da einige Protokolle allerdings unverschlüsselt über die Leitungen gehen, besteht sogar für SMB die Möglichkeit, dieses über einen OpenVPN-Server anzusprechen. An sich also erstmal ein durchdachtes Konzept mit einer guten Benutzeroberfläche.

Nun zu den leider unerfreulichen Tatsachen des HiDrive Pro's - der Datendurchsatz und - wie leider schon fast üblich bei Strato - der Support!
Als erstes wollte ich natürlich die Bandbreite zu den Servern des HiDrive Pro's testen, denn schliesslich sollte ja täglich unser Backup und wichtige Daten dahin transferiert werden. Und schon gab es die erste Enttäuschung, denn keines der angebotenen Protokolle, schaffte es auf Anhieb mehr als 1,8 MB/s auf das HiDrive Pro zu schreiben. Als erstes dachte ich natürlich, dass das an unseren Servern/Mac's/Rechenzentrum lag, aber auch von externen Servern gab es keine höhere Bandbreite. Ich wollte ja nicht mit 50 MB/s auf das Laufwerk zugreifen, aber in Zeiten von 1Gbit Ethernets und multi redundanten ISP Anbindungen, hätte ich mir schon etwas mehr erhofft. Also war der nächste Weg den Strato-Support anzurufen, um zu Fragen ob dies den so gewollt ist. Der nette Techniker am anderen Ende der Leitung nahm ein Ticket auf, mit dem Versprechen sich in den nächsten 24h bei uns melden. Doch dabei blieb es dann leider auch.

Als ich mich dann nochmal's ein paar Tage später meldete, um nach meinen Ticket zu fragen, bestätigte mir der Techniker, dass nach der Ursache geforscht würde und wir informiert werden würden, wenn das Problem behoben ist. Prompt kam einige Stunden später die E-Mail mir dem Inhalt "[...]Das STRATO-Technik Team hat festgestellt, dass keine Einbußen in der Performance Ihres Hidrive Paketes festzustellen ist[..]". Ok, also doch noch einmal den Support anrufen und nachfragen wie die sich das gedacht haben. Ich erfragte wie ich zum Beispiel ein Volumen von 200GB innerhalb eines Tages auf das Drive spielen sollte, um dieses für unsere Zwecke nutzen zu können?! Der Techniker antwortete nur trocken: "Verteilen Sie es doch auf mehrere Tage". Ahh ja hab hier war dann bei mir Schluss. Ich fragte noch warum man denn überhaupt solch grosse Laufwerke anbietet und auch noch als professional kennzeichnet, wenn das gebuchte Volumen nicht täglich Nutzbar ist? Wieder eine trockene Antwort: "Dafür ist das eben nicht gedacht, Sie können das schon voll nutzen, eben über mehrere Tage.". Hier reichte es mir dann und ich brach das Telefonat ab. Die Kündigung des HiDrive Pro's folgte prompt.

Am Ende lief es dann doch wieder auf einen eigenen Server hinaus. Dort sind die Daten wenigstens in unseren Händen und auch die Bandbreite liegt weit über den 1,8MB/s. Wer nur ab und an Daten auf und vom HiDrive haben möchte ist mit dem Angebot sicher gut bedient, alle anderen die es professionell nutzen möchten sind mit einem eigenen Server sicherlich besser beraten.

Wie Ihr ja sicherlich alle schon mitbekommen habt, gibt es seit etwa einer Woche die Steam-Client für den Mac. Da ich des öfteren, und vor allem zur Neugewinnung von geistigen Kräften , Counter-Strike:Source spiele, hatte mich diese Nachricht sehr erfreut. Das blöde war ja bis jetzt immer, dass man entweder eine Windows-VM (was schon alleine wegen der Performance nicht gerade toll ist) oder einen zweiten Rechner auf dem notgedrungen ein Windows lief, haben musste um irgendwelche Spiele spielen zu können.

Als dann via Twitter die Nachricht umher lief, dass der Steam-Client für den Mac da war, machte ich mich sofort an den Download. Dieser ging relativ fix von statten und auch die Installation und der erste Start ergaben keine Probleme. Der Client lädt automatisch verfügbare Update's und hält sich so auf den neuesten Stand (es gab am ersten Tag bei mir gleich 2 Update's a ~35 MB). Das erste was mir allerdings Auffiel, beendet man den Steam-Client stürzt dieser entweder ab oder braucht 2-3 Minuten um komplett beendet zu werden. Der nächste negative Punkt den ich bemängeln muss, bemerkte ich beim stöbern im Dateisystem im Terminal. Was zur Hölle hat das ganze Steam-Zeugs unter / (im *nix-Jargon root bezeichnet) verloren?!? Haben die Leute von Valve nocht nicht's vom Filesystem Hierarchy Standard gehört? Wenigstens ein eigener Ordner unter /opt hätte es doch sein dürfen.

Nun gut, dies aussen vor gelassen, funktioniert der Client ohne Probleme. Nachdem ich etwas im Client herumgestöbert hatte, sah ich dass es das Source-Engine basierte Spiel Portal kostenlos zum Download gab. Also zögerte ich nicht lange und klickte auf den Installations-Button. Da ich scheinbar nicht der einzige war der so dachte, summierte sich diese Installation inkl. Downloads des Spiels auf geschlagene 8 Stunden . So bin ich dann Abends gegen 20:00 endlich zum ersten Spiel gekommen und ich muss sagen: Super es funktioniert, die Grafik auf meinem MacBook Pro (13") ist erträglich und läuft flüssig (ok das Spiel ist von 2007 ). Es gab weder Ruckler noch irgendwelche Aussetzer. Einzig die Lüfter fangen nach etwa 5 Minuten an zu röhren (aka. Flugzeugstart), dies bin ich allerdings von Flash gewöhnt. Das macht mir Hoffnung in Zukunft endlich auf den zweit PC mit Windows verzichten zu können, denn Spiele im Steam-Network gibt es ja genug. Schön wäre es, wenn die Source-Engine basierten Spiele nach und nach auf den Mac portiert werden würden. Da aber Portal bereits läuft, sehe ich in diesem Punkt wenig bis gar keine Probleme.

Im großen und ganzen lässt sich also sagen: Gut gemacht Valve, weiter so! Bis auf eine paar kleinere Fehler läuft der Mac-Steam-Client und das von mir getestete Spiel gut und man bemerkt so gut wie keine Unterschiede zum Windows-Client. Mann kann nur hoffen das andere Publisher die nicht im Steam-Netzwerk zu finden sind, diesen Trend erkennen und dem Mac ein wenig mehr Beachtung geschenkt wird als bisher. Ein happy-respawn euch allen

Wer wie wir öfter mal mit MySQL zu tun hat, kommt irgendwann um das Thema Optimierung nicht mehr herum. Doch irgendwann ist der gesamte RAM verbaut, die stärkste CPU eingelötet und die schnellst drehenden Festplatten eingesteckt, dennoch ist die Applikation irgendwie langsam

Meist kommt man dann zu dem Schluss, dass der User und seine Applikationen (bzw. dessen verwendete SQL-Query's) das eigentliche Problem sind . Natürlich hat man nicht immer die Zeit, jeden einzelnen Query in den Scripten seiner Kunden zu suchen. Natürlich gibt es auch dafür ein passendes Tool, welches zu meinem Erstaunen sogar neben Windows und Linux auch unter Mac OSX läuft. Jet Profiler for MySQL heißt das Ganze und kommt von der Firma Polaricon AB.

Der eigentliche Nutzen des Tools ist es, etwas langsamer laufenden SQL-Queries, sogenannte Slow-Query's, zu finden, um diese eliminieren zu können. Als nebenläufige Features gibt es noch einige grafische Auswertungen, sowie Tabellen und Graphen. Die langläufigsten Queries zeigt der Profiler dazu im unteren Teil der App an. Diese werden nach der längsten Laufzeit aufgeschlüsselt. Hier erkennt man auch gleich den Unterschied der freien zur kostenpflichtigen Version. Die freie zeigt nur den 1 sowie den 5-x langsamsten Query. Nummer 2, 3, 4, 5 sieht man nur in der vollen Version. Außerdem zeigt die Vollversion auch gelockte Queries, sowie die Top-User und die Top-States. Aber auch die freie Version genügt für den ersten Überblick vollkommen, man kann ja Query für Query abarbeiten Klickt man auf das Explain-Feld hinter dem Query geht ein seperates Fenster auf, welches ein EXPLAIN auf das Query anwendet und diesen noch einmal grafisch auswertet. Das Tool gibt aus ob das erklärte Query gut oder schlecht aufgebaut ist (Punkte/Flaggen-Wertung, sowie Wertungen very good/very fast bis very bad/very slow ).

Mein Fazit: Ein gutes Tool, um einfach und schnell langsame Querys finden zu können und einen Überblick über die Statistiken des MySQL-Servers bekommen zu können. Ein dickes Plus ist natürlich, dass das Tool out of the Box auch unter Linux und Mac OSX läuft.

Wie ich in einem meiner vorherigen Beiträge schon erwähnte, verschlug es mich gestern zu den Chemnitzer-Linux-Tagen.

Auf der Veranstaltung angekommen, eröffneten sich uns wieder viele Stände namenhafter Opensource Projoekte, Distributionen und auch Vereinen wie zum Beispiel dem Wikimedia e.V.. Auch die gut gefüllte Bücker-Ecke sowie der Linux-Merchandising-Stand waren freudigerweise wieder vertreten. Es gab jedoch 2 Punkte die ganz besondern hervorstachen. Das waren zum einen die Cafetaria mit ihrer neuen Kuchen/Muffin/Caffee Bar, die auch dieses Jahr kleinere Köstlichkeiten sowie konkurrenzlose Schoko-Muffins bereitstellt, sowie die in diesem Jahr herausragenden Vorträge im Kernel-Track.

Angefangen beim Vortrag über Kernel-Debugging mit k(g)db, über den meiner Meinung nach besten Vortrag des Tages vom Kernel-Log Autor des Heise Verlags mit dem Thema "Aktuelle Entwicklung im Linux Kernel", sowie dem abschließenden Vortrag von Frédérick Weisbecker über "ftrace and perf, tracing the linux kernel" waren alle Vorträge von sehr guter Qualität.

Für mich steht also jetzt schon fest: Chemnitzer-Linux-Tage 2011 - gerne wieder.

Wie Ihr ja sicherlich schon mitbekommen habt, sind wir relativ große Apple Fanbois (ich mehr, der Rob weniger) und somit war es für uns auch selbstverständlich, dass wir uns die neu Magic-Mouse bestellen. Doch leider schafft es Apple in letzter Zeit uns immer wieder, uns zu enttäuschen. Das erste Problem sind die akuten Lieferprobleme der neuen Magic-Mouse. Muss man denn ein Produkt releasen, welches erst 3 Monate später überhaupt käuflich zu erwerben ist. Ich weiß ja nicht wie es in euren Städten aussieht, aber weder über Amazon, noch über den Cyberport-Store in Dresden oder beim anderen Apple-Resellern waren die Mäuse erhältlich. So kam es, dass wir sage und schreibe 4 Monate auf unsere Mäuse warten mussten

Wir freuten uns also, als letzte Woche eine Mail im Briefkasten lag in der stand, dass unsere Magic-Mäuse abholbereit wären. Also hin zum Händler des Vertrauens und abgeholt die Ware. Aber schon nach dem auspacken gab es die erste Entäuschung. Keine Ladeschale oder Ladekabel, die Maus funktioniert mit herausnehmbaren AA Batterien. Wieviel kam die Maus gleich nochmal? 70€? Da hätte man Mehr erwartet. Also ausgepackt die Ware und mit den MacBookPro's gepeert. Hier gab es Apple-typisch keine Überraschungen, alles klappte First-Try ohne Probleme.

Wer das Trackpad der aktuellen MacBook (Pro) Reihe gewöhnt ist, wird sich relativ schnell an die Gesten der Magic-Mouse gewöhnen und diese auch lieben. Was allerdings stört, ist die für uns zu langsame Zeigergeschwindigkeit (auf Maximum gestellt aber IOHO immer noch zu langsam). Wie das bei der Auflösung der CinemaDisplay's wird (sind ja leider immer noch in Reperatur, siehe hier und hier), können wir uns im Moment noch nicht so recht vorstellen. Auch treten komische Nebeneffekte bei der Verwendung mit der Magic-Mouse auf, die vorher mit einer kabelgebundenen Maus nicht aufgetreten sind. Bei mir zum Beispiel, fängt die Maus bei CPU-lastigen App's (z.B. FF mit viel Flash oder JS) an zu "stocken". Warum das so ist und ob das an der Bluetooth-Verarbeitung liegt, konnten wir noch nicht festellen.

Im Endeffekt lässt sich sagen, dass die Magic-Mouse eine optisch sehr anprechende, aber leider überteuerte Maus ohne Magie ist. Leider ein Apple-Produkt mehr, welches uns nicht überzeugen konnte.

Seit langen hatte ich mir vorgenommen die Richtlinien für Passwörter auf meinem Macbook zu ändern. Als ich heute endlich dazu kam und mir Linux-like die manpage des von Darwin verwendeten passwd Programms anschaute, merkte ich schnell, dass die Konfiguration der Richtlinien unter Mac OS X ein wenig anders zu sein scheint, als ich es gewohnt war.

Um es vorweg zu nehmen, es gibt 2 Varianten um die Richtlinien anzupassen - eine Nerdige via Konsole und eine Windows-like grafische mit einem Tool. Die einfachere von beiden ist sicher das GUI-Tool von Apple, welches sich in den Server Admin Tools versteckt und auf dem Namen Arbeitsgruppenmanager hört. Über dieses Tool könnt Ihr euch lokal auf euren Mac verbinden (auch wenn eine Warnmeldung kommt, dass man nur mit einer lokalen Konfigurationsdatenbank arbeitet) und in diesem Änderungen vornehmen. Hier empfiehlt es sich auf den gewünschten User zu klicken um dann unter Erweitert --> Optionen die gewünschten Richtlinien vorzunehmen.

Die zweite und imho etwas mächtigere Variante (ich habe in der GUI z.B. keine Einstellung für passwordCannotBeName, requiresAlpha oder requiresNumeric gefunden), ist das Tool pwpolicy. Dieses sollte per default auf euren Mac's installiert sein. Um euch einigen Ärger und Logs durchwühlen zu ersparen, nutzt das Tool nur als root bzw. Systemverwalter + sudo. Ich würde euch auch empfehlen als erstes die manpage des Programmes zu lesen und erst danach die gewünschten Einstellungen vorzunehmen. Ich z.B. habe mein Ablaufdatum der Passwörter für meinen User auf 90 Tage gestellt sowie die Passwort-Länge auf mindestens 8 Zeichen gesetzt. Dies erfolgt mit dem Befehl

pwpolicy -u ich -setpolicy "maxMinutesUntilChangePassword=129600 minChars=8"

Danach kann man sich via

pwpolicy -u ich -getpolicy

die geänderten Einstellungen ansehen.

Viel Spass beim ausprobieren.

Wie Rob in einem unserer letzten Einträge schon berichtete, wiesen unsere beiden Cinema Display's schwarze Flecken im unteren linken Bereich des Bildschirms auf. Meiner wurde also nun als erstes in die Reperatur gegeben. Da dies über Weihnachten eingeschickt wurde, ist die Reperaturdauer von 3 Wochen in Ordnung.

Also freute ich mich schon heute endlich wieder mein Cinema Display beim Händler unseres Vertrauens abzuholen und es wieder an meinem MacBookPro zu betreiben. Also das Display abgeholt, ausgepackt, angeschlossen und gewartet. Das erste Gute was auffiel, die Flecken waren weg und das Display tat auf den ersten Blick seinen Dienst.

Nach einigen Sekunden fiel mir aber auf, dass das Display sehr hell eingestellt war. Logischerweise drückte ich auf meiner Tastatur F1 bzw. F2, welche normalerweise die Helligkeitsregelung für das Display sind. Aber es tat sich Nix . Auch nach mehrmaligen drücken der Taste erschien keine Helligkeitsanzeige auf dem Display. Im zweite Versuch öffnete ich die Systemeinstellungen --> Monitore, aber auch da gab es keinen Schieberegler für die Helligkeit. Unter dem Punkt "Farben" meldete sich mein CinemaDisplay aber kommischer Weise als iMac an??! Nach etwas googlen und der Suche im Apple-Forum, ring ich mich dann durch, doch einmal die Apple-Support-Hotline zu belasten. Nach jedoch 30 Minuten ohne Lösung (zum "günstigen" Apple Preis von 4,50€) kam der Support Mitarbeiter zu dem Punkt, dass das Display sich wahrscheinlich als iMac im Display-Modus ausgibt (obwohl keine Elektronik bei der Reparatur getauscht wurde) und es doch noch einmal zur Reparatur geschafft werden muss. Ja und das ist irgendwie suboptimal.

Wir werden uns jetzt wahrscheinlich nach anderen Monitoren umsehen. Falls es Neuigkeiten gibt, geben wir natürlich Bescheid.

Heute möchte ich euch die Chemnitzer Linux Tage etwas näher bringen. Wie jedes Jahr findet dieser wieder im März (diesmal am 13. und 14. - dick im Kalender einkreisen) in den Hörsaal- und Seminar-Gebäuden der Technischen Universität Chemnitz statt.

Eines der Themengebiete des diesjährigen CLT lautet Dienste und Dämonen und soll die Protokolle und ihre Implementierungen, sowie die Anwendungsgebiete und Geschäftsmodelle dem interessierten Linux-Nutzer etwas näher bringen. Andere Themengebiete sind zum Beispiel der Desktops und der Embedded-Bereich. Erstmalig wird es dieses Jahr einen Kernel-Track geben, in dem sich interessierte Nutzer über die Entwicklungen im, sowie das eigentliche Programmieren am Kernel informieren können. Das gesamte Programm (leider noch nicht komplett Fertig) findet Ihr auf dieser Webseite.

Auch werden dieses Jahr wieder einige Herrsteller (u.a. AMD, Zarafa, Debian) ihre Produkte vorstellen und mit einem Stand vertreten sein. Für das leibliche Wohl wird ebenfalls gesorgt, denn im oberen Stockwerk wird es wieder eine Cafetaria geben in der man zum kleinen Preis Snacks und Getränke kaufen kann.

Die letzten 2 Jahre waren auf jedenfall sehr interessant und einige der Vorträge sehr sehenswert. Als Geheimtipp kann ich euch den Vortrag von Hans-Jürgen Schönig über PostgreSQL empfehlen. Dieser war die letzten 2 Jahre, wenn auch nicht der informationsreicheste, jedoch vom Humor und der Durchführung der beste Vortrag der ganzen CLT (Hans-Jürgen FTW ).

Auch die Eintrittspreise sind sehr Human gehalten. Das Wochenendticket kostet 5 EUR, sowie ermäßigt 3 EUR. Es würde mich freuen wenn sich ein paar von euch durch den Artikel anmimieren lassen, die Chemitzer Linux Tage einmal zu besuchen. Bis dahin und eventuell sieht man sich ja auch da.

Einen fleißigen Weihnachtsmann sowie einen guten Rutsch und erholsame Tage wünschen euch das Admin-Blog-Team a.k.a Rob, Maddin und Frank.

Wie Ihr sicherlich schon auf den gängigen IT-News Seiten gelesen habt, betreibt Google jetzt einen eigenen DNS Service. Das Ziel dessen ist es das Internet sicherer und performanter zu machen. Der Service selbst ist nur ein Resolver Dienst, d.h. er gibt die eigentlichen Anfragen an die authorisierten DNS Server der angefragten Domain (DNS SOA) weiter und merkt sich dann die Antwort. Somit ist es nicht möglich, sich bei Google eine eigenen DNS Zone anzulegen, wie das zum Beispiel bei DynDNS der Fall ist.

Unsere ersten Test's ergaben, dass die Antwortzeiten vor allem bei ausländischen Seiten um etwa 20%-40% schneller sind. Dies scheint aus dem guten Netzwerk zu resultieren, das sich Google mittlerweile aufgebaut hat. Einem Testbetrieb der Google DNS Server steht somit erst einmal nichts im Weg.

Vielleicht könnt Ihr uns eure ersten Erfahrungen der Google DNS Server mitteilen?!

Das Skript, welches ich zum testen gebaut habe, findet Ihr hier: dns_test.sh
Es macht nicht's anderes, als eine paar Domains mehrmals hintereinander erst auf den Google DNS und dann auf den eigenen DNS Server aufzulösen. Die daraus resultierenden Durchschnittswerte werden dann ausgegegben.

Heute mal ein etwas kürzerer Beitrag von mir. Ich stand vor kurzem vor dem Problem die default resource limit Werte meiner Linux-Box auslesen zu müssen, um zu wissen ob ein Programm mit der zu testenden Konfiguration auch wirklich sauber läuft (im speziellen ging es um die Möglichkeit den virtuellen Speicher des Prozesses komplett im Hauptspeicher zu behalten, welches mit mlock() möglich ist, es gibt aber ein resource limit, nämlich RLIMIT_MEMLOCK welches die größe beschränkt). Da ich weder ein Tool, noch sonst irgend etwas gefunden habe, was dies möglich macht, habe ich es einfach selber gecoded .

Eventuell benötigt einer von euch das ja irgenwann einmal. Das Tool, welches ein quickhack in C ist , gibt es hier: getrlimits.c
Kompiliert bekommt Ihr das ganze via gcc -o getrlimits getrlimits.c.

Ich bin letztens auf eine Webseite der NSA (National Security Agency - Nachrichtendienst der USA) gestossen, in der Sicherheitstipps für verschiedene Software und Systeme zur Verfügung gestellt werden. Unter anderem befinden sich da auch Tipps für das absichern und härten von Mac OS X (Panther, Tiger und Leopard).

Ich möchte euch ein paar Tipps davon beschreiben und erklären. Einige der Tipps können ohne Probleme von allen Mac Usern durchgeführt werden. Andere wiederum sollte man nur konfigurieren, wenn man ein wenig Hintergrundwissen zum Thema hat. Ich werde diese gegebenenfalls kennzeichnen, denn wir wollen ja nicht das Ihr euch euer System zer-sichert-schießt.

Bitte beachtet auch, dass ein System was hochsicher ist, nicht unbedingt Benutzerfreundlich ist. Eine hochsicheres System, welches Benutzerfreundlich ist, gibt es leider nicht (zumindest habe ich dieses noch nicht gefunden, ich bin aber auch eher der Sicherheitsfreak und lebe gern mit dem höheren Aufwand). Die folgenden Tipps sind auf (Snow) Leopard ausgelegt.

1. arbeiten als normaler Nutzer
Der erste Tipp ist zugleich auch der einfachste und gilt quasi für alle Betriebssysteme. Normale arbeiten (E-Mails lesen, Web browsen, Office arbeiten) sollte man als normaler Nutzer ohne Administrator-Rechte ausführen. Wahrscheinlich könnte der großteil aller Angriffe auf Computer-Systeme verhindert werden, wenn die Nutzer mit normalen Rechten arbeiten würden. Denn sobald es eine Schadsoftware auf den Computer geschafft hat, stehen dieser Tür und Angel offen, denn als Benutzer mit Admin-Rechten darf diese alles machen. Als erstes sollte man unter Systemeinstellungen --> Benutzer einen Adminstrator-Account einrichten. Als Tipp kann ich euch bei der Kennwortvergabe das kleine Schlüsselsymbol geben. Einmal geklickt erscheint ein weiteres kleines Fenster, bei dem Ihr Hilfe bei der Kennwortgenerierung erhaltet.

2. Software Updates
Auch der 2. Tipp könnte nicht einfacher sein. Haltet euer System auf einem aktuellen Stand und nutzt die zur Verfügung stehenden Updatemechanismen (Systemeinstellungen --> Sofwareaktualisierungen oder bei Apple).

3. Benutzerkonto Einstellungen
Deaktivieren des automatischen Logins und des Anzeigen der Nutzer Liste (Systemeinstellungen --> Benutzer --> Anmeldeoption). Somit wird es einem Angreifer der sich physikalischen Zugriff zum System verschafft hat, zumindest erst einmal schwerer gemacht sich am System anzumelden bzw. herauszufinden welche Nutzer überhaupt im System existieren.
Deaktivieren des Gast-Benutzerkontos und des Sharings (Systemeinstellungen --> Benutzer --> Gast Konto). Deaktiviert das Gast-Benutzerkonto sowie das Anmelden an Freigaben als Gast.

4. Sicherheits Einstellungen
Kennwort erforderlich nach Ruhezustand oder der aktivierung des Bildschirmschoners Systemeinstellungen --> Sicherheit --> Kennwort erforderlich --> Sofort. Eigentlich können im Allgemein Tab alle Häkchen gesetzt werden. Diese sollten alle selbsterklärend sein. Sicheren virtuellen Speicher verwenden bedeutet, dass geswappter Speicher also Speicherbereiche die aus dem RAM auf die Festplatte geschrieben werden, verschlüsselt abgelegt werden. FileVault bietet sich für diejenigen an, die ein mobilen Mac besitzen. Bei der aktivierung von FileVault wird der "Inhalt" der Festplatte verschlüsselt. Bitte bedenkt, dass nach dem verschlüsseln das TimeMachine Backup nicht mehr wie im gewohnten Umfang funktioniert (es kann nur noch die komplette Festplatte sichern, da die Daten verschlüsselt abgelegt sind und somit kein Diff des Filesystems möglich ist). Auch sollte Ihr bei FileVault nicht das Hauptkennwort vergessen, da sonst alle Daten verloren sind. Im Firewall Tab empfiehlt es sich natürlich die Firewall zu aktivieren und unter den Weiteren Optionen den Tarn-Modus zu aktivieren und nur bekannte Programme zuzulassen (in meinem Fall z.B. ssh).

5. Netzwerk Konfiguration
Deaktivieren von IPv6 wenn nicht benötigt. Systemeinstellung --> Netzwerk --> Weitere Optionen --> TCP/IP Tab --> IPv6 konfigurieren: Aus. Solange IPv6 nicht benötigt wird, kann dies auch deaktiviert werden. Solltet Ihr zudem eurer AirPort Netzwerk nicht benötigen, deaktiviert es.

6. suid und sgid Programme finden (advanced)
Sucht euch alle suid und sgid Programme auf euren Mac und ändert diese zu normalen Programmen ab, solange dies möglich ist. Sollten suid Programme dem Root Nutzer gehören (User <-> suid oder Gruppe <-> sgid) werden diese auch als Root Nutzer ausgeführt. Meistens benötigen diese Programme diese Rechte gar nicht. Um alle suid Programme zu finden, führt Ihr find / -perm -4000 -ls aus und um alle sgid zu finden, nehmt Ihr find / -perm -2000 -ls. Solche Tools wie rsh und rlogin benötigen sicher keine Root Rechte. Um die gefunden Programme anzupassen, nehmt Ihr am besten chmod (z.B. chmod u-s Programm für das enfernen des suid Bits)

7. Benutzerordner restriktieren
Damit andere Benutzer nicht in eurer "Heimatverzeichnis" per default hinein sehen können, empfielt es sich diese via chmod og-rx /Users/Nutzername abzusichern.

Beachtet Ihr diese Hinweise, sollte euer Mac schon ein bisschen sicherer sein . Natürlich kommen zum Thema Sicherheit noch viele andere Faktoren hinzu (Nutzer, Software, Umgebung), aber der Anfang sollte damit getan sein. Diese und noch viele weitere Tipps findet Ihr in den besagten PDF's der NSA, welche ich sehr empfehle zu lesen.

Heute vor 5 Jahren erblickte ein neuer Browser das Licht der Welt: Mozilla Firefox. Firefox enstand damals aus der Mozilla-Browser-Suite, die einen Browser, einen E-Mail-Client sowie einen RSS-Reader enthielt. Dies schien den damaligen Entwicklern ein zu aufgeblähtes Produkt, weshalb man sich entschied einen eigenständigen Browser zu entwickeln. Und war heraus kam, ist meiner Meinung nach, der beste Browser der Welt

Hier noch einmal einen herzlichen Glückwunsch an die Mozilla-Foundation für dieses tolle Produkt und ein Happy Birthday an Firefox!

Firefox ist unter anderem dafür bekannt, durch seine Add-ons beliebig erweiterbar zu sein. Und das nicht zu unrecht. Im Moment gibt es sage und schreibe etwa 38.682 Add-on Sammlungen und etwa 163.819.085 Add-ons sind derzeit in Benutzung. Eine statistische Übersicht dazu findet man bei Mozilla selbst.

Heute möchte ich euch meine für mich wichtigsten und beliebtesten Add-ons vorstellen (alphabetisch geordnet):

• Adblock Plus
  
  
  
  • eins der wichtigsten Plugins, denn ich hasse Werbeeinblendungen auf Webseiten, hilfreich für jeden der sich im Web bewegt
  
  
  
  


• ColorZilla
  
  
  
  • ist ein Add-on um Farbbestimmungen durchzuführen, zum Beispiel mit dem ColorPicker, sehr zu empfehlen für Webentwickler
  
  
  
  


• DomainDetails
  
  
  
  • zeigt in der unteren Statusleiste Informationen über den Domainnamen, gelieferte Server-Header, IP-Adressen und Geo-Lokalisierungen an, hilfreich für die Admin's unter uns
  
  
  
  


• FireGestures
  
  
  
  • nachdem es die MouseGestures für den Firefox 3.x leider nicht mehr gab, habe ich diese installiert, dient der Navigation im Browser mit der Maus, hilfreich für Geeks
  
  
  
  


• Flashblock
  
  
  
  • blockt Flash, ich mag kein Flash
  
  
  
  


• LiveHTTPHeaders
  
  
  
  • ein sehr gutes Add-on zum debuggen von HTTP-Request's, zeigt alle Request's vom und zum Browser, hilfreich für Admin's
  
  
  
  


• Lori
  
  
  
  • Life of request info, ein sehr geniales Add-on, zeigt in der unteren Statusleiste Statistiken zum Aufbau (Sekunden zum ersten Byte, Sekunden zum vollständigen Laden, Summe KB) von Webseiten an, sehr hilfreich für Admin's
  
  
  
  


• ModifyHeaders
  
  
  
  • ein Add-on zum editieren der zu sendenden HTTP-Header, hilfreich für das debuggen von Webanwendungen
  
  
  
  


• NagiosChecker
  
  
  
  • wahrscheinlich das wichtigste Add-on überhaupt, zeigt den Nagios-Status in der unteren Statusleiste, unverzichtbar für Admin's die Nagios nutzen
  
  
  
  


• ShortenURL
  
  
  
  • dieses Add-on nutze ich, seitdem mich der Rob dazu gezwungen hat diesen ganzen Web 2.5-3.0 Stuff mitzumachen , kürzt URL's mit einem beliebiegen Dienst sofort im Browser
  
  

Eventuell findet Ihr hier ein tolles Add-on für Euch. Über gute Add-on Tipps in den Kommentarten würde ich mich natürlich sehr freuen!

Heute wieder ein Trick aus der Linux-Admin-Ecke an euch. Es kommt ja öfters vor, dass bei einem Update nur einige System-Bibliotheken geupdatet werden und man das System deswegen ja nicht unbedingt neu starten muss.
Allerdings werden von gestarteten Programmen immer noch die Bibliotheken verwendet, die vor dem Update aktuell waren, solange diese Programme nicht neu gestartet werden. Dies kann dazu führen, dass die Systeme, obwohl man sie aktuell hält, dennoch verwundbar sind.

Um alle gelöschten oder veränderten und dennoch verwendeten Bilbiotheken heraus zu finden, führt man nach dem Update auf seinen Systemen folgendes Kommando aus:

lsof -n | egrep -i "(DEL|inode)"

Danach sollte man eine Augabe ähnlich dieser erhalten:

server:~# lsof -n | egrep -i "(del|node)"
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
nrpe 1111 nagios mem REG 9,1 22637092 /usr/lib/libssl.so.0.9.8 (path inode=22638819)
dbus-daem 2222 messagebus mem REG 9,1 22635753 /usr/lib/libexpat.so.1.5.2 (path inode=22638405)
apache2 3333 www-data mem REG 9,1 22635753 /usr/lib/libexpat.so.1.5.2 (path inode=22638405)

Dabei wird über das del nach gelöschten Dateien und Dateien die zwar noch im Speicher gemapped sind, aber auf der Festplatte nicht mehr existieren, gesucht. Das node sucht nach der Ausgabe path inode=, also nach inodes die sich verändert haben. Bei meiner Ausgabe sieht man das die Programme nrpe, dbus und apache2 also einmal neugestartet werden müssten, da diese alte Versionen der Bibliotheken verwenden.

Wie ich bei meiner Recherche gerade herausfand, gibt es für Debian das Paket debian-goodies, welches das Tool checkrestart enthält. Dieses übernimmt genau diese Aufgabe und teilt euch mit, welche Init-Scripte ausgeführt werden müssen :

server:~# checkrestart
Found 7 processes using old versions of upgraded files
(2 distinct programs)
(2 distinct packages)

Of these, 2 seem to contain init scripts which can be used to restart them:
The following packages seem to have init scripts that could be used
to restart them:
dbus:
1111 /usr/bin/dbus-daemon
apache2-mpm-prefork:
22222 /usr/sbin/apache2
2222 /usr/sbin/apache2
23232 /usr/sbin/apache2
32323 /usr/sbin/apache2
22322 /usr/sbin/apache2
33233 /usr/sbin/apache2

These are the init scripts:
/etc/init.d/dbus restart
/etc/init.d/apache2 restart

Eine von beiden Möglichkeiten wird euch sicher helfen