Rechnermanagement mit Puppet

Von Mainboarder am 21.10.2014 veröffentlicht
Tags: , , ,

Nachdem ich in letzter Zeit immer mal wieder von Tools wie Puppet und Salt gehört habe, wollte ich mir mal anschauen, wie das Ganze funktioniert. Wie leicht lassen sich mehrere Rechner damit zentral verwalten?

Puppet und Salt sind Tools mit denen man die Konfiguration von Rechnern zentral übernehmen kann. Updates einspielen, Programme verteilen und installieren, Konfigurationen anpassen (SSLv3 bei allen Maschinen mit SSL abschalten) und Cronjobs verwalten sind nur ein paar Beispiele der Anwendungsmöglichkeiten.
Doch zunächst hat man die Wahl welches Programm man überhaupt nutzen möchte: Puppet, Saltstack, Chef, CFEngine und Ansible sind die vermutlich derzeit am weitesten verbreiteten Tools dafür. Für Puppet entschied ich mich dann, weil ich davon bislang am meisten gehört habe. Damit ist die gefühlte Verbreitung am größten und damit hoffentlich auch die Unterstützung. Es ist kostenlos, läuft auf Linux und Windows und ist noch mit vertretbaren Aufwand zu installieren, wenn man auf die grafische Oberfläche verzichtet. Der Master (Rechner, der die Clients konfiguriert), muss Linux sein. Die Clients können auch Windows nutzen.

Port freigeben, Quellen importieren, Master installieren, Clients installieren, Master konfigurieren, Clients starten, Grundkonfiguration anlegen, auf dem Master die Zertifikate der Clients bestätigen, Cronjobs auf den Clients einrichten. So der grobe Installationsablauf.

Die Konfiguration ist an sich auch nicht übermäßig schwer. Man sollte schonmal mit Arrays gearbeitet haben und wissen was das ist.

Als Beispiel werde ich beschrieben, wie man die Meldung, die beim Anmelden an einem Linux mittels SSH erscheint, konfiguriert (Message of the day (MOTD)).

  • Unter /etc/puppet/manifests die Datei site.pp anlegen.
  • Für jeden Client einen Eintrag mit “node ‘HOSTNAME'{ }” anlegen (ohne doppelte Anführungszeichen)
  • Die geschweiften Klammern mit “include standard” füllen
  • Unter /etc/puppet/modules den Ordner standard mit den Unterordnern files, manifests, templates anlegen
  • Unter files die Datei motd mit den gewünschten Inhalten anlegen
  • Unter manifests die Datei init.pp anlegen
  • Mit folgenden Inhalten füllen:
class standard {
	file { '/etc/motd':
		ensure => 'present',
		source => 'puppet:///modules/standard/motd',
		owner => 'root',
		group => 'root',
		mode => 644
	}
}

Die source ist so richtig. Der Pfad wird vom Puppet-Verzeichnis aus angegeben und der Unterordner files für modules weggelassen. Das ‘/etc/motd’ sagt Puppet, wo die Datei hinsoll. Der Rest ist, denke ich, selbsterklärend.

In dieser Klasse lässt sich nun sammeln, was auf allen Rechnern eingerichtet werden soll, solange in der site.pp Manifest für jeden Host diese class geladen wird.

Ein Cronjob (alle 30 Minuten) für Puppet lässt sich übrigens wie folgt einrichten:

cron { 'puppet-agent':
	ensure  => 'present',
	command => '/usr/bin/puppet agent --onetime --no-daemonize --splay',
	minute  => '*/30',
	target  => 'root',
	user    => 'root',
}

Dieser muss aber einmalig von allen Clients mit “puppet agent –server HOSTNAME.MASTER –test” geholt werden.

Eine schöne Möglichkeit besteht auch darin, die Konfiguration eines eigenen Standardsystems vollständig in Puppet zu verwalten. Dann kann man diesen Rechner schnell duplizieren. Lediglich ein laufendes Betriebssystem und der installierte und eingerichtete Puppet Client müssen vorhanden sein.

Ein weiterer schöner Anwendungsfall ist auch, die Firewall iptables auf mehreren Server  synchron zu halten. Dies geht über externe Module.

Das Verfahren gegen die Onlineausgabe einer überregionalen Tageszeitung u.a. initiiert durch Mainboarder.de wird erneut aufgerollt. Zuvor erging für die Berichterstattung über den mutmaßlichen Kinderpornobesitz des ehemaligen Abgeordneten Edathy eine Missbilligung des Presserates nach Ziffern 2 und 8 wegen Veröffentlichung von Emailadressen und (nicht zweifelsfrei zuordenbaren) nickname von Edathy.

Einzelheiten sollen dazu nicht veröffentlicht werden. Allerdings möchte ich gleichzeitig dennoch fair berichten, damit nicht der Eindruck entsteht, dass die Missbilligung der letzte Akt war.
Das Medium hat neue Argumente und Informationen vorgetragen, die es vernünftig erscheinen lassen, den Fall neu zu bewerten.

Diese werde ich nun prüfen und – sofern ich anderer Ansicht bin – dem Beschwerdeausschuss zukommen lassen. Nicht alle Argumente aus dem Schreiben sind für mich stichhaltig. Neue Zusatzinformationen zeigen mir aber, dass der Text missverstanden werden konnte. Nicht umsonst hat zuvor der Ausschuss eine Missbilligung ausgesprochen. Die Zeitung argumentiert mit neuen Informationen, dass der nickname in einem bestimmten Zeitraum sehr wohl Edathy zugeordnet werden kann.

Verhandelt wird voraussichtlich am 3.12.2014. Vermutlich erfahre ich erst Ende des Jahres oder Anfang nächsten Jahres von dem Ergebnis.

Roderich Kiesewetter (CDU) und Eikonal

Von Mainboarder am 10.10.2014 veröffentlicht
Tags: , , , , ,

Hallo Herr Kiesewetter,

Medienberichten entnahm ich, dass Sie dazu auffordern das G10-Gesetz “so gut wie möglich” einzuhalten: http://www.zeit.de/digital/datenschutz/2014-10/nsa-bnd-eikonal-details-untersuchungsausschuss

Wie der Name des Gesetzes schon sagt, bezieht es sich ergänzend auf das Grundgesetz.

Ich weiß nicht wo Sie Ihr Verständnis für Gesetze her haben, aber an Gesetze ist sich nicht “so gut wie möglich” zu halten. Wenn etwas gegen das Gesetz so offensichtlich wie das Programm Eikonal verstößt, dann ist das illegal und nicht – wie Ihre Aussage impliziert – so zu gestalten, dass Gesetze in möglichst geringen Umfang verletzt werden.

Woher nehmen Sie eigentlich das Verständnis, dass nur die Daten Deutscher ausgefiltert werden müssen? Das Fernmeldegeheimnis bezieht sich auf den Datenverkehr in Deutschland. Der DE-CIX ist in Frankfurt und ist damit vollständig durch das Fernmeldegeheimnis und das G10-Gesetz geschützt. Es hätte gar kein Eikonal geben dürfen.

Kennen Sie Artikel 20 GG (Abs 3,4)? Ich glaube Sie laufen Gefahr sich heftigen Widerstand aufzubürden.

Mit freundlichen Grüßen

Was kostet es das Grundgesetz zu brechen?

Von Mainboarder am 6.10.2014 veröffentlicht
Tags: , , , , , , ,

Die neuen Erkenntnisse zum Ausspionieren von Datenverkehr (Eikonal) haben mich erneut schockiert. In einem interessanten Beitrag zerlegt Telepolis dieses Vorgehen, zeigt, dass es durch die deutsche Verfassung nicht gedeckt ist, auch nicht, wenn die Daten Deutscher aussortiert werden. Generell ist Datenverkehr in Deutschland geschützt durch das Fernmeldegeheimnis. Die in Absatz 2 wie auf im G10-Gesetz notwendig erklärte Nachprüfung geschah nicht.

Für mich ist auch fraglich, ob generell das Fernmeldegeheimnis über einen so langen Zeitraum von mehreren Jahren für alle eingeschränkt werden darf und dazu noch ohne die Betroffenen darüber zu informieren. Damit ist es faktisch abgeschafft. Mit nicht nur mit Artikel 20 Abs 3 und 4 GG könnten Steinmeier und Mitarbeiter des BND Probleme bekommen.

Wenn man bedenkt, dass Eikonal im Jahr 2004 startete und damit auch schon technisch möglich war, möchte ich nicht wissen, was womöglich derzeit gerade gemacht wird. Der DE-CIX, also der mutmaßlich ausspionierte Internetknoten, selbst hat davon wohl nicht mitbekommen:

Die jüngsten Presseberichte bringen aus unserer Sicht keine neuen Erkenntnisse bezüglich eines potenziellen Zugriff auf den von uns betriebenen Internetknoten und zugehörige Glasfasernetze. Daher schließen wir weiter aus, dass irgendein ausländischer oder inländischer Geheimdienst im genannten Zeitraum von 2004 bis 2008 einen Zugang zu diesen hatte. Eine Kooperation mit dem DE-CIX fand nicht statt.

Harald A. Summa – Geschäftsführer DE-CIX Management GmbH

Medienberichten zufolge lehnte es Steinmeier auch ab, direkten Zugriff auf den DE-CIX zu beschaffen. Wie genau die Daten also ausgeleitet wurden, ist unklar. Fakt ist, ein unbekannter Provider, vermutlich die Telekom, soll geholfen haben. Für 6000€ monatlich bekommt der BND dann Zugriff. Kurios ist, dass die Telekom selbst aber gar nicht am DE-CIX peert, also dort keine Daten mit anderen Providern umschlägt.

Mir teilte die Telekom mit, dass man im Kontakt mit Strafverfolgungsbehörden ist und prüft, ob es ausreichende Grundlagen für Ermittlungen gibt.

Schaut man sich diese Grafik des DE-CIX an, so lässt sich schätzen, dass 2008 der Traffic dort durchschnittlich bei ca. 250 Gbit/s gelegen haben könnte.

Ich weiß nicht was für Steinmeier, BND und Konsorten deutscher Datenverkehr ist:

  • Datenverkehr zwischen zwei deutschen Staatsbürgern
  • Datenverkehr in Deutschland
  • Datenverkehr in deutscher Sprache
  • Datenverkehr zwischen deutschen IP-Adressen
  • Datenverkehr an dem nur ein Teilnehmer als deutsch definiert wird

Der Anteil am Gesamtaufkommen ist bei einem deutschen Internetknoten in Deutschland aber vermutlich hoch. Je nach Definition hat man aber auch Datenverkehr der nach der Definition der Spione nicht abgefangen werden sollte, sich das Abfangen aber nicht verhindern lässt:

  • Deutsche Bürger im Ausland
  • Falsch zugeordnete IP-Adressen
  • Anderssprachiger Datenverkehr von Programmen oder bspw. in englisch verfassten Emails

Ohne irgend einen Anhaltspunkt zu haben, würde ich schätzen, dass ca. 60% des Traffics am Standort DE-CIX Frankfurt unter “deutschen Traffic” fällt: 250 Gbit/s * 40% = 100 Gbit/s ausländischer Traffic (2008). Davon sind aber 5% fehlerhafter deutscher Beifang: also 5 Gbit/s. 5 Gbit / 8 bit = 625 Megabyte Daten pro Sekunde. Ein Monat hat (bei 30 Tagen) 86400 Sekunden * 30 Tage = 2.592.000 Sekunden.

0,625 Gigabyte * 2.592.000 Sekunden = 1.620.000 Gigabyte = 1620 Terabyte = 1,6 Petabyte Daten pro Monat für 6000 €.

1.620.000 Gigabyte / 6.000 € = 270 Gigabyte / Euro

Diese Rechnung unterstellt Steinmeier und dem BND nur an dem Beifang, also deutschen Daten, interessiert gewesen zu sein. In Wirklichkeit ist die Datenmenge pro Euro also noch um einiges höher.

Geht man davon aus, dass Steinmeier und der BND nur für den deutschen Beifang gezahlt haben, so kostete sie 270 Gigabyte Grundgesetzbruch 1 €.

Jede oder keine: Religion in Leipzig

Von Mainboarder am 28.09.2014 veröffentlicht
Tags: , ,

Komische Sachen passieren in Leipzig seitdem eine Religionsgemeinschaft, die nicht christlich ist, ein Gotteshaus errichten möchte.

Zum Beispiel traf man sich im Jahre 2013 in einer Kirche um gemeinsam gegen eine Moschee zu sein:

Dabei kamen ebenso eklige wie abstoßende Kommentare vor.

Parallel dazu wird gegenüber des Neuen Rathauses gerade eine ziemlich große (und hässliche) Kirche gebaut.

Nun aber soll 2016 auch noch der Deutsche Katholikentag stattfinden und als ob das nicht reichen würde, wird dieser noch mit einer Million Euro unterstützt. Man könnte also den Eindruck gewinnen, dass es wichtig ist neue christliche Kirchen zu bauen. Doch in Gesamtdeutschland sinkt der Anteil an Menschen mit Religionszugehörigkeit. Dabei ist historisch bedingt auf dem Boden der ehemaligen DDR die Konfessionslosigkeit überdurchschnittlich hoch.

Da ich davon ausgehe, dass die bestehenden Kirchen höchstens zu Weihnachten und womöglich auch Ostern annähernd voll sind, beantworte ich die Frage, ob diese neue Kirche sein muss mit einem klaren Nein. Ebenso die Frage ob die Förderung des Deutschen Katholikentages in dieser Höhe stattfinden muss.

Wenn aber diese Religion, die laut Aussage der Befürworter zu Deutschland dazugehört, so gefördert wird, muss es auch möglich sein Gotteshäuser anderer, nichtradikaler und toleranter Religionen ohne übertriebene Proteste, echauffierte Bürger und Hetze bauen zu können. Denn dass das Christentum zu Deutschland gehört, ist in Leipzig und auch in Zukunft ein Argument was an Stärke verlieren wird.

Entweder jede oder keine Religion. So lange sie sich an die Gesetze halten.

Und abgesehen davon, sollte auch Atheisten im Verhältnis Geld geschenkt werden, wenn man es Christen schenkt.