Académique Documents
Professionnel Documents
Culture Documents
Einfach
automatisieren
Abläufe programmieren mit
PowerShell, Python, Bash und Co.
Richtig eingesetzt
Best Practices für
die PowerShell
Bequem skripten
Sechs kostenlose
Editoren im Vergleich
Updates automatisch
WSUS mit Puppet steuern
Grafische Oberfläche für die PowerShell
AppSphere
ScriptRunner im Test
www.it-administrator.de
Die Anforderungen an
die IT steigen rasant,
durch uns sind Sie immer
ganz vorne mit dabei.
Edge Computing
bei Thomas-Krenn
Egal welche Anforderungen Sie an Leistung, Skalierbarkeit
und Ausstattung stellen, mit der dezentralen Daten-
verwaltung von Edge Computing werden die Daten genau
dort verarbeitet, wo sie entstehen – nämlich direkt vor Ort.
Mit unserer ausgewählten Hardware und den sicheren
Edge-Rechenzentren unserer Partner beschleunigen Sie die
Datenverarbeitung und Ihrem Vorhaben steht nichts mehr
im Weg. thomas-krenn.com/edge
Im letzten Heft gab es ein Streitgespräch unter IT-Experten über den Nutzen
und Nachteil der PowerShell bei der Administration von Windows-Rechnern.
Das Ergebnis: We agree to disagree. Zwar kann die PowerShell bei der Auto-
matisierung von Problemlösungen helfen, aber ob sie immer dazu beiträgt,
diese zu beschleunigen, ist fraglich, wenn etwa andere Faktoren bremsen. Auch
ist nicht gesagt, ob sich der Aufwand für das Skripten seltener
Anwendungsfälle immer lohnt.
Auch hier ist aber zu beobachten, dass keine letztgültige Lösung des Problems
erreicht ist. Kaum begeistert ein neuer Ansatz durch Einfachheit und deklarative
Syntax die Anwender, wird schnell der Wunsch nach komplexeren Ausdrucks-
möglichkeiten wie logischen Operatoren, Schleifen und so weiter laut, also Aus-
drucksmöglichkeiten, die ausgewachsene Skriptsprachen bieten. Dann wird Stück
für Stück komplexere Syntax durch die Hintertür eingeführt, bis der anfängliche
Charme der Einfachheit auf der Strecke bleibt und alles wieder von vorne beginnt.
Unser Schwerpunkt gibt Tipps zu bewährten Tools und stellt neue Ansätze vor,
um die immer wiederkehrenden Probleme zu lösen. Wir unterziehen das Soft-
ware-Bundle Chef Automate einem Test, das etwa mit der Inspec-Komponente
hilft, automatisiert IT-Umgebungen auf die Einhaltung von Compliance-Regeln
zu testen. In eine ähnliche Richtung geht das freie Tool Testinfra, das wie au-
tomatisierte Tests in der Software-Entwicklung die eigene Infrastruktur daraufhin
prüft, ob sie die gewünschten Anforderungen erfüllt.
Für die Automatisierung von Cloudumgebungen bei Amazon ist Boto3 gedacht,
ein Python-Modul, das nahezu alle AWS-Funktionen abdeckt. In die gleiche
Kerbe schlägt die PowerCLI-Toolbox, die VMware-Admins bei ihrer Arbeit
helfen soll. Sie stellen wir ab Seite 68 vor. Aber auch die Anwender der (neo)klas-
sischen Admin-Tools für Windows, der Bash respektive PowerShell, kommen
nicht zu kurz: Sie können neue Tricks über das Debugging von Bash-Skripts
kennenlernen oder sich an den Best Practices für die PowerShell orientieren.
Oliver Frommel
Leitender Redakteur
BlueParq PowerShell
Studio 1.0
26 Wollen Administratoren
Abläufe per PowerShell
automatisieren, ist der Einstieg
meist steinig und langwierig.
"Das muss doch einfacher gehen,
wenn sich der Nutzer nicht mit
dem Code beschäftigen muss,
sondern den Ablauf einfach per
Diagramm zusammenklicken
kann" dachten sich die Gründer
von BlueParq und schufen ein
neuartiges Programmiertool, das
BlueParq PowerShell Studio.
Schulungen
mit H5P AKTUELL
06 News
40 Mitarbeiter sollten regelmäßig in Sachen
IT geschult werden. Denn nicht nur findet 12 IBM Think 2018, 18. bis 22. März, Las Vegas
immer wieder neue oder aktualisierte Software ihren 14 IT-Administrator Trainings und Intensiv-Seminare
Weg ins Unternehmen, auch die Security-Awareness
bleibt nur dank wiederkehrender Schulungen er- TESTS
halten. Um den Unterricht dabei ansprechend und
16 Chef Automate
informativ zu gestalten, bietet sich mit H5P eine in- Chef Automate konkurriert mit Werkzeugen wie Ansible Tower oder Puppet Enterprise.
teraktive Lernplattform an. Diese ist leicht aufzu- Wir haben uns angesehen, ob die Lösung hält, was der Hersteller verspricht.
setzen und zu bedienen. 22 AppSphere ScriptRunner 2018R2
Mit der PowerShell wurde Scripting auch unter Windows beliebter. Mit einer Erweite-
rung von AppSphere lassen sich Skripte bequem nutzen und stärker automatisieren.
testen mit Testinfra Mit etwas Geschick und Talent erarbeitet sich der Administrator beim Monitoring
eine Überwachung mit automatischer Reaktion auf Veränderungen – zum Beispiel
mit Total Network Monitor.
48 Revisionssichere Datenlöschung
Löschen Unternehmen ihre Daten nicht ordnungsgemäß, müssen sie mit Bußgeldern
rechnen. Professionelle Produkte zur Datenlöschung helfen.
52 Security-Tipp
Verzeichnisdienste mit LDAP sind fest etablierter Bestandteil von IT-Systemland-
schaften. Im Security-Tipp geht es um die Absicherung von OpenLDAP mit einem
Let's-Encrypt-Zertifikat.
SCHWERPUNKT
58 Optimierung und Standardisierung
von PowerShell-Skripten
Werden aus PowerShell-Einzeilern ausgewachsene Skripte, müssen sich IT-Verant-
wortliche mit Konzepten aus der Softwareentwicklung befassen. Wir zeigen aktuel-
le PowerShell-Best-Practices.
74 Windows-Client-Management
mit Puppet und WSUS
Wer seine Update-Infrastruktur von der von Microsoft abkoppeln will, nutzt als
Werkzeug der Wahl meist den WSUS-Server – seine Eintragung auf Seiten des
Clients übernimmt nun bei Bedarf Puppet.
RUBRIKEN
03 Editorial
04 Inhalt
102 Buchbesprechung
103 Fachartikel online
105 Forschungslabor
106 Vorschau, Impressum, Inserentenverzeichnis
www.it-administrator.de
Aktuell News
Mitarbeiter
als schwächstes Glied
Im vergangenen Jahr sank die Anzahl kompromittierter Da-
tensätze um fast 25 Prozent, da Cyberkriminelle den Schwer-
punkt auf Ransomware-Angriffe verlagerten. Letztes Jahr
wurden allerdings immer noch mehr als 2,9 Milliarden Da-
tensätze gehackt, gegenüber vier Milliarden im Jahr 2016. Zu
diesem Schluss kommt IBM in seinem kürzlich veröffentlich-
ten X-Force "Threat Intelligence Index 2018". Während die
Anzahl der gehackten Datensätze damit noch immer signifi-
kant war, dominierte 2017 das Phänomen Ransomware, da
Angriffe wie WannaCry, NotPetya und Bad Rabbit versuch-
ten, Chaos über mehrere Branchen hinweg zu stiften. Dane-
ben zeigt der Bericht einen historischen 424-prozentigen An-
stieg bei Hacks im Zusammenhang mit falsch konfigurierter
Cloud-Infrastruktur, hauptsächlich aufgrund menschlicher
Fehler. Auch war die Finanzbranche erneut mit den meisten
erfolgreichen Angriffen Spitzenreiter unter den Angriffszie-
len: 27 Prozent aller Angriffe zielten auf den Bankensektor.
Menschliches Versagen bleibt derweil das schwache Glied
in der Sicherheitskette. Im Jahr 2017 nutzten Cyberkrimi- Ransomware dominierte die IT-Security im letzten Jahr.
nelle weiterhin menschliche Fehler und Irrtümer bei Infra-
strukturkonfigurationen, um Angriffe zu starten. Tatsäch- in Bezug auf kompromittierte Datensätze, die durch Fehl-
lich zeigt der Bericht, dass unbeabsichtigte Aktivitäten wie konfigurationen in Cloudservern exponiert wurden. Neben
eine falsch konfigurierte Cloud-Infrastruktur für 70 Prozent falsch konfigurierten Clouds machten Einzelpersonen, die
der kompromittierten Datensätze verantwortlich waren. über Phishing-Attacken gehackt wurden, ein Drittel der
Auch werden Cyberkriminelle zunehmend auf die Existenz Vorfälle im Thema menschliches Versagen aus, die 2017 zu
von falsch konfigurierten Cloudservern aufmerksam. Eine einem Sicherheitsvorfall führten. (dr)
Folge: 2017 gab es einen sehr starken Anstieg (424 Prozent) IBM: www.ibm.de
Intelligenter Clientverwalter
VMware erweitert "Workspace ONE" um den cloudbasier- samten IT-Ökosystem und somit weniger übersehene
ten Dienst "Workspace ONE Intelligence", der Aggregation Schwachstellen will das Workspace ONE Trust Network
und Korrelation der Nutzer, Anwendungen, Netzwerke sorgen. Durch Kombination der eigenen Sicherheits-
und Daten von Endpunkten miteinander kombiniert. Zu- funktionalitäten mit dem neuen VMware-Security-Part-
dem stellt der Hersteller das "Workspace ONE Trust Net- nernetzwerk lassen sich Bedrohungsinformationen aus-
work" vor, das die Daten und Analysen von Workspace tauschen und abgleichen. Workspace ONE AirLift
ONE mit Sicherheitslösungen vertrauenswürdiger Partner ermöglicht das Co-Management von Windows 10 neben
kombiniert, um vorausschauende und automatisierte Si- Microsoft System Center Configuration Management.
cherheit zu gewährleisten. Und schließlich bringt "Work- Diese Koexistenz soll für eine schnellere Umstellung auf
space ONE AirLift" eine neue Windows-10-Co-Manage- Windows 10 mit gleichzeitig weniger Risiken sorgen, in-
ment-Technologie, die Unternehmen beim dem Aufgaben wie Device Onboarding, Patching, Soft-
PC-Lifecycle-Management unterstützen soll. wareverteilung und Remote-User-Support migriert wer-
Workspace ONE Intelligence nutzt dabei eine inte- den. Darüber hinaus integriert der Hersteller ein
grierte "Decision Machine", die Handlungsempfehlungen besseres Management von Mac-Rechnern, Sicherheit für
und automatisierte Prozesse auf Basis vorliegender Da- Office 365 durch Data Loss Prevention und Geräteüber-
ten liefert. So soll die IT-Abteilung Probleme erkennen wachung sowie mit "Boxer" die Möglichkeit, für Aufga-
und proaktiv beheben können, bevor diese sich auf die ben mehrere Business-Applikationen wie Salesforce, Jira
Arbeitsplätze auswirken. Auch steuern Administratoren oder Concur gleichzeitig zu nutzen, ohne die Boxer-E-
mit dieser Technologie Zugriffsrichtlinien über Geräte Mail-Anwendung zu verlassen. (jp)
und Plattformen hinweg. Für mehr Transparenz im ge- VMware: www.vmware.com/de/
Gerätesichtbarkeit erhöhen
ForeScout Technologies hat Version 8 von ForeScout CounterACT
um diverse neue Funktionen ergänzt. Die erweiterte ForeScout-
Plattform für Gerätesichtbarkeit soll unter anderem eine höhere
Skalierbarkeit, cloudbasierte Erkenntnisse über die Geräte, Bewer-
tung von IoT-Geräten und eine flexible, zentralisierte Lizenzertei-
lung bieten. Dazu zählen industrielle Systeme und Systeme für kri-
tische Infrastrukturen, IPv6-adressierbare Geräte sowie Geräte, die
von Cloudcontrollern wie Cisco Meraki verwaltet werden. Statt ei-
ner Million Geräte kann im neuen Release eine einzige Implemen- Couchbase gibt mit Couchbase Mobile 2.0 den Startschuss
tierung jetzt auf zwei Millionen Geräte skalieren. So sollen die Un- für die neueste Version seines Werkzeugs zur mobilen Da-
ternehmen mit dem Gerätewachstum Schritt halten können. tenverwaltung. Das aktuelle Release bietet Entwicklern un-
Zugleich können sie laut Hersteller die Nutzung der Stellflächen ter anderem eine vereinfachte API, Volltextsuche, automati-
und Rechenzentren optimieren, da eine einzige 1U-Appliance mit sche Konfliktlösung und SQL-Abfragen. Neu ist zudem das
umfassendem 10 GBit/s Traffic-Monitoring nun bis zu 20.000 Ge- Replikationsprotokoll, das auf WebSocket aufsetzt und da-
räte verwalten kann. Eine neue Option zur virtuellen Bereitstellung mit deutlich schneller sein soll. Einer der Bestandteile,
Couchbase Lite, wurde laut Hersteller vollständig neu ge-
unterstützt neben VMware und Hyper-V auch KVM. Die neue
schrieben. Weiterhin soll eine On-device Replica Entwicklern
Funktion zur automatischen IP-Zuweisung schließlich gibt Nut-
erlauben, HA/DR an der Edge zu liefern. (ln)
zern die Möglichkeit, die Verteilung und Verwaltung der IP-Adres- Link-Code: I5A11
sen in einem Multi-Appliance-Cluster zu automatisieren und da-
durch manuelle Verwaltungsaufgaben zu reduzieren. Überarbeitet
hat der Hersteller außerdem seine Flexx-Lizenzierung. (ln) Veeam und Pure Storage liefern gemeinsam eine integrierte
ForeScout: www.forescout.com Datenmanagement-Plattform. Die Integration des FlashAr-
ray von Pure Storage in die Veeam Availability Platform ist
ab sofort als Storage-Plug-in verfügbar. Die Neuvorstellung
WAN-in-a-Box soll die Ausfallsicherheit von Geschäftsprozessen verbessern
und für permanente Datenverfügbarkeit sorgen. Die Integra-
Dell EMC stellt mit der "Virtual Edge Platform" (VEP) eine
tion basiert auf der neuen Veeam Universal Storage API, mit
Werkzeugfamilie für softwaredefinierte Wide Area Networks der die Speicherintegration in die Veeam Availability Plat-
(SD-WAN) auf Grundlage des neuen Prozessors Intel Xeon D- form laut Anbieter erheblich vereinfacht wird. (ln)
2100 vor. Diese neuen virtualisierten Produkte sollen teure Link-Code: I5A12
Zugangshardware, die ausschließlich fest definierte Funktio-
nen bietet, verbessern oder ersetzen. Damit können Organisa-
tionen ihr Network Edge über universelle Teilnehmer-Endge- AnyDesk geht mit der neuen Version 4 der gleichnamigen
räte (universal Customer Premise Equipment, uCPE) mit der Remote-Desktop-Software an den Start. Das Release bringt
Cloud verbinden. diverse Features sowohl für Windows- als auch für macOS-
Dell EMC VEP4600 unterstützt mehrere virtuelle Netzwerk- Anwender. Neu dabei sind zum Beispiel Sitzungsaufzeich-
nung, integrierte Dateiverwaltung, automatisierte Updates
funktionen (Virtual Network Functions; VNF) gleichzeitig.
und erweiterte Unterstützung für Windows Terminal Server.
Zahlreiche proprietäre physische Endgeräte sollen sich so in
Um beim Fernzugriff auf unbeaufsichtigte Computer mehr
einem einzigen universellen Teilnehmer-Endgerät konsolidie- Sicherheit zu gewährleisten, bietet die neue Version eine
ren lassen, ohne nach Angaben von Dell das für das Hosting neue Funktion zum automatischen Sperren von Windows-
zahlreicher Devices benötigte hohe Leistungsniveau zu verlas- Sitzungen am Ende des Fernzugriffs. (ln)'
sen. VEP4600 will mit dem Intel-Xeon-D-2100-Chip, der Intel Link-Code: I5A13
QuickAssist-Technologie und dem Data Plane Development
Kit bei der Optimierung von Rechenressourcen und bei der
Effizienzsteigerung der stetig zunehmenden Security Work- A10 Networks erweitert sein Enterprise-Portfolio um das
loads helfen. Secure-Web-Gateway mit SSL-Insight. Mit dem auf der
Damit Unternehmen die Bereitstellung vereinfachen kön- Thunder-CFW-Plattform verfügbare Angebot sollen sich an-
nen, bietet Dell EMC drei validierte Lösungen für die spruchsvolle SaaS-Workloads leichter skalieren und Compli-
ance-Anforderungen umsetzen lassen. Die Secure Web
VEP4600. Sie stellen schlüsselfertige SD-WAN-Funktionen
Gateway-Lösung mit SSL Insight ermöglicht dabei eine bidi-
mit vorvalidierten und vorintegrierten Konfigurationen zur
rektionale SSL-Sichtbarkeit, indem sie das Offloading des re-
Verfügung, die die Infrastruktur und Support-Services von chenintensiven SSL/TLS-verschlüsselten Datenverkehr mit
Dell EMC mit der SD-WAN-Software von Silver Peak Systems, nahezu doppelt so hohem Durchsatz im Vergleich zu Mitbe-
VeloCloud Networks und Versa Networks kombinieren. (jp) werbern umsetzen soll. (dr)
Dell: www.dell.com/en-us/work/shop/povw/virtual-edge-platform-4600 Link-Code: I5A14
Flexibler Pförtner
Der modulare Authentifizierungsserver privacyIDEA ist in
Version 2.22 auf dem Markt. Die aktuelle Version beinhaltet
einige wesentliche Neuerungen: So können Informationen
nun künftig flexibler über das RADIUS-Protokoll an Fire-
walls oder VPNs zurückgeliefert werden. Administratoren
erhalten außerdem die Möglichkeit, spezifische Rückgabe-
werte zu definieren. Darüber hinaus wurden unter anderem
Geräuscharme Konferenzen
HP stellt mit dem "Elite Slice G2" sowie einem neuen 55- sind, sorgt "HP Sure Start" mit Dynamic Protection für Si-
Zoll-Bildschirm mit 4K-Auflösung neue Ausrüstung für den cherheit, indem es mit einem selbst-regenerierenden BIOS
Konferenzraum vor. Das für die Zusammenarbeit konzipier- und manipulationssicheren Anschlussabdeckungen ausge-
te HP Elite Slice kommt mit zahlreichen Funktionen, um das stattet ist. Ergänzt wird der neue Besprechungsraum von
eMeeting-Erlebnis einfach und schmerzlos zu gestalten. Er- dem "HP LD5512 4k Large Format Display", der die Zusam-
gänzt wird das neue Angebot optional mit dem "Center of menarbeit von zu bis vier Nutzern optimiert abbildet. HP
Room Control", einem 12,3-Zoll-Touchscreen, der die Ver- Elite Slice G2 ist für etwa 800 Euro verfügbar, der ergänzen-
waltung von Konferenzanrufen vereinfacht und den "HP de UHD-Bildschirm liegt bei ungefähr 1000 Euro. (jp)
Präsenzsensor" enthält, der erkennt, wenn ein Teilnehmer Hewlett Packard: www.hp.com
den Raum betritt, um das Meeting zu beginnen.
Um sicherzustellen, dass Konferenzteilneh-
mer deutlich zu hören sind, und um den ge-
fürchteten "Ich dachte, ich war stumm geschal-
ten"-Fauxpas zu vermeiden, bietet das Gerät 90
dBa Audio für Klang und Klarheit, ein Fern-
feldmikrofon, das Geräusche aus bis zu fünf
Metern Entfernung aufnehmen kann, HP Noise
Cancellation, um ungewollte Gespräche und
Geräusche im Raum zu vermeiden.
HP Elite Slice bietet zur Administration eine
standardbasierte Benutzeroberfläche, das "HP
Manageability Integration Kit", und eine werkzeuglose Ein- HP Elite Slice für Konferenzräume sorgt nicht zuletzt durch einen
richtung. Da Konferenzgeräte in der Regel für mehrere Be- namhaften Lautsprecherlieferanten für Videokonferenzen ohne
nutzer freigegeben und oft für lange Zeit unbeaufsichtigt störende Hintergrundgeräusche.
Gemeinsam gedacht
von Torben Volkmann
Erstmalig hat IBM keine einzelnen Events mehr für verschiedene Bereiche oder Zielgruppen,
sondern veranstaltet ab 2018 nur noch die "Think". Dabei standen Collaboration, künstliche
Intelligenz, Blockchain, Internet of Things oder Quanten-Computing auf der Agenda.
Der Andrang war entsprechend groß.
ass dieses Event nicht nur die Zu- Dies sind Themen, die IBM und seine For- hilfe von "Watson Services for Core Ma-
D kunft der IBM-Hausmessen, son- scher auch in der nahen und fernen Zu- chine Learning" und "Cloud Developer
dern auch die technologische Zukunft kunft weiter begleiten wollen. Console for Apple" sollen iOS-Entwickler
darstellt, daran ließ gleich am ersten Tag eine einfache Möglichkeit haben, auf die
der "IBM Science Slam" keinen Zweifel. Wissen wächst exponentiell Funktionen von IBM Watson zuzugreifen.
Fünf IBM Wissenschaftler hatten jeweils mit der Hilfe von IBM Watson Den Anfang macht dabei die Paradedis-
fünf Minuten Zeit, ihre Forschung und Der zweite Tag stand ganz im Zeichen ziplin der KI: die Bilderkennung. Damit
deren Stand vorzustellen. Dabei handelte der Keynotes: Den Auftakt machte IBM- hat IBM eine weitere vielversprechende
es sich nicht um fertige Produkte, viel- Chefin Ginni Rometty. Sie stellte vor, wie Kooperation geschlossen. Überhaupt
mehr referierten die Experten zu konkre- IBM seine Forschung in die tägliche Ar- scheint der Hersteller mit Partnern und
ten gesellschaftlichen und technischen beit integrieren möchte. Bis heute ist die Kunden bei Watson aktuell gut aufgestellt
Problemen. Dazu gehörte zum Beispiel IT von zwei Gesetzen geprägt: Moors Law zu sein: Salesforce, Volkswagen, Ticket-
die Herausforderung beim Anlernen des exponentiellen Rechenleistungszu- master und Lenovo gehören hier zu den
künstlicher Intelligenzen. wachs sowie Metcalfs Law des exponen- Partnern oder Kunden.
tiellen Netzwerkwachstums. Ginge es
Ein weiteres Thema war die Verknüpfung nach IBM, würde nun auch "Watsons Die Bedeutung von Watson für IBM
von hergestellten Produkten mit der Block- Law" hinzukommen. Denn laut dem Ge- sollte klar sein. Damit aber die Einstiegs-
chain-Technologie zur Bekämpfung von setz erfährt auch das Lernen von nun an hürde gesenkt wird, nämlich das Anler-
Produktpiraterie. Und wer hätte gedacht, exponentielles Wachstum. Das Ganze soll nen der KI, wurde mit "IBM Watson
dass Plankton ein Gradmesser für die Ge- natürlich mit Hilfe von IBM Watson pas- Studio" eine Suite vorgestellt, mit der
sundheit der Meere ist und dass die größte sieren. Hierbei handelt es sich um die ei- die Klassifizierung und Kontrolle von
Herausforderung darin besteht, dieses le- gene künstliche Intelligenz, die sowohl Daten zum Anlernen deutlich verein-
bend zu beobachten und zu erforschen? über APIs als Webdienst angesprochen facht werden soll und die ohne eine
Etwas, das bis heute noch nicht möglich werden kann als auch in einzelne Pro- Programmiersprache oder -erfahrung
ist. Auch mit diesem Gebiet beschäftigen dukte direkt integriert wurde. auskommt. Damit IBM Watson noch
sich die IBM-Forscher. Genauso wie mit leistungsfähiger in die Zukunft gehen
der Technik des Quanten-Computing und Das neueste und prominenteste Mitglied kann, wurde auch gleich der hauseigene
dessen Auswirkung auf die Kryptografie. in dieser Familie ist nunmehr Apple. Mit- Chip POWER9 präsentiert, der zusam-
Ein weiteres Highlight der ersten Keynote war das Joint Ven-
ture zwischen IBM und Maersk. Zusammen wollen sie Dienst-
leistungen für den Handel und den Transport via Blockchain
anbieten. Insbesondere der Transport per Schifffahrt über
Landesgrenzen hinweg soll durch den Einsatz der Technologie
mehr Transparenz gewinnen und so Zollformalitäten deutlich
S EM I N AR E
vereinfachen.
www.it-administrator.de
Trainings, Intensiv-
Komplexe Aufgaben
Im neuen Intensiv-Seminar "Aufbau einer PKI unter Windows" ziehen die Teilnehmer in drei Tagen
eine PKI-Infrastruktur von Grund auf hoch. Durch Übungen am Rechner wird dabei der komplexe
Aufbau nachvollziehbar. Nicht immer einfach gestaltet sich auch das Drucken in
Windows-Netzwerken. In unserem zugehörigen Training im Herbst beleuchten wir
die größten Stolperfallen und geben Tipps. Nur noch wenige Plätze gibt es
derweil im Intensiv-Seminar "PowerShell für Admins" mit Thomas Wiefel.
Umfassende Lösungen für das Lifecycle-Management von Servern boomen seit Jahren.
Chef Automate geht als Konkurrent von Werkzeugen wie Ansible Tower oder Puppet Enterprise
ins Rennen. Hält die Software, was der Hersteller verspricht?
or 15 Jahren war es üblich, Syste- Ein Füllhorn von Lösungen Chef Automate selbst ist ein recht junges
V me händisch zu verwalten, und Zwar ist Puppet in Europa bis heute der Produkt, doch der Hersteller hat das Rad
zwar auch dann, wenn es sehr viele waren. Platzhirsch in Sachen Automation und für dieses Produkt nicht neu erfunden:
Automation war kein umfassendes Kon- Ansible reklamiert für sich, eine junge, Unter der Haube ist Automate eine Kom-
zept, sondern höchstens der Tatsache ge- unkomplizierte und äußerst flexible Al- bination aus drei existierenden Werkzeu-
schuldet, dass die Admins dieser Welt ternative zum scheinbar etwas schwerfäl- gen, nämlich Chef als Automatisierer für
nicht immer und immer wieder dieselben ligen Puppenspiel zu sein. Das ändert aber Infrastruktur, Habitat als Software-Auto-
Aufgaben händisch erledigen wollten. Oft nichts daran, dass auch Chef als Dritter matisierer und InSpec für das automati-
waren abenteuerliche Shellskript-Kon- im Bunde eine große Fangemeinde hat sche Überwachen von Compliance. Zu-
struktionen das Mittel der Wahl. und kommerziell relevant ist. Der gleich- sammen hält dieses Konstrukt eine Art
namige Hersteller wirbt mit seinem Pro-
Bald traten die Automatisierer auf den dukt Chef Automate um Kunden und hat Chef Automate
Plan: Im Fahrwasser von DevOps war es dieses in den vergangenen Monaten um
Produkt
nicht zuletzt Puppet, das den Shellskript- diverse interessante Funktionen erweitert.
Automationslösung für Systeme und Applika-
Wildwuchs in Form einer definierten
tionen mit integrierter Compliance-Kontrolle.
Syntax eindämmte und häufig verwendete Etwas seltsam mutet die Tatsache an, dass
Hersteller
Funktionen zentral in vereinheitlichter sich im Gegensatz zu Ansible Tower oder
Chef
Form anbot. Und der Bedarf wird größer: Puppet Enterprise bei Chef Automate nicht
www.chef.io
Cloud Computing, das sich gerade auch sofort erschließt, worum es bei dem Pro-
Preis
vom Hype zum Gamechanger in der IT dukt eigentlich geht oder aus welchen
Pro Server 137 US-Dollar.
wandelt, sorgt dafür, dass Setups immer Komponenten es besteht. Dabei ist Chef
größer werden. Wo Admins früher viele gar nicht großartig anders als andere Au- Systemvoraussetzungen
kleine Setups verwalteten, haben sie es tomatisierer – der Anspruch des Herstellers Unterstützte Plattformen für den Chef-Server:
CentOS 6/7, Oracle Enterprise Linux 6/7, Red
plötzlich mit riesigen Umgebungen zu ist es, seinen Kunden ein Werkzeug an die
Hat Enterprise Linux 6/7, SUSE Linux Enter-
tun, die ohne Automation gar nicht mehr Hand zu geben, mit dem sie sowohl ihre
prise Server 11 SP4, 12 SP1, Ubuntu 14.04,
sinnvoll zu betreuen sind. Automation physischen Systeme verwalten als auch
16.04
und DevOps profitieren gegenseitig von- fremde oder selbst entwickelte Software
64-Bit-Rechner, mindestens vier Cores, 8
einander: Große Setups mit hohem Au- auf ihnen ausrollen können. Chef ist also
GByte RAM, 18 GByte Festplattenspeicher
tomationsgrad ermöglichen neue Ge- auf der einen Seite ein klassischer Auto-
Technische Daten
schäftsmodelle, die wiederum rasantes matisierer; andererseits wildert es im Me-
www.it-administrator.de/downloads/
Wachstum mit sich bringen und die Set- tier der Lösungen für Continuous Integra-
datenblaetter
ups so noch größer werden lassen. tion und Continuous Delivery.
Bild 3: InSpec ist ausgesprochen praktisch: Auf der Basis von Tests in festgelegter Der Kleber,
Syntax überprüft es den Compliance-Zustand eines Systems. der alles zusammenhält
Chef, Habitat und InSpec sind allesamt
durchführen. Dazu genügt es, im Auto- Im Test machte InSpec jedenfalls eine aus- Open-Source-Anwendungen, die sich
mate-Frontend dem Host oder der Ap- gezeichnete Figur: Diverse Aufgaben hin- auch einzeln verwenden lassen. Chef Au-
plikation ein "Audit"-Cookbook zu ver- sichtlich seiner Funktionalität absolvierte tomate ist der Kleber, der Chef, Habitat
passen. Es ist hinterher in den Workflow das Werkzeug mit Bravour (Bild 3). Kein sowie InSpec zusammenhält. Der Anbie-
der Host-Verwaltung und des Baus der Wunder: Schon vor seiner Aufnahme in ter garniert das mit einem Webinterface,
Applikation nahtlos integriert. Chef Automate galt InSpec als mächtige über das sich alle zentralen Parameter
konfigurieren lassen und über das sich Cookbooks an die Zielsysteme verteilt, spezifisches Angebot für das eigene Ein-
etwa auch der Zustand physischer Syste- ist ressourcenintensiv. Letztlich erbt Chef satzszenario bitten möchte. Dies ist in je-
me herausfinden lässt. Automate aber seine Skalierbarkeitsfä- dem Fall die dringende Empfehlung.
higkeiten von den drei beteiligten Werk-
Hinzu kommen viele Funktionen, die das zeugen Chef, Habitat und InSpec, und für Fazit
Management von Chef Automate selbst alle drei Komponenten ist nachgewiesen, Chef Automate ist ein leistungsfähiges
für den Admin erleichtern sollen: Es ist dass sie sich mit Knotenmengen in der und sehr umfassendes Werkzeug, um Au-
etwa möglich, einen zweiten Chef-Auto- Dimension von 5000 Stück nicht schwer tomation sowohl auf der System- als auch
mate-Server aufzusetzen, der als Hot- tun. Selbst große Setups stellen die Lösung auf der Applikationsebene zu verwirkli-
Standby und Replikationspartner für den nicht vor unmögliche Aufgaben; das Kri- chen. InSpec kümmert sich obendrein
ersten Server dient. Gibt der erste Auto- terium der Skalierbarkeit ist klar erfüllt. um Compliance und ist ein echtes Allein-
mate-Server den Geist auf, übernimmt stellungsmerkmal; weder bei Puppet noch
der verbliebene die benötigten Funktio- Chef Automate ist ein kommerzielles An- bei Ansible findet sich hierzu ein passen-
nen automatisch und das CI/CD-Frame- gebot, das dem Admin die Arbeit abneh- des Gegenstück. Das Produkt weiß zu
work des Unternehmens steht nicht kom- men soll, Chef, Habitat und InSpec als freie überzeugen: Die Funktionen, die der Her-
plett still. Backups legt Chef Automate Software zu installieren und miteinander steller verspricht, sind gegeben und funk-
per Klick im Web-GUI automatisch an. zu verzahnen. Der Hersteller greift dabei tionieren auch gut und zuverlässig.
auf ein einfaches Preismodell zurück: Wer
Und verschiedene Applikationen, die Chef Automate in seinem Rechenzentrum Chef Automate ist aber kein komplettes
Chef Automate im Hintergrund nutzt, ausrollen will, zahlt pro Knoten, den die Lifecycle-Management für Server. Die
versteckt es beinahe komplett vor dem Lösung anschließend verwaltet, 137 US- Frage, wie ein frischer Computer ein neu-
Admin. Dass Chef Automate etwa ein Dollar pro Jahr – nach aktuellem Wechsel- es Betriebssystem bekommt, beantwortet
ausgewachsenes ElasticSearch mitbringt, kurs also gut 110 Euro. Das klingt nicht die Lösung ganz bewusst nicht. Möchte
merkt der Admin meist nur durch Zufall. nach einem großen Betrag, doch Kleinvieh der Admin auch diesen Teil automatisie-
In Summe weiß Chef Automate im Test macht auch Mist: Für ein Setup, das aus ren, muss er sich Gedanken über zusätz-
zu überzeugen. Es nimmt dem Admin 150 Knoten besteht, fallen so jährliche Kos- liche Software machen. (of)
die Arbeit ab, die verschiedenen Chef- ten in Höhe von 16.500 Euro an. Ein Setup
Werkzeuge händisch miteinander zu in- mit 1500 Knoten kostet im Vergleich dazu
So urteilt IT-Administrator
tegrieren und spart so einige Zeit. Das bereits 165.000 Euro pro Jahr.
wird auch und gerade dann besonders of- Automation mit Chef 7
fensichtlich, wenn es um Updates geht – Grundsätzlich ist mit dem Kauf von Chef
der Admin spielt lediglich die neuen Pa- Automate auch Support verbunden, je- CI/CD mit Habitat 8
kete für die neue Automate-Version ein, doch sind die Bedingungen, unter denen
um alles andere kümmern diese sich Chef diesen Support gewährt, undurch- Compliance mit InSpec 10
selbst. Zumindest dann, wenn der Admin sichtig: Das Base-SLA sieht eine maximale
den Versionssprung nicht durch das kon- Reaktionszeit von zwei Stunden bei kri- Chef Automate 6
sequente Verzögern von Updates zu groß tischen Problemen vor, allerdings nur
werden lässt. 12x5 – also wochentags und zur US- Skalierbarkeit 8
Westküstenzeit. Hinzu kommen die Sup-
Abzüge gibt es allerdings für das Webin- port-Varianten "Standard" und "Premi- Die Details unserer Testmethodik finden Sie
unter www.it-administrator.de/testmethodik
terface: Es reagierte im Test an manchen um", die ebenfalls nur 12x5-Support nach
Stellen etwas träge und glänzt auch nicht Westküstenzeit enthalten, dafür aber für Dieses Produkt eignet sich
gerade durch eine besonders intuitive Be- besonders kritische Probleme Reaktions-
dienung. Andere Werkzeuge wie Ansible zeiten von 60 oder 30 Minuten vorsehen. optimal für Unternehmen, die eine umfas-
sende Automationslösung suchen, die so-
Tower leisten hier mehr. Preise, die für die höheren Support-Levels
wohl die Verwaltung physischer Infrastruktur
anfallen, waren auf der Chef-Website al-
abdeckt als auch die Entwicklung von Cloud-
Gute Skalierbarkeit, aber lerdings nicht zu finden.
Ready-Applikationen erleichtert.
explodierende Kosten
Ein zentrales Versprechen des Herstellers Lediglich ein Onlineshop listet für das bedingt für Unternehmen, die zwar einen
ist, dass Chef Automate nach Belieben in Premium-Paket einen Aufpreis von fast Teil der Automatisierungs-Funktionalität
die Breite skaliert. 1500 Hosts sollen die 25.000 US-Dollar. Angaben zur Laufzeit brauchen, aber nicht alle Komponenten.
Lösung genauso wenig wie 5000 Systeme oder zu eventuellen Grenzen im Hinblick
nicht für Unternehmen, die ihre gesamte
vor Probleme stellen. Freilich gilt für Chef auf die unterstützte Anzahl der Knoten
Infrastruktur schon mit Puppet oder Ansible
wie für alle anderen Automationslösun- enthielt jene Seite allerdings leider nicht.
verwalten und ein gut funktionierendes
gen, dass die Skalierbarkeit nicht unend- Somit reiht sich Chef damit in die Riege Setup haben.
lich ist; die Art und Weise, wie Chef etwa der Hersteller ein, für die man um ein
+,%#"ȧ1#04#0 +,%#"ȧ!*-3"
$GPQRȧ!J?QQȧ1CPTGACȧ5GPȧň@CPLCFKCLȧ 1I?JGCP@?PICGRȧKGRȧ.PGT?RC
CRPGC@
ȧ3NB?RCQȧSLBȧ)MLȏESP?RGMLCL MBCPȧ&W@PGBȧ!JMSBȧ1RPSIRSPCL
UUUACLRPMLBC
/ŚƌZĞĐŚĞŶnjĞŶƚƌƵŵŝŶ
'DWHQKDOWXQJDXVVFKOLHOLFKLPFHQWURQ5HFKHQ]HQWUXPLQ'HXWVFKODQG
Te s t s AppSphere ScriptRunner 2018R2
Gehäuse für
– 12
3R
F
die PowerShell
von Thomas Bär und Frank-Michael Schlede
ie Zeiten, in denen Administrato- Genau an dieser Stelle verspricht Script- Die drei weiteren Stichworte, die im Zu-
D ren Windows nur als Klickibunti- Runner Hilfe. sammenhang mit der Software zu nen-
Oberfläche für den Endbenutzer wahr- nen sind, lauten Organisation, Steuerung
nahmen, sind glücklicherweise schon Hülle um die PowerShell und Entwicklung. Letztendlich legt sich
lange vorbei. Auch wenn es dem Wort Die schwäbische Softwarefirma App - die Software um die PowerShell und lie-
"Windows" eigentlich nicht mehr gerecht Sphere hat sich auf IT-Werkzeuge für Ad- fert den für den IT-Tagesbetrieb notwen-
wird, ist eine Core-Installation mit mini- ministratoren spezialisiert. Dazu gehört digen Rahmen.
maler GUI möglich. Fernadministration neben Lösungen für Cloud- und Virtua-
aus einer grafischen Oberfläche heraus lisierungsanwendungen und Program- Schlankes Download-Paket
ist dann der Standard, ebenso wie die Ver- men rund um die Produktpalette von Ci- Für unseren Test stand uns Build 4.1.4755.0
wendung der PowerShell für Automati- trix vor allen Dingen auch Software für von ScriptRunner 2018R2 zur Verfügung.
sierungsvorhaben. Die Rückkehr auf die die Arbeit im Rechenzentrum. Das Paket Mit der Zeit hat der Hersteller sein Edi-
Kommandozeile wird dem IT-Profi durch ScriptRunner, das von der Firma aktuell tionskonzept mehrfach angepasst. Aktuell
die Leistungsfähigkeit der PowerShell ver- in der Version 2018R2 angeboten wird,
süßt. Der direkte Vorgänger, der soll Administratoren bei der täglichen ScriptRunner 2018R2
Windows Script Host, wandte sich eher Arbeit mit Skripten unterstützen und de-
Produkt
an Entwickler als an die Ad-hoc-Aufga- ren Management, Verwaltung und Dele-
Grafische Oberfläche zum Scripting
benbewältigung von Administratoren. gation deutlich vereinfachen.
mit der PowerShell.
Seit 2009 ist die PowerShell, seinerzeit in Der Schwerpunkt der seit einigen Jahren Hersteller
AppSphere AG
der Version 2.0, ein fester Bestandteil von am Markt verfügbaren Komplettlösung
Windows und seit 2016 ist die Weiterent- für die PowerShell ist die Unterstützung www.scriptrunner.com
wicklung unter der MIT-Lizenz als Open von Entwicklern, Administratoren, IT- Preis
Source plattformübergreifend auch für Managern und Helpdesk-Mitarbeitern. Die Kosten liegen bei rund 45 Euro pro admi-
Linux und macOS nutzbar, zumindest als ScriptRunner automatisiert Vorgänge nistrativen Benutzer pro Monat in der kleins-
Alpha-Kandidat. Ganz im Gegensatz zur über Schnittstellen, erlaubt eine einfache ten Staffel für zehn Administratoren oder Ser-
vice-Desk-Mitarbeiter.
Tatsache, dass IT-Profis heute faktisch al- Integration in weitere Lösungen, beispiels-
les über die PowerShell in Windows lösen weise PRTG, überwacht Vorgänge und Systemvoraussetzungen
können, kommt die Technik nicht überall visualisiert die Ergebnisse in Dashboards. Handelsübliche PCs und Server mit Windows
zum Einsatz. Selbst eher aufgeschlossenen Die Ergebnisse protokolliert ScriptRun- 7 SP1 / 2008 SP2 und höher mit .NET Frame-
work 4.5 Client Profile, Windows PowerShell
IT-Profis und Scripting-Fans ist das Er- ner, zudem ermöglicht das Programm ei-
3.0 oder höher und Internet Explorer 10 oder
stellen und die Pflege einer umfangrei- ne vereinfachte Delegation an weitere
höher. Der Internet Explorer 9 funktioniert
chen Sammlung von Skripten oft zu zeit- Mitarbeiter, beispielsweise im Help- be- mit Einschränkungen.
raubend, kompliziert und aufwändig. ziehungsweise Service-Desk.
Mustergültige Dokumentation
Positiv möchten wir hervorheben, dass
alle PDF-Dokumente zur Installation, zu
den ersten Schritten und zur Architektur
von hoher Güte sind. Jede Anleitung ist
in sich abgeschlossen, es gibt nur an den
passenden Stellen Verweise auf andere
Anleitungen und insgesamt beschreibt Bild 2: Mit wenigen Mausklicks fügt der IT-Profi weitere Zielsysteme ein.
die Dokumentation die Funktionen und Ein Container ist im Verständnis von ScriptRunner eine Gruppe von Computern.
Logische Aktionsformulierung
Letztendlich verwaltet der Administrator
in der Oberfläche die verschiedenen Skrip-
te und Cmdlets, die als Aktionen in kon-
figurierbaren Richtlinien für den Kontext
aufbereitet sind. Bei diesen Richtlinien
handelt es sich um das Skript, die Parame-
ter und das Konto, unter dem der Ablauf
zu starten ist, und die ausgewählten Ziel-
systeme. Parameter- und Zielsystemaus-
wahl geschehen entweder interaktiv oder
durch programmierbare Vorbelegungen.
Directory, Azure AD und Office 365.
So urteilt IT-Administrator
Remote ausführen,
gekonnt delegieren Einrichtung und Dokumentation 8 Berechtigungsmanagement
Beim Ausführen von Skripten kann ein
der nächsten Generation
Administrator mit Hilfe der ScriptRun- Aktionssteuerung 8
ner-Richtlinien gezielt steuern, wie Skripte Automatisierung
ablaufen, und dabei beispielsweise direkt Delegationsmöglichkeiten 8
festlegen, auf welchen Systemen bestimm- Nachvollziehbarkeit
te Skripte Verwendung finden sollen. Reporting 7
Sicherheit
Über den Button "Aktion" gelang es uns
im Test recht leicht, Skripte auf diese Art Ergebnisvisualisierung 6
nach unseren Wünschen zu konfigurie-
Die Details unserer Testmethodik finden Sie
ren. Im Dashboard war es dann möglich,
unter www.it-administrator.de/testmethodik
deren Ausführung direkt zu überwachen.
Dieses Produkt eignet sich
Die Software protokolliert dabei die Ab-
optimal für Unternehmen mit tiefergehen-
läufe und damit auch etwaig auftretende
den PowerShell-Kenntnissen, die Skripte von
Fehler. Sehr gut hat uns dabei gefallen,
der Hotline ausführen lassen möchten.
dass der Administrator auf den verschie- Neue Version:
denen Protokollseiten gleich die benötig- bedingt für Organisationen mit geringem 2018
ten Hinweise zu Fehlern erhält, wie bei- Anspruch an Automatisierungsvorhaben.
spielsweise den Vermerk, dass für den nicht für kleine Firmen, in denen Automatisie-
Zugriff auf ein bestimmtes System Be- rung und Windows-Scripting kein Thema sind.
nutzernamen und Passwort nicht korrekt
www.it-administrator.de
Jetzt Teststellung vereinbaren
www.aikux.com/demo
Quelle: Dejan Bozic – 123RF
BlueParq PowerShell Studio 1.0
Betreutes
Skripten
von Jürgen Heyer
er schon einmal ohne Program- dabei mehr oder weniger erfolgreich. In- hier vier "Typen" zur Verfügung stehen.
W mierkenntnisse versucht hat, ein sofern konnten wir uns gut in die Lage po- Der Typ "Diagramm" dient dazu, Skripte
PowerShell-Skript zu erstellen, weiß, wie tenzieller BlueParq-Nutzer versetzen. intuitiv visuell mittels Assistenten zu er-
mühevoll und häufig wenig erfolgreich stellen, was letztendlich das Kernfeature
dies ist. Meist endet der Versuch des Pro- Geradlinige Installation darstellt. Als Nächstes gibt es den "Blue-
grammierneulings damit, sich im Inter- und zackige Updates Parq Smart Editor", um PowerShell-Skrip-
net auf die Suche nach Programmschnip- Für die Installation erhielten wir eine etwa te mit möglichst umfangreicher Syntax-
seln zu begeben, um möglichst eine 75 MByte große, gepackte Setupdatei und unterstützung, genannt "IntelliSense", zu
passende Sequenz zu finden, die dann einen Lizenzschlüssel. Außerdem konnten schreiben. Eine "PowerShell Console"
nur wenig zu modifizieren ist. Oder er wir eine Schnellstartanleitung herunter- dient dazu, die Skripte ablaufen zu lassen,
kennt jemanden mit Know-how, und laden. Als Installationsvoraussetzung und "Square" als letzte Funktion steht für
überzeugt diese Person mit Engelszun- muss auf dem Zielsystem das .NET-
gen, das Skript zu schreiben. Framework 4.6.1 eingerichtet sein. Das BlueParq PowerShell Studio 1.0
Setup von BlueParq PowerShell Studio ist
Genau diese unangenehme Situation muss im Nu erledigt. Beim ersten Aufruf erfolgt Produkt
Werkzeug zum Erstellen von PowerShell-
den Entwicklern von BlueParq bewusst die Registrierung wahlweise als 30-Tage-
Skripten mit Hilfe von Ablaufdiagrammen.
gewesen sein, als sie beschlossen, ein Werk- Trial oder durch Eingabe einer Serien-
zeug zu programmieren, mit dem ein nummer wie in unserem Fall. Die Akti- Hersteller
BlueParq
PowerShell-Neuling die benötigten Abläufe vierung kann online oder per E-Mail
www.blueparq.com
grafisch zusammenklicken kann, während erfolgen. Anschließend konnten wir die
der Code im Hintergrund entsteht. Software nutzen. Preis
Im Programm "Foundation Hero" kosten die
ersten 18 Monate Nutzung 49 Euro. Der
Zum Testzeitpunkt gerade als Version 1.0 Die Oberfläche besteht aus einer Kopf-
reguläre Preis liegt bei jährlich 99 Euro.
veröffentlicht, gehörten wir zu den ersten zeile und darunter einer zweigeteilten
Anwendern des neuen Tools und waren Fensteransicht. Das rechte Fenster ist das Systemvoraussetzungen
Windows 7 oder höher (64-Bit)
gespannt, wie hilfreich es ist. Hinsichtlich eigentliche Eingabefenster, das linke er-
Prozessor ab 1 GHz
unserer PowerShell-Kenntnisse passten möglicht den schnellen Zugriff auf ver-
2 MByte RAM
wir recht gut in die Zielgruppe: Program- wendete Eingabewerte, Variablen sowie
.NET-Framework 4.6.1 oder höher
mierkenntnisse in anderen Sprachen waren Datenquellen, worauf wir weiter unten PowerShell
vorhanden, aber eben nicht in der Power- noch genauer eingehen.
Technische Daten
Shell. Wir hatten selbst in der Vergangen-
www.it-administrator.de/downloads/
heit schon einige Male nach geeigneten Der Inhalt des rechten Fensters variiert datenblaetter
Skripten im Internet gesucht und waren je nach der gewählten Funktion, wobei
Visuell darstellen Bild 1: Im Diagramm-Modus kann der Anwender PowerShell-Skripte durch das Zusammenfügen von
statt programmieren Funktionsbausteinen erstellen, ohne den Programmcode beherrschen zu müssen.
Beim Aufruf des Tools startet das Power-
Shell Studio in der Diagramm-Ansicht und und dem anschließenden Befüllen über Klicken auf ein gelistetes Objekt erscheint
zeigt ein fast leeres Fenster mit nur einem den Assistenten besteht darin, genau zu ein Fenster mit genaueren Informationen
Start-Objekt. Die Diagrammfläche ist re- wissen, was das Studio in dem Moment und der Nutzer kann hier beispielsweise
lativ groß dimensioniert, größer als die erwartet und was die unterschiedlichen einen Standardwert vergeben oder auch
sichtbare Bildfläche. Rechts unten im Fens- Optionen innerhalb eines Objekts bedeu- ändern. Bei Variablen wird deren Inhalt
ter ist eine Art Lupe zu finden, um den ten. Die integrierte Hilfe war zum Test- ausgegeben, auch hier ist eine Eingabe
sichtbaren Ausschnitt zu verschieben. zeitpunkt noch nicht umfassend befüllt. zur Änderung möglich.
Der Aufruf ist zwar vorgesehen, es ist aber
Beim Drücken der rechten Maustaste er- kaum etwas hinterlegt. Vorhandene Skripte
scheint das sogenannte "Radial Dial", ein visualisieren und optimieren
Rad mit zehn Kommandos, die bei Aus- Durch das Aneinanderfügen beziehungs- Neben der beschriebenen Möglichkeit, über
wahl als Objekt auf der Diagrammfläche weise Verbinden mehrerer Diagramm- die Diagrammfunktion auf grafischem Weg
angelegt werden. Dies sind unter anderem objekte entsteht letztendlich ein Work- Skripte zu erzeugen, besitzt das Studio
Iteration (Schleife), Variable, Ergänzen ei- flow, der den Programmablauf symbo- ebenso die umgekehrte Möglichkeit, bereits
nes Skript-Blocks, Bedingung sowie lisiert. Streicht der Programmierer mit fertig erstellte Skripte als Diagramm dar-
Cmdlet-Aufruf. Jede Auswahl startet wie- der Maus über ein Objekt, erscheint ein zustellen. Dazu muss der Nutzer das Skript
derum mit einem Assistenten, um die je- Popup-Fenster mit zusätzlichen Angaben. nur mit dem Studio öffnen und dann über
weils benötigten Parameter abzufragen. Auch kann er bei einigen Objekten einen die Schaltfläche "Generate Diagram" ana-
Für die erste Erfahrung mit dem Studio zusätzlichen Kommentar eintragen. Beim lysieren und als Diagramm darstellen las-
empfiehlt es sich, den in der Schnellstart- Doppelklick auf ein Objekt erscheint der sen. In der Diagrammansicht kann er nun
anleitung beschriebenen Ablauf für ein zugehörige Assistent, um Anpassungen zusätzliche Anpassungen vornehmen, das
erstes Diagramm abzuarbeiten, ein fort- vornehmen zu können. Resultat ablaufen oder wieder ein Skript
geschrittenes Hello-World-Skript. erzeugen lassen.
Ist ein Diagramm fertig erstellt, kann der
Die angelegten Objekte besitzen entweder Programmierer es über den "Run"-Knopf Ein Nutzer kann dieses Tool also durch-
auf dem Symbol oder knapp darüber be- in der Kopfzeile ausführen oder über "Ge- aus auch dazu verwenden, fertige Skripte
ziehungsweise darunter kleine Punkte in nerate Script" fertigen PowerShell-Code nach eigenem Bedarf zu modifizieren,
Orange, Rot oder Grün. Diese symboli- erzeugen lassen, um diesen dann zu ver- statt alles komplett neu zu schreiben. Wir
sieren die Ein- und Ausgänge, die Anzahl wenden. Wie bereits zuvor erwähnt er- nutzten im Test diese Möglichkeit eben-
variiert je nach Funktion, sodass beispiels- möglicht das linke Fenster des Studios falls, um Erfahrungen mit dem Studio zu
weise eine Verzweigung einen Eingang den Zugriff auf Eingabeparameter, Varia- sammeln, indem wir beobachteten, wie
und zwei Ausgänge besitzt. Die Heraus- blen und Datenquellen des gerade bear- ein fertiges Skript, dessen Funktion wir
forderung bei der Auswahl der Objekte beiteten Codes oder Diagramms. Beim kannten, in Diagrammform dargestellt
+ Zwei Sonderhefte
im Print- & E-Paper-Format
Jahres-CD
Die Überwachung von Ressourcen gehört zum administrativen Tagesgeschäft. Kein IT-Profi möchte
erst von einem Anwender hören, dass ein Dateidienst nicht verfügbar oder ein Router defekt ist.
Mit etwas Geschick und Talent erarbeitet sich der Administrator eine Überwachung mit automa-
tischer Reaktion auf Veränderungen, zum Beispiel mit Total Network Monitor.
en Markt zur Netzwerküberwa- me wie Total Network Monitor (TNM) In Windeseile einsatzbereit
D chung haben sich zumindest im aus dem Hause des US-amerikanischen Die Inbetriebnahme von TNM ist denk-
deutschsprachigen Raum die Produkte Anbieters Softinventive Lab. Die Software bar einfach. Der Download der Software
PRTG, WhatsUp, Nagios und NPM von wurde nach Angaben des Herstellers dafür ist direkt von der Webseite des Herstellers
Solarwinds weitgehend untereinander entwickelt, lokale Netzwerke, Einzelrechner möglich und erfordert keinerlei persön-
aufgeteilt. Alle Lösungen blicken auf eine und Dienste kontinuierlich zu überwa- liche Daten. Dank der überschaubaren
lange Historie zurück und erfreuen sich chen. Anstelle eines Monitorings aller Res- Größe von nicht einmal 9 MByte ist das
einer hohen Beliebtheit. Während Nagios sourcen beschränkt sich der Ansatz bei Herunterladen fix erledigt. Der per Dop-
als freie Software bei der Einrichtung eine TNM auf die Maschinen, die einer beson- pelklick zu startende Installationsvorgang
gewisse Vorbereitung und tiefgreifendes deren Aufmerksamkeit bedürfen. beschränkt sich auf die Bestätigung der
Wissen in Bezug auf die Überwachungs- Oberflächensprache, unter anderem ste-
techniken verlangt, punkten die anderen Neben der reinen Datensammlung über hen Deutsch, Englisch und Französisch
Marktanbieter durch gut gemachte As- das Monitoring bietet das Programm über zur Wahl, das Abnicken der EULA und
sistenten, die eine Implementierung und Aktionen die Möglichkeit, eine oder meh- die Auswahl des Zielpfads. In wenigen
Inbetriebnahme für das Unternehmen rere gezielte Reaktionen automatisiert Sekunden ist das Programm installiert
deutlich vereinfachen. einzuleiten. Im sogenannten "Monitor- und bietet im Anschluss seinen sofortigen
Log" speichert die Software die vollstän- Start an. Konzeptionell arbeitet die Über-
Kleine Überwachungslösung dige Historie der ausgeführten Aktionen wachung mit drei Status: Schwarz, Grün
Für kleinere Firmen und Überwachungs- und erfasst die Werte aller Monitore. Im und Rot. Während eine grüne Darstellung
vorhaben sind die eben genannten Pro- täglichen Netzwerkmanagement erweisen signalisiert, dass alles in Ordnung ist, steht
gramme möglicherweise überdimensio- sich diese Daten möglicherweise als wert- rot für Schwierigkeiten. Schwarz symbo-
niert, zumindest gibt es eine ganze Reihe volle Informationsquelle, um entstandene lisiert, dass es ein organisatorisch-tech-
überschaubarerer Überwachungsprogram- Probleme zu analysieren. nisches Problem gibt. Dies kann beispiels-
Dem Internet
auf die Finger schauen
TNM arbeitet nicht mit einem eingebau-
ten Webservice, sondern präsentiert sich
als klassische Windows-Applikation in
einer typischen Dreiteilung des Pro-
grammfensters. Ein gleichzeitiges Arbei-
ten mit mehreren Konsolen steht bei Total
Network Monitor nicht zur Verfügung.
Auf der linken Seite findet sich eine Bild 1: TNM beschränkt sich bei der Überwachung weitgehend auf
Baumstruktur, rechts daneben die Detail- klassische Internet- und Windows-Ressourcen.
ansicht und am unteren Bildschirmrand
eine chronologische Auflistung von Er- Mailserver von Gmail prüfen. Neben dem Diensterkennung gibt. Die Suche be-
eignissen. Dank einer intuitiven Farbwahl ICMP-Ping arbeitet die Überwachung schränkt sich auf die Identifikation von
und einer insgesamt sinnvollen Beschrif- mit DNS-Prüfung auf Port 53, HTTP-Zu- Geräten und arbeitet lediglich mit den
tung kann der Einsteiger auch ohne einen griffen auf Port 80, HTTPS-Aufrufen auf Einträgen IP-Bereich von/bis. Ein Vor-
Blick in die kontextsensitiven Hilfedialoge 443 und SMTP auf 25 sowie 587. blenden des eigenen Netzwerkbereichs
in englischer Sprache mit dem Programm mit Subnetz gibt es ebenfalls nicht. Zwar
arbeiten. Anstelle mit einem leeren Rah- Klickt der Administrator in der Baum- kann der Benutzer beim Anlegen eines
men zu beginnen, startet die Software mit struktur auf eine Ressource, beispielsweise neuen Geräts auch manuell vorgehen und
einigen voreingestellten Internet-Senso- den Eintrag für den Netzwerkausstatter aus einer Auflistung den Eintrag "ESX-
ren, die die Erreichbarkeit einiger Res- Cisco, zeigt die Software im Detailbereich Host" auswählen – hinter diesem verbirgt
sourcen wie Cisco, Facebook oder die die drei eingerichteten Monitore für Ping, sich jedoch nicht mehr als ein Symbol.
HTTP und HTTPS. Eingestellt auf den Nur für Windows-Maschinen gibt es ein
Total Network Monitor 2.3.0 ICMP-Ping-Eintrag gibt die Software im paar zusätzliche Auswertfunktionen wie
Kopfbereich die mittlere Roundtrip-Zeit Zugriff auf die Ereignisanzeige, Dienst-
Produkt
in Millisekunden an. Für die beiden Web- Status-Überwachung, Zugriff auf die Re-
Monitoring-Werkzeug für
kleinere Umgebungen. service-Einträge gibt es lediglich den Hin- gistry oder Auslesen der Systemleistung.
weis, ob der letzte Verbindungsversuch In Bezug auf Datei-Monitoring-Aufgaben
Hersteller
erfolgreich war. Statistische Informationen stehen Präsenz, Größe, Vergleich, Anzahl,
Softinventive Lab
www.softinventive.de/total-network-monitor/ beschränken sich auf die Einträge, wie oft CRC32-Prüfung, Inhalts-Scan und Fest-
sich der Monitor im Status grün, rot oder plattenspeicherprüfung zur Auswahl.
Preis
schwarz befand. Klickt der Benutzer im
Ein Exemplar der Software ohne Limitierung
bei den Monitoren und ohne zeitliche Befris- unteren Fensterbereich auf die Zeitstatis- Aber auch hier machen es die Entwickler
tung kostet 170 Euro. Staatliche Institutio- tik, lässt sich anhand der Blockgrafik in von TNM dem Administrator unnötig
nen, Non-Profit-Organisationen und auch etwa erahnen, wann wohl ein Ausfall ge- schwer. Exemplarisch hierfür die CRC32-
Bildungseinrichtungen erhalten einen wesen sei. Einen zeitlichen Verlauf der Prüfung: Der IT-Profi kann für eine be-
Preisnachlass. Messdaten selbst, wie die sich über die nannte Datei prüfen, ob sich der Hashwert
Systemvoraussetzungen Zeit verändernde Roundtrip-Dauer beim verändert hat, hieraufhin in einen Status
Zur Installation wird ein gängiger Windows- Ping, gibt es nicht. wechseln und über dieses Umstellen eine
Computer mit mindestens 1 GHz Taktfre- automatische Reaktion herbeiführen. Alles
quenz, 512 MByte RAM und rund 35 MByte Sensoren recht spartanisch ganz gut – aber die CRC32-Berechnung
Festplattenspeicher benötigt. Netzwerkseitig Ein Scan-Wizard unterstützt den Admi- für die Datei muss der Administrator in
ist TCP/IP erforderlich. Windows-Sensoren nistrator beim Auffinden von Netzwerk- einem anderen Programm durchführen,
benötigen Windows NT4.0 oder höher, Admi-
geräten. Bei einem wiederholten Scan be- denn TNM erledigt dies nicht.
nistrationsrechte, Zugriff auf ipc$ und ad-
steht zudem die Möglichkeit, diesen auf
min$, Remote-Registry-Rechte und einen of-
fenen Port 135 für den RPC-Zugriff auf WMI.
bisher unbekannte Geräte zu reduzieren. Aktionsköcher nur halb gefüllt
Dateisensoren benötigen NetBIOS/SMB und Die Suche arbeitet mit dem ICMP/ARP- Das Sammeln von Überwachungsdaten
die geöffneten Ports 445 und 139. Ping. Die Eingabe von Login-Informa- ist bekanntlich nur die halbe Miete im
tionen ist nicht notwendig, da es keinerlei Monitoringgeschäft. Automatisierte Re-
aktionen und Benachrichtigungen ma- solchen Beliebtheit, dass die Möglichkeit Überwachungsprojekt als Datei
chen aus dem Überwachungsprogramm zur Neuregistrierung Anfang des Jahres Während die meisten Monitoring-Lösun-
ein hoffentlich leistungsfähiges Steue- deaktiviert wurde, doch ansonsten ist das gen über Datenbanken arbeiten, verwen-
rungswerkzeug. Fällt beispielsweise ein XMPP-Chatting als weitgehend ausge- det Total Network Monitor eine dateiba-
Intranet-Service aus, könnte ein Neustart storben zu betrachten. Modernere Be- sierte XML-Ablage. Praktischerweise
des ganzen Servers eine automatische Ak- nachrichtigungsmethoden sieht die Soft- kann der Administrator Überwachungs-
tion darstellen. In den meisten Fällen ge- ware nicht vor. projekte als Datei gespeichert problemlos
hen Administratoren jedoch nicht mit in andere Installationen mitnehmen. Das
dieser Holzhammermethode vor, sondern Bleibt noch die gute alte E-Mail, das klas- Dateimodell gefiel uns im Test gut, da ein
beschränken sich auf gezielte Neustarts sische Vehikel für Nachrichten bei der Ausprobieren von Überwachung und au-
von Diensten oder Benachrichtigungen. Überwachung. Auch hier gibt es die Mög- tomatisierter Reaktion so recht schnell
Praktischerweise unterscheidet TNM die lichkeit, mithilfe der Makro-Variablen ei- möglich ist. Geht etwas daneben, startet
drei Status Schwarz, Grün und Rot und nen vernünftigen Hinweistext zu gene- der Administrator einfach die zuvor ge-
erlaubt unterschiedliche Aktionszuord- rieren. Eine Spam-Flut von Nachrichten speicherte Dateivariante.
nungen je Status in beliebiger Anzahl. kann der Administrator verhindern, in-
dem er die Konditionen klug wählt. Bei- Bei einem Neustart der Software beginnt
Die Benachrichtigung und Protokollie- spielsweise "Ausführen, wenn Monitor TNM stets mit der letztgeöffneten Über-
rung besteht bei TNM aus Nachricht an- auf 'Rot' beim Start '1' mal hintereinan- wachungsdefinition, die dateitechnisch
zeigen, Protokolldatei schreiben, eine der". Eine zeitliche Steuerung wie "Nach- aus einer XML-Konfigurationsdatei und
Taskleisten-Nachricht ausgeben, eine richt nur einmal innerhalb einer Stunde einem Log besteht. Praktischerweise
WAV-Datei als Sound abspielen oder ei- verschicken” oder gar Zeitfenster für eine entdeckt der IT-Profi in den Optionen
nen Eintrag in der Ereignisanzeige anle- gezielte Unterdrückung von Meldungen die Einstellungsmöglichkeit, das Pro-
gen. Über "Anwendung ausführen" ist der für Wartungsintervalle stellt das Pro- gramm automatisch beim Start von
Administrator in der Lage, faktisch jede gramm ebenfalls nicht bereit. Windows zu aktivieren, und dies funk-
beliebige aufrufbare Ressource zu ver- tioniert auch im minimierten Fenster-
wenden. Mit den so genannten Makros, In unserer Teststellung konnten wir den status. Ob das Überwachungsintervall
hierbei handelt es sich um Variablen wie E-Mail-Versand problemlos mit einem greifen soll oder ob bei einem Pro-
"%MONITOR_NAME%" oder "%TIME_ SMTP-Server eines bekannten deutschen grammstart zunächst alle Monitore auf-
STAMP%", ist eine dynamische Übergabe Providers mit Sitz in Montabaur unter zuführen sind, legt der Administrator
an andere Programme realisierbar. Verwendung von STARTTLS prüfen als per Häkchen fest. Selbst wie sich das
auch mit einem lokalen SMTP-Server oh- Programm in der Taskleiste verhalten
Die aktuelle Version von TNM stammt ne Verschlüsselung. Die von Total Net- soll, ob ständig minimiert in der Task-
aus dem Jahr 2017 und doch merkt der work Monitor angebotene Funktion, die leiste oder ob es nur beim Schließen zu
Benutzer an einigen Stellen den Zahn der Verbindungsparameter automatisch zu minimieren ist, regeln Optionsfelder.
Zeit. Das Aktionsmenü bietet das Aus- identifizieren, funktionierte in keiner
senden von Jabber-IRC-Nachrichten auf Konstellation. Seltsam, denn der Thun- Per Default nicht als Dienst
Basis des XMPP-Protokolls. Zwar erfreut derbird-Mailclient vollbringt diese Leis- Spätestens nach dem Lesen des vorherigen
sich der Jabber-Server in Österreich einer tung problemlos. Abschnitts dürften erfahrene Überwa-
chungsprofis hellhörig sein: Wie sich das
Programm beim Start verhält? Lässt sich
eine Monitoring-Software gar per X-Schalt-
fläche im Fenster schließen? Das hat mit
Kontinuität nichts zu tun. Da hilft es wenig,
wenn die maximale Anzahl der gleichzei-
tigen Sensoraktivitäten frei zur Eingabe
bereitsteht. In der Tat arbeitet Total Net-
work Monitor in der Standardauslieferung
als Applikation und nicht als Dienst.
es sich bei der Anwendung "als Dienst Das kostenfreie Nagios bietet im Ver-
ausführen" zurzeit um keine interne gleich deutlich mehr Funktionen an, setzt
Funktion des Programms handelt. Letzt- aber eine sehr hohe Kompetenz in Über-
endlich wird ein ganz gewöhnlicher wachungsfragen voraus. Für kleinere Pro-
Dienst eingerichtet, den der Anwender jekte oder Firmen ist TNM vielleicht ge-
auch über die Konsole mit net start nau das Richtige, sofern die Sensoren das
TNMService einschalten kann. gewünschte Leistungsprofil abdecken.
Zwar werkelt der Monitor im Service-Be- An sich müsste das Programm jedoch
trieb weitgehend unbemerkt im Hinter- "Total Windows Monitor" heißen, denn
grund, jedoch ohne einen direkten Zugriff mit Ausnahme der Internet-Sensoren
über die grafische Oberfläche. Im aktiven überwacht TNM ausschließlich WMI-Da-
Service-Betrieb bewirkt der Start der Ap-
plikation, dass ein Dialog erscheint, der
ten. Interessenten können die Software 60
Tage ohne Funktionseinschränkung tes- Bekämpfen
den Administrator darüber in Kenntnis ten. Das gibt ausreichend Zeit, um die
setzt, dass die Deaktivierung des Services
nun bis zu 30 Sekunden dauern wird, ehe
Vor- und Nachteile abzuwägen. (ln) Sie Hardware-
die Oberfläche sichtbar ist. Zwar konnten
wir in unseren Tests keine Probleme mit
So urteilt IT-Administrator Probleme mit
dieser eigenwilligen Umsetzung feststellen,
doch wirkt diese Implementierung eines
Einrichtungsassistent 5
PRTG
Daemons doch eher rustikal. Grafische Darstellung 6
Deutlich besser gefiel uns die eingebaute Windows Überwachung 7 Hardware geht genau dann kaputt,
Möglichkeit, Feedbacks zu schicken. Ein- wenn man es am wenigsten braucht.
gebaute Feedback-Typen heißen "Fehler- Nicht-Windows-Überwachung 4 PRTG Network Monitor warnt Sie
bericht", "Feature gefällt mir" oder "Fea- rechtzeitig, damit es gar nicht so
ture gefällt mir nicht". Außerdem ist es Aktionsmöglichkeiten 5 weit kommt.
möglich, eine Feature-Anforderung ab-
Die Details unserer Testmethodik finden Sie
zusenden und eine Textnachricht an die unter www.it-administrator.de/testmethodik Mit PRTG haben Sie alles im Blick –
Entwickler direkt aus dem Programm he- von CPU und RAM, über Festplatten
raus zu verschicken. Bei der Einteilung Dieses Produkt eignet sich
bis hin zu Druckern und Routern.
der Dringlichkeit in "Wie schlimm ist es?"
optimal für kleine Firmen, die primär ihre
beweist der Hersteller durchaus Humor,
Windows-Server überwachen möchten.
da selbst die Option "Hoffnungslos" zur
Verfügung steht. bedingt für mittelgroße Unternehmen, die
bereits andere Überwachungslösungen im
TESTEN SIE PRTG
Fazit Einsatz haben. 30 TAGE KOSTENLOS!
Total Network Monitor kann mit den be- www.paessler.de/hardware
nicht für große Firmen mit verteilten Netz-
kannten Branchengrößen in keiner Leis-
werken, die eine Überwachung von aktiven
tungskategorie mithalten und überzeugt
Netzwerkkomponenten, UNIX/Linux-Syste-
lediglich durch eine recht einfache Be- men oder vSphere-Landschaften benötigen.
dienung und den überschaubaren Preis. Paessler AG
info@paessler.com
www.paessler.de
000161/DE/20180410
www.it-administrator.de
Angriffe erkennen
Keine Chance
für Einbrecher
von Martin Loschwitz
Suricata ist ein umfangreiches Werkzeug, um Angriffe aus dem Netz von vornherein zu
unterbinden oder wenigstens frühzeitig zu erkennen. Das Tool besticht durch seinen riesigen
Funktionsumfang. Hier erfahren Sie, wie Sie es installieren und in Betrieb nehmen.
rfolgreiche, aber unbemerkte An- schiedene Ansätze diese gleich von vorn- manceprobleme bekommt. Beim IDS geht
E griffe auf Systeme sind das abso- herein verhindern sollen. Suricata ist eine es jedoch wirklich nur um die Erkennung
lute Horrorszenario jedes Administrators. bekannte Kombination aus IPS und IDS – aktiv wird Suricata nicht. Es warnt zwar,
Freilich ist ein Angriff schon dann nicht auf Basis freier Software, die dem Admin wenn es Angriffe erkennt, startet jedoch
schön, wenn der Admin rechtzeitig Notiz beim Absichern seiner Setups unter die keine Gegenmaßnahmen.
davon erlangt, weil ihn etwa eine der vie- Arme greifen möchte.
len CERT-Stellen im Netz darüber infor- Solche Gegenmaßnahmen kommen beim
miert. Doch wenigstens ist es dann mög- Was IDS und IPS unterscheidet IPS-Konzept hinzu: Suricata scannt auch
lich, die Gefahr für andere Nutzer im Wie erwähnt vereint Suricata die Funk- in diesem Szenario den Netzwerkverkehr
Internet und besonders für die anderen tionen eines Intrusion-Prevention- mit auf verdächtige Aktivitäten. Erkennt das
Knoten der eigenen Plattform zu bannen, jenen eines Intrusion-Detection-Systems. Tool einen Angriff, verhindert es durch
indem man das gehackte System kurzer- Zwar verwenden beide Ansätze im Hin- entsprechende Firewall-Regeln automa-
hand aus dem Verkehr zieht und abschal- tergrund oft dieselben Informationen zur tisch, dass die verdächtigen Pakete wei-
tet. Bleibt der geglückte Angriff unbe- Analyse von Netzwerkverkehr, doch an- terhin fließen. Suricata kann für diesen
merkt, besteht diese Möglichkeit nicht sonsten handelt es sich um zwei unter- Zweck auf IPTables zurückgreifen und
und es drohen äußerst unangenehme schiedliche Konzepte. konfiguriert entsprechende Paketfilter-
Konsequenzen. Etwa dann, wenn das Sys- regeln von sich aus. Das IPS-Konzept bie-
tem anschließend für illegale Aktivitäten Die vorrangige Idee bei einem IDS ist es, tet gegenüber IDS insofern den Vorteil,
verwendet wird. einen Angriff zu erkennen, der gerade dass es verdächtige Aktivitäten sofort un-
stattfindet. Damit Suricata diese Aufgabe terbindet. Freilich hat diese Medaille auch
Will der Admin sich wirksam zur Wehr erledigen kann, muss es den Traffic ana- eine Kehrseite: Diagnostiziert Suricata
setzen, muss er seine Installation adäquat lysieren, der auf einem Host ankommt. fälschlicherweise einen Angriff, gehen
absichern. Ein Mittel, um Schutz für die Der Linux-Kernel bietet hierzu die Mög- möglicherweise Pakete verloren, die ei-
eigene Plattform zu realisieren, sind In- lichkeit, ein Interface auf einem Host vir- gentlich noch benötigt würden.
trusion-Detection-Systeme (IDS) und In- tuell zu klonen, also quasi einen lokalen
trusion-Prevention-Systeme (IPS): Erstere Spiegelport für die Traffic-Analyse zu Woher kommen die Daten?
sollen Angriffe schnell und zuverlässig schaffen, damit die "echte" Netzwerk- Bevor der Artikel sich ausgiebig mit Su-
erkennen, während Letztere durch ver- schnittstelle des Servers keine Perfor- ricata beschäftigt, stellt sich noch die Fra-
Bild 1: Für Ubuntu und diverse andere Distributionen stehen vorkompilierte Pakete von Suricata bereit. Suricata installieren
Suricata ist in C geschrieben und lässt
ge, auf welchem Wege die zu analysieren- Engine von Suricata ausgelegt, die sich sich mithin auf praktisch jedem halbwegs
den Daten zu Suricata finden. Wer IDS um die Analyse von Paketen kümmert: aktuellen Linux-System übersetzen und
und IPS in seinem Netzwerk nutzen Suricata startet für die Analyse einzelner nutzen. Das umfasst ausdrücklich auch
möchte, sollte sich darüber frühzeitig Ge- Paket-Flows separate Threads und verteilt die gängigen Enterprise-Distributionen
danken machen – und damit implizit diese auf die vorhandenen CPU-Kerne. wie SUSE Linux Enterprise Server, Red
auch über das Design seines gesamten Hat Enterprise Linux oder Ubuntu LTS.
Netzwerks. Denn klar ist: Suricata kann Mirror Ports Für diesen Artikel haben wir uns für
nur den Traffic analysieren, den es tat- Option 2 folgt einem völlig anderen Prin- Ubuntu 16.04 LTS als Basis entschieden
sächlich sieht. Kommt die Lösung auf ei- zip: Hier existiert ein Server, der für alle (Bild 1), weil aktuelle Suricata-Pakete für
nem Host zum Einsatz, während ein An- Hosts der Installation zentral den durch- dieses System in einem Ubuntu-PPA-Ver-
griff auf einem anderen stattfindet, gehenden Traffic überprüft und im Falle zeichnis vorkompiliert zur Verfügung ste-
bekäme Suricata hiervon zunächst gar eines Falles Alarm schlägt. Letztlich war- hen [1]. Wer Suricata auf einer anderen
nichts mit und wäre nutzlos. tet der Admin also nur eine Suricata-In- Distribution nutzen möchte, greift ent-
stanz auf einem Rechner mit möglichst weder zu fertigen Paketen aus dem Netz
Es ergeben sich zwei grundsätzliche Mög- viel CPU-Leistung und entgeht damit den oder – falls diese nicht vorhanden sind –
lichkeiten, mit dieser Herausforderung negativen Auswirkungen, die Suricata an- übersetzt Suricata selbst. Entsprechende
umzugehen. Option 1 leuchtet sofort ein dernfalls auf die CPUs jedes einzelnen Anleitungen finden sich im Netz für prak-
und besteht darin, Suricata einfach auf Hosts hätte. Im Gegenzug bedingt ein sol- tisch alle gängigen Systeme. Beim Über-
jedem Host innerhalb der Plattform zu ches Setup allerdings professionelle Netz- setzen achten Sie aber besser gleich da-
installieren, der potenzielles Ziel von An- werkswitches, die ein spezielles Feature rauf, dass Sie beim "./configure"-Schritt
griffen werden könnte. Das bedeutet zwar bieten, nämlich die Konfiguration eines die passenden Parameter angeben. Soll
viel Aufwand, weil Suricata auf jedem be- Mirror Ports. Das Prinzip ist simpel: Per Suricata als IPS zum Einsatz kommen,
troffenen Host auszurollen ist. Durch Au- Konfiguration des Switches weist der Ad- benötigt es etwa die Header-Dateien der
tomatisierer wie Ansible lässt sich der zu- min diesen an, sämtlichen Traffic, der Netfilter-Queue-Bibliothek, die meist in
sätzliche Aufwand jedoch meistern. Zu über irgendeinen Port des Switches das Form eines "-dev"-Paketes durch den Ad-
beachten ist aber, dass Suricata für das Netzwerk betritt oder verlässt, direkt auf min zu installieren sind.
Verarbeiten von Netzwerktraffic die lokale einen zweiten, hierfür besonders ausge-
CPU eines Systems in Beschlag nimmt, wählten Switchport zu spiegeln. Der ge- Mit Suricata arbeiten
und das nicht zu knapp. Wer Suricata auf nannte Switchport sieht de facto also Suricatas Kernfunktion ist das, was seine
jedem Host nutzen möchte, sollte also für sämtlichen Netzwerktraffic. An ihm hängt Entwickler als "Signature Language" be-
genügend Reserven sorgen, was die CPU der Server mit Suricata, das folglich eben- zeichnen. Der Begriff der "Signatur"
angeht, und idealerweise gleich zu einer so sämtlichen Traffic sieht und auch ana- kommt Ihnen möglicherweise bereits aus
oder mehreren aktuellen CPUs mit meh- lysieren kann. Das beschriebene Konzept dem Antiviren-Kontext bekannt vor: Als
reren Kernen greifen. Denn auf die ist die ist der klassische Ansatz für den Betrieb Signatur bezeichnen die Hersteller dort
ein spezifisches Angriffsmuster, das An- tion "alarm", die Suricata dazu veranlasst,
Listing 1: Muster für IRC-Trojaner
tivirensoftware anhand verschiedener Kri- in seine Logdatei einen entsprechenden
terien automatisch zu identifizieren ver- Eintrag zu verfassen. Alternativen dazu msg:"ET TROJAN Likely Bot Nick in IRC (USA+
sucht. Ein einfaches Beispiel für eine sind "drop" und reject". Erstere sorgt da- ..)", flow:established.to_server;
flowbits:isset.is_proto_irc; content:"NICK
solche Signatur ist dieses: Falls eine Datei für, dass Suricata beim Einsatz als IPS das "; pcre:"/NICK .*USA.*[0-9]{3,}/i"; class-
mit dem Namen "Virus" an einer be- Paket sofort und ohne Rückmeldung an type:trojan-
stimmten Stelle im Dateisystem existiert die Gegenseite verwirft. Bei "reject" hin- activity;reference:url.doc.emergingthre-
ats.net/2008124;
und die folgende SHA256-Summe als gegen konfiguriert Suricata IPTables so, reference:url.www.emergingthreats.net/cgi-
Checksumme hat, handelt es sich um den dass eine REJECT-Meldung an die Ge- bin/cvsweb.cgi/sigs/VIRUS/TROJAN_IRC_Bots;
bekannten Virus "Beispiel-Virus". genseite erfolgt. sid:2008124; rev:2;)
Suricata geht bei der Erkennung von Alles hinter dem ersten Leerzeichen legt handelt, deren Protokoll IRC ist. "content"
Netzwerkangriffen grundsätzlich ähnlich die Bedingungen fest, die Datenverkehr definiert den Beginn der Nachricht. "pcre"
vor. Wie ein Virenscanner Dateien auf erfüllen muss, damit Suricata sich den leitet einen regulären Ausdruck (regular
der Festplatte überprüft, überprüft Suri- Stream im Detail ansieht. Wer Suricata expression) ein, anhand dessen der Inhalt
cata den Netzwerkverkehr eines Systems. etwa auf einem Gateway zwischen seinem des Pakets genauer untersucht wird. Das
Dabei versucht es, bestimmte Strukturen privaten Netz und dem Internet nutzt, Feld "classtype" legt die Angriffsart fest
automatisch zu erkennen: Geht etwa ein kann hier mittels "tcp $HOME_NET any und die beiden "reference"-Einträge geben
TCP/IP-Paket mit einer spezifischen -> $EXTERNAL_NET any" erreichen, schließlich genauere Hinweise auf den er-
Größe ein, dessen Inhalt dem eines be- dass aus dem privaten Netz in Richtung kannten Angriff, indem sie auf entspre-
kannten Rootkits ähnelt, kann Suricata Internet gehender Traffic untersucht wird. chende Erklärungen im Netz verweisen.
auf dieser Basis einen Angriff erkennen "tcp" legt das Protokoll auf TCP/IP fest, "sid" und "rev" legen fest, unter welcher
und Alarm auslösen oder IPTables in die Variablen "$HOME_NET" und "$EX- ID Suricata die Regel intern führt – das
Gang setzen. TERNAL_NET" sind in Suricata separat ist wichtig, wenn der Admin einzelne Re-
zu definieren und "any" bezieht sich je- geln deaktivieren oder ändern möchte.
Als "Signatursprache" bezeichnen die Ent- weils auf den Ziel- und Quellport.
wickler Suricatas Erkennungsfunktion, Regeln mit
weil die Regeln dafür, wie Erkennungs- Das dritte Feld ist das wichtigste und spe- Oinkmaster verwalten
kriterien formuliert sind, in einer für Su- zifiziert die "Rule Options", gibt also ge- Die nächste Frage ist, wie Sie Suricata mit
ricata entwickelten Syntax verfasst sind. nauere Parameter an, was die jeweilige den wichtigsten Regeln ausstatten. Woll-
Der Admin hat zwei Möglichkeiten, Su- Regel prüfen soll. Ein recht simples Bei- ten Sie für alle Angriffsszenarien selbst
ricata mit Angriffsdefinitionen zu versor- spiel hilft dabei, infizierte Rechner im ei- Regeln definieren, wäre das eine ausufern-
gen: Er legt entsprechende Regeln entwe- genen Netzwerk zu finden, die per IRC- de Fleißarbeit. Das ist aber nicht nötig,
der selbst an oder greift auf vordefinierte Protokoll als Mitglied eines Botnets denn im Netz finden sich entsprechend
Regeln zurück, die im Netz von verschie- ferngesteuert werden (Listing 1). vorbereitete Regeln gratis zum Download.
denen Stellen kostenfrei und kostenpflich- Ein Beispiel ist die Emerging-Threats-
tig angeboten werden. Die Regel ist weniger kryptisch, als sie Liste. Mittels Oinkmaster binden Sie diese
scheint: Jedes Feld ist vom nächsten Feld direkt in Suricata ein – ein Artikel im Su-
Die Suricata-Sprache per Semikolon getrennt; Feld 1 legt die ricata-Wiki zeigt, wie das funktioniert[2].
Festgelegte Regeln für Suricata folgen ei- Nachricht fest, die Suricata auf der Kom- In der Anleitung der Suricata-Entwickler
ner strengen Syntax und bestehen aus drei mandozeile ausgibt oder ins Log schreibt, erfahren Sie auch, wie Sie einzelne Regeln
Feldern. Das erste Feld markiert gleich falls ihm ein entsprechendes Paket über anhand ihrer SID gezielt deaktivieren, oh-
die Aktion, die Suricata für Datenpakete den Weg läuft. Die beiden "flow"-Para- ne Suricata gleich ganz auszuschalten.
ausführen soll, die es im Netzwerkverkehr meter legen fest, dass die Regel greift,
erkennt. In den meisten Fällen ist die Ak- wenn es sich um eine Server-Verbindung Zusätzlich kommt Suricata übrigens ab
Werk auch mit einigen Regeln, die in den
Dateien in "/etc/suricata/rules" definiert
sind. Damit diese Regeln greifen, ist es
jedoch notwendig, die jeweiligen Dateien
in "/etc/suricata/suricata.yml" in der Re-
gelliste zu aktivieren.
eine Frage: Medienkompetenz (Norwegian Digital Learning Arena) ge- Account auf h5p.org, in zweiten Fall in-
K wird in Zukunft immer wichtiger. fördert. Im Januar 2018 feierte H5P sei- stallieren Sie das Plug-in in einer Dru-
Das gilt für Schüler ebenso wie für die nen fünften Geburtstag. pal-, Moodle- oder WordPress-Website.
Mitarbeiter von Unternehmen. Mit H5P Zur Inbetriebnahme von H5P bedarf es
[1] gibt es eine benutzerfreundliche Lö- Voraussetzungen schaffen einer bestehenden Wirtumgebung. Dru-
sung, mit der auch Nichttechniker pro- Das Projekt verfolgte von Anfang an die pal, Moodle und WordPress stellen In-
blemlos interaktive Lerninhalte erstellen Intention, dass die Inhalte auch ohne stallationsfunktionen für die entsprechen-
können. H5P als Akronym für "HTML5 technische Kenntnisse erstellt werden den Plug-ins bereit. Der einfachste Weg:
Package" ist eine Editorumgebung, mit können. Die Inhalte können über die Sie laden sich die benötigte Erweiterung
der sich interaktive (Lern-)Inhalte ge- H5P-Website oder aber in einer eigenen von der H5P-Website [2] herunter und
nerieren lassen, die dann in bestehende Webumgebung erzeugt und gehostet wer- installieren diese über den Plug-in-In-
Websites integriert werden können. Da- den. Im ersten Fall benötigen Sie einen stallationsmechanismus der jeweiligen
zu bedarf es lediglich eines Wirtssys-
tems, in dem der Content erzeugt und
publiziert wird. Aktuell existieren ent-
sprechende Plug-ins für Drupal, Moodle
und WordPress.
Erste interaktive
Inhalte generieren Bild 2: Das erste interaktive Content-Element entsteht mit H5P.
Nach der Installation der H5P-Plug-ins Mit dem Content-Typ bestimmen Sie die Art des Elements.
ist die Host-Umgebung um mehrere H5P-
Menüeinträge erweitert. Wenn Sie mit anschließend einen Modul-spezifischen können Sie beispielsweise dem Bereich 0
WordPress arbeiten, finden Sie unterhalb Dialog mit verschiedenen Zusatzinfor- bis 30 Prozent das Attribut "Ungenügend",
des "Einstellungen"-Menüs den neu er- mationen und der Installationsmöglich- dem Bereich 31 bis 69 das Attribut "Be-
zeugten Menüeintrag "H5P-Inhalt", über keit. Jedes Modul muss individuell in- friedigend" und dem Bereich 70 bis 100
den Sie neue Inhalte erzeugen, auf die Bi- stalliert werden. Ein einmal installiertes Prozent den Wert "Klasse" zuweisen.
bliotheken zugreifen und die Ergebnisse Modul steht für die spätere Verwendung
von Tests abrufen. Das Plug-in erweitert zur Verfügung, muss also nicht jedes Im Falle des Multi-Choice-Moduls steht
außerdem die Konfiguration der Host- Mal neu installiert werden. Ihnen in den Moduleinstellungen eine
Umgebung. Im Falle von WordPress fin- Fülle weiterer Konfigurationsmöglich-
den Sie im Menü "Einstellungen" das neue Wie wir es von anderen Plattformen ken- keiten zur Verfügung. Sie können bei-
Untermenü "H5P". nen, stehen zu jedem Modul Zusatzin- spielsweise die Wiederholung und die
formationen, Screenshots und Lizenzin- Anzeige der korrekten Lösungen zulas-
Um ein erstes interaktives Content-Ele- formationen zur Verfügung. Betätigen Sie sen. Damit Wiederholer nicht das Mus-
ment zu erzeugen, führen Sie den Be- die "Installieren"-Schaltfläche, um das ter der falschen Antworten bei einem
fehl "Erstellen" des H5P-Menüs aus. Im Multi-Choice-Modul einzurichten. Nach Zweitversuch nutzen können, aktivieren
gleichnamigen Dialog weisen Sie dem der Installation klicken Sie auf "Benutzen", Sie die Option "Zufällige Antworten".
Element zunächst eine Bezeichnung zu. um den Fragebogen anzulegen. Im Falle Das Modul zeigt standardmäßig die er-
Anhand eines einfachen Beispiels sei eines Multiple-Choice-Tests können Sie reichte Punktzahl.
die typische Vorgehensweise erläutert. diesem ein Bild zuweisen. Dann geben
Nehmen wir an, Sie möchten einen On- Sie die Fragen und die möglichen Ant- Sie können auch die Mindestanforde-
linetest zum Thema "Internet-Sicher- worten an. Markieren Sie die richtige Ant- rung für das Bestehen definieren. Die ist
heit" erstellen. Sie öffnen das Auswahl- wort beziehungsweise die richtigen Ant- standardmäßig auf den Wert "100" ge-
menü "Inhaltstyp auswählen" und worten mit "Korrekt!". Sollten weitere setzt. Beachten Sie, dass diese Konfigu-
navigieren zu einem geeigneten Con- Antworten benötigt werden, wählen Sie ration oft keine Wirkung zeigt. Mit ei-
tent-Typ. Alternativ verwenden Sie die "Option hinzufügen". nem abschließenden Klick auf "Erstellen"
Suche, wenn Sie exakt wissen, welchen sichern Sie Ihren ersten Test. Das H5P-
Typ Sie verwenden wollen. In unserem Für die Bewertung der Antworten ver- Menü führt alle erstellten Content-Ele-
Beispiel verwenden wir das Element wenden Sie die Funktion "Gesamt-Feed- mente in Tabellenform auf. Dort können
"Multiple Choice" und klicken auf back". Hier legen Sie Wertebereiche und Sie beispielsweise auf einen Blick erken-
"Übernehmen". H5P präsentiert Ihnen die zugehörigen Bewertungen an. Konkret nen, bei welchen Elementen neue Ergeb-
nisse vorliegen. Auch das Bearbeiten ist Wenn diese ausführbar ist, bedeutet dies, in unterschiedlichen Versionen. Der
am einfachsten über die Content-Ele- dass Sie Inhalte mit dieser Bibliothek er- Übersicht können Sie insbesondere Ab-
mentenliste möglich. stellen können. Nicht ausführbare Biblio- hängigkeiten entnehmen.
theken werden in der H5P-Terminologie
H5P installiert mit jedem neuen vorde- auch als Dienstprogrammbibliothek be- Administrative Aufgaben
finierten Content-Typ spezifische Biblio- zeichnet und greifen ihrerseits auf andere H5P macht sich primär die administra-
theken. In einem H5P-Archiv sind Inhalte Bibliotheken zurück. Das Konzept der Bi- tiven Funktionen der Hostumgebung zu-
sowie eine oder mehrere Bibliotheken ge- bliotheksabhängigkeiten funktioniert ein- nutze, beispielsweise die Benutzerver-
bündelt. Dabei sorgen die Bibliotheken fach: Eine interaktive Videobibliothek ist waltung. Hier müssen Sie primär die
für die Funktionalität und das Design. beispielsweise von der Videobibliothek Funktionen des Hosts anwenden. Wenn
Die eigentlichen Inhalte, also primär Tex- abhängig, wobei diese wiederum für das Sie mit WordPress arbeiten, stehen Ihnen
te, Einstellungen und Mediendateien, Rendern des Videos zuständig ist. Die in- im Menü "Einstellungen / H5P" einige
steuern das Verhalten und die Darstellung teraktive Bibliothek ist wiederum für die Konfigurationsmöglichkeiten zur Verfü-
mit Hilfe der Bibliotheken. Prinzipiell Darstellung aller Interaktionen über das gung. Diese beziehen sich allerdings pri-
kann eine Bibliothek lauffähig sein, muss Video verantwortlich. H5P kennt über mär mehr auf gestalterische Aspekte. Sie
aber nicht. 200 solcher Bibliotheken, viele allerdings können beispielsweise die Ansicht der
Buttons konfigurieren. Sie können au-
Ausgewählte Contenttypen ßerdem Beschränkungen der Inhaltsty-
pen vornehmen und die automatische
Element Beschreibung Erstellung und Übermittlung der Benut-
zerstatistik aktivieren.
Mit diesem Element können Sie einfache Übungen in den vier
Arithmetic Quiz
Grundrechenarten erstellen.
Besonders einfach ist die Übertragung
Erlaubt das interaktive Zusammenfügen verschiedener Inhalte.
Column Bilder, Textbausteine und Trennlinien erlauben eine ansprechen- von einzelnen Mini-Anwendungen zwi-
de Präsentation komplexer Inhalte. schen H5P-Sites. Dazu muss zunächst in
Erlaubt die Gestaltung unterschiedlicher Ausgangsinhalte in den H5P-Einstellungen der Download
Course Presentation Form einer klassischen Präsentation. Kann auch mit Multiple- zugelassen werden. Der kann permanent
Choice-Elementen und interaktiven Videos gespickt werden. unterbunden oder für Redakteure und
Stellt einen Assistenten bereit, mit dessen Unterstützung der für alle Benutzer freigegeben werden.
Documentation Tool Anwender einen Projektleitfaden mit Angaben von Zielen, Pro- Nach der Freigabe können berechtigte
jektarbeiten, Evaluierung und Abschlussbericht erstellt. Nutzer ein Content-Element über den
Texte werden in kleine Bauteile unterteilt und können dann in Download-Link herunterladen. Der Im-
Drag the Words
der richtigen Reihenfolge zusammengesetzt werden. port ist ähnlich einfach: Sie erzeugen ein
Erlaubt das Hochladen von Bildern, bei denen im zweiten Schritt neues Element und verwenden im zuge-
Bereiche erstellt werden, die Informationen zu diesen enthalten.
Image Hotspots hörigen Dialog die Upload-Funktion.
Dabei kann es sich um Texte, aber auch um Audio- und Videoin-
halte handeln.
Hierbei handelt es sich um eines der beliebtesten Content-Ele-
Sicherheit an Bord
mente. Stellt einen einfachen Videoeditor zur Verfügung, mit PHP-basierte Applikationen wie die
Interactive Video möglichen H5P-Hosts WordPress & Co.
dem Sie interaktive Elemente wie Fragen, Links et cetera einbet-
ten können. sind nicht gerade für ihre Sicherheit
Dieser Elementtyp stellt umfangreiche Funktionen für das Er- bekannt. Mit einem eigenen Sicherheits-
stellen von Fragebögen mit verschiedenen Fragetypen zur Verfü- modell versucht die Umgebung, etwai-
Quiz (Question Set) gung. Es können Lückentexte, Drag-and-Drop-Aufgaben mit Bild gen Sicherheitsproblemen entgegenzu-
oder Text, Multiple-Choice-Fragen und Wortmarkierungen in das
wirken. H5P erzeugt Archivdateien mit
interaktive Content-Element eingebettet werden.
der Dateierweiterung "H5P". Bevor eine
Klassisches Memory-Spiel, bei dem der Nutzer zwei verdeckte
Memory Game Karten aufdeckt und zuordnet. Dabei sind verschiedene Zuord-
Datei in ein Archiv gepackt wird, erfolgt
nungen denkbar, beispielsweise Gegensätze oder Vokabelpaare. ein Abgleich mit einer editierbaren
Dieses Element eignet sich für das Erkunden und Ausprobieren Whitelist. Dateien mit einer unbekann-
von Inhalten, mit denen der Schüler noch nicht vertraut ist. Da- ten Dateierweiterung werden nicht in
Summary zu werden Aussagen verwendet. Wählt der Schüler den korrek- das H5P-Archiv aufgenommen.
ten Eintrag, gelangt er zur nächsten Seite. Am Schluss werden
alle Informationen gebündelt präsentiert. H5P führt außerdem bei allen Eingaben
Dieses Element erlaubt die Erstellung eines interaktiven Zeit- eine Gültigkeitsprüfung durch. So werden
Timeline
strahls, der Ereignisse mit Text, Bildern und Videos besitzt.
unsichere Parameter, Protokollangaben
Erlaubt das Einbetten von einfachen Falsch-Richtig-Optionen in oder kritische Eigenschaften vom System
True/False Question
eine Präsentation.
ferngehalten. Die verschiedenen interak-
Wollen Sie den Zugriff auf bestimmte Inhalte und Module re-
glementieren, können Sie diese mit den Access-Control-Me-
chanismen der Host-Applikation schützen. In Foren taucht
ie EU-DSGVO (Datenschutz- Daten ("right to be forgotten"), aber auch plizit personenbezogene Daten verarbeiten
D Grundverordnung), die am 25. Auskunftsrechte, das Recht auf Datenmit- lassen, als durch die Fälle, in denen Daten
Mai wirksam wird, bringt viele Änderun- nahme oder das Recht, die Verarbeitung fließen, die indirekt geeignet sind, Perso-
gen mit sich. Das beginnt damit, dass sie der eigenen personenbezogenen Daten zu nen zu identifizieren. Aber auch durch die
als "Regulation" im Gegensatz zur "Di- beschränken. Die aus den Rechten der Be- Situationen, in denen solche Daten bei-
rective" das nationale Recht überschreibt troffenen entstehenden Pflichten für Un- spielsweise von Apps weitergegeben wer-
und nicht erst in nationale Gesetze um- ternehmen lassen sich nur umsetzen, wenn den: "Diese App möchte auf ihre Kontakte
gesetzt werden muss. Sie hat auch einen der IT-Verantwortliche weiß, wo welche zugreifen" ist in diesem Zusammenhang
viel größeren Wirkungsbereich als die personenbezogenen Daten liegen, und eine durchaus heikle Anforderung.
bisherigen Regulierungen, weil sie für alle wenn er – was sehr komplex sein kann –
Unternehmen gilt, die mit in der EU an- technisch in der Lage ist, beispielsweise die Ganz konkret wird die Anforderung im Zu-
sässigen Personen Geschäfte machen, wo- Verarbeitung der Daten einer bestimmten sammenhang mit den im Bild gezeigten
zu beispielsweise auch soziale Netzwerke Person zeitweilig zu unterbinden. Standardphasen der Datenschutz-Folgen-
oder Suchmaschinen zählen. abschätzung (DPIA, Data Protection Impact
Auch im Kontext der Regelungen zu Assessment), wie sie von der DSGVO für
Definition personen- Schutzverletzungen ("Data Breaches") ist besonders sensible personenbezogene Daten
bezogener Daten das Wissen darüber, welche personenbe- vorgeschrieben wird. Zu diesen Phasen ge-
Viele der Regelungen innerhalb der zogenen Daten eigentlich wo liegen, wich- hört explizit die Identifikation der Systeme,
DSGVO setzen dabei unmittelbar voraus, tig. Nur dann kann das Unternehmen ent- die personenbezogene Daten verarbeiten.
dass Unternehmen wissen, wo die perso- scheiden, ob eine solche Schutzverletzung
nenbezogenen Daten liegen. Der Begriff vorliegt und damit die in den Artikeln 33 Auch aus weiteren Artikeln der DSGVO
der personenbezogenen Daten ist in der und 34 beschriebenen Benachrichtigungs- lässt sich zumindest indirekt die Anfor-
DSGVO dabei sehr weit definiert und pflichten einerseits der Datenschutzauf- derung ableiten, genau zu wissen, welche
umfasst alle Daten, die sich auf identifi- sichtsbehörden und andererseits der Be- personenbezogenen Daten in welchen
zierte oder identifizierbare Personen be- troffenen erfolgen müssen. Systemen verarbeitet werden. So gibt die
ziehen, wobei Artikel 4 (1) der DSGVO neue Regulierung vor, dass geeignete
auch eine indirekte Identifikation über Ort der Verarbeitung kennen Schutzmaßnahmen für personenbezoge-
eine Kombination von Faktoren explizit Die DSGVO gibt aber auch vor, welche ne Daten auf dem Stand der Technik er-
als personenbezogene Daten definiert. Flüsse von personenbezogenen Daten wie griffen werden müssen. Schützen lässt
dokumentiert werden müssen, beispiels- sich aber nur Bekanntes.
Zu den Regelungen der DSGVO, die kei- weise hin zu externen Datenverarbeitern.
neswegs alle neu für den deutschen Rechts- Auch ein Datenfluss kann nur beschrieben Zusammenhänge zwischen
raum sind, zählen die in den Artikeln 12 werden, wenn er bekannt ist. Die Heraus- Personen: Sonderfall Familie
bis 22 definierten Rechte der Betroffenen. forderung entsteht hier nicht so sehr durch Nicht unmittelbar mit den gespeicherten
Dazu gehören das Recht auf Löschung von Situationen, in denen Unternehmen ex- Daten hängen die Regelungen der
Die wichtigsten Schritte der Datenschutz-Folgenabschätzung laut den von der EU-Kommission
vorgeschlagenen Phasen für eine Datenschutz-Folgenabschätzung.
ken, durch deren missbräuchliche Nutzung nur die unerlaubte Weitergabe beschrän- Einfluss auf die vertraglichen Regelungen
massive Schäden bis hin zur Gefährdung ken, sondern Unternehmen auch dabei haben, die mit Kunden getroffen werden.
des Unternehmens entstehen können. Sie unterstützen, die Quellen dieser Infor-
beziehen aber die nun durch die DSGVO mationen zu identifizieren. Werkzeuge Auch hier gibt es keinen einfachen Weg:
entstehenden Risiken noch nicht ein. Letzt- für die Informationsklassifizierung wer- Gerade bei der Vermischung von privater
lich bedeuten aber die Regelungen der den häufig in Verbindung mit DLP ein- und geschäftlicher Nutzung von mobilen
DSGVO im Ergebnis, dass auch die nicht gesetzt, weil die Klassifizierungen der Endgeräten ist aber besondere Vorsicht
den Vorgaben entsprechende Verarbeitung DLP bei der Filterung von Inhalten hel- geboten, weil im privaten Umfeld in der
personenbezogener Daten ein System zu fen. Eine Klassifizierung von Informatio- Tendenz deutlich mehr Apps genutzt wer-
einem "kritischen Asset" machen kann. Das nen als "personenbezogen", mit Unter- den, die in viel zu großem Umfang auf
IT-Assetmanagement sollte also konse- stützung sowohl durch automatisierte als Daten auf den Endgeräten zugreifen.
quent nicht nur erfassen, welche Systeme auch manuelle Verfahren, ist damit ein Auch für die Anbieter solcher Apps gilt
es gibt, sondern die Systeme, die personen- weiterer wichtiger Baustein auf dem Weg die DSGVO, sodass es hier sicher zu Ver-
bezogene Daten verarbeiten, entsprechend zur DSGVO-Compliance. änderungen bezüglich des Zugriffs und
identifizieren. der Zustimmungsregeln kommen wird.
Auch IAM (Identity and Access Manage- Dennoch ist in jedem Fall ein granulares
Neben der Erfassung von Systemen geht ment, Benutzer- und Berechtigungsma- Management von mobilen Endgeräten
es im nächsten Schritt auch darum zu do- nagement) oder, weiter definiert, IGA und der darauf installierten Apps wichtig,
kumentieren, wie Daten fließen. Daten, (Identity Governance and Administration) um hier potenziell entstehende Compli-
die sich lokal auf Clients laden lassen kön- hilft dabei, die Herausforderungen der ance-Risiken zu verhindern.
nen, beispielsweise Kontaktdaten oder DSGVO zu adressieren. Neben dem Schutz
Exporte in Excel-Tabellen, sollten konse- von Systemen mit personenbezogenen Da- Fazit
quent dokumentiert werden. Damit lassen ten (wer darf diese wie nutzen?) können Da sich die zweijährige Übergangsphase
sich dann auch die Vorgaben zur Doku- insbesondere Berechtigungsmanagement- bis zum Wirksamwerden der DSGVO dem
mentation des Datenflusses erfüllen. prozesse und Rezertifizierungsprozesse im Ende zuneigt, fehlt die Zeit, um Werkzeuge
Rahmen der Access Governance auch ge- wie eDiscovery-Tools noch vor dem 25.
Dennoch ist es nicht trivial herauszufin- nutzt werden, um Systeme mit personen- Mai 2018 auszurollen und so zum Einsatz
den, wo personenbezogene Daten liegen, bezogenen Daten zu identifizieren. zu bringen, dass ein vollständiges Bild der
insbesondere wenn es um die dezentrale personenbezogenen Daten im Unterneh-
Verarbeitung geht. Hier sollte sich der Blick Alle diese Maßnahmen sind keineswegs men entsteht. Wer bisher noch keine ge-
neben der manuellen, Tool-unterstützten rein technische Maßnahmen. Die Identi- eigneten Maßnahmen implementiert hat,
Dokumentation beispielsweise über das fikation von Systemen, Applikationen, muss daher einerseits die Schritte einleiten,
IT-Assetmanagement insbesondere auf die Apps, Datenbanken und Dateien, in denen um über das IT-Assetmanagement, über
eDiscovery-Werkzeuge richten, die es personenbezogene Daten verarbeitet wer- eDiscovery-Werkzeuge, über die Informa-
schon seit langer Zeit gibt. eDiscovery be- den können, ist immer eine Kombination tionsklassifizierung und über andere Lö-
zeichnet Lösungen, mit deren Hilfe sich von technischen und organisatorischen sungen die erforderliche Übersicht zu und
Dokumente mit spezifischem Inhalt in den Maßnahmen. Zu Letzteren gehört insbe- Kontrolle von personenbezogenen Daten
IT-Systemen identifizieren lassen. Der Fo- sondere auch die klare Definition von Re- zu erlangen. Andererseits müssen aber auch
kus der DSGVO ist zwar wesentlich breiter geln für die Verarbeitung personenbezo- die vorhandenen Werkzeuge wie beispiels-
als die Regulierungen beispielsweise im gener Daten und ihre Kommunikation an weise IAM genutzt werden, um so viele In-
Finanzsektor, für die solche Tools ur- die Mitarbeiter. Die Kollegen müssen ver- formationen wie möglich zu erlangen.
sprünglich eingesetzt wurden – der Ansatz stehen, was im Kontext der DSGVO er-
ist aber vergleichbar. laubt ist und was eben nicht. Nur dann Für diese Sofortmaßnahmen sind auch or-
können sie das eigene Nutzungsverhalten ganisatorische Maßnahmen von großer Be-
Weitere Lösungsansätze kommen aus den anpassen und auch erkennen, wenn es zu deutung. Sie lassen sich vergleichsweise
Bereichen der DLP (Data Leakage Pre- Schutzverletzungen kommt. schnell definieren und umsetzen, um zu-
vention) und der Informationsklassifizie- mindest die heikelsten Systeme und Nut-
rung. DLP-Anwendungen werden heute Herausforderung Mobilgeräte zungsformen identifizieren zu können,
vielfach eingesetzt, um das unerlaubte Eine spezielle Herausforderung stellen über die sich ohnehin (hoffentlich) schon
Versenden und Weitergeben von Infor- mobile Endgeräte dar, auf denen häufig im Blickfeld befindlichen zentralen Systeme
mationen in elektronischer Form zu ver- beispielsweise Kontaktdaten von Kunden wie beispielsweise das CRM hinaus. Der
hindern. Sie können das innerhalb ihrer gehalten werden. Unternehmen müssen Blick auf diesen Teilaspekt macht einmal
technischen Grenzen – beispielsweise der die Regeln für die Nutzung dieser End- mehr deutlich, wie umfassend die Auswir-
genauen Erkennung, um welche Infor- geräte und für Apps im Kontext der kungen der DSGVO sind – weit über die
mationen es sich handelt – auch für per- DSGVO überprüfen, um unerlaubte Da- Umsetzung veränderter Zustimmungsre-
sonenbezogene Daten tun und dabei nicht tenflüsse zu verhindern. Das kann auch gelungen für Benutzer hinaus. (jp)
Ab sofort in unserem
Onlineshop erhältlich!
Abo- und Leserservice
IT-Administrator
vertriebsunion meynen Tel: 06123/9238-251
* Nichtabonnenten erhalten das Buch für Euro 14,90.
Herr Stephan Orgel Fax: 06123/9238-252 Die Preise verstehen sich inklusive 7% Mehrwertsteuer und Versandkosten im Inland.
D-65341 Eltville leserservice@it-administrator.de
shop.heinemann-verlag.de
Praxis Revisionssichere Datenlöschung
Ausradiert
von Ruud de Wildt
n vielen Unternehmen sind es troffene muss aktiv die Löschung bean- einzelnen Festplatten eines RAID-Sys-
I nicht die aktuell genutzten Fest- tragen. Nach Artikel 17 Absatz 1 DSGVO tems teilweise sensible und geschäftskri-
platten und Storage-Geräte, die eine Si- sind personenbezogene Daten künftig tische Daten wiederherzustellen. Gerade
cherheitslücke darstellen, sondern alte, unverzüglich zu löschen, wenn defekte Datenträger oder Systeme, die im
ausrangierte oder geleaste Platten. Wer- - die personenbezogenen Daten für die Rahmen von Leasing-Verträgen ausge-
den sie nicht korrekt gelöscht, sind sie Zwecke, für die sie erhoben oder auf tauscht werden, müssen unbedingt sicher
eine Bedrohung für das Unternehmen sonstige Weise verarbeitet wurden, gelöscht werden. Sonst lassen sich Infor-
und sollten deshalb weit oben auf der nicht mehr notwendig sind. mationen wie Unterschriftslisten, Kon-
Agenda von IT-Managern stehen. Doch - die betroffene Person ihre Einwilligung taktinformationen, E-Mails oder Fotos
viele Firmen haben weder einen Daten- widerruft und es an einer anderweiti- wiederherstellen. Davon leben Cyberkri-
schutzbeauftragten noch feste Vorgaben gen Rechtsgrundlage für die Verarbei- minelle und Wirtschaftsspione. Wer eine
für die Außerbetriebnahme von Daten- tung fehlt. professionelle Lösung für die Datenlö-
trägern. Eine Studie von techconsult be- - die betroffene Person Widerspruch ge- schung einsetzt, ist auf der sicheren Seite.
ziffert ihren Anteil auf 25 Prozent. Der gen die Verarbeitung einlegt und keine Denn Anbieter zertifizierter Datenlö-
Untersuchung zufolge wurden außerdem vorrangigen berechtigten Gründe für schungen übernehmen die Garantie da-
in jedem fünften Unternehmen bereits die Verarbeitung vorliegen. für, dass Daten tatsächlich gelöscht sind,
einmal defekte, ausrangierte Platten ge- - die personenbezogenen Daten unrecht- und belegen dies lückenlos.
stohlen. Befinden sich darauf personen- mäßig verarbeitet wurden.
bezogene Daten, drohen künftig Bußgel- - die Löschung der personenbezogenen Auswahlkriterien für
der von bis zu 20 Millionen Euro oder Daten zur Erfüllung einer rechtlichen Datenlöschungsdienste
bis zu vier Prozent des gesamten weltweit Verpflichtung nach dem Unionsrecht IT-Administratoren können auf eine Rei-
erzielten Jahresumsatzes im vorangegan- oder dem Recht der Mitgliedstaaten er- he etablierter Lösungen im Markt zurück-
genen Geschäftsjahr. forderlich ist. greifen. Vom Datenlöschungsservice bis
- die personenbezogenen Daten eines zur Cloudlösung bieten Hersteller eine
Recht auf Löschung Kindes in Bezug auf angebotene Diens- breite Palette an Möglichkeiten. Bei der
Der Schutz personenbezogener Daten ist te der Informationsgesellschaft, das Auswahl geeigneter Lösungen für Daten-
eine zentrale Anforderung der DSGVO. heißt Internet-Angebote, wie Medien, löschungen sollte der Administrator be-
Dazu gehören das Recht auf Auskunft Webshops oder Onlinespiele, erhoben sonders auf nachfolgende Punkte achten.
oder Berichtigung, Einschränkungen der wurden.
Verarbeitung, die Datenübertragbarkeit Das BSI gibt Richtlinien für zertifizierte
sowie das Recht auf Widerspruch. Artikel Dokumentationspflicht Datenlöschungen [1] vor, die Hersteller
17 der DSGVO spezifiziert dabei das Der IT-Verantwortliche muss revisions- von Datenlöschprodukten einhalten soll-
"Recht auf Löschung" personenbezogener sicher belegen können, dass die Daten ten. Es gibt jedoch nur wenige Anbieter,
Daten. Dieses Recht muss allerdings gel- sicher gelöscht wurden. Darin liegt die die den höchsten Standard erfüllen. Die
tend gemacht werden, das heißt, der Be- Krux: In Tests gelingt es durchaus, auf erste Wahl sollten Lösungen sein, die ent-
sprechend der Common Criteria for In- Schritt nachvollziehen und ohne großen Zwecke Berichte anfertigen. Entsprechend
formation Technology Security Evaluation Aufwand in Reportings präsentieren zu kann es sehr unterschiedliche Anforde-
(ISO/IEC 15408) geprüft sind. Weltweit können. Eine zentrale Managementplatt- rungen an Inhalt und Format geben.
gibt es nur drei Unternehmen, die nicht form ist die beste Möglichkeit, Informa-
nur einen Nachweis über die erfolgte Lö- tionen über Löschungen revisionssicher Um hier einen effizienten Workflow si-
schung erbringen, sondern deren gesam- und übersichtlich vorzuhalten. Sie spart cherzustellen, sollte eine geeignete Da-
ter Löschungsprozess zertifiziert ist. viel Zeit und liefert in verschiedenen For- tenlöschungslösung unbedingt über ein
maten Reports und Audit-Hardware-In- anpassbares Lösch-, Audit- und Hard-
Zusätzlich zur Zertifizierung ist es ratsam, formationen. Idealerweise kann sie die ware-Reporting verfügen, in dem alle
auf das Herkunftsland des Löschungsan- Ergebnisse in die Cloud speichern. Zu Hardware-Informationen individuell
bieters zu achten. Aufgrund der in Europa den bedeutenden Funktionen in diesem wählbar sind und der Anwender ganz
geltenden und weitgehend durchgesetzten Bereich gehören einfach definieren kann, was in das Re-
Datenschutzgesetze sind Unternehmen - die Generierung einzelner Löschbe- porting einfließen soll. Auf diese Weise
mit hiesigem Sitz vertrauenswürdiger als richte als PDF, XML, HTML und XLS. lassen sich Audit-Reports für die weitere
beispielsweise Anbieter aus den USA. - ein integrierter Überprüfungsmecha- Bearbeitung gestalten oder die Daten di-
nismus (hexviewer). Damit lässt sich rekt in ein Web-Portal oder ein ERP-Sys-
Revisionssichere die Löschung visuell überprüfen und tem importieren.
Datenlöschprotokolle Ergebnisse sind sofort ersichtlich.
Zertifizierte Datenlöschungen sollten au- - ein individuell einstellbarer Upload im Seriöse Datenlöschungsanbieter stehen
tomatisch ein Löschprotokoll auslösen, Managementtool (auf dem Speicher- ihren Kunden nicht zuletzt rund um die
das sicher übertragen, gespeichert und medium, manuell oder automatisch). Uhr auch für kurzfristigen Support zur
revisionssicher vorgehalten wird. Kommt Verfügung.
eine cloudbasierte Lösung zum Einsatz, Ein solches Managementtool kann auch
ist es außerdem wichtig, dass sich Lösch- User und Kunden verwalten. Das ermög- Fazit
protokolle und Zertifikate sicher aus der licht die transparente Postenzuordnung Die Rechte der Betroffenen lassen dem
Cloud übertragen und im Netzwerk ab- und Auftragsabwicklung. Gute Datenlö- IT-Administrator oder Datenschutzbe-
legen lassen. Hier ist wichtig, dass das IT- schungslösungen haben außerdem die auftragten wenig Spielraum. Er muss
Sicherheits-Verschlüsselungsprotokoll ei- Funktion automatischer Updates. erprobte, zertifizierte Lösungen für die
nen hohen Standard beim Zugriff auf die Verwaltung und Löschung von Daten
Cloud-Verwaltungsfunktion erfüllt. Als Offline-Datenlöschungen einsetzen. Die Zeiten, in denen Admi-
derzeit sicherster Standard gilt TLS v1.2. Unternehmen, die nicht über die Cloud nistratoren um jeden Euro Budget kämp-
löschen möchten, können sich auch für fen mussten, sollten damit endlich der
Wichtig ist, dass der Prozess der Daten- eine Software entscheiden, die mit den Vergangenheit angehören.
sicherheit während der Übertragung zer- gleichen Leistungsmerkmalen ausgestattet
tifiziert ist. Die Lösung muss tatsächlich auch im Offlinemodus funktioniert. Es Angesichts potenziell horrend hoher
für jeden Prozess zertifiziert sein, nicht gibt Hersteller, die vollautomatisierte Bußgelder dürfte sich für keinen Ent-
nur für die Löschung an sich oder das LAN/PXE-Lösungen zur Datenlöschung scheidungsträger mehr die Kosten-Nut-
Unternehmen selbst. anbieten. Wichtig ist, dass diese möglichst zen-Frage in Bezug auf die Datensicher-
viele Löschmethoden unterstützen, um heit und lückenlose Dokumentation
Die eingesetzte Datenlöschung sollte Anwendern viele Optionen zu bieten. stellen. Die verbleibende Zeit bis zum
möglichst viele Speichermedien unter- Professionelle Produkte unterstützen bis Inkrafttreten der neuen Verordnung
stützen. So werden dem IT-Administrator zu 13 Löschmethoden von Standard müssen Unternehmen und Organisatio-
keine unnötigen Steine in den Weg gelegt. Overwrite über NSA 130-2 bis hin zum nen, die noch nicht hinreichend vorbe-
Besonders wichtig sind zentrale Techno- Gutmann-Algorithmus. reitet sind, vielmehr dazu nutzen, mög-
logien wie SSD, IDE, SATA, SCSI, SAS, liche Lösungen zu evaluieren. (dr)
Fibre-Channel, USB und RAID – die Ausgebaute und erweiterte Datenträger
marktführenden Lösungen unterstützen sollten sich ebenso sicher löschen lassen. Ruud de Wildt ist CEO von Certus
alle Formate. Hierfür gibt es Datenlöschmaschinen, die Software. Das Augsburger Unternehmen
sowohl in der Cloud als auch offline lö- ist auf die zertifizierte und DSGVO-kon-
Einfache und zentrale schen. So lassen sich beispielsweise auch forme Löschung von Daten spezialisiert.
Verwaltung von Löschlizenzen in Hochsicherheitsgebäuden sicher zer-
Die Arbeit des Datenschutzbeauftragten tifizierte Daten löschen. Link-Codes
wird immer komplexer und empfindliche
Bußgelder hängen wie ein Damokles- Individuelles Reporting [1] BSI-Richtlinien
schwert über dem Unternehmen. Er muss Datenschutzbeauftragte oder IT-Verant- für Datenlöschungen
I5P21
deshalb in der Lage sein, jeden einzelnen wortliche müssen für unterschiedliche
ryptografische Schlüssel liegen üb- Mittels Agent-Forwarding lässt sich von Wird im Anschluss eine Verbindung zu
K licherweise auf der Festplatte, einer entfernten Rechnern auf diesen Agenten einem der Hosts aus der Domäne "exam-
Smart Card, einem Hardware Security Mo- zugreifen. Beim Aufbau einer Verbindung ple.com" aufgebaut, ist von diesen Hosts
dule (HSM) oder einem USB-Token. Ty- mittels SSH existiert hierfür die Option der Zugriff auf den privaten Schlüssel aus
pische Anwendungen, die auf solche kryp- "-A". Alternativ dazu lässt sich die Option dem lokalen GnuPG-Schlüsselbund mög-
tografischen Schlüssel zurückgreifen, sind natürlich auch in der SSH-Konfigurati- lich. Allerdings muss dazu auf dem Re-
etwa SSH, GnuPG oder Crypto-Frame- onsdatei hinterlegen – hier lautet die Op- mote-System der öffentliche Schlüssel be-
works wie OpenSSL, NSS oder GnuTLS. tion "ForwardAgent". Diese ist standard- reits Teil des Schlüsselbundes sein.
mäßig auf "no" eingestellt. Aktivieren Sie
Agent-Forwarding das Forwarding, sind nach dem Login auf PKCS#11-Forwarding
Werfen wir zuerst einen Blick auf SSH: einem Remote-Rechner nach dem Aufruf Weitaus weniger bekannt ist, dass auch
Möchte sich ein Benutzer mit Public-Key- von ssh-add -l sämtliche Schlüssel zu se- der Zugriff auf das Schlüsselmaterial von
Authentifizierung an einem entfernten hen, die der SSH-Agent kennt. Somit be- PKCS#11-Karten aus der Ferne gelingt.
Rechner anmelden, so muss darauf der steht nun also die Möglichkeit, eine wei- Hierbei kann es sich um klassische Smart
öffentliche Schlüssel des Benutzers ver- tere SSH-Verbindung mittels Public-Key- Cards oder aber auch um die etwas mo-
fügbar sein. Meistens wird dieser mit Hil- basierter Authentifizierung aufzubauen, derneren USB-Varianten, wie etwa die
fe der Anwendung ssh-copy-id zur Ver- indem einfach auf das Schlüssel-Material Yubikeys [1] oder Nitrokeys [2] handeln.
fügung gestellt. Der private Schlüssel des des SSH-Agents zurückgegriffen wird. Diese Karten werden über eine PKCS#11-
Benutzers verlässt den lokalen Rechner Schnittstelle angesprochen, für die es ver-
dabei natürlich nicht. Was passiert aber, Ähnlich verhält es sich mit dem Forwar- schiedene Treiber gibt. Die bekanntesten
wenn es von dem entfernten Rechner wei- ding eines GnuPG-Agent-Sockets, damit Vertreter sind hier Coolkey [3] und
tergehen soll? Beispielsweise weil dieser der Zugriff auf den privaten GnuPG- OpenSC [4].
Rechner nur eine Art Jump-Host darstellt, Schlüssel auch von einem Remote-Rech-
von dem aus dann ein Login auf weitere ner aus funktioniert. Hier müssen Sie al- Das folgende Beispiel zeigt auf Basis von
Systeme im Backend erfolgen kann. Dann lerdings den Socket, den Sie weiterleiten Fedora, wie der Zugriff auf ein Token einer
ist auf dem Remote-Rechner der Zugriff möchten, explizit in der SSH-Konfigura- Smart Card über einen weitergeleiteten
auf den privaten SSH-Schlüssel des Be- tionsdatei "~/.ssh/config" aufführen: PKCS#11-Socket auch von Remote-Syste-
nutzers notwendig. Hierfür dient "ssh- men aus gelingt. Wir gehen davon aus, dass
agent": Diesem Agenten lassen sich mittels Host *.example.com eine Smart Card bereits vorhanden ist und
ssh-add beliebige private SSH-Schlüssel RemoteForward /home/User/.gnupg/ auch schon provisioniert wurde. Als
übergeben, die dieser dann im Speicher S.gpg-agent /home/User/.gnupg/ PKCS#11-Treiber soll OpenSC zum Einsatz
vorhält. Ist ein Zugriff auf einen dieser S.gpg-agent.extra kommen. Das Lesegerät, das wir einsetzen,
Schlüssel notwendig, so lässt sich der ist ein ONNIKEY 3121. Auf den beteiligten
Agent über eine Socket-Datei ansprechen. Außerdem muss in der lokalen Datei Systemen sind zuerst einige Vorbereitungen
Der Name dieser Datei findet sich in der "~/.gnupg/gpg-agent.conf " der Name die- zu treffen, etwa die folgenden Pakete aus
Variablen SSH_AUTH_SOCK: ses "besonderen" Sockets aufgeführt sein: dem Fedora-Repository zu installieren:
Nun zeigt "p11tool" aus dem gnutls-utils- # systemctl --user enable --now p11- les/p11-kit-client.module
Paket alle Tokens der Smart Card an: kit-client.service
Danach gelingt auch der Zugriff auf das
# p11tool --list-tokens Das Verzeichnis steht nun zur Verfügung: Token über OpenSSL und das Modul "en-
[...] gine_pkcs11". Für das NSS-Framework
Token 3: # ls -ld /run/user/1000/p11-kit müssen Sie das Modul "p11-kit-client.so"
URL:pkcs11:model=PKCS%2315;manu- drwxr-xr-x. 2 tscherf tscherf 60 mittels modutil einbinden:
facturer=EXAMPLE%20COM;serial=1010 Mar 5 11:28 /run/user/1000/p11-kit
4303570;token=Signature%20PIN%11%2 # modutil -dbdir /etc/pki/nssdb -add
233%20PKI%11Card%00 Schließlich lässt sich nun der eigentliche p11-kit-client -libfile /usr/
[...] PKCS#11-Socket weiterleiten. Im fol- lib64/pkcs11/p11-kit-client.so
genden Beispiel erfolgt dies einfach mit-
Ein solches Token lässt sich nun an ein tels ssh auf der Kommandozeile, aber Anschließend ist ein neuer Eintrag zwi-
beliebiges System "weiterreichen". Das natürlich besteht auch die Möglichkeit, schen den anderen Modulen zu sehen:
p11-kit-server-Paket stellt ein Modul mit einen entsprechenden Eintrag in der
dem Namen "p11-kit-client.so" zur Ver- SSH-Konfigurationsdatei "~/.ssh/config" # modutil -dbdir /etc/pki/nssdb
fügung, mit dessen Hilfe sich das Token vorzunehmen: -list
über diesen Socket ansprechen lässt. Um [...]
den Socket zu erzeugen, rufen Sie p11- # ssh -R /run/user/1000/p11- 3. p11-kit-client
kit zusammen mit der URL des Tokens kit/pkcs11:/run/user/1000/p11- library name:
und dem PKCS#11-Treiber auf: kit/pkcs11-21564 tscherf@tiffy /usr/lib64/pkcs11/p11-kit-
client.so
# p11-kit server --provider /usr/ Ist kein Fehler aufgetreten, sollte der So- uri: pkcs11:library-manufactu-
lib64/pkcs11/opensc-pkcs11.so cket auf dem Remote-System nun zur rer=OpenSC%20Project;library-des-
"pkcs11:model=PKCS%2315;manufactu- Verfügung stehen: cription=OpenSC%20smartcard%20fra-
rer=EXAMPLE%20COM;serial=101043035 mework;library-version=0.17
70;token=Signature%20PIN%11%2233%2 # ll /run/user/1000/p11-kit/ slots: 1 slot attached
0PKI%11Card%00" total 0 status: loaded
P11_KIT_SERVER_ADDRESS=unix:path=/ srw-------. 1 tscherf tscherf 0
run/user/1000/p11-kit/pkcs11-21564 Mar 5 11:36 pkcs11 Wer das weitergeleitete Token zur Au-
P11_KIT_SERVER_PID=21564 thentifizierung einer SSH-Verbindung be-
Und auch der Zugriff auf das Token der nötigt, kann das neue PKCS#11-Modul
Wie an der Variable "P11_KIT_SERVER_ Smart Card sollte nun möglich sein. Für einfach dem ssh-Kommando übergeben:
ADDRESS" zu sehen ist, liegt die Socket- den Zugriff wird das erwähnte Modul
Datei innerhalb des Runtime-Directory ei- "p11-kit-client.so" benötigt: # ssh -I /usr/lib64/pkcs11/p11-kit-
nes Benutzers ("/run/user//p11-kit"). Vor client.so tscherf@kermit
der Weiterleitung des Sockets müssen also # p11tool --provider /usr/lib64/pkcs11
erst einmal zwei Dinge sichergestellt sein: /p11-kit-client.so --list-tokens Fazit
- Das Runtime-Directory des Remote- Token 0: Sensibles Schlüsselmaterial sollte nicht
Users ist in Erfahrung zu bringen. URL:pkcs11:model=PKCS%2315;manu- zwischen Systemen kopiert werden. Wie
- Das Unterverzeichnis, das von p11-kit- facturer=EXAMPLE%20COM;serial=1010 der Artikel zeigt, gibt es wesentlich ele-
client.so verwendet wird, muss im bes- 4303570;token=Signature%20PIN%11%2 gantere und sicherere Methoden, um
ten Fall automatisch angelegt werden. 233%20PKI%11Card%00 trotzdem auf Schlüssel, beispielsweise ei-
[...] ner Smart Card, auch aus der Ferne zu-
Das Runtime-Directory eines Users auf ei- greifen zu können. (of)
nem Remote-System ermitteln Sie per: Damit der Zugriff auf das Token auch aus
den verschiedenen Crypto-Frameworks Link-Codes
# ssh tscherf@tiffy systemd-path heraus funktioniert, müssen diese natür-
[1] Yubikeys
user-runtime lich wissen, dass hierfür das Modul p11-
F6P48
/run/user/1000 kit-client.so notwendig ist. Für OpenSSL
[2] Nitrokeys
sind die folgenden Änderungen nötig:
H7PB2
Durch das Aktivieren des systemd-Ser-
[3] Coolkey
vices "p11-kit-client" auf dem Remote- # mkdir .config/pkcs11/modules/
I5PC3
System wird für den Benutzer das erfor- # echo “module:
[4] OpenSC Git Repository
derliche "p11-kit"-Verzeichnis innerhalb /usr/lib64/pkcs11/p11-kit-
I5PC4
des Runtime-Directory angelegt: client.so” >.config/pkcs11/modu-
Zertifiziert
von Matthias Wübbeling
ersion 1.0 von OpenLDAP wurde Let's-Encrypt-Zertifikat nutzen einen Ausweg, wenn Sie keinen internen
V 1998 veröffentlicht. Die kurz zuvor Für die Absicherung mit TLS möchten DNS betreiben. Dann können Sie näm-
als RFC 2251 vorgestellte Version 3 des wir ein Let's-Encrypt-Zertifikat verwen- lich einfach auf einem beliebigen Server
Lightweight Directory Access Protocol den. Der Servername des OpenLDAP- Ihrer Domain das Zertifikat erstellen
(LDAPv3) wurde dabei noch nicht berück- Servers könnte "ldap.it-administrator.de" und anschließend auf den OpenLDAP-
sichtigt. Schon kurz nach der Veröffentli- lauten. Damit die Let's-Encrypt-Server Server übertragen.
chung von OpenLDAP begann der Erfolg Ihre Domain auflösen können, müssen
der Implementierung. Viele Verzeichnis- Sie diese im öffentlichen DNS registrie- Wenn der Dienst direkt auf die Let's-En-
dienste, die heute in Unternehmen zur Au- ren, falls Sie den Dienst bisher nur im crypt-Zertifikate zugreifen soll, müssen
thentifikation von Personen oder für die internen DNS aufgelöst haben. Für die Sie dem OpenLDAP-Nutzer noch ent-
Zuordnung von Eigenschaften wie Hard- Authentifikation müssen Sie eine Chal-
ware zum Einsatz kommen, sind von die- lenge auf dem Webserver hinterlegen,
Listing 1: /tmp/tls.ldif
ser Zeit bis heute gewachsen. Neben der die unter Ihrer Domain erreichbar sein
Umsetzung von LDAPv3 und damit der muss. Die Let's-Encrypt-Software bringt dn: cn=config
changetype: modify
Einführung von TLS/SSL-Unterstützung glücklicherweise einen eingebauten Mi-
replace: olcTLSCACertificateFile
für Version 2.0 war die Einführung der ni-Webserver mit, der nur bei Bedarf, olcTLSCACertificateFile:
Konfigurationsdatenbank in Version 2.3 also während der Zertifikaterstellung, /etc/letsencrypt/live/<domain>/fullchain.pem
eine der maßgeblichen Änderungen in der aktiv ist. -
replace: olcTLSCertificateFile
Entwicklung. Seit 2005 lässt sich damit die olcTLSCertificateFile:
Konfiguration des Dienstes in dem Ver- Benötigen Sie Ihren OpenLDAP-Server /etc/letsencrypt/live/<domain>/cert.pem
zeichnis selbst speichern. Das erlaubt ins- ausschließlich intern, können Sie die Si- -
replace: olcTLSCertificateKeyFile
besondere die Anpassung von Konfigura- cherheit noch erhöhen. Wenn Sie einen olcTLSCertificateKeyFile:
tionsparametern über LDAP selbst. Das Webserver in Ihrer DMZ nutzen, registrie- /etc/letsencrypt/live/<domain>/privkey.pem
Bearbeiten von Textdateien zur Konfigu- ren Sie diesen als Ziel im externen DNS.
ration ist damit (fast) überflüssig gewor- Dieser könnte dann als Reverse-Proxy nur
Listing 2: /etc/openldap/slapd.conf
den. Nur noch ältere Erweiterungen benö- die Anfragen für das Unterverzeichnis
tigen die Konfiguration mittels Textdateien. "/.well-known" an den LDAP-Server in- # Die komplette Zertifikatkette in einer PEM-
Datei
Bei Anpassungen der Konfigurationsda- nerhalb Ihres geschützten Netzbereichs
TLSCACertificateFile
tenbank werden durchgeführte Änderun- weiterleiten. Alle anderen Anfragen an die- /etc/letsencrypt/live/domain/fullchain.pem
gen unmittelbar aktiv, Diensteneustarts se Domain routen Sie einfach entsprechend
oder spezielle Updatekommandos sind da- um. Das klappt natürlich nur dann, wenn # Das Server-Zertifikat in einer PEM-Datei
TLSCertificateFile /etc/letsencrypt/live/do-
mit ebenfalls überflüssig. Sie einen eigenen internen DNS-Server main/cert.pem
verwenden, der auf den richtigen LDAP-
Diesem Artikel liegt OpenLDAP in der Server zeigt. # Der private Schlüssel in einer PEM-Datei
TLSCertificateKeyFile
aktuellen Version 2.4.45 zugrunde. Die
/etc/letsencrypt/live/domain/privkey.pem
im Juni 2017 veröffentlichte Version be- Das Ausstellen von Wildcard-Zertifikaten
hebt dabei noch einige Probleme bei der durch Let's Encrypt wird zum Zeitpunkt
Replizierung über GnuTLS oder der Ver- der Artikelerstellung bereits getestet und Link-Codes
wendung von OpenSSL in Version 1.1. funktioniert vermutlich bereits im Pro-
[1] Let's Encrypt
Falls nötig, sollten Sie also die aktuelle duktivbetrieb, wenn Sie diesen Beitrag I5PD1
Version installieren. lesen. Wildcard-Zertifikate bieten Ihnen
sprechende Berechtigungen zuweisen. folgende Kommando übernimmt die Argumentliste wählt TLS als bevorzugte
Passen Sie dafür die ACL der Zertifikat- Änderungen: Methode, das zweite "Z" sorgt dafür, dass
dateien an. Für den Benutzer "openldap" ldapsearch TLS erzwingt und im Fehlerfall
geht das wie in folgendem Kommando: # ldapmodify -Y EXTERNAL -H lda- keine Verbindung aufbaut.
pi:/// -f /tmp/tls.ldif
# setfacl -m "u:openldap:r" Neustart nach
/etc/letsencrypt/live/domain/{full Sollten Sie dem root-Benutzer Ihres Sys- Zertifikaterneuerung
chain,cert,privkey}.pem tems keine Rechte im Verzeichnis zuge- Nutzen Sie Konfigurationsdateien für
wiesen haben, verwenden Sie ldapmodify OpenLDAP, sollten Sie in Ihrem Cronjob
In diesem und allen folgenden Befehlen mit dem entsprechenden "binddn" und ge- für Let's Encrypt noch ein Post-Hook-
tragen Sie statt "domain" einfach die ben das Passwort im Prompt ein. Die Ar- Kommando mitgeben, der slapd nach er-
Hauptdomain Ihres Zertifikats ein. gumente lauten dann statt "-Y EXTERNAL" folgreicher Erneuerung der Zertifikate di-
entsprechend "-D binddn" und "-W". Nut- rekt neu startet: certbot renew --quiet
Konfiguration zen Sie für Ihre Installation weiterhin Text- --post-hook "/etc/init.d/slapd restart".
Nutzen Sie das Konfigurationsverzeich- dateien für die Konfiguration, können Sie Wenn Sie hingegen einen Webserver in der
nis von OpenLDAP, können Sie einfach TLS mit kleinen Änderungen in der Datei DMZ für die Zertifikaterstellung nutzen,
in der laufenden Instanz die Pfade für "slapd.conf " konfigurieren, wie in Listing sollten Sie einen Cronjob auf dem LDAP-
das Zertifikat hinterlegen. Dafür legen 2 dargestellt. Nun müssen Sie den Dienst Server anlegen, der regelmäßig die aktuel-
wir zunächst die Konfiguration im "slapd" noch neu starten. Das geschieht bei- len Zertifikatdaten aus der DMZ lädt.
LDAP Data Interchange Format – LDIF spielsweise auf einem OpenRC-System mit
(Listing 1) ab. Wenden Sie diese Ände- /etc/init.d/slapd restart. Fazit
rungen nun auf Ihrem System an. Dafür Mit Let's Encrypt lassen sich nicht nur
nutzen Sie ldapmodify mit externer Verwenden Sie nun ldapsearch mit dem Webserver, sondern auch Verzeichnisdiens-
SASL-Authentifikation. Gemeinsam mit Argument "-ZZ", um die TLS-Verbindung te wie OpenLDAP schützen. Dieser Secu-
ldapi wird dabei der OpenLDAP-Socket zu testen. Wird die Verbindung korrekt rity-Tipp demonstrierte die notwendigen
verwendet und auf die Betriebssystem- aufgebaut, haben Sie die Zertifikate er- Schritte, um Ihren Verzeichnisdienst damit
Authentifikation zurückgegriffen. Das folgreich eingebunden. Das erste "Z" der erfolgreich zu konfigurieren. (dr)
Troubleshooting
Microsoft-Server
Windows-, Exchange- und SQL-Server-
Probleme erkennen und beheben
Bestellen Sie jetzt zum Abonnenten-
Vorzugspreis* von nur 24,90 Euro!
finden Sie über "Computerkonfiguration/ den Microsoft System Center Configu- Werfen Sie zunächst einen Blick auf die
Richtlinien / Administrative Vorlagen / ration Manager (SCCM) oder Mobile- Daten, die die API-Schnittstelle bereitstellt.
Windows-Komponenten / MDOP MBAM Device-Management-Software. In jedes In unserem Beispiel öffnen Sie dazu die
(BitLocker Management)". Damit diese Amazon-WorkSpaces-Verzeichnis können API-URL "http://api.coindesk.com/
auch auf den Domänencontrollern zur Sie bis zu zwei Stammzertifikate jeweils v1/bpi/currentprice.json" im Browser und
Verfügung stehen, installieren Sie auf die- für macOS- und Windows-Geräte impor- machen Sie sich mit den angebotenen Da-
sen nur die Komponente "Policy Template tieren. Wenn zwei Stammzertifikate im- ten vertraut. Als Nächstes erstellen Sie ein
von MBAM". (ln) portiert sind, zeigt WorkSpaces beide Template in PRTG. Darin legen Sie fest,
Stammzertifikate auf dem Clientgerät an. welche Informationen über die API aus-
Es nutzt das erste Zertifikat, das in einem gelesen und in PRTG angezeigt werden
der Stammzertifikate als Nächstes kommt. sollen. Für unser Beispiel nutzen Sie am
(AWS/ln) besten das unter [Link-Code: I5PE1] zum
Download erhältliche Template mit diver-
sen Informationen: Während der Descrip-
Monitoring tion-Bereich die optionale Erläuterung der
Wir planen in unserem Unternehmen, Amazon Wir möchten gerne Informationen Vorlage enthält, sind im Result-Bereich
WorkSpaces einzusetzen, möchten aber aus Si- einer Internet-Seite mittels der API- die notwendigen Kanäle und Metriken
cherheitsgründen nicht, dass Mitarbeiter sich Schnittstelle abrufen und die gewonnenen Werte enthalten. In unserem Beispiel gibt es drei
mit einem beliebigen Gerät anmelden. Wie stellen in PRTG überwachen. Einige der IT-Kollegen im Kanäle für die verschiedenen Währungen
wir das sicher? Büro beschäftigen sich momentan viel mit dem (Dollar, Pfund, Euro), der Sensortext des
In der Voreinstellung haben sämtliche Thema Bitcoin. Es wäre deshalb interessant, stets Kanals ist der jeweilige Kurswert. Die er-
Devices, die von der Desktop-as-a-Ser- den aktuellen Bitcoin-Kurs abzufragen und den stellte Vorlage speichern Sie nun in PRTG
vice-Lösung unterstützt werden, auf diese Kursverlauf in PRTG anzuzeigen. Wie können wir unter folgendem Pfad: "C:\Program Files
Zugriff. Mitarbeiter können sich also per dafür idealerweise vorgehen? (x86)\PRTG Network Monitor\Custom
Benutzername und Passwort mit einem Sofern die abzufragende Internetseite eine Sensors\rest\". Im nun noch folgenden
Gerät ihrer Wahl (Windows, macOS, iOS, auf JSON beziehungsweise XML basie- Schritt führen Sie die gewonnenen Infor-
Android) einloggen. Es ist jedoch mög- rende RestAPI anbietet, lässt sich die An- mationen zusammen. Richten Sie dazu in
lich, den Zugriff auf einzelne ausgewählte forderung in PRTG mit wenig Aufwand PRTG ein neues Gerät mit dem Namen
Geräte (Trusted Devices/Managed Devi- realisieren. PRTG stellt dafür den Rest- "api.coindesk.com" ein und fügen dort ei-
ces) zu beschränken. Das funktioniert Custom-(BETA)-Sensor zur Verfügung. nen REST-Custom-Sensor hinzu. Den
über digitale Zertifikate. Sie bieten zu- Dieser funktioniert mit nahezu allen End- Sensor konfigurieren Sie folgendermaßen:
sätzliche Sicherheit in Form eines digita- points, die eine JSON- oder eben XML- Timeout: 10s
len Identitätsnachweises, der für einen Ausgabe zur Verfügung stellen. Um den Rest Query:
bestimmten Zeitraum gilt. Dabei kom- aktuellen Bitcoin-Kurs abzufragen, erläu- /v1/bpi/currentprice.json
men im Prinzip zwei Arten von Zertifi- tern wir in den folgenden Schritten die Scanning Interval: 10 Minutes
katen zum Einsatz: Stammzertifikate, Einrichtung einer Kommunikation mit REST Configuration: coindesk.bit-
auch Root-Zertifikate genannt, werden der API-Schnittstelle von coindesk.com. coin.priceindex.template
von einer oberen Zertifizierungsstelle
(Root-CA) ausgestellt und dienen dazu,
die Gültigkeit aller untergeordneten Zer-
tifikate zu validieren. Dazu gehören die
Clientzertifikate, die an ein einzelnes Ge-
rät gebunden sind. Nur Rechnern mit
dem passenden Zertifikat wird der Zugriff
auf die WorkSpaces gewährt.
Über digitale Zertifikate können Sie
den Zugriff auf WorkSpaces von macOS-
und Microsoft-Windows-Clientgeräten
blockieren oder freigeben. Dazu laden Sie
Ihre Stammzertifikate in die Amazon-
WorkSpaces-Managementkonsole hoch
und verteilen Ihre Clientzertifikate auf
diejenigen macOS- und Windows-Geräte,
die Sie als vertrauenswürdig einstufen.
Zum Verteilen Ihrer Clientzertifikate ver- Über die richtige API überwachen Sie mit PRTG nicht nur Ihre Netzwerkumgebung,
wenden Sie Ihre bevorzugte Lösung wie sondern auch den aktuellen Bitcoin-Kurs.
Ab jetzt kontaktiert der neu eingerich- Durch das Anwenden des Registrie- Datenspeichers, meist dürfte dies eine
tete Sensor im Abstand von zehn Minuten rungsschlüssels wird NvFBC nur während SSD sein. Nehmen Sie die SSD aus der
die API von coindesk.com, holt die in un- der Anmeldung deaktiviert, wodurch die Halterung. Halten Sie nun die Steher mit
serem Template definierten Daten ab und Nvidia-Treiber nach erfolgter Anmeldung einer Zange fest und drehen Sie die untere
zeigt sie in PRTG an. Im nächsten Schritt trotzdem performant in die Sitzung ein- Schraube heraus, damit Sie die Schiene
können Sie optional die Werte in PRTG gebunden werden, ohne den besagten bewegen können. Schieben Sie die Schie-
auf einer Map visualisieren, Grenzwerte Fehler zu verursachen. (Citrix/ln) ne nun etwas zur Seite, damit sich der
im Sensor hinterlegen oder Benachrich- SIM-Kartenslot öffnen lässt. Setzen Sie
tigungen konfigurieren. Dieses Beispiel die SIM-Karte ein und bauen Sie den LES
lässt sich auf viele weitere Anwendungs- Hardware Network danach wieder zusammen.
fälle übertragen. Sobald eine Internetseite Wir wollen den lüfterlosen Mini- (Thomas-Krenn/ln)
eine RestAPI-Schnittstelle bereitstellt, kön- Server "LES network" von Tho- Viele weitere Tipps und
nen Sie wie eben beschrieben vorgehen. mas-Krenn als SMS-Gateway für das Monitoring Tricks zum Server-Manage-
Ob Fahrplanauskunft, Börsenkurse, Wet- unserer IT-Infrastruktur nutzen. Als wir den Rech- ment, Virtualisierung und Linux finden Sie
teraufzeichnungen oder Preisbeobachtun- ner aufgeschraubt haben, um die SIM-Karte in im Thomas-Krenn-Wiki unter www.tho-
gen – Ihrer Fantasie sind hier kaum Gren- das LTE-Modul einzusetzen, konnten wir den Slot mas-krenn.com/de/wiki/Hauptseite.
zen gesetzt. Neben der PRTG-Vorlage zum aber nicht finden. Können Sie uns hier mit einer
Download finden Sie unter dem erwähn- Anleitung weiterhelfen?
ten Link weitere Informationen zum ge- Leider ist der Slot für die SIM-Karte nicht Tools
schilderten Anwendungsfall.(Paessler/ln) auf den ersten Blick ersichtlich, sobald Die Sicherheitslücken Spectre und
Viele weitere Tipps und eine Festplatte verbaut ist, da er darunter Meltdown haben IT-Verantwort-
Tricks rund um das Thema sitzt. Gehen Sie deshalb folgendermaßen liche vor eine schwierige Wahl gestellt: Entweder
Monitoring mit PRTG fin- vor: Nachdem Sie den LES ausgepackt sie entscheiden sich für einen sofortigen Patch
den Sie Knowledge Base von Paessler un- haben, entfernen Sie alle Portabdeckun- und riskieren dabei mögliche systemweite Pro-
ter https://kb.paessler.com. gen und legen diese bei Seite. Entfernen bleme oder aber sie testen die Patches zunächst
Sie nun die Schrauben der beiden seitli- auf einem oder mehreren für ihr Unternehmen
chen Blenden. Drehen Sie die Schrauben typischen Systemen, setzen sich dabei aber der
der Unterseite heraus und entfernen die Gefahr von Angriffen über eben jene Sicher-
Abdeckung. Eine Seite der Frontblenden heitslücke aus. Zudem ist aktuell noch unklar,
wird durch den Stromanschluss festge- inwieweit die Patches überhaupt umfassenden
halten – entfernen Sie deshalb die Schrau- Schutz bieten. Viele Unternehmen haben diese
Benutzer bekommen in unserer Citrix-Umgebung be des Stromanschlusses mithilfe eines Entscheidung bis heute nicht getroffen, weshalb
nur einen schwarzen Bildschirm angezeigt, wenn Schraubenschlüssels. Trennen Sie nun die viele Endgeräte den Hackern noch immer aus-
sie sich in einen HDX-3D-Pro-Desktop einloggen. Batterie von ihrem Anschluss. Entfernen geliefert sind. Dies gilt insbesondere für Linux-
Wenn Sie die Größe oder den Fokus innerhalb Sie jetzt alle vier Schrauben des verbauten basierte Systeme, für die bisher noch überhaupt
des Desktops ändern (etwa Vollbild/Fenstermo-
dus), wird das Desktopbild wiederhergestellt.
Dies geschieht, wenn die Richtlinie von Microsoft
für "Nachrichtentext für Benutzer, die versuchen,
sich anzumelden" aktiviert ist. Wo liegt denn
hier das Problem?
Das von Ihnen geschilderte Problem ist
leider bekannt, wenn HDX-3D-Pro die
Nvidia-API NvFBC nutzt sowie der An-
meldebanner aktiviert ist. Dann kommt
es zu einer Abweichung in der Monitor-
anzeige, was wiederum in einem schwar-
zen Bildschirm resultiert. Aktualisieren
Sie als Lösung die VDA-Software auf
7.15.1000 oder höher und verwenden Sie
den folgenden Registrierungsschlüssel:
PATH: HKEY_LOCAL_MACHINE\SOFTWARE\
Citrix\HDX3D\BitmapRemotingConfig
NAME: HKLM_DisableMontereyFBCOnInit
VALUE: DWORD Um an den SIM-Karten-Slot des LES Network zu kommen, müssen Sie zunächst den
DATA: 1 eingebauten Datenträger vollständig entfernen.
keine umfassende Schutzlösung ver- mit IPv6 ist dies jedoch zum
öffentlicht wurde. Scheitern verurteilt, weil ein
Hier hilft das kostenlose "Black- Scanvorgang zu viel Zeit erfor-
smith" von SentinelOne. Das dert. NeDi geht deshalb bei der
Tool identifiziert Spectre- und Erfassung aller Komponenten
Meltdown-Exploits auf allen Li- im Netz wesentlich intelligenter
nux-Systemen und ermöglicht vor: Es fragt einige wenige so-
es Linux-Administratoren, An- genannte "Seed Devices" nach
griffe zu stoppen, bevor sie im weiteren Geräten, die diese ken-
System Fuß fassen. Dabei nutzt nen. Per SNMP-Abfragen er-
Blacksmith die Funktion der fährt NeDi beispielsweise vom
Leistungszählung moderner Default-Router alle Nachbarn,
Chipsätze, um Prozesse auf bös- die dieser kennt. Über dieses
artiges Caching-Verhalten hin und ähnliche Verfahren erhält
zu überwachen. Sowohl die NeDi Informationen zu den Ge-
Meltdown- als auch die Spect- räten, arbeitet diese hinsichtlich
re-Schwachstellen erzeugen die- ihrer Nachbarn ab und ermittelt
se Muster während des Exploits, so die Topologie. Nebenbei sam-
und Blacksmith verwendet den melt das Tool zusätzliche Infor-
eingebauten Linux-Mechanis- mationen wie Systemnamen
mus "perf events", um Informa- WhySoSlow findet heraus, was mit der Leistung von und -klassen, Betriebssystem in-
Windows-Rechnern nicht stimmt.
tionen über die laufenden Pro- klusive Versionsnummer, CPU-
zesse zu sammeln. Für ältere Prozessoren ist. Dazu bietet WhySoSlow in seiner Last, Speicherauslastung, Temperatur,
und virtuelle Umgebungen identifiziert "Tools"-Sektion auch gleich passende Hel- Durchsatz und Fehler auf den einzelnen
Blacksmith einen bestimmten Typ von ferlein. Darüber hinaus ist eine dauerhafte Schnittstellen und natürlich alle ange-
Seitenfehlern, der auf Meltdown-Exploit- Überwachung des lokalen Systems mit schlossenen Hosts in den konfigurierten
Versuche hinweist. (jp) WhySoSlow möglich. Dazu lassen sich VLANs. Nach einem Durchlauf hat NeDi
Link-Code: I5PE7 Schwellenwerte etwa für die CPU-Tem- alle notwendigen Informationen für eine
peratur hinterlegen, bei deren Überschrei- Abbildung des kompletten Netzes und
Egal welche Windows-Version zum Einsatz tung eine Alarmierung erfolgt. Als inte- kann Auskunft darüber geben, an wel-
kommt, ein Verhalten zeigen die meisten Rechner ressante Ergänzung hat das Tool ein chem Switch und Port ein bestimmter
mit diesem Betriebssystem: Sie werden mit der Feature namens "AntiFreeze" an Bord. Da- Rechner angeschlossen oder wie ein
Zeit langsamer. Nicht vollständig deinstallierte bei handelt es sich um einen Notfall-Task- Switch an den Core angebunden ist. Das
Software, mehr Programme im Autostart, Pro- manager, der sich selbst dann noch starten Tool kennt alle Verbindungen zwischen
bleme mit der Hardware – die Ursachen dieses lässt, wenn das System eigentlich vollstän- den Geräten. Es beurteilt alle gesammelten
Phänomens sind Legion. Genauso wie die Tools, dig eingefroren ist. WhySoSlow unterstützt Daten bei jedem Durchlauf und gibt In-
die dem Anwender helfen sollen, sein System Windows in 32- und 64-Bit-Varianten ab formationen, Warnungen oder Alarme
wieder flott zu machen. Version 7 beziehungsweise Server 2012; aus, falls es etwas Ungewöhnliches gefun-
Doch während die meisten dieser Werk- hier allerdings nach Herstellerangaben den hat.
zeuge mehr oder weniger zahlreiche Pa- noch nicht Windows Server 2016. (jp) Über die Oberfläche des Tools gelangt
rameter isoliert betrachten, versucht sich Link-Code: I4PE8 der Admin an eine grafisch aufbereitete
das kostenlose "WhySoSlow" in einer ganz- Ausgabe dieser Daten. Zu jeder automa-
heitlichen Analyse der Performancepro- In großen Netzen fällt es oft schwer, den Über- tisch gefundenen Schnittstelle lässt sich
bleme. Dazu untersucht WhySoSlow die blick zu behalten. Aber auch Administratoren eine Grafik für Durchsatz, Fehler, ver-
CPU-Temperatur und -Taktung, die lau- kleiner Infrastrukturen wünschen sich ein Werk- worfene Pakete und Broadcasts abrufen.
fenden Prozesse, RAM-Nutzung, Frag- zeug, das automatisch das Netz durchforstet, Auch stehen Grafiken über die Anzahl
mentierung, Antwortverhalten von An- alle Geräte mit ihren Verbindungen katalogisiert, der angeschlossenen Endgeräte und eine
wendungen und Kernel, das Bios, Treiber alle Hosts kennt, die Infrastruktur grafisch dar- Übersicht der vorhandenen Schnittstellen
und vieles mehr. Vielmehr muss der Nut- stellt und außerdem auf Schwierigkeiten hinweist. und deren tatsächliche Nutzung bereit.
zer letztendlich auch nicht wissen, denn Das kostenlose "NeDi" (kurz für "Network Zusätzlich versucht NeDi, alle entdeckten
nach dem Start des Tools reicht ein Klick Discovery") verspricht, all dies zu leisten. Geräte automatisch nach Standort zu
auf den Analyze-Button für eine Leistungs- Üblicherweise ermitteln vergleichbare klassifizieren. Damit dies vollumfänglich
untersuchung des Rechners. Als Ergebnis Tools Informationen über Router, Switches klappt, steht jedoch der Admin in der
erhält der Anwender innerhalb einer Mi- und Rechner, indem sie die Netze scannen Pflicht, diese Informationen auf allen Ge-
nute einen Bericht, der Empfehlungen aus- und nach verwertbaren Informationen su- räten zu pflegen. (jp)
spricht, wie die Maschine zu optimieren chen. In großen Netzen und besonders Link-Code: I5PE9
SCHWERPUNKT
tti – 123RF
Quelle: Alfio Sc
ise
In Schönschrift
von Thomas Wiefel
www.it-administrator.de
PowerShell-Skripte optimieren Schwerpunkt
Auch zwölf Jahre nach ihrem Erscheinen besitzt die PowerShell noch keine Cmdlets und auch
keinen Navigation Provider für Datenbankzugriffe. Da im Administratoren-Alltag aber immer
wieder Datenbanken gelesen oder beschrieben werden müssen, zeigt dieser Beitrag, wie die
Nutzung von Datenbanken mit Hilfe von .NET-Klassen aus der PowerShell heraus gelingt.
as Microsoft .NET Framework, .NET Framework wird mit folgenden vier ADO.NET-Datenprovider listen Sie über
D das Grundlage für die Windows Datenprovidern ausgeliefert: eine statische .NET-Methode auf:
PowerShell 1.0 bis 5.0 ist, bietet seit seiner 1. System.Data.SqlClient: Spezieller Trei-
ersten Version die Komponente ADO.NET ber für Microsoft SQL Server ab Ver- [System.Data.Common.DbProviderFacto-
(ActiveX Data Objects .NET) für den Da- sion 7.0. ries]::GetFactoryClasses()
tenbankzugriff. In ".NET Core", das Basis 2. System.Data.OracleClient: Spezieller
für Windows PowerShell Core 5.1 sowie Treiber für Oracle-Datenbanken, gilt aber Dies funktioniert aber nicht in .NET Core
die PowerShell 6.0 ist, gibt es seit .NET als veraltet. Microsoft empfiehlt hier, den und damit nicht in PowerShell Core 6.0.
Core 2.0 ebenfalls weite Teile des ursprüng- offiziellen Treiber von Oracle oder einen
lichen ADO.NET. Treiber eines Drittanbieters wie DevArt Zentrale Konzepte von ADO.NET sind
oder DataDirect zu verwenden. Connection-, Command-, DataReader-
ADO.NET als Grundlage 3. System.Data.OLEDB: Brücke zu OLE- sowie DataAdapter-, CommandBuilder-
für DB-Zugriffe DB-Providern, erlaubt die Anbindung und DataSet-Objekte:
ADO.NET ist eine providerbasierte Soft- von Access-Datenbanken, aber auch Mi- - Ein Connection-Objekt dient dazu, die
warekomponente, geschaffen für Software- crosoft SQL Server und andere. Verbindung zu einer Datenbank aufzu-
Entwickler – nicht für Administratoren. 4. System.Data.Odbc: Brücke zu ODBC- bauen mit "Open()". Eine solche Verbin-
In der Dokumentation [1] finden sich da- Treibern, ermöglicht die Anbindung von dung schließen Sie mit "Close()", sobald
her auch nur Beispiele in C#, Visual Basic Datenspeichern, für die es nur alte ODBC- sie nicht mehr gebraucht wird. ADO-
.NET und C++, nicht aber in der Power- Treiber gibt (zum Beispiel DBase). .NET schließt die Verbindung aber nicht
Shell-Sprache. In ADO.NET wird für den wirklich, sondern hält sie noch eine Zeit
Zugriff auf ein konkretes Datenbankma- Weitere Provider (etwa für MySQL, SQ- lang in einem sogenannten "Connection
nagementsystem ein Datenbankprovider Lite, DB2, Sybase, Informix und Ingres) Pool" zur Wiederverwendung vor.
(alias .NET Data Provider oder Managed werden von anderen Herstellern geliefert. - Mit einem Command-Objekt senden
Data Provider) benötigt. ADO.NET im Die auf einem System registrierten Sie einen beliebigen SQL-Befehl zur
Hilfreiche Hilfsroutinen
Die Handhabung des DataSet ist etwas
komplizierter, als die meisten Adminis-
tratoren vermuten. Sie können einem Da-
taSet nicht einfach per SQL-Befehl und
Verbindungszeichenfolge sagen, dass es
eine bestimmte Datenmenge aus einer
bestimmten Datenbank lesen soll. Da das
DataSet darauf ausgerichtet ist, auch
mehrere Datenmengen aus einer oder
sogar verschiedenen Datenbanken auf-
nehmen zu können, sind folgende Schrit-
te notwendig:
Bild 1: Die verschiedenen Datenladestrategien bei DataReader und DataSet. 1. Öffnen einer Verbindung zu der Da-
tenbank mit einem Connection-Objekt:
Datenbank (zum Beispiel SELECT, IN- Set-Objekt besteht auf oberster Ebene aus Hierzu brauchen Sie eine Verbindungs-
SERT, UPDATE, DELETE). einer Menge von DataTable-Objekten zeichenfolge, die den Datenbankprovi-
- Mit dem DataReader lesen Sie Ergeb- (DataTableCollection). Jedes DataTable- der und den Namen der Datenbank
nismengen von SQL-Befehlen (in der Objekt besitzt über das Attribut "DataSet" enthalten muss. Anschließend müssen
Regel SELECT) aus. einen Verweis auf das Dataset, zu dem es Sie "Open()" aufrufen.
- DataAdapter und DataSets sind ein spe- gehört. Das DataTable-Objekt besitzt eine 2. Erstellen eines Command-Objekts:
zielles Konzept, mit dem Sie eine Kopie "DataColumnCollection" mit DataCo- Hierzu benötigen Sie neben dem Con-
einer Teilmenge der Datenbank ins lumn-Objekten für jede einzelne Spalte nection-Objekt einen SQL-SELECT-
RAM laden, dort bearbeiten und später in der Tabelle und eine "DataRowCol- Befehl.
(mit Hilfe von CommandBuilder-Ob-
jekten) Änderungen in einem Rutsch
zur Datenbank übertragen können.
Skript-
Kiddies 4.0
von Thomas Wiefel
Für die PowerShell existieren zahlreiche Zusatzmodule, die Sicherheits- und Angriffsfunktionen
bereitstellen. Diese bieten Penetrationstests und forensische Analysen. Wie der Administrator
damit nach Sicherheitslücken im Netzwerk fahndet, zeigt unser Workshop.
enetrationstests versuchen, Schwä- auf der Festplatte zu hinterlassen. Power- gewogene Balance zwischen Funktiona-
Pchen in der Sicherheit eines Sys- Shell-Skripte laufen komplett im Speicher lität und Sicherheit finden. Das Einsatz-
tems zu finden und legal auszunutzen, und sind zudem remote-fähig. Das Modul gebiet ist daher primär simulierte Angriffe
um das Computersystem sicherer zu ver- will IT-Verantwortliche bei folgenden Auf- auf entfernte Rechner.
walten. Über ein automatisiertes Tool gaben unterstützen:
oder eine manuelle Methode (oder als - Code-Execution: Ausführung von Low- Die Invoke-ShellCode-Funktion injiziert
Kombination beider) lassen sich Securi- Level-Code und Code-Injektion. ausführbare Anweisungen im Kontext
ty-Probleme identifizieren. In diesem - Script-Modification: Modifizieren und/ laufender Anwendungen, wobei Sie den
Umfeld kann die PowerShell im Zusam- oder Vorbereiten von Skripten für die Wirtsprozess über die Prozess-ID aus-
menspiel mit invasiven Techniken her- Ausführung auf einer kompromittierten wählen. Eine Zuordnung von Prozessen
vorragende Ergebnisse liefern. Maschine. und Prozess-ID ist über den Befehl:
- Reverse Engineering mit entsprechen-
Die PowerShell bietet dazu Module für den Tools. > Get-Process | Select-Object
"Penetration Testing" und "Exploits". Ei- - Filtern: Zugriff auf sensible Daten von -Property name, ID
nige PowerShell-Erweiterungen vergrö- einer kompromittierten Maschine.
ßern den Befehlsraum und/oder liefern - Chaos: Destruktive Anweisungen. leicht umzusetzen. PowerSploit erwartet
sicherere Alternativen zu Standardver- - Recon: Unterstützung in der Aufklä- eine Liste von Bytes in der Form von
fahren – wie etwa SSH als Alternative zur rungsphase eines Penetrationstests. "0xXX,0xXX,0xXX". Um das korrekte
WINRM-Fernwartung. Sogar Schad- Format zu generieren, ist die Backtrack-
codescanner sind als PowerShell-Kom- Die lokale Installation mittels Install-Mo- Toolsammlung hilfreich:
ponenten implementiert. dule aktiviert unter Umständen Ihren Vi-
renscanner. Wichtig ist zudem, dass Sie > msfpayload windows/exec CMD="cmd
Windows-Systeme testen alle ZIP-Dateien, die Sie vom GitHub Re- /k calc" EXITFUNC=thread C | sed
Für Penetration-Tests und als Schwach- pository herunterladen, entblocken. An- '1,6d;s/[";]//g;s/\\/,0/g' | tr -d
stellenscanner dient das PowerShell-Modul dernfalls scheitert das Laden der nach- '\n' | cut -c2-
"PowerSploit" [1], das für Penetrationstester folgenden Module.
und Reverse Engineers entwickelt wurde. Diese Befehlskette bereitet den Parame-
Die PowerShell ist unter Windows das Durch Kombination von Anwendungen terwert für "-ShellCode” korrekt auf. Bei
ideale "Post-Exploitation Utility". Dies liegt wie Applocker, rigider Beschränkung der der Übergabe an "-ShellCode" und ohne
in ihrer Fähigkeit begründet, eine breite Zugriffsmöglichkeiten und PowerSploit- Angabe einer Prozess-ID startet das In-
Palette von administrativen und Low-Le- Cmdlets kann die optimale Konfiguration voke-ShellCode-Cmdlet den Rechner im
vel-Aufgaben auszuführen, ohne Spuren ermittelt werden. So lässt sich eine aus- Prozessraum der aktuellen PowerShell.
Skriptessenz
von Dennis Zimmer
Mware hat bereits 2007 als einer > Install-Module -Name VMware.Power- Diesen Befehl können Sie auch spontan
V der ersten Nicht-Microsoft-Her- CLI -Scope CurrentUser in einer PowerShell-Session ausführen,
steller den Nutzen der PowerShell erkannt. um die gebräuchlichsten PowerCLI-Be-
Damals startete die Beta der PowerCLI als zurück. Danach ist das PowerCLI- Mo- fehle zu laden.
"VMware Infrastructure Kit" mit genau dul verfügbar und geladen. Alle nutzba-
acht Cmdlets, heute sind es bereits über ren Inhalte zeigt Ihnen nun Get-Module Verbindung zum
600. Zur Historie inklusive einiger Kom- und alle Befehle des PowerCLI-Core- ESXi-Host und vCenter
mentare der wirklich großartigen Com- Moduls liefert: Bevor Sie nun aber richtig loslegen kön-
munity empfehlen wir das Video zum nen, müssen Sie sich entweder direkt mit
zehnjährigen Geburtstag [1]. > Get-Command -Module VMware.VimAu- dem ESXi-System oder dem VMware
tomation.Core vCenter verbinden. Der Befehl für beide
Obwohl bereits "PowerShell Core" verfüg- Vorgänge lautet connect-viserver. Dabei
bar ist, nutzen wir für diesen Artikel haupt- Hier sollten Sie sich merken, dass das können Sie den Vorgang aber auch noch
sächlich die VMware PowerCLI [2], da VMware.VimAutomation.Cis.Core-Modul weit differenzierter angehen. So ist zum
diese aktuell den größten Funktionsum- für die Verbindungen zu VMware ESXi Beispiel Single Sign-On möglich, das
fang bietet. Zum Abschluss des Artikels oder zum vCenter benötigt wird und das heißt, der angemeldete Benutzer hat
gehen wir jedoch genauer auf die zukünf- VMware.VimAutomation.Core-Modul die Rechte im VMware vCenter:
tige Version der PowerShell (Core) und restlichen Cmdlets enthält.
die Ende Februar 2018 veröffentlichte Ver- > Connect-VIServer vCenter IP oder
sion der PowerCLI Core ein. Die Power- Um die PowerCLI immer direkt beim Start DNS-Name
Shell Core bietet den Vorteil, auch auf Li- der PowerShell mitzuladen, nutzen Sie ei-
nux und macOS zu laufen. nen Eintrag im PowerShell-Profil. Dazu Poster aller PowerCLI-Befehle
führen Sie in der gestarteten PowerShell-
PowerCLI installieren Sitzung $profile aus und erhalten so die Lo- Vor einigen Jahren entwarf die Community
In einer PowerShell-Session führen Sie kation der Profildatei. Dieser Datei, die ein PowerCLI-Poster [4], das einen sehr gu-
die Installation der Shell mit einem ein- standardmäßig im Dokumente-Verzeichnis ten Überblick über die Grundlagenbefehle
gibt und anfangs auf einem DINA4-Blatt
zelnen Befehl durch: liegt (etwa "C:\Users \ Benutzer \ Docu-
Platz fand. VMware hat die Poster-Idee
ments \ WindowsPowerShell \ Microsoft.
übernommen und aktualisiert es stetig. Das
> Install-Module -Name PowerShell_profile.ps1"), fügen Sie am En-
letzte Release zur PowerCLI 6.5.2 passt lei-
VMware.PowerCLI de folgende Zeile hinzu: der nicht mehr zu einem Standarddrucker,
sondern eher zu einem Plotter (1 m auf 50
Soll dies nur für den aktuell angemeldeten > Import-Module -name VMware.VimAu- cm wird empfohlen).
Benutzer geschehen, greifen Sie auf tomation.Core
Aufgabe Befehl
Liste mit VMs, deren Snapshots älter als Get-VM | Get-Snapshot | Select VM,Name,Created,sizemb | Where {$_.Created -lt
sieben Tage sind. ((Get-Date).AddDays(-7))}
Löschen aller Snapshots, die älter als sieben Tage Get-Snapshot | Select VM,Name,Created,sizemb | Where {$_.Created -lt ((Get-Date).
sind. AddDays(-7))} | Remove-Snapshot
Liste aller VMs und dem Datastore, auf dem diese Get-Cluster | Get-VM | select name, @{N="Datastore";E={Get-Datastore -VM $_}} |
registriert sind. sort name
VM über das Betriebssystem herunterfahren (soft). Shutdown-VMGuest -VM (Get-VM -Name "VMname")
Festplatten der virtuellen Maschine anzeigen. Get-VM VMName | Get-HardDisk | ft Parent, Name, Filename, CapacityKB
-AutoSize
CPU-Ressourcen-Limitierungen entfernen. Get-VM | Get-VMResourceConfiguration | Where-Object {$_.CpuLimitMhz -ne ‘-1‘} |
Set-VMResourceConfiguration -CPULimitMhz $null
Speicherressourcen-Limitierungen entfernen. Get-VM | Get-VMResourceConfiguration | Where-Object {$_.MemLimitMB -ne ‘-1‘} |
Set-VMResourceConfiguration -MemLimitMB $null
Anzeige von VMs inklusive MAC-Adresse und Get-VM | Select Name, @{N="Network Adapter";E={$_ | Get-NetworkAdapter| foreach-object
Netzwerk-Portgruppe. {$_.Type}}}, @{N="MacAddress";E={$_ | Get-NetworkAdapter| ForEach-Object {$_.MacAd-
dress}}}, @{N="PortGroup";E={Get-VirtualPortGroup -VM $_}}
VM mit einer bestimmten MAC-Adresse finden. Get-VM | Select Name, @{N="Network";E={$_ | Get-NetworkAdapter | ? {$_.macaddress -eq
"00:50:56:00:00:00"}}} |Where {$_.Network -ne ""}
Netzwerk-Portgruppe auf allen Hosts Get-Cluster "clustername" | Get-VMHost | Get-VirtualSwitch -Name "vSwitch_name" |
im Cluster anlegen. New-VirtualPortGroup -Name "VLAN-xx" -VLanId XX
DataStores und Anzahl der VMs anzeigen. Get-Datastore | Select Name, @{N="NumVM";E={@($_ | Get-VM).Count}} | Sort Name
Ereignisse herausfiltern, etwa An/Ausschalten von Get-VM VMname | Get-VIEvent | Where {$_.fullFormattedMessage -like "*Power*"}
virtuellen Maschinen.
Storage vMotion ausführen. Get-VM VMname | Move-VM -datastore (Get-datastore "Ziel-Datastore")
die Windows PowerShell nicht mehr sion mit PowerShell-Core-Unterstüt- Invoke-VMScript-Cmdlet vornehmen –
weiterentwickelt und erhält nur noch si- zung. Dazu führen Sie einfach in einer hier als Beispiel die Änderung der IP-
cherheitsrelevante Updates. PowerShell bestehenden PowerShell-Core-Sitzung Adresse im Gast:
Core setzt auf die plattformübergreifen- folgenden Befehl aus:
de .NET-Core-2.0-Runtime und ist für $ipAddr = "192.168.10.25"
Windows, macOS sowie für die Linux- > Install-Module -Name VMware.Power- $subMask = "255.255.255.0"
Distributionen Debian, Ubuntu, Cent- CLI -Scope CurrentUser $gw = "192.168.10.1"
OS, RedHat Enterprise, OpenSUSE und $netsh = "c:\windows\system32\
Fedora verfügbar. Außerdem gibt es in- Sind keine gültigen Zertifikate im vCenter netsh.exe interface ip set address
offizielle Versionen für Arch Linux, Kali hinterlegt, sollten Sie folgenden Befehl ""Local Area Connection"" static
Linux und Appimage sowie experimen- ausführen, damit die PowerCLI auch in $ipAddr $subMask $gw 1"
telle Fassungen für die ARM-Version diesem Fall eine Verbindung mit dem Invoke-VMScript -VM $VM -GuestCre-
von Windows und für Raspbian. vCenter herstellt: dential $creds -ScriptType bat
-ScriptText $netsh
Leider war es (bis zur Drucklegung) > Set-PowerCLIConfiguration -Inva-
noch nicht möglich, PowerCLI Core lidCertificateAction Ignore Neue PowerCLI-Versionen laden Sie üb-
unter PowerShell Core zu installieren. rigens ganz einfach mit dem Update-Mo-
Daher müssen Sie einen Fling [8] von Danach laden Sie die Module mit dule-Befehl:
VMware nutzen. Zudem ist die Power-
Shell Core aktuell nicht in den Systemen > Get-Module -ListAvailable VMware* > Update-Module VMware.PowerCLI
direkt integriert, sondern nur als Funk- | Import-Module
tion aktivierbar. Daher laden Sie die für Fazit
Ihr Betriebssystem verfügbare Version Sie können sich jetzt per Connect-ViServer Auch Nicht-PowerShell-Experten unter
von der GitHub-Seite [9] von Microsoft verbinden. den vSphere-Administratoren sollten die
herunter. Diese Webseite wird übrigens im Artikel vorgestellten Einzeiler und
offiziell auf der Microsoft-PowerShell- Folgende PowerCLI-Befehle werden nicht Skripte die tägliche Routine deutlich er-
Website angegeben, um neue Versionen mehr unterstützt: leichtern. Die PowerShell und PowerCLI
herunterzuladen. Mit einer Standard- - Get-VMGuestNetworkInterface sind tolle und vielfältige Werkzeuge, die
installation landen die Daten in "C:\ - Set-VMGuestNetworkInterface immer wichtiger werden, je häufiger glei-
Program Files \ PowerShell" bezie- - Get-VMGuestRoute che Aufgaben zu erledigen sind und je
hungsweise in "PowerShell $env:Pro- - New-VMGuestRoute größer die Infrastruktur wird. Vielleicht
gramFiles \ PowerShell". Die seit 28. - Remove-VMGuestRoute hat unser Crashkurs ja Appetit auf mehr
Februar 2018 verfügbare PowerCLI 10 gemacht. (jp)
lässt sich hingegen sehr einfach instal- Netzwerkeinstellungen, die auf diesen
lieren und ist die erste PowerCLI-Ver- Cmdlets beruhen, müssen Sie mit dem Link-Codes
IT-Sicherheit
für KMUs
Konzepte, Werkzeuge
und Best Practices
shop.heinemann-verlag.de
Windows-Client-Management mit Puppet und WSUS
AMD-Workstations starben nach dem Einspielen von Microsofts Meltdown-Patch einen schnellen
Tod – gut weg kamen all jene, die ihre Update-Infrastruktur von der Microsoft’schen abgekoppelt
hatten. Das Werkzeug der Wahl ist seit jeher der WSUS-Server – seine Eintragung auf Seiten des
Clients übernimmt nun bei Bedarf Puppet.
m mögliche Missverständnisse von PuppetLabs offiziell unterstütztes Versionen sind andere Repositories zu
U schon vorab auszuräumen: wsus_ Plug-in. Ärgerlicherweise steht es um die verwenden:
client ist kein Werkzeug zur Konfigura- Kompatibilität nicht zum Besten (Bild 2),
tion des WSUS-Servers. Das Werkzeug und die Puppet-Enterprise-Versionen sind $ wget https://apt.puppetlabs.com/
befasst sich mit der Konfiguration des generell besser unterstützt als das frei ver- puppet5-release-xenial.deb
WSUS-Subsystems auf den auserwählten fügbare Puppet. Wir setzen uns an dieser $ sudo dpkg -i puppet5-release-
Clients – die Auswahl der zu installieren- Stelle frech über die Beschränkung auf xenial.deb
den Updates, ihr Herunterladen und an- maximal Puppet 5.0.0 hinweg. $ sudo apt update
dere Dinge erfolgen nach wie vor aus- $ sudo apt-get install puppetserver
schließlich am WSUS-Server. Erzeugen Sie zuerst eine neue virtuelle
Maschine auf Basis von Ubuntu Server Aufgrund des fehlenden Arbeitsspeichers
Wir wollen in den folgenden Schritten 16.04 und weisen Sie ihr nur 2 GByte muss die Datei "/etc/default/puppetserver"
eine kleine Infrastruktur aus einer Gruppe RAM zu. Damit wollen wir an dieser Stel- angepasst werden. Suchen Sie die mit "JA-
von virtuellen Maschinen errichten, um le auch die Konfiguration eines "speicher- VA_ARGS" beginnende Zeile und passen
die Möglichkeiten und Grenzen von armen" Puppet-Masters demonstrieren. Sie sie folgendermaßen an:
wsus_client kennenzulernen. Neben ei- Wichtiger ist das Vergeben des Hostna-
nem als WSUS-Deployer dienenden mens "puppet", da es sonst beim Verbin- JAVA_ARGS="-Xms512m -Xmx1g"
Windows Server 2012 benötigen wir auch dungsaufbau zu Fehlern bei der Zertifi-
einen unter Linux laufenden Puppetmas- katerzeugung kommt. Puppet läuft in einer Java-VM und ist
ter. Bild 1 zeigt die resultierende Archi- dementsprechend den Einstellungen der
tektur, die als Beispiel für andere Deploy- Zur Installation einer aktuellen Version Umgebung unterworfen. Xms und Xmx
ments dienen darf. von Puppet müssen Sie im ersten Schritt sind der klassische Zweikampf der VM-
die Repositories einpflegen, um danach Parametrierung – die beiden Variablen
Kompatibilitäts-Spiele den Downloadbefehl anzustoßen. Die legen gemeinsam fest, in welchem Bereich
Der wsus_client ist laut der unter [1] be- hier abgedruckten Kommandos gelten der Speicherbedarf der JVM liegen darf.
reitstehenden Webseite des Moduls ein nur für Ubuntu 16.04 – für andere OS- Die Installation erfolgt nach einem Neu-
Server herbei
Zum Testen des Plug-ins brauchen wir
logischerweise eine Installation von
Windows Server 2012, im Interesse des
einfacheren Handlings entscheiden wir
uns für eine vollwertige Version samt
GUI. Puppet unterstützt in der Commu-
nity-Edition neben den Servern nur
Windows 10 Enterprise, die Bezahlversion
Bild 1: wsus_client ist aus architektonischer Sicht nicht sehr kompliziert. des Produkts ist in Sachen Unterstützung
etwas breiter aufgestellt.
start des Puppet-Servers (oder der ganzen geben Sie hier einen Wert, der Ihren Be-
VM) mittels puppet module install: dürfnissen entspricht – die Installation Besuchen Sie im Server sodann die URL
des WSUS-Servers selbst ist in der MSDN http://downloads.puppetlabs.com/win-
$ puppet module install puppetlabs- hinreichend beschrieben und soll uns hier dows/puppet5/, um die Datei puppet-
wsus_client --version 1.0.3 nicht weiter aufhalten. Zur Laufzeit prüft agent-5.3.3-x64.msi herunterzuladen.
Puppet nur, ob der Wert mit dem String Achten Sie darauf, beide virtuelle Maschi-
Ein Ärgernis für Quereinsteiger ist, dass "http" oder "https" beginnt. nen in ein gemeinsames Netzwerk ein-
die Firewall von Ubuntu Server den für zubuchen – der als Agent bezeichnete
die Kommunikation mit Clients erforder- In der Praxis sollten Sie zumindest einen Client sollte den Puppet-Master schon
lichen Port 8140 blockiert. Dieses Pro- Aktualisierungsplan festlegen. Eine Ba- während der Installation auffinden.
blem lässt sich mit iptables schnell lösen: sisversion der dazu notwendigen Config-
Klasse sieht folgendermaßen aus: Von geradezu lebensbedeutender Wich-
$ sudo ufw disable tigkeit ist es, dass sich Puppetmaster und
$ sudo iptables -I INPUT -m state -- class { 'wsus_client': Puppetagent unter dem selben Namen
state NEW -m tcp -p tcp --dport server_url => ansprechen: Wer die IP-Adresse des Pup-
8140 -j ACCEPT 'http://myserver:8530', petmasters im Installationsassistenten des
auto_update_option => "Schedu- Agenten eingibt, bekommt zur Laufzeit
Zu guter Letzt müssen Sie den Puppet- led", eine Fehlermeldung über ein nicht veri-
master anwerfen – das Kommando scheduled_install_day => "Tues- fiziertes Zertifikat.
nimmt einige Zeit in Anspruch. Prüfen day",
Sie zudem, ob der Dienst in der Ausgabe scheduled_install_hour => 2, Da das Einrichten eines DNS-Servers in
von netstat -ln auftaucht: } VirtualBox unnötige Arbeit verursacht,
editieren wir stattdessen die Datei "C:\
$ sudo systemctl start puppetserver "auto_update_option" legt hierbei fest, Windows\System32\drivers\etc\hosts".
wie der WSUS-Server mit eingehenden Sie verhält sich analog zu ihrem Unix-
Alle meine Klassen Updates umgehen soll. Übergeben Sie Gegenstück "/etc/hosts" und erlaubt das
Auch wenn sich wsus_client auf die Ver- "NotifyOnly", werden die Nutzer nur über Anlegen von "virtuellen" DNS-Aliasen.
waltung von Windows-Elementen kon- das Vorhandensein von Updates infor- Deklarieren Sie die Addresse der VM und
zentriert, bleibt der logische Aufbau der- miert. "AutoNotify" lädt automatisch he- weisen Sie den Namen "puppet" zu. Nach
selbe. Deployments lassen sich über eine runter, lässt dem Nutzer aber die alleinige einem Neustart (oder einem Refresh des
Klasse vom Typ wsus_client steuern – die Wahl über den Deployment-Zeitpunkt. DNS-Caches per ipconfig) sind Sie für
Basisversion sieht folgendermaßen aus: Der hier verwendete Wert liefert automa- den nächsten Schritt bereit.
tisch aus und installiert zu einem be-
class { 'wsus_client': stimmten Zeitpunkt, während die Option Für einen ersten Verbindungsversuch
server_url => 'http://myserver:my- "AutoInstall" eine vollständige Automa- reicht es aus, die Startmenüverknüpfung
port', tisierung anweist. "Run Puppet Agent" zu aktivieren. Dies
} sollte nicht mit einer roten Verbindungs-
"scheduled_install_day" und "scheduled_ fehlermeldung scheitern – das Ausgeben
Server_URL ist hierbei der wichtigste Pa- install_hour" legen dann den Zeitpunkt eines grünen Texts mit Informationen
rameter: Er beschreibt, wo der jeweilige fest, wann das eigentliche Deployment über fehlende Serverzertifikate ist derweil
Client den WSUS-Server vorfindet. Über- der Aktualisierungen zu erfolgen hat. Wer kein Problem. Beachten Sie, dass die Ein-
Alles im Griffel
Dr. Holger Reibold
Gleich, ob Sie nun eine Konfigurationsdatei bearbeiten, eine Protokolldatei analysieren oder eine
einfache App programmieren wollen: Sie benötigen keine komplexe Entwicklungsumgebung,
meist genügt ein leistungsfähiger Texteditor. IT-Administrator hat kostenlose Editoren unter
die Lupe genommen.
ällt das Stichwort "Editor", denken Neben einer Handvoll Klassiker existieren upfunktionen, einer eigenen Projekt -
F viele Windows-Anwender gleich durchaus interessante kostenlose Alter- verwaltung, integriertem FTP-Client,
an Notepad – und der einfache Texteditor nativen, die einen Blick wert sind. In die- Exportmöglichkeiten und einer erweiter-
hat durchaus seine Berechtigung, wenn sem Artikel nehmen wir acht Textedito- baren Architektur. Gerade bei den Zu-
es um das Bearbeiten simpler CONF-, ren unter die Lupe und arbeiten Stärken satzfunktionen gibt es zum Teil erhebliche
INI- oder TXT-Dateien unter Windows und Schwächen heraus. Unterschiede. Last but not least sind auch
geht. Doch für komplexe Aufgaben ist die Bedienung und das Programmhand-
das Programm nicht zu gebrauchen, Prinzipiell muss ein Editor unterschied- ling ein wichtiger Aspekt.
denn es fehlen essenzielle Funktionen liche Codierungen sowie Programmier-
wie eine intelligente Eingabehilfe, Auto- und Auszeichnungssprachen unterstüt- Die Klassiker: Emacs und Vim
vervollständigung, Rechtschreibprüfung, zen. Auch Autovervollständigung, einen An der Frage, welcher der beste Texteditor
Syntaxhervorhebung, Such- und Ver- Makrorecorder für die Aufzeichnung wie- für Administratoren und Entwickler ist,
gleichsfunktion; ganz zu schweigen von derkehrender Arbeiten und eine leis- reiben sich bereits Generation von Unix-
Makro- oder Projektmanagement- oder tungsfähige Suchfunktion gehören zur Anwendern auf. Als Höhepunkt dieses
gar von Backupfunktionen. Grundausstattung. Ein praxistauglicher Wettstreits gilt der selbstausgerufene "Edi-
Texteditor kann außerdem Textpassagen tor War" [1]. Das Kernproblem von
Ein Blick in Software-Archive zeigt, dass für die Wiederverwendung verwalten. Emacs und Vim: Die beiden Editoren be-
es eine Vielzahl von Texteditoren gibt. Komfortabel wird der Umgang mit Back- sitzen eine sehr flache Lernkurve. An-
Bild 2: Notepad++ gehört zu den Klassikern unter den kostenlosen Texteditoren für Windows, bietet Zu den Highlights von jEdit gehört die
aber letztlich nur Hausmannskost. Suchfunktion, mit der Sie die Suche auf
bestimmte Dateien, Richtungen, Ver-
Integration von HTML Tidy kann nutzerkomfort. Sowohl für Autoren als zeichnisse und weitere Kriterien be-
HTML-Code validiert und in CSS, XML, auch Entwickler bietet das Programm alle schränken können. Auch die Verwendung
XHTML umgewandelt werden. wichtigen Funktionen – ein gelungener weiterer Filter ist möglich. Über den Plug-
Mix, der ihn zu einem der besten Text- in-Manager können Sie die Basisfunktio-
PSPad besitzt den Funktionsumfang eines editoren für Windows-Anwender macht. nalität um zusätzliche Module, Werkzeuge
professionellen Editors bei gleichzeitig Einziges Manko: Die Weiterentwicklung und Bibliotheken erweitern.
geringer Dateigröße, kann aber prinzipiell ist seit 2015 ins Stocken geraten. Daher
beliebig große Dateien editieren. Im Un- ist unklar, ob und wenn ja wann mit einer Auch wenn jEdit sich funktional eher im
terschied zu anderen Editoren verfügt neuen Version zu rechnen ist. Mittelmaß der hier vorgestellten Werk-
PSPad über ein eigenes Projektmanage- zeuge bewegt, zählen die Makrofunktio-
ment. Die Suche kann dateiübergreifend Plattformübergreifend: jEdit nen zweifelsohne zu den Highlights des
angewendet werden. Autoren profitieren Der Java-basierte Editor jEdit (Bild 4) ist Editors. jEdit erlaubt nicht nur die Auf-
von der Autokorrektur und der Suchfunk- insbesondere für die Administratoren in- zeichnung, sondern stellt umfangreiche
tion. Auch hinsichtlich der Erweiterbar- teressant, die auf verschiedenen Plattfor- Funktionen für die Nachbearbeitung zur
keit und Automatisierung macht das Pro- men arbeiten. So ist sichergestellt, dass Verfügung. Lob hat sich außerdem die
gramm eine gute Figur, da der Editor die
Skriptsprachen des Windows Scripting
Hosts verwendet. Mit Hilfe des Makro-
Rekorders können Sie Makros aufneh-
men, speichern und wiederverwenden.
PSPad bietet in der Summe eine tolle Bild 3: Zwar längst kein Geheimtipp mehr, doch präsentiert sich der weniger bekannte Editor PSPad
Funktionsvielfalt gepaart mit hohem Be- als bester Allrounder in diesem Vergleich.
Geheimtipp: SynWrite
Auch der SynWrite-Editor (Bild 5) gehört
zu den weniger bekannten Texteditoren
und wird häufig zwischen den bekannten
Werkzeugen übersehen. Bereits die Web-
site des Projekts macht einen eher redu-
zierten Eindruck, doch der Editor bietet
für Administratoren und Entwickler eine
ganze Menge. Rein optisch erinnert Syn-
Write sehr an PSPad und Notepad++. Die
Benutzeroberfläche wirkt auf den ersten
Blick unübersichtlich und daran ändert
sich auch nach dem ersten Kennenlernen
nur wenig.
Bild 4: Administratoren und Entwickler, die auf mehreren Betriebssystemplattformen unterwegs sind,
Über die Werkzeugleiste stehen die ver- sind mit dem Java-basierten jEdit bestens bedient.
schiedenen Funktionen wie der Dateiex-
plorer und FTP-Client zur Verfügung. Write die Baumstruktur aller Program- Der Editor führt über die Inhalte Buch,
Die Stärken des Programms liegen ein- mierroutinen ein. Das sorgt für einen bes- die Sie in die Zwischenablage kopiert ha-
deutig bei den Programmierfunktionen. seren Überblick und vereinfacht die Na- ben. Per Mausklick können spezifische
Bei unterstützten Code-Dateien liest Syn- vigation in den Programmierprojekten. Elemente erneut verwendet werden.
Editoren im Überblick
Notepad++ SynWrite TextWrangler Visual Studio
Emacs 25.3 jEdit 5.4.0 PSPad 4.6.2 Vim 8.0p
7.5.5 6.40 5.5.2 Code 1.12.1
Richard Bram
Verschiedene Bare Bones
Entwickler Stallman, Guy Don Ho Jan Fiala UVViewSoft Moolenaar und Microsoft
Freiwillige Software
L. Steele Jr. u.a. andere
Lizenz GPL GPL GPL Freeware GPL Freeware GPL MIT-Lizenz
Linux/Unix, Linux/Unix, Linux/Unix, Linux/Unix,
System-
macOS, macOS, Windows Windows Windows macOS macOS, macOS,
voraussetzungen
Windows Windows Windows Windows
Ausstattung
Funktionen
Über Plug-in
Textfunktionen Ja Nein Ja Ja Ja Ja Ja
TextFX
Text-/Code-
Ja Ja Ja Ja Ja Ja Ja Ja
Bausteine
Rechtschreibprüfung Ja Ja Ja Ja Eingeschränkt Ja Ja Nein
Verwaltung
Ja Ja Ja Ja Ja Ja Ja Ja
Zwischenablage
Suchen&Ersetzen Ja Ja Ja Ja Ja Ja Ja Ja
Syntaxhervorhebung Ja Ja Ja Ja Ja Ja Ja Ja
Farbschema Ja Ja Ja Ja Ja Ja Ja Ja
Referenz Nein Nein Nein Ja Nein Nein Nein Nein
54, über Plug-
Unterstützte Sprachen k. A. 200+ ins weitere Über 30 Über 75 k. A. 500+ k. A.
möglich
Export Ja Nein Ja Ja Ja Ja Ja Ja
Druck/Vorschau Ja / Nein Ja / Nein Ja / Nein Ja / Ja Ja / Ja Ja / Nein Über Hardcopy Nein / Nein
ITA-Bewertung Gut Gut Gut Sehr gut Gut Befriedigend Gut Befriedigend
allem ist TextWrangler kein schlechter, Laut Microsoft soll Visual Studio Code facht. Visual Studio Code enthält inte-
aber eben doch nur ein rudimentär aus- das blitzschnelle Programmieren in Hun- grierte Unterstützung für die Intelli-
gestatteter Texteditor. derten Sprachen erlauben, doch sind an- Sense-Code-Vervollständigung, seman-
dere hier vorgestellte Editoren dank einer tisches Code-Verständnis und -Navigation
Multi-Plattform-Code Editor: schlanken Code-Basis subjektiv schneller. sowie Code-Refactoring. Visual Studio
Visual Studio Code Visual Studio Code bietet klassische Code verfügt über einen interaktiven De-
Auch Microsoft bietet für Administrato- Funktionen eines Programmierwerkzeugs bugger, mit dem Sie den Quellcode und
ren und Entwickler interessante kosten- wie die Syntaxhervorhebung, Klammer- Variablen prüfen können.
lose Werkzeuge – und das sogar für den anpassung, automatische Einrückung,
plattformübergreifenden Einsatz. Mit Vi- Boxauswahl und Snippets. Über indivi- Visual Studio Code integriert außerdem
sual Studio Code (Bild 7) stellt Microsoft duell anpassbare Tastaturkürzelzuord- verschiedene Build- und Scripting-Tools,
seit 2016 einen Code-Editor bereit, der nungen wird das Navigieren in umfang- mit denen Sie häufige Aufgaben bewälti-
nativ nicht nur unter Windows arbeitet, reichen Projekten einfach. Serielles gen und die Arbeitsabläufe beschleunigen.
sondern auch für Linux entwickelt wird. Codieren wird durch Textblöcke verein- Eine weitere Besonderheit: Visual Studio
Link-Codes
e n S i e j e t z t
Test
A u s g a b e n zum
sechs i !
i s v o n d r e
Pre
shop.heinemann-verlag.de
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel Fax: 06123/9238-252
D-65341 Eltville leserservice@it-administrator.de
Management-Helfer
für Vim-Plug-ins
Schreib-
hilfe
von Bruce Byfield
Quelle: bowie15 – 123RF
Vim ist einer der beliebtesten Editoren und eines der beliebtesten Open-Source-Tools
überhaupt. Ein Grund für seine Popularität ist seine über Plug-ins erweiterbare Funktionalität,
von denen es über 1500 gibt. Die hier vorgestellten Tools helfen dabei, diese Erweiterungen
zu installieren und zu verwalten.
ie meisten Anwender verwenden eine Registry verfügbarer Erweiterungen für jede Vim-Erweiterung ein eigenes
D wahrscheinlich weniger als ein in "/usr/share/vim", ein Quellverzeichnis Verzeichnis anzulegen, was das Manage-
Dutzend Plug-ins für ihren Editor, aber "/usr/share/vim/addons" und ein Instal- ment sehr erleichtert. Allerdings kann
selbst eine so geringe Zahl zu managen, lationsziel "$HOME/.vim" für einzelne Pathogen Plug-ins nicht automatisch ak-
ist schon nicht ganz einfach. Liegen sie User oder "/var/lib/vim/addons" für alle tualisieren oder löschen.
unbeachtet im Verzeichnis "$HOME Anwender zurück. Diese Verzeichnisse
/.vim/plugin", wird die Aktualisierung lassen sich mit den Aufrufschaltern "-r", Weil Pathogen eine andere Verzeichnis-
schon schwierig. Deshalb gibt es einige "-s" und "-t" ändern. Um verfügbare Plug- struktur nutzt als Standard-Vim, sollten
Plug-in-Manager, die dabei helfen, Plug- ins anzuzeigen, verwenden Sie: Sie vor der Installation die alten Verzeich-
ins zu installieren, zu aktualisieren und nisse und Files wie ".vim" und ".vimrc"
zu löschen: Vim-Addon-Manager, Patho- $ vim-addons list speichern und umbenennen. Um Patho-
gen sowie dessen Ableger Vundle und gen zu installieren, legen Sie zuerst zwei
Neobundle. Welche Lösung Sie verwen- Sie sehen dann zu jeder Erweiterung den Verzeichnisse an und laden das Plug-in
den, hängt von Ihren spezifischen Be- Status (installed, removed, disabled, bro- über die Homepage des Autors Tim Pope
dürfnissen ab, aber sie alle helfen dabei, ken, unavailable), den Sie für einzelne von Github herunter:
Vim-Plug-ins einfacher zu verwalten. Plug-ins mit vim-addons status Plug-in
ermitteln. Ein Plug-in installieren Sie mit $ mkdir -p ~/.vim/autoload
Vim-Addon-Manager ~/.vim/bundle
Anders als die anderen Lösungen wird $ vim-addons install Plug-in $ curl -LSso ~/.vim/autoload/patho-
der Vim-Addon-Manager unabhängig gen.vim
von Vim als extra Paket installiert. Das Pathogen https://tpo.pe/pathogen.vim
ist nicht schwer, denn das Tool ist Teil Anders als der Vim-Addon-Manager ist
vieler Linux-Distributionen, etwa Debian, Pathogen selbst ein Vim-Plug-in. Am bes- Nun fügen Sie der Datei "~/.vimrc" die
Ubuntu und Fedora. Typischerweise ten lässt es sich mit Github als Quelle für folgenden Zeilen hinzu:
kommt es im Gespann mit einem Paket Extensions nutzen, denn viele Vim-Ewei-
von etwa zwei Dutzend der beliebtesten terungen werden heute dort gehostet. Die execute pathogen#infect()
Vim-Plug-ins. Üblicherweise greift es auf Innovation von Pathogen besteht darin, filetype plugin indent on
Diese Zeilen starten Pathogen vor allen letzten Zeile sollen die anderen von endif
anderen Plug-ins, sodass es sich um alle Vundle verwalteten Plug-ins folgen.
anderen Vim-Erweiterungen kümmern set runtimepath+=~/.vim/bundle/neo-
kann. Optional hängen Sie noch die fol- Die Installation von Vundle stattet Vim bundle.vim/
genden Zeilen an: zusätzlich mit vier weiteren Befehlen aus, call
die sich im Editor aufrufen lassen und de- neobundle#begin(expand('~/.vim/bun
call ren Namen selbsterklärend sind: "Bun- dle/'))
pathogen#runtime_append_all_bund- dleList", "BundleInstall", "BundleSearch" NeoBundleFetch
les() und "BundleClean". Künftig sollen die Be- 'Shougo/neobundle.vim'
call pathogen#help_tags() fehle umbenannt werden und statt "Bun- call neobundle#end()
dle" die Vorsilbe "Plugin" verwenden. filetype plugin indent on
Damit wird bei jedem Start von Vim auch
die eingebaute Hilfe aktualisiert. Weitere NeoBundle Wenn Sie ein neues Plug-in installieren,
Plug-ins installieren Sie, indem Sie in das Wie Vundle baut auch NeoBundle auf stellen Sie sicher, dass in der Konfigura-
Verzeichnis "~/.vim/bundle" wechseln Pathogen auf. Eine Zeit lang war es tion der entsprechende Aufruf von "Neo-
und dort den Extension-Code entpacken schwierig, NeoBundle zu verwenden, weil Bundle" steht, etwa
oder direkt von Github auschecken. es kontinuierlich weiterentwickelt wurde
und die Dokumentation nur auf Japa- NeoBundle "Shougo/vimshell"
Vundle nisch verfügbar war. Seit kurzem ist es
Das Vim-Paket "Vundle", dessen Name in einen Maintenance-Mode eingetreten Hier dürfen Sie auch eine spezifische Ver-
ein Portmanteau aus "Vim" und "Bundle" und auch englischsprachige Dokumen- sion angeben, um sie für ein Plug-in fest
ist, wurde ausgehend von Pathogen wei- tation ist vorhanden. einzutragen:
terentwickelt. Dementsprechend verwen-
det auch Vundle eine von Standard-Vim NeoBundle besitzt alle Funktionen von NeoBundle "Shougo/vimshell" {'rev':
abweichende Verzeichnisstruktur. Im Ge- Vundle und sogar noch einige zusätzliche. Version}
gensatz zu Pathogen kann Vundle aber So beherrscht es neben Git auch die Ver-
selbständig die installierten Plug-ins auf sionskontrollsysteme Mercurial und Sub- Die mit NeoBundle ausgelieferten Utilities
dem laufenden Stand halten. version. Außerdem verträgt es sich gut sind: NeoBundleUpdate/NeoBundleIn-
mit anderen Plug-ins aus der Hand seines stall, die Vim-Plug-ins installieren res-
Windows-Anwender kommen sogar in Erfinders Shougu Matsushita. Fortge- pektive aktualisieren. Ohne weitere Zu-
den Genuss einer GUI, wenn sie mit schrittene Vim-Anwender etwa könnten sätze verwendet, werden alle installierten
Vundle Vim-Erweiterungen installieren. Gefallen an seinem Unite-Plug-in finden, Plug-ins aktualisiert, aber es lassen sich
Die Installation von Vundle selbst lässt das die Suche in Files, Copy-and-Paste auch Versionsnummern angeben. Neo-
sich unter Linux in einem einzigen Schritt und Funktionen für den Umgang mit BundleList zeigt die installierten Erwei-
erledigen: Vim-Buffern mitbringt. terungen an, während NeoBundleClean
unbenutzte Plug-ins löscht. NeoBundle
$ git clone https://github.com/Vund- Neobundle setzt Vim 7.2.051 oder neuer bindet wie oben gezeigt ein Plug-in ein.
leVim/VundleVim.git ~/.vim/bund- voraus. Die Integration mit anderen Er- Wird eine Versionsnummer angegeben,
le/Vundle.vim weiterungen wie etwa Unite erfordert versucht NeoBundle nie ein Update.
noch weitere Module wie vimproc. Um
Anders als Pathogen wird Vundle aber NeoBundle zu installieren, klonen Sie wie Fazit
nicht in "~/.vim/bundle/" direkt installiert, gehabt das Quellcode-Verzeichnis in das Um Plug-ins in Vim zu installieren und
sondern in einem Unterverzeichnis. Um Vim-Bundle-Directory: anstehende Updates zu managen, gibt es
automatische Updates zu aktivieren, ver- einige Möglichkeiten. Bahnbrechend war
wenden Sie die folgenden Einträge in $ mkdir ~/.vim/bundle Pathogen, das eine Zeit lang quasi der De-
"~/.vimrc": $ git clone https://github.com/Shou- facto-Standard für die Aufgabe war. Seit-
gu/neobundle.vim her sind aber Nachfolger wie NeoBundle
set rtp+=~/.vim/bundle/Vundle.vim ~/.vim/bundle/neobundle.vim und Vundle angetreten, um dem Anwen-
call vundle#begin() der noch mehr Features zu bringen, etwa
Plugin "VundleVim/Vundle.vim" Zur Konfiguration können Sie das Bei- ein automatisiertes Update der installier-
spiel ".vimrc" von der Github-Seite he- ten Plug-ins.
Die obigen Zeilen setzen den Runtime- ranziehen. Die wesentlichen Zeilen daraus
Pfad "rtp" auf das Vundle-Verzeichnis sind die folgenden: Dass das Ende hier noch nicht erreicht
"~/.vundle/bundle/Vundle.vim", initiali- ist, zeigt der Versuch des NeoBundle-Au-
sieren das Plug-in und weisen Vundle an, if &compatible tors, der bereits an einem Nachfolger sei-
sich selbst zu managen. Unterhalb der set nocompatible ner Lösung arbeitet. (of)
Auf Käferjagd
von Tam Hanna
F
rungs-Frameworks vor, die das Leben von Entwicklern
3R
– 12
und Administratoren leichter machen.
ya
ka
ols
st od
lle:
Que
ls Erstes wollen wir einen Blick auf die Eclipse-IDE verständliches Format
A die integrierte Entwicklungsum- bringt. Das neu angelegte Projekt weist zu }
gebung (IDE) Eclipse werfen. Die IDE Beginn keine Inhalte auf. Klicken Sie es set -o functrace
mag sehr umfangreich sein, bietet aller- daher mit der rechten Maustaste an und trap _________DEBUG_TRAP DEBUG
dings diverse Komfortfunktionen. Laden wählen Sie die Option "New / Other...",
Sie im ersten Schritt unter Nutzung des um ein neues Skript hinzuzufügen. bashdb nutzt das Trap-Feature des Betriebs-
Eclipse Installers die Variante "Eclipse systems zur Einrichtung einer Funktion,
IDE for Java Developers" [1] herunter – Schon jetzt können Sie Shell-Skripte unter die vom Remote-Debugger eingehende Be-
die folgenden Schritte basieren auf der Nutzung der Syntaxhervorhebung von fehle entgegennimmt und in der offenen
Version Oxygen.2 vom Dezember 2017. Eclipse bearbeiten und lokal ausführen. Session parst. Aus der Logik folgt, dass dies
Problematischerweise ist es noch nicht nicht unbedingt sicher ist – die Arbeit in
Besorgen Sie sich im nächsten Schritt die möglich, Breakpoints zu setzen. Hierzu einem sicheren Netzwerk sollte allerdings
Shell-Erweiterung für Eclipse, die unter müssen Sie zunächst das unter [3] bereit- kein allzu großes Risiko darstellen.
[2] bereitsteht. Der Install-Knopf lässt stehende ZIP-Archiv des "BASH Debug-
sich per Drag-and-Drop an seinen Platz ger Project" (bashdb) herunterladen und Kopieren Sie die Datei in das Verzeichnis
bringen, worauf die Installation der Shell- extrahieren. Im nächsten Schritt wandern des Projekts und legen Sie sodann das aus-
Erweiterung automatisch startet. Achten die beiden JAR-Dateien bei herunterge- zuprobierende Skript an. Unser Testobjekt
Sie allerdings darauf, dass sie den Knopf fahrener IDE in das Verzeichnis "/home/ ist in den folgenden Schritten eine Gruppe
nicht versehentlich auf dem Welcome- home/java-oxygen/eclipse/dropins". von Bash-spezifischen Sprachkonstrukten:
Bildschirm ablegen, sondern auf einer
leeren Editor-Seite (Bild 1). Der in neuen Beachten Sie, dass Eclipse bei der Nut- . _DEBUG.sh
Versionen von Eclipse integrierte Markt- zung von OpenJDK leider zu diversen echo $SHELL
platz-Client beginnt dann automatisch Fehlern neigt. Stellen Sie deshalb sicher, a=1234567890
mit der Installation des Plug-ins. dass Sie Eclipse in einer Oracle-JDK-Um- echo ${a}
gebung ausführen. echo ${a:3}
Eclipse einrichten
Ärgerlicherweise nutzt das Eclipse-Plug-in Pfade korrekt anpassen Von besonderer Bedeutung ist hier das
in der Standardeinstellung die Dash-Shell, Die eigentliche Kommunikation zwischen Einbinden des Debug-Skripts, das anhand
die mit Bash in Sachen Komfort nicht ver- BASH Debugger und Eclipse erfolgt über des weiter oben abgedruckten Codes eine
gleichbar ist. Klicken Sie deshalb auf "Win- ein Skript namens "_DEBUG.sh", das fol- Verbindung zwischen der Shell und der
dow / Preferences / Shell Script / Interpre- genden Inhalt aufweist: Entwicklungsumgebung herstellt.
ters" und legen Sie wie in Bild 2 gezeigt
einen neuen Interpreter vom Typ "bash" an. exec 33/dev/tcp/localhost/33333 Im nächsten Schritt müssen Sie eine
function _________DEBUG_TRAP () Ausführungskonfiguration anlegen. Kli-
Im nächsten Schritt legen Sie unter "File { cken Sie hierzu auf "Run / Debug Con-
/ New / Other" ein neues Shell-Skript-Pro- local _________DEBUG_COMMAND figurations" und erstellen Sie eine neue
jekt an. Es handelt sich dabei um einen read -u 33 _________DEBUG_COMMAND Konfiguration auf Basis der Vorlage
Container, der die Shell-Skripte in ein für eval $_________DEBUG_COMMAND "Bash script...". Der von der normalen
Fehlersuche auf
Kommandozeilenebene
Das Hantieren mit Eclipse ist bequem, in
der Praxis aber nicht immer möglich, et-
wa auf einem Server ohne grafische Ent-
wicklungsumgebung. Auch wenn bashdb
für Eclipse in der Lage ist, mit auf frem-
den Servern laufenden Shell-Skripten
Bild 1: Um die Shell-Erweiterung für Eclipse zu installieren, ziehen Sie den Install-Knopf Kontakt aufzunehmen, so ist diese Vor-
per Drag-and-Drop auf eine leere Editor-Seite. gehensweise nicht sonderlich komforta-
bel. Als bessere Alternative bietet sich
Arbeit mit Eclipse bekannte Ausfüh- BASH Debugger auf Seite von Eclipse ei- BASH Debugger an, der sich durch Ein-
rungskonfigurations-Generator bietet nen bestimmten Editor-Pfad voraussetzt. gabe von sudo apt-get install bashdb auf
Ihnen sodann einen Einstellungsassis- Ihrer Workstation installieren lässt.
tenten an, den Sie wie in Abbildung drei Die Lösung des Problems besteht darin,
gezeigt parametrieren. Der Debugger- die eigentlich abgekündigte Sourceforge- Nach dem erfolgreichen Durchlaufen der
Port lautet übrigens immer 33333 – zu- Webseite des ShellEd-Projekts [4] zu be- Installation können Sie Skripte durch Vo-
mindest solange, wie sie "_DEBUG.sh" suchen. Ignorieren Sie die Hinweise, dass ranstellen des Kommandos bashdb in-
nicht eigenmächtig anpassen. die dort enthaltenen Informationen veraltet strumentiert ausführen. Unser weiter
sind und laden Sie die Datei "net.source- oben erzeugtes und im Eclipse-Work-
Letzte Eclipse- forge.shelled-site-2.0.3.zip" herunter. space liegendes Skript starten Sie bei-
Erweiterung einbinden spielsweise folgendermaßen:
Im nächsten Schritt klicken Sie in Eclipse Öffnen Sie im nächsten Schritt Eclipse
auf "Debug", um die Programmausfüh- und klicken Sie auf "Help / Install new tamhan@TAMHAN14:~/workspace/ ITATest1$
rung anzustoßen. Achten Sie darauf, dass software". Im nun erscheinenden Dialog bashdb ./firsttest.sh
die IDE selbst nicht in der Lage ist, unser zum Hinzufügen neuer Programmfunk- bash debugger, bashdb, release 4.2-
kleines Skript anzuwerfen. Klicken Sie tionen müssen Sie im ersten Schritt auf 0.8
stattdessen auf das Perspektivenwechsel- den "Add"-Button neben der Adresszeile . . .
symbol in der oberen rechten Bildschirm- klicken, um das Fenster zum Einfügen
ecke, um einen Perspektivenwechsel in von lokalen Repositories zu öffnen. Nut- bashdb ist ein klassischer schrittweiser
die Debugger-Perspektive von Eclipse zen Sie dort das Feld "Location", um einen Debugger, der gut zwei Dutzend Kom-
durchzuführen. Öffnen Sie sodann ein Verweis auf unser Archiv einzupflegen. mandos mitbringt. Eine Komplettliste
neues Shell-Fenster, in dem sie durch Ein- finden sie auf der entsprechenden Sour-
gabe von bash ./Skriptname die Ausfüh- Nach dem Bestätigen beginnt der Instal- ceforge-Seite. Die Kommandozeile des
rung des Skripts anweisen: lationsprozess, der einen Neustart der Programms gibt sich allerdings etwas
IDE voraussetzt und einige Warnungen verwirrend – als Beispiel wollen wir uns
tamhan@TAMHAN14:~/work- folgenden Extrakt ansehen:
space/ITATest1$ bash
./firsttest.sh :
/bin/bash 3:a=1234567890
1234567890 bashdb<2>
4567890
Der Debugger informiert bei jeder
In der vorliegenden Ausfüh- Zeile darüber, in welchem Skript
rungskonfiguration reagiert wir uns gerade befinden und wel-
Eclipse darauf mit der Ein- che Anweisungen die jeweilige
blendung einer Fehlermel- Zeile enthält. Darunter findet sich
dung der Bauart "Unable to der bashdb-Prompt, der für das ei-
open editor, unknown editor Bild 2: Die Einrichtung des Bash-Interpreters für die Shell-Erweiterung von gentliche Eingeben der Komman-
ID". Das liegt daran, dass Eclipse gestaltet sich nicht sonderlich kompliziert. dos verantwortlich ist.
Bild 3: Achten Sie darauf, die Pfade beim Debugging mit Eclipse an Ihre Situation anzupassen. Mit Breakpoints arbeiten
Das "lineare Ausführen" von Code gerät
Interessant ist der in spitzen Klammern echo "arbeiter sagt: " $i spätestens dann zum Ärgernis, wenn Ihr
gehaltene Wert. Die normalerweise nur done Shell-Skript einige hundert oder gar einige
fortlaufende Zahl wird ein- oder mehrfach } tausend Zeilen umfasst. Zur Umgehung
eingeklammert, wenn sich die Ausführung echo "los!" dieses Problems bietet es sich an, Break-
tiefer in Stackframes verschachtelt. arbeiter points zu verwenden. Sie verhalten sich
echo "ende!" in bashdb im Großen und Ganzen so, wie
Wer einfach Schritt für Schritt durch den sie es von anderen Programmiersprachen
Code wandern möchte, kann dies durch Wer das vorliegende Programm in bashdb her gewohnt sind.
mehrfaches Eingeben von next bewerk- ausführt, stellt fest, dass er nur dreimal
stelligen – das Resultat ist in Bild 4 ge- next eingeben muss. Der gesamte Korpus Entwickler haben an dieser Stelle zwei
zeigt. Bedenken Sie, dass bashdb nach von "arbeiter" wird in einem Schritt ab- Möglichkeiten: Erstens können Sie die
dem Ende der Programmausführung gearbeitet. Die Kontrolle kehrt erst bei gewünschten Breakpoints nach dem Start
nicht terminiert – drücken Sie daher auf der Zeile "echo 'ende!'" zurück. der bashdb-Sitzung anlegen. Der Debug-
"q" und "Enter", um die Debugger-Maske ger kennt verschiedene Breakpoint-
letztendlich zu verlassen. Als Alternative bieten sich die Befehle Deklarationen, die das Ansprechen von
step und finish an. Dies ist eine Beson- Zeilennummern, Dateien und Funktions-
Stufenweise Analyse derheit von bashdb – Zeilen wie unsere namen ermöglichen. Beginnen wir mit
mit Exit-Option For-Schleife "for i in `seq 1 10`;" haben dem Setzen eines Breakpoints in der
Mit dem GNU Debugger aufgewachsene die unangenehme Eigenschaft, aus meh- Funktion "arbeiter":
Entwickler wissen, dass stufenweise vor- reren Statements zu bestehen. Mit dem
gehende Debugger eine vergleichsweise Befehl step weisen sie den Debugger an, 9: echo "los!"
komplexe Kommandozeile implementie- einen Schritt tiefer in ihr Programm zu bashdb<0> break arbeiter
ren, über die der Nutzer auch Informa- gehen. Jede Programmzeile wird dabei Breakpoint 1 set in file /home/tam-
tionen über die Inhalte der gerade gela- nur ein einziges Mal angesprungen: Im han/workspace/ITATest1/functest.sh
denen Variablen beziehen kann. Der Fall unserer Schleife wechseln Sie also , line 1.
momentan aktuelle Inhalt einer Variable
lässt sich beispielsweise über das Kom-
mando examine ausgeben, wenn Ihnen
der Variablenname bekannt ist:
bashdb<6> examine a
declare -- a="1234567890"
function arbeiter {
for i in `seq 1 10`; Bild 4: Regelmäßiges Eingeben von next führt beim Debugging
do mit Eclipse Schritt für Schritt durch das Programm.
entweder mit next agieren oder durch debugger ; : ; :" – wozu die beiden "toten"
bashdb in komfortabel
Eingabe von cont einen weiteren Durch- Semikolons erforderlich sind, ist gemäß
Microsofts Javascript-basierte Entwicklungs- lauf befehlen. Wenn Sie sich stattdessen Dokumentation wohl selbst den bashdb-
umgebung Visual Studio Code hat im Bereich für spezifische Änderungen von Variablen Autoren nicht ganz klar.
der Shellskript-Programmierung mittlerweile interessieren, sollten Sie Watchpoints nut-
massiv Anhänger gewonnen. Das unter [5] zen. Ihre Einrichtung erfolgt mittels Eine wichtige Bemerkung zum Schluss:
bereitstehende Plug-in ermöglicht die Inte- watch. Die Vorgehensweise ist analog zu Beachten Sie sowohl in bashdb als auch
gration in bashdb, was beim Vorhandensein klassischen Breakpoints. in Eclipse, dass ablaufende Bash-Skripte
eines GUI-Stacks Zeit und Nerven spart.
Shell-Skripte sind und bleiben. Löschen
Viel Code, viel Arbeit Sie also etwa während des Debuggings
Als Alternative dazu bieten sich die fol- Das permanente Neusetzen von Break- eine Datei, so lässt sich diese danach nicht
genden drei Statements an: points artet in Arbeit aus. Das von Py- wiederherstellen.
thonDB, Gdb und Co bekannte Save-
break 28 Kommando ist in bashdb nicht vorhanden. Fazit
Breakpoint 2 set in file parm.sh, Zur Umgehung des Problems legen wir Wer Fehler in Bash-Skripten von Hand
line 28. die Debugger-Anweisungen im Shell- sucht, verschwendet in Zeiten von Acht-
break parm.sh:29 Skript ab. Das ist auch deshalb vernünftig, kern-Workstations seine Zeit. Wer mit Shell-
Breakpoint 3 set in file parm.sh, weil die Ausführung eines Skripts inner- Skript arbeitet, sollte jedoch auf jeden Fall
line 29. halb des Debuggers mit einer wesentlichen einige Zeit in das Studium der Werkzeuge
break 28 if x==5 Verlangsamung einhergeht. Bei einem klei- investieren. Aufgrund der immensen Ver-
Breakpoint 4 set in file parm.sh, nen Skript ist dies irrelevant. Wer aber ei- breitung von Bash ist es im Rahmen eines
line 28. nen kompletten Compile-Vorgang analy- kürzeren Fachartikels allerdings nicht mög-
siert, leidet selbst auf schnellen Maschinen. lich, eine komplette Übersicht zum Debug-
Statement Nummer eins setzt einen ging zu bieten. Für weitere Information ma-
Breakpoint in der angegebenen Zeile der Hierzu müssen Sie im ersten Schritt die chen Sie etwa auf Seiten wie "stackover-
gerade geöffneten Datei. Statement zwei Datei "bashdb-trace" laden. Der hier ab- flow.com" mit dem Suchbegriff "shell script
demonstriert das Ansprechen "ferner" gedruckte Pfad stimmt auf der Worksta- debugger" eine Vielzahl von Diskussionen
Dateien – leider ist es hier nicht möglich, tion des Autors, könnte auf Ihrer Maschi- zu diversen Methoden ausfindig. (ln)
Funktionsnamen anzugeben. ne aber anders ausfallen:
Link-Codes
Zu guter Letzt gibt es noch konditionale source /usr/share/bashdb/bashdb-trace
[1] Eclipse IDE for Java Developers
Breakpoints. Es handelt sich dabei um eine
I5Z51
spezielle Art von Unterbrechung, die nur function arbeiter {
[2] Eclipse Shell Script (DLTK)
dann aktiviert wird, wenn ihre Bedingung . . .
I5Z52
erfüllt ist. In allen Fällen erfolgt das Lau- }
[3] Debugger BashEclipse
fenlassen eines mit Breakpoints versehe- I5Z53
nen Programms durch Eingabe von cont: echo "los!"
[4] Sourceforge ShellEd-Projekt
arbeiter I5Z54
bashdb<1> cont _Dbg_debugger ; : ; :
[5] Debugging with the BASH debugger
echo "ende!" I5Z55
Nach der Eingabe von cont läuft der Code [6] Visual Studio Code Bash Debug
so lange, bis bashdb die Aktivierung einer Das eigentliche Anwerfen des Debuggers I5Z56
Unterbrechung erkennt. Dann dürfen Sie erfolgt dann durch das Konstrukt "_Dbg_
Wie läuft's?
von Tim Schürmann
ippfehler in Konfigurationsdateien selbstständig auf jedem System an, führt mindestens Python 2.6 und dessen Pa-
T fallen nach Murphys Gesetz im- dort dann eine Reihe vorgegebener Tests ketmanager "pip" installiert sind. An-
mer erst im Betrieb auf – beispielsweise aus und liefert am Ende einen detaillier- schließend holen Sie mit folgendem Kom-
wenn die Datenbank aufgrund einer fal- ten Bericht. Dieser ist zudem nützlich, mando Testinfra hinzu:
schen Zeichenkodierung alle Umlaute um gegenüber Kunden oder Vorgesetzten
zerbröselt zurückliefert. Konfigurations- die ordnungsgemäße Konfiguration zu $ pip install testinfra
werkzeuge wie Ansible, Puppet, Chef und protokollieren.
Co. helfen hier nur bedingt, verlangen sie Im Fall von Python 3 müssen Sie gege-
doch vom Administrator komplex aufge- Allerdings gibt es ein paar kleine Haken: benenfalls "pip3" verwenden, für eine sys-
baute und somit ebenfalls fehleranfällige Testinfra basiert auf dem Test-Framework temweite Installation den Befehl zudem
Konfigurationsrezepte. Wer alternativ Do- Pytest, mit dem eigentlich Python-Pro- als Benutzer "root" absetzen beziehungs-
cker nutzt, greift gerne auf vorgefertigte grammierer ihre Software testen. Dieses weise via "sudo" aufrufen. In jedem Fall
Container-Images zurück, vorzugsweise Framework erweitert Testinfra in Form holt "pip" alle benötigten Abhängigkeiten
aus dem Docker Hub. Das Ergebnis ist eines Plug-ins um zusätzliche Fähigkeiten, hinzu, einschließlich Pytest. Für einen
dann häufig eine Black Box, von der man dank denen Pytest auch Serverkonfigu- ersten Test erstellen Sie eine neue Text-
nicht weiß, ob sie tatsächlich den eigenen rationen überprüft. Die einzelnen Tests datei namens "test_ssh.py" mit dem Inhalt
Anforderungen genügt. formulieren Administratoren dabei als aus Listing 1. Dieses Python-Skript findet
kleine Python-Skripte. Letztgenannte ver- heraus, ob auf dem zu prüfenden System
Lieber testen wenden zwar eine recht einfache Syntax, das Programm "ssh" verfügbar ist.
Insbesondere in produktiven Umgebun- sodass Sie für die ersten Gehversuche we-
gen kommt man somit nicht umhin, die der Python- noch Pytest-Kenntnisse be- Die erste Zeile definiert einen neuen Test
Konfiguration der gestarteten Systeme nötigen. Das volle Potenzial von Testinfra namens "test_ssh_is_available". Technisch
zu prüfen. Das sollte sicherheitshalber kann jedoch nur ausschöpfen, wer sich handelt es sich dabei um eine Python-
auch immer wieder im laufenden Betrieb mit der Skriptsprache und dem Test- Funktion, die Testinfra beziehungsweise
geschehen, etwa nach einem Neustart Framework auskennt. Darüber hinaus fo- Pytest später automatisch aufruft und
oder einer Konfigurationsänderung. Je kussiert sich Testinfra derzeit noch fast ausführt. Ihr Name muss mit "test" be-
mehr Systeme ein Administrator jonglie- vollständig auf Linux- und BSD-Systeme,
ren muss, desto schwieriger und aufwen- wenngleich auch eine rudimentäre Un- Listing 1: Einfache Prüfung
diger gestalten sich allerdings solche Tests. terstützung für Windows existiert. von SSH (test_ssh.py)
def test_ssh_is_available(host):
Glücklicherweise gibt es das kleine Test- Um Testinfra nutzen zu können, stellen assert host.exists("ssh")
werkzeug Testinfra [1]. Es meldet sich Sie zunächst sicher, dass auf Ihrem System
Entfernte Ausführung
Bislang hat Testinfra immer nur das Sys-
tem unter die Lupe genommen, auf dem
Sie es aufgerufen haben. In der Regel
möchte man jedoch externe Server tes-
ten. Die dazu notwendige Kommunika-
tion wickelt Testinfra über sogenannte
Back-Ends ab. Diese Komponenten bau-
en zunächst eine Verbindung auf und
führen dann auf dem entfernten System
die notwendigen Befehle remote aus. Je-
des Back-End kümmert sich dabei um
Bild 2: Hier hat Testinfra auf dem lokalen System drei Tests ausgeführt: MySQL ist installiert, eine konkrete Verbindungsart.
die Konfigurationsdatei ist an der richtigen Stelle und der Dienst läuft im Hintergrund.
Soll Testinfra via SSH auf die entfernten
ist ("mysql.is_enabled") und ob er derzeit Testinfra rekursiv aus, indem Sie einfach Server zugreifen, dürfen Administratoren
läuft ("mysql.is_running"). Die Bezeich- py.test -v aufrufen. zwischen zwei verschiedenen Back-Ends
nung des Dienstes entspricht unter Linux wählen: Testinfra kann die Verbindung
dem von Systemd beziehungsweise SysV- Sofern im Beispiel MySQL nicht läuft, er- mithilfe des Kommandozeilenprogramms
Init genutzten Namen. halten Sie eine Fehlermeldung. Wie Bild "ssh" aufbauen oder aber Paramiko ein-
3 zeigt, markiert Pytest dort zunächst die spannen. Letztgenanntes ist eine SSHv2-
Kapselungen fehlgeschlagene Zeile im Test-Skript mit Implementierung für Python und gleich-
Welche Prüfungen Sie in welchen Funk- einem ">". Darunter sehen Sie die Feh- zeitig die von den Testinfra-Entwicklern
tionen verstauen, bleibt prinzipiell Ihnen lerbeschreibung. Wenn sie Ihnen zu kryp- bevorzugte Variante [2]. In beiden Fällen
überlassen. Der in einer Funktion gekap- tisch erscheint, sollten Sie sie von unten kann Testinfra allerdings keine SSH-Pass-
selte Test gilt allerdings nur dann kom- nach oben durchgehen. In Bild 3 können wörter abfragen. Sie müssen folglich SSH
plett als bestanden, wenn in ihm alle mit Sie so ablesen, dass der Dienst "mysql" vorab so konfigurieren, dass Sie sich ohne
"assert" markierten Ausdrücke zutreffen. nicht läuft ("isrunning" ist "false"). Bei Passworteingabe auf dem entfernten Sys-
Läuft etwa im Beispiel aus Listing 2 der mehreren Fehlern werden die Meldungen tem anmelden können. Das gelingt ent-
MySQL-Server munter in der Version 5.6 oft ziemlich lang und unübersichtlich. weder über den Austausch von Schlüsseln
im Hintergrund, würde der komplette Hier hilft im Extremfall nur, die Ausgaben oder mithilfe des "ssh-agent". Sofern Sie
erste Test "test_mysql_is_installed" fehl- in eine Textdatei umzuleiten und dann eine Verbindung via Paramiko aufbauen
schlagen, da dieser explizit die Version in Ruhe Schritt für Schritt durchzugehen. wollen, holen Sie zunächst auf Ihrem Sys-
5.7 abfragt.
$ py.test -v --hosts=admin@
192.168.1.102:22 test_mysql.py
Fallensteller
von Thomas Bär und Frank-Michael Schlede
er für Betrieb und Pflege einer Un- kowski, der als Security Consultant bei So- $ sudo apt-get install python-dnspy-
W ternehmenswebseite zuständig ist, ny tätig ist, hat bereits vor mehr als zwei thon python-geoip python-whois \
kennt sicher die unterschiedlichsten Be- Jahren ein Python-Skript entwickelt, das python-requests python-ssdeep
schwerden und Notrufe seiner Nutzer, diese Arbeiten sehr schnell und zuverlässig python-cffi
dass eben diese Seite nicht erreichbar sei. ausführt. Er erläutert dazu auf seiner Web-
Häufig stellt sich dann heraus, dass die seite, dass ein Nutzer, der per Hand alle Das funktionierte auf unserer Plattform
Nutzer sich einfach vertippt haben. Das Varianten von "google.com" überprüfen ohne Probleme. So wurden alle zusätzli-
wird erst dann zum Problem, wenn eine wollte, dafür eine Anzahl von mehr als chen Pakete auf unserem System mittels
solche falsche Adresse auf eine Seite führt, 300.000 Anfragen benötigen würde und dieses Aufrufs nach einer Nachfrage des
die auf dem Rechner des Nutzers Schaden dass sich diese Zahl beispielsweise für Systems ebenfalls heruntergeladen und
verursacht, beispielsweise durch die In- facebook.com dann schon auf über fünf auch installiert. Das Skript arbeitete ohne
stallation von Malware. Millionen Anfragen erhöhen würde. Fehler mit der auf dem System standard-
mäßig installierten Python-Version 2.7.14
Noch schlimmer wird es, wenn beispiels- Ein guter Grund, diese Tätigkeit seinem zusammen. Der Entwickler weist explizit
weise Kunden auf die vermeintliche Web- Python-Skript "dnstwist" zu überlassen. darauf hin, dass dieses Skript alle Mög-
seite der Firma gelangen, es sich dabei je- Die Arbeitsweise dieses Skripts ist dabei lichkeiten erst dann entfalten kann, wenn
doch um eine böswillig angelegte Kopie recht einfach: Es bekommt einen Domä- die folgenden Python-Module ebenfalls
handelt, die den Nutzer bestenfalls nur ver- nennamen übergeben. Danach verwendet auf dem System installiert sind, was bei
wirrt oder ihm im schlimmsten Fall Schad- es diesen Namen, um Domänennamen unserer Installation automatisch geschah:
software installiert oder finanziellen Scha- mit unterschiedlichen, passenden Abwei- - A DNS toolkit for Python: Dieses Tool-
den zufügt. Deshalb kann es beispielsweise chungen und Veränderungen zu generie- kit unterstützt fast alle Record-Typen
für die IT-Mitarbeiter, die die Firmenweb- ren und zu überprüfen, die beispielsweise von DNS und kann sowohl für Abfra-
seite verantworten, sinnvoll sein, nach Do- für Phishing-Angriffe eingesetzt werden gen, Zone-Transfers als auch für dyna-
mänen mit ähnlichem Namen zu suchen. könnten. Im Anschluss kontrolliert das mische Updates eingesetzt werden.
Dann können sie überprüfen, ob diese Skript, ob diese Namen im DNS regis- - Python GeoIP: GeoIP-Datenbank der
eventuell gefährliche Inhalte verbreiten, triert sind, und zeigt an, auf welche IPv4- Firma MaxMind.
und die eigenen Nutzer davor warnen. oder auch IPv6-Adresse sie verweisen. - Python WHOIS: Python-Modul/Bi-
bliothek, mit deren Hilfe WHOIS-In-
Automatische Namensfindung Wir haben dnstwist auf einem Ubuntu- formationen von Domänen abgefragt
Natürlich ist es nun möglich, per Hand die System 17.10 (64-Bit-Version) installiert. werden können.
verschiedenen Kombinationsmöglichkeiten Das System lief virtualisiert unter VM- - Requests: HTTP for Humans: Eine Apa-
eines Domänen-Namens durchzuprobie- ware-Workstation. Laut Angaben auf der che2-lizenzierte HTTP-Bibliothek, ge-
ren. Das ist nicht nur umständlich, sondern GitHub-Seite zu dieser Open-Source- schrieben in Python, für das vereinfach-
dauert auch definitiv lange und ist fehler- Software kann das Skript ab der Ubun- te Arbeiten mit HTTP/1.1 in Python.
anfällig. Eine solche Aufgabe kann und tu-Version 15.04 mit folgendem Aufruf - ssdeep Python wrapper: Ein Python-
sollte automatisiert werden. Marcin Uli- auf das System gebracht werden: Wrapper für ssdeep. Diese Bibliothek
Wär' doch
gelacht
von Oliver Frommel
Das Boto-Modul hilft dabei, Ressourcen in der Amazon-Cloud mit Python zu managen. Dieser Artikel
gibt eine Einführung in die Programmierung mit dem offiziell von Amazon unterstützten Modul.
m in der Amazon-Cloud mal eben wie die ausführliche Dokumentation un- dem S3-Storage-Dienst anstellen, der nur
U eine VM zu starten, genügt die ter [2] belegt. über einen globalen Namespace verfügt,
webbasierte AWS Console. Wer aber seine weshalb man sich nicht um Regionen und
Clouddienste automatisieren möchte, Installiert ist das Framework mit den Availability Zones kümmern muss:
kommt kaum an einem etwas ausgefeil- üblichen Python-Paketmechanismen
teren Tool oder einer skriptgesteuerten schnell. Es genügt ein Aufruf des Paket- import boto3
Lösung vorbei. Um Letzteres soll es in managers "pip", eventuell zur Vergabe s3res = boto3.resource('s3')
diesem Artikel gehen. Das Tool respektive der passenden Rechte noch mit "sudo" for bucket in s3res.buckets.all():
Framework der Wahl ist Boto [1] (be- gekoppelt: print(bucket.name)
nannt nach dem Amazonas-Flussdelfin),
eine Sammlung von Python-Modulen, $ sudo -H pip install boto3 Dieses Beispiel geht von Python 3 und
die ursprünglich von Mitchell Garnett ge- der darin enthaltenen Print-Funktion aus.
schrieben wurde, der später bei Amazon Wer auf seinem System neben Python 2 Wer Python 2 einsetzt, kann die Print-
angestellt war. auch Version 3 betreibt, kann den ent- Funktion über die Anweisung "from __fu-
sprechenden Paketmanager mit pip3 ... ture__ import print_function" als erste
In der Zwischenzeit wurde Boto einmal aufrufen. Am allerbesten ist es natürlich, Zeile des Skripts importieren, dann funk-
gründlich von Grund auf umgeschrieben für sein Projekt mit "virtualenv" ein eige- tioniert es mit beiden Python-Versionen.
und wird nun als Boto3 auch von Ama- nes Verzeichnis anzulegen, in das die be-
zon unterstützt und gepflegt. Das bringt nötigten Module lokal installiert werden. Während der Namespace von S3 global
den Vorteil, dass Amazon sich darum ist, sind einzelne Buckets dennoch in be-
kümmert, dass alle der nicht gerade we- Nach der Installation von Boto3 steht der stimmten Regionen angesiedelt – irgend-
nigen angebotenen AWS-Dienste von komplette Funktionsumfang in eigenen wo müssen die Daten ja schließlich liegen.
dem Framework unterstützt werden. Der- Python-Skripten zur Verfügung. Ein ein- Wo das ist, finden Sie mit dem folgenden
zeit sind dies weit mehr als 100 Services, facher Test lässt sich beispielsweise mit Aufruf heraus:
Außerdem müssen Sie dem Python- seln, ist, sie in eine JSON-Datenstruktur
Listing 1: Security Groups
Skript noch mitteilen, dass es die Zerti- zu wandeln und dann mit dem Tool "jq"
fikatsliste verwenden soll, die das mitm- weiterzuverarbeiten. Ein JSON-Modul, from __future__ import print_function
proxy-Zertifikat enthält. Dies geschieht das Sie mit import json importieren, liefert import boto3
import json
über eine Umgebungsvariable, die Sie in Python bereits mit. Mit einem einzigen import sys
einem Python-Skript so setzen: Aufruf wandeln Sie ein Dictionary in
JSON um: ec2client = boto3.client('ec2',
region_name='us-east-1')
os.environ['REQUESTS_CA_BUNDLE'] =
groups = ec2client.describe_security_groups()
os.path.join('/etc/ssl/certs/', j = json.dumps(groups) print(json.dumps(groups))
'ca-certificates.crt')
Mit der "dumps"-Methode liefert das Mo-
Nun können Sie sich im mitmproxy-Fens- dul einen String zurück. Alternativ ver- Mit dem folgenden Aufruf von JQ iterie-
ter die Requests und die Antworten von wenden Sie "dump", dem Sie einen File- ren Sie über die als Liste gespeicherten
Amazon ansehen (Bild 1). deskriptor übergeben, zum Beispiel die "SecurityGroups" und geben dabei zu je-
Standardausgabe Stdout: der den GroupName aus:
An dieser Stelle noch ein Wort zu den in
Boto3 verwendeten Client- und Resour- json.dump(groups, sys.stdout) $ python3 sg.py | jq '.Security-
ceklassen: Vermutlich aus historischen Groups[].GroupName'
Gründen sind manche Funktionen als JQ verschönert und
Methoden der Clientklasse, andere aber durchsucht JSON Um das Layout der Ausgabe selber zu be-
als Methoden der jeweiligen Resource- In jedem Fall können Sie die JSON-Aus- stimmen, verwenden Sie die sogenannte
Klasse implementiert (etwa oben die S3- gabe mit JQ weiterverarbeiten, etwa um String Interpolation, die JQ bietet. Dabei
Resource). Die Clientfunktionen sind eher an einen in der tief verschachtelten Struk- wird jede Variable mit einem Backslash
low-level, während die Resourcen kom- tur versteckten Wert zu gelangen oder und zwei Klammern umschlossen. Der
fortablere Funktionen zum Umgang mit sich die Ausgabe formatiert und farblich Rest des Strings wird so dargestellt wie
AWS bieten. Als Beispiel sei EC2 genannt, markiert auszugeben (Bild 2). Der Code angegeben:
bei dem die Resource verschiedene Me- in Listing 1 liest die vorhandenen Security
thoden zum Erzeugen von Instanzen, Groups einer Region aus. Auch hier be- $ python3 sg.py | jq '.Security-
Netzwerken, Volumes und so weiter bie- kommt der Boto-Client die Region als Groups[] | "\(.GroupName):
tet. Zum Beenden einer Instanz müssen Keyword-Argument übergeben. \(.GroupId)"'
Sie aber den EC2-Client und "default: sg-0cba197b"
dessen Methode "terminate_in- "default_elb_3966756d-9722-
stances" verwenden. 3604-a7aa-aeb3277e84a3: sg-
3f65ff48"
Im Zweifelsfall müssen Sie in "launch-wizard-1: sg-
der Dokumentation nachsehen 7f4af20b"
und die entsprechende Klasse
instanziieren, die die gewünsch- Bei der Verarbeitung per JQ be-
te Funktion bietet. Die Kon- finden Sie sich natürlich dann
struktoren beider Klassen erlau- auf Shell-Ebene, was in Ord-
ben es, eine AWS-Region als nung ist, wenn Sie am Ende ei-
Parameter anzugeben, um eine nes Skripts Daten ausgeben, die
andere als die konfigurierte Sie sich anschauen oder mit ei-
Default-Region zu verwenden: nem anderen Skript weiterver-
arbeiten wollen. Weniger sinn-
ec2client = voll ist der Einsatz von JQ,
boto3.client('ec2', regi- wenn Sie innerhalb des Skripts
on_name='us-east-1') die Daten verarbeiten möchten.
Wenn Sie nun etwa eine Security Group Autoscaling Group entsprechend anzu-
Listing 2: Instanzen und
mit der Methode "delete_security_group" passen. Ein entsprechendes Skript ist in
Autoscaling Groups
löschen möchten, kann es sein, dass Sie Listing 2 zu sehen.
from __future__ import print_function mit einer Fehlermeldung wie der folgen-
import boto3
den konfrontiert werden: Besser warten
asclient = boto3.client('autoscaling', regi- Da viele Ressourcentypen in Amazon
on_name='us-east-1') >> ec2client.delete_security_group nicht unmittelbar nach dem Erzeugen be-
ec2client = boto3.client('ec2',
(GroupID='sg-29b81b5e') reitstehen, beispielsweise Instanzen, bietet
region_name='us-east-1')
... Boto3 noch einen Mechanismus, um auf
for i in asclient.describe_auto_scaling_in- botocore.exceptions.ClientError: An diesen Zeitpunkt zu warten, die soge-
stances()['AutoScalingInstances']: error occurred (DependencyViolati- nannten Waiter. Wenn Sie beispielsweise
print(i['InstanceId'], i['AutoScaling-
GroupName'])
on) when calling the DeleteSecuri- eine EC2-Instanz starten, können Sie ei-
instanceid = i['InstanceId'] tyGroup operation: resource sg- nen Waiter verwenden, der den Ablauf
asgroupname = i['AutoScalingGroupName'] 29b81b5e has a dependent object stoppt, bis die Instanz den Zustand "run-
response =
asclient.update_auto_scaling_group(Auto-
ning" erreicht hat:
ScalingGroupName=asgroupname, MinSize=0) Der Grund dafür ist, dass das zu löschen-
if response is not None: de Objekt noch in einem anderen Objekt instance.wait_until_running()
print(response)
als Referenz vorkommt. Bevor dieser Ver-
response = asclient.detach_instances(In- weis nicht gelöscht ist, dürfen Sie das Ob- Ein weiteres Beispiel ist der LoadBalan-
stanceIds=[instanceid], AutoScalingGroup- jekt nicht löschen. Im Fall von Security cer-Service, dessen verfügbare Waiter Sie
Name=asgroupname, ShouldDecrementDesired- Groups können Sie zur Lösung des Pro- mit dem Attribut "waiter_names" in Er-
Capacity=True)
if response is not None:
blems alle Security Groups durchgehen fahrung bringen:
print(response) und in den "UserIdGroupPairs" nachse-
hen, ob das fragliche Objekt vorhanden elbclient = boto3.client('elbv2',
ec2client.terminate_instances(Instan-
ist. Wenn ja, löschen Sie die Referenz, da- region_name='us-east-1')
ceIds=[instanceid])
nach dürfen Sie auch das Objekt löschen, print elbclient.waiter_names
auf das verwiesen wird. ['load_balancer_available',
for g in 'load_balancer_exists', 'load_ba-
asclient.describe_auto_scaling_groups()['A
utoScalingGroups']:
Autoscaling Groups lancers_deleted', 'target_deregis-
asgroupname = g['AutoScalingGroupName'] Ein ähnliches Beispiel sind die Autosca- tered', 'target_in_service']
asclient.delete_auto_scaling_group(Auto- ling Groups (AG), die dafür sorgen, dass
ScalingGroupName=asgroupname)
bestimmte EC2-Instanzen laufen. Häufig Damit können Sie im eigenen Code war-
print(g['AutoScalingGroupName'])
werden nämlich EC2-Instanzen nicht ten, bis der "loadbalancer_available" ist.
von Hand gestartet, sondern es gibt Au-
sprache für JSON analog zu XPath für toscaling Groups, über die Anwender Fazit
XML implementieren, etwa "jsonpath- deklarativ bestimmen, dass bestimmte Boto3 ist ein umfangreiches Python-Mo-
ng". Ansonsten iterieren Sie wie üblich Ressourcen vorhanden sein müssen, dul, mit dem sich sämtliche Aspekte der
über die Liste und können dabei die während die Umsetzung dann automa- AWS-Cloud per Skript steuern lassen. Die
Werte ausgeben: tisch geschieht. Komplexität hat aber ihren Preis und
nicht immer ist eine Standard-Aufgabe
for g in groups['SecurityGroups']: Dies hat zur Folge, dass es sinnlos ist, so einfach zu erledigen, wie es sein könn-
print(g['GroupName'], g['Grou- solcherart gestartete Instanzen manuell te. Hier könnte Amazon sicher noch ein-
pId']) zu löschen, denn Sie werden von AWS fachere APIs bereitstellen, die es ermög-
immer wieder neu gestartet, um die An- lichen komplexere Dinge mit weniger
Filter reduzieren Resultate forderungen der AG zu erfüllen. In die- Zeilen Code zu erledigen.
Darüber hinaus unterstützen viele Boto- sem Fall sind zum Beenden einer In-
Methoden auch Filter, die es ermöglichen, stanz die entsprechenden Autoscaling Link-Codes
Einschränkungen der gefragten Daten be- Groups zu aktualisieren. Die entspre-
reits auf dem Server anzuwenden und so- chende Methode "detach_instances" [1] Boto3 auf Github
I5Z71
mit die übertragenen Datenmengen zu zum Herauslösen einer Instanz aus der
[2] Boto3-Dokumentation
reduzieren, zum Beispiel hier bei der Su- AG besitzt einen weiteren Parameter na-
I5Z72
che nach laufenden AWS-Instanzen: mens "ShouldDecrementDesiredCapa-
[3] smart_open
city", der dafür sorgt, dass anstelle der
I5Z73
result = ec2.instances.filter(Fil- Instanz nicht eine neue gestartet wird.
[4] mitmproxy
ters=[{'Name': 'instance-state-na- Darüber hinaus ist es, je nach Konfigu- I5Z74
me', 'Values': ['running']}]) ration, noch nötig, die "MinSize" der
Besser informiert:
Mehr Fachartikel auf
www.it-administrator.de
Unser Internetauftritt versorgt Sie jede
Woche mit neuen interessanten Fachartikeln.
Als Heftleser können Sie über die Eingabe des Link-Codes
schon jetzt exklusiv auf alle Onlinebeiträge zugreifen.
Automatisierung Troubleshooting in
mit der PowerShell virtualisierten Umgebungen
Administratoren wenden einen großen Teil Fehlerbehebung gehört zu den elementarsten
Mit SIEM die
ihrer Arbeit für stets wiederkehrende Anwen- Techniken, die IT-Profis beherrschen sollten.
Multi Cloud überwachen
dungsfälle auf. Durch die Automatisierung Dennoch wird sie oft übersehen. Grund dafür
von Aufgaben und eine Delegation von Tätig- ist meistens Zeitmangel, denn Troubleshoo- Sicherheit ist ein Dauerthema und bei der
keiten lässt sich viel Zeit sparen. Der Online- ting – besonders in einer virtualisierten Infra- Multi Cloud keine einfache Angelegenheit.
Workshop schildert Herausforderungen und struktur – ist angesichts der Vielzahl der Ein System für Security Information and Event
Erfahrungen beim Umgang mit der Power- betroffenen Elemente und der zahlreichen Management (SIEM) hilft dabei, ungewöhnli-
Shell und erklärt anhand eines Beispiels, wie Abstraktionsebenen besonders zeitaufwän- chen Datenverkehr und damit potenzielle
Administratoren vom Cmdlet über das Skript dig. Der Fachartikel auf unserer Webseite Sicherheitsvorfälle aufzudecken. Es analysiert
zu einer Vorgangsautomation gelangen. Da- geht auf die größten Herausforderungen bei alle Datenströme im Netzwerk und triggert
bei gehen wir auch auf eine mögliche Sicher- der Fehlerbehebung in virtualisierten Umge- einen Alarm, wenn Anomalien auftreten.
heitsarchitektur für die PowerShell in auto- bungen ein und gibt Tipps, wie sich IT-Exper- Der Onlinebeitrag zeigt, wie definierte Use
matisierten IT-Prozessen ein. ten besser vorbereiten können. Cases und eine angepasste Informationsbasis
Link-Code: I5W51 Link-Code: I5W52 an Log-Quellen für einen zielführenden
SIEM-Einsatz innerhalb von Multi-Cloud-
Umgebungen sorgen.
Link-Code: I5W53
08.05.2018 IT Security mit Active Directory München nur noch wenige Plätze TIWG1
06.-08.06.2018 Intensiv-Seminar PowerShell für Admins Hamburg nur noch wenige Plätze TIWI2
Der IT-Administrator bietet seinen Abonnenten regelmäßig Haben Sie Fragen zu unseren
kostenfreie Workshops sowie einzelne Trainingstage und Trainings, Intensiv-Seminaren
mehrtägige Intensiv-Seminare zu attraktiven Konditionen. oder Workshops?
Vergittert
von John Pardey
ie wichtigsten Verschlüsselungs- dass sich die Sicherheit eines Verschlüsse- Eine Verschlüsselung auf Basis solch eines
D standards im Internet verwenden lungsalgorithmus nicht mathematisch be- Gitters halten Forscher weltweit derzeit für
asymmetrische Kryptografie auf der Basis weisen lässt. Hält eine Verschlüsselung also stark genug gegen einen Quantencomputer.
von RSA. So lässt sich beispielsweise ein klassischen Angriffsverfahren stand, ist da- Genau genommen nehmen sie es nur "stark
Verschlüsselungsschema mit öffentlichen durch keine Aussage über ihren Wert ge- an", denn beweisen lässt sich dies, wie er-
Schlüsseln realisieren, mit dem eine ver- genüber einem Quantencomputer bekannt wähnt, nicht ohne einen ausreichend star-
schlüsselte E-Mail-Nachricht gesendet – es sei denn, der Forscher hat selbst Zugriff ken Quantencomputer.
werden kann, ohne dass zuvor ein sym- auf einen derartigen Rechner.
metrischer Schlüssel ausgetauscht werden Weitere Nutzen der Gitter
muss – der öffentliche Schlüssel des Emp- Gitter sollen uns abschirmen Zwar lässt sich aktuell noch nicht sagen,
fängers reicht aus. Ein weiteres Einsatz- Forscher arbeiten weltweit an einer ganzen ob die gitterbasierte Kryptografie oder
gebiet sind digitale Signaturen für Daten. Reihe neuer Verschlüsselungsverfahren ein anderer Ansatz unser zukünftiges Ver-
Seit der Arbeit von Peter Shor aus dem für die anstehende Ära des Quantencom- fahren ist, wenn wir Daten sicher trans-
Jahr 1994 ist allerdings bekannt, dass RSA puters. Wir wollen uns in diesem Artikel portieren wollen. Doch das Gitter kommt
gegenüber Angriffen von Quantencom- eines davon näher ansehen, die "gitterba- mit zwei weiteren attraktiven Features
putern anfällig ist. Shors Algorithmus, sierte Kryptografie" (Lattice-based Cryp- daher: Zum einen deuten Forschungser-
ausgeführt auf einem Quantencomputer, tography). Diese hat beispielsweise IBM gebnisse darauf hin, dass gitterbasierte
ermöglicht das Faktorisieren des öffent- als eines der führenden Forschungsunter- Kryptografie sogar weniger Ressourcen
lichen Schlüssels des RSA-Systems. Somit nehmen in Sachen Quantencomputer als benötigt als die heute gängigen Verfahren.
fällt die Sicherheit aller auf RSA (und ver- sein Mittel der Wahl auserkoren, wenn es Somit wäre diese Verschlüsselung sogar
gleichbaren Methoden) basierenden um zukünftige Sicherheit geht. Und Goo- ohne die Bedrohungen durch Quanten-
Schlüsselaustausch- und Signaturverfah- gle experimentierte damit schon 2016 im computer wirtschaftlich interessant. Da-
ren auf einen Wert nahe Null. Chrome-Browser. rüber hinaus bildet die Gitterbasierte
Kryptografie die Grundlage der "Fully
Das Problem im Problem Gitterbasierte Kryptografie fußt auf folgen- Homomorphic Encryption" (homomor-
Als Reaktion auf dieses über 20 Jahre alte dem mathematischen Problem: Stellen wir phe Verschlüsselung). Diese soll zukünftig
Problem haben sich im Laufe der Zeit zahl- uns ein Gitter vor, das an einer Stelle einen erlauben, dass Daten, selbst wenn sie ak-
reiche neue Verschlüsselungsalgorithmen Nullpunkt besitzt. Überall dort, wo sich tuell verarbeitet werden – etwa in einer
als mögliche Antwort positioniert. Doch zwei Linien kreuzen, liegen weitere Punkte, ERP-Anwendung –, nicht mehr ent-
neben der Herausforderung einer weltwei- die wir Kreuzungspunkte nennen. Frage: schlüsselt werden müssen.
ten Umstellung des genutzten Verschlüs- Welcher Kreuzungspunkt liegt am nächsten
selungsverfahrens zeigten sich die meisten beim Nullpunkt? Für ein zweidimensiona- Ob sich die gitterbasierte Kryptografie
der Ansätze als schlicht nicht sicher. Zudem les Gitter ist dieses Problem leicht zu lösen; letztendlich durchsetzt, bleibt offen. Ne-
verschlangen die meisten von ihnen zu viele auch in einem dreidimensionalen Gitter ben der Sicherheit wird insbesondere der
IT-Ressourcen und waren in der prakti- könnten wir die Antwort relativ schnell Ressourcenbedarf auf dem Prüfstand ste-
schen Anwendung daher zu langsam. finden. Aber je mehr Dimensionen hinzu- hen, denn das Verfahren muss sich bei-
kommen, desto schwieriger wird die Auf- spielsweise auch auf elektronischen Aus-
Ein grundlegendes Problem auf diesem Feld gabe. Und ab etwa 500 Dimensionen lässt weisen, in Smartcards und IoT-Geräten
bleibt zudem bis auf weiteres die Tatsache, sich das Problem nicht mehr effizient lösen. unterbringen lassen.
Impressum
Redaktion Produktion / Anzeigendisposition All-Inclusive Jahresabo ISSN So erreichen Sie den Leserservice
John Pardey (jp), Chefredakteur Lightrays: A. Skrzypnik, L. Mueller (incl. E-Paper Monatsausgaben, 2 Sonder- 1614-2888 Leserservice IT-Administrator
verantwortlich für den redaktionellen Inhalt dispo@it-administrator.de heften und Jahres-CD): € 188,00
Tel.: 089/4445408-88 All-Inclusive Studentenabo: € 120,50 Urheberrecht Stephan Orgel
john.pardey@it-administrator.de
Fax: 089/4445408-99 Auslandspreise: Alle in IT-Administrator erschienenen Bei- 65341 Eltville
Daniel Richey (dr), Stellv. Chefredakteur/CvD Titelbild: Jahresabo: € 150,- träge sind urheberrechtlich geschützt. Alle Tel.: 06123/9238-251
daniel.richey@it-administrator.de Andreas Skrzypnik Studentenabo: € 75,- Rechte, einschließlich Übersetzung, Zweit- Fax: 06123/9238-252
Jahresabo mit Jahres-CD: € 163,50 verwertung, Lizenzierung vorbehalten. Re-
Druck E-Mail: leserservice@it-administrator.de
Oliver Frommel (of), Leitender Redakteur Studentenabo mit Jahres-CD: € 88,50 produktionen und Verbreitung, gleich wel-
oliver.frommel@it-administrator.de Brühlsche Universitätsdruckerei All-Inclusive Jahresabo: € 203,00 cher Art, ob auf digitalen oder analogen
GmbH & Co. Kg All-Inclusive Studentenabo: € 128,00 Bankverbindung für Abonnenten
Am Urnenfeld 12 Medien, nur mit schriftlicher Genehmigung
Lars Nitsch (ln), Redakteur/Textchef E-Paper-Einzelheftpreis: € 8,99 des Verlags. Aus der Veröffentlichung kann Kontoinhaber: Vertriebsunion Meynen
lars.nitsch@it-administrator.de 35396 Gießen
E-Paper-Jahresabo: € 99,- nicht geschlossen werden, dass die be- Postbank Dortmund
Vertrieb E-Paper-Studentenabo: € 49,50 schriebenen Lösungen oder verwendeten
Markus Heinemann, Schlussredakteur Anne Kathrin Heinemann Jahresabo-Kombi mit E-Paper: € 168,- IBAN: DE96440100460174966462
Bezeichnungen frei von gewerblichen
markus.heinemann@email.de Vertriebsleitung BIC: PBNKDEFFXXX
(Studentenabos nur gegen Vorlage einer Schutzrechten sind.
kathrin@it-administrator.de
Tel.: 089/4445408-20 gültigen Immatrikulationsbescheinigung)
Autoren dieser Ausgabe Haftung So erreichen Sie die Redaktion
Thomas Bär, Bruce Byfield, Abo- und Leserservice Alle Preise verstehen sich inklusive der Für den Fall, dass in IT-Administrator unzu-
gesetzlichen Mehrwertsteuer sowie Redaktion IT-Administrator
Ruud de Wildt, Tam Hanna, Jürgen Heyer, Vertriebsunion Meynen GmbH & Co. KG treffende Informationen oder in veröffent-
inklusive Versandkosten. lichten Programmen, Zeichnungen, Plänen Heinemann Verlag GmbH
Martin Kuppinger, Martin Loschwitz, Stephan Orgel
Dr. Holger Reibold, Thorsten Scherf, Große Hub 10 oder Diagrammen Fehler enthalten sein Leopoldstr. 87
Verlag / Herausgeber
Frank-Michael Schlede, Tim Schürmann, 65344 Eltville sollten, kommt eine Haftung nur bei gro- 80802 München
Heinemann Verlag GmbH
Dr. Holger Schwichtenberg, leserservice@it-administrator.de ber Fahrlässigkeit des Verlags oder seiner Tel.: 089/4445408-10
Tel.: 06123/9238-251 Leopoldstraße 87
Mitarbeiter in Betracht. Für unverlangt ein- Fax: 089/4445408-99
Torben Volkmann, Thomas Wiefel, 80802 München
Fax: 06123/9238-252 gesandte Manuskripte, Produkte oder
Matthias Wübbeling, Dennis Zimmer Tel.: 089/4445408-0 E-Mail: redaktion@it-administrator.de
Vertriebsbetreuung sonstige Waren übernimmt der Verlag
DPV GmbH Fax: 089/4445408-99 keine Haftung.
www.dpv.de (zugleich Anschrift aller Verantwortlichen) So erreichen Sie die Anzeigenabteilung
Anzeigen lange.guido@dpv.de Manuskripteinsendungen
Die Redaktion nimmt gerne Manuskripte Anzeigenverkauf IT-Administrator
Anne Kathrin Heinemann, Anzeigenleitung Web: www.heinemann-verlag.de
Erscheinungsweise an. Diese müssen frei von Rechten Dritter Anne Kathrin Heinemann
verantwortlich für den Anzeigenteil E-Mail: info@heinemann-verlag.de
monatlich sein. Mit der Einsendung gibt der Verfasser Heinemann Verlag GmbH
kathrin@it-administrator.de Eingetragen im Handelsregister des
Bezugspreise die Zustimmung zur Verwertung durch die Leopoldstr. 87
Tel.: 089/4445408-20 Amtsgerichts München unter
Einzelheftpreis: € 12,60 Heinemann Verlag GmbH. Sollten die Ma-
Es gilt die Anzeigen- HRB 151585. 80802 München
Inlandspreise: nuskripte Dritten ebenfalls zur Verwertung
preisliste Nr. 15 vom Jahresabo: € 135,- Geschäftsführung / Anteilsverhältnisse angeboten worden sein, so ist dies anzuge-
01.11.2017 Studentenabo: € 67,50 Geschäftsführende Gesellschafter zu ben. Die Redaktion behält sich vor, die Ma- Tel.: 089/4445408-20
Jahresabo mit Jahres-CD: € 148,50 gleichen Teilen sind Anne Kathrin nuskripte nach eigenem Ermessen zu bear- Fax: 089/4445408-99
Studentenabo mit Jahres-CD: € 81,00 und Matthias Heinemann. beiten. Honorare nach Vereinbarung. E-Mail: kathrin@it-administrator.de
INTEL, DAS INTEL-LOGO, INTEL INSIDE, INTEL CORE, UND CORE INSIDE SIND MARKEN DER INTEL CORPORATION ODER IHRER
TOCHTERGESELLSCHAFTEN IN DEN USA UND/ODER ANDEREN LÄNDERN.
H P E M P F I E H LT W I N D O W S 1 0 P R O .