Programm Freitag

Konferenz


09:00 - 17:00

Registration


C1 - 09:00 - 09:45

Ansible Module schreiben

Ansible ist ein etabliertes Werkzeug für Konfiguration und Orchestrierung von Servern per SSH. Ein Grund für seinen Erfolg ist die einfache Architektur, die eigene Anpassungen und Erweiterungen erleichtert.

Dieser Vortrag zeigt im Detail, wie Ansible-Module, d. h. einzelne Konfigurations-Aktionen, funktionieren und selbst geschrieben werden können: vom Funktionsaufruf über Parameterübergabe und Ergebnisrückgabe bis hin zu üblichen Konventionen.

Mit wenigen Standard-Mustern lassen sich damit auch eigene Systeme mit Ansible steuern, die nicht von der Standard-Bibliothek unterstützt werden.
D1 - 09:00 - 09:45

Smarthome

2018 habe ich ein altes Haus gekauft und renoviert. Natürlich standen hier auch Gedanken zum Smarthome an. Dieser Vortrag soll zeigen welche Technologien verwendet werden können. Einige Funkttechniken wie auf Z-Wave und Zigbee basis funktionieren auch in Mietwohnungen. Ein eigenes BUS Netz wie KNX lässt sich nur im Eigenheim verwirklichen. Die verschiedenen Inseln müssen zusammen gefügt werden. Dazu es eine Vielzahl an Open Source Lösungen wie Openhab2, FHEM, oder Home Assistant. Natürlich will man anschließend Statistiken in Grafana darstellen.

Der Weg zu einem echten Smarthome dauert lange. Ein Stück des Weges bin ich schon gegangen und kann den aktuellen Status vorstellen.

C2 - 09:45 - 10:30

Jerakia und Ansible

Jerakia, welches durch Hiera in Puppet inspiriert wurde, ist ein Dienst, welcher es erlaubt die Konfigurationsdaten und den Automatisierungs-Code zu trennen. Hierbei hat sich Jerakia über die Zeit zu einem Tool entwickelt, welches unabhängig vom präferierten Configuration Management Tool eingesetzt werden kann.

Jerakia kann als ""single point of truth"" für Konfigurationsdaten verwendet werden welcher via einer restful API genutzt werden kann. Gleichzeitig erlaubt das Konzept der ""lookup policies"" eine ""seperation of duty"" für die Konfigurationsdaten. Dadurch wird ermöglicht, dass die Daten von dem Team verwaltet werden, welches für ein System / eine Applikation verantwortlich ist. Hiermit einher wird die Sicherheit erhöht, da die entsprechenden Teams nur die Werte auf dem Ziel setzen können, für welche sie verantwortlich sind.

Da die Architektur von Jerakia ist sehr offen gestaltet ist, lässt sich die Funktionalität von Jerakia sehr einfach via Plugins erweitern. Dies erlaubt beispielsweise unterschiedliche Backends oder Filter zu verwenden oder auch Vault von Hashicorp als ""encryption as a service"" zu verwenden.

Die neuste Version von Jerakia bietet sogenannte ""keyless lookups"" welche eine einfache und effiziente Integration in Ansible per Modul erlaubt.

Die Präsentation soll zum einen einen generellen Überblick über die Funktionen von Jerakia bieten und zum anderen aufzeigen, wie sich Jerakia und Ansible gemeinsam verwenden lassen.
D2 - 09:45 - 10:30

Optimieren von sed

Wieder eine wahre und sehr aktuelle (erst wenige Wochen alte) Geschichte aus meinem Fundus vom Vortrag ""In fünf Jahren mit Shellskripten zum Kernel-Treiber für neue Hardware"" im letzten Jahr:

Ich habe seit Jahren ein nettes kleines sed-skript, welches unser SPI-Protokoll im Output eines Logic Analyzers ""Disassemblieren"" kann. Dies ging lange Zeit recht ordentlich, aber mit zunehmender Länge der Protokoll-Logs wurde die Performace immer unerträglicher. Wartezeiten von (*sehr*) vielen Minuten waren nicht mehr tragbar, das muss man doch schneller hin bekommen?!

Gezeigt und diskutiert werden u.a.
- verschiedene sed-Implementierungen
- Parallelisierung
- einfache Optimierungen der regexps und Überraschungen dabei
- und die finale Idee durch diese Überraschungen

Alle Ideen zusammen verbessern nun die Laufzeit um einen guten Faktor 100 und mehr und damit wieder auf ein sehr erträgliches Maß (bis zur nächsten Verlängerung der Messzeiten;-))

Dabei gibt es einiges zu lernen:
- wie man in einer pipe parallele Prozesse [leider nicht] verwenden kann
- einfache Gedanken zu 'guten/besseren' regexps (je nach Aufgabenstellung, versteht sich)
- was man sonst noch so bei 'grossen' Daten bedenken könnte...

10:30-11:00
  • Kaffeepause

C3 - 11:00 - 11:45

IT-Dokumentation - warum eigentlich?

Kleine Unternehmen brauchen sie nicht, mittlere Unternehmen brauchen sie nicht und die großen Unternehmen… naja, haben auch keine Zeit dafür. Die Dokumentation ist für die meisten ein leidiges Thema. Dabei gibt es viele gute Gründe, die dafür sprechen. Überraschenderweise sehr oft solche, die eigentlich immer dagegen verwendet werden, wie fehlende Zeit und zu hohe Kosten.

Warum ganz besonders Sie eine Dokumentation brauchen und welche Fragen Sie sich dabei in jedem Fall stellen sollten, wird Ihnen in diesem Vortrag beschrieben. Dabei werden Ihnen Denkweisen gezeigt, die Sie auch abseits einer Dokumentation, also wirklich ganz für sich selbst, nutzen können.
D3 - 11:00 - 11:45

Massenhafte Firmwareaktualisierungen

Und plötzlich ist er da, der Super GAU: Die Hersteller der CPUs rufen zu Firmwareaktualisierungen auf. Auf einer großen Virtualisierungs-Infrastruktur mischt sich in die Downtime Planung, die Kundenkommunikation und die normalen Vorbereitungen der Gedanke ein, wenn ohnehin ein Reboot erfolgen muss, kann doch gleich das Betriebssystem mit aktualisiert werden. Soweit alles täglicher Sysadmin Alltag. Doch wie vorgehen wenn die Zeit drängt und mehr als 500 Serversysteme betroffen sind?

Der Vortrag behandelt die unterschiedlichsten Ansätze, die in kürzester Zeit untersucht, getestet und auf dem Weg zur optimalen und fehlerfreien Massenaktualisierung größtenteils verworfen wurden. Dabei kommen viele Versuche von automatisierten Updates mittels verschiedener Tools wie atd, cron, ssh zur Sprache. Ein weiterer zentraler Punkt: Die eingesetzten Server von Dell und HPE müssen für die Behebung der CPU Bugs auch mit aktualisierter Firmware versehen werden. Der im Vortrag dargestellte Weg zeigt, wie unter Zeitdruck mittels einfachem Scripting und dem Einsatz von simplen Tools ein Zeitplan für die einzelnen Reboots, die Aktualisierung der Serverfirmware und nebenei auch noch eine Aktualisierung des eingesetzten Betriebssystems erfolgt. Wo zusätzlich kreatives und lösungsorientiertes Denken gefragt war, wird in Anekdoten von verschwundenen Netzwerkkarten erzählt. Auf Basis von vorhandenen und neuen APIs wird in kürzester Zeit die Möglichkeit geschaffen, den verschiedenen Anforderungen gerecht zu werden und eine voll automatisierte Lösung zu gestalten, die den manuellen Aufwand quasi gegen Null gehen lässt und vielen Admins die Angst vor Upgrades nimmt.

C4 - 11:45 - 12:30

Wie ist Dokumentation aufgebaut?

""What's wrong with documentation?""
There's a lot of assumptions on documentation around, ranging from its importance to the skills that are needed to write. Sales and Marketing people know they cannot sell products without documentation, but developers and managers often have a different view? In this presentation I will present the most common misconceptions about documentation, busting myths like ""everybody can write"" or ""documentation isn't techncical"", ""no one reads it anyhow"" and ""good software doesn't need documentation"". a short look on ""Agile Documentation"" and - since we're hiring - what a perfect documentation writer should look like.
D4 - 11:45 - 12:30

Munin-Langzeitmonitoring

"Munin ist ein Tool zur grafischen Visualisierung der unterschiedlichsten Parameters eines Rechnersystems. Der Schwerpunkt liegt hierbei vor allem in der Langzeitanalyse, z.B.
- wie hat sich das Antwortverhalten von Server X mit der neuen Version Y von Tool Z seit letzter Woche verändert?
- wie ist der Plattenplatz in den letzten 6 Monaten auf dem Fileserver angewachsen?
- wie lange reicht der Tonervorrat im Schrank?

Vorteil von Munin im Gegensatz zu anderen Tools wie z.B. Zabbix ist das sehr schnelle und einfache Deployment sowie die Erweiterbarkeit um beliebige Tests. Durch deren grafische Darstellung erhält man schnell Einblicke in die Systemzustände seiner Server und kann den Einfluss verschiedene Parameter miteinander korrelieren.

Im Vortrag wird die grundsätzliche Architektur von Munin gezeigt, sowie die Konfiguration von Server und Client. Ferner wird demonstriert wie man die vorhandene Plugins schnell und einfach um eigene selbstgeschriebene Scripte erweitert. Im Abschluss werden verschiedene Beispiele an echten Systemen gezeigt und die Erkenntnisse, die daraus abgeleitet worden sind. Dadurch lässt sich dann die Frage beantworten, ob z.B. mehr RAM oder CPU dem Server auf die Sprünge helfen würde oder aber auch, wann die Nutzer in die Mittagspause gehen.

12:30-13:30
  • Mittagspause

C5 - 13:30 -14:15

Hochverfügbarer Storage

Der Vortrag richtet sich an IT-Entscheider aber auch Systemingeniuere sowie Administratoren , die sich neuen Herausforderungen stellen müssen.

Der Speichermarkt verändert sich rapide. Hersteller und Fachhändler versuchen immer mehr Lösungen zu verkaufen ,die den Ertrag dienen und langfristige Kundenbindungen erzwingen.

Der Vortrag basiert auf Erfahrungsaustausch mit zahlreichen Herstellern , Betreibern , Endkunden sowie im eigenen RZ und gibt eine Design- Orientierungshilfe bei Themen wie

- Datensicherheit ( Speicherort/Zugriff/Authentifizierung)
- gesetzliche / hoheitliche Vorschrift (BaFin etc.)
- Hochverfügbarkeitsklassen
- Leistungsdaten ( I/O / Latenz )
- Anforderung der Applikationen (BigData/DB/SAP/Archiv)
- Speicherklassen Neuordung durch 3D-Xpoint, NAND, DRAM, SSD, SATA und SAS
- pro und kontra SDS / Storage-Appliances
D5 - 13:30 -14:15

AppArmor

Lerne in unter einer Stunde, AppArmor-Profile zu erstellen und zu pflegen!
AppArmor ist eine einfach zu benutzende Linux-Sicherheitssoftware, die Programmen nur das erlaubt, was sie laut ihrer Security Policy, genannt Profil, dürfen.

Der Vortrag erklärt den Einsatz von AppArmor in der Praxis. Gezeigt wird der Umgang mit den AppArmor-Tools zum Erstellen und Überarbeiten von Profilen. Auch die Syntax der Profile wird erklärt, falls jemand $EDITOR bevorzugt.

Neben den Grundlagen wird die komplette Absicherung eines typischen Webservers gezeigt. Außerdem werden ""kreative"" Einsatzmöglichkeiten von AppArmor vorgestellt, beispielsweise ein read-only root-Zugang fürs Backup und Debugging mit Hilfe von AppArmor.

C6 - 14:15 - 15:00

Persistant Memory

Folgt.
D6 - 14:15 - 15:00

Sichere Netzwerke mit pfSense

Firewalls und Sicherheit gehören zum IT-Alltag (oder sollten es zumindestens). Bei den Anfoderungen an eine solche Komponenten sollte man sich nicht nur auf die Internet Provider oder den Herstellernamen verlassen.

The pfSense Firewall ist eine high performance Firewall für den wachsenden Bedarf an diese wichtige Netzwerkkomponenten. Sie verfügt auch über weitere Funktionen wie VPNs, Ausfallsicherheit, Traffic Shapping oder IDS die sonst eher den teuren Enterprise Produkten vorbehalten sind.

Denn auch ohne umfangreiche Investitionen lassen sich viele unternehmenstypische Anforderungen auch für kleine Unternehmen oder den gehobenen Heimarbeitsplatz implementieren.

Dieser Vortrag soll die Basisinformationen aufzeigen und erläutern welche komplexeren Aufgaben ohne grosse Investitionen bewältigen werden können.

15:00 -15:30
  • Kaffeepause

C7 - 15:30 -16:15

Festplattenverschlüsselung

Das Verschlüsseln von Festplatten ist im Grunde ein alter Hut. LUKS Volumes werden mittlerweile standardmässig als Teil einer System Installation eingerichtet. Allerdings ist für das Entschlüsseln der Festplatte beim Systemstart die manuelle Angabe einer Passphrase notwendig um hiermit den eigentlichen Key, der zum Verschlüsseln der Daten verwendet wurde, freizuschalten. Mit dem Framework Clevis und Tang lässt sich dieser Schritt automatisieren. Tang ist ein Server der dafür sorgt, dass Daten beim Zugriff automatisch entschlüsselt werden können. Der Server erfordert kein TLS, da keine sensiblen Daten über das Netzwerk ausgetauscht werden. Anders als bei klassischen Escrow-Systemen speichert Tang keine Keys ab, die dann zum Entschlüsseln der Daten eingesetzt werden können. Stattdessen verwendet die Client-Komponente Clevis eine Methode auf Basis des McCallum-Relyea Algorithmus um den Key zum Entschlüsseln der Daten für den Recovery Vorgang erneut zu berechnen. Für diesen Vorgang kommen sogenannte PINs zum Einsatz. Hierbei handelt es sich um Plugins die sich um das automatische Entschlüsseln der Daten kümmern. Clevis unterstützt neben der Tang PIN ebenfalls auch noch TPM. Mit Hilfe des Shamir Secret Sharing Algorithmus lassen sich die einzelnen PINs auch kombinieren . Somit ist es beispielsweise möglich, die Daten nur dann entschlüsseln zu können, wenn die Festplatte Zugriff einen bestimmten TPM-Chip hat aber ebenfalls auch Zugriff auf den Tang-Server besitzt.

Weitere Details finden sich in den GitHub Repositories der beiden Komponenten:
https://github.com/latchset/clevis
https://github.com/latchset/tang
D7 - 15:30 - 16:15

EKCA - temporäre OpenSSH-Zertifikate

Folgt.
D7 - 16:15 - 17:00

Ceph-Module entwickeln

Ceph bietet eine Vielzahl von Schnittstellen zu anderen Systemen wie Monitoring oder Performance-Auswertung. Für jeden ist etwas dabei. Es kann aber vorkommen, dass doch nicht das gewünschte Modul/die gewünschte Funktion dabei sind, um z.B. ein System mit Performance Countern zu befüllen. In diesem Fall kommt ceph-mgr mit seinen Modulen ins Spiel. Dieser Vortrag zeigt an einem Praxisbeispiel, wie man auf Events eines Ceph-Clusters reagieren kann. Der Aufbau eines ceph-mgr Moduls wird erklärt und gezeigt, welche Daten zur Verfügung stehen.
D7 - 16:15 - 17:00

Webanwendungen gegen Bezahlsysteme

Bezahlmethoden im Internet sind im Wandel. Früher war Paypal ausnahmslos die Nr.1 fürs Bezahlen im Internet. Doch heutzutage bieten eine Vielzahl von Anbietern Sofortüberweisungen, Lastschriftverfahren, Kreditkartenzahlungen und Rechnungen an. Es ist auch kein Hexenwerk mehr diese in Webanwendungen zu integrieren. REST-APIs und Plugins für Shopsysteme vereinfachen die Handhabung enorm. In diesem Vortrag werden verschiedene Anbieter auf ihre Vor-und Nachteile aus der Praxis geprüft. Außerdem wird aufgezeigt, wie man mit Hilfe von Kryptowährungen wie Bitcoin auch ohne 3. Instanzen Zahlungen sicher und unverfälschbar abwickeln kann. Gerade im Bereich der Micropayments gibt es große Chancen für die Zukunft.
Warenkorb entfernt rückgängig
  • Warenkorb ist leer.