Nach einigem hin und her bin ich nun doch noch bei Facebook. Es gab ja in der Vergangenheit ehr magelhafte Möglichkeiten seine Privatspäre zu schützen, was zum Glück inzwischen behoben wurde. Wobei mich einige Funktionen an Google+ erinnern.
Screen, ein kleines Programm um mehrere virtuelle Terminals in einer bestehenden Sitzung zu starten ist gerade in Verbindung mit SSH sehr nützlich. Bricht zum Beispiel während der Installation von Updates die SSH Sitzung ab, läuft screen trotzdem weiter und kann nach dem Wiederaufbau der SSH Verbindung neu verbunden werden. Alle Prozesse innerhalb der screen Sitzung bzw. der im virtuellen VT100 Terminal gestarteten Shell laufen ohne Unterbrechung weiter.
Leider vergisst man meist bei Arbeiten “die mal schnell” erledigt werden sollten eine Screen-Sitzung z starten. Interessanterweise brechen auch genau dann immer die SSH Verbindungen ab. Murphy lässt grüßen 
. Also sollte man nicht lange nachdenken ob man eine screen-Sitzung startet sondern sollte es einfach nur tun . Und das am besten automatisch beim Anmelden über SSH.
Einige schreiben hier immer wieder sehr komplexe Scripte oder starten screen vom SSH Daemon. Ich persönlich finde das alles überflüssig. Eigentlich muss nur geprüft werden ob die Shell über SSH gestartet wurde und ob die aktuelle Shell gerade in einem Screen-Term läuft. Letzteres ist wichtig um keine Schleife zu verursachen.
Für screen selbst sollten noch die Parameter für UTF-8 (auf allen neueren Distributionen Standard) und das automatische Fortsetzen bereits bestehender Sitzungen hinzugefügt werden. Der Parameter x für MultiDisplay/MultiUser Mode ist auch ganz nützlich.
Soll doch mal eine Sitzung ohne screen gestartet werden, sollte dies ebenfalls berücksichtigt werden. Eine interessanterweise sehr einfache Methode (echo / sleep) habe ich neulich auf einer LAN-Party gesehen (Thx Outi) und auch gleich so übernommen.
Aber nun zum Script. Der folgende Code führt hinzugefügt an die bashrc des Benutzers (oder Systems) genau diese Schritte aus.
if [[ -e $SSH_TTY ]] && [[ $TERM != screen ]]; then
echo Starting or resuming screen session
echo Press CTRL+C to cancel screen startup
sleep 2
screen -UxR;
fi
Ich nutze seit einiger Zeit für weniger wichtige Dateien den Storage Provider Dropbox. Dieser bringt ein kleines Tool um Dateien mit dem Windows oder Linux PC zu Synchronisieren mit. Auch Smartphone Apps sind verfügbar. Allerdings vermisse ich seit einiger Zeit die Möglichkeit, einen Ordner auf einem Linux-Server automatisch im Hintergrund abzugleichen. Das ist zum Beispiel ganz nützlich um diesen Ordner auch per Samba (CIFS/SMB) oder NFS im lokalen Netz freizugeben.
Nun habe ich nach einiger Recherche im Netz eine Möglichkeit gefunden, Dropbox als Service einzurichten. Das ganze ist im Dropbox-Wiki sehr gut Dokumentiert.
Die dort verwendeten init Script verwenden allerdings Multiuser-Umgebungen. Auf einem Server ist es besser einen getrennten Benutzer anzulegen und Dropbox unter diesem zu starten. Der neue user dropbox mit dem Basedir /data/raid/dropbox soll dazu verwendet werden.Nach dem Anlegen des Benutzers muss der dropboxd einmalig unter diesem Benutzer gestartet und der Account aktiviert werden. Meine Anpassungen am Gentoo Script sehen wie folgt aus:
#!/sbin/runscript
# Copyright 1999-2004 Gentoo Foundation
# Distributed under the terms of the GNU General Public License, v2 or later
# $Header: /var/cvsroot/gentoo-x86/sys-fs/dropbox/files/dropbox.init-1.0,v 1.4 2007/04/04 13:35:25 cardoe Exp $
NICENESS=5
DROPBOX_USER="dropbox"
DROPBOX_HOME="/data/raid/dropbox"
DROPBOX_BINARY="/opt/dropbox/dropboxd"
DROPBOX_LOG="/var/log/dropbox_log"
DROPBOX_ERR="/var/log/dropbox_err"
depend() {
need localmount net
after bootmisc
}
start() {
ebegin "Starting dropbox..."
touch $DROPBOX_LOG
touch $DROPBOX_ERR
chown $DROPBOX_USER $DROPBOX_LOG $DROPBOX_ERR
start-stop-daemon -1 $DROPBOX_LOG -2 $DROPBOX_ERR -b -S -m --pidfile /var/run/dropbox.pid -o -N $NICENESS -u $DROPBOX_USER -v -e HOME=$DROPBOX_HOME -x $DROPBOX_BINARY
eend $?
}
stop() {
ebegin "Stopping dropbox..."
start-stop-daemon --stop --pidfile /var/run/dropbox.pid
eend $?
}
status() {
if [ -e /var/run/dropbox.pid ] ; then
echo "dropboxd running."
else
echo "dropboxd not running."
fi
eend $?
}
Mit dem NL37 MicroServer bietet HP einen sehr kompakten und dennoch gut Ausgestatteten Server. Das System kann mit bit zu 8 GB ECC-Ram ausgestattet werden, verfügt über 4 SATA II Einschübe und einen DualCore AMD Athlon II NEO Prozessor mit 1.3 Ghz. Die Leistung reicht problemlos für einen Windows Server 208R2 um die Rollen RODC, Dateiserver, Druckserver und BrancheCache für kleine Standorte bis 20 Personen anzubieten.
Zum Gehäuse:
Das sehr gut gelungene massive Gehäuse ist sehr schnell zu öffnen. Die 4 HDD Einschübe befinden sich hinter einer abschließbaren Fronttür, das passende Werkzeug zum Einbau der Festplatten in die Rahmen fehlt leider genau wie die nötigen Schrauben zum befestigen der Festplatten. Standard Sekkopf-Kreuzschlitzschrauben für Festplatten passen glücklicherweise in die vorgesehenen Bohrungen. Um den Speicher zu erweitern muss das Mainboard aus dem Gehäuse herausgenommen werden. Das unter den Festplatteneinschüben liegende Board befindet sich auf einem Schlitten. Zum Herausziehen sind lediglich 2 Schrauben und einige Stecker zu lösen. Nicht gerade der Komfort eines DL380, aber bei diesen Gehäuseabmessungen immer noch relativ komfortabel gelöst. Das System kommt ohne optisches Laufwerk. Über den Festplatten und der Frontklappe befindet sich ein 5 1/4″ Laufwerksschacht mit vorbereiteter S-ATA Verkabelung.Ein Band oder optisches Laufwerk ist hier durch öffnen der oberen Abdeckung schnell eingebaut. Um unerwünschtes Öffnen dieser Abdeckung zu verhindern, kann ein Schloss an der Rückseite angebracht werden. Ausgestattet mit 2x 2TB Enterprise HDD´s wiegt der Server ohne optisches Laufwerk knapp 5 Kg.
Leistung unter Windows Server 2008R2
Direkt nach der Installation können alle Komponenten mit Standardtreibern angesprochen werden. Es empfiehlt sich aber unbedingt den Grafik-/ Netzwerk-karten Treiber zu installieren. Um Datenredundanz zu schaffen sollte auf Windows Bordmittel zurückgegriffen werden. Der interne Controller realisiert das RAID auch nur über die CPU, allerdings ohne Wissen des Betriebssystems. Bei solchen “Soft-RAID” Treibern sollte immer auf die Betriebssystem Funktionen zurückgegriffen werden. Nach Abschluss der Erstsynchronisierung schreibt das System durchschnittlich 80MB/s auf die Datenträger. Das integrierte Gigabit LAN kann damit zwar nicht gesättigt aber immerhin sehr gut Ausgelastet werden.
Serverrollen/Konfiguration
Um einen Server an einem unsicherem Standort aufzustellen, sollte in jedem Fall ein getrenntes Subnet der Größe /24 oder /25 in einer neuen ActiveDirectory Site angelegt werden. Alle Kommunikation von und zu diesem Standort sollten dann IPSec verschlüsselt werden. Um den Standort an den Firmensitz anzubinden, empfiehlt sich ein getrennter L2 VPN-Router. Damit wird eine 2-Faktor Verbindungsverschlüsselung erreicht. Über diese Verbindung dürfen dann ausschließlich IKE und ESP Pakete der IPSec Verbindungen zugelassen werden. Um die Inhalte der Festplatten zu schützen sollte unbedingt EFS aktiviert werden. Somit sind alle nicht Domänenmitglieder aus dem Netzwerk und dem Dateizugriff ausgeschlossen. Der Server selbst wird als RODC konfiguriert. Ein lokaler DNS Server sowie globaler Katalog stellen die Anmeldefunktionen bei fehlender Netzwerkverbindung sicher. Allerdings sollten auf gar keinen Fall Kennwörter Administrativer Konten an den Standort repliziert werden. Eine Anmeldung am Server mit Administrativen Rechten ist so nur möglich wenn die IPSec Verbindung zum Hauptsitz steht. Um Druckfunktionen zur Verfügung zu stellen, empfiehlt sich zusätzlich die Rolle “Druck und Dokumentendienste”. Auch die Rolle “DHCP-Server” ist nützlich. Zum sichern und abgleichen der Daten kann eine DFS-Replikationsgruppe eingerichtet werden. Somit sind immer alle Daten an mindestens 2 Standorten verfügbar.
Fazit:
Der kleine Server bietet neue Möglichkeiten um kleine Firmenstandorte, Baustellen oder ähnliches mit Servern auszustatten. In Verbindung mit einem L2 VPN-Router (z.B. Cisco oder Astaro) lässt sich der komplette Netzwerkverkehr so absichern, dass selbst ein Sniffer an einem Monitor-Port kein Risiko darstellt. Dank RODC und EFS sind auch die Daten und Benutzerkonten relativ sicher. Der Nutzen eines solchen Servers übersteigt auf jeden Fall das Restrisiko. Alternativ müssten alle Anwender ihre Daten lokal verwalten, fällt eine Festplatte aus ist alles weg. Truecrypt usw. bringen auch nicht viel wenn die Daten per SMB Freigabe zwischen den Systemen kopiert werden. Dank des Server kann die Kommunikation mit IPSec und Kerberos abgesichert werden und Mitarbeitern an Remote Standorten eine sichere Zusammenarbeit im Netzwerk ermöglicht werden.
In der IT ist die Verwaltung der Infrastruktur, Bezüge der Komponenten, Standorte und sonstigen Abhängigkeiten schon immer ein Problem. Je nachdem aus welchem Blichwinkel das Problem betrachtet wird entstehen neue Probleme. Und hier versucht die CMDB des aktuellen ITIL-Modells anzusetzen. Elemente, ob Kontakte, Computer, Standorte oder sogar Kabel und Stecker werden als logische Elemente in einer Datenbank abgebildet. Der sogenannten Configuration Management Data Base. Diese Elemente, oder Configuration Items (CI´s) genannt, bilden, im Bezug zueinander angeordnet, die logische IT-Struktur der Firma ab. Elemente können nach ITIL nicht einfach gelöscht werden, sondern gehen in einen anderen Status über. Wird zum Beispiel ein neues System geliefert, geht es vom Status Bestellt zu geliefert, in Betrieb zu Ausgemustert und schließlich zu verschrottet. Je nach Art des CI´s kann der Lebenszyklus verschiedener Elemente sehr gut abgebildet und Dokumentiert werden.
Aber nun zu i-doit.
Die im PHP geschriebene Anwendung bildet alle wichtigen Elemente einer CMDB ab. Typen wie Standort, Raum, Host, Server, ja sogar Virtueller Server oder SIM-Karte sind vorhanden. Die moderne und schnelle AJAX-Oberfläche ist sehr komfortabel bedienbar und selbst für Einsteiger schnell zu verstehen. Besonders gut gelöst ist das schnelle und einfache Hinzufügen zusätzlicher Kategorien. Erfordert ein Element zusätzliche Attribute (z.B. Skype-Kennung für das Objekt Person oder Teamviewer-ID für Clients) können diese sehr einfach angelegt und zugewiesen werden.
Leider gibt es jedoch in der Open-Version einige Macken. So erscheinen in der aktuell getesteten Version 0.9.7nach einer LDAP-Synchronisierung mit einem ActiveDirectory plötzlich doppelte Kontakte, die Druckansicht ist nur sehr unzureichend umgesetzt oder die Vorlagen zum gleichzeitigen Erstellen mehrerer CI´s funktionieren nicht. Reaktionen im Entwicklerforum können, wenn sie denn überhaupt erfolgen, auch mal mehrere Tage dauern.
Zusammenfassend überwiegen aber die Vorteile der Kernfunktionen gegenüber den Fehlern. Es kann ja schließlich davon ausgegangen werden das die Bugs früher oder später behoben werden.
Mehr über I-Doit auf der Offiziellen Website http://www.i-doit.org
