Archiv der Kategorie: Zukunft

Netzarbeiten

Die Todo-Liste für die Netzwerkarbeiten in den Ferien ist etwas übervoll geraten. Geplant und teilweise auch schon begonnen:

  • Mailserver mit Horde5 für die LuL unter Ubuntu 16.04.1 LTS komplett neu aufsetzen
  • Wetterserver von wview auf WeeWX umstellen
  • Upgrade des Servers Scolis auf Ubuntu 16.04.1 LTS
  • Upgrade des Servers Karlchen auf Ubuntu 16.04.1 LTS
  • Cisco Core Switch einbauen und evtl. auch für Netztrennung konfigurieren, sofern OpenVSwitch (s.u.) nicht zum Einsatz kommt
  • ServerG auf SBE2 mit OpenVSwitch umstellen, Benutzerkonten neu anlegen
  • Clients auf Ubuntu 16.04.1 LTS mit XFCE als Desktop komplett neu aufsetzen und hierbei evtl. auch noch von windbind auf pures LDAPs mit NFS Mounts für die Homes wechseln
  • Moodle DBs umstellen (Barracuda, Antelope)
  • ownCloud Updates, Moodle Updates, DokuWiki Updates
  • evtl. MRBS aus Moodle als Klassenarbeitsplaner herausnehmen und gesondert auf kvfg.info aufsetzen
  • VMHost auf Ubuntu 16.04.1 LTS umstellen
  • evtl. die Infrastruktur weiter virtualisieren statt den VMHost mit dem grauen Netz zu belasten

und nicht zuletzt:

  • Informatikraum komplett neu aufbauen und die alten Rechner darin in die Bibliothek sowie den S-Aufenthaltsraum umziehen

Das ist aber alles irgendwie auf der Muss-Liste und zeigt wenig Neues. Konsolidierung ist zwar wichtig – aber sie macht weniger Spaß, als neue Dinge in die Welt zu werfen und damit zu experimentieren.
onlyoffice
Ich habe mir deswegen in den letzten Nächten Onlyoffice auf einem unserer Server installiert, etwas darin herumkonfiguriert und -geklickt und sehe in dieser serverbasierten Software eine mögliche Alternative zu unserer vorhandenen synchronen Dokumentenverarbeitung in der Cloud auf Basis von Writer, Etherpad und Ethercalc. Eine weitere Alternative, die ich noch nicht auf einem eigenen Server getestet habe, wäre mit open365 ein Desktop-LibreOffice in der Cloud ohne weitergehende synchrone Kollaborationsfunktionen.
Sollte jedoch nextcloud schnell genug in die Pötte kommen, dann wäre mir ein Collabora-LibreOffice mit Cloud-Integration lieber: LibreOffice Writer ist bei uns (siehe oben) seit ein paar Jahren über die owncloud Installation auf kvfg.eu für synchrones Arbeiten verfügbar, funktioniert gut und überlebt Update um Update. Es ist demnach stabil. Eine Aussage, die ich weder zu onlyoffice noch zu open365 treffen kann. Dazu kommt: Ohne LDAPs Anbindung des Cloud-Office macht die ganze Geschichte nicht wirklich Sinn. Own-/Nextcloud plus Collabora-LibreOffice hätten das mit dabei.
In allen Fällen: Wir dürfen docker lernen.

Blick ins Haus

IMG_20150903_101430
Qual der negativen Auswahl: Stellt jemand einen unser gammeligen Erdtöpfe drauf, so dass die Gipskartonplatten durchweichen können und der gesamte Kram zum genau richtigen Moment in das Stockwerk darunter fällt? Vollführt ein Übergewichtiger hüpfend Belastungstests? Oder wird das verdohlte Loch im Boden der schlicht größte Mülleimer im Haus?
Die positive Wende kommt sicherlich mit einer Arbeitsgruppe …

Stein

Mein altes Netz ist weg. 10 Jahre Basteln sind in der Tonne. Der Umstieg, den wir einst für Pfingsten planten ist vollbracht und ich bin mehr oder weniger raus. ServerG gehört nun voll und ganz Capo Daniel, ich bin nur noch Mitarbeiter. Nicht schlecht. Mit dem Mailserver, den Moodles und WordPressen, dem Portfolio und den ganzen Servern hab ich noch genug an der Backe und Daniel ist so oder so technisch ein Superheld, der de-facto in den letzten Jahren von sich aus alles managte … aber der Stein ist trotzdem gefallen.
Das Gefühl ist vergleichbar mit einem Gang über unseren Schulhof nach einem Wochenende. Da sieht es oft so aus:
IMG_20140907_095313
Ich sag was dazu, ich helfe auch beim Aufräumen mit – aber ich organisiere es nicht, ich lauf nicht den bösen Buben hinterher, ich stelle keine Nachforschungen an, ich reg mich nicht mehr so auf. Weil ich nicht muss.
Fühlt sich ganz gut an.

Nicht dick genug

Der Mailserver ist nun durch die Gremien und stieß auf seinem Weg auf zwei Rückfragen bzw. Bemerkungen Einzelner, die ich für mich nicht sortiert bekomme, die mich aber immer noch beschäftigen. Ein Versuch.
Eine Rückfrage bezog sich auf die Wahrscheinlichkeit, bei Verstößen gegen datenschutzrechtliche Bestimmungen überhaupt „erwischt“ zu werden. Aus meiner Sicht geht es darum nicht. Es geht um die Umsetzung einer inzwischen 14 Jahre alten Gesetzgebung zum Grundrechteschutz. Dass wir mit unserer – jetzt ja erst beginnenden – Datenschutzinitiative nach einem derartigen Zeitraum im Ländle noch immer zu den Pionieren zählen finde ich schockierend. Da will ich nicht mit „merkt doch eh keiner“ argumentieren, sondern das Ziel der gesetzlichen Regel ins Zentrum meines Handelns stellen. Gesetze für mehr Schutz der Grund- und Bürgerrechte gehen selten genug durch die Parlamente. Dazu kommt: Wir sind eine Behörde! Gut – wir sind eine ganz und gar spezielle Behörde, bei der das Personal auf Grund fehlender Ressourcen und vielerlei Traditionen sich in einer sehr gewöhnungsbedürftigen aber funktionalen Mischung aus Privat- und Berufsleben gut eingerichtet hat. Aber „Staat“ sind auch wir – und der hat eine zentrale Aufgabe: die Achtung und den Schutz der Grundrechte. Alles andere ist sekundär, folgt aus diesen zentralen Normen. Allein die Vorstellung, dass andere staatliche Einrichtungen die Umsetzung gesetzlicher Vorgaben zum Schutz der Grund- und Bürgerrechte ebenfalls unter der Prämisse der Entdeckungswahrscheinlichkeit diskutieren könnten … mir wird schlecht, wenn ich an Polizei und Justiz denke.
Eine andere Bemerkung verwunderte mich ebenfalls. Es wurde argumentiert, dass die Überwachung des Mailverkehrs durch inländische wie ausländische Dienste sowie die Auswertung der Mailinhalte durch Freemailanbieter kein Problem darstelle, weil sich diese ja nicht wirklich für einzelne Personen interessierten und Einzelnen auch keinen Schaden zufügen könnten. Ich fürchte, hier hat jemand im übertragenen Sinne klassisch sozialwissenschaftlich gedacht – als würde es eine These geben, die der Auswerter von Mailinhalten zu belegen suche. Dass Big Data anders verfährt, schlicht alles eingesammelt wird und dann durch Wühlen in Daten (Korrelationsanalysen) nach Möglichkeiten gefahndet wird, wie sich diese zu Geld machen lassen, wird hier übersehen. Konkrete Personennamen in E-Mails sind hier pures Gold. Zusammen mit Kontextinformationen – E-Mail Adresse der Absender und Empfänger, Domain, einliefernde IP, Angaben zu Adresse etc. pp. im Footer usw usw – lassen sich leicht personenbezogene Profile generieren. Wenn man sich z.B. unverschlüsselt per Mail im Kollegenkreis oder mit den Eltern über Max Mustermann, seine sozialen und psychischen Probleme, seine Spielsucht etc. pp. austauscht, dann sind die hier generierten Daten beziehbar auf einen konkreten Menschen, dem mit diesen Daten durchaus Schaden zugefügt werden kann – und sei es, dass seine Versicherung teurer wird. Nicht umsonst verbieten die Datenschutzgesetze nicht nur personenbezogene, sondern auch personenbeziehbare Datensammlungen. Dass auch ein 14 Jahre alter Max Mustermann ein Recht auf informationelle Selbstbestimmung hat und ihm dieses so genommen wird fehlt noch im gerade Geschriebenen. Ohne Angabe eines guten Grundes und ohne entsprechende Sicherungen (vulgo: siehe Verfahrensverzeichnis) dürfen Daten nicht erfasst, generiert, verarbeitet werden. Auch das ist ein Grundrecht. Ein „überwiegendes Allgemeininteresse“ an der Generierung derartiger Daten kann ich beim geschilderten Beispiel nicht erkennen – und selbst wenn man dies annimmt, dann verbietet sich der Gebrauch eines kommerziellen Freemail-Anbieters. Solche Daten gehören verschlüsselt und dürfen die Institution Schule nicht verlassen. Eine Weitergabe an Dritte – und darum handelt es sich bei web, gmx, yahoo etc. Nutzung – verbietet sich.
Ich vermute, beide Fragen bzw. Reaktionen verweisen darauf, dass da zwei spürten, dass sie ihr Verhalten dringend ändern müssen. Sie wollen aber nicht, weil man sich in der Wurstigkeit gut eingerichtet hat, weil man sich vor dem Hintergrund des NSA Skandals und einer fast vollständig inaktiven Exekutive überfordert fühlt, weil man im Nahbereich wie auch in der Politik kein positives Vorbild finden kann oder will. Vor allem aber: weil man ahnt, dass der Aufwand groß wird, weil man weiß, dass man selbst sehr viel lernen muss. Da ist es einfacher zu sagen, man lässt es lieber gleich, es bringe ja doch nichts oder man werde ja nicht erwischt. Wenn ich dann noch mitdenke, wie bei einer Präsentation des Verschlüsselungsverfahrens stellenweise gestöhnt und gelacht wurde, weil ich ein 12 Zeichen langes Passwort eingab, dann ist kognitive Dissonanz für das Schlamassel nicht der passende Ausdruck. Mir fällt nur nix ein, was für die erwähnten Einwürfe dick genug aufträgt.

Zweifel

So ein Mist aber auch. Unser Karl wirft – sofern die IO Last auf dem VM-Host hoch ist wie zu Backupzeiten – mit Fehlermeldungen nach mir:

Jun 13 10:49:54 kvfg kernel: [ 633.056315] mptscsih: ioc0: attempting
task abort! (sc=ef8eee40)
Jun 13 10:49:54 kvfg kernel: [ 633.056335] sd 0:0:0:0: [sda] CDB:
Write(10): 2a 00 04 00 08 10 00 00 08 00
Jun 13 10:49:54 kvfg kernel: [ 633.188315] mptscsih: ioc0: task abort:
FAILED (rv=2003) (sc=ef8eee40)
Jun 13 10:49:54 kvfg kernel: [ 633.188330] mptscsih: ioc0: attempting
task abort! (sc=ef8ee600)

Jun 13 10:49:55 kvfg kernel: [ 634.704244] mptscsih: ioc0: target
reset: SUCCESS (sc=ef8eee40)

Die Fehlermeldungen lassen sich relativ klar einem Treiber zuordnen, den ich aber aus meiner Sicht nicht zwingend benötige:

# modinfo mptscsih
filename: /lib/modules/3.2.0-64-generic-pae/kernel/drivers/message/fusion/mptscsih.ko
version: 3.04.20
license: GPL
description: Fusion MPT SCSI Host driver
author: LSI Corporation
srcversion: 85D42A00FEBA3C95555E3AF
depends: mptbase
intree: Y
vermagic: 3.2.0-64-generic-pae SMP mod_unload modversions 686

Ich vermutete zuerst, es handele sich um eine Altlast. Einst zog ich Karl mit Hilfe von dd vom seiner Gehwegplatte [1, 2, 3, 4] um in die virtuelle Maschine. Der LSI Treiber war dort im Einsatz und auch sinnig – aber in einer VM?
Ein lspci belehrte mich jedoch, dass ich in der VM einen LSI Controller „verbaut“ hatte:

00:14.0 SCSI storage controller: LSI Logic / Symbios Logic 53c1030 PCI-X Fusion-MPT Dual Ultra320 SCSI

Jetzt zweifel ich, ob ich mit dem bestehenden System genug Stabilität erreiche, wenn der schulische Mailserver dort läuft. Im besten Fall erhalte ich derartige Fehlermeldungen, wenn auf dem Host viel IO-Last herrscht … und im dümmsten Fall auch dann, wenn der Gast unter Last steht.
Und ob alles viel besser wird, wenn ich den LSI Controller gegen einen anderen virtuellen Controller tausche? Oder ob alles besser wird, wenn ich von VBox auf VMWare umsteige? Das Experimentieren geht weiter …

Backupserver

IMG_20140610_141459
Unser schulinterner VMHost erhält zwei 2TB Platten im RAID1 Verbund für den Mailserver der LuL und damit garnix schief geht, habe ich noch einen günstigen Backupserver gekauft, der in einem anderen Gebäudeteil auf nächtliche und mit duplicity verschlüsselte Datensicherungen wartet. Ich mag diese Maschine: Sie ist mit 4GB RAM, einem kleinen Intel Pentium Dualcore und ohne Laufwerke günstig in der Anschaffung (unter 200â,¬) und verdaut bis zu vier Festplatten, die sich ohne Handwerkszeug darin verstauen lassen. Außerdem liegen die Stromverbrauchswerte völlig im Rahmen. Gemessen habe ich im Idle rund 12 Watt.
Wenn der Blitz einschlägt, dann wird es hoffentlich einer von den beiden Servern überleben – und wenn nicht, dann sind halt alle Mails seit den letzten Ferien weg, sofern man sich diese nicht per POP3s auf die lokale Platte gezogen hat. Backups auf externe Medien, die tatsächlich komplett getrennt vom Stromnetz und ebenfalls in einen anderen Gebäudeteil aufbewahrt werden erstelle ich nämlich lediglich dann, wenn in der Schule wirklich nix los ist. Arbeitszeiten darf man als Netzer auch so schon nicht rechnen.
win7lookalike
Während der Konfiguration gingen dann aber die Gäule mit mir durch. Ich überbrückte die Wartezeiten mit einer Rekonfiguration des KDE Desktops … und was am Ende raus kam war ein ziemlich hässliches aber irgendwie auch vertrautes Gebilde 😉

Wechsel der Maildomain

Mit dem neuen Schuljahr 2014-2015 werden wir unseren Mailserver nach Hause holen – konkret: virtualisiert ins Haus und dort in den Serverraum [1, 2, 3]. Was bisher ein reiner Server der Computer-AG und Wetterserver war, wird Teil der zentralen Infrastruktur unserer Schule.
Entgegen aller bisherigen Planungen bleibt aber der Mailserver zur Domain kvfg.de schlicht dort wo er ist. Der Schulplaner berücksichtigt den Wechsel schon.
Wer dann an die vorname.nachname@kvfg.de Adresse schreibt wird trotzdem nicht umsonst geschrieben haben. Umleitungen sorgen dafür, dass die Mail bei vorname.nachname@kvfg.info ankommt.
Der Newsletter zieht auf Grund der negativen Erfahrungen mit 1und1 um auf unseren Mailserver mail.lehrerpost.de.
Der Gesinnungswandel ist leicht zu erklären:

  1. Der Umzug des Newsletters auf mail.lehrerpost.de erspart mir die (leider oft komplexe) Pflege eines zweiten Mailmans [1,2] und auch phpList kann [ebenda] wieder gelöscht werden. Weniger Wartungsaufwand für mich gefällt mir gut. Die bisher schon investierte Zeit ist dann zwar verloren, aber das amortisiert sich schnell und gelernt habe ich ja auch viel.
  2. Erst auf der nächsten GLK im Juli hätten wir die Kolleg/innen über den Umzug des Mailservers – vorbehaltlich der Zustimmung des Personalrates – informieren und die Hintergründe dazu (Datenschutz) erklären können. Für einen Umzug des kvfg.de-Mailserver hätte ich jedoch die Pfingstferien benötigt – die Kolleg/innen wären demnach 2 Wochen ohne Mailanbindung gewesen.

Jetzt kann alles ganz gemütlich über die Bühne gehen.
Im Laufe des Schuljahres 14-15 werden Eltern und Schüler/innen mit allen Kolleg/innen Ende-zu-Ende verschlüsselt kommunizieren können. Die öffentlichen Schlüssel bieten wir dann auf der Homepage zum Download an.

MRBS auf PostgreSQL

mrbsconfig
Mit dem Umstieg auf den neuen ServerG müssen wir auch für einen Platz für unser MRBS sorgen. Da ich dem Programm und vor allem dessen Sicherheitsstandards nicht so richtig über den Weg traue, will ich MRBS nicht in den vorhandenen MySQL installieren.
Ich spiele nun erst einmal mit PostgreSQL in einer Virtualbox-Maschine herum und phpPGAdmin hilft mir dabei.
phppgadmin
Ähnlich wie phpMyAdmin kann man mit diesem netten Tool die Datenbanken auch aus dem Browser heraus verwalten, statt sich permanent in den selbst gesetzten Sicherheitseinstellungen des lokalen Dateisystems zu verheddern, die z.B. das Laden des SQL-Skriptes, das die Einrichtung der MRBS-Tabellen übernehmen soll, bestens verhindern. Der lokale Benutzer postgres darf nämlich nicht nach /var/www/mrbs – auch nicht zum Lesen.
mrbsfenster
Inzwischen sieht es schon ganz ordentlich aus – der Rest ist nun Anpassungskram, wie ich diesen auch im alten MRBS schon mehrfach durchturnte. Z.B. darf bei uns ein nicht angemeldeter Besucher nicht die Buchungstabellen einsehen, was die Veränderungen von X PHP-Dateien erfordert.
Was sich hier nicht richtig prüfen lässt, ist die Anbindung unseres MRBS an den hausinternen LDAP über LDAPs. In der Testumgebung muss ich die Benutzer in der Datenbank speichern – später soll man sich als Lehrer mit dem Benutzername und dem Passwort aus dem Schulnetz anmelden können. Das wird dann der nächste Schritt. Die lokale verrichtete Arbeit – zumindest die an den PHP- und Config-Dateien – kann ich hoffentlich auf die externe MRBS-Installation mitnehmen.
Bis zum Sommer sollte ich das alles im Griff haben, sonst läuft mir da die Zeit davon.

TrueCrypt?

Die TrueCrypt-Website leitet seit einigen Stunden auf Sourceforge um. Dort ist eine explizite Warnung vor TrueCrypt abgelegt. Eine Recherche im Web bringt nur allseitige Unklarheit zu Tage. Ein Fake wird aber erst mal ausgeschlossen, weil die „neue Version“ 7.2 mit dem richtigen Schlüssel signiert wurde, der eigentlich nur den Entwicklern selbst bekannt sein dürfte. Ergo: Bisher weiß kein Kommentator, was da wirklich los ist.
Der Quellcode von TrueCrypt wurde in den letzten Jahren auditiert. Dabei wurden keine Sicherheitslücken gefunden.
Von der Installation der 7.2er Version würde ich dringend abraten, bis mehr Klarheit herrscht und vor allem auch sicher gestellt ist, dass es sich nicht um eine verklausulierte Warnung der TrueCrypt-Entwickler selbst handelt, die evtl. mit Hilfe von Security Letters zum Stillschweigen verurteilt wurden. Denn: Die Empfehlung auf der Sourceforge-Seite, nun BitLocker zu nutzen, kann nicht mehr als ein Witz sein, wenn man im Kopf behält, dass NSA und MS in der Vergangenheit immer wieder eng kooperierten.
Es bleibt demnach im Moment nur Unklarheit. Auf Grund der zentralen Bedeutung der Software für jede Crypto-Infrastruktur dürfen wir mittelfristig jedoch mit erhellenderen Beiträgen rechnen.
Weitere Informationen z.B. über die Seiten Der Zeit [-link-zu-presseerzeugnis-gelöscht–ich-verlinke-euch-nicht-mehr-] oder über Heise. Außerdem empfehle ich die Lektüre des FUD-Artikels auf der Wikipedia. Wer sich die TrueCrypt 7.1a Version noch sichern will, findet diese – zusammen mit aktuellen Informationen – bei Heise:
http://www.heise.de/download/truecrypt.html