RackBlogger

Stefan hat mir heute einen Link zum Thema “Why Windows is less secure than Linux” geschickt, auf dem zwei Graphen zu sehen sind. Auf diesen werden die Systemaufrufe des Apache Webservers (httpd) und des Microsoft Internet Information Servers (IIS) visualisiert und verglichen. Fazit ist, dass der IIS unsicherer sei, weil er mehr Systemaufrufe ausführe.

Ehrlich gesagt halte ich von dieser Schlußfolgerung nicht sehr viel, da eine hohe Anzahl an Systemaufrufen nicht zwangsweise zu einer unsicheren Software führt. Auch kompakte Programme können scheunengroße Lücken aufweisen, während hochkomplexe Anwendungen auch extrem sicher sein können. Man darf also auch die Sicherheit von Programmen nicht alleine nach deren “Aussehen” beurteilen.

Was ich aber interessant fand, waren die Graphen. Die Aussagekraft hält sich zwar ziemlich in Grenzen, aber trotzdem schauen die cool aus.

Wer sowas nachmachen will, hier ist eine 2-Minuten-Anleitung für sowas.

Benötigt werden strace, GraphViz und Perl.

Als Testobjekt dient die Ausgabe von einem einfachen “ls -l” Befehl. Diese erhalten wir mit dem Befehl

strace -q -v -o trace.txt ls -l

Da schneiden wir nun die Namen der Systemaufrufe heraus:

cut -d ‘(’ -f 1 trace.txt

Wenn wir das durch folgendes winziges Perl-Script pipen, erhalten wir daraus eine schicke .dot-Datei für GraphViz:

#!/usr/bin/perl -w

my $lastline = ‘’;
my %LINKS;

print “digraph G {\n”
.” size=\”6.0\”\n”
.” node [ fontname=verdana, fontsize=10 ];\n”;

while (my $line=<>) {
chomp($line);
if ($lastline ne ‘’ && $lastline ne $line) {
my $link = “$lastline -> $line”;
if (!defined($LINKS{$link})) {
$LINKS{$link} = 1;
print “\t$link\n”;
}
}
$lastline = $line;
}
print “}\n”;

Sorry, die Einrückungen gehen bei Wordpress leider verloren. Als kleines Feature werden doppelte Kanten übrigens herausgefiltert.

Das Perl-Script beispielsweise als “grapher.pl” speichern, und dann so aufrufen:

cut -d ‘(’ -f 1 trace.txt | grapher.pl > trace.dot

Mit “dot” erzeugen wir dann noch eine PNG-Datei aus dem Output:

dot -T png -o trace.png trace.dot

Und fertig ist der Systemaufruf-Graph.

Bei einer etwas komplexeren Anwendung (unserer neuen Admin-Oberfläche - mit integriertem Webserver ) sieht der Output dann übrigens so aus:

Schaut den anderen Graphen (von der eingangs erwähnten Website) ziemlich ähnlich.

Im Zusammenhang mit dem Serverausfall wurde nun das Problem lokalisiert - wie ich finde mal wieder sehr interessant. Nachdem sich der Server nämlich letzte Nacht kurz nach 04:00 Uhr wieder verabschiedet hat, habe ich heute mal nachgeschaut was da so für Cron-Jobs laufen. Ursprünglich hatte ich den Backup-Prozess in Verdacht, aber der läuft schon eine Stunde vorher. Um vier Uhr aber ist die Log-Analyse mit Webalizer dran. Und da musste ich mir nur eine Datei anschauen um meinen nächstbesten Verdacht zu bestätigen: die Datei “dns_cache.db” war über 1.2 GB groß.

So effizient Webalizer auch sein mag, mit einem soooo großen DNS-Cache kommt er wohl auch nicht mehr locker zurecht. Auf besagtem Server sind in letzter Zeit die Zugriffe massivst gestiegen - zukünftig wird diese Datei also nicht mehr nach einer bestimmten Zeit, sondern nach Erreichen einer bestimmten Größe gelöscht.

Auf zwei neueren Hosting-Servern testen wir übrigens bereits den optionalen (!) Einsatz von AWStats - wenn da keine Unregelmäßigkeiten auftauchen geht das in den Produktivbetrieb.

Oder sogar besser “Au weia”?

Ja, es geht um das neue Microsoft Windows Vista. Zu Hause haben sich Nachbarn von uns einen neuen PC gekauft - um genau zu sein: deren ersten Computer. Um endlich mal auch ins Internet zu können und so.

Ich habe ihnen jedenfalls bei der Installation des PCs unter die Arme gegriffen, und somit auch meinen ersten Kontakt mit Vista gehabt. Und der erste Eindruck war mehr als erschütternd.

Meiner Meinung nach wurde nur die Oberfläche etwas lieblos abgelutscht, ohne wirklich übersichtlicher zu werden. Es fängt an mit dem komischen Sidebar mit Schiebepuzzeln, Temperaturanzeige (von Berlin!? wir wohnen in Erlangen!), einer analogen Uhr (im Taskbar gibt es zusätzlich auch eine digitale Zeit) und einem daumenkinokleinem Bildbetrachterchen. Wer hat sich das denn ausgedacht, diese völlig unnützen Gimmicks auf den Desktop zu bringen?

Dann geht es weiter: die neuartige Aqua-Abschlatsch- Aero-Oberfläche sorgt nun für halbtransparent-verschwommene Fenster (Milchglas-Effekt). Statt bisheriger monotoner Fensterhintergründe hat man nun einen riesigen Farbschwamm auf dem Bildschirm, welcher den Überblick vor allem für noch unbedarfte Benutzer nicht gerade erleichtert.

Aber gut - die Oberfläche ist Geschackssache, und die Gimmicks vielleicht zum Herumspielen auch mal ganz nett. Aber wirklich haarig werden dann die ganzen Detailschlampereien. Beispiel: Installation von Programmen (in diesem Fall: Firefox). Man wird gefragt, in welchem Verzeichnis das Programm installiert werden soll - als Vorschlag erscheint “C:\Program Files\Mozilla Firefox”. Ich will den aber nicht unter “C:\Program Files”, sondern unter “C:\Programme” installiert haben (ist schließlich auch eine deutsche Vista-Installation). Dieser Versuch wird jedoch von Vista mit der Begründung mangelnder Berechtigungen abgelehnt (ich müsste Administrator sein). Ach ja, es handelt sich um ein “Vista Home Premium Edition”.
Nun gut, so habe ich den vorgeschlagenen Ordner (”Program Files”) akzeptiert - und was passiert wohl? Die Sachen werden nach “C:\Programme\Mozilla Firefox” installiert. Welche Anwender sollen sowas nachvollziehen können?

Es gäbe noch viele, viele andere Sachen zu erzählen, die aufzuzählen allerdings den Rahmen hier deutlich sprengen würden…

Mein Fazit: “Oh” statt “Wow”. Oder um es mit Stefans Worten zu formulieren: “Wow ist es aber auch nur für Leute, die noch nie OS X gesehen haben”.

Ich werde jedenfalls unsere Büro-Rechner nicht auf Vista aktualisieren. Und sobald Windows XP nicht mehr weiter von Microsoft gepflegt wird, steht wohl der Umstieg auf Linux (KDE) an.

Unser Monitoring hat vorhin festgestellt, daß ein Server steht. Nach verschiedenen Eskalationsstufen wurde ich letztendlich aus dem Bett geklingelt. Der Server war von außen nicht mehr erreichbar - also habe ich die Fernkonsole geöffnet und da auch nur feststellen können, daß das System irgendwie eingefroren war.

Also - Reset ausgelöst und gewartet bis der Server wiederkommt. Dank der Fernkonsole (KVM-over-IP) konnte ich zum Glück zusehen, wie der Server seinen Filesystem-Check über hunderte Gigabytes ausführt. Früher wäre ich an der Stelle öfters fast verzweifelt, wenn der neu gebootete Server aus Sicht von Ping/SSH einfach nicht erreichbar wird (weil er eben noch beschäftigt ist). Ein FSCK kann mitunter (subjektiv) ewig dauern - ich saß schon öfters im Auto auf dem Weg ins Rechenzentrum, bis ich die SMS vom Monitoring bekam daß der jeweilge Server nun wieder oben sei.

An dieser Stelle also nochmal ein Lob auf die Fernkonsole.

Dann mal gute Nacht… oder guten Morgen…

Wir haben noch einen kleinen Schwung an Kunden von Mitte Dezember 2006, welche heute erstmals eine Rechnung von uns erhalten. Nun ist unser selbstentwickeltes Abrechnungssystem so programmiert, dass Leistungen, die noch in 2006 endeten (z.B. eine Einrichtungsgebühr oder anteilige Kosten eines Hostingpaketes) auch korrekt mit 16% MwSt versteuert werden, und alle später endenden Leistungen mit 19%. Der jeweils angewendete Steuersatz ist einzeln neben jedem Posten aufgeführt, und in der Rechnungssumme nochmals ausgewiesen.

Da es für einige Geschäftskunden aber mit einem gewissen Aufwand verbunden ist, eine Rechnung mit verschiedenen MwSt-Sätzen zu verbuchen, haben wir alle Mitte Dezember eingerichtete Pakete nun einfach erst ab dem 01.01.2007 in Rechnung gestellt.

Dieser Bonus wird Ihnen präsentiert von: der Mehrwertsteuer-Erhöhung!

Diese KettenInformationsmail habe ich heute morgen erhalten:

Am 1. Februar, von 19:55 bis 20:00, könnt Ihr an der größten Bürgerbewegungen gegen den Klimawandel teilnehmen. Die französiche “L’alliance pour la planète”, zusammengesetzt aus verschiedenen Umwelt-NGOs, ruft alle Bürger auf, der Erde eine kurze Atempause von 5 Minuten zu verschaffen: Schaltet am 1. Februar um 19:55 bis 20:00 alle Stromverbraucher ab.
Es geht nicht darum, 5 Minuten Strom zu sparen, sondern die Aufmerksamkeit aller anderen Bürger, Medien und Politik auf die Energieverschwendung zu lenken und auf die Dringlichkeit einer Aktion hinzuweisen.
5 Minuten Aufatmen für die Erde: es verlangt nicht viel Zeit, es kostet nichts und es wird zeigen, dass der Klimawandel ein Thema ist, das in jede politische Diskussion berücksichtigt werden muss. Warum der erste Februar? An diesem Tag wird in Paris der neue Bericht der Klimaexpertengruppe der Vereinten Nationen vorgetragen. Dieses Ereignis wird in Frankreich stattfinden (in Europa) und deshalb darf diese Gelegenheit nicht ungenutzt verstreichen, auf die Wichtigkeit der weltweiten klimatischen Situation zu hinzuweisen. Wenn viele Menschen teilnehmen, wird die Aktion sicher Nachhall in den Medien haben und evtl. Einfluss auf die Politik haben.
Verschicke diesen Aufruf an möglichst viele deiner Kontakte. Zeige es in Deine Webseite und in Deine Mails. Und schreibe es in Deinem Terminkalender ein… Danke! Die Erde wird es dir danken.

Grundsätzlich finde ich diese Idee schon nett - nicht zuletzt macht es einem bewußt, wie abhängig man inzwischen vom Strom ist.
Allerdings muss ich leider sagen, dass sich Keppler-IT nicht an dieser Aktion beteiligen wird - die Server bleiben an.

Kurz und knapp: ab sofort enthält PHP auf unseren Servern auch die PDO-Schnittstellen zu MySQL, PostgreSQL und SQLite3.

Außerdem läuft nun auf allen “normalen” Webhosting-Accounts PHP 5.2.0. Nur die FastCGI-PHP-Umgebungen laufen noch auf 5.1.5; das Upgrade hierfür ist aber auch schon vorbereitet.

Leider habe ich kein gleichnamiges Konto in der FiBu - sonst würde ich da nun meine Handyrechnung verbuchen. Durch ein paar unglückliche Umstände musste ich in Österreich oft und lang nach Deutschland telefonieren (hatte nichts mit Servern oder ähnlichem zu tun). Von den nun über 250 Euro war ich dann doch etwas überrascht - zumal eine kostenfreie aber aus wohl ökonomischen Ãœberlegungen meines Netzbetreibers nicht aktivierte “EU-Option” den Betrag mindestens halbiert hätte.

Die Hotline war immerhin so freundlich, mir rund 10% des Rechnungsbetrages als Gutschrift zu buchen - eine rückwirkende Aktivierung der kostenfreien Option war freilich nicht möglich.

Lehrgeld eben.