194 lines
6.2 KiB
Plaintext
194 lines
6.2 KiB
Plaintext
## September 2014
|
|
|
|
\* NEWS NR \#1 Datenspuren ... die waren glaub ich
|
|
- Pentabug löten
|
|
|
|
\*
|
|
<http://www.golem.de/news/cloud-durchsuchung-microsoft-will-trotz-gerichtsbeschluss-keine-daten-hergeben-1408-108923.html>
|
|
|
|
\*
|
|
<http://www.heise.de/newsticker/meldung/Anwendervertrauen-in-die-Internet-Sicherheit-konsolidiert-sich-2389948.html>
|
|
|
|
\* Google und sichere Passwörter:
|
|
<http://www.golem.de/news/nach-kontodaten-veroeffentlichung-google-raeumt-nutzerdaten-und-passwoerter-auf-1409-109195.html>
|
|
|
|
\*
|
|
<http://www.heise.de/newsticker/meldung/NSA-Ausschuss-Opposition-will-Snowden-Befragung-in-Berlin-einklagen-2390344.html>
|
|
|
|
\*
|
|
<http://www.heise.de/newsticker/meldung/EU-Datenschutzreform-Arbeitnehmer-haben-das-Nachsehen-2390338.html>
|
|
|
|
\*
|
|
<http://www.heise.de/newsticker/meldung/EuGH-Bibliotheken-duerfen-Buecher-digitalisieren-2390212.html>
|
|
|
|
\*
|
|
<http://www.heise.de/newsticker/meldung/NSA-Ausschuss-fordert-von-Bundesregierung-mehr-Offenheit-2390236.html>
|
|
|
|
\*
|
|
<http://www.heise.de/newsticker/meldung/IT-Direktor-im-Innenministerium-wettert-gegen-Outsourcing-2390165.html>
|
|
Innenministerium verwendet FreieSoftware und OpenSource synonym - Sie
|
|
haben es nicht verstanden.
|
|
|
|
\* Apple Watch ist (bisher) ein sehr gut vermarkteter Witz - Nicht
|
|
einmal wasserdicht, trotz Induktionsladung und modularem Design ist auch
|
|
noch eine geringe Akkulaufzeit absehbar - die wirkliche Innivation ist
|
|
ApplePay für Nicht-Digitalgüter
|
|
<http://www.golem.de/news/nfc-apple-pay-koennte-sich-auszahlen-1409-109181.html>,
|
|
endlich etwas privatsphärefreundlicher digitales Bezahlen, leider nur
|
|
mit iPhone und bisher nur in den USA; dennoch: Cash bleibt Trumpf
|
|
|
|
\*
|
|
<http://www.btc-echo.de/paypal-tochter-braintree-bestaetigt-bitcoin-integration_2014090901/>
|
|
Bitcoin: Braintree integriert derzeit für deinen Zahlungsdienst und
|
|
macht die Probe aud's Exempel für PayPal
|
|
|
|
\*
|
|
<http://www.heise.de/newsticker/meldung/Amazon-zieht-sich-aus-P2P-Geldtransfers-zurueck-2390386.html>
|
|
|
|
\* Juristisch komisch:
|
|
<http://www.golem.de/news/urteil-fremde-nackt-selfies-zumailen-ist-nicht-strafbar-1409-109198.html>
|
|
|
|
### NSA
|
|
|
|
\*
|
|
<http://www.heise.de/newsticker/meldung/NSA-Ueberwachungsskandal-Millionenstrafe-fuer-Yahoo-bei-Nicht-Herausgabe-von-Nutzerdaten-2390402.html>
|
|
|
|
(pentacast 48: Dateisysteme)
|
|
|
|
### Thema
|
|
|
|
Containerloesungen: {LXC, Docker, BSD-Jails, systemd-nspawn}
|
|
|
|
\* Was sind Container
|
|
\* Abgrenzung der Betriebsystemvirtualsierung von
|
|
Voll/Para-Virtualisierung (Virtualbox, VMware, KVM)
|
|
|
|
- Normale sytemcall Schnittstelle kann genutzt werden keine emulation
|
|
oder virtuelle Maschine nötig wie bei Voll/Para - Virtualizierung
|
|
|
|
\* Vorteile: Leichtgewichtig und Schnell
|
|
|
|
- Leichtgewichtig und Schnell
|
|
- file-level copy on write
|
|
|
|
\* Nachteile:
|
|
|
|
- Gebunden an das Betriebsystem/Architektur
|
|
|
|
\* Anwendungsfälle:
|
|
|
|
- Desktopanwendungen isolieren
|
|
(<https://www.stgraber.org/2014/02/09/lxc-1-0-gui-in-containers/> )
|
|
- Dienste auf einem Server von einander trennen, z.B. im HQ
|
|
- Ressourcen Verwaltung
|
|
- Migration (Load Balancing)
|
|
|
|
\* Containerlösungen:
|
|
|
|
- chroot
|
|
- Linux: lxc, docker, libvirt-lxc, systemd-nspawn(1), openvz
|
|
- Solaris: zones
|
|
- Freebsd: jails
|
|
- Windows: virtuosso
|
|
|
|
\* Technische Grundlagen Linux:
|
|
|
|
- Linux Namespaces (unshare syscall):
|
|
- mount, UTS, network, SysV IPC, user
|
|
- Kommandozeile: nsenter/unshare
|
|
- <https://en.wikipedia.org/wiki/Cgroups#NAMESPACE-ISOLATION>
|
|
- Cgroups: <https://en.wikipedia.org/wiki/Cgroups>
|
|
- Resourcenzuteilung (RAM, IO, CPU), Priorisierung, Accounting
|
|
- CONFIG_CGROUP_FREEZER
|
|
- Seccomp (Chrome Sandbox, filtern von Syscalls)
|
|
<https://en.wikipedia.org/wiki/Seccomp>
|
|
- chroot (pivot_root) <https://en.wikipedia.org/wiki/Chroot>
|
|
- Kernel capabilities (SYS_ADMIN, NET_ADMIN -\> Netzwerkadapter...)
|
|
<http://linux.die.net/man/7/capabilities>
|
|
- Apparmor and SELinux
|
|
|
|
\* Freebsd: VIMAGE
|
|
\* Solaris: Crossbow
|
|
\* Apple App Sandboxing
|
|
|
|
\* Apple App-Sandboxing
|
|
|
|
- <https://developer.apple.com/app-sandboxing/>
|
|
|
|
\* chroot:
|
|
|
|
- Linuxinstallation, Debian Packetierung, bind
|
|
|
|
\* lxc:
|
|
|
|
- lxc-create -\> Templates für Distributionen
|
|
- Menge von Kommandozeilenprogramme zum Verwalten
|
|
- lxc-start/lxc-stop, lxc-attach/lxc-console
|
|
- lxc-clone (zfs/btrfs)
|
|
- /var/lib/lxc/C1/rootfs (backingstore)
|
|
- macvlan, bridge,...
|
|
- liblxc, Sprachbindings API
|
|
- Auch als Nutzer startbar, Isolierung von Desktopanwendungen
|
|
- eingesetzt bei uberspace.de
|
|
- unprivileged containers
|
|
- failover lxcs mit uCARP
|
|
- guter Blog: <https://www.stgraber.org/tag/containers/> (von lxc
|
|
Entwickler)
|
|
|
|
\* docker:
|
|
|
|
- aus propritären Proktukt von dotcloud entstanden -\> 1. Release
|
|
- microservices: <http://martinfowler.com/articles/microservices.html>
|
|
- Dockerfile, Einzelne Shell-Befehle Schritt für Schritt ausgeführt -\>
|
|
Snapshot basiert (btrfs, zfs, aufs, lvm thin provisioning) -\> docker
|
|
images -t
|
|
- geschrieben in der Programmiersprache Go
|
|
- volatile Container -\> Data-Container
|
|
- Einzelne Container Netzwerkdienste können gelinkt werden -\>
|
|
Umgebungsvariablen
|
|
- Entwicklerfreundlich: Testen auf dem eigenem System, Upload von Deltas
|
|
(git für container)
|
|
- docker registry
|
|
- coreos (systemd, kein Packetmanager, etcd, fleetd, failover, service
|
|
discovery)
|
|
|
|
\* jails:
|
|
|
|
- since FreeBSD 4.X / stable 5.X
|
|
- security police (global/local jail bezogen) sysctls
|
|
- license fuckup bei ezjail / qjail
|
|
- Ressourcenlimitierung (RCTL/RACCT)
|
|
- network alias konzept
|
|
- VIMAGE (virtualized network stack)
|
|
- if_bridge/if_epair entwicklung vs NetGraph vs OpenVSwitch (userland)
|
|
- TrueNAS / PC-BSD Entwicklungsabspaltung von Jails (pbi Warden
|
|
(<http://wiki.pcbsd.org/index.php/Warden/10.0> ) )
|
|
- Massendeployment mit ZFS basierten Jails
|
|
- failover Jails mit CARP
|
|
- **Temporary epair MAC address fix**
|
|
(<https://github.com/plitc/freebsd/commit/9215c5850ff562a44d0347fa03be60bd3cdd4b9c>
|
|
)
|
|
- MAC (Mandatory Access Control)
|
|
|
|
\* systemd-nspawn:
|
|
|
|
- wird zum Entwickeln von systemd genutzt
|
|
- gelinktes journald
|
|
- socket-activation
|
|
- systemd-networkd (dhcp)
|
|
- nsswitch (mymachines) -\> Automatisch Host auflösen
|
|
- momentan noch nicht ausbruchsicher
|
|
|
|
\* Solaris Zones
|
|
|
|
- Crossbow (virtualized network stack)
|
|
- globale / nicht globale zones
|
|
- RessourcePool (Prozesspriorität/CPU Core Zuweisung)
|
|
- RBAC (Role-Based Access Control)
|
|
- sparse/whole/-root/branded zones
|
|
|
|
\* Ankündigung
|
|
|
|
- **Themenabend über Container im HQ vorraussichtlich 10.10**
|
|
|