Adminstammtisch – 07.12.2017 – Martin fragt – Flarp antwortet

Nachdem keiner von euch anscheinend Probleme hat und nichts zum Thema Troubleshooting erzählen mag gibt es nun im Dezember etwas ganz anderes:

Martin (Neitzel) fragt – Flarp antwortet
(Details siehe unten)

Dazu bestellen wir Pizza und es gibt Bier und andere Getränke gegen einen Kostenbeitrag.

Ort: TU-Berlin, Gebäude MAR
Marchstraße 23
Raum: 0.007 4.033 – (da ist gemütlicher)
(U2: Ernst Reuter Platz, M45 Marchstr, 245 Marchbrücke)

Zeit: 19:00
Sprache/Language: Deutsch

Damit wir abschätzen können wie viel wir kaufen / bestellen müssen, meldet euch bitte an:

https://terminplaner.dfn.de/foodle.php?id=t6sb53y14im1wpgt

Und das hat Martin vor:

Ich bin neugierig, was denn “der Stand der Dinge”
(neudeutsch “the state of the flarp”) bei allen Gaesten
so ist. Was treibt ihr eigentlich, womit, und warum?
Eine Stunde, in der mal die Zuhoerer ein Loch in den Bauch
gefragt bekommen. Die Fragen werden Adminstrative Aspekte
haben, ansonsten aber rein subjektiv zusammengestellt sein.

Adminstammtisch 02.11.2017 – TLS als Beruhigungspille? (Dirk Wetter)

Ort: TU-Berlin, Gebäude MAR
Marchstraße 23
Raum: 4.064 (Achtung, wieder der alte Raum)
(U2: Ernst Reuter Platz, M45 Marchstr, 245 Marchbrücke)

Zeit:
19:00
Sprache/Language: Deutsch

Anmeldung zum Bier danach: https://terminplaner.dfn.de/foodle.php?id=3f5xab66pfs2ux5j

Abstract

Klar, Verschlüsseln ist wichtig — zumindest da wo es sinnvoll ist. Nur in letzter
Zeit scheint es zum Reflex geworden zu sein, alles, was nicht niet und nagelfest und
nicht bei 3 auf dem TLS-Baum ist, zu verschlüsseln, unabhängig von den
Informations-sicherheitswerten.

Gewunken wird mit dem Gewinn an Privatsphäre = Privacy oder das diffus mit Sicherheit
verknüpft — auch Google sei Dank.

Der Vortrag versucht, dieser unreflektierten Manie mit Vernunft, Basiswissen
Netztechnik, Browserfeatures, Forschungsergebnisses und der Praxis zu begegnen,
wann es sinnvoll

Was kann Eve im Netz denn sehen, wenn Alice Bob verschlüsselt HTTP-Pakete
zusendet? Mal abseits der alten Leier Credentials und Cookies: Warum oder
wann sollte man den Transport verschlüsseln? Warum sind Tracker und Banner noch schlimmer,
wenn sie unverschlüsselt eingebunden werden?

Bio

Dirk Wetter benutzt wenn es irgendwie geht, Open Source — dass sogar bevor es Linux
gab oder den Begriff OSS. Er hatte vor 20 Jahren ein IDS selber geschrieben um da
mit Eindringlinge aufzuspüren und baute Konzepte für Linux-HPC-Cluster. Heute ist er
selbstständiger Sicherheitsberater, macht Pentests (Netze, Systeme,
Webapplikationen), gibt Workshops oder Trainings, liefert Konzepte und wenn das ihm
zu langweilig ist, betätigt er sich als ISO oder als Projektmanager IT-Sicherheit.

Dirk Wetter ist in OWASP und GUUG engagiert. Er ist Initiator des leicht verrückt
klingenden, aber durchaus brauchbaren Projektes testssl.sh, was u.a. mit bash sockets
die Server-Verschlüsselung durchleuchtet.

Adminstammtisch – 05.10. – Segment Routing (Wilhelm Boeddinghaus)

Fällt leider aus! Wir treffen uns direkt in der Schnitzelei (Röngenstrasse).

Ort: TU-Berlin, Gebäude MAR
Marchstraße 23
Raum: 4.064
(U2: Ernst Reuter Platz, M45 Marchstr, 245 Marchbrücke)

Zeit: 19:00
Sprache/Language: Deutsch

Anmeldung zum Bier danach:https://terminplaner.dfn.de/foodle.php?id=7z54acwku71350vw

Abstract:

Segement Routing ändert die Art, wie Pakete durch Netzwerke gesteuert werden.
Es ist eine der ersten Anwendungen, die nicht mehr für IPv4 implementiert sind
und das volle Potential von IPv6 ausnutzen. Besonders Anwendungen in der Cloud
werden davon stark profitieren.

Adminstammtisch – 07.09. – openSSH – aber sicher (Andre Niemann)

Ort: TU-Berlin, Gebäude MAR
Marchstraße 23
Raum: 4.033 (Achtung, wieder der alte Raum)
(U2: Ernst Reuter Platz, M45 Marchstr, 245 Marchbrücke)

Zeit:
19:00
Sprache/Language: Deutsch

Anmeldung zum Bier danach / Registration for food and beer after the talk:

https://terminplaner.dfn.de/foodle.php?id=3afdjgr7z2er8tji

Nachdem TLS[0] vermehrt ins Gespräch gekommen ist, sei es nun an der Zeit sich auch SSH[1] zu widmen – dem Protokoll für Remote Shell und Command Execution. Jeder Admin kennt es, selbst Dev kommt durch devops nicht mehr drumrum.
Trotzdem es “jeder” nutzt hat sich herausgestellt, dass die meisten nur einen Funktionsumfang nutzen wie bei Officepodukten üblich.

Daher geht es im Vortrag zum Einen um nützliche Features und zum Andern um Sicherheitseigenschaften.
Bei einem Schnelldurchlauf durch die Funktionsweise von OpenSSH[2], werden Konfiguration, SSH-Protokolle und sicherheitsrelevante Merkmale aufgefrischt.

Auf der Grundlage werden Anregungen für vernünftige Konfigurationsanpassungen gegeben für:
* Authentisierung
* Usereinschränkungen
* kryptografische Primitive
* Schlüsselverwaltung

Zusätzlich werden interessante Features beleuchtet und vorgeführt, die einem wie die folgenden den Alltag einfacher machen:
* interactive Session
* Session Multiplexing
* Port Forwarding
* …

Nach dem Vortrag kann der Zuhörer seine über Rechnergenerationen migrierten Konfigurationen und Schlüsselmaterial sichten und bei bedarf an neue Entwicklungen und Sicherheitsanforderungen anpassen.

[0] https://tools.ietf.org/html/rfc5246
[1] https://tools.ietf.org/html/rfc4251
[2] https://www.openssh.com/

Adminstammtisch – 03.08. – DevOps für Jedermann (Schlomo Schapiro)

Ort: TU-Berlin, Gebäude MAR
Marchstraße 23
Raum: 4.064 (Achtung anderer Raum als beim letzten Mal)
(U2: Ernst Reuter Platz, M45 Marchstr, 245 Marchbrücke)

Zeit: 19:00
Sprache/Language: Deutsch

Anmeldung zum Bier danach / Registration for food and beer after the talk:

http://doodle.com/poll/fnhd3nt3yidtr7zk

Abstract
DevOps ist aus der IT nicht mehr wegzudenken und hat sich als Arbeitsweise etabliert, die nicht nur die Qualität und operative Effizienz verbessert, sondern auch eine nachhaltige Entwicklung ermöglicht. In den meisten Unternehmen ist die IT jedoch eine Minderheit. Wie können wir mit den Ideen und Erkenntnissen aus der DevOps Welt die ganze Firma voranbringen? Warum funktioniert die agile Zusammenarbeit nicht automatisch mit anderen Abteilungen?

Sysadminday 28.07.2017

Am 28.07. ist es wieder Sysadminday. Aus diesem Grund wollen wir uns
wieder treffen. Damit ich ausreichend Platz bei einem der üblichen
Verdächtigen (Lir, Tiergartenquelle, …) reservieren kann bitte hier anmelden:

http://doodle.com/poll/d3pn8fm2enb7nf4p

Der genau Ort wird dann hier / auf der Mailingliste / auf Twitter bekannt gegeben.

Start ist 19:00 im Marjan Grill direkt am S Bellevue.

Flensburger Straße Ecke Bartningallee
Stadtbahnbogen 411
10557 Berlin

Achtung: Für Vegetarier ist die Auswahl eher schlecht.

Adminstammtisch – 06.07. – Wenn rwx mit ugo zu ungenau ist – SELinux und AppArmor (Jörg Brühe)

Ort: TU-Berlin, Gebäude MAR
Marchstraße 23
Raum: 0.001 (Achtung anderer Raum als beim letzten Mal)
(U2: Ernst Reuter Platz, M45 Marchstr, 245 Marchbrücke)

Zeit: 19:00
Sprache/Language: Deutsch

Anmeldung zum Bier danach / Registration for food and beer after the talk:

http://doodle.com/poll/we6s4ssz5786axkf

Abstract
Linux verwaltet Zugriffsrechte als Erlaubnis zum Lesen (“r”), Schreiben (“w”)
und Ausführen (“x”) für den Eigentümer (“u”), die Gruppe (“g”) und alle
anderen (“o”).

So haben alle Anwendungen für einen Benutzer die gleichen Rechte, das ist aber
oft nicht sinnvoll:
Mein Mail-Client muss mein Adressbuch lesen und ändern können,
aber warum soll z.B. mein Browser das tun dürfen?

Die Kernel-Erweiterungen “SELinux” (“Security-Enhanced Linux”) und “AppArmor”
(“Application Armor”) ändern das: Sie prüfen alle Zugriffe der Anwendungen und
blockieren, was in der eingerichteten Sicherheits-politik nicht vorgesehen
ist.

Im Vortrag werden diese beiden Systeme vorgestellt und die grundlegenden
Admininistrations-Aufgaben beschrieben:
– den Status der Komponente bestimmen und ändern (an- und ausschalten),
– die eingestellte Politik anzeigen lassen und kontrollieren,
– die Zugriffs-Erlaubnisse ändern,
– die Defaults (der Distribution) an die geänderte Anwendungs-
Konfiguration (Port, Data Directory, …) anpassen
(statt die Zugriffskontrolle einfach abzuschalten).

Ziel ist, dass Administratoren das verfügbare System (je nach Distribution:
AppArmor oder SELinux) nutzen. Das setzt bei Abweichungen vom Default (z.B.
Datenverzeichnisse auf separaten Filesystemen) die Anpassung voraus, statt die
Zugriffskontrolle einfach abzuschalten.

Die vielen Abschalt-Empfehlungen bringen nur eine kurzfristige Erleichterung,
aber sie schwächen (völlig unnötig!) die Sicherheit des (Datenbank-)Servers.

Adminstammtisch – 01.06. – Salt-Orchestrated Software-Defined (Freifunk) Networks (Maximilian Wilhelm)

Ort: TU-Berlin, Gebäude MAR
Marchstraße 23
Raum: 0.001 (Achtung anderer Raum als beim letzten Mal)
(U2: Ernst Reuter Platz, M45 Marchstr, 245 Marchbrücke)

Zeit: 19:00
Sprache/Language: Deutsch

Anmeldung zum Bier danach / Registration for food and beer after the talk:

http://doodle.com/poll/m2trt5ck3n56dc4y#table

Max nimmt unter Max@sdn.clinic gerne noch Wünsche bezüglich der Schwerpunkte entgegen.

Abstract:

Die Themen Infrastructure Automation / Orchestration, Cloud und Software Defined Networks sind in aller Munde und nahezu jeder Netzwerkhersteller, der etwas auf sich hält,bietet Produkte und stellenweise sogar Lösungen in dieser Buzzwordblase an.

Der in den letzten Jahren vollzogene Paradigmenwechsel hin zu mehr (Host/Segment-)Routing und weniger Layer2-Magie – Stickwort >>IP Fabric<< - sowie die Besinnung auf offene Standards (OSPF, ISIS, BGP, MPLS) nicht nur in Data-Center-Netzwerken hat neue Standards (z.B. VXLAN) beschert und Open-Source-basierte "Open Networking"-Plattformen auf dem Markt erscheinen lassen. Auf einmal ist man nicht mehr an das Betriebsystem und die Vorgaben des Hardwarevendors gebunden, sondern kann die Control-Plane einiger Gerate mit verschiedenen Linux-basierten Produkten nahezu vollstandig selbst kontrollieren und orchestrieren.

Dank der Linux-Basis und Freude am Open-Source-Gedanken mancher Hersteller sind einige Features in Open-Source-Komponenten (Linux-VRFs, MPLS-Forwarding-Plane im Kernel, etc.) gewandert und stehen somit überall zur Verfügung. Besonders zu erwähnen ist hier das Debian-basierte System von Cumulus Networks, aus deren Feder ifupdown2 sowie VRF-Support in Linux stammen. Eine Sammlung dieser Technologien und Ansätze lassen sich auch in Low-Budget- und/oder Eigenbau-Netzwerken anwenden und können hier erstaunliche und mächtige Optionen eröffnen.

Der Vortrag wird am Beispiel der Netzwerk- und Server-Infrastruktur des Freifunk Hochstift darlegen, wie man mit ein bisschen SaltStack, knapp 1000 Zeilen Python und erschwinglicher Hardware eine SDN-basierte Service-Provider Infrastruktur bereitstellen kann, in der Overlay-Netze und Anycast keine Fremdworte sind.

Neben einem “Technology-Overview” wird es eine Failosophy und Lessons Learned aus dem echten Leben eines Freifunker geben 🙂

Das Zielpublikum des Vortrags umfasst in erster Linie (Linux-)Administratoren und Netzwerker, die bereits Erfahrungen mit der jeweils anderen Welt haben und wissen was Routing ist. Eine positive Einstellung zu Automatisierung ist von Vorteil.

Adminstammtisch – 04.05. – Zabbix (Stefan Krueger)

Ort: TU-Berlin, Gebäude MAR
Marchstraße 23
Raum: 4.064 (4. Stock, aus dem Aufzug links)
(U2: Ernst Reuter Platz, M45 Marchstr, 245 Marchbrücke)

Zeit: 19:00
Sprache/Language: Deutsch

Anmeldung zum Bier danach / Registration for food and beer after the talk:

http://doodle.com/poll/z4fedex87yfyyfv5

Abstract:
Monitoring wird ein immer wichtigeres und komplexeres Thema, daher ist es wichtig eine Monitoringlösung zu haben die schnell und einfach zu installieren und zu warten ist und möglichst viel an Board hat.
Zabbix ist ein Monitoringsystem was dazu genau passt. Ich möchte euch einen Einblick in Zabbix geben, wie es aufgebaut ist, welche Komponenten zusammen spielen, wie schnell es ein zu richten ist, was damit Out-of-the-Box geht und wie einfach man fehlende Dinge hinzufügt.

Adminstammtisch – 06.04. WLAN Kapazitätsplanung (Steven Karch u. Theresa Enghardt)

Ort: TU-Berlin, Gebäude MAR
Marchstraße 23
Raum: 4.064 (4. Stock, aus dem Aufzug links)
(U2: Ernst Reuter Platz, M45 Marchstr, 245 Marchbrücke)

Zeit: 19:00
Sprache/Language: Deutsch

Anmeldung zum Bier danach / Registration for food and beer after the talk:

http://doodle.com/poll/t5czp6qep9fk4dfb

Abstract
Bei der Kapazitätsplanung von Netzwerken steht man oft vor dem Problem, der
Dimensionierung. Hierbei hat sich eine Requirements basierte
Herangehensweise bewährt. Viel schwerer wird es aber, sobald das Thema WLAN
ins Spiel kommt. Anhand von praktischen Beispielen soll demonstriert werden,
wie eine Kpazitätsplanung bei WLAN Netzwerken aussehen kann und wie diese
als Grundlage für ein realistisches Ergebnis dient.
Welche Parameter müssen zwangsläufig benutzt werden, wenn bestimmte Clients
oder bestimmter Traffic Bandbreiten oder QoS benötigt? Welche Parameter
können beim WLAN Design benutzt werden um die Requirements zu erreichen?