Warnung vor der WCM-Linux-Box (Version 2) - Teil 1

Lange habe ich mit mir gerungen, aber die erste Ausgabe des WCM in neuem Layout hat mich dann davon überzeugt, dass ich diesen Rant schreibe. Ich möchte all jenen die vor haben, sich anhand der WCM-Artikelserie „Die WCM-Linux-Box” einen Server aufzusetzten, eher ein Buch von SuSE, Addison-Wesley oder O’Reilly ans Herz legen, als diese planlose, verwirrende und schlecht geschriebene Artikelserie. Ich habe sogar lange vor diesem Posting bereits mit dem zuständigen Redakteur geplaudert und ihn auf die Probleme in der Artikelserie hingewiesen, musste aber anhand der aktuellen Ausgabe (Feb. 2006) feststellen, dass diese konstruktive Kritik nichts geholfen hat. Daher hier nun der erste Teil meine Analyse der Serie „Die WCM-Linux-Box”.

 


 

Was befähigt/berechtigt mich nun eigentlich, dass ich so ein böses Blog-Posting schreibe. Nun, einerseits habe ich im Gegensatz zum verantwortlichen Ressortleiter im WCM Ahnung von Linux – auch von den Innereien – und andererseits habe ich – im Gegensatz zum Autor der Artikel – auch schon einmal so eine Artikelserie publiziert bzw. verantwortet und Korrektur gelesen. Zumindest letzteres dürfte im Rahmen der aktuellen Artikelserie nicht passieren. Noch ein weiteres Wort vorab. Auf die Rechtschreibfehler, die sich durch alle Artikel ziehen, werde ich nur in Ausnahmefällen verweisen. Diese werden allerdings – genauso wie Beistrichfehler, etc. – von mir 1:1 zitiert. Weiters schreibt man im deutschen Sprachraum E-Mail und nicht eMail, aber zumindest diese „falsche” Schreibweise zieht sich durch die Artikel konsequent durch.

Welche Software? / WCM 242

Bereits auf der ersten Seite findet sich Kritik an dem extra für den Artikel zusammengestellten Server. Die installierten 256 MB RAM seien zu wenig, man sollte doch noch besser nochmal 512 MB hineinstecken. Für einen Heimserver für vielleicht 5 User? Hallo?????? Das schafft mein P75 mit 50 MB auch noch – mit allen Diensten, die auch der WCM-Server bietet. Basis ist Debian Sarge. Ok, passt. Aber warum wird nicht auf das wunderbare jidgo verwiesen, das die Erstellung der Installations-CDs so wunderbar vereinfacht? Und das Erstellen einer CD aus einem ISO-Image muss man einem computerinteressierten Leser (Eigendefinition der Zielgruppe durch den Autor der Artikel) doch nicht erklären. Weiters wäre wohl auch ein Hinweis angebracht, dass für die Installation die erste CD durchaus ausreichend ist, wenn man die weiteren Pakete über das Internet herunterlädt – so erspart man sich den Download von 2,1 Gigabyte an Daten. „Der Installer besitzt allerdings keine grafische Oberfläche, zur Navigation wird die Tatstatur benötigt …”. WTF? Das ist keine grafische Oberfläche? DAS ist KEINE grafische Oberfläche. Gruml. Im folgenden Absatz gehst schon an die Details. Hier werden Pläne für die Aufteilung der einzelnen Filesysteme gemacht, ohne dass der Leser überhaupt weiß, worum es geht. Abgesehen davon ist die Partitionierung noch nicht mal an der Reihe. Echt ein Knüller ist dann allerdings der Absatz bezüglich der Netzwerkerkennung. Hier geht es darum, dass der Debian Installer seine Konfiguration nicht von einem ev. bestehenden DHCP-Server übernehmen soll (warum eigentlich nicht?). „Um dies zu unterbinden, schließlich wird die WCM-Linux-Box erster Ansprechpartner für die benötigten Services werden, ist der Rechner erst mal nicht mit dem bestehenden Netzwerk zu verbinden. Also das Netzwerkkabel abgesteckt lassen”, schreibt der Autor des Artikels. LOL. Super Idee. Na egal. Aber wir merken uns: Das Netzwerkkabel ist abgesteckt! Aber es wird noch besser. So wird empfohlen, dass man dem Rechner eine IP-Adresse aus dem Bereich 192.168.x.x vergibt. Der Autor weist aber nicht darauf hin, dass diese auch gerne durch diverse WLAN-Router, etc. vergeben werden und wie man herausfinden kann, welches Subnetz wirklich noch frei wäre. Eingetragen werden weiterhin die DNS-Server des Providers, die Gateway-Adresse soll man aber nicht eintragen, das kommt in einem späteren Artikel. Warum soll ich die DNS-Server eintragen, wenn ich diese ohne Gateway sowieso nicht erreichen kann? Hier zeigt sich bereits, wie unkoordiniert bei der Erstellung der Artikel vorgegangen wurde. Dass man den Domainnamen nicht einfach nach Lust und Laune vergeben sollte und dass es auch für „private” Server bestimmte Empfehlungen (.local) gibt, ignoriert der Autor geflissentlich. Aber vielleicht kommt das ja dann im „Die Box geht online” Artikel. Das Kapitel „Festplatten aufteilen” ist eine einzige Katastrophe. Im Rahmen des Workshops, wo wir mit zig Lesern gemeinsam eine Linux-Box aufgesetzt haben, lernte ich, dass dieser Teil der für den User unverständlichste, verwirrenste und unerklärlichste Teil der Installation ist. Um so erfreuter war ich nach meiner ersten Sarge-Installation, dass die Vorgaben unter „Multi-User Workstation” die Festplatte wunderbar aufteilen. Aber die Leser des Artikels werden mit Einhängpunkten, ReiserFS und anderen Begriffen allein gelassen und nur verwirrt. Wer sich als Anfänger an die Anleitung für die WCM-Linux-Box hält und ein brauchbar partitioniertes System erhält, verdient auf jeden Fall meinen Respekt. Der Hinweis, nicht als root zu arbeiten, ist absolut OK, warum man die User als „f.mustermann” anlegen soll, entzieht sich meinem Verständnis und wird auch nicht wirklich erklärt. Ich kann ihn ja auch popocatepetl nennen und ihm dann später noch einen alias „f.mustermann” verpassen, falls er unter diesem Namen E-Mails empfangen will. Mit der Auswahl der installierten Task bin ich nicht einverstanden. Ich hätte diese erst peu a peu hinzugenommen, wenn ich sie wirklich benötigt hätte. Die alte Admin-Regel „Installiere nur das, was Du unbedingt benötigst”, gilt auch hier. Samba und MTA-Installation (Exim) wird flott abgehandelt, da diese ja später nochmals genauer beschrieben werden (sollen), ist aber in diesem Umfang und Inhalt OK. Warum der Autor dann in zwei Spalten die Apt-Kommandozeilentools vorstellt, anstatt die Installation und Bedienung von Aptitude zu erklären, ist mir nicht verständlich. Schließlich handelt es sich bei dem Server ja nicht um einen alten P75, auf dem Aptitude schon sehr langsam läuft. Und glücklich wird der User mit dieser mehr als kurzen Anleitung nicht. Da hilft auch nicht die aus dem Zusammenhang gerissene „Befehlsreferenz Debian”, bei der es sich eigentlich um „Kommandozeilen-Tools zur Datei- und Verzeichnisverwaltung” handelt. Benötigt wird dieser Exkurs in apt zur Installation des Web-Konfigurationstools „Webmin”. Dieser wird über apt-get installiert und mit dem Editor „nano” an das Netzwerk angepasst. Anschließend wird er noch neu gestartet. Und jetzt wird es wirklich lustig:
Somit kann von jedem Rechner, der mit einem Browser wie Firefox oder InternetExlorer [Schreibweise wie im Heft, Anm. m3] ausgestattet ist, durch die Eingabe von http://192.168.123.1:10000 unser Server grafisch administriert werden.
Könnt Ihr Euch noch erinnern, worauf ich acht Absätze weiter oben hingewiesen habe? DAS NETZWERKKABEL IST AUSGESTECKT !!! Kein einziger PC wird sich auf den Rechner verbinden können. Dass der Aufbau des LANs nicht beschrieben wurde, Switches und Router nicht erwähnt wurden und auch die Netzwerk-Konfiguration des Windows-PCs, der den Server „grafisch” administrieren soll, in keinster Weise beschrieben wird, überrascht in diesem Zusammenhang sicherlich nicht, oder? Wozu sich der Autor nun die Mühe macht, auch noch eine Firewall hochzuziehen, ist mir nicht ganz klar, schließlich verfügen wir ja noch immer nicht über eine Verbindung zu einem Netzwerk. Lustig ist an dem Firewall-Script, dass nirgends darauf hingewiesen wird, dass nur der erste LAN-Port (eth0) „geschützt” wird. Hat der User das Kabel doch und am falschen Port angeschlossen, ist er wunderbar offen. Von Tools wie update-rc, chkconfg und ntsysv dürfte der Autor des Workshops noch nie etwas gehört haben, da er den Leser die Symlinks für die verschiedenen Runlevel – notwendig, damit die Firewall automatisch gestartet wird – umständlich manuell setzen lässt. Und das nur im Runlevel 2, aber bitte. „Lustiger” ist in diesem Zusammenhang noch, dass der Benutzer das Firewallscript in der beschriebenen Weise gar nicht erstellen kann, da er in /etc/init.d/ nicht schreiben darf. Bei Webmin wurde noch su/sudo verwendet, hier wurde darauf offenbar vergessen. Und warum das Script World-Executable sein muss, ist mir auch nicht klar. Auf einmal findet sich – als wenn es dem Autor erst beim Schreiben eingefallen wäre – ein Verweis darauf, dass man ev. doch eine Default-Route setzten sollte. Im Gegensatz zu ein paar Absätzen zuvor, wo das Netzwerk via dpkg-reconfigure etherconf konfiguriert wurde, geht der Autor hier in die Vollen und setzt ein „route add” auf der Kommandozeile ab - natürlich wieder als ONU und nicht als root, ergo wird es nicht funktionieren. Hmm, jetzt setzen wir das „Default Gateway”, obwohl wir das erst später machen wollen? Also was jetzt, dieser junge Autor ist etwas sprunghaft. Nachdem (ERNEUT) auf den folgenden Artikel verwiesen wurde, lässt der Autor den Leser die /etc/sources.list bearbeiten, damit die Pakete aktualisiert und Sicherheitspatches eingespielt werden können. Trollig wie immer lässt er den ONU wieder mit nano die Datei manuell bearbeiten. Natürlich auch wieder ohne su/sudo, sodass das Beispiel wie abgedruckt nicht funktionieren kann. Bei den nachfolgenden apt-get update/upgrade hat er das sudo aber wieder drinnen. Eleganter wäre der Einsatz von netselect-apt gewesen, der dem User diese mühsame Arbeit abgenommen hätte. Lustig ist dann auch noch der ($DEITY sei Dank) letzte Absatz, indem die Einrichtung einer SSH-Verbindung zum Server beschrieben wird. Auch diese wird, trotz Verweises auf die „richtigen” Tools fehlschlagen, da der sshd bis jetzt weder installiert noch konfiguriert wurde. Aber das sind sicherlich Details, auf die es nicht ankommt, wenn man für „Österreichs führende Computerzeitung” schreibt. die Frage ist nur, wohin führt sie? In den Abgrund? ;)

Ein Pinguin verbindet / WCM 242

Der Artikel war, dank eines kompetenten Autors, prinzipiell in Ordnung. Was ich nicht verstehe ist, warum im vorangegangenen Artikel das Netzwerk bequem mit etherconf konfiguriert wurde, wenn nun wieder alle Werte per Hand in die entsprechende config-Dateien eingetragen werden. Und dabei offenbart sich ein weiterer organisatorischer Fehler – auf einmal wird mit vi editiert, was einen unbedarften ONU doch eher überfordern würde. Hier hat der Ressortchef eindeutig weder vorab klärend, noch beim Korrekturlesen [allgemeines Gelächter des Publikums] korrigierend eingegriffen.

WCM-Linux-Box geht online / WCM 242

Und weil es so schön war, wird hier NOCHMALS das Netzwerk konfiguriert, auch diesmal wieder mit der Hand, obwohl es mit „dpkg-reconfigure etherconf” so schnell, bequem und einfach möglich wäre. Auch hier werden wieder die config-files editiert, diesmal zur Abwechslung wieder mit nano, dafür auch mit sudo, sollte also klappen. Dieser Artikel eignet sich wunderbar als Therapie für Leute mit Schlafstörungen, da nun in aller Breite und Länge die Konfiguration für ADSL der unterschiedlichsten Anbieter beschrieben wird. Den Kasten „always on” sucht man vergeblich und dass die Startup-Scripts wieder manuell verlinkt werden, gehört nun auch schon zur Routine. Hey, das Gateway wird hier auch wieder eingerichtet. Leider wissen wir nicht wie, da der Kasten „Gateway” ebenfalls fehlt. Auf jeden Fall wundere ich mich, dass man anscheinend die Karte ins externe Netz in keinster Weise konfigurieren muss und man das Gateway im Firewall-Script einträgt. Sehr seltsam. Oh, und übrigens - das Netzwerkkabel haben wir bis jetzt noch nicht wieder eingesteckt. Und eine Beschreibung/Hilfe zum Netzwerkumfeld – welche Router/Switches/Hubs brauche ich, wie verbinde ich diese, etc. – findet sich in dem gesamten Machwerk nicht.

Paketverteilung für die CPU / WCM 243

Soda, endlich wird mal die Paketverwaltung ordentlich beschrieben. Warum nicht gleich so sondern dieser Murks in der letzten Ausgabe? Ich frag mich nur, was die Softwarepakete mit der CPU zu tun haben (siehe Titel)? Wenigstens konfigurieren sie die /etc/apt/sources.list nun mit apt-setup, was zumindest etwas bequemer ist. Und das ständige Arbeiten als root ist keine gute Idee, aber bitte. Warum man apt drei Seiten widmet, aber über das wesentlich komfortablere aptitude kaum ein Wort verliert, ist mit nicht klar. IMHO gibt dieser Artikel viel zu viel Detailinfo, die man zu diesem Zeitpunkt nicht benötigt. Einen Grant bekam ich dann wieder am Ende des Artikels. Zitat:
Es reicht also völlig aus, einmal im Monat längstens eine halbe Stunde Zeit zu investieren um den Update-Vorgang manuell zu starten und zu überwachen.
WTF???? Hallo?!?!?!?!?!? Hat IRGENDJEMAND, der zumindest ein wenig AHNUNG VON DER MATERIE hat, den Artikel GEGENGELESEN???? Wenn das die WCM-Meinung zum Thema „Sicherheit” ist, dann sollte man den Verantwortlichen SOFORT sämtliche Kompetenz absprechen. Updates gehören zumindest täglich (Ausnahmen bestätigen die Regel) überprüft und eingespielt, unabhängig von dem Betriebssystem und der Software. Da bleibt mir das „Lachen” über „apt-get moo” im Halse stecken.

Ein Schwergewicht leicht angewandt / WCM 243

Oida voda! Was sich da auf einer Seite ansammelt. Unpackbar! MySQL hat einen verringerten Befehlssatz gegenüber „professionellen” Datenbanken. Na da werden sich ja all jene freuen, die MySQL in einem professionellen Umfeld einsetzten. Und was ist bitte eine „freie Lizenz”? Eine Lizenz ist entweder eine Lizenz oder keine, aber eine Lizenz kann – im Gegensatz zum Menschen – nicht frei sein.
Sehen wir uns nun an, welche Tabellen MySQL schon mitbringt. SHOW DATABASES; zeigt uns mysql und test als bereits vorhanden an. mysql ist eine interne Tabelle, die MySQL braucht um reibungslos zu funktionieren und in der man die Datenbank konfigurieren kann.
Hallo? Show Databases zeigt, wie der Name schon sagt, die Datenbanken und NICHT die Tabellen an. Hat Irgendjemand, der ein wenig Ahnung von Technik hat, diesen Artikel gegengelesen? Ein paar Zeilen weiter unten werden die Begriffe dann nämlich korrekt verwendet. Und das wars im Prinzip auch schon. Nun hab ich zwar einen tollen SQL-Server installiert, aber was soll ich damit tun? Fragen über Fragen.

Sicherheitsgewinn durch Einschränkungen / WCM 243

Dieser Artikel über die Rechteverwaltung unter Unix-ähnlichen Betriebssystemen ist sogar ganz OK. Warum der Autor allerdings anstelle von UNIX-basierenden nur „UN*X-basierenden” schrieb, wird wohl nie zu klären sein. Weiters fehlt diesem Artikel ein Absatz über „su” und auch, wie man dem sshd abgewöhnt, dass er Verbindungen für den User „root” annimmt. Hier kommt übrigens mit „pico” auch schon der dritte Texteditor in der Artikelserie zum Einsatz. Aber irgendwas werden sie sich schon dabei gedacht haben. Vergangen ist mir das Lachen allerdings bei den letzten beiden Absätzen:
Wir werden in Zukunft aus Sicherheitsgründen auf eine datenbankbasierende Alternative setzten, die das unter Windows übliche ActiveDirectory vorerst ersetzen soll.
Ich wusste gar nicht, dass Microsoft plant, ActiveDirectory durch eine Datenbank zu ersetzen – oder war das etwa anders gemeint? ;) Nur was für Sicherheitsgründe sprechen gegen /etc/passwd, /etc/group und Shadow-Passwörter. Wenn diese Mechanismen so unsicher sind, warum existieren sie schon so lange und werden noch immer eingesetzt? Schade, dass der Autor hier nicht auf Details eingeht, ich hätte dazu gern mehr erfahren.
Gelingt es einem Angreifer Benutzernamen und Passwort eines Benutzers zu ergattern, könnte er Dateien mit bösartigem Code in dessen Heimatverzeichnis ablegen und von dort aus das System infiltrieren. Um dies zu umgehen, verwenden wir eine MySQL-Tabelle, in der sämtliche Benutzer sozusagen virtuell abgelegt sind.
ROTFL. Also so viel gequirrlte Scheiße hab ich seit Microsofts Erklärungsversuchen, warum der Notes-Analyzer wieder zurückgezogen wurde, nicht mehr gehört. Benutzerdaten in einer MySQL-DB schützen mich vor Angriffen, bei denen der Angreifer Username/Passwort weiß? Wenn ich Uploads via ftp erlaube und der Benutzer in ein Verzeichnis schreiben darf? Inwieweit schützt mich da die MySQL-Datenbank? Halllooo???? Hat hier jemand Korrektur gelesen bzw. das Konzept einmal überprüft???? Und das von „Österreichs führender Computerzeitung”. Ist der Ruf erst ruiniert ….
Ein voller Ersatz für ActiveDirectory ist diese Methode nicht, die richtige Konkurrenz zur Microsoft-Implementierung wäre das LDAP-Protokoll, welches wir zu einem späteren Zeitpunkt behandeln wollen. Beachten Sie deshalb den MySQL-Artikel in dieser Ausgabe.
Mein lieber Schwan, was will uns der Autor mit diesem Geschwafel sagen? Die Alternative zu AD ist ein Protokoll? Das glaub ich wohl eher nicht. Eher schon Novell ZENWorks oder die Angebote zur Identitätsverwaltung von CA, IBM, etc., die alle zufällig auch LDAP unterstützten. Genauso wie OpenLDAP, eine freier LDAP-Server, der ähnlich wie AD verwendet werden kann. Und warum soll ich den MySQL-Artikel beachten, wenn ich was zu LDAP wissen will? Das Netzwerkkabel, das wir im ersten Artikel ausgesteckt haben, ist übrigens bis jetzt noch nicht wieder eingesteckt worden.

Fazit I

Hier hat ein ambitionierter, aber nur mangelhaft ausgebildeter Autor versucht, über ein Fachgebiet zu schreiben, in dem er selber nicht sehr sattelfest ist/war. Weiters hat es eindeutig an der fachlichen Kompetenz innerhalb der Redaktion gefehlt, sodass schwere inhaltliche Fehler unkorrigiert in die Druckversion gelangten. Ein Errata gibt es übrigens bis Heute nicht. Hinzu kommt, dass die Koordinationsaufgaben des Ressortleiters, der für diesen Schwerpunkt verantwortlich ist/war, eindeutig nicht oder nur mangelhaft wahrgenommen wurden. Das inhaltliche Chaos ist auch bei oberflächlicher Lektüre klar ersichtlich. Von „Österreichs führender Computerzeitung für den interessierten Endanwender, versierte Computernutzer, Systemadministratoren in KMUs und Großunternehmen, …” hätte ich mir mehr erwartet. Eigentlich sollten die Autoren mehr wissen als die Leser. Die Analyse der weiteren Artikel zur WCM-Linux-Box folgt, sobald ich mich von der Lektüre der ersten beiden Hefte erholt habe.

Tagged as: , | Author:
[Sonntag, 20060409, 16:30 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Search

RSS Feed RSS Feed

Tag Cloud

2007, a-trust, a.trust, a1, accessability, acta, advent, age, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, collection, computer, computing, concert, conference, copyright, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, Ein_Tag_im_Leben, email, eu, event, exchange, Extensions, fail, feedback, film, firefox, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, ibm, IBM, ical, image, innovation, intel, internet, internet explorer, iphone, ipod, isp, it, IT, java, javascript, job, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, Linux, linux, linuxwochen, linuxwochenende, living, lol, london, lost+found, Lotus, lotus, lotus notes, Lotus Notes, lotusnotes, LotusNotes, Lotusphere, lotusphere, Lotusphere2006, lotusphere2007, Lotusphere2008, lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mobile, mood, movie, mp3, multimedia, music, musik, männer, nasa, netwatcher, network, netzpolitik, news, nokia, notes, Notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rss, science, search, security, server, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, uk, unix, update, usa, vds, video, videoüberwachung, vienna, vim, Vim, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, wow, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist