<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>FAI ist zum ausrollen von .deb Systemen AFAIK erste Wahl.</div><div>Für das Komfiguratonsmanagement setze ich auf cfengine,</div><div>das ist nicht nur distributions- sondern auch plattformunabhängig.</div><div>***IXe, OS X, und - das habe ich mir bisher allerdings noch nicht</div><div>angetan - selbst Windowssysteme lassen sich damit wie von Dir</div><div>gewünscht administrieren.</div><div><span style="font-family: '.HelveticaNeueUI'; font-size: 15px; line-height: 19px; white-space: nowrap; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); -webkit-text-size-adjust: none; "><a href="http://cf-learn.info/">http://cf-learn.info/</a></span></div><div><span style="font-family: '.HelveticaNeueUI'; font-size: 15px; line-height: 19px; white-space: nowrap; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); -webkit-text-size-adjust: none; ">ist günstig und einmal verdaut ist das keine Hexerei.</span></div><div><span style="font-family: '.HelveticaNeueUI'; font-size: 15px; line-height: 19px; white-space: nowrap; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); -webkit-text-size-adjust: none; ">hth und guten Rutsch etc pp</span></div><div><span style="font-family: '.HelveticaNeueUI'; font-size: 15px; line-height: 19px; white-space: nowrap; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); -webkit-text-size-adjust: none; ">Bernhard</span></div><div><span style="font-family: '.HelveticaNeueUI'; font-size: 15px; line-height: 19px; white-space: nowrap; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); -webkit-text-size-adjust: none; "><br></span></div><div><br></div><div><br>On 31.12.2013, at 12:00, <a href="mailto:sage-request@guug.de">sage-request@guug.de</a> wrote:<br><br></div><blockquote type="cite"><div><span>Send SAGE mailing list submissions to</span><br><span> <a href="mailto:sage@guug.de">sage@guug.de</a></span><br><span></span><br><span>To subscribe or unsubscribe via the World Wide Web, visit</span><br><span> <a href="http://lists.guug.de/mailman/listinfo/sage">http://lists.guug.de/mailman/listinfo/sage</a></span><br><span>or, via email, send a message with subject or body 'help' to</span><br><span> <a href="mailto:sage-request@guug.de">sage-request@guug.de</a></span><br><span></span><br><span>You can reach the person managing the list at</span><br><span> <a href="mailto:sage-owner@guug.de">sage-owner@guug.de</a></span><br><span></span><br><span>When replying, please edit your Subject line so it is more specific</span><br><span>than "Re: Contents of SAGE digest..."</span><br><span></span><br><span></span><br><span>Today's Topics:</span><br><span></span><br><span> 1. Konfigurations-Datei-Management (Manuel Schneider)</span><br><span> 2. Re: Konfigurations-Datei-Management (Frank Doepper)</span><br><span> 3. NTPD compromised for DDOS (Julian H. Stacey)</span><br><span> 4. Re: Konfigurations-Datei-Management (Simon H?nscheid)</span><br><span></span><br><span></span><br><span>----------------------------------------------------------------------</span><br><span></span><br><span>Message: 1</span><br><span>Date: Mon, 30 Dec 2013 14:28:32 +0100</span><br><span>From: Manuel Schneider <<a href="mailto:manuel.schneider@wikimedia.ch">manuel.schneider@wikimedia.ch</a>></span><br><span>Subject: [sage] Konfigurations-Datei-Management</span><br><span>To: <a href="mailto:sage@guug.de">sage@guug.de</a></span><br><span>Message-ID: <<a href="mailto:52C17500.3020905@wikimedia.ch">52C17500.3020905@wikimedia.ch</a>></span><br><span>Content-Type: text/plain; charset=ISO-8859-15</span><br><span></span><br><span>Hallo zusammen,</span><br><span></span><br><span>ich bin auf der Suche nach einem geeigneten</span><br><span>Konfigurationsmanagement-Werkzeug, welches mir die Arbeit bei der</span><br><span>Verwaltung heterogener Linux-Umgebungen erleichtern soll. Bewusst</span><br><span>schrieb ich "Konfigurations-Datei-Management" in den Betreff, denn darum</span><br><span>geht es im Kern.</span><br><span></span><br><span>Sicherlich gib es das Gesuchte schon, aber die L?sungen, die ich mir</span><br><span>angesehen habe (Puppet, Git) scheinen das nicht so zu liefern - oder ich</span><br><span>kenne mich schlichtweg zu wenig aus. Darum frage ich nun Euch.</span><br><span></span><br><span>Diese Vorgehensweise stelle ich mir vor:</span><br><span></span><br><span>* zuerst hinterlegt man gewisse Konfig-Files als Standard. Evtl. kann</span><br><span>man diese auch noch Rollen zuordnen, so dass das System weiss "diese</span><br><span>Konfig-File braucht nur eine Maschine, die in der Rolle Webserver ist".</span><br><span></span><br><span>* anschliessend definiert man pro Maschine Abweichungen vom Standard.</span><br><span>Bspw. andere Kernel-Module in der /usr/src/linux/.config. Diese</span><br><span>Abweichungen werden als Diffs o?. gespeichert.</span><br><span>Idealerweise werden diese Diffs auch Rollen zugordnet, so dass man bspw.</span><br><span>eine Rolle "alle Server mit NVIDIA-SATA-Controller" hat, die alle die</span><br><span>selbe Abweichung haben.</span><br><span></span><br><span>* jederzeit kann ich mir f?r eine bestimmte Maschine die aktuelle Konfig</span><br><span>bauen lassen - idealerweise wird diese per SSH auf Knopfdruck deployed.</span><br><span></span><br><span>* genial w?re ein Feature, bei der ich eine ge?nderte Datei (bspw. wegen</span><br><span>Update) wieder einlesen k?nnte und dann die ?nderungen zum Standard bzw.</span><br><span>zur Maschinen-Konfig sehe. Dann kann ich entscheiden welche ?nderung ich</span><br><span>in den Standard ?bernehmen will oder in die Abweichung der jeweiligen</span><br><span>Maschine, oder was ich verwerfen will.</span><br><span></span><br><span>Anschliessend baue ich die neuen Konfigs aus dem ge?nderten Standard und</span><br><span>rolle diese wieder aus.</span><br><span></span><br><span>So ein System w?re, da es auf Textdateien basiert, quasi v?llig</span><br><span>Distributionsunabh?ngig. Damit k?nnte ich meine httpd.conf, meine</span><br><span>Kernel-Konfig, mein LILO oder meine RAID-Konfiguration verwalten.</span><br><span></span><br><span>Was k?nnt ihr mir empfehlen / raten?</span><br><span></span><br><span></span><br><span>Vielen Dank f?r Eure Hilfe,</span><br><span></span><br><span></span><br><span>Manuel</span><br><span>-- </span><br><span>Wikimedia CH - Verein zur F?rderung Freien Wissens</span><br><span>Lausanne, +41 (21) 34066-22 - <a href="http://www.wikimedia.ch">www.wikimedia.ch</a></span><br><span></span><br><span></span><br><span></span><br><span>------------------------------</span><br><span></span><br><span>Message: 2</span><br><span>Date: Mon, 30 Dec 2013 14:32:36 +0100 (CET)</span><br><span>From: Frank Doepper <<a href="mailto:fd@taz.de">fd@taz.de</a>></span><br><span>Subject: Re: [sage] Konfigurations-Datei-Management</span><br><span>To: Manuel Schneider <<a href="mailto:manuel.schneider@wikimedia.ch">manuel.schneider@wikimedia.ch</a>></span><br><span>Cc: <a href="mailto:sage@guug.de">sage@guug.de</a></span><br><span>Message-ID: <<a href="mailto:alpine.DEB.2.02.1312301431160.16307@griselda.edv.taz.de">alpine.DEB.2.02.1312301431160.16307@griselda.edv.taz.de</a>></span><br><span>Content-Type: TEXT/PLAIN; charset=iso-8859-15</span><br><span></span><br><span>Am 30.12.13 um 14:28 schrieb Manuel Schneider:</span><br><span></span><br><blockquote type="cite"><span>Sicherlich gib es das Gesuchte schon, aber die L?sungen, die ich mir</span><br></blockquote><blockquote type="cite"><span>angesehen habe (Puppet, Git) scheinen das nicht so zu liefern</span><br></blockquote><span></span><br><span>Schau dir mal noch FAI? und Ansible? an.</span><br><span></span><br><span>Viele Gr??e,</span><br><span>Frank</span><br><span></span><br><span>? <a href="http://fai-project.org/">http://fai-project.org/</a></span><br><span>? <a href="http://www.ansibleworks.com/">http://www.ansibleworks.com/</a></span><br><span></span><br><span></span><br><span></span><br><span>------------------------------</span><br><span></span><br><span>Message: 3</span><br><span>Date: Tue, 31 Dec 2013 01:52:23 +0100</span><br><span>From: "Julian H. Stacey" <<a href="mailto:jhs@berklix.com">jhs@berklix.com</a>></span><br><span>Subject: [sage] NTPD compromised for DDOS</span><br><span>To: <a href="mailto:sage@guug.de">sage@guug.de</a></span><br><span>Message-ID: <201312310052.<a href="mailto:rBV0qNXp063215@fire.js.berklix.net">rBV0qNXp063215@fire.js.berklix.net</a>></span><br><span></span><br><span>FYI Created: 26 Dec 2013 | Updated: 26 Dec 2013 </span><br><span><a href="http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks">http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks</a></span><br><span></span><br><span>See Also</span><br><span><a href="https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html">https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html</a></span><br><span><a href="http://www.ntp.org/">http://www.ntp.org/</a></span><br><span></span><br><span>Cheers,</span><br><span>Julian</span><br><span>-- </span><br><span>Julian Stacey, BSD Unix Linux C Sys Eng Consultant, Munich <a href="http://berklix.com">http://berklix.com</a></span><br><span> Reply below not above, like a play script. Indent old text with "> ".</span><br><span> Send plain text. No quoted-printable, HTML, base64, multipart/alternative.</span><br><span></span><br><span></span><br><span></span><br><span>------------------------------</span><br><span></span><br><span>Message: 4</span><br><span>Date: Tue, 31 Dec 2013 02:10:09 +0100</span><br><span>From: Simon H?nscheid <<a href="mailto:mailinglisten@simonhoenscheid.de">mailinglisten@simonhoenscheid.de</a>></span><br><span>Subject: Re: [sage] Konfigurations-Datei-Management</span><br><span>To: <a href="mailto:sage@guug.de">sage@guug.de</a></span><br><span>Message-ID: <<a href="mailto:52C21971.6020306@simonhoenscheid.de">52C21971.6020306@simonhoenscheid.de</a>></span><br><span>Content-Type: text/plain; charset=ISO-8859-15</span><br><span></span><br><span></span><br><blockquote type="cite"><span>Hallo zusammen,</span><br></blockquote><span>Hallo Manuel</span><br><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Sicherlich gib es das Gesuchte schon, aber die L?sungen, die ich mir</span><br></blockquote><blockquote type="cite"><span>angesehen habe (Puppet, Git) scheinen das nicht so zu liefern - oder</span><br></blockquote><span>ich kenne mich schlichtweg zu wenig aus. Darum frage ich nun Euch.</span><br><span></span><br><span>Puppet und git ist schonmal nicht verkehrt.</span><br><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Diese Vorgehensweise stelle ich mir vor:</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>* zuerst hinterlegt man gewisse Konfig-Files als Standard. Evtl. kann</span><br></blockquote><blockquote type="cite"><span>man diese auch noch Rollen zuordnen, so dass das System weiss "diese</span><br></blockquote><blockquote type="cite"><span>Konfig-File braucht nur eine Maschine, die in der Rolle Webserver ist".</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><span>Das kann Puppet zum Beispiel. Sehr fein modeliert ist das hier beschrieben:</span><br><span><a href="http://www.craigdunn.org/2012/05/239/">http://www.craigdunn.org/2012/05/239/</a></span><br><span></span><br><blockquote type="cite"><span>* anschliessend definiert man pro Maschine Abweichungen vom Standard.</span><br></blockquote><blockquote type="cite"><span>Bspw. andere Kernel-Module in der /usr/src/linux/.config. Diese</span><br></blockquote><blockquote type="cite"><span>Abweichungen werden als Diffs o?. gespeichert.</span><br></blockquote><blockquote type="cite"><span>Idealerweise werden diese Diffs auch Rollen zugordnet, so dass man</span><br></blockquote><span>bspw. eine Rolle "alle Server mit NVIDIA-SATA-Controller" hat, die alle</span><br><span>die selbe Abweichung haben.</span><br><span></span><br><span>Das geht mit Puppet ohne weiteres. Entweder auf Basis von Rollen,</span><br><span>Facts(Betriebssystem, CPU, RAM, IP...) oder beliebigen anderen Bedingungen</span><br><span></span><br><blockquote type="cite"><span>* jederzeit kann ich mir f?r eine bestimmte Maschine die aktuelle</span><br></blockquote><span>Konfig bauen lassen - idealerweise wird diese per SSH auf Knopfdruck</span><br><span>deployed.</span><br><span></span><br><span>Ginge auch, entweder als Push oder Pull oder Dezentral</span><br><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>* genial w?re ein Feature, bei der ich eine ge?nderte Datei (bspw.</span><br></blockquote><span>wegen Update) wieder einlesen k?nnte und dann die ?nderungen zum</span><br><span>Standard bzw. zur Maschinen-Konfig sehe. Dann kann ich entscheiden</span><br><span>welche ?nderung ich in den Standard ?bernehmen will oder in die</span><br><span>Abweichung der jeweiligen Maschine, oder was ich verwerfen will.</span><br><span></span><br><span>Puppet zeigt dir beim Run an was er ?ndern w?rde. Du kannst einen noop</span><br><span>Run machen, der zeigt dir die ?nderungen ohne diese auszurollen.</span><br><span></span><br><blockquote type="cite"><span>Anschliessend baue ich die neuen Konfigs aus dem ge?nderten Standard</span><br></blockquote><span>und rolle diese wieder aus.</span><br><span></span><br><span>Du hast git, ?nderungen sind damit nachvollziehbar.</span><br><span></span><br><blockquote type="cite"><span>So ein System w?re, da es auf Textdateien basiert, quasi v?llig</span><br></blockquote><blockquote type="cite"><span>Distributionsunabh?ngig. Damit k?nnte ich meine httpd.conf, meine</span><br></blockquote><blockquote type="cite"><span>Kernel-Konfig, mein LILO oder meine RAID-Konfiguration verwalten.</span><br></blockquote><span></span><br><span></span><br><span>Puppet kann eine Menge Distributionen und Systeme bediehnen, man muss</span><br><span>ihm nur manchmal ein wenig bei der Auswahl helfen ;)</span><br><span></span><br><blockquote type="cite"><span>Was k?nnt ihr mir empfehlen / raten?</span><br></blockquote><span></span><br><span>Ich kann dir empfehlen generell etwas zum konfigurieren zu nutzen was:</span><br><span></span><br><span>* Nicht gegen das Paketsystem arbeitet</span><br><span>* eine gute Community hat</span><br><span>* sich versionieren l?sst</span><br><span>* Skaliert</span><br><span></span><br><span>Puppet mag erstmal abschrecken, da man eine eigene Spache lernen muss</span><br><span>und sich ein wenig einarbeiten muss. Danach ist es aber grade in</span><br><span>Kombination mit Hiera sehr sauber und ?bersichtlich,</span><br><span></span><br><span>Ich hoffe das hilft dir ein wenig</span><br><span>Simon</span><br><span></span><br><span></span><br><span></span><br><span></span><br><span></span><br><span>------------------------------</span><br><span></span><br><span>_______________________________________________</span><br><span>SAGE mailing list</span><br><span><a href="mailto:SAGE@guug.de">SAGE@guug.de</a></span><br><span><a href="http://lists.guug.de/mailman/listinfo/sage">http://lists.guug.de/mailman/listinfo/sage</a></span><br><span></span><br><span></span><br><span>End of SAGE Digest, Vol 84, Issue 4</span><br><span>***********************************</span><br></div></blockquote></body></html>