[sage] SAGE Digest, Vol 84, Issue 4

Tue Dec 31 13:15:03 CET 2013

FAI ist zum ausrollen von .deb Systemen AFAIK erste Wahl.
FÃ¼r das Komfiguratonsmanagement setze ich auf cfengine,
das ist nicht nur distributions- sondern auch plattformunabhÃ¤ngig.
***IXe, OS X, und - das habe ich mir bisher allerdings noch nicht
angetan - selbst Windowssysteme lassen sich damit wie von Dir
gewÃ¼nscht administrieren.
http://cf-learn.info/
ist gÃ¼nstig und einmal verdaut ist das keine Hexerei.
hth und guten Rutsch etc pp
Bernhard

On 31.12.2013, at 12:00, sage-request at guug.de wrote:

> Send SAGE mailing list submissions to
>    sage at guug.de
> 
> To subscribe or unsubscribe via the World Wide Web, visit
>    http://lists.guug.de/mailman/listinfo/sage
> or, via email, send a message with subject or body 'help' to
>    sage-request at guug.de
> 
> You can reach the person managing the list at
>    sage-owner at guug.de
> 
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of SAGE digest..."
> 
> 
> Today's Topics:
> 
>   1. Konfigurations-Datei-Management (Manuel Schneider)
>   2. Re: Konfigurations-Datei-Management (Frank Doepper)
>   3. NTPD compromised for DDOS (Julian H. Stacey)
>   4. Re: Konfigurations-Datei-Management (Simon H?nscheid)
> 
> 
> ----------------------------------------------------------------------
> 
> Message: 1
> Date: Mon, 30 Dec 2013 14:28:32 +0100
> From: Manuel Schneider <manuel.schneider at wikimedia.ch>
> Subject: [sage] Konfigurations-Datei-Management
> To: sage at guug.de
> Message-ID: <52C17500.3020905 at wikimedia.ch>
> Content-Type: text/plain; charset=ISO-8859-15
> 
> Hallo zusammen,
> 
> ich bin auf der Suche nach einem geeigneten
> Konfigurationsmanagement-Werkzeug, welches mir die Arbeit bei der
> Verwaltung heterogener Linux-Umgebungen erleichtern soll. Bewusst
> schrieb ich "Konfigurations-Datei-Management" in den Betreff, denn darum
> geht es im Kern.
> 
> Sicherlich gib es das Gesuchte schon, aber die L?sungen, die ich mir
> angesehen habe (Puppet, Git) scheinen das nicht so zu liefern - oder ich
> kenne mich schlichtweg zu wenig aus. Darum frage ich nun Euch.
> 
> Diese Vorgehensweise stelle ich mir vor:
> 
> * zuerst hinterlegt man gewisse Konfig-Files als Standard. Evtl. kann
> man diese auch noch Rollen zuordnen, so dass das System weiss "diese
> Konfig-File braucht nur eine Maschine, die in der Rolle Webserver ist".
> 
> * anschliessend definiert man pro Maschine Abweichungen vom Standard.
> Bspw. andere Kernel-Module in der /usr/src/linux/.config. Diese
> Abweichungen werden als Diffs o?. gespeichert.
> Idealerweise werden diese Diffs auch Rollen zugordnet, so dass man bspw.
> eine Rolle "alle Server mit NVIDIA-SATA-Controller" hat, die alle die
> selbe Abweichung haben.
> 
> * jederzeit kann ich mir f?r eine bestimmte Maschine die aktuelle Konfig
> bauen lassen - idealerweise wird diese per SSH auf Knopfdruck deployed.
> 
> * genial w?re ein Feature, bei der ich eine ge?nderte Datei (bspw. wegen
> Update) wieder einlesen k?nnte und dann die ?nderungen zum Standard bzw.
> zur Maschinen-Konfig sehe. Dann kann ich entscheiden welche ?nderung ich
> in den Standard ?bernehmen will oder in die Abweichung der jeweiligen
> Maschine, oder was ich verwerfen will.
> 
> Anschliessend baue ich die neuen Konfigs aus dem ge?nderten Standard und
> rolle diese wieder aus.
> 
> So ein System w?re, da es auf Textdateien basiert, quasi v?llig
> Distributionsunabh?ngig. Damit k?nnte ich meine httpd.conf, meine
> Kernel-Konfig, mein LILO oder meine RAID-Konfiguration verwalten.
> 
> Was k?nnt ihr mir empfehlen / raten?
> 
> 
> Vielen Dank f?r Eure Hilfe,
> 
> 
> Manuel
> -- 
> Wikimedia CH - Verein zur F?rderung Freien Wissens
> Lausanne, +41 (21) 34066-22 - www.wikimedia.ch
> 
> 
> 
> ------------------------------
> 
> Message: 2
> Date: Mon, 30 Dec 2013 14:32:36 +0100 (CET)
> From: Frank Doepper <fd at taz.de>
> Subject: Re: [sage] Konfigurations-Datei-Management
> To: Manuel Schneider <manuel.schneider at wikimedia.ch>
> Cc: sage at guug.de
> Message-ID: <alpine.DEB.2.02.1312301431160.16307 at griselda.edv.taz.de>
> Content-Type: TEXT/PLAIN; charset=iso-8859-15
> 
> Am 30.12.13 um 14:28 schrieb Manuel Schneider:
> 
>> Sicherlich gib es das Gesuchte schon, aber die L?sungen, die ich mir
>> angesehen habe (Puppet, Git) scheinen das nicht so zu liefern
> 
> Schau dir mal noch FAI? und Ansible? an.
> 
> Viele Gr??e,
> Frank
> 
> ? http://fai-project.org/
> ? http://www.ansibleworks.com/
> 
> 
> 
> ------------------------------
> 
> Message: 3
> Date: Tue, 31 Dec 2013 01:52:23 +0100
> From: "Julian H. Stacey" <jhs at berklix.com>
> Subject: [sage] NTPD compromised for DDOS
> To: sage at guug.de
> Message-ID: <201312310052.rBV0qNXp063215 at fire.js.berklix.net>
> 
> FYI Created: 26 Dec 2013 | Updated: 26 Dec 2013 
> http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks
> 
> See Also
> https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
> http://www.ntp.org/
> 
> Cheers,
> Julian
> -- 
> Julian Stacey, BSD Unix Linux C Sys Eng Consultant, Munich http://berklix.com
> Reply below not above, like a play script.  Indent old text with "> ".
> Send plain text.  No quoted-printable, HTML, base64, multipart/alternative.
> 
> 
> 
> ------------------------------
> 
> Message: 4
> Date: Tue, 31 Dec 2013 02:10:09 +0100
> From: Simon H?nscheid  <mailinglisten at simonhoenscheid.de>
> Subject: Re: [sage] Konfigurations-Datei-Management
> To: sage at guug.de
> Message-ID: <52C21971.6020306 at simonhoenscheid.de>
> Content-Type: text/plain; charset=ISO-8859-15
> 
> 
>> Hallo zusammen,
> Hallo Manuel
>> 
>> Sicherlich gib es das Gesuchte schon, aber die L?sungen, die ich mir
>> angesehen habe (Puppet, Git) scheinen das nicht so zu liefern - oder
> ich kenne mich schlichtweg zu wenig aus. Darum frage ich nun Euch.
> 
> Puppet und git ist schonmal nicht verkehrt.
>> 
>> Diese Vorgehensweise stelle ich mir vor:
>> 
>> * zuerst hinterlegt man gewisse Konfig-Files als Standard. Evtl. kann
>> man diese auch noch Rollen zuordnen, so dass das System weiss "diese
>> Konfig-File braucht nur eine Maschine, die in der Rolle Webserver ist".
>> 
> Das kann Puppet zum Beispiel. Sehr fein modeliert ist das hier beschrieben:
> http://www.craigdunn.org/2012/05/239/
> 
>> * anschliessend definiert man pro Maschine Abweichungen vom Standard.
>> Bspw. andere Kernel-Module in der /usr/src/linux/.config. Diese
>> Abweichungen werden als Diffs o?. gespeichert.
>> Idealerweise werden diese Diffs auch Rollen zugordnet, so dass man
> bspw. eine Rolle "alle Server mit NVIDIA-SATA-Controller" hat, die alle
> die selbe Abweichung haben.
> 
> Das geht mit Puppet ohne weiteres. Entweder auf Basis von Rollen,
> Facts(Betriebssystem, CPU, RAM, IP...) oder beliebigen anderen Bedingungen
> 
>> * jederzeit kann ich mir f?r eine bestimmte Maschine die aktuelle
> Konfig bauen lassen - idealerweise wird diese per SSH auf Knopfdruck
> deployed.
> 
> Ginge auch, entweder als Push oder Pull oder Dezentral
>> 
>> * genial w?re ein Feature, bei der ich eine ge?nderte Datei (bspw.
> wegen Update) wieder einlesen k?nnte und dann die ?nderungen zum
> Standard bzw. zur Maschinen-Konfig sehe. Dann kann ich entscheiden
> welche ?nderung ich in den Standard ?bernehmen will oder in die
> Abweichung der jeweiligen Maschine, oder was ich verwerfen will.
> 
> Puppet zeigt dir beim Run an was er ?ndern w?rde. Du kannst einen noop
> Run machen, der zeigt dir die ?nderungen ohne diese auszurollen.
> 
>> Anschliessend baue ich die neuen Konfigs aus dem ge?nderten Standard
> und rolle diese wieder aus.
> 
> Du hast git, ?nderungen sind damit nachvollziehbar.
> 
>> So ein System w?re, da es auf Textdateien basiert, quasi v?llig
>> Distributionsunabh?ngig. Damit k?nnte ich meine httpd.conf, meine
>> Kernel-Konfig, mein LILO oder meine RAID-Konfiguration verwalten.
> 
> 
> Puppet kann eine Menge Distributionen und Systeme bediehnen, man muss
> ihm nur manchmal ein wenig bei der Auswahl helfen ;)
> 
>> Was k?nnt ihr mir empfehlen / raten?
> 
> Ich kann dir empfehlen generell etwas zum konfigurieren zu nutzen was:
> 
> * Nicht gegen das Paketsystem arbeitet
> * eine gute Community hat
> * sich versionieren l?sst
> * Skaliert
> 
> Puppet mag erstmal abschrecken, da man eine eigene Spache lernen muss
> und sich ein wenig einarbeiten muss. Danach ist es aber grade in
> Kombination mit Hiera sehr sauber und ?bersichtlich,
> 
> Ich hoffe das hilft dir ein wenig
> Simon
> 
> 
> 
> 
> 
> ------------------------------
> 
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> http://lists.guug.de/mailman/listinfo/sage
> 
> 
> End of SAGE Digest, Vol 84, Issue 4
> ***********************************
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: http://lists.guug.de/pipermail/sage/attachments/20131231/ecc5e40c/attachment.htm 