Alles inSANE?
SANE '98
Netzwerk-Konferenz in Maastricht
Einen Kongreß mit Themen über Sicherheit, Systemwartung und Netzwerk hat die Niederländische Unix User Group in Maastricht organisiert. Dieser Bericht gibt einen Überblick.
Im November war es wieder soweit: Showtime. Vom 18. bis 20. November fand in Maastricht die erste internationale SANE-Konferenz statt. Die Niederländische Unix User Group NLUUG hat zusammen mit der Stichting NLnet einen Kongreß rund um Systemadministration und Netzwerke veranstaltet.
Angekündigt wurde die Konferenz bereits auf dem Linux-Kongreß in Köln. Das Programm machte einen interessanten Eindruck und enthielt mehr als nur eine Prise Freie Software. Kurzum: Ausreichend Gründe, einen Ausflug ins winterliche Maastricht zu unternehmen.
Der Zeitpunkt war meiner Ansicht nach nicht besonders glücklich gewählt, da der Winter in Nordeuropa bereits Einzug gehalten hat. Das machte es ein wenig unbequem, "mal eben" in die Stadt zu gehen. Überdies bedeutete dieses Vorhaben einen 30minütigen Fußmarsch an dessen Ende man jedoch auf jeden Fall warmgelaufen war, da das Kongreßzentrum (MECC) nicht im Stadtzentrum liegt.
Betrachtete man das Publikum, dann war deutlich zu erkennen, daß die Konferenz zu einem großen Teil von gewerblichen Anwendern und Entscheidungsträgern besucht war und nicht von Hobbyisten. Vor diesem Hintergrund erscheint es umso beachtenswerter, daß viele Vorträge von Freier Software und sogar den Konzepten dahinter handelten.
Das MECC ist weitläufig, so daß sich die Massen entzerrten. Im Ausstellungsbereich konnte man sich zudem über verschiedene kommerzielle Anbieter und dessen Produkte informieren. Wie bei derartigen Kongressen üblich, war den beiden Kongreßtagen auch diesmal ein Workshop-Tag vorgeschaltet. Die interessanten Workshops handelten von Sicherheit in Netzwerken. Auch wenn Titel wie "Black Hats Session" und "Internet Attacks: The gory Details" anderes erwarten ließen, aktuelle Probleme wurden vermißt.
Das Programm orientierte sich klar am Fachpublikum, die Eintrittspreise sorgten zudem dafür, daß reine Hobbyisten außen vor blieben. Dennoch enthielt das Programm eine interessante Tendenz. Mehr als die Hälfte der Vorträge befaßten sich mit Freier Software. Viele Redner stammten jedoch aus dem Umfeld kommerzieller Unix-Systeme. Hier und da sah man natürlich auch die berühmten Pinguine.
Ich bin bereits am Mittwoch Nachmittag in Maastricht angekommen und konnte somit schon vor dem eigentlichen Beginn einchecken. Im MECC angekommen, dauerte es erwartungsgemäß nicht lange bis man die ersten bekannten Gesichter sah. Da am Abend nichts offizielles vorgesehen war, wurde die Stadt unsicher gemacht.
Eingeleitet wurde die Konferenz durch Bill Cheswick von den Bell Labs, Lucent Technologies. Er referierte über Sicherheitstechnologien, interessanterweise jedoch nicht vom computer-technischen Standpunkt ausgehend. Bill legte dar, daß Firewalls keine Erfindung der Computertechnologie seien sondern auch außerhalb von Computernetzen existierten. Eindrucksvoll demonstrierte er, wie Blumenkübel, Schranken, Auslaufstrecken, Wachpersonal etc. Eindringlinge aufhalten können. Eine einzige "Firewall" sei dazu jedoch meistens nicht ausreichend. Wichtig sei die Kombination verschiedener Methoden.
Postfix
Über die Entwicklung von postfix (ehemals vmailer) berichtete Wietse Venema. Postfix ist ein Mailserver (wie sendmail oder smail), jedoch mit neuem Design. Entwickelt wird er unter Verwendung einer freien Lizenz, die es dem Autor erlaubt, sich nach einiger Zeit aus dem Projekt zurückzuziehen ohne daß die Entwicklung des Programms stagnieren muß. Begonnen wurde das Projekt in Wietses Freizeit und anschließend im Watson Research Center von IBM fortgeführt.
Ähnlich wie das nicht freie Qmail arbeitet Postfix mit verschiedenen Modulen (Programmen) und mehreren User-IDs. Dadurch wird die Sicherheit des Systems erhöht, denn nicht mehr alle Stufen der Mail-Auslieferung läuft unter der `root'-ID ab. Zudem erlaubt diese Technik, weitere Module auf einfache Weise zum System hinzuzufügen, z.B. Incoming-Filter oder weitere Auslieferungsmethoden.
Bisherige Mailserver behandeln die Auslieferung gerade erzeugter und in der Queue sitzender Mail unterschiedlich. Teilweise wird alles in die Queue geschoben und anschließend sequenziell abgearbeitet. Teilweise wird frisch generierte Mail bevorzugt ausgeliefert wobei die Queue nur im Fall von Freilauf abgearbeitet wird. Bei einem stark belasteten Mailserver können beide Methoden die Auslieferung von Mail stark verzögern.
Für Postfix wurde ein anderer Ansatz gewählt. Neue Mail wird ebenfalls mit höherer Priorität ausgeliefert. Gleichzeitig wird jedoch auch eine Mail aus der Queue auf der gleichen SMTP-Verbindung übertragen, sofern eine bereitliegt. Überdies läßt sich die Anzahl der ausgehenden, gleichzeitig aufgebauten SMTP-Verbindung via Konfigurationsdatei anpassen.
Eigenen Tests zufolge werden Mails mit Postfix sogar schneller als mit Qmail ausgeliefert. Damit dürfte das Programm insbesondere für große Mailserver von Interesse sein. Bisher ist es jedoch noch nicht veröffentlicht. Der nicht-öffentliche Alpha-Test allerdings läuft bereits seit dem Frühjahr, Wietse kündigte an, daß die erste öffentliche Beta-Version am 11. Dezember freigegeben werden soll.
Fledermäuse
Angst vor den fliegenden Säugern wurde einem in den nächsten zwei Vorträgen genommen. Brad Knowles gab Tuning-Tips für den Einsatz von sendmail in großen Netzwerken und anschließend referierte Rob Kolstad über SPAM und Möglichkeiten, wie man die Menge der Junk-Emails mit Hilfe eines gut konfigurierten sendmails reduzieren kann.
Nach einer Teepause ging es weiter, z.B. mit Phil Zimmermann, dem Autor von PGP. Er berichtete über die Entstehung und die ersten Jahre nach Veröffentlichung, in denen verschiedene Prozesse gegen Phil angestrengt wurden. Entstanden ist PGP in den 80er Jahren, als Phil aktiv in der Friedensbewegung gearbeitet hat und es sich als wichtig herausstellte, privat kommunizieren zu können - ohne daß jedermann mitlesen konnte.
Während die erste Version ausschließlich von Phil Zimmermann selbst geschrieben wurde, ist ein Großteil der Nachfolgeversion in Zusammenarbeit mit Entwicklern aus aller Welt, insbesondere aus Australien und Neuseeland entstanden.
Ein großer Hemmschuh bei der Verbreitung von PGP war bisher das RSA-Patent. Der bislang zum Signieren und Verschlüsseln verwendete Algorithmus wurde vor Jahren von der Firma RSA Inc. patentiert (läuft im September 2000 aus). Wird das Patent bzw. die Bibliothek mit dessen Implementierung verwendet, dann fallen Lizenzgebühren an. Dieses gelte nur in den USA, außerhalb dürfe der Algorithmus ohne weiteres verwendet werden. Um freie (bzw. kostenlose) Software zusammen mit diesem Algorithmus zu ermöglichen, hat RSA eine freie Bibliothek, die RSARef, herausgegeben. Diese darf jedoch nur innerhalb der USA benutzt werden.
Abgesehen von der Export-Beschränkung kryptographischer Software, durften dadurch die compilierten Versionen von PGP nicht innerhalb und außerhalb der USA eingesetzt werden. Es mußten jeweils zwei Versionen generiert werden. Hinzu kamen Dispute zwischen RSA Inc. und Phil Zimmermann, die Zeit und Kraft gekostet haben.
Bitte umsteigen
In Maastricht gab Phil daher freudestrahlend bekannt, daß die neue Version von PGP (Version 6.0) nicht mehr den RSA-Algorithmus benötige. Stattdessen werde ein als ElGamal bekanntes (und von Phil Diffie Hellman bezeichnetes) Verfahren benutzt. Für Signaturen verwende diese Version DSA, Teil des DSS-Standards, mit dem kleine Signaturen erzeugt werden. Überdies wurde kürzlich der OpenPGP-Standard verabschieded, zu dem PGP6 konform sei. Die freie Version sei bereits verfügbar und man arbeite zur Zeit am Unix-Port, so Zimmermann.
Ein Umstieg auf die neue Version ohne RSA bedeutet, daß "alte" Schlüssel und Signaturen (Zertifikate) nicht mehr benutzt werden können, da sie vom aktuellen Verschlüsselungs- und Signierungs-Algorithmus nicht unterstützt werden. Ein Umstieg sollte daher wohl bedacht sein. Mit etwas Aufwand läßt sich das Web of Trust vom alten Schlüssel auf den neuen übertragen. Dazu muß der neue Schlüssel (bzw. ein Brief, der ihn enthält) mit dem alten und dem neuen signiert und den Signatoren zugeschickt werden. Diese können nun den neuen Schlüssel ebenfalls signieren.
Wenn auf jeden Fall ein Umstieg ansteht, dann sollte ebenfalls die Verwendung des GNU Privacy Guard in Betracht gezogen werden (siehe URLs). Wer die kommerzielle Version von PGP kauft, der kann jedoch auch weiterhin mit dem RSA-Verfahren arbeiten.
Damit endeten die Vorträge des ersten Kongreßtages sowie das offizielle Programm im MECC. Für einen angemessenen Ausklang des Tages sorgte der gesellige Abend in einem anderen Stadtteil.
Freie Software
Frisch ging es am nächsten Morgen mit Bob Young von Red Hat weiter. Er berichtete von seinen Erfahrungen in Verbindung mit Linux. Als Marketingleiter bei Red Hat mußte er mehrfach feststellen, daß sich Linux nicht mit herkömmlichen Methoden vermarkten lasse und daß sich keine einfache Eingrenzung der Zielgruppe finden ließe.
Anders als bei herkömmlichen Produkten, bei denen der Kunde überzeugt werden müsse, sie zu kaufen, könne sich der Kunde bei Linux das Produkt direkt vom FTP-Server ziehen - quasi kostenlos. Die Zielgruppe umfasse zudem praktisch das gesamte Spektrum, als Beispiele brachte Bob den Raketentechniker, der Ethernet-Treiber schreibt (Don Becker) und einen jungen Kunststudenten, der mit dem Linux-PC experimentelle Kunst erstellt.
Es war Bob Young deutlich anzusehen, daß er Spaß an der Arbeit mit Linux hat und keineswegs resigniert. Frei nach dem Motto: "Probleme sind dazu da, gelöst zu werden.", ist es eine neue, interessante Herausforderung für ihn.
Nach einer Kaffeepause legte Ian Jackson ausführlich dar, wieso Freie Software sinnvoll ist und welche Auswirkungen damit verbunden sind. Er betonte, daß die Qualität Freier Software oftmals höher sei als die kommerzieller Produkte aus der gleichen Sparte. Sie sei überdies günstiger zu erhalten und es sei ebenfalls einfacher und günstiger, Support zu bekommen sowie Support zu leisten.
Im Gegensatz zu proprietärer Sofware, für die Programmierer eingestellt werden, die sich mit der Thematik befassen müssen, werde ein Großteil Freier Software von Leuten entwickelt, die einen persönlichen Bezug zum jeweiligen Thema haben. Die Software wird mit persönlichem Engagement entwickelt, was die Motivation der beteiligten Entwickler in einem nicht zu verachtendem Maße steigere.
Ein großes Problem proprietärer Software bestehe in der Art und Weise ihrer Entwicklung. Sie werde oft im Hinblick auf Deadlines geschrieben, gemäß dem Grundsatz: "Wer zuerst kommt, malt zuerst". Wird die Zeit zum Ende hin jedoch knapp, dann leide meistens die Qualität des Produkts und damit der Anwender darunter.
Ein Vorteil Freier Software bestehe laut Ian darin, daß die Entwicklung meistens technisch-orientiert sei. Ziel des Projekts sei es, bestimmte Probleme zu lösen. Es werde viel mehr Energie in die Lösung der Problematik als in Marketing gesteckt. Dieses komme im Endeffekt den Anwendern zugute.
Ein weiterer Vorteil Freier Sofware sei die Möglichkeit, Programmteile zwischen vergleichbaren Projekten auszutauschen und ähnliche Produkte kompatibel zueinander zu gestalten anstatt inkompatible Schnittstellen zu schaffen. Siehe dazu auch die Bestrebungen der Gnome- und KDE-Teams, einheitliches CORBA zu verwenden. Anstatt Ideen zu verheimlichen, können sie in verschiedenen Produkten eingesetzt und verbessert werden.
Im Anschluß daran beschrieb Guido van Rooij die Geschichte von FreeBSD und die Philosopie der sehr freizügigen Lizenz. Besondere Aufmerksamkeit wurde Speziallösungen einiger Firmen gewidmet, die teilweise den Kernel um eigene Features erweitert haben (und die Änderungen legalerweise nicht veröffentlicht haben).
Nach dem Mittagessen stellten Ralf Flaxa und Jacques Gélinas die Projekte COAS und linuxconf vor. Sie sollen den Anwender bei der Wartung seiner Linux-Maschinen unterstützen. Beide Projekte sind inzwischen soweit gereift, daß sie einsetzbar sind. Sie stellen Umgebungen zur Verfügung, die es ermöglichen, das System auf die eigenen Bedürfnisse und neue Konfigurationen anzupassen. Die Vorgehensweisen sind dabei jedoch unterschiedlich.
Den Abschluß der Konferenz präsentierte Daryll Strauss von Digital Domain. Mit imposanten Filmausschnitten führte er die Arbeit von Digital Domain vor, einer Firma, die sich auf digitale Spezialeffekte für Spielfilme und Werbespots spezialisiert hat. Anschließend berichtete er konkret über den Einsatz von Linux bei der Produktion des Films "Titanic" sowie die Gründe für den Einsatz von Linux.
Es ist seit einigen Jahren eine interessante Entwicklung erkennbar. Während etablierte Veranstaltungen, auf denen bisher kommerzielle Unix-Systeme vorherrschten, zunehmlich weniger Interesse bei den Anbietern dieser Systeme hervorrufen, steigt das Interesse bei Anbietern freier oder teilweise freier Systeme. Die Zahl der Kongresse, auf denen Freie Software eine entscheidende Rolle spielt, nimmt parallel davon zu. Diese Kongresse locken überdies verstärkt auch internationales Publikum aus dem Ausland an und warten mit Rednern aus aller Welt auf.
Resources
[2] Postfix
[5] Ian Jackson; Why Software Freedom is useful, and what does it mean?