blog/shl@INTERDOSE

Das waere zwar eigentlich eher ein Beitrag fuer einen privaten Weblog, doch da die Zielgruppe eher Technik-Menschen als Familienmitglieder und Freunde sind, veroeffentliche ich es hier. Alles fing mit einer einfachen Fragestellung an:

Wie bringe ich mein Notebook samt aller Daten sinnvoll und sicher ans andere Ende der Welt?

Ich bin kein grosser Freund von Festplattenverschluesselung, zumindest nicht mit den Wegen die ich bisher auf unixoiden Systemen (vornehmlich Debian mit dmcrypt) gesehen habe. Eine echte Alternative ist bitlocker in Verbindung mit Vista auch nicht, denn ich sehe nach wie vor keinen wirklichen Vorteil in einer komplett-Verschluesselung meines Betriebssystems. Ausserdem sehe ich in bitlocker nur dann einen Sinn, wenn ein Anmeldepasswort gewaehlt wird, was in unter 10min nicht einzugeben ist. Nein, das ist keine Alternative fuer mich. Die encryption in ZFS ist noch nicht offiziell als stable erklaert worden, also auch nicht wirklich eine Alternative, denn – zumindest ich – bin bei Verschluesselungssystemen lieber etwas uebervorsichtig mit non-release Software. Was bringt mir die Verschluesselung, wenn sie so gut ist, dass ich eines Tages selbst nicht mehr an meine Daten komme?

Kritische Daten liegen lokal nur in Kopien vor; sie sind dauerhaft im AFS gespeichert und somit auf mindestens zwei Volume-Servern gesichert. Ich vertraue OpenAFS und Kerberos weit genug, als dass ich sagen kann “das ist hinreichend sicher” – sowohl gegen Angriffe als auch gegen Zerstoerung oder Verlust. Eben diese kritischen Daten – selbst wenn die lokale Kopie potentiell outdated ist – gilt es allerdings zu schuetzen, denn diese Daten gehen niemanden etwas an. Nicht den netten Agent von der Homeland-Security, nicht den Spitzbuben der mir mein Notebook klaut und vor allem nicht den neugierigen Menschen der mein Notebook anguggt, falls ich mal nicht im Raum bin und vergessen habe das Ding zu sperren – gut, bisher alles noch nicht vorgekommen. Wie schuetze ich solche Daten? Eben durch Verschluesselung, oder aber in dem ich sie gar nicht auf der lokalen Festplatte durch die Botanik trage.

Weniger kritische Daten, z.B. meine iTunes Library sind normalerweise lokal direkt verfuegbar, als Backup allerdings auf externen Medien vorhanden. (Meine komplette CD-Sammlung neu einlesen is laestig aber machbar) – hier sehe ich absolut keinen Sinn in einer Verschluesselung. Ebenso wenig bei Working-Copies irgendwelcher OpenSource Repositories. Diese Daten sind 100%ig legal, nicht geheim – sogar nichtmal vertraulich.

Wenn ich mir den aktuellen Inhalt meiner Festplatte genauer ansehe, zaehle ich drei verschiedene Typen von Daten:

1. Betriebssystem und Anwendungen
   Diese Daten sind irrelevant und sehr einfach wiederherstellbar. Einen Debian Mirror gibt es eigentlich ueberall, und innerhalb von zwei Stunden ist mein Betriebssystem wieder komplett hergestellt und konfiguriert.
2. unkritische Daten wie z.B. iTunes, Subversion Checkouts und alles womit man sich die Zeit im Flugzeug vertreiben kann
   Diese Daten sind nicht geheim oder vertraulich, effektiv wiederherstellbar und ein Verlust ist zu verkraften.
3. kritische Daten
   Die Kopien der Interdose Betriebsdaten aus dem AFS sowie z.B. SSH- und PGP-Keys. Schuetzenswert.

Insgesamt komme ich damit auf etwa 200GB.

Ein moeglicher Loesungsansatz ist – wie oben schon erwaehnt – Vista und bitlocker. Generell eine schoene Loesung, doch ich sehe einen Haken: sobald das Windows mal nicht mehr starten mag, kann ich nicht einfach ein grml per USB-Stick booten und meine Daten sichern. Das verschluesselte NTFS ist nicht lesbar, selbst wenn ich den Key kenne. Bei einer Rekonstruktion bin ich auf die Vista Installations-DVD angewiesen, doch mein Thinkpad X60s hat kein optisches Laufwerk.
Linux mit dmcrypt? Um ehrlich zu sein: der Aufwand ist mir zu hoch und die Kommandos zu kryptisch. Ausserdem habe ich keine Erfahrung damit, und debugging am Produktiv-System ohne Erfahrung moechte ich nicht erleben muessen. ZFS mit crypt … dito.
Was mir noch auszuprobieren bleibt ist dmcrypt via LUKS. Ich selbst habe keine Erfahrungen damit, doch das Folgende versetzt mich in “Probierlaune”:

Da das direkte Aufrufen von dm_crypt ein bisschen kompliziert ist, hat der Autor ein Programm namens „cryptsetup” geschrieben, welches den Zugriff vereinfacht.
Außerdem gibt es das Linux Unified Key Setup, kurz LUKS, welches zum einen die Möglichkeit bietet, bis zu 8 Passwörter für ein und die selbe Partiton/Container festzulegen, und zum anderen alle nötigen Informationen im Header der selbigen speichert und damit einen Transport der Daten auf ein anderes System möglich macht.

[Quelle: Michael Stapelberg]

Was bleibt? Truecrypt, z.B. – oder das “secure Drive” was IBM seinen Thinkpads schenkt. ThinkVantage habe ich bisher auf jedem Thinkpad gerne und problemlos genutzt. Nur ist leider die Groesse des “secure Drives” beschraenkt: 1GB pro Benutzer. Von den 200GB die ich oben gezaehlt habe, fallen in die dritte Kategorie allerdings nur wenige hundert Megabytes. Genug Platz waere also. Wie kann ich das Laufwerk schuetzen? In die ThinkVantage Client Security ist das wunderschoen integriert, d.h. ich kann sowohl Passwoerter als auch meinen Fingerabdruck nutzen – in beliebiger Kombination natuerlich. Ein Nachteil existiert natuerlich: das System funktioniert nur unter Windows. Aber grade in Bezug auf die Akku-Laufzeit und die selten gesehenen Steckdosen bzw. suendhaft teuren Adapter in Flugzeugen kann ich damit leben.

Was brauche ich also, wenn ich die Client Security nutzen?
Effektiv nur einen Zugang zum Internet um die heimische AFS-Zelle aufrufen zu koennen. Die notwendigen Keys fuer SSH, PGP und den VPN-Zugang sowie eine Auswahl der wichtigsten Firmen-Daten passen in die 1GB Grenze. Selbst wenn mir die Datei die hinter dem Laufwerk steht kaputt geht, sind immernoch alle Daten im AFS zu finden – stark gesichert und vor Verlust geschuetzt. Bis mir ein Netz-Zugang zur Verfuegung steht, bin ich etwas eingeschraenkt, aber wenn ich die Daten richtig auswaehle sollte das minimal sein.

Auf Dauer? Nicht wirklich – denn durch die boesen Unix-Strahlen™ die aus meinen Fingern kommen (zumindest nennt Dominik das so) lebt eine Windows-Installation bei mir nicht lange. Aber es geht in meinem Falle ja auch nur um die Ueberbrueckung von ein paar wenigen Wochen.

Ist das ein Loesungsansatz? Ich denke schon.
Hat ein Leser eine bessere Idee? Ich bitte um Feedback – in den Kommentaren oder gerne auch per Mail.

Sebastian Piratsphäre, Thinkpad, mobile living, more security!

Vor zwei Wochen hatte sich das NTFS auf meinem Thinkpad X60s zur Ruhe gesetzt und ich habe die Gelegenheit genutzt um – sozusagen als Projekt-Versuch – meinen Desktop auf OpenSolaris zu migrieren. Als Basis installierte ich 2008.05 von der Installations-CD und aktualisierte das System bis zum Stand snv_97.

Jetzt sind die zwei Wochen die ich mir selbst als Meilenstein gesetzt hatte vorbei und ich stehe vor einer Entscheidung: beibehalten oder doch wieder Windows auf das Thinkpad?

Hardware-Erkennung:
Die Hardware-Erkennung von OpenSolaris snv_97 ist fuer ein offenes System mit teilweise nur schlechten Treibern vorbildlich. Netzwerk-Connectivity war bereits out-of-the-box von 2008.05 ab vorhanden, sowohl Ethernet als auch wifi, und auch die Grafikkarte wurde wunderbar erkannt und unterstuetzt. Mit einem kleinen xrandr-Hack funktioniert der VGA-Ausgang wunderbar an meinem Samsung 24″ TFT. (Nebenbei: trotz “nur” VGA ein gestochen scharfes Bild)
Keine Unterstuetzung findet sich leider fuer die verbaute Sierra Wireless UMTS-Karte genauso wie fuer das Bluetooth-Modul. Das ist schade, aber ich kann damit leben. Mit etwas Schrauberei war auch die eingebaute Sound-Karte nutzbar. Der Akku haelt seit snv_97 etwas ueber 100 Minuten was durchaus eine gute Zeit ist. (In meinem Thinkpad ist der vier Zellen Akku verbaut – selbst mit Windows und “perfektem” ACPI-Support haelt er nur knapp ueber zwei Stunden)

Doch fangen wir mal vorne an: was hat mir gefallen, was hat mir nicht gefallen.

Positiv:
Wer mit Linux oder BSD-Flavors umgehen kann findet sich sehr schnell zurecht. Ein fuer mich sehr positiver Punkt ist die exzessive Nutzung des /opt-Verzeichnisses genauso wie die konsequente Nutzung von ZFS. ZFS ist sowieso einer der groessten Vorteile von (Open-)Solaris – zumindest in meinen Augen – da allein die Snapshot-Funktion ein Segen ist. Die Integration von ZFS-Snapshots in IPS sorgt fuer unabhaengige Boot-Environments und erleichtert das Upgraden bzw. auch das Downgraden ungemein.
dtrace habe ich mir nur sehr kurz angesehen, doch auch hier bin ich von dem enormen Potential begeistert. Meine ersten Geh-Versuche mit “ausgeliehenem” dtrace-Code verliefen durchaus positiv und ich habe innerhalb von recht kurzer Zeit einen schoenen Einblick in die Internas von OpenSolaris bekommen. Danke an die Blogger die dtrace-Code veroeffentlichen. Auch etwas zu kurz gekommen bei meinem Test war SMF. Die Service Management Facility verwaltet alle installierten Dienste und sorgt fuer die “selbst-Heilung” von Solaris-Hosts. Ein sehr schoenes Spielzeug.
Doch die Welt der Sonne hat nicht nur Vorteile…

Negativ:
Ich habe es bis heute nicht geschafft meinem vim Syntax-Highlighting beizubringen. Innerhalb einer screen-Session funktionierts, ausserhalb nicht. Ebenfalls habe ich mir am OpenAFS-Client die Zaehne ausgebissen. Mit genug Zeit-Einsatz sind beide Probleme sicherlich loesbar, doch fuer die taegliche Arbeit sind das eindeutig Negativ-Punkte.
Etwas unschoen ist, dass bei groesserer Last (und die entsteht spaetestens, wenn mein Feed-Reader loslegt) ohne erkennbaren Grund und ohne log-Eintraege X neu startet. Etwas doof, aber man gewoehnt sich an, noch regelmaessiger zu speichern. Wenn durch den X-Neustart der Prozess der die Last verursacht hat beendet wurde, kommt X wieder sauber hoch und begruesst mit einem Login-Screen. Falls nicht, hilft nur noch ein SSH auf die Kiste und der reboot-Befehl. In meinen Augen ist OpenSolaris noch “genug beta” um dieses Verhalten als unschoen aber nicht unbrauchbar abzuheften.
Ebenfalls unschoen ist die Tatsache, dass sich manche Prozesse etwas langsam “anfuehlen”. Was meine ich damit? Z.B. das Gnome-Terminal ist wunderbar schnell, perfekt nutzbar und macht sehr viel Spass. Im Gegensatz dazu ist xterm (selbst wenn es der einzige offene Prozess ist!) bei meinem Setup unbrauchbar langsam. Man kann den Zeichen zuguggen wie sie im Fenster gezeichnet werden. Arbeiten kann man so nicht, sorry.

Fazit:
Ich habe diese zwei Wochen genossen. Auf jeden Fall. Ein tolles Betriebssystem! Mit jedem Release wird OpenSolaris etwas nutzbarer und ich bin absolut sicher, dass es wieder mein Desktop wird – irgendwann. Doch bis z.B. der OpenAFS-Client nicht zur Zusammenarbeit ueberredet werden kann – das werde ich natuerlich in virtualisierten OpenSolaris-Umgebungen weiter verfolgen! – ist es fuer mich noch nicht Desktop-Ready. Hier muss sich natuerlich jeder selbst ein Bild machen.

Doch jetzt werde ich – leider – erstmal ein Backup meines Home-Verzeichnisses machen und danach die IBM-CDs durchlaufen lassen. Ich brauche einfach Zugang zum AFS.

Und noch ein Gruss an die Entwickler bei SUN und der Community:
WEITER SO!
Das wird immer besser, ich vertraue da auf Euch!

Technorati Tags: OpenAFS, OpenSolaris, Thinkpad

Sebastian Software Empfehlungen, Sonnenaufgang, Thinkpad

OpenSolaris ist auf meinem Thinkpad etwas still. An sich ja recht schön, doch Musik hört sich damit einfach schlecht.
Die Lösung: audiohd.
Das Archiv downloaden, auspacken und dann die wirklich einfache Installation:

To test it, just copy the binary objects into /kernel/drv/amd64/ or /kernel/drv and reboot.

Wer sich für die genauere Hardware interessiert: SDD-Report.

Sebastian Sonnenaufgang, Thinkpad

Das ist mehr eine Notiz an mich selbst.

Den Inhalt des TPM-Chips kann man per BIOS nur dann löschen, wenn das Gerät zuerst komplett abgeschaltet wurde. Andernfalls taucht die Option nicht auf.

Zumindest trifft das auf mein X60s zu.

Sebastian Notizen, Thinkpad

Unter Windows liebe ich die Scroll-Funktion (”Bobbel” und mittlere Maustaste gleichzeitig) meines Thinkpads. Und selbst unter X11 muß niemand darauf verzichten! Danke Stefan.

Section "InputDevice"
 ...
 Option "ZAxisMapping" "4 5"
 Option "EmulateWheel" "on"
 Option "EmulateWheelButton" "2"
EndSection

Sebastian Thinkpad, Tips und Tricks