Das von Sun Microsystems entwickelte Network File System (RFC 1813) - kurz NFS - ist trotz seiner zahlreichen Mängel immernoch der Defacto-Standard für verteilte Netzwerkdateisysteme innerhalb der UNIX-Welt. Die größten Schwächen, wie so oft “historisch gewachsen”, offenbart NFS in moderneren Umgebungen dynamischer oder nicht ausschliesslich zentral administrierter Netze: der am weitesten verbreiteten Version 3 fehlen essentielle Eigenschaften wie die Fähigkeit zur eindeutigen Benutzeridentifikation oder die Möglichkeit, den Datenverkehr durch Verschlüsselung zu schützen.

Ende der 80er Jahre nahm sich Sun durch Einführung eines Secure RPC getauften Systems der Authentifizierungsproblematik an, bot damit aber immernoch keine Verschlüsselung auf NFS-Protokoll-Basis. Secure RPC selbst fand relativ wenig Verbreitung, so dass gerade in heterogenen UNIX-Netzen inkompatible Implementierungen einem Einsatz auf breiter Front im Wege standen. Die aktuelle Version 4 (RFC 3530) des Netzwerkdateiprotokolls bringt nun neben zahlreichen anderen Verbesserungen im Rahmen ihrer Spezifikation eine Verschlüsselung der übertragenen Daten sowie die Möglichkeit zur Benutzerauthentifizierung via Kerberos mit.

Dank Sharity existiert eine gangbare Alternative zu NFS, die eine Kommunikation zahlreicher - auch älterer - UNIX-Dialekte über das SMB- und CIFS-Protokoll erlaubt und somit Verschlüsselungs- und Authentifizierungsmechanismen bietet. In manchen Fällen aber dürfte das problematische Handling vieler Implementierungen mit Dateien von über 2GB Größe sowie das kommerzielle Lizensierungsmodell abschreckend wirken - für Studierende allerdings gibt es limitierte, kostenfreie Lizenzen.

Wer also aufgrund der genannten Einschränkungen Sharitys sowie eines ans Herz gewachsenen Sammelsuriums museumsreifer UNIX-Workstations oder des Einsatzes der tatsächlich stabil zu nennenden Linux-Kernelserie 2.4 wegen auf NFS 3 angewiesen ist, muss sich mehr oder weniger zwangsläufig mit den Mängeln der alten Implementierung auseinandersetzen. Ohne den Einsatz von Secure RPC geschieht die “Authentifizierung” in diesem Fall ausschließlich über die IP-Adresse des Clients, als Nebeneffekt des NFS-eigenen “Sicherheitsmodells” hat der Administrator eines lokalen Clients Zugriff auf alle für seinen Rechner freigegebenen Shares, unabhängig von deren Zugriffsrechten. You get the point.

Eine straff konfigurierte Firewall ist also das Mindeste, was man einem solchen Setup an Gutem tun kann. Leider zeigt sich NFS in Version 3 gerade auch in dieser Disziplin durch eine zufällige Vergabe von wichtigen Server-Ports gewohnt zickig, was sich aber beim Einsatz einer auf Linux basierenden Implementierung mit ein paar Handgriffen leicht umschiffen läßt:

Mehr »

Long time no see: Auch wenn es manch einem erst wie eine aus freien Stücken gewählte Abstinenz erschienen sein mag, so liegen die Gründe für das langanhaltende Fernbleiben aus der ominösen Gemeinschaft der klowandbesudelnden Meinungsanmaßer zu einem erheblichen Maße an von mir nicht wirklich zu beinflussenden Größen. An erster Stelle ist hier sicherlich mein halbjähriges Praxissemester zu nennen, welches mich erbarmungslos in den Tagesrhytmus der arbeitenden Bevölkerung gestoßen hat (und mich immernoch dort festhält). Die (für studentische Verhältnisse) nicht wirklich üppige Restfreizeit möchte zumindest ich nicht nur vor dem ewig lockenden Rechenknecht verbringen, sondern eben auch als Übung zur Verteidigung des künftigen Privatlebens in einer lohnabhängigen Zukunft verstanden wissen... mehr dazu sicherlich in einem anderen Artikel, vorab nur so viel: Spass macht’s!

Es begab sich also an einem 27. oder 28. Dezember des vergangenen Jahres, so ganz genau weiss ich das nicht mehr, als mein Bruder und ich im trauten, noch weihnachtlich gestimmten Familienkreis überdurchschnittlich gut gemästet die Nicht-Erreichbarkeit unseres Servers zur Kenntnis nehmen mussten. Bis dato war die Domäne “basquiat.de” eine von vielen auf meines Bruders Root-Server, dem Tummelplatz unzähliger Websites, Zielgruppen und “Kunden”. Ein Anruf beim damaligen Provider offenbarte ernüchterndes, war der komplette Rechner doch aufgrund ausgehender DoS-Attacken vom Netz genommen worden, eine Wiederbelebung möglich, aber mit einer saftig bewehrten Verstragsstrafe bei erneuten Vorkommnisen verbunden - 5050 Euro (Zitat: “In Worten: fünftausendfünfzig Euro”) sollte eine jede Zuwiderhandlung nach sich ziehen. Die Stimmung zu diesem Zeitpunkt war auf unserer Seite verständlicherweise ein wenig gedämpft, und so machten wir uns auf die Suche nach Alternativen. Da weder mein Bruder noch ich grosse Lust verspürten, die eigenen Freizeit in die regelmässigere Wartung eines Servers zu investieren, fiel unsere Wahl schliesslich auf ein vom Provider gepflegtes System, das damit zwar weniger Flexibilität, aber eben auch weniger Arbeit bedeutete. Backup und Restore kosteten ihre Zeit, waren aber im Vergleich zur Dauer der anfallenden Domänentransfers vernachlässigbar. Im klaren Bewußtsein darüber, dass die Sicherheit der eigenen Server ureigenste Verantwortung ist, möchte ich dennoch dem intellektuell offenbar reichlich entkernten Individuum für seine Handlungen und ein paar versaute Festtagsstunden sowie reichlich anschliessende Mühen danken.

Sei es drum, “basquiat.de” präsentiert sich in leicht erneuerter Pracht. Das Design ist “runder” und nicht mehr ganz so deckend weiß, wobei sich besagte Rundungen bei Gecko-basierten Browsern dank der (noch nicht) standadisierten “-moz-border-radius”-Property durchaus im wörtlichen Sinne bemerkbar machen. Warten wir ab, was CSS3 bringt. Zu einer abschliessenden Entscheidung, ob ich das Runde nun dem Eckigen vorziehe, bin auch ich noch nicht gelangt.

Zugegeben, etwas Wehmut schwingt sicherlich auch bei diesem Relaunch mit. Was habe ich nicht alles verpasst! Unzählige Vorlagen zu ausschweifenden (und manchesmal sogar guten) Rants zogen ungenutzt an mir vorbei, die immer skurillere Politik (verdanke ich dieses Adjektiv nun der Lektüre von Anton Wilson und Robert Shea?) ebenso wie sich das in Teilen nun wirklich unabstreitbar suspekt entwickelnde Bloggertum betreffend. Nein, irgendwann gehören die bemüht nachdenklichen Sprecher der immer mehr Verbreitung findenden Podcasts ordentlich abgewatscht, und auch manche Selbstgefälligkeit bekannter Schreiberlinge bringt einen immer näher an die Schmerzgrenze - mal sehen, inwieweit ich da mithalten kann...

Abschließend der wirklich gerechtfertigte und hiermit ehrlichst gehuldigte Dank meinem Bruder, der den Großteil des Schlamassels über sich hatte ergehen lassen müssen, obwohl auch er gerade dieser Tage mehr als ausreichend in andere Dinge eingespannt ist. Danke!

Sollte manches noch etwas unrund laufen, so bin ich für einen Hinweis hierüber stets dankbar. Ich würde mich sehr wundern, hätte ich in der Eile keinen gröberen Schnitzer an der einen oder anderen Stelle verbockt.

Kallisti!

(Siehe auch: Totgeglaubte leben länger)

Nachtrag:

Auch Spreeblick (noch mehr hier) war zwischenzeitlich das Opfer herumirrender Netzasozialer - dort hat’s allerdings nur eine Weiterleitung erwischt. Dennoch wenig erbaulich, und hoffentlich keine aufkommende Trendsportart - “Shoot my Blog”.

Phew, das war knapp. Seltsames Gefühl, virtuelle Eindringlinge ganz real im Flur zu spüren, eingesperrt in eine kleine, metallene Kiste, unverdächtig surrend und harmlos freudig blinkend. Langweilig muss es ihm oder ihr gewesen sein, und wie so oft war es wohl der dumpfe Drang nach Zerstörung, der das gemeine Scriptkiddie meine arme, unschuldige Pandora überfallen ließ, welche treusorgend das heimische Netzwerk mit allerlei Daten und Diensten versorgt - ein gesunder Spieltrieb letzlich würde kreativere Glanzleistungen zu Tage fördern. Entrüstet nehme ich also diesen Hausfriedensbruch zur Kenntnis.

Doch kommen wir nun zu den Details, die mit dem Pinguin weniger vertraute Zeitgenossen allerdings eher nicht interessieren dürften...

Mehr »