Szenario

Wir gehen von einen Linux Server aus, der fertig konfiguriert als Mailserver und eventuell als FTP- Server seine Dienste anbietet. Die Benutzer sind bisher z.B. mit useradd normal angelegt. Wir wollen eine Möglichkeit einrichten, über die Anwender ohne großen Umstand auf Emails und Speicherplatz zugreifen und einen Passwortwechsel bequem durchführen können. Neue Benutzer kann der Admin bequem über Webmin anlegen.

Installation

Solltest Du einen Linux Server bei einen Provider verwalten, kannst Du den SSH Zugang (z.B. über putty) nutzen um notwendige Konfigurationen vorzunehmen. Steht der Server im Wohnzimmer kann man sich natürlich auch direkt am Server anmelden. Die Vorgehensweise zur Installation ist relativ simpel:

Gehe nach webmin.com/download.html in den Abschnitt “Minimal Package” und mache einen rechten Mausklick auf den download link des webmin minimal Pakets. Wähle im Kontextmenü die Option, die es Dir ermöglicht, die Link- Adresse zu kopieren. Wechsel nun auf die (SSH) console, gib wget ein und mache hinter diesen Befehl einen rechten Mausklick. Damit wird der wget Befehl mit der kopierten download URL vervollständig. Bessere den download- link nach, in dem Du darauf achtest, dass die URL auf tar.gz endet. Nach einem kurzen download ist das Paket auf deinen Server, verschiebe es in einen Ordner deiner Wahl, z.B. unter /var/www und mache ein gunzip <paketname> und setze ein tar -xvf <ungezipptes paket> hinterher. Nachdem das Paket also ausgepackt vor Dir liegt, wechselst Du (mit root- Rechten) in den Ordner und führst ./setup.sh aus.

Das setup ist sehr geschmeidig: Bestätige dreimal ein “ja”, die SSL Option und erstelle den Webmin-Standard- Anwender mit Passwort. Fertig. Damit ist Webmin auf deinen Server installiert und ist im Hintergund gestartet. Prüfe das mit ps -ax. Wenn Du servername:10000 im Browser aufrufst, sollte schon das Anmeldefenster erscheinen – eventuell erscheint noch ein Hinweis, dass eine Umleitung nach https notwendig ist.

Beachte, dass die Firewall auf deinen Server den Zugriff auf port 10000 (Webmin) und 20000 (Usermin) freigeben muss.

Webmin Grundkonfiguration

Nach einen Login mit dem angelegten Anwender (also dem webmin- admin) machen wir erstmal eine Grundkonfiguration. Links oben findest Du den Punkt “Webmin Konfiguration” unter dem Du die “Language” (Sprache) deiner Wahl aktivierst. Danach gehst Du zu dem Punkt “Webmin Themes”. Wenn Du in google das Suchwort “stressfree” eingibst und das erste Suchergebnis wählst (Webmin Tiger Theme) kannst Du kostenlos ein schönes Theme für Webmin und Usermin runterladen. Installiere es unter dem Punkt “Webmin Themes” , gehe danach zur Auswahlliste und wähle das stressfree Theme aus. Wenn Du Dich jetzt nochmal ab und wieder anmeldest, ist das Theme vollwertig (für Webmin) aktiviert.

Webmin Module

Wir reden hier von dem minimalen Webmin Paket, was aber auch bedeutet, dass eben viele Module nicht dabei sind. Das ist auch in unseren Falle gewünscht, weil wir eine schmale Installation wollen und alle (brauchbaren) Module auch ohne Probleme nachinstallieren können. Wechsel links oben im Menü zum Punkt “Webmin Konfiguration” und dann auf den Punkt “Webmin Modules”. 

[Zeige als Diashow]

Die Nachinstallation von verschiedenen Webmin Modulen erfolgt immer nach dem gleichen Schema. Installiere immer nur ein Modul. Wähle unter “Webmin Module” unter “Installieren von…” empfohlenerweise “Standardmodul von www.webmin.com” und klicke in das Kästchen (mit den 3 Punkten) am Ende hinein und es erscheint ein Auswahlfenster (als Popup) und listet Dir alle verfügbaren (Standard-) Module auf. Merke Dir den Namen des Moduls und setze ihn in das Textfeld zu Installation ein. Danach klickst Du auf den Button “Modul von Datei installieren”. Bei der Installation von verschiedenen Modulen könnten andere Module aus Abhängigkeitsgründen zur Installation angeboten werden. Diese Installationen würde ich immer mitnehmen, da sonst der Betrieb des gewünschten Moduls nicht sichergestellt ist.

Folgende Module empfehle ich für eine brauchbare Minimal- Installation von Webmin und Usermin:

usermin, useradmin, passwd, change-user, quota (wenn Plattenplatzbeschränkung auf dem Server für die Anwender konfiguriert ist), file, mon (wenn Server- Dienste überwacht werden sollen), proftpd (wenn dieser FTP Dienst auf dem Server installiert ist), smart-status, shorewall (wenn diese firewall im Einsatz ist), updown, webminlog, acl, mount, syslog.

Über diesen Weg installieren wir auch das Modul “usermin” in webmin und wir sehen, dass sich die obere Menüleiste / Modulliste verlängert hat.

Usermin Grundkonfiguration

Klicke links oben auf den Eintrag “Usermin Konfiguration” und mit dem ersten klick auf diesen Eintrag wird die eigentliche Installation ausgeführt. Danach steht unter “Usermin Konfiguration” der Punkt “Usermin Themes” zur Verfügung. Installiere – wie oben beschrieben – das stressfree Theme auch für Usermin, stelle die gewünschte Sprache ein und blende unter “Verfügbare Module” gleich die Module aus, die deine Anwender nicht brauchen oder nicht nutzen sollten.

Damit haben wir schon eine gute Ausgangsbasis für ein brauchbares Webmin und Usermin.

Usermin Optimierungen

• Klicke links oben auf “Usermin Konfiguration” -> “SSL Verschlüsselung” und aktiviere “Nicht-SSL-Anfragen nach SSL umleiten?” mit ja und aktiviere “only strong PCI compliant ciphers”.
• Den Punkt “Modul Verbote” würde ich nicht nutzen. Sollten Anwender verschiedene Module nicht nutzen dürfen, sind die Module – wie oben beschrieben – auszublenden.
• Bei den “Zugriffskontrolloptionen (ACL)” würde ich das “Hauptverzeichnis für das Dateiauswahlfenster” auf jeden Fall nur auf das “Benutzer- Heimatverzeichnis” (also den home Ordner des Anwender) legen.
• “Verstecke Dateien mit einen führenden Punkt” würde ich ebenfalls aktivieren, weil diese Dateien doch meistens spezielle Funktionen anbieten und Anwender mit der Konfiguration solcher Dateien in der Regel überfordert sind. Also ausblenden und es gibt keine Fragen und Probleme.
• Unter “Usermin Konfiguration” (links oben) -> “Usermin Modulkonfiguration” kann und sollte mit einen klick auf das Modul ein Fein- Tuning des Moduls vorgenommen werden.

Nochmal

Im Prinzip ist hoffentlich klar geworden, dass der Admin unter der Usermin Konfiguration eine weitestgehende Vorkonfiguration für die Usermin- Anwender vornimmt und Berechtigungen erteilen kann, eigene Anpassungen vorzunehmen.

Im Grundsatz würde ich erstmal immer “streng” konfigurieren – denn nachgeben kann man immer. Umgedreht ist es schwieriger für einen Admin, weil die Anwender auf schon genutzte Berechtigungen bestehen.

Außerdem sollte nochmal deutlich werden, dass Webmin in dieser Konfiguration nur zur Verwaltung der verschiedenen Server- Ressourcen (Benutzer, Speicherplatz) dient – ein Zugriff auf Webmin für einen “normalen” Anwender ist nicht notwendig!

Starte jetzt!

Wenn Du nach dieser Vorarbeit servername:20000 in den Browser eingibst gelangst Du zu dem Anmeldefenster für das Usermin. Melde Dich mit einen, auf dem Server, angelegten Anwender in Usermin an und schaue sehr genau, welche Möglichkeiten deine Anwender unter Usermin hätten. Funktioniert der Versand der Emails? Auf welche Ordner kann ein Anwender auf dem Server zugreifen? Funktioniert der Passwort- Wechsel für den Anwender unter Usermin ohne Probleme?

Damit haben die Anwender ein gutes webmail- frontend und eine einfache Möglichkeit, ihr Passwort zu wechseln. Auch der Austausch von Daten kann über gemeinsame Ordner eingerichtet werden.

Unter “Usermin Konfiguration” -> “Momentane Sitzungen” kann man als Admin sehr schön sehen, wer gerade in Usermin angemeldet ist.

Webmin und Usermin Dienst verwalten

Mit einer /etc/webmin/stop | restart | start kann der Webmin Dienst auf der console des Servers gemanagt werden. Die gleichen Funktionen können unter /etc/usermin aufgerufen werden. Letztlich geht die Verwaltung des Webmin- und Usermin- Dienstes auch über das webfrontend.

Übrigens: Man kann Usermin nutzen, ohne einem gestarteten Webmin. Dies würde nochmal die Sicherheit für den Server erhöhen, da Admina keinen Anwender mit root- Rechten für Usermin einrichten sollte.

Das starten und stoppen von Webmin muss dann natürlich über die console mit /etc/webmin/start | stop erfolgen, falls doch irgendwas unter Webmin konfiguriert werden muss.

Webmin und Usermin de-installieren

Eine einfache Sachen: Beende Webmin und Usermin (siehe vorhergehenden Abschnitt) und gib auf der console /etc/usermin/uninstall.sh und /etc/webmin/unistall.sh ein.

Teste aber auf jeden Fall danach, ob alle Server- Dienste weiterhin wie gewünscht funktionieren und überlege Dir, ob die zuvor unter Webmin angelegten Anwender noch gebraucht werden.

Alles ohne Garantie.

| Webmin download | stressfree Theme | Modul Doku |

Software Versionen

Folgende Versionen liegen meiner Ausführung zugrunde: Ubuntu 10.04 LTS, Postfix 2.7.0, saslauthd 2.1.23, sasl2-bin 2.1.23, amavisd-new 2.6.4, clamav 0.96.5, policyd-weight 0.1.14.17.

Das Szenario

… basiert auf einen Server, der 4 Mail- Domänen bedienen soll – allerdings ohne Datenbank oder LDAP. Die Benutzer sind lokale Benutzer im Systems.

LDAP oder SQL?

Nur mal kurz: Ich habe in den Foren häufig Diskussionen über den Vor- und Nachteil einer Benutzerverwaltung in Datenbank oder LDAP gelesen. Aus meinen Erfahrungsbereich würde ich sagen, dass im Unternehmens- Umfeld ein LDAP vor zu ziehen ist, weil Enterprise Software häufig einen Konnektor zu LDAP mitbringt. Sind also viele System verknüpft: LDAP. Auf standalone Servern – wie z.B. einen gebuchten root Server – würde ich eine Datenbank als Benutzerverwaltung vorziehen.

Grundlegende Konfiguration

Auf die grundlegende Konfiguration gehe ich nicht ausführlich ein – in anderen blogs gibt es dazu wirklich hervorragende Artikel. Am Ende dieses Artikels habe ich eine kleine Linksammlung zum Thema abgelegt. Wenn Du aber alle Bilder aus diesen Artikel ausdruckst und untereinander klebst, bekommst Du eine brauchbare Konfiguration. Ich würde auch empfehlen, die Kommentare in meinen config- Bildern zu lesen! Ab jetzt folgende Bilder beziehen sich auf die main.cf in /etc/postfix – wenn nicht anders erwähnt. Im ersten Bild gibt es nichts wirklich Spannendes:

Server mit dyndns

Allerdings ist bei Einsatz von dyndns zu beachten, dass ein $mydomain natürlich dann nicht dyndns.org sein kann! Ich habe für so einen Fall (home Server über dyndns) mydomain = $myhostname und myorigin = $mydomain eingefügt.

Die delimiter- Option finde ich sehr spaßig: Sie sagt uns, mit welchen Zeichen wir eine Mailadresse unterteilen können.

Nützlich ist diese Funktion, wenn man Emails mit einen Filter einsortieren möchte. So kann eine Mail an benutzername+umfrage@meinedomain.org leichter in den Ordner “Umfrage” einsortiert werden.

maildir oder mbox?

Die mail_spool_directory Option ist Grundlegend: Mit dem slash am Ende des Ordnernamens legst Du Postfix auf das maildir Format fest und sagst Postfix, wo die Benutzer Postfächer sind. Das andere Format (also ohne slash am Ende) wäre mbox.

Wichtig ist diese Festlegung in Verbindung mit dem IMAP Server. Im wesentlichen unterscheiden sich diese Formate in der Art der Email- Haltung. Das mbox Format speichert alles in eine Datei. Das maildir Format sichert alle Emails als einzelne Datei in einen Ordner. Dann gibt es verschiedene Varianten: Dovecot nimmt maildir und erstellt einen Index, Cyrus IMAP benutzt mbox und Courier benutzt maildir ohne Index. Die verschiedenen Vor- und Nachteile sind für einen Techniker offensichtlich. Die Option mailbox_command übergibt (deliver) die Emails an den verfügbaren IMAP Server, hier dovecot.

mailbox_command und mailbox_transport

Was ist aber der Unterschied zwischen mailbox_command und mailbox_transport? Die erstere Option wird in Verbindung mit lokalen Benutzern und die zweite Option in Verbindung mit virtuellen Benutzern gesetzt. In unseren Fall benutzen wir weder  eine Datenbank noch LDAP, wir benutzen lokale User und setzen also mailbox_command.

Grundlegend finde ich eine klare Aufteilung einer Konfigurationsdatei: So würde ich die alias Datei nur für system-eigene administrative Accounts nutzen – im wesentlichen für den root und verschiedene System- User. Mailbenutzer und Maildomänen, die zusätzlich angelegt werden, landen alle in den virtual maps.

Die virtual_maps erstellen

Die virtual_alias_domains sehen in der zu erstellenden Datei folgendermaßen aus:

Also eine einfache zweispaltige Tabelle in der alle virtuellen Domänen aufgeführt werden, die der Mailserver bedienen soll. Allerdings würde ich einen MX Eintrag im DNS für jede Maildomäne empfehlen, um von anderen Email- Servern ernst genommen zu werden! Nach dem erstellen dieser Datei, wird sie über die gezeigte Funktion im vorherigen Bild in Postfix eingebunden. Sie kann aber nur von Postfix genutzt werden, wenn sie mit dem Befehl postmap <dateiname> zu einem Datenbankfile umgewandelt wurde. Der Dateiname ist frei wählbar. Die zweite Spalte wird nicht ausgewertet, muss aber einen Wert (hier: OK) gesetzt haben.

Genauso verfahren wir hier mit der Datei virtual_users (Dateiname kann frei gewählt werden). Wieder eine zwei-spaltige Tabelle, in der links der virtuelle Namen festgelegt und rechts auf dem Benutzer gemappt wird, der auf unseren Email- Server angelegt wurde. In dieser Datei wird also die zweite Spalte ausgewertet! Also nochmal: in der linken Spalte die gewünschten User mit der gewünschten Domäne, die in virtual_domains angelegt wurden. Die einkommende Mail wird also einfach nur dem lokalen Benutzer (in der rechten Spalte) in das Postfach geschoben. Die Benutzer für die originäre Domäne – also aus main.cf – werden auch in diese Datei eingetragen. Das postmap nicht vergessen. simpel.

Was RFC’s verlangen

Übrigens: Einige Emailkonten sind auf einen Mailserver mandatory (Pflicht). Genaueres ist in den entsprechenden RFC’s nachzulesen. Wenn ich mich recht erinnere, waren das der abuse (zur Annahme von Beschwerden) und der postmaster (als administrativer Account für die Dienste). Generell finde ich aber ein professionelles Auftreten und entsprechende Verwaltung von Servern (auch im privaten Rahmen) für wichtig, und empfehle auch Konten für den webmaster, blogmaster, usw. zu erstellen. Service bringt Mehrwert.

Also nochmal: In der main.cf steht ja schon die physikalische Domäne (siehe erstes Bild) und mit den virtual Dateien wird der Mailserver um virtuelle Domänen und Benutzer erweitert! Also nicht kompliziert denken und klar strukturieren. Letztlich findet einfach nur ein Mapping von virtuellen Emailadressen auf Postfächer der angelegten Usern statt.

Entscheidend ist dann natürlich das Namens-Schema für angelegte User: Zweimal mustermann – für diese und für eine andere virtuelle Domäne – anlegen ist nicht! Zumindest nicht, mit der hier gezeigten Konfiguration.

SASL

Einfach gesagt: SASL ermöglicht eine Authorisierung von Mailclients an unseren Postfix SMTP Server. Im wesentlichen gibt es zwei Konstrukte – saslauthd und sasldb2:

• Der saslauthd – als service gestartet – ermöglicht eine Klartext (plaintext) Anmeldung mit den Passwörter in der /etc/shadow an Postfix – also dem smtp service.
• Die sasldb2 erfordert keinen gestarteten Service und ermöglicht zusätzlich eine verschlüsselte Anmeldung mit der Passwortverwaltung in der sasldb2.
• Die 2 Arten der Passwortverwaltung sind un-abhängig von der verschlüsselten Übertragung der Anmeldung: Dafür ist TLS entscheidend.
• Saslauthd und sasldb2 werden über die Datei smtpd.conf konfiguriert, liegt bei Ubuntu 10.04 in /etc/postfix/sasl und gehört mit 644 root:root.
• Soll sasldb2 (also verschlüsselte Passwörter) benutzt werden, ist die Option smtpd_sasl_security_option mit dem Wert noplaintext zu erweitern.
• Die sasldb2 – also die mit saslpasswd2 erstellte Datenbank in der alle verschlüsselten Passwörter für die Mail- User stehen – liegt normalerweise mit root:postfix und 640 in /etc.
• Bei Einsatz von verschlüsselten Passwörter sind also pro User zwei (2) Passwörter zu pflegen und für die User der Zugriff einzurichten, da Dovecot die /etc/shadow nutzt.
• Sollte keine Anmeldung möglich sein, kann es daran liegen, dass Postfix ge-chrootet läuft, d.h. Postfix erwartet die sasldb2 mit 640 und root:postfix in /var/spool/postfix/etc.

Und so gibt es noch viele Punkte, die ich hier aufführen könnte. Letztlich sollte man die zuständigen sasl- Befehle und Eigenheiten studieren:

• saslpasswd2 -c -f <pfad zur sasldb2> -u <domäne> <emailbenutzer> Damit werden die Emailbenutzer in die sasldb2 eingepflegt. Das -c ist nur für create, also für das erstmalige anlegen des Users in der sasldb2 notwendig.
• sasldblistusers2 zeigt, welche Users in der sasldb2 hinterlegt sind.
• Beachte die Option -u <domäne>, weil wir hier mehrere Maildomänen bedienen.
• Über saslpasswd2 müssen die Email- Users auch ihr Passwort ändern können. Linux- Passwort nicht gleich sasl- Passwort! Vielleicht usermin?
• Gängige Fehlermeldungen beachten: “no secret in database”.
• Bei mehreren Domänen und sasldb2 (also verschlüsselte Passwörter) ist mit dem Mailclient die Anmeldung am Mailserver mit der Emailadresse durchzuführen.

sasldb2 nach chroot

Ich habe selbst lange auf dem Server gesucht und geflucht, warum die sasldb2 nicht nach /var/spool/postfix/etc kopiert wird. Immerhin soll der Postfix in einer sicheren Ebene im Dateisystem des Servers laufen. Dazu schafft er sich unter /var/spool/postfix eine eigene Ordner Ebene und kopiert dort – bei jeden Neustart des Postfix’s – für ihn wichtige Dateien aus der üblichen root Umgebung in diese eigene künstliche ch(ange)-root Umgebung. Der Effekt dabei soll sein, das Schadpropramme, die über den Mail service Zugriff auf den Server erlangen, sich eben nur in einer chroot Umgebung bewegen. Verarscht.

Allerdings funktioniert Postfix eben auch nur, wenn alle Dateien, die Postfix für den Betrieb braucht, auch in die chroot Umgebung gelangen. Und da klappt das mit der sasldb2 nicht so wirklich.

Lösung? Öffne die Datei /etc/init.d/postfix und erweitere die Datei- Liste (wie auf dem Bild) mit etc/sasldb2. Nach einen service postfix restart müßte die sasldb2 in den Ordner  /var/spool/postfix/etc kopiert worden sein. Maßgeblich für die sasl- Befehle ist nur noch die sasldb2 in /etc. Also sollte nach Aufnahme eines neuen Users in die sasldb2 oder einen Passwort- Wechsel mit saslpasswd2 ein ‘service postfix restart’ erfolgen. Ein reload hat bei meinen Tests keinen Transfer der sasldb2 in die chroot bewirkt. Einen symbolischen link von /etc/sasldb2 nach /var/spool/postfix/etc setzen funktioniert zwar, scheitert aber im Zugriff mit einer Fehlermeldung. Jedesmal Postfix neu starten?

Auf die Abschaltung der chroot Umgebung – als eine weniger gute Lösung! – gehe ich weiter unten im Artikel ein.

SASL realm

Aufgeschnappt: Sollte der Domänen- Teil (Stichwort: SASL realm) in  saslpasswd2 nerven, kann man mit der Option -r in /etc/default/saslauth oder mit der Option smtpd_sasl_local_domain in der main.cf experimentieren. In der hier gezeigten Konfiguration sind keine weiteren Anpassungen notwendig.

Beachte die man-page, deine sasl Version und teste, ob es mit mehreren virtuellen Domänen funktioniert (Ausgabe sasldblistusers2)! Zur Hilfe sollte ein tail -f /var/log/mail.log auf der console mitlaufen und die loglevel auf 2 stehen. Eventuell kann die Ausgabe von saslfinger -s hilfreich sein.

Man sieht, dass der Konfigurationsaufwand für verschlüsselte Email- Passwörter um einiges höher ist: Es müssen zwei Passwörter gepflegt (sasldb2 und /etc/shadow) und es muss ein sicherer Server-Zugriff für den Passwortwechsel eingerichtet werden. Vorteil: Der Server braucht nicht unbedingt TLS sprechen und es kann ein service  im Hintergrund (saslauthd) eingespart werden.

SASL – die smtpd.conf

Folgendes Bild zeigt den Inhalt der /etc/postfix/sasl/smtpd.conf:

Wie man im Bild sieht ist die Konfiguration, ob sasldb2 oder saslauthd genutzt wird, easy. Alles was im Bild weiß ist, ist für saslauthd. Setze eine # (Raute) vor jeder weißen Zeile und nehme die Raute vor den blauen Optionen weg und es ist für sasldb2 konfiguriert.   Beachte aber die Option noplaintext in der main.cf wie im Text erwähnt. Den log_level kann man natürlich für beide Arten aktiv lassen. Wenn wir saslauthd nutzen, sollte der service natürlich gestartet sein – wenn sasdb2 benutzt wird, sollte der saslauthd deaktiviert sein. Beachte die Ausgabe von ps -ax.

Nochmal deutlich: saslauthd geht nicht mit cram-md5 (digest-md5, also verschlüsselte Passwörter). Wenn also in deiner smtpd.conf saslauthd und cram-md5 als aktivierte Werte drinstehen, hast Du die Lösung eines Problems gefunden.

Beachte auch, dass die Nutzung eines unverschlüsselten Passwortes – also saslauthd – nicht gerade ungefährlich ist. Entschärfe diese Sicherheitslücke mit TLS.

TLS – verschlüsselte Übertragung

Standardmäßig spricht Postfix TLSv1 und SSLv3. Das ist auch so in Ordnung. Mit der Option (siehe Bild) smtpd_tls_mandatory_protocols kann man also nichts mehr wesentlich verbessern – man könnte den Server noch auf TLSv1 einschränken. Es muss aber auch klar sein, dass sich andere Mailserver mit deinen Mailserver unterhalten und wenn die Vorgaben zu restriktiv sind (egal bei welchen Optionen!) besteht immer die Gefahr, dass der andere Mailserver nicht bedienen kann – also die Übertragung der Email abbricht.

Die Option smtpd_tls_security_level = may sagt im Prinzip dem Mailclient: “Wir könnten TLS sprechen.”

Daher ist es eine Möglichkeit, die Option smtpd_tls_auth_only zu deaktivieren und läuft in Verbindung mit sasldb2 darauf hinaus, dass, wenn der Mailclient TLS kann, die Verschlüsselung des Übertragungsweg auch benutzt wird – wenn er es nicht kann, ABER verschlüsselte Passwörter hat, dann geht es auch ohne TLS. Kurz: Man ist immer auf einer verschlüsselten Option.

Die andere Möglichkeit ergibt sich, wenn die Optionen wie im Bild gesetzt sind. Dann würde TLS verpflichtend  vom Mailclient – also z.B. mit plaintext Passwörter und saslauthd aber TLS (nochmal: unverschlüsselte Passwörter aber mit verschlüsselter Übertragung)  -verlangt werden. Klarer gehts nicht.

Die Option smtpd_tls_received_header ist ganz spaßig: Sie setzt dem Quelltext einer Mail noch zusätzliche Informationen hinzu, die den TLS Dialog der Mailserver betrifft. Schaue Dir mal den Quelltext einer Email an: Thunderbird -> eine Email auswählen -> andere Aktionen -> Quelltext anzeigen.

Übrigens: Wenn dein Mailclient bei aktivierten TLS meckert, dass keine Anmeldung möglich ist, hat dass nicht automatisch was mit der “Anmeldung” (sasldb2, usw.) zutun, sondern kann auch an einen fehlerhaft konfigurierten TLS liegen: Die Anmeldung wird nämlich erst begonnen, wenn TLS – also die verschlüsselte Übertragung – steht! Macht ja auch Sinn …

Ich habe Dir ja zu Beginn schon geschrieben, dass meine Artikel etwas länger ausfallen.

TLS Zertifikate

Wenn Du Emails von einen Mailserver bekommst, kann es sein, dass es Fehlermeldungen gibt, weil beim TLS Zertifikats Abgleich (wenn Dein Mailserver TLS spricht!), deinem Mailserver die notwendigen öffentlichen Zertifikate fehlen und er also nicht erkennt, ob die Zertifikate vom anderen Mailserver koscher sind. (Zum testen würde ich in der main.cf mal smtpd_tls_loglevel = 2 setzen.)

Dafür gibt es die Option smtpd_tls_CAfile. Mit dieser Option wird der Pfad zu deinen Zertifikatspool angegeben. Unter Ubuntu 10.04 ist der pool unter /etc/ssl/certs wenn ein bestimmtes Paket installiert ist, verdammt, wie heißt das noch? Ich vermute, es war ssl-cert. Und in diesen Zert-pool liegt eine Datei, die alle Zerts in diesen Ordner beinhaltet, ca-certificates.crt, diese Datei nennst Du deinen Mailserver (wie im vorherigen Bild gezeigt) und schon spricht er fließend zertisch mit anderen Mailservern.

Nochmal: Das hat nichts mit verschlüsselten Passwörtern zutun, bei TLS geht es nur um eine verschlüsselte Übertragung (!) von Daten! Und nochmal deutlich: Nicht nur Mailclients wie Outlook oder Thunderbird sprechen mit deinen Mailserver TLS sondern eben auch andere Mailserver, die Dir Mails anliefern …

Tipp: Bei Bastelaktionen mit TLS kann es manchmal hilfreich sein, die letzte Option im Bild (limit) zu aktivieren und den Wert anzuheben.

restrictions sind Einschränkungen

Bei den restrictions (Einschränkungen) scheinen sich die Kollegen immer übertreffen zu wollen! Das ist auch verständlich, weil jede Admina Angst davor hat, mit ihren Mailserver auf einer Schwarzen Liste  als Spam-Server zu landen oder der Admin einen Anschiss von seinen Anwendern erwartet, wenn zu viel oder zuwenig an Mails durchkommt. Wie dem auch sei …

Ich empfehle, es mit den restrictions nicht zu übertreiben – Wichtiger halte ich eine brauchbare Gliederung der restrictions. Auf welchen Ebenen des Mailverkehrs greifen welche Überprüfungen? Damit hat man schneller entsprechende Stellschrauben …

Bei den Einstellungen im folgenden Bild, geht es uns um den Briefkopf der Mail. Damit wollen  wir sicherstellen, dass die – vom Mailserver – angenommene Mail in der Form korrekt ist (Die Post klebt für Dich auch keinen Briefumschlag zu :) und können damit verschiedene Probleme in der Weiterverarbeitung der Mail ausschließen.

Es wird empfohlen, das vrfy Kommando zu deaktivieren. Das vrfy (kurz für verifizieren, bestätigen lassen, dass es einen Mailempfänger auf diesen Mailserver gibt) wird angeblich von Spammer genutzt, um gültige Mailadressen abzufischen. Dann sollte sich der Client mit einen korrekten helo beim Mailserver anmelden und der envelopes (Anschrift auf dem Briefumschlag)  muss ebenfalls korrekt sein: mit strict_rfc821_envelopes erwarten wir vom Absender eine spitze Klammer um die Mailadresse. Eben senden mit Stil.

Gültiger Mailserver?

Das folgende Bild geht auf die Netzwerkanbindung des Senders ein:

Damit checken wir einen gültigen – sprich: im Internet vollwertig bekannten – Mailservernamen und eine gültige Sender- Domäne ab. Wenn der sendende Mailserver einen unbekannten Namen hat, wird seine Mail nicht angenommen. Warum auch? Wohin sollten wir denn die Antworten auf seine Mail schicken?

Im folgenden Bild sehen wir im wesentlichen Empfänger-bezogene , bzw. den eigenen Mailserver betreffende Einschränkungen.

Bei der Option smtpd_recipient_restrictions, sind folgende Eigenheiten bei der Konfiguration zu beachten:

• dass die restrictions nicht willkürlich zusammen gestellt werden.
• dass (immer) permit_mynetworks und permit_sasl_authenticated eingetragen ist.
• dass die teuren restrictions in der Liste am Ende kommen.
• dass zum Abschluss der Liste ein end-gültiges Statement (reject oder permit) steht.

Deswegen erstmal mit einen schmalen set starten  - ausbauen kann man immer!

Was sind teure Restriktionen?

Du kannst z.B. per restrictions festlegen lassen, dass alle Absender von einkommenden Mails mit Schwarzen Listen abgeglichen werden. Es ist bestimmt verständlich, dass so eine Überprüfung Zeit dauert und damit eine “teure” Angelegenheit ist. Damit würde die restrictions “überprüfe Absender in der schwarzen Liste” in unserer Liste ganz unten – aber noch vor dem endgültigen Statement – stehen.

policy_weight gegen Spam

Übrigens: Im letzten Bild sieht man den Eintrag check_policy_service und der ist für policyd_weight gesetzt. Einfach das Paket policyd_weight installieren und den Eintrag wie im Bild setzen und schon werden alle eingehenden Mails – also die Absender, bevor die Mail in der Warteschlange des eigenen Servers aufgenommen wird, anhand verschiedener Schwarzer Listen – überprüft. Das Ergebnis ist in /var/log/mail.log zu sehen. Die Standard- Einstellungen und welche blacklists von policyd-weight genutzt werden ist unter /usr/share/doc/policyd-weight/README.Debian nachzulesen.

Sicherheitsfilter auf mehreren Ebenen

Damit haben wir auf auf mehreren Ebenen Sicherheitsfilter eingebaut: im Vorfeld fliegt spam raus, die grundsätzliche korrekte Form einer Mail wird abverlangt, die Netzwerk- Daten des sendenden Mailserver werden überprüft und die haus-internen restrictions für den Umgang mit angenommenen Emails sind definiert. Ein solides Fundament …

Vor oder nach dem queuen?

Um das nochmal klar zu sagen: Mit Queue ist die Warteschlange des Mailservers gemeint. Queue ist nur kürzer als Warteschlange. Ähnlich wie ein Druckserver muss der Mailserver auch mal verschiedene Aufträge bis zur Weiterverarbeitung ablegen können. Entscheidend ist dann, wie viel Hardware will ich für eine flotte Queue investieren, müssen manche Mails überhaupt ge-queuet werden und wer redet mit dem Absender, wenn eine Mail vor der Queue oder in der Queue verworfen wird (Spam, Formfehler, Schadprogramme).

Damit ist die Frage, ob man in Postfix Filter einbaut (z.B. für amavisd-new, siehe unten im Text), die vor oder nach dem queuen wirksam werden, eine relativ spannende Frage. Wir sollten aber auch keinen Glaubenskrieg daraus machen: Es kann ohne Probleme im laufenden Betrieb von content_filter auf proxy_filter (und umgedreht) umgestellt werden. Einfach alle Einträge in master.cf und main.cf setzen und entsprechend aktivieren.

proxy_filter – filter vor queue

Im ersten Schritt deaktivieren wir den content_filter Eintrag in der main.cf – wenn einer vorhanden ist! Generell muss für den proxy_filter kein Eintrag in der main.cf gesetzt werden, weil er mit den Postfix Optionen in der master.cf konfiguriert wird. Dazu kommen wir im nächsten Schritt.

Im zweiten Schritt erweitern wir den smtp Eintrag in der master.cf mit 3 Options- Zeilen. Beachte bitte den Einzug (mehrere Leerzeichen) vor den Options- Zeilen. Ohne diesen Einzug ist die Konfiguration unbrauchbar! Zusätzlich sehen wir die Aktivierung der  chroot Umgebung des Postfix Server’s am Minuszeichen (-) in der chroot Spalte. Damit wird die Standard Einstellungen (yes) bestätigt. Und die 20 steht für die verminderte Anzahl der smtp Dienste, die im Hintergrund Anfragen annehmen, weil der proxy_filter keine queue hat und daher (vorsorglich) mit weniger auskommen muss.

Im dritten Schritt bauen wir – ebenfalls in der master.cf – den Eintritt der Mail in die queue ein. An der IP-Adresse erkennen wir, dass der smtp Server nur mit sich selbst spricht: er gibt quasi das Fax für das nächste Büro durch die Zwischentür weiter. Fertig.

Alternativ können wir – wie im folgenden Abschnitt beschrieben – den content_filter einrichten:

content_filter – filter nach queue

Im ersten Schritt aktivieren wir den content_filter in der main.cf. Die 2 Zeilen aus dem folgenden Bild sind dabei vollkommen ausreichend. Mit der zweiten Option (mapping) wird das umschreiben der Empfänger- Adresse abgeschaltet, weil der smtp sonst zu falschen Annahmen kommt und die Mail im falschen Postfach landet.

Im zweiten Schritt überprüfen wir den smtp Eintrag in der master.cf – dieser steht normalerweise in einer der ersten Zeilen! Zusätzlich beachten wir das Minuszeichen für die aktivierte chroot Umgebung als Standard- Einstellung des Postfix Servers und die 100 für die volle Anzahl der smtpd Dienste, die im Hintergrund anfragen annehmen, weil der content_filter die queue von Postfix zur Verfügung hat. Diese Einträge sind normalerweise im un-konfigurierten Zustand dieser Datei zu erwarten.

Im dritten Schritt bauen wir – ebenfalls in die master.cf – den Eintritt der Mail in die queue ein. Hier ist nur zu beobachten, dass wir den lmtp statt den smtp als Schnittstelle bevorzugen, weil er besser mit gleichzeitigen Vorgängen – also mit mehreren Mails auf einmal – umgehen kann. Außerdem ist der Eintrag -o content_filter= sehr wichtig. Ebenfalls gilt es zu beachten, dass es vor und nach dem Gleichheitszeichen keine Leerzeichen geben darf!

Das die meisten Optionszeilen keine Werte haben, ist in diesen Zusammenhang richtig, weil die Werte an dieser Stelle (Postfix spricht ja hier mit sich selbst) nicht wirksam werden sollen, an anderer Stelle schon definiert sind oder eben doch mit diesen speziellen Werten wirksam werden müssen.

Unterschiede der Filter?

Die Funktionalität ist die gleiche, aber was unterscheidet diese filter? Es ist simpel: der content_filter gibt die Mails zur Filterung, wenn die Mails schon in der Warteschlange aufgenommen sind. Unser Mail- Server muß also (nach RFC’s) bei z.B. Fehler oder Ablehnung den Verwaltungskram mit dem Sender abwickeln.

Der proxy_filter ist aber der Queue (Warteschlange) vorgeschaltet – vergleichbar dem policyd_weight – und muss bei Ablehnung der Mail dem Sender keine Status- Mail schicken. Die Mail stirbt. Ist alles in den RFC’s geregelt.

Die Debatte zu pros und cons der beiden Filter ist im Internet sehr umfangreich – sollte diese Frage für den eigenen Server kriegsentscheidend sein, dann würde ich dazu ausführliche Recherchen empfehlen: einfach mal die Suchwörter “postfix pros cons content_filter” in google eingeben. Im “normalen” Betrieb ist üblicherweise der content_filter in Anwendung.

Was jetzt?

Ich bevorzuge den proxy_filter, denn: Was ich nicht annehme – darum muß ich mich auch nicht kümmern! Allerdings hat der proxy_filter auch Nachteile: So soll er bei einer großen Anzahl paralleler Verbindungen zum Mailserver in’s Schwitzen geraden. Das liegt daran, das dieser proxy_filter ein ganz normales Programm ist und keine eigene Warteschlange besitzt. Damit kann es passieren, dass der Client – also der Absender einer Mail – in einen timeout läuft, wenn die Server- Ressourcen mal knapp wären. Entscheide selbst.

amavisd-new gegen Viren

In der Beschreibung des amavisd-new Pakets steht sinngemäß “eine Schnittstelle zwischen MTA (hier: postfix) und Viren- oder Inhalts- Filter”. Wenn Admina also das (Anti-Viren-) Paket clamav und clamav-freshclam installiert hat, den (im Bild) gezeigten Zugang zur Schnittstelle amavisd-new in main.cf und den content_filter  konfiguriert hat, ist Postfix über den amavis mit dem Virenscanner clamav connectet. Die Mails werden durch den Virenscanner gejagt.

In diesen Bild sehen wir also die entscheidende Einbindung des amavisd-new mit der Benutzung des content_filter unter Nutzung des ports 10024 in der main.cf. Der Standard port 10024 für amavisd-new ergibt sich aus der Datei /etc/amavis/20-debian_defaults der mit der Option inet_socket_port definiert ist.

Der port 10024 für den proxy_filter ist als Options- Zeile unter dem smtp Eintrag in der master.cf zu finden – wenn alternativ der proxy_filter konfiguriert ist!

chroot abschalten

Manchmal kann es notwendig sein, die chroot Umgebung des Postfix Server’s abzuschalten. Das ist eigentlich keine große Sache, erfordert aber ein Umdenken, weil die Dateien wieder an ihren “Original”- Plätzen – also nicht in einer “künstlichen” Umgebung – für den Postfix im Zugriff sein müssen. Im Prinzip ist schon aus den vorhergehenden Bilder zu sehen was gemacht werden muss: in der master.cf ist beim smtp service, in der Spalte chroot das Minuszeichen (-) zu einen n (für nein/no) zu ändern.

Aber weil wir ja auch noch (eventuell) den saslauthd nutzen und der ja ein ganz enger homie vom Postfix ist, muss bei diesen Service auch nachgebessert werden. Immerhin hat saslauthd nach Abschalten der Postfix chroot einen anderen Rendezvouse Ordner mit Postfix. Dafür das folgende Bild (beachte auch den Kommentar im Bild):

Im Bild wird der Text in /etc/default/saslauthd gezeigt, der die Umstellung von saslauthd auf Nicht-chroot (und umgekehrt) konfiguriert. Grundsätzlich sollte man aber die Empfehlung annehmen, dass Sicherheits- Konfigurationen ihren Sinn haben und nur als letzte Lösung abzuschalten sind.

Zum Schluss (endlich!)

Nur kein Durcheinander. Wenn Admina sich das ganze als Fließband vorstellt, und sich vorstellt, wer, wann, was drauflegen darf und wie es abgehandelt wird, wenn es draufgelegt wird, oder eben auch nicht, dann bekommt man leicht ein Bild von der Wanderung einer Email in postfix. Unter dem Artikel habe ich links abgelegt, unter denen man auch gute Schema Zeichnungen zum Ablauf findet.

Jetzt fange ich nicht mehr mit bäsixs an: Wer nicht weiß, wo seine logs liegen, wie Admina die logs lesen muss, was der Befehl tail -f ermöglicht, welche Aussage er mit ps findet, init 6, verschiedene Mailclients, quelltext einer Mail, DNS und MX, service Verwaltung unter Linux, mindestens 3 terminals geöffnet, Versionen herausbekommt, show und search mit aptitude, vi, wer das alles nicht kennt, sollte das Thema Mailserver beenden. Mailserver ist die Königs- Disziplin und eine solche Konfiguration kopiert man nicht eben mal von einer anderen Webseite ab. Wer weniger als 4 Wochen an seinen Mailserver gebastelt hat, hat nicht gebastelt sondern gespielt.

Wenn ich noch mehr schreibe, werde ich gesteinigt. Have fun …

Ergänzung

Ich erlaube mir – weil es jetzt auf 10 Sätze mehr auch nicht ankommt – hier noch zwei Bilder abzulegen.

Bild mit proxy_filter

Dieses Bild zeigt den Empfang einer Email mit einen proxy_filter. Die roten Kreise markieren die verschiedenen Konfigurationspunkte, die wir hier im Text ausgeführt haben.

Von oben nach unter beschrieben, sieht man, dass der Mailserver von dem sendenden Google Mailserver ein TLS verlangt und bekommt. Danach checkt erstmal policyd-weight, ab – vor der queue – ob es sich bei der Mail um spam handelt. Dann übernimmt der proxy_filter, typischerweise mit einen NOQUEUE, gibt die Mail an den Amavis – der nickt ab, dass keine Viren drin sind. Damit ist der proxy_filter (END-OF-MESSAGE: 250, die Zahl besagt OK) fertig und der Postfix service local übernimmt die Mail, stellt sie über dovecot-deliver dem Anwender zu, wie mit mailbox_command in der main.cf festgelegt.

Bild mit content_filter

Im Gegensatz dazu, sehen wir in dem Bild, das den Mailempfang mit den content_filter beschreibt, etwas weniger rote Kreise :)

Von oben nach unten, erfahren wir, dass die TLS Anforderung unseres Mailserver von Google bestätigt wird, dann sofort policyd-weight an vorderster Front – also vor der queue – gegen Spam kämpft, danach die Mail beim Postfix smtp bleibt, der aber dann mit einen connect an sich selbst (127.0.0.1) die Mail an den content_filter übergibt, Amavis seine Aufgabe erledigt und dann über lmtp,127.0.0.1 und port 10025 die Mail an den local Dienst von Postfix weiterleitet, der die Einsortierung über dovecot-deliver managt.

Passwort- Verwaltung

Nachdem ich für das Schreiben dieses Artikels viele Einstellungen an meiner Konfiguration überprüft, viel im Internet recherchiert habe und mir auch nochmal einiges inhaltlich klarer wurde, bin ich auch etwas ernüchtert. Die totale Sicherheit auf dem Mailserver gibt es nicht ohne workarounds oder zusätzlichen Umstand!

Alleine die Tatsache, dass die Nutzung von verschlüsselten Passwörter (sasldb2) mit Postfix in der chroot Umgebung ein Neustart des Postfix Service erfordert, wenn man das Passwort wechselt, ist schon ein Unding. Denn erst dann wird die sasldb2 aus /etc mit dem neuen Passwort nach /var/spool/postfix/etc kopiert – wenn der Eintrag in der /etc/init.d/postfix wie oben beschrieben gemacht wurde. Eine Verlinkung scheitert mit einer Fehlermeldung.

Außerdem muss einem Admin klar sein, dass Dovecot – also der IMAP Server – die Passwörter aus der /etc/shadow nutzt. So hat man zwei Passwörter an zwei Stellen im System zu pflegen. Schlimmer noch: Der Anwender braucht für einen Passwort- Wechsel Zugriff auf beide Stellen!

Wie durchschlägt man diesen Gordischen Knoten? Wenn wir bei dieser Konfiguration weitestgehend bleiben wollen, würde ich folgendes empfehlen: Aktiviere den saslauthd, setze also auf unverschlüsselte Passwörter, aktiviere TLS verpflichtend und lasse den Postfix in der chroot Umgebung. Damit ist nach meiner Meinung, dass optimale an Sicherheit im Rahmen der vorgestellten Konfiguration rausgeholt.

Alles ohne Garantie.

Auch den Arbeitern in der IT-Industrie, die in Asien oder wo auch immer, nach einen 12 Stunden Arbeitstag an Weihnachten nach Hause kommen und sich auf das Essen mit ihrer Familie freuen, Kolleginnen und Kollegen, die jetzt in irgendwelchen Baustellen, die Verdrahtung prüfen, weil die Abnahmefrist vor Jahreswechsel ist, Selbständige, die zum Ende des Jahres ihr Projekt verloren haben und nicht wissen, wie sie in das neue Jahr kommen, IT-Auszubildende, die sich wegen Zwischenprüfungen verrückt machen:

Ein schönes Weihnachtsfest! Für mich ist Weihnachten eher eine Geburts-Tags-Feier. Da ist jemand geboren, der vielen Menschen wichtig wurde! Und später einen ordentlichen Handwerksberuf ausführte und dabei noch Zeit fand, sich über das Zusammenleben der Menschen Gedanken zu machen. Eben Jesu. Ob man an diesen Mann glaubt oder nicht, ist erstmal zweitrangig, aber er zeigte uns, dass wir bei unserer Arbeit nicht vergessen sollten, mal nach links und mal nach rechts zu schauen.

Laßt uns Heute auf unserer Arbeit, egal wo wir sind, mal einen Moment inne halten und der Kollegin und dem Kollegen ein aufrichtiges schönes Weihnachtsfest wünschen und wenn Ihr dabei noch Zeit findet, gemeinsam ein Stück Stollen (oder was auch immer!) zu essen, dann seit Ihr der Geburtstagsparty für diesen Zimmermann Jesu schon verdammt nahe.

Ein schönes Weihnachtsfest!!

Machen wie uns nichts vor: Sollten Sie, werter Leser, etwa Manager in einen Öl- Unternehmen sein, dann satteln Sie jetzt besser auf Raumfahrt um! Sollten Sie, lieber Leser (der andere), etwa Ingenieur sein und noch immer über Pellets nachdenken: Vergessen Sie die kleinen Holz-Scheisser einfach. Und wenn Sie, werter Raps- Bauer (oder Redakteur in einen großen Fernseh- Unternehmen), endlich zur Einsicht gekommen sind, dass Monokulturen in Kontinentgröße doch nicht so prickelnd sind: Genau!!

Aber kommen wir zu Taten! Hiermit will ich Ihnen in wenigen Worten die Lösung für das Weltenergieproblem skizzieren.

Stellen wir uns die Erde als Kugel vor (Scheibe? Mit Scheibe funktioniert diese Idee nicht!) und gehen davon aus, dass die Luftschicht um die Erde (speziell zum All hin) immer dünner wird – erkennbar daran, dass Astronauten Taucherflaschen auf dem Rücken tragen! Und  an diese Grenze von Luft und Nicht-Luft legen wir um die Erde einen Stahlring, eher eine Spange, denn wir müssen ja die Weite dieses Stahlringes variieren können. Die Stahlspange wird an einer Stelle durchtrennt und eine Angel (nicht Fisch, sondern Tür!) eingebaut. Zwei Satelliten (in der Detail- Zeichnung an den drei Antennen erkennbar) halten die Stahlwendel, die durch die Angel (sozusagen ein Scharnier) führt. Die beiden Satelliten können natürlich von der Erde aus gesteuert werden – eignen sich aber auch hervorragend als Touristen- Ausblick. Sozusagen der Grand Canyon des Weltraums!

Wie jeder im Physik Unterricht oder aus den Film Armageddon (mit Bruce Willis!) gelernt hat, können Meteoriten verbrennen, wenn sie auf die äußerste Luftschicht der Erde in zu flachen Winkel auftreffen. Es entsteht eine ungeheure Reibungswärme. (Manchmal produziert die auch mein Nachbar.) Und diese Wärme wird einfach in Energie umgewandelt und über ein Verlängerungskabel zu Erde geführt und fertig! Der Harken?

Ein Harken? Nicht wirklich. Satelliten haben wir schon oben, die Technik für die Scharniere haben wir schon seit Jahrhunderten in jeden Haus das Türen hat und wenn wir erstmal Raketen haben, die pro Start 500 Tonnen Traglast in das All schleppen, ist das schon die halbe Miete. Die Steuerung der Stahl- Spange besteht aus zwei, einige Kilometer lange, Eisenträger die über ein Scharnier mit einander geführt  und schwenkbar sind. Man betrachte den guten alten Nussknacker: Zwei Eisenhebel, die zusammen gedrückt werden. In unseren Fall dreht eine Satelliten-gesteuerte Wendel die Eisenträger zusammen und wieder auseinander. So wird die Wärmeaufnahme und die entsprechende Energie- Gewinnung reguliert.

Auseinander? Aber natürlich! Die Reibungswärme zwischen Stahlspange und Luftschicht wird mehr als Warm sein und da wir die Spange ja nicht einschmelzen wollen (aber so können wir Sondermüll loswerden!) muss der Abstand der Spange zur Luftschicht über die Aufweitung durch das Scharnier gesteuert werden.

Die Wärme wird in Generatoren, die in regelmäßigen Abständen (alle 10.000 Kilometer werden wohl langen) auf der Spange montiert sind, in Strom umgewandelt und zu einen Sammler geschickt. Platz ist genügend da oben! Und von diesen Sammler geht das Verlängerungskabel zur Erde in die Meere. Und ähnlich den gewachsenen Kristall- Strukturen in den Reagenzgläsern der Labore, wird auf dem Meeresgrund eine ähnliche Kristall- Struktur aus dem Meerwasser gezüchtet, die dann als globales Strom-Kristall-Netz die Energie aus dem All zu jeden Kontinent bringt. Echt umweltfreundlich!

Wir haben vorhin einem Harken an der Sache geleugnet (äh,gesucht). Technisch ist das alles problemlos möglich – jeder Bremsenhersteller könnte sich an der Ausschreibung beteiligen. Auch Finanziell ist dieses Projekt kein Problem! Beachten Sie mal die Bilanz der Bank of China! Der Geldmarkt wäre froh, endlich mal wieder Projekte zu sehen, in denen man ein paar Hundert Milliarden unterbringen kann. Mit den Frankfurter Wochenendhäusern ist doch kein BungaBunga mehr zu machen! Bei der angenommenen Ackermann`schen Rendite von 20% (oder waren die Vorgaben 25%?) kommt da genügend Prämie für die Aktionäre zusammen, so das die Herren mit Sicherheit die Annahme bei der nächsten Versammlung empfehlen!

Aber ich will ehrlich sein: Es gibt einen großen Harken. Die Vereinigung der Kernkraft- Pförtner! Tausende von Pförtnern die von Heute auf Übermorgen ihren Job verlieren! Die Abschaltung aller Atomkraftwerke! Eine riesige Tragödie für diese Berufsgruppe! Aber: shit happens. Hätten die mal was Richtiges gelernt…

wichtige Weblinks: Schulungsmaterial und hier nochmal zur Verdeutlichung

P.S. Frage: Das ist ein Linux blog. Was hat dieses Thema mit Linux zutun? Antwort: Die Satelliten laufen mit Linux :)

Gerade habe ich pilgermaske (pm) auf WordPress (WP) 3.3 aktualisiert. Der ganze Vorgang dauerte 6 Sekunden und ging ohne Probleme. Über die Vereinfachungen beim upload von Dateien und die neue Menü-Animation wird in verschiedenen Foren schon diskutiert. Einige WP Entwickler gehen scheinbar auf Nummer sicher und bauen plugins, die Änderungen wieder zurück schrauben.

Letztlich ist das Geschmackssache und jeder sollte – nach einer Installation auf einer Testumgebung – selbst entscheiden, ob diese Version einen Mehrwert bringt. Pilgermaske kann damit leben. 

Allerdings fällt Euch sicherlich auch der eine oder andere bug auf. Wenn ihr momentan auf die einzelnen Menüpunkte mit dem Mauszeiger fahrt, bekommt ihr keine Beschreibungen -sogenannte  ”Title Attribute” – angezeigt. Also gerade entsprechende Eingaben im “All in one SEO Pack” plugin sind damit wirkungslos. Ob das am plugin oder an WP liegt müssen schlauere Menschen austüfteln. Das Problem konnte ich in einer anderen Installation auch beobachten.

Plugins wie:

Dave’s WordPress Live Search | Facebook, Twitter & Google+ Social Widgets | GD Star Rating | HTML Sitemap Generator | Slick Contact Forms | More Link Modifier | Multi-column Tag Map | Veranstaltungskalender | WP-Table Reloaded

funktionieren bis jetzt bei meinen verschiedenen Installationen mit dem Twenty Eleven 1.3 Theme ohne Probleme.

Spannend fand ich auch an WP 3.3 das die Optionen, wie die Permalinks aussehen sollen, erweitert wurden: Eine weitere Option /%postname%/ ermöglicht jetzt, den Artikelnamen direkt an die URL zu binden – also ohne Datum oder Kategorie dazwischen!

Letztlich ist klar (denke ich zumindest so!), dass die weitere Entwicklung von WP in Richtung “mobiles Endgerät” geht. Auch wenn die Vorstellung, dass ein Redakteur direkt vom Ort des Geschehens seinen Text über ein iPad direkt als Content ablegen kann, sehr reizvoll scheint, entspricht das aber noch nicht wirklich dem Arbeitsalltag in großen Redaktionen.

Wie dem auch sei: in WordPress 3.3 wurden schonmal Optimierungen für das iPad integriert. …und läuft.

Nicht, dass dies irgendwie für die Weltgeschichte relevant war, aber dieser Krieg zog leider seine Kreise und erreichte Mainz. Nicht, dass dies irgendeinen Äppelwoi Trinker kümmerte, in Gegenteil, diese Ansammlung von Baracken war der Flughafen-Erweiterung eh’ nur im Wege, auch wenn das Historiker des 24. Jahrhundert (die sogenannte Guido-Bewegung, Namensherkunft ist 3211 (dreitausendzweihundertelf) nicht mehr nachvollziehbar!) zum Teil anders sehen, ist der Weltgeschichtliche Konsens eindeutig: Die Flughafen- Erweiterung war notwendig!

Und so ergab es sich, dass aus dem ehemals Mainzer Hauptbahnhof ein Abflugterminal für kleine Sportmaschinen wurde. Nicht, dass dies zu belächeln wäre: Ein zäher politischer Kampf gegen die Flughafen-Erweiterung führte zu einen historischen Kompromiss! Die 67 Meter Außenfassade des Bahnhofs sollte harmonisch in das geplante Abflugterminal integriert werden und hat sich 3211 (dreitausendzweihundertelf) hervorragend als Kofferlager bewährt! Dieser Mainzer Kompromiss ging in die Geschichte als der “Mainzer Kompromiss zum Mainzer Hauptbahnhof” ein!

Aber schlimmer traf es einen kleinen Hügel im Mainzer Umland! Angeblich ursprünglich nach einen Vogel benannt,setzte sich doch die Tradition des Volksmund durch und der Vogelberg erhielt den Namen “Swinger-Hügel”. Nicht, dass dies irgendwie unanständig wäre – hat sich ja der Umgang mit Sexualität im Jahre 3211 gänzlich verändert! (Sex wurde per Dienstanweisung verboten) – vielmehr wurde der gesamte Abraumschutt nach der Evakuierung Mainz’es dort abgeladen, die dortigen Hütten verkamen und 1000 Jahre später glaubten sogar Winzer aus dem Noch-Mainzer-Umland, die Zeit sei reif für die erste Rekultivierung einer Weinrebe am Swinger Hügel.

Und hier beginnt die “Geschichte des Mainzi Joe”, ein anerkannter Kenner vieler Swinger Hügel, maßgeblich beteiligt am Mainzer Kompromiss zum Mainzer Hauptbahnhof und gnadenloser Ebbelwoi Gegner! Nicht, dass nicht jede Stadt einen saufenden Dummschwätzer hätte, aber da war Mainzi Joe unübertroffen: Was er machte, machte er gnadenlos und ignorierte gewissenlos jeden Bluttropfen, der aus den Ohren seiner Zuhörer floss! (Wie ist wohl sonst der Mainzer Kompromiss zum Mainzer Hauptbahnhof zustande gekommen?). Aber bekanntlich sieht in 3211 (dreitausendzweihundertelf) der Blick in die Geschichte anders aus.

Und damit kommen wir zum Wesentlichen Teil dieser Geschichte! Als sich Mainzi Joe wieder einmal auf eine Exkursion auf dem Swinger Hügel machte und sich so überlegte, wie er sein armseliges Leben als Archäologe (Spezialgebiet: Informationskatuschen aus dem 21.Jahrhundert) auszeichnen könnte, kommt ihn der (einzige) Lichtblick! Mainzi Joe wird diesen Abschnitt seines Lebens “Mainzi Joe und die Suche nach dem Goldenen iPad” nennen. Davon war er gar sehr angetan, gar so sehr, dass er springte, jauchzte und sang vor Freude. Nicht, dass es einen Vollidioten etwas ausmacht, wenn er dabei eine Weinrebe zertritt, aber 3211 (dreitausendzweihundertelf) waren da die Mainzer Weinbauern doch etwas pinzig und trieben Mainzi Joe den Swinger Hügel immer weiter hinauf, der Spitze entgegen (sozusagen) und dann – noch nicht der Gerechtigkeit genug – bewarfen sie Mainzi Joe solange mit Äbbel, bis er die Besinnung verlor und in Ebbelwoi ertrank.

Das (aus Frankfurter Sicht) ehrenhafte Ende des Mainzi Joe, unter Einsatz seines Lebens “das Goldene iPad” zu finden und dabei doch so beschissen zu scheitern, war dann doch nicht ganz umsonst: eine Produktionsfirma kaufte die Rechte an dieser Geschichte der Familie Mainzi Joe’s ab und so konnte wenigstens die Mainzi-Rest-Klein-Familie ein sorgenfreies Leben in Saus und Braus leben. Nicht, dass es nur Affen auf der einen Rhein-Seite geben würde….

Thä Änd

P.S. Und an allem haben die Offenbacher Schuld!

manchmal bekomme ich echt Angst. Da prüft man seinen blog auf speziellen Seiten, ob sie richtig programmiert, die Bilder richtig beschriftet sind und auch ja nicht die Artikel Überschriften zu groß oder zu klein sind. Und dann kommt man zu einer speziellen Seite, die scheinbar sehr intensiv, nach amerikanischen Kriterien, das Sprachniveau des blogs testet. Ab welchen Alter verstehen meine Besucher meine Texte, gemessen an Silben und oder Anzahl der Buchstaben in einen Wort und was kommt dabei heraus: Ich mache eine Kinderseite! 

Am Testergebnis stand ausdrücklich, dass sich die Bewertung am amerikanischen Schulsystem orientiert und meine Texte in diesen Blog überwiegend Leser im Alter von 13 bis 15 Jahren ansprechen würden! Jetzt weiß ich nicht, ob ich lachen oder weinen soll: Bestimmt ist es ehrenwert, wenn man bescheinigt bekommt, komplexe Themen sehr umgänglich beschreiben zu können, da ich aber meine Themen für nicht so komplex halte, betreibe ich also einen Kinder blog. Deprimierend…

Aber diesen Vergleich muss man sich wohl als blogger stellen. Um es gleich zu sagen: Ich werde meine Texte unverändert im bisherigen Stil verbreiten und hoffe, dafür auch meinen eigenen Fan Club entwickeln zu können. Und wer Yukio Karten tauschen will oder Kika TV besser findet, soll einfach weitersurfen: Sicherlich gibt es mittlerweile für jeden Quatsch und jedes Sprachniveau einen blog im weiten Netz. Verstehst Du mich?

| Der Sprachtest ist Teil dieser SEO-Prüfung |

Statt Spam meine ich hier natürlich spam – also das klein-geschriebene spam. Und das ist leider nicht schmackhaft und landet täglich in unseren Postfächern, Kommentar-Formularen und Links. Ich meine die kostenlose digitale Werbung. Und dagegen gibt es auch etwas (wenn auch keine versiegelten Dosen). Streng genommen… 

Ein Standard-Tool gegen spam im WordPress (WP) blog ist Akismet [2]. Dieses Tool – meistens als plugin in WP genutzt – siebt sehr zuverlässig blog-spam heraus. Aber wie macht es das?

Eigentlich nichts Besonderes: Es nimmt den z.B. eingestellten Kommentar von einen Anwender, notiert sich allerlei Angaben, trottet zu einen Server in den USA und vergleicht diese Angaben mit einer Datenbank. Steht der Absender, der Text oder andere Angaben als spam in dieser Datenbank ist es spam und Akismet verhindert den Spam-Eintrag im Blog.

Dem aufmerksamen Leser ist jetzt schon schlecht geworden – nein, nicht vom Spam sondern von der Zeile, in der es heißt, dass Informationen auf einen Server in die USA transferiert werden. Gut, sind wir nicht pinzig und gehen mal davon aus, dass es für die U.S. Regierung nichts wichtigerisches gibt als Datenschutz (verkneif dir das lachen!) und die Daten NATÜRLICH anonymisiert wurden und der Server nicht im Rechenzentrum der NSA steht und… Naja, eben alles gut. Und trotzdem hat uns dann Akismet nicht so einfach los.

Sobald Akismet auf einen WP Blog zur spam-Abwehr eingesetzt wird, muss (streng genommen!) ein Hinweis präsent sein, der das dem Blog-Besucher mitteilt. Denn nicht alle lieben Staatsbürger wollen über eine Standleitung ungefragt ihre Web-Daten in die USA transferiert sehen. Warum eigentlich? Und sobald im blog Werbung eingebunden ist, ist (streng genommen!) dass kostenlose Akismet nicht mehr kostenlos – in kommerziellen Projekten ist es kostenpflichtig.

Streng genommen hatte ich damit die Schnauze voll, nach Alternativen umgeschaut und Antispam Bee [3] gefunden. Nun, ob es besser ist? Darüber läßt sich sicherlich streiten. Macht es die Sachen, die ich oben über Akismet geschrieben habe? NEIN. Und das ist es mir schon wert, es mal auszuprobieren. Ein weiterer  Artikel zu diesen Thema folgt bestimmt. Streng genommen…

| 1 Spam in Dosen | 2 Akismet, der Klassiker | 3 Antispam Bee, die Alternative |

Und seit dem Bestehen des Internets gibt es auch einen Markt, der versucht seine Dienstleistungen in dieser Richtung anzubieten – mehr oder weniger seriös, öfters aufdringlich und die Erfolge selten meßbar. Geht es auch anders?

Als Blogger habe ich natürlich ein großes Interesse das meine Weisheiten massenhaft in den Suchergebnissen autauchen, in Foren diskutiert werden und (bestenfalls) ein Clan aus Stammleser um meinen blog entsteht. Aber um es gleich zu sagen: Die beste Optimierung ist das Schreiben! Nur ein kontinuierliches Schreiben sichert die Verankerung im Internet. Wenn wir diese Weisheit verinnerlicht haben, brauchen wir jetzt nicht mehr darauf einzugehen.

Technisch gesehen, kann dieses Thema aber sehr interessant werden und so will ich hier ein wenig über meine Erfahrungen berichten. Und geizig wie admin ist, will man dieses Thema nicht den Profis überlassen, sondern traut sich schon die eine kleine Optimierung zu. Und so will man erstmal sehen, wo der Bog überhaupt steht, wie gut er in den SEO Bewertungen dasteht. Und so habe ich examplarisch drei Webseiten ausgewählt, die in meinen Sinne, eine ganz brauchbare und kostenlose Vorbewertung machen. Das dahinter natürlich kommerzielle Interessen dieser Webseiten stehen, sollte uns klar sein, aber ich rede hier nur von dem kostenlosen Angebot.

So habe ich mir seittest.de [1], nibbler [2] und powermapper [3] angeschaut und versucht, nach den Scanergebnissen ihrer SEO- Prüfungen meinen Blog zu optimieren. Die Ergebnisse dieser drei Angebote werden sehr praktisch, überschaubar und z.T. grafisch aufbereitet  dargestellt. Als ersten Test kann man damit – auch als Nicht-Techniker – schon einmal die großen Vergehen am eigenen blog einschätzen.

Da ich für meinen blog WordPress (WP) einsetze, stellte sich natürlich die Frage, ob es ein plugin gibt, dass ohne große Vorkenntnisse, meine SEO Bestrebungen unterstützen kann – ich denke, dass ich in dem plugin Light SEO [4] genau das Richtige gefunden habe. 

In meinen Fall war das erste Ergebnis, dass ich die Benennung der Links schlampig ausgeführt hatte. Alleine die Korrektur der Link-Bezeichnungen über den WP Editor brachte mir schon einen großen Punktegewinn bei den Prüfungen auf den genannten Webseiten.

Der zweite Klops waren die eingefügten Bilder. Schön, wenn man seine Artikel mit tollen Bildern aufwerten kann, aber die korrekte Beschriftung der Bilder sollte man dann doch nicht vergessen – immerhin versuchen Suchmaschinen, ja gerade Bilder im Kontext dieser Beschriftungen anzuzeigen. Auch diese Korrektur ist mit dem WP Editor im blog- Artikel einfach – ohne umfassende Kenntnisse – auszuführen.

Was die Suchmaschinen scheinbar auch sehr stört sind die Verlinkungen innerhalb des blogs – also z.B. eine Verlinkung der Impressum Seite zu der eigenen Kontakt Seite. Das ist auch nachvollziehbar, weil die Aufnahme der blog- Seiten in den Katalog der Suchmaschinen sich dann in Sackgassen bewegt. Bei solchen Konstellationen war der nofollow Parameter bei den blog internen links entscheidend. Aus Bequemlichkeit habe ich mir auch dafür ein plugin gesucht und gefunden [5]. Dieses plugin legt sich als Button im WP Editor ab und nach dem markieren des links im Text und einen click auf den nofollow- Button ist der link sozusagen als “blog-intern” markiert und die Suchmaschine glücklich.

Eine der genannten SEO Webseiten ist stark auf den Sicherheitsaspekt rumgeritten. Da ich dieses Thema aber auch für sehr wichtig erachte, habe ich mich damit etwas auseinander gesetzt. Die Analyse wann, welche und wie lang Besucher auf einer Webseite verweilen ist für den Wert einer Webseite ein entscheidender Faktor. Damit jetzt Webmaster nicht einfach behaupten können, dass ihre Besucher 27 Stunden am Tag auf ihrer Webseite sind und entsprechend Geld für Werbung auf ihrer Webseite verlangen können, werden die Besucher gezählt, ihr Verhalten (clicks) auf den Webseiten beobachtet und einige technische Parameter (Betriebssystem, Browser, usw.) notiert. Und für die Aufzeichnung des Benutzer-Verhaltens gibt es Anwendungen, die im Hintergrund auf einer Webseite mitlaufen.

Jetzt wollen aber Besucher diese Informationen vielleicht garnicht ungefragt abgeben und so wertete eine der genannten Webseiten die SEO Freundlichkeit höher ein, wenn der Besucher mit einer gezielten Ansprache auf dem blog um Erlaubnis der Aufzeichnung gebeten wurde.

Auf meiner Webseite loggt Piwik (vom BSI empfohlen) und Google Analytics (vom BSI nicht empfohlen) mit. Also habe ich testweise die Piwik- Anfrage eingebaut und sofort wurde meine Webseite 20% SEO freundlicher eingestuft. Zusätzlich wurde ein Verweis auf amerikanische und europäische Sicherheitsgesetze angezeigt. Ich fand das eine sehr interessante Geschichte und habe die Piwik- Meldung in meinen Blog im Menü unter Privacy Regulations eingebaut. Da kommt sie zwar nicht zur Geltung aber zu Demonstrationszwecken will ich sie erstmal dort einbinden. In wieweit einen dieses Thema wichtig ist, muss jeder webmaster für sich entscheiden.

Der Artikel wird wieder zu lang. Deswegen als letzter Punkt die Einbindung des Blogs in Soziale Netzwerke. Bei den SEO Prüfungen meines blogs war mir aufgefallen, dass die genannten Webseiten, sehr auf die Verankerung des blogs in z.B. facebook oder twitter achteten. Da ich aber kein Freund von diesen “social communities” bin, habe ich mich erstmal schwer getan. Letztlich habe ich mich doch in twitter (@MathiasRLudwig) angemeldet um meine Beobachtungen zu meiner blog-Optimierung fortzuführen. Und so begann ich in jedes twitter posting (tweets) den Namen meines blogs (also www.pilgermaske.org) einzubauen. Auch in den twitter Profil-Einstellungen hinterlegte ich den Namen meines blogs – eben SEO für Arme. Aber tatsächlich brachte dieses eigentlich hilflose Vorgehen schon einige Prozente Verbesserung bei den SEO Bewertungen. Mittlerweile bin ich auch bei facebook zu finden – aber damit werde ich noch nicht warm.

Kurz: Ich wollte nur mal einen “kurzen” Einblick in das Thema Blog- Optimierung, also SEO – ohne dieses ganze Expertenwissen – und aus reiner Selbstbeobachtung geben. Einfach mal ein paar Sachen ausprobieren: Eben SEO für Arme.

| 1 seittest.de | 2 nibbler | 3 powermapper | 4 Light SEO | 5 WP plugin: NoFollow Link |

• Wenn ich einen Mailserver betreibe: Wie verwalte ich die Accounts und – noch viel wichtiger! – wie verwalten die Benutzer ihre Passwörter?
• Wenn die Anwender auf meinen Server Speicherplatz (zum Beispiel in /home/benutzer) nutzen können: Wie beschränke und kontrolliere ich und der Benutzer den Speicherplatz?
• Wenn ich Benutzer anlege: Wieviele persönliche Daten will ich von meinen Benutzern und warum (nicht)? Wie sicher ist dies alles zu betreiben?

Fragen über Fragen. Und da fängt die Admin- Arbeit eigentlich erst richtig an.

Natürlich gibt es out-of-the-box-Lösungen. Sehr gut hat mir z.B. Zimbra 7.1.0 auf Ubuntu 10.04 LTS gefallen. Der Nachteil war allerdings, dass Zimbra alle Dienste (auch den Webserver) mitbrachte, installierte und damit alle Ressourcen in Beschlag nahm. Es wurde für mich schwierig, die eigenen Projekt-Ziele mit den von Zimbra gegebenen (und konfigurierten) Diensten umzusetzen – schade, ich fand Zimbra super! Wer also einen Server mit einer Minimal-Installation, mit Internet-Anbindung und ohne installierte Dienste betreut, sollte sich unbedingt mal Zimbra anschauen.

Dann habe ich schmale, einzelne Lösungen gesucht, gefunden und ausprobiert. So habe ich mir – wie viele andere Admins! – SquirrelMail angeschaut. Aber als ich das Datum der Plugins zum Wechsel der Passwörter gesehen habe (beim Script für das SASL Passwort stand: Last Release: 1.4.1 on Mar 2, 2005 – zweitausendfünf! [2]) habe ich über die angebliche (!) Unsicherheit von Webmin nur noch gelacht! Kein SquirrelMail-Admin, der über solche Scripte, seine Anwender das Passwort wechseln läßt, soll mir in den Foren was von einen “unsicheren Webmin” erzählen! Bei allen Respekt! Letztlich habe ich mir also Webmin angeschaut.

Mal ehrlich: Wenn ein Admin sagt, dass die Optik der Tools KEINE Rolle spielt, hat er schon gelogen. Natürlich schätzen auch Admins eine schöne und überschaubare Web-Anwendung! Und wenn dann Webmin installiert ist (was übrigens einfach und fehlerfrei geht, ich würde es NICHT aus dem Repository installieren) bekommt man erstmal ein Augenleiden. Ich weiß auch nicht, warum die Webmin-Buben in die Webmin-Optik keine Liebe reinstecken…. Letztlich sollte man sich nach einen Theme umschauen (so viele gibt es leider nicht!) und erstmal “Klar Schiff” machen. Ich habe mich für das StressFree Theme [5] entschieden.

Bei aller Liebe zur Optik sollte natürlich die Sicherheit NIEMALS zurückstehen und weitestgehend optimiert werden – aber so, dass der Anwender noch atmen kann. Und da Webmin einen eigenen Webserver mitbringt, per HTTPS angesprochen (und seine Anmeldung nach HTTPS umleiten kann) und auch Zertifikate für die Serverdienste generiert, gibt es einiges Potenzial für Optimierungen [1] [3]. Ich würde empfehlen, die Server-Dienste direkt in den Scripten einzurichten und dann Webmin hinterher (sozusagen) drüberzulegen und nur zur Verwaltung der Serverdienste einzusetzen. Letztlich stellt sich dann die Frage, wieviel Zugeständnisse macht Admina an das grafische Frontend?! So hatte ich den Fall, dass ich im Script “wenn es gewollt ist” konfiguriert habe, aber Webmin nur “Ja” oder “Nein” kannte. Ich empfehle dann, sich für die Option zu entscheiden, die ich auch grafisch verwalten kann, weil es ja eigentlich der Sinn ist, nicht mehr in die Scripte zu schauen und dann hätte ich gerne alle aktiven Optionen in der Grafik auf einen Blick. Letztlich ist das wohl Geschmackssache – aber sicherlich kommt man an den Punkt, sich entscheiden zu müssen!

Entscheiden muß man auch, wie es denn mit der Benutzerverwaltung aussieht. Es kann auf keinen Fall eine Option sein, den Benutzern den Zugriff per SSH auf die Linux-console zu ermöglichen, damit sie ihr Passwort wechseln können!! Und auch da hat in meinen Augen Webmin gepunktet: Mit dem Anlegen der Benutzer unter Webmin kann ich ein Benutzer-Profil vor-definieren. So können alle Benutzer mit der Shell /bin/false angelegt werden und schon ist keine (brauchbare) Anmeldung am Linux Server möglich. Und da Usermin für das Mailfrontend eine sehr schöne Möglichkeit bietet, mit der Benutzer unter ihrer Anmeldung das Passwort wechseln können, ist auch dafür keinerlei Zugriff auf den Server notwendig. Auch der Umweg über Datenbanken oder LDAP ist nicht notwendig: Die 6 WG-Genossen als Benutzer einfach normal mit useradd (oder mit Webmin) anlegen und dann kann Admin sie einfach mit Webmin in der /etc/passwd verwalten [4]. Wenn ich das richtig verstanden habe, verträgt die passwd rund 65000 Einträge. Eine große WG…. Und auch Dovecot und Postfix finden die Benutzer dort.

Usermin?? Verdammt, jetzt habe ich ein neues Wort eingebaut… [6] In Foren habe ich immer wieder heraus gelesen, dass es Unklarheiten gibt, was Webmin und Usermin eigentlich unterscheidet. Nochmal deutlich: Mit Webmin verwaltet man den Server (die Hardware, Installationen), die Serverdienste (FTP, Apache, Postfix) und Ressourcen (Plattenplatz, Quota, Benutzer). Mit dem Usermin, welches “in das” Webmin hinein installiert wird, gebe ich meinen Benutzer den kontrollierten Zugriff auf Ressourcen (Postfach, Speicherplatz) – deswegen ja USERmin. Also: erst mit Webmin den Server rund machen, Usermin unter Webmin für die Benutzer konfigurieren und sie dann an Usermin anmelden lassen. Achtet auf die verschiedenen Ports…. Verdammt, der Text wird zu lang.

[Zeige als Diashow]

Mit der Verwaltung der Benutzer, dem Mailserver und der Sicherheit ist das nämlich so eine Sache! Ich würde z.B. versuchen, verschlüsselte Passwörter einzusetzen. Damit muß ich aber in Zusammenhang mit Dovecot und Postfix auch eine zweite DB (die erste ist die /etc/passwd) – nämlich die sasldb2 – pflegen, bzw. den Benutzern auch den Zugriff auf die DB für den Passwortwechsel einrichten! Spannende Sache: Ich baue mir ein 2tes Sicherheitsproblem ein. Vielleicht ist es aber mehr Sicherheitsgewinn, wenn ich auf die verschlüsselten Passwörter verzichte und TLS (also die verschlüsselte Übertragung des unverschlüsselten Passwortes) als mandatory (-> Pflicht) vorgebe. Und damit muß ich den Benutzern nur noch den Zugriff auf eine Datenbank konfigurieren. Vielleicht gewinnt man manchmal mehr, wenn man etwas aufgibt. (So hat wohl auch meine Ex gedacht.)

Tja, ich könnte noch lange weiterschreiben, aber ich habe Hunger und will langsam zum Ende kommen. Vor dem Ende sollte man nochmal den Anfang betrachten: Ich will ein einfaches tool zur Verwaltung des Servers (Webmin) und die Benutzer sollen ein schönes Mailfrontend im Browser haben und eine einfache Möglichkeit, dass Passwort zu wechseln (Usermin). Also konfiguriere deinen Server optimal auf der console, installiere Webmin/Usermin, hübsche Webmin auf und schlanke es ab (ich deinstalliere erstmal alle Webmin-Module, die ich nicht brauche), beachte Sicherheitsüberlegungen – Welche Daten von Benutzern brauche ich unbedingt? Welche nicht? Ist ein shell-Zugang unbedingt erforderlich? Specke das Usermin für die Anwender ab (Module ausblenden, Theme einstellen) – letztlich bleiben ca. 5 Module für den Benutzer und alle sind sicher und glücklich. Später mehr (z.B. Quota) …

| [1 Sicherheit] | [2 Squirrelmail] | [3 Sicherheitsempfehlungen] | [4 Linux Befehlsübersicht] |  [5 Webmin Theme] | [6 Webmin] |

Die Messungen wurden an zwei PC’s durchgeführt, die gleich ausgestattet sind (siehe unten) – allerdings sind beide Geräte mit verschiedenen Betriebssystemen installiert. Ein PC läuft Tag und Nacht mit Fedora 15 Linux (64 bit,SMP-Kernel) als Server und der zweite PC fungiert als Arbeitsmaschine  und hat Windows 7 Enterprise (mit SP1, 64 bit) installiert. Beide Geräte nutzen die gleichen Seasonic Netzteile (430Watt) und verbrauchen im ausgeschalteten Zustand 2,5 Watt, der Monitor Hanns.G HH192 genehmigt sich konstant knapp 20 Watt und die externe Festplatte (500GB) frißt über ein externes Netzteil 7 Watt im Ruhezustand (zeitgleich per USB an den PC angeschlossen).

Interessant fand ich das Verhalten des Druckers. Der HP Deskjet 6940 (externes Netzteil, Lan) verbraucht im Ruhezustand 3 bis 4 Watt und während des Drucks ca. 10Watt. Allerdings macht der Drucker nach jeden Druckvorgang mit seiner Mechanik noch ein paar Aufräumarbeiten die ca. 10 Sekunden dauern und auch laut vernehmbar sind. Und in genau diesen 10 Sekunden gönnt er sich nochmal 20 (zwanzig) Watt! Also das doppelte vom Druckvorgang! Wenn man in einen Unternehmen, wie das meine arbeitet, in dem mehrere Hundert Drucker im Einsatz sind, kann man sich die Dimension in der Stromrechnung ausmalen.

Der Windows 7 PC lag im ausgeschalteten Zustand bei 2,5 Watt, beim hochfahren zeigte das Meßgerät stark schwankend Werte bis maximal 105 Watt an. Diese Werte sanken dann aber wieder auf 70 Watt mit erscheinen des Anmeldefensters.  Der Unterschied vor der Anmeldung und nach der Anmeldung (also Desktop im Ruhezustand, ohne den start von Programmen) machte 10 Watt aus (70/80 Watt). Auffallend waren dann die starken Ausschläge bis auf 105 Watt mit dem starten von z.B. Thunderbird und Google Chrome. Auffallend deswegen, weil bei Fedora 15 Linux ein ganz gegensätzliches Verhalten auftritt.

Auch der Fedora 15 Linux PC zeigte im ausgeschalteten Zustand 2,5 Watt, beim hochfahren allerdings nur 70 Watt und das sehr konstant! Mit hochfahren in den Runlevel 3 (also volle Funktionalität, aber ohne grafische Oberfläche) zeigte das Meßgerät gleichbleibend 70 Watt an und nach (!) dem Start der grafischen Oberfläche (LXDE) erschien das nächste Wunder: Das Meßgerät zeigte nur noch 60 Watt – also 10 Watt weniger! Das ist in so weit ein Wunder, weil die Allgemeine Lehrmeinung besagt, dass Grafik Strom frißt. Erklären kann ich mir das eigentlich nur damit, dass ein Linux für den Grafischen Modus in einen anderen Runlevel wechselt und damit auch verschiedene Dienste ab- und angeschaltet werden – Vermutlich greifen die Energiespar-Dienste erst in der Grafik effektiv. Das Starten von verschiedenen Programmen in der Grafischen Oberfläche von Fedora Linux brachte so gut wie keine Veränderung in der Anzeige des Meßgerätes!

Nun, natürlich sind diese Messungen nicht unbedingt Nobelpreis-verdächtig, aber sie zeigen doch auch, dass es im Umgang mit Energie Unterschiede zwischen den führenden Betriebssystemen gibt. Was ich besonders erwähnenswert finde, sind die starken Schwankungen in den Werten bei Windows: Sprünge von 30 Watt sind bei normalen Arbeitsvorgängen unter Windows 7 dauerhaft präsent. Im Vergleich dazu erscheint Linux wie ein alter Fuchs: Keep cool, Baby. Keine großen Schwankungen und immer einige Watt unter den Werten von Windows 7 erscheint mir – natürlich rein subjektiv – Linux sparsamer und ausgeglichener im Verbrauch. Die richtige Entscheidung für meinen Home-Server.

(Gemessen wurde nur der PC mit dem Stromkabel im Meßgerät – also kein Monitor, externe Festplatte oder sonstiges Zubehör am Stecker. Alle Werte sind grob gerundet.)

Hardware

• Core2Duo E7600 (2x 3,06Ghz)
• 4GB Ram (DDR2 / 1066Mhz)
• Netzteil Seasonic S12II-430W 80+ (sehr leise!)
• ATI Radeon HD 5670 (GDDR3, max. 61Watt, passiv gekühlt)
• Asus Mainboard P5QD Turbo (ICH 10R, ACPI 3.0)
• Seagate  Barracuda 7200.12 (250GB)
• nicht übertaktet
• kein RAID
• ein einfaches Mittelklasse System!

Stellen wir uns ein Intranet vor und wir wollen aus dem Internet mit einen grafischen Sicherheitstool unsere Firewall testen, oder wir müssen einen Aushilfs-Admin den Zugang aus einer Filiale auf den Backup-Server ermöglichen und (weil das immer so ist) schlappt noch ein Redakteur oder Entwickler an, der “unbedingt” einen grafischen Zugang zu einen Webserver braucht – Krisen über Krisen. 

Als geübte Admins mit zwei Liter Kaffee im Blut sollten wir jetzt nicht in Panik verfallen: Sicherlich können wir vielleicht, dass eine oder andere Problem mit Webmin entschärfen, SSH/Putty geht vielleicht auch noch aber dann kommt man vielleicht doch an einen Punkt, an dem “es schön wäre”, eine grafische Oberfläche zu haben. Letztlich hatte ich (und Kollegen) solche Aufgabenstellungen und stelle hier meine Lösung vor.

Die Wahl der grafischen Oberfläche ist wahrscheinlich sehr nach Neigung gewählt. KDE, Gnome, was auch immer. Vielleicht ist es auch egal, weil sowieso im Rechenzentrum kein Monitor am Server hängt… Nach dem ich aber gesehen habe, dass KDE fast 1GB auf die Festplatte nageln, Gnome sich ca. 600MB genehmigen wollte und LXDE mit knapp 100MB die geizigste Oberfläche bot, war bei mir die Entscheidung gefallen. Falls jetzt jemand meint, dass bei heutigen Festplatten die Größe der Anwendung keine Geige spielt, ist leider im Irrtum. Die Provider bieten sehr wohl auch Server mit einen festgelegten Webspace an. Wer also einen Webspace von 10GB gemietet hat und davon 1GB an KDE abgeben soll, überlegt sich das vielleicht genauer!

Ich spreche hier nur von den vollständigen Installationen der Grafischen Oberfläche:

• yum grouplist
• yum groupinstall LXDE

Nur mal so: Unter Fedora 15 wird die grafische Standard-Oberfläche mit der Datei “desktop” festgelegt, die den Start-Aufruf für die Oberfläche (für LXDE also “lxsession”) beinhaltet und im Ordner /etc/sysconfig gespeichert ist. Mit dem nächsten Aufruf von “startx” würde also LXDE starten. Das setzt natürlich voraus, dass mit “yum groupinstall LXDE” das Paket auch installiert ist. Für die folgende Beschreibung ist der Eintrag aber nicht notwendig. 

Für den Remote Zugriff auf den Server muss ein Dienst laufen – dazu installieren wir von NoMachine.com die Pakete “NX Free Edition for Linux” [1]. Auf der Download-Seite werden die Pakete sortiert in tar, rpm oder deb angeboten und eine passende Installationsanleitung angezeigt. Also nach download (z.B. mit putty -> wget +download-URL) auf den Server kann die Installation erfolgen. Nach der Installation ist der NX Dienst automatisch gestartet. Die grafische Oberfläche (hier also LXDE) muss auf dem Server NICHT ständig laufen – nur installiert sein!!

Zu beachten ist, dass auf dem Server OpenSSH installiert sein und laufen muss! Wenn man AllowUsers in der /etc/ssh/sshd_config benutzt, muss der Benutzer nx eingetragen werden. Das ist meiner Meinung nach keine Sicherheitslücke. Notwendig ist in diesen Fall natürlich auch ein gültiger Linux Benutzer für die Anmeldung am Server – Meine Empfehlung: NICHT root!! Der gewünschte Linux-Benutzer muß bei Einsatz der AllowUsers Option in der sshd_config ebenfalls eingetragen sein. Die genannte Option macht natürlich nur wirklich Sinn, wenn man PermitRootLogin auf no stellt (also quasi: erlaube dem root keinen ssh Zugang, zum root wechselt man dann über den Befehl su.)

Jetzt noch den NX Client von NoMachine.com für Windows auf der Client-Maschine installieren [2]. Unter winXP und win7 geht das problemlos. Dann noch im NX Client eine Verbindung zum Server einrichten und auf dem Desktop als Icon ablegen und fertisch. Als Beispiel habe ich hier mal eine Konfiguration für LXDE als Bild abgelegt:

Übrigens: Sollten sich nach einem erfolgreichen Starten von LXDE über NX mehrere Fenster öffnen, solltest Du die Optionen in meinem Screenshot genauer betrachten. Für die IP-Adresse im Screenshot setzt Du natürlich die IP-Adresse oder den Namen deines Servers ein. Beachte bitte auch: Wenn Du auf deinen Server “denyhosts” im Einsatz hast (was ich sehr empfehlen würde!!) kann durch mehrfache falsche Anmeldung ruckzuck der Client (Beachte: nicht der Anwender!) am Server gesperrt sein. Das sollte Admin berücksichtigen, gerade wenn die Anwender einen Passwortwechsel hatten und im NX Client noch das alte PW hinterlegt ist. Über die Performance braucht man garnicht spekulieren: Kollegen und ich haben schon Filme vom Server über die NX Software geschaut!

Eine LXDE (oder was auch immer) Session wird normal über das abmelden des Benutzers beendet. Leider schließt sich dann manchmal der NX Client nicht oder reagiert nicht, dann schließe das Fenster über das Kreuz und “terminate” die Sitzung.

Übrigens: Auch wenn die NX Software von NoMachine.com eine “Free Edition” ist, sollte natürlich – bei Einsatz in produktiven und kommerziellen Umgebungen – die Lizenz-Frage geklärt werden. Beachte auch die Limits der Free Edition [3].

| 1 Nomachine | 2 Clientsoftware (die fonts waren unter Win7 nicht nötig) | 3 Limits free Nomachine | 4 Erläuterungen zu NX |

Also keine Panik. Generell gehe ich davon aus, dass alles, was von Menschenhand gebaut wurde, auch durch Menschenhand wieder platt gemacht werden kann. Ich gehe nicht davon aus, das Google oder Sony (wobei: bei denen bin ich mir nicht ganz sicher) nur beschränkte Administratoren haben.

Vielmehr kann einen manchmal die Komplexität einer Umgebung zu schaffen machen, verschiedene Interessen, die unter einen Hut sollen oder die mangelnde Zeit im Berufsalltag, um für die Kollegen brauchbare Dokus abzuliefern…. Letztlich: Wir sind nur Menschen – deswegen bin ich auch gegen Atomkraft! Aber was bedeutet das für meinen kleinen, mühsam zusammengebauten Home-Server, der doch so schön über dyndns.org im Internet zu sehen ist??

Gefühl entwickeln! Ähh?? Ja, Gefühl für die Technik. Wieviel Festplattenplatz ist nach einer sauberen Installation von Linux belegt? Wie hoch ist die Systemauslastung wenn die üblichen Dienste (Mailserver, Samba, Webserver) im Einsatz sind? Wieviel MB nimmt ein normales Online-Update meiner Distribution in Beschlag? Habe ich mir mal nach einer Neuinstallation die Liste der User in der /etc/passwd angeschaut und würde es merken, wenn plötzlich ein User mehr drinsteht? Fragen über Fragen. Wieder eine Zigarette (oder Tee).

Ich stelle mal eine Liste für einen regelmäßigen Server Check zusammen. Ziel ist es, jeden Tag, innerhalb von 11 Minuten, einen brauchbaren Überblick zu bekommen, in wie weit mein Server Schluckauf (oder ein Sicherheitsproblem) haben könnte:

1. Hat jemand Daten auf meinen Server geparkt? Das ist garnicht so selten! Überprüfe mit df -h die Belegung deiner Partitionen.
2. Wer war zu letzt eingelogt? Einfach mal den Befehl lastlog auf der console eingeben. Beachte: der Befehl überschreibt leider die eigene Anmeldung an der console mit der aktuellen Anmeldung.
3. Gab es sonstige Anmeldeversuche? Schau Dir mal die /var/log/auth.log (Ubuntu) und unter Fedora /var/log/audit/audit.log (alternativ /var/log/secure)  an und überlege kurz, ob das so plausibel ist.
4. Gibt es eine höhere Auslastung von CPU und Ram? In der console einfach mal den Befehl top eingeben. Beachte: mit dem eingeben einer “1″ werden alle Prozessoren angezeigt und mit der Eingabe der Buchstaben “m”, “t” und “l” (l wie eL) werden verschiedene Infos angezeigt. Zombie Prozesse sind kein (automatischer) Grund zur Panik: Leider kann man diese Prozesse schlecht abschießen.
5. Welche Prozesse laufen eigentlich – oder auch nicht? Am schnellsten hat man einen guten Überblick, wenn man den Befehl ps -ax auf der console eingibt. Das man mit SHIFT+Bild/hoch und Bild/runter die Ansicht entsprechend anpassen kann, sollte jeder wissen, der einen Server betreibt. Oder auch, dass man mit ps -ax | grep httpd unter Fedora Linux alle Prozesse, die mit dem Webserver zutun haben, angezeigt bekommt….
6. Die Logfiles /var/log/syslog und /var/log/messages sind Dir natürlich bekannt! Wenn nicht: Baue deinen Server wieder ab! Die Gefahr, dass dann dein Server eine Gefahr für andere wird (Botnetze) ist zu groß…
7. Was treiben die Leute auf meinen Webserver? Eine spannende Frage! Deswegen hast Du vielleicht AWStats, Piwik oder Google Analytics auf deinen Server eingerichtet. Wenn ja: Würde ich auch auf die Liste der regelmäßigen Checks setzen. Immerhin würde ich schon wissen wollen, wenn sich plötzlich 3000 Rechner für meine login.php interessieren…
8. Wer tanzt gerade Samba? Wenn ein Samba Fileserver und vielleicht ein WLan-Server (hostapd) eingerichtet ist, könnte es interessant sein, wer noch so auf deine Freigaben – also DATEN – zugreift. Einfach mal in der console den Befehl smbstatus eingeben …
9. Blutegel sind widerlich – Rechner die an unseren Ports saugen auch! Gerade auf die Firewall waren wir stolz und hofften, alle Ports sauber gesperrt zu haben – aber mal nachschauen sollte man trotzdem: Auf der console den Befehl netstat -an eingeben und gerade auf den oberen Teil der Ausgabe achten!
10. Sollte ein von Dir betriebener Mailserver laufen, dann nur für die eigene Sippe (sprich: zugelassene Benutzer). Also mal in die /var/log/mail.log oder maillog schauen, wer denn da so sendet. Kurz mal drüberfliegen, sollte für einen schnellen check ausreichen.
11. Check die root-mails: Immerhin mailen viele Dienste ihre Probleme und Warnungen an den root. Also einfach mal mail oder mailx auf der console eingeben.

Übrigens: Verschiedene Webseiten z.B. heise.de [2] bieten einen Portscan des eigenen Webservers an, um zu überprüfen, welche Ports geöffnet sind. Wenn kein grafischer Zugang auf den Webserver besteht, gibt es den nmap Befehl auf einen Linux PC. Interessant könnte vielleicht auch ein Passwort-Check sein [1].

Mit diesen 11 Punkten kann man jeden Tag in 11 Minuten seinen Server checken. Arbeit: wenig – Sicherheitsgefühl: wesentlich mehr. Und die letzte Zigarette (oder Tasse Tee).

| 1 Passwort-Check | 2 Netzwerkcheck |

In den 70er und 80er Jahren gab es noch die Apartheid in Südafrika, Rassentrennung, Lynchjustiz gegen Farbige und natürlich Getthos. Die weltweite Öffentlichkeit hatte eine gewisse Solidarität mit den Farbigen und so entwickelten sich auch einfache Widerstandsformen in der industrialisierten Welt. Ich erinnere mich, dass es in meinen Bekanntenkreis verpönt war, Früchtedosen aus Südafrika zu kaufen, weil einer der größten Dosenobsthändler aus Südafrika beliefert wurde – und natürlich in weißer Hand war/ist. Hatten diese Boykotte ihre Wirkung?

Gerade habe ich einen Artikel [1] auf golem.de gelesen, in dem beschrieben wird, dass die Falun-Gong-Sekte Cisco verklagen will, weil Cisco der chinesischen Regierung geholfen haben soll, ein Zensur- und Überwachungssystem einzurichten. Davon abgesehen, dass Cisco dabei nur das Geld und darin bestimmt kein moralisches Problem sieht, steht es in guter Tradition mit anderen IT-Unternehmen, die mit den Mächtigen der Welt Geschäfte machen. Schon IBM hatte sich in den 30er mit Nazi-Deutschland geeinigt, “Zählmaschinen” zu liefern, die eine effektive Auswertung von Volkszählungsdaten und dadurch eine schnellere Erfassung von Juden ermöglichte. [2]

2011: Chinesische Arbeiter ziehen ein Schiff

Foxconn – manchen als Mainboard-Hersteller bekannt – ist auch Auftragsfertiger für verschiedene Unternehmen der Unterhaltungsindustrie. Das bekannteste Produkt ist Apple’s iPad. Der Arbeitsdruck ist bei der Nachfrage dieser Geräte enorm: 6 Tage-Woche, 10 Stunden am Tag. Der Lohn wird im Unternehmens-eigenen-Supermarkt wieder abgegeben und demnächst werden Arbeiter-Silos gebaut, damit der Lohn als Miete wieder zurückfließt. Und alles mit Sonderförderungen und Steuergeschenken – zugegeben: vermute ich. Und? Eigentlich alles im grünen Bereich, wenn sich nicht dauernd arbeitsmüde Menschen vom Foxconn-Dach in den Tod stürzen würden, oder Menschen nur mit Einwilligung des Vorarbeiters auf das Klo dürften und der Brandschutz hoffentlich nicht wirklich überall im Foxconn-Werk so missraten ist, dass bei einen Brand gleich 3 Arbeiter sterben. [3] [4]

Schwarzmalerei? Aber natürlich! Nach dem ganzen Klickibunti der iPads and Phone’s, den digitalen Mega-Messen der Hauptstädte und den Kilometer-langen Schlangen vor irgendwelchen Verkaufsstore’s bei Neuerscheinungen: Ja, Schwarzmalerei!

Um es einfach zu sagen: Ich glaube nicht, dass der Obstdosen-Boykott in den 70er und 80ern das Apartheid-Regime gestürzt hat, aber es war ein moralischer Finger der auf die Verhältnisse in Südafrika zeigte und dadurch half, Bedingungen anzuprangern und Veränderungen einzuklagen! Und so wünsche ich mir das mit den Foxconn’s, Apple’s und IBM’s dieser Welt: Sie werden mit uns und auf Kosten anderer Menschen Geld verdienen, bis der moralische Finger zeigen wird, dass es so nicht mehr geht. Ein Boykott irgendwelcher Geräte ist nicht realistisch – aber berechtigte Fragen auf der Klickibunti-Messe am Stand der Unternehmen sollten wenigstens eine kleine Solidarität formulieren helfen und Herstellern zeigen, dass (im heutigen Rahmen) menschen-würdige Produktionen auch ein Verkaufsargument sein können: Besser “müßten”.

Zur Erinnerung: “Die Befreiung der Arbeiterklasse kann nur ein Werk der Arbeiterklasse selbst sein!”

| 1 Artikel auf golem.de | 2 IBM | 3 Artikel auf heise.de | 4 ebenfalls heise.de | 5 Bericht einer chinesischen Studenten und Schüler Organisation | 6 ZDF Beitrag | Bildquelle: fr-online.de

• Samba
• dnsmasq
• hostapd
• system-config-firewall

Um die Verkabelung nochmal deutlich zu machen: Der Server hat drei Netzwerkkarten. Die eth0 ist der Zugang zum Kabelmodem des Providers und steht auf DHCP. Die eth1 ist die Netzwerkkarte für das kabelgebundene Heimnetzwerk und die wlan0 ist die Wlan-Karte und soll zum Wlan-Router werden.

Aktiviere in /etc/sysctl.conf mit der Option net.ipv4.ip_forward = 1 das forwarding. Damit wird das Weitergeben (forwarding) der Daten-Pakete auf dem Server zwischen den Karten aktiviert.

Um es nochmal deutlich zu sagen: Nur die eth0 hat einen dhcp-Eintrag! Die eth1 und wlan0 haben feste IP-Adressen aus verschiedenen Subnetzen! Damit hat die eth1 die 192.168.1.1 und die wlan0 die 192.168.2.1 bekommen.

Wie aber wlan0 konfigurieren? Ich gehe davon aus, dass ein Netzwerk-devices bei der Installation des Servers erstellt wurde. Das sieht man unter /etc/sysconfig/network-scripts. Dort sollten Dateien in der Art ifcfg-eth0 liegen. Kopiere oder erstelle eine dieser Dateien, benenne sie nach ifcfg-wlan0 um und korrigiere die folgenden Einträge entsprechend deinem Netzwerk:

# Atheros Communications AR5416/AR5008 TL-WN951N Ver.1.0
DEVICE=wlan0
ONBOOT=yes
IPADDR=192.168.2.1
BOOTPROTO=none
NAME="System wlan0"
NETMASK=255.255.255.0

Alternativ kannst Du mit system-config-network das wlan0 device anlegen.

Beachte: Manche Menschen staunen, dass sie wlan0 mit ifconfig nicht sehen. Wenn die Datei ifcfg-wlan0 in Fedora Linux nicht existiert oder der Eintrag device= nicht den gleichen device-Namen (also wlan0) hat, dann wird sie auch nicht mit ifconfig angezeigt! Damit die Karte nach dem booten aktiv ist, setzen wir auch noch ONBOOT=yes in der erstellten Datei.

Mit chkconfig NetworkManager off wird  der aktuelle Netzwerkdienst abgeschaltet. Das ist notwendig! Die Dienste-Verwaltung findest Du in Fedora Linux, wenn Du auf der console chkconfig eingibst.  Danach wird mit chkconfig network on der alte Netzwerkdienst und mit chkconfig hostapd on der Wlan-Router aktiviert. Gestartet werden die Dienste durch einen Neustart des Servers oder einen service hostapd start und service network start.

Wichtig ist bisher, das forwarding aktiviert ist, die eth1 und wlan0 in verschiedenen Subnetzen liegen und der richtige Netzwerkdienst aktiviert ist.

Als nächsten Schritt solltest Du eine Firewall aktivieren. Dazu kannst Du in /etc/sysconfig/system-config-firewall folgende Einträge machen:

# Configuration file for system-config-firewall
--enabled
--trust=eth1
--trust=wlan0
--masq=eth0
--service=https
--service=ssh
--service=http
--block-icmp=echo-request

Das Konfigurationstool ist mit system-config-firewall aufzurufen um die Einträge überprüfen und wirksam aktivieren zu können. Mit dieser Konfiguration sagt man der Firewall, dass die Netze an eth1 und wlan0 sicher sind, also nur deine PC’s beinhalten und eth0 (also die Schnittstelle zum Provider) maskiert werden soll. Die PC’s an eth1 und wlan0 bekommen also die IP-Adresse von eth0 (werden maskiert) wenn sie ins Internet gehen. Die service Einträge kannst du ignorieren, wenn Du keinen Webserver betreibst oder mit SSH (putty) auf deinen Server über das Internet zugreifen willst. Der block Eintrag besagt, dass die Firewall nicht auf pings aus dem Internet antworten soll.

Die Konfiguration des Wlan-Router’s in der /etc/hostapd/hostapd.conf sieht so aus:

# http://wireless.kernel.org/en/users/Documentation/hostapd
# Treiber, Netzwerkname und Netzwerkkarte:
driver=nl80211
ssid=meinsupinetz
interface=wlan0
ignore_broadcast_ssid=0

# wo der socket fuer hostapd liegt
# (sozusagen die Schnittstelle für andere Programme
# auf hostapd) und in welchen Benutzer-Kontext# hostapd laeuft:
ctrl_interface=/var/run/hostapd
ctrl_interface_group=wheel

# Aktiviert Laendereinstellungen, definiert, welches Land
# und aktiviert, Multimedia-Optionen (WMM) am Wlan-Router:
ieee80211d=1
country_code=DE
wmm_enabled=1

auth_algs=1
# strikt wpa2 und AES(CCMP):
wpa=2
wpa_key_mgmt=WPA-PSK
# rsn ist für wpa2 zuständig:
rsn_pairwise=CCMP
wpa_passphrase=hier_ein_Passwort_einsetzen_mit_min.12Zeichen:)

# Netz-Standard (es gibt keinen hw_mode=n), Kanal
# und maximale Anzahl (hier also 5)Netzwerkteilnehmer:
hw_mode=g
channel=13
max_num_sta=5

# wme aktiviert Energiespar-Optionen (hier aber nicht weiter
# konfiguriert), 300MB-Standard(n) aktivieren und ht_capab
# bestimmt den zweiten Kanal am Wlan-Router.
#
# Beispiel1: channel=13 und HT40- legt Kontroll-Kanal 13
# und sekundären Kanal 9 (also 13minus4) fest.
# Beispiel2: channel 7 und HT40+ legt Kontroll-Kanal 7
# und sekundären Kanal 11 (also 7plus4) fest.
# Beste Performance durch ausprobieren, da Ueberschneidungen
# durch andere Netze:
wme_enabled=1
ieee80211n=1
ht_capab=[HT40-]

Diese Konfiguration kann natürlich beliebig erweitert werden. Ich empfehle, mal die /usr/share/doc/hostapd-0.6.10/hostapd.conf anzuschauen.

Um beim Start von hostapd die Info-Ausgabe dieses Dienstes zu erweitern, können wir in /etc/sysconfig/hostapd das Argument -d eintragen. Beachte jetzt die Ausgabe beim Bootvorgang oder bei einem service hostapd start/restart.

Wenn ein Wlan-Client jetzt eine Verbindung herstellt, kann er sich wahrscheinlich am Netzwerk anmelden und bekommt aber keine IP-Adresse. Bei Windows Systemen gibt sich der PC eine 169.254… (die sogenannte APIPA Adresse) wenn er von einen DHCP Server keine IP-Adresse bekommt. Deswegen müßen wir jetzt dnsmasq konfigurieren:

1. Öffne die /etc/dnsmasq.conf und deaktiviere alle Optionen in dem Du ein # Zeichen vor die Zeilen schreibst – aber nicht vor die letzte Option: conf-dir=/etc/dnsmasq.d
2. Lege im Ordner /etc/dnsmasq.d eine Datei mit Namen dnsmasq.conf ab und füge folgende Einträge ein:

domain-needed
bogus-priv
filterwin2k
local=/meinsupinetz.lan/
interface=lo
interface=wlan0
interface=eth1
dhcp-range=interface:wlan0,192.168.2.15,192.168.2.25,3h
dhcp-range=192.168.1.55,192.168.1.105,6h
bind-interfaces
expand-hosts
domain=meinsupinetz.lan
dhcp-option=vendor:MSFT,2,1i
dhcp-authoritative
log-facility=/var/log/dnsmasq.log

Damit verteilt der dnsmasq über die Netzwerkkarte eth1 IP-Adressen an die kabelgebundenen PC’s (aus der genannten Range) und über die Wlan-Karte wlan0 (aus der genannten Range) an die wlan-PC’s. Die IP-Adressen sind 3 und 6 Stunden gültig. Hilfe zu dnsmasq gibt es hier. Mit einen service dnsmasq start wird der DNS- und DHCP-Server gestartet. Mit chkconfig dnsmasq on wird er dauerhaft aktiviert.

Will jetzt jemand aus den zwei Netzwerken (192.168.1.0 und 192.168.2.0) auf die Freigabe des Samba-Server’s (192.168.1.1) zugreifen, kann er im WindowsExplorer ein \\192.168.1.1\freigabe eingeben. Damit das aber funktioniert, muß vorher noch die /etc/samba/smb.conf erweitert werden:

interfaces = lo eth1 wlan0
bind interfaces only = yes
hosts allow = 127.0.0.1 192.168.1.0/24 192.168.2.0/24
hosts deny = ALL

Die restliche Samba-Konfiguration findest Du im Internet. Ein chkconfig smb on aktiviert den Fileserver und ein service smb start oder ein reboot (init 6) startet den Dienst.

Nach einen letzten Neustart wird der Wlan-Router mit DHCP, DNS und Fileserver-Zugriff funktionieren!

Kurze Anmerkungen zum Abschluss:

• Ich bin als Zyniker bekannt. Wer also jetzt mit Fragen kommt, die ein grundsätzliches Defizit in Sachen Netzwerk-Befehlen (ifconfig, traceroute, nslookup, ping, usw.), Anwendung von Linux-Befehlen (chkconfig, services, iw, usw.) und ähnlichen aufzeigt, dem kann ich leider nicht helfen. Es gibt ab 25 € einen fertigen Wlan-Router zu kaufen – versuche es dann erstmal damit.
• Um es nochmal deutlich zu sagen: Ich habe diese Zusammenfassung auf Grundlage von Fedora 13 geschrieben und nur Pakete installiert, die auch in Fedora über yum verfügbar sind.  Eine Installation von Firmware war nicht notwendig.
• Die TP-Link Wlan-Karte ist echt super! Sie ging out-of-the-box mit dem nl80211-Treiber. Aber der Treiber hat Einschränkungen: So wird lt. Entwickler nur der Standard “Lite N (bis 150 MB/sec)” unterstützt. Also vorher mal im Netz recherchieren, was mit den Karten so möglich ist. Dazu würde ich empfehlen, mal diese Seite anzuschauen: hostapd
• Als Test-Tools unter Windows 7 kann ich “Ekahau Heatmapper” und “inSSIDer” empfehlen. Google ist dein Freund.
• Sucht Euch vorher die entscheidenden Logfiles unter /var/log zusammen.
• Verschiedene Einstellungen können mit ifconfig, smbstatus, ps ax, iwconfig, iw und in der /var/log/messages und /var/log/dnsmasq.log überprüft werden.

Uns allen viel Spass mit Linux.

siehe auch: [1] [2] [3] [4] [5]

Viel Spass im Netz.

Euer mbzrxpgjys

Quelle: [1]

[UPDATE]

Nicht schlecht!! Keine 2 Minuten später war mein Blog mit mbzrxpgjys bei Google zu finden :) Und Bing ist ein wenig schnäubisch: die hatten mich noch nicht mal nach 4 Minuten in der Suche! Oder findet der Ergebnis-Abgleich immer erst Nachts statt? Keep cool…

Und? Will jetzt jemand meinen Blog für 2 Millionen Euro oder Dollars?

Gerade habe ich auf heise.de [1] einen Artikel zum Thema Ägypten gelesen – Wir erinnern uns? Es ist Januar 2011 und in Tunesien hat die Bevölkerung mit einen Volksprotest gerade den Präsi in die Wüste geschickt und die Bevölkerung Ägyptens will da nicht nachstehen. Wenn man bedenkt, dass Ägyptens Präsi seit 1981 an der Macht ist und seit 1981 der Ausnahmezustand im Land herrscht ist das eigentlich auch verständlich. Aber wie macht man das? Man geht auf die Straße! Demonstrationen und Solidaritätsaktionen. Und was hat das mit dem Admin zu tun??

Damit sich die Leute alle am gleichen Platz treffen, braucht man ein Kommunikationsmedium: Früher waren das bestimmt Flugblätter und Telefonketten – heute spielt Twitter und das Handy eine entscheidende Rolle. Und so auch in der jetzigen Phase in Ägypten! ABER, der Präsi ist schlau und hat natürlich schon zu “Glanzzeiten” seiner Herrschaft die Mediengesetze entsprechend umgestaltet, so dass er jetzt in Ruhe sagen kann: Schaltet die Router ab! Das ist gesetzlich OK! Ich bin Euer (der Mediengesellschaften und Provider) Kunde! Give the people what they want! Und wer geht jetzt an den Cisco Router und schaltet die Routen ab? Der Präsi?? Ach nein, der arbeitswillige, bezahlte ADMIN! Der denkt sich: Klar mach ich, ist ja nur eine technische Angelegenheit, ich schieße ja nicht auf Menschen, ich töte ja keinen und ist ja mein Job …

Die Polizei koordiniert sich über den Funk und die Demonstranten können sich NICHT per Handy warnen, dass der Platz, auf dem sie sich versammeln wollen, mit Benzin überschüttet ist … Der Fantasie sind jetzt keine Grenze gesetzt!

Und was macht der Admin? Nachdem er seinen Befehl am Cisco Router abgeschickt hat und die ganze Internet-Struktur eines ganzen Landes (in unseren Falle die von Ägypten) ins internet-technische Aus geroutet hat, geht er wieder an seinen Platz und fachsimpelt mit seinen Kollegen darüber, ob das Win7 wirklich ein so großer Fortschritt zu WinXP ist – Respekt Admin! Die Weichen sind gestellt! Der Präsi kann jetzt mit seiner Prügelgarde toben und keiner sieht es im Internet und weil das Handy-Netz auch gleich aus ist, kann sich auch keiner warnen. Give the people what they want!

Und in diesen Bild ist der Eisenbahner mit seiner Weiche im Faschismus und der Admin mit seinen Router in der Neuzeit garnicht so weit auseinander: Es ist kein grundlegender sondern nur ein gradueller Unterschied!

Und wie weit geht das? Wie dick müßen die Eier der Admins sein, damit sie nicht nur an der Gängelleine des Kunden “Präsi” hängen? Wann steht mal ein Admin selbstbewußt vor seinen Router und sagt “der wird nicht abgeschaltet, damit sich das Volk mobilisieren kann”? Admin, denke an deine Wurzeln! Du bist auch Volk! Am Ende ist sonst keiner mehr da, der über diese Machenschaften berichten kann …

Die Welt für uns! Frei von Tyrann|ei!

| verschiedene Artikel zum Thema: [1] [2] [3] [4] [5] [7] | Bildquelle: [1] |

Linux – Apache – PHP – MySQL – dyndns

… und eben ein CMS nach Wahl.

Für mich war das erste CMS das CMSimple [1]. Es benutzt keine Datenbank und der ganze Text landet in einem HTML-file und ist damit gut zu sichern. Wie es so ist, schaut man dann doch mal über den Tellerrand, gerade wenn ausgefeiltere Anforderungen anstehen. In meinen Falle war das eine Möglichkeit, die Artikel überschaubarer nach Kategorien zu sortieren und eine brauchbare Weblink-Verwaltung.

Und so probierte ich verschiedene CMS aus – wobei mir diese Quelle [2] sehr half – und landete schließlich bei meinen Favoriten Joomla und WordPress. Maßgeblich war das Konzept, ein rudimentäres CMS mit allerlei Modulen aufzupeppen und natürlich eine brauchbare Theme-Verwaltung. Und genau dort taten sich schon die Unterschiede auf und begann der Ärger…

Nicht, dass es jetzt darum ginge, welches das bessere CMS ist, nein, vielmehr begann ich an den Verstand der Entwickler dieser CMS zu zweifeln! Und um es auch gleich Richtig zu stellen: Ich respektiere jede Art von OpenSource-Arbeit, freiwillige Entwickler, die Projekte mit ihren Modulen bereichern und sich an den PC setzen und ihre Zeit in diese Projekte investieren, anstatt auf dem Fußballplatz einen Schoppen zu petzen. Aber:

… trotzdem kann man gesunden Menschenverstand von diesen Menschen verlangen!

Da werden Konstrukte zusammen programmiert, die dann ein unbedarfter (oder mittelbedarfter) Anwender nachvollziehen, einbauen und nutzen darf/soll um gleich zu scheitern. Da wird mit einer Entwickler-Logik herangegangen – in der Anwendung, also dem Handling solcher Module! – die man vielleicht von Marsmenschen oder Hellsehern abverlangen kann, aber von keinen mitteleuropäischen Menschen der seinen “Nachweis im Mitdenken” über viele verschiedene Zertifikate, Lehre und Studium erworben hat und der sich auch nicht scheut, mal 3 Tage an einem Problem/an einer Aufgabenstellung zu feilen.

Männers! Wenn ihr fertig seit mit Programmieren, einfach mal beim Nachbar klingeln, ob der dann dieses Modul zum fliegen bringt und wenn nicht: einfach nochmal über das Konstrukt nachdenken! Es ist wie mit der berühmten Autotürklinke, die erst reingedrückt werden muß, obwohl man die Tür aufziehen will. Irgendwie (un-)sinnig … [3]

Um es kurz zu machen: Ich habe jetzt mal 2 Wochen mit Drupal 7 gebastelt. Gefällt mir gut. Und dann wollte ich einfach nur eine brauchbare Weblink-Verwaltung, so ganz einfach, bei Sonnenschein und ohne Führerschein … und? Um es auch hier kurz zu machen: Drupal 7 ist bei mir wieder verschwunden. Die Logik, die sich hinter Modulen wie Weblink und Taxomonie verstecken, entziehen sich meiner Hirntätigkeit.

Naja, wie dem auch sei: Letztlich bastel ich seit 3 Jahren mit WordPress rum (Joomla hatte ich ebenfalls mangels Logik abgeschossen) und hoffe, dass mir der Herr irgendwann im Schlaf mehr Hirn gibt, damit ich auch in der Logik eines Joomla/Drupal-Entwicklers tiefer einsteigen kann. Damit würden sich mir wieder 2 CMS mehr erschließen. Oder ist Handling für Entwickler kein Thema? Ich sage nur: Autotürklinke …

| Quellen: [1] [2] [3] | Bildquelle Wikimedia.org |

Ich will hier keine große Rede, über die Ungerechtigkeiten der “Demokratien”, über die Hetzjagd auf Julian und wikileaks und den so gepriesenen Datenschutz halten. Aber was gerade weltweit generalstabsmäßig gegen wikileaks abgezogen wird, sollte jeden vernünftig denkenden Menschen die Augen öffnen.

Vorgehensweise wie in einem Handbuch der Geheimdienste – Einschüchterung, Verleumdung, Klagen, Ausweisung, Konten einfrieren, Freunde einschüchtern, Unterstützerkreise diffamieren, Presse-Kampagnen, Technische Infrastruktur abschalten, usw. -, eben das ganze Handbuch der Geheimdienste und da ist es eigentlich vollkommen egal, ob es der USA-istische oder der schwedi-istische, oder sonst einer ist:

Letztlich will keine Staatsmacht ihre dreckische Wäsche im Internet sehen!! Aber wenigstens wird so deutlich, was die Regierungen dieser Erde unter Datenschutz verstehen: die Nichtverfügbarkeit der geheimen Diplomatie in der Öffentlichkeit!

Dabei sollte es das natürliche Recht jedes Menschen sein, nachvollziehen zu können, was die nationale Regierung für Suppen anrührt, auf wessen Kosten sie geht und wer dafür bezahlen muß! Und deutlich wird auch, dass sich die politischen, diplomatischen und militärischen Eliten immer mehr als die Regisseure ihres eigenen Filmes sehen: losgelöst von jeder Kontrolle, in dem Optionen zugeschachtert werden, finanziert durch den verdummten Bürger und mit Drohungen und Fliegenklatsche durchgesetzt, wenn doch mal einer dieser Menschen über die Wahrheit stolpert!

Dumm nur für diese Eliten, wenn es Menschen sind, die sich von juristischen Fliegenklatschen und Mund-tot-Kampagnen nicht mehr das Wort nehmen lassen, weil sie auf die Masse und Schnelligkeit des Internets setzen. Weil sie glauben, dass die Wahrheit, den Menschen aufrütteln kann und den Menschen wieder die Spinnfäden der Gesellschaft sichtbar macht, durch die sich Menschen umgarnen und verblenden lassen.

Und das schlimmste für diese Eliten: Sie können noch nicht mal sagen, dass es wikileaks für Geld gemacht hat, nein, sie können nicht mit ihren moralisch-verkommenen Finger auf Julian zeigen und ihm das unterstellen, was doch ihre Beweggründe sind: das GELD!

Vaterlandsverrat? Jemand der durch das Internet denkt, hat solche Maßstäbe schon übersprungen, dem ist klar, dass seine Heimat die Welt ist! Dem ist klar, dass die Welt und das Wissen allen gehört, Grenzen und nationale Animositäten informations-technisch keine Rolle mehr spielen, nicht mehr spielen können – wikileaks führt also gewaltige Hammerschläge gegen die nationalen Glocken dieser Erde und bringt sie zum springen und gleichzeitig erwacht der Mensch! Dumm nur, dass die Vasallen der herrschenden Eliten wieder zu feige sind, sich dem Alten zu verweigern, dem Neuen anzuschließen!

Presse der Welt! Seht auf euer scheitern!

Deutungshoheit erlangen? Am Arsch!

Wikileaks zeigt euch einen anderen Umgang mit Informationen, der aufrichtiger Art ist als eine moralisch gefestigte Zeitung jemals sein kann. Und bei diesen Thema kann man nicht einfach sagen “Das Thema ist durch!”. Mit der Verheißung und dem Fluch des Internets – Wo Daten sind, können sie sichtbar werden! – werden Eliten und Redakteure zu8künftig leben müßen: Ihr wacht am Morgen auf und alle kennen Eure Spiele und Lügen!!

Für die letzten Aufrichtigen im globalen und unzensierbaren Netz!!

Schande für alle moralischen Vasallen, die jetzt schweigen!!

Für uns!! Solidarität mit wikileaks!!

Unterstützer: Link2 Link3 Link4 Link5

Alternativen zu paypal.

Dezember 2010

Nicht, das ich jetzt mit dem Erich von Däniken-Quatsch anfangen will und erzähle, dass die Marsianer den erdischen Ur-Menschen das schnitzen beigebracht haben – aber ein Gedanke ist es mir doch wert. Immerhin denken wir in Größen, die es uns schwer machen, die ganze Weite des Alls zu erfassen. Stolz bis zum abwinken kriecht uns aus der Achselhöhle, wenn wir es mal geschafft haben, eine Blechkiste mit Rollen auf dem Mars abzusetzen (und uns Herzklopfen besorgt, wenn der Buggy dann auch noch im Sand stecken bleibt). Aber unterstellen wir doch mal, dass die Marsianer technologisch schon viel weiter sind … Zum 18ten Geburtstag hat Marsianer ‘Junior’ sein erstes Raumschiff von Marsianer ‘Senior’ erhalten. Allerdings mußte er von seinen Taschengeld 55 Marsianer Dollar dazulegen und das Versprechen abgeben, dass er nicht mit mehr als 20 Promille Marsianer Bräu im Blut durch die Milchstraße pääst (heizt). “Na klar, Daddy.” und den Uran-Stab zum anlassen abgegriffen und schwupp, bei den Kumpels aus der Clique vorbei, hupkonzert, Scheibe runter (zwar nicht so gut, weil man sich den Ellbogen an der Mars-Sonne verbrennt) und dann erstmal mit einen coolen Spruch die Bande eingeladen. Und dann??

Naja, wahrscheinlich würden die Kameraden das gleiche tun wie Mensch ‘Junior’: auf die Milchstraße (Autobahn) und dann erstmal den Hahn aufmachen, eben mal schauen, was die Karre so schöppt! Und flutsch, ist die M-Bande auf der Erde. Im Prinzip läuft das ab, wie in einer inter-galaktischen Loveparade: auf der Erde landen, die Mucke bis Anschlag, im Grünstreifen (Amerika) den Grill angeworfen und weitspucken über die Pfütze (Atlantik) prollen. Die Mash Mellos kann man über den kleinen Feuerstellen (Vesuv) gemächlich rösten und Federball wird über die Rocky Mountains gespielt. Eben Party – nur größer :)

Und der Grill verrät die Kameraden! Irgendwann ist auch eine Marsianer Party zu Ende und der Müll wird liegengelassen, aus Langeweile steckt man eine paar Stöcke in die Feuerstellen (Vulkane) und schnickt eine paar lästige, süße, kleine Dinos in der Gegend rum. Also bricht auf der Erde ein bischen Durcheinander aus: Vulkan-Ausbrüche, Dino-sterben, Hochwasser, Beben und der Grill-Abfall könnte die biologische Ur-Masse sein, aus der dann die Menschen entstanden sind. Später. Als die weg waren. Die Marsianer. Und der Grill?

Na Hallo! Wesen die eine Technik besitzen, um mal schnell auf dem inter-galaktischen Highway einen Stop an der Erde einlegen und eine Loveparade oder Party (da streiten noch die Wissenschaftler!)  zocken können, werden wohl kaum einen blechigen, wackligen Baumarkt-Grill aufbauen! Vielmehr hatten die Marsianer  den Quarz-Grill. Er besteht aus einen quasi-intelligenten Quarzsand, der von selbst die Form erkennt, die der Marsianer hinschüttet und sich dann optimal ausrichtet und verhärtet. Fertig ist der Grill, Stämme rein, mit der Nachbrennerdüse kurz mal Feuer angelegt und Fleisch drauf. Läuft!

Und dieser Grill ist das entscheidende: eine solche gerade Grill-Einfassung aus Quarz ist auch nach Millionen Hunderten von Jahren, nach Lava-Flüßen und Evolution, Eiszeiten und Dino-kommen-und-gehen noch erkennbar. So eine gerade Linie ist auf der Erde einmalig. Nur die Marsianer Technik kann solche gerade Linien anlegen! Und?

Google! Was sonst?! Die kulturelle Allzweckwaffe bietet Google Maps an. Deswegen mein Vorschlag: Google wird verpflichtet, alle Erden-Bilder in Google Maps auf ein Bauwerk mit einer Geraden von ungefähr 2 Kilometer Länge in der Landschaft zu prüfen, das weniger als einen Mü-Meter nach rechts oder links ausschlägt. Sicherlich muß ein Bauwerk in Form einer Geraden mit dieser Präzision schon dem einfachsten Scanner auffallen…. Ganz dem Zitat aus dem Film ‘Sphere’ sinngemäß entnommen: “Präzision ist ein Ausdruck von Macht!”. Gut, wenn solch eine Präzision auffällt. Warum sollte man aber diese Beweisführung machen?

Natürlich wäre das für die Menschheit eine bittere Erkenntnis, sollte sich herausstellen, dass die Entwicklung von organischen Leben auf der Erde von biologischen Müll einer Marsischen Loveparade in Gang gebracht wurde, aber Google hätte ein neues Projekt: Google SETI Map.

Bild: Quelle

Nunja, in Zeiten von Internet, DSL und Satelliten ist das mit der Flaschenpost nicht mehr ganz so praktikabel – Oder doch? Wenn wir uns im Weltraum umschauen, ziehen viele Meteoriten, Asteroiden und Kometen [1] umher. Einige werden wohl irgendwo einschlagen, einige werde ihren Weg weit über unsere Grenzen hinaus ziehen und andere lösen sich auf, aber letztlich haben doch alle eines Gemeinsam: sie werden Entfernungen erreichen, die der Mensch sobald nicht bewältigen kann. Von daher ist das Bild mit den Piraten auf der Insel soweit garnicht von dem Haufen Menschen auf diesen Planeten entfernt. Betrachten wir nun den Weltraum als Meer, könnte man sich schon überlegen, ob es Sinn machen würde, eine Flaschenpost hineinzuwerfen. Aber wie?

Letztlich ist alles eine Frage des Geldes – wenn wir den politischen/technischen Willen mal ausklammern. Was läge also näher, die vorbeiziehenden Asteroiden (als Synonym für alles Fliegende im Weltraum!) als eine Welle des Meeres zu betrachten? Warum sollte man nicht eine Flasche mit Nachricht auf einen Asteroiden ablegen und auf den inter-galaktischen Schiffsjungen hoffen, der Irgendwo, Fern der bekannten Welten, gelangweilt auf die Wellen – Verzeihung, auf die Asteroiden – schaut? Mal im Ernst…

Natürlich könnte man das noch perfektionieren und mathematisch kalkulierbarer organisieren: Viele fliegende Objekte haben feste Routen, berechenbare Routen und haben eine Größe, die es ermöglicht, Ballast aufzunehmen. Bauen wir doch einen inter-galaktischen Postdienst auf und hängen an jeden Asteroiden eine gelbe Posttasche (natürlich im übertragenen Sinne!) und schicken unsere Nachrichten los. Nebenbei machen wir natürlich auch noch fein unsere Messungen und sollte ein Objekt vorbeifliegen, dass schneller ist als der eigene Asteroid, kann die gelbe Posttasche automatisch und selbstständig das Transportvehikel – also den Asteroiden – wechseln. Eine Vernetzung der Asteroiden – vergleichbar dem Internet – ermöglicht so eine schnelle und störungsfreie Verschickung der Flaschenpost in die Unendlichkeit.

Aber natürlich (natürlich!) birgt diese Vorgehensweise auch Risiken! Immerhin kann nicht gesteuert werden, WER diese Nachricht bekommt und ein vorsichtiges Vorfühlen ist nicht! Immerhin haben die Weißen bei der Entdeckung Amerikas auch erst mal die Indianer abgeschlachtet, versklavt und verdummt. Machen wir uns nichts vor: In dem Film über die Piraten wurde nicht gesagt, dass der rettende Segler eine brave Mannschaft hatte – Für wen gab es also das HappyEnd?

| 1 Asteroiden | Bildquelle Wikipedia |

Was ist aber, wenn ein Kollege während des realen Marsflug stirbt? Oder ein Körperteil verliert? Oder wie in jeden tollen Kriegsfilm zu sehen: Opfere einen Soldaten um den Rest der Mannschaft zu retten? Plötzlich haben einige Kabinen des Shuttles keinen Sauerstoff mehr und die Leichen schweben schwerelos im Raum herum…

Ich will das garnicht lächerlich machen und finde das auch nicht makaber – vielmehr befürchte ich, dass eine zukünftige Mars-Mannschaft genau solchen Situationen ausgesetzt sein könnte und dann ist die Frage, ob eine 500Tage-Simulation in einen Container lehrreich war!

Ich denke, dass es wie mit der Erschaffung des Feuers durch die Menschheit laufen wird: In dem Moment, war der einzelne Mensch froh, als er die zwei Steine zusammen schlug und durch einen Funkenregen im Stroh das erste Feuer schuf, die Höhle damit wärmte, aber erst viel, viel später wird der Menschheit bewußt mit welcher Schlüsselerfindung sie es zutun hat. Irgendwie wird die Menschheit im Container  und den Flug zum Mars überleben – kommen sie aber zurück, ist es eine andere Menschheit.

500Tage Fußball? Daraus ist kaum zu lernen …

Wenn wir davon ausgehen, dass es in absehbarer Zeit möglich ist, einen Großteil der menschlichen Organe künstlich zu erzeugen – unabhängig davon, ob im Reagenzglas oder im Nachbau – ist es schon eine wichtige Frage, was den Menschen definiert. Die Seele ist in keinen bekannten Körperteil gefunden worden. Das Herz ist scheinbar auch nur eine Pumpe. Was definiert den Menschen? Das einzige Körperteil, dass den Konstrukteuren – so muss man zukünftig wohl Human-Mediziner und -Biologen nennen – kopfzerbrechen verursacht ist das Gehirn. Erinnerungen, Kurz- und Langzeitgedächtnis, Eindrücke, unbewußte Reaktionen, Kurzschlusshandlungen – alles dies ist nicht auf einen USB-Stick zu safen und in ein anderes Hirn zu parsen. Also nichts mit “Mensch 2.0″.

Wir würden uns allerdings, wahrscheinlich, mit aller Gewalt dagegen wehren, wenn es möglich wäre alle diese typischen, menschlichen Hirn-Inhalte auf einen Roboter zu transferieren. Alle Körperteile nachgebaut und die Hirn-Firmware vom Menschen eingespielt: Wäre dies ein Mensch? Einige werden jetzt aufschreien und kundtun, dass der Mensch auch ein soziales Wesen ist, Menschen gehen in Vereine, kennen Nachbarschaftshilfe, spenden aus Mitleid, erkennen komplexe Zusammenhänge und haben Fantasie. Warum sollte ein Roboter mit der Hirn-Firmware eines Menschen nicht auch in einen Verein wollen? Roboter 3.0.

Egal wie man es sieht: Mit der heutigen und zukünftigen technischen Entwicklung wird sich bald die Frage stellen, was einen Menschen ausmacht und diese Frage wird dann nicht nur in einen ScienceFiction-Film gestellt sondern im realen Leben. Wo wäre diese Frage aber diskutabel? Nun, es gibt Definitionen, die mehr oder weniger Weltweit ihre Annerkennung finden. Die Menschenrechte z.B.. Was läge näher, als im Rahmen der United Nations, der UNESCO, oder sonstiger Welt-Gremien, genau diese Frage zu klären? Wo ist das Statut, welches definiert (ich vermeide den Begriff “erklärt”), welches definiert, was der Mensch ist? Ausmacht. Ich sage es nochmal mit aller Deutlichkeit und hoffe, dass dieser Text schön lange in den cache’s der Suchmaschinen erhalten bleibt: Wir brauchen jetzt (am Beginn der technischen Entwicklung) eine allgemein anerkannte Definition des “Mensch”en, bevor die Profit-Logik, auch diese ethischen Grenzen zertrümmert und es dann Hirne 4.0 im Supermarkt zu kaufen gibt! Oder wollen wir das?

Einen noch größeren Stellenwert bekommt die Definition des Menschen, wenn wir uns die Raumfahrt-Pläne des jetzigen US-Präsidenten Obama anschauen. “Zu seinen Lebzeiten einen bemannten Flug zum Mars” oder so ähnlich war die Zielsetzung, die der Präsident der NASA diktierte. Tolle Sache. Aber auf dem Flug zum Mars sehen wir links aus dem Fenster einen kleinen Planeten, auf dem kleine grüne Menschen eine Welle machen. Wir also, kurz einen stop dort, händeschütteln, Wimpel austauschen, und dann die alles entscheidende Frage der grünen Menschen auf diesen Planeten: “Was ist die Definition für Mensch?”. Schweigen? Kurzes wälzen im Bordbuch. Keine Hilfe. Die UNO anrufen? Es ist Sonntag. Der ADAC?

Wie dem auch sei! Ich will das garnicht lächerlich machen (Natürlich will ich das!), aber kurz gesagt: Mit den zukünftigen technischen Entwicklungen wird sich auch die “Mensch”heit andere Fragen stellen und Antworten finden müssen, bevor der Mensch aus dem Katalog zu ordern ist.

- für die Überlebenden der Menschheit: Wir hatten versagt! -

Interessant fand ich die Äußerungen, dass die Schachcomputer zu schnell ziehen und ein Gegenspieler sich dadurch unter gesteigerten Druck gesetzt fühlt. Ein anderer Schachspieler äußerte, dass man ja gerade durch die Fehler des Gegenspielers seine Strategie festlegt. Auch das Wesen des Gegenspielers, dass man in kleinen Gesten erfaßt, spielt beim Schachspiel scheinbar eine Rolle. Wie gesagt: Ich bin kein Schachspieler und kann das nur schwer einschätzen, aber aus meinen beruflichen Alltag kann ich bestätigen, dass Kollegen einen Druck empfinden, sobald ein scheinbar besser ausgebildeter Kollege am PC neben Ihnen sitzt. Sie meinen, dass man besonders schnell am PC sein müßte…

Eine Reise zum Mars oder in entfernte Galaxien wird mit Sicherheit sehr computerisiert ablaufen. Natürlich sind Menschen nicht in der Lage, komplexe Berechnungen in der Zeit durchzuführen, wie dies ein Computer kann und es wohl auch notwendig ist. Aber ich stelle mir vor, dass es vielleicht auch sinnvoll werden kann, die Computer zu verlangsamen. Ja, eben nicht Informationen in dem Tempo vorzugeben, wie es eine Maschine wohl könnte! Auch das Tempo gibt eine Wertigkeit von Informationen vor, zwingt den Menschen entsprechend zu priorisieren, Strategien festzulegen. Aber eine Strategie, die durch Rechengeschwindigkeit einer Maschine vorgegeben wird, ist nicht automatisch die richtige Strategie! Gerade in komplexen Vorgängen, die ein Raumflug sein wird, ist das Abstimmen der “Level” auf den Menschen eine eigene Aufgabe.

Das Wesen einer Maschine ist “Schnelligkeit” – es suggeriert dem Menschen, dass er langsam ist. Aber schon aus den Erfahrungen des Piloten Pirx lernen wir, dass es manchmal sinnvoll sein kann, eine Fliege im Cockpit zu jagen oder den Klang einer Maschine zu lauschen. Das sind Faktoren, die eine Maschine nicht kalkuliert. Oder doch kalkuliert: mit einer Wahrscheinlichkeit von 1:100000000. Und prompt ist die Cola in die Tastatur gelaufen….

Stellen Sie sich vor, der Landeanflug auf dem Mars geschieht prompt dann, wenn die Stürme aus den Großen Seen über den Planeten jagen, feinste Sandstäube reflektieren den heißen Lenkstrahl der Backbord-Turbine in die Ummantelung und die darunter liegenden Sensoren melden Triebwerksbrand. Gott bewahre! Aber schon bemißt der Computer, die Abweichung vom Landeplatz, den Verlust an Treibstoff, bietet die Korrektur der Sinkgeschwindigkeit an, Ballast wird auf der Steuerbordseite zum Abwurf angeboten, etc, pp. Alles wird  auf einer Monitorwand angezeigt, alle Zahlen liegen aufbereitet in ca. 7 Sekunden vor und der Pilot braucht nur noch die Entertaste drücken…. Normalerweise hätte man einfach nur den Feuerlöscher geholt und festgestellt, dass es garnicht brennt.

Wie dem auch sei: Nicht das ich hier naiv erscheinen möchte (obwohl eine gewisse Naivität für den Menschen manchmal sicherer sein könnte) – vielmehr hoffe ich, dass zukünftige Computer “mensch-gerecht” ausgelegt werden. Es wäre wirklich unglücklich, wenn die Menschheit zu “schnell” in die berechnete Katastrophe fliegt. Eben Schach dem Mensch.

Es erstaunt mich aber doch immer wieder,wie einfach WordPress bearbeitet werden kann. Ich finde, die eigentliche Flexibität kommt erst mit den Plugins zum Vorschein. Auch wenn es kein Werkzeug für PHP-Profis ist, so bietet es doch durch modulare Bauweise viel Spass und Raum zum basteln.

Ich kann es nur jede/n empfehlen. Aber den Blog technisch aufzubauen, ist nur eine Sache. Eine Zweite ist es, sich auch täglich damit auseinander zu setzen, denn schließlich will der Blog mit Inhalt befüllt werden. Und so mache ich mir tagsüber schon Gedanken, was wohl Abends im Blog stehen könnte. Und das ist auch eine spannende Sache, gerade weil ich mir hier zur Aufgabe gestellt habe, in meinen Blog die Synthese von Mensch und Maschine zu diskutieren und im Alltag auch eine Menge Beispiele und Ansätze finde.

Allerdings ergibt sich bei mir immer wieder das Problem mit der Länge – Was im Bett ja vielleicht von Vorteil sein kann, ist im Blog nicht automatisch so: die Länge des Artikels. Und so fange ich mit einen spannenden Thema an und merke plötzlich, dass ich damit wahrscheinlich ein halbes Buch füllen könnte. Tja, was tun? Natürlich versuche ich dann schnell zum Ende zu kommen, aber dadurch bleibt natürlich einiges auf der Strecke. Andernseits gibt es genügend Blogs die mit hirnlosen Kurz-Content (“Heute habe ich meine Blumen gegossen.”) die digitale Welt bereichern. Warum sollte ich mich kurz fassen?

Letztlich muß ich wohl irgendwann eine kritische Bestandsaufnahme machen und überprüfen, ob das bloggen überhaupt mein Medium ist. Vielleicht sollte ich doch alles sammeln und in einen realen Buch unterbringen. Aber an diesen Punkt bin ich noch nicht! Also werde ich mich weiter mit der Fluch-Frage quälen: Ist er lang genug?

Zukünftig wird der Kühlschrank an das Internet, am Stromzähler, an die Klingel, das Telefon (Verzeihung: IP-Phone) und an die Fensterscheiben angeschlossen sein. Dadurch hat der Kühlschrank die Möglichkeit, alle notwendigen Informationen über die Familien-Mitglieder zu sammeln. Die Klingel sagt ihm, wie kontaktfreudig sie sind, der Stromzähler, wie oft Sie Nachts das Licht anmachen (oder auf’s Klo gehen, ist in Verbindung mit dem Wasserzähler zu messen), wie lange telefoniert wird und wie sie atmen – ist durch den Beschlag an der Fensterscheibe zu messen.

Mit dem Aufstellen des neuen intelligenten Kühlschranks muß natürlich ein kleines Setup ausgeführt werden: Wie viele ständige Mitbewohner gibt es? Geburtsdatum und Name eingeben. Durchschnittliches Gewicht im letzten Jahr. Und so weiter…. Aber es wird auch eine elektronische “Wäscheklammer” mitgeliefert. Diese wird über ein USB-Kabel am Kühlschrank angeschlossen. Der Käufer des Kühlschranks hat damit folgendes auszuführen: Von jeden Familienmitglied wird ein Haar in die Klammer gezwackt und in den vorderen Teil der Klammer gehaucht. Damit macht die Klammer den üblichen DNS-Abgleich – wie er auch bei der Vaterschaftsklage üblich ist – und erstellt ein Profil über jedes Familienmitglied und speichert es auf dem Datenträger im Kühlschrank. Nach ca. 2 Wochen hat der Kühlschrank dann ein optimiertes Ernährungs- Profil zu jeden Familienmitglied erstellt. Übrigens: Die Haar-Probe dient als Abgleich am Türöffner des Kühlschranks, damit der Kühlschrank auch weiß, wer den Kühlschrank öffnet…

Ein Beispiel: Hans (der Vater) hat eine beschleunigte Atmung, darüber mehr Beschlag an der Fensterscheibe und steht Nachts häufig auf. Der Beschlag-Sensor an der Scheibe vermittelt die Atemwerte an den Kühlschrank und der Stromzähler, die nächtliche Einschaltquote des Zimmer- Lichts. Damit erstellt er (der Kühlschrank) einen individuellen Ernährungsplan für Hans: Obst, Schokolade und Gemüse. Damit bekommt Hans die Möglichkeit, durch den Essensvorschlag des Kühlschranks seine körperliche Verfassung (die Atmung, Obst und Gemüse) und seine seelische Gefühlslage (Schlafstörung, Schokolade) zu optimieren. Der Kühlschrank fühlt sich so in das Familienmitglied ein. Praktisch! Nicht?

Ich frage mich immer noch: Wie kann man prüfen, ob die Kühlschrank-Beleuchtung aus ist, wenn die Kühlschranktür geschlossen ist?

Wie dem auch sei: Heute stellt sich das natürlich anders da und man dürfte sich wohl als Kandidat für ‘Wetten das…’ fühlen, sollte man komplexe Berechnungen zeitnah mit dem Rechenschieber lösen. Die Entwicklung ist eine andere. Gerne erzählt man sich als Europäer die Geschichte, in der Indianer von weißen Männern Aufgaben gestellt bekamen, um die Intelligenz der Indianer zu testen. Aber wie müßen diese ‘Gelehrten’ gestaunt haben, als sich der Indianer mit der gestellten Aufgabe seinem Stamm zuwandte und man gemeinsam versuchte die Aufgabe zu lösen. In der Vorstellung der Indianer war es ganz normal schwierige Aufgaben gemeinsam zu lösen. Ein paar hundert Jahre später sehen wir das vielleicht – trotz oder wegen unserer Arbeitsteiligen Produktionsprozesse – auch so.

Und was der Rechenschieber von einst und die (ob wahre oder nicht) Sichtweise der Indianer zu einer heutigen Synthese bringt ist der ‘Cluster’. Der Cluster ist ein Konzept, das an sich vereinzelte Computer so vernetzt, dass eine gestellte Aufgabe mit der geballten Rechenpower aller Computer – sozusagen als ein Großhirn – gelöst werden kann. Nun ist das sicherlich nichts Neues und wird seit Jahrzehnten in der Technik eingesetzt, aber die Weiterentwicklung, bzw. der gesellschaftliche Nutzen ist doch interessant zu reflektieren.

Stellen wir uns doch vor, dass es Computer gibt, die so groß sind wie eine Streichholzschachtel – inklusive aller Anschlüsse. Da ich nicht weiß, wie groß eine Streichholzschachtel im Rest der Welt ist, gehe ich von einer deutschen Streichholzschachtel aus…. Wir sehen, dass es ein spannendes Thema wird: Taschenrechner, Indianer, Streichholzschachteln :) Stellen wir uns vor, diese Computer hätten WLan, also eine Verbindung zur digitalen Welt ohne Kabel. Die Energie, die solche Computer brauchen, gewinnen sie aus ihren Umfeld – zu dem wir noch kommen – aus Reibung, statische Aufladung, Bewegung, was auch immer. Und diese Computer sind absolut wartungsfrei und steril. Warum?

Wenn wir von einer so kleinen Recheneinheit sprechen, können wir es etwa im Magenbereich des Menschen oder mit einem Kabelbinder an einer Rippe platzieren, naja, im Ernst: Da wird es dann schon Ideen geben. Und dann kommt das große Finale: Hunderte Studenten, können sich über ihr (im wahrsten Sinne des Wortes) eigenes WLan mit anderen Studenten zu einen Cluster zusammenschalten und damit komplexe Rechenaufgaben lösen. Die Bedienung, wäre über ein Touchscreen durch die Haut gelöst, jeder Computer (damit jeder Mensch) hätte eine IP-Adresse und die Energie-Versorgung wäre über statische Aufladung, was auch immer…

Ich stelle mir das spaßig vor: ein Hörsaal voller Studenten, die sich an der Rippe rumreiben, weil wiedermal ihr Touchscreen nicht sensibler genug eingestellt ist, jeder pingt jeden an, dabei leuchtet dann immer so schön ein rotes LED unter der Haut auf (ein echter Renner in Discotheken!) und der Ausgebende Teilnehmer (sprich: Writer) sollte Stenographie können oder einen guten Drucker verfügbar haben. Ich würde sowas HDR (Human Digital Ressources) nennen: Die Menschen zum Cluster vernetzt, um schwierige Aufgaben gemeinsam berechnen zu können!

“Roboter sollen künftig selbst entscheiden können, wer wann wo getötet wird” ist das Statement eines Robotik-Experten. Natürlich brauchen wir uns nicht empören. Ein Ziel der Entwicklung der Technik war es schon immer den Menschen zu ersetzen. Wenn dies schon aus Profit-Gründen mit der Entwicklung des Fließbandes eine schnell Umsetzung erfuhr und der Robotik Tür und Tor öffnete, war es absehbar, das die Maximierungsbestrebungen in der Militärtechnik auch zu ihren Recht kommen werden. Technisch ist es also keine neue Sache.

Interessant sind eher folgende Aspekte:

• Der Führung ist erstmal klar zu machen, dass sie nicht auf machtgeile Gelüste kommen, wenn sie die Roboter ihren Kommando unterstellen.
• Die Robotertechnik in der Kriegführung ist zum jetzigen Zeitpunkt nur die Axt im Wald.

Natürlich ist es für einen Politiker schwer, seinen Untergebenen die Zinksärge politisch zu verkaufen, die aus den Operationsgebieten zurück kommen. Kaum eine Mutter hört beim Anblick ihres toten Sohnes auf zu heulen, nur weil ein Präsident das gerne hätte – also muss er Sie vor laufenden Kameras in den Arm nehmen und mitspielen. Wie lange kann ein Präsident mit so einen Theater im Amt bleiben? Auch wenn ich hier ständig ‘Präsident’ schreibe, betrifft das natürlich den ganzen Apparat und alle Verantwortungsträger und Handlanger! Auch die “moralische” Umarmung der Toten durch das Parlament….

In Europa gab es den 30-Jährigen Krieg, der Hitler-Krieg dauerte rund 7 Jahre – also irgendwo dazwischen werden sich künftige Kriege bewegen. Jahre in denen Zinksärge am Flughafen ankommen. Erlösung naht – die Roboter. Eingesetzt sind sie bestimmt sehr efffektiv, die ersten Jahre jeder bekannten Technik überlegen und die psychologische Wirkung auf den Feind bestimmt beeindruckend. Aber das Wichtigste: Keine Zinksärge!

Wenn dem aber so ist, was hält einen Präsidenten ab, schneller und längere Kriege zu führen? Was sollte ihn abhalten, die Maschinen zu seinen Vorteil laufen zu lassen? Immerhin gibt es in einigen Ländern Diskussionen, die den möglichen Einsatz von Militär gegen die Zivilbevölkerung im eigenen Land zur Grundlage haben (z.B. in Deutschland). Mit Sicherheit spielen in solchen Überlegungen auch immer Einschätzungen der weiteren Entwicklung des ‘Sozialen Friedens’ eine Rolle. Der Krieg Reich gegen Arm. Wenn also Zinksärge keine politische Sicherung gegen den wahnwitzigen Einsatz von Kriegsgerät sind, dann muss die Ethik herhalten. Als hätte die Ethische Verpflichtung eines Arztes die Stümperei in der Chirugie abgeschafft! Bieten wir also in Zukunft Seminare für die Verteidigungsminister dieser Welt an, Thema: Der Einsatz von Roboterwaffen in Verhältnis zu den ethischen Statuten der UN – oder so… Und dann wird eine PowerPoint-Präsentation aufgelegt, gähn.

Der zweite Punkt (also der mit der Axt) ist auch sehr spannend. Wie schon viele Menschen, und erst Recht Politiker, wissen, kann man mit Panzer keinen wirklichen Chirugischen Schnitt machen. Dafür sind die Waffen nicht gemacht! Mal eine Stadt einnehmen und sichern, der Infanterie Schutz bieten und Angst verbreiten sind so die wesentlichen Zielsetzungen. Was sollen Roboterwaffen? Als Spione kaum einsetzbar, für taktische Entscheidungen kaum in den nächsten 20 Jahren zu gebrauchen, bleibt nur ein wesentlicher Punkt: Terror.

100 Kampfroboter mit dem Fallschirm hinter den Linien abgeworfen, den nächsten Kommandostand als GPS-Koordinaten mitgeteilt und dann mal die Axt schwingen lassen. Das geht so übrigens auch gegen die eigene Bevölkerung! Ein besetzter Bahnhof? Kein Problem! RoboCop klärt das gleich. Berechtigte Forderungen der Besetzer? RoboCop ist in keiner Gewerkschaft, die Ohren können abgeschaltet  werden und Gefühle hat er sowieso nicht. Transformer ist Kindergarten.

Die Entscheidung, wer getötet wird, einen Roboter überlassen? Dann wird es langsam Zeit abzuhauen….

| 1 Link | 2 Link | UPDATE Link1 Link2 |

Millionäre! Ganz einfach. Menschen mit viel Geld. Und wie mir kürzlich ein Bekannter in der S-Bahn erzählte, hat sich ein Millionär vor vielen Jahren in London von dem Arzt meines Bekannten eine Art ‘Stückliste’ der körperlichen Anatomie zusammenstellen lassen. Dieser Mensch wollte eine detaillierte Liste der Körperteile und Innereien, aufgeteilt in verschiedenen Notwendigkeitsklassen, überlappt durch einen schematischen Aufbau der grundsätzlichen Versorgungssysteme im menschlichen Körper, also Atmung, Verdauung, Durchblutung. Weiterhin bestand die Liste aus einer Aufgliederung der elementarsten Knochengelenke, der durchschnittlichen Länge aller Knochen eines europäischen Menschen und natürlich das durchschnittliche Fassungsvermögen des Schädels. Warum dies alles?

Eigentlich verfolgte der Millionär in London nur eine gewöhnliche Betrachtung, welche sich in allen Bereichen der industriellen Produktion abspielt: Welche Komponenten muss ich sicherstellen? Welche Funktionen und Systeme kann ich vereinfachen, verschmelzen und normieren. Sozusagen den mensch-technischen optimalen, besser: optimierten, Mechanismus zusammenstellen. Und so spendete er der ‘Universität für angewande Wissenschaften’ in London das Geld für die Neueinrichtung des Fachbereichs ‘Human Linear Optimisation’ (HuLOp).

Die Einrichtung von HuLOp in London hat in der medizin-technischen Fachpresse große Empörung ausgelöst, weil spontan von einer ‘Rassentheorie’ ausgegangen wurde. Zumal man bei der Eröffnung des Fachbereichs mit einer Pressekonferenz auch die Sponsoren vorstellte und unter diesen Sponsoren sich auch das führende deutsche Unternehmen in Sachen ‘Medizinische Technik’ befindet. Und damit war die kausale Kette (Menschen -> Verwertung -> deutsch = Faschismus) für die hiesige Presse geschlossen und die Jagd auf das Projekt eröffnet. Mit einen genialen Schachzug des Geldgebers wurde alles anders. In den Statuten von HuLOp wurden folgende Gesetze verankert:

• Das Projekt bezieht keinerlei Position zu irgendeinen Gesellschaftssystem und versteht sich als ‘the world largest Project’.
• Alle menschlichen Eigenschaften, die nach dem Statut der UNESCO den Menschen definieren, müssen(!) erhalten bleiben – eine Erweiterung der Fähigkeiten ist erlaubt.
• Alle Ergebnisse aller Versuchsreihen und Optimierungen werden in einer offenen Datenbank über das Internet allen Interessierten ohne Einschränkung zur Verfügung gestellt.
• Daraus abgeleitete Patente stehen auf unbegrenzte Zeit kostenlos allen Interessierten zur Verfügung.
• Die einzige Versuchsperson der medizin-technischen Versuche ist Mr.Making.

Mit diesen Voraussetzungen machte sich der Fachbereich an die Vorarbeit der menschlichen Optimierung. Die Zielsetzung war, die menschlichen Organe zu vereinfachen – damit war ursprünglich eine Blade-Bauweise angestrebt, also Platinen, die nach öffnen der Bauchdecke einfach in eine Hauptplatine gesteckt werden – , die Knochen entsprechend der Normierung gegen Knochen aus leichten Stahl, die Gelenke ebenfalls aus leichten Stahl und mit optimierten Neigungswinkel und Funktionsgruppen, z.B. Atmung, gegen leistungsfähigere Pumpen zu ersetzen. Kurz: Das Ziel ist, soweit wie irgend möglich, die Innereien und das Skelett des menschlichen Körpers gegen mechanische Bauteile zu ersetzen.

Nur zwei Jahre später nach Abschluss der Vorarbeit, konnten die ersten Erfolge vorgelegt werden: Hr.Making (1966 in Frankfurt am Main geboren, s.a. FAZ vom 26.08.1966) hatte sich das komplette Skelett und alle Gelenke gegen Bauteile aus leichten Stahl tauschen lassen. Dies brachte in der Gewichtsendrechnung eine Ersparnis um 17%, die Reduzierung der Bruchgefahr um 97% und eine Steigerung des Knochenlenk-Faktor um 26%. Nur 3 Jahre später verkündete HuLOp wieder einen Erfolg: Atmung, Blutzirkulation und Verdauung konnten mit einer Modul-Bauweise im Brustbereich untergebracht werden. Diese Bauweise ist nicht ganz so platzsparend wie die Blade-Bauweise, allerdings ist sie einfacher in der mechanischen Konstruktion (die Techniker entschieden sich wegen dem deutschen Sponsor für eine metrische Kopplung der Systeme) und erfordert keinerlei elektronische Steuerung. Damit konnte der Lebens-Index (LI) um 26 Punkte gesteigert werden!

Die Ersetzung der Haut verursachte im HuLOp die größten Diskussionen. Nach dem Statut der UNESCO ist die Haut ein Kriterium, die den Menschen als Menschen definiert (unabhängig der Farbe!) und damit nicht ersetzbar. Aber in Anbetracht der medizin-technischen Entwicklung in der Generierung von Haut und der Optimierung der Haltbarkeit der Hautzellen (z.B. bei Einwirkung von Licht, hier konnte die NASA als Sponsor gewonnen werden) entschied man sich für die Beibehaltung der Haut von Mr.Making. Die Diskussion stellte sich auch nicht so sehr bei dem Thema der technischen Machbarkeit von Haut sondern vielmehr um den Verlust der Empfindsamkeit der menschlichen Haut! Bei allem Forschen war eines noch nicht wirklich gelöst: Wie werden Empfindungen durch technische Teile transportiert? Also, der einfache körperliche Kontakt, z.B. das berühren zweier Arme in der vollgestopften S-Bahn oder der komplexe köperliche Kontakt, z.B. das Streicheln in erogenen Zonen, waren das eigentliche Problem. Zwar hatte sich Samsung als Sponsor angeboten, seine Technik der Touchscreens in einer Versuchsreihe auf die menschliche Haut zu übertragen, aber man war sich bei HuLOp einig, dass man damit in Opposition zu den Statuten der UNESCO wäre und das wollte man auf keinen Fall!

Grundsätzlich sollte man hier auch nochmal betonen, dass HuLOp von Anfang an keinerlei Interesse hatte, den Menschen zum menschlichen Roboter weiterzuentwickeln, sondern vielmehr, mit der bekannten Ethik und Respekt vor dem Menschen, das technische Optimierungspotential des Menschen unter spezieller Betrachtung des medizin-technischen Potential zu entwickeln gedachte.

Und so entwarf man, vergleichbar eines Londoner S-Bahn-Plans, eine Karte, auf der die Hauptstränge der menschlichen Gefühlsnerven (und viele der sekundären Stränge, die unabdingbar sind, z.B. ergänzende Stränge zum Gehirn) kartiert wurden und – der größte politische Erfolg von HuLOp – als weiterer Definitionsbaustein für ‘Mensch’ von der UNESCO aufgenommen wurde. Natürlich hatte das auch Vorteile für die Industrie: wie ein Kabelbaum, der in allen Automarken eingebaut wurde, so ermöglichte die Kartierung der Gefühlsnerven der medizinischen Industrie eine Art normierte Kabelbäume für den Menschen.

Nach knapp 10 Jahren veröffentlichte HuLOp einen Zwischenbericht. Es war in diesen Zeitraum gelungen, folgende Systeme zu ersetzen oder zu optimieren:

• Atmung, Blutkreislauf und Verdauung
• Skelett und Gelenke
• Haut (Widerstand gegen äußere Einflüsse und Regeneration)
• Sekundäre Systeme (Zähne, Haare, Nägel an Finger und Fuß, Augen (ohne Veränderung der Augenfarbe! siehe Statut der UNESCO und SEC-EYEus)

Letztlich war es ein überaus gelungenes Projekt, dass viele medizinische Einsichten und oftmals gesellschaftliche Debatte und Klärung hervorbrachte. Auch zukünftig gibt dieses Projekt noch vielen Generationen an Medizinern, Technikern und Sozialwissenschaftlern Forschungsmaterial.

Der aktuelle Stand zum Abschluss: Zur Zeit werden im Projekt ‘Sensitive Schaltungen’ des HuLOp an einen teilweisen Ersatz des Gehirns gearbeitet. Ähnlich dem Haut-Thema (s.o.), hat man sich mit der UNESCO darauf geeinigt, Kernbereiche des Gehirns zu definieren, die als Definitionsbaustein in die Statuten Einzug halten und als feste Größe in der weiteren Optimierung des Menschen berücksichtigt werden müssen. Allerdings hat hier die UNESCO das Zugeständnis gemacht, dass dieser Definitionsbaustein neu bewertet werden muss (!), wenn die Erforschung des Gehirns, fundamentale und neue Einsichten in die Wirkungsweise des Gehirns liefert.

Frankfurt am Main, den 27.Juni 2009

- für die folgenden Generationen -

| Link | Big Buck Bunny |

An Ihren Schreibtisch im Büro sieht alles wie am Vortag aus. Wieso auch nicht? Sie haben der Putzfrau untersagt, auf Ihren Schreibtisch zu putzen und so finden Sie alles griffgünstig – eben wie gewohnt. Und so schalten sie den PC ein und starten Ihr Eclipse oder Visual Studio und legen ein neues Projekt an. Die Tee-Kanne duftet auf dem kleinen Tischchen neben dem PC. In der Email vom Vortag versuchen Sie nochmals den Arbeitsauftrag herauszulesen.

“Hallo Hr.X,

wir haben in verschiedenen Simulationen festgestellt, dass der Landeprozess einer deutlichen Absicherung bedarf! Durch die Konstruktion als Nurflügler ist bei voller Beladung im Erdbereich (wie in der Zielvorgabe wird mit 5000 Tonnen (ohne Eigengewicht) simuliert) mit enormen Unsicherheiten für Last, Maschine und Pilot zu rechnen. Entwerfen Sie eine Notfall-Routine, die in das Lande-Programm eingepflegt werden kann und dem Pilot im kritischen Fall verschiedene Berechnungen und Entscheidungen abnimmt. MfG K.L.”

Na gut, für einen einigermaßen geübten Programmierer ist das erstmal kein großes Ding. Man sammelt erstmal verschiedene “mögliche Störfälle” (mS). So könnte z.B. der Seitenwind bis zu einer bestimmten Stärke unvermittelt zu nehmen oder der Treibstoff-Zufluss könnte bei der Landung abnehmen (Immerhin sind bei den Mars-Flügen keine Zwischentankstopps geplant!). Vielleicht sollte man auch nochmal in Erwägung ziehen, dass sich die Last verschoben hat. Ganz ignorieren kann man auch die mechanischen Beschädigungen nicht: vielleicht ist die Kardanwelle, die das Landefahrwerk ausfährt, aufgrund der enormen Hitze bei Eintritt in die Erdatmosphäre in den Führungslagern fest gegangen. Der Szenarien gibt es viele und so muss natürlich auch die Kombination der mS berücksichtigt werden – Was soll das Programm machen, wenn beim Landeanflug die Last verschoben ist, abrupt ein Seitenwind aufkommt (durch die enorme Hitze der Triebwerke initiiert) und der Treibstofffluss nicht mehr mit 5000 bar sichergestellt ist? Und so stellt man erstmal tabellarisch die Szenarien zusammen, überprüft ihre Kombinationen, ermittelt die “möglichen Lösungs-Aktionen” (mLA).

Hr.X schrieb viele Monate an diesen Programm, es wurde auch implementiert und nach der ersten Landung des Mars-Nurflüglers (MNur) wieder aus dem Bord-Computer gelöscht – Was war geschehen?

Der MNur war nach einen 12monatigen Flug vom Mars auf Landeanflug Erde. Man implementierte das Programm des Hr.X’s mit den mLA während der Flugzeit zur Erde und wollte diese Landung gleich als erste Test-Landung auf der Erde nutzen. Bisher wurden die MNur über eine Station auf dem Mond umgeladen und so versprach man sich enorme Kostenersparnisse, wenn die MNur direkt auf der Erde starten und Landen könnten.

Aber es kam zur Katastrophe! Beim Landeanflug flog der MNur ungebremst in die Erde, die komplette Landebasis wurde zerstört (ausgenommen der Teile, die in einen Bunker unter der Erde lagen), etwa 200 Mitarbeiter (Piloten, Wartungspersonal, Sicherheitskräfte) fanden den Tod. Warum?

Jahrelang beschäftigte sich eine Kommission mit dieser Katastrophe. Es ging nicht nur um die finanziellen und menschlichen Verluste – vielmehr galt es zu klären, was den nun der eigentliche Fehler war, dass ein MNur, trotz des implementierten Sicherheitsprogramms und dem durchspielen aller möglichen Szenarien, so eine Katastrophe fabrizierte.

Die Lösung? Monate nach dem Unglückstag fand man in der Erde noch einen kleinen Teil eines Racks in dem noch Blades steckten, die der MNur als SAN für seine Kurzzeit-Berechnungen nutzte – quasi als Erweiterung des RAM’s. Und da diese Blades Batterien auf der Platine hatten, gingen die letzten Überlegungen des Computers zu seinen Berechnungen nicht verloren. Es war, als könnte man bei einen toten Menschen, die letzten Überlegungen, Sekunden vor dem Tod, aus dem Gehirn schneiden. Und damit stellte man die letzten Berechnungen des Computers nach und es ergab sich ein, naja, – wie soll man sagen? – ein ungewöhnliches Ergebnis!

Wie sich herausstellte, war Hr.X ein sehr pedantischer Mensch, alles mußte genau an seinen Platz liegen, oder auch bei täglichen Entscheidungen im Alltag, versuchte er alle möglichen Einflüsse dieser Entscheidung auf seinen weiteren Tag voraus zu bestimmen. An sich war das nichts schlechtes! In Gegenteil! Hr.X galt als sehr gewissenhaft, seine Vorgesetzten trauten Ihm blind und wenn er für die Belegschaft die Weihnachtsfeier plante, konnte man sicher sein, dass alles 100% organisiert war. Aber das war das Problem!

Was Hr.X im Alltag auszeichnete übertrug er mit seinen Programm auf den Computer des MNur’s. Wie sich aus den Blades rekonstruieren ließ, gab es beim Landeanflug einen geringen Seitenwind. Dem Seitenwind hätte über eine einfache Aktion geantwortet werden können (einen kurzen Schub an der linken 90″-Düse) aber der Impuls des auftreffenden Seitenwindes löste das Programm für mS aus. Und anstelle einer einfachen mechanischen Antwort – eben einen kurzen Gasschub – startete das mS die Hilfsroutinen des mLA. Wie sich später rekonstruieren ließ, war die Entscheidung, WAS die Störung ist, vom Computer schnell erkannt, aber die wertvolle Reaktionszeit verschenkte er, bei der Auswahl der mLA. Das Programm war so geschrieben, dass es wie ein Schachprogramm, die verschiedenen Gegenzüge in jeweils 24 Varianten berechnete und so im unentschlossenen Zustand ungebremst in die Katastrophe flog.

Kein technischer Defekt war der Auslöser, sondern alleine die pedantischen Prüfroutinen, die aus der Unentschlossenheit eines Menschen (in Form des Programmierers) kamen, verursachte die Katastrophe. Seitdem wird bei NASA-Neueinstellungen auch die persönliche Fragmentierung des Kandidaten überprüft. (in Respekt für SL)

[UPDATE]

Oh Wunder! Man schaue sich mal diesen Artikel an.

Ob es technisch ein Lichtjahr-Sprung nach Vorne in der menschlich-technischen Entwicklung ist, sei mal dahingestellt, aber vielmehr interessiert doch hier die vielzählige Verzahnung dieser Technik! So zeigte sich das Internet zufällig aus der Ecke eines Labors um Spickzettel zu ersetzen, oder besser noch, sie durch eine gänzlich andere Sprache (HTML) zu ersetzen und die Vernetzung im Haus und über die Häuser hinweg zu ermöglichen. Protokolle entstehen, Kabel-Standards werden entwickelt, Geschäftsmodelle, Stromversorgung – auf der Suche nach einer Angebot-Nachfrage-Strategie um diese Technik, wie auch immer, gewinnbringend einzusetzen - alles dies gebiert auch einen neuen Willen: die Freiheit.

Eben nicht als Sklave dieser Technik und seinen Monster-Unternehmen zu verfallen, sahen sich einige in der Pflicht, eine Technik zu entwickeln, die über diesen Dingen, Strukturen und Entwicklungen stand. Wer jetzt gleich an Linus denkt, ist nicht ganz so abwegig, aber Minix als besseres Schulsystem zu entwickeln, weil das Geld für die Studiengebühren (anstelle einer Software von AT&T) herhalten muss ist noch nicht der Paulus der Freiheit den wir suchen.

Und so begab es sich an der Zeit…. das die GNU Foundation [1] zwar freie Tools aber kein Betriebssystem, und Linus ein OS aber keine Tools hatte. Weiterentwickelt wurde der ganze Spass über das Internet und heraus kam: Linux (oder eben GNU/Linux). Ein umfangreiches Modell um umfassend Freie Technik und Freiheit zu diskutieren…

Fassen wir zusammen: Mit der Entwicklung des Internets, kam Linux, fand die GNU-Foundation (als hehrer Vertreter der Freiheit) einen Teppich und damit folgten - nicht wie bei dem anderen OS aus Richmond – fragen, die dieser neuen Technik angemessen sind: Wenn alles Offen ist, wenn alles Wissen zentralisiert und ausgewertet werden kann, wenn einige ein Monopol haben: Was erhält oder wie erhalte ich meine Freiheit? Nun, seien wir ehrlich. Sollte jemand seine Daten in das Internet gestellt haben, ist er nicht mehr frei (von etwas) um über diese zu entscheiden. Wenn jemand einen Code schreibt, ist er mit Herausgabe des Quellcodes nicht mehr frei, ihn zurück zu ziehen. Und so finden sich selbst für den einfachsten Mitdenker zahlreiche Beispiele, in dem die Freiheit sein Ende findet.

Was aber, wenn wir alles unter der Absicht geschehen lassen, dass wir es in frei-er Absicht schaffen? Die Idealisten unter meinen Lesern werden gleich aufschreien: “JA, JA!” und ganz eifrig bestätigen, dass das Bewußtsein (der Freiheitsgedanke) das Sein bestimmt. Die Materialisten werden sich empören und es genau anders herum sehen – das Sein bestimmt das Bewußtsein – und mir erwidern, dass alles im Kapitalismus erzeugte, auch den kapitalistischen Gesetzen (der materiellen und geistigen Ausbeutung) unterliegt. Die Pragmatiker (Wahr ist was funktioniert!) werden sich zurücklehnen und darauf verweisen, dass sich Linux und der GNU-Gedanke (an freier Software) etabliert und z.B. die Lizenz-Diskussion hilfreich war. Also was nun? Was bedeutet nun “Freiheit” in Bezug auf unsere Technik und dem Arbeiten damit? Ist Freiheit geboren worden? Hat es sie nie gegeben? Können wir sie erobern oder befreien?

Ich werde mich hüten, die salomonische Antwort zu geben, den rhetorischen Schwertstreich, mit dem alles Beantwortet ist! Allerdings halte ich es für wichtig, solche Fragen zu betrachten! (Wenn wir nicht ganz die Lust am Internet – und seinen zunehmenden  (!) Reglementierungen – verlieren wollen.)

http://www.gnu.org/philosophy/philosophy.de.html

Erste Meldungen, dass Solarzellen aus biologischen Material hergestellt wurden, mögen ein kleiner Türöffner sein, auch die Entwicklung, biologische Zellen als Speichermedium zu benutzen ist ein relativer Schritt in die hier skizzierte Richtung – allerdings sind die Wege zur endgültigen Ablösung einer heutigen IT noch nicht wirklich greifbar.

Dampfmaschinen, Handys mit taschen-großen Akkus und selbst ein Telefon mit Wählscheibe ist irgendwann einmal abgelöst worden. Was löst die “mittelalterliche” IT mit Platinen, Prozessoren und vielen Edelmetallen ab? Schrauben und Netzteile (sogar noch mit Lüfter!) – Wo ist der Weg in eine IT, die sich dem Leben der Menschheit “organisch” anpaßt, ohne als Eisenklotz am Bein (mit Verdrahtung zu einer “Steckdose”!) zu wirken?

Scifi-Filme helfen da auch nicht weiter. Allen ernstes gibt es noch Scifi, bei denen im Raumschiff auf ein Knopf gedrückt werden muss, damit die Tür aufgeht. Gähn. Oder der berühmte Sauerstoffmangel: Mitten im Kampf zwischen Gut und Böse, zwischen zwei Sternen, gelingt es dem Bösen, dem Guten seinen Sauerstoff-Tank zu treffen! Das ist wirklich Scifi! (Übrigens: der Gute wurde natürlich in letzter Nano-Sekunde in das sichere Guten-Raumschiff gebeamt.) Sauerstofftanks. Päh. Kurz: Es muss eine IT geben, die gänzlich von der Biologischen Welt übernommen wurde. Warum sollte ich mich in der mündlichen Rede wiederholen, wenn alles als Wellen noch in der Luft ist oder an einen Sauerstoff-Molekül hängt und ich es mit einer Handbewegung nochmal er-schallen lassen kann? Warum sollte ich eine Email über eine Leitung schicken, wenn ein Molekül sowieso von Europa nach Amerika unterwegs ist? Tastaturen? Aber Bitte!!

Wie immer das Szenario der zukünftigen IT aussieht: Sobald darin Platinen, CPU’s und Netzteile vorkommen, haben wir etwas falsch gemacht.

Guckst Du hier und Link