Blog
Verschlüsseltes DNS selber machen
Seit einiger Zeit gibt es Bestrebungen, die Namensauflösung kryptographisch abzusichern. Dafür existiert auf der einen Seite mit DNSsec eine Technik, die eigene Zone zu signieren und so gefälschte DNS-Antworten zu verhindern. Auf der anderen Seite existieren mit DNS over TLS (DoT) und DNS over HTTPS (DoH) zwei Techniken, mit denen die Anfragen zwischen Client und Resolver verschlüsselt werden können. Standardmäßig funktioniert die Namensauflösung komplett unverschlüsselt und kann beispielsweise vom Internet Service Provider oder dem Betreiber eines öffentlichen WLANs mitgelesen oder sogar verändert werden. Mit der Verschlüsselung kann das Mitlesen von DNS-Abfragen auf der Netzwerkverbindung zwischen Client und Resolver verhindert werden, zwischen Resolver und Nameserver bleibt sie unverschlüsselt. Auf dieser Verbindung ist eine Zuordnung der Anfragen zu einem Client in der Regel nicht möglich, weiterhin können viele Anfragen direkt aus dem Resolver-Cache beantwortet werden. Meist sind es jedoch große Konzerne, welche die dafür nötigen Resolver zur Verfügung stellen. Damit wird das eigentlich dezentrale DNS letztendlich doch wieder an wenigen Stellen zentralisiert.
Das muss aber nicht sein, denn der Betrieb eines eigenen Resolvers für DoT und DoH ist möglich. Die folgende Anleitung zeigt, wie das geht.
Der Traefik Ingress Controller
Sollte man sich schon mal k3s, die kleine Kubernetes-Distribution von Rancher Labs, angeschaut oder allgemein in der Kubernetes-Dokumentation über die zusätzlichen Controller gestolpert sein, so wird man vielleicht schonmal “Traefik” gelesen haben und sich fragen: was ist das eigentlich?
Prozesse automatisieren mit Ansible
Wer schon wiederholt vor der Aufgabe gestanden hat, entweder ein und dieselbe Maschine mehrfach hintereinander oder mehrere Maschinen auf einmal einrichten zu müssen, der ist ziemlich schnell auf die Idee gekommen diesen Prozess mit Skripten zu automatisieren, um nicht x-fach dieselben Befehle händisch hintereinander ausführen zu müssen. Schon an diesem Punkt sind die sogenannten Konfigurationsmanagementsysteme mehr als hilfreich, denn gegenüber einfachen Skripten sind sie übersichtlicher, einfacher wartbar, geben Rückmeldung über den Erfolg oder Misserfolg und verhalten sich zudem idempotent. Wenn es allerdings darum geht, eine gesamte Umgebung automatisiert einzurichten, so sind sie ziemlich unabdingbar, denn ihre Aufgabe besteht darin, genau dies zu tun: Horizontal skalierbar Systeme und Systemlandschaften sicher einzurichten und zu verwalten.
Netzwerk-Probleme beim Upgrade auf Proxmox 7 vermeiden
Nach dem Upgrade von Proxmox 6 auf Proxmox 7 kommt es teilweise zu Problemen mit dem Netzwerk. Der Host ist in diesen Fällen nach dem abschließenden Reboot nicht mehr erreichbar. Eines dieser Probleme ist im Upgrade-Leitfaden von Proxmox beschrieben – einem anderen soll sich dieser Artikel widmen.
Best Practice Guide – SAP HANA
Mit SUSE Linux Enterprise Server for SAP Applications bietet SUSE ein für SAP Anwendungen optimiertes Betriebssystem, welches Unternehmen die Implementierung von produktiven SAP-Umgebungen im eigenen Rechenzentrum oder der Public Cloud erleichtert. Da diese SAP Anwendungen häufig produktionskritisch sind und Ausfälle unbedingt vermieden werden müssen, haben B1 Systems und SUSE einen Best Practice Guide erarbeitet, welcher mittels HANA/Pacemaker Cluster die Hochverfügbarkeit der kritischen SAP-Infrastruktur gewährleistet.
Der Guide: “SAP HANA System Replication Scale-Up – Cost Optimized Scenario” entstand auf Basis unserer Erfahrungen mit dem Betrieb diverser HANA Cloud Umgebungen bei der SAP AG und der Anforderung an entsprechend hohe Verfügbarkeit in der SAP Cloud für kritische SAP-Produktivumgebungen.
Happy Birthday Linux!
Heute vor 30 Jahren kündigte Linus Torvalds sein Projekt an: ein neues, freies Betriebssystem – “nur ein Hobby, es wird nicht so groß und professionell wie GNU”. Ein bisschen größer wurde es dann doch, nahezu ein “Weltherrscher”. Grund genug, heute an die Anfänge von Linux zu erinnern und dieses gigantische Projekt zu feiern:
Let’s-Encrypt-Zertifikate für interne Hosts
Viele Webseiten verwenden Zertifikate von Let’s Encrypt zur Absicherung des Datenverkehrs zwischen Benutzer und Server. Dies hat vor allem zwei Gründe: Zum einen sind diese Zertifikate kostenlos, zum anderen lässt sich die Erneuerung automatisieren, sodass abgelaufene...
Let me upgrade you! — BigBlueButton Version 2.3
Grob ein Jahr ist es her, dass ich an dieser Stelle über die Open Source Videokonferenzplattform BigBlueButton berichtete. Seit etwa einem Jahr haben auch wir bei B1 Systems durch unsere öffentliche Instanz b1@home viele positive Erfahrungen gesammelt sowie positive Rückmeldungen bei stetig wachsenden Nutzerzahlen bekommen. Ein Jahr ist vergangen, in dem Videokonferenzen für viele Menschen zum festen Bestandteil des Alltag geworden sind. Seitdem hat sich viel getan.
Pi-KVM nutzen
Hersteller von Server-Hardware haben unterschiedliche Lösungen, um remote, also ohne Monitor und Tastatur, auf ihre Server zugreifen zu können. Entweder man entscheidet sich für solch einen Hersteller, oder man hat einen „Wildwuchs“ an Hardware und somit unterschiedliche Arten des Remote-Zugriffs. In diese Bresche will Pi-KVM zwar nicht schlagen – aber es ist damit möglich, zur initialen Installation und Einrichtung eine „moderne“ und einheitliche Oberfläche zu nutzen. Weiterhin kann es auf postalischem Weg zu einem Kunden versendet werden und so ohne großen Aufwand Zugriff auf die Remotekonsole bieten.
