--------------------------------------------------------------------------------
 Diese Shownotes wurden automatisiert aus <https://pads.ccc.de/C3D2-Pentaradio>
 extrahiert, siehe <https://gitea.c3d2.de/xyrill/pentaradio-historic-shownotes>.
--------------------------------------------------------------------------------

## September 2014

\* NEWS NR \#1 Datenspuren ... die waren glaub ich
- Pentabug löten

\*
<http://www.golem.de/news/cloud-durchsuchung-microsoft-will-trotz-gerichtsbeschluss-keine-daten-hergeben-1408-108923.html>

\*
<http://www.heise.de/newsticker/meldung/Anwendervertrauen-in-die-Internet-Sicherheit-konsolidiert-sich-2389948.html>

\* Google und sichere Passwörter:
<http://www.golem.de/news/nach-kontodaten-veroeffentlichung-google-raeumt-nutzerdaten-und-passwoerter-auf-1409-109195.html>

\*
<http://www.heise.de/newsticker/meldung/NSA-Ausschuss-Opposition-will-Snowden-Befragung-in-Berlin-einklagen-2390344.html>

\*
<http://www.heise.de/newsticker/meldung/EU-Datenschutzreform-Arbeitnehmer-haben-das-Nachsehen-2390338.html>

\*
<http://www.heise.de/newsticker/meldung/EuGH-Bibliotheken-duerfen-Buecher-digitalisieren-2390212.html>

\*
<http://www.heise.de/newsticker/meldung/NSA-Ausschuss-fordert-von-Bundesregierung-mehr-Offenheit-2390236.html>

\*
<http://www.heise.de/newsticker/meldung/IT-Direktor-im-Innenministerium-wettert-gegen-Outsourcing-2390165.html>
Innenministerium verwendet FreieSoftware und OpenSource synonym - Sie
haben es nicht verstanden.

\* Apple Watch ist (bisher) ein sehr gut vermarkteter Witz - Nicht
einmal wasserdicht, trotz Induktionsladung und modularem Design ist auch
noch eine geringe Akkulaufzeit absehbar - die wirkliche Innivation ist
ApplePay für Nicht-Digitalgüter
<http://www.golem.de/news/nfc-apple-pay-koennte-sich-auszahlen-1409-109181.html>,
endlich etwas privatsphärefreundlicher digitales Bezahlen, leider nur
mit iPhone und bisher nur in den USA; dennoch: Cash bleibt Trumpf

\*
<http://www.btc-echo.de/paypal-tochter-braintree-bestaetigt-bitcoin-integration_2014090901/>
 Bitcoin: Braintree integriert derzeit für deinen Zahlungsdienst und
macht die Probe aud's Exempel für PayPal

\*
<http://www.heise.de/newsticker/meldung/Amazon-zieht-sich-aus-P2P-Geldtransfers-zurueck-2390386.html>

\* Juristisch komisch:
<http://www.golem.de/news/urteil-fremde-nackt-selfies-zumailen-ist-nicht-strafbar-1409-109198.html>

### NSA

\*
<http://www.heise.de/newsticker/meldung/NSA-Ueberwachungsskandal-Millionenstrafe-fuer-Yahoo-bei-Nicht-Herausgabe-von-Nutzerdaten-2390402.html>

(pentacast 48: Dateisysteme)

### Thema

Containerloesungen: {LXC, Docker, BSD-Jails, systemd-nspawn}

\* Was sind Container
\* Abgrenzung der Betriebsystemvirtualsierung von
Voll/Para-Virtualisierung (Virtualbox, VMware, KVM)

- Normale sytemcall Schnittstelle kann genutzt werden keine emulation
  oder virtuelle Maschine nötig wie bei Voll/Para - Virtualizierung

\* Vorteile: Leichtgewichtig und Schnell

- Leichtgewichtig und Schnell
- file-level copy on write

\* Nachteile:

- Gebunden an das Betriebsystem/Architektur

\* Anwendungsfälle:

- Desktopanwendungen isolieren
  (<https://www.stgraber.org/2014/02/09/lxc-1-0-gui-in-containers/> )
- Dienste auf einem Server von einander trennen, z.B. im HQ
- Ressourcen Verwaltung
- Migration (Load Balancing)

\* Containerlösungen:

- chroot
- Linux: lxc, docker, libvirt-lxc, systemd-nspawn(1), openvz
- Solaris: zones
- Freebsd: jails
- Windows: virtuosso

\* Technische Grundlagen Linux:

- Linux Namespaces (unshare syscall):
  - mount, UTS, network, SysV IPC, user
  - Kommandozeile: nsenter/unshare
  - <https://en.wikipedia.org/wiki/Cgroups#NAMESPACE-ISOLATION>
- Cgroups: <https://en.wikipedia.org/wiki/Cgroups>
  - Resourcenzuteilung (RAM, IO, CPU), Priorisierung, Accounting
  - CONFIG_CGROUP_FREEZER
- Seccomp (Chrome Sandbox, filtern von Syscalls)
  <https://en.wikipedia.org/wiki/Seccomp>
- chroot (pivot_root) <https://en.wikipedia.org/wiki/Chroot>
- Kernel capabilities (SYS_ADMIN, NET_ADMIN -\> Netzwerkadapter...)
  <http://linux.die.net/man/7/capabilities>
- Apparmor and SELinux

\* Freebsd: VIMAGE
\* Solaris: Crossbow
\* Apple App Sandboxing

\* Apple App-Sandboxing

- <https://developer.apple.com/app-sandboxing/>

\* chroot:

- Linuxinstallation, Debian Packetierung, bind

\* lxc:

- lxc-create -\> Templates für Distributionen
- Menge von Kommandozeilenprogramme zum Verwalten
- lxc-start/lxc-stop, lxc-attach/lxc-console
- lxc-clone (zfs/btrfs)
- /var/lib/lxc/C1/rootfs (backingstore)
- macvlan, bridge,...
- liblxc, Sprachbindings API
- Auch als Nutzer startbar, Isolierung von Desktopanwendungen
- eingesetzt bei uberspace.de
- unprivileged containers
- failover lxcs mit uCARP
- guter Blog: <https://www.stgraber.org/tag/containers/> (von lxc
  Entwickler)

\* docker:

- aus propritären Proktukt von dotcloud entstanden -\> 1. Release
- microservices: <http://martinfowler.com/articles/microservices.html>
- Dockerfile, Einzelne Shell-Befehle Schritt für Schritt ausgeführt -\>
  Snapshot basiert (btrfs, zfs, aufs, lvm thin provisioning) -\> docker
  images -t
- geschrieben in der Programmiersprache Go
- volatile Container -\> Data-Container
- Einzelne Container Netzwerkdienste können gelinkt werden -\>
  Umgebungsvariablen
- Entwicklerfreundlich: Testen auf dem eigenem System, Upload von Deltas
  (git für container)
- docker registry
- coreos (systemd, kein Packetmanager, etcd, fleetd, failover, service
  discovery)

\* jails:

- since FreeBSD 4.X / stable 5.X
- security police (global/local jail bezogen) sysctls
- license fuckup bei ezjail / qjail
- Ressourcenlimitierung (RCTL/RACCT)
- network alias konzept
- VIMAGE (virtualized network stack)
- if_bridge/if_epair entwicklung vs NetGraph vs OpenVSwitch (userland)
- TrueNAS / PC-BSD Entwicklungsabspaltung von Jails (pbi Warden
  (<http://wiki.pcbsd.org/index.php/Warden/10.0> ) )
- Massendeployment mit ZFS basierten Jails
- failover Jails mit CARP
- **Temporary epair MAC address fix**
  (<https://github.com/plitc/freebsd/commit/9215c5850ff562a44d0347fa03be60bd3cdd4b9c>
  )
- MAC (Mandatory Access Control)

\* systemd-nspawn:

- wird zum Entwickeln von systemd genutzt
- gelinktes journald
- socket-activation
- systemd-networkd (dhcp)
- nsswitch (mymachines) -\> Automatisch Host auflösen
- momentan noch nicht ausbruchsicher

\* Solaris Zones

- Crossbow (virtualized network stack)
- globale / nicht globale zones
- RessourcePool (Prozesspriorität/CPU Core Zuweisung)
- RBAC (Role-Based Access Control)
- sparse/whole/-root/branded zones

\* Ankündigung

- **Themenabend über Container im HQ vorraussichtlich 10.10**