Wie der Titel sagt, geht es darum, Java-Entwicklern Rails näher zu bringen. Allerdings braucht man nicht allzu viel Ahnung von Java Web-Technologien zu haben um das Buch zu mögen, mein bisschen HSR Internet-Technologienwissen hat bereits gereicht. Es werden also die verschiedenen Komponenten (ActiveRecord, ActionController und ActionView) und weitere interessante Aspekte (Testen, WebServices und Security) jeweils mit einer Java-Technologie verglichen. ActiveRecord beispielsweise mit Hibernate, welches wohl das bekannteste Java-Persistenz-Framework ist. Meistens wird ein kleines Beispiel in beiden Sprachen implementiert und dann verglichen und auf die Unterschiede hingewiesen. Es ist aber nicht so, dass Rails einfach in den Himmel gelobt wird, es werden durchaus auch kritische Blicke geworfen und auf Unzulänglichkeiten hingewiesen.

Was mir gut gefallen hat war, dass nicht nur Rails wie es besteht angeschaut wird, sondern auch mal ein Plug-in (acts_as_authenticated, Authorization) oder ein anderes Tool wie Cerberus als CruiseControl Gegenstück behandelt. Im Kapitel Security wird die OWASP Top Ten durchgegangen und es wird erläuert, was für Lösungen Rails hierfür anbietet.

Das ganze Buch ist also nicht eine Einführung in Rails von Null an, sondern mehr eine Betrachtung der Kompontenten und dann verglichen mit Java Gegenstücken. Für mich, der Rails nur oberflächlich kennt und auch nicht allzu viel Ahnung von all den Java Web-Dingen hat war es sehr interessant und eine gute Ergänzung zu Agile Web Development with Rails.

So, genug Werbung gemacht

Also, wie der Titel sagt geht es um Design-Patterns, die die Sicherheitsaspekte bei der Softwareentwicklung behandeln. Wie man erwartet, geht es bei vielen um Anwendungen im Web, es wurden Pattern für die Authentifizierung, Rechtevergabe- und Erzwingung als auch Pattern für die Architektur von Diensten, wie den Reverse Proxy, vorgestellt. In der für Prof. Sommerlad typischen Art wurden die Folien mit sehr viel Witz und vielen Beispielen untermalt, so dass die 90 Minuten sehr schnell vorüber waren. Die ganzen Folien gibts natürlich auch im Wiki.

Danach gings weiter zum sehr leckeren Apero, den ich so gut den SV gar nicht zugetraut hätte . Die meisten Anwesenden kannte man schon (Dozenten, Assistenten und Studenten) und ich habe sogar jemanden kennengelernt, der Interesse an unserer Diplomarbeit, da sie selber auch Ruby und Rails (natürlich RadRails) einsetzen. Es hat sich also schon gelohnt!

Alle die leider nicht kommen konnten können ja Mitglied bei SWEN werden (ist aber keine Bedingung!) und das nächste Mal vorbeikommen, ich werde bestimmt dort sein.

Soso, man soll also das Booten ab USB-Sticks im BIOS ausschalten um die Sicherheit zu erhöhen. Tönt super einfach, bringt aber absolut nichts, wenn man nicht auch das BIOS selbst mit einem Passwort schützt, man hält den Eindringling höchstens eine halbe Minute länger auf. Und dann ist man sicher? Wohl noch lange nicht, denn wenn schon müsste auch das Booten ab CD-ROM und Diskette verboten werden. Aber mal ehrlich, sobald jemand physischen Zugriff auf den Rechner hat nützt eigentlich nur eines wirklich, und zwar das verschlüsseln der Harddisk. Und das wäre wohl in den meisten Fällen etwas viel verlangt vom Durchschnittlichen RTL-Teletext Leser.

Tja, sobald ich dann aber einfach mal ohne Passwort anmelde, werde ich auf die “richtigere” Seite geleitet:

Ziemlich schräg, nicht?

Tsts.. und da soll ich auch noch meine Kreditkartendaten angeben? Nein Danke! Zum Glück stand als alternative auch noch Paypal zur Verfügung, was mir doch einiges sympathischer war.

Und ja, ich überprüfe grundsätzlich immer die Zertifikate wenn es um etwas schützenswertes geht.

Update

Hab mal ein bisschen gesnifft:

Mit den Standardeinstellungen bietet mein Konqueror folgendes an:

Und das wird dann ausgewählt:

Sobald ich alle “schwachen” Verschlüsselungen bei mir deaktiviere:

kommt folgendes zum Zug:

Und wenn ich das auch noch verbiete:

erhalte ich nur noch einen Timeout

Ich weiss allerdings nicht recht, was ich davon halten soll. Wenn ich mir vorstelle, dass ich jeden Empfänger so bestätigen müsste, nein danke! Andererseits ist es natürlich eine sehr effektive Methode gegen Spam, und hat daher sicher eine Berechtigung. Sehr anwenderfreundlich ist sie dennoch nicht.

Eine kurze Einführung um was es geht: AppArmor schützt das System und laufende Dienste, indem es Zugriffe auf Dateien und Systemressourcen überwacht und anhand von Profilen überprüft, ob der Dienst dazu berechtigt ist. So kann man zum Beispiel festlegen, dass Apache lesezugriff auf die HTML-Dokumente bekommt aber keine Möglichkeit hat, eine bash zu starten oder bestimmte Dateien zu überschreiben. Da sich AppArmor über die LSM-Schnittstelle an den Kernel anhängt, ist es nicht zu umgehen und sollte ziemlich sicher sein.
Wichtig ist nun natürlich, wie einfach das erstellen der Profile ist. AppArmor beinhaltet verschiedene Tools, welche einen Dienst überwachen und alle Zugriffe loggen und danach Eintrag für Eintrag mit dem Admin durchgehen und die Regeln dafür festlegen. Im oben genannten Video wird das mit Apache getan und es dauert nur einige Minuten.

Insgesamt sieht AppArmor sehr vielversprechend aus und könnte Linux zu noch mehr Sicherheit verhelfen. Sobald Ebuilds für Gentoo bereitstehen, werde ich das ganze wohl mal für meinen Server machen und natürlich darüber berichten.

Mehr Informationen zu AppArmor bei Novell und openSUSE.

Die Auswahl der Komponenten war relativ schnell getroffen, und zwar:

• VIA EPIA-PD6000E Mini-ITX 600 MHz, Dual LAN
• Morex 2677-W, Mini-ITX Gehäuse, grau
• 256MB RAM von Kingston
• Kingston 256MB Compact Flash Card
• CF-to-IDE-Adapter
• Eine Riser-Card und noch eine zusätzliche Netzwerkkarte

Ausgelegt sah das ganze dann so aus:

Der Zusammenbau war soweit auch keine Sache und ca. eine Stunde später sah das ganze so aus:

Danach gings ans installieren von IPCop, was etwas aufwändiger ist, wenn man eine Flash-Karte einsetzt. Das Problem ist, dass man auf die Flashkarte nicht allzu oft schreiben sollte, da sie das sonst nicht allzu lange überlebt. Bei IPCop funktioniert das nun so, dass man zuerst eine Installation auf einem anderen Medium macht und dann das ganze mit einem Script in ein Image für die Flash-Karte umwandelt. Das ganze tönt komplizierter als es ist, die Dokumentation von IPCop ist ziemlich gut.

Über das ziemliche komfortable Web-GUI kann man dann alles mögliche einrichten, wie z.B. DHCP-Server, DNS Proxy-Server, IDS, NTP-Server, VPN, Web-Proxy und auch so Dinge wie Traffic Shaping.

Als nächstes muss ich nun nur noch die Verkabelung etwas ändern und einige Port-Forwardings für Webserver und ssh einrichten und das wars dann schon.

Insgesamt hat mich das Projekt ca. einen ganzen Tag Arbeit gekostet, was sich aber sicher gelohnt hat, da ich nun eine sehr schöne und sichere Lösung für unser Netzwerk habe.