LRZ-Mitteilungen Juni 1998

Verteiler für dieses Rundschreiben

Diese Mitteilungen sind im Benutzerarbeitsraum und in der Anmeldung im LRZ-Gebäude sowie an den Außenstationen des LRZ erhältlich und über

abrufbar. Diese Mitteilungen werden auch an alle Lehrstühle der Münchner Hochschulen sowie an alle anderen bayerischen Hochschulen versandt. Übersichten über die Netzbenutzung am LRZ sind über

erhältlich.

---

Einige wichtige Telefonnummern:

LRZ-Hotline: für alleFragen	(089) 289-28800
LRZ-Anmeldung (Benutzersekretariat)	(089) 289-28784 und (089)  289-28886
	Telefax: (089) 289-28761

---

Herausgeber:

Anschrift:

Redaktion:

Termine, Veranstaltungen, Allgemeines

Termine

Weitere Informationen finden Sie in den Beiträgen der vorliegenden Mitteilungen.

15.06.98 Apple-Technologietag an der Technischen Universität München
18.06.98 LRZ-Personalversammlung
01.07.98 Benutzerdiskussion
02.07.98 Veranstaltung Volumenvisualisierung mit den Produkten der Volume Graphics GmbH
06.07.98 Änderung der System-Prologe an LRZ-Unix-Systemen, siehe Beitrag Sicherheitsaspekte des UNIX-Path in diesen LRZ-Mitteilungen
Oktober 98 Informationsveranstaltung "Verteilte Anwendungen" der Firma Inprise (Borland)

Beachten Sie bitte auch unser aktuelles Kursangebot! Siehe dazu die LRZ-Mitteilungen Nr. 1/1998 vom Januar 1998 bzw. http://www.lrz-muenchen.de/services/schulung/kurse_ss1998/

Benutzerdiskussion

Die nächste Benutzerdiskussion über Fragen des Betriebs, der Dienstleistungen und die allgemeine Entwicklung des Rechenzentrums findet statt:

Wir bitten unsere Benutzer, von diesem Angebot, das Gelegenheit zur direkten Diskussion mit den zuständigen LRZ-Mitarbeitern bietet, regen Gebrauch zu machen.

Personalversammlung

Wegen einer Personalversammlung der Beschäftigten des Leibniz-Rechenzentrums werden am

die Beratung und das Benutzersekretariat geschlossen und Mitarbeiter des LRZ nicht erreichbar sein. Die Zugänglichkeit zu den Rechnern und Arbeitsräumen wird dabei jedoch nicht eingeschränkt. Die Hotline ist in dieser Zeit mit einem "Notdienst" besetzt. Wir bitten um Ihr Verständnis.

LRZ-Kurs MS-Excel fällt aus

Der für das Sommersemester angekündigte Kurs Einführung in MS-Excel 7.0 kann wegen personeller Engpässe leider nicht abgehalten werden. Er wird ab Wintersemester 1998/99 wieder regelmäßig stattfinden.

Apple Technologietag an der Technischen Universität München

Am 15. Juni 1998, von 17:00 - 20:00 Uhr veranstaltet Apple Computer an der Technischen Universität München im Hörsaal N1070 einen Technologietag. Dieser hat zum Ziel, Apple-Anwender und -Interessierte gleich im Anschluß an die weltweite Entwicklerkonferenz in Kalifornien aktuell über die neuesten Technologie-Trends zu informieren. Inhalte werden sein:

• Aktuelles zur Systemstrategie
• Multimedia-Technologie
• Crossplattform-Software-Entwicklung

Eine genaue Agenda gibt es nach der weltweiten Entwicklerkonferenz in USA (11.-15. Mai 1998). Anmeldungen zu diesem Technologietag können an  edu.de@euro.apple.com gesandt werden.

Informationsveranstaltung: Volumenvisualisierung mit den Produkten der Volume Graphics GmbH

Die Darstellung von dreidimensionalen Datensätzen, die durch Simulationsrechnungen oder Messungen gewonnen werden, kann im Rahmen der wissenschaftlichen Datenvisualisierung auf vielfältige Art und Weise erfolgen. Vorherrschend werden dabei Methoden verwendet, die aus dem Datensatz Informationen extrahieren und in ein geometrisches Objekt umsetzen, wobei es sich dabei fast immer um Flächen handelt – man denke nur an Isoflächen oder Schnittebenen durch ein Modell. Solche Flächen werden durch Polygone repräsentiert und sind in dieser Form für eine Reihe von Standardverfahren (für die es oft hardware-basierte Beschleunigung gibt) gut handhabbar. Bei diesen Verfahren beschränkt man sich aber auf Datenpunkte mit ausgewählten Eigenschaften und läßt alle Daten außerhalb der betrachteten Fläche einfach weg.

Abbildung 1

Im Gegensatz dazu erzeugen Methoden der Volumenvisualisierung Bilder, die den gesamten Datensatz mit einbeziehen und nicht den Umweg über eine Flächendarstellung gehen. Man stelle sich einen Datensatz als Ansammlung von Volumenelementen (sog. Voxel) vor, die unterschiedlich gefärbt und mehr oder weniger transparent sein können. Durch die Transparenz wird Einsicht in den Datensatz gewährt und ein Erfassen der Gesamtstruktur erleichtert. Eine geeignete Setzung von Transparenz- und Farbwerten zu treffen, so daß ein aussagekräftiges Bild erzeugt wird, erfordert dabei durchaus gewisse Übung. Die Volumenvisualisierung findet Anwendung in verschiedenen wissenschaftlichen Disziplinen – z.B. dort, wo das nicht direkt zugängliche Innere eines Volumens erforscht werden soll (Strukturen im menschlichen Gehirn, Innenaufbau von nicht zerlegbaren Apparaturen etc.). Sie steht dabei oft in engem Zusammenhang mit der Rekonstruktion von Serienschnitten. Mögliche Anwendungsgebiete sind daher Medizin (siehe Abbildung 2, die aus einem Tomographie-Datensatz gewonnen wurde), Materialforschung (z.B. Qualitätskontrolle), Ingenieurwissenschaften und Physik ("Reverse Engineering"), Chemie, Biologie (z.B. konfokale Lasermikroskopie) usw. Einige der im LRZ verfügbaren Softwarepakete beinhalten bereits Möglichkeiten zur Volumenvisualisierung, genügen aber nicht immer den Anforderungen von Benutzern, die speziell an Volumendarstellungstechniken interessiert sind. Ein Anbieter von Spezialsoftware in diesem Bereich ist die Firma Volume Graphics GmbH, die im Rahmen einer Informationsveranstaltung im LRZ ihre Produkte (die Entwicklungsbibliothek VGL und die interaktive Tool-Familie VGInsight) vorstellen wird. Anhand von Anwendungsbeispielen aus verschiedenen Fachgebieten sollen die Einsatzmöglichkeiten demonstriert werden. Sollten Sie Interesse haben, die Anwendbarkeit von Volume Graphics-Software auf eigene Datensätze zu testen, setzen Sie sich bitte rechtzeitig vor der Veranstaltung mit dem LRZ in Verbindung. Volumendaten, die als "raw data" vorliegen (d.h. sequentiell in einer Datei abgespeichert sind, ohne zusätzliche Information) und vom Typ Byte oder 16-Bit Unsigned Integer sind, sollten einfach einzulesen sein und können eventuell in die Demonstration mit einbezogen werden.

Abbildung 2

Über die Firma Volume Graphics GmbH und ihr Angebot kann man sich vorab informieren über  http://www.volumegraphics.com. Wir erhoffen uns durch diese Veranstaltung Aufschluß darüber, wie groß das Interesse an diesem Spezialgebiet der Visualisierung ist, und ob hier Versorgungslücken im Software-Bereich bestehen. Um eine Anmeldung per Email an mich wird gebeten

Informationsveranstaltung zum Thema "Verteilte Anwendungen" der Firma Inprise (Borland)

Die Firma Borland, bekannt vor allem durch Compiler und Entwicklungstools im PC-Bereich, will ihr Augenmerk verstärkt auf den Bereich der Entwicklung unternehmensweiter verteilter Anwendungen richten, was sich nicht zuletzt in der jüngst stattgefundenen Namensänderung in Inprise (Integrating the Enterprise) dokumentiert. Auch die bereits seit einiger Zeit angekündigte Delphi Roadshow wird unter diesem Aspekt stehen. Auch am Leibniz-Rechenzentrum wird es im Rahmen dieser Roadshow eine Veranstaltung zum Thema "Entwicklung verteilter Anwendungen" geben. Geplant hierfür ist ein Termin im Oktober diesen Jahres.

Geplante Agenda:
10.00 - 10.45 Uhr: Grundlagen und Beispiele für verteilte Anwendungen
11.00 - 12.00 Uhr: Die Grundlagen und Unterschiede von DCE, DCOM (COM+) und CORBA
12.00 - 12.30 Uhr: Eine Übersicht: die MIDAS Technologie
14.00 - 14.45 Uhr: Entwicklung verteilter Anwendungen für DCE mit Hilfe von ENTERA 4 und Delphi 4
15.00 - 15.45 Uhr: Entwicklung verteilter Anwendungen mit Delphi 4 auf Basis von DCOM bzw. COM+
16.00 - 16.45 Uhr: Entwicklung verteilter Anwendungen mit Delphi 4 und CORBA
 
Die Firma hat uns ausdrücklich versichert, daß es sich um eine technisch orientierte Veranstaltung handelt und die Vortragenden Fachleute sein werden. Alle weiteren Einzelheiten, insbesondere den genauen Termin, werden wir auf unseren Webseiten unter der Rubrik "Brandaktuell" bekanntgeben (http://www.lrz.de/)

Stellenangebote

Das Leibniz-Rechenzentrum (LRZ) der Bayerischen Akademie der Wissenschaften ist das regionale Rechenzentrum für alle Hochschulen Münchens, bayerisches Hochleistungsrechenzentrum und Betreiber des Münchner Hochschulnetzes.

Stellenangebot der Abteilung Rechensysteme

Wissenschaftliche(r) Mitarbeiter(in) für den Aufbau von DCE/DFS unter Unix und NT gesucht Gesucht wird für die Abteilung Rechensysteme zum baldmöglichsten Zeitpunkt

Aufgabengebiet:
Aufbau eines verteilten Filesystems auf der Basis von DCE/DFS von "The Open Group", ein System verteilter Fileserver für eine sehr große Anzahl heterogener Clients. Zur Zeit setzt das LRZ das verteilte Filesystem AFS (Andrew File System) ein. AFS soll durch DCE/DFS (Distributed Computing Environment/Distributed File Services) ersetzt werden. In dem dafür verantwortlichen Team wird ein(e) vierte(r) Mitarbeiter(in) gesucht, die(der) Initiative und Zielstrebigkeit mit Phantasie und Teamgeist vereint. Im Bereich der neuen, zukunftsorientierten Technologie DCE/DFS ergeben sich eine Reihe interessanter, herausfordernder Aufgaben:

• Installation und Konfiguration einer DCE-Produktionszelle im LRZ-Netz
• Planung und Durchführung der Migration von AFS nach DFS im Bereich der vernetzten Unix-Workstations
• Anbindung der PC-Welt (NT, Win95) an DCE
• Einbindung unserer Hochleistungsrechner in DCE
• Anbindung von DFS an das Archiv- und Backupsystem des LRZ (ADSM)
• Evaluierung und Einsatz von DCE-Management-Werkzeugen
• Untersuchungen des Datendurchsatzes von DCE bei verschiedenen Netztechnologien

Praktische Erfahrungen in einem oder mehreren der folgenden Gebiete sind von Vorteil:

• Unix-Betriebsysteme
• Netz- und Client-Server-Konzepte
• DCE (Distributed Computing Environment)
• AFS (Andrew File System)
• ADSM (Adstar Distributed Storage Manager)

Die Anstellung erfolgt nach BAT. Die Stelle ist vorerst auf zwei Jahre befristet. Schwerbehinderte werden bei gleicher Eignung bevorzugt. Interessenten wenden sich bitte zu einer ersten Kontaktaufnahme oder für nähere Auskünfte an:

oder

oder

Schriftliche Bewerbungen mit den üblichen Unterlagen sind zu richten an:

 

Stellenangebot der Abteilung Kommunikationsnetze

Wissenschaftliche Mitarbeiter(innen) für den Aufbau des Gigabit Testbed Süd

Gesucht werden für die Abteilung Kommunikationsnetze zum baldmöglichsten Zeitpunkt

Aufgabengebiet:
Für das vom DFN-Verein (Verein Deutsches Forschungsnetz) geförderte Pilotprojekt Gigabit Testbed Süd zum Aufbau einer Gigabit-Infrastruktur im Münchner Einzugsgebiet und zwischen den Standorten München, Erlangen (zukünftig auch Berlin) soll hier

• Unterstützung bei Planung und Aufbau des Gigabit-Testbeds Süd, Test von neuester Netzwerktechnologie (Switches, Router, Software),
• Betreuung von innovativen Benutzerprojekten aus dem Bereich Metacomputing, medizinische Bildbearbeitung sowie Bildverarbeitung und Erstellung und Verteilung Multimedia-basierter Lehrangebote

geleistet werden.

Qualifikationen:
Abgeschlossenes Universitätsstudium, Diplom in Informatik oder Mathematik bzw. auch Ingenieurwissenschaften mit Nebenfach Informatik. Darüberhinaus sollte der (die) Bewerber(in) über (Teil)-Kenntnisse in den Bereichen

• IP, ATM, Gigabit Ethernet
• Switching, Routing
• digitale Bildverarbeitung, Audio-Video Codecs
• UNIX, C, Perl

verfügen. Von den Bewerbern werden Teamfähigkeit und die Bereitschaft zur Aneignung fehlender Kenntnisse auf dem zukünftigen Arbeitsgebiet erwartet. Nähere Informationen zu den Gigabit-Testbed Projekten des DFN finden sich unter

Die Anstellung erfolgt nach BAT im Rahmen des vom Verein Deutsches Forschungsnetz (DFN) geförderten Pilotprojektes. Die Stelle ist vorerst auf zwei Jahre befristet. Schwerbehinderte werden bei gleicher Eignung bevorzugt. Interessenten wenden sich bitte zu einer ersten Kontaktaufnahme oder für nähere Auskünfte an:

oder

Schriftliche Bewerbungen mit den üblichen Unterlagen sind zu richten an:

Stellenangebot der Abteilung Benutzerbetreuung

Studentische Hilfskraft für Hochleistungsrechnen Für die Gruppe Hochleistungsrechnen wird baldmöglichst

für folgende Aufgabengebiete gesucht:

• Installation und Pflege von Softwarepaketen aus den Bereichen Finite-Elemente, Chemie und Fluiddynamik
• Installation und Pflege von Programmen an den Hochleistungsrechnern (Cray T90, IBM SP2, Fujitsu VPP)
• Mithilfe bei Erstellung von Kursunterlagen und Dokumentation

Idealerweise sollte der Bewerber Grundkenntnisse auf einem der obigen Gebiete besitzen. Das Stellenangebot richtet sich ausdrücklich nicht nur an Informatikstudenten, sondern auch an Studenten der Ingenieur- und Naturwissenschaften (z.B. Chemie oder Physik), die entsprechende Kenntnisse besitzen. Wichtige Voraussetzungen für diese Aufgaben sind:

• gute Kenntnisse der UNIX Benutzeroberfläche
• Grundkenntnisse in C und/oder Fortran

Die Arbeitszeit kann flexibel gewählt werden. Ein Großteil der Arbeit kann auch außerhalb des LRZ-Gebäudes erledigt werden. Die Bezahlung erfolgt auf Stundenbasis. Es ist an eine längerfristige Zusammenarbeit gedacht. Interessenten wenden sich bitte zu einer ersten Kontaktaufnahme und für nähere Auskünfte an:

Landes- Campus- und Sammellizenzen

Neues bei Microsoft-Select

Im Rahmen des Select-Vertrages mit Microsoft erworbene Lizenzen dürfen unter bestimmten Bedingungen auch auf einem tragbaren Computer oder einem häuslichen PC genutzt werden. Für welches Produkt in welcher Version welche Zweitnutzung zulässig ist, ergibt sich aus den sogenannten Produktbenutzungsrechten.

Diese Produktbenutzungsrechte hat Microsoft nun für einige Produkte geändert, und zwar für FrontPage, Office, Office Professional, Project und Publisher. Diese fünf Produkte dürfen ab sofort auch entweder auf einem tragbaren Computer oder einem häuslichen PC genutzt werden. Dies gilt ab sofort unabhängig von der Versionsnummer und dem Zeitpunkt des Erwerbs der jeweiligen Lizenzen, also für alle im Rahmen von Select, auch in der Vergangenheit erworbenen Lizenzen. Die übrigen Bedingungen bleiben unberührt, insbesondere ist der Einsatz der Software nur für dienstliche Zwecke zulässig, und diese muß nach Ablauf dieses Select-Vertrages wieder von dem tragbaren oder häuslichen PC gelöscht werden. Die Regelung gilt nach wie vor für den "hauptsächlichen Benutzer" eines PCs. Studenten kommen nach wie vor nicht in den Genuß dieser Regelung.Einzelheiten zu den Produktbenutzungsrechten vor allem anderer Produkte erfragen Sie bitte direkt bei Microsoft:

SPSS

Änderung der Lizenzvereinbarung bezüglich Macintosh- und DOS-Plattformen
Seit längerer Zeit sind die Macintosh- und DOS-Versionen des Statistikpakets SPSS Teil der LRZ-Mehrfachlizenzierung. Diese seit längerer Zeit von SPSS GmbH nicht mehr aktualisierten Versionen werden von einer verschwindend kleinen Anzahl LRZ-Benutzer benötigt und aus diesem Grund aus der formalen Lizenzierung entfernt.Das LRZ hat aber für die Benutzer, die diese Versionen doch noch benötigen, eine Sonderregelung mit SPSS GmbH vereinbart: Nach einer einmaligen Zahlung von DM 100 dürfen Lizenzteilnehmer diese Versionen ohne zeitliche Begrenzung benutzen. Benutzer, die eine bis Juni 1998 gültige Lizenz besitzen, können durch Vorlage des gelben Durchschlags des LRZ-Formulars S7-2 Überlassung von Lizenz-Software für Arbeitsplatzrechner die unbegrenzte Code-Nummer vom LRZ-Benutzersekretariat erhalten.

Data Entry Builder
SPSS Data Entry ist ein Werkzeug zum Design von Fragebögen sowie für Datenerfassung auf der Basis dieser Bögen. Gedruckte und Online-Versionen solcher Bögen können erzeugt und eingesetzt werden. Logische Bedingungen, die unter anderem schon bei der Eingabe die Qualität der Daten überwachen, können definiert werden. Gleichzeitig mit dem Entwurf des Fragebogens werden auch alle Informationen, die das Statistikpaket SPSS benötigt, automatisch erzeugt: Data-Entry- und SPSS-Dateien sind gegenseitig voll kompatibel.

Der Data Entry Builder ist ein eigenständiges Paket, das ab sofort im Rahmen der SPSS-Lizenzierung von berechtigten LRZ-Benutzern benutzt werden darf. Siehe:

Das Paket ist auf CD oder Disketten verfügbar und benötigt die Windows/95- oder Windows/NT-Umgebung.

Das Einarbeiten in das Paket wird gut durch die englischsprachige Dokumentation und ein Online-Tutorial unterstützt. Data Entry wird auch im Rahmen des LRZ-Kurses Einführung in SPSS für Windows kurz vorgestellt: Siehe

Rahmenvertrag mit Corel

Im Dezember 1993 schloß das Leibniz-Rechenzentrum mit der Firma WordPerfect Deutschland GmbH einen Vertrag, der Hochschulen in Südbayern den günstigen Bezug von WordPerfect-Produkten im Rahmen des CAP-Programmes ermöglichte. Im Frühjahr 1994 wurde WordPerfect von Novell übernommen und ca. zweieinhalb Jahre später an Corel weiterverkauft.

Das Leibniz-Rechenzentrum hat nun in Nachfolge des seinerzeitigen CAP-Vertrages einen CLPUVI-Vertrag (Corel Lizenzprogramm Universal-Vertrag für Institutionen) mit Corel abgeschlossen, der zunächst bis Ende 1999 läuft. Die Unterschrift seitens Corel aus Canada steht zwar immer noch aus, es handelt sich dabei jedoch nur um eine Formsache (unser Handelspartner hat bereits eine Vertragsnummer für uns erhalten).

Der neue Vertrag bringt einige Änderungen gegenüber dem alten CAP-Vertrag mit sich. Dies betrifft zum einen das Produktspektrum (auch die klassischen Corel-Produkte können jetzt im Rahmen des CLPUVI-Vertrages erworben werden), zum anderen können Mitarbeiter keine eigenen Lizenzen mehr im Rahmen des CLPUVI-Vertrages erwerben, sondern sind, wie die Studenten auch, auf Schulversionen, die der Fachhandel anbietet, angewiesen. Concurrent Use, Sprach- und Plattformwechsel bleiben auch unter dem neuen Vertrag erhalten.

Für bereits bestehende Lizenzen des alten CAP-Vertrages kann (vorerst) noch Wartung (d.h. Update-Recht) erworben werden. Dies gilt auch für anderweitig erworbene Lizenzen einiger weiterer Produkte.

Dies sind lediglich die wichtigsten Anmerkungen zu diesem neuen Vertrag, aber nicht die einzigen. Für die ausführlichen Erläuterungen darf ich Sie auf unsere WWW-Seiten verweisen:

Kommunikation, Netzwerke

Neuer Einwählserver der Deutschen Telekom in Betrieb

Unter der Rufnummer 089-28999005 ist jetzt ein weiterer Einwählserver für zunächst 150 Modem- und ISDN-Verbindungen in Betrieb. Gleichzeitig gibt es ein günstiges Angebot der Telekom für die Einrichtung neuer ISDN-Anschlüsse. Zwei der dabei angebotenen ISDN-Komponenten wurden am LRZ bereits getestet.

Neue Zugangsnummer 28999005
Wie bereits in den letzten Mitteilungen vom April 1998 angekündigt, hat das LRZ mit der Deutschen Telekom einen Vertrag über die Stellung eines Einwahlservers und die Förderung von neuen ISDN-Anschlüssen für Angehörige und Studenten der Münchner Hochschulen geschlossen. Der Server Ascend Max TNT ist jetzt installiert: Unter der Rufnummer 089-28999005 können ihn alle nutzen, die eine Kennung für die bisherigen Zugänge besitzen. Es stehen vorerst 150 Kanäle zur Verfügung, die alle sowohl analog (V.90, K56flex, V.34 usw.) als auch per ISDN nutzbar sind. Ende Juni 1998 wird die Anzahl auf 240 steigen. Darüber hinaus ist im Vertrag geregelt, daß die Telekom beim Eintreten von längeren Belegtzeiten die Anzahl der Zugänge aufrüsten wird. Die Konfiguration des Zugangs entspricht im wesentlichen derjenigen unter der Nummer 2881010, insbesondere gibt es keine Beschränkung der Sitzungszeit. Bitte ändern Sie in Ihrer Anwahl-Konfiguration die Rufnummer auf die 28999005, da diese zur Zeit weitaus die meisten freien Kanäle aufweist. Ansonsten sollte keine Konfigurationsänderung auf der Seite der Nutzersysteme nötig sein.

Die nächsten Wochen sind als Testbetrieb anzusehen, wobei möglicherweise noch nicht alles optimal laufen wird. Bitte teilen Sie uns Ihre Erfahrungen in der Newsgruppe lrz.netz oder per Email an hotline@lrz.de  mit.

Überregional zum Ortstarif in Kürze
Die Nummer 28999005 ist eine normale Nummer im Münchner Ortsnetz. Eine Spezialnummer, für die auch überregional der Ortstarif gilt, soll es in einigen Wochen geben. Damit werden Sie also unsere Zugänge etwa von Ingolstadt oder Augsburg aus zum Ortstarif erreichen.

Standard V.90 an neuer Zugangsnummer vorhanden Seit Anfang Juni ist bei den Modemzugängen der neuen Zugangsnummer 28999005 der V.90 Standard für 56 Kbit/s vorhanden. Die Modemzugänge der Zugangsnummern 2881010 und 289-27777 werden in etwa vier Wochen mit diesem Standard ausgerüstet.

ISDN-Förderangebot
Für alle Mitarbeiter und Studenten der Münchner Hochschulen bietet die Telekom ein günstiges Angebot bei der Neueinrichtung eines ISDN-Anschlusses an. Es wird die Einrichtungsgebühr von DM 100,87 erstattet, darüber hinaus werden ISDN-Geräte angeboten, die gegenüber den Preisen im Telekom-Laden um etwa DM 150.- reduziert sind. Die Informationsbroschüre Mit ISDN in die Uni inklusive eines Bestellformulars erhalten Sie im LRZ-Benutzersekretariat (Barer Str. 21, Eingangshalle), im RZ der Fachhochschule München und in der Datenverarbeitungsstelle in Weihenstephan. Online ist die Broschüre unter der Adresse

abrufbar. Fragen zu ISDN und dem ISDN-Geräte-Angebot sollten Sie direkt an die Telekom unter der Nummer 0800 3306798 (Free Call) stellen.

Erste Testergebnisse der angebotenen ISDN-Geräte
Die in der Broschüre angebotenen ISDN-Geräte werden bundesweit angeboten. Auf die Auswahl hatte das LRZ keinen Einfluß. Ob die zur "AVM Fritzcard" baugleiche ISDN-PC-Karte "Teledat 150" angeboten werden wird, ist noch nicht sicher.

Bisher gibt es die "Teledat 100"-Karte (ISA-Bus), welche der "Speed Win" der Firma Sedlbauer entspricht.

Treiber werden nur für Windows 3.x und Windows 95 von der Telekom mitgeliefert. Aktuelle Treiber, auch für Windows NT, können vom WWW-Server der Firma Sedlbauer

geladen werden. Das LRZ wird sich bemühen, aktuelle Treiber der Karte auf Datenträgern zur Verfügung zu stellen. Mit der neuesten Version von S.u.S.E.-Linux ist auch die "Teledat 100"-Karte betreibbar. Informationen hierzu ebenfalls im WWW-Server der Firma Sedlbauer.

Die Installation der "Teledat 100"-Karte unter Windows 95 ist relativ einfach. Zu beachten ist jedoch, daß für den Zugang zu den Wähleingängen des LRZ der NDIS-WAN-Treiber zusätzlich zu installieren ist. Dieser ist auf der Internet-CD des LRZ enthalten. Der Erscheinungstermin für diese CD wird auf unserer Homepage

 http://www.lrz-muenchen.de

unter "Brandaktuell" bekanntgegeben.

Der Datendurchsatz bei Verbindungen zu unseren Servern entspricht dem anderer Karten (z.B. 7,5 Kbyte/s mit der Fritzcard). Das ursprünglich publizierte häufige Stocken beim Arbeiten mit dieser Karte war auf das mitgelieferte sechs Meter lange Kabel zwischen PC und Telefonsteckdose zurückzuführen. In der Testumgebung im Netzgerätebereich des LRZ war dieses Kabel vielen Einstrahlstörungen unterworfen. Mit einem 2 Meter langen Kabel traten die Unterbrechungen nicht mehr auf. Im häuslichen Bereich dürften solche Einstrahlungen nicht vorhanden sein.

Der externe ISDN-Adapter Eumex 302 PC (Hersteller AVM) funktionierte bei den Tests einwandfrei. Treiber gibt es allerdings nur für Windows 95, die Kanalbündelung wird dabei noch nicht unterstützt. Treiber für Windows NT wird es voraussichtlich im Herbst geben, für andere Systeme ist keine Unterstützung geplant. Die erzielbare Übertragungsrate liegt hier bei ca. 7,6 Kbyte/s. Das Gerät wird nicht wie andere Produkte vom PC aus wie ein Modem angesprochen, sondern über eine Emulation der sogenannten CAPI-Schnittstelle durch einen Software-Treiber wie eine ISDN-Karte behandelt. Dadurch lassen sich Programme, die für ISDN-Karten geschrieben sind, auch über diesen Adapter benutzen.

Über neue Erkenntnisse werden wir Sie umgehend über die Newsgruppe lrz.netz  und unter Brandaktuell auf unserem WWW-Server http://www.lrz.de informieren.

Informationen über den Netzzustand im WWW

Informationen zum aktuellen Netzzustand des Münchner Hochschulnetzes (MHN) sollen langfristig im WWW verfügbar gemacht werden. Als erste Informationen können die Auslastung der Einwahlrechner und des B-Win-Zugangs aktuell abgerufen werden.

Unter der Adresse

können ab sofort Informationen zum aktuellen Netzzustand abgerufen werden. Derzeit werden die Auslastungen der Einwahlrechner des LRZ und exemplarisch die des B-Win-Anschlusses aufgelistet. Ziel ist es, sämtliche Backbone-Router des Münchner Hochschulnetzes zu erfassen und damit aktuelle Auslastungsstatistiken der einzelnen Standorte zu gewinnen. Die Statistiken werden in 5-Minuten-Intervallen erfaßt und grafisch aufbereitet im WWW dargestellt. Verwendet wird dazu das Programm MRTG, das die Möglichkeit von Tages-, Wochen- und Monatsstatistiken bietet.

An der Auslastungsstatistik des neuen Telekom-Einwahlrechners, der seit Anfang Mai 1998 unter der Rufnummer 089/28999005 in Betrieb ist, kann man z.B. deutlich die ansteigende Anzahl von Nutzern in den Abendstunden erkennen. Die obere Linie stellt dabei die Gesamtauslastung (ISDN und Modem-Leitungen), die untere die anlogen Leitungen dar. Bei 150 möglichen Verbindungen bietet damit der neue Einwahlrechner noch ausreichend freie Kapazitäten. Demgegenüber erkennt man an den "alten" Modemzugängen, Rufnummer 089/2881010 und 089/2881090, daß trotz der stark gestiegenen Anzahl von Zugängen in den Abendstunden von 21:00 bis 1:00 Uhr fast alle Zugänge belegt sind. Weitere Informationen sind bei mir erhältlich.

Störung des zentralen Mail-Relays des LRZ durch SPAM-Mails

Zwischen dem 15. und 19. Mai 1998 war das zentrale Mail-Relay (mailout.lrz-muenchen.de) des LRZ über Stunden hinweg gestört. Grund hierfür war eine Überflutung mit SPAM-Mails (unerwünschte kommerzielle Werbemails etc.). Das Mail-Relay nahm von Rechnern aus dem Münchner Hochschulnetz keine Mails an und leitete auch keine Mails weiter. Die Gründe hierfür und zukünftige Maßnahmen werden im weiteren erläutert.

Das zentrale Mail-Relay

des LRZ wird von vielen Rechnern im MHN als "Forwarder" (Weiterleitungsrechner) benutzt. D.h. diese Rechner senden ihre Mails nicht selbst an die verschiedensten Rechner im Internet, sondern schicken alle abgehenden Mails an das zentrale Mail-Relay des LRZ. Dieses kümmert sich um die weitere Versendung und lagert Mails bei Bedarf zwischen, wenn diese z.B. nicht sofort weitergeleitet werden können. Ebenso werden alle eingehenden Mails für die LRZ-Rechner zuerst über das Mail-Relay geleitet. Dies ist ein Service des LRZ für seine Kunden im MHN.

Sie fragen sich sicher, wie diese Störung vorkommen konnte und warum wir denn diesen wichtigen Rechner nicht so konfiguriert haben, daß bei einer Überflutung mit SPAM-Mails diese erst gar nicht angenommen werden (SPAM-RELAY-Blocking).

Viele Rechner im MHN, die das Mail-Relay des LRZ nützen, können für das Versenden von SPAM-Mails durch externe Nutzer mißbraucht werden. Siehe hierzu der Artikel "Mißbrauch von Rechnern im Münchener Hochschulnetz als SPAM-Relay" in den LRZ-Mitteilungen vom Oktober 1997:

Daher haben wir schon seit einiger Zeit spezielle, selbst geschriebene Filtersoftware im Mail-Relay in Betrieb, die solche Fälle abfangen soll. Leider bekommen wir in diesen Fällen nicht mehr alle notwendigen Informationen aus der Mail, um sicher entscheiden zu können, ob eine SPAM-Mail vorliegt oder nicht. Wir arbeiten daher mit einer Reihe von Regeln, die Mails in "gute", "schlechte" (SPAM-Mails) und "verdächtige" Mails einteilt. Die guten werden sofort weitergeleitet, die schlechten sofort gelöscht und die verdächtigen auf die Seite gelegt, damit sie manuell überprüft werden. Diese Regeln haben (aus Benutzersicht) bisher gut funktioniert, d.h. es wurden nur SPAM-Mails gelöscht und unter den verdächtigen Mails, die in der Regel am nächsten Arbeitsmorgen bearbeitet wurden, befanden sich im Schnitt nur 1-3 "gute" Mails pro Tag, neben mehreren tausend SPAM-Mails, die dann gelöscht wurden.

An besagtem Wochenende kam es zu einer Reihe von Problemen:

Wie üblich wurde an das Mail-Relay eine Unzahl von SPAM-Mails (ca. 10.000 SPAM-Mails pro Tag) von verschiedenen "mißbrauchten" Rechnern geschickt.

Ein SPAM-Erzeuger benutzte verschiedene nicht existierende Benutzernummern des zentralen Mail-Relay des LRZ als Absendeadresse seiner SPAM-Mails an Mail-Adressen von AOL-Kunden. Diese SPAM-Mails wurden jedoch nicht aus dem MHN heraus versandt und konnten daher auch nicht durch die Filter im Mail-Relay abgefangen werden. Die Folge war jedoch, daß dennoch das Mail-Relay mit Fehlermeldungen über alle nicht existierenden AOL-Mailboxen bombardiert wurde.

Ein anderer SPAM-Erzeuger hatte es geschafft, die SPAM-Mails an unserem Filter vorbei zu mogeln, diese blieben jedoch dann teilweise in unseren Queues für abgehende Mails hängen. Diese Queues wurden deaktiviert und es mußte erst ein entsprechendes Programm erstellt werden, um diese Queues zu säubern. Anschließend wurden die Filter so modifiziert, daß diese Lücke geschlossen werden konnte.

Ein dritter SPAM-Erzeuger hat so viele SPAM-Mails erzeugt (ca. 40.000), daß am Sonntag die Platte, auf der ein spezielles Log lag, überlief. Dadurch wurde vermutlich als Folgefehler ein Teil unserer Datenbasis für die Adreß-Umsetzung zerstört und mußte erst rekonstruiert werden.

Als am späten Montag Vormittag das Mail-Relay wieder ans Netz ging, hatten sich weltweit zwischen 20.000 und 30.000 reguläre Mails angesammelt, die alle mehr oder weniger gleichzeitig beim Mail-Relay abgeliefert werden wollten. Da gleichzeitig die Prozesse zum Löschen der 40.000 SPAM-Mails liefen, war das Mail-Relay überlastet. Am Nachmittag wurde daher der SMTP-Port im Abstand von wenigen Minuten deaktiviert/aktiviert, um abwechselnd die übertragenen Mails zu verarbeiten und anschließend wieder neue Mails zu empfangen. In der Nacht zum Dienstag wurden die letzten angestauten Mails verarbeitet und das Mail-Relay ging in den normalen Betrieb über.

Als zusätzliche Maßnahme wurde bis Donnerstag Morgen ein Programm aus dem Internet (spamshield) so angepaßt, daß es auf dem Mail-Relay eingesetzt werden konnte. Seitdem läuft es zufriedenstellend. Das Program spamshield erstellt eine Statistik über alle einkommenden Mails. Sobald von einem Rechner Mails mit mehr Empfänger ankommen als ein Schwellwert festlegt, wird dieser Rechner auf eine "schwarze" Liste gesetzt und jegliche Mail-Verbindung zu diesem Rechner unterbrochen (alle IP-Pakete werden an eine lokale nicht existierende IP-Adresse geschickt). Damit kann das Mail-Relay nur noch wesentlich schwerer von SPAM-Mails überflutet werden. Dies hat gleichzeitig aber zur Folge, daß Rechner im MHN so lange auf ihren (SPAM)-Mails sitzen bleiben, bis vom Mail-Relay von diesen Rechnern Mails wieder angenommen werden. An Arbeitstagen geschieht dies relativ schnell, an Wochenenden kann dies aber bis zum Montag dauern. Geöffnet wird die Verbindung, sobald die Absendeadressen der SPAM-Mails auf die Negativ-Liste des Filters gesetzt wurden und damit die Mails sofort nach Empfang gelöscht werden können.

Mit Hilfe dieser Maßnahmen hoffen wir, daß der Betrieb des Mail-Relay wieder stabil läuft, bis das Problem Relaying von SPAM-Mails durch andere Maßnahmen besser in den Griff bekommen wird (z.B. Abfangen der SPAM-Mails direkt am Übergang zwischen B-Win und MHN). Dazu aber mehr in der nächsten Ausgabe der LRZ-Mitteilungen.

Cookies – kleine Helfer oder multimediale Gefahrenquelle?

Der folgende Beitrag wurde im Mitteilungsblatt des Rechenzentrums der Universität Augsburg unter dem Titel "Was Sie noch nie über Kekse wissen wollten" veröffentlicht. Mit freundlicher Genehmigung des Autors geben wir ihn hier wieder.

"Cookies" machen zur Zeit als Gefahrenquelle im Internet die Runde. Aber wie so oft ist alles nur halb so wild, zumindest wenn man weiß, um was es sich dreht und wo die potentiellen Gefahren lauern. Lesen Sie hier über den Sinn der einst von Netscape erdachten Erfindung und lernen Sie, auf was Sie achten können.

Nachdem sich leider nirgendwo eine Erklärung für das Zustandekommen dieser seltsamen Bezeichnung – "Cookie" kommt aus dem amerikanischen und bedeutet soviel wie süßer Keks, Plätzchen – auffinden läßt, kann man darüber nur spekulieren. Wahrscheinlich wollten seine Erfinder dem Internet-Surfer das Dasein mit zusätzlichem Komfort versüßen ... Bevor Sie allerdings verstehen, was es mit dieser süßen Erfindung auf sich hat, müssen wir zuerst etwas den Hintergrund aufarbeiten!

Der Auslöser
Das Übertragungsprotokoll des World Wide Web (Hypertext Transfer Protocol, HTTP) ist von Natur aus verbindungslos. In der Praxis bedeutet das, daß sofort nach der Übertragung eines Dokuments die Verbindung zwischen Web-Browser und Web-Server abgebaut wird. Sind in ein Dokument weitere Dokumente eingebettet, etwa Bilder in einem Text, oder folgt der Anwender einem Hyperlink, so wird für jedes dieser Dokumente wiederum eine neue Verbindung zum Server auf- und abgebaut. Aus der Sicht des Web-Servers sind dies völlig neue Anfragen, es ist sogar denkbar, daß er in der Zwischenzeit bereits mehrere hundert anderer Zugriffe abgewickelt hat. Für die meisten Fälle ist diese lose Verbindung zwischen Client und Server gerade richtig, wozu also Ressourcen für eine permanente Verbindung verschwenden?Ganz einfach: Heutzutage werden immer komplexere Vorgänge über das enorm populäre World Wide Web abgewickelt. Denkt man an Anwendungen wie Suchmaschinen, Literaturrecherche, Telebanking oder Online-Shopping, so kann man sich leicht vorstellen, daß es notwendig ist (oder zumindest hilfreich wäre), daß sich der Web-Server an die bisherigen Aktionen bzw. an den letzten Besuch "erinnert". Dadurch werden Dinge wie z.B. ein virtueller Einkaufskorb möglich: Der Kunde legt durch jeweils einen simplen Klick ein Produkt in seinen Korb. Geht es schließlich durch einen letzten Klick zur Bestellung, kann der Server diesen Zugriff mit den vorangegangenen Zugriffen in Verbindung bringen, d.h. er "erinnert" sich an die bereits im Korb vorhandenen Waren, und der Einkauf bzw. die Bestellung kommt zum erfolgreichen Abschluß.

Mehr Informationen durch Cookies
Um dies zu ermöglichen, entwickelte Netscape zunächst im Alleingang ein simples Konzept, umgangssprachlich als Cookies bezeichnet. Inzwischen wurde dieses Verfahren von der obersten Standardisierungsinstanz des Internets (Internet Engineering Task Force, IETF) zu einem Standard abgerundet und ist in RFC (Request for Comments) 2109 unter dem offiziellen Namen "HTTP State Management Mechanism" nachzulesen. Die dort beschriebene Methode unterscheidet sich zwar vom ursprünglichen Netscape-Vorschlag, jedoch vertragen sich Softwareprodukte, welche die Netscape-Variante implementiert haben, mit diesem Standard.Der Cookies-Mechanismus sieht zwei neue HTTP-Schlüsselworte "Cookie" und "Set-Cookie" vor, über die eine zugriffsübergreifende logische Sitzung zwischen Web-Browser und Web-Server geschaffen werden kann. Innerhalb dieser Sitzung können relevante Informationen zwischen verschiedenen Zugriffen beibehalten werden, der oben beschriebene Einkaufskorb wird damit zum Kinderspiel. Wer mehr über die technischen Details wissen möchte, sei an dieser Stelle auf den oben erwähnten RFC 2109 verwiesen. Die verschiedenen RFCs lassen sich online u.a. über

abrufen, die Homepage der IETF ist unter der URL

erreichen.Die während einer logischen Sitzung anfallenden Daten werden, so sieht es der Standard vor, auf Anwenderseite gespeichert. Damit haben die Entwickler zwei Fliegen mit einer Klappe geschlagen: Zum einen erhält der Nutzer eingeschränkte Kontrollmöglichkeiten, zum anderen löst das Verfahren Kapazitätsprobleme, die ansonsten auf Anbieterseite bei einer Vielzahl von Kunden früher oder später auftreten müssen. Eine prinzipielle Struktur und eine festgelegte Größenbeschränkung sorgen dafür, daß die eigene Festplatte nicht ohne weiteres von einem Plätzchen überschwemmt werden darf. Zusätzlich kann den verschickten Süßigkeiten ein individuelles Haltbarkeitsdatum verpaßt werden, über welches letztendlich die Dauer der logischen Sitzung bestimmt wird. So wird es möglich, daß das besuchte Web-Angebot noch über Ihren Warenkorb vom Vormonat Bescheid weiß.Eine Sitzung wird immer von einem Web-Server eröffnet (Set-Cookie mit den entsprechenden Inhalten). Falls der Web-Client Cookies akzeptiert (siehe unten), so speichert er das Plätzchen mitsamt den enthaltenen Informationen. Wird später eine Anfrage an einen Server übermittelt und existieren zu diesem Server passende Cookies, so werden deren Inhalte mitsamt der Anfrage wieder an den Server übertragen.

Browser-Konfiguration
Damit Sie als Anwender in den Genuß der avisierten Vorteile kommen, müssen Sie zunächst Ihren Web-Client entsprechend konfigurieren. Die Einstellungsmöglichkeiten werden in diesem Artikel am Beispiel der Netscape Produkte Navigator/Communicator beschrieben. Für andere Browser existieren analoge Menüpunkte und Schaltflächen. Die Auswahlmöglichkeiten, die Sie im Untermenü Bearbeiten/Einstellungen (in der englischsprachigen Version Edit/Preferences) finden, sind kurz und bündig. Der Anwender kann sich entscheiden, ob er alle Cookies oder gar keines akzeptieren will. Zusätzlich kann man die Akzeptanz von Cookies in der Art einschränken, daß sie aus Sicherheitsgründen ausschließlich zu dem Server zurückübermittelt werden, der die logische Sitzung eröffnet hat. Dazu weiter unten mehr! Für den Fall, daß Sie als Anwender den Gebrauch von Cookies erlauben wollen, können Sie Ihren Browser noch anweisen, Sie jeweils vor der Annahme eines solchen Plätzchens um Erlaubnis bittet. Dies kann sich allerdings sehr schnell als sehr lästig herausstellen! Aber probieren Sie diese Methode ruhig einmal aus, erst dadurch stellen sie fest, wie verbreitet Cookies heutzutage bereits sind.

Sicherheitsrisiken
Bisher haben wir uns nur mit den hehren Zielen des "HTTP State Management Mechanism" beschäftigt. Doch wie so oft birgt eine neue Errungenschaft auch neue Gefahren und so wollen wir abschließend noch einen Blick auf die Kehrseite der Medaille werfen. Aber keine Angst, Cookies sind lange nicht so gefährlich wie uns manche (selbsternannte) Sicherheitsexperten einreden wollen. Hat man die Problematik verstanden, so kann man sehr gut beurteilen, was man sich erlauben kann und von was man besser die Finger läßt.

Zunächst einmal sollte festgehalten werden, daß grundsätzlich keine privaten Informationen über den Anwender in ein Cookie gelangen können, die dieser nicht zuvor selbst preisgegeben hat. Dies trifft insbesondere auf Dateien zu, die auf dem Computersystem des Anwenders gespeichert sind: Die Inhalte können nicht unabsichtlich über ein Cookie in fremde Hände gelangen. Trotzdem wurden bei den weit verbreiteten Browsern Microsoft Internet Explorer und Netscape Navigator/Communicator einige Fälle bekannt, in denen auf wundersame Art und Weise Daten in ein Cookie gelangt sind, die dort absolut nichts verloren hatten. Allerdings wurden diese Sicherheitslücken sobald sie bekannt wurden immer sehr schnell vom Hersteller geschlossen.

Bevor benutzerrelevante Daten in einem Cookie abgelegt werden können, müssen diese also zuvor vom Anwender übermittelt werden. Dies kann implizit durch das Auswählen eines Hyperlinks innerhalb eines Dokuments oder explizit über das Ausfüllen und Absenden eines Formulars erfolgen. Gerade über den letztgenannten Weg können natürlich beliebige Informationen in ein Cookie gelangen, vorausgesetzt der Web-Surfer gibt in den Formularen bereitwillig Auskunft. Behält man als Kunde jedoch die Tatsache im Hinterkopf, daß Formulardaten ohnehin unverschlüsselt über die Datenautobahn wandern, so ergibt sich automatisch eine natürliche Zurückhaltung, insbesondere was das Versenden von Kreditkarten-Informationen, PIN-Codes oder ähnlichen sensiblen Daten anbetrifft.

Bleibt als letztes Risiko das Ausspähen von persönlichen Vorlieben. Manche Web-Server verfolgen mittels Cookies den Weg eines Besuchers durch das präsentierte Online-Angebot. Meist wird das Verfahren zwar nur dazu eingesetzt, die Schwerpunkte des Angebots an den Vorlieben der Kunden auszurichten. Führt ein Web-Anbieter jedoch peinlich genau über die Besuche seiner Kunden Buch und schließen sich im schlimmsten Fall noch mehrere Betreiber zu einem Verbund zusammen, so lassen sich durchaus Gewohnheitsmuster eines Anwenders herausarbeiten ... big brother is watching you! Auch Web-Suchmaschinen machen zum Teil regen Gebrauch von Cookies. Läßt sich aus den Suchanfragen des Anwenders eine bestimmte Vorliebe ableiten, so kann es durchaus vorkommen, daß dieser mit darauf abgestimmten Werbeeinblendungen beglückt wird.

Nachdem Sie jetzt wissenswerte Dinge über die Vor- und Nachteile des Verzehrs süßer Kekse im World Wide Web erfahren haben, müssen Sie selbst Ihre "Cookie-Politik" festlegen. Ich halte es folgendermaßen: Als Standardeinstellung erhalten Cookies bei mir keine Chance. Bin ich allerdings wild entschlossen beispielswiese eine Bestellung per Internet aufzugeben und ist dazu der Gebrauch von Cookies notwendig, so erlaube ich meinem Browser für diesen Zeitraum kurzfristig die Annahme der Süßigkeiten.

Zentrale Systeme

Neue Prioritätensteuerung an der VPP700/52

Der Bayerische Landeshöchstleistungsrechner VPP700 ist seit nunmehr einem Jahr in Betrieb und wurde von den Benutzern sehr gut angenommen. Trotz der Aufrüstung auf 52 Prozessoren im Januar dieses Jahres kommt es vor allem in den Jobklassen für parallele Programme zu beträchtlichen Wartezeiten.

Bisher wurden Jobs in der Reihenfolge der Submittierung abgearbeitet. Dabei kam es häufig vor, daß von Benutzern mehrere Jobs auf einmal submittiert wurden. Andere Benutzer, die später Jobs abschickten, mußten dann solange warten, bis alle zuvor abgeschickten Jobs fertig gerechnet hatten. Durch eine geänderte Prioriätensteuerung soll nun ein gleichmäßigerer Durchsatz für alle Benutzer erreicht werden und die kurzzeitige Majorisierung des Rechners durch einen Benutzer verhindert werden. Hierzu dient folgendes Schema:

Pro Queue werden die Jobs nach User und Eintrittsalter sortiert.

Es wird pro Benutzer und Job ein fiktives Eintrittsalter berechnet. Das fiktive Eintrittsalter des n-ten Jobs eines Benutzers wird bestimmt aus Eintrittszeitpunkt in die Queue plus der Summe der angeforderten CPU-Zeiten der ersten (n - 1) Jobs dieses Benutzers.

Alle Aufträge einer Queue werden nach dem errechneten fiktiven Eintrittsalter sortiert und es wird hieraus eine neue Priorität berechnet. Die Jobs werden dann gemäß der neuen Priorität abgearbeitet. So können sich dann Jobs unterschiedlicher Benutzer überholen.

Das LRZ behält sich vor, gegebenfalls einen sinnvollen Maximalwert für die Anzahl submittierter Jobs pro Benutzer zu setzen.

Wohlgemerkt: Der neue Steuerungsmechanismus entzerrt nur das Eintrittsdatum von kurz nacheinander abgeschickten Jobs. An dem Zustand der schon wieder knappen Rechenkapazität kann dies natürlich nichts ändern. Hier wird wohl erst der Ausbau des LRZ zu einem Bundeshöchstleistungsrechenzentrum Abhilfe schaffen.

Weitere Informationen zu Batchjobs am Landeshöchstleistungsrechner erhält man unter:

Sicherheits-Aspekte des UNIX-Path

Man sollte Hackern das Leben nicht unnötigerweise leicht machen. In diesem Beitrag wird eine einfache Methode vorgestellt, wie man sich auf UNIX-Rechnern vor (möglicherweise gefährlichen) Kommandos aus unbekannter Quelle schützen kann.

Die aktuelle Version dieses Beitrags finden Sie ebenso wie auch andere Hinweise zu Security-Themen unter

1. Funktion der $PATH-Variablen
Beim Betriebssystem UNIX startet man Kommandos (Programme, Shell-Skripts etc.) normalerweise ohne die Angabe eines absoluten oder relativen Pfads, d.h. man gibt nur den Namen des Kommandos selbst an. In diesem Fall muß das System selbst herausfinden, in welchem Verzeichnis des großen File-Systems das gewünschte Kommando steht.

Für diesen Zweck gibt es die Shell- bzw. Environment-Variable $PATH, die i.a. in einem System- oder privaten Profile (z.B. in $HOME/.profile bzw. $HOME/.login oder $HOME/.cshrc) gesetzt wird. Bei der C-Shell (und ihren Varianten, z.B. TC-Shell) gibt es zusätzlich noch die Shell-Variable $path, die mit $PATH automatisch verknüpft ist.

Die $PATH-Variable besteht aus einer Liste von Verzeichnissen, die der Reihe nach von links nach rechts nach dem gewünschten Kommando durchsucht werden. Die einzelnen Verzeichnisse in der Liste sind jeweils durch einen Doppelpunkt (:) getrennt. Das erste gefundene Kommando wird dann ausgeführt. Gibt es in allen Verzeichnissen kein Kommando mit dem gesuchten Namen, so gibt UNIX eine Fehlermeldung aus ("...: Command not found").

2. Schutz vor Kommandos aus unbekannter Quelle
Die Ausführung von Kommandos aus unbekannter Quelle ist immer mit einem Sicherheits-Risiko verbunden. Es könnte sich nämlich bei einem derartigen Kommando um ein "trojanisches Pferd" handeln, d.h. das Kommando macht nicht (nur) das, was es eigentlich soll, sondern es führt noch Aktionen aus, die sicher nicht im Sinne der Benutzer sind (z.B. wird das Home-Verzeichnis gelöscht, oder das Kommando protokolliert Paßwörter mit und schickt sie dann einem Hacker).

Vor unbekannten Programmen schützt man sich am besten durch eine wohlüberlegte Belegung der $PATH-Variablen. Dabei sollte man mehrere Aspekte berücksichtigen:

Die Variable sollte nur Verzeichnisse enthalten, die von der Systemverwaltung oder einem selbst gepflegt werden. Bei anderen Verzeichnissen kann man nicht sicher sein, ob dort nicht ein trojanisches Pferd abgelegt wurde. Dies setzt natürlich voraus, daß die/der Systemverwalter(in) bzw. die/der Benutzer(in) die Kommando-Verzeichnisse sorgfältig pflegt, d.h. man legt in diesen Verzeichnissen nur Kommandos aus vertrauenswürdiger Quelle ab und überprüft regelmäßig, ob die Verzeichnisse nicht heimlich von einem Hacker korrumpiert wurden.

In der Verzeichnis-Liste in $PATH sollte nie das aktuelle Arbeits-Verzeichnis (.) enthalten sein (die Begründung für die sonst möglichen Sicherheits-Probleme finden Sie unten). Kann man in seltenen Ausnahmefällen auf "." in $PATH nicht verzichten, so sollte es wenigstens nur an letzter Stelle stehen.

Besitzt man eigene Verzeichnisse mit Kommandos (z.B $HOME/bin), so sollten diese Verzeichnisse nur für einen selbst schreibbar sein, und in $PATH möglichst weit hinten stehen.

3. Gefahren bei einer falsch belegten $PATH-Variablen
Die Gefahren einer falsch gesetzten $PATH-Variablen werden anhand von 2 Beispielen verdeutlicht:

Das 1. Beispiel geht von folgenden Voraussetzungen aus: $PATH hat den Wert

Ein Hacker hat im öffentlichen Verzeichnis /tmp, in dem ja jeder schreiben darf, ein trojanisches Pferd mit dem Namen ls abgelegt.

Der Benutzer befindet sich gerade in /tmp, d.h. /tmp ist das aktuelle Arbeits-Verzeichnis.

Der Benutzer führt das Kommando ls aus.

In diesem Fall wird beim Start von lszuerst in /tmp nach ls gesucht ("." steht nämlich an 1. Stelle in $PATH und der Benutzer befindet sich gerade in /tmp!). UNIX wird dann natürlich sofort fündig und führt das trojanische Pferd des Hackers aus! Das eigentlich beabsichtigte System-Kommando /usr/bin/ls wird gar nicht erst erreicht.

Das 2. Beispiel unterscheidet sich vom 1. nur im Wert von

Diesmal wird zwar das richtige System-Kommando /usr/bin/ls zuerst gefunden und auch korrekt ausgeführt.

Allerdings passiert es gerade bei kurzen Kommandos relativ häufig, daß man sich bei der Eingabe vertippt (z.B. la statt dem richtigen ls) und das Kommando ausführt, bevor man den Irrtum bemerkt und ihn korrigieren kann.

Hacker wissen dies natürlich auch und legen deshalb z.B. in /tmp trojanische Pferde unter dem Namen von häufigen Tippfehler-Varianten ab.

Befindet sich also z.B. ein trojanisches Pferd mit dem Namen la in /tmp, so wird auch wieder das Hacker-Kommando beim entsprechenden Tippfehler gestartet (in /bin, /usr/bin und /usr/local/bin befindet sich nämlich keine Datei la).

Wie man also sieht, sollte "." am besten überhaupt nicht in $PATH enthalten sein.

Achtung!
In der $PATH-Variablen kann das aktuelle Arbeits-Verzeichnis nicht nur mit einem "." sondern auch mit einer leeren Komponente angegeben werden!

Die Such-Pfade

sind also z.B. jeweils gleichwertig und damit auch gleich gefährlich.

4. Probleme bei einer $PATH-Variablen ohne "."
Entfernt man nun "." aus der $PATH-Variablen, so gibt es möglicherweise kleine Probleme; dies ist aber normalerweise kein Grund, "." in $PATH zu lassen:

Schlampig programmierte Skripts und Programme funktionieren dann möglicherweise nicht mehr.

Dies ist das einzige ernstzunehmende Gegenargument. Aber auch in diesem Fall sollte man zuerst nach einer anderen Abhilfe suchen, bevor man "." wieder in $PATH aufnimmt. Ist letzteres (in seltenen Ausnahmefällen!) doch nicht zu vermeiden, so sollte "." wie schon erwähnt in $PATH ganz am Schluß stehen.

Benutzer sind hilflos, wenn plötzlich ein Kommando nicht mehr gefunden wird. Dies tritt vor allem dann auf, wenn man eigene Programme entwickelt, und dann z.B. a.out nicht mehr gefunden wird. Eine einfache Abhilfe für den Start von Kommandos im aktuellen Arbeits-Verzeichnis ist jedoch der Präfix "./" Man tippt dann z.B. einfach ./a.out.

Manche Benutzer bringen auch vor, daß das Arbeiten ohne "." in $PATH viel unbequemer ist. Bei näherer Betrachtung ist dies jedoch nur ein Schein-Argument:

Deutlich mehr als 95% der verwendeten interaktiven Kommandos befinden sich in einem der Standard-Verzeichnisse und werden deshalb auch ohne den "." in $PATH gefunden.

Beim kleinen Rest sind die zwei zusätzlichen Tastendrücke des Präfix "./" auf jeden Fall akzeptabel, wenn man den Sicherheits-Gewinn bedenkt.

5. Fazit
Neben dem reinen Sicherheits-Gewinn (und dies sollte alleine schon ausreichen) hat es auch noch einen weiteren Vorteil, wenn "." nicht am Anfang der $PATH-Liste steht: Es gibt dann nämlich keine mysteriösen Effekte, wenn ein Benutzer selbst Kommandos schreibt, die den Namen eines System-Kommandos haben. Beim Beispiel ls leuchtet dies unmittelbar ein und man kommt im Fehlerfall dem Problem viel schneller auf die Spur.

Um einen viel unangenehmeren Fall handelt es sich beim Beispiel test. Oft nennen Benutzer während der Programmentwicklung das eigene Programm "test" und übersehen dabei, daß es ein System- bzw. Shell-internes Kommando test gibt, das sehr häufig innerhalb von Shell-Skripts verwendet wird. Als Folge davon funktionieren plötzlich einige Shell-Skripts nicht mehr und man erhält im allgemeinen nur sehr irreführende Hinweise auf die Ursache.

Als Konsequenz der Sicherheits-Probleme hat das LRZ am 31.3.1998 in den Muster-Prologen in

bzw. anderer Zugriffspfad

den "." aus der $PATH-Variablen entfernt.

Alle Benutzer sollten in Ihrem eigenen Interesse bei den eigenen Prologen im Home-Verzeichnis analog verfahren (z.B. indem Sie sich die aktuellen Muster-Prologe des LRZ holen).

Als zweite Maßnahme wird am 6. Juli 1998 (Wartungstag) in den System-Prologen ebenfalls der "." aus der $PATH-Variablen entfernt.

Bitte berücksichtigen Sie, daß dann Ihre Batch-Jobs eventuell mit Fehler abstürzen werden, falls Sie Ihre Batch-Skripten nicht entsprechend anpassen!

Bitte beheben Sie das Problem aus Sicherheitsgründen nicht einfach dadurch, daß Sie zum Ausgleich in Ihren eigenen Prologen im Home-Verzeichnis den "." in der $PATH-Variablen hinzufügen! Verwenden Sie stattdessen besser bei eigenen Kommandos einen absoluten Pfad oder ergänzen Sie Ihre $PATH-Variable um Verzeichnisse mit eigenen Kommandos.

Anhang

Aktuelle Landes-, Campus- und Sammellizenzen am LRZ

Zur Zeit können mehrere Software-Produkte für Zwecke der Lehre und Forschung zu günstigen Bedingungen über das LRZ bezogen werden. Dieser Anhang enthält sowohl eine Kurzbeschreibung dieser Programme als auch eine Übersichtstabelle, die deren Verfügbarkeit an verschiedenen Plattformen zusammenfaßt. Landeslizenzen sind gesondert gekennzeichnet. Umfangreiche Produktsammlungen sind kursiv dargestellt. Weitere Einzelheiten sind unter

zu finden.

			Plattformen
Produkt		Landes-Lizenz?	Personal-Computer	Unix- Systeme (Unix)
3D Studio MAX	3D-Animationssoftware der Firma Autodesk		Windows 95 Windows NT
AIT	Cray-Workstation-Verbindungswerkzeuge	Ja		SunOS 4.1 IRIX 3.3 + ULTRIX 4.1
AFS	verteiltes Dateisystem			X
AMD	Autodesk Mechanical Desktop  Zusatzpaket zu AutoCAD für die 3D- Konstruktion im Anwendungsbereich Maschinenbau		Windows 95 Windows NT
AutoCAD	2D-/3D-Computer-Aided-Design-System der Firma Autodesk  Release 13 oder 14		DOS Windows 3.x (nur Rel.13) Windows 95 Windows NT	Sun Solaris (nur Rel.13) HP-UX IBM AIX SGI Irix
AVS	Visualisierungssystem	Ja	Windows 95 Windows NT	X
BSD/386	Unix-Implementierung für PC		PC ab 386
Corel	Verschiedene Softwarepakete der Firma  Corel WordPerfect Suite u.a.		DOS Windows Macintosh	gängige Unix-Plattformen
Claris	Verschiedene Softwarepakete der Firma Claris (Bezug über c&H)	Ja	Windows Macintosh
DECcampus	Anwender- und System-Software der Firma DEC			versch. DEC- Betriebs- Systeme
ESRI	Geographische Informationssysteme		Windows	X
FTN90	Fortran-90-Compiler der Firmen NAG und Salford für DOS-PCs		DOS
FuLP	Verschiedene Softwareprodukte der Firma Borland	Ja	Windows DOS
HP-Software	Compiler und weitere System-Software der Firma HP			HP-UX 9.0  HP-UX 10.0
IBM-Software	Compiler und weitere Software der Firma IBM			IBM AIX
IDL	Grafik- und Bildverarbeitung		Windows Linux Macintosh	X
IMSL	Fortran-Unterprogrammbibliothek		X	X
KHOROS	Visualisierungssystem	Ja		X
Lars	Archivierungs- und Recherche-System  (Bezug über ASKnet)		DOS Windows
LRZ-Grafik	Grafikpaket	Ja	DOS	X
Maple	Computer-Algebra-System		Windows OS/2 Macintosh	X
Mathematica	Computer-Algebra-System		Windows  Macintosh	X
Micrografx	Verschiedene Produkte aus dem Bereich Grafik	Ja	Windows
MLA	Netware und weitere Produkte der Firma Novell		DOS
NAG	Fortran-Unterprogrammbibliothek	Ja	DOS	X
OnNet	TCP/IP für PCs (Bezug über ASKnet)		Windows
OnNet32	TCP/IP für PCs (Bezug über ASKnet)		Windows 95 Windows NT
OSF/DCE	Verteilte Anwendungen			X
OSF/Motif	Toolkit für Window System X11			X
PC/TCP	TCP/IP für PCs   (Bezug über ASKnet)		DOS Windows
PC-TeX	Textsatzsystem Tex (incl. LaTeX)		DOS Windows
Pro/Engineer	CAD/CAM-3D-Modellierer für den Bereich Maschinenbau	Ja	Windows 95 Windows NT	X
SAS	Statistik-Programmsystem		Windows 3.1 Windows 95 Windows NT
ScholarPAC	Software und Betriebssystem-Wartung von Sun Microsystems GmbH		X 86	Solaris
Select	Microsoft-Software aus den Bereichen Anwender-, System- und Server-Software		DOS Windows Macintosh Windows NT
Softbench	CASE-Tool			HP-UX SunOS 4.1.x Solaris 2.x
Dr. Solomons Anti-Virus Toolkit	Software zum Schutz gegen Computerviren	Ja	DOS Windows 3.x Windows 95 Windows NT (Workstation) OS/2 Novell- Netware 3.x/4.x Macintosh
SPSS	Statistik-Programmsystem		Windows 3.11 Windows 95 Windows NT
SYSTAT	Statistik-Programm		Windows Macintosh
Trumpet Winsock	TCP/IP für MS-Windows (mit PPP)		Windows 3.x
TUSTEP	System von Textverarbeitungsprogrammen		DOS Linux
UniChem	Quantenchemieprogramm	Ja		IRIX 3.3.1 + IRIX 4.0.1 +
Varsity	Compiler und weitere Software der Firma SGI			Silicon Graphics
Vista-eXceed/  HCL-eXceed	X-Window-Server für PC (Bezug über ASKnet)		DOS Windows OS/2

X: auf allen gängigen Plattformen der jeweiligen Rubrik verfügbar
+: diese Systemversion oder höher
Kursiv gedruckt sind die Namen umfangreicher Produktsammlungen