Linux E X P R E S, Reportáž z konference OpenSource řešení v sítích 2013

Tradiční místo

Konference se konala na již tradičním místě, tedy v karvinském areálu Slezské univerzity v Opavě. Městem prostupovala letní atmosféra, přestože se blížil konec října. Letní počasí však rozhodně nebylo pro vlastní průběh konference na škodu, spíš naopak. Vliv mohlo mít případně jen na to, že se někteří zájemci i přes svoji registraci nakonec nezúčastnili (nebo předčasně odešli), protože třeba našli „příjemnější“ způsob strávení slunečného dne.

Oproti dřívějšku se nezměnil ani charakter konference. Byla soustředěna do jediného dne a místo běhu dvou proudů přednášek byly raději přednášky časově nadimenzovány dost natěsno (přestože se relativně dost času ušetřilo tím, že se vše promítalo z jednoho počítače, namísto neustálého přepojování notebooků, tak typického pro mnohé konference). Tohle je trochu komplikace, protože mnohá témata jsou velmi zajímavá a je o nich hodně co říci, takže to pak končí časovým skluzem.

Je možné, že organizátoři v příštích ročnících třeba rozdělí konferenci do dvou dnů, případně do dvou proudů (hlavně pokud by se měly konat i workshopy, které by byly také dost zajímavé). Každé řešení má ale i své nevýhody.

Účastníci konference

Zahájení, úvodní slovo děkana

Poté, co hlavní organizátor Lukáš Macura přivítal účastníky, ujal se slova děkan Obchodně-podnikatelské fakulty Slezské univerzity v Opavě. Stručně shrnul význam konference, a hlavně využívání opensource softwaru (nejen) na akademické půdě.

Úvodní slovo děkana OPF SU

Přednášky

5 způsobů, jak kreativně využít WordPress pro podnikání

Prvním přednášejícím byl Vlastimil Ott z o.p.s. Liberix. Ukázal, co všechno nabízí systém správy obsahu WordPress, a hlavně jak ho využít pokročilejším způsobem než jen pro blogy či jiné jednoduché weby. Celá prezentace byla pojatá jako „hozená rukavice“ pro ty, kdo by mohli chtít využít WordPress pro své podnikání, ale nevěděli, že toho tolik umí.

Výstupy a aktivity týmu LIPTEL

Následně Miroslav Vozňák z VŠB-TU v Ostravě představil působení týmu LIPTEL, který vznikl jako laboratoř VoIP telefonie, ale postupně se jeho činnost mnohonásobně rozrostla, obsáhla prakticky celou oblast informačních a komunikačních technologií a funguje už v podstatě jako otevřená komunita.

Tým LIPTEL se postupně rozšiřuje o nové členy, a to i ze sféry mimo VŠB-TU a mimo Českou republiku. Některé aktivity týmu mohou působit kontroverzně – patří mezi ně totiž i účast na známém projektu INDECT a další projekty pro bezpečnostní složky. Tým ale řeší opravdu mnoho projektů a mezi ty zajímavé patří například sledování korelace mezi meteorologickými podmínkami a kvalitou přenosu v síti GSM.

Výstupy a aktivity týmu LIPTEL

Open source v prostředí komerční softwarové firmy

Lenka Viková (CA Technologies) poté vysvětlila, jak se na opensource software dívají velké softwarové firmy, myšleno takové, které nejsou zaměřeny přímo na tuto oblast. Ukazuje se, že je možná úspěšná symbióza opensource softwaru s tím proprietárním, která slouží jak firmě, tak komunitě.

Je však potřeba nastavit procesy tak, aby nedocházelo k problémům právního charakteru (aby například nebyl někde použit licenčně nekompatibilní software). Další oblastí je tvorba opensource softwaru vývojářem v jeho volném čase; firma má zájem na ochraně svého know-how, a proto tomu musí věnovat pozornost (a třeba převést vývojáře na jiný projekt, pokud by zneužití know-how hrozilo).

Startup story: od vývoje open source po expanzi do Japonska

Jiří Tobola byl u rozjezdu zajímavého projektu a neváhal se podělit o získané zkušenosti – a to jak ze začátků v akademické sféře, tak z budování vlastní firmy a nynější snaze o expanzi do celého světa. Měli jsme možnost se dozvědět poměrně hodně o tom, jak může fungovat spolupráce firem s univerzitami (a jejich organizacemi – CESNET, GÉANT, ...), a hlavně to nejdůležitější: při startu komerčního projektu je potřeba přijít s řešením nějakého rozšířeného problému. Začínat tím, že máte v oblibě nějakou technologii a chcete na ní něco postavit, je cesta do pekel… tedy ke krachu.

Jiří Tobola hovoří o rozjezdu firmy postavené na open source

Životní cyklus linuxového projektu

Název této přednášky byl poněkud zavádějící, protože se nejednalo o „linuxové projekty“, nýbrž obecně o projekty opensource softwaru. Pavel Machula částečně navázal na Lenku Vikovou, ale popisoval průběh takového projektu ve firmě, která takový software využívá pro běžné činnosti (což je případ firmy Unipetrol), nikoli při vývoji aplikací.

Pavel Machula zdůraznil především akceptační fázi, pro kterou je třeba vyčlenit dostatečný čas a nic neuspěchat. Velký význam mají také právní záležitosti, a to nejen samotná licence k softwaru, ale také věci jako NDA, SLA a právní ošetření využívaných komponent od třetích osob.

Případová studie: Adresářové řešení pro webhosting pomocí ApacheDS

Po krátké přestávce začal „blok tří Lukášů“, a to přednáškou Lukáše Jelínka (pozn. autora: ano, jsem to já) na téma migrace webhostingu na adresářové řešení pomocí LDAP serveru ApacheDS. V zásadě šlo o problematiku výběru LDAP serveru pro určité požadavky a o proces migrace z dosavadního nepříliš vhodného řešení (založeného na databázích MySQL) na nové řešení založené na LDAP.

Zabbix monitorovací systém

Přestože je jako opensource monitorovací systém známý především Nagios, není rozhodně jediný. Je tu také například Zabbix, jehož možnosti nám ukázal Lukáš Malý, který popsal všechny aspekty tohoto systému: od architektury přes různé možnosti monitorování, komunikační protokol a rozšiřitelnost až po některé nevýhody (zejména otevírání mnoha TCP spojení) a plány na jejich vyřešení.

Monitorovací systém Zabbix

Multikriteriální analýza a predikce incidentů pomocí Zabbixu

Zabbix měl své místo i v další prezentaci, kterou připravil Lukáš Macura. Hlavní problém běžného monitoringu sítě spočívá v tom, že je informací k dispozici mnoho a je potřeba z nich vyčlenit jen ty důležité – současně ale nic nezanedbat. Proto vznikl projekt Monda (zatím ve velmi časné fázi vývoje), který umožňuje analyzovat stav sítě pomocí různých kritérií současně a například mezi nimi hledat korelace. Ke zpracování dat (výpočtům) poslouží další opensource software GNU Octave. Pomocí multikriteriální analýzy lze odhalovat určité „vzorce chování“ sítě a různé stavy, které je potřeba indikovat.

Projekt Turris – otevřený domácí router s aktivní ochranou sítě

Po obědě nastoupilo trochu lehčí téma (v porovnání s „vysokou matematikou“ multikriteriální analýzy) v podobě routeru Turris, o kterém hovořil Bedřich Košata z laboratoří CZ.NIC. Popisoval hlavně cestu, která vedla k volbě té nejtěžší varianty – tedy zkonstruování úplně nového zařízení, které má podobu opensource hardwaru, a jeho doplnění opensource softwarem.

Přestože jde primárně o to, sbírat informace o potenciálních útocích a proti rozpoznaným útokům se prostřednictvím routerů aktivně bránit (k čemuž je potřeba odesílat operátorům určité informace o datových přenosech; tohle samozřejmě může vyvolávat obavy o soukromí), je vedlejším produktem vznik zcela otevřeného routeru, který je výrazně výkonnější než běžné routery pro domácnosti a malé firmy, současně má ale poměrně nízkou spotřebu.

Router Turris

Útoky na DNS a možnosti nasazení DNSSEC pomocí opensource DNS serverů

Po Bedřichu Košatovi přišel na scénu jeho kolega Ondřej Surý s obsáhlým vysvětlením, proč používat DNSSEC a jak ho zprovoznit. Popsal různé útoky namířené proti různým vlastnostem DNS a možnou ochranu proti nim. Ve všech popsaných případech sice existovala i další řešení, ale byla vždy pouze částečná – jediným skutečným řešením je „elektronický podpis“ reprezentovaný v DNS světě technologií DNSSEC.

Popis útoků zabral výraznou část přednášky. Popis zprovoznění na různých DNS serverech byl naopak velmi strohý – vždy totiž stačilo pár řádků, které bylo potřeba přidat do konfigurace serveru, a pár dalších, kterými se generovaly klíče.

K položenému dotazu na perspektivu řešení Namecoin (vycházejícího z principu měny Bitcoin, která byla na programu později) se Ondřej Surý vyjádřil skepticky, a to jak kvůli založení na „důkazu převahy výpočetní síly“, tak hlavně pro nedořešené právní aspekty takového přístupu k doménovým názvům.

Digitální měna Bitcoin

Oblast svobodné distribuované digitální měny Bitcoin už se stala v podstatě notorickou součástí konferencí zaměřených na open source. Výjimkou nebyla ani tato konference a měně Bitcoin se věnoval Dalibor Hula. Popsal základní principy fungování celého systému, výhody, nevýhody a v neposlední řadě jak to vypadá v praxi.

Součástí přednášky byla i přímo ukázka převodu peněz mezi bitcoinovými účty. Vzhledem k časovému omezení přednášky bylo ale celkem logické, že se do ní nevešly různé další zajímavosti okolo měny Bitcoin, jak je popisoval například Jan Hrach na minikonferenci konané při příležitosti 30 let GNU.

Dalibor Hula a jeho přednáška o měně Bitcoin

E-mailové služby a IPv6

Po další přestávce přišel opět jeden „evergreen“, a to protokol IPv6, ovšem ze zajímavého úhlu pohledu v podání Ondřeje Caletky. Doménu nebezi.cz (provozovanou sdružením CESNET) zná leckdo, ale asi málokdo ví, že si může s její pomocí otestovat i méně známé součásti podpory IPv6 v e-mailových službách. Praktické zkušenosti navíc ukázaly, že je to s podporou IPv6 u pošty špatné, a dokonce ještě o dost horší, než by se na první pohled zdálo.

I servery dostupné tímto protokolem totiž často nefungují, jak by měly – zejména se to týká situace, kdy pro doménu neexistuje příslušný MX záznam. Na vině je ale i to, že RFC 2821 (proposed standard) tuto situaci neřeší, a tudíž servery řídící se touto specifikací nefungují. Novější RFC 5321 již podporu pro tuto situaci obsahuje, ale dokument je jen ve stavu draft standard. Podle provedených testů se také ukázalo, že většina freemailů (pošta zdarma) plnou podporu IPv6 nemá.

Flow monitoring a behaviorální analýza sítě jako obrana proti moderním bezpečnostním hrozbám

Michal Holub z firmy Invea-Tech navázal na svého kolegu Jiřího Tobolu a popsal řešení monitoringu toků s behaviorální analýzou sítě. Tato přednáška byla asi „nejkomerčnější“, protože popisovala konkrétní komerční produkt FlowMon – nicméně tento produkt je zcela založen na open source, a proto si může v podstatě kdokoliv stejné zařízení vytvořit sám.

V přednášce nešlo jen o popis hotového řešení, ale i o pozadí, tedy co sledovat a proč, jak se mění síťové prostředí i útoky na něj. Stejně jako jeho kolega i Michal Holub zdůraznil důležitost spolupráce s univerzitní sférou, především s akademickým sdružením CESNET (kde původně vznikl projekt Liberouter, který se i přes různé těžkosti stal odrazovým můstkem pro další projekty).

Monitorování toků a behaviorální analýza sítě

Samba 4 jako doménový řadič školní počítačové sítě

Máte síť s velkým množstvím stanic se systémem Microsoft Windows, ale nechcete mít Windows na serverech? Radim Dolák by vás možná přesvědčil (na základě zkušeností z nasazení ve škole v Orlové), že opravdu nepotřebujete servery s Windows, a to ani pro řadič domény Active Directory. Samba 4 to totiž zvládá „levou zadní“ a funguje okamžitě po instalaci, bez nutnosti něco složitě konfigurovat. Vývoj Samby byl výrazně usnadněn poskytováním informací o příslušných protokolech (Microsoft pod tlakem EK podepsal s vývojáři dohodu v roce 2007).

FreeIPA – opensource řešení správy uživatelů v Linuxu

Martin Košek (Red Hat) navázal na předchozí přednášku a představil opensource řešení, které staví most mezi správou uživatelů pro Windows a pro Linux (v sítích, kde se používají oba systémy). Přestože lze Active Directory použít i pro ověřování uživatelů v Linuxu, nefunguje to jako „bezešvé“ řešení umožňující bez opakovaného přihlašování využívat plný komfort systému.

A právě FreeIPA má za cíl být takovým bezešvým řešením. Funkce postupně přibývají, nyní se lze například připojovat přes SSH bez přihlašování z počítače s Windows na ten linuxový nebo připojovat síťové zdroje NFS (pokud podporují Kerberos). Přestože písmeno A v názvu znamená „audit“, tato část bude řešena až v pozdějších fázích vývoje.

Raspberry Pi

Tím přednášky skončily … i když vlastně ještě ne. Původně byla totiž na programu ještě přednáška o Raspberry Pi, bohužel David Seidl onemocněl, a nemohl se tedy konference zúčastnit. Organizátoři ho však přesvědčili, aby vystoupil alespoň na dálku.

Výkon to byl vskutku bravurní a kdo do té doby o Raspberry Pi nikdy neslyšel, mohl v pár minutách získat celkem slušný přehled. Je třeba to ocenit tím spíš, že videopřenos fungoval jen jedním směrem (obráceně šly informace pouze textově), a tedy bez zpětné vazby od publika. Lukáš Macura proto alespoň na závěr zajistil telefonický přenos potlesku.

Telekonferenční přednáška o Raspberry Pi

Další program

Teď už přednášky sice doopravdy skončily, ale celá konference zatím nikoliv. Na programu byly totiž ještě dva body.

Losování výherců

Zúčastnit se OpenSource řešení v sítích neznamenalo jen dozvědět se mnoho nového, ale také vyhrát zajímavé ceny od sponzorů. Lukáš Macura tahal z pytlíku jména výherců a ti si chodili pro ceny. Situace byla ale trochu zkomplikována tím, že byla v pytlíku jména všech registrovaných, přičemž ne každý, kdo se zaregistroval, se pak také konference účastnil.

Losování výherců

Společenský večer s panelovou diskusí

Neformální část konference se už konala jinde – konkrétně v restauraci Ovečka, kde byl nedávno otevřen nový pivovar Larische. Přestože bylo oficiálně stanoveno téma „Podnikejte s open source, je nejvyšší čas“, nejednalo se o žádnou řízenou diskusi, vše probíhalo spontánně a v přátelské atmosféře. Rozčarování však přinesl přístup personálu restaurace, který ve 22 hodin oznámil zavírací hodinu, přestože měli organizátoři konference dohodnuto s provozovatelem, že tomu tak nebude. Část účastníků se tedy poté přesunula do jiného podniku a pokračovala v diskusi tam.

Večerní „panelová diskuse“

Zhodnocení konference