Hier war es eine weile sehr ruhig, dass hatte zwei Gründe. Erstens hatte ich Urlaub (die letzte Woche) zum anderen hat sich gezeigt, dass beim Netbook-Remix von Jaunty (9.04) auf Karmic (9.10) sehr viel passieren würde. Es hätte wenig Sinn gemacht, den Jaunty auf der Seashell bis zum Brechen zu optimieren, um ihn anschließend durch den Karmic zu ersetzten.
Darum dreht sich die Frage ja im Grunde. Lohnt es sich, eine funktionierende Jaunty-Netbook-Installation durch eine Karmic zu ersetzten. Kurz und knapp: Ja. Sämtliche Funktionen der Seashell funktionieren Out-of-the-Box. Hier nochmal die Auflistung:
- WLAN und LAN: Beide Interfaces werden erkannt und können sofort genutzt werden.
- HotKeys/LEDS: Fast alle wichtigen HotKeys (WLAN ausschalten, usw) funktionieren tadelos. Ausnahmen Touchpad-deaktiviern
- Suspend to Disk/Ram: laufen jetzt besser/robuster.
Diese Verbesserungen sind zu großen Teilen auf den neuen Kernel (2.6.31) zurückzuführen. Hier war der Jaunty einfach “benachteiligt”. Beim damaligen Release hat sich in zu vielen Treiberteilen, die die Netbooks betreffen, zu viel getan. Besonders hart hat es den Treiber der Intel-Grafikkarten getroffen. Dieser war im alten Kernel einfach “gebrochen”. Die Performance ist zwar immer noch hinter den Windows-Treibern aber schon erheblich besser als unter Jaunty.
Das Design und die Bedienung wurden im Detail verbessert. Es wirkt alles aufgeräumter und dezenter.
Hinter Munin versteckt sich ein sehr puristisches aber brauchbares Monitoring-Tool um ein ganzes Netzwerk zu überwachen. Munin besteht dabei aus zwei Teilen. Der Node und einem Crawler, der zyklisch (5 Minuten) alle bekannten Nodes abfragt. Danach werden Graphen von den gesammelten Daten über die Zeiträume Tag, Woche, Monat und Jahr erzeugt. Damit lassen sich gut Trends und Ungereimtheiten ablesen. Dazu wird noch rudimentäres “Alerting” geboten. Über/Unter-schreitet ein “getrackter” Wert ein vorgegebenes Limit, wird eine Warnmail ausgesendet. Zudem wird der Wert Farblich zusätzlich markiert, so das man beim Kontrollieren der Status-Webseite sofort sieht, das was im Argen liegt.
Die Node bietet dabei von Start weg überhaupt keine Funktionalität. Alles was man angezeigt bekommen will, muss via Plugins geliefert werden. Die Communitie bietet hier jedoch ein extrem umfangreiches Repertoire an schon vorhanden Plugins. Darunter auch Plugins die SNMP Quellen abfragen.
Nun bieten 3Ware einen SNMP Zugang zu allen RAID-Daten. Nur ist dies leider sehr umständlich. Da sich Plugins sehr einfach schreiben lassen, hab ich einfach drei Plugins geschrieben, die mir die wichtigsten Daten extrahieren und in Munin zur Verfügung stellen. Ich benutzte dazu “tw_cli” welches von 3Ware mitgeliefert wird. Anschließend wird dessen Output ausgewertet und dargestellt.
-
- Auflistung der physikalischen Devices nach RAID-Units
-
- Auflistung des BBU-Status
-
- Status der RAID-Devices
die Sources gibt es hier:
- RAID-Status: Liefert den Status aller im System bekannten RAID-Units
- RAID-Unit-Status: Listet den Status aller physikalisch Einheiten einer RAID-Unit.
- BBU – Status: Liefert den Status der installierten BBUs
Es kann mal passieren, dass eine Signatur eines Repository-Server abgelaufen ist. Um diese unter Ubuntu zu aktualisieren reicht folgender Befehl.
sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com <KEYID>
Will man einen RAID verschlüsseln, steht man vor verschiedenen Problemen. Zuallererst muss man sich klar werden, dass eine Verschlüsselung die Datensicherheit (Redundanz) gefährden kann. Tausend Backups nützen nichts wenn der Schlüssel bzw. das Schlüsselfile verloren gegangen ist. Das klingt banal, schießt einen aber ins Knie, wenn der RAID bei einem Systemausfall die wichtigen Daten am Leben hält, das Schlüsselfile aber mit ins Nirwana gegangen ist.
Umgekehrt torpediert dein RAID meist mit der schieren Masse an Daten die Datensicherheit im Sinne des Zugriffsschutzes. Je mehr Daten man mit dem gleichen Schlüssel verschlüsselt, desto “leichter” lässt sich der Schlüssel aus dieser Menge extrahieren. Ab 2 GByte sollte man sich intensiv damit beschäftigen, welchen Verschlüsselungsalgorithmus (Cipher) man verwenden kann und mit welcher Schlüssellänge man arbeiten sollte.
Neben solchen theoretischen Vorüberlegungen muss man sich aber auch klar werden wie man Verschlüsseln will. Welche Features will man nutzen, worauf kann man verzichten. Ich für meinen Teil hatte klare Vorstellungen von meinem Setup:
- FullDiskEncryption (FDE): Das RAID Array soll im ganzen verschlüsselt werden.
- Dynamische RAID-Vergrößerung: Ab gewissen Speichergrößen ist eine Verdopplung des Speichers nicht mehr praktikabel oder schlicht bezahlbar.
Beide Punkte zusammen haben jedoch ihren Knackpunkt. Nicht alle Verschlüsselungstechnologien sind bei FDE (oder überhaupt) in der Lage einmal verschlüsselte Container/Volumes in der Größe zu verändern. TrueCrypt kann dies nur bei Containern und dann mit einem Performance-Overhead, der inakzeptabel ist. Bei den OpenSource-Technologien bleibt dann nur noch dm-crypt über. Dieses hat jedoch die “Schwäche”, dass der Verschlüsselungheader (welcher Cipher, Start, Ende, etc) selber unverschlüsselt auf der Platte liegt. Sicherheitstechnisch ist das kein Problem. Auch wenn der Angreifer den Cipher kennt, beißt er sich bei den richtigen Algorithmen und Schlüssellängen die Zähne aus. Nur kann ein dm-crypt Benutzer nicht glaubhaft abstreiten, dass er eben dm-crypt nicht benutzt.
Mir war die juristische Debatte erstmal egal, ich wollte ein verschlüsseltes dynamisches RAID-Device. Das hat mich ein ganzes Wochenende gekostet (500GB auf 750GB zu migrieren dauert immer ungefähr 4 Stunden). Es hat sich mir ein zentrales Problem in den weg gestellt. Es gibt für die Konsole kein Tool, dass eine Partition vergrößern kann, dessen Dateisystem es nicht erkennt. Man kann mittels fdisk die Partitionstabelle löschen und neu schreiben. So sadomasochistisch bin ich aber nicht veranlagt. Man riskiert immer vollen Datenverlust!
Man kann den Umweg über Logical Volume Manager (LVM) gehen. Dazu wird bei einem vergrößerten Device nicht die Partition vergrößert, sondern im neuen freien Bereich einfach eine weitere Partition erstellt. Diese wird dann dem Logischen Device hinzugefügt. Arbeitet man nur mit einem Fake- oder Software-RAID, mag das akzeptabel sein. Kommt es bei diesen zu einem Stromausfall darf man eh beten. Hardware-RAIDs nutzen jedoch BBUs um Datenverlust im Fehlerfall zu unterbinden. Was mit der LVM Zwischenschicht wieder ausgehebelt währe.
Möglichkeit drei ist einfach: man nutzt keine Partitionierung. Dazu muss man einfach wie folgt sein Device “beschreiben”
sudo parted /dev/sdX mklabel msdos quit
Nach dieser Aktion hat man eine MSDOS – Partitionierung, aber nicht erschrecken, die verschwindet gleich wieder 
.
Jetzt kann man die Festplatte direkt verschlüsseln, was z.B. bei einer GPT – Partitionstabelle nicht geht.
sudo cryptsetup luksFormat --cipher aes-xts-plain:sha256 -s 256 -q /dev/sdX #Verschlüsselung anlegen sudo cryptsetup luksOpen /dev/sdX someCryptDev #Verschlüsseltes Device öffnen mkfs.ext3 /dev/mapper/someCryptDev #verschlüsseltes Device formatieren mount /dev/mapper/someCryptDev /mnt/someCryptDevUncrypted
Beim Wiedereinhängen einfach luksFormat und mkfs weglassen, sonst blöd
Interessant wird jetzt die Vergrößerung. Dazu im unter lagerten RAID erstmal das Device vergrößern. Um die neue Festplattengröße dem System bekannt zu machen muss man entweder mittels des RAID-Treibers ein rescann auslösen, man entlädt einfach den ganzen Treiber und hängt ihn wieder ein oder startet einfach neu.
sudo lsmod #alle Treiber anzeigen lassen und den RAID-Treiber raus suchen. sudo modprobe -r #RAID-Treiber entladen sudo modprobe #RAID-Treiber laden
Letztes geht nicht ohne das aushängen der gemountet Partition. Besser gesagt, es geht schon, bloß muss man dann mit Datenverlust rechnen. Ein Rescan sollte zu keinem Datenverlust führen, das ist jedoch Treiber-abhängig, in jedem Fall das Manual oder den Maintainer konsultieren. Für 3Ware (jetzt LSI) Raids müssen die Devices z.B. ausgehängt sein.
Ist die neue Festplattengröße im System bekannt, muss man sie nutzbar machen. Dazu gibt es zwei Möglichkeiten:
- Online – ohne Downtime des Dateisystems: Dies benötigt ein Dateisystem, was das Vergrößern/Verkleinern “on-the-Fly” unterstützt. Das können z.b. EXT3 oder XFS.
sudo fdisk -lu /dev/sdX #Sektoren raus schreiben sudo cryptsetup status #Offset raus schreiben sudo cryptsetup resize -o -b ; sudo resize2fs /dev/mapper/sdX #resize des FileSystems am Beispiel EXT3
- Offline – mit Downtime des Dateisystems: Die kann mit allen Dateisystemen durchgeführt werden, die vergrößert/verkleinert werden können. Es ist auch ein Stück komfortabler.
sudo umount /dev/mapper/; #aushängen des verschlüsselten Devices (wenn nicht schon vor dem Scann passiert) sudo cryptsetup luksClose #schließen des verschlüsselten Devices (wenn nicht schon vor dem Scann passiert) sudo cryptsetup luksOpen /dev/sdX #damit ist auch schon die Vergrößerung des verschlüsselten Devise erledigt... sudo resize2fs /dev/mapper/ #resize des FileSystems am Beispiel EXT3/EXT2
Beim öffnen des Device nutzt selbiges scheinbar automatisch allen verfügbaren Platz, wenn man nichts anderes (mittels resize) einstellt.
So kann kann in jedem Fall ohne viel Stress seine RAID-Device stückchenweise nach seinen Bedürfnissen erweitern. Dennoch sollte man von allen wichtigen Daten immer ein Backup haben! Zudem sollte man dieses Vorgehen ein, zwei mal geübt haben, bevor man es mit wichtigen Daten durchführt;)
Das erste was nach der Installation der Hardware auffällt ist, dass der Boot-Vorgang extrem viel länger dauert. Beim ersten Start hat es locker 30 Sek gebraucht, bis das BIOS des RAID-Controllers durch war und mein Server endlich ins Linux gebootet hat. In den folgenden Boots wird das nicht viel besser.
Die Installation des 9650 ist unter Ubuntu 9.04 denkbar einfach. Auch alle anderen Distributionen werden (wenn auch nicht offiziell) ohne Probleme unterstützt. Einzig die Kernelversion 2.6.14 oder die entsprechenden Treibermodule werden vorausgesetzt. 3Ware bietet drei Möglichkeiten den RAID-Controller zu administrieren. BIOS, CLI und die 3DM -genannte webbasierte RemoteManagement – Konsole. Die Installation erfolgt problemlos, einzig eine „echte“ JavaRuntime und das Programm „bc“ werden benötigt. Beide sind aber im offiziellen Repository enthalten und man gefährdet seinen Server nicht mit Fremdquellen. Ein „kleines“ “aptitude install” vorneweg und die Installation kann beginnen.
Hat man eine grafische Oberfläche kann man das Setup einfach so starten, steht einem nur ein Kommandozeilen-Terminal zur Verfügung muss man noch den Parameter „-console“ anhängen. Anschließend führt ein Assistent durch die Installation und nach „wenigen“ Minuten steht einem der RAID-Controller in vollen Funktionsumfang zur Verfügung.
sudo aptitute install bc tar xfvz 3DM2_CLI-Linux-x86_64-9.5.2.tgz sudo ./setupLinux_x64.bin -consol
Jetzt wird man durch den Assistenten geführt. Das dauert wie gesagt ein paar Minuten. Anschließend ist alles nach Wunsch installiert und konfiguriert. Will man nachträglich etwas ändern so findet man das Config-File unter /etc/3dm2/
Man muss nur noch dafür sorgen, dass die Remote – Konsole auch automatisch gestartet wird. Leider ist der mitgelieferte Startscript, der auch brav unter /etc/init.d abgelegt wird, nicht ganz Standardkonform. Es fehlen die Angaben zu Required-Start und Required-Stop. Ergo schnell die Datei mit einem Editor der Wahl geöffnet und den Header angepasst.
#!/bin/sh # # 3dm2: Starts the 3ware daemon # # Author: Michael Benz # # Default-Start: 3 4 5 # Default-Stop: S 0 1 6 # Required-Start: $network $remote_fs $syslog # Required-Stop: $network $remote_fs $syslog # Provides: tdm2 # Short-Description: 3ware Daemon # Description: Start the 3dm2 application which logs the current state # of the 3ware DiskSwitch controller card, and then polls # for state changes. # # config: /etc/3dm2/3dm2.conf
Zeile 9 und 10 sind von mir eingefügt. Anschließend folgenden Befehl ausführen.
sudo update-rc.d tdm2 defaultsNun startet die Remote-Konsole automatisch beim Systemstart mit.
Für den ersten Test startet man entweder neu oder ruft den Script manuell auf.
/etc/init.d/tdm2 start
Wenn man die Konsole aufrufen will muss man beachten, dass nur HTTPS anfragen beantwortet werden. Nach dem Login (Standartpassword: 3ware) sollte man sofort die Passwörter ändern und ein BIOS-Update einspielen. letzteres bedarf leider eines Neustarts.
Anschließend kann man seine RAID-Arrays konfigurieren.
Ich hab es also getan. Ich hab mir einen 3Ware 9650SE zugelegt. Ok wer nach schaut wird feststellen, dass es mehrere Controller mit der Bezeichnung gibt. Ich hab mir den mit 8 Ports gegönnt. Was hat mich nun bewogen so ein “Monster” für den privat Gebrauch zu kaufen, zumal die Kosten horrend sind. Auf diese Frage gibt es nur eine Antwort: Der Umfang der von solchen Profie-RAIDs geboten wird. An oberster Stelle stehen natürlich Features die die Datensicherheit garantieren. Neben dem obligatorischen RAID 6 bietet der RAID-Controller folgendende Eigenschaften:
- Festplatten die einen lokalen Fehler melden (Schreib/Lesefehler etc) werden nicht sofort als “unbrauchbar” betrachtet. Sie steht auch weiterhin als Redundanz zur Verfügung. So kann ein Rebuild schneller erfolgen.
- Der Schreib/Lese-Cache der Festplatten wird abgeschaltet und der Controller-eigene Cache genutzt. Dieser ist über eine Batterie (Battery Backup Unit – BBU) gesichert. Das garantiert, dass selbst bei einem totalen Systemausfall keine Daten verloren gehen.
Daneben bestechen Performance-Features:
- Wird nicht der ganze verfügbare Speicherplatz einer RAID-Unit genutzt hinterlegt der RAID-Controler mehr Informationen auf den einzelnen Platten um im falle eines Rebuilds schneller wieder volle Redundanz herzustellen.
- Zusätzlich werden alle Möglichkeiten genutzt den Plattenzugriff zu optimieren (Queuing,Read/Write-Cache)
Über die grundlegende Performance des Controllers braucht man nicht viel sagen. Wie man es erwartet, ist diese durch die Bank weg hoch. In den verfügbaren Benchmarks liegt er im oberen Drittel.
Neben diesen eckdaten gibt es noch eine Komfortfunktionen die sogar für den Privatgebrauch sehr angenehm sind.
- Der RAID-Controller kann On-The-Fly RAID-Units vergrößern, migrieren, optimieren. Braucht man mehr Speicherplatz, steckt man einfach eine neue Platte rein oder ersetzt eine Festplatte nach der anderen mit einer Größeren.
- Umfassenden Remote-Management: Alle funktionen des RAIDs können per Web-Interface aus der Ferne gesteuert werden. Fehler oder Warnung werden per Mail an eine Wartungsadresse. Falls wirklich mal eine Platte ausfällt, bekommt man es auf Wunsch sofort mit.
Alles in allem ein sehr angenehmes Gefühl mit so einem Gerät zu arbeiten.
Wenn man mal in die Gelegenheit kommt an einer Konsole zu arbeiten, die den Backspace nicht verarbeiten will kann man mit folgendem Befehl nachhelfen:
stty erase [Wunschtaste drücken]
Damit man auf Knopfdruck das WLan abschalten kann muss man das modul rfkill-input laden lassen. In der Datei “/etc/modules” das modul angeben.
Man kann auch mit dem folgendem Befehl, das modul temporär laden und testen.
sudo modprobe rfkill-inputwill man etwas mehr komfort braucht man eines der “vielen” EeePC-Applets. Ein gutes wird über das statux.org-Repository. Danach kann man sich das EeePC-Tray installieren. Danach bekommt man eine Visualisierung ob der Tastendruck “gezogen” hat, da der WPA-Supplicant ein wenig verzögert reagiert.
Ich hab jetzt seit einer Woche ein Netbook im Einsatz. Es ist also Zeit für einen kleinen Rückblick. Erstes Fazit: arbeiten auf der Seashell macht Spaß. Besonders da es momentan noch wirklich Arbeit ist. Es braucht eine weile bis man sich Ubuntu so angepasst hat, das es so läuft wie man es wirklich will. Besonders die Optimierung auf „Sparsamkeit“ ist noch (Konsolen) Arbeit. Daneben lassen sich hervorragend Texte schreiben, Mails lesen und im Internet surfen.
Neben der Tastatur und dem Display überzeugt vor allem der Netbook-Remix selber. Diesen muss man in zwei Bereiche teilen: Kernel/Unterbau und GUI.
Der Kernel im Netbook-Remix samt die ihm umgebene Konfiguration aus Daemons ist nicht „optimal“. Was aber nicht weiter verwundert, es zwar ein optimierter aber immer noch „allgemeingültigen“ Kernel eingesetzt. Auch der Xserver läd noch alle Module/Treiber um eine Nvidia, ATI oder sonst irgendeine Karte zu befeuern. Dies ist dem Umstand geschuldet, das es sich beim Netbook Remix um eine „große“ Distribution handelt, keine optimierte Spartenvariante. Das ließ sich aber schnell ändern. Mit „wenigen“ Handgriffen war der „allgemeine“ Kernel gegen einen EeePC-Kernel ausgetauscht, der ist nicht nur kleiner sondern spart auch Strom. Auch sonst ließ sich der Unterbau mittels aptitude und Config-Scriptes sehr komfortabel an die Bedürfnisse anpassen. Momentan hab ich das Gefühl eine Betriebssystem zu haben, was sich „fast“ perfekt an die vorhanden Hardware angepasst hat. Noch ein zwei Ecken weg schleifen (Softkey zum laufen bringen) und ich bin wunschlos glücklich.
Bei der Oberfläche überlebte ich einige Überraschungen. Ich war mit der Einstellung „ran gegangen“ Ubuntu zu installieren (da es noch kein Xubuntu Netbook-Remix gibt) und das enthaltene Gnome schnellstmögliche runter zuschmeißen und gegen Xfce zu tauschen. Da dies ja ressourcensparender ist und mehr „KDE-like“. „Gnome ist halt hässlich“. Naja es kam alles ein wenig anders. Beim Zwangsboot von Windows merkte ich das erste mal, dass eine Standard Desktopoberfläche auf einen 10”-Display alles andere als optimal ist. Die Fensterleiste zu breit, dass „Windowing“ zu platz verschwendend. Von 600 Pixeln (vertikal) gehen alleine schon knapp 100 Pixel für „Startleiste“ und „Fensterrahmen“ drauf. Nach der Installation von Ubuntu war ich erstmal schockiert von der Farbgebung. Ich mochte dieses grau in braun noch nie… Durch das Fehlen der Netzwerkfunktionalität war ich gezwungen erstmal mit dieser Oberfläche zu arbeiten, wenn auch nur in der Konsole. Nach den ersten Stunden (2-3) hatte ich Netzwerk und machte meine Drohung war. Einmal den Befehl ausgeführt, der mir GNOME runter schmeißt und XFCE draufhaut. Ohne Seil und doppelten Boden. Weg mit dem braunen Brei, her mit der … Desktopoberfläche… Nachdem ich die erste Stunde mit XFCE gearbeitet hatte (Einrichten, gestalten und auf Energiesparen trimmen) stellte ich fest, dass sich mein erster Eindruck bestätigte. Irgendwie fühlte sich das alles unrund an. Das ständige überlagern von Fenstern, das schieben und anordnen war ein Krampf. Ich verwarf das alles und installierte Ubuntu nochmal neu. Nachdem ich mich mit den Braun angefreundet hatte (mittlerweile empfinde ich es sogar als angenehm) stellten sich die Vorteile des Oberflächendesign noch stärker heraus. Bis auf ein paar nicht angepasste Dialoge (oder die Möglichkeit zu große Dialoge zu scrollen) wirkt alles aus einem Guss und aufeinander angepasst. Sogar mein Lieblingsbrowser lässt sich mit Skin wunderbar in die Oberfläche integrieren. Als Zentrale Anlaufstelle habe ich den Gnome-Netbook-Launcher wirklich ins Herz geschlossen. Anfangs wirkte das Ding überflüssig wie ein Kropf, mittlerweile findee ich das „OnScreen“Menüunervig.. Bei der kleinen Auflösung hat man oft Überblendungen oder „aufploppen“ an stellen wo man das Menü nicht erwartet. Wenn ich raus gefunden hab wie ich den Launcher auf Tastendruck einblende verschwindet das Menü endgültig…
Adam McDaniel bietet einen speziell an den EeePC (oder andere Netbooks) angepassten Kernel für Ubuntu an. Der ist zwar aktuell hinter dem Ubuntu-Kernel hinterher (2.6.28-13 gegen 2.6.28-12) dafür ist er aber um einiges schlanker und “schneller”. Wobei der Leistungszuwachs unter den “alten” EeePC wohl größer ist. Ich betreibe meine SeaShell dennoch mit dem neuen Kernel, da der Kernel ungefähr 0.5 bis 1 Watt weniger Strom verbraucht (laut Powertop) und damit gut 30 min längere Akkulaufzeit bietet.
Um den Kernel zu installieren muss man erstmal die neuen quellen über die /etc/apt/source.list einbinden.
deb http://www.array.org/ubuntu jaunty main deb-src http://www.array.org/ubuntu jaunty main
Anschließend den zugeörigen PublicKey herunterladen und ein Quellenupdate durchführen.
wget http://www.array.org/ubuntu/array-apt-key.asc sudo apt-key add array-apt-key.asc sudo apt-get update
Ist das erledigt, installiert man sich den optimierten Kernel
sudo apt-get install linux-netbook-eeepc sudo apt-get install linux-backports-modules-jaunty-netbook-eeepc sudo apt-get install linux-headers-2.6.28-12-netbook-eeepc
Die letzte Zeile kann man sich sparen, wenn man “nur” den gleichen zustand herstellen will wie bei der “normalen” Ubuntu installation. WIll man hingegen noch den LAN Treiber installieren braucht man die Header Files.
Den Treiber für die Gigabit-Ethernet-Karte gibt es bei Atheros oder direkt bei mir. Einmal entpackt beginnt der berühmte aber leicht abgewandelte Linux-Dreisatzt.
make sudo make install sudo insmod atl1e.ko
Danach funktionierts auch mit der Lan-Karte.
