Profile

Cover photo
Klaus Peukert
Works at COMPAREX AG
Attended FernUniversität Hagen
Lives in Leipzig, Deutschland
1,134 followers|66,121 views
AboutPosts

Stream

Klaus Peukert

Shared publicly  - 
 
Peter Schaar – ehemaliger Beauftragter für Datenschutz und Informationsfreiheit – hat Facebook verlassen. So weit, so in Ordnung, dort muß ja niemand sein. Er tat dies nach den jüngsten Änderungen der AGB von Facebook. Auch das, in Ordnung. Das…
 ·  Translate
1
Mitch Toß's profile photoRolf Weber's profile photoKlaus Peukert's profile photo
3 comments
 
+Mitch Toß Wie schon 2011: Das ist nicht der Punkt. Der Punkt ist, dass absolut und ohne Abwägung/Nebenbedingung behauptet wird, dass eine Realnahmenpflicht allgemein und hier die von FB im Speziellen gegen das TMG verstößt. Das war damals bei G+ so, ist jetzt bei FB so und zwischendrin bei allen Diensten und Situationen, wo ein Realname eingefordert wird ist es auch so.

Jetzt kann man sich trefflich darüber streiten, ob die Anforderung aus dem TMG für FB oder andere "technisch möglich und zumutbar ist" und gern auch zu dem Schluß kommen, dass dem so sei. Das ist aber etwas völlig anderes als die Behauptung, dass eine Realnamenpflicht grundsätzlich dem TMG widersprechen würde und genau das ist es aber, was immer wieder behauptet wird.

Und zuverlässig wird diese erst so absolute Gewißheit auf Nachfragen relativiert, wenn man die Absolutheit infrage stellt, denn dann gibt es plötzlich doch Dienste, Situation und Unternehmen, für die eine Realnamenpflicht plötzlich doch mit dem TMG vereinbar ist ("XING ist ja nur für Berufliches!" - als ob das was völlig anderes wäre und nicht strukturell die gleiche Frage, außerdem: StudiVZ hatte auch eine Realnamenpflicht und war sogar datenschutzbehördengesiegelt und -approved).

Und dabei haben wir die Frage, ob das deutsche TMG für das in Irland ansässige Facebook überhaupt einschlägig ist, völlig ausgeblendet, denn während das für bspw. XING oder das selige StudiVZ wohl unstreitig bejaht werden kann, so ist das für FB nicht so leicht zu beantworten. Wenn das TMG nicht für FB anwendbar ist, dann kann man wohl schlechtr einen "Verstoß" dagegen finden, wenn es gilt, dann müssen aber auch für FB grundsätzlich dieselben Ausnahmeregelungen möglich sein oder man klar begründen, warum dies im speziellen Fall nicht so ist.
 ·  Translate
Add a comment...

Klaus Peukert

Shared publicly  - 
 
Nachdem Sascha Lobo in der jüngsten Mittwochskolumne Angela Merkel ein eher unterdurchschnittliches Zeugnis ihrer Digitalpolitik ausstellt (und mit dem Text deutlich macht, dass die dauerhafte Maximalempörung der letzten Monate inzwischen nicht mehr…
 ·  Translate
4
1
Marco Modano's profile photo
Add a comment...

Klaus Peukert

Shared publicly  - 
 
tante schreibt zu den Krautreportern und spricht nebenbei einen Punkt an, der meines Erachtens noch ein wenig Beachtung verdient. Ich hab letztens auf Twitter gelernt, dass es bei den Krautreportern nicht so sehr um die Rettung des Onlinejournalismus,…
 ·  Translate
1
Kristian Köhntopp's profile photoKlaus Peukert's profile photo
2 comments
 
Es ist mein Bild für "Jemand sagte zu mir auf Twitter, aber das hast Du sicher schon gewußt :)
 ·  Translate
Add a comment...

Klaus Peukert

Shared publicly  - 
 
 
Bei den Hacks der Accounts von prominenten Frauen wird gerne über irgendwelche Sicherheitsfragen und Datennaturgesetze geredet, anstatt sich mit den Auswirkungen dieser Übergriffe auf seine Opfer zu beschäftigen. 
 ·  Translate
Wir brauchen ein Recht auf digitale Unversehrtheit
View original post
1
Add a comment...

Klaus Peukert

Shared publicly  - 
 
 
Docker: It works on my system - let's ship it!

Braindump at https://docs.google.com/document/d/1LlPWnzTHH6spRrvOXOXa2P5GIqsBA-cS5Mw_V7RM8tI/edit# is commentable.

WOMS: It works on my system - let's ship it!

"If all you have is a container, everything looks like an encapsulation problem"

The current trend in system deployment at the moment seems to be containerization. Docker is one example of it, and Revisiting how we put together linux systems seems to be going into a similar direction.

What is containerization?

Typically you are looking at a file system with delta capabilties: BTRFS send/receive, AUFS2 and similar systems are able to do a variant of copy-on-write that is recording changes to an underlying base image, and create a layer on top of that. Apple's time machine is a very primitive way of doing a similar (but different) thing for purposes of backup instead of system execution.

Depending on the way these changes are being recorded, there are various ways in which the change recording is dependent on the underlying base image and how it can be recombined later with other images.

The main idea is to create layers of stacked file systems. The resulting image for execution can be composed of a base operating system, installed system components, a base configuration and additional customization. Optionally, the system has a capability to merge layers that are adjacent in the stack into a single composed layer ('merge the latest install with my additional changes' being the most enticing and problematic option here).

Containerization is sexy, because it allows us to run programs from inside the containers through the use of Linux Namespaces and Linux Cgroups. The namespaces provide the mechanism necessary to hide things from each other (separate system names, pid spaces, uid spaces, mount spaces, IPC spaces, and network name spaces). The cgroups provide the requires mechanism to limit ressource consumption of each container, and manage system ressources efficiently and in isolation.

Docker

Docker is a formalization of this as an execution model: Basically, each app is being run it ins own Linux environment, with its own libraries and other environmental dependencies provided as part of the image. A full container is being created to isolate the application, exposing only singular network ports to the outside in order to create a defined interfaces and access point for service delivery.

While the image is actually usually a full Linux image (it need not be, but the way docker containers are being made these days is pretty wasteful), starting an instance is not running a full Linux subsystem. Instead usually the actual application is being run in place of the system containers init process.

Due to the way Linux manages namespaces and cgroups, this provides very fast startup, very little overhead and zero dependencies on the host platform.

It looks like a really awesome concept. Docker even adds a central registry of images, with dependencies listed. You request a dockerized application, and it downloads itself from there, with dependent subimages, stacks everything together properly and then starts stuff.

Images are cached, and because everybody and their dog uses the Ubuntu 12.04 cloud image as a base, that's cached locally anyway and the download times are really tiny. Awesome!

The downside: Fake reproducibility

You create docker images using a Dockerfile. That's a small text file with build instructions for the image. These things are really simple, and can be understood with almost no explanation. 

Here is how to create a firefox in a box, useable via VNC:

FROM ubuntu
RUN apt-get update && apt-get install -y x11vnc xvfb firefox
RUN mkdir /.vnc
RUN x11vnc -storepasswd 1234 ~/.vnc/passwd
RUN bash -c 'echo "firefox" >> /.bashrc'
EXPOSE 5900
CMD    ["x11vnc", "-forever", "-usepw", "-create"]

This dockerfile is a good dockerfile: It downloads an Ubuntu base image, installs a minimum amount of additional software, via documented installation commands, exposes a single port for access and defines a startup command.

That's how dockerfiles work: They describe how an image has been built from other images, by adding files, and running commands to prepare it.

Only: this is not what is typically happens.

Look at this Google search: ssh into Docker

What people actually do is munging together a bunch of images, from unknown sources, created in an undocumented way, ssh into that, and then go on a customization spree through the container. 

Nobody downloaded the complete public registry of docker images, yet, to run some statistics on it. But I bet, if you do, and scan that, you'll find a lot of interesting things. Among things of interest, I expect:
.bash_history files, containing things that should have been part of the dockerfile instead.

- any amount of ssh and ssl private key material
- entire git repositories, or traces of them after deletion ("git clone myproject.git && cd myproject && make && make install && cd .. && rm -rf myproject")
- and a lot of other nasty surprises that are invisible if you look at dockerfiles

The difference between RPM spec files and a dockerfile

This is no accident. A dockerfile is fundamentally different from a spec file for a rpmbuild .

The spec file is build instructions but it is also a kind of documentation. It contains references to source file URLs, patches, and build dependencies. It then contains instructions on how to combine all that into an actually successful build, and then explains in detail what the deliverables are, which of them are the actual deliverables, config files or documentation, and finally spells out the full list of installation dependencies.

That is, it is a full description of how a certain result has been achieved, in order to make it reproducible by any interested third party. If that reads like the requirement list for the scientific method, that's because it is: A spec file contains only steps and ingredient source lists, no results, and the system has been built in a way to make manual intervention at any stage pretty hard, on purpose.

That's annoying, if you want just the results, hence things like checkinstall exist, and while they are sometimes handy, they are in no way a replacement for a proper spec file. You don't build distros based on that.

A dockerfile is, by contrast, in its minimal form, a binary patch to a binary blob downloaded from a questionable non-original source.

We have had that before, back 25 years ago.

We have had that before, back 25 years ago, and we abondoned it for a reason. It was called Smalltalk back then, but has been reinvented or reproduced on other platforms after that, several times:

Smalltalk was a wonderful development system: on error it dropped not a message or a stacktrace, but dropped you into the dev environment, with the cursor positioned at the error and all variables and the stack set to proper current values. That was really great, for a developer. 

If something was broken or lacking, you could easily fix it. For example, if your system libraries did not support png format, because it wasn't invented yet, you could open the system bitmap image class,add a new subclass and patch it into the main class. Voila, everything in your system that used bitmap images now understands png format.

It makes "Hello, world!" a but unwieldy, though, if you wan to ship it. Actually, there never were any smalltalk applications. in order to ship, you froze the current state of the dev system and shipped that:

WOMS. Works on my system.

That's dev culture. It is very different from operations culture. That's because dev culture focuses on the creation of new features, and not on infrastructure, depdendencies, requirements and other nasty outside factors.

It creates results, but does not record the way we arrived at them - there are no instructions that document in a binding way how we arrived at that blob that actually delivers the intended result. There is also no binding between the executeable/deliverables and the sources, all sources and patches and build instructions necessary to reproduce.
That makes results hard to verify, makes dependencies invisible, and statistics close to impossible. Instead, dependencies are shippsed are part of the image.

Down the road, 5 years, we'll be in a world with a lot of cargo culting: "If you clone this image, it will be faster and more stable." "I have no idea why it works, but if you choose that other image, it won't." Great! We just got rid of that with rpm and puppet (or apt and Chef, or whatever makes your systems fly).

Anyway, Operations exist, and they have nasty little requirements: "What versions of which are you deploying and running in your systems?" "Can you guarantee the absence of the following code snippet in all versions of SSL in all of your boxes and subboxes?" "And, while you are at it, can you please replace all versions of SSL in all of your boxes and subboxes with this new, improved and more current versions, by tomorrow, because vulnerable?"

You could pessimize that even more, arguing that shared libraries make no sense in a dockerized environment at all. After all, if you look at the internals of, say a Sonos box, you'll see a Linux kernel booting as a shell for device drivers to access the hardware, and then, after setting up a network environment, starting one large static C++ blob that is the actual Sonos sound system software. In a dockerized environment it would make a lot of sense to structure your software in a similar way - if distributions and operating system environments no longer matter, you can tailor your environment completely to the needs of your application after all.

So where before an upgrade meant to replace a library and then restart all binaries using it, it now means waiting for a rebuild of something outside of our control that contains a static copy of it.

It might as well be Windows, using a Linux outer shell to host device drivers.
38 comments on original post
1
1
Matthias Pfützner's profile photo
Add a comment...
Have him in circles
1,134 people
Jens Müller's profile photo
Stefan Sekor Körner's profile photo
Volker Weidmann's profile photo
Keisha Diane Jones's profile photo
Frank Schultz's profile photo
Till Uhlmann's profile photo
Kaufmann Magdalena's profile photo
Tobias Loitsch's profile photo
Ingo creeky's profile photo

Klaus Peukert

Shared publicly  - 
 
Heute Abend kommt im Öffentlich-Rechtlichen eine Dokumentation über die steigende Anzahl an Übergriffen auf Fußball-Schiedsrichter: “Tatort Kreisklasse – Wenn der Schiri zum Freiwild wird”. Neben einigen Tweets bin ich über diesen Vorab-Bericht bei der…
 ·  Translate
Heute Abend kommt im Öffentlich-Rechtlichen eine Dokumentation über die steigende Anzahl an Übergriffen auf Fußball-Schiedsrichter: "Tatort Kreisklasse - Wenn der Schiri zum Freiwild wird". Neben e...
2
Add a comment...

Klaus Peukert

Shared publicly  - 
 
Der Christopher Lauer hat mit dem Sascha Lobo zusammen ein Buch geschrieben. Über die Piratenpartei. 200 Seiten, bei Sobooks – dem e-Book-Startup von (u.a.) Sascha Lobo. Vorneweg: Kein rausgeschmissenes Geld, das Buch liest sich ganz angenehm. Für jedes…
 ·  Translate
3
Add a comment...

Klaus Peukert

Shared publicly  - 
 
Oh, seit wann kann man direkt aus dem GMail-Tab nach G+ posten?
 ·  Translate
1
Michael Stuhr's profile photoAlexander Freudenberg's profile photoKlaus Peukert's profile photo
3 comments
 
Genau die mein' ich. Dann bin ich also doch nicht bekloppt und das Ding ist neu. Danke .-)
 ·  Translate
Add a comment...

Klaus Peukert

Shared publicly  - 
 
tl;dr: Die vielbeworbene anonaBox ist ein Luftschloss, um mit wohligen Worten Schlangenöl zu verkaufen und einzelnen Menschen den Hintern zu vergolden, wäre auch ohne die Lügen von selbstverdrahteter Hardware ernsthaft gefährlich und selbst wenn es eine…
 ·  Translate
3
2
Bastie Wendt's profile photoMarco Modano's profile photoSven Türpe's profile photo
 
schöner Beitrag zur Debatte und außerdem ist nix mit Neuentwicklung, wie hier zu lesen ist: http://www.wired.com/2014/10/tiny-box-can-anonymize-everything-online/
 ·  Translate
Add a comment...

Klaus Peukert

Shared publicly  - 
4
1
C. Droste's profile photo
Add a comment...

Klaus Peukert

Shared publicly  - 
 
 
Fefe entdeckt gerade das ambivalente Verhältnis der Hackerszene zum Thema Sicherheit:

»Wisst ihr noch, wie wir alle sauer waren, dass die Leute ihre WLANs nicht abgesichert haben, und das unsicher war? Und dann haben wir gemerkt, dass wenn die alle ihre WLANs zunageln, und wir dem Anschlussinhaber Haftung überhelfen, dass es dann nirgendwo mehr freies WLAN für Passanten gibt? Rückblickend eine total doofe Idee, dass wir da gemeckert haben. Hätten wir mal die Schnauze gehalten.«

Hacker, zumindest als Community, wollen zweierlei zugleich: Sie wollen Sicherheitshelden sein, die sogenannte Sicherheitslücken finden und Verschlüsselung promoten, und sie wollen anarchistische Freiheitshelden sein, die Beschränkungen kreativ umgehen. Das passt nicht zusammen. Es passt nicht in Fefes Fallstudie einer offenbar effektiven Sicherheitserhöhung, nicht im gerooteten iPhone mit seiner willkommenen und daher nicht beklagten Schwachstelle, und es passt auch nicht in der unbelegten und wahrscheinlich falschen Vermutung, man könne seine Freiheit mit Verschlüsselung bewahren.
 ·  Translate
Fefes Blog. Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de! Fragen? Antworten! Siehe auch: Alternativlos. Thu Sep 4 2014. [l] Wisst ihr noch, wie wir alle sauer waren, dass die Leute ihre WLANs nicht abgesichert haben, und das unsicher war?
4 comments on original post
3
Martin Seeger's profile photo
 
Zielkonflikte sind nichts ungewöhnliches , auch innerhalb einer Community oder innerhalb ein-und-derselben Person ;-).
 ·  Translate
Add a comment...
People
Have him in circles
1,134 people
Jens Müller's profile photo
Stefan Sekor Körner's profile photo
Volker Weidmann's profile photo
Keisha Diane Jones's profile photo
Frank Schultz's profile photo
Till Uhlmann's profile photo
Kaufmann Magdalena's profile photo
Tobias Loitsch's profile photo
Ingo creeky's profile photo
Work
Employment
  • COMPAREX AG
    Presales Consultant Managed Services, 2014 - present
  • COMPAREX AG
    Support Engineer, 2013 - 2014
  • matrix technology AG
    Service Consultant, 2010 - 2013
  • KiK Computerausbildung und Vertrieb GmbH
    Systemadministrator, 1999 - 2010
  • Handelshochschule Leipzig
    Systemadministrator, 1999 - 2010
Places
Map of the places this user has livedMap of the places this user has livedMap of the places this user has lived
Currently
Leipzig, Deutschland
Previously
München - Dresden - Bad Düben - Borsdorf
Links
Story
Tagline
Gelassenheit durch Kompetenz
Education
  • FernUniversität Hagen
    Informatik, 2003 - 2004
  • Berufsakademie Dresden
    Informationstechnik, 1999 - 2001
  • Universität Leipzig
    Informatik, 1996 - 1999
Basic Information
Gender
Male
Relationship
Married