In Zeiten, in denen die Strompreise kontinuierlich rasant ansteigen machen natürlich auch wir uns unsere Gedanken zum Stromverbrauch. Denn mittlerweile sind die Stromkosten mit die größten Kostenstellen und gerade beim Dauerbetrieb von Servern ist das Einsparpotential groß.

Als Referenzhardware unserer kleinen Veruschsreihe diente eine aktuelle Serverkonfiguration, so wie wir diese als Rootserver anbieten:

• Intel Core2Quad Q9450 CPU mit 4x 2.66GHz, 12MB Cache
• 8GB DDR2 RAM
• 2x 500GB SATA2 HDD

Wir haben jeweils den Load im Leerlauf und unter Volllast mit verschiedenen Netzteilen unterschiedlicher Hersteller getestet.

Alle Lüfter in dem 1HE Gehäuse sind ausschließlich PWM gesteuert gewesen, die entsprechende Funktion im BIOS war aktiviert.

Um den Stromverbrauch im Leerlauf zu messen wurde das System von einer Knoppix Live-CD gebootet und die Werte über 5 Minuten bei 100% idle ermittelt und gemittelt.

Einen aussagekräftigen Wert für den Stromverbrauch unter Volllast zu erhalten ist schon etwas schwieriger. Um einen möglichst realitätsnahen Volllastwert zu erreichen, hatten wir uns einige Skripte zusammengesucht, die folgende Stress Tests gleichzeitig durchführen:

• Vollständige Auslastung aller 4 CPU-Kerne
• Anlegen und löschen zahlreicher kleiner Dateien mit maximaler Bandbreite auf beiden Festplatten
• Schreiben von Daten mit maximaler Speicherbandbreite, anschließendes Löschen der Daten aus dem RAM, jeweils abwechselnd in kurzen Abständen

Die Tests liefen zunächst 30 Minuten, um das System auf eine reale Betriebstemperatur zu bringen. Denn auch die aus der Temperatur resultierende Lüfterdrehzahl beeinflusst den Stromverbrauch des Systems. Anschließend wurden wieder zwei Werte im Abstand von 5 Minuten ermittelt und gemittelt.

Getestet haben wir mit drei verschiedenen, aktuell gängigen 1HE Netzteilen. Die Testkandidaten waren:

• Mapower 250 Watt Netzteil – keine Angabe zur Effizienz (PX-250A)
• FSP 300 Watt Netzteil – angegebene Effizienz unter Volllast: 68% (FSP300-601U)
• Seasonic 400 Watt Netzteil – angegebene Effizienz unter Vollast: 76% (SS-400H1U)

Folgende Werte (Stromverbrauch Leerlauf / Stromverbrauch Vollast) haben wir in etwa gemessen:

• PX-250A: 100 / 170 Watt
• FSP300-601U: 65 / 110 Watt
• SS-400H1U 60 / 100 Watt

Das Einsparpotential ist wie erwartet enorm groß. Hinzu kommt dass im Gegensatz zu CPUs oder RAM die Leistung im Netzteil wirklich nur ungenutzt, d.h. in Form von Wärme, verbraucht wird. Bei einer CPU lässt sich unter Umständen ein höher Stromverbrauch noch durch eine höhere Leistung rechtfertigen, nicht so aber bei einem Netzteil.

Angenommen, man verbaut das effizienteste Netzteil aus dem Test und das System läuft durchschnittlich mit 50% Last, so ergibt sich eine jährliche Ersparnis von rund 300 Kilowattstunden. Da bei einem Rechenzentrum neben den eigentlichen Kosten für den Strom auch Kosten für die USV Absicherung und die Klimatisierung anfallen, sind Preise um die 30 Cent pro Kilowattstunde realistisch. Unsere hypothetischen 600 Kilowattstunden entsprächen also etwa 90 Euro, die sich jährlich einsparen ließen.

Die Investition in ein teureres aber dafür effizienteres Netzteil lohnt sich also in jedem Fall. Die höheren Anschaffungskosten haben sich innerhalb kürzester Zeit amortisiert. Hinzu kommt, dass bei teureren Netzteilen die Ausfallraten erfahrungsgemäß weitaus geringer sind als bei günstigeren Netzteilen. Und letztendlich schont jede eingesparte Kilowattstunde unsere Umwelt.

Aus aktuellem Anlass möchten wir kurz auf das Thema Sicherheit bei Rootservern hinweisen.

Heise Online hat heute einen Artikel veröffentlicht, in dem es um die aktuelle Entwicklung von Botnetzen geht.

Aktuelle Statistiken gehen von einem dramatischen Wachstum infizierter Rechner in den vergangenen Monaten aus, genauer gesagt hat sich die Anzahl der infizierten Rechner in den letzten drei Monaten nahezu vervierfacht.

Botnetze bestehen meist aus mehreren tausend infizierten Rechnern, die ohne das Wissen der Benutzer dazu missbraucht werden, illegale Aktivitäten im Internet durchzuführen und zu tarnen.
Konkret bedeutet das, infizierte Rechner werden als Proxys, zum Versand von Spam, für DDoS Attacken, zum Ausspähen von Daten, zum Betrieb von Phishing Seiten, zu Bruteforce Angriffen und letztendlich auch zur Weiterverbreitung des Botnetzes genutzt.

Weit verbreitet sind solche Bots auf privat genutzten Windows Rechnern, die per Mailspam oder Social Engineering (bspw. Tarnung als gutartige Software) infiziert werden.

Allerdings sollte man auch als Besitzer eines Rootservers oder VServers auf der Hut sein, da sich die Angriffe längst nicht mehr nur auf Windows Rechner beschränken. Auch Linux und Unix Systeme werden systematisch auf Schwachstellen gescannt und automatisiert infiziert. Dies belegen alleine schon die Logdateien unserer Firewalls, die mit solchen Scans regelrecht überflutet werden. Auch bekommen wir immer wieder Abusemails oder Hilferufe von Kunden die nicht mehr weiter wissen was mit ihrem System los ist. Fast immer ergeben nähere Untersuchungen, dass der betroffene Server mit einem Bot infiziert wurde.

Deshalb sollte man sich, insbesondere wenn man einen Server betreibt, der permanent und mit hoher Bandbreite an das Internet angebunden ist, auf jeden Fall einige Gedanken zum Thema Sicherheit machen.

Hier einige einfache und grundlegende Punkte die einem einiges an Ärger und unter Umständen auch Geld ersparen können:

• Administriere nur die Software, mit der ich mich wirklich auskenne. Im Zweifelsfall besser einen Fachmann um Rat fragen bzw. von diesem das System administrieren und absichern lassen.
• Installiere nur die Pakete und Programme, die ich wirklich benötige.
• Starte nur die Dienste von denen ich weiß was sie machen und dass ich sie brauche.
• Gewähre auf Dateien nur die Rechte, die wirklich benötigt werden. Ein chmod 777 ist fast immer fehl am Platz.
• Limitiere Benutzer und Dienste soweit es möglich ist. Stichpunkt unter Unix / Linux: Chroot und Jail
• Firewall einrichten: Öffne nur die Ports, die ich für meine Anwendungen brauche.
• System aktuell halten: Sicherheitsupdates so schnell wie möglich einspielen. Mailinglisten der eingesetzten Software abonnieren, um schnell informiert zu werden. Kernel Updates nicht vergessen.
• Logdateien regelmäßig auf ungewöhnliche Einträge kontrollieren. Stichwort: Bruteforce
• Systemvariablen überwachen: Sprunghafte Veränderungen von Werten können auf ein Sicherheitsleck hinweisen. Denn sobald der Server mit einem Bot infiziert ist, wird dieser meist auch massiv missbraucht, was bspw. ein einer steigenden Anzahl von Prozessen, höherem Load, höheren Traffic und dergleichen resultiert.
• System abhärten. Sehr gute Anleitungen und HowTos gibt es für für fast jede Distribution. Oft wird auch PHP genutzt um sich erst einmal eine Shell zu verschaffen. Maßnahmen für PHP wären beispielsweise suPHP oder FastCGI und suhosin.
• Zusätzliche Software installieren, um das System abzusichern. Zum Beispiel bei Debian: Fail2Ban um Bruteforce Angriffe zu verhindern; per Cronjob regelmäßig das System mit Tools wie ClamAV, rkhunter und Chkrootkit scannen und Ergebnisse der Überprüfungen per Mail zuschicken lassen.
• Vom Standard abweichen: Massenweise, automatische Angriffe machen nur Sinn, wenn man damit möglichst viele Ziele erreichen und infizieren kann. Daher kann es durchaus von Vorteil sein, wenn man nicht jede Konfiguration mit den default Optionen einrichtet sonder sich mit der installierten Software beschäftigt und Anpassungen vornimmt. Zum Beispiel bei SSH den Port verlegen und nur noch Authentifizierung per Key zulassen. Das erspart einem schon einmal einiges am Hintergrundrauschen des Internets, sprich Bruteforce Angriffen. Es ist klar, dass das System an sich dadurch nicht wirklich sicherer wird aber es mindert doch das Risiko enorm, Opfer eines solchen ziellosen Versuchs zu werden.
• Sichere Passwörter verwenden. Warum wird immer noch so stark auf Bruteforce gesetzt? Genau, weil es immer noch funktioniert! Selbst bei hauptberuflichen Systemadministratoren und in großen Firmen hat sich anscheinend immer noch nicht herum gesprochen, dass ein Passwort alà Eigenname mit 6 Buchstaben oder der Geburtstag der Ehefrau alles andere als sicher ist. Wir müssen das leider Tag ein Tag aus in der Praxis miterleben.

Die Liste erhebt keineswegs Anspruch auf Vollständigkeit oder darauf, detailliert zu sein. Es sollen lediglich einige Anregungen gegeben werden, sich mit dem Thema Sicherheit etwas intensiver zu beschäftigen und das eigene Sicherheitskonzept (sofern es denn existiert) vielleicht nochmals zu überprüfen.

Auch möchten wir unerfahrene Nutzer nochmals ausdrücklich davor warnen, ihre ersten Versuche unter Linux an einem Server zu machen. Hierfür bieten sich LiveCDs und Rechner an, die nicht ans Internet angebunden sind. Ansonsten kann die Freude am eigenen Server und die Tatsache, ein paar Euro für die Administration gespart zu haben, doch sehr schnell in Frust und wirklich hohe Folgekosten umschlagen.

Allen anderen wünschen wir natürlich weiterhin viel Spaß und Erfolg mit Ihren Servern. 😉

Vor einigen Monaten hat Sun einen eigenen Youtube Channel gestartet.

Neben einigen Sun spezifischen Videos gibt es auch einige interessante Videos, die technische Themen wie Virtualisierung behandeln. Für den Einstig durchaus sehenswert!

Virtualisierung Grundlagen

Logische Virtualisierung

Letzte Woche ist Xen 3.3.0 erschienen, das einige Neuerungen und Verbesserungen mit sich bringt. Aus diesem Anlass haben wir heute begonnen, die neue Version einigen Tests zu unterziehen.

Da wir die vergangenen Tage desöfteren danach gefragt wurden: Derzeit möchten wir noch keine VServer mit Xen 3.3.0 anbieten.

Bevor unsere internen Testläufe nicht alle abgeschlossen sind, setzen wir weiterhin Xen 3.2.0 bzw. 3.2.1 ein. Das hat den einfachen Grund, dass wir erst sicherstellen möchten, dass Xen 3.3.0 stabil läuft und das Webinterface damit zurecht kommt.

Bedanken möchten wir uns für die zahlreichen Tester, die unsere VServer Testaktion in Anspruch nehmen und uns auch fleißig Feedback liefern.

Sollten Sie einer der glücklichen Interessenten sein, die einen Testserver erhalten haben, würden wir uns freuen, wenn Sie uns hin und wieder von Ihren Erfahrungen berichten. Egal ob per eMail oder direkt hier im Blog.

Wir werden mit Sicherheit versuchen so viele Anregungen wie möglich aufzunehmen und umzusetzen.

Gestern ist in dem Content Management System Joomla eine kritische Sicherheitslücke entdeckt worden.

Mit Hilfe dieser Lücke sind Angreifer in der Lage das Joomla Administrator Passwort zu ändern. Betroffen sind alle Joomla 1.5 Versionen.

Wir raten allen Kunden, die Joomla einsetzen, dringendst zu einem schnellstmöglichen Update, um die Lücke zu schließen. Es haben heute bereits einige Angriffe stattgefunden, bei denen diese Lücke ausgenutzt wurde.