assets/2017-02-13-getting-started-with-java9-modules/duke-thinking.jpg

So, 2017 has arrived - this is the year when Java 9 will finally be released. And with it, the brand new module system called Jigsaw. In January, Marc Reinhold has announced that JDK 9 is feature complete, so we have every reason to be optimistic that the final release will actually ready in July. So it is about time to get acquainted with project Jigsaw, also known as Java 9 modules.

weiterlesen...

Author:Jens Klingen
Tags:java9, java, jigsaw, modules
Categories:development
assets/2017-02-10-minikube/minikube_logo.png

Getting started with Kubernetes can be intimidating at first. Installing Kubernetes is not the easiest of tasks and can get quite frustrating.1 Luckily, there is an out-of-the box distribution called Minikube which makes toying around with Kubernetes a bliss.

weiterlesen...

Author:Christian Guggenmos
Tags:kubernetes, minikube, docker
Categories:development, java, kubernetes
assets/2017-02-07-hamcrest-more-readable-tests/hamcrest.jpg

The probably best written tests are those which can be understood by anyone understanding some English, right?

Hamcrest is an anagram of the word “Matchers” and a paradigm of encapsulating matching logic and corresponding error messages in objects we could use and reuse in the tests. They hide “matching”-implementation details and get self explanatory names we can seamless integrate in our tests. And of course we are also able to write tests for our matchers!

Hamcrest itself isn’t only intended to be used in the context of tests. It’s available for: Java, Python, Ruby, Objective-C, PHP, Erlang, Swift.

weiterlesen...

Author:Philipp Renoth
Tags:hamcrest, junit, testing
Categories:java, testing, hamcrest
assets/images/gopher.png

At this year’s FOSDEM conference I did a 20 minutes presentation on how to implement tail -f in Go. The video is available below.

Abstract: As part of a log file monitoring tool, I implemented a file tailer that keeps reading new lines from log files. This turned out to be much more challenging than I thought, especially because it should run on multiple operating systems and it should be robust against logrotate. In this 20 Minutes talk I will present the lessons learned, the pitfalls and dead-ends I ran into.

weiterlesen...

Author:Fabian Stäber
Tags:golang, grok_exporter, conference, FOSDEM, talk
Categories:development
assets/2017-01-24-undertow/undertow.png

Undertow is an open-source lightweight, flexible and performant Java server, they say. I can confirm that it’s
- lightweight: just have a look at those few lines of code to start a server and 1MB core JAR
- flexible: always feel free to provide your own implementations or use Undertow helpers to delegate usual server glue code to a more specific implementation you provide

I didn’t check or compare performance. It is the default server implementation of Wildfly Application Server and sponsored by JBoss.

weiterlesen...

Author:Philipp Renoth
Tags:undertow, http
Categories:java, http, development

Die Software-Entwicklung ist im Wandel. Immer schneller, immer häufiger, immer einfacher müssen neue Features in Produktion gebracht werden. Große, schwergewichtige Alleskönner werden durch mehrere kleine, individuelle Services ersetzt. Jeder Microservice bildet einen Aspekt der gesamten Fachlichkeit ab und lässt sich deshalb unabhängig entwickeln und warten. …

Der vollständige Artikel ist in der Java aktuell 01-2017 zu finden:

assets/images/2017-01-java_aktuell_titel.JPG
Author:Tobias Schneck, Christoph Deppisch
Tags:Sakuli, Citrus, testing, testautomatisierung
Categories:sakuli, citrus, development

Kurz vor Ende des Jahres sind die Vortragsvideos der OSMC 2016 online verfügbar. Auch dieses Jahr war ich wieder Referent, diesmal mit einem Überblick über die letzten Entwicklungen von OMD, einige Umgebungen, in denen es eingesetzt wird und dem Ausblick auf das, was nach 2016 in die Distribution einfließen könnte.
Dauer des Videos: 60min.

OMD, die Open Monitoring Distribution, bildet heute in vielen Unternehmen das Rückgrat bei der Überwachung unterschiedlichster IT-Komponenten und Services. Für Anfänger ist OMD ein umfassendes Starterpaket, für Consultants eine solide Plattform für individuelle Monitoring-Landschaften. Seit dem Gründungsjahr 2010 wurde OMD kontinuierlich verbessert, mit der OMD-Labs-Edition wurden 2015 moderne Elemente wie InfluxDB und Grafana eingeführt. Das Thema Automatisierung wurde mittlerweile mit Ansible und Coshsh ebenso aufgegriffen. Der Wandel der IT-Welt in Richtung cloud-basierter Services und kurzlebigen Containern stellt eine besondere Herausforderung dar. Der Vortrag zeigt, wie OMD sich dieser in Zukunft stellen wird.

Author:Gerhard Laußer
Tags:OMD, Nagios, Icinga, OSMC, Prometheus
Categories:monitoring
assets/2016-12-21-nagios-exploits/nagios-exploit.gif

Kürzlich wurden zwei Schwachstellen von Nagios veröffentlicht, u.a. bei heise.de. Wir verwenden Nagios als einen von mehreren möglichen Cores innerhalb des Monitoring-Frameworks OMD. Eine Gefährdung liegt nicht vor. Bei besagten Schwachstellen handelt es sich um:

  • CVE-2016-9565 - Betroffen ist das Web-Frontend von Nagios. Dieses zeigt nach dem Login einen RSS-Feed des Herstellers Nagios Enterprises an, dessen Inhalt so manipuliert werden kann, daß eingeschleuste Befehle im Kontext des www-data/nagios-Benutzers ausgeführt werden können. De Angreifer muss sich dazu jedoch als www.nagios.org ausgeben (durch einen DNS-Angriff) oder den Datenstrom als Man-in-the-Middle manipulieren. Abgesehen davon, daß die original Web-Gui von Nagios seit Erscheinen weitaus modernerer Oberflächen wie Thruk sowieso niemand mehr ernsthaft benutzt - die RSS-Funktionalität wurde bei OMD von Anfang an abgeschaltet bzw. rausgepatcht. Sie existiert schlichtweg nicht mehr und somit auch nicht die Schwachstelle.

  • CVE-2016-9566 - Bei diesem Exploit wird ausgenutzt, daß Nagios, so denn der Prozeß unter dem root-Account gestartet wird, das Logfile /usr/local/nagios/var/nagios.log o.ä. zunächst mit den entsprechenden root-Privilegien öffnet, bevor diese mittels des Systemcalls setgid(pid des nagios-Benutzers) aufgegeben werden. Ein Angreifer mit Zugang zum Monitoring-Server, welcher die Möglichkeit hat, das Logfile durch einen Symlink zu systemkritischen Dateien wie z.b. /etc/ld.so.preload zu ersetzen, kann die Voraussetzungen zur deren Manipulation schaffen. Dazu muss er noch dafür sorgen, daß Nagios schadhaften Inhalt in die Datei schreibt. Eine Möglichkeit wäre, ein externes Kommando (entsprechend präpariert) in die Command-Pipe zu schicken, was einen Eintrag im Logfile (und somit in /etc/ls.so.preload) zur Folge hat. Auch diese Form des Angriffs ist unter OMD ausgeschlossen, da ein Nagios-Prozess zu keinem Zeitpunkt mit root-Privilegien läuft. Monitoring mit OMD spielt sich ausschließlich im Kontext stinknormaler Benutzer ab.

Ergo: alles OK und grün.

Author:Gerhard Laußer
Tags:OMD, Nagios
Categories:monitoring

Auf der FOSDEM 2017 gibt es zwei DevRooms, bei denen ConSol-Mitarbeiter an der Organisatoren beteiligt sind.

Für beide DevRooms gibt es einen gemeinsamen CfP, so daß die Vorschläge an einer Stelle eingereicht werden können. Erwünscht sind Vorträge zu den Themen:

assets/2016-11-10-fosdem-container-monitoring/fosdem.png
  • Monitoring von containerisierten Services
  • Automatisierung von Cloud-Deployments
  • Entwicklung und Administration von Microservices
  • Container-Orchestrierung
  • Continuous Integration & Deployment
  • Prometheus, Kubernetes, Docker, CRIO, etc.
  • Neue Projekte und Technologien
  • Andere Container- und Cloud-Native-Vorträge

Bitte reicht eure Vorträge bis zum 26. November hier ein:

https://goo.gl/forms/bbfCH14ido5kMD4H3

Author:Gerhard Laußer
Tags:Container, Prometheus, Docker, Fosdem
Categories:monitoring
assets/images/prometheus-logo.png

Prometheus is an open source monitoring tool, which is conceptually based on Google’s internal Borgmon monitoring system. Unlike traditional tools like Nagios, Prometheus implements a white-box monitoring approach: Applications actively provide metrics, these metrics are stored in a time-series database, the time-series data is used as a source for generating alerts. Prometheus comes with a powerful query language allowing for statistical evaluation of metrics.

weiterlesen...

Author:Fabian Stäber
Tags:PrometheusIO, grok_exporter, conference, devoxx, talk
Categories:monitoring