IT-Trends 2019

Das vergangene Jahr 2018 hat aus der Sicht von Mac-Admins einige Umwälzungen mit sich gebracht. 2019 verspricht spannend zu werden.

Was mich und viele Kollegen 2018 besonders bewegt hat, war so etwas wie der Schlusspunkt in einem langsamen Abschied Apples aus der Server-Welt. Die Vermarktung der letzten Server-Hardware war schon 2011 beendet worden, 2018 folgte nun faktisch das Ende der Server-Software.

Mac-Server sind tot – oder doch nicht?

Apple hat also ob der Übermacht der Konkurrenz – Windows- und Linux-Server, NAS-Lösungen für KMU, sowie zahlreicher Cloud-Alternativen – die Segel gestrichen und überlässt den anderen Marktteilnehmern das Feld. Müssen Mac-Server deshalb aus den Serverschränken von Betrieben verschwinden? Nein, müssen sie nicht!

Zum einen wurde die Apple Server-Software nicht gänzlich abgeschafft, sondern sie lebt in Version 5.7 weiter und stellt weiterhin einige wenige, wenn auch wichtige Funktionen bereit:

  • Wer den Mac in der Vergangenheit als Open Directory bzw. OpenLDAP-Verzeichnisserver genutzt hat, kann dies auch weiterhin tun.
  • Auch Unternehmen, die auf leistungsfähige SAN mit Stornext und XSAN angewiesen sind, können auch unter macOS 10.14 Mojave einen Mac als XSAN-Controller einsetzen.
  • Zu guter letzt ist auch Apples umfangreiches Mobile Device-Management Profilmanager zur zentralen Verwaltung von iOS- und macOS-Geräten weiterhin Bestandteil von macOS Server.

Zusätzlich sind in der Vergangenheit bereits eine der “Brot- und Butter”-Funktionen aus dem Server in macOS verlagert worden, hier sind besonders drei Dienste zu nennen:

  • Filesharing ist wohl die wichtigste Server-Anwendung für Unternehmen. Dank der Thunderbolt-Schnittstelle, mit der jeder Mac ausgestattet ist, kann man jeden Mac mit angeschlossenem Thunderbolt-RAID in einen leistungsfähigen Fileserver verwandeln, der kleineren oder größeren Arbeitsgruppen Dateien über AFP, SMB und WebDAV bereitstellen kann. Besonders die Mac mini-Modelle aus dem Modelljahr 2018 mit ihrem optionalen 10 Gbit-Ethernet sind hierfür prädestiniert.
  • Time Machine-Server ist ebenfalls eine Funktion, die vom Server in macOS übernommen wurde. Es gibt drei Möglichkeiten, Datensicherungen mittels Time Machine an einem Mac durchzuführen: 1. mit einer lokal angeschlossenen externen Festplatte, 2. mit einer Netzwerk-Festplatte wie Apples TimeCapsule, deren Verkauf aber 2018 eingestellt wurde, 3. übers Netzwerk an einen zentralen Time Machine-Server. Diese Funktion wird nicht nur von vielen NAS unterstützt, sondern kann auch von jedem Mac mit einem ausreichend großen Speicher übernommen werden.
  • Inhaltscaching bietet die Möglichkeit, den Netzwerkverkehr bei vielen macOS und iOS-Geräten zu entlasten, indem Apple Software-Updates und App Store-Downloads zwischengespeichert und durch den Caching-Server im Netzwerk bereitgestellt werden. Auch diese Funktion beherrscht mittlerweile jeder Mac.

Daten lokal oder in der Cloud speichern?

Das ist die Frage, auf die es am Ende hinausläuft. Dienste wie E-Mail (und damit zusammenhängend meist Kalender und Kontakte) sind immer schon Cloud-Dienste gewesen und können auch den großen, erfahrenen Cloud-Dienstleister anvertraut werden. Hier kommt es in erster Linie neben der Sicherheit auf Zuverlässigkeit und Störungsfreiheit an.

Cloud-Dienste können meist aber nicht mithalten, wenn es auf besonders große Speichermengen und hohe Übertragungsraten ankommt. Hier ist eine lokale Vorhaltung von Daten auf einem Fileserver im Vorteil, und wer hier bisher auf Mac-Server gesetzt hat und deren Bedienung gewohnt, kann dies oft auch weiterhin tun und muss nicht zwangsläufig auf eine NAS-Lösung ausweichen.

IT-Sicherheit

Was jedoch plattformübergreifend immer wichtiger wird, ist die Beachtung einiger grundlegender Regeln zur IT-Sicherheit – auch auf dem Mac! Die Bedrohungslage durch automatisierte Angriffe auf IT-Systeme hat zugenommen und der Einsatz von Antivirensoftware ist dabei selten eine wirksame oder gar ausreichende Schutzmaßnahme (sie kann sogar schädlich sein).

Daher ist es unerlässlich, dass Systeme auf dem aktuellsten Stand gehalten werden, besonders wenn man auf in-house IT-Systeme setzt. Es wird zunehmend riskanter, Server-Systeme von anno dazumal einzusetzen und der Spruch “never change a running system” ist in diesem Zusammenhang gefährlich und kontraproduktiv. Apple selbst stellt Sicherheits-Updates nur noch für macOS 10.12 Sierra oder neuer aus. Alle älteren Systeme sollten nicht mehr mit Zugriff auf das Internet betrieben werden, wenn man auf Nummer sicher gehen will.

  • Software-Updates installieren – nicht nur, aber auch auf dem Server, NAS, Routern, Switches, Druckern, Telefonanlage, IoT-Devices …
  • Sichere Passwörter verwenden
  • Passwörter nicht mehrfach einsetzen
  • Wachsam sein und bei verdächtigen Webseiten, E-Mails und Telefonanrufen erst nachdenken und im Zweifelsfall lieber einmal zu viel die Seite schließen, die Mail löschen bzw. den Hörer auflegen.
Jetzt Kontakt aufnehmen!

Mac-Server und macOS 10.14 Mojave – (nicht) updaten!

Am 24.09.2018 erschien das nächste große Betriebssystem-Update von Apple namens macOS 10.14 Mojave. Einige Tage später stand auch das lange angekündigte Update auf Server 5.7 zur Verfügung. Was man Anfang des Jahres schon angekündigt hatte, wird damit Realität: Apple entfernt mit dieser Version einige Server-Funktionen, die uns über die Jahre sprichwörtlich treue Dienste geleistet haben. Folgende Dienste stehen ab sofort auf der roten Liste und sind nicht weiter Bestandteil von macOS:

  • DHCP
  • DNS
  • Netboot und NetInstall
  • Software-Aktualisierung
  • Kalender
  • Kontakte
  • Nachrichten
  • VPN
  • Webseiten (Apache, PHP)
  • Wiki

Apple hatte diesen Diensten im Laufe des vergangenen Jahres noch eine Gnadenfrist eingeräumt und diese nur noch auf laufenden Systemen unterstützt (bei Server-Neuinstallationen waren sie schon nicht mehr verfügbar), aber ab der neuen Server-Version 5.7 ist damit Schluss!

Somit bleibt für Mac-Admins, die auf einige dieser Dienste setzen, aktuell nur die Wahl, mit ihrem Server bei macOS 10.13 High Sierra zu bleiben. Durch die Versorgung des Betriebssystems mit Sicherheits-Updates bleibt ab jetzt noch eine letzte Umstiegs-Gnadenfrist bis zum Sommer 2020. Allerdings sollte man bedenken, dass Apple in dieser Zeit wahrscheinlich keines der Server-Pakete (Apache, Bind, PHP etc.) mehr aktualisieren wird. Dadurch könnte ein Mac-Server, der im Internet erreichbar ist, schon früher einer Sicherheitsbedrohung ausgesetzt sein.

Was nun?

Unter folgenden Umständen kann man als Mac-Admin seinen Apple-Server dennoch getrost auf macOS Mojave aktualisieren (d.h. sobald Server 5.7 von Apple freigegeben wurde):

  1. Man nutzt auf dem Server keinen der oben genannten Dienste.
  2. Man kann auf den ein oder anderen Dienst in Zukunft verzichten.

Apple hat den Server übrigens nicht ganz abgeschafft.
Folgende Dienste sind ab sofort in jedem Mac enthalten:

  • Fileserver (AFP, SMB, WebDAV)
  • Caching (Alternative zu Softwrae-Aktualisierung)

Folgende Dienste sind weiterhin Bestandteil von macOS Server 5.7:

  • Open Directory inkl. Benutzer- und Gruppenverwaltung
  • Verwaltung von Zertifikaten
  • Profilmanager
  • Xsan

Was ist mit den anderen Diensten?

Dienste wie DHCP, DNS oder VPN können von den meisten gängigen Internet-Routern übernommen werden. Apple hat übrigens einen Migrations-Leitfaden mit Vorschlägen veröffentlicht, den man sich als Admin mal in Ruhe zu Gemüte führen sollte. Wahrscheinlich werde ich hier in Zukunft auch noch die eine oder andere technische Lösung präsentieren. Stay tuned!

Disk Image am Mac vergrößern

Howto für macOS

Disk Images kennt jeder von Software-Installationen am Mac. Viele Apps am Mac gelangen in dmg-Dateien zum Kunden. Diese sind wie eine virtuelle Festplatte, die per Doppelklick erst auf dem Mac gemountet wird und dann den Zugriff auf ihre Inhalte gewährt. Wenn Time Machine-Backups auf einem Netzwerk-Volume wie einem NAS gespeichert werden, wird im Hintergrund ebenfalls mit diesen Disk Images gearbeitet. Diese haben zudem die Fähigkeit, sich dynamisch zu vergrößern (sog. mitwachsende Images). Wenn das Backup weiter wächst, wird das Image im Hintergrund automatisch vergrößert.

Images sind auch eine praktische Möglichkeit, wichtige Dateien geschützt abzulegen, denn sie lassen sich bei Bedarf verschlüsseln. Beim Anlegen von mitwachsenden Images muss man dennoch eine Dateigröße des Images angeben, im Beispiel 100 MB.

Mitwachsendes Image mit 100 MB Größe anlegen
Mitwachsendes Image mit 100 MB Größe anlegen

Will man nun eine Datei in das Image kopieren, die dessen Gesamtgröße übersteigt, passt sich die Image-Größe nicht automatisch an:

Nicht genügend freier Platz

Um das Image zu vergrößern, muss es erst ausgeworfen werden. Anschließend kann man mit einem Terminal-Befehl die neue Größe festlegen. In diesem Fall wollen wir die Image-Größe von 100 MB auf 1 GB erweitern:

hdiutil resize -size 1g Ortundnamedesimages.dmg

Anschließend hat das Image 1 GB und die Datei kann erfolgreich in das Image kopiert werden.

Datei erfolgreich kopiert, Restspeicherplatz wird oben angezeigt.
Datei erfolgreich kopiert, Restspeicherplatz wird oben angezeigt.

Remote-Administration unter OS X El Capitan

Apples erstes Software-Update für El Capitan, Version 10.11.1 hatte es in sich für Admins und Support-Mitarbeiter. Liest man sich die Informationen zum Sicherheitsinhalt durch, die Apple hier bereitgestellt hat (https://support.apple.com/de-de/HT205375), steht dort unter dem letzten Punkt:

SecurityAgent
Verfügbar für: OS X El Capitan 10.11
Auswirkung: Ein Schadprogramm kann programmatisch Aufforderungen der Schlüsselbundverwaltung steuern
Beschreibung: Es bestand eine Methode für Programme, bei Schlüsselbund-Aufforderungen synthetische Klicks zu erzeugen. Dieses Problem wurde behoben, indem synthetische Klicks für Fenster der Schlüsselbundverwaltung deaktiviert wurden.
CVE-ID
CVE-2015-5943

Schön und gut, sollte man meinen, Apple hat also eine weitere Schwachstelle ausgeräumt. Konkret ging es darum, dass Schadsoftware bekannt geworden war, die die genaue Position von Dialogfeldern auf dem Computerbildschirm ausfindig machen und selbst betätigen konnte, also z.B. selbständig auf ‘OK’ klicken.

Apple hat diese Lücke in OS X 10.11.1 mit Fokus auf Warnmeldungen des Schlüsselbundes geschlossen, ist allerdings möglicherweise über das Ziel hinausgeschossen: Die Schlüsselbundverwaltung erlaubt seither nur noch Eingaben von verifizierten Eingabegeräten. Ein per Remote-Sitzung mit Apple Remote Desktop, Bildschirmfreigabe oder TeamViewer verbundener Anwender (typischerweise ein Administrator oder Support-Mitarbeiter) zählt nicht dazu. An einem Mac mit OS X 10.11.1 werden sämtliche entfernte Eingaben in Schlüsselbund-Dialogfenstern oder auch in der Schlüsselbundverwaltung ignoriert! Übrigens selbst dann, wenn ein Anwender lokal vor dem Rechner sitzt und auf Anweisung des remote zugeschalteten Support-Mitarbeiters auf das Feld klicken will. Im System.log erscheint dann folgende Fehlermeldung:

SecurityAgent: Ignoring User action since the dialog has received events from an untrusted source

ARDCautionWie Apple sich zukünftig die Administration eines Macs mit OS X 10.11.1 in einer entfernten Co-Location ohne physikalischen Zugriff vorstellt, ist mir schleierhaft.

Referenzen:

https://discussions.apple.com/thread/7305746?start=0&tstart=0

Update: Mittlerweile hat Apple das Problem gelöst.

TRIM in macOS aktivieren

SSD-Gehäuse

Seit macOS 10.10 Yosemite ist es möglich, den TRIM-Befehl auf nachträglich installierten SSDs  zu aktivieren (um genau zu sein: seit OS X 10.10.4, das am 30. Juni 2015 veröffentlicht wurde). Dieser war bislang nur auf von Apple gelieferten SSDs verfügbar. Folgender Terminal-Befehl ist nötig, um TRIM zu aktivieren:

sudo trimforce enable

Daraufhin erfolgt folgende Warnmeldung, die man bestätigen muss. Danach startet das System neu und TRIM ist aktiv.

IMPORTANT NOTICE:  This tool force-enables TRIM for all relevant attached
devices, even though such devices may not have been validated for data
integrity while using TRIM.  Use of this tool to enable TRIM may result in
unintended data loss or data corruption.  It should not be used in a commercial
operating environment or with important data. Before using this tool, you
should back up all of your data and regularly back up data while TRIM is
enabled.  This tool is provided on an “as is” basis. APPLE MAKES NO WARRANTIES,
EXPRESS OR IMPLIED, INCLUDING WITHOUT LIMITATION THE IMPLIED WARRANTIES OF
NON-INFRINGEMENT, MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE,
REGARDING THIS TOOL OR ITS USE ALONE OR IN COMBINATION WITH YOUR DEVICES,
SYSTEMS, OR SERVICES. BY USING THIS TOOL TO ENABLE TRIM, YOU AGREE THAT, TO THE
EXTENT PERMITTED BY APPLICABLE LAW, USE OF THE TOOL IS AT YOUR SOLE RISK AND
THAT THE ENTIRE RISK AS TO SATISFACTORY QUALITY, PERFORMANCE, ACCURACY AND
EFFORT IS WITH YOU.
Are you sure you wish to proceed (y/N)? y
Your system will immediately reboot when this is complete.
Is this OK (y/N)? y
Enabling TRIM…
.
.
Operation succeeded. Your system will reboot momentarily, please wait…