Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Dirk Deimeke, Stefan Kania, Charly Kühnast, Stefan Semmelroggen, Daniel van Soest
Linux-ServerDas Administrationshandbuch
Auf einen Blick
TEIL I Grundlagen ................................................................... 47
TEIL II Aufgaben ...................................................................... 161
TEIL III Dienste ....................................................................... 217
TEIL IV Infrastruktur ............................................................... 605
TEIL V Kommunikation .......................................................... 667
TEIL VI Automatisierung ........................................................ 785
TEIL VII Sicherheit, Verschlüsselung und Zertifikate .............. 839
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 5 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
Vorwort .......................................................................................................................................... 23Über dieses Buch .......................................................................................................................... 29
Formales ..................................................................................................................... 29Linux-Distributionen ................................................................................................ 31
1 Der Administrator ............................................................................................. 33
1.1 Der Beruf des Systemadministrators ..................................................................... 331.1.1 Berufsbezeichnung und Aufgaben ........................................................ 331.1.2 Job-Definitionen ...................................................................................... 34
1.2 Nützliche Fähigkeiten und Fertigkeiten ................................................................ 391.2.1 Soziale Fähigkeiten .................................................................................. 391.2.2 Arbeitstechniken ...................................................................................... 40
1.3 Das Verhältnis vom Administrator zu Normalsterblichen ................................. 421.3.1 Der Chef und andere Vorgesetzte ........................................................ 421.3.2 Benutzer .................................................................................................... 431.3.3 Andere Administratoren ......................................................................... 43
1.4 Unterbrechungsgesteuertes Arbeiten ................................................................... 441.5 Ethischer Verhaltenskodex ...................................................................................... 45
TEIL I: Grundlagen
2 Bootvorgang ...................................................................................................... 49
2.1 Einführung .................................................................................................................. 492.2 Der Bootloader GRUB .............................................................................................. 49
2.2.1 Installation ................................................................................................ 502.2.2 Konfiguration ........................................................................................... 522.2.3 Booten von einem Software-RAID-1 ................................................... 53
2.3 GRUB 2 ....................................................................................................................... 542.3.1 Funktionsweise ........................................................................................ 542.3.2 Installation ................................................................................................ 542.3.3 Konfiguration ........................................................................................... 54
2.4 Bootloader Recovery ................................................................................................ 582.5 Der Kernel und die »initrd« .................................................................................... 59
2.5.1 »initrd« erstellen und modifizieren ....................................................... 602.5.2 »initrd« manuell modifizieren ................................................................ 63
5
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 6 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
2.6 »Upstart« .................................................................................................................... 642.6.1 Funktionsweise ........................................................................................ 642.6.2 Events im Detail ....................................................................................... 652.6.3 Prozessdefinitionen ................................................................................. 662.6.4 Anzeige aller Upstart-Jobs ..................................................................... 672.6.5 Anzeige und Überprüfung der Job-Konfigurationen ......................... 692.6.6 Starten, Stoppen und Neustarten von Diensten ................................ 702.6.7 Abschlussbemerkung .............................................................................. 71
3 Festplatten und andere Devices ................................................................... 73
3.1 RAID ............................................................................................................................ 733.1.1 RAID-0 ...................................................................................................... 743.1.2 RAID-1 ....................................................................................................... 743.1.3 RAID-5 ...................................................................................................... 743.1.4 RAID-6 ...................................................................................................... 753.1.5 RAID-10 ..................................................................................................... 753.1.6 Zusammenfassung ................................................................................... 753.1.7 Weich, aber gut: Software-RAID .......................................................... 763.1.8 Software-RAID unter Linux ................................................................... 773.1.9 Abschlussbemerkung zu RAIDs ............................................................. 84
3.2 Rein logisch: Logical Volume Manager »LVM« ................................................... 843.2.1 Grundlagen und Begriffe ........................................................................ 863.2.2 Setup .......................................................................................................... 873.2.3 Aufbau einer Volume Group mit einem Volume ............................... 883.2.4 Erweiterung eines Volumes ................................................................... 913.2.5 Eine Volume Group erweitern ............................................................... 923.2.6 Aufbau eines gespiegelten Volumes .................................................... 943.2.7 Eine defekte Festplatte ersetzen ........................................................... 953.2.8 Backups mit Snapshots ........................................................................... 953.2.9 Kommandos ............................................................................................. 99
3.3 »udev« ......................................................................................................................... 1013.3.1 »udev«-Regeln .......................................................................................... 1013.3.2 Eigene Regeln schreiben ........................................................................ 102
3.4 Alles virtuell? »/proc« ............................................................................................... 1053.4.1 CPU ............................................................................................................ 1053.4.2 RAM ........................................................................................................... 1063.4.3 Kernelkonfiguration ................................................................................ 1073.4.4 Kernelparameter ...................................................................................... 1073.4.5 Gemountete Dateisysteme .................................................................... 1083.4.6 Prozessinformationen ............................................................................. 108
6
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 7 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
3.4.7 Netzwerk ................................................................................................... 1093.4.8 Änderungen dauerhaft speichern ......................................................... 1103.4.9 Abschlussbemerkung .............................................................................. 110
4 Dateisysteme ..................................................................................................... 111
4.1 Dateisysteme: von Bäumen, Journalen und einer Kuh ...................................... 1114.1.1 Bäume ........................................................................................................ 1124.1.2 Journale ..................................................................................................... 1144.1.3 Und die Kühe? COW-fähige Dateisysteme ......................................... 115
4.2 Praxis ........................................................................................................................... 1154.2.1 Ext2/3-FS aufgebohrt: mke2fs, tune2fs, dumpe2fs, e2label ........... 1154.2.2 ReiserFS und seine Tools ........................................................................ 1184.2.3 XFS ............................................................................................................. 1194.2.4 Das Dateisystem vergrößern oder verkleinern ................................... 1204.2.5 Ausblick auf BtrFS ................................................................................... 122
4.3 Fazit ............................................................................................................................. 124
5 Berechtigungen ................................................................................................. 125
5.1 User, Gruppen und Dateisystemstrukturen .......................................................... 1255.2 Dateisystemberechtigungen ................................................................................... 128
5.2.1 Spezialbits ................................................................................................. 1295.3 Erweiterte Posix-ACLs .............................................................................................. 132
5.3.1 Das Setzen und Anzeigen von einfachen ACLs .................................. 1335.3.2 Setzen von Default-ACLs ........................................................................ 1355.3.3 Setzen von erweiterten ACLs ................................................................ 1365.3.4 Entfernen von ACLs ................................................................................. 1395.3.5 Sichern und Zurückspielen von ACLs ................................................... 140
5.4 Erweiterte Dateisystemattribute ............................................................................ 1405.4.1 Attribute, die jeder Benutzer ändern kann ......................................... 1415.4.2 Attribute, die nur »root« ändern kann ................................................. 1415.4.3 Weitere Attribute .................................................................................... 142
5.5 Quotas ........................................................................................................................ 1435.5.1 Installation und Aktivierung der Quotas ............................................. 1435.5.2 Journaling Quotas ................................................................................... 1455.5.3 Quota-Einträge verwalten ...................................................................... 146
5.6 Pluggable Authentication Modules (PAM) .......................................................... 1505.6.1 Verschiedene PAM-Typen ...................................................................... 1505.6.2 Die PAM-Kontrollflags ............................................................................ 1515.6.3 Argumente zu den Modulen ................................................................. 152
7
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 8 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
5.6.4 Modulpfade .............................................................................................. 1525.6.5 Module und ihre Aufgaben ................................................................... 1525.6.6 Die neuere Syntax bei der PAM-Konfiguration .................................. 154
5.7 Konfiguration von PAM ........................................................................................... 1555.8 »ulimit« ....................................................................................................................... 157
5.8.1 Setzen der »ulimit«-Werte ..................................................................... 1585.9 Abschlussbemerkung ............................................................................................... 159
TEIL II: Aufgaben
6 Paketmanagement ........................................................................................... 163
6.1 Paketverwaltung ....................................................................................................... 1636.1.1 »rpm« oder »deb«? .................................................................................. 1646.1.2 »yum«, »yast« oder »apt«? ...................................................................... 1666.1.3 Außerirdische an Bord – »alien« ............................................................ 168
6.2 Pakete im Eigenbau .................................................................................................. 1696.2.1 Am Anfang war das Makefile ................................................................ 1696.2.2 Vom Fellknäuel zum Paket ..................................................................... 1726.2.3 Patchen mit »patch« und »diff« ............................................................. 1766.2.4 Updates ohne Repository ....................................................................... 1796.2.5 »rpm«-Update-Paket ............................................................................... 1796.2.6 »deb«-Update-Pakete ............................................................................. 1826.2.7 Updatesicher konfigurieren ................................................................... 183
7 Backup und Recovery ...................................................................................... 187
7.1 Backup gleich Disaster Recovery? .......................................................................... 1877.2 Backupstrategien ...................................................................................................... 1887.3 Datensicherung mit »tar« ........................................................................................ 191
7.3.1 Weitere interessante Optionen für GNU-»tar« .................................. 1927.3.2 Sicherung über das Netzwerk mit »tar« und »ssh« ............................ 193
7.4 Datensynchronisation mit »rsync« ......................................................................... 1947.4.1 Lokale Datensicherung mit »rsync« ...................................................... 1947.4.2 Synchronisieren im Netzwerk mit »rsync« ........................................... 1957.4.3 Wichtige Optionen für »rsync« ............................................................. 1957.4.4 Backupskript für die Sicherung auf einen Wechseldatenträger ....... 1977.4.5 Backupskript für Sicherungen auf einen Backupserver ..................... 1977.4.6 Verwendung von »ssh« für die Absicherung von »rsync« ................. 200
8
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 9 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
7.5 Imagesicherung mit »dd« ........................................................................................ 2017.5.1 Sichern des Master Boot Records (MBR) ............................................ 2017.5.2 Partitionstabelle mithilfe von »dd« zurückspielen ............................. 2027.5.3 Erstellen eines Images mit »dd« ............................................................ 2027.5.4 Einzelne Dateien mit »dd« aus einem Image zurückspielen ............ 2037.5.5 Abschlussbemerkung zu »dd« ............................................................... 205
7.6 Disaster Recovery mit ReaR .................................................................................... 2057.6.1 ReaR installieren ...................................................................................... 2067.6.2 ReaR konfigurieren .................................................................................. 2067.6.3 Die erste Konfiguration .......................................................................... 2087.6.4 ReaR aufrufen ........................................................................................... 2087.6.5 Der erste Testlauf ..................................................................................... 2097.6.6 Der Recovery-Prozess ............................................................................. 2127.6.7 Die ReaR-Konfiguration im Detail ........................................................ 2147.6.8 Migrationen mit ReaR ............................................................................ 2157.6.9 Abschlussbemerkung .............................................................................. 215
7.7 Fazit zur Datensicherung und Recovery ............................................................... 216
TEIL III: Dienste
8 Webserver ........................................................................................................... 219
8.1 Apache ........................................................................................................................ 2198.1.1 Virtuelle Hosts einrichten ...................................................................... 2198.1.2 HTTPS konfigurieren ............................................................................... 2218.1.3 Benutzer-Authentisierung mit Kerberos .............................................. 2248.1.4 Apache-Server mit ModSecurity schützen .......................................... 2268.1.5 Tuning und Monitoring .......................................................................... 229
8.2 LightHttpd .................................................................................................................. 2338.2.1 Virtuelle Hosts mit »mod_simple_vhost« einrichten ......................... 2338.2.2 Virtuelle Hosts ohne »mod_simple_vhost« einrichten ...................... 2348.2.3 HTTPS konfigurieren ............................................................................... 235
8.3 Logfiles auswerten .................................................................................................... 237
9 FTP-Server .......................................................................................................... 241
9.1 Einstieg ....................................................................................................................... 2419.1.1 Das File Transfer Protocol ...................................................................... 2419.1.2 vsftpd ......................................................................................................... 242
9.2 Download-Server ...................................................................................................... 242
9
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 10 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
9.3 Zugriff von Usern auf ihre Home-Verzeichnisse .................................................. 2449.4 FTP über SSL (FTPS) ................................................................................................. 2459.5 Anbindung an LDAP ................................................................................................. 246
10 Mailserver ........................................................................................................... 247
10.1 Postfix ......................................................................................................................... 24710.1.1 Grundlegende Konfiguration ................................................................. 24710.1.2 Integrierte Sicherheitsmechanismen .................................................... 24910.1.3 Antivirus- und Spamfilter mit Amavisd-new, ClamAV
und SpamAssassin ................................................................................... 25210.2 Exim ............................................................................................................................ 262
10.2.1 Grundlegende Konfiguration ................................................................. 26210.2.2 Viren erkennen ........................................................................................ 26310.2.3 Spam abwehren ....................................................................................... 264
10.3 Monitoring und Logfile-Auswertung .................................................................... 26610.3.1 Logfile-Auswertung mit »Lire« .............................................................. 266
10.4 Dovecot ...................................................................................................................... 26910.4.1 POP3 .......................................................................................................... 26910.4.2 IMAP .......................................................................................................... 27110.4.3 Konfiguration ........................................................................................... 273
11 Datenbank .......................................................................................................... 277
11.1 MySQL in der Praxis ................................................................................................. 27711.1.1 Installation und grundlegende Einrichtung ........................................ 27711.1.2 Replikation ................................................................................................ 27811.1.3 Master-Master-Replikation .................................................................... 285
11.2 Tuning ......................................................................................................................... 28811.2.1 Tuning des Speichers ............................................................................... 28911.2.2 Tuning von Indizes .................................................................................. 295
11.3 Backup und Point-In-Time-Recovery ..................................................................... 29911.3.1 Restore zum letztmöglichen Zeitpunkt ................................................ 30011.3.2 Restore zu einem bestimmten Zeitpunkt ............................................ 301
12 Syslog ................................................................................................................... 303
12.1 Aufbau von Syslog-Nachrichten ............................................................................. 30312.2 Der Klassiker: »SyslogD« .......................................................................................... 30412.3 Syslog-ng .................................................................................................................... 306
10
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 11 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
12.3.1 Der »options«-Abschnitt ........................................................................ 30612.3.2 Das »source«-Objekt ............................................................................... 30812.3.3 Das »destination«-Objekt ...................................................................... 30812.3.4 Das »filter«-Objekt .................................................................................. 31012.3.5 Das »log«-Objekt ..................................................................................... 311
12.4 Rsyslog ........................................................................................................................ 31212.4.1 Eigenschaftsbasierte Filter ..................................................................... 31212.4.2 Ausdrucksbasierte Filter ......................................................................... 313
12.5 Loggen über das Netz .............................................................................................. 31412.5.1 SyslogD ...................................................................................................... 31412.5.2 Syslog-ng ................................................................................................... 31512.5.3 Rsyslog ....................................................................................................... 315
12.6 Syslog in eine Datenbank schreiben ...................................................................... 31612.6.1 Anlegen der Log-Datenbank ................................................................. 31612.6.2 In die Datenbank loggen ........................................................................ 317
13 Proxyserver ......................................................................................................... 321
13.1 Einführung des Stellvertreters ................................................................................ 32113.2 Proxys in Zeiten des Breitbandinternets ............................................................... 32213.3 Herangehensweisen und Vorüberlegungen ......................................................... 32313.4 Grundkonfiguration .................................................................................................. 323
13.4.1 Aufbau des Testumfelds ......................................................................... 32413.4.2 Netzwerk ................................................................................................... 32413.4.3 Cache ......................................................................................................... 32513.4.4 Logging ...................................................................................................... 32613.4.5 Handhabung des Dienstes ..................................................................... 32913.4.6 Objekte ...................................................................................................... 33013.4.7 Regeln ........................................................................................................ 33213.4.8 Anwendung von Objekten und Regeln ............................................... 334
13.5 Authentifizierung ...................................................................................................... 33613.5.1 Benutzerbasiert ........................................................................................ 33813.5.2 Gruppenbasiert ........................................................................................ 349
13.6 Helferlein .................................................................................................................... 35313.6.1 squidGuard ............................................................................................... 35313.6.2 Antiviren-Check: ClamAV mit HAVP einbinden ................................ 35513.6.3 Dansguardian ........................................................................................... 358
13.7 Log-Auswertung: »Calamaris« und »Sarg« ............................................................ 36213.7.1 Calamaris ................................................................................................... 36213.7.2 Sarg ............................................................................................................ 363
13.8 Unsichtbar: »transparent proxy« ............................................................................ 364
11
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 12 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
13.9 Ab in den Pool – Verzögerung mit »delay_pools« .............................................. 36613.9.1 Funktionsweise – alles im Eimer! .......................................................... 36613.9.2 Details – Klassen, Eimer und ACLs richtig wählen ............................ 367
14 Kerberos .............................................................................................................. 371
14.1 Begriffe im Zusammenhang mit Kerberos ............................................................ 37214.2 Funktionsweise von Kerberos ................................................................................. 37314.3 Installation und Konfiguration des Kerberos-Servers ......................................... 373
14.3.1 Konfiguration der Datei »/etc/krb5.conf« ........................................... 37414.3.2 Konfiguration der Datei »kdc.conf« ..................................................... 376
14.4 Initialisierung und Testen des Kerberos-Servers .................................................. 37914.4.1 Verwalten der Principals ........................................................................ 380
14.5 Kerberos und PAM ................................................................................................... 38414.5.1 Konfiguration der PAM-Dateien auf dem SLES11 ............................. 38414.5.2 Testen der Anmeldung ........................................................................... 385
14.6 Neue Benutzer mit Kerberos-Principal anlegen .................................................. 38514.7 Hosts und Dienste .................................................................................................... 386
14.7.1 Entfernen von Einträgen ........................................................................ 38814.8 Konfiguration des Kerberos-Clients ....................................................................... 389
14.8.1 PAM und Kerberos auf dem Client ....................................................... 39014.9 Replikation des Kerberos-Servers .......................................................................... 390
14.9.1 Bekanntmachung aller KDCs im Netz .................................................. 39114.9.2 Konfiguration des KDC-Masters ........................................................... 39414.9.3 Konfiguration des KDC-Slaves .............................................................. 39514.9.4 Replikation des KDC-Masters auf den KDC-Slave ............................. 396
14.10 Kerberos Policies ....................................................................................................... 398
15 Samba .................................................................................................................. 401
15.1 Kurze Einführung in die Protokolle SMB und NetBIOS ..................................... 40215.1.1 Das Protokoll SMB .................................................................................. 40215.1.2 Das Protokoll NetBIOS ........................................................................... 40315.1.3 Möglichkeiten mit NetBIOS .................................................................. 40415.1.4 Grundeinstellung der »smb.conf« ......................................................... 40415.1.5 Verwendung von WINS zur Namensauflösung .................................. 40615.1.6 Parameter für den »nmbd«in der »smb.conf« ..................................... 40715.1.7 Clientkonfiguration ................................................................................. 409
15.2 Samba als Fileserver ................................................................................................. 41015.2.1 Erstellen einfacher Freigaben ................................................................ 41015.2.2 Spezielle Freigaben .................................................................................. 413
12
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 13 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
15.2.3 Zusammenfassung mehrerer Freigaben ............................................... 41415.2.4 Kopieren von Freigabeeinstellungen .................................................... 41515.2.5 Ablauf des Zugriffs auf eine Freigabe ................................................... 416
15.3 Benutzerverwaltung ................................................................................................. 41915.3.1 Anlegen der Benutzer in der »smbpasswd« ........................................ 42015.3.2 Umwandeln der »smbpasswd« in »tdbsam« ....................................... 422
15.4 Verschiedene »passdb backends« .......................................................................... 42315.4.1 »smbpasswd« ............................................................................................ 42315.4.2 »tdbsam« ................................................................................................... 42415.4.3 »ldapsam« ................................................................................................. 425
15.5 Samba als Domänencontroller ............................................................................... 42715.5.1 Grundeinstellung des Domänencontrollers ........................................ 42815.5.2 Weitere Möglichkeiten mit »rpcclient« ............................................... 42915.5.3 Einrichten eines Domänenadministrators ........................................... 43515.5.4 Kennwortrichtlinien mit »pdbedit« erstellen ...................................... 43715.5.5 Einrichten von Benutzern und Hosts in der Domäne ....................... 43915.5.6 Benutzeranmeldung ................................................................................ 446
15.6 Winbind ...................................................................................................................... 44615.6.1 Verschachtelte Gruppen ......................................................................... 45015.6.2 Mitgliedschaft in einer Windows-Domäne ......................................... 45215.6.3 Konfiguration des Kerberos-Clients ..................................................... 45315.6.4 Einstellung in der »smb.conf« ............................................................... 45515.6.5 Beitritt zur Windows-Domäne .............................................................. 45715.6.6 Testen der Domänenmitgliedschaft ..................................................... 45915.6.7 Freigaben und Berechtigungen als Domänenmitglied ...................... 461
15.7 Samba als Printserver ............................................................................................... 46415.7.1 Freigaben für Druckertreiber und Spooling ........................................ 46515.7.2 Einrichtung eines Printeradmins ........................................................... 46615.7.3 Installation von Windows-Druckertreibern ........................................ 46615.7.4 Druckertreiber unter Windows-Server 2000/2003 und
Windows XP ............................................................................................. 46715.7.5 Druckertreiber unter Windows-Server 2008 R2 und Windows 7 .. 468
15.8 Samba und Kerberos ................................................................................................ 47115.9 Virtuelle Server und virtuelle Domänen ............................................................... 474
15.9.1 Zusammenführung der Server in jeder Arbeitsgruppe ...................... 47515.9.2 Zusammenführen der zwei Arbeitsgruppen auf einer Maschine .... 477
15.10 Distributed File System mit Samba ....................................................................... 48015.10.1 Samba als DFS-Proxy .............................................................................. 48115.10.2 Samba als DFS-Link-Server .................................................................... 481
13
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 14 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
15.11 Vertrauensstellung .................................................................................................... 48315.11.1 Der Samba-Server als vertrauende Domäne ....................................... 48415.11.2 Der Samba-Server als vertraute Domäne ............................................ 484
15.12 Sicherung der Konfigurationen .............................................................................. 48615.13 Ausblick auf Samba 4 ............................................................................................... 487
16 NFS ....................................................................................................................... 489
16.1 Unterschiede zwischen »NFSv3«und »NFSv4« .................................................... 48916.2 Funktionsweise von »NFSv4« ................................................................................. 49016.3 Einrichten des »NFSv4«-Servers ............................................................................. 491
16.3.1 Konfiguration des Pseudodateisystems ............................................... 49116.3.2 Anpassen der Datei »/etc/exports« ...................................................... 49216.3.3 Tests für den NFS-Server ........................................................................ 495
16.4 Konfiguration des »NFSv4«-Clients ....................................................................... 49616.5 Konfiguration des »idmapd« ................................................................................... 49716.6 Optimierung von »NFSv4« ...................................................................................... 499
16.6.1 Optimierung des »NFSv4«-Servers ....................................................... 49916.6.2 Optimierung des »NFSv4«-Clients ........................................................ 500
16.7 »NFSv4« und Firewalls ............................................................................................. 50116.8 NFS und Kerberos ..................................................................................................... 502
16.8.1 Erstellung der Principals und der »keytab«-Dateien ......................... 50316.8.2 Kerberos-Authentifizierung unter Debian und Ubuntu .................... 50616.8.3 Kerberos-Authentifizierung auf einem SLES11 .................................. 50616.8.4 Anpassen der Datei »/etc/exports« ...................................................... 50616.8.5 NFS-Client für Kerberos unter Debian und Ubuntu konfigurieren . 50716.8.6 NFS-Client für Kerberos auf SLES11 konfigurieren ........................... 50716.8.7 Testen der durch Kerberos abgesicherten NFS-Verbindung ............ 50716.8.8 Testen der Verbindung ........................................................................... 508
17 LDAP .................................................................................................................... 511
17.1 Einige Grundlagen zu LDAP .................................................................................... 51217.1.1 Was ist ein Verzeichnisdienst? .............................................................. 51217.1.2 Der Einsatz von LDAP im Netzwerk ..................................................... 51317.1.3 Aufbau des LDAP-Datenmodells .......................................................... 51317.1.4 Objekte ...................................................................................................... 51417.1.5 Attribute .................................................................................................... 51517.1.6 Schema ...................................................................................................... 51517.1.7 Das LDIF-Format ..................................................................................... 519
14
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 15 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
17.2 Unterschiede in den einzelnen Distributionen .................................................... 52017.2.1 Umstellung auf die statische Konfiguration unter SLES11 ............... 52017.2.2 Umstellung auf die statische Konfiguration unter
Ubuntu-Server und Debian .................................................................... 52117.2.3 Pfade und Benutzer ................................................................................. 52117.2.4 Die Datenbank-Backends ....................................................................... 52117.2.5 Grundkonfiguration des LDAP-Servers ................................................ 521
17.3 Konfiguration des LDAP-Clients ............................................................................. 52417.3.1 Konfiguration des Clients auf dem SLES11 ......................................... 52417.3.2 Konfiguration des Clients unter Debian »Squeeze« .......................... 52517.3.3 Konfiguration des LDAP-Clients unter Ubuntu-Server ..................... 52717.3.4 Erster Zugriff auf den LDAP-Server ....................................................... 527
17.4 Grafische Werkzeuge für die LDAP-Verwaltung .................................................. 52817.4.1 Konfiguration des »LAM« ...................................................................... 53017.4.2 Konfiguration des Lamdaemons ........................................................... 531
17.5 Änderungen mit »ldapmodify« ............................................................................... 53417.5.1 Interaktive Änderung mit »ldapmodify« .............................................. 53417.5.2 Änderungen über eine »ldif«-Datei mit »ldapmodify« ...................... 535
17.6 Absichern der Verbindung zum LDAP-Server über TLS ..................................... 53617.6.1 Erstellen der Zertifizierungsstelle .......................................................... 53717.6.2 Erstellen des Serverzertifikats ................................................................ 53717.6.3 Signieren des Zertifikats ......................................................................... 53717.6.4 Zertifikate in die »slapd.conf«eintragen .............................................. 53817.6.5 Konfiguration des LDAP-Clients ........................................................... 538
17.7 Absichern des LDAP-Baums mit ACLs .................................................................. 53917.7.1 Eine eigene Datei für die ACLs einbinden .......................................... 54017.7.2 Erste ACLs zur Grundsicherung des DIT .............................................. 54117.7.3 ACLs mit regulären Ausdrücken ............................................................ 54217.7.4 ACLs für den Einsatz von Samba in LDAP ........................................... 54417.7.5 Testen von ACLs vor dem Einsatz ......................................................... 544
17.8 Filter zur Suche im LDAP-Baum ............................................................................. 54617.8.1 Testen der Fähigkeiten des LDAP-Servers ........................................... 54617.8.2 Einfache Filter .......................................................................................... 54817.8.3 Filter mit logischen Verknüpfungen ..................................................... 54817.8.4 Einschränkung der Suchtiefe ................................................................. 549
17.9 Verwendung von Overlays ...................................................................................... 55017.9.1 Overlays am Beispiel von »dynlist« ...................................................... 55117.9.2 Weitere Overlays ..................................................................................... 552
17.10 Replikation des DIT .................................................................................................. 55317.10.1 Konfiguration des Providers .................................................................. 55417.10.2 Konfiguration des Consumers ............................................................... 556
15
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 16 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
17.11 Die dynamische Konfiguration ............................................................................... 55817.11.1 Umstellung auf die dynamische Konfiguration am Provider ........... 55917.11.2 Umstellung auf die dynamische Konfiguration am Consumer ........ 563
17.12 Verwaltung von Mail-Aliasen für den Mailserver Postfix .................................. 56517.12.1 Einrichten der »alias«-Tabelle ................................................................ 56517.12.2 Einrichten der »virtual«-Tabelle ............................................................. 566
17.13 Cyrus und »saslauthd«über LDAP .......................................................................... 56717.14 Benutzerauthentifizierung am Proxy Squid über LDAP ..................................... 568
17.14.1 Aktivierung der Authentifizierung über LDAP ................................... 56817.14.2 Benutzerbezogene Authentifizierung ................................................... 57017.14.3 Gruppenbezogene Authentifizierung ................................................... 570
17.15 Benutzerauthentifizierung am Webserver Apache über LDAP ......................... 57217.15.1 Konfiguration der Cache-Parameter ..................................................... 57217.15.2 Konfiguration der Zugriffsparameter .................................................... 573
17.16 LDAP und Kerberos .................................................................................................. 57417.17 Authentifizierung am LDAP-Server über »GSSAPI« ............................................ 576
17.17.1 Einrichtung der Authentifizierung unter Debian und Ubuntu ........ 57717.17.2 Einrichten der Authentifizierung unter SLES11 ................................. 582
17.18 Und was geht sonst noch alles mit LDAP? ........................................................... 586
18 Druckserver ........................................................................................................ 587
18.1 Policies ........................................................................................................................ 58818.1.1 Grundkonfiguration des Netzwerkzugriffs .......................................... 58818.1.2 Location policies ...................................................................................... 58918.1.3 Operation policies ................................................................................... 59118.1.4 Weitere Konfigurationsmöglichkeiten ................................................. 59218.1.5 Browsing ................................................................................................... 594
18.2 Drucker und Klassen einrichten und verwalten .................................................. 59518.2.1 Drucker einrichten .................................................................................. 59518.2.2 Klassen einrichten ................................................................................... 596
18.3 Druckerquotas ........................................................................................................... 59718.4 CUPS über die Kommandozeile ............................................................................. 598
18.4.1 Einstellen eines Standarddruckers ........................................................ 59818.4.2 Optionen für einen Drucker verwalten ............................................... 599
18.5 PPD-Dateien .............................................................................................................. 60118.6 CUPS und Kerberos .................................................................................................. 602
18.6.1 Erstellen des Kerberos-Principals und der »keytab«-Datei .............. 60218.6.2 Umstellung der Authentifizierung am CUPS-Server .......................... 603
18.7 Noch mehr Druck ..................................................................................................... 604
16
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 17 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
TEIL IV: Infrastruktur
19 Hochverfügbarkeit ............................................................................................ 607
19.1 Das Beispiel-Setup .................................................................................................... 60719.2 Installation ................................................................................................................. 608
19.2.1 Ubuntu 12.04 LTS »Precise Pangolin« ................................................. 60819.2.2 Debian 6.0 »Squeeze« ............................................................................ 60819.2.3 Debian 5.0 »Lenny« ................................................................................ 60819.2.4 openSUSE .................................................................................................. 60919.2.5 SUSE Linux Enterprise Server 11 ........................................................... 609
19.3 Einfache Vorarbeiten ................................................................................................ 61019.4 Shared Storage mit DRBD ....................................................................................... 610
19.4.1 Grundlegende Konfiguration unter Debian und SUSE ..................... 61119.4.2 Grundlegende Konfiguration unter Ubuntu LTS ................................ 61119.4.3 Die wichtigsten Konfigurationsoptionen ............................................ 61219.4.4 Die DRBD-Ressource in Betrieb nehmen ............................................ 614
19.5 Grundkonfiguration der Clusterkomponenten .................................................... 61719.5.1 OpenAIS und Corosync: das Benachrichtigungssystem .................... 61719.5.2 Pacemaker: der Ressourcen-Manager .................................................. 61919.5.3 Quorum deaktivieren .............................................................................. 620
19.6 Dienste hochverfügbar machen ............................................................................. 62219.6.1 Die erste Ressource: eine hochverfügbare IP-Adresse ...................... 62319.6.2 Hochverfügbarkeit am Beispiel von Apache ....................................... 62519.6.3 DRBD integrieren .................................................................................... 62819.6.4 Fencing ...................................................................................................... 631
20 Virtualisierung ................................................................................................... 633
20.1 Einleitung ................................................................................................................... 63320.2 Für den »Sysadmin« .................................................................................................. 63420.3 Servervirtualisierung ................................................................................................. 638
20.3.1 KVM .......................................................................................................... 63920.3.2 Xen ............................................................................................................. 641
20.4 Netzwerkgrundlagen ................................................................................................ 64220.5 Management und Installation ................................................................................ 645
20.5.1 Einheitlich arbeiten: »libvirt« ................................................................. 64520.5.2 Konsolenbasiertes Management: »virsh« ............................................ 64920.5.3 Virtuelle Maschinen installieren ........................................................... 65220.5.4 »virt-install« .............................................................................................. 65420.5.5 Alleskönner: »Virtual Machine Manager« ........................................... 657
17
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 18 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
20.5.6 Zusätzliche Konsolentools ..................................................................... 66120.6 Umzugsunternehmen: Live Migration .................................................................. 663
20.6.1 Vorbereitungen ........................................................................................ 66320.6.2 Konfiguration im »Virtual Machine Manager« ................................... 664
TEIL V: Kommunikation
21 Netzwerk ............................................................................................................ 669
21.1 Netzwerkkonfiguration mit »iproute2« ................................................................. 66921.1.1 Erste Schritte ............................................................................................ 66921.1.2 »iproute2« im Detail ............................................................................... 67221.1.3 Links ansehen und manipulieren .......................................................... 67321.1.4 IP-Adressen mit »iproute2« ................................................................... 67521.1.5 »ip« zur Manipulation von ARP-Einträgen .......................................... 678
21.2 Routing mit »ip« ........................................................................................................ 67921.2.1 Routing-Informationen anzeigen .......................................................... 68021.2.2 Advanced Routing ................................................................................... 68121.2.3 Die vorhandenen Regeln ansehen ........................................................ 68221.2.4 Neue Routing-Tabelle anlegen .............................................................. 68321.2.5 Policy Routing Database ändern ........................................................... 68321.2.6 Routing über mehrere Uplinks .............................................................. 68521.2.7 Abschlussbemerkung .............................................................................. 690
21.3 Bonding ...................................................................................................................... 69021.3.1 Bonding-Konfiguration ........................................................................... 69021.3.2 Bonding bei Debian und Ubuntu ......................................................... 69321.3.3 Bonding bei SLES ..................................................................................... 693
21.4 IPv6 ............................................................................................................................. 69321.4.1 Die Vorteile von IPv6 .............................................................................. 69521.4.2 Notation von IPv6-Adressen ................................................................. 69521.4.3 Die Netzmasken ....................................................................................... 69621.4.4 Die verschiedenen IPv6-Adressarten ................................................... 69621.4.5 Es geht auch ohne »ARP« ....................................................................... 69821.4.6 Feste Header-Länge ................................................................................ 69921.4.7 IPv6 in der Praxis ..................................................................................... 702
21.5 Firewalls mit »netfilter« und »iptables« ................................................................ 70321.6 Firewall mit »iptables« ............................................................................................. 703
21.6.1 Der Weg der Pakete durch den Kernel ................................................ 70421.6.2 Einführung in »iptables« ......................................................................... 70521.6.3 Regeln definieren .................................................................................... 707
18
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 19 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
21.6.4 Die klassischen Targets .......................................................................... 70821.6.5 Ein erster Testlauf .................................................................................... 70821.6.6 Stateful Packet Inspection ...................................................................... 70921.6.7 Das erste Firewallskript .......................................................................... 71121.6.8 Externe Firewall ....................................................................................... 71221.6.9 Logging ...................................................................................................... 71721.6.10 Network Address Translation und Masquerading ............................. 71921.6.11 Weitere nützliche Module für »iptables« ............................................ 720
21.7 Abschlussbemerkung ............................................................................................... 72221.8 DHCP .......................................................................................................................... 723
21.8.1 Funktionsweise ........................................................................................ 72321.8.2 Konfiguration ........................................................................................... 723
21.9 DNS-Server ................................................................................................................ 72621.9.1 Funktionsweise ........................................................................................ 72621.9.2 Die Grundkonfiguration ......................................................................... 72721.9.3 Zonendefinitionen ................................................................................... 72921.9.4 Die erste vollständige Zone ................................................................... 73421.9.5 Die »hint«-Zone ....................................................................................... 73621.9.6 Reverse Lookup ....................................................................................... 73821.9.7 Slave-Server ............................................................................................. 73921.9.8 DNS-Server und IPv6 .............................................................................. 741
21.10 Nachwort zum Thema Netzwerk ........................................................................... 743
22 OpenSSH ............................................................................................................. 745
22.1 Die SSH-Familie ........................................................................................................ 74522.1.1 Die Clients: »ssh«, »scp«, »sftp« ............................................................ 74622.1.2 Der Server: »sshd« ................................................................................... 748
22.2 Schlüssel statt Passwort ........................................................................................... 75022.2.1 Schlüssel erzeugen .................................................................................. 75022.2.2 Passwortloses Login ................................................................................ 75122.2.3 Der SSH-Agent merkt sich Passphrasen .............................................. 752
22.3 X11-Forwarding ........................................................................................................ 75322.4 Portweiterleitung und Tunneling ........................................................................... 753
23 Administrationstools ...................................................................................... 755
23.1 Was kann dies und jenes noch? ............................................................................. 75523.1.1 Der Rsync-Daemon ................................................................................. 75523.1.2 Wenn’s mal wieder später wird: »screen« ........................................... 75723.1.3 Anklopfen mit »nmap« ........................................................................... 757
19
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 20 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
23.1.4 Netzwerkinspektion: »netstat« .............................................................. 76123.1.5 Zugreifende Prozesse finden: »lsof« ..................................................... 76323.1.6 Was macht mein System? »top«! .......................................................... 76723.1.7 Wenn gar nichts mehr geht – Debugging mit »strace« ..................... 772
23.2 Aus der Ferne – Remote-Administrationstools ................................................... 77723.2.1 PuTTY ......................................................................................................... 77723.2.2 WinSCP ...................................................................................................... 78023.2.3 Synergy ...................................................................................................... 781
TEIL VI: Automatisierung
24 Scripting .............................................................................................................. 787
24.1 Aufgebohrte Muscheln ............................................................................................ 78724.2 Vom Suchen und Finden: ein kurzer Überblick ................................................... 788
24.2.1 Die Detektive: »grep«, »sed« und »AWK« ........................................... 78824.2.2 Reguläre Ausdrücke verstehen und anwenden .................................. 789
24.3 Fortgeschrittene Shell-Programmierung ............................................................... 79224.3.1 Expansionsschemata ............................................................................... 79224.3.2 Umgebungsvariablen .............................................................................. 79624.3.3 »Back to bash«: ein tieferer Blick in die Muschel .............................. 79724.3.4 Logging in Skripten ................................................................................. 801
24.4 Tipps und Tricks aus der Praxis ............................................................................... 80424.4.1 Aufräumkommando ................................................................................ 80424.4.2 IFS .............................................................................................................. 80524.4.3 Datumsmagie ........................................................................................... 80524.4.4 E-Mails aus einem Skript versenden .................................................... 80624.4.5 Interaktive Programme steuern ............................................................ 806
25 Monitoring – wissen, was läuft .................................................................... 809
25.1 Nagios ......................................................................................................................... 80925.1.1 Installation ................................................................................................ 81025.1.2 Nagios selbst kompilieren ...................................................................... 81025.1.3 Nagios-Plugins kompilieren ................................................................... 81225.1.4 Die Verzeichnisstruktur .......................................................................... 81325.1.5 Das Webinterface .................................................................................... 81325.1.6 Die Hauptkonfigurationsdatei ............................................................... 81425.1.7 Die Objekte .............................................................................................. 81525.1.8 Die Ressourcendatei ............................................................................... 824
20
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 21 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
25.1.9 CGI-Konfiguration ................................................................................... 82425.1.10 Plugins zu Nagios .................................................................................... 82525.1.11 Benachrichtigungen ................................................................................ 83125.1.12 Performance-Datenanalyse .................................................................... 83325.1.13 Das Web-Frontend .................................................................................. 836
25.2 Monitoring mit Munin ............................................................................................. 836
TEIL VII: Sicherheit, Verschlüsselung und Zertifikate
26 Sicherheit ............................................................................................................ 841
26.1 Weniger ist mehr ...................................................................................................... 84226.2 »chroot« ...................................................................................................................... 842
26.2.1 Dienste ...................................................................................................... 84326.2.2 »jailkit« ...................................................................................................... 845
26.3 Selbstabsicherung: »AppArmor« ............................................................................ 84926.4 Gotcha! Intrusion-Detection-Systeme .................................................................. 855
26.4.1 »snort« und Co. ........................................................................................ 85626.4.2 Installation ................................................................................................ 85826.4.3 Regeln – »oinkmaster« ............................................................................ 86026.4.4 Anwendung von Intrusion-Detection-Systemen in der Praxis ........ 865
26.5 Klein, aber oho: »fail2ban« ..................................................................................... 86726.6 Einmalpasswörter mit OPIE .................................................................................... 87226.7 OpenVPN ................................................................................................................... 875
26.7.1 Serverinstallation – OpenVPN, PKI und Co. ....................................... 87626.7.2 Roadwarrior .............................................................................................. 88326.7.3 Site-to-site ................................................................................................ 88926.7.4 Simple-HA ................................................................................................. 89126.7.5 Tipps und Tricks ....................................................................................... 892
27 Verschlüsselung und Zertifikate ................................................................... 897
27.1 Definition und Historie ............................................................................................ 89727.2 Moderne Kryptologie ............................................................................................... 899
27.2.1 Symmetrische Verschlüsselung ............................................................. 89927.2.2 Asymmetrische Verschlüsselung ........................................................... 900
27.3 Den Durchblick behalten ........................................................................................ 90127.3.1 Das Grundproblem .................................................................................. 90127.3.2 Verwendungszwecke .............................................................................. 90227.3.3 Umsetzung mithilfe einer PKI ............................................................... 902
21
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 22 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration
Inhalt
27.3.4 X.509 ......................................................................................................... 90327.3.5 Ein anderer Ansatz: PGP (Web-of-Trust) ............................................. 905
27.4 In der Praxis ............................................................................................................... 90627.4.1 Einrichtung einer PKI mit Server- und E-Mail-Zertifikaten .............. 90627.4.2 E-Mail-Verschlüsselung .......................................................................... 916
27.5 Neben der Kommunikation – Dateiverschlüsselung .......................................... 92427.5.1 Dateien ...................................................................................................... 92427.5.2 Devices ...................................................................................................... 92527.5.3 Festplatten/System .................................................................................. 928
27.6 Rechtliches ................................................................................................................. 93127.6.1 Fortgeschrittene elektronische Signatur .............................................. 93227.6.2 Qualifiziertes Zertifikat ........................................................................... 93227.6.3 Qualifizierte elektronische Signatur ..................................................... 93227.6.4 Sichere Signaturerstellungseinheit (SSEE) ........................................... 933
Die Autoren ................................................................................................................................... 935
Index ............................................................................................................................................... 937
22
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 23 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: vorwort/vorwort , Aktueller Job: administration
Vorwort
Willkommen zur zweiten Auflage »Linux-Server: das Administrationshandbuch«! Der einoder andere wird sich die Frage stellen: »Warum so schnell eine neue, zweite Auflage?« Wirhaben auch überlegt, ob es sinnvoll und gut ist, so schnell eine zweite Auflage zu erstellen.Aber durch die vielen Kommentare, die wir zur ersten Auflage bekommen haben, und vorallen Dingen durch die Wünsche und Anregungen der Leser sind wir zu dem Entschlussgekommen, unser Schweizer Messer um ein paar Werkzeuge zu erweitern und andereetwas zu schärfen. Auch hat sich bei den Distributionen einiges geändert. Von Debian gibtes eine neue Version Debian Squeeze und von Ubuntu eine neue LTS-Version, die Version12.04. Da haben sich, auch im Bereich der Serverdienste, so einige Änderungen ergeben.Auch die zweiten Auflage soll Ihnen, dem Systemadministrator, als Anleitung dienen, dieverschiedensten Dienste, die Ihnen ein Linux-System bereitstellen kann, schnell und einfachzu konfigurieren. Ohne große Umwege geht es schnell über die Konfiguration hin zu einemfunktionsfähigen Dienst, den Sie dann an Ihre eigenen Bedürfnisse anpassen können. Wirhaben in dieser Auflage als einen neuen Dienst Kerberos mit aufgenommen, und bei allenServerdiensten, für die es Sinn macht, die Konfiguration für Kerberos integriert, so dass esfür Sie jetzt möglich ist, eine Single Sign-on-Umgebung in Ihrem Netzwerk zu erstellen. Auchdabei können wir Ihnen in einem Buch wie diesem nur die grundlegenden Konfigurationenan die Hand geben. Aber Sie haben damit die Möglichkeit, alle Schritte, die notwendig sind,um die Dienste zu konfigurieren, nachvollziehen zu können.
Auch mit dieser Auflage wollen wir Ihnen ein Nachschlagewerk an die Hand geben, das Siemit vielen verschiedenen Techniken und Diensten vertraut macht. In den einzelnen Kapi-teln gehen wir auch immer wieder auf Besonderheiten der verschiedenen Distributionenein. Gerade durch die Vielfalt der Dienste und Techniken können Sie dieses Buch wie einSchweizer Taschenmesser nutzen: immer griffbereit und immer das richtige Werkzeug.
Für wen haben wir das Buch geschrieben?
Dieses Buch richtet sich an alle Linux-Systemadministratoren, die immer wieder vor derAufgabe stehen, neue Dienste in ihrem Netzwerk zu etablieren, und die am Anfang einenmöglichst schnellen und kompakten Einstieg in das Thema wünschen. Grundlegende Li-nux-Kenntnisse, wie sie zum Beispiel in LPIC-1 verlangt werden, sollten auf jeden Fall schonvorhanden sein, damit Sie die einzelnen Dienste erfolgreich in das eigene Netz integrierenkönnen.
Wie können Sie mit diesem Buch arbeiten?
Wir haben das Buch so geschrieben, dass Sie gezielt mit den Beispielen aus den einzelnenKapiteln einen neuen Dienst konfigurieren und testen können. An vielen Stellen haben wiraber auch auf andere Dienste, die hier im Buch beschrieben sind, verwiesen, um Ihnen dieMöglichkeit zu geben, auch komplexere Aufgaben zu realisieren.
23
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 24 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: vorwort/vorwort , Aktueller Job: administration
Vorwort
Was dieses Buch nicht ist
Dieses Buch ist kein Lehrbuch, um den Umgang mit Linux von Grund auf zu verstehen, dafürgibt es viele andere Bücher auf dem Markt. Auch war das Buch von Anfang an nicht dazugedacht, einen oder mehrere einzelne Dienste bis ins Letzte zu konfigurieren. Denken Sie anIhr Schweizer Taschenmesser: Es kann Ihnen bei vielen Aufgaben helfen, aber für spezielleAufgaben gibt es spezielle Werkzeuge. Das Gleiche gilt für unser Buch. Viele Aufgabenkönnen Sie mithilfe unseres Buches erledigen, aber wenn es dann sehr speziell wird, dannbrauchen Sie ein Buch, das genau dieses eine Thema bis in kleinste Detail beschreibt.
Vorwort von Dirk Deimeke
Im April 2008 kam Marcus Fischer, der Autor zahlreicher Ubuntu-Bücher bei Galileo Com-puting, mit der Idee auf mich zu, ein Linux-Adminbuch zu schreiben. Da es kein deutschesWerk gibt, das die Lücke zwischen Einsteigerbüchern und Fachbüchern schließt, die sicheinem einzelnen Thema widmen, war und bin ich immer noch Feuer und Flamme.
In den folgenden fünf Monaten arbeiteten wir zusammen mit Jan Watermann, dem damali-gen Lektor (mittlerweile hat er andere Aufgaben im Verlag angenommen), an dem Konzeptdes Buches. Uns war zu jedem Zeitpunkt klar, dass es ein Buch werden sollte, das viel Bezugzur Praxis hat und einige Probleme behandelt, denen Linux-Systemadministratoren täglichbegegnen.
Das schreibt sich so leicht in ein oder zwei Sätzen, aber es war ein längerer Dialog, dajeder eine etwas andere Vorstellung davon hatte, wie das Buch aussehen sollte. Der Begriff»Kochbuch« durfte aufgrund von Markenrechten nicht verwendet werden, traf aber das,was wir machen wollten, am besten.
Nachdem Marcus aufgrund seiner Dissertation keine Zeit hatte, an dem Buch zu arbeiten,ging die Suche nach Autoren los, und Mitstreiter wurden gefunden. Aufgrund internerSchwierigkeiten zerschlug sich die initiale Gruppe jedoch wieder, und es drohte das Aus. Ineinem zweiten Anlauf fanden sich dann die Autoren zusammen, die das vorliegende Buchgeschrieben haben; Stefan Kania ist außer mir aus der ersten Gruppe dabeigeblieben. Zuuns gestoßen sind dann noch Stefan Semmelroggen, Daniel van Soest und Charly Kühnast.
Anfang 2011 erschien die erste Auflage des Buches, aufgrund von Änderungen in denDistributionen und Anregungen unserer Leser gingen wir mit dem gleichen Team in diezweite Runde, und das Ergebnis unserer Bemühungen halten Sie gerade in Ihren Händen.
Wir hoffen, dass wir Ihnen mit diesem Buch einige Hilfe bei Ihrer täglichen Arbeit gebenkönnen!
Danksagung
Allen voran möchte ich meiner Frau danken, ohne die mein Teil an diesem Buch niemöglich gewesen wäre. Dann möchte ich Jan Watermann und Sebastian Kestel von Galileo
24
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 25 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: vorwort/vorwort , Aktueller Job: administration
Vorwort
Computing für ihre wertvollen Hinweise und ihre Geduld danken, die uns »Greenhorns«überhaupt erst in die Lage versetzt haben, ein solches Projekt in Angriff zu nehmen.
Mein besonderer Dank gilt aber meinen Mitautoren Charly, Daniel, Stefan und Stefan fürdie tolle Zusammenarbeit.
Dass diese Idee, die diesem Buch zugrunde liegt, so erfolgreich ist, damit haben wir nichtgerechnet. Jetzt halten Sie, lieber Leser, die zweite Auflage in Ihren Händen. Sie ist möglichgeworden, weil Sie uns mit Ihren Anregungen und Ihrer konstruktiven Kritik motivierthaben.
Danke!
Vorwort von Stefan Kania
Ich hatte meine erste Berührung mit Computern bei der Bundeswehr. Dort wurde 1982 einKurs »BASIC Programmierung unter CP\M« angeboten. Nach mehreren Jahren Abendschulehabe ich dann von 1992 bis 1994 am b.i.b. e.V. in Paderborn eine Ausbildung zum Infor-matiker absolviert. Dort kam ich dann auch zum ersten Mal mit dem Betriebssystem Linuxin Kontakt. Damals war es die Version 0.96 PL4, und die Installation erfolgte noch sehrabenteuerlich über 30 Disketten.
Im Anschluss an die Ausbildung folgte dann noch eine Zusatzqualifikation zum CNE/CNI(Certified Novell Engineer/Certified Novell Instructor). Nachdem ich dann von 1995 bis1997 fest angestellt als Trainer und Netzwerkadministrator gearbeit hatte, habe ich mich1997 selbstständig gemacht und bin seitdem als IT-Berater und IT-Trainer tätig.
In den letzten Jahren habe ich einige Projekte durchgeführt, bei denen es um die Umstellungvon Windows NT auf die Kombination »LDAP und Samba« ging. Vor ein paar Jahren wurdeich dann von einem meiner Lehrer des b.i.b. angesprochen, ob ich nicht einmal für dieLehrer einen Kurs zum Thema Samba und LDAP halten könne. Das war etwas, was sichjeder Schüler bestimmt schon mal gewünscht hat: endlich mal die Seiten zu wechseln. Fürdiesen Kurs ist dann die erste Version meines Samba-LDAP-Workshops entstanden, der inden folgenden Jahren immer mehr gewachsen ist und als Grundlage für die Kapitel überSamba und LDAP hier im Buch diente.
2008 habe ich dann auf einem Kongress der Firma Heinlein-Support als Referent einenVortrag zum Thema »Serverkonsolidierung mit Samba« gehalten. Im Anschluss an meinenVortrag wurde ich dann von einem der ursprünglichen Autoren, Dr. Michael Schwartzkopff,angesprochen, ob ich nicht an einem Buch für Linux-Administratoren mitwirken wolle. Ineinem spontanen Anfall von Leichtsinn habe ich sofort zugesagt. Da wusste ich ja nochnicht, was für eine Arbeit auf mich zukommen würde. Im Gegensatz dazu wusste ich jetzt,bei der zweiten Auflage, was auf mich zukommt.
Ich wollte mit diesem Buch anderen die Möglichkeit geben, sich schnell in ein neues Themaeinzuarbeiten, und zwar anhand von Beispielen, die auch gut nachvollziehbar sind. Ich
25
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 26 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: vorwort/vorwort , Aktueller Job: administration
Vorwort
habe zu den unterschiedlichsten Themen schon die verschiedensten Bücher und andereVeröffentlichungen gelesen, nur deckte sich das dort Gelesene in den seltensten Fällen mitder Art und Weise, wie ich mir die Herangehensweise an neue Themen wünsche. Ich habeimmer erst einmal gerne eine Anleitung, nach der alles läuft, und dann kann ich anfangen,mit der Umgebung zu experimentieren, um immer tiefer in das Thema einzusteigen. Ichhoffe, dass ich es mit meinen Kapiteln geschafft habe, Ihnen eine Anleitung an die Hand zugeben, mit der Sie die ersten Schritte erfolgreich gehen können. Die zweite Auflage wurdefür mich aus dem Grunde spannend, dass ich die Idee hatte, alle Dienste möglichst gegenKerberos authentifizieren zu lassen.
Danksagung
Auch dieses Mal habe ich wieder überlegt, ob und wem ich hier danken soll. Klar dankeich auch hier wieder meiner Frau und meiner Familie, dass ich meine Freizeit für das Buchopfern konnte. Ohne das Verständnis meiner Frau hätte ich das nicht schaffen können. Auchist sie diejenige gewesen, die so einige Kapitel quergelesen hat und bei so manchem Satzdie Wörter neu gewürfelt hat.
Dennoch gibt es einen Menschen, dem ich hier besonders danken möchte, dem ich vielleichtimmer viel zu wenig gedankt habe für alles, was er für mich getan hat und was er mirermöglicht hat, meinem Vater. Wie sehr er mir fehlt und wie froh ich war, ihn als Vater zuhaben, habe ich erst gemerkt, als er Ende Februar dieses Jahres verstorben ist.
Vorwort von Charly Kühnast
An diesem Buch mitzuarbeiten hat mir eine Menge Freude gemacht, weil es mir erlaubte,drei meiner Lieblingstätigkeiten miteinander zu verbinden.
Erstens stecke ich meine Finger gern in die Innereien eines Linux-Systems. Es gibt kein an-deres weltweit verbreitetes Betriebssystem, dem man so problemlos unter die Motorhaubeschauen kann und das sich so konsequent auf eine bestimmte Aufgabe zuschneiden lässt.Seit dem ersten Kontakt im Winter 1992/93 auf einer Veranstaltung des Chaos Compu-ter Clubs, dem ich seit vielen Jahren angehöre, beschäftige ich mich mit Linux. Seit 1996ist die Linux-Systemadministration der Kern meiner beruflichen Tätigkeit im KommunalenRechenzentrum Niederrhein (KRZN).
Zweitens gebe ich mein Wissen gern weiter: in Kursen, Vorträgen, Workshops und alsLehrbeauftragter zweier niederrheinischer Hochschulen. Und drittens schreibe ich gern undviel; seit meinem 14. Lebensjahr veröffentliche ich regelmäßig Fachartikel und Kolumnen.
Dieses Buch ist eines, das ich mir selbst oft gewünscht habe, wenn ich mich in die Adminis-tration eines neuen Linux-Dienstes einarbeiten musste. Niemand beherrscht alle Facetteneines Betriebssystems, und niemand beherrscht alle möglichen darauf aufsetzenden Server-dienste. Ein Sysadmin, der dringend ein Problem lösen muss, hat nicht die Zeit, knietiefdurch 60 Seiten theoretischer Grundlagen zu waten. Er braucht eine praxisnahe Anleitung
26
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 27 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: vorwort/vorwort , Aktueller Job: administration
Vorwort
und will auf die Fallgruben hingewiesen werden, in die andere bereits gestürzt sind. Ichglaube, das fertige Buch wird diesem Anspruch gerecht.
Danksagung
Die Entstehungsphase dieses Buches war, diplomatisch formuliert, eine ausgesprochenkurzweilige Zeit. Phasen intensiver Recherche, raumgreifender Hardwareschraubereienund fieberhaften Schreibens wechselten einander ab. Die dazu nötige Gelassenheit undSelbstorganisation verdanke ich meinem unlängst verstorbenen Vater, der mir beidesvorgelebt hat.
Besonderer Dank gebührt meiner Familie. Sie musste das Chaos ausbaden, das sowohlmeine An- als auch (geistige) Abwesenheit verursachte, und sie hielt mir trotzdem stets denRücken frei und die Türen auf, wenn ich wieder Clusterknoten durchs Haus schleppte.
Jan Watermann und Sebastian Kestel von Galileo Press gilt mein großer Dank für dieexzellente und kompetente Betreuung. Ebenso dankbar bin ich Daniel, Dirk, Stefan undStefan für die Zusammenarbeit und gegenseitige Hilfe.
Vorwort von Stefan Semmelroggen
Mein Interesse für Computer wurde geweckt, als ich Anfang der Achtzigerjahre das kleineEinmaleins anhand eines BASIC-Programms gelernt habe. Das Programm hatte mein Vaterfür mich geschrieben und mich damit schwer beeindruckt. Danach gab es kein Haltenmehr, und es war schnell klar, dass ich irgendwann mit IT mein Geld verdienen würde.Schon während der Schulzeit habe ich mich selbstständig gemacht und in diversen Firmenversucht, die Windows-Installationen am Leben zu erhalten. Der Kontakt mit UNIX undLinux kam dann Mitte der Neunziger. Beim Informatikstudium und als Werkstudent beiSiemens konnte ich mich dann endlich austoben und die Tiefen von Linux erforschen. Nachdem erfolgreich abgebrochenen Studium war ich als Administrator und Dozent im BereichLinux vollzeitbeschäftigt. Heute arbeite ich bei der Heinlein Professional Linux Support GmbHals Consultant und setze Linux-Projekte aller Größenordnungen um. Die dort gesammeltenErfahrungen darf ich dann ab und zu in Kursen oder auf Konferenzen weitergeben. BeiHeinlein Support habe ich auch erstmals Kontakt zu vielen Fachbuchautoren gehabt, undlangsam aber sicher reifte der Gedanke, dass ich das eigentlich auch machen könnte. Derenorme Zeitaufwand hat mich aber immer abgeschreckt. Zum Verhängnis wurde mir dannschließlich die langjährige Bekanntschaft mit Stefan Kania in Kombination mit diversenAbenden in einer Cocktailbar. In einem Moment der Schwäche sagte ich zu, an dem Buchmitzuwirken. Kurz nach der Geburt meiner zweiten Tochter Maja und einem größerenUmzug mit einem solchen Projekt anzufangen war sicherlich nicht eine meiner brillantestenIdeen. Dennoch bereue ich die Entscheidung nicht und freue mich über das Ergebnis.
27
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 28 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: einleitung/einleitung , Aktueller Job: administration
Vorwort
Danksagung
Mein besonderer Dank gehört den Co-Autoren, die mich besonders während der heißenSchlussphase massiv unterstützt haben. Großer Dank gebührt auch Schlomo Schapiro, dermir mit Rat und Tat zur Seite stand und mir beim Backupkapitel sehr geholfen hat. Auchmein Kollege Holger Uhlig darf nicht unerwähnt bleiben. Er musste immer mal wiederleiden und die Manuskripte durchgehen.
Mein größter Dank gilt jedoch meiner Frau Hanna. Ohne sie hätte ich das Projekt niemalszu Ende bringen können. Sie hat mir während der ganzen Zeit den Rücken freigehalten undmusste sich viel zu oft allein um unsere beiden kleinen Töchter Nina und Maja kümmern.Die Zeit als quasi alleinerziehende Mutter ist für sie aber nun glücklicherweise vorbei.
Vorwort von Daniel van Soest
Der Römer sagt: »Casus ubique valet!«, was bedeutet »Zufall herrscht überall!« Damit triffter so ziemlich genau mein Leben. Ein Zufall war dafür verantwortlich, dass ich das geplanteInformatikstudium nicht antrat, sondern eine Ausbildung zum Informatikkaufmann begann.Weitere Zufälle sorgten dafür, dass ich das letzte Drittel meiner Ausbildung im Jahre 2003beim Kommunalen Rechenzentrum Niederrhein antreten durfte. Ein weiterer großer Zufallsorgte dafür, dass ich zu Charly Kühnast ins Büro gesetzt wurde. Wiederum KEIN Zufallsorgte dafür, dass er mich mit den Worten »Guten Tag, wir machen hier Linux. Hier sinddie CDs, installier mal – viel Spaß!« begrüßte. Seitdem beschäftige ich mich mit Linux.Neben der Tätigkeit als Sysadmin der zentralen Internetdienste im KRZN wurde mir dieSicherheitsinfrastruktur als Aufgabengebiet übertragen.
Weitere Zufälle sorgten dafür, dass ich anfangs als Co-Autor und später eigenständig Li-nux-Fachartikel veröffentlichen durfte. Die Affinität, erworbenes Wissen weiterzugeben,existiert bei mir schon länger. Die Chance (oder war es wieder ein Zufall?), dies in Buchformauszuleben, ergab sich kurze Zeit später. Den Gepflogenheiten eines Sysadmins entspre-chend, Problemstellungen immer praxisnah anzugehen, fasste ich dieses Projekt an. DasResultat halten Sie gerade in Ihren Händen, und ich hoffe einen Teil dazu beigetragen zuhaben, warum Sie gerade dieses Buch aus dem Regal genommen haben. Ich wünsche Ihnenmit dem Buch viel Erfolg und freue mich auf Ihre Anregungen.
Danksagung
Vorab möchte ich mich bei meinen Co-Autoren bedanken. Die Zusammenarbeit war sowohlkreativ als auch produktiv. Ebenso möchte ich mich bei Sebastian Kestel bedanken, der unsstets geduldig mit Rat und Tat zur Seite stand. Ebenso geht mein Dank an meine Band (4d5),danke, dass ihr mir den Ausgleich gebt, den ich zum Alltag brauche.
Abschließend möchte ich nur einer Person danken. Ohne sie hätte ich dieses Buchprojektnicht abschließen können. Ihre Unterstützung und Aufopferung hat es mir erst möglichgemacht, die Zeit für das Buch zu finden. Vielen lieben Dank für dein Verständnis und dieMotivation, Nicole!
28
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 29 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: einleitung/einleitung , Aktueller Job: administration
An dieser Stelle möchten wir Ihnen erklären, was wir uns bei der Verwendung derverschiedenen Formatierungsmöglichkeiten gedacht haben. Hier finden Sie auch dieBeschreibung zu den im Buch verwendeten Icons und die Begründung, warum wir unsgerade für die Distributionen entschieden haben, die im Buch verwendet werden.
Über dieses Buch
Formales
Damit Sie den größtmöglichen Nutzen aus diesem Buch ziehen können, sollen im Folgendeneinige Konventionen erläutert werden.
Kommandozeile
Gleich zu Beginn ein Hinweis an den mausverwöhnten Windows-Nutzer: Wir werden imRahmen dieses Buchs hauptsächlich Gebrauch von der Kommandozeile machen, da sichviele Aufgaben unter Linux einfacher und ökonomischer durch einige Tastaturkommandoserledigen lassen. Das soll allerdings nicht heißen, dass wir gänzlich auf den Komfort einergrafischen Umgebung verzichten, denn wie bei vielen Dingen im Leben gilt auch hier: DieMischung macht’s. Für viele Bereiche gibt es heute grafische Werkzeuge, gerade webbasierte,die Ihnen als Administrator das Leben leichter machen können. Auch wir nutzen dieseWerkzeuge und werden an den entsprechenden Stellen auf sie eingehen.
Befehle eingeben
Für Kommandozeilenbefehle soll folgende Schreibweise verwendet werden: Im fließen-den Text werden Konsolenbefehle durch die Verwendung von Nicht-Proportionalschrift
gekennzeichnet. Viele der Beispiele zu den Kommandos werden aber auch in Listings dar-gestellt. Alle Listings werden in Nicht-Proportionalschrift dargestellt. In den Listingswerden Sie von der Befehlszeile bis zum Ergebnis alles nachvollziehen können, wie Sie hierim Beispiel sehen:
stefan@adminbuch~$ psPID TTY TIME CMD4008 pts/2 00:00:00 bash4025 pts/2 00:00:00 ps
Listing 0.1 Beispiel für ein Listing
29
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 30 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: einleitung/einleitung , Aktueller Job: administration
Über dieses Buch
Privilegierte Rechte
Für die Administration von Linux-Systemen werden Sie immer root-Rechte benötigen, umdie entsprechenden Konfigurationsdateien bearbeiten oder um Dienste starten oder stoppenzu können. Ubuntu vertritt im Unterschied zu anderen Linux-Distributionen eine eigenePhilosophie: Der Standardbenutzer der ersten Installation kann jeden Administratorbefehldurch Voranstellen des Befehls sudo ausführen. Anschließend muss dann das Passwort desStandardbenutzers eingegeben werden:
stefan@adminbuch~$ sudo /etc/init.d/networking restart[sudo] password for <user>: <Hier eigenes Passwort eingeben>
Listing 0.2 Arbeiten als root
Sind mehrere Befehle als Administrator einzugeben, so kann das Voranstellen von sudo auchlästig werden. In diesem Fall verschaffen Sie sich mit dem folgenden Befehl vorübergehendeine root-Shell:
stefan@adminbuch~$ sudo -s[sudo] password for <user>: <Hier eigenes Passwort eingeben>root@adminbuch~#
Listing 0.3 Eine root-Shell öffnen unter Ubuntu
Eingabe langer Befehle
Und noch eine weitere wichtige, eher technische Konvention: Einige der vorgestellten Kom-mandozeilenbefehle oder Ausgaben von Ergebnissen erstrecken sich über mehrere Buchzei-len. Im Buch kennzeichnet am Ende der entsprechenden Zeilen ein »\«, dass der Befehl oderdie Ausgabe in der nächsten Zeile weitergeht.
Screenshots
Wie heißt es doch so schön: Ein Bild sagt mehr als tausend Worte. Wann immer es sinnvollerscheint, soll daher ein Screenshot zur Erhellung des Sachverhaltes beitragen.
Internetverweise
Da wir in diesem Buch sehr viele verschiedene Dienste ansprechen, ist es nicht möglich,alle Funktionen und Fähigkeiten eines Dienstes bis ins kleinste Detail zu beschreiben. Ausdiesem Grund haben wir an geeigneten Stellen auf Internetadressen verwiesen.
Verweise auf Internetadressen werden besonders ausgezeichnet, zum Beispiel so:www.debian.org.
30
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 31 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: einleitung/einleitung , Aktueller Job: administration
Linux-Distributionen
Icons
Sie werden in den einzelnen Kapiteln am Rand oft Icons finden, die Sie auf bestimmteZusammenhänge oder Besonderheiten hinweisen sollen. Die Icons haben die folgendenBedeutungen:
Hier wird es immer sehr wichtig
Wann immer Sie das nebenstehende Symbol sehen, ist Vorsicht angeraten: Hier weisen wir aufbesonders kritische Einstellungen hin oder auf Fehler, die dazu führen können, dass das System nichtmehr stabil läuft. Damit sich die Warnungen mehr vom anderen Text abheben, haben wir dieseTextbereiche dann noch mit einem grauen Kasten hinterlegt.
Beispiele – zum Beispiel für Konfigurationsdateien – haben wir mit diesem Symbol gekenn-zeichnet. Wir haben an vielen Stellen Beispiele eingefügt, die es Ihnen leichter machen, eineentsprechende Aufgabe umzusetzen.
Alle Textstellen, die wir mit diesem Icon versehen haben, sollten Sie unbedingt lesen! Hierhandelt es sich oft um wichtige Hinweise zu den unterschiedlichen Distributionen, diewir verwenden, oder um wichtige Eigenschaften oder Konfigurationsmöglichkeiten einesDienstes.
Es gibt keine fehlerfreie Software! Große und kleine Fehler, die bei den einzelnen Dienstenbekannt sind, werden durch diesen kleinen »Bug« gekennzeichnet. Die nachweislich ersteErwähnung des Wortes »Bug« stammt übrigens von Grace Hopper, einer Computerpionierinaus den USA: http://de.wikipedia.org/wiki/Grace_Hopper.
Bei diesem Icon möchten wir Sie auf Fehler hinweisen, die immer wieder gemacht werden.Sei es, dass die Groß- und Kleinschreibung nicht beachtet wird oder Parameter – abwei-chend vom sonstigen Verhalten von Linux-Kommandos – in einer bestimmten Reihenfolgeangegeben werden müssen.
Bei diesem Symbol finden Sie nützliche Tipps und Tricks zu bestimmten Aufgaben.
Linux-Distributionen
Als der Gedanke zu diesem Buch aufkam, mussten wir uns erst einmal einig werden, welcheDistributionen wir denn für das Buch verwenden wollten. Aufgrund der folgenden Kriterienhaben wir dann unsere Entscheidung getroffen:
� Wir wollten auf jeden Fall mindestens eine Distribution, die rpm-Pakete, und eine, diedeb-Pakete für die Softwareverwaltung nutzt.
� Da es in diesem Buch um Serverdienste geht, musste die Distribution nicht unbedingtdie aktuellsten Pakete haben, wie man es gerne auf einem Desktop hat, sondern uns kam
31
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 32 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
Über dieses Buch
es in erster Linie auf die Stabilität an. Obwohl wir bei manchen Diensten schon auf einebestimmte minimale Versionsnummer geachtet haben.
� Die Distributionen sollten sehr verbreitet sein und auch oft in Firmen zum Einsatzkommen.
� Der Supportzeitraum sollte mindestens vier bis fünf Jahre betragen, also ungefähr dieLaufzeit, die IT-Systeme in Unternehmen haben.
Aufgrund dieser Kriterien haben wir dann die folgenden Distributionen für die Beispiele imBuch ausgewählt:
� Debian SqueezeDebian ist seit Jahren für stabile Versionen und hohe Zuverlässigkeit bekannt. Auch istdie Bereitstellung der Sicherheitsupdates für einen langen Zeitraum gesichert.
� SUSE Linux Enterprise Server 11 (SLES11)Der SLES11 wir heute in sehr vielen Firmen eingesetzt, vor allen Dingen dort, woder VMware ESX Server für die Virtualisierung zum Einsatz kommt, da der SLES11von VMware, neben dem Red Hat Enterprise Server, ausdrücklich empfohlen wird undFirmen beim Einsatz des SLES auch den Support von VMware nutzen können.
� Ubuntu-Server 12.04 LTSDer Ubuntu-Server basiert auf Debian und stellt mit der LTS-(Long Term Support-)Versioneine gute Alternative zum Debian-Server dar. Der Ubuntu-Server setzt dabei auf neuerePakete und Kernel als Debian, da bei Ubuntu die Releasezyklen kürzer sind.
Wenn Sie sich jetzt fragen: »Aber meine Lieblingsdistribution erfüllt die Punkte auch, warumist die nicht dabei?«, können wir an dieser Stelle nur sagen, dass wir natürlich alle Diensteunter allen von uns verwendeten Distributionen konfiguriert und ausgetestet haben. Alleinfür das Testen mit drei verschiedenen Distributionen benötigt man schon eine geraume Zeit.Deshalb haben wir uns für diese drei Distributionen entschieden.
Jetzt bleibt uns nur noch, Ihnen viel Spaß mit dem Buch zu wünschen und zu hoffen, dassIhnen unser Buch bei Ihrer täglichen Arbeit eine Hilfe sein wird.
32
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 33 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
In diesem Kapitel geht es um den Beruf des Administrators,um notwendige Fähigkeiten und Fertigkeiten zu seiner Ausübung,eine Einordnung der eigenen Tätigkeit, Verhaltensempfehlungenund um einen Ehrenkodex.
1 Der Administrator
Vielen Administratoren fällt es schwer, ihre Arbeit einordnen und planen zu können. Die-ses Kapitel möchte Ihnen Unterstützung bieten, diese Einordnung vorzunehmen. Weiterhinbekommen Sie einige hilfreiche Hinweise zur Kommunikation mit Kollegen und Vorgesetz-ten. Eine bewährte Planungsmethode zur Gestaltung des Arbeitstages rundet neben demEhrenkodex dieses Kapitel ab.
1.1 Der Beruf des Systemadministrators
Der Systemadministrator wird selten wahrgenommen. Meist wird erst im Fehlerfall be-merkt, dass es jemanden gibt, der sich um die Dienste kümmert, die jeder täglich nutzt. Eswäre jedoch falsch zu sagen, dass nur der Systemadministrator ein guter Systemadministra-tor ist, der nicht wahrgenommen wird.
Aber genau in diesem Spannungsfeld liegt eine der sehr großen nichttechnischen Heraus-forderungen dieses Berufszweigs, und das zeigt sich direkt auch schon daran, dass Kommu-nikation ein wichtiger Punkt in der Liste der Fähigkeiten ist, die einen Systemadministratorauszeichnen.
Auf die angeforderten Fähigkeiten kommen wir im weiteren Verlauf des Kapitels noch zusprechen.
Um die gleiche Sprache zu verwenden, werden zunächst einige gebräuchliche Begriffe ausdem Arbeitsumfeld des Systemadministrators erklärt.
1.1.1 Berufsbezeichnung und Aufgaben
Da »Systemadministrator« kein geschützter Begriff und auch kein Lehrberuf ist, herrschtimmer Verwirrung darüber, welche Ausbildungsgänge oder Tätigkeitsfelder dem Berufsbildzugeordnet werden. Häufig finden sich in dieser Berufsgruppe Quereinsteiger aus informa-tikfernen Berufen.
33
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 34 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
1 Der Administrator
Allgemeiner Konsens ist allerdings, dass den Administratoren folgende Tätigkeiten zugeord-net werden:
� Installationvon Systemen, Hardware und Software. Hier geht es vor allem um Arbeitsplatzrechnerund Server, aber auch Speichersysteme (Backup, NAS und SAN) sowie Netzwerkkompo-nenten können dazugehören.
� Konfigurationvon Systemen. Das bedeutet zum einen das Einstellen der Systeme auf Benutzerbe-dürfnisse und zum anderen das Optimieren vorhandener Konfigurationen in Bezug aufLeistung.
� Betriebvon Systemen, das Sicherstellen der Funktionsfähigkeit und nachhaltige Problemlösungim Fehlerfall
� Anlagevon Benutzern nach gesetzlichen Vorgaben und den Richtlinien des Unternehmens
� Vergabe und Rücknahmevon Benutzerrechten
� Beratungbei der Hard- und Softwareanschaffung, besonders in Hinblick auf die Erfordernisse unddas Budget
� Unterstützungbei Projekten der Informationstechnologie
Je nach Größe der Firma, in der ein Systemadministrator tätig ist, ist die Tätigkeit sehrspezialisiert und berührt nur Teile der oben angeführten Aufgaben. In kleineren Unterneh-mungen gibt es Überschneidungen mit dem, was zum Aufgabengebiet eines Netzwerkad-ministrators, eines Datenbankadministrators oder eines Anwendungsbetreuers zählt. ImGroßrechner-Umfeld spricht man häufig vom Systemprogrammierer und vom Operator, inder Open-Source-Welt finden sich beide Berufsbilder häufig in den Aufgaben der Systemad-ministratoren wieder.
1.1.2 Job-Definitionen
In diesem Abschnitt fassen wir die allgemein anerkannten Berufsbezeichnungen nach derSystem Administrators Guild der Usenix Association (SAGE) zusammen, die ebenfalls von derLeague of Professional System Administrators (LOPSA) anerkannt werden. Vergleichen Siehierzu die Seite:
http://www.sage.org/field/jobs-descriptions.html
34
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 35 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
Der Beruf des Systemadministrators 1.1
Die Definitionen der folgenden Richtlinien sind nicht in Stein gemeißelte Gesetze, abersie helfen, eine allgemeine Kategorisierung des Wissensstandes von Systemadministratorenvorzunehmen. Diese Kategorisierung ist nicht auf Linux- oder UNIX-Administratoren be-schränkt, beschreibt diese aber auch.
Der Stoff ist zwar ein bisschen trocken, aber die Lektüre lohnt sich, um den eigenen Standortbestimmen zu können.
Unternehmensgröße
Bei der Größe der Unternehmungen, in der die Systemadministratoren zu finden sind,werden grob drei verschiedene Ausbaustufen unterschieden.
1. Man spricht von einem kleinen einheitlichen Betrieb, wenn weniger als 50 Computermit dem gleichen Betriebssystem im Einsatz sind und weniger als 20 Nutzer an ihnenarbeiten. Die Computer der Administratoren werden hierbei nicht mitgerechnet.
2. Ein komplexer Betrieb hat bis zu 100 Computer, und die bis zu 100 Benutzer arbeitenmit mehr als zwei verschiedenen Betriebssystemen.
3. Den großen komplexen Betrieb kennzeichnen mehr als 100 Computer und mehr als100 Benutzer mit mehr als einem Betriebssystem.
Das ist nur eine grobe Einteilung, die aber eine ungefähre Richtlinie festlegt. Eine Kombi-nation dieser einzelnen Betriebsarten gibt es immer, und die Grenzen sind fließend.
Novice System Administrator
� Erforderliche Fähigkeiten
� hat ein hohes Maß an sozialer Kompetenz und an Kommunikationsfähigkeiten; Fähig-keit, einfache Sachverhalte schriftlich oder mündlich zu erläutern; gute Fähigkeitenam Telefon
� ist vertraut mit einem Betriebssystem und dessen Befehlen und Werkzeugen aufBenutzerebene; ist in der Lage, Dateien zu editieren, Kommandos auszuführen,Homeverzeichnisse der Nutzer zu finden, durch das Dateisystem zu navigieren undEin-/Ausgabeumlenkung einzusetzen
� kann Anweisungen gut folgen
� Erforderliche Ausbildung
� zwei Jahre an der Hochschule, eine äquivalente Ausbildung oder Berufserfahrungnach der Schule
35
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 36 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
1 Der Administrator
� Wünschenswerte Ausbildung und Fähigkeiten
� ein Abschluss oder eine Zertifizierung in Informatik oder in einem verwandten Be-reich
� vorhergehende Erfahrungen im Kundendienst, Rechnerbetrieb, Systemadministra-tion oder einem verwandten Bereich
� Motivation, sich beruflich weiterzuentwickeln
� Angemessene Verantwortlichkeiten
� führt Routineaufgaben unter direkter Aufsicht eines erfahreneren Administrators aus
� fungiert als Direktkontakt zu den Nutzern, nimmt Fehlermeldungen an und weist sieden entsprechenden Systemadministratoren zu
Junior System Administrator
� Erforderliche Fähigkeiten
� hat ein hohes Maß an sozialer Kompetenz und an Kommunikationsfähigkeiten; istin der Lage, Benutzern Anwendungen und Betriebssystem-Grundlagen beizubringensowie eine Basis-Dokumentation zu schreiben
� Fähigkeit, die meisten Betriebssystem-Kommandos und -Werkzeuge einzusetzen
� ist vertraut mit den meisten Basis-Werkzeugen der Systemadministration und denBasis-Prozessen; ist beispielsweise in der Lage, eine Maschine zu starten und herun-terzufahren, Benutzerkonten hinzuzufügen und zu entfernen, Backup-Programme zunutzen, Filesystem- und Datenträgertests durchzuführen und Systemdatenbanken zupflegen (Nutzer, Gruppen, Hosts, Alias)
� besitzt Grundverständnis des Betriebssystems; hat beispielsweise das Prinzip Job-Steuerung, Soft- und Hardlinks oder Verknüpfungen verstanden, kann zwischen Be-triebssystemkern und Nutzerumgebung unterscheiden.
� Erforderlicher Hintergrund
� ein bis drei Jahre Erfahrung in der Systemadministration
� Wünschenswerter Hintergrund und Fähigkeiten
� Abschluss in Informatik oder einem verwandten Feld
� ist mit den Konzepten vernetzter und verteilter Computerumgebungen vertraut; kannbeispielsweise das route-Kommando benutzen oder das Routing und die Dienstefür den Fernzugriff verwalten, kann Workstations zum Netzwerk hinzufügen undentfernte Dateisysteme einbinden
36
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 37 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
Der Beruf des Systemadministrators 1.1
� ist in der Lage, Skripte in einer oder mehreren Verwaltungssprachen wie Tk, Perl, VB-Script oder ein Shell-Script zu schreiben
� hat Programmiererfahrung in der passenden Programmiersprache
� Angemessene Verantwortlichkeiten
� alleinige Verwaltung einer kleinen einheitlichen Niederlassung oder Unterstützungin der Administration einer größeren Systemumgebung
� arbeitet unter der Aufsicht eines Systemadministrators oder eines Managers
Intermediate/Advanced System Administrator
� Erforderliche Fähigkeiten
� hat ein hohes Maß an sozialer Kompetenz und an Kommunikationsfähigkeiten; ist inder Lage, Begründungen für Kaufanträge zu schreiben, Nutzer in komplexen Inhaltenzu schulen, Präsentationen vor einem internen Publikum zu halten, sich mit demoberen Management auseinanderzusetzen
� unabhängiges Lösen von Problemen, selbstständiges Arbeiten
� ist vertraut mit den meisten Aspekten der Betriebssystem-Administration; beispiels-weise mit dem Konfigurieren von Mail-Systemen, mit der Betriebssystem-Installationund Konfiguration, mit der Einrichtung von Druckern, mit den Grundlagen der Se-curity und der Installation der Software von Drittanbietern
� hat ein umfassendes Verständnis von UNIX-basierten Betriebssystemen; versteht Pa-ging und Swapping, die Kommunikation zwischen Prozessen, die Geräte und wasGerätetreiber tun, kennt Dateisystem-Konzepte (inode, clustering, logical partitions)
� ist mit den grundlegenden Konzepten von vernetzten und verteilten Rechnerumge-bungen vertraut; kann NFS-, NIS- und NT-Domänen konfigurieren, kann nslookup
oder dig benutzen, um Informationen aus dem DNS zu ziehen; versteht grundlegendeRouting-Konzepte
� ist in der Lage, Skripte in einer oder mehreren Verwaltungssprachen wie Tk, Perl, VB-Script oder als Shell-Script zu schreiben
� ist in der Lage, minimales Debugging von und kleine Veränderungen an C-Program-men durchzuführen
� Erforderlicher Hintergrund
� drei bis fünf Jahre Erfahrung in der Systemadministration
37
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 38 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
1 Der Administrator
� Wünschenswerter Hintergrund und Fähigkeiten
� Abschluss in Informatik oder einem verwandten Feld
� bedeutende Kenntnisse in der passenden Programmiersprache
� Angemessene Verantwortlichkeiten
� bekommt grundlegende Anweisungen für neue Verantwortlichkeiten von einem Vor-gesetzten
� administriert einen komplexen Betrieb allein oder unterstützt die Administrationeines größeren Betriebes
� initiiert und übernimmt einige neue Verantwortlichkeiten und hilft bei der Zukunfts-gestaltung des Betriebes oder des Netzwerkes
� betreut Novice System Administrators oder Operators
� beurteilt und/oder befürwortet Neuanschaffungen;hat starken Einfluss auf Kaufentscheidungen
Senior System Administrator
� Erforderliche Fähigkeiten
� hat ein hohes Maß an sozialer Kompetenz und Kommunikationsfähigkeiten; ist in derLage, Anträge oder Berichte zu schreiben, fungiert als Kontaktperson für Vertriebsbe-auftragte, hält Präsentationen für Kunden, Auftraggeber oder professionelle Partner,arbeitet eng mit dem oberen Management zusammen.
� ist in der Lage, Probleme schnell zu lösen und Prozesse zu automatisieren
� besitzt umfassende Kentnisse in einem Betriebssystem, versteht Paging und Swap-ping, die Kommunikation zwischen Prozessen, die Geräte und was Gerätetreiber tun,kann Performance-Analysen nutzen, um Systeme einzustellen und kennt Dateisys-tem-Konzepte (inode, clustering, logical partitions)
� hat umfassende Kenntnisse der Konzepte von vernetzten und verteilten Rechnerum-gebungen; versteht Routing, Client/Server-Programmierung; fähig zum Design vonbeständigen, netzwerkweiten Dateisystemen
� ist in der Lage, Skripte in einer Verwaltungssprache wie Tk, Perl, VBScript oderShell-Script zu schreiben, C-Programme von einer Plattform auf eine andere zu por-tieren und kleine C- oder C#-Programme zu schreiben
38
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 39 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
Nützliche Fähigkeiten und Fertigkeiten 1.2
� Erforderlicher Hintergrund
� mehr als fünf Jahre Erfahrung in der Systemadministration
� Wünschenswerter Hintergrund und Fähigkeiten
� Abschluss in Informatik oder einem verwandten Feld
� weitreichende Kenntnisse in der passenden Programmiersprache
� Publikationen im Bereich der Systemadministration
� Angemessene Verantwortlichkeiten
� gestaltet/implementiert komplexe lokale oder weitreichende Netzwerke vonMaschinen
� leitet einen großen, komplexen Betrieb oder ein entsprechendes Netzwerk
� arbeitet gewöhnlich unter der Leitung des Senior Managements
� etabliert oder empfiehlt Richtlinien zur System- und Dienstenutzung
� bietet technische Führung und/oder beaufsichtigt Systemadministratoren,Systemprogrammierer oder eine andere entsprechende Führungsebene
� hat Kaufbefugnis und Verantwortung für Einkäufe
1.2 Nützliche Fähigkeiten und Fertigkeiten
Abseits von den Fachkenntnissen, die elementar sind, um den Beruf eines Systemadminis-trators ausüben zu können, kommen jetzt Fähigkeiten zur Sprache, die man vielleicht nichtdirekt in Zusammenhang mit den Anforderungen bringt, die einen Systemadministratorauszeichnen, die aber dennoch wichtig für die Ausübung des Berufes sind.
1.2.1 Soziale Fähigkeiten
Systemadministration hat nicht nur eine fachliche Komponente, wie im vorherigen Ab-schnitt beschrieben. Um den Job gut ausführen zu können, sind auch eine Reihe vonsozialen Fähigkeiten, die sogenannten Softskills, erforderlich.
Die Arbeit erfordert es, sehr häufig Änderungen an vitalen Teilen der IT-Infrastruktur durch-zuführen. Im geregelten Fall bekommt man für Produktionssysteme Wartungsfenster, indenen Änderungen an Produktionsmaschinen durchgeführt werden dürfen.
39
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 40 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
1 Der Administrator
Oftmals ist es aber auch so, dass die Störung an einem Produktionssystem die Arbeit derBenutzer unmöglich macht. In diesem Fall sind Änderungen am Live-System erforderlich,und viele Administratoren sprechen hierbei von einer »Operation am offenen Herzen«.
Um das durchführen zu können, ist ein hohes Maß an Selbstvertrauen nötig, was somitauch gleich eine sehr wichtige Fähigkeit ist. Menschen mit geringem Selbstvertrauen seigesagt, dass Selbstvertrauen – wie andere Fähigkeiten auch – trainierbar ist. Eine gute,solide fachliche Basis kann dazu beitragen, das Selbstvertrauen zu unterstützen.
Selbstverantwortung und auch Selbstdisziplin sind zwei weitere wichtige Eigenschaften,die einen Systemadministrator auszeichnen. Mit Selbstverantwortung ist die Verantwortlich-keit für das eigene Handeln gemeint und die Fähigkeit, sich und anderen Fehler eingestehenzu können. Selbstdisziplin sorgt dafür, selbstständig Arbeit zu erledigen und auch in schwie-rigen Situationen, einem Regelwerk entsprechend, Produktionssysteme zu betreuen.
Systemadministration ist Teamsport. Daher sind im Umgang mit anderen Administratoren,Benutzern oder Vorgesetzten Konfliktfähigkeit und Kooperation ebenso wichtig wie dieTeamfähigkeit.
Wie in den Job-Beschreibungen zu sehen ist, hat dieses Arbeitsfeld sehr viel mit Kommuni-kation zu tun. Hiermit ist sowohl mündliche wie auch schriftliche Kommunikation gemeint.Dazu gehört auch die Kenntnis der englischen Sprache, da der größte Teil der Fachliteraturin Englisch verfasst ist. Für den Fall, dass man mit dem Hersteller einer Software in Kontakttreten muss, ist es auch erforderlich, in Englisch korrespondieren zu können.
Das ist nicht zu unterschätzen. Anders als erwartet, beschäftigen sich Administratoren nichtals Selbstzweck mit den ihnen anvertrauten Maschinen. Was es genau damit auf sich hat,erklären wir in Abschnitt 1.4, »Unterbrechungsgesteuertes Arbeiten«.
1.2.2 Arbeitstechniken
Jetzt beschäftigen wir uns mit Fähigkeiten, die nicht direkt zu den Softskills zählen und auchnur wenig Bezug zu den fachlichen Fertigkeiten haben.
Am Anfang der Arbeit steht der Wille, zu verstehen, um mit dem gewonnenen Wissendie anfallende Arbeit immer besser erledigen zu können. In letzter Konsequenz bedeutetdas, dass ein Systemadministrator bereit ist, sein Leben lang zu lernen und sich ständigweiterzubilden – sei es durch Eigeninitiative oder durch Schulungen, die vom Arbeitgeberangeboten werden.
Damit einher geht das Streben, Fehler nicht ein zweites Mal zu machen. Das ist gerade imDialog mit Vorgesetzten und Benutzern nicht zu unterschätzen. Gesucht werden dauerhafteLösungen für Probleme und nicht Workarounds, die die Probleme verschieben. Der Neustarteines Computers behebt in der Regel kein Problem, er verschiebt nur die Auswirkungen.
40
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 41 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
Nützliche Fähigkeiten und Fertigkeiten 1.2
Natürlich kann man sich bemühen, die Rechner in einem Rhythmus neu zu starten, sodassdas Problem nicht mehr ans Tageslicht kommt, gelöst ist es damit aber nicht.
Für den Fall, dass man selbst nicht das Wissen hat, um ein Problem zu lösen oder um ineiner entsprechend vorgegebenen Zeit eine Lösung zu finden, ist es elementar, dass manProbleme abgeben kann, beispielsweise an Kollegen oder auch an den externen Supportdes Herstellers einer Software oder Hardware. Häufig versuchen Systemadministratorentage- oder sogar wochenlang, ein Problem selbst zu lösen, das durch die Inanspruchnahmedes bereits bezahlten Supports in 30 Minuten gelöst wäre. »Sie haben für den Supportbezahlt, also nutzen Sie ihn auch!«, wurde mir einmal von einem Vertriebsbeauftragtengesagt, und das hat mein Denken in dieser Hinsicht verändert.
Systemadministratoren sind in der Regel »Warmduscher« (oder »Beckenrandschwimmer«oder »Bergaufbremser« etc.), die es scheuen, unnötige Risiken einzugehen. Die Arbeitsmittel,die verwaltet werden, sind meist von zentraler Bedeutung für das Unternehmen, und da istkein Platz für Cowboys. Ein Ausfall, der durch unsorgfältige Arbeit verursacht wird, kannneben finanziellem Schaden für das Unternehmen auch den eigenen Job kosten. Daher giltes, genau und sorgfältig zu arbeiten und die Risiken richtig einzuschätzen.
Wenn ein angebotener Dienst eingeschränkt oder gar nicht verfügbar ist, klingelt das Tele-fon im Regelfall pausenlos. In diesem Fall ist ein hohes Maß an Stressresistenz erforderlich,um selbst in diesen Situationen einen kühlen Kopf zu bewahren. Dass heißt auch, profes-sionell und freundlich im Umgang mit den aufgebrachten Benutzern zu sein und Fehlerbei der Störungsbeseitigung zu vermeiden. Die so wichtige systematische und routinierteHerangehensweise an Probleme darf dem Druck nicht zum Opfer fallen, sonst schafft mandamit mehr Probleme, die dann zusätzlich noch gelöst werden müssen.
Diese Form der Belastung wird auch unterbrechungsgesteuertes Arbeiten genannt. In diesemArbeitsumfeld termingerecht Projektarbeiten zu erledigen und begonnene Aufgaben zubeenden erfordert ein sehr hohes Maß an Disziplin und Selbstbeherrschung.
Eine der wichtigsten Eigenschaften, die ein Systemadministrator mitbringen muss, ist Faul-heit. Ja, richtig gelesen! Die Faulheit bewirkt, dass man Fehler so behebt, dass sie endgültiggelöst sind. Ein hohes Maß an Automatisierung sorgt dafür, dass man Fehler nicht zweimalmacht und dass man Arbeiten nicht mehrfach ausführen muss. Ein sinnvolles Monitoringvon Prozessen und Diensten hilft Ihnen, Fehler zu erkennen, bevor Benutzer sie bemer-ken. Das steigert zum einen die Qualität der eigenen Arbeit und reduziert zum anderen dieAnzahl der Nottelefonate, die geführt werden müssen.
Nicht zu vergessen ist, dass Diskretion, Loyalität und Integrität elementare Grundlagenfür Arbeiten am Puls des Unternehmens darstellen. Diese Tugenden werden im letztenAbschnitt dieses Kapitels durch den Verhaltenskodex beschrieben, den sich die Systemad-ministratoren der SAGE selbst geben.
41
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 42 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
1 Der Administrator
1.3 Das Verhältnis vom Administrator zu Normalsterblichen
Wie am Anfang des Kapitels angedeutet wurde, fallen Systemadministratoren meist nichtauf, wenn der Betrieb gut läuft. Dass in der IT-Abteilung Menschen sitzen, die einen nahezustörungsfreien Betrieb der IT-Infrastruktur sicherstellen, wird meist erst dann bemerkt, wennirgendetwas nicht funktioniert.
Schlimmer noch: Eine landläufige Meinung besagt, dass Systemadministratoren meist die-jenigen sind, die das teuer verdiente Geld des Unternehmens ausgeben und gar kein Geldeinbringen. Das gilt natürlich nicht, wenn Sie bei Kunden Ihres Unternehmens Administra-tionsdienstleistungen erbringen.
Wenn Sie in einer größeren Firma mit einer eigenen Administrationsabteilung arbeiten,kennen Sie dieses Problem vermutlich nicht. Aber je kleiner die Firma ist, desto näherkommen Sie diesem Szenario.
1.3.1 Der Chef und andere Vorgesetzte
Oft ist es so, dass der Chef oder der direkte Vorgesetzte keinen fachlichen Hintergrund alsSystemadministrator hat. Das muss er auch nicht, wenn es sein Job nicht erfordert. Dafürbringt er andere Fähigkeiten mit, die Sie für Ihre Arbeit nicht benötigen.
Nicht alle Entscheidungen, die Sie als Systemadministrator betreffen, beruhen auf Kriterien,die Ihnen bekannt sind. Häufig spielen Partnerschaften mit anderen Unternehmen eineRolle, und manchmal wird eine strategische Ausrichtung über mehrere Jahre festgelegt, unddie nachträgliche Einflussnahme ist sehr begrenzt.
Daher ist es umso wichtiger, dass Sie mit Ihrem Chef richtig kommunizieren und IhreThemen verständlich erläutern. Ein unterschiedliches Wissensniveau darf kein Grund sein,nicht respektvoll und professionell miteinander umzugehen.
Bitte behalten Sie im Hinterkopf, dass die IT nicht in jedem Unternehmen das Kerngeschäftist. Daher werden viele IT-Ausgaben als Geldausgaben ohne direkten Nutzen angesehen:»Warum brauchen Sie jetzt einen neuen Router, der bisherige funktioniert doch?!«. Bemü-hen Sie sich in jedem Fall, sachlich und kompetent zu informieren, sodass Ihr Anliegenverstanden wird.
Ihr Chef ist Ihnen gegenüber weisungsbefugt, er gibt Ihnen die Prioritäten vor. Die gesetztenPrioritäten können sich von Ihren eigenen elementar unterscheiden. Erklären Sie, warumund wie Sie die Prioritäten anders setzen würden. Die letzte Entscheidung liegt aber nichtbei Ihnen.
Das Positive daran ist, dass Sie – gerade dann, wenn Sie zu viele Aufgaben zu erledigenhaben – durchaus auch Ihren Chef um Priorisierung bitten und ihn als Eskalationsstufenutzen können.
42
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 43 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
Das Verhältnis vom Administrator zu Normalsterblichen 1.3
Sie unterliegen einer Informationspflicht! Wenn Sie von rechtlichen Übertretungen oderschlimmstenfalls sogar von kriminellen Tätigkeiten erfahren, sind Sie verpflichtet, das un-verzüglich Ihrem Vorgesetzten zu melden. Das heißt nicht, dass Ihr Vorgesetzter Sie zukriminellen Handlungen zwingen darf.
1.3.2 Benutzer
»Unsere Systeme arbeiten am besten ohne Nutzer.«
Systemadministratoren verwalten die Werkzeuge oder die IT-Infrastruktur, die den Benut-zern die Arbeit erleichtern oder ermöglichen. Bei allem Wissen, was dafür aufgewendetwird, sind es dennoch »nur« Werkzeuge.
Benutzer sind mangels IT-Wissen keine Menschen zweiter Klasse. Sie kennen ihr Fachgebietgenauso gut wie der Administrator seines, und in der Regel sind sie es, die die »eigentliche«Arbeit im Unternehmen erledigen. Damit ist die Arbeit gemeint, mit der das UnternehmenGeld verdient.
Ebenso wie bei der Kommunikation mit dem Chef ist auch hier der Wissensunterschiedkein Grund, nicht respektvoll mit dem Gegenüber umzugehen. Versuchen Sie, eine Sprachezu finden, die der Endanwender versteht. Hören Sie zu, und nehmen Sie die Anfragen undProbleme ernst.
Nutzer denken häufig, dass ihr Problem das wichtigste ist, weil es sie an der Erfüllung ihreraktuellen Aufgabe hindert. Man kann ihnen aber auch erklären, dass Probleme, die alleim Unternehmen betreffen, Vorrang vor denen haben, die nur einige betreffen, und diesehaben wiederum Vorrang vor den Problemen, die nur Einzelne betreffen. Ihr Chef kann dasnatürlich anders entscheiden.
Sollte das nicht helfen, kann man als Systemadministrator immer noch freundlich undhöflich bleiben und auf den Vorgesetzten verweisen, der die Bearbeitung dieser Anfragepriorisieren soll.
1.3.3 Andere Administratoren
Die Kommunikation unter Systemadministratoren ist – anders als bei Vorgesetzten oderBenutzern – sehr stark fachlich geprägt. Um schnell und effizient arbeiten zu können,müssen auch hier persönliche Befindlichkeiten außen vor bleiben.
Das bedeutet insbesondere, dass andere Meinungen akzeptiert werden müssen. Diskussio-nen haben immer sachlich zu bleiben, denn nur so ist es möglich, das beste Resultat zuerzielen.
Niemand wird weniger akzeptiert, wenn er nachfragt. Es ist sogar deutlich besser, zu fragenund um Hilfe zu bitten, als mit Halbwissen zu versuchen, ein Problem zu lösen. Gegebenen-
43
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 44 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
1 Der Administrator
falls ist es besser, die Aufgabe abzugeben. Das heißt im Gegenzug aber auch, Aufgaben vonTeammitgliedern zu übernehmen und ihnen mit dem eigenen Wissen zur Seite zu stehen,wenn sie Hilfe brauchen.
Die Hilfe kann auch darin bestehen, alle Telefonanrufe anzunehmen, um den Kollegen zuentlasten und Freiräume zur Lösung der Probleme zu schaffen. Dieses Beispiel zeigt, dassdie Unterstützung nicht nur fachlicher Natur sein muss.
In Krisensituationen ist es notwendig, als Team zu funktionieren und nicht zu diskutieren.
Zu den wichtigen Aufgaben zählt es auch, Verfahren, Konfigurationen und bekannte Proble-me und deren Lösungen zu dokumentieren, sodass keine Kopfmonopole existieren und imFall, dass jemand Urlaub macht oder krank wird, die Arbeit erledigt werden kann.
1.4 Unterbrechungsgesteuertes Arbeiten
Die Arbeit als »klassischer Systemadministrator« teilt sich ganz grob in Projektarbeit undStörungsbehandlung auf. Projektarbeit erfordert eine längere Zeitphase, in der konzentriertan einem Stück gearbeitet werden kann. Dem steht die Störungsbehandlung entgegen, diemeist auf Zuruf, per Telefon, SMS oder E-Mail eine direkte Aktion erwartet.
Wenn man sich um beide Aufgabengebiete zur gleichen Zeit kümmern muss, wird viel Zeitfür das Umschalten benötigt. Normalerweise braucht man rund 15 Minuten nach einerStörung, um wieder auf dem Konzentrationslevel zu sein, den man vor der Störung hatte.
Sollte man mit mehreren Systemadministratoren im Team arbeiten, ist es hilfreich, einenKollegen für die Störungsbeseitigung abzustellen, sodass die anderen in die Lage versetztwerden, möglichst unterbrechungsfrei Projektarbeit zu leisten.
Wenn das nicht möglich ist, ist es in jedem Fall hilfreich, sämtliche störende Dienste ab-zuschalten, die nicht unbedingt zur Erfüllung der Aufgaben erforderlich sind. Zu diesenDiensten zählt alles, was auf dem Arbeitsrechner stören könnte, wie beispielsweise InstantMessenger, Chat-Systeme (IRC) oder E-Mail oder die entsprechenden Pendants auf demprivaten Smartphone. Über welche Kanäle man erreichbar sein muss, entscheidet der Chef.
In jedem Fall hilft es aber, sich einen Plan über den Tagesablauf zu machen. Dieser Plan istnicht starr, da er ja von äußeren Einflüssen abhängig ist.
Es sind oft mehr Aufgaben vorhanden, als der Arbeitstag Stunden hat. Daher möchten wirdarauf hinweisen, dass Sie diese Planung auch mit Ihrem Vorgesetzten zusammen machenkönnen. Sollten Sie in Rechtfertigungsnot kommen, was Sie den ganzen Tag getan haben,ist es hilfreich, sich über den Tag verteilt kurze Notizen zu machen, die neben der Uhrzeitein Stichwort zur Störung oder zur geleisteten Arbeit enthalten.
44
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 45 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
Ethischer Verhaltenskodex 1.5
Zeitplanung mit A.L.P.E.N.
Diese Methode der Tagesplanung geht auf Prof. Dr. Lothar J. Seiwert zurück (http://www.seiwert.de):
� A: Aufgaben und Termine schriftlich festhalten
� L: Länge der Bearbeitung realistisch schätzen
� P: Pufferzeiten (ca. 40 %) für Unvorhergesehenes
� E: Entscheiden, was wegfallen oder delegiert werden muss
� N: Nachkontrolle der Einschätzung im Rückblick
Ob das Verfahren für Sie funktioniert, müssen Sie in Ihrem Umfeld testen.
1.5 Ethischer Verhaltenskodex
Die bereits angesprochene System Administrators Guild der Usenix Association hat einen Ver-haltenskodex aufgestellt, dem sich die Mitglieder freiwillig unterwerfen. Er findet sich im»System Administrators’ Code of Ethics« (http://www.sage.org/ethics/ethics.html). Übersetztheißt das etwa »Ethischer Verhaltenskodex für Systemadministratoren«. Wir als professio-nelle Systemadministratoren verpflichten uns hiermit zu den höchsten Anforderungen anethischem und professionellem Verhalten und stimmen zu, uns vom Verhaltenskodex leitenzu lassen und jeden Systemadminstrator zu ermutigen, dasselbe zu tun.
Professionalität
� Ich behalte am Arbeitsplatz standesgemäßes Verhalten bei und lasse nicht zu, dass per-sönliche Gefühle oder Überzeugungen mich dazu verleiten, Mitmenschen unfair oderunprofessionell zu behandeln.
Persönliche Integrität
� Im fachlichen Umgang bin ich ehrlich und spreche offen über meine Fähigkeiten unddie Auswirkungen meiner Fehler. Ich frage andere um Hilfe, wenn es notwendig ist.
� Ich vermeide Interessenkonflikte und Voreingenommenheit, wann immer es möglichist. Im Falle einer Konsultation werde ich, wenn ich einen Interessenkonflikt habe odervoreingenommen bin, das entsprechend kundtun und falls notwendig die Anfrage wegenBefangenheit ablehnen.
Privatsphäre
� Ich erlaube mir Zugang zu privaten Informationen auf Computersystemen nur, wenn esim Zuge meiner fachlichen Pflichten notwendig wird. Ich werde meine Schweigepflichtin Bezug auf alle Informationen, zu denen ich Zugang habe, aufrechterhalten und wahren,egal wie ich zu diesem Wissen gekommen bin.
45
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 46 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration
1 Der Administrator
Gesetze und Richtlinien
� Ich werde mich und andere über relevante Gesetze, Vorschriften und Richtlinien bezüg-lich der Erfüllung meiner Pflichten unterrichten.
Kommunikation
� Ich werde mich mit dem Management sowie den Benutzern und Kollegen über Compu-terangelegenheiten von beiderseitigem Interesse verständigen. Ich bemühe mich, zuzu-hören und die Bedürfnisse aller Personen zu verstehen.
Systemintegrität
� Ich werde bestrebt sein, die nötige Integrität, Zuverlässigkeit und Verfügbarkeit derSysteme sicherzustellen, für die ich verantwortlich bin.
� Ich werde jedes System in einer Art und Weise entwerfen und pflegen, dass es denNutzen für die Organisation unterstützt.
Ausbildung
� Ich werde mein Fachwissen und meine beruflichen Fahigkeiten kontinuierlich aktua-lisieren und erweitern. Ich werde mein Wissen und meine Erfahrungen mit anderenteilen.
Verantwortung gegenüber der Computing Community
� Ich werde mit der großen Computing Community kooperieren, um die Integrität vonNetzwerk- und IT-Ressourcen sicherzustellen.
Soziale Verantwortung
� Als informierter Fachmann werde ich das Schreiben und das Übernehmen von relevantenGrundsätzen und Gesetzen einhergehend mit diesen ethischen Prinzipien unterstützen.
Ethische Verantwortung
� Ich werde mich bemühen, einen sicheren, gesunden und produktiven Arbeitsplatz zuschaffen und beizubehalten.
� Ich werde mein Bestes geben, um Entscheidungen zu treffen, die mit der Sicherheit,Privatsphäre und dem Wohlergehen meiner Umgebung und der Öffentlichkeit vereinbarsind, und Faktoren unverzüglich ausschließen, die unvorhersehbare Risiken oder Gefah-ren darstellen. Ich werde ehrlich gemeinte Kritik an fachlicher Arbeit wenn nötig gebenund akzeptieren und werde Beiträge von anderen korrekt anerkennen.
� Ich werde durch mein Vorbild führen, einen hohen ethischen Anspruch und ein hohesMaß an Leistung in allen meinen Aufgaben beibehalten. Ich werde Arbeitskollegen undMitarbeiter beim Einhalten dieses Verhaltenskodexes unterstützen.
46
TEIL I
Grundlagen
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 49 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: bootvorgang/bootvorgang , Aktueller Job: administration
Der Startvorgang eines Linux-Systems erfordert eine genaue Konfiguration derHardware und der Dienste. In diesem Kapitel werden wir Ihnen die Funktionsweise desBootloaders und die Funktion der »initrd« näher erläutern. Natürlich werfen wir hierauch einen Blick auf die neue Möglichkeit, Systeme mittels »Upstart« zu starten.
2 Bootvorgang
2.1 Einführung
Der Bootloader dient zum Starten des Betriebssystems. Der Startprozess des Bootloaderswird vom BIOS eingeleitet. Dazu wird der erste Sektor der Festplatte ausgewertet. Diesersogenannte Master Boot Record (MBR) ist 512 Byte groß. Die ersten 446 Byte davon sindfür den Bootloader reserviert. In dieser winzigen Datenmenge lässt sich natürlich kein ver-nünftiger, kompletter Bootloader unterbringen. Der Bereich kann daher nur dafür genutztwerden, um den restlichen Code von einer anderen Stelle nachzuladen.
Unter Linux sind GRUB und GRUB 2 die verbreitetsten Bootloader. Diese werden im Verlaufdes Kapitels genauer beschrieben. Da der früher oft verwendete Bootloader Lilo kaum nocheine Rolle spielt, haben wir im Buch darauf verzichtet.
2.2 Der Bootloader GRUB
GRUB ist die Abkürzung für Grand Unified Bootloader. Er ist seit langer Zeit der Standard-bootloader der meisten Distributionen und hat den früher eingesetzten Linux Loader (Lilo)abgelöst.
Im MBR hinterlegt GRUB bei der Installation die sogenannte Stage 1. Diese erste Stufe dientlediglich dazu, Stage 1.5 zu laden. Diese Stage liegt zwischen dem MBR und dem Beginn derersten Partition und ist daher auch sehr klein. In ihr ist nur der notwendige Treiber zumAnsprechen des Dateisystems hinterlegt. Je nach verwendetem Dateisystem muss dahereine andere Stage 1.5 installiert werden. Darum kümmert sich GRUB bei der Installationaber automatisch.
Mithilfe des Dateisystemtreibers kann dann im letzten Schritt der »richtige« Teil des Boot-loaders, Stage 2, von der Festplatte geladen werden. Sobald der Code vollständig geladen ist,bekommen Sie in der Regel ein Menü angezeigt, in dem Sie das zu bootende Betriebssystemauswählen können.
49
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 50 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: bootvorgang/bootvorgang , Aktueller Job: administration
2 Bootvorgang
2.2.1 Installation
Die Erstinstallation von GRUB erfolgt bei der Installation des Betriebssystems. Danachmüssen Sie den Vorgang meist nur dann wiederholen, wenn der Bootloader »zerschossen«ist oder die Festplatte getauscht wurde.
Es existieren verschiedene Möglichkeiten, den Bootloader neu zu installieren. Der bequems-te Weg führt über die Bordmittel der Distribution. Darüber hinaus gibt es jedoch noch zweiweitere Möglichkeiten, die zum Teil je nach Distribution und Version ein wenig variieren.Die erste Möglichkeit ist über das Skript grub-install. Diese Variante wird bei aktuellenopenSUSE- und SLES11-Versionen eingesetzt.
sles11:~ # grub-installGNU GRUB version 0.97 (640K lower / 3072K upper memory)
[ Minimal BASH-like line editing is supported. For the first word, TABlists possible command completions. Anywhere else TAB lists the possiblecompletions of a device/filename. ]
grub> setup --stage2=/boot/grub/stage2 --force-lba (hd0,0) (hd0,0)Checking if "/boot/grub/stage1" exists... yesChecking if "/boot/grub/stage2" exists... yesChecking if "/boot/grub/e2fs_stage1_5" exists... yesRunning "embed /boot/grub/e2fs_stage1_5 (hd0,0)"... failed (this is not fatal)Running "embed /boot/grub/e2fs_stage1_5 (hd0,0)"... failed (this is not fatal)Running "install --force-lba --stage2=/boot/grub/stage2 /boot/grub/stage1\
(hd0,0) /boot/grub/stage2 p /boot/grub/menu.lst "... succeededDone.grub> quit
Listing 2.1 Installation des »GRUB«
Das Skript ist lediglich ein Wrapper für die notwendigen Kommandos, die direkt inder GRUB-Shell ausgeführt werden. Die dafür notwendigen Werte werden aus der Datei/etc/grub.conf gelesen.
Bei älteren Versionen von openSUSE, SLES, Debian und Ubuntu muss zusätzlich nachgrub-install noch das Gerät angegeben werden, auf dem der Bootloader installiert werdensoll.
debian:~# grub-install /dev/sdaSearching for GRUB installation directory ... found: /boot/grubInstallation finished. No error reported.This is the contents of the device map /boot/grub/device.map.Check if this is correct or not. If any of the lines is incorrect,fix it and re-run the script g̀rub-install.́(hd0) /dev/sda
Listing 2.2 Installation des »GRUB« auf älteren Systemen
50
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 51 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: bootvorgang/bootvorgang , Aktueller Job: administration
Der Bootloader GRUB 2.2
Die zweite Möglichkeit ist das direkte Arbeiten mit der GRUB-Shell. Die Shell wird mitgrub aufgerufen. In ihr gibt es eine ganze Reihe wichtiger Kommandos, um GRUB zukonfigurieren. Wichtig für die Installation sind die Kommandos root und setup. Mit rootteilen Sie GRUB mit, auf welcher Partition das Verzeichnis /boot zu finden ist. Das ist nichtzwangsläufig die tatsächliche root-Partition. Das Kommando setup sorgt dann dafür, dassGRUB installiert wird. Beide Kommandos erwarten als Argument die Angabe einer Partitionbzw. Festplatte. Die Syntax weicht jedoch von der normalen Linux-Schreibweise ab. Statt/dev/sda für die erste Festplatte des Systems müssen Sie (hd0) angeben. Die erste Partitionauf der ersten Festplatte wird mit (hd0,0) dargestellt.
Achten Sie darauf, dass Sie beim Zählen mit 0 anfangen und nicht bei 1. Sonst landen dieInformationen an der falschen Stelle, und Ihr System kann nicht gebootet werden.
debian:~# grub
Probing devices to guess BIOS drives. This may take a long time.GNU GRUB version 0.97 (640K lower / 3072K upper memory)
[ Minimal BASH-like line editing is supported. Forthe first word, TAB lists possible commandcompletions. Anywhere else TAB lists the possiblecompletions of a device/filename. ]
grub> root (hd0,0)root (hd0,0)Filesystem type is ext2fs, partition type 0x83
grub> setup (hd0)setup (hd0)Checking if "/boot/grub/stage1" exists... noChecking if "/grub/stage1" exists... yesChecking if "/grub/stage2" exists... yesChecking if "/grub/e2fs_stage1_5" exists... yesRunning "embed /grub/e2fs_stage1_5 (hd0)"... 17 sectors are embedded.succeededRunning "install /grub/stage1 (hd0) (hd0)1+17 p (hd0,0)/grub/stage2\/grub/menu.lst"... succeeded
Done.
grub>
Listing 2.3 Installation von »GRUB« über die »GRUB-Shell«
Die Informationen über verfügbare Devices bezieht GRUB aus der Datei /boot/grub/device.map.Falls diese nicht mehr aktuell sein sollte, können Sie die Datei entweder selbst editieren
51
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 52 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: bootvorgang/bootvorgang , Aktueller Job: administration
2 Bootvorgang
oder einfach löschen. Beim nächsten Aufruf von grub (bei manchen Systemen auchgrub-mkdevicemap) wird die Datei dann neu erstellt.
2.2.2 Konfiguration
Nach der Installation von GRUB muss dieser natürlich auch konfiguriert werden. Bis jetztweiß GRUB ja noch nicht, welches Betriebssystem er von wo starten soll. Die notwendigenEinstellungen werden in der Datei /etc/grub/menu.lst vorgenommen. In Listing 2.4 sehenSie einen Ausschnitt der Datei /etc/grub/menu.lst:
sles11:/boot/grub # cat menu.lst# Modified by YaST2. Last modification on Do Mär 18 08:59:12 UTC 2010default 0timeout 8##YaST - generic_mbrgfxmenu (hd0,0)/message##YaST - activate
###Don't change this comment - YaST2 identifier: Original name: linux###title SUSE Linux Enterprise Server 11 - 2.6.27.19-5
root (hd0,0)kernel /vmlinuz-2.6.27.19-5-default root=/dev/system/root \resume=/dev/sda2 splash=silent crashkernel=128M-:64M@16M showopts
initrd /initrd-2.6.27.19-5-default...
Listing 2.4 Ausschnitt aus der Datei »/etc/grub/menu.lst«
Im oberen globalen Abschnitt wird mit default definiert, welcher Eintrag nach dem angege-benen timeout gestartet werden soll. Die Zählweise beginnt bei 0. Die verfügbaren Einträgeim Menü werden alle mit dem Stichwort title eingeleitet. Danach folgt die Angabe vonroot, kernel und initrd.
»root«
Mit root geben Sie in der GRUB-Syntax an, auf welcher Partition sich der Kernel und dieInitial Ramdisk (initrd) befinden. Im Normalfall liegen diese im Verzeichnis /boot.
»kernel«
Diese Anweisung legt fest, welcher Kernel gestartet werden soll. Die Pfadangabe beziehtsich dabei auf die Partition, auf der das boot-Verzeichnis liegt. In diesem Fall existiert sogareine separate Bootpartition auf /dev/sda1. Daher beginnt der Pfad auch mit vmlinuz undnicht mit /boot/vmlinuz. Nach Angabe des Kernels können Sie weitere für den Systemstart
52
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 53 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: bootvorgang/bootvorgang , Aktueller Job: administration
Der Bootloader GRUB 2.2
wichtige Kernelparameter angeben. Die Option root= muss unbedingt gesetzt werden. Siegibt an, welches das Wurzelverzeichnis der Installation ist.
»initrd«
Mit initrd wird der Pfad zur initial ramdisk angegeben. Diese enthält alle notwendigenTreiber für den Systemstart. Mehr dazu finden Sie in Abschnitt 2.5, »Der Kernel und die›initrd‹«.
Alle Einträge können übrigens beim Booten direkt editiert werden. Sie müssen lediglich imAuswahlmenü
��
��E drücken und können dann Anpassungen vornehmen. Die Änderungen
werden allerdings nicht auf der Festplatte gespeichert, sondern gelten nur für den aktuellenBootvorgang. Das ist sehr praktisch, wenn Sie sich beim Editieren der menu.lst vertippthaben.
2.2.3 Booten von einem Software-RAID-1
Beim Booten von einem Software-RAID-1 gibt es eine Besonderheit zu beachten. GRUBkann nicht mit md-Devices arbeiten und muss daher entweder von der einen oder vonder anderen Festplatte booten. Erst dann, wenn der Kernel die Regie übernimmt, wird dasRAID-1 tatsächlich genutzt. Sie müssen daher den Bootloader in beide MBRs installierenund zwei Einträge in der menu.lst machen. In Listing 2.5 sehen Sie die Konfiguration für dasBooten von einem Software-RAID:
default 0fallback 1timeout 10
title Debian GNU/Linux, kernel 2.6.26-2-amd64root (hd0,0)kernel /vmlinuz-2.6.26-2-amd64 root=/dev/md2 ro quietinitrd /initrd.img-2.6.26-2-amd64
title Debian GNU/Linux, kernel 2.6.26-2-amd64root (hd1,0)kernel /vmlinuz-2.6.26-2-amd64 root=/dev/md2 ro quietinitrd /initrd.img-2.6.26-2-amd64
Listing 2.5 Die Datei »menu.lst« bei Verwendung eines Software-RAIDs
Beide Einträge starten das gleiche System. Die root-Partition liegt in beiden Fällen auf demRAID-1 mit dem Device-Namen /dev/md2. Lediglich die Angabe von root unterscheidet sich.Die Option fallback sorgt dafür, dass im Fehlerfall der zweite Eintrag gebootet wird.
53
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 54 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: bootvorgang/bootvorgang , Aktueller Job: administration
2 Bootvorgang
2.3 GRUB 2
GRUB 2 ist eine komplette Neuentwicklung und hat außer dem Namen nicht viel mit derVorgängerversion gemein. Dementsprechend ist die Konfiguration auch nicht kompatibel.Der Bootloader ist noch relativ jung und daher nicht übermäßig weit verbreitet. Ubuntu abVersion 9.10 wird aber schon serienmäßig mit GRUB 2 gebootet.
2.3.1 Funktionsweise
Im ersten Teil des Bootvorgangs verhält sich GRUB 2 weitestgehend wie GRUB. Es existiertallerdings keine echte Stage 1.5 mehr. Die Funktionalität von Stage 1.5 und Stage 2 wurdein einen winzigen Kernel und viele ladbare Module aufgeteilt. Je nach verwendetem Datei-system und vorhandener Hardware werden dann die notwendigen Module geladen, umauf die Konfigurationsdatei zugreifen zu können. GRUB 2 unterstützt direkt das Booten vonLVM oder Software-RAIDs.
2.3.2 Installation
Die Installation von GRUB2 erfolgt genau so wie die von GRUB. Zum Neuinstallieren desBootloaders wird grub-install genutzt. Als Parameter müssen Sie das Gerät angeben, aufdem der Bootcode installiert werden soll.
root@ubuntu:~# grub-install /dev/sdaInstallation finished. No error reported.
Listing 2.6 Installation von »GRUB 2«
2.3.3 Konfiguration
Die Hauptkonfigurationsdatei ist die /boot/grub/grub.cfg. Diese dürfen Sie allerdings nichtselbst editieren. Sie wird automatisch durch Skripte generiert. Bei den Skritpen handelt essich um ganz normale Shell-Skripte. Diese finden Sie im Verzeichnis /etc/grub.d. Durch dasdynamische Erstellen des Bootmenüs über die Skripte bietet GRUB 2 eine hohe Flexibilität.So können beispielsweise alle vorhandenen Kernel automatisch erkannt und in das Boot-menü eingebunden werden. Der Nachteil daran ist, dass die Konfiguration nicht mehr ganzso trivial ist.
Ohne ein gewisses Maß an Shell-Know-how ist es kaum möglich, das gesamte Potenzialvon GRUB 2 wirklich zu nutzen. Einfache Änderungen am Bootmenü sind aber nach wievor problemlos durchführbar. Für die globalen Einstellungen gibt es zusätzlich die Datei/etc/default/grub. In ihr können diverse Grundeinstellungen vorgenommen werden, wiebeispielsweise der Timeout oder der Standardbooteintrag.
54
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 219 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
In diesem Kapitel erlernen Sie die Konfiguration der Webserver »Apache« und»LightHttpd«. Ein Schwerpunkt liegt auf der Einrichtung virtueller Hosts mitund ohne SSL.
8 Webserver
Obwohl es beileibe nicht an Herausforderern mangelt, werden mehr als 65% aller Webange-bote von einem Apache-Webserver ausgeliefert.1 Der Grund dafür dürfte Apaches enormeFlexibilität sein. Es gibt kaum ein Problem beim Ausliefern statischer und dynamischerWebseiten, das Apache nicht mit Bordmitteln oder einem Plugin lösen könnte.
Sein Konkurrent LightHttpd alias Lighty hat eine ungleiche kleinere, aber treue und aktiveFangemeinde. Lighty ist wieselflink und bringt trotz seines geringeren Funktionsumfangsdie wichtigsten Funktionen mit: Er jongliert wie Apache mit virtuellen Hosts und beherrschtauch HTTPS.
Die Konfiguration dieses Features bildet den Kern dieses Kapitels, ergänzt um Apache-Spe-zifika wie das Sicherheits-Plugin ModSecurity und Erläuterungen zum Tuning. Den Schlussdes Kapitels bildet das für jeden Webserver-Admin wichtige Thema Logfile-Auswertung.
8.1 Apache
Selbst wenn Sie nur ein einziges Webangebot auf Ihrem Server betreiben möchten, lohnt essich, das Angebot als virtuellen Host zu konfigurieren. Auf diese Art ist die Konfigurationübersichtlicher, und Sie können schneller reagieren, wenn eines Tages doch einmal einzweites Webangebot (oder gar mehr) auf dem Server einziehen soll.
8.1.1 Virtuelle Hosts einrichten
Um mehrere Webangebote auf einem Server zu betreiben, bieten sich namensbasierte virtu-elle Hosts an. Der Webserver »lauscht« dabei nur auf einer einzigen IP-Adresse und entschei-det anhand der HTTP-Header in der Anfrage des Clients, welcher virtuelle Host die Anfragebeantworten soll. Fügen Sie die folgende Zeile zur Datei /etc/apache2/ports.conf hinzu:
1 Stand: März 2012.
219
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 220 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
8 Webserver
NameVirtualHost *:80
Listing 8.1 Aktivierung der VirtualHost-Funktionalität in »ports.conf«
Damit haben Sie den Webserver bereits grundsätzlich in die Lage versetzt, virtuelle Hosts zubetreiben – nun müssen Sie nur noch mindestens einen solchen Host konfigurieren. Im Ver-zeichnis /etc/apache2/sites-available/ legen Sie nun für jeden virtuellen Host eine Konfigurati-onsdatei an. Für einen virtuellen Host, der unter der URL http://example.com erreichbar seinsoll, sieht die zugehörige Konfigurationsdatei /etc/apache2/sites-available/example.com.confwie folgt aus:
<VirtualHost *>ServerName example.comServerAlias sub.example.com www.example.comServerAdmin [email protected] /var/www/example.com/<Directory /var/www/example.com/>
Options Indexes FollowSymLinks</Directory>ErrorLog /var/log/apache2/error.logCustomLog /var/log/apache2/example.com.log combined
</VirtualHost>
Listing 8.2 Konfigurationsdatei für einen virtuellen Host
� ServerName: Mit diesem Namen weist sich der Server dem Client gegenüber aus, auchwenn er – vom DNS gesteuert – noch unter anderen Namen erreichbar ist.
� ServerAlias: Hier definieren Sie Alias-Namen für Ihr Webangebot, wenn Sie möchten,dass Ihr Angebot unter mehreren Namen aufgerufen werden kann. An dieser Stelle sindauch Wildcards möglich, zum Beispiel ServerAlias *.example.com.
� ServerAdmin: Hier können Sie als Admin Ihre E-Mail-Adresse eintragen (oder, wenn Sieschlau sind, die des Helpdesks).
� DocumentRoot: Das ist das Wurzelverzeichnis Ihres Webangebots. Viele Tools und Hilfs-programme verlassen sich darauf, die Verzeichnisse der virtuellen Hosts unterhalb von/var/www zu finden, weshalb Sie dieser Konvention folgen sollten.
� Directory: Hier legen Sie mannigfaltige Optionen für den angegebenen Pfad fest. ImBeispiel sehen Sie beiden sicherlich am häufigsten benötigten: Indexes zeigt eine Liste al-ler Dateien im Verzeichnis an, wenn keine Index-Datei (oft heißt sie index.html, home.htmoder ähnlich) vorhanden ist. Die Option FollowSysLinks erlaubt Ihnen, innerhalb desDirectory-Pfades auch symbolische Links zu nutzen. Alle Optionen können Sie durchein vorangestelltes Minuszeichen (etwa -FollowSymLinks) explizit abschalten.
220
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 221 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
Apache 8.1
� ErrorLog: Die hier eingetragene Datei sammelt Fehlermeldungen dieses virtuellen Hosts.
� CustomLog: Alle Webzugriffe auf den virtuellen Host erzeugen einen Eintrag in diesemLogfile. Wenn Sie hier, wie im Beispiel, das combined-Format spezifizieren, erhalten Sieetwas mehr Informationen als beim klassischen Webserver-Log.
Ihr virtueller Host ist jetzt konfiguriert, aber noch nicht aktiv. Um ihn zu aktivieren, setzenSie im Verzeichnis sites-enabled einen Symlink auf Ihre Konfigurationsdatei, die ja untersites-available liegt, und lassen die Serverkonfiguration mit root-Rechten neu einlesen.
ln -s /etc/apache2/sites-available/example.com.conf/etc/apache2/sites-enabled/example.com.conf/etc/init.d/apache2 reload
Listing 8.3 Virtuellen Host aktivieren
Das Gleiche geht auch kürzer, falls Ihre Distribution das a2ensite-Kommando enthält.
a2ensite /etc/apache2/sites-available/example.com.conf
Listing 8.4 Virtuellen Host mit »a2ensite« aktivieren
Wollen Sie Ihren virtuellen Host wieder deaktivieren, benutzen Sie das Kommandoa2dissite, oder löschen Sie den Symlink, gefolgt von einem Server-Reload.
8.1.2 HTTPS konfigurieren
Um Webseiten verschlüsselt auszuliefern, benötigt Ihr Webserver zunächst ein Serverzer-tifikat. Zu Testzwecken oder für den Eigenbedarf können Sie sich ein solches Zertifikatschnell und einfach selbst erstellen. Sie müssen lediglich damit leben, dass Ihr Browserbeim Ansurfen der HTTPS-geschützten Webseite eine Warnung ausgibt, weil das selbst er-stellte Zertifikat nicht von einer vertrauenswürdigen Instanz signiert wurde. Da unbedarfteNutzer von dieser Warnung leicht abgeschreckt werden, sollten Sie für Ihre Produktivsys-teme auf signierte Zertifikate kommerzieller Anbieter zurückgreifen. Für die Beispiele indiesem Kapitel genügt natürlich ein selbst erstelltes Zertifikat.
Falls das noch nicht geschehen ist, installieren Sie jetzt die Pakete apache2 und openssl.Die Konfigurationsdateien für den Apache-Server finden Sie nach der Installation unter/etc/apache2/.
Erstellen Sie als root unterhalb dieses Pfades ein neues Verzeichnis mit dem Namen ssl, undwechseln Sie hinein. Dieses Verzeichnis soll unser Serverzertifikat beheimaten.
mkdir /etc/apache2/sslcd /etc/apache2/ssl
Listing 8.5 Verzeichnis für das SSL-Zertifikat anlegen
221
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 222 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
8 Webserver
Mit dem folgenden Kommando erstellen Sie das Serverzertifikat:
openssl req -new -x509 -keyout myserver.pem -out myserver.pem -days 365 -nodes
Listing 8.6 Ein selbst signiertes Zertifikat erstellen
OpenSSL stellt Ihnen eine Reihe von Fragen zu Ihrer Location und Kontaktadresse, die Sienach Belieben beantworten können oder auch nicht – bei einem selbst signierten Testzertifi-kat sind diese Informationen nicht wesentlich. Passen Sie aber auf, wenn die Frage nach demCommon Name erscheint! Hier müssen Sie unbedingt den exakten Namen eingeben, unterdem Ihr HTTPS-Webangebot später erreichbar sein soll. Wollen Sie Ihre Webseite also unterhttps://www.example.com aufrufen können, so müssen Sie auf die Frage nach dem CommonName mit www.example.com antworten.
Im nächsten Schritt aktivieren Sie Apaches SSL-Modul. In der Datei /etc/apache2/ports.conffinden Sie einen Abschnitt, der so oder sehr ähnlich aussieht:
#<ifModule mod_ssl.c># Listen 443#<ifModule>
Listing 8.7 Das »Listen 443«-Statement in der »ports.conf«
Falls die Zeilen, wie in diesem Beispiel, mit Kommentarzeichen (#) beginnen, entfernenSie diese und verlassen die ports.conf. Mit dem Kommando /etc/init.d/apache2 reload
lassen Sie den Apache-Server die geänderte Konfiguration neu einlesen.
Führen Sie nun die beiden folgenden Kommandos aus, um das SSL-Modul zu aktivieren undApache neu zu starten:
a2enmod ssl/etc/init.d/apache2 restart
Listing 8.8 SSL-Modul aktivieren
Apache ist jetzt grundsätzlich in der Lage, HTTPS-Anfragen zu bedienen. Sie be-nötigen also nur einen virtuellen Host, der sie auch beantwortet. Legen Sie unter/etc/apache2/sites-available die Datei example.com mit folgendem Inhalt an:
<VirtualHost *:443>ServerName www.example.com
ServerAdmin [email protected] /var/www/example.com/
SSLEngine OnSSLCertificateFile /etc/apache2/ssl/myserver.pem
222
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 223 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
Apache 8.1
<Directory /var/www/example.com/>Options Indexes FollowSymLinks
</Directory>
ErrorLog /var/log/apache2/error.logCustomLog /var/log/apache2/example.com.log combined
</VirtualHost>
Listing 8.9 Konfigurationsdatei für einen virtuellen SSL-Host
Ihr virtueller SSL-Host ist nun fertig konfiguriert, Sie müssen ihn nur noch aktivieren. Dazugenügen diese beiden Kommandos:
a2ensite example.com/etc/init.d/apache2 force-reload
Listing 8.10 SSL-Host aktivieren
Sie können Ihre HTTPS-Seite jetzt im Browser aufrufen. Da Ihr Server dem Browser ein selbstsigniertes Zertifikat präsentiert, werden Sie zunächst mit einer Warnmeldung konfrontiert.
Abbildung 8.1 Der Browser erhält ein selbst signiertes Zertifikat.
Der Browser verlangt nun von Ihnen, dass Sie das Zertifikat vom Server laden, anschauenund dann ausdrücklich akzeptieren. Diese Prozedur wird Ihnen nur einmal abverlangt. IhrBrowser merkt sich, dass Sie dem Zertifikat vertrauen, und wird Sie bei einem erneutenBesuch der Webseite nicht mehr fragen.
223
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 224 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
8 Webserver
Abbildung 8.2 Das selbst signierte Zertifikat
Damit haben Sie die Konfiguration Ihres virtuellen SSL-Hosts abgeschlossen.
Mehrere virtuelle SSL-Hosts mit einer IP-Adresse
Im Gegensatz zu »normalen« virtuellen Hosts – also solchen ohne SSL – können Sie nicht beliebig vielevirtuelle SSL-Hosts auf einer IP-Adresse konfigurieren. Sie benötigen für jeden SSL-Host eine eigeneIP-Adresse. Es gibt zwar seit geraumer Zeit die Möglichkeit, diese Beschränkung aufzuheben. DieTLS-Erweiterung Server Name Indication leistet dies, aber leider können bestimmte populäre Browserwie der Internet Explorer 7 damit nicht umgehen. Der Internet Explorer 8 kennt SNI, aber nur, wenner unter Windows Vista oder höher läuft, nicht unter Windows XP. Da die Wahrscheinlichkeit hochist, dass einige der Besucher Ihres Webservers diese Browser benutzen, sollten Sie mit dem Einsatzvon SNI noch ein wenig warten.
8.1.3 Benutzer-Authentisierung mit Kerberos
Wenn Sie den Zugriff auf bestimmte virtuelle Hosts, Verzeichnisse oder den gesamten Inhaltdes Webservers nur für bestimmte Benutzer freigeben möchten, muss Ihr Server dieseberechtigten Benutzer identifizieren können. Dafür gibt es mehrere Möglichkeiten, aberwenn Sie bereits einen Kerberos-gesicherten Verzeichnisdienst betreiben, ist es sinnvoll,ihn auch in diesem Fall zu benutzen. Im folgenden Beispiel wird davon ausgegangen, dassim Netz ein Kerberos-Server vorhanden und für Anfragen des Webservers vorbereitet ist(Account, Keytab ...). Sollten Sie diese Schritte noch vor sich haben, finden Sie Hilfe inKapitel 14, »Kerberos«. Für den Apache-Webserver stellt Ihre Distribution ein Paket namens
224
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 225 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
Apache 8.1
libapache2-mod-auth-kerb (oder sehr ähnlich) bereit, das Sie installieren müssen. Starten Sieden Webserver nach der Installation neu, damit die Funktionalität zur Verfügung steht.
Ein Verzeichnis für angemeldete Benutzer freigeben
Erstellen Sie in dem Verzeichnis, dessen Inhalt Sie nur angemeldeten Benutzern zugänglichmachen möchten, eine .htaccess-Datei mit folgendem Inhalt:
AuthName "Kerberos-Anmeldung"AuthType KerberosKrb5Keytab /etc/apache2/wwwserver.keytabKrbAuthRealms EXAMPLE.COMKrbServiceName HTTPKrbMethodNegotiate onKrbVerifyKDC onrequire valid-user
Listing 8.11 Angemeldeten Benutzern den Zugriff erlauben
Den Pfad und Namen der Keytab-Datei müssen Sie dabei wahrscheinlich noch anpassen.Nach einem Reload der Apache-Konfiguration erhalten alle diejenigen Benutzer Zugriff aufdas Verzeichnis, die Mitglied des Realms »example.com« sind.
Ein Verzeichnis für eine bestimmte Benutzergruppe freigeben
Wenn Sie die »Zutrittsberechtigung« zu Ihrem Verzeichnis noch feiner regeln möchten,indem Sie etwa nur Mitgliedern einer bestimmten Benutzergruppe den Zugriff erlauben, soaktivieren Sie zunächst das Apache-Modul authnz_ldap:
a2enmod authnz_ldap
Listing 8.12 Das Apache-Modul »authnz_ldap« aktivieren
Starten Sie danach den Apache-Server einmal neu. Nun ändern Sie die .htaccess-Datei wiefolgt ab:
AuthName "Kerberos-Anmeldung"AuthType KerberosKrb5Keytab /etc/apache2/wwwserver.keytabKrbAuthRealms EXAMPLE.COMKrbServiceName HTTPKrbMethodNegotiate onKrbVerifyKDC on
#require valid-user
AuthLDAPURL "ldap://kerberos.example.com/dc=example,dc=com?sAMAccountName"
225
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 226 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
8 Webserver
AuthLDAPBindDN [email protected] wwwserverpasswortRequire ldap-group CN=wwwusers,OU=groups,DC=example,DC=com
Listing 8.13 Mitgliedern einer bestimmten Gruppe den Zugriff erlauben
Hier werden Sie die Werte für den Kerberos-Server, den Benutzernamen und das Passwortdes Apache-Servers sowie den Namen der Benutzergruppe anpassen müssen. Im Beispiel istder Zugriff für alle Benutzer, die der Gruppe »wwwusers« angehören, freigegeben.
8.1.4 Apache-Server mit ModSecurity schützen
ModSecurity nennt sich selbst »Web Application Firewall«. Es ist ein Apache-Modul, das denHTTP-Datenverkehr mithilfe eines Regelwerks auf Angriffsmuster prüft. Der Unterschied zuklassischen Firewalls besteht in der OSI-Schicht, auf der der Filter arbeitet. Ein Paketfilterarbeitet auf der Transportebene, also OSI-Schicht 3 oder 4. Er muss seine Entscheidungenanhand von Quelle, Ziel und Status des Pakets treffen. Die Web Application Firewall werkeltdagegen auf der gleichen Ebene wie der Webserver selbst (auf der Applikationsebene) undkann so den Inhalt der Pakete analysieren.
Die Motivation hinter dieser Vorgehensweise ist eine Verschiebung der Angriffsvektoren.Früher zielten Angreifer darauf ab, Sicherheitslücken in der Serversoftware auszunutzen.Durch den jahrelangen Reifeprozess sind klaffende Sicherheitslücken jedoch selten gewor-den, und auftretende Sicherheitsprobleme werden schnell durch Updates behoben. Anderssieht es bei den Webangeboten selbst aus. Viele werden nicht mit einem Fokus auf der Si-cherheit entwickelt und enthalten Schnittstellen zu anderen Diensten wie SQL-Servern oderVerzeichnisdiensten. Angreifer versuchen heute nicht mehr, den Server selbst anzugreifen,sondern wollen über geschickt formulierte HTTP-Anfragen Daten stehlen oder eigenen Codeausführen lassen.
Genau diese HTTP-Anfragen versucht ModSecurity mithilfe seines Regelwerks zu erkennenund herauszufiltern. ModSecurity wird derzeit von der Firma Breach Security weiterentwi-ckelt, die neben der Open-Source-Version auch einen kommerziellen Zweig anbietet. DieSoftware kann direkt auf dem Server eingebunden werden oder als Proxy mehreren Servernvorgeschaltet werden.
Installation
Die meisten Distributionen stellen ModSecurity als Paket zur Verfügung. Debian war bishereine Ausnahme, aber das hat sich inzwischen geändert. Debian 6.0 »Squeeze« ist die erstestabile Debian-Version, in der ModSecurity enthalten ist. In der Vorgängerversion Debian5.0 »Lenny« war dies leider noch nicht der Fall, es gibt jedoch inoffizielle Paketquellen vonAlberto Gonzalez Iniesta. Im folgenden Unterabschnitt finden Sie eine kurze Installations-anleitung für Debian »Lenny«.
226
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 227 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
Apache 8.1
Spezialfall: Installation auf Debian 5.0 »Lenny«
Laden Sie zunächst die benötigten Pakete herunter, und installieren Sie sie. Bitte geben Siejeden der drei Befehle in Listing 8.14 auf einer Zeile ein – sie sind lediglich umbrochenworden, weil sie hier im Buch nicht in eine einzige Zeile passen. Entsprechend wurde derbekannte »\« als Zeilenumbruchzeichen eingefügt.
Beziehen Sie die aktuellste Version
Bitte beachten Sie, dass es inzwischen neuere Versionen von ModSecurity geben kann. Die aktuelleVersion – nicht nur für Debian, sondern auch für andere Distributionen und einige kommerzielleUNIX-Varianten – finden Sie unter http://www.modsecurity.org/download/direct.html.
wget http://etc.inittab.org/~agi/debian/ \libapache-mod-security2/mod-security-common_2.5.9-1_all.deb
wget http://etc.inittab.org/~agi/debian/ \libapache-mod-security2/libapache-mod-security_2.5.9-1_i386.deb
dpkg -i libapache-mod-security_2.5.9-1_i386.deb \mod-security-common_2.5.9-1_all.deb
Listing 8.14 »ModSecurity«-Pakete herunterladen und installieren
In der Datei /etc/apache2/conf.d/modsecurity2.conf binden Sie nun wie in Listing 8.15 dieModSecurity-Konfigurationsdateien ein:
<ifmodule mod_security2.c>Include /etc/modsecurity/*.conf</ifmodule>
Listing 8.15 »/etc/apache2/conf.d/modsecurity2.conf« editieren, um die Konfiguration einzufügen
Jetzt fehlt nur noch das Regelwerk. In diesem Beispiel legen Sie ein neues Verzeichnis/etc/modsecurity/ an, in dem das Regelwerk abgelegt wird, laden es herunter und entpackenes. Bitte beachten Sie auch hier, dass die Zeile mit dem wget-Befehl aufgrund der Seitenbreiteumbrochen ist.
mkdir /etc/modsecurity/mkdir /var/log/apache2/mod_security/cd /etc/modsecurity/wget http://www.modsecurity.org/download/ \modsecurity-core-rules_2.5-1.6.1.tar.gztar xvfz modsecurity-core-rules_2.5-1.6.1.tar.gz
Listing 8.16 Core-Regelwerk herunterladen und entpacken
227
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 228 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
8 Webserver
In der Datei modsecurity_crs_10_config.conf passen Sie nun den Pfad zu den Log-Dateien an:
SecAuditLog /var/log/apache2/mod_security/modsec_audit.logSecDebugLog /var/log/apache2/mod_security/modsec_debug.log
Listing 8.17 In »modsecurity_crs_10_config.conf« Pfade zu den Logfiles anpassen
Im letzten Schritt der Installation aktivieren Sie das ModSecurity-Modul und weisen Apachean, seine Konfiguration neu einzulesen:
a2enmod mod-security && /etc/init.d/apache2 force-reload
Listing 8.18 Modul aktivieren und die Konfiguration neu einlesen lassen
Konfiguration
Das Standardregelwerk, das ModSecurity mitbringt, ist schon recht restriktiv und blockiertoft mehr, als gewünscht ist. Das kann dazu führen, dass plötzlich Teile Ihrer Webanwendungnicht mehr aufrufbar sind, weil ModSecurity die entsprechenden Anfragen für gefährlichhält. Um die Wirksamkeit der Regeln ohne Gefahr für Ihren Blutdruck auszuprobieren, kön-nen Sie ModSecurity in einen »Detection«-Modus schalten. Dabei durchlaufen alle Anfragendas Regelwerk, eventuelle Treffer werden aber lediglich ins Logfile geschrieben.
Diesen Modus aktivieren Sie, indem Sie in der Datei modsecurity_crs_10_config.conf die ZeileSecRuleEngine On auskommentieren und wie im folgenden Beispiel ersetzen:
#SecRuleEngine OnSecRuleEngine DetectionOnly
Listing 8.19 »ModSecurity« in den »DetectionOnly«-Modus schalten
Wenn ModSecurity einen Zugriff ablehnt, finden Sie im Audit-Logfile Zeilen wie diese:
Message: Access denied with code 500 (phase 4).Pattern match "<b>Warning<b>.{0,100}?:.{0,1000}?\bon line\b" at RESPONSE_BODY.[file "/etc/apache2/modsecurity-rules/modsecurity_crs_50_outbound.conf"][line "42"][id "970009"][msg "PHP Information Leakage"][severity "WARNING"][tag "LEAKAGE/ERRORS"]
Listing 8.20 »ModSecurity« lehnt einen Zugriff ab.
Hier bekommen Sie genaue Informationen darüber, welche Regel wirksam wurde, in wel-cher Konfigurationsdatei und sogar in welcher Zeile. Jede Regel hat eine eindeutige Kenn-nummer, im Beispiel in Listing 8.20 ist es [id "970009"]. Wenn Sie der Meinung sind, dass
228
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 229 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
Apache 8.1
ModSecurity übereifrig war und den Zugriff zu Unrecht unterbunden hat, können Sie dieRegel deaktivieren.
Erstellen Sie eigene Konfigurationsdateien!
Es ist nicht sinnvoll, die Regeln des Kernregelwerks direkt zu editieren. Das funktioniert zwar zu-nächst, rächt sich aber beim nächsten Update des Regelwerks. Benutzen Sie eine oder mehrereeigene Konfigurationsdateien, um Regeln hinzuzufügen oder zu deaktivieren.
Wechseln Sie in das Verzeichnis, in dem Ihr ModSecurity-Regelwerk residiert, und legenSie dort eine neue Konfigurationsdatei an. Geben Sie ihr dann beispielsweise den Namenmodsecurity_crs_99_meineregeln.conf, und füllen Sie sie mit dem folgenden Inhalt:
<LocationMatch /mysite/modsectest.php>SecRuleRemoveById 970009
</LocationMatch>
Listing 8.21 Eine Regel deaktivieren
Für den Webpfad, den Sie in der LocationMatch-Zeile angegeben haben, bleibt die Regelmit der ID 970009 inaktiv.
8.1.5 Tuning und Monitoring
Leistungsoptimierung fängt bei der Hardware an. Dabei ist die reine Rechenleistung desServers eher selten ein limitierender Faktor, wenn Sie nicht gerade hochkomplexe dynami-sche Webangebote betreiben. Viel eher kommt es auf den Speicher an. Kaum eine Tuning-Maßnahme ist so wirksam wie das Aufstocken des verfügbaren RAMs. Die Leistung jedesWebservers bricht schlagartig und dramatisch ein, wenn das System in den Swap-Betriebschlittert.
Aber auch dann, wenn Sie Ihrem Server ausreichend Speicher spendiert haben, können Siedurch einige einfache Handgriffe noch etwas mehr Leistung herauskitzeln. Außerdem bringtApache bereits ein Bordmittel mit, das Ihnen einen Blick unter die Motorhaube erlaubt.
Multi-Processing-Module
Zur Verarbeitung der eingehenden HTTP-Anfragen greift Apache auf eines von mehreren,teils plattformabhängigen Multi-Processing-Modulen (MPMs) zurück. Drei davon sind unterLinux besonders relevant:
� Prefork-MPM: Mit diesem Modul startet Apache eine Reihe von Child-Prozessen mitjeweils nur einem einzigen Thread. Es eignet sich gut für ältere Software, die Problemein Multithread-Umgebungen hat.
229
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 230 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
8 Webserver
� Worker-MPM: Dieses MPM ist multithreading-fähig, benötigt weniger RAM als dasPrefork-MPM und eignet sich generell besser für stark belastete Server.
� Event-MPM: Das Event-MPM ist eine Variante des Worker-MPMs, die etwas geschick-ter mit Keep-Alive-Verbindungen umgeht. Für diese stellt es einen eigenen Thread zurVerfügung, sodass der ursprüngliche Thread schneller für neue Verbindungen frei wird.
Die »MaxClients«-Direktive
In der Konfigurationsdatei apache2.conf finden Sie unter anderem die MaxClients-Direktive.Sie gibt an, wie viele Clientverbindungen maximal bedient werden können (beim Pre-fork-MPM) oder wie viele Threads für Clientverbindungen zur Verfügung stehen (beimWorker- und Event-MPM). Per Default sind dies 256, manche Distributionen arbeiten abermit anderen Voreinstellungen. Unter Debian ist der MaxClients-Wert auf 150 eingestellt.
Sollte der voreingestellte Wert zu niedrig sein, können nicht alle Clients bedient werden.Sie erkennen das Problem an Meldungen im Error-Log, die etwa so aussehen:
[Tue May 18 09:05:37 2010] [error] server reached MaxClients setting, consi-der raising the MaxClients setting
Listing 8.22 Fehlermeldung wegen zu niedriger »MaxClients«-Einstellung
Erhöhen Sie in diesem Fall den Wert, aber behalten Sie, etwa mit top, Ihren RAM-Verbrauchim Auge. Ein höherer MaxClients-Wert geht unweigerlich mit erhöhten Speicheranforde-rungen einher.
DNS-Anfragen
Apache protokolliert alle Zugriffe in einem Logfile. Damit Sie leicht erkennen können, wel-che Clients auf Ihren Webserver zugegriffen haben, versucht Apache immer, durch DNS-An-fragen den Namen des Clients zu ermitteln. Diese Anfragen bestehen in der Regel zwarnur aus recht kleinen UDP-Paketen, aber wenn Sie einen stark frequentierten Webserverbetreiben, können die Reverse Lookups trotzdem bremsend wirken. Fügen Sie in der Konfi-gurationsdatei Ihrer (virtuellen) Hosts die folgende Direktive hinzu:
[...]HostnameLookups Off[...]
Listing 8.23 DNS-Anfragen deaktivieren
Auf die Information, welche Clients Ihre Webseite besucht haben, müssen Sie dennoch nichtverzichten. Log-Auswerter wie Webalizer (siehe Abschnitt 8.3, »Logfiles auswerten«) könnendie Lookups zu einer günstigeren Zeit, etwa nachts, automatisch nachholen.
230
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 231 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
Apache 8.1
Der »htaccess«-Mechanismus
Der htaccess-Mechanismus erlaubt es Ihnen, bestimmte Konfigurationsoptionen pro Ver-zeichnis ein- oder auszuschalten, und trägt damit wesentlich zur Flexibilität Ihres Serversbei. Falls Sie diese Flexibilität nicht benötigen, sollten Sie den Mechanismus unbedingtabschalten. Sie ersparen Ihrem Apache damit unzählige unnötige Lesevorgänge und Fall-entscheidungen. Die folgenden Zeilen in der Konfigurationsdatei Ihres (virtuellen) Hostsdeaktivieren den htaccess-Mechanismus:
[...]<Directory />AllowOverride none</Directory>[...]
Listing 8.24 »htaccess« deaktivieren
Anzeigen des Serverstatus
Apaches Statusmodul mod_status erlaubt es Ihnen, den Apache-Prozessen zu jedem Zeit-punkt auf die Finger zu schauen. Sie aktivieren das Modul mit diesem Kommando:
a2enmode status
Listing 8.25 Apache-Modul »mod_status« aktivieren
Nach einem Neustart des Apache können Sie die Statuswebseite unter der Adressehttp://www.example.com/server-status betrachten – theoretisch. In der Praxis darf per Defaultnur localhost auf die Statusseite zugreifen. Andere Rechner müssen Sie explizit freige-ben. Das können Sie in der Konfigurationsdatei /etc/apache2/mods_available/status.conf(Debian/Ubuntu) oder /etc/apache2/mod_status.conf tun. Die Datei enthält diesen Konfigu-rationsblock:
#Zugriffsberechtigung. Per Default darf#nur localhost (127.0.0.1) zugreifen.<Location /server-status>
SetHandler server-statusOrder deny,allowDeny from allAllow from 127.0.0.1
</Location>
Listing 8.26 Konfigurationsdatei des Statusmoduls
Hängen Sie die IP-Adresse Ihres Clients an die Zeile Allow from 127.0.0.1, durch ein Leer-zeichen getrennt, an. Hostnamen sind ebenso wie Teile von IP-Adressen oder Hostnamenerlaubt. Alternativ können Sie auch eine oder mehrere zusätzliche Allow-Zeilen einfügen:
231
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 232 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
8 Webserver
[...]Allow from 127.0.0.1Allow from 10.20.30.40Allow from 70.80.90Allow from 192.169.0.0/16Allow from example.com[...]
Listing 8.27 »Allow«-Statements im Statusmodul
Nach einem Apache-Reload können Sie die Statusseite aufrufen. Sie sieht etwa so aus:
Current Time: Saturday, 18-Sep-2010 11:31:39 UTCRestart Time: Saturday, 18-Sep-2010 00:00:01 UTCParent Server Generation: 0Server uptime: 11 hours 31 minutes 38 secondsTotal accesses: 2835168 - Total Traffic: 414.3 GBCPU Usage: u187.68 s76.8281 cu0 cs0 - .637% CPU load68.3 requests/sec - 10.2 MB/second - 153.2 kB/request305 requests currently being processed, 143 idle workers
[...]W_WKWWWWW_WW_WCWKWWWCWWKKW_WWWWWWW_WW_WWWWK_WWWKW_WWK_WWWKW_WWKW______________KC_____KWK_W_W__W__KKKKK_KCK___WW_CKWWC_KK_KWC____KKW_WKW_W_CK_K__C__WC______W_W_K_____KW___W__K__KKWW___C_WK_____WK_WKWC_KKKKWWW__W__W_W_KK_KW_WWWC__KW_W__WK_WWWWKWW__KWW___WWW_WWWK__WKCWWKWKKWWWCWWKWK__W__CKWWCW__KW_W_K__WKWWWKKC_W_KWWKWWWK................................................................................................................................_KWWCKK_WWKKWW_WWWWKWWCKW__WWWCKKW_KKKWWWKKWWWKWKWW_WW_KWWWWKWC_WWW_WKWWC_W__KCKKWW_W_WKK___WW_W__KWWWKWCK__KKWKK_KWKKWCWWWWKWKK................................................................[...]
Listing 8.28 Apache-Serverstatus (Auszug)
Der zunächst etwas unsortiert anmutende Zeichenblock zeigt an, womit jeder Apache-Prozess im Moment beschäftigt ist. Tabelle 8.1 listet die Bedeutung der Zeichen auf.
Zeichen Bedeutung
_ wartet auf Verbindung
S Prozess startet.
R Anfrage des Clients wird empfangen.
Tabelle 8.1 Statuskürzel in der Serverstatusanzeige
232
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 233 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration
LightHttpd 8.2
Zeichen Bedeutung
W Antwort wird gesendet.
K Keep-Alive – die Verbindungen bleiben für weitere Anfragenoffen.
D Nameserver-Lookup
C Verbindung wird geschlossen.
L Eintrag wird ins Logfile geschrieben.
G Ein Prozess wird kontrolliert beendet.
I Idle Cleanup – ein Prozess erhielt keine Verbindungen undwird aufgeräumt.
. Verbindungs-Slot ohne laufenden Prozess
Tabelle 8.1 Statuskürzel in der Serverstatusanzeige (Forts.)
8.2 LightHttpd
Bei LightHttpd alias Lighty, dem auf Geschwindigkeit und gutes Lastverhalten ausgelegtenWebserver, ist alles etwas kleiner als im Apache, aber das gilt zum Glück ebenso für denSpeicherverbrauch und die Konfigurationsarbeit. In den folgenden Abschnitten lernen Sie,wie Sie mit Lighty schnell und einfach virtuelle Hosts anlegen und den HTTPS-Transporteinrichten.
8.2.1 Virtuelle Hosts mit »mod_simple_vhost« einrichten
Wenn Sie eine Reihe von virtuellen Hosts betreiben möchten, die sich konfigurationsseitignicht voneinander unterscheiden, so ist das Lighty-Modul mod_simple_vhost das Richtige fürSie. Das Modul wird über die Datei 10-simple-vhost.conf gesteuert. Sie kommt mit wenigenEinträgen aus.
server.modules += ( "mod_simple_vhost" )
simple-vhost.server-root = "/var/www/vhosts/"simple-vhost.document-root = "/html/"
simple-vhost.default-host = "www.example.org"
Listing 8.29 Konfiguration der virtuellen Hosts (»vhosts«) in der »10-simple-vhost.conf«
Die vier Zeilen haben folgende Bedeutung:
233
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 937 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
»B+«-Baum 113
A
ADS 452Advanced Routing 682alien 167Amanda 190Amavisd-new 252Antivirus (Mail) 252Apache 219
HTTPS anbieten 221Kerberos 224ModSecurity 226Server Name Indication 224Server-Status 231Tuning 229virtuelle Hosts 219
APIPA 675AppArmor 849
eigene Profile 852Statusabfrage 850
Archiv in einem anderen Verzeichnisentpacken 191
arp 669, 672AutoYaST 188awk 788
B
B-Baum 113Backup 187
Cold Backup 189differenziell 189Hot Backup 189inkrementell 189vollständig 189Wechseldatenträger 197
backuploop device 203
Backupbrowser 405Backupmethode 188Backupstrategie 187, 188Bacula 190bash 792
declare 799
Expansion 792functions 799local 798Logging in Skripten 801Operationen 793Spezialparameter 797test 800Tipps und Tricks 804Variablen 798
BDC 406, 425Benutzerprofil 413Berechtigungsstruktur 128bind-mount 59Blattobjekte 514Blockgröße 115, 269Bonding 673, 690
Betriebsmodi 690Bonding-Treiber 690Round-Robin 691
bonding802.3ad 692active-backup 692balace-xor 692balance-alb 692balance-tld 692bond0 691broadcast 692
Bootloader 49BtrFS 122Builtin-Gruppe 431
C
CA.pl 537CA.sh 537Calamaris 362checkinstall 172chroot 842
FTP 843jailkit 845
CIFS 402ClamAV 252classes.conf 597Cluster 607
Knoten 607Cluster Resource Manager 619
937
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 938 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
cn=config 559common name 514Corosync 617
Authkey 618COW (Copy on Write) 115CUPS 587
Browsing 594BrowseInterval 594BrowseRelay 594
classes.conf 597CUPS-Port 588cupsd.conf 588Druckaufträge formatieren 598Drucker anlegen 595Druckerquotas 597Encryption Required 589Kerberos 602
DefaultAuthType 603Kerberos-Principal 602Klassen einrichten 596Limit
TempDir 593Limits 592
MaxClients 592MaxClientsPerHost 592MaxCopies 592MaxJobs 593MaxJobsPerUser 592PreserveJobFiles 593PreserveJobHistory 593
LOCAL 591OWNER 592Policies 588
location policies 588, 589operation policies 588, 591
printer instances 599printers.conf 597SYSTEM 592SystemGroup 592Web-Frontend 589
cupsd.conf 588
D
Dansguardian 357DAP-Datenbank 512Dateisystem 111Dateisystemattribut 140
chattr 140fstab 140
NFS 140Dateisysteme
BtrFS 122Ext2/3 115FAT 111Journaling 114ReiserFS 118XFS 119
Dateisystemrecht 132ACL 132
Default-ACL 135getfacl 134maske 136setfacl 133
Attribute 141fstab 132
Dateiverschlüsselung 924Datenbank 277dd 193, 201
Master Boot Record 201MBR sichern 201Partitonstabelle sichern 202
dd_rescue 203deb-Paket 165
aus Repositorys 167lokal 167
demoCA 537Desktop-Virtualisierung 634DFS 480
DFS-Link 480DFS-Proxy 480
DFS-Server 481DHCP 723
Client 723default-lease-time 724DHCPACK 723DHCPDISCOVER 723DHCPREQUEST 723Leases 725max-lease-time 724Relay-Agent 723statische Zuweisung 725subnet 724
dig 735Disaster Recovery 188, 206DNS 726
A-Record 733AAAA-Record 733BIND 727CNAME 734
938
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 939 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
DENIC 739expire 731FQDN 730Glue-Record 733hint-Zone 736in-addr.arpa 738listen-on 728minimum 731MX-Record 733named.conf 727
Kommentare 728Nameserver 726refresh 731retry 731Reverse Lookup 738Rootserver 727RR 731serial 730, 741Slave-Server 739SOA 729TLD 727TTL 729Zonentransfer 740
DNSBL 249Domänencontroller 427domain component (dc) 523Domainadministrator 435Domaincomputer 440Dovecot 269
Konfiguration 273DRBD 610
im Cluster 628Druckauftrag 465Drucker CUPSDruckertreiber 465, 466dumpe2fs 117dynlist
dyngroup.schema 551
E
E-Mail-Verschlüsselung 916e2fsck 118edquota 148env 796Environment 796Etherchannel 690Exim 262
Antispam 264Antivirus 263
Grundkonfiguration 262Expansion 792Ext2 115Ext3 115
F
FAI 188fail2ban 867
fail2ban-regex 871iptables 870
FAT 111Fencing 631Festplattenverschlüsselung 927Festplattenzugriffe ermitteln 771Fileserver 410Filesystem-Check 203Freigabe 410, 416Freshclam 253fstab 132FTP 241
aktives FTP 241Anonymous 242Das Protokoll 241Download-Server 242IPv6 243LDAP-Anbindung 246passives FTP 242SSL-Verschlüsselung 245vsftpd 242Zugriff of home-Verzeichnisse 244
FTP-Server FTP
G
Geräteverschlüsselung 925getent 459, 528getent group 457globale Gruppe 431GnuPG 905GOsa 529grep 788group_mapping.tdb 431Groupmapping 431, 434groupOfUniqueNames 542GRUB 49
chroot 59grub-install 50grub-mkdevicemap 52GRUB-Shell 51
939
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 940 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
initrd 53memtest 55menu.lst 52Recovery 58setup 51Software-RAID 53Stage 1 49Stage 1.5 49Stage 2 49
GRUB 2 54/etc/default/grub 57grub.cf 54menuentry 56RAID 56Stage 1.5 54Stage 2 54
GRUB-Shell 50Gruppenrichtlinie 446
H
H-Baum 113Header-Prüfungen (Mail) 250heimdal-client 453HELO 250hide unreadable 415Hochverfügbarkeit 607
I
IANA 694IDS/IPS 855
in der Praxis 864ifconfig 669, 670, 676Image
erstellen 202mounten 203
IMAP 271initrd 60
erstellen 60initramfs.conf 61mkinitramfs 60modifizieren 63RAID 60
Internet Assigned Numbers Authority 694iotop 771ip 669, 676
address show 672neighbour add 679IP-Adresse hinzufügen 677
label 676link 673
set 674link show 670neighbour 672, 678route 671routing 679, 682
add 681delete 681Priorität 684show 680
IPP 587iproute2 669iptables 703
chains 704connlimit 720Default Policy 705, 712DMZ 712DNAT 719DoS 719Filter 707FORWARD 704ICMP 707, 716INPUT 704limit 718limit-burst 718lo 712Logging 717MASQUERADE 719, 720Module 707Multiport-Modul 712NAT 719OUTPUT 704POSTROUTING 704PREROUTING 704recent 721Regeln löschen 706SNAT 719SPI 709TARGET 706, 708
IPv6 695Adresse 695Adressraum 695anycast 697DAD 699Header-Aufbau 699Header-Länge 699Interface Identifier 696, 701ipv6calc 743link-lokal 699, 702
940
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 941 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
Multicast 697Multihoming 701NAT 695Neighbor Cache 699Neighbor Discovery 698Network Prefix 696Netzmaske 696Notation 695ping6 703Privacy Extension 701ssh 702unicast 696
J
Journaling 114Ext3 116
Jxplorer 529, 561
K
KDC-Master 391Kerberos 371, 453
ACL 379addprinc 381Authentication Server 372delprinc 388kadmin 380, 394kadmin.local 380kdb5_util 379KDC-Slave 391kdc.conf 374, 376kdeb5_util dump 397kdestroy 390Key Distribution Center 372keytab 387kinit 383klist 383kpropd 397kpropd.acl 396krb5.conf 374ktadd 394ktrem 388ktutil 387listprincs 382PAM 384, 390pam-config 384Policies 398Principal 372randkey 382
Realm 372Replikation 390SRV-Einträge 392Ticket 372Ticket Granting Server 372Ticket Granting Ticket 372
Kickstart 188kinit 454klist 455Knotentyp 409Kommunikationsprotokoll 417kpartx 204KVM 639
libvirt 645Live Migration 662Netzwerk 641virsh 649virt-clone 662virt-install 654virt-top 661virt-viewer 662virtio 640Virtual Machine Manager 657VM-Installation 652
L
LAM 522, 529Lamdaemon 531
ACL 533visudo 533
LDAP 511ACL 539
Aufbau 540Passwörter 541slapd.conf 540subschema 541
alias-Tabelle 565Apache 572
Cache-Parameter 572Module 572Zugriffsparameter 573
apparmor 539Attribute 515authz-regexp 580, 584bdb 521Datenmodell 513Distinguished Name 513DIT 513dynamische Konfiguration 520
941
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 942 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
Filter 548Verknüpfung 548
GSSAPI 576, 582Debian/Ubuntu 577
hdb 521Kerberos 574
PAM 582Principal 575SLES11 582
keytab 576ldapwhoami 579LDIF 519main.cf 565Objekte 513, 514ODI 547OID 515
registrieren 515ou 514Overlay 550, 552
dds 552dynlist 551refint 552slapd.conf 550valsort 552
preauthentication 577Replikation 553saslauthd 513, 567Schema 515Squid 568squid.conf 568statische Konfiguration 520supportedControl 547supportedExtension 547Syntaxbeschreibung 518TLS
Verbindungsaufbau 539UTF-8 513Virtualtabelle 566
LDAP-Client 524ldap.conf 526ldapadd 523, 528ldapmodify 534ldapsam 425ldapsearch 527, 536, 561LDIF 528libnss-ldap 525libpam-ldap 525libvirt 645
XML-Format 647LightHttpd 233
HTTPS anbieten 235virtuelle Hosts 233
limits.conf 158Link Aggregation 690Linux-Konto 419LIR 694Lire (Log-Auswertung) 267LMHOSTS 405Log-Auswertung (Webserver) 237Logical Volume Manager LVMLogonscripte 442
kix 442lokale Gruppe 431loop device 203lpd 587lpoptions 598lpstat 598lsof 763
Dateizugriffe 764Netzwerkressourcen 764
LVM 84Aufbau einer Volumegroup 88Begriffe 86Eine defekte Festplatte ersetzen 95Erweiterung einer Volumegroup 92Erweiterung eines Volumes 91Grundlagen 86Installation 87Kommandos 99logical extent 86logical volume 86lvconvert 94lvcreate 90lvdisplay 90lvextend 92physical extent 86physical volume 86pvdisplay 88pvmove 95pvreate 88Spiegelung 94vgcreate 89vgdisplay 89vgextend 92vgreduce 95volume group 86
LVM-Snapshot 189
942
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 943 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
M
main.cf 565Makefile 169
autotools 169Masterbrowser 405MBR 49mdadm 77mke2fs 115mkfs.reiserfs 119mkfs.xfs 119mkinitramfs 60mkinitrd 62ModSecurity 226Mount Count (Ext) 116Munin 836
Nodes 837MySQL 277
Benutzerkonto anlegen 278Indextuning 295Installation 277Point-In-Time-Recovery 299Replikation 278Root-Kennwort 278Speichertuning 289Tuning 288
N
Nagios 809Installation 810nagios.cfg 814Objekt 815
Host-Objekt 816Kommando-Objekt 822Kontakt-Objekt 820Kontaktgruppen-Objekt 821Service-Objekt 818Template-Objekt 823Zeitfenster-Objekt 821
Plugin 825Benachrichtigungen 831check_disk 826check_http 827check_ping 825check_tcp 826check_udp 826PNP4Nagios 833SNMP 829
resource.cfg 824
Verzeichnisstruktur 813Webinterface 813
named.conf 727directory 728forwarders 728include 727Port 728zone 729
Namensauflösung 404Namensstandard 125NDS
filelocking 489net groupmap 431net rpc join 457net sam 431NetBEUI 403NetBIOS 401–403
Namensauflösung 406NetBIOS-Client 404NETLOGON 442netstat 416, 761Netzwerke 669Netzwerkkarte 673
Flag 673Interfacename 675MAC 673MTU 673Netzwerkpräfix 677primäre IP-Adresse 677
NFS 489async 493bind-Mountpoint 491exportfs 495exports 506fsid 494fstab 497gss/krb5 507gss/krb5i 507idmapd 497lockd 490mountd 490Portmapper 490Pseudodateisystem 491root_squash 494rpcinfo 495rsize 500secure 494statd 490, 491subtree-checking 494subtree_check 494
943
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 944 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
sync 493UTF-8 490wdelay 496wsize 500
NIC Teaming 690NIS 422nis.schema 522nmap 757nmbd 402nmblookup 405, 407NSS 447nsswitch.conf 449, 459, 525, 526NTP-Server 610NUD 678
O
OpenAIS 617Authkey 618
OpenLDAP 511OpenSSH 745
passwortloser Login 751Port-Forwarding 753Protokoll 749Schlüssel 750X11-Forwarding 753
openSSL 906openssl.cnf 536openVPN 875
Debug 894easy-rsa 876
CA 879Clientzertifikat 882Serverzertifikat 880TLS-Auth 882
explicit-exit-notify 892Modemverbindungen (DSL-Modem/UMTS) 893Rechteanpassungen auf Windows-Clients 893register-dns 892Roadwarrior 883
Client 886Server 883
Simple-HA 890Site-to-site 889Tipps und Tricks 892
Debug 894explicit-exit-notify 892Modemverbindungen (DSL-
Modem/UMTS) 893Rechteanpassungen auf Windows-Clients 893
register-dns 892Windows-Installationspfad 893Windows-Routing/-Netzwerk 893
tun/tap 876Windows-Installationspfad 893Windows-Routing/-Netzwerk 893Zertifikatsverteilung 883
OPIE 871Challenge Response Authentication 874OTP erstellen 872OTP-Liste erstellen 873PAM 874seed 872
os-level 405Overlay 550
P
Pacemaker 619Constraints 627CRM-Shell 621Ressource 622
Paketmanagementdeb 165rpm 164
Paketverwaltung 163Pakete erzeugen 172Update-Pakete 178Update-Sicherheit 183
PAM 150, 384/etc/pam.d 156Konfiguration 155Kontrollflags 151Modulargumente 152Modulaufgaben 152Modulpfade 152
pam-config 384pamifizieren 150Partitionierung 127passdb backend 419passdb.tdb 431Patchen 176
diff 176patch 178
pdbedit 422, 435, 437, 445PDC 406, 425PGP 905phpldapadmin 529Point-In-Time-Recovery 299poledit.exe 446
944
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 945 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
Policy Routing 682PRDB 682Priorität 684
POP3 269Port 139 416Port 445 416Port-Scans 757Postfix 247
Grundkonfiguration 247PostScript 587PPD 601printeradmin 466printers.conf 597Printserver 464Privilegien 430proc 105
config.gz 107CPU 105meminfo 107net 109RAM 106sysctl.conf 110
ProxySquid 321
Public-Key-Infrastructure 902Einrichten 906
PuTTY 777
Q
Quota-System 143aqouta.group 144aquota.user 144edquota 146fstab 143grpquota 143Hardlimit 146journaling quotas 145quotacheck 143quotaon 146repquota 149Softlimit 146usrquota 143
R
RAID 73Level 0 74Level 1 74Level 10 75
Level 5 74Level 6 75mdadm 77softraid 76
ReaR 206default.conf 214EXTERNAL 208Konfigurationsdatei 206local.conf 206NETFS 207P2P 215P2V 215REQUESTRESTORE 207Rescueimage 207site.conf 206V2P 215
RegEx 789Syntax 790
Reguläre Ausdrücke 789Syntax 790
ReiserFS 118reiserfstune 119Replikation 278
Master-Master 285Master-Slave 278
repquota 147Rescue-CD 212resolv.conf 726rfc2307bis.schema 522Richtlinien 442RID 427RIR 694root-Shell 30route 669, 671, 679rpcclient 428, 429rpm-Paket 164
aus Repositorys 167lokal 167
rsync 194komprimiertes Backup 199Sichern über das Netz 195spiegeln 194ssh 200
Rsync-Daemon 755rsyncd 755Rsyslog 312
Filter, ausdrucksbasiert 313Filter, eigenschaftsbasiert 312
Runlevel 65
945
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 946 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
S
Samba 401[global] 404Kerberos 471LDAP-Server 419nested groups 450net getlocalsid 428
Samba 4 487Samba-Konto 419samba.schema 522Sarg 363saslauthd 567scp 747screen 757Scripting 787sed 788sfdisk 202sftp 748SGID 130shadow 437Shell-Expansion 792SID 414, 427Signaturgesetz 931simple bind 524simpleSecurityObject 555Single Sign-on 511slap.access 540slapacl 544, 546slapd.conf 521, 553slapd.d 560slappasswd 522slaptest 560slurpd 554SMB 401, 402smb.conf 403
[homes] 413copy 415domain master 408local master 408Netbios aliases 407Netbios name 407os level 408preferred master 408profile acls 414read only 411winbind separator 433winssupport 407, 408
SMB2 402smbd 402
smbpasswd 419, 420, 423snort 856
acidbase/BASE 864mysql 859oinkmaster 861Regeln 860snort.conf 858
Spamfilter 252Spezialbits 129
SGID 130Sticky-Bit 131SUID 129
Spoolverzeichnis 465Squid 321
acl-Objekte 330Cache 325Calamaris 362Dansguardian 357delay_access 369delay_class 368delay_parameters 368delay_pool 366delay_pools N 367http_access-Regeln 332IP-Authentifizierung 333kerb_auth 344ldap_auth 348ldap_group 352Logging 326ncsa_auth 338Netzwerk 324ntlm_auth 340Sarg 363squidGuard 353Testumfeld 324transparent 364Verzögerung des Datenverkehrs(delay_pools) 366Verzeichnisdienste 340wbinfo_group.pl 350
squidGuard 353SSH 745ssh (Client) 746SSH-Agent 752SSHd (Server) 748SSL-Zertifikat (Apache) 221SSL-Zertifikat (LightHttpd) 235Standarddrucker 598standby-Master 563Sticky-Bit 131STONITH 631
946
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 947 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
strace 772strong bind 524SUID 129supportedFeatures 547SWAT 413syncprov 554syncrepl 553
Consumer 553delta-syncrepl 554entryUUID 553modifyTimestamp 553Provider 553refreshAndPersist 553refreshOnly 553Sessioncookie 553Sessionlog 555
Synergy 781Syslog 303
Datenbank 316Facility 303Log-Level 303Priority 303Remote-Logging 314Severity 303
Syslog-ng 305Destination-Objekt 308Filter-Objekt 310Log-Objekt 311Source-Objekt 308
SyslogD 304Systemadministrator 33
Arbeitstechniken 40Aufgaben 34Fähigkeiten und Fertigkeiten 39Intermediate/Advanced System Administra-
tor 37Job-Definitionen 34Junior System Administrator 36Novice System Administrator 35Senior System Administrator 38Softskills 39Unternehmensgröße 35Verhältnis zu anderen Administratoren 43Verhältnis zu Benutzern 43Verhältnis zu Chef/Vorgesetzten 42Verhaltenskodex 45
SysVinit 64
T
tar 191Archiv erstellen 191Archiv im aktuellen Verzeichnis entpacken 191Archiv komprimieren 191Archiv prüfen 192exkludieren von Dateien 192ssh 193umask 193
tc 669tdbbackup 486tdbdump 487tdbsam 419, 424Terminal-Multiplexer 757testparm 428Ticket 371TLS 511, 536
ldap.conf 538ldapsearch 538slapd.conf 538
top 767tree 127, 128Trunking 690tune2fs 116
U
udev 101Regeln 101udevadm 103
ulimit 157Hardlimit 158limits.conf 158Softlimit 158
umask 131Umgebungsvariablen 796update-initramfs 60Upstart 64
Event 65Jobdefinitionen 65Prozessdefinitionen 66
V
Verschlüsselung 897Asymmetrisches Verfahren 900Dateien 924E-Mails 916
947
Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.
S. 948 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration
Index
GnuPG 917S/MIME 924
Festplatten 927Geräte 925Historie 897Kerckhoffs Grundsätze 899Public-Key-Infrastructure 902
Einrichten 906Rechtliches 931Symmetrisches Verfahren 899Web-of-Trust (PGP) 905X.509-Zertifikate 903
Vertrauensstellung 483vertrauende Domäne 483vertraute Domäne 483
Verzeichnisdienst 511Verzeichnisstruktur 128virsh 649virt-clone 662virt-install 654virt-top 661virt-viewer 662Virtual Machine Manager 657
Live Migration 662VirtualBox 634
Import/Export 638Installationsmedium anlegen 635Netzwerkkonfiguration 636
Virtualisierung 633Desktop-Virtualisierung 634Grundlagen 633KVM 639
libvirt 645Netzwerk 641virsh 649virt-install 654virtio 640
Live Migration 662Server-Virtualisierung 638vir-clone 662
vir-top 661vir-viewer 662Virtual Machine Manager 657Xen 641
virtuelle Domänen 474virtuelle Server 474VPN-Tunnel 687vsftpd 843
W
wbinfo 459Web-of-Trust 905Webalizer 237Webserver 219
Apache 219LightHttpd 233
Winbind 432, 446winbind
PAM 449winbind seperator 457Windows-ACL 462WINS 406, 407WinSCP 780wireshark 418Workgroup 404
X
X.500 512X.509-Zertifikate 903Xen 641XFS 119
Z
Zeitserver 610Zertifikate 903Zugriffsrechte 125
948