Das Administrationshandbuch...Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auﬂage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5

Dirk Deimeke, Stefan Kania, Charly Kühnast, Stefan Semmelroggen, Daniel van Soest

Linux-ServerDas Administrationshandbuch

Auf einen Blick

TEIL I Grundlagen ................................................................... 47

TEIL II Aufgaben ...................................................................... 161

TEIL III Dienste ....................................................................... 217

TEIL IV Infrastruktur ............................................................... 605

TEIL V Kommunikation .......................................................... 667

TEIL VI Automatisierung ........................................................ 785

TEIL VII Sicherheit, Verschlüsselung und Zertifikate .............. 839

Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auflage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5Layout: gp.cls, Version 3.4.002 (14th August 2011), (C) Dr. Daniel Lauer, Bonn Mit TEX bearbeitet am 12. Juli 2012, 15:26 Uhr Umlaut-Check: äöüÄÖÜ.

S. 5 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: ucsencs.def , Aktueller Job: administration

Inhalt

Vorwort .......................................................................................................................................... 23Über dieses Buch .......................................................................................................................... 29

Formales ..................................................................................................................... 29Linux-Distributionen ................................................................................................ 31

1 Der Administrator ............................................................................................. 33

1.1 Der Beruf des Systemadministrators ..................................................................... 331.1.1 Berufsbezeichnung und Aufgaben ........................................................ 331.1.2 Job-Definitionen ...................................................................................... 34

1.2 Nützliche Fähigkeiten und Fertigkeiten ................................................................ 391.2.1 Soziale Fähigkeiten .................................................................................. 391.2.2 Arbeitstechniken ...................................................................................... 40

1.3 Das Verhältnis vom Administrator zu Normalsterblichen ................................. 421.3.1 Der Chef und andere Vorgesetzte ........................................................ 421.3.2 Benutzer .................................................................................................... 431.3.3 Andere Administratoren ......................................................................... 43

1.4 Unterbrechungsgesteuertes Arbeiten ................................................................... 441.5 Ethischer Verhaltenskodex ...................................................................................... 45

TEIL I: Grundlagen

2 Bootvorgang ...................................................................................................... 49

2.1 Einführung .................................................................................................................. 492.2 Der Bootloader GRUB .............................................................................................. 49

2.2.1 Installation ................................................................................................ 502.2.2 Konfiguration ........................................................................................... 522.2.3 Booten von einem Software-RAID-1 ................................................... 53

2.3 GRUB 2 ....................................................................................................................... 542.3.1 Funktionsweise ........................................................................................ 542.3.2 Installation ................................................................................................ 542.3.3 Konfiguration ........................................................................................... 54

2.4 Bootloader Recovery ................................................................................................ 582.5 Der Kernel und die »initrd« .................................................................................... 59

2.5.1 »initrd« erstellen und modifizieren ....................................................... 602.5.2 »initrd« manuell modifizieren ................................................................ 63

5



Inhalt

2.6 »Upstart« .................................................................................................................... 642.6.1 Funktionsweise ........................................................................................ 642.6.2 Events im Detail ....................................................................................... 652.6.3 Prozessdefinitionen ................................................................................. 662.6.4 Anzeige aller Upstart-Jobs ..................................................................... 672.6.5 Anzeige und Überprüfung der Job-Konfigurationen ......................... 692.6.6 Starten, Stoppen und Neustarten von Diensten ................................ 702.6.7 Abschlussbemerkung .............................................................................. 71

3 Festplatten und andere Devices ................................................................... 73

3.1 RAID ............................................................................................................................ 733.1.1 RAID-0 ...................................................................................................... 743.1.2 RAID-1 ....................................................................................................... 743.1.3 RAID-5 ...................................................................................................... 743.1.4 RAID-6 ...................................................................................................... 753.1.5 RAID-10 ..................................................................................................... 753.1.6 Zusammenfassung ................................................................................... 753.1.7 Weich, aber gut: Software-RAID .......................................................... 763.1.8 Software-RAID unter Linux ................................................................... 773.1.9 Abschlussbemerkung zu RAIDs ............................................................. 84

3.2 Rein logisch: Logical Volume Manager »LVM« ................................................... 843.2.1 Grundlagen und Begriffe ........................................................................ 863.2.2 Setup .......................................................................................................... 873.2.3 Aufbau einer Volume Group mit einem Volume ............................... 883.2.4 Erweiterung eines Volumes ................................................................... 913.2.5 Eine Volume Group erweitern ............................................................... 923.2.6 Aufbau eines gespiegelten Volumes .................................................... 943.2.7 Eine defekte Festplatte ersetzen ........................................................... 953.2.8 Backups mit Snapshots ........................................................................... 953.2.9 Kommandos ............................................................................................. 99

3.3 »udev« ......................................................................................................................... 1013.3.1 »udev«-Regeln .......................................................................................... 1013.3.2 Eigene Regeln schreiben ........................................................................ 102

3.4 Alles virtuell? »/proc« ............................................................................................... 1053.4.1 CPU ............................................................................................................ 1053.4.2 RAM ........................................................................................................... 1063.4.3 Kernelkonfiguration ................................................................................ 1073.4.4 Kernelparameter ...................................................................................... 1073.4.5 Gemountete Dateisysteme .................................................................... 1083.4.6 Prozessinformationen ............................................................................. 108

6



Inhalt

3.4.7 Netzwerk ................................................................................................... 1093.4.8 Änderungen dauerhaft speichern ......................................................... 1103.4.9 Abschlussbemerkung .............................................................................. 110

4 Dateisysteme ..................................................................................................... 111

4.1 Dateisysteme: von Bäumen, Journalen und einer Kuh ...................................... 1114.1.1 Bäume ........................................................................................................ 1124.1.2 Journale ..................................................................................................... 1144.1.3 Und die Kühe? COW-fähige Dateisysteme ......................................... 115

4.2 Praxis ........................................................................................................................... 1154.2.1 Ext2/3-FS aufgebohrt: mke2fs, tune2fs, dumpe2fs, e2label ........... 1154.2.2 ReiserFS und seine Tools ........................................................................ 1184.2.3 XFS ............................................................................................................. 1194.2.4 Das Dateisystem vergrößern oder verkleinern ................................... 1204.2.5 Ausblick auf BtrFS ................................................................................... 122

4.3 Fazit ............................................................................................................................. 124

5 Berechtigungen ................................................................................................. 125

5.1 User, Gruppen und Dateisystemstrukturen .......................................................... 1255.2 Dateisystemberechtigungen ................................................................................... 128

5.2.1 Spezialbits ................................................................................................. 1295.3 Erweiterte Posix-ACLs .............................................................................................. 132

5.3.1 Das Setzen und Anzeigen von einfachen ACLs .................................. 1335.3.2 Setzen von Default-ACLs ........................................................................ 1355.3.3 Setzen von erweiterten ACLs ................................................................ 1365.3.4 Entfernen von ACLs ................................................................................. 1395.3.5 Sichern und Zurückspielen von ACLs ................................................... 140

5.4 Erweiterte Dateisystemattribute ............................................................................ 1405.4.1 Attribute, die jeder Benutzer ändern kann ......................................... 1415.4.2 Attribute, die nur »root« ändern kann ................................................. 1415.4.3 Weitere Attribute .................................................................................... 142

5.5 Quotas ........................................................................................................................ 1435.5.1 Installation und Aktivierung der Quotas ............................................. 1435.5.2 Journaling Quotas ................................................................................... 1455.5.3 Quota-Einträge verwalten ...................................................................... 146

5.6 Pluggable Authentication Modules (PAM) .......................................................... 1505.6.1 Verschiedene PAM-Typen ...................................................................... 1505.6.2 Die PAM-Kontrollflags ............................................................................ 1515.6.3 Argumente zu den Modulen ................................................................. 152

7



Inhalt

5.6.4 Modulpfade .............................................................................................. 1525.6.5 Module und ihre Aufgaben ................................................................... 1525.6.6 Die neuere Syntax bei der PAM-Konfiguration .................................. 154

5.7 Konfiguration von PAM ........................................................................................... 1555.8 »ulimit« ....................................................................................................................... 157

5.8.1 Setzen der »ulimit«-Werte ..................................................................... 1585.9 Abschlussbemerkung ............................................................................................... 159

TEIL II: Aufgaben

6 Paketmanagement ........................................................................................... 163

6.1 Paketverwaltung ....................................................................................................... 1636.1.1 »rpm« oder »deb«? .................................................................................. 1646.1.2 »yum«, »yast« oder »apt«? ...................................................................... 1666.1.3 Außerirdische an Bord – »alien« ............................................................ 168

6.2 Pakete im Eigenbau .................................................................................................. 1696.2.1 Am Anfang war das Makefile ................................................................ 1696.2.2 Vom Fellknäuel zum Paket ..................................................................... 1726.2.3 Patchen mit »patch« und »diff« ............................................................. 1766.2.4 Updates ohne Repository ....................................................................... 1796.2.5 »rpm«-Update-Paket ............................................................................... 1796.2.6 »deb«-Update-Pakete ............................................................................. 1826.2.7 Updatesicher konfigurieren ................................................................... 183

7 Backup und Recovery ...................................................................................... 187

7.1 Backup gleich Disaster Recovery? .......................................................................... 1877.2 Backupstrategien ...................................................................................................... 1887.3 Datensicherung mit »tar« ........................................................................................ 191

7.3.1 Weitere interessante Optionen für GNU-»tar« .................................. 1927.3.2 Sicherung über das Netzwerk mit »tar« und »ssh« ............................ 193

7.4 Datensynchronisation mit »rsync« ......................................................................... 1947.4.1 Lokale Datensicherung mit »rsync« ...................................................... 1947.4.2 Synchronisieren im Netzwerk mit »rsync« ........................................... 1957.4.3 Wichtige Optionen für »rsync« ............................................................. 1957.4.4 Backupskript für die Sicherung auf einen Wechseldatenträger ....... 1977.4.5 Backupskript für Sicherungen auf einen Backupserver ..................... 1977.4.6 Verwendung von »ssh« für die Absicherung von »rsync« ................. 200

8



Inhalt

7.5 Imagesicherung mit »dd« ........................................................................................ 2017.5.1 Sichern des Master Boot Records (MBR) ............................................ 2017.5.2 Partitionstabelle mithilfe von »dd« zurückspielen ............................. 2027.5.3 Erstellen eines Images mit »dd« ............................................................ 2027.5.4 Einzelne Dateien mit »dd« aus einem Image zurückspielen ............ 2037.5.5 Abschlussbemerkung zu »dd« ............................................................... 205

7.6 Disaster Recovery mit ReaR .................................................................................... 2057.6.1 ReaR installieren ...................................................................................... 2067.6.2 ReaR konfigurieren .................................................................................. 2067.6.3 Die erste Konfiguration .......................................................................... 2087.6.4 ReaR aufrufen ........................................................................................... 2087.6.5 Der erste Testlauf ..................................................................................... 2097.6.6 Der Recovery-Prozess ............................................................................. 2127.6.7 Die ReaR-Konfiguration im Detail ........................................................ 2147.6.8 Migrationen mit ReaR ............................................................................ 2157.6.9 Abschlussbemerkung .............................................................................. 215

7.7 Fazit zur Datensicherung und Recovery ............................................................... 216

TEIL III: Dienste

8 Webserver ........................................................................................................... 219

8.1 Apache ........................................................................................................................ 2198.1.1 Virtuelle Hosts einrichten ...................................................................... 2198.1.2 HTTPS konfigurieren ............................................................................... 2218.1.3 Benutzer-Authentisierung mit Kerberos .............................................. 2248.1.4 Apache-Server mit ModSecurity schützen .......................................... 2268.1.5 Tuning und Monitoring .......................................................................... 229

8.2 LightHttpd .................................................................................................................. 2338.2.1 Virtuelle Hosts mit »mod_simple_vhost« einrichten ......................... 2338.2.2 Virtuelle Hosts ohne »mod_simple_vhost« einrichten ...................... 2348.2.3 HTTPS konfigurieren ............................................................................... 235

8.3 Logfiles auswerten .................................................................................................... 237

9 FTP-Server .......................................................................................................... 241

9.1 Einstieg ....................................................................................................................... 2419.1.1 Das File Transfer Protocol ...................................................................... 2419.1.2 vsftpd ......................................................................................................... 242

9.2 Download-Server ...................................................................................................... 242

9



Inhalt

9.3 Zugriff von Usern auf ihre Home-Verzeichnisse .................................................. 2449.4 FTP über SSL (FTPS) ................................................................................................. 2459.5 Anbindung an LDAP ................................................................................................. 246

10 Mailserver ........................................................................................................... 247

10.1 Postfix ......................................................................................................................... 24710.1.1 Grundlegende Konfiguration ................................................................. 24710.1.2 Integrierte Sicherheitsmechanismen .................................................... 24910.1.3 Antivirus- und Spamfilter mit Amavisd-new, ClamAV

und SpamAssassin ................................................................................... 25210.2 Exim ............................................................................................................................ 262

10.2.1 Grundlegende Konfiguration ................................................................. 26210.2.2 Viren erkennen ........................................................................................ 26310.2.3 Spam abwehren ....................................................................................... 264

10.3 Monitoring und Logfile-Auswertung .................................................................... 26610.3.1 Logfile-Auswertung mit »Lire« .............................................................. 266

10.4 Dovecot ...................................................................................................................... 26910.4.1 POP3 .......................................................................................................... 26910.4.2 IMAP .......................................................................................................... 27110.4.3 Konfiguration ........................................................................................... 273

11 Datenbank .......................................................................................................... 277

11.1 MySQL in der Praxis ................................................................................................. 27711.1.1 Installation und grundlegende Einrichtung ........................................ 27711.1.2 Replikation ................................................................................................ 27811.1.3 Master-Master-Replikation .................................................................... 285

11.2 Tuning ......................................................................................................................... 28811.2.1 Tuning des Speichers ............................................................................... 28911.2.2 Tuning von Indizes .................................................................................. 295

11.3 Backup und Point-In-Time-Recovery ..................................................................... 29911.3.1 Restore zum letztmöglichen Zeitpunkt ................................................ 30011.3.2 Restore zu einem bestimmten Zeitpunkt ............................................ 301

12 Syslog ................................................................................................................... 303

12.1 Aufbau von Syslog-Nachrichten ............................................................................. 30312.2 Der Klassiker: »SyslogD« .......................................................................................... 30412.3 Syslog-ng .................................................................................................................... 306

10



Inhalt

12.3.1 Der »options«-Abschnitt ........................................................................ 30612.3.2 Das »source«-Objekt ............................................................................... 30812.3.3 Das »destination«-Objekt ...................................................................... 30812.3.4 Das »filter«-Objekt .................................................................................. 31012.3.5 Das »log«-Objekt ..................................................................................... 311

12.4 Rsyslog ........................................................................................................................ 31212.4.1 Eigenschaftsbasierte Filter ..................................................................... 31212.4.2 Ausdrucksbasierte Filter ......................................................................... 313

12.5 Loggen über das Netz .............................................................................................. 31412.5.1 SyslogD ...................................................................................................... 31412.5.2 Syslog-ng ................................................................................................... 31512.5.3 Rsyslog ....................................................................................................... 315

12.6 Syslog in eine Datenbank schreiben ...................................................................... 31612.6.1 Anlegen der Log-Datenbank ................................................................. 31612.6.2 In die Datenbank loggen ........................................................................ 317

13 Proxyserver ......................................................................................................... 321

13.1 Einführung des Stellvertreters ................................................................................ 32113.2 Proxys in Zeiten des Breitbandinternets ............................................................... 32213.3 Herangehensweisen und Vorüberlegungen ......................................................... 32313.4 Grundkonfiguration .................................................................................................. 323

13.4.1 Aufbau des Testumfelds ......................................................................... 32413.4.2 Netzwerk ................................................................................................... 32413.4.3 Cache ......................................................................................................... 32513.4.4 Logging ...................................................................................................... 32613.4.5 Handhabung des Dienstes ..................................................................... 32913.4.6 Objekte ...................................................................................................... 33013.4.7 Regeln ........................................................................................................ 33213.4.8 Anwendung von Objekten und Regeln ............................................... 334

13.5 Authentifizierung ...................................................................................................... 33613.5.1 Benutzerbasiert ........................................................................................ 33813.5.2 Gruppenbasiert ........................................................................................ 349

13.6 Helferlein .................................................................................................................... 35313.6.1 squidGuard ............................................................................................... 35313.6.2 Antiviren-Check: ClamAV mit HAVP einbinden ................................ 35513.6.3 Dansguardian ........................................................................................... 358

13.7 Log-Auswertung: »Calamaris« und »Sarg« ............................................................ 36213.7.1 Calamaris ................................................................................................... 36213.7.2 Sarg ............................................................................................................ 363

13.8 Unsichtbar: »transparent proxy« ............................................................................ 364

11



Inhalt

13.9 Ab in den Pool – Verzögerung mit »delay_pools« .............................................. 36613.9.1 Funktionsweise – alles im Eimer! .......................................................... 36613.9.2 Details – Klassen, Eimer und ACLs richtig wählen ............................ 367

14 Kerberos .............................................................................................................. 371

14.1 Begriffe im Zusammenhang mit Kerberos ............................................................ 37214.2 Funktionsweise von Kerberos ................................................................................. 37314.3 Installation und Konfiguration des Kerberos-Servers ......................................... 373

14.3.1 Konfiguration der Datei »/etc/krb5.conf« ........................................... 37414.3.2 Konfiguration der Datei »kdc.conf« ..................................................... 376

14.4 Initialisierung und Testen des Kerberos-Servers .................................................. 37914.4.1 Verwalten der Principals ........................................................................ 380

14.5 Kerberos und PAM ................................................................................................... 38414.5.1 Konfiguration der PAM-Dateien auf dem SLES11 ............................. 38414.5.2 Testen der Anmeldung ........................................................................... 385

14.6 Neue Benutzer mit Kerberos-Principal anlegen .................................................. 38514.7 Hosts und Dienste .................................................................................................... 386

14.7.1 Entfernen von Einträgen ........................................................................ 38814.8 Konfiguration des Kerberos-Clients ....................................................................... 389

14.8.1 PAM und Kerberos auf dem Client ....................................................... 39014.9 Replikation des Kerberos-Servers .......................................................................... 390

14.9.1 Bekanntmachung aller KDCs im Netz .................................................. 39114.9.2 Konfiguration des KDC-Masters ........................................................... 39414.9.3 Konfiguration des KDC-Slaves .............................................................. 39514.9.4 Replikation des KDC-Masters auf den KDC-Slave ............................. 396

14.10 Kerberos Policies ....................................................................................................... 398

15 Samba .................................................................................................................. 401

15.1 Kurze Einführung in die Protokolle SMB und NetBIOS ..................................... 40215.1.1 Das Protokoll SMB .................................................................................. 40215.1.2 Das Protokoll NetBIOS ........................................................................... 40315.1.3 Möglichkeiten mit NetBIOS .................................................................. 40415.1.4 Grundeinstellung der »smb.conf« ......................................................... 40415.1.5 Verwendung von WINS zur Namensauflösung .................................. 40615.1.6 Parameter für den »nmbd«in der »smb.conf« ..................................... 40715.1.7 Clientkonfiguration ................................................................................. 409

15.2 Samba als Fileserver ................................................................................................. 41015.2.1 Erstellen einfacher Freigaben ................................................................ 41015.2.2 Spezielle Freigaben .................................................................................. 413

12



Inhalt

15.2.3 Zusammenfassung mehrerer Freigaben ............................................... 41415.2.4 Kopieren von Freigabeeinstellungen .................................................... 41515.2.5 Ablauf des Zugriffs auf eine Freigabe ................................................... 416

15.3 Benutzerverwaltung ................................................................................................. 41915.3.1 Anlegen der Benutzer in der »smbpasswd« ........................................ 42015.3.2 Umwandeln der »smbpasswd« in »tdbsam« ....................................... 422

15.4 Verschiedene »passdb backends« .......................................................................... 42315.4.1 »smbpasswd« ............................................................................................ 42315.4.2 »tdbsam« ................................................................................................... 42415.4.3 »ldapsam« ................................................................................................. 425

15.5 Samba als Domänencontroller ............................................................................... 42715.5.1 Grundeinstellung des Domänencontrollers ........................................ 42815.5.2 Weitere Möglichkeiten mit »rpcclient« ............................................... 42915.5.3 Einrichten eines Domänenadministrators ........................................... 43515.5.4 Kennwortrichtlinien mit »pdbedit« erstellen ...................................... 43715.5.5 Einrichten von Benutzern und Hosts in der Domäne ....................... 43915.5.6 Benutzeranmeldung ................................................................................ 446

15.6 Winbind ...................................................................................................................... 44615.6.1 Verschachtelte Gruppen ......................................................................... 45015.6.2 Mitgliedschaft in einer Windows-Domäne ......................................... 45215.6.3 Konfiguration des Kerberos-Clients ..................................................... 45315.6.4 Einstellung in der »smb.conf« ............................................................... 45515.6.5 Beitritt zur Windows-Domäne .............................................................. 45715.6.6 Testen der Domänenmitgliedschaft ..................................................... 45915.6.7 Freigaben und Berechtigungen als Domänenmitglied ...................... 461

15.7 Samba als Printserver ............................................................................................... 46415.7.1 Freigaben für Druckertreiber und Spooling ........................................ 46515.7.2 Einrichtung eines Printeradmins ........................................................... 46615.7.3 Installation von Windows-Druckertreibern ........................................ 46615.7.4 Druckertreiber unter Windows-Server 2000/2003 und

Windows XP ............................................................................................. 46715.7.5 Druckertreiber unter Windows-Server 2008 R2 und Windows 7 .. 468

15.8 Samba und Kerberos ................................................................................................ 47115.9 Virtuelle Server und virtuelle Domänen ............................................................... 474

15.9.1 Zusammenführung der Server in jeder Arbeitsgruppe ...................... 47515.9.2 Zusammenführen der zwei Arbeitsgruppen auf einer Maschine .... 477

15.10 Distributed File System mit Samba ....................................................................... 48015.10.1 Samba als DFS-Proxy .............................................................................. 48115.10.2 Samba als DFS-Link-Server .................................................................... 481

13



Inhalt

15.11 Vertrauensstellung .................................................................................................... 48315.11.1 Der Samba-Server als vertrauende Domäne ....................................... 48415.11.2 Der Samba-Server als vertraute Domäne ............................................ 484

15.12 Sicherung der Konfigurationen .............................................................................. 48615.13 Ausblick auf Samba 4 ............................................................................................... 487

16 NFS ....................................................................................................................... 489

16.1 Unterschiede zwischen »NFSv3«und »NFSv4« .................................................... 48916.2 Funktionsweise von »NFSv4« ................................................................................. 49016.3 Einrichten des »NFSv4«-Servers ............................................................................. 491

16.3.1 Konfiguration des Pseudodateisystems ............................................... 49116.3.2 Anpassen der Datei »/etc/exports« ...................................................... 49216.3.3 Tests für den NFS-Server ........................................................................ 495

16.4 Konfiguration des »NFSv4«-Clients ....................................................................... 49616.5 Konfiguration des »idmapd« ................................................................................... 49716.6 Optimierung von »NFSv4« ...................................................................................... 499

16.6.1 Optimierung des »NFSv4«-Servers ....................................................... 49916.6.2 Optimierung des »NFSv4«-Clients ........................................................ 500

16.7 »NFSv4« und Firewalls ............................................................................................. 50116.8 NFS und Kerberos ..................................................................................................... 502

16.8.1 Erstellung der Principals und der »keytab«-Dateien ......................... 50316.8.2 Kerberos-Authentifizierung unter Debian und Ubuntu .................... 50616.8.3 Kerberos-Authentifizierung auf einem SLES11 .................................. 50616.8.4 Anpassen der Datei »/etc/exports« ...................................................... 50616.8.5 NFS-Client für Kerberos unter Debian und Ubuntu konfigurieren . 50716.8.6 NFS-Client für Kerberos auf SLES11 konfigurieren ........................... 50716.8.7 Testen der durch Kerberos abgesicherten NFS-Verbindung ............ 50716.8.8 Testen der Verbindung ........................................................................... 508

17 LDAP .................................................................................................................... 511

17.1 Einige Grundlagen zu LDAP .................................................................................... 51217.1.1 Was ist ein Verzeichnisdienst? .............................................................. 51217.1.2 Der Einsatz von LDAP im Netzwerk ..................................................... 51317.1.3 Aufbau des LDAP-Datenmodells .......................................................... 51317.1.4 Objekte ...................................................................................................... 51417.1.5 Attribute .................................................................................................... 51517.1.6 Schema ...................................................................................................... 51517.1.7 Das LDIF-Format ..................................................................................... 519

14



Inhalt

17.2 Unterschiede in den einzelnen Distributionen .................................................... 52017.2.1 Umstellung auf die statische Konfiguration unter SLES11 ............... 52017.2.2 Umstellung auf die statische Konfiguration unter

Ubuntu-Server und Debian .................................................................... 52117.2.3 Pfade und Benutzer ................................................................................. 52117.2.4 Die Datenbank-Backends ....................................................................... 52117.2.5 Grundkonfiguration des LDAP-Servers ................................................ 521

17.3 Konfiguration des LDAP-Clients ............................................................................. 52417.3.1 Konfiguration des Clients auf dem SLES11 ......................................... 52417.3.2 Konfiguration des Clients unter Debian »Squeeze« .......................... 52517.3.3 Konfiguration des LDAP-Clients unter Ubuntu-Server ..................... 52717.3.4 Erster Zugriff auf den LDAP-Server ....................................................... 527

17.4 Grafische Werkzeuge für die LDAP-Verwaltung .................................................. 52817.4.1 Konfiguration des »LAM« ...................................................................... 53017.4.2 Konfiguration des Lamdaemons ........................................................... 531

17.5 Änderungen mit »ldapmodify« ............................................................................... 53417.5.1 Interaktive Änderung mit »ldapmodify« .............................................. 53417.5.2 Änderungen über eine »ldif«-Datei mit »ldapmodify« ...................... 535

17.6 Absichern der Verbindung zum LDAP-Server über TLS ..................................... 53617.6.1 Erstellen der Zertifizierungsstelle .......................................................... 53717.6.2 Erstellen des Serverzertifikats ................................................................ 53717.6.3 Signieren des Zertifikats ......................................................................... 53717.6.4 Zertifikate in die »slapd.conf«eintragen .............................................. 53817.6.5 Konfiguration des LDAP-Clients ........................................................... 538

17.7 Absichern des LDAP-Baums mit ACLs .................................................................. 53917.7.1 Eine eigene Datei für die ACLs einbinden .......................................... 54017.7.2 Erste ACLs zur Grundsicherung des DIT .............................................. 54117.7.3 ACLs mit regulären Ausdrücken ............................................................ 54217.7.4 ACLs für den Einsatz von Samba in LDAP ........................................... 54417.7.5 Testen von ACLs vor dem Einsatz ......................................................... 544

17.8 Filter zur Suche im LDAP-Baum ............................................................................. 54617.8.1 Testen der Fähigkeiten des LDAP-Servers ........................................... 54617.8.2 Einfache Filter .......................................................................................... 54817.8.3 Filter mit logischen Verknüpfungen ..................................................... 54817.8.4 Einschränkung der Suchtiefe ................................................................. 549

17.9 Verwendung von Overlays ...................................................................................... 55017.9.1 Overlays am Beispiel von »dynlist« ...................................................... 55117.9.2 Weitere Overlays ..................................................................................... 552

17.10 Replikation des DIT .................................................................................................. 55317.10.1 Konfiguration des Providers .................................................................. 55417.10.2 Konfiguration des Consumers ............................................................... 556

15



Inhalt

17.11 Die dynamische Konfiguration ............................................................................... 55817.11.1 Umstellung auf die dynamische Konfiguration am Provider ........... 55917.11.2 Umstellung auf die dynamische Konfiguration am Consumer ........ 563

17.12 Verwaltung von Mail-Aliasen für den Mailserver Postfix .................................. 56517.12.1 Einrichten der »alias«-Tabelle ................................................................ 56517.12.2 Einrichten der »virtual«-Tabelle ............................................................. 566

17.13 Cyrus und »saslauthd«über LDAP .......................................................................... 56717.14 Benutzerauthentifizierung am Proxy Squid über LDAP ..................................... 568

17.14.1 Aktivierung der Authentifizierung über LDAP ................................... 56817.14.2 Benutzerbezogene Authentifizierung ................................................... 57017.14.3 Gruppenbezogene Authentifizierung ................................................... 570

17.15 Benutzerauthentifizierung am Webserver Apache über LDAP ......................... 57217.15.1 Konfiguration der Cache-Parameter ..................................................... 57217.15.2 Konfiguration der Zugriffsparameter .................................................... 573

17.16 LDAP und Kerberos .................................................................................................. 57417.17 Authentifizierung am LDAP-Server über »GSSAPI« ............................................ 576

17.17.1 Einrichtung der Authentifizierung unter Debian und Ubuntu ........ 57717.17.2 Einrichten der Authentifizierung unter SLES11 ................................. 582

17.18 Und was geht sonst noch alles mit LDAP? ........................................................... 586

18 Druckserver ........................................................................................................ 587

18.1 Policies ........................................................................................................................ 58818.1.1 Grundkonfiguration des Netzwerkzugriffs .......................................... 58818.1.2 Location policies ...................................................................................... 58918.1.3 Operation policies ................................................................................... 59118.1.4 Weitere Konfigurationsmöglichkeiten ................................................. 59218.1.5 Browsing ................................................................................................... 594

18.2 Drucker und Klassen einrichten und verwalten .................................................. 59518.2.1 Drucker einrichten .................................................................................. 59518.2.2 Klassen einrichten ................................................................................... 596

18.3 Druckerquotas ........................................................................................................... 59718.4 CUPS über die Kommandozeile ............................................................................. 598

18.4.1 Einstellen eines Standarddruckers ........................................................ 59818.4.2 Optionen für einen Drucker verwalten ............................................... 599

18.5 PPD-Dateien .............................................................................................................. 60118.6 CUPS und Kerberos .................................................................................................. 602

18.6.1 Erstellen des Kerberos-Principals und der »keytab«-Datei .............. 60218.6.2 Umstellung der Authentifizierung am CUPS-Server .......................... 603

18.7 Noch mehr Druck ..................................................................................................... 604

16



Inhalt

TEIL IV: Infrastruktur

19 Hochverfügbarkeit ............................................................................................ 607

19.1 Das Beispiel-Setup .................................................................................................... 60719.2 Installation ................................................................................................................. 608

19.2.1 Ubuntu 12.04 LTS »Precise Pangolin« ................................................. 60819.2.2 Debian 6.0 »Squeeze« ............................................................................ 60819.2.3 Debian 5.0 »Lenny« ................................................................................ 60819.2.4 openSUSE .................................................................................................. 60919.2.5 SUSE Linux Enterprise Server 11 ........................................................... 609

19.3 Einfache Vorarbeiten ................................................................................................ 61019.4 Shared Storage mit DRBD ....................................................................................... 610

19.4.1 Grundlegende Konfiguration unter Debian und SUSE ..................... 61119.4.2 Grundlegende Konfiguration unter Ubuntu LTS ................................ 61119.4.3 Die wichtigsten Konfigurationsoptionen ............................................ 61219.4.4 Die DRBD-Ressource in Betrieb nehmen ............................................ 614

19.5 Grundkonfiguration der Clusterkomponenten .................................................... 61719.5.1 OpenAIS und Corosync: das Benachrichtigungssystem .................... 61719.5.2 Pacemaker: der Ressourcen-Manager .................................................. 61919.5.3 Quorum deaktivieren .............................................................................. 620

19.6 Dienste hochverfügbar machen ............................................................................. 62219.6.1 Die erste Ressource: eine hochverfügbare IP-Adresse ...................... 62319.6.2 Hochverfügbarkeit am Beispiel von Apache ....................................... 62519.6.3 DRBD integrieren .................................................................................... 62819.6.4 Fencing ...................................................................................................... 631

20 Virtualisierung ................................................................................................... 633

20.1 Einleitung ................................................................................................................... 63320.2 Für den »Sysadmin« .................................................................................................. 63420.3 Servervirtualisierung ................................................................................................. 638

20.3.1 KVM .......................................................................................................... 63920.3.2 Xen ............................................................................................................. 641

20.4 Netzwerkgrundlagen ................................................................................................ 64220.5 Management und Installation ................................................................................ 645

20.5.1 Einheitlich arbeiten: »libvirt« ................................................................. 64520.5.2 Konsolenbasiertes Management: »virsh« ............................................ 64920.5.3 Virtuelle Maschinen installieren ........................................................... 65220.5.4 »virt-install« .............................................................................................. 65420.5.5 Alleskönner: »Virtual Machine Manager« ........................................... 657

17



Inhalt

20.5.6 Zusätzliche Konsolentools ..................................................................... 66120.6 Umzugsunternehmen: Live Migration .................................................................. 663

20.6.1 Vorbereitungen ........................................................................................ 66320.6.2 Konfiguration im »Virtual Machine Manager« ................................... 664

TEIL V: Kommunikation

21 Netzwerk ............................................................................................................ 669

21.1 Netzwerkkonfiguration mit »iproute2« ................................................................. 66921.1.1 Erste Schritte ............................................................................................ 66921.1.2 »iproute2« im Detail ............................................................................... 67221.1.3 Links ansehen und manipulieren .......................................................... 67321.1.4 IP-Adressen mit »iproute2« ................................................................... 67521.1.5 »ip« zur Manipulation von ARP-Einträgen .......................................... 678

21.2 Routing mit »ip« ........................................................................................................ 67921.2.1 Routing-Informationen anzeigen .......................................................... 68021.2.2 Advanced Routing ................................................................................... 68121.2.3 Die vorhandenen Regeln ansehen ........................................................ 68221.2.4 Neue Routing-Tabelle anlegen .............................................................. 68321.2.5 Policy Routing Database ändern ........................................................... 68321.2.6 Routing über mehrere Uplinks .............................................................. 68521.2.7 Abschlussbemerkung .............................................................................. 690

21.3 Bonding ...................................................................................................................... 69021.3.1 Bonding-Konfiguration ........................................................................... 69021.3.2 Bonding bei Debian und Ubuntu ......................................................... 69321.3.3 Bonding bei SLES ..................................................................................... 693

21.4 IPv6 ............................................................................................................................. 69321.4.1 Die Vorteile von IPv6 .............................................................................. 69521.4.2 Notation von IPv6-Adressen ................................................................. 69521.4.3 Die Netzmasken ....................................................................................... 69621.4.4 Die verschiedenen IPv6-Adressarten ................................................... 69621.4.5 Es geht auch ohne »ARP« ....................................................................... 69821.4.6 Feste Header-Länge ................................................................................ 69921.4.7 IPv6 in der Praxis ..................................................................................... 702

21.5 Firewalls mit »netfilter« und »iptables« ................................................................ 70321.6 Firewall mit »iptables« ............................................................................................. 703

21.6.1 Der Weg der Pakete durch den Kernel ................................................ 70421.6.2 Einführung in »iptables« ......................................................................... 70521.6.3 Regeln definieren .................................................................................... 707

18



Inhalt

21.6.4 Die klassischen Targets .......................................................................... 70821.6.5 Ein erster Testlauf .................................................................................... 70821.6.6 Stateful Packet Inspection ...................................................................... 70921.6.7 Das erste Firewallskript .......................................................................... 71121.6.8 Externe Firewall ....................................................................................... 71221.6.9 Logging ...................................................................................................... 71721.6.10 Network Address Translation und Masquerading ............................. 71921.6.11 Weitere nützliche Module für »iptables« ............................................ 720

21.7 Abschlussbemerkung ............................................................................................... 72221.8 DHCP .......................................................................................................................... 723

21.8.1 Funktionsweise ........................................................................................ 72321.8.2 Konfiguration ........................................................................................... 723

21.9 DNS-Server ................................................................................................................ 72621.9.1 Funktionsweise ........................................................................................ 72621.9.2 Die Grundkonfiguration ......................................................................... 72721.9.3 Zonendefinitionen ................................................................................... 72921.9.4 Die erste vollständige Zone ................................................................... 73421.9.5 Die »hint«-Zone ....................................................................................... 73621.9.6 Reverse Lookup ....................................................................................... 73821.9.7 Slave-Server ............................................................................................. 73921.9.8 DNS-Server und IPv6 .............................................................................. 741

21.10 Nachwort zum Thema Netzwerk ........................................................................... 743

22 OpenSSH ............................................................................................................. 745

22.1 Die SSH-Familie ........................................................................................................ 74522.1.1 Die Clients: »ssh«, »scp«, »sftp« ............................................................ 74622.1.2 Der Server: »sshd« ................................................................................... 748

22.2 Schlüssel statt Passwort ........................................................................................... 75022.2.1 Schlüssel erzeugen .................................................................................. 75022.2.2 Passwortloses Login ................................................................................ 75122.2.3 Der SSH-Agent merkt sich Passphrasen .............................................. 752

22.3 X11-Forwarding ........................................................................................................ 75322.4 Portweiterleitung und Tunneling ........................................................................... 753

23 Administrationstools ...................................................................................... 755

23.1 Was kann dies und jenes noch? ............................................................................. 75523.1.1 Der Rsync-Daemon ................................................................................. 75523.1.2 Wenn’s mal wieder später wird: »screen« ........................................... 75723.1.3 Anklopfen mit »nmap« ........................................................................... 757

19



Inhalt

23.1.4 Netzwerkinspektion: »netstat« .............................................................. 76123.1.5 Zugreifende Prozesse finden: »lsof« ..................................................... 76323.1.6 Was macht mein System? »top«! .......................................................... 76723.1.7 Wenn gar nichts mehr geht – Debugging mit »strace« ..................... 772

23.2 Aus der Ferne – Remote-Administrationstools ................................................... 77723.2.1 PuTTY ......................................................................................................... 77723.2.2 WinSCP ...................................................................................................... 78023.2.3 Synergy ...................................................................................................... 781

TEIL VI: Automatisierung

24 Scripting .............................................................................................................. 787

24.1 Aufgebohrte Muscheln ............................................................................................ 78724.2 Vom Suchen und Finden: ein kurzer Überblick ................................................... 788

24.2.1 Die Detektive: »grep«, »sed« und »AWK« ........................................... 78824.2.2 Reguläre Ausdrücke verstehen und anwenden .................................. 789

24.3 Fortgeschrittene Shell-Programmierung ............................................................... 79224.3.1 Expansionsschemata ............................................................................... 79224.3.2 Umgebungsvariablen .............................................................................. 79624.3.3 »Back to bash«: ein tieferer Blick in die Muschel .............................. 79724.3.4 Logging in Skripten ................................................................................. 801

24.4 Tipps und Tricks aus der Praxis ............................................................................... 80424.4.1 Aufräumkommando ................................................................................ 80424.4.2 IFS .............................................................................................................. 80524.4.3 Datumsmagie ........................................................................................... 80524.4.4 E-Mails aus einem Skript versenden .................................................... 80624.4.5 Interaktive Programme steuern ............................................................ 806

25 Monitoring – wissen, was läuft .................................................................... 809

25.1 Nagios ......................................................................................................................... 80925.1.1 Installation ................................................................................................ 81025.1.2 Nagios selbst kompilieren ...................................................................... 81025.1.3 Nagios-Plugins kompilieren ................................................................... 81225.1.4 Die Verzeichnisstruktur .......................................................................... 81325.1.5 Das Webinterface .................................................................................... 81325.1.6 Die Hauptkonfigurationsdatei ............................................................... 81425.1.7 Die Objekte .............................................................................................. 81525.1.8 Die Ressourcendatei ............................................................................... 824

20



Inhalt

25.1.9 CGI-Konfiguration ................................................................................... 82425.1.10 Plugins zu Nagios .................................................................................... 82525.1.11 Benachrichtigungen ................................................................................ 83125.1.12 Performance-Datenanalyse .................................................................... 83325.1.13 Das Web-Frontend .................................................................................. 836

25.2 Monitoring mit Munin ............................................................................................. 836

TEIL VII: Sicherheit, Verschlüsselung und Zertifikate

26 Sicherheit ............................................................................................................ 841

26.1 Weniger ist mehr ...................................................................................................... 84226.2 »chroot« ...................................................................................................................... 842

26.2.1 Dienste ...................................................................................................... 84326.2.2 »jailkit« ...................................................................................................... 845

26.3 Selbstabsicherung: »AppArmor« ............................................................................ 84926.4 Gotcha! Intrusion-Detection-Systeme .................................................................. 855

26.4.1 »snort« und Co. ........................................................................................ 85626.4.2 Installation ................................................................................................ 85826.4.3 Regeln – »oinkmaster« ............................................................................ 86026.4.4 Anwendung von Intrusion-Detection-Systemen in der Praxis ........ 865

26.5 Klein, aber oho: »fail2ban« ..................................................................................... 86726.6 Einmalpasswörter mit OPIE .................................................................................... 87226.7 OpenVPN ................................................................................................................... 875

26.7.1 Serverinstallation – OpenVPN, PKI und Co. ....................................... 87626.7.2 Roadwarrior .............................................................................................. 88326.7.3 Site-to-site ................................................................................................ 88926.7.4 Simple-HA ................................................................................................. 89126.7.5 Tipps und Tricks ....................................................................................... 892

27 Verschlüsselung und Zertifikate ................................................................... 897

27.1 Definition und Historie ............................................................................................ 89727.2 Moderne Kryptologie ............................................................................................... 899

27.2.1 Symmetrische Verschlüsselung ............................................................. 89927.2.2 Asymmetrische Verschlüsselung ........................................................... 900

27.3 Den Durchblick behalten ........................................................................................ 90127.3.1 Das Grundproblem .................................................................................. 90127.3.2 Verwendungszwecke .............................................................................. 90227.3.3 Umsetzung mithilfe einer PKI ............................................................... 902

21



Inhalt

27.3.4 X.509 ......................................................................................................... 90327.3.5 Ein anderer Ansatz: PGP (Web-of-Trust) ............................................. 905

27.4 In der Praxis ............................................................................................................... 90627.4.1 Einrichtung einer PKI mit Server- und E-Mail-Zertifikaten .............. 90627.4.2 E-Mail-Verschlüsselung .......................................................................... 916

27.5 Neben der Kommunikation – Dateiverschlüsselung .......................................... 92427.5.1 Dateien ...................................................................................................... 92427.5.2 Devices ...................................................................................................... 92527.5.3 Festplatten/System .................................................................................. 928

27.6 Rechtliches ................................................................................................................. 93127.6.1 Fortgeschrittene elektronische Signatur .............................................. 93227.6.2 Qualifiziertes Zertifikat ........................................................................... 93227.6.3 Qualifizierte elektronische Signatur ..................................................... 93227.6.4 Sichere Signaturerstellungseinheit (SSEE) ........................................... 933

Die Autoren ................................................................................................................................... 935

Index ............................................................................................................................................... 937

22


S. 23 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: vorwort/vorwort , Aktueller Job: administration

Vorwort

Willkommen zur zweiten Auflage »Linux-Server: das Administrationshandbuch«! Der einoder andere wird sich die Frage stellen: »Warum so schnell eine neue, zweite Auflage?« Wirhaben auch überlegt, ob es sinnvoll und gut ist, so schnell eine zweite Auflage zu erstellen.Aber durch die vielen Kommentare, die wir zur ersten Auflage bekommen haben, und vorallen Dingen durch die Wünsche und Anregungen der Leser sind wir zu dem Entschlussgekommen, unser Schweizer Messer um ein paar Werkzeuge zu erweitern und andereetwas zu schärfen. Auch hat sich bei den Distributionen einiges geändert. Von Debian gibtes eine neue Version Debian Squeeze und von Ubuntu eine neue LTS-Version, die Version12.04. Da haben sich, auch im Bereich der Serverdienste, so einige Änderungen ergeben.Auch die zweiten Auflage soll Ihnen, dem Systemadministrator, als Anleitung dienen, dieverschiedensten Dienste, die Ihnen ein Linux-System bereitstellen kann, schnell und einfachzu konfigurieren. Ohne große Umwege geht es schnell über die Konfiguration hin zu einemfunktionsfähigen Dienst, den Sie dann an Ihre eigenen Bedürfnisse anpassen können. Wirhaben in dieser Auflage als einen neuen Dienst Kerberos mit aufgenommen, und bei allenServerdiensten, für die es Sinn macht, die Konfiguration für Kerberos integriert, so dass esfür Sie jetzt möglich ist, eine Single Sign-on-Umgebung in Ihrem Netzwerk zu erstellen. Auchdabei können wir Ihnen in einem Buch wie diesem nur die grundlegenden Konfigurationenan die Hand geben. Aber Sie haben damit die Möglichkeit, alle Schritte, die notwendig sind,um die Dienste zu konfigurieren, nachvollziehen zu können.

Auch mit dieser Auflage wollen wir Ihnen ein Nachschlagewerk an die Hand geben, das Siemit vielen verschiedenen Techniken und Diensten vertraut macht. In den einzelnen Kapi-teln gehen wir auch immer wieder auf Besonderheiten der verschiedenen Distributionenein. Gerade durch die Vielfalt der Dienste und Techniken können Sie dieses Buch wie einSchweizer Taschenmesser nutzen: immer griffbereit und immer das richtige Werkzeug.

Für wen haben wir das Buch geschrieben?

Dieses Buch richtet sich an alle Linux-Systemadministratoren, die immer wieder vor derAufgabe stehen, neue Dienste in ihrem Netzwerk zu etablieren, und die am Anfang einenmöglichst schnellen und kompakten Einstieg in das Thema wünschen. Grundlegende Li-nux-Kenntnisse, wie sie zum Beispiel in LPIC-1 verlangt werden, sollten auf jeden Fall schonvorhanden sein, damit Sie die einzelnen Dienste erfolgreich in das eigene Netz integrierenkönnen.

Wie können Sie mit diesem Buch arbeiten?

Wir haben das Buch so geschrieben, dass Sie gezielt mit den Beispielen aus den einzelnenKapiteln einen neuen Dienst konfigurieren und testen können. An vielen Stellen haben wiraber auch auf andere Dienste, die hier im Buch beschrieben sind, verwiesen, um Ihnen dieMöglichkeit zu geben, auch komplexere Aufgaben zu realisieren.

23



Vorwort

Was dieses Buch nicht ist

Dieses Buch ist kein Lehrbuch, um den Umgang mit Linux von Grund auf zu verstehen, dafürgibt es viele andere Bücher auf dem Markt. Auch war das Buch von Anfang an nicht dazugedacht, einen oder mehrere einzelne Dienste bis ins Letzte zu konfigurieren. Denken Sie anIhr Schweizer Taschenmesser: Es kann Ihnen bei vielen Aufgaben helfen, aber für spezielleAufgaben gibt es spezielle Werkzeuge. Das Gleiche gilt für unser Buch. Viele Aufgabenkönnen Sie mithilfe unseres Buches erledigen, aber wenn es dann sehr speziell wird, dannbrauchen Sie ein Buch, das genau dieses eine Thema bis in kleinste Detail beschreibt.

Vorwort von Dirk Deimeke

Im April 2008 kam Marcus Fischer, der Autor zahlreicher Ubuntu-Bücher bei Galileo Com-puting, mit der Idee auf mich zu, ein Linux-Adminbuch zu schreiben. Da es kein deutschesWerk gibt, das die Lücke zwischen Einsteigerbüchern und Fachbüchern schließt, die sicheinem einzelnen Thema widmen, war und bin ich immer noch Feuer und Flamme.

In den folgenden fünf Monaten arbeiteten wir zusammen mit Jan Watermann, dem damali-gen Lektor (mittlerweile hat er andere Aufgaben im Verlag angenommen), an dem Konzeptdes Buches. Uns war zu jedem Zeitpunkt klar, dass es ein Buch werden sollte, das viel Bezugzur Praxis hat und einige Probleme behandelt, denen Linux-Systemadministratoren täglichbegegnen.

Das schreibt sich so leicht in ein oder zwei Sätzen, aber es war ein längerer Dialog, dajeder eine etwas andere Vorstellung davon hatte, wie das Buch aussehen sollte. Der Begriff»Kochbuch« durfte aufgrund von Markenrechten nicht verwendet werden, traf aber das,was wir machen wollten, am besten.

Nachdem Marcus aufgrund seiner Dissertation keine Zeit hatte, an dem Buch zu arbeiten,ging die Suche nach Autoren los, und Mitstreiter wurden gefunden. Aufgrund internerSchwierigkeiten zerschlug sich die initiale Gruppe jedoch wieder, und es drohte das Aus. Ineinem zweiten Anlauf fanden sich dann die Autoren zusammen, die das vorliegende Buchgeschrieben haben; Stefan Kania ist außer mir aus der ersten Gruppe dabeigeblieben. Zuuns gestoßen sind dann noch Stefan Semmelroggen, Daniel van Soest und Charly Kühnast.

Anfang 2011 erschien die erste Auflage des Buches, aufgrund von Änderungen in denDistributionen und Anregungen unserer Leser gingen wir mit dem gleichen Team in diezweite Runde, und das Ergebnis unserer Bemühungen halten Sie gerade in Ihren Händen.

Wir hoffen, dass wir Ihnen mit diesem Buch einige Hilfe bei Ihrer täglichen Arbeit gebenkönnen!

Danksagung

Allen voran möchte ich meiner Frau danken, ohne die mein Teil an diesem Buch niemöglich gewesen wäre. Dann möchte ich Jan Watermann und Sebastian Kestel von Galileo

24



Vorwort

Computing für ihre wertvollen Hinweise und ihre Geduld danken, die uns »Greenhorns«überhaupt erst in die Lage versetzt haben, ein solches Projekt in Angriff zu nehmen.

Mein besonderer Dank gilt aber meinen Mitautoren Charly, Daniel, Stefan und Stefan fürdie tolle Zusammenarbeit.

Dass diese Idee, die diesem Buch zugrunde liegt, so erfolgreich ist, damit haben wir nichtgerechnet. Jetzt halten Sie, lieber Leser, die zweite Auflage in Ihren Händen. Sie ist möglichgeworden, weil Sie uns mit Ihren Anregungen und Ihrer konstruktiven Kritik motivierthaben.

Danke!

Vorwort von Stefan Kania

Ich hatte meine erste Berührung mit Computern bei der Bundeswehr. Dort wurde 1982 einKurs »BASIC Programmierung unter CP\M« angeboten. Nach mehreren Jahren Abendschulehabe ich dann von 1992 bis 1994 am b.i.b. e.V. in Paderborn eine Ausbildung zum Infor-matiker absolviert. Dort kam ich dann auch zum ersten Mal mit dem Betriebssystem Linuxin Kontakt. Damals war es die Version 0.96 PL4, und die Installation erfolgte noch sehrabenteuerlich über 30 Disketten.

Im Anschluss an die Ausbildung folgte dann noch eine Zusatzqualifikation zum CNE/CNI(Certified Novell Engineer/Certified Novell Instructor). Nachdem ich dann von 1995 bis1997 fest angestellt als Trainer und Netzwerkadministrator gearbeit hatte, habe ich mich1997 selbstständig gemacht und bin seitdem als IT-Berater und IT-Trainer tätig.

In den letzten Jahren habe ich einige Projekte durchgeführt, bei denen es um die Umstellungvon Windows NT auf die Kombination »LDAP und Samba« ging. Vor ein paar Jahren wurdeich dann von einem meiner Lehrer des b.i.b. angesprochen, ob ich nicht einmal für dieLehrer einen Kurs zum Thema Samba und LDAP halten könne. Das war etwas, was sichjeder Schüler bestimmt schon mal gewünscht hat: endlich mal die Seiten zu wechseln. Fürdiesen Kurs ist dann die erste Version meines Samba-LDAP-Workshops entstanden, der inden folgenden Jahren immer mehr gewachsen ist und als Grundlage für die Kapitel überSamba und LDAP hier im Buch diente.

2008 habe ich dann auf einem Kongress der Firma Heinlein-Support als Referent einenVortrag zum Thema »Serverkonsolidierung mit Samba« gehalten. Im Anschluss an meinenVortrag wurde ich dann von einem der ursprünglichen Autoren, Dr. Michael Schwartzkopff,angesprochen, ob ich nicht an einem Buch für Linux-Administratoren mitwirken wolle. Ineinem spontanen Anfall von Leichtsinn habe ich sofort zugesagt. Da wusste ich ja nochnicht, was für eine Arbeit auf mich zukommen würde. Im Gegensatz dazu wusste ich jetzt,bei der zweiten Auflage, was auf mich zukommt.

Ich wollte mit diesem Buch anderen die Möglichkeit geben, sich schnell in ein neues Themaeinzuarbeiten, und zwar anhand von Beispielen, die auch gut nachvollziehbar sind. Ich

25



Vorwort

habe zu den unterschiedlichsten Themen schon die verschiedensten Bücher und andereVeröffentlichungen gelesen, nur deckte sich das dort Gelesene in den seltensten Fällen mitder Art und Weise, wie ich mir die Herangehensweise an neue Themen wünsche. Ich habeimmer erst einmal gerne eine Anleitung, nach der alles läuft, und dann kann ich anfangen,mit der Umgebung zu experimentieren, um immer tiefer in das Thema einzusteigen. Ichhoffe, dass ich es mit meinen Kapiteln geschafft habe, Ihnen eine Anleitung an die Hand zugeben, mit der Sie die ersten Schritte erfolgreich gehen können. Die zweite Auflage wurdefür mich aus dem Grunde spannend, dass ich die Idee hatte, alle Dienste möglichst gegenKerberos authentifizieren zu lassen.

Danksagung

Auch dieses Mal habe ich wieder überlegt, ob und wem ich hier danken soll. Klar dankeich auch hier wieder meiner Frau und meiner Familie, dass ich meine Freizeit für das Buchopfern konnte. Ohne das Verständnis meiner Frau hätte ich das nicht schaffen können. Auchist sie diejenige gewesen, die so einige Kapitel quergelesen hat und bei so manchem Satzdie Wörter neu gewürfelt hat.

Dennoch gibt es einen Menschen, dem ich hier besonders danken möchte, dem ich vielleichtimmer viel zu wenig gedankt habe für alles, was er für mich getan hat und was er mirermöglicht hat, meinem Vater. Wie sehr er mir fehlt und wie froh ich war, ihn als Vater zuhaben, habe ich erst gemerkt, als er Ende Februar dieses Jahres verstorben ist.

Vorwort von Charly Kühnast

An diesem Buch mitzuarbeiten hat mir eine Menge Freude gemacht, weil es mir erlaubte,drei meiner Lieblingstätigkeiten miteinander zu verbinden.

Erstens stecke ich meine Finger gern in die Innereien eines Linux-Systems. Es gibt kein an-deres weltweit verbreitetes Betriebssystem, dem man so problemlos unter die Motorhaubeschauen kann und das sich so konsequent auf eine bestimmte Aufgabe zuschneiden lässt.Seit dem ersten Kontakt im Winter 1992/93 auf einer Veranstaltung des Chaos Compu-ter Clubs, dem ich seit vielen Jahren angehöre, beschäftige ich mich mit Linux. Seit 1996ist die Linux-Systemadministration der Kern meiner beruflichen Tätigkeit im KommunalenRechenzentrum Niederrhein (KRZN).

Zweitens gebe ich mein Wissen gern weiter: in Kursen, Vorträgen, Workshops und alsLehrbeauftragter zweier niederrheinischer Hochschulen. Und drittens schreibe ich gern undviel; seit meinem 14. Lebensjahr veröffentliche ich regelmäßig Fachartikel und Kolumnen.

Dieses Buch ist eines, das ich mir selbst oft gewünscht habe, wenn ich mich in die Adminis-tration eines neuen Linux-Dienstes einarbeiten musste. Niemand beherrscht alle Facetteneines Betriebssystems, und niemand beherrscht alle möglichen darauf aufsetzenden Server-dienste. Ein Sysadmin, der dringend ein Problem lösen muss, hat nicht die Zeit, knietiefdurch 60 Seiten theoretischer Grundlagen zu waten. Er braucht eine praxisnahe Anleitung

26



Vorwort

und will auf die Fallgruben hingewiesen werden, in die andere bereits gestürzt sind. Ichglaube, das fertige Buch wird diesem Anspruch gerecht.

Danksagung

Die Entstehungsphase dieses Buches war, diplomatisch formuliert, eine ausgesprochenkurzweilige Zeit. Phasen intensiver Recherche, raumgreifender Hardwareschraubereienund fieberhaften Schreibens wechselten einander ab. Die dazu nötige Gelassenheit undSelbstorganisation verdanke ich meinem unlängst verstorbenen Vater, der mir beidesvorgelebt hat.

Besonderer Dank gebührt meiner Familie. Sie musste das Chaos ausbaden, das sowohlmeine An- als auch (geistige) Abwesenheit verursachte, und sie hielt mir trotzdem stets denRücken frei und die Türen auf, wenn ich wieder Clusterknoten durchs Haus schleppte.

Jan Watermann und Sebastian Kestel von Galileo Press gilt mein großer Dank für dieexzellente und kompetente Betreuung. Ebenso dankbar bin ich Daniel, Dirk, Stefan undStefan für die Zusammenarbeit und gegenseitige Hilfe.

Vorwort von Stefan Semmelroggen

Mein Interesse für Computer wurde geweckt, als ich Anfang der Achtzigerjahre das kleineEinmaleins anhand eines BASIC-Programms gelernt habe. Das Programm hatte mein Vaterfür mich geschrieben und mich damit schwer beeindruckt. Danach gab es kein Haltenmehr, und es war schnell klar, dass ich irgendwann mit IT mein Geld verdienen würde.Schon während der Schulzeit habe ich mich selbstständig gemacht und in diversen Firmenversucht, die Windows-Installationen am Leben zu erhalten. Der Kontakt mit UNIX undLinux kam dann Mitte der Neunziger. Beim Informatikstudium und als Werkstudent beiSiemens konnte ich mich dann endlich austoben und die Tiefen von Linux erforschen. Nachdem erfolgreich abgebrochenen Studium war ich als Administrator und Dozent im BereichLinux vollzeitbeschäftigt. Heute arbeite ich bei der Heinlein Professional Linux Support GmbHals Consultant und setze Linux-Projekte aller Größenordnungen um. Die dort gesammeltenErfahrungen darf ich dann ab und zu in Kursen oder auf Konferenzen weitergeben. BeiHeinlein Support habe ich auch erstmals Kontakt zu vielen Fachbuchautoren gehabt, undlangsam aber sicher reifte der Gedanke, dass ich das eigentlich auch machen könnte. Derenorme Zeitaufwand hat mich aber immer abgeschreckt. Zum Verhängnis wurde mir dannschließlich die langjährige Bekanntschaft mit Stefan Kania in Kombination mit diversenAbenden in einer Cocktailbar. In einem Moment der Schwäche sagte ich zu, an dem Buchmitzuwirken. Kurz nach der Geburt meiner zweiten Tochter Maja und einem größerenUmzug mit einem solchen Projekt anzufangen war sicherlich nicht eine meiner brillantestenIdeen. Dennoch bereue ich die Entscheidung nicht und freue mich über das Ergebnis.

27


S. 28 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: einleitung/einleitung , Aktueller Job: administration

Vorwort

Danksagung

Mein besonderer Dank gehört den Co-Autoren, die mich besonders während der heißenSchlussphase massiv unterstützt haben. Großer Dank gebührt auch Schlomo Schapiro, dermir mit Rat und Tat zur Seite stand und mir beim Backupkapitel sehr geholfen hat. Auchmein Kollege Holger Uhlig darf nicht unerwähnt bleiben. Er musste immer mal wiederleiden und die Manuskripte durchgehen.

Mein größter Dank gilt jedoch meiner Frau Hanna. Ohne sie hätte ich das Projekt niemalszu Ende bringen können. Sie hat mir während der ganzen Zeit den Rücken freigehalten undmusste sich viel zu oft allein um unsere beiden kleinen Töchter Nina und Maja kümmern.Die Zeit als quasi alleinerziehende Mutter ist für sie aber nun glücklicherweise vorbei.

Vorwort von Daniel van Soest

Der Römer sagt: »Casus ubique valet!«, was bedeutet »Zufall herrscht überall!« Damit triffter so ziemlich genau mein Leben. Ein Zufall war dafür verantwortlich, dass ich das geplanteInformatikstudium nicht antrat, sondern eine Ausbildung zum Informatikkaufmann begann.Weitere Zufälle sorgten dafür, dass ich das letzte Drittel meiner Ausbildung im Jahre 2003beim Kommunalen Rechenzentrum Niederrhein antreten durfte. Ein weiterer großer Zufallsorgte dafür, dass ich zu Charly Kühnast ins Büro gesetzt wurde. Wiederum KEIN Zufallsorgte dafür, dass er mich mit den Worten »Guten Tag, wir machen hier Linux. Hier sinddie CDs, installier mal – viel Spaß!« begrüßte. Seitdem beschäftige ich mich mit Linux.Neben der Tätigkeit als Sysadmin der zentralen Internetdienste im KRZN wurde mir dieSicherheitsinfrastruktur als Aufgabengebiet übertragen.

Weitere Zufälle sorgten dafür, dass ich anfangs als Co-Autor und später eigenständig Li-nux-Fachartikel veröffentlichen durfte. Die Affinität, erworbenes Wissen weiterzugeben,existiert bei mir schon länger. Die Chance (oder war es wieder ein Zufall?), dies in Buchformauszuleben, ergab sich kurze Zeit später. Den Gepflogenheiten eines Sysadmins entspre-chend, Problemstellungen immer praxisnah anzugehen, fasste ich dieses Projekt an. DasResultat halten Sie gerade in Ihren Händen, und ich hoffe einen Teil dazu beigetragen zuhaben, warum Sie gerade dieses Buch aus dem Regal genommen haben. Ich wünsche Ihnenmit dem Buch viel Erfolg und freue mich auf Ihre Anregungen.

Danksagung

Vorab möchte ich mich bei meinen Co-Autoren bedanken. Die Zusammenarbeit war sowohlkreativ als auch produktiv. Ebenso möchte ich mich bei Sebastian Kestel bedanken, der unsstets geduldig mit Rat und Tat zur Seite stand. Ebenso geht mein Dank an meine Band (4d5),danke, dass ihr mir den Ausgleich gebt, den ich zum Alltag brauche.

Abschließend möchte ich nur einer Person danken. Ohne sie hätte ich dieses Buchprojektnicht abschließen können. Ihre Unterstützung und Aufopferung hat es mir erst möglichgemacht, die Zeit für das Buch zu finden. Vielen lieben Dank für dein Verständnis und dieMotivation, Nicole!

28



An dieser Stelle möchten wir Ihnen erklären, was wir uns bei der Verwendung derverschiedenen Formatierungsmöglichkeiten gedacht haben. Hier finden Sie auch dieBeschreibung zu den im Buch verwendeten Icons und die Begründung, warum wir unsgerade für die Distributionen entschieden haben, die im Buch verwendet werden.

Über dieses Buch

Formales

Damit Sie den größtmöglichen Nutzen aus diesem Buch ziehen können, sollen im Folgendeneinige Konventionen erläutert werden.

Kommandozeile

Gleich zu Beginn ein Hinweis an den mausverwöhnten Windows-Nutzer: Wir werden imRahmen dieses Buchs hauptsächlich Gebrauch von der Kommandozeile machen, da sichviele Aufgaben unter Linux einfacher und ökonomischer durch einige Tastaturkommandoserledigen lassen. Das soll allerdings nicht heißen, dass wir gänzlich auf den Komfort einergrafischen Umgebung verzichten, denn wie bei vielen Dingen im Leben gilt auch hier: DieMischung macht’s. Für viele Bereiche gibt es heute grafische Werkzeuge, gerade webbasierte,die Ihnen als Administrator das Leben leichter machen können. Auch wir nutzen dieseWerkzeuge und werden an den entsprechenden Stellen auf sie eingehen.

Befehle eingeben

Für Kommandozeilenbefehle soll folgende Schreibweise verwendet werden: Im fließen-den Text werden Konsolenbefehle durch die Verwendung von Nicht-Proportionalschrift

gekennzeichnet. Viele der Beispiele zu den Kommandos werden aber auch in Listings dar-gestellt. Alle Listings werden in Nicht-Proportionalschrift dargestellt. In den Listingswerden Sie von der Befehlszeile bis zum Ergebnis alles nachvollziehen können, wie Sie hierim Beispiel sehen:

stefan@adminbuch~$ psPID TTY TIME CMD4008 pts/2 00:00:00 bash4025 pts/2 00:00:00 ps

Listing 0.1 Beispiel für ein Listing

29



Über dieses Buch

Privilegierte Rechte

Für die Administration von Linux-Systemen werden Sie immer root-Rechte benötigen, umdie entsprechenden Konfigurationsdateien bearbeiten oder um Dienste starten oder stoppenzu können. Ubuntu vertritt im Unterschied zu anderen Linux-Distributionen eine eigenePhilosophie: Der Standardbenutzer der ersten Installation kann jeden Administratorbefehldurch Voranstellen des Befehls sudo ausführen. Anschließend muss dann das Passwort desStandardbenutzers eingegeben werden:

stefan@adminbuch~$ sudo /etc/init.d/networking restart[sudo] password for <user>: <Hier eigenes Passwort eingeben>

Listing 0.2 Arbeiten als root

Sind mehrere Befehle als Administrator einzugeben, so kann das Voranstellen von sudo auchlästig werden. In diesem Fall verschaffen Sie sich mit dem folgenden Befehl vorübergehendeine root-Shell:

stefan@adminbuch~$ sudo -s[sudo] password for <user>: <Hier eigenes Passwort eingeben>root@adminbuch~#

Listing 0.3 Eine root-Shell öffnen unter Ubuntu

Eingabe langer Befehle

Und noch eine weitere wichtige, eher technische Konvention: Einige der vorgestellten Kom-mandozeilenbefehle oder Ausgaben von Ergebnissen erstrecken sich über mehrere Buchzei-len. Im Buch kennzeichnet am Ende der entsprechenden Zeilen ein »\«, dass der Befehl oderdie Ausgabe in der nächsten Zeile weitergeht.

Screenshots

Wie heißt es doch so schön: Ein Bild sagt mehr als tausend Worte. Wann immer es sinnvollerscheint, soll daher ein Screenshot zur Erhellung des Sachverhaltes beitragen.

Internetverweise

Da wir in diesem Buch sehr viele verschiedene Dienste ansprechen, ist es nicht möglich,alle Funktionen und Fähigkeiten eines Dienstes bis ins kleinste Detail zu beschreiben. Ausdiesem Grund haben wir an geeigneten Stellen auf Internetadressen verwiesen.

Verweise auf Internetadressen werden besonders ausgezeichnet, zum Beispiel so:www.debian.org.

30



Linux-Distributionen

Icons

Sie werden in den einzelnen Kapiteln am Rand oft Icons finden, die Sie auf bestimmteZusammenhänge oder Besonderheiten hinweisen sollen. Die Icons haben die folgendenBedeutungen:

Hier wird es immer sehr wichtig

Wann immer Sie das nebenstehende Symbol sehen, ist Vorsicht angeraten: Hier weisen wir aufbesonders kritische Einstellungen hin oder auf Fehler, die dazu führen können, dass das System nichtmehr stabil läuft. Damit sich die Warnungen mehr vom anderen Text abheben, haben wir dieseTextbereiche dann noch mit einem grauen Kasten hinterlegt.

Beispiele – zum Beispiel für Konfigurationsdateien – haben wir mit diesem Symbol gekenn-zeichnet. Wir haben an vielen Stellen Beispiele eingefügt, die es Ihnen leichter machen, eineentsprechende Aufgabe umzusetzen.

Alle Textstellen, die wir mit diesem Icon versehen haben, sollten Sie unbedingt lesen! Hierhandelt es sich oft um wichtige Hinweise zu den unterschiedlichen Distributionen, diewir verwenden, oder um wichtige Eigenschaften oder Konfigurationsmöglichkeiten einesDienstes.

Es gibt keine fehlerfreie Software! Große und kleine Fehler, die bei den einzelnen Dienstenbekannt sind, werden durch diesen kleinen »Bug« gekennzeichnet. Die nachweislich ersteErwähnung des Wortes »Bug« stammt übrigens von Grace Hopper, einer Computerpionierinaus den USA: http://de.wikipedia.org/wiki/Grace_Hopper.

Bei diesem Icon möchten wir Sie auf Fehler hinweisen, die immer wieder gemacht werden.Sei es, dass die Groß- und Kleinschreibung nicht beachtet wird oder Parameter – abwei-chend vom sonstigen Verhalten von Linux-Kommandos – in einer bestimmten Reihenfolgeangegeben werden müssen.

Bei diesem Symbol finden Sie nützliche Tipps und Tricks zu bestimmten Aufgaben.

Linux-Distributionen

Als der Gedanke zu diesem Buch aufkam, mussten wir uns erst einmal einig werden, welcheDistributionen wir denn für das Buch verwenden wollten. Aufgrund der folgenden Kriterienhaben wir dann unsere Entscheidung getroffen:

� Wir wollten auf jeden Fall mindestens eine Distribution, die rpm-Pakete, und eine, diedeb-Pakete für die Softwareverwaltung nutzt.

� Da es in diesem Buch um Serverdienste geht, musste die Distribution nicht unbedingtdie aktuellsten Pakete haben, wie man es gerne auf einem Desktop hat, sondern uns kam

31


S. 32 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administrator/administrator , Aktueller Job: administration

Über dieses Buch

es in erster Linie auf die Stabilität an. Obwohl wir bei manchen Diensten schon auf einebestimmte minimale Versionsnummer geachtet haben.

� Die Distributionen sollten sehr verbreitet sein und auch oft in Firmen zum Einsatzkommen.

� Der Supportzeitraum sollte mindestens vier bis fünf Jahre betragen, also ungefähr dieLaufzeit, die IT-Systeme in Unternehmen haben.

Aufgrund dieser Kriterien haben wir dann die folgenden Distributionen für die Beispiele imBuch ausgewählt:

� Debian SqueezeDebian ist seit Jahren für stabile Versionen und hohe Zuverlässigkeit bekannt. Auch istdie Bereitstellung der Sicherheitsupdates für einen langen Zeitraum gesichert.

� SUSE Linux Enterprise Server 11 (SLES11)Der SLES11 wir heute in sehr vielen Firmen eingesetzt, vor allen Dingen dort, woder VMware ESX Server für die Virtualisierung zum Einsatz kommt, da der SLES11von VMware, neben dem Red Hat Enterprise Server, ausdrücklich empfohlen wird undFirmen beim Einsatz des SLES auch den Support von VMware nutzen können.

� Ubuntu-Server 12.04 LTSDer Ubuntu-Server basiert auf Debian und stellt mit der LTS-(Long Term Support-)Versioneine gute Alternative zum Debian-Server dar. Der Ubuntu-Server setzt dabei auf neuerePakete und Kernel als Debian, da bei Ubuntu die Releasezyklen kürzer sind.

Wenn Sie sich jetzt fragen: »Aber meine Lieblingsdistribution erfüllt die Punkte auch, warumist die nicht dabei?«, können wir an dieser Stelle nur sagen, dass wir natürlich alle Diensteunter allen von uns verwendeten Distributionen konfiguriert und ausgetestet haben. Alleinfür das Testen mit drei verschiedenen Distributionen benötigt man schon eine geraume Zeit.Deshalb haben wir uns für diese drei Distributionen entschieden.

Jetzt bleibt uns nur noch, Ihnen viel Spaß mit dem Buch zu wünschen und zu hoffen, dassIhnen unser Buch bei Ihrer täglichen Arbeit eine Hilfe sein wird.

32



In diesem Kapitel geht es um den Beruf des Administrators,um notwendige Fähigkeiten und Fertigkeiten zu seiner Ausübung,eine Einordnung der eigenen Tätigkeit, Verhaltensempfehlungenund um einen Ehrenkodex.

1 Der Administrator

Vielen Administratoren fällt es schwer, ihre Arbeit einordnen und planen zu können. Die-ses Kapitel möchte Ihnen Unterstützung bieten, diese Einordnung vorzunehmen. Weiterhinbekommen Sie einige hilfreiche Hinweise zur Kommunikation mit Kollegen und Vorgesetz-ten. Eine bewährte Planungsmethode zur Gestaltung des Arbeitstages rundet neben demEhrenkodex dieses Kapitel ab.

1.1 Der Beruf des Systemadministrators

Der Systemadministrator wird selten wahrgenommen. Meist wird erst im Fehlerfall be-merkt, dass es jemanden gibt, der sich um die Dienste kümmert, die jeder täglich nutzt. Eswäre jedoch falsch zu sagen, dass nur der Systemadministrator ein guter Systemadministra-tor ist, der nicht wahrgenommen wird.

Aber genau in diesem Spannungsfeld liegt eine der sehr großen nichttechnischen Heraus-forderungen dieses Berufszweigs, und das zeigt sich direkt auch schon daran, dass Kommu-nikation ein wichtiger Punkt in der Liste der Fähigkeiten ist, die einen Systemadministratorauszeichnen.

Auf die angeforderten Fähigkeiten kommen wir im weiteren Verlauf des Kapitels noch zusprechen.

Um die gleiche Sprache zu verwenden, werden zunächst einige gebräuchliche Begriffe ausdem Arbeitsumfeld des Systemadministrators erklärt.

1.1.1 Berufsbezeichnung und Aufgaben

Da »Systemadministrator« kein geschützter Begriff und auch kein Lehrberuf ist, herrschtimmer Verwirrung darüber, welche Ausbildungsgänge oder Tätigkeitsfelder dem Berufsbildzugeordnet werden. Häufig finden sich in dieser Berufsgruppe Quereinsteiger aus informa-tikfernen Berufen.

33



1 Der Administrator

Allgemeiner Konsens ist allerdings, dass den Administratoren folgende Tätigkeiten zugeord-net werden:

� Installationvon Systemen, Hardware und Software. Hier geht es vor allem um Arbeitsplatzrechnerund Server, aber auch Speichersysteme (Backup, NAS und SAN) sowie Netzwerkkompo-nenten können dazugehören.

� Konfigurationvon Systemen. Das bedeutet zum einen das Einstellen der Systeme auf Benutzerbe-dürfnisse und zum anderen das Optimieren vorhandener Konfigurationen in Bezug aufLeistung.

� Betriebvon Systemen, das Sicherstellen der Funktionsfähigkeit und nachhaltige Problemlösungim Fehlerfall

� Anlagevon Benutzern nach gesetzlichen Vorgaben und den Richtlinien des Unternehmens

� Vergabe und Rücknahmevon Benutzerrechten

� Beratungbei der Hard- und Softwareanschaffung, besonders in Hinblick auf die Erfordernisse unddas Budget

� Unterstützungbei Projekten der Informationstechnologie

Je nach Größe der Firma, in der ein Systemadministrator tätig ist, ist die Tätigkeit sehrspezialisiert und berührt nur Teile der oben angeführten Aufgaben. In kleineren Unterneh-mungen gibt es Überschneidungen mit dem, was zum Aufgabengebiet eines Netzwerkad-ministrators, eines Datenbankadministrators oder eines Anwendungsbetreuers zählt. ImGroßrechner-Umfeld spricht man häufig vom Systemprogrammierer und vom Operator, inder Open-Source-Welt finden sich beide Berufsbilder häufig in den Aufgaben der Systemad-ministratoren wieder.

1.1.2 Job-Definitionen

In diesem Abschnitt fassen wir die allgemein anerkannten Berufsbezeichnungen nach derSystem Administrators Guild der Usenix Association (SAGE) zusammen, die ebenfalls von derLeague of Professional System Administrators (LOPSA) anerkannt werden. Vergleichen Siehierzu die Seite:

http://www.sage.org/field/jobs-descriptions.html

34



Der Beruf des Systemadministrators 1.1

Die Definitionen der folgenden Richtlinien sind nicht in Stein gemeißelte Gesetze, abersie helfen, eine allgemeine Kategorisierung des Wissensstandes von Systemadministratorenvorzunehmen. Diese Kategorisierung ist nicht auf Linux- oder UNIX-Administratoren be-schränkt, beschreibt diese aber auch.

Der Stoff ist zwar ein bisschen trocken, aber die Lektüre lohnt sich, um den eigenen Standortbestimmen zu können.

Unternehmensgröße

Bei der Größe der Unternehmungen, in der die Systemadministratoren zu finden sind,werden grob drei verschiedene Ausbaustufen unterschieden.

1. Man spricht von einem kleinen einheitlichen Betrieb, wenn weniger als 50 Computermit dem gleichen Betriebssystem im Einsatz sind und weniger als 20 Nutzer an ihnenarbeiten. Die Computer der Administratoren werden hierbei nicht mitgerechnet.

2. Ein komplexer Betrieb hat bis zu 100 Computer, und die bis zu 100 Benutzer arbeitenmit mehr als zwei verschiedenen Betriebssystemen.

3. Den großen komplexen Betrieb kennzeichnen mehr als 100 Computer und mehr als100 Benutzer mit mehr als einem Betriebssystem.

Das ist nur eine grobe Einteilung, die aber eine ungefähre Richtlinie festlegt. Eine Kombi-nation dieser einzelnen Betriebsarten gibt es immer, und die Grenzen sind fließend.

Novice System Administrator

� Erforderliche Fähigkeiten

� hat ein hohes Maß an sozialer Kompetenz und an Kommunikationsfähigkeiten; Fähig-keit, einfache Sachverhalte schriftlich oder mündlich zu erläutern; gute Fähigkeitenam Telefon

� ist vertraut mit einem Betriebssystem und dessen Befehlen und Werkzeugen aufBenutzerebene; ist in der Lage, Dateien zu editieren, Kommandos auszuführen,Homeverzeichnisse der Nutzer zu finden, durch das Dateisystem zu navigieren undEin-/Ausgabeumlenkung einzusetzen

� kann Anweisungen gut folgen

� Erforderliche Ausbildung

� zwei Jahre an der Hochschule, eine äquivalente Ausbildung oder Berufserfahrungnach der Schule

35



1 Der Administrator

� Wünschenswerte Ausbildung und Fähigkeiten

� ein Abschluss oder eine Zertifizierung in Informatik oder in einem verwandten Be-reich

� vorhergehende Erfahrungen im Kundendienst, Rechnerbetrieb, Systemadministra-tion oder einem verwandten Bereich

� Motivation, sich beruflich weiterzuentwickeln

� Angemessene Verantwortlichkeiten

� führt Routineaufgaben unter direkter Aufsicht eines erfahreneren Administrators aus

� fungiert als Direktkontakt zu den Nutzern, nimmt Fehlermeldungen an und weist sieden entsprechenden Systemadministratoren zu

Junior System Administrator


� hat ein hohes Maß an sozialer Kompetenz und an Kommunikationsfähigkeiten; istin der Lage, Benutzern Anwendungen und Betriebssystem-Grundlagen beizubringensowie eine Basis-Dokumentation zu schreiben

� Fähigkeit, die meisten Betriebssystem-Kommandos und -Werkzeuge einzusetzen

� ist vertraut mit den meisten Basis-Werkzeugen der Systemadministration und denBasis-Prozessen; ist beispielsweise in der Lage, eine Maschine zu starten und herun-terzufahren, Benutzerkonten hinzuzufügen und zu entfernen, Backup-Programme zunutzen, Filesystem- und Datenträgertests durchzuführen und Systemdatenbanken zupflegen (Nutzer, Gruppen, Hosts, Alias)

� besitzt Grundverständnis des Betriebssystems; hat beispielsweise das Prinzip Job-Steuerung, Soft- und Hardlinks oder Verknüpfungen verstanden, kann zwischen Be-triebssystemkern und Nutzerumgebung unterscheiden.

� Erforderlicher Hintergrund

� ein bis drei Jahre Erfahrung in der Systemadministration

� Wünschenswerter Hintergrund und Fähigkeiten

� Abschluss in Informatik oder einem verwandten Feld

� ist mit den Konzepten vernetzter und verteilter Computerumgebungen vertraut; kannbeispielsweise das route-Kommando benutzen oder das Routing und die Dienstefür den Fernzugriff verwalten, kann Workstations zum Netzwerk hinzufügen undentfernte Dateisysteme einbinden

36



Der Beruf des Systemadministrators 1.1

� ist in der Lage, Skripte in einer oder mehreren Verwaltungssprachen wie Tk, Perl, VB-Script oder ein Shell-Script zu schreiben

� hat Programmiererfahrung in der passenden Programmiersprache


� alleinige Verwaltung einer kleinen einheitlichen Niederlassung oder Unterstützungin der Administration einer größeren Systemumgebung

� arbeitet unter der Aufsicht eines Systemadministrators oder eines Managers

Intermediate/Advanced System Administrator


� hat ein hohes Maß an sozialer Kompetenz und an Kommunikationsfähigkeiten; ist inder Lage, Begründungen für Kaufanträge zu schreiben, Nutzer in komplexen Inhaltenzu schulen, Präsentationen vor einem internen Publikum zu halten, sich mit demoberen Management auseinanderzusetzen

� unabhängiges Lösen von Problemen, selbstständiges Arbeiten

� ist vertraut mit den meisten Aspekten der Betriebssystem-Administration; beispiels-weise mit dem Konfigurieren von Mail-Systemen, mit der Betriebssystem-Installationund Konfiguration, mit der Einrichtung von Druckern, mit den Grundlagen der Se-curity und der Installation der Software von Drittanbietern

� hat ein umfassendes Verständnis von UNIX-basierten Betriebssystemen; versteht Pa-ging und Swapping, die Kommunikation zwischen Prozessen, die Geräte und wasGerätetreiber tun, kennt Dateisystem-Konzepte (inode, clustering, logical partitions)

� ist mit den grundlegenden Konzepten von vernetzten und verteilten Rechnerumge-bungen vertraut; kann NFS-, NIS- und NT-Domänen konfigurieren, kann nslookup

oder dig benutzen, um Informationen aus dem DNS zu ziehen; versteht grundlegendeRouting-Konzepte

� ist in der Lage, Skripte in einer oder mehreren Verwaltungssprachen wie Tk, Perl, VB-Script oder als Shell-Script zu schreiben

� ist in der Lage, minimales Debugging von und kleine Veränderungen an C-Program-men durchzuführen


� drei bis fünf Jahre Erfahrung in der Systemadministration

37



1 Der Administrator



� bedeutende Kenntnisse in der passenden Programmiersprache


� bekommt grundlegende Anweisungen für neue Verantwortlichkeiten von einem Vor-gesetzten

� administriert einen komplexen Betrieb allein oder unterstützt die Administrationeines größeren Betriebes

� initiiert und übernimmt einige neue Verantwortlichkeiten und hilft bei der Zukunfts-gestaltung des Betriebes oder des Netzwerkes

� betreut Novice System Administrators oder Operators

� beurteilt und/oder befürwortet Neuanschaffungen;hat starken Einfluss auf Kaufentscheidungen

Senior System Administrator


� hat ein hohes Maß an sozialer Kompetenz und Kommunikationsfähigkeiten; ist in derLage, Anträge oder Berichte zu schreiben, fungiert als Kontaktperson für Vertriebsbe-auftragte, hält Präsentationen für Kunden, Auftraggeber oder professionelle Partner,arbeitet eng mit dem oberen Management zusammen.

� ist in der Lage, Probleme schnell zu lösen und Prozesse zu automatisieren

� besitzt umfassende Kentnisse in einem Betriebssystem, versteht Paging und Swap-ping, die Kommunikation zwischen Prozessen, die Geräte und was Gerätetreiber tun,kann Performance-Analysen nutzen, um Systeme einzustellen und kennt Dateisys-tem-Konzepte (inode, clustering, logical partitions)

� hat umfassende Kenntnisse der Konzepte von vernetzten und verteilten Rechnerum-gebungen; versteht Routing, Client/Server-Programmierung; fähig zum Design vonbeständigen, netzwerkweiten Dateisystemen

� ist in der Lage, Skripte in einer Verwaltungssprache wie Tk, Perl, VBScript oderShell-Script zu schreiben, C-Programme von einer Plattform auf eine andere zu por-tieren und kleine C- oder C#-Programme zu schreiben

38



Nützliche Fähigkeiten und Fertigkeiten 1.2


� mehr als fünf Jahre Erfahrung in der Systemadministration



� weitreichende Kenntnisse in der passenden Programmiersprache

� Publikationen im Bereich der Systemadministration


� gestaltet/implementiert komplexe lokale oder weitreichende Netzwerke vonMaschinen

� leitet einen großen, komplexen Betrieb oder ein entsprechendes Netzwerk

� arbeitet gewöhnlich unter der Leitung des Senior Managements

� etabliert oder empfiehlt Richtlinien zur System- und Dienstenutzung

� bietet technische Führung und/oder beaufsichtigt Systemadministratoren,Systemprogrammierer oder eine andere entsprechende Führungsebene

� hat Kaufbefugnis und Verantwortung für Einkäufe

1.2 Nützliche Fähigkeiten und Fertigkeiten

Abseits von den Fachkenntnissen, die elementar sind, um den Beruf eines Systemadminis-trators ausüben zu können, kommen jetzt Fähigkeiten zur Sprache, die man vielleicht nichtdirekt in Zusammenhang mit den Anforderungen bringt, die einen Systemadministratorauszeichnen, die aber dennoch wichtig für die Ausübung des Berufes sind.

1.2.1 Soziale Fähigkeiten

Systemadministration hat nicht nur eine fachliche Komponente, wie im vorherigen Ab-schnitt beschrieben. Um den Job gut ausführen zu können, sind auch eine Reihe vonsozialen Fähigkeiten, die sogenannten Softskills, erforderlich.

Die Arbeit erfordert es, sehr häufig Änderungen an vitalen Teilen der IT-Infrastruktur durch-zuführen. Im geregelten Fall bekommt man für Produktionssysteme Wartungsfenster, indenen Änderungen an Produktionsmaschinen durchgeführt werden dürfen.

39



1 Der Administrator

Oftmals ist es aber auch so, dass die Störung an einem Produktionssystem die Arbeit derBenutzer unmöglich macht. In diesem Fall sind Änderungen am Live-System erforderlich,und viele Administratoren sprechen hierbei von einer »Operation am offenen Herzen«.

Um das durchführen zu können, ist ein hohes Maß an Selbstvertrauen nötig, was somitauch gleich eine sehr wichtige Fähigkeit ist. Menschen mit geringem Selbstvertrauen seigesagt, dass Selbstvertrauen – wie andere Fähigkeiten auch – trainierbar ist. Eine gute,solide fachliche Basis kann dazu beitragen, das Selbstvertrauen zu unterstützen.

Selbstverantwortung und auch Selbstdisziplin sind zwei weitere wichtige Eigenschaften,die einen Systemadministrator auszeichnen. Mit Selbstverantwortung ist die Verantwortlich-keit für das eigene Handeln gemeint und die Fähigkeit, sich und anderen Fehler eingestehenzu können. Selbstdisziplin sorgt dafür, selbstständig Arbeit zu erledigen und auch in schwie-rigen Situationen, einem Regelwerk entsprechend, Produktionssysteme zu betreuen.

Systemadministration ist Teamsport. Daher sind im Umgang mit anderen Administratoren,Benutzern oder Vorgesetzten Konfliktfähigkeit und Kooperation ebenso wichtig wie dieTeamfähigkeit.

Wie in den Job-Beschreibungen zu sehen ist, hat dieses Arbeitsfeld sehr viel mit Kommuni-kation zu tun. Hiermit ist sowohl mündliche wie auch schriftliche Kommunikation gemeint.Dazu gehört auch die Kenntnis der englischen Sprache, da der größte Teil der Fachliteraturin Englisch verfasst ist. Für den Fall, dass man mit dem Hersteller einer Software in Kontakttreten muss, ist es auch erforderlich, in Englisch korrespondieren zu können.

Das ist nicht zu unterschätzen. Anders als erwartet, beschäftigen sich Administratoren nichtals Selbstzweck mit den ihnen anvertrauten Maschinen. Was es genau damit auf sich hat,erklären wir in Abschnitt 1.4, »Unterbrechungsgesteuertes Arbeiten«.

1.2.2 Arbeitstechniken

Jetzt beschäftigen wir uns mit Fähigkeiten, die nicht direkt zu den Softskills zählen und auchnur wenig Bezug zu den fachlichen Fertigkeiten haben.

Am Anfang der Arbeit steht der Wille, zu verstehen, um mit dem gewonnenen Wissendie anfallende Arbeit immer besser erledigen zu können. In letzter Konsequenz bedeutetdas, dass ein Systemadministrator bereit ist, sein Leben lang zu lernen und sich ständigweiterzubilden – sei es durch Eigeninitiative oder durch Schulungen, die vom Arbeitgeberangeboten werden.

Damit einher geht das Streben, Fehler nicht ein zweites Mal zu machen. Das ist gerade imDialog mit Vorgesetzten und Benutzern nicht zu unterschätzen. Gesucht werden dauerhafteLösungen für Probleme und nicht Workarounds, die die Probleme verschieben. Der Neustarteines Computers behebt in der Regel kein Problem, er verschiebt nur die Auswirkungen.

40



Nützliche Fähigkeiten und Fertigkeiten 1.2

Natürlich kann man sich bemühen, die Rechner in einem Rhythmus neu zu starten, sodassdas Problem nicht mehr ans Tageslicht kommt, gelöst ist es damit aber nicht.

Für den Fall, dass man selbst nicht das Wissen hat, um ein Problem zu lösen oder um ineiner entsprechend vorgegebenen Zeit eine Lösung zu finden, ist es elementar, dass manProbleme abgeben kann, beispielsweise an Kollegen oder auch an den externen Supportdes Herstellers einer Software oder Hardware. Häufig versuchen Systemadministratorentage- oder sogar wochenlang, ein Problem selbst zu lösen, das durch die Inanspruchnahmedes bereits bezahlten Supports in 30 Minuten gelöst wäre. »Sie haben für den Supportbezahlt, also nutzen Sie ihn auch!«, wurde mir einmal von einem Vertriebsbeauftragtengesagt, und das hat mein Denken in dieser Hinsicht verändert.

Systemadministratoren sind in der Regel »Warmduscher« (oder »Beckenrandschwimmer«oder »Bergaufbremser« etc.), die es scheuen, unnötige Risiken einzugehen. Die Arbeitsmittel,die verwaltet werden, sind meist von zentraler Bedeutung für das Unternehmen, und da istkein Platz für Cowboys. Ein Ausfall, der durch unsorgfältige Arbeit verursacht wird, kannneben finanziellem Schaden für das Unternehmen auch den eigenen Job kosten. Daher giltes, genau und sorgfältig zu arbeiten und die Risiken richtig einzuschätzen.

Wenn ein angebotener Dienst eingeschränkt oder gar nicht verfügbar ist, klingelt das Tele-fon im Regelfall pausenlos. In diesem Fall ist ein hohes Maß an Stressresistenz erforderlich,um selbst in diesen Situationen einen kühlen Kopf zu bewahren. Dass heißt auch, profes-sionell und freundlich im Umgang mit den aufgebrachten Benutzern zu sein und Fehlerbei der Störungsbeseitigung zu vermeiden. Die so wichtige systematische und routinierteHerangehensweise an Probleme darf dem Druck nicht zum Opfer fallen, sonst schafft mandamit mehr Probleme, die dann zusätzlich noch gelöst werden müssen.

Diese Form der Belastung wird auch unterbrechungsgesteuertes Arbeiten genannt. In diesemArbeitsumfeld termingerecht Projektarbeiten zu erledigen und begonnene Aufgaben zubeenden erfordert ein sehr hohes Maß an Disziplin und Selbstbeherrschung.

Eine der wichtigsten Eigenschaften, die ein Systemadministrator mitbringen muss, ist Faul-heit. Ja, richtig gelesen! Die Faulheit bewirkt, dass man Fehler so behebt, dass sie endgültiggelöst sind. Ein hohes Maß an Automatisierung sorgt dafür, dass man Fehler nicht zweimalmacht und dass man Arbeiten nicht mehrfach ausführen muss. Ein sinnvolles Monitoringvon Prozessen und Diensten hilft Ihnen, Fehler zu erkennen, bevor Benutzer sie bemer-ken. Das steigert zum einen die Qualität der eigenen Arbeit und reduziert zum anderen dieAnzahl der Nottelefonate, die geführt werden müssen.

Nicht zu vergessen ist, dass Diskretion, Loyalität und Integrität elementare Grundlagenfür Arbeiten am Puls des Unternehmens darstellen. Diese Tugenden werden im letztenAbschnitt dieses Kapitels durch den Verhaltenskodex beschrieben, den sich die Systemad-ministratoren der SAGE selbst geben.

41



1 Der Administrator

1.3 Das Verhältnis vom Administrator zu Normalsterblichen

Wie am Anfang des Kapitels angedeutet wurde, fallen Systemadministratoren meist nichtauf, wenn der Betrieb gut läuft. Dass in der IT-Abteilung Menschen sitzen, die einen nahezustörungsfreien Betrieb der IT-Infrastruktur sicherstellen, wird meist erst dann bemerkt, wennirgendetwas nicht funktioniert.

Schlimmer noch: Eine landläufige Meinung besagt, dass Systemadministratoren meist die-jenigen sind, die das teuer verdiente Geld des Unternehmens ausgeben und gar kein Geldeinbringen. Das gilt natürlich nicht, wenn Sie bei Kunden Ihres Unternehmens Administra-tionsdienstleistungen erbringen.

Wenn Sie in einer größeren Firma mit einer eigenen Administrationsabteilung arbeiten,kennen Sie dieses Problem vermutlich nicht. Aber je kleiner die Firma ist, desto näherkommen Sie diesem Szenario.

1.3.1 Der Chef und andere Vorgesetzte

Oft ist es so, dass der Chef oder der direkte Vorgesetzte keinen fachlichen Hintergrund alsSystemadministrator hat. Das muss er auch nicht, wenn es sein Job nicht erfordert. Dafürbringt er andere Fähigkeiten mit, die Sie für Ihre Arbeit nicht benötigen.

Nicht alle Entscheidungen, die Sie als Systemadministrator betreffen, beruhen auf Kriterien,die Ihnen bekannt sind. Häufig spielen Partnerschaften mit anderen Unternehmen eineRolle, und manchmal wird eine strategische Ausrichtung über mehrere Jahre festgelegt, unddie nachträgliche Einflussnahme ist sehr begrenzt.

Daher ist es umso wichtiger, dass Sie mit Ihrem Chef richtig kommunizieren und IhreThemen verständlich erläutern. Ein unterschiedliches Wissensniveau darf kein Grund sein,nicht respektvoll und professionell miteinander umzugehen.

Bitte behalten Sie im Hinterkopf, dass die IT nicht in jedem Unternehmen das Kerngeschäftist. Daher werden viele IT-Ausgaben als Geldausgaben ohne direkten Nutzen angesehen:»Warum brauchen Sie jetzt einen neuen Router, der bisherige funktioniert doch?!«. Bemü-hen Sie sich in jedem Fall, sachlich und kompetent zu informieren, sodass Ihr Anliegenverstanden wird.

Ihr Chef ist Ihnen gegenüber weisungsbefugt, er gibt Ihnen die Prioritäten vor. Die gesetztenPrioritäten können sich von Ihren eigenen elementar unterscheiden. Erklären Sie, warumund wie Sie die Prioritäten anders setzen würden. Die letzte Entscheidung liegt aber nichtbei Ihnen.

Das Positive daran ist, dass Sie – gerade dann, wenn Sie zu viele Aufgaben zu erledigenhaben – durchaus auch Ihren Chef um Priorisierung bitten und ihn als Eskalationsstufenutzen können.

42



Das Verhältnis vom Administrator zu Normalsterblichen 1.3

Sie unterliegen einer Informationspflicht! Wenn Sie von rechtlichen Übertretungen oderschlimmstenfalls sogar von kriminellen Tätigkeiten erfahren, sind Sie verpflichtet, das un-verzüglich Ihrem Vorgesetzten zu melden. Das heißt nicht, dass Ihr Vorgesetzter Sie zukriminellen Handlungen zwingen darf.

1.3.2 Benutzer

»Unsere Systeme arbeiten am besten ohne Nutzer.«

Systemadministratoren verwalten die Werkzeuge oder die IT-Infrastruktur, die den Benut-zern die Arbeit erleichtern oder ermöglichen. Bei allem Wissen, was dafür aufgewendetwird, sind es dennoch »nur« Werkzeuge.

Benutzer sind mangels IT-Wissen keine Menschen zweiter Klasse. Sie kennen ihr Fachgebietgenauso gut wie der Administrator seines, und in der Regel sind sie es, die die »eigentliche«Arbeit im Unternehmen erledigen. Damit ist die Arbeit gemeint, mit der das UnternehmenGeld verdient.

Ebenso wie bei der Kommunikation mit dem Chef ist auch hier der Wissensunterschiedkein Grund, nicht respektvoll mit dem Gegenüber umzugehen. Versuchen Sie, eine Sprachezu finden, die der Endanwender versteht. Hören Sie zu, und nehmen Sie die Anfragen undProbleme ernst.

Nutzer denken häufig, dass ihr Problem das wichtigste ist, weil es sie an der Erfüllung ihreraktuellen Aufgabe hindert. Man kann ihnen aber auch erklären, dass Probleme, die alleim Unternehmen betreffen, Vorrang vor denen haben, die nur einige betreffen, und diesehaben wiederum Vorrang vor den Problemen, die nur Einzelne betreffen. Ihr Chef kann dasnatürlich anders entscheiden.

Sollte das nicht helfen, kann man als Systemadministrator immer noch freundlich undhöflich bleiben und auf den Vorgesetzten verweisen, der die Bearbeitung dieser Anfragepriorisieren soll.

1.3.3 Andere Administratoren

Die Kommunikation unter Systemadministratoren ist – anders als bei Vorgesetzten oderBenutzern – sehr stark fachlich geprägt. Um schnell und effizient arbeiten zu können,müssen auch hier persönliche Befindlichkeiten außen vor bleiben.

Das bedeutet insbesondere, dass andere Meinungen akzeptiert werden müssen. Diskussio-nen haben immer sachlich zu bleiben, denn nur so ist es möglich, das beste Resultat zuerzielen.

Niemand wird weniger akzeptiert, wenn er nachfragt. Es ist sogar deutlich besser, zu fragenund um Hilfe zu bitten, als mit Halbwissen zu versuchen, ein Problem zu lösen. Gegebenen-

43



1 Der Administrator

falls ist es besser, die Aufgabe abzugeben. Das heißt im Gegenzug aber auch, Aufgaben vonTeammitgliedern zu übernehmen und ihnen mit dem eigenen Wissen zur Seite zu stehen,wenn sie Hilfe brauchen.

Die Hilfe kann auch darin bestehen, alle Telefonanrufe anzunehmen, um den Kollegen zuentlasten und Freiräume zur Lösung der Probleme zu schaffen. Dieses Beispiel zeigt, dassdie Unterstützung nicht nur fachlicher Natur sein muss.

In Krisensituationen ist es notwendig, als Team zu funktionieren und nicht zu diskutieren.

Zu den wichtigen Aufgaben zählt es auch, Verfahren, Konfigurationen und bekannte Proble-me und deren Lösungen zu dokumentieren, sodass keine Kopfmonopole existieren und imFall, dass jemand Urlaub macht oder krank wird, die Arbeit erledigt werden kann.

1.4 Unterbrechungsgesteuertes Arbeiten

Die Arbeit als »klassischer Systemadministrator« teilt sich ganz grob in Projektarbeit undStörungsbehandlung auf. Projektarbeit erfordert eine längere Zeitphase, in der konzentriertan einem Stück gearbeitet werden kann. Dem steht die Störungsbehandlung entgegen, diemeist auf Zuruf, per Telefon, SMS oder E-Mail eine direkte Aktion erwartet.

Wenn man sich um beide Aufgabengebiete zur gleichen Zeit kümmern muss, wird viel Zeitfür das Umschalten benötigt. Normalerweise braucht man rund 15 Minuten nach einerStörung, um wieder auf dem Konzentrationslevel zu sein, den man vor der Störung hatte.

Sollte man mit mehreren Systemadministratoren im Team arbeiten, ist es hilfreich, einenKollegen für die Störungsbeseitigung abzustellen, sodass die anderen in die Lage versetztwerden, möglichst unterbrechungsfrei Projektarbeit zu leisten.

Wenn das nicht möglich ist, ist es in jedem Fall hilfreich, sämtliche störende Dienste ab-zuschalten, die nicht unbedingt zur Erfüllung der Aufgaben erforderlich sind. Zu diesenDiensten zählt alles, was auf dem Arbeitsrechner stören könnte, wie beispielsweise InstantMessenger, Chat-Systeme (IRC) oder E-Mail oder die entsprechenden Pendants auf demprivaten Smartphone. Über welche Kanäle man erreichbar sein muss, entscheidet der Chef.

In jedem Fall hilft es aber, sich einen Plan über den Tagesablauf zu machen. Dieser Plan istnicht starr, da er ja von äußeren Einflüssen abhängig ist.

Es sind oft mehr Aufgaben vorhanden, als der Arbeitstag Stunden hat. Daher möchten wirdarauf hinweisen, dass Sie diese Planung auch mit Ihrem Vorgesetzten zusammen machenkönnen. Sollten Sie in Rechtfertigungsnot kommen, was Sie den ganzen Tag getan haben,ist es hilfreich, sich über den Tag verteilt kurze Notizen zu machen, die neben der Uhrzeitein Stichwort zur Störung oder zur geleisteten Arbeit enthalten.

44



Ethischer Verhaltenskodex 1.5

Zeitplanung mit A.L.P.E.N.

Diese Methode der Tagesplanung geht auf Prof. Dr. Lothar J. Seiwert zurück (http://www.seiwert.de):

� A: Aufgaben und Termine schriftlich festhalten

� L: Länge der Bearbeitung realistisch schätzen

� P: Pufferzeiten (ca. 40 %) für Unvorhergesehenes

� E: Entscheiden, was wegfallen oder delegiert werden muss

� N: Nachkontrolle der Einschätzung im Rückblick

Ob das Verfahren für Sie funktioniert, müssen Sie in Ihrem Umfeld testen.

1.5 Ethischer Verhaltenskodex

Die bereits angesprochene System Administrators Guild der Usenix Association hat einen Ver-haltenskodex aufgestellt, dem sich die Mitglieder freiwillig unterwerfen. Er findet sich im»System Administrators’ Code of Ethics« (http://www.sage.org/ethics/ethics.html). Übersetztheißt das etwa »Ethischer Verhaltenskodex für Systemadministratoren«. Wir als professio-nelle Systemadministratoren verpflichten uns hiermit zu den höchsten Anforderungen anethischem und professionellem Verhalten und stimmen zu, uns vom Verhaltenskodex leitenzu lassen und jeden Systemadminstrator zu ermutigen, dasselbe zu tun.

Professionalität

� Ich behalte am Arbeitsplatz standesgemäßes Verhalten bei und lasse nicht zu, dass per-sönliche Gefühle oder Überzeugungen mich dazu verleiten, Mitmenschen unfair oderunprofessionell zu behandeln.

Persönliche Integrität

� Im fachlichen Umgang bin ich ehrlich und spreche offen über meine Fähigkeiten unddie Auswirkungen meiner Fehler. Ich frage andere um Hilfe, wenn es notwendig ist.

� Ich vermeide Interessenkonflikte und Voreingenommenheit, wann immer es möglichist. Im Falle einer Konsultation werde ich, wenn ich einen Interessenkonflikt habe odervoreingenommen bin, das entsprechend kundtun und falls notwendig die Anfrage wegenBefangenheit ablehnen.

Privatsphäre

� Ich erlaube mir Zugang zu privaten Informationen auf Computersystemen nur, wenn esim Zuge meiner fachlichen Pflichten notwendig wird. Ich werde meine Schweigepflichtin Bezug auf alle Informationen, zu denen ich Zugang habe, aufrechterhalten und wahren,egal wie ich zu diesem Wissen gekommen bin.

45



1 Der Administrator

Gesetze und Richtlinien

� Ich werde mich und andere über relevante Gesetze, Vorschriften und Richtlinien bezüg-lich der Erfüllung meiner Pflichten unterrichten.

Kommunikation

� Ich werde mich mit dem Management sowie den Benutzern und Kollegen über Compu-terangelegenheiten von beiderseitigem Interesse verständigen. Ich bemühe mich, zuzu-hören und die Bedürfnisse aller Personen zu verstehen.

Systemintegrität

� Ich werde bestrebt sein, die nötige Integrität, Zuverlässigkeit und Verfügbarkeit derSysteme sicherzustellen, für die ich verantwortlich bin.

� Ich werde jedes System in einer Art und Weise entwerfen und pflegen, dass es denNutzen für die Organisation unterstützt.

Ausbildung

� Ich werde mein Fachwissen und meine beruflichen Fahigkeiten kontinuierlich aktua-lisieren und erweitern. Ich werde mein Wissen und meine Erfahrungen mit anderenteilen.

Verantwortung gegenüber der Computing Community

� Ich werde mit der großen Computing Community kooperieren, um die Integrität vonNetzwerk- und IT-Ressourcen sicherzustellen.

Soziale Verantwortung

� Als informierter Fachmann werde ich das Schreiben und das Übernehmen von relevantenGrundsätzen und Gesetzen einhergehend mit diesen ethischen Prinzipien unterstützen.

Ethische Verantwortung

� Ich werde mich bemühen, einen sicheren, gesunden und produktiven Arbeitsplatz zuschaffen und beizubehalten.

� Ich werde mein Bestes geben, um Entscheidungen zu treffen, die mit der Sicherheit,Privatsphäre und dem Wohlergehen meiner Umgebung und der Öffentlichkeit vereinbarsind, und Faktoren unverzüglich ausschließen, die unvorhersehbare Risiken oder Gefah-ren darstellen. Ich werde ehrlich gemeinte Kritik an fachlicher Arbeit wenn nötig gebenund akzeptieren und werde Beiträge von anderen korrekt anerkennen.

� Ich werde durch mein Vorbild führen, einen hohen ethischen Anspruch und ein hohesMaß an Leistung in allen meinen Aufgaben beibehalten. Ich werde Arbeitskollegen undMitarbeiter beim Einhalten dieses Verhaltenskodexes unterstützen.

46

TEIL I

Grundlagen


S. 49 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: bootvorgang/bootvorgang , Aktueller Job: administration

Der Startvorgang eines Linux-Systems erfordert eine genaue Konfiguration derHardware und der Dienste. In diesem Kapitel werden wir Ihnen die Funktionsweise desBootloaders und die Funktion der »initrd« näher erläutern. Natürlich werfen wir hierauch einen Blick auf die neue Möglichkeit, Systeme mittels »Upstart« zu starten.

2 Bootvorgang

2.1 Einführung

Der Bootloader dient zum Starten des Betriebssystems. Der Startprozess des Bootloaderswird vom BIOS eingeleitet. Dazu wird der erste Sektor der Festplatte ausgewertet. Diesersogenannte Master Boot Record (MBR) ist 512 Byte groß. Die ersten 446 Byte davon sindfür den Bootloader reserviert. In dieser winzigen Datenmenge lässt sich natürlich kein ver-nünftiger, kompletter Bootloader unterbringen. Der Bereich kann daher nur dafür genutztwerden, um den restlichen Code von einer anderen Stelle nachzuladen.

Unter Linux sind GRUB und GRUB 2 die verbreitetsten Bootloader. Diese werden im Verlaufdes Kapitels genauer beschrieben. Da der früher oft verwendete Bootloader Lilo kaum nocheine Rolle spielt, haben wir im Buch darauf verzichtet.

2.2 Der Bootloader GRUB

GRUB ist die Abkürzung für Grand Unified Bootloader. Er ist seit langer Zeit der Standard-bootloader der meisten Distributionen und hat den früher eingesetzten Linux Loader (Lilo)abgelöst.

Im MBR hinterlegt GRUB bei der Installation die sogenannte Stage 1. Diese erste Stufe dientlediglich dazu, Stage 1.5 zu laden. Diese Stage liegt zwischen dem MBR und dem Beginn derersten Partition und ist daher auch sehr klein. In ihr ist nur der notwendige Treiber zumAnsprechen des Dateisystems hinterlegt. Je nach verwendetem Dateisystem muss dahereine andere Stage 1.5 installiert werden. Darum kümmert sich GRUB bei der Installationaber automatisch.

Mithilfe des Dateisystemtreibers kann dann im letzten Schritt der »richtige« Teil des Boot-loaders, Stage 2, von der Festplatte geladen werden. Sobald der Code vollständig geladen ist,bekommen Sie in der Regel ein Menü angezeigt, in dem Sie das zu bootende Betriebssystemauswählen können.

49



2 Bootvorgang

2.2.1 Installation

Die Erstinstallation von GRUB erfolgt bei der Installation des Betriebssystems. Danachmüssen Sie den Vorgang meist nur dann wiederholen, wenn der Bootloader »zerschossen«ist oder die Festplatte getauscht wurde.

Es existieren verschiedene Möglichkeiten, den Bootloader neu zu installieren. Der bequems-te Weg führt über die Bordmittel der Distribution. Darüber hinaus gibt es jedoch noch zweiweitere Möglichkeiten, die zum Teil je nach Distribution und Version ein wenig variieren.Die erste Möglichkeit ist über das Skript grub-install. Diese Variante wird bei aktuellenopenSUSE- und SLES11-Versionen eingesetzt.

sles11:~ # grub-installGNU GRUB version 0.97 (640K lower / 3072K upper memory)

[ Minimal BASH-like line editing is supported. For the first word, TABlists possible command completions. Anywhere else TAB lists the possiblecompletions of a device/filename. ]

grub> setup --stage2=/boot/grub/stage2 --force-lba (hd0,0) (hd0,0)Checking if "/boot/grub/stage1" exists... yesChecking if "/boot/grub/stage2" exists... yesChecking if "/boot/grub/e2fs_stage1_5" exists... yesRunning "embed /boot/grub/e2fs_stage1_5 (hd0,0)"... failed (this is not fatal)Running "embed /boot/grub/e2fs_stage1_5 (hd0,0)"... failed (this is not fatal)Running "install --force-lba --stage2=/boot/grub/stage2 /boot/grub/stage1\

(hd0,0) /boot/grub/stage2 p /boot/grub/menu.lst "... succeededDone.grub> quit

Listing 2.1 Installation des »GRUB«

Das Skript ist lediglich ein Wrapper für die notwendigen Kommandos, die direkt inder GRUB-Shell ausgeführt werden. Die dafür notwendigen Werte werden aus der Datei/etc/grub.conf gelesen.

Bei älteren Versionen von openSUSE, SLES, Debian und Ubuntu muss zusätzlich nachgrub-install noch das Gerät angegeben werden, auf dem der Bootloader installiert werdensoll.

debian:~# grub-install /dev/sdaSearching for GRUB installation directory ... found: /boot/grubInstallation finished. No error reported.This is the contents of the device map /boot/grub/device.map.Check if this is correct or not. If any of the lines is incorrect,fix it and re-run the script g̀rub-install.́(hd0) /dev/sda

Listing 2.2 Installation des »GRUB« auf älteren Systemen

50



Der Bootloader GRUB 2.2

Die zweite Möglichkeit ist das direkte Arbeiten mit der GRUB-Shell. Die Shell wird mitgrub aufgerufen. In ihr gibt es eine ganze Reihe wichtiger Kommandos, um GRUB zukonfigurieren. Wichtig für die Installation sind die Kommandos root und setup. Mit rootteilen Sie GRUB mit, auf welcher Partition das Verzeichnis /boot zu finden ist. Das ist nichtzwangsläufig die tatsächliche root-Partition. Das Kommando setup sorgt dann dafür, dassGRUB installiert wird. Beide Kommandos erwarten als Argument die Angabe einer Partitionbzw. Festplatte. Die Syntax weicht jedoch von der normalen Linux-Schreibweise ab. Statt/dev/sda für die erste Festplatte des Systems müssen Sie (hd0) angeben. Die erste Partitionauf der ersten Festplatte wird mit (hd0,0) dargestellt.

Achten Sie darauf, dass Sie beim Zählen mit 0 anfangen und nicht bei 1. Sonst landen dieInformationen an der falschen Stelle, und Ihr System kann nicht gebootet werden.

debian:~# grub

Probing devices to guess BIOS drives. This may take a long time.GNU GRUB version 0.97 (640K lower / 3072K upper memory)

[ Minimal BASH-like line editing is supported. Forthe first word, TAB lists possible commandcompletions. Anywhere else TAB lists the possiblecompletions of a device/filename. ]

grub> root (hd0,0)root (hd0,0)Filesystem type is ext2fs, partition type 0x83

grub> setup (hd0)setup (hd0)Checking if "/boot/grub/stage1" exists... noChecking if "/grub/stage1" exists... yesChecking if "/grub/stage2" exists... yesChecking if "/grub/e2fs_stage1_5" exists... yesRunning "embed /grub/e2fs_stage1_5 (hd0)"... 17 sectors are embedded.succeededRunning "install /grub/stage1 (hd0) (hd0)1+17 p (hd0,0)/grub/stage2\/grub/menu.lst"... succeeded

Done.

grub>

Listing 2.3 Installation von »GRUB« über die »GRUB-Shell«

Die Informationen über verfügbare Devices bezieht GRUB aus der Datei /boot/grub/device.map.Falls diese nicht mehr aktuell sein sollte, können Sie die Datei entweder selbst editieren

51



2 Bootvorgang

oder einfach löschen. Beim nächsten Aufruf von grub (bei manchen Systemen auchgrub-mkdevicemap) wird die Datei dann neu erstellt.

2.2.2 Konfiguration

Nach der Installation von GRUB muss dieser natürlich auch konfiguriert werden. Bis jetztweiß GRUB ja noch nicht, welches Betriebssystem er von wo starten soll. Die notwendigenEinstellungen werden in der Datei /etc/grub/menu.lst vorgenommen. In Listing 2.4 sehenSie einen Ausschnitt der Datei /etc/grub/menu.lst:

sles11:/boot/grub # cat menu.lst# Modified by YaST2. Last modification on Do Mär 18 08:59:12 UTC 2010default 0timeout 8##YaST - generic_mbrgfxmenu (hd0,0)/message##YaST - activate

###Don't change this comment - YaST2 identifier: Original name: linux###title SUSE Linux Enterprise Server 11 - 2.6.27.19-5

root (hd0,0)kernel /vmlinuz-2.6.27.19-5-default root=/dev/system/root \resume=/dev/sda2 splash=silent crashkernel=128M-:64M@16M showopts

initrd /initrd-2.6.27.19-5-default...

Listing 2.4 Ausschnitt aus der Datei »/etc/grub/menu.lst«

Im oberen globalen Abschnitt wird mit default definiert, welcher Eintrag nach dem angege-benen timeout gestartet werden soll. Die Zählweise beginnt bei 0. Die verfügbaren Einträgeim Menü werden alle mit dem Stichwort title eingeleitet. Danach folgt die Angabe vonroot, kernel und initrd.

»root«

Mit root geben Sie in der GRUB-Syntax an, auf welcher Partition sich der Kernel und dieInitial Ramdisk (initrd) befinden. Im Normalfall liegen diese im Verzeichnis /boot.

»kernel«

Diese Anweisung legt fest, welcher Kernel gestartet werden soll. Die Pfadangabe beziehtsich dabei auf die Partition, auf der das boot-Verzeichnis liegt. In diesem Fall existiert sogareine separate Bootpartition auf /dev/sda1. Daher beginnt der Pfad auch mit vmlinuz undnicht mit /boot/vmlinuz. Nach Angabe des Kernels können Sie weitere für den Systemstart

52



Der Bootloader GRUB 2.2

wichtige Kernelparameter angeben. Die Option root= muss unbedingt gesetzt werden. Siegibt an, welches das Wurzelverzeichnis der Installation ist.

»initrd«

Mit initrd wird der Pfad zur initial ramdisk angegeben. Diese enthält alle notwendigenTreiber für den Systemstart. Mehr dazu finden Sie in Abschnitt 2.5, »Der Kernel und die›initrd‹«.

Alle Einträge können übrigens beim Booten direkt editiert werden. Sie müssen lediglich imAuswahlmenü

��

��E drücken und können dann Anpassungen vornehmen. Die Änderungen

werden allerdings nicht auf der Festplatte gespeichert, sondern gelten nur für den aktuellenBootvorgang. Das ist sehr praktisch, wenn Sie sich beim Editieren der menu.lst vertippthaben.

2.2.3 Booten von einem Software-RAID-1

Beim Booten von einem Software-RAID-1 gibt es eine Besonderheit zu beachten. GRUBkann nicht mit md-Devices arbeiten und muss daher entweder von der einen oder vonder anderen Festplatte booten. Erst dann, wenn der Kernel die Regie übernimmt, wird dasRAID-1 tatsächlich genutzt. Sie müssen daher den Bootloader in beide MBRs installierenund zwei Einträge in der menu.lst machen. In Listing 2.5 sehen Sie die Konfiguration für dasBooten von einem Software-RAID:

default 0fallback 1timeout 10

title Debian GNU/Linux, kernel 2.6.26-2-amd64root (hd0,0)kernel /vmlinuz-2.6.26-2-amd64 root=/dev/md2 ro quietinitrd /initrd.img-2.6.26-2-amd64

title Debian GNU/Linux, kernel 2.6.26-2-amd64root (hd1,0)kernel /vmlinuz-2.6.26-2-amd64 root=/dev/md2 ro quietinitrd /initrd.img-2.6.26-2-amd64

Listing 2.5 Die Datei »menu.lst« bei Verwendung eines Software-RAIDs

Beide Einträge starten das gleiche System. Die root-Partition liegt in beiden Fällen auf demRAID-1 mit dem Device-Namen /dev/md2. Lediglich die Angabe von root unterscheidet sich.Die Option fallback sorgt dafür, dass im Fehlerfall der zweite Eintrag gebootet wird.

53



2 Bootvorgang

2.3 GRUB 2

GRUB 2 ist eine komplette Neuentwicklung und hat außer dem Namen nicht viel mit derVorgängerversion gemein. Dementsprechend ist die Konfiguration auch nicht kompatibel.Der Bootloader ist noch relativ jung und daher nicht übermäßig weit verbreitet. Ubuntu abVersion 9.10 wird aber schon serienmäßig mit GRUB 2 gebootet.

2.3.1 Funktionsweise

Im ersten Teil des Bootvorgangs verhält sich GRUB 2 weitestgehend wie GRUB. Es existiertallerdings keine echte Stage 1.5 mehr. Die Funktionalität von Stage 1.5 und Stage 2 wurdein einen winzigen Kernel und viele ladbare Module aufgeteilt. Je nach verwendetem Datei-system und vorhandener Hardware werden dann die notwendigen Module geladen, umauf die Konfigurationsdatei zugreifen zu können. GRUB 2 unterstützt direkt das Booten vonLVM oder Software-RAIDs.

2.3.2 Installation

Die Installation von GRUB2 erfolgt genau so wie die von GRUB. Zum Neuinstallieren desBootloaders wird grub-install genutzt. Als Parameter müssen Sie das Gerät angeben, aufdem der Bootcode installiert werden soll.

root@ubuntu:~# grub-install /dev/sdaInstallation finished. No error reported.

Listing 2.6 Installation von »GRUB 2«

2.3.3 Konfiguration

Die Hauptkonfigurationsdatei ist die /boot/grub/grub.cfg. Diese dürfen Sie allerdings nichtselbst editieren. Sie wird automatisch durch Skripte generiert. Bei den Skritpen handelt essich um ganz normale Shell-Skripte. Diese finden Sie im Verzeichnis /etc/grub.d. Durch dasdynamische Erstellen des Bootmenüs über die Skripte bietet GRUB 2 eine hohe Flexibilität.So können beispielsweise alle vorhandenen Kernel automatisch erkannt und in das Boot-menü eingebunden werden. Der Nachteil daran ist, dass die Konfiguration nicht mehr ganzso trivial ist.

Ohne ein gewisses Maß an Shell-Know-how ist es kaum möglich, das gesamte Potenzialvon GRUB 2 wirklich zu nutzen. Einfache Änderungen am Bootmenü sind aber nach wievor problemlos durchführbar. Für die globalen Einstellungen gibt es zusätzlich die Datei/etc/default/grub. In ihr können diverse Grundeinstellungen vorgenommen werden, wiebeispielsweise der Timeout oder der Standardbooteintrag.

54


S. 219 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: webserver/webserver , Aktueller Job: administration

In diesem Kapitel erlernen Sie die Konfiguration der Webserver »Apache« und»LightHttpd«. Ein Schwerpunkt liegt auf der Einrichtung virtueller Hosts mitund ohne SSL.

8 Webserver

Obwohl es beileibe nicht an Herausforderern mangelt, werden mehr als 65% aller Webange-bote von einem Apache-Webserver ausgeliefert.1 Der Grund dafür dürfte Apaches enormeFlexibilität sein. Es gibt kaum ein Problem beim Ausliefern statischer und dynamischerWebseiten, das Apache nicht mit Bordmitteln oder einem Plugin lösen könnte.

Sein Konkurrent LightHttpd alias Lighty hat eine ungleiche kleinere, aber treue und aktiveFangemeinde. Lighty ist wieselflink und bringt trotz seines geringeren Funktionsumfangsdie wichtigsten Funktionen mit: Er jongliert wie Apache mit virtuellen Hosts und beherrschtauch HTTPS.

Die Konfiguration dieses Features bildet den Kern dieses Kapitels, ergänzt um Apache-Spe-zifika wie das Sicherheits-Plugin ModSecurity und Erläuterungen zum Tuning. Den Schlussdes Kapitels bildet das für jeden Webserver-Admin wichtige Thema Logfile-Auswertung.

8.1 Apache

Selbst wenn Sie nur ein einziges Webangebot auf Ihrem Server betreiben möchten, lohnt essich, das Angebot als virtuellen Host zu konfigurieren. Auf diese Art ist die Konfigurationübersichtlicher, und Sie können schneller reagieren, wenn eines Tages doch einmal einzweites Webangebot (oder gar mehr) auf dem Server einziehen soll.

8.1.1 Virtuelle Hosts einrichten

Um mehrere Webangebote auf einem Server zu betreiben, bieten sich namensbasierte virtu-elle Hosts an. Der Webserver »lauscht« dabei nur auf einer einzigen IP-Adresse und entschei-det anhand der HTTP-Header in der Anfrage des Clients, welcher virtuelle Host die Anfragebeantworten soll. Fügen Sie die folgende Zeile zur Datei /etc/apache2/ports.conf hinzu:

1 Stand: März 2012.

219



8 Webserver

NameVirtualHost *:80

Listing 8.1 Aktivierung der VirtualHost-Funktionalität in »ports.conf«

Damit haben Sie den Webserver bereits grundsätzlich in die Lage versetzt, virtuelle Hosts zubetreiben – nun müssen Sie nur noch mindestens einen solchen Host konfigurieren. Im Ver-zeichnis /etc/apache2/sites-available/ legen Sie nun für jeden virtuellen Host eine Konfigurati-onsdatei an. Für einen virtuellen Host, der unter der URL http://example.com erreichbar seinsoll, sieht die zugehörige Konfigurationsdatei /etc/apache2/sites-available/example.com.confwie folgt aus:

<VirtualHost *>ServerName example.comServerAlias sub.example.com www.example.comServerAdmin [email protected] /var/www/example.com/<Directory /var/www/example.com/>

Options Indexes FollowSymLinks</Directory>ErrorLog /var/log/apache2/error.logCustomLog /var/log/apache2/example.com.log combined

</VirtualHost>

Listing 8.2 Konfigurationsdatei für einen virtuellen Host

� ServerName: Mit diesem Namen weist sich der Server dem Client gegenüber aus, auchwenn er – vom DNS gesteuert – noch unter anderen Namen erreichbar ist.

� ServerAlias: Hier definieren Sie Alias-Namen für Ihr Webangebot, wenn Sie möchten,dass Ihr Angebot unter mehreren Namen aufgerufen werden kann. An dieser Stelle sindauch Wildcards möglich, zum Beispiel ServerAlias *.example.com.

� ServerAdmin: Hier können Sie als Admin Ihre E-Mail-Adresse eintragen (oder, wenn Sieschlau sind, die des Helpdesks).

� DocumentRoot: Das ist das Wurzelverzeichnis Ihres Webangebots. Viele Tools und Hilfs-programme verlassen sich darauf, die Verzeichnisse der virtuellen Hosts unterhalb von/var/www zu finden, weshalb Sie dieser Konvention folgen sollten.

� Directory: Hier legen Sie mannigfaltige Optionen für den angegebenen Pfad fest. ImBeispiel sehen Sie beiden sicherlich am häufigsten benötigten: Indexes zeigt eine Liste al-ler Dateien im Verzeichnis an, wenn keine Index-Datei (oft heißt sie index.html, home.htmoder ähnlich) vorhanden ist. Die Option FollowSysLinks erlaubt Ihnen, innerhalb desDirectory-Pfades auch symbolische Links zu nutzen. Alle Optionen können Sie durchein vorangestelltes Minuszeichen (etwa -FollowSymLinks) explizit abschalten.

220



Apache 8.1

� ErrorLog: Die hier eingetragene Datei sammelt Fehlermeldungen dieses virtuellen Hosts.

� CustomLog: Alle Webzugriffe auf den virtuellen Host erzeugen einen Eintrag in diesemLogfile. Wenn Sie hier, wie im Beispiel, das combined-Format spezifizieren, erhalten Sieetwas mehr Informationen als beim klassischen Webserver-Log.

Ihr virtueller Host ist jetzt konfiguriert, aber noch nicht aktiv. Um ihn zu aktivieren, setzenSie im Verzeichnis sites-enabled einen Symlink auf Ihre Konfigurationsdatei, die ja untersites-available liegt, und lassen die Serverkonfiguration mit root-Rechten neu einlesen.

ln -s /etc/apache2/sites-available/example.com.conf/etc/apache2/sites-enabled/example.com.conf/etc/init.d/apache2 reload

Listing 8.3 Virtuellen Host aktivieren

Das Gleiche geht auch kürzer, falls Ihre Distribution das a2ensite-Kommando enthält.

a2ensite /etc/apache2/sites-available/example.com.conf

Listing 8.4 Virtuellen Host mit »a2ensite« aktivieren

Wollen Sie Ihren virtuellen Host wieder deaktivieren, benutzen Sie das Kommandoa2dissite, oder löschen Sie den Symlink, gefolgt von einem Server-Reload.

8.1.2 HTTPS konfigurieren

Um Webseiten verschlüsselt auszuliefern, benötigt Ihr Webserver zunächst ein Serverzer-tifikat. Zu Testzwecken oder für den Eigenbedarf können Sie sich ein solches Zertifikatschnell und einfach selbst erstellen. Sie müssen lediglich damit leben, dass Ihr Browserbeim Ansurfen der HTTPS-geschützten Webseite eine Warnung ausgibt, weil das selbst er-stellte Zertifikat nicht von einer vertrauenswürdigen Instanz signiert wurde. Da unbedarfteNutzer von dieser Warnung leicht abgeschreckt werden, sollten Sie für Ihre Produktivsys-teme auf signierte Zertifikate kommerzieller Anbieter zurückgreifen. Für die Beispiele indiesem Kapitel genügt natürlich ein selbst erstelltes Zertifikat.

Falls das noch nicht geschehen ist, installieren Sie jetzt die Pakete apache2 und openssl.Die Konfigurationsdateien für den Apache-Server finden Sie nach der Installation unter/etc/apache2/.

Erstellen Sie als root unterhalb dieses Pfades ein neues Verzeichnis mit dem Namen ssl, undwechseln Sie hinein. Dieses Verzeichnis soll unser Serverzertifikat beheimaten.

mkdir /etc/apache2/sslcd /etc/apache2/ssl

Listing 8.5 Verzeichnis für das SSL-Zertifikat anlegen

221



8 Webserver

Mit dem folgenden Kommando erstellen Sie das Serverzertifikat:

openssl req -new -x509 -keyout myserver.pem -out myserver.pem -days 365 -nodes

Listing 8.6 Ein selbst signiertes Zertifikat erstellen

OpenSSL stellt Ihnen eine Reihe von Fragen zu Ihrer Location und Kontaktadresse, die Sienach Belieben beantworten können oder auch nicht – bei einem selbst signierten Testzertifi-kat sind diese Informationen nicht wesentlich. Passen Sie aber auf, wenn die Frage nach demCommon Name erscheint! Hier müssen Sie unbedingt den exakten Namen eingeben, unterdem Ihr HTTPS-Webangebot später erreichbar sein soll. Wollen Sie Ihre Webseite also unterhttps://www.example.com aufrufen können, so müssen Sie auf die Frage nach dem CommonName mit www.example.com antworten.

Im nächsten Schritt aktivieren Sie Apaches SSL-Modul. In der Datei /etc/apache2/ports.conffinden Sie einen Abschnitt, der so oder sehr ähnlich aussieht:

#<ifModule mod_ssl.c># Listen 443#<ifModule>

Listing 8.7 Das »Listen 443«-Statement in der »ports.conf«

Falls die Zeilen, wie in diesem Beispiel, mit Kommentarzeichen (#) beginnen, entfernenSie diese und verlassen die ports.conf. Mit dem Kommando /etc/init.d/apache2 reload

lassen Sie den Apache-Server die geänderte Konfiguration neu einlesen.

Führen Sie nun die beiden folgenden Kommandos aus, um das SSL-Modul zu aktivieren undApache neu zu starten:

a2enmod ssl/etc/init.d/apache2 restart

Listing 8.8 SSL-Modul aktivieren

Apache ist jetzt grundsätzlich in der Lage, HTTPS-Anfragen zu bedienen. Sie be-nötigen also nur einen virtuellen Host, der sie auch beantwortet. Legen Sie unter/etc/apache2/sites-available die Datei example.com mit folgendem Inhalt an:

<VirtualHost *:443>ServerName www.example.com

ServerAdmin [email protected] /var/www/example.com/

SSLEngine OnSSLCertificateFile /etc/apache2/ssl/myserver.pem

222



Apache 8.1

<Directory /var/www/example.com/>Options Indexes FollowSymLinks

</Directory>

ErrorLog /var/log/apache2/error.logCustomLog /var/log/apache2/example.com.log combined

</VirtualHost>

Listing 8.9 Konfigurationsdatei für einen virtuellen SSL-Host

Ihr virtueller SSL-Host ist nun fertig konfiguriert, Sie müssen ihn nur noch aktivieren. Dazugenügen diese beiden Kommandos:

a2ensite example.com/etc/init.d/apache2 force-reload

Listing 8.10 SSL-Host aktivieren

Sie können Ihre HTTPS-Seite jetzt im Browser aufrufen. Da Ihr Server dem Browser ein selbstsigniertes Zertifikat präsentiert, werden Sie zunächst mit einer Warnmeldung konfrontiert.

Abbildung 8.1 Der Browser erhält ein selbst signiertes Zertifikat.

Der Browser verlangt nun von Ihnen, dass Sie das Zertifikat vom Server laden, anschauenund dann ausdrücklich akzeptieren. Diese Prozedur wird Ihnen nur einmal abverlangt. IhrBrowser merkt sich, dass Sie dem Zertifikat vertrauen, und wird Sie bei einem erneutenBesuch der Webseite nicht mehr fragen.

223



8 Webserver

Abbildung 8.2 Das selbst signierte Zertifikat

Damit haben Sie die Konfiguration Ihres virtuellen SSL-Hosts abgeschlossen.

Mehrere virtuelle SSL-Hosts mit einer IP-Adresse

Im Gegensatz zu »normalen« virtuellen Hosts – also solchen ohne SSL – können Sie nicht beliebig vielevirtuelle SSL-Hosts auf einer IP-Adresse konfigurieren. Sie benötigen für jeden SSL-Host eine eigeneIP-Adresse. Es gibt zwar seit geraumer Zeit die Möglichkeit, diese Beschränkung aufzuheben. DieTLS-Erweiterung Server Name Indication leistet dies, aber leider können bestimmte populäre Browserwie der Internet Explorer 7 damit nicht umgehen. Der Internet Explorer 8 kennt SNI, aber nur, wenner unter Windows Vista oder höher läuft, nicht unter Windows XP. Da die Wahrscheinlichkeit hochist, dass einige der Besucher Ihres Webservers diese Browser benutzen, sollten Sie mit dem Einsatzvon SNI noch ein wenig warten.

8.1.3 Benutzer-Authentisierung mit Kerberos

Wenn Sie den Zugriff auf bestimmte virtuelle Hosts, Verzeichnisse oder den gesamten Inhaltdes Webservers nur für bestimmte Benutzer freigeben möchten, muss Ihr Server dieseberechtigten Benutzer identifizieren können. Dafür gibt es mehrere Möglichkeiten, aberwenn Sie bereits einen Kerberos-gesicherten Verzeichnisdienst betreiben, ist es sinnvoll,ihn auch in diesem Fall zu benutzen. Im folgenden Beispiel wird davon ausgegangen, dassim Netz ein Kerberos-Server vorhanden und für Anfragen des Webservers vorbereitet ist(Account, Keytab ...). Sollten Sie diese Schritte noch vor sich haben, finden Sie Hilfe inKapitel 14, »Kerberos«. Für den Apache-Webserver stellt Ihre Distribution ein Paket namens

224



Apache 8.1

libapache2-mod-auth-kerb (oder sehr ähnlich) bereit, das Sie installieren müssen. Starten Sieden Webserver nach der Installation neu, damit die Funktionalität zur Verfügung steht.

Ein Verzeichnis für angemeldete Benutzer freigeben

Erstellen Sie in dem Verzeichnis, dessen Inhalt Sie nur angemeldeten Benutzern zugänglichmachen möchten, eine .htaccess-Datei mit folgendem Inhalt:

AuthName "Kerberos-Anmeldung"AuthType KerberosKrb5Keytab /etc/apache2/wwwserver.keytabKrbAuthRealms EXAMPLE.COMKrbServiceName HTTPKrbMethodNegotiate onKrbVerifyKDC onrequire valid-user

Listing 8.11 Angemeldeten Benutzern den Zugriff erlauben

Den Pfad und Namen der Keytab-Datei müssen Sie dabei wahrscheinlich noch anpassen.Nach einem Reload der Apache-Konfiguration erhalten alle diejenigen Benutzer Zugriff aufdas Verzeichnis, die Mitglied des Realms »example.com« sind.

Ein Verzeichnis für eine bestimmte Benutzergruppe freigeben

Wenn Sie die »Zutrittsberechtigung« zu Ihrem Verzeichnis noch feiner regeln möchten,indem Sie etwa nur Mitgliedern einer bestimmten Benutzergruppe den Zugriff erlauben, soaktivieren Sie zunächst das Apache-Modul authnz_ldap:

a2enmod authnz_ldap

Listing 8.12 Das Apache-Modul »authnz_ldap« aktivieren

Starten Sie danach den Apache-Server einmal neu. Nun ändern Sie die .htaccess-Datei wiefolgt ab:

AuthName "Kerberos-Anmeldung"AuthType KerberosKrb5Keytab /etc/apache2/wwwserver.keytabKrbAuthRealms EXAMPLE.COMKrbServiceName HTTPKrbMethodNegotiate onKrbVerifyKDC on

#require valid-user

AuthLDAPURL "ldap://kerberos.example.com/dc=example,dc=com?sAMAccountName"

225



8 Webserver

AuthLDAPBindDN [email protected] wwwserverpasswortRequire ldap-group CN=wwwusers,OU=groups,DC=example,DC=com

Listing 8.13 Mitgliedern einer bestimmten Gruppe den Zugriff erlauben

Hier werden Sie die Werte für den Kerberos-Server, den Benutzernamen und das Passwortdes Apache-Servers sowie den Namen der Benutzergruppe anpassen müssen. Im Beispiel istder Zugriff für alle Benutzer, die der Gruppe »wwwusers« angehören, freigegeben.

8.1.4 Apache-Server mit ModSecurity schützen

ModSecurity nennt sich selbst »Web Application Firewall«. Es ist ein Apache-Modul, das denHTTP-Datenverkehr mithilfe eines Regelwerks auf Angriffsmuster prüft. Der Unterschied zuklassischen Firewalls besteht in der OSI-Schicht, auf der der Filter arbeitet. Ein Paketfilterarbeitet auf der Transportebene, also OSI-Schicht 3 oder 4. Er muss seine Entscheidungenanhand von Quelle, Ziel und Status des Pakets treffen. Die Web Application Firewall werkeltdagegen auf der gleichen Ebene wie der Webserver selbst (auf der Applikationsebene) undkann so den Inhalt der Pakete analysieren.

Die Motivation hinter dieser Vorgehensweise ist eine Verschiebung der Angriffsvektoren.Früher zielten Angreifer darauf ab, Sicherheitslücken in der Serversoftware auszunutzen.Durch den jahrelangen Reifeprozess sind klaffende Sicherheitslücken jedoch selten gewor-den, und auftretende Sicherheitsprobleme werden schnell durch Updates behoben. Anderssieht es bei den Webangeboten selbst aus. Viele werden nicht mit einem Fokus auf der Si-cherheit entwickelt und enthalten Schnittstellen zu anderen Diensten wie SQL-Servern oderVerzeichnisdiensten. Angreifer versuchen heute nicht mehr, den Server selbst anzugreifen,sondern wollen über geschickt formulierte HTTP-Anfragen Daten stehlen oder eigenen Codeausführen lassen.

Genau diese HTTP-Anfragen versucht ModSecurity mithilfe seines Regelwerks zu erkennenund herauszufiltern. ModSecurity wird derzeit von der Firma Breach Security weiterentwi-ckelt, die neben der Open-Source-Version auch einen kommerziellen Zweig anbietet. DieSoftware kann direkt auf dem Server eingebunden werden oder als Proxy mehreren Servernvorgeschaltet werden.

Installation

Die meisten Distributionen stellen ModSecurity als Paket zur Verfügung. Debian war bishereine Ausnahme, aber das hat sich inzwischen geändert. Debian 6.0 »Squeeze« ist die erstestabile Debian-Version, in der ModSecurity enthalten ist. In der Vorgängerversion Debian5.0 »Lenny« war dies leider noch nicht der Fall, es gibt jedoch inoffizielle Paketquellen vonAlberto Gonzalez Iniesta. Im folgenden Unterabschnitt finden Sie eine kurze Installations-anleitung für Debian »Lenny«.

226



Apache 8.1

Spezialfall: Installation auf Debian 5.0 »Lenny«

Laden Sie zunächst die benötigten Pakete herunter, und installieren Sie sie. Bitte geben Siejeden der drei Befehle in Listing 8.14 auf einer Zeile ein – sie sind lediglich umbrochenworden, weil sie hier im Buch nicht in eine einzige Zeile passen. Entsprechend wurde derbekannte »\« als Zeilenumbruchzeichen eingefügt.

Beziehen Sie die aktuellste Version

Bitte beachten Sie, dass es inzwischen neuere Versionen von ModSecurity geben kann. Die aktuelleVersion – nicht nur für Debian, sondern auch für andere Distributionen und einige kommerzielleUNIX-Varianten – finden Sie unter http://www.modsecurity.org/download/direct.html.

wget http://etc.inittab.org/~agi/debian/ \libapache-mod-security2/mod-security-common_2.5.9-1_all.deb

wget http://etc.inittab.org/~agi/debian/ \libapache-mod-security2/libapache-mod-security_2.5.9-1_i386.deb

dpkg -i libapache-mod-security_2.5.9-1_i386.deb \mod-security-common_2.5.9-1_all.deb

Listing 8.14 »ModSecurity«-Pakete herunterladen und installieren

In der Datei /etc/apache2/conf.d/modsecurity2.conf binden Sie nun wie in Listing 8.15 dieModSecurity-Konfigurationsdateien ein:

<ifmodule mod_security2.c>Include /etc/modsecurity/*.conf</ifmodule>

Listing 8.15 »/etc/apache2/conf.d/modsecurity2.conf« editieren, um die Konfiguration einzufügen

Jetzt fehlt nur noch das Regelwerk. In diesem Beispiel legen Sie ein neues Verzeichnis/etc/modsecurity/ an, in dem das Regelwerk abgelegt wird, laden es herunter und entpackenes. Bitte beachten Sie auch hier, dass die Zeile mit dem wget-Befehl aufgrund der Seitenbreiteumbrochen ist.

mkdir /etc/modsecurity/mkdir /var/log/apache2/mod_security/cd /etc/modsecurity/wget http://www.modsecurity.org/download/ \modsecurity-core-rules_2.5-1.6.1.tar.gztar xvfz modsecurity-core-rules_2.5-1.6.1.tar.gz

Listing 8.16 Core-Regelwerk herunterladen und entpacken

227



8 Webserver

In der Datei modsecurity_crs_10_config.conf passen Sie nun den Pfad zu den Log-Dateien an:

SecAuditLog /var/log/apache2/mod_security/modsec_audit.logSecDebugLog /var/log/apache2/mod_security/modsec_debug.log

Listing 8.17 In »modsecurity_crs_10_config.conf« Pfade zu den Logfiles anpassen

Im letzten Schritt der Installation aktivieren Sie das ModSecurity-Modul und weisen Apachean, seine Konfiguration neu einzulesen:

a2enmod mod-security && /etc/init.d/apache2 force-reload

Listing 8.18 Modul aktivieren und die Konfiguration neu einlesen lassen

Konfiguration

Das Standardregelwerk, das ModSecurity mitbringt, ist schon recht restriktiv und blockiertoft mehr, als gewünscht ist. Das kann dazu führen, dass plötzlich Teile Ihrer Webanwendungnicht mehr aufrufbar sind, weil ModSecurity die entsprechenden Anfragen für gefährlichhält. Um die Wirksamkeit der Regeln ohne Gefahr für Ihren Blutdruck auszuprobieren, kön-nen Sie ModSecurity in einen »Detection«-Modus schalten. Dabei durchlaufen alle Anfragendas Regelwerk, eventuelle Treffer werden aber lediglich ins Logfile geschrieben.

Diesen Modus aktivieren Sie, indem Sie in der Datei modsecurity_crs_10_config.conf die ZeileSecRuleEngine On auskommentieren und wie im folgenden Beispiel ersetzen:

#SecRuleEngine OnSecRuleEngine DetectionOnly

Listing 8.19 »ModSecurity« in den »DetectionOnly«-Modus schalten

Wenn ModSecurity einen Zugriff ablehnt, finden Sie im Audit-Logfile Zeilen wie diese:

Message: Access denied with code 500 (phase 4).Pattern match "<b>Warning<b>.{0,100}?:.{0,1000}?\bon line\b" at RESPONSE_BODY.[file "/etc/apache2/modsecurity-rules/modsecurity_crs_50_outbound.conf"][line "42"][id "970009"][msg "PHP Information Leakage"][severity "WARNING"][tag "LEAKAGE/ERRORS"]

Listing 8.20 »ModSecurity« lehnt einen Zugriff ab.

Hier bekommen Sie genaue Informationen darüber, welche Regel wirksam wurde, in wel-cher Konfigurationsdatei und sogar in welcher Zeile. Jede Regel hat eine eindeutige Kenn-nummer, im Beispiel in Listing 8.20 ist es [id "970009"]. Wenn Sie der Meinung sind, dass

228



Apache 8.1

ModSecurity übereifrig war und den Zugriff zu Unrecht unterbunden hat, können Sie dieRegel deaktivieren.

Erstellen Sie eigene Konfigurationsdateien!

Es ist nicht sinnvoll, die Regeln des Kernregelwerks direkt zu editieren. Das funktioniert zwar zu-nächst, rächt sich aber beim nächsten Update des Regelwerks. Benutzen Sie eine oder mehrereeigene Konfigurationsdateien, um Regeln hinzuzufügen oder zu deaktivieren.

Wechseln Sie in das Verzeichnis, in dem Ihr ModSecurity-Regelwerk residiert, und legenSie dort eine neue Konfigurationsdatei an. Geben Sie ihr dann beispielsweise den Namenmodsecurity_crs_99_meineregeln.conf, und füllen Sie sie mit dem folgenden Inhalt:

<LocationMatch /mysite/modsectest.php>SecRuleRemoveById 970009

</LocationMatch>

Listing 8.21 Eine Regel deaktivieren

Für den Webpfad, den Sie in der LocationMatch-Zeile angegeben haben, bleibt die Regelmit der ID 970009 inaktiv.

8.1.5 Tuning und Monitoring

Leistungsoptimierung fängt bei der Hardware an. Dabei ist die reine Rechenleistung desServers eher selten ein limitierender Faktor, wenn Sie nicht gerade hochkomplexe dynami-sche Webangebote betreiben. Viel eher kommt es auf den Speicher an. Kaum eine Tuning-Maßnahme ist so wirksam wie das Aufstocken des verfügbaren RAMs. Die Leistung jedesWebservers bricht schlagartig und dramatisch ein, wenn das System in den Swap-Betriebschlittert.

Aber auch dann, wenn Sie Ihrem Server ausreichend Speicher spendiert haben, können Siedurch einige einfache Handgriffe noch etwas mehr Leistung herauskitzeln. Außerdem bringtApache bereits ein Bordmittel mit, das Ihnen einen Blick unter die Motorhaube erlaubt.

Multi-Processing-Module

Zur Verarbeitung der eingehenden HTTP-Anfragen greift Apache auf eines von mehreren,teils plattformabhängigen Multi-Processing-Modulen (MPMs) zurück. Drei davon sind unterLinux besonders relevant:

� Prefork-MPM: Mit diesem Modul startet Apache eine Reihe von Child-Prozessen mitjeweils nur einem einzigen Thread. Es eignet sich gut für ältere Software, die Problemein Multithread-Umgebungen hat.

229



8 Webserver

� Worker-MPM: Dieses MPM ist multithreading-fähig, benötigt weniger RAM als dasPrefork-MPM und eignet sich generell besser für stark belastete Server.

� Event-MPM: Das Event-MPM ist eine Variante des Worker-MPMs, die etwas geschick-ter mit Keep-Alive-Verbindungen umgeht. Für diese stellt es einen eigenen Thread zurVerfügung, sodass der ursprüngliche Thread schneller für neue Verbindungen frei wird.

Die »MaxClients«-Direktive

In der Konfigurationsdatei apache2.conf finden Sie unter anderem die MaxClients-Direktive.Sie gibt an, wie viele Clientverbindungen maximal bedient werden können (beim Pre-fork-MPM) oder wie viele Threads für Clientverbindungen zur Verfügung stehen (beimWorker- und Event-MPM). Per Default sind dies 256, manche Distributionen arbeiten abermit anderen Voreinstellungen. Unter Debian ist der MaxClients-Wert auf 150 eingestellt.

Sollte der voreingestellte Wert zu niedrig sein, können nicht alle Clients bedient werden.Sie erkennen das Problem an Meldungen im Error-Log, die etwa so aussehen:

[Tue May 18 09:05:37 2010] [error] server reached MaxClients setting, consi-der raising the MaxClients setting

Listing 8.22 Fehlermeldung wegen zu niedriger »MaxClients«-Einstellung

Erhöhen Sie in diesem Fall den Wert, aber behalten Sie, etwa mit top, Ihren RAM-Verbrauchim Auge. Ein höherer MaxClients-Wert geht unweigerlich mit erhöhten Speicheranforde-rungen einher.

DNS-Anfragen

Apache protokolliert alle Zugriffe in einem Logfile. Damit Sie leicht erkennen können, wel-che Clients auf Ihren Webserver zugegriffen haben, versucht Apache immer, durch DNS-An-fragen den Namen des Clients zu ermitteln. Diese Anfragen bestehen in der Regel zwarnur aus recht kleinen UDP-Paketen, aber wenn Sie einen stark frequentierten Webserverbetreiben, können die Reverse Lookups trotzdem bremsend wirken. Fügen Sie in der Konfi-gurationsdatei Ihrer (virtuellen) Hosts die folgende Direktive hinzu:

[...]HostnameLookups Off[...]

Listing 8.23 DNS-Anfragen deaktivieren

Auf die Information, welche Clients Ihre Webseite besucht haben, müssen Sie dennoch nichtverzichten. Log-Auswerter wie Webalizer (siehe Abschnitt 8.3, »Logfiles auswerten«) könnendie Lookups zu einer günstigeren Zeit, etwa nachts, automatisch nachholen.

230



Apache 8.1

Der »htaccess«-Mechanismus

Der htaccess-Mechanismus erlaubt es Ihnen, bestimmte Konfigurationsoptionen pro Ver-zeichnis einoder auszuschalten, und trägt damit wesentlich zur Flexibilität Ihres Serversbei. Falls Sie diese Flexibilität nicht benötigen, sollten Sie den Mechanismus unbedingtabschalten. Sie ersparen Ihrem Apache damit unzählige unnötige Lesevorgänge und Fall-entscheidungen. Die folgenden Zeilen in der Konfigurationsdatei Ihres (virtuellen) Hostsdeaktivieren den htaccess-Mechanismus:

[...]<Directory />AllowOverride none</Directory>[...]

Listing 8.24 »htaccess« deaktivieren

Anzeigen des Serverstatus

Apaches Statusmodul mod_status erlaubt es Ihnen, den Apache-Prozessen zu jedem Zeit-punkt auf die Finger zu schauen. Sie aktivieren das Modul mit diesem Kommando:

a2enmode status

Listing 8.25 Apache-Modul »mod_status« aktivieren

Nach einem Neustart des Apache können Sie die Statuswebseite unter der Adressehttp://www.example.com/server-status betrachten – theoretisch. In der Praxis darf per Defaultnur localhost auf die Statusseite zugreifen. Andere Rechner müssen Sie explizit freige-ben. Das können Sie in der Konfigurationsdatei /etc/apache2/mods_available/status.conf(Debian/Ubuntu) oder /etc/apache2/mod_status.conf tun. Die Datei enthält diesen Konfigu-rationsblock:

#Zugriffsberechtigung. Per Default darf#nur localhost (127.0.0.1) zugreifen.<Location /server-status>

SetHandler server-statusOrder deny,allowDeny from allAllow from 127.0.0.1

</Location>

Listing 8.26 Konfigurationsdatei des Statusmoduls

Hängen Sie die IP-Adresse Ihres Clients an die Zeile Allow from 127.0.0.1, durch ein Leer-zeichen getrennt, an. Hostnamen sind ebenso wie Teile von IP-Adressen oder Hostnamenerlaubt. Alternativ können Sie auch eine oder mehrere zusätzliche Allow-Zeilen einfügen:

231



8 Webserver

[...]Allow from 127.0.0.1Allow from 10.20.30.40Allow from 70.80.90Allow from 192.169.0.0/16Allow from example.com[...]

Listing 8.27 »Allow«-Statements im Statusmodul

Nach einem Apache-Reload können Sie die Statusseite aufrufen. Sie sieht etwa so aus:

Current Time: Saturday, 18-Sep-2010 11:31:39 UTCRestart Time: Saturday, 18-Sep-2010 00:00:01 UTCParent Server Generation: 0Server uptime: 11 hours 31 minutes 38 secondsTotal accesses: 2835168 - Total Traffic: 414.3 GBCPU Usage: u187.68 s76.8281 cu0 cs0 - .637% CPU load68.3 requests/sec - 10.2 MB/second - 153.2 kB/request305 requests currently being processed, 143 idle workers

[...]W_WKWWWWW_WW_WCWKWWWCWWKKW_WWWWWWW_WW_WWWWK_WWWKW_WWK_WWWKW_WWKW______________KC_____KWK_W_W__W__KKKKK_KCK___WW_CKWWC_KK_KWC____KKW_WKW_W_CK_K__C__WC______W_W_K_____KW___W__K__KKWW___C_WK_____WK_WKWC_KKKKWWW__W__W_W_KK_KW_WWWC__KW_W__WK_WWWWKWW__KWW___WWW_WWWK__WKCWWKWKKWWWCWWKWK__W__CKWWCW__KW_W_K__WKWWWKKC_W_KWWKWWWK................................................................................................................................_KWWCKK_WWKKWW_WWWWKWWCKW__WWWCKKW_KKKWWWKKWWWKWKWW_WW_KWWWWKWC_WWW_WKWWC_W__KCKKWW_W_WKK___WW_W__KWWWKWCK__KKWKK_KWKKWCWWWWKWKK................................................................[...]

Listing 8.28 Apache-Serverstatus (Auszug)

Der zunächst etwas unsortiert anmutende Zeichenblock zeigt an, womit jeder Apache-Prozess im Moment beschäftigt ist. Tabelle 8.1 listet die Bedeutung der Zeichen auf.

Zeichen Bedeutung

_ wartet auf Verbindung

S Prozess startet.

R Anfrage des Clients wird empfangen.

Tabelle 8.1 Statuskürzel in der Serverstatusanzeige

232



LightHttpd 8.2

Zeichen Bedeutung

W Antwort wird gesendet.

K Keep-Alive – die Verbindungen bleiben für weitere Anfragenoffen.

D Nameserver-Lookup

C Verbindung wird geschlossen.

L Eintrag wird ins Logfile geschrieben.

G Ein Prozess wird kontrolliert beendet.

I Idle Cleanup – ein Prozess erhielt keine Verbindungen undwird aufgeräumt.

. Verbindungs-Slot ohne laufenden Prozess

Tabelle 8.1 Statuskürzel in der Serverstatusanzeige (Forts.)

8.2 LightHttpd

Bei LightHttpd alias Lighty, dem auf Geschwindigkeit und gutes Lastverhalten ausgelegtenWebserver, ist alles etwas kleiner als im Apache, aber das gilt zum Glück ebenso für denSpeicherverbrauch und die Konfigurationsarbeit. In den folgenden Abschnitten lernen Sie,wie Sie mit Lighty schnell und einfach virtuelle Hosts anlegen und den HTTPS-Transporteinrichten.

8.2.1 Virtuelle Hosts mit »mod_simple_vhost« einrichten

Wenn Sie eine Reihe von virtuellen Hosts betreiben möchten, die sich konfigurationsseitignicht voneinander unterscheiden, so ist das Lighty-Modul mod_simple_vhost das Richtige fürSie. Das Modul wird über die Datei 10-simple-vhost.conf gesteuert. Sie kommt mit wenigenEinträgen aus.

server.modules += ( "mod_simple_vhost" )

simple-vhost.server-root = "/var/www/vhosts/"simple-vhost.document-root = "/html/"

simple-vhost.default-host = "www.example.org"

Listing 8.29 Konfiguration der virtuellen Hosts (»vhosts«) in der »10-simple-vhost.conf«

Die vier Zeilen haben folgende Bedeutung:

233


S. 937 Einstellungen: ohne Marginalien – ohne Seitenrand – mit Taben – mit Kapitel-Intro – extra breit – Zoom auf 100.0%Aktuelle Quelldatei: administration.ind , Aktueller Job: administration

Index

»B+«-Baum 113

A

ADS 452Advanced Routing 682alien 167Amanda 190Amavisd-new 252Antivirus (Mail) 252Apache 219

HTTPS anbieten 221Kerberos 224ModSecurity 226Server Name Indication 224Server-Status 231Tuning 229virtuelle Hosts 219

APIPA 675AppArmor 849

eigene Profile 852Statusabfrage 850

Archiv in einem anderen Verzeichnisentpacken 191

arp 669, 672AutoYaST 188awk 788

B

B-Baum 113Backup 187

Cold Backup 189differenziell 189Hot Backup 189inkrementell 189vollständig 189Wechseldatenträger 197

backuploop device 203

Backupbrowser 405Backupmethode 188Backupstrategie 187, 188Bacula 190bash 792

declare 799

Expansion 792functions 799local 798Logging in Skripten 801Operationen 793Spezialparameter 797test 800Tipps und Tricks 804Variablen 798

BDC 406, 425Benutzerprofil 413Berechtigungsstruktur 128bind-mount 59Blattobjekte 514Blockgröße 115, 269Bonding 673, 690

Betriebsmodi 690Bonding-Treiber 690Round-Robin 691

bonding802.3ad 692active-backup 692balace-xor 692balance-alb 692balance-tld 692bond0 691broadcast 692

Bootloader 49BtrFS 122Builtin-Gruppe 431

C

CA.pl 537CA.sh 537Calamaris 362checkinstall 172chroot 842

FTP 843jailkit 845

CIFS 402ClamAV 252classes.conf 597Cluster 607

Knoten 607Cluster Resource Manager 619

937



Index

cn=config 559common name 514Corosync 617

Authkey 618COW (Copy on Write) 115CUPS 587

Browsing 594BrowseInterval 594BrowseRelay 594

classes.conf 597CUPS-Port 588cupsd.conf 588Druckaufträge formatieren 598Drucker anlegen 595Druckerquotas 597Encryption Required 589Kerberos 602

DefaultAuthType 603Kerberos-Principal 602Klassen einrichten 596Limit

TempDir 593Limits 592

MaxClients 592MaxClientsPerHost 592MaxCopies 592MaxJobs 593MaxJobsPerUser 592PreserveJobFiles 593PreserveJobHistory 593

LOCAL 591OWNER 592Policies 588

location policies 588, 589operation policies 588, 591

printer instances 599printers.conf 597SYSTEM 592SystemGroup 592Web-Frontend 589

cupsd.conf 588

D

Dansguardian 357DAP-Datenbank 512Dateisystem 111Dateisystemattribut 140

chattr 140fstab 140

NFS 140Dateisysteme

BtrFS 122Ext2/3 115FAT 111Journaling 114ReiserFS 118XFS 119

Dateisystemrecht 132ACL 132

Default-ACL 135getfacl 134maske 136setfacl 133

Attribute 141fstab 132

Dateiverschlüsselung 924Datenbank 277dd 193, 201

Master Boot Record 201MBR sichern 201Partitonstabelle sichern 202

dd_rescue 203deb-Paket 165

aus Repositorys 167lokal 167

demoCA 537Desktop-Virtualisierung 634DFS 480

DFS-Link 480DFS-Proxy 480

DFS-Server 481DHCP 723

Client 723default-lease-time 724DHCPACK 723DHCPDISCOVER 723DHCPREQUEST 723Leases 725max-lease-time 724Relay-Agent 723statische Zuweisung 725subnet 724

dig 735Disaster Recovery 188, 206DNS 726

A-Record 733AAAA-Record 733BIND 727CNAME 734

938



Index

DENIC 739expire 731FQDN 730Glue-Record 733hint-Zone 736in-addr.arpa 738listen-on 728minimum 731MX-Record 733named.conf 727

Kommentare 728Nameserver 726refresh 731retry 731Reverse Lookup 738Rootserver 727RR 731serial 730, 741Slave-Server 739SOA 729TLD 727TTL 729Zonentransfer 740

DNSBL 249Domänencontroller 427domain component (dc) 523Domainadministrator 435Domaincomputer 440Dovecot 269

Konfiguration 273DRBD 610

im Cluster 628Druckauftrag 465Drucker CUPSDruckertreiber 465, 466dumpe2fs 117dynlist

dyngroup.schema 551

E

E-Mail-Verschlüsselung 916e2fsck 118edquota 148env 796Environment 796Etherchannel 690Exim 262

Antispam 264Antivirus 263

Grundkonfiguration 262Expansion 792Ext2 115Ext3 115

F

FAI 188fail2ban 867

fail2ban-regex 871iptables 870

FAT 111Fencing 631Festplattenverschlüsselung 927Festplattenzugriffe ermitteln 771Fileserver 410Filesystem-Check 203Freigabe 410, 416Freshclam 253fstab 132FTP 241

aktives FTP 241Anonymous 242Das Protokoll 241Download-Server 242IPv6 243LDAP-Anbindung 246passives FTP 242SSL-Verschlüsselung 245vsftpd 242Zugriff of home-Verzeichnisse 244

FTP-Server FTP

G

Geräteverschlüsselung 925getent 459, 528getent group 457globale Gruppe 431GnuPG 905GOsa 529grep 788group_mapping.tdb 431Groupmapping 431, 434groupOfUniqueNames 542GRUB 49

chroot 59grub-install 50grub-mkdevicemap 52GRUB-Shell 51

939



Index

initrd 53memtest 55menu.lst 52Recovery 58setup 51Software-RAID 53Stage 1 49Stage 1.5 49Stage 2 49

GRUB 2 54/etc/default/grub 57grub.cf 54menuentry 56RAID 56Stage 1.5 54Stage 2 54

GRUB-Shell 50Gruppenrichtlinie 446

H

H-Baum 113Header-Prüfungen (Mail) 250heimdal-client 453HELO 250hide unreadable 415Hochverfügbarkeit 607

I

IANA 694IDS/IPS 855

in der Praxis 864ifconfig 669, 670, 676Image

erstellen 202mounten 203

IMAP 271initrd 60

erstellen 60initramfs.conf 61mkinitramfs 60modifizieren 63RAID 60

Internet Assigned Numbers Authority 694iotop 771ip 669, 676

address show 672neighbour add 679IP-Adresse hinzufügen 677

label 676link 673

set 674link show 670neighbour 672, 678route 671routing 679, 682

add 681delete 681Priorität 684show 680

IPP 587iproute2 669iptables 703

chains 704connlimit 720Default Policy 705, 712DMZ 712DNAT 719DoS 719Filter 707FORWARD 704ICMP 707, 716INPUT 704limit 718limit-burst 718lo 712Logging 717MASQUERADE 719, 720Module 707Multiport-Modul 712NAT 719OUTPUT 704POSTROUTING 704PREROUTING 704recent 721Regeln löschen 706SNAT 719SPI 709TARGET 706, 708

IPv6 695Adresse 695Adressraum 695anycast 697DAD 699Header-Aufbau 699Header-Länge 699Interface Identifier 696, 701ipv6calc 743link-lokal 699, 702

940



Index

Multicast 697Multihoming 701NAT 695Neighbor Cache 699Neighbor Discovery 698Network Prefix 696Netzmaske 696Notation 695ping6 703Privacy Extension 701ssh 702unicast 696

J

Journaling 114Ext3 116

Jxplorer 529, 561

K

KDC-Master 391Kerberos 371, 453

ACL 379addprinc 381Authentication Server 372delprinc 388kadmin 380, 394kadmin.local 380kdb5_util 379KDC-Slave 391kdc.conf 374, 376kdeb5_util dump 397kdestroy 390Key Distribution Center 372keytab 387kinit 383klist 383kpropd 397kpropd.acl 396krb5.conf 374ktadd 394ktrem 388ktutil 387listprincs 382PAM 384, 390pam-config 384Policies 398Principal 372randkey 382

Realm 372Replikation 390SRV-Einträge 392Ticket 372Ticket Granting Server 372Ticket Granting Ticket 372

Kickstart 188kinit 454klist 455Knotentyp 409Kommunikationsprotokoll 417kpartx 204KVM 639

libvirt 645Live Migration 662Netzwerk 641virsh 649virt-clone 662virt-install 654virt-top 661virt-viewer 662virtio 640Virtual Machine Manager 657VM-Installation 652

L

LAM 522, 529Lamdaemon 531

ACL 533visudo 533

LDAP 511ACL 539

Aufbau 540Passwörter 541slapd.conf 540subschema 541

alias-Tabelle 565Apache 572

Cache-Parameter 572Module 572Zugriffsparameter 573

apparmor 539Attribute 515authz-regexp 580, 584bdb 521Datenmodell 513Distinguished Name 513DIT 513dynamische Konfiguration 520

941



Index

Filter 548Verknüpfung 548

GSSAPI 576, 582Debian/Ubuntu 577

hdb 521Kerberos 574

PAM 582Principal 575SLES11 582

keytab 576ldapwhoami 579LDIF 519main.cf 565Objekte 513, 514ODI 547OID 515

registrieren 515ou 514Overlay 550, 552

dds 552dynlist 551refint 552slapd.conf 550valsort 552

preauthentication 577Replikation 553saslauthd 513, 567Schema 515Squid 568squid.conf 568statische Konfiguration 520supportedControl 547supportedExtension 547Syntaxbeschreibung 518TLS

Verbindungsaufbau 539UTF-8 513Virtualtabelle 566

LDAP-Client 524ldap.conf 526ldapadd 523, 528ldapmodify 534ldapsam 425ldapsearch 527, 536, 561LDIF 528libnss-ldap 525libpam-ldap 525libvirt 645

XML-Format 647LightHttpd 233

HTTPS anbieten 235virtuelle Hosts 233

limits.conf 158Link Aggregation 690Linux-Konto 419LIR 694Lire (Log-Auswertung) 267LMHOSTS 405Log-Auswertung (Webserver) 237Logical Volume Manager LVMLogonscripte 442

kix 442lokale Gruppe 431loop device 203lpd 587lpoptions 598lpstat 598lsof 763

Dateizugriffe 764Netzwerkressourcen 764

LVM 84Aufbau einer Volumegroup 88Begriffe 86Eine defekte Festplatte ersetzen 95Erweiterung einer Volumegroup 92Erweiterung eines Volumes 91Grundlagen 86Installation 87Kommandos 99logical extent 86logical volume 86lvconvert 94lvcreate 90lvdisplay 90lvextend 92physical extent 86physical volume 86pvdisplay 88pvmove 95pvreate 88Spiegelung 94vgcreate 89vgdisplay 89vgextend 92vgreduce 95volume group 86

LVM-Snapshot 189

942



Index

M

main.cf 565Makefile 169

autotools 169Masterbrowser 405MBR 49mdadm 77mke2fs 115mkfs.reiserfs 119mkfs.xfs 119mkinitramfs 60mkinitrd 62ModSecurity 226Mount Count (Ext) 116Munin 836

Nodes 837MySQL 277

Benutzerkonto anlegen 278Indextuning 295Installation 277Point-In-Time-Recovery 299Replikation 278Root-Kennwort 278Speichertuning 289Tuning 288

N

Nagios 809Installation 810nagios.cfg 814Objekt 815

Host-Objekt 816Kommando-Objekt 822Kontakt-Objekt 820Kontaktgruppen-Objekt 821Service-Objekt 818Template-Objekt 823Zeitfenster-Objekt 821

Plugin 825Benachrichtigungen 831check_disk 826check_http 827check_ping 825check_tcp 826check_udp 826PNP4Nagios 833SNMP 829

resource.cfg 824

Verzeichnisstruktur 813Webinterface 813

named.conf 727directory 728forwarders 728include 727Port 728zone 729

Namensauflösung 404Namensstandard 125NDS

filelocking 489net groupmap 431net rpc join 457net sam 431NetBEUI 403NetBIOS 401–403

Namensauflösung 406NetBIOS-Client 404NETLOGON 442netstat 416, 761Netzwerke 669Netzwerkkarte 673

Flag 673Interfacename 675MAC 673MTU 673Netzwerkpräfix 677primäre IP-Adresse 677

NFS 489async 493bind-Mountpoint 491exportfs 495exports 506fsid 494fstab 497gss/krb5 507gss/krb5i 507idmapd 497lockd 490mountd 490Portmapper 490Pseudodateisystem 491root_squash 494rpcinfo 495rsize 500secure 494statd 490, 491subtree-checking 494subtree_check 494

943



Index

sync 493UTF-8 490wdelay 496wsize 500

NIC Teaming 690NIS 422nis.schema 522nmap 757nmbd 402nmblookup 405, 407NSS 447nsswitch.conf 449, 459, 525, 526NTP-Server 610NUD 678

O

OpenAIS 617Authkey 618

OpenLDAP 511OpenSSH 745

passwortloser Login 751Port-Forwarding 753Protokoll 749Schlüssel 750X11-Forwarding 753

openSSL 906openssl.cnf 536openVPN 875

Debug 894easy-rsa 876

CA 879Clientzertifikat 882Serverzertifikat 880TLS-Auth 882

explicit-exit-notify 892Modemverbindungen (DSL-Modem/UMTS) 893Rechteanpassungen auf Windows-Clients 893register-dns 892Roadwarrior 883

Client 886Server 883

Simple-HA 890Site-to-site 889Tipps und Tricks 892

Debug 894explicit-exit-notify 892Modemverbindungen (DSL-

Modem/UMTS) 893Rechteanpassungen auf Windows-Clients 893

register-dns 892Windows-Installationspfad 893Windows-Routing/-Netzwerk 893

tun/tap 876Windows-Installationspfad 893Windows-Routing/-Netzwerk 893Zertifikatsverteilung 883

OPIE 871Challenge Response Authentication 874OTP erstellen 872OTP-Liste erstellen 873PAM 874seed 872

os-level 405Overlay 550

P

Pacemaker 619Constraints 627CRM-Shell 621Ressource 622

Paketmanagementdeb 165rpm 164

Paketverwaltung 163Pakete erzeugen 172Update-Pakete 178Update-Sicherheit 183

PAM 150, 384/etc/pam.d 156Konfiguration 155Kontrollflags 151Modulargumente 152Modulaufgaben 152Modulpfade 152

pam-config 384pamifizieren 150Partitionierung 127passdb backend 419passdb.tdb 431Patchen 176

diff 176patch 178

pdbedit 422, 435, 437, 445PDC 406, 425PGP 905phpldapadmin 529Point-In-Time-Recovery 299poledit.exe 446

944



Index

Policy Routing 682PRDB 682Priorität 684

POP3 269Port 139 416Port 445 416Port-Scans 757Postfix 247

Grundkonfiguration 247PostScript 587PPD 601printeradmin 466printers.conf 597Printserver 464Privilegien 430proc 105

config.gz 107CPU 105meminfo 107net 109RAM 106sysctl.conf 110

ProxySquid 321

Public-Key-Infrastructure 902Einrichten 906

PuTTY 777

Q

Quota-System 143aqouta.group 144aquota.user 144edquota 146fstab 143grpquota 143Hardlimit 146journaling quotas 145quotacheck 143quotaon 146repquota 149Softlimit 146usrquota 143

R

RAID 73Level 0 74Level 1 74Level 10 75

Level 5 74Level 6 75mdadm 77softraid 76

ReaR 206default.conf 214EXTERNAL 208Konfigurationsdatei 206local.conf 206NETFS 207P2P 215P2V 215REQUESTRESTORE 207Rescueimage 207site.conf 206V2P 215

RegEx 789Syntax 790

Reguläre Ausdrücke 789Syntax 790

ReiserFS 118reiserfstune 119Replikation 278

Master-Master 285Master-Slave 278

repquota 147Rescue-CD 212resolv.conf 726rfc2307bis.schema 522Richtlinien 442RID 427RIR 694root-Shell 30route 669, 671, 679rpcclient 428, 429rpm-Paket 164

aus Repositorys 167lokal 167

rsync 194komprimiertes Backup 199Sichern über das Netz 195spiegeln 194ssh 200

Rsync-Daemon 755rsyncd 755Rsyslog 312

Filter, ausdrucksbasiert 313Filter, eigenschaftsbasiert 312

Runlevel 65

945



Index

S

Samba 401[global] 404Kerberos 471LDAP-Server 419nested groups 450net getlocalsid 428

Samba 4 487Samba-Konto 419samba.schema 522Sarg 363saslauthd 567scp 747screen 757Scripting 787sed 788sfdisk 202sftp 748SGID 130shadow 437Shell-Expansion 792SID 414, 427Signaturgesetz 931simple bind 524simpleSecurityObject 555Single Sign-on 511slap.access 540slapacl 544, 546slapd.conf 521, 553slapd.d 560slappasswd 522slaptest 560slurpd 554SMB 401, 402smb.conf 403

[homes] 413copy 415domain master 408local master 408Netbios aliases 407Netbios name 407os level 408preferred master 408profile acls 414read only 411winbind separator 433winssupport 407, 408

SMB2 402smbd 402

smbpasswd 419, 420, 423snort 856

acidbase/BASE 864mysql 859oinkmaster 861Regeln 860snort.conf 858

Spamfilter 252Spezialbits 129

SGID 130Sticky-Bit 131SUID 129

Spoolverzeichnis 465Squid 321

acl-Objekte 330Cache 325Calamaris 362Dansguardian 357delay_access 369delay_class 368delay_parameters 368delay_pool 366delay_pools N 367http_access-Regeln 332IP-Authentifizierung 333kerb_auth 344ldap_auth 348ldap_group 352Logging 326ncsa_auth 338Netzwerk 324ntlm_auth 340Sarg 363squidGuard 353Testumfeld 324transparent 364Verzögerung des Datenverkehrs(delay_pools) 366Verzeichnisdienste 340wbinfo_group.pl 350

squidGuard 353SSH 745ssh (Client) 746SSH-Agent 752SSHd (Server) 748SSL-Zertifikat (Apache) 221SSL-Zertifikat (LightHttpd) 235Standarddrucker 598standby-Master 563Sticky-Bit 131STONITH 631

946



Index

strace 772strong bind 524SUID 129supportedFeatures 547SWAT 413syncprov 554syncrepl 553

Consumer 553delta-syncrepl 554entryUUID 553modifyTimestamp 553Provider 553refreshAndPersist 553refreshOnly 553Sessioncookie 553Sessionlog 555

Synergy 781Syslog 303

Datenbank 316Facility 303Log-Level 303Priority 303Remote-Logging 314Severity 303

Syslog-ng 305Destination-Objekt 308Filter-Objekt 310Log-Objekt 311Source-Objekt 308

SyslogD 304Systemadministrator 33

Arbeitstechniken 40Aufgaben 34Fähigkeiten und Fertigkeiten 39Intermediate/Advanced System Administra-

tor 37Job-Definitionen 34Junior System Administrator 36Novice System Administrator 35Senior System Administrator 38Softskills 39Unternehmensgröße 35Verhältnis zu anderen Administratoren 43Verhältnis zu Benutzern 43Verhältnis zu Chef/Vorgesetzten 42Verhaltenskodex 45

SysVinit 64

T

tar 191Archiv erstellen 191Archiv im aktuellen Verzeichnis entpacken 191Archiv komprimieren 191Archiv prüfen 192exkludieren von Dateien 192ssh 193umask 193

tc 669tdbbackup 486tdbdump 487tdbsam 419, 424Terminal-Multiplexer 757testparm 428Ticket 371TLS 511, 536

ldap.conf 538ldapsearch 538slapd.conf 538

top 767tree 127, 128Trunking 690tune2fs 116

U

udev 101Regeln 101udevadm 103

ulimit 157Hardlimit 158limits.conf 158Softlimit 158

umask 131Umgebungsvariablen 796update-initramfs 60Upstart 64

Event 65Jobdefinitionen 65Prozessdefinitionen 66

V

Verschlüsselung 897Asymmetrisches Verfahren 900Dateien 924E-Mails 916

947



Index

GnuPG 917S/MIME 924

Festplatten 927Geräte 925Historie 897Kerckhoffs Grundsätze 899Public-Key-Infrastructure 902

Einrichten 906Rechtliches 931Symmetrisches Verfahren 899Web-of-Trust (PGP) 905X.509-Zertifikate 903

Vertrauensstellung 483vertrauende Domäne 483vertraute Domäne 483

Verzeichnisdienst 511Verzeichnisstruktur 128virsh 649virt-clone 662virt-install 654virt-top 661virt-viewer 662Virtual Machine Manager 657

Live Migration 662VirtualBox 634

Import/Export 638Installationsmedium anlegen 635Netzwerkkonfiguration 636

Virtualisierung 633Desktop-Virtualisierung 634Grundlagen 633KVM 639

libvirt 645Netzwerk 641virsh 649virt-install 654virtio 640

Live Migration 662Server-Virtualisierung 638vir-clone 662

vir-top 661vir-viewer 662Virtual Machine Manager 657Xen 641

virtuelle Domänen 474virtuelle Server 474VPN-Tunnel 687vsftpd 843

W

wbinfo 459Web-of-Trust 905Webalizer 237Webserver 219

Apache 219LightHttpd 233

Winbind 432, 446winbind

PAM 449winbind seperator 457Windows-ACL 462WINS 406, 407WinSCP 780wireshark 418Workgroup 404

X

X.500 512X.509-Zertifikate 903Xen 641XFS 119

Z

Zeitserver 610Zertifikate 903Zugriffsrechte 125

948

Documents

Das Administrationshandbuch...Deimeke/Kania/Kühnast/Semmelroggen/van Soest – Das Linux-Administrationshandbuch – Zweite Auﬂage – Sommer 2012 Galileo Press, ISBN: 978-3-8362-1879-5