Linux-Server

Dirk Deimeke, Jahrgang 1968, beschäftigt sich seit 1996 aktiv mit Linux. Nach seinem Engagement für Ubuntu Linux unterstützt er das Projekt »Taskwarrior«, eine Aufgabenverwaltung für die Kommandozeile und die Blogsoftware »Serendipity«. 2008 in die Schweiz ausgewandert, arbeitet er seit Juni 2014 als Senior System Engineer Unix/Linux für die Bank Vontobel AG. In seiner verbleibenden freien Zeit startete er die eigene Unternehmung »My own IT – Dirk Deimeke«, die im Rahmen einer »digitalen Nachbarschaftshilfe« Privatpersonen und Organisationen darin unterstützt, die Autonomie über ihre eigenen Daten zu behalten. Neben Artikeln in seinem Blog versucht sich Dirk im Aikido und hält Vorträge und Workshops auf Open-Source-Konferenzen. Er lebt mit seiner Frau, zwei Hunden und einem Pferd in einem kleinen Dorf vor den Toren von Zürich.

Stefan Kania, Jahrgang 1961, ist ausgebildeter Informatiker und seit 1997 freiberuflich als Consultant und Trainer tätig. Seine Schwerpunkte liegen auf der Implementierung von Samba und LDAP sowie auf Schulungen zu beiden Themen. In seiner übrigen Zeit ist er als Tauchlehrer tätig, läuft Marathon und seit einiger Zeit versucht er sich am Square Dance. Mit dem Motorrad und seiner großen Liebe erkundet er im Sommer seine neue Wahlheimat Schleswig-Holstein.

Daniel van Soest, Jahrgang 1981, veröffentlichte bereits mehrere Fachartikel zu IT-Themen. Während seiner Ausbildung zum Informatikkaufmann kam er zu Beginn des neuen Jahrtausends erstmals mit dem Betriebssystem Linux in Kontakt. Seit seiner Ausbildung arbeitet er im Kommunalen Rechenzentrum Niederrhein in Kamp-Lintfort. Der Schwerpunkt seiner Tätigkeit liegt auf der Betreuung der zentralen Internet-Infrastruktur und der Administration der Sicherheitssysteme. Überschüssige Kreativität lebt er in seiner Band »4Dirty5« an der E-Gitarre aus. Daniel wohnt mit seiner Frau an der Schwelle vom Niederrhein zum Ruhrgebiet.

Peer Heinlein ist E-Mail-Spezialist, Gründer des sicheren E-Mail-Dienstes mailbox.org und Autor zahlreicher Fachbücher zum Thema »sicherer Server-Betrieb«. Er berät Unternehmen und Internet-Provider in Sicherheitsfragen rund um elektronische Kommunikation und engagiert sich aktiv für den Schutz der Privatsphäre. Bereits 1989 gründete Peer Heinlein den Internet Service Provider JPBerlin.de – einen der ersten Anbieter für private E-Mail-Adressen in Deutschland.

  Vorwort ... 29

  Über dieses Buch ... 37

  1.  Der Administrator ... 41
       1.1 ... Der Beruf des Systemadministrators ... 41
       1.2 ... Nützliche Fähigkeiten und Fertigkeiten ... 48
       1.3 ... Das Verhältnis vom Administrator zu Normalsterblichen ... 51
       1.4 ... Unterbrechungsgesteuertes Arbeiten ... 53
       1.5 ... Einordnung der Systemadministration ... 54
       1.6 ... Ethischer Verhaltenskodex ... 58
       1.7 ... Administration -- eine Lebenseinstellung? ... 60


TEIL I  Grundlagen ... 61

  2.  Bootvorgang ... 63
       2.1 ... Einführung ... 63
       2.2 ... Der Bootloader GRUB 2 ... 63
       2.3 ... Bootloader Recovery ... 70
       2.4 ... Der Kernel und die »initrd« ... 72
       2.5 ... »systemd« ... 77

  3.  Festplatten und andere Devices ... 91
       3.1 ... RAID ... 91
       3.2 ... Rein logisch: Logical Volume Manager »LVM« ... 104
       3.3 ... »udev« ... 127
       3.4 ... Alles virtuell? »/proc« ... 131

  4.  Dateisysteme ... 139
       4.1 ... Dateisysteme: von Bäumen, Journalen und einer Kuh ... 139
       4.2 ... Praxis ... 143
       4.3 ... Fazit ... 156

  5.  Berechtigungen ... 157
       5.1 ... User, Gruppen und Dateisystemstrukturen ... 157
       5.2 ... Dateisystemberechtigungen ... 160
       5.3 ... Erweiterte Posix-ACLs ... 164
       5.4 ... Erweiterte Dateisystemattribute ... 173
       5.5 ... Quotas ... 175
       5.6 ... Pluggable Authentication Modules (PAM) ... 182
       5.7 ... Konfiguration von PAM ... 188
       5.8 ... »ulimit« ... 190
       5.9 ... Abschlussbemerkung ... 192


TEIL II  Aufgaben ... 193

  6.  Paketmanagement ... 195
       6.1 ... Paketverwaltung ... 195
       6.2 ... Pakete im Eigenbau ... 201
       6.3 ... Updates nur einmal laden: »Cache« ... 222
       6.4 ... Alles meins: »Mirror« ... 228

  7.  Backup und Recovery ... 243
       7.1 ... Backup gleich Disaster Recovery? ... 243
       7.2 ... Backupstrategien ... 244
       7.3 ... Datensicherung mit »tar« ... 247
       7.4 ... Datensynchronisation mit »rsync« ... 250
       7.5 ... Imagesicherung mit »dd« ... 257
       7.6 ... Disaster Recovery mit ReaR ... 261
       7.7 ... Backup und Recovery mit Bacula/Bareos ... 274


TEIL III  Dienste ... 291

  8.  Webserver ... 293
       8.1 ... Apache ... 293
       8.2 ... LightHttpd ... 313
       8.3 ... Nginx ... 317
       8.4 ... Logfiles auswerten ... 322

  9.  FTP-Server ... 325
       9.1 ... Einstieg ... 325
       9.2 ... Download-Server ... 326
       9.3 ... Zugriff von Usern auf ihre Homeverzeichnisse ... 328
       9.4 ... FTP über SSL (FTPS) ... 329
       9.5 ... Anbindung an LDAP ... 331

10.  Mailserver ... 333
       10.1 ... Postfix ... 333
       10.2 ... Antivirus- und Spam-Filter mit Amavisd-new, ClamAV und SpamAssassin ... 352
       10.3 ... POP3/IMAP-Server mit Dovecot ... 364
       10.4 ... Der Ernstfall: Der IMAP-Server erwacht zum Leben ... 370
       10.5 ... Dovecot im Replikations-Cluster ... 372
       10.6 ... Monitoring und Logfile-Auswertung ... 377

11.  Datenbank ... 381
       11.1 ... MariaDB in der Praxis ... 381
       11.2 ... Tuning ... 394
       11.3 ... Backup und Point-In-Time-Recovery ... 405

12.  Syslog ... 409
       12.1 ... Aufbau von Syslog-Nachrichten ... 409
       12.2 ... Der Klassiker: »SyslogD« ... 411
       12.3 ... Syslog-ng ... 413
       12.4 ... Rsyslog ... 419
       12.5 ... Loggen über das Netz ... 421
       12.6 ... Syslog in eine Datenbank schreiben ... 423
       12.7 ... »Systemd« mit »journalctl« ... 426
       12.8 ... Fazit ... 433

13.  Proxy-Server ... 435
       13.1 ... Einführung des Stellvertreters ... 435
       13.2 ... Proxys in Zeiten des Breitbandinternets ... 436
       13.3 ... Herangehensweisen und Vorüberlegungen ... 437
       13.4 ... Grundkonfiguration ... 437
       13.5 ... Authentifizierung ... 450
       13.6 ... Helferlein ... 466
       13.7 ... Log-Auswertung: »Calamaris« und »Sarg« ... 484
       13.8 ... Unsichtbar: »transparent proxy« ... 487
       13.9 ... Ab in den Pool -- Verzögerung mit »delay_pools« ... 488
       13.10 ... Familienbetrieb: »Sibling, Parent und Co.« ... 492
       13.11 ... Cache-Konfiguration ... 495

14.  Kerberos ... 501
       14.1 ... Begriffe im Zusammenhang mit Kerberos ... 502
       14.2 ... Funktionsweise von Kerberos ... 503
       14.3 ... Installation und Konfiguration des Kerberos-Servers ... 504
       14.4 ... Initialisierung und Testen des Kerberos-Servers ... 509
       14.5 ... Kerberos und PAM ... 515
       14.6 ... Neue Benutzer mit Kerberos-Principal anlegen ... 517
       14.7 ... Hosts und Dienste ... 518
       14.8 ... Konfiguration des Kerberos-Clients ... 521
       14.9 ... Replikation des Kerberos-Servers ... 523
       14.10 ... Kerberos Policies ... 531
       14.11 ... Kerberos im LDAP einbinden ... 534
       14.12 ... Neue Benutzer im LDAP ... 546
       14.13 ... Authentifizierung am LDAP-Server über »GSSAPI« ... 548
       14.14 ... Konfiguration des LAM-Pro ... 558

15.  Samba 4 ... 561
       15.1 ... Vorüberlegungen ... 561
       15.2 ... Konfiguration von Samba 4 als Domaincontroller ... 563
       15.3 ... Testen des Domaincontrollers ... 567
       15.4 ... Benutzer- und Gruppenverwaltung ... 570
       15.5 ... Benutzer- und Gruppenverwaltung über die Kommandozeile ... 571
       15.6 ... Die »Remote Server Administration Tools«(RSAT) ... 581
       15.7 ... Gruppenrichtlinien ... 585
       15.8 ... Linux-Client in der Domäne ... 595
       15.9 ... Zusätzliche Server in der Domäne ... 606
       15.10 ... Was geht noch mit Samba 4? ... 618

16.  NFS ... 619
       16.1 ... Unterschiede zwischen »NFSv3«und »NFSv4« ... 619
       16.2 ... Funktionsweise von »NFSv4« ... 620
       16.3 ... Einrichten des »NFSv4«-Servers ... 621
       16.4 ... Konfiguration des »NFSv4«-Clients ... 626
       16.5 ... Konfiguration des »idmapd« ... 627
       16.6 ... Optimierung von »NFSv4« ... 629
       16.7 ... »NFSv4«~und Firewalls ... 631
       16.8 ... NFS und Kerberos ... 632

17.  LDAP ... 639
       17.1 ... Einige Grundlagen zu LDAP ... 640
       17.2 ... Unterschiede in den einzelnen Distributionen ... 648
       17.3 ... Konfiguration des LDAP-Clients ... 652
       17.4 ... Grafische Werkzeuge für die LDAP-Verwaltung ... 657
       17.5 ... Änderungen mit »ldapmodify« ... 662
       17.6 ... Absichern der Verbindung zum LDAP-Server über TLS ... 664
       17.7 ... Absichern des LDAP-Baums mit ACLs ... 667
       17.8 ... Filter zur Suche im LDAP-Baum ... 673
       17.9 ... Verwendung von Overlays ... 677
       17.10 ... Partitionierung des DIT ... 680
       17.11 ... Replikation des DIT ... 690
       17.12 ... Die dynamische Konfiguration ... 695
       17.13 ... Verwaltung von Weiterleitungen für den Mailserver Postfix ... 702
       17.14 ... Benutzerauthentifizierung von Dovecot über LDAP ... 705
       17.15 ... Benutzerauthentifizierung am Proxy Squid über LDAP ... 707
       17.16 ... Benutzerauthentifizierung am Webserver Apache über LDAP ... 711
       17.17 ... Und was geht sonst noch alles mit LDAP? ... 714

18.  Druckserver ... 715
       18.1 ... Grundkonfiguration des Netzwerkzugriffs ... 716
       18.2 ... Policies ... 719
       18.3 ... Drucker und Klassen einrichten und verwalten ... 725
       18.4 ... Druckerquotas ... 727
       18.5 ... CUPS über die Kommandozeile ... 728
       18.6 ... PPD-Dateien ... 731
       18.7 ... CUPS und Kerberos ... 732
       18.8 ... Noch mehr Druck ... 734


TEIL IV  Infrastruktur ... 735

19.  Hochverfügbarkeit ... 737
       19.1 ... Das Beispiel-Setup ... 737
       19.2 ... Installation ... 738
       19.3 ... Einfache Vorarbeiten ... 739
       19.4 ... Shared Storage mit DRBD ... 740
       19.5 ... Grundkonfiguration der Clusterkomponenten ... 745
       19.6 ... Dienste hochverfügbar machen ... 752

20.  Virtualisierung ... 767
       20.1 ... Einleitung ... 767
       20.2 ... Für den »Sysadmin« ... 768
       20.3 ... Servervirtualisierung ... 772
       20.4 ... Netzwerkgrundlagen ... 776
       20.5 ... Management und Installation ... 779
       20.6 ... Umzugsunternehmen: Live Migration ... 797


TEIL V  Kommunikation ... 801

21.  Netzwerk ... 803
       21.1 ... Vorwort zu »Predictable Network Interface Names« ... 803
       21.2 ... Netzwerkkonfiguration mit »iproute2« ... 804
       21.3 ... Routing mit »ip« ... 815
       21.4 ... Bonding ... 826
       21.5 ... IPv6 ... 832
       21.6 ... Firewalls mit »netfilter« und »iptables« ... 841
       21.7 ... DHCP ... 864
       21.8 ... DNS-Server ... 868
       21.9 ... Vertrauen schaffen mit »DNSSEC« ... 887
       21.10 ... Nachwort zum Thema Netzwerk ... 896

22.  OpenSSH ... 897
       22.1 ... Die SSH-Familie ... 897
       22.2 ... Schlüssel statt Passwort ... 902
       22.3 ... X11-Forwarding ... 905
       22.4 ... Portweiterleitung und Tunneling ... 905

23.  Administrationstools ... 909
       23.1 ... Was kann dies und jenes noch? ... 909
       23.2 ... Aus der Ferne -- Remote-Administrationstools ... 932

24.  Versionskontrolle ... 941
       24.1 ... Philosophien ... 942
       24.2 ... Versionskontrollsysteme ... 945
       24.3 ... Kommandos ... 957
       24.4 ... Git-Server mit Gitolite ... 958


TEIL VI  Automatisierung ... 963

25.  Scripting ... 965
       25.1 ... Aufgebohrte Muscheln ... 965
       25.2 ... Vom Suchen und Finden: ein kurzer überblick ... 966
       25.3 ... Fortgeschrittene Shell-Programmierung ... 970
       25.4 ... Tipps und Tricks aus der Praxis ... 983

26.  Monitoring -- wissen, was läuft ... 987
       26.1 ... Nagios ... 988
       26.2 ... Monitoring mit Munin ... 1015
       26.3 ... Fazit ... 1017


TEIL VII  Sicherheit, Verschlüsselung und Zertifikate ... 1019

27.  Sicherheit ... 1021
       27.1 ... Weniger ist mehr ... 1022
       27.2 ... »chroot« ... 1023
       27.3 ... Selbstabsicherung: »AppArmor« ... 1029
       27.4 ... Gotcha! Intrusion-Detection-Systeme ... 1036
       27.5 ... Installation und Konfiguration ... 1038
       27.6 ... Performante Log-Speicherung mit »Barnyard2« und »MySQL« ... 1044
       27.7 ... Das Neueste vom Neuen: »pulledpork« ... 1050
       27.8 ... Überblick behalten mit »Snorby« ... 1052
       27.9 ... Klein, aber oho: »fail2ban« ... 1064
       27.10 ... OpenVPN ... 1070

28.  Verschlüsselung und Zertifikate ... 1093
       28.1 ... Definition und Historie ... 1093
       28.2 ... Moderne Kryptologie ... 1095
       28.3 ... Den Durchblick behalten ... 1097
       28.4 ... Einmal mit allem und kostenlos bitte: »Let's Encrypt« ... 1102
       28.5 ... In der Praxis ... 1105
       28.6 ... Neben der Kommunikation -- Dateiverschlüsselung ... 1123
       28.7 ... Rechtliches ... 1131

  Die Autoren ... 1135

  Index ... 1137