Linux-Server

Dirk Deimeke arbeitet bei der Credit Suisse als System Engineer Unix. Dort ist er mitverantwortlich für das Order Routing System. Er engagiert sich außerdem stark im Ubuntu-Projekt.

Stefan Kania ist ausgebildeter Kommunikationstechniker und arbeitet selbstständig als Netzwerk-Techniker.

Charly Kühnast administriert Unix-Betriebssysteme im Rechenzentrum Niederrhein in Moers. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ.

Stefan Semmelroggen arbeitet bei "Heinlein Professional Linux Support GmbH". Dort ist er für die größeren Kundenprojekte verantwortlich und leistet viel Notfallsupport. Er schult außerdem vor allem in den Bereichen Sicherheit und Systematische Fehler- und Netzwerkdiagnose.

Daniel van Soest arbeitet als Administrator beim Rechenzentrum Niederrhein. Seine Schwerpunkte liegen im zentralen Internetumfeld, bei der Betreuung der zentralen und dezentralen Firewallsysteme, NAT-Gateways, VPN-Konzentratoren und der IDS/IPS.

Vorwort ... 23


Über dieses Buch ... 29


Formales ... 29

Linux-Distributionen ... 31



1. Der Administrator ... 33


1.1 ... Der Beruf des Systemadministrators ... 33

1.2 ... Nützliche Fähigkeiten und Fertigkeiten ... 39

1.3 ... Das Verhältnis vom Administrator zu Normalsterblichen ... 42

1.4 ... Unterbrechungsgesteuertes Arbeiten ... 44

1.5 ... Ethischer Verhaltenskodex ... 45




TEIL I Grundlagen ... 47



2. Bootvorgang ... 49


2.1 ... Einführung ... 49

2.2 ... Der Bootloader GRUB ... 49

2.3 ... GRUB 2 ... 54

2.4 ... Bootloader Recovery ... 58

2.5 ... Der Kernel und die »initrd« ... 59

2.6 ... »Upstart« ... 64



3. Festplatten und andere Devices ... 73


3.1 ... RAID ... 73

3.2 ... Rein logisch: Logical Volume Manager »LVM« ... 84

3.3 ... »udev« ... 101

3.4 ... Alles virtuell? »/proc« ... 105



4. Dateisysteme ... 111


4.1 ... Dateisysteme: von Bäumen, Journalen und einer Kuh ... 111

4.2 ... Praxis ... 115

4.3 ... Fazit ... 124



5. Berechtigungen ... 125


5.1 ... User, Gruppen und Dateisystemstrukturen ... 125

5.2 ... Dateisystemberechtigungen ... 128

5.3 ... Erweiterte Posix-ACLs ... 132

5.4 ... Erweiterte Dateisystemattribute ... 140

5.5 ... Quotas ... 143

5.6 ... Pluggable Authentication Modules (PAM) ... 150

5.7 ... Konfiguration von PAM ... 155

5.8 ... »ulimit« ... 157

5.9 ... Abschlussbemerkung ... 159




TEIL II Aufgaben ... 161



6. Paketmanagement ... 163


6.1 ... Paketverwaltung ... 163

6.2 ... Pakete im Eigenbau ... 169



7. Backup und Recovery ... 187


7.1 ... Backup gleich Disaster Recovery? ... 187

7.2 ... Backupstrategien ... 188

7.3 ... Datensicherung mit »tar« ... 191

7.4 ... Datensynchronisation mit »rsync« ... 194

7.5 ... Imagesicherung mit »dd« ... 201

7.6 ... Disaster Recovery mit ReaR ... 205

7.7 ... Fazit zur Datensicherung und Recovery ... 216




TEIL III Dienste ... 217



8. Webserver ... 219


8.1 ... Apache ... 219

8.2 ... LightHttpd ... 233

8.3 ... Logfiles auswerten ... 237



9. FTP-Server ... 241


9.1 ... Einstieg ... 241

9.2 ... Download-Server ... 242

9.3 ... Zugriff von Usern auf ihre Home-Verzeichnisse ... 244

9.4 ... FTP über SSL (FTPS) ... 245

9.5 ... Anbindung an LDAP ... 246



10. Mailserver ... 247


10.1 ... Postfix ... 247

10.2 ... Exim ... 262

10.3 ... Monitoring und Logfile-Auswertung ... 266

10.4 ... Dovecot ... 269



11. Datenbank ... 277


11.1 ... MySQL in der Praxis ... 277

11.2 ... Tuning ... 288

11.3 ... Backup und Point-In-Time-Recovery ... 299



12. Syslog ... 303


12.1 ... Aufbau von Syslog-Nachrichten ... 303

12.2 ... Der Klassiker: »SyslogD« ... 304

12.3 ... Syslog-ng ... 306

12.4 ... Rsyslog ... 312

12.5 ... Loggen über das Netz ... 314

12.6 ... Syslog in eine Datenbank schreiben ... 316



13. Proxyserver ... 321


13.1 ... Einführung des Stellvertreters ... 321

13.2 ... Proxys in Zeiten des Breitbandinternets ... 322

13.3 ... Herangehensweisen und Vorüberlegungen ... 323

13.4 ... Grundkonfiguration ... 323

13.5 ... Authentifizierung ... 336

13.6 ... Helferlein ... 353

13.7 ... Log-Auswertung: »Calamaris« und »Sarg« ... 362

13.8 ... Unsichtbar: »transparent proxy« ... 364

13.9 ... Ab in den Pool -- Verzögerung mit »delay_pools« ... 366



14. Kerberos ... 371


14.1 ... Begriffe im Zusammenhang mit Kerberos ... 372

14.2 ... Funktionsweise von Kerberos ... 373

14.3 ... Installation und Konfiguration des Kerberos-Servers ... 373

14.4 ... Initialisierung und Testen des Kerberos-Servers ... 379

14.5 ... Kerberos und PAM ... 384

14.6 ... Neue Benutzer mit Kerberos-Principal anlegen ... 385

14.7 ... Hosts und Dienste ... 386

14.8 ... Konfiguration des Kerberos-Clients ... 389

14.9 ... Replikation des Kerberos-Servers ... 390

14.10 ... Kerberos Policies ... 398



15. Samba ... 401


15.1 ... Kurze Einführung in die Protokolle SMB und NetBIOS ... 402

15.2 ... Samba als Fileserver ... 410

15.3 ... Benutzerverwaltung ... 419

15.4 ... Verschiedene »passdb backends« ... 423

15.5 ... Samba als Domänencontroller ... 427

15.6 ... Winbind ... 446

15.7 ... Samba als Printserver ... 464

15.8 ... Samba und Kerberos ... 471

15.9 ... Virtuelle Server und virtuelle Domänen ... 474

15.10 ... Distributed File System mit Samba ... 480

15.11 ... Vertrauensstellung ... 483

15.12 ... Sicherung der Konfigurationen ... 486

15.13 ... Ausblick auf Samba 4 ... 487



16. NFS ... 489


16.1 ... Unterschiede zwischen »NFSv3« und »NFSv4« ... 489

16.2 ... Funktionsweise von »NFSv4« ... 490

16.3 ... Einrichten des »NFSv4« -Servers ... 491

16.4 ... Konfiguration des »NFSv4« -Clients ... 496

16.5 ... Konfiguration des »idmapd« ... 497

16.6 ... Optimierung von »NFSv4« ... 499

16.7 ... »NFSv4« und Firewalls ... 501

16.8 ... NFS und Kerberos ... 502



17. LDAP ... 511


17.1 ... Einige Grundlagen zu LDAP ... 512

17.2 ... Unterschiede in den einzelnen Distributionen ... 520

17.3 ... Konfiguration des LDAP-Clients ... 524

17.4 ... Grafische Werkzeuge für die LDAP-Verwaltung ... 528

17.5 ... Änderungen mit »ldapmodify« ... 534

17.6 ... Absichern der Verbindung zum LDAP-Server über TLS ... 536

17.7 ... Absichern des LDAP-Baums mit ACLs ... 539

17.8 ... Filter zur Suche im LDAP-Baum ... 546

17.9 ... Verwendung von Overlays ... 550

17.10 ... Replikation des DIT ... 553

17.11 ... Die dynamische Konfiguration ... 558

17.12 ... Verwaltung von Mail-Aliasen für den Mailserver Postfix ... 565

17.13 ... Cyrus und »saslauthd« über LDAP ... 567

17.14 ... Benutzerauthentifizierung am Proxy Squid über LDAP ... 568

17.15 ... Benutzerauthentifizierung am Webserver Apache über LDAP ... 572

17.16 ... LDAP und Kerberos ... 574

17.17 ... Authentifizierung am LDAP-Server über »GSSAPI« ... 576

17.18 ... Und was geht sonst noch alles mit LDAP? ... 586



18. Druckserver ... 587


18.1 ... Policies ... 588

18.2 ... Drucker und Klassen einrichten und verwalten ... 595

18.3 ... Druckerquotas ... 597

18.4 ... CUPS über die Kommandozeile ... 598

18.5 ... PPD-Dateien ... 601

18.6 ... CUPS und Kerberos ... 602

18.7 ... Noch mehr Druck ... 604




TEIL IV Infrastruktur ... 605



19. Hochverfügbarkeit ... 607


19.1 ... Das Beispiel-Setup ... 607

19.2 ... Installation ... 608

19.3 ... Einfache Vorarbeiten ... 610

19.4 ... Shared Storage mit DRBD ... 610

19.5 ... Grundkonfiguration der Clusterkomponenten ... 617

19.6 ... Dienste hochverfügbar machen ... 622



20. Virtualisierung ... 633


20.1 ... Einleitung ... 633

20.2 ... Für den »Sysadmin« ... 634

20.3 ... Servervirtualisierung ... 638

20.4 ... Netzwerkgrundlagen ... 642

20.5 ... Management und Installation ... 645

20.6 ... Umzugsunternehmen: Live Migration ... 663




TEIL V Kommunikation ... 667



21. Netzwerk ... 669


21.1 ... Netzwerkkonfiguration mit »iproute2« ... 669

21.2 ... Routing mit »ip« ... 679

21.3 ... Bonding ... 690

21.4 ... IPv6 ... 693

21.5 ... Firewalls mit »netfilter« und »iptables« ... 703

21.6 ... Firewall mit »iptables« ... 703

21.7 ... Abschlussbemerkung ... 722

21.8 ... DHCP ... 723

21.9 ... DNS-Server ... 726

21.10 ... Nachwort zum Thema Netzwerk ... 743



22. OpenSSH ... 745


22.1 ... Die SSH-Familie ... 745

22.2 ... Schlüssel statt Passwort ... 750

22.3 ... X11-Forwarding ... 753

22.4 ... Portweiterleitung und Tunneling ... 753



23. Administrationstools ... 755


23.1 ... Was kann dies und jenes noch? ... 755

23.2 ... Aus der Ferne -- Remote-Administrationstools ... 777




TEIL VI Automatisierung ... 785



24. Scripting ... 787


24.1 ... Aufgebohrte Muscheln ... 787

24.2 ... Vom Suchen und Finden: ein kurzer Überblick ... 788

24.3 ... Fortgeschrittene Shell-Programmierung ... 792

24.4 ... Tipps und Tricks aus der Praxis ... 804



25. Monitoring -- wissen, was läuft ... 809


25.1 ... Nagios ... 809

25.2 ... Monitoring mit Munin ... 836




TEIL VII Sicherheit, Verschlüsselung und Zertifikate ... 839



26. Sicherheit ... 841


26.1 ... Weniger ist mehr ... 842

26.2 ... »chroot« ... 842

26.3 ... Selbstabsicherung: »AppArmor« ... 849

26.4 ... Gotcha! Intrusion-Detection-Systeme ... 855

26.5 ... Klein, aber oho: »fail2ban« ... 867

26.6 ... Einmalpasswörter mit OPIE ... 872

26.7 ... OpenVPN ... 875



27. Verschlüsselung und Zertifikate ... 897


27.1 ... Definition und Historie ... 897

27.2 ... Moderne Kryptologie ... 899

27.3 ... Den Durchblick behalten ... 901

27.4 ... In der Praxis ... 906

27.5 ... Neben der Kommunikation -- Dateiverschlüsselung ... 924

27.6 ... Rechtliches ... 931



Die Autoren ... 935


Index ... 937