Linux-Server

Dirk Deimeke arbeitet bei der Credit Suisse als System Engineer Unix. Dort ist er mitverantwortlich für das Order Routing System. Er engagiert sich außerdem stark im Ubuntu-Projekt.

Stefan Kania ist ausgebildeter Kommunikationstechniker und arbeitet selbstständig als Netzwerk-Techniker.

Charly Kühnast administriert Unix-Betriebssysteme im Rechenzentrum Niederrhein in Moers. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ.

Daniel van Soest, Jahrgang 1981, veröffentlichte bereits einige Fachartikel zu IT-Themen. Während seiner Ausbildung zum Informatikkaufmann kam er zu Beginn des neuen Jahrtausends erstmals mit dem Betriebssystem Linux in Kontakt.

Peer Heinlein ist Geschäftsführer der Heinlein Support GmbH und erfahrener Netzwerk- und Linux-Spezialist.

Vorwort ... 29


Über dieses Buch ... 37


1. Der Administrator ... 41


1.1 ... Der Beruf des Systemadministrators ... 41

1.2 ... Nützliche Fähigkeiten und Fertigkeiten ... 47

1.3 ... Das Verhältnis vom Administrator zu Normalsterblichen ... 49

1.4 ... Unterbrechungsgesteuertes Arbeiten ... 52

1.5 ... Einordnung der Systemadministration ... 53

1.6 ... Ethischer Verhaltenskodex ... 57

1.7 ... Administration -- eine Lebenseinstellung? ... 59




TEIL I Grundlagen ... 61



2. Bootvorgang ... 63


2.1 ... Einführung ... 63

2.2 ... Der Bootloader GRUB ... 63

2.3 ... GRUB 2 ... 69

2.4 ... Bootloader Recovery ... 75

2.5 ... Der Kernel und die »initrd« ... 77

2.6 ... »Upstart« ... 81



3. Festplatten und andere Devices ... 91


3.1 ... RAID ... 91

3.2 ... Rein logisch: Logical Volume Manager »LVM« ... 104

3.3 ... »udev« ... 124

3.4 ... Alles virtuell? »/proc« ... 129



4. Dateisysteme ... 137


4.1 ... Dateisysteme: von Bäumen, Journalen und einer Kuh ... 137

4.2 ... Praxis ... 141

4.3 ... Fazit ... 150



5. Berechtigungen ... 151


5.1 ... User, Gruppen und Dateisystemstrukturen ... 151

5.2 ... Dateisystemberechtigungen ... 154

5.3 ... Erweiterte Posix-ACLs ... 158

5.4 ... Erweiterte Dateisystemattribute ... 166

5.5 ... Quotas ... 169

5.6 ... Pluggable Authentication Modules (PAM) ... 176

5.7 ... Konfiguration von PAM ... 182

5.8 ... »ulimit« ... 183

5.9 ... Abschlussbemerkung ... 185




TEIL II Aufgaben ... 187



6. Paketmanagement ... 189


6.1 ... Paketverwaltung ... 189

6.2 ... Pakete im Eigenbau ... 195

6.3 ... Updates nur einmal laden: »Cache« ... 211

6.4 ... Alles meins: »Mirror« ... 217



7. Backup und Recovery ... 231


7.1 ... Backup gleich Disaster Recovery? ... 231

7.2 ... Backupstrategien ... 232

7.3 ... Datensicherung mit »tar« ... 235

7.4 ... Datensynchronisation mit »rsync« ... 238

7.5 ... Imagesicherung mit »dd« ... 245

7.6 ... Disaster Recovery mit ReaR ... 249

7.7 ... Backup und Recovery mit Bacula/Bareos ... 262




TEIL III Dienste ... 279



8. Webserver ... 281


8.1 ... Apache ... 281

8.2 ... LightHttpd ... 295

8.3 ... Nginx ... 299

8.4 ... Logfiles auswerten ... 303



9. FTP-Server ... 307


9.1 ... Einstieg ... 307

9.2 ... Download-Server ... 308

9.3 ... Zugriff von Usern auf ihre Homeverzeichnisse ... 310

9.4 ... FTP über SSL (FTPS) ... 311

9.5 ... Anbindung an LDAP ... 313



10. Mailserver ... 315


10.1 ... Postfix ... 315

10.2 ... Antivirus- und Spam-Filter mit Amavisd-new, ClamAV und SpamAssassin ... 333

10.3 ... POP3/IMAP-Server mit Dovecot ... 345

10.4 ... Der Ernstfall: Der IMAP-Server erwacht zum Leben ... 350

10.5 ... Monitoring und Logfile-Auswertung ... 352



11. Datenbank ... 359


11.1 ... MySQL in der Praxis ... 359

11.2 ... Tuning ... 371

11.3 ... Backup und Point-In-Time-Recovery ... 382



12. Syslog ... 385


12.1 ... Aufbau von Syslog-Nachrichten ... 385

12.2 ... Der Klassiker: »SyslogD« ... 387

12.3 ... Syslog-ng ... 388

12.4 ... Rsyslog ... 394

12.5 ... Loggen über das Netz ... 396

12.6 ... Syslog in eine Datenbank schreiben ... 398



13. Proxy-Server ... 403


13.1 ... Einführung des Stellvertreters ... 403

13.2 ... Proxys in Zeiten des Breitbandinternets ... 404

13.3 ... Herangehensweisen und Vorüberlegungen ... 405

13.4 ... Grundkonfiguration ... 405

13.5 ... Authentifizierung ... 418

13.6 ... Helferlein ... 434

13.7 ... Log-Auswertung: »Calamaris« und »Sarg« ... 443

13.8 ... Unsichtbar: »transparent proxy« ... 445

13.9 ... Ab in den Pool -- Verzögerung mit »delay_pools« ... 447

13.10 ... Familienbetrieb: »Sibling, Parent und Co.« ... 450

13.11 ... Cache-Konfiguration ... 454



14. Kerberos ... 459


14.1 ... Begriffe im Zusammenhang mit Kerberos ... 460

14.2 ... Funktionsweise von Kerberos ... 461

14.3 ... Installation und Konfiguration des Kerberos-Servers ... 461

14.4 ... Initialisierung und Testen des Kerberos-Servers ... 466

14.5 ... Kerberos und PAM ... 472

14.6 ... Neue Benutzer mit Kerberos-Principal anlegen ... 473

14.7 ... Hosts und Dienste ... 474

14.8 ... Konfiguration des Kerberos-Clients ... 477

14.9 ... Replikation des Kerberos-Servers ... 478

14.10 ... Kerberos Policies ... 486

14.11 ... Kerberos im LDAP einbinden ... 488



15. Samba ... 501


15.1 ... Kurze Einführung in die Protokolle SMB und NetBIOS ... 502

15.2 ... Samba als Fileserver ... 511

15.3 ... Benutzerverwaltung ... 526

15.4 ... Verschiedene »passdb backends« ... 530

15.5 ... Samba als Domänencontroller ... 534

15.6 ... Winbind ... 554

15.7 ... Samba als Printserver ... 572

15.8 ... Samba und Kerberos ... 578

15.9 ... Virtuelle Server und virtuelle Domänen ... 582

15.10 ... Distributed File System mit Samba ... 588

15.11 ... Vertrauensstellung ... 590

15.12 ... Sicherung der Konfigurationen ... 594



16. Samba 4 ... 597


16.1 ... Vorbereitung für die Installation ... 597

16.2 ... Konfiguration von Samba 4 als Domaincontroller ... 599

16.3 ... Testen des Domaincontrollers ... 604

16.4 ... Benutzer- und Gruppenverwaltung ... 607

16.5 ... Benutzer- und Gruppenverwaltung über die Kommandozeile ... 608

16.6 ... Die »Remote Server Administration Tools«(RSAT) ... 617

16.7 ... Gruppenrichtlinien ... 621

16.8 ... Linux-Client in der Domäne ... 630

16.9 ... Zusätzliche Server in der Domäne ... 640

16.10 ... Was geht noch mit Samba 4? ... 650



17. NFS ... 651


17.1 ... Unterschiede zwischen »NFSv3« und »NFSv4« ... 651

17.2 ... Funktionsweise von »NFSv4« ... 652

17.3 ... Einrichten des »NFSv4«-Servers ... 653

17.4 ... Konfiguration des »NFSv4«-Clients ... 658

17.5 ... Konfiguration des »idmapd« ... 659

17.6 ... Optimierung von »NFSv4« ... 661

17.7 ... »NFSv4«~und Firewalls ... 663

17.8 ... NFS und Kerberos ... 664



18. LDAP ... 671


18.1 ... Einige Grundlagen zu LDAP ... 672

18.2 ... Unterschiede in den einzelnen Distributionen ... 680

18.3 ... Konfiguration des LDAP-Clients ... 684

18.4 ... Grafische Werkzeuge für die LDAP-Verwaltung ... 688

18.5 ... Änderungen mit »ldapmodify« ... 694

18.6 ... Absichern der Verbindung zum LDAP-Server über TLS ... 696

18.7 ... Absichern des LDAP-Baums mit ACLs ... 699

18.8 ... Filter zur Suche im LDAP-Baum ... 706

18.9 ... Verwendung von Overlays ... 710

18.10 ... Partitionierung des DIT ... 712

18.11 ... Replikation des DIT ... 723

18.12 ... Die dynamische Konfiguration ... 728

18.13 ... Verwaltung von Weiterleitungen für den Mailserver Postfix ... 735

18.14 ... Benutzerauthentifizierung von Dovecot über LDAP ... 738

18.15 ... Benutzerauthentifizierung am Proxy Squid über LDAP ... 740

18.16 ... Benutzerauthentifizierung am Webserver Apache über LDAP ... 744

18.17 ... LDAP und Kerberos ... 747

18.18 ... Authentifizierung am LDAP-Server über »GSSAPI« ... 749

18.19 ... Und was geht sonst noch alles mit LDAP? ... 759



19. Druckserver ... 761


19.1 ... Policies ... 762

19.2 ... Drucker und Klassen einrichten und verwalten ... 769

19.3 ... Druckerquotas ... 771

19.4 ... CUPS über die Kommandozeile ... 772

19.5 ... PPD-Dateien ... 775

19.6 ... CUPS und Kerberos ... 776

19.7 ... Noch mehr Druck ... 778




TEIL IV Infrastruktur ... 779



20. Hochverfügbarkeit ... 781


20.1 ... Das Beispiel-Setup ... 781

20.2 ... Installation ... 782

20.3 ... Einfache Vorarbeiten ... 783

20.4 ... Shared Storage mit DRBD ... 784

20.5 ... Grundkonfiguration der Clusterkomponenten ... 790

20.6 ... Dienste hochverfügbar machen ... 796



21. Virtualisierung ... 807


21.1 ... Einleitung ... 807

21.2 ... Für den »Sysadmin« ... 808

21.3 ... Servervirtualisierung ... 812

21.4 ... Netzwerkgrundlagen ... 816

21.5 ... Management und Installation ... 819

21.6 ... Umzugsunternehmen: Live Migration ... 837




TEIL V Kommunikation ... 841



22. Netzwerk ... 843


22.1 ... Netzwerkkonfiguration mit »iproute2« ... 843

22.2 ... Routing mit »ip« ... 855

22.3 ... Bonding ... 866

22.4 ... IPv6 ... 871

22.5 ... Firewalls mit »netfilter« und »iptables« ... 881

22.6 ... Abschlussbemerkung ... 903

22.7 ... DHCP ... 903

22.8 ... DNS-Server ... 907

22.9 ... Nachwort zum Thema Netzwerk ... 926



23. OpenSSH ... 927


23.1 ... Die SSH-Familie ... 927

23.2 ... Schlüssel statt Passwort ... 932

23.3 ... X11-Forwarding ... 935

23.4 ... Portweiterleitung und Tunneling ... 936



24. Administrationstools ... 939


24.1 ... Was kann dies und jenes noch? ... 939

24.2 ... Aus der Ferne -- Remote-Administrationstools ... 963



25. Versionskontrolle ... 973


25.1 ... Philosophien ... 974

25.2 ... Versionskontrollsysteme ... 977

25.3 ... Kommandos ... 989




TEIL VI Automatisierung ... 991



26. Scripting ... 993


26.1 ... Aufgebohrte Muscheln ... 993

26.2 ... Vom Suchen und Finden: ein kurzer Überblick ... 994

26.3 ... Fortgeschrittene Shell-Programmierung ... 998

26.4 ... Tipps und Tricks aus der Praxis ... 1011



27. Monitoring -- wissen, was läuft ... 1015


27.1 ... Nagios ... 1016

27.2 ... Monitoring mit Munin ... 1043

27.3 ... Fazit ... 1045




TEIL VII Sicherheit, Verschlüsselung und Zertifikate ... 1047



28. Sicherheit ... 1049


28.1 ... Weniger ist mehr ... 1050

28.2 ... »chroot« ... 1051

28.3 ... Selbstabsicherung: »AppArmor« ... 1056

28.4 ... Gotcha! Intrusion-Detection-Systeme ... 1064

28.5 ... Klein, aber oho: »fail2ban« ... 1075

28.6 ... OpenVPN ... 1080



29. Verschlüsselung und Zertifikate ... 1103


29.1 ... Definition und Historie ... 1103

29.2 ... Moderne Kryptologie ... 1105

29.3 ... Den Durchblick behalten ... 1107

29.4 ... In der Praxis ... 1112

29.5 ... Neben der Kommunikation -- Dateiverschlüsselung ... 1130

29.6 ... Rechtliches ... 1137



Die Autoren ... 1141


Index ... 1143

Seraphyn Blog: »Wer sich für Linux und seine Serverdienste interessiert sollte es unter dem Weihnachtsbaum vorfinden. « (zur Vorauflage)

IT Director: »Das Buch fokussiert auf gängige Aufgaben rund um die Administration eines Linux-Server-Systems.« (zur Vorauflage)