Linux-Server (eBook)

Vorwort 23
Über dieses Buch 29
Formales 29
Linux-Distributionen 31
1 Der Administrator 33
1.1 Der Beruf des Systemadministrators 33
1.1.1 Berufsbezeichnung und Aufgaben 33
1.1.2 Job-Definitionen 34
1.2 Nützliche Fähigkeiten und Fertigkeiten 39
1.2.1 Soziale Fähigkeiten 39
1.2.2 Arbeitstechniken 40
1.3 Das Verhältnis vom Administrator zu Normalsterblichen 42
1.3.1 Der Chef und andere Vorgesetzte 42
1.3.2 Benutzer 43
1.3.3 Andere Administratoren 43
1.4 Unterbrechungsgesteuertes Arbeiten 44
1.5 Ethischer Verhaltenskodex 45
TEIL I Grundlagen 47
2 Bootvorgang 49
2.1 Einführung 49
2.2 Der Bootloader GRUB 49
2.2.1 Installation 50
2.2.2 Konfiguration 52
2.2.3 Booten von einem Software-RAID-1 53
2.3 GRUB 2 54
2.3.1 Funktionsweise 54
2.3.2 Installation 54
2.3.3 Konfiguration 54
2.4 Bootloader Recovery 58
2.5 Der Kernel und die »initrd« 59
2.5.1 »initrd« erstellen und modifizieren 60
2.5.2 »initrd« manuell modifizieren 63
2.6 »Upstart« 64
2.6.1 Funktionsweise 64
2.6.2 Events im Detail 65
2.6.3 Prozessdefinitionen 66
2.6.4 Anzeige aller Upstart-Jobs 67
2.6.5 Anzeige und Überprüfung der Job-Konfigurationen 69
2.6.6 Starten, Stoppen und Neustarten von Diensten 70
2.6.7 Abschlussbemerkung 71
3 Festplatten und andere Devices 73
3.1 RAID 73
3.1.1 RAID-0 74
3.1.2 RAID-1 74
3.1.3 RAID-5 74
3.1.4 RAID-6 75
3.1.5 RAID-10 75
3.1.6 Zusammenfassung 75
3.1.7 Weich, aber gut: Software-RAID 76
3.1.8 Software-RAID unter Linux 77
3.1.9 Abschlussbemerkung zu RAIDs 84
3.2 Rein logisch: Logical Volume Manager »LVM« 84
3.2.1 Grundlagen und Begriffe 86
3.2.2 Setup 87
3.2.3 Aufbau einer Volume Group mit einem Volume 88
3.2.4 Erweiterung eines Volumes 91
3.2.5 Eine Volume Group erweitern 92
3.2.6 Aufbau eines gespiegelten Volumes 94
3.2.7 Eine defekte Festplatte ersetzen 95
3.2.8 Backups mit Snapshots 95
3.2.9 Kommandos 99
3.3 »udev« 101
3.3.1 »udev« -Regeln 101
3.3.2 Eigene Regeln schreiben 102
3.4 Alles virtuell? »/proc« 105
3.4.1 CPU 105
3.4.2 RAM 106
3.4.3 Kernelkonfiguration 107
3.4.4 Kernelparameter 107
3.4.5 Gemountete Dateisysteme 108
3.4.6 Prozessinformationen 108
3.4.7 Netzwerk 109
3.4.8 Änderungen dauerhaft speichern 110
3.4.9 Abschlussbemerkung 110
4 Dateisysteme 111
4.1 Dateisysteme: von Bäumen, Journalen und einer Kuh 111
4.1.1 Bäume 112
4.1.2 Journale 114
4.1.3 Und die Kühe? COW-fähige Dateisysteme 115
4.2 Praxis 115
4.2.1 Ext2/3-FS aufgebohrt: mke2fs, tune2fs, dumpe2fs, e2label 115
4.2.2 ReiserFS und seine Tools 118
4.2.3 XFS 119
4.2.4 Das Dateisystem vergrößern oder verkleinern 120
4.2.5 Ausblick auf BtrFS 122
4.3 Fazit 124
5 Berechtigungen 125
5.1 User, Gruppen und Dateisystemstrukturen 125
5.2 Dateisystemberechtigungen 128
5.2.1 Spezialbits 129
5.3 Erweiterte Posix-ACLs 132
5.3.1 Das Setzen und Anzeigen von einfachen ACLs 133
5.3.2 Setzen von Default-ACLs 135
5.3.3 Setzen von erweiterten ACLs 136
5.3.4 Entfernen von ACLs 139
5.3.5 Sichern und Zurückspielen von ACLs 140
5.4 Erweiterte Dateisystemattribute 140
5.4.1 Attribute, die jeder Benutzer ändern kann 141
5.4.2 Attribute, die nur »root« ändern kann 141
5.4.3 Weitere Attribute 142
5.5 Quotas 143
5.5.1 Installation und Aktivierung der Quotas 143
5.5.2 Journaling Quotas 145
5.5.3 Quota-Einträge verwalten 146
5.6 Pluggable Authentication Modules (PAM) 150
5.6.1 Verschiedene PAM-Typen 150
5.6.2 Die PAM-Kontrollflags 151
5.6.3 Argumente zu den Modulen 152
5.6.4 Modulpfade 152
5.6.5 Module und ihre Aufgaben 152
5.6.6 Die neuere Syntax bei der PAM-Konfiguration 154
5.7 Konfiguration von PAM 155
5.8 »ulimit« 157
5.8.1 Setzen der »ulimit« -Werte 158
5.9 Abschlussbemerkung 159
TEIL II Aufgaben 161
6 Paketmanagement 163
6.1 Paketverwaltung 163
6.1.1 »rpm« oder »deb«? 164
6.1.2 »yum«, »yast« oder »apt«? 166
6.1.3 Außerirdische an Bord – »alien« 168
6.2 Pakete im Eigenbau 169
6.2.1 Am Anfang war das Makefile 169
6.2.2 Vom Fellknäuel zum Paket 172
6.2.3 Patchen mit »patch« und »diff« 176
6.2.4 Updates ohne Repository 179
6.2.5 »rpm«-Update-Paket 179
6.2.6 »deb«-Update-Pakete 182
6.2.7 Updatesicher konfigurieren 183
7 Backup und Recovery 187
7.1 Backup gleich Disaster Recovery? 187
7.2 Backupstrategien 188
7.3 Datensicherung mit »tar« 191
7.3.1 Weitere interessante Optionen für GNU-»tar« 192
7.3.2 Sicherung über das Netzwerk mit »tar« und »ssh« 193
7.4 Datensynchronisation mit »rsync« 194
7.4.1 Lokale Datensicherung mit »rsync« 194
7.4.2 Synchronisieren im Netzwerk mit »rsync« 195
7.4.3 Wichtige Optionen für »rsync« 195
7.4.4 Backupskript für die Sicherung auf einen Wechseldatenträger 197
7.4.5 Backupskript für Sicherungen auf einen Backupserver 197
7.4.6 Verwendung von »ssh« für die Absicherung von »rsync« 200
7.5 Imagesicherung mit »dd« 201
7.5.1 Sichern des Master Boot Records (MBR) 201
7.5.2 Partitionstabelle mithilfe von »dd« zurückspielen 202
7.5.3 Erstellen eines Images mit »dd« 202
7.5.4 Einzelne Dateien mit »dd« aus einem Image zurückspielen 203
7.5.5 Abschlussbemerkung zu »dd« 205
7.6 Disaster Recovery mit ReaR 205
7.6.1 ReaR installieren 206
7.6.2 ReaR konfigurieren 206
7.6.3 Die erste Konfiguration 208
7.6.4 ReaR aufrufen 208
7.6.5 Der erste Testlauf 209
7.6.6 Der Recovery-Prozess 212
7.6.7 Die ReaR-Konfiguration im Detail 214
7.6.8 Migrationen mit ReaR 215
7.6.9 Abschlussbemerkung 215
7.7 Fazit zur Datensicherung und Recovery 216
TEIL III Dienste 217
8 Webserver 219
8.1 Apache 219
8.1.1 Virtuelle Hosts einrichten 219
8.1.2 HTTPS konfigurieren 221
8.1.3 Benutzer-Authentisierung mit Kerberos 224
8.1.4 Apache-Server mit ModSecurity schützen 226
8.1.5 Tuning und Monitoring 229
8.2 LightHttpd 233
8.2.1 Virtuelle Hosts mit »mod_simple_vhost« einrichten 233
8.2.2 Virtuelle Hosts ohne »mod_simple_vhost« einrichten 234
8.2.3 HTTPS konfigurieren 235
8.3 Logfiles auswerten 237
9 FTP-Server 241
9.1 Einstieg 241
9.1.1 Das File Transfer Protocol 241
9.1.2 vsftpd 242
9.2 Download-Server 242
9.3 Zugriff von Usern auf ihre Home-Verzeichnisse 244
9.4 FTP über SSL (FTPS) 245
9.5 Anbindung an LDAP 246
10 Mailserver 247
10.1 Postfix 247
10.1.1 Grundlegende Konfiguration 247
10.1.2 Integrierte Sicherheitsmechanismen 249
10.1.3 Antivirus- und Spamfilter mit Amavisd-new, ClamAV und SpamAssassin 252
10.2 Exim 262
10.2.1 Grundlegende Konfiguration 262
10.2.2 Viren erkennen 263
10.2.3 Spam abwehren 264
10.3 Monitoring und Logfile-Auswertung 266
10.3.1 Logfile-Auswertung mit »Lire« 266
10.4 Dovecot 269
10.4.1 POP3 269
10.4.2 IMAP 271
10.4.3 Konfiguration 273
11 Datenbank 277
11.1 MySQL in der Praxis 277
11.1.1 Installation und grundlegende Einrichtung 277
11.1.2 Replikation 278
11.1.3 Master-Master-Replikation 285
11.2 Tuning 288
11.2.1 Tuning des Speichers 289
11.2.2 Tuning von Indizes 295
11.3 Backup und Point-In-Time-Recovery 299
11.3.1 Restore zum letztmöglichen Zeitpunkt 300
11.3.2 Restore zu einem bestimmten Zeitpunkt 301
12 Syslog 303
12.1 Aufbau von Syslog-Nachrichten 303
12.2 Der Klassiker: »SyslogD« 304
12.3 Syslog-ng 306
12.3.1 Der »options«-Abschnitt 306
12.3.2 Das »source«-Objekt 308
12.3.3 Das »destination«-Objekt 308
12.3.4 Das »filter«-Objekt 310
12.3.5 Das »log«-Objekt 311
12.4 Rsyslog 312
12.4.1 Eigenschaftsbasierte Filter 312
12.4.2 Ausdrucksbasierte Filter 313
12.5 Loggen über das Netz 314
12.5.1 SyslogD 314
12.5.2 Syslog-ng 315
12.5.3 Rsyslog 315
12.6 Syslog in eine Datenbank schreiben 316
12.6.1 Anlegen der Log-Datenbank 316
12.6.2 In die Datenbank loggen 317
13 Proxyserver 321
13.1 Einführung des Stellvertreters 321
13.2 Proxys in Zeiten des Breitbandinternets 322
13.3 Herangehensweisen und Vorüberlegungen 323
13.4 Grundkonfiguration 323
13.4.1 Aufbau des Testumfelds 324
13.4.2 Netzwerk 324
13.4.3 Cache 325
13.4.4 Logging 326
13.4.5 Handhabung des Dienstes 329
13.4.6 Objekte 330
13.4.7 Regeln 332
13.4.8 Anwendung von Objekten und Regeln 334
13.5 Authentifizierung 336
13.5.1 Benutzerbasiert 338
13.5.2 Gruppenbasiert 349
13.6 Helferlein 353
13.6.1 squidGuard 353
13.6.2 Antiviren-Check: ClamAV mit HAVP einbinden 355
13.6.3 Dansguardian 358
13.7 Log-Auswertung: »Calamaris« und »Sarg« 362
13.7.1 Calamaris 362
13.7.2 Sarg 363
13.8 Unsichtbar: »transparent proxy« 364
13.9 Ab in den Pool – Verzögerung mit »delay_pools« 366
13.9.1 Funktionsweise – alles im Eimer! 366
13.9.2 Details – Klassen, Eimer und ACLs richtig wählen 367
14 Kerberos 371
14.1 Begriffe im Zusammenhang mit Kerberos 372
14.2 Funktionsweise von Kerberos 373
14.3 Installation und Konfiguration des Kerberos-Servers 373
14.3.1 Konfiguration der Datei »/etc/krb5.conf« 374
14.3.2 Konfiguration der Datei »kdc.conf« 376
14.4 Initialisierung und Testen des Kerberos-Servers 379
14.4.1 Verwalten der Principals 380
14.5 Kerberos und PAM 384
14.5.1 Konfiguration der PAM-Dateien auf dem SLES11 384
14.5.2 Testen der Anmeldung 385
14.6 Neue Benutzer mit Kerberos-Principal anlegen 385
14.7 Hosts und Dienste 386
14.7.1 Entfernen von Einträgen 388
14.8 Konfiguration des Kerberos-Clients 389
14.8.1 PAM und Kerberos auf dem Client 390
14.9 Replikation des Kerberos-Servers 390
14.9.1 Bekanntmachung aller KDCs im Netz 391
14.9.2 Konfiguration des KDC-Masters 394
14.9.3 Konfiguration des KDC-Slaves 395
14.9.4 Replikation des KDC-Masters auf den KDC-Slave 396
14.10 Kerberos Policies 398
15 Samba 401
15.1 Kurze Einführung in die Protokolle SMB und NetBIOS 402
15.1.1 Das Protokoll SMB 402
15.1.2 Das Protokoll NetBIOS 403
15.1.3 Möglichkeiten mit NetBIOS 404
15.1.4 Grundeinstellung der »smb.conf« 404
15.1.5 Verwendung von WINS zur Namensauflösung 406
15.1.6 Parameter für den »nmbd« in der »smb.conf« 407
15.1.7 Clientkonfiguration 409
15.2 Samba als Fileserver 410
15.2.1 Erstellen einfacher Freigaben 410
15.2.2 Spezielle Freigaben 413
15.2.3 Zusammenfassung mehrerer Freigaben 414
15.2.4 Kopieren von Freigabeeinstellungen 415
15.2.5 Ablauf des Zugriffs auf eine Freigabe 416
15.3 Benutzerverwaltung 419
15.3.1 Anlegen der Benutzer in der »smbpasswd« 420
15.3.2 Umwandeln der »smbpasswd« in »tdbsam« 422
15.4 Verschiedene »passdb backends« 423
15.4.1 »smbpasswd« 423
15.4.2 »tdbsam« 424
15.4.3 »ldapsam« 425
15.5 Samba als Domänencontroller 427
15.5.1 Grundeinstellung des Domänencontrollers 428
15.5.2 Weitere Möglichkeiten mit »rpcclient« 429
15.5.3 Einrichten eines Domänenadministrators 435
15.5.4 Kennwortrichtlinien mit »pdbedit« erstellen 437
15.5.5 Einrichten von Benutzern und Hosts in der Domäne 439
15.5.6 Benutzeranmeldung 446
15.6 Winbind 446
15.6.1 Verschachtelte Gruppen 450
15.6.2 Mitgliedschaft in einer Windows-Domäne 452
15.6.3 Konfiguration des Kerberos-Clients 453
15.6.4 Einstellung in der »smb.conf« 455
15.6.5 Beitritt zur Windows-Domäne 457
15.6.6 Testen der Domänenmitgliedschaft 459
15.6.7 Freigaben und Berechtigungen als Domänenmitglied 461
15.7 Samba als Printserver 464
15.7.1 Freigaben für Druckertreiber und Spooling 465
15.7.2 Einrichtung eines Printeradmins 466
15.7.3 Installation von Windows-Druckertreibern 466
15.7.4 Druckertreiber unter Windows-Server 2000/2003 und Windows XP 467
15.7.5 Druckertreiber unter Windows-Server 2008 R2 und Windows 7 468
15.8 Samba und Kerberos 471
15.9 Virtuelle Server und virtuelle Domänen 474
15.9.1 Zusammenführung der Server in jeder Arbeitsgruppe 475
15.9.2 Zusammenführen der zwei Arbeitsgruppen auf einer Maschine 477
15.10 Distributed File System mit Samba 480
15.10.1 Samba als DFS-Proxy 481
15.10.2 Samba als DFS-Link-Server 481
15.11 Vertrauensstellung 483
15.11.1 Der Samba-Server als vertrauende Domäne 484
15.11.2 Der Samba-Server als vertraute Domäne 484
15.12 Sicherung der Konfigurationen 486
15.13 Ausblick auf Samba 4 487
16 NFS 489
16.1 Unterschiede zwischen »NFSv3« und »NFSv4« 489
16.2 Funktionsweise von »NFSv4« 490
16.3 Einrichten des »NFSv4« -Servers 491
16.3.1 Konfiguration des Pseudodateisystems 491
16.3.2 Anpassen der Datei »/etc/exports« 492
16.3.3 Tests für den NFS-Server 495
16.4 Konfiguration des »NFSv4« -Clients 496
16.5 Konfiguration des »idmapd« 497
16.6 Optimierung von »NFSv4« 499
16.6.1 Optimierung des »NFSv4« -Servers 499
16.6.2 Optimierung des »NFSv4« -Clients 500
16.7 »NFSv4« und Firewalls 501
16.8 NFS und Kerberos 502
16.8.1 Erstellung der Principals und der »keytab« -Dateien 503
16.8.2 Kerberos-Authentifizierung unter Debian und Ubuntu 506
16.8.3 Kerberos-Authentifizierung auf einem SLES11 506
16.8.4 Anpassen der Datei »/etc/exports« 506
16.8.5 NFS-Client für Kerberos unter Debian und Ubuntu konfigurieren 507
16.8.6 NFS-Client für Kerberos auf SLES11 konfigurieren 507
16.8.7 Testen der durch Kerberos abgesicherten NFS-Verbindung 507
16.8.8 Testen der Verbindung 508
17 LDAP 511
17.1 Einige Grundlagen zu LDAP 512
17.1.1 Was ist ein Verzeichnisdienst? 0
17.1.2 Der Einsatz von LDAP im Netzwerk 513
17.1.3 Aufbau des LDAP-Datenmodells 513
17.1.4 Objekte 514
17.1.5 Attribute 515
17.1.6 Schema 515
17.1.7 Das LDIF-Format 519
17.2 Unterschiede in den einzelnen Distributionen 520
17.2.1 Umstellung auf die statische Konfiguration unter SLES11 520
17.2.2 Umstellung auf die statische Konfiguration unter Ubuntu-Server und Debian 521
17.2.3 Pfade und Benutzer 521
17.2.4 Die Datenbank-Backends 521
17.2.5 Grundkonfiguration des LDAP-Servers 521
17.3 Konfiguration des LDAP-Clients 524
17.3.1 Konfiguration des Clients auf dem SLES11 524
17.3.2 Konfiguration des Clients unter Debian »Squeeze« 525
17.3.3 Konfiguration des LDAP-Clients unter Ubuntu-Server 527
17.3.4 Erster Zugriff auf den LDAP-Server 527
17.4 Grafische Werkzeuge für die LDAP-Verwaltung 528
17.4.1 Konfiguration des »LAM« 530
17.4.2 Konfiguration des Lamdaemons 531
17.5 Änderungen mit »ldapmodify« 534
17.5.1 Interaktive Änderung mit »ldapmodify« 534
17.5.2 Änderungen über eine »ldif« -Datei mit »ldapmodify« 535
17.6 Absichern der Verbindung zum LDAP-Server über TLS 536
17.6.1 Erstellen der Zertifizierungsstelle 537
17.6.2 Erstellen des Serverzertifikats 537
17.6.3 Signieren des Zertifikats 537
17.6.4 Zertifikate in die »slapd.conf« eintragen 538
17.6.5 Konfiguration des LDAP-Clients 538
17.7 Absichern des LDAP-Baums mit ACLs 539
17.7.1 Eine eigene Datei für die ACLs einbinden 540
17.7.2 Erste ACLs zur Grundsicherung des DIT 541
17.7.3 ACLs mit regulären Ausdrücken 542
17.7.4 ACLs für den Einsatz von Samba in LDAP 544
17.7.5 Testen von ACLs vor dem Einsatz 544
17.8 Filter zur Suche im LDAP-Baum 546
17.8.1 Testen der Fähigkeiten des LDAP-Servers 546
17.8.2 Einfache Filter 548
17.8.3 Filter mit logischen Verknüpfungen 548
17.8.4 Einschränkung der Suchtiefe 549
17.9 Verwendung von Overlays 550
17.9.1 Overlays am Beispiel von »dynlist« 551
17.9.2 Weitere Overlays 552
17.10 Replikation des DIT 553
17.10.1 Konfiguration des Providers 554
17.10.2 Konfiguration des Consumers 556
17.11 Die dynamische Konfiguration 558
17.11.1 Umstellung auf die dynamische Konfiguration am Provider 559
17.11.2 Umstellung auf die dynamische Konfiguration am Consumer 563
17.12 Verwaltung von Mail-Aliasen für den Mailserver Postfix 565
17.12.1 Einrichten der »alias« -Tabelle 565
17.12.2 Einrichten der »virtual« -Tabelle 566
17.13 Cyrus und »saslauthd« über LDAP 567
17.14 Benutzerauthentifizierung am Proxy Squid über LDAP 568
17.14.1 Aktivierung der Authentifizierung über LDAP 568
17.14.2 Benutzerbezogene Authentifizierung 570
17.14.3 Gruppenbezogene Authentifizierung 570
17.15 Benutzerauthentifizierung am Webserver Apache über LDAP 572
17.15.1 Konfiguration der Cache-Parameter 572
17.15.2 Konfiguration der Zugriffsparameter 573
17.16 LDAP und Kerberos 574
17.17 Authentifizierung am LDAP-Server über »GSSAPI« 576
17.17.1 Einrichtung der Authentifizierung unter Debian und Ubuntu 577
17.17.2 Einrichten der Authentifizierung unter SLES11 582
17.18 Und was geht sonst noch alles mit LDAP? 586
18 Druckserver 587
18.1 Policies 588
18.1.1 Grundkonfiguration des Netzwerkzugriffs 588
18.1.2 Location policies 589
18.1.3 Operation policies 591
18.1.4 Weitere Konfigurationsmöglichkeiten 592
18.1.5 Browsing 594
18.2 Drucker und Klassen einrichten und verwalten 595
18.2.1 Drucker einrichten 595
18.2.2 Klassen einrichten 596
18.3 Druckerquotas 597
18.4 CUPS über die Kommandozeile 598
18.4.1 Einstellen eines Standarddruckers 598
18.4.2 Optionen für einen Drucker verwalten 599
18.5 PPD-Dateien 601
18.6 CUPS und Kerberos 602
18.6.1 Erstellen des Kerberos-Principals und der »keytab« -Datei 602
18.6.2 Umstellung der Authentifizierung am CUPS-Server 603
18.7 Noch mehr Druck 604
TEIL IV Infrastruktur 605
19 Hochverfügbarkeit 607
19.1 Das Beispiel-Setup 607
19.2 Installation 608
19.2.1 Ubuntu 12.04 LTS »Precise Pangolin« 608
19.2.2 Debian 6.0 »Squeeze« 608
19.2.3 Debian 5.0 »Lenny« 608
19.2.4 openSUSE 609
19.2.5 SUSE Linux Enterprise Server 11 609
19.3 Einfache Vorarbeiten 610
19.4 Shared Storage mit DRBD 610
19.4.1 Grundlegende Konfiguration unter Debian und SUSE 611
19.4.2 Grundlegende Konfiguration unter Ubuntu LTS 611
19.4.3 Die wichtigsten Konfigurationsoptionen 612
19.4.4 Die DRBD-Ressource in Betrieb nehmen 614
19.5 Grundkonfiguration der Clusterkomponenten 617
19.5.1 OpenAIS und Corosync: das Benachrichtigungssystem 617
19.5.2 Pacemaker: der Ressourcen-Manager 619
19.5.3 Quorum deaktivieren 620
19.6 Dienste hochverfügbar machen 622
19.6.1 Die erste Ressource: eine hochverfügbare IP-Adresse 623
19.6.2 Hochverfügbarkeit am Beispiel von Apache 625
19.6.3 DRBD integrieren 628
19.6.4 Fencing 631
20 Virtualisierung 633
20.1 Einleitung 633
20.2 Für den »Sysadmin« 634
20.3 Servervirtualisierung 638
20.3.1 KVM 639
20.3.2 Xen 641
20.4 Netzwerkgrundlagen 642
20.5 Management und Installation 645
20.5.1 Einheitlich arbeiten: »libvirt« 645
20.5.2 Konsolenbasiertes Management: »virsh« 649
20.5.3 Virtuelle Maschinen installieren 652
20.5.4 »virt-install« 654
20.5.5 Alleskönner: »Virtual Machine Manager« 657
20.5.6 Zusätzliche Konsolentools 661
20.6 Umzugsunternehmen: Live Migration 663
20.6.1 Vorbereitungen 663
20.6.2 Konfiguration im »Virtual Machine Manager« 664
TEIL V Kommunikation 667
21 Netzwerk 669
21.1 Netzwerkkonfiguration mit »iproute2« 669
21.1.1 Erste Schritte 669
21.1.2 »iproute2« im Detail 672
21.1.3 Links ansehen und manipulieren 673
21.1.4 IP-Adressen mit »iproute2« 675
21.1.5 »ip« zur Manipulation von ARP-Einträgen 678
21.2 Routing mit »ip« 679
21.2.1 Routing-Informationen anzeigen 680
21.2.2 Advanced Routing 681
21.2.3 Die vorhandenen Regeln ansehen 682
21.2.4 Neue Routing-Tabelle anlegen 683
21.2.5 Policy Routing Database ändern 683
21.2.6 Routing über mehrere Uplinks 685
21.2.7 Abschlussbemerkung 690
21.3 Bonding 690
21.3.1 Bonding-Konfiguration 690
21.3.2 Bonding bei Debian und Ubuntu 693
21.3.3 Bonding bei SLES 693
21.4 IPv6 693
21.4.1 Die Vorteile von IPv6 695
21.4.2 Notation von IPv6-Adressen 695
21.4.3 Die Netzmasken 696
21.4.4 Die verschiedenen IPv6-Adressarten 696
21.4.5 Es geht auch ohne »ARP« 698
21.4.6 Feste Header-Länge 699
21.4.7 IPv6 in der Praxis 702
21.5 Firewalls mit »netfilter« und »iptables« 703
21.6 Firewall mit »iptables« 703
21.6.1 Der Weg der Pakete durch den Kernel 704
21.6.2 Einführung in »iptables« 705
21.6.3 Regeln definieren 707
21.6.4 Die klassischen Targets 708
21.6.5 Ein erster Testlauf 708
21.6.6 Stateful Packet Inspection 709
21.6.7 Das erste Firewallskript 711
21.6.8 Externe Firewall 712
21.6.9 Logging 717
21.6.10 Network Address Translation und Masquerading 719
21.6.11 Weitere nützliche Module für »iptables« 720
21.7 Abschlussbemerkung 722
21.8 DHCP 723
21.8.1 Funktionsweise 723
21.8.2 Konfiguration 723
21.9 DNS-Server 726
21.9.1 Funktionsweise 726
21.9.2 Die Grundkonfiguration 727
21.9.3 Zonendefinitionen 729
21.9.4 Die erste vollständige Zone 734
21.9.5 Die »hint« -Zone 736
21.9.6 Reverse Lookup 738
21.9.7 Slave-Server 739
21.9.8 DNS-Server und IPv6 741
21.10 Nachwort zum Thema Netzwerk 743
22 OpenSSH 745
22.1 Die SSH-Familie 745
22.1.1 Die Clients: »ssh«, »scp«, »sftp« 746
22.1.2 Der Server: »sshd« 748
22.2 Schlüssel statt Passwort 750
22.2.1 Schlüssel erzeugen 750
22.2.2 Passwortloses Login 751
22.2.3 Der SSH-Agent merkt sich Passphrasen 752
22.3 X11-Forwarding 753
22.4 Portweiterleitung und Tunneling 753
23 Administrationstools 755
23.1 Was kann dies und jenes noch? 755
23.1.1 Der Rsync-Daemon 755
23.1.2 Wenn's mal wieder später wird: »screen« 757
23.1.3 Anklopfen mit »nmap« 757
23.1.4 Netzwerkinspektion: »netstat« 761
23.1.5 Zugreifende Prozesse finden: »lsof« 763
23.1.6 Was macht mein System? »top«! 767
23.1.7 Wenn gar nichts mehr geht – Debugging mit »strace« 772
23.2 Aus der Ferne – Remote-Administrationstools 777
23.2.1 PuTTY 777
23.2.2 WinSCP 780
23.2.3 Synergy 781
TEIL VI Automatisierung 785
24 Scripting 787
24.1 Aufgebohrte Muscheln 787
24.2 Vom Suchen und Finden: ein kurzer Überblick 788
24.2.1 Die Detektive: »grep«, »sed« und »AWK« 788
24.2.2 Reguläre Ausdrücke verstehen und anwenden 789
24.3 Fortgeschrittene Shell-Programmierung 792
24.3.1 Expansionsschemata 792
24.3.2 Umgebungsvariablen 796
24.3.3 »Back to bash«: ein tieferer Blick in die Muschel 797
24.3.4 Logging in Skripten 801
24.4 Tipps und Tricks aus der Praxis 804
24.4.1 Aufräumkommando 804
24.4.2 IFS 805
24.4.3 Datumsmagie 805
24.4.4 E-Mails aus einem Skript versenden 806
24.4.5 Interaktive Programme steuern 806
25 Monitoring – wissen, was läuft 809
25.1 Nagios 809
25.1.1 Installation 810
25.1.2 Nagios selbst kompilieren 810
25.1.3 Nagios-Plugins kompilieren 812
25.1.4 Die Verzeichnisstruktur 813
25.1.5 Das Webinterface 813
25.1.6 Die Hauptkonfigurationsdatei 814
25.1.7 Die Objekte 815
25.1.8 Die Ressourcendatei 824
25.1.9 CGI-Konfiguration 824
25.1.10 Plugins zu Nagios 825
25.1.11 Benachrichtigungen 831
25.1.12 Performance-Datenanalyse 833
25.1.13 Das Web-Frontend 836
25.2 Monitoring mit Munin 836
TEIL VII Sicherheit, Verschlüsselung und Zertifikate 839
26 Sicherheit 841
26.1 Weniger ist mehr 842
26.2 »chroot« 842
26.2.1 Dienste 843
26.2.2 »jailkit« 845
26.3 Selbstabsicherung: »AppArmor« 849
26.4 Gotcha! Intrusion-Detection-Systeme 855
26.4.1 »snort« und Co. 856
26.4.2 Installation 858
26.4.3 Regeln – »oinkmaster« 860
26.4.4 Anwendung von Intrusion-Detection-Systemen in der Praxis 865
26.5 Klein, aber oho: »fail2ban« 867
26.6 Einmalpasswörter mit OPIE 872
26.7 OpenVPN 875
26.7.1 Serverinstallation – OpenVPN, PKI und Co. 876
26.7.2 Roadwarrior 883
26.7.3 Site-to-site 889
26.7.4 Simple-HA 891
26.7.5 Tipps und Tricks 892
27 Verschlüsselung und Zertifikate 897
27.1 Definition und Historie 897
27.2 Moderne Kryptologie 899
27.2.1 Symmetrische Verschlüsselung 899
27.2.2 Asymmetrische Verschlüsselung 900
27.3 Den Durchblick behalten 901
27.3.1 Das Grundproblem 901
27.3.2 Verwendungszwecke 902
27.3.3 Umsetzung mithilfe einer PKI 902
27.3.4 X.509 903
27.3.5 Ein anderer Ansatz: PGP (Web-of-Trust) 905
27.4 In der Praxis 906
27.4.1 Einrichtung einer PKI mit Server- und E-Mail-Zertifikaten 906
27.4.2 E-Mail-Verschlüsselung 916
27.5 Neben der Kommunikation – Dateiverschlüsselung 924
27.5.1 Dateien 924
27.5.2 Devices 925
27.5.3 Festplatten/System 928
27.6 Rechtliches 931
27.6.1 Fortgeschrittene elektronische Signatur 932
27.6.2 Qualifiziertes Zertifikat 932
27.6.3 Qualifizierte elektronische Signatur 932
27.6.4 Sichere Signaturerstellungseinheit (SSEE) 933
Die Autoren 935
Index 937