Linux-Server

Deimeke, DirkDirk Deimeke, Jahrgang 1968, beschäftigt sich seit 1996 aktiv mit Linux. Nach seinem Engagement für Ubuntu Linux unterstützt er das Projekt »Taskwarrior«, eine Aufgabenverwaltung für die Kommandozeile und die Blogsoftware »Serendipity«. 2008 in die Schweiz ausgewandert, arbeitet er seit Juni 2014 als Senior System Engineer Unix/Linux für die Bank Vontobel AG.In seiner verbleibenden freien Zeit startete er die eigene Unternehmung »My own IT - Dirk Deimeke«, die im Rahmen einer »digitalen Nachbarschaftshilfe« Privatpersonen und Organisationen darin unterstützt, die Autonomie über ihre eigenen Daten zu behalten.Neben Artikeln in seinem Blog versucht sich Dirk im Aikido und hält Vorträge und Workshops auf Open-Source-Konferenzen. Er lebt mit seiner Frau, zwei Hunden und einem Pferd in einem kleinen Dorf vor den Toren von Zürich.

Kania, Stefan
Stefan Kania ist seit 1997 freiberuflich als Consultant und Trainer tätig: Seine Schwerpunkte liegen in der Implementierung von Samba und LDAP sowie in Schulungen zu beiden Themen. In seiner übrigen Zeit ist er als Tauchlehrer tätig, läuft Marathon und seit einiger Zeit versucht er sich am Square Dance. Mit dem Motorrad und seiner großen Liebe erkundet er im Sommer seine neue Wahlheimat Schleswig-Holstein.

Soest, Daniel van
Daniel van Soest, Jahrgang 1981, veröffentlichte bereits mehrere Fachartikel zu IT-Themen. Während seiner Ausbildung zum Informatikkaufmann kam er zu Beginn des neuen Jahrtausends erstmals mit dem Betriebssystem Linux in Kontakt. Seit seiner Ausbildung arbeitet er im Kommunalen Rechenzentrum Niederrhein in Kamp-Lintfort. Der Schwerpunkt seiner Tätigkeit liegt auf der Betreuung der zentralen Internet-Infrastruktur und der Administration der Sicherheitssysteme.Überschüssige Kreativität lebt er in seiner Band »4Dirty5« an der E-Gitarre aus. Daniel wohnt mit seiner Frau an der Schwelle vom Niederrhein zum Ruhrgebiet.

Heinlein, Peer
Peer Heinlein ist E-Mail-Spezialist, Gründer des sicheren E-Mail-Dienstes mailbox.org und Autor zahlreicher Fachbücher zum Thema sicherer Server-Betrieb. Er berät Unternehmen und Internet-Provider in Sicherheitsfragen rund um elektronische Kommunikation und engagiert sich aktiv für den Schutz der Privatsphäre. Bereits 1989 gründete Peer Heinlein den Internet Service Provider JPBerlin.de - einen der ersten Anbieter für private E-Mail-Adressen in Deutschland.

Von Hochverfügbarkeit über Sicherheit bis hin zu Automatisierung und Virtualisierung: Sie lernen Linux-Server distributionsunabhängig intensiv kennen. Das Buch bietet Ihnen über benötigtes Hintergrundwissen hinaus zahlreiche Praxisbeispiele zu den häufigsten in Unternehmen eingesetzten Distributionen wie CentOS, Debian GNU/Linux, openSUSE Leap, Ubuntu Server LTS u. v. m.!
Profitieren Sie vom Praxiswissen ausgewiesener Linux-Experten: Die Autoren verfügen über langjährige Erfahrung in der Administration und im Einsatz von Linux-Servern in Unternehmen.

Aus dem Inhalt:


Administrationsgrundlagen
Devices und Paketmanagement
Dateisysteme und Berechtigungen
Scripting und Shell-Coding


Dienste
Web-, Mail-, Proxy-, FTP- und Druckserver
Samba, LDAP, Kerberos, NFSv4


Infrastruktur und Netze
Hochverfügbarkeit
Virtualisierung (KVM, Docker)
Routing, Bonding, Firewalls
DHCP, DNS, OpenSSH
Versionskontrolle (VCS)


Sicherheit, Monitoring & Co.
Backup und Recovery
Verschlüsselung
Zertifikate
Automatisierung
Ansible
PKI mit OCSP

Inklusive sofort einsetzbarer Praxislösungen

Vorwort ... 33


Über dieses Buch ... 41


1. Der Administrator ... 45


1.1 ... Der Beruf des Systemadministrators ... 45

1.2 ... Nützliche Fähigkeiten und Fertigkeiten ... 52

1.3 ... Das Verhältnis des Administrators zu Normalsterblichen ... 55

1.4 ... Unterbrechungsgesteuertes Arbeiten ... 57

1.5 ... Einordnung der Systemadministration ... 58

1.6 ... Ethischer Verhaltenskodex ... 63

1.7 ... Administration -- eine Lebenseinstellung? ... 64




TEIL I Grundlagen ... 67



2. Bootvorgang ... 69


2.1 ... Einführung ... 69

2.2 ... Der Bootloader GRUB 2 ... 69

2.3 ... Bootloader Recovery ... 76

2.4 ... Der Kernel und die »initrd« ... 77

2.5 ... »systemd« ... 83



3. Festplatten und andere Devices ... 97


3.1 ... RAID ... 97

3.2 ... Rein logisch: Logical Volume Manager »LVM« ... 110

3.3 ... »udev« ... 134

3.4 ... Alles virtuell? »/proc« ... 137



4. Dateisysteme ... 145


4.1 ... Dateisysteme: von Bäumen, Journalen und einer Kuh ... 145

4.2 ... Praxis ... 149

4.3 ... Fazit ... 162



5. Berechtigungen ... 163


5.1 ... User, Gruppen und Dateisystemstrukturen ... 163

5.2 ... Dateisystemberechtigungen ... 166

5.3 ... Erweiterte POSIX-ACLs ... 170

5.4 ... Erweiterte Dateisystemattribute ... 179

5.5 ... Quotas ... 181

5.6 ... Pluggable Authentication Modules (PAM) ... 188

5.7 ... Konfiguration von PAM ... 194

5.8 ... »ulimit« ... 196

5.9 ... Abschlussbemerkung ... 198




TEIL II Aufgaben ... 199



6. Paketmanagement ... 201


6.1 ... Paketverwaltung ... 201

6.2 ... Pakete im Eigenbau ... 207

6.3 ... Updates nur einmal laden: »Cache« ... 219

6.4 ... Alles meins: »Mirror« ... 223



7. Backup und Recovery ... 237


7.1 ... Backup gleich Disaster Recovery? ... 237

7.2 ... Backupstrategien ... 238

7.3 ... Datensicherung mit »tar« ... 241

7.4 ... Datensynchronisation mit »rsync« ... 244

7.5 ... Imagesicherung mit »dd« ... 251

7.6 ... Disaster Recovery mit ReaR ... 255




TEIL III Dienste ... 269



8. Webserver ... 271


8.1 ... Apache ... 271

8.2 ... nginx ... 291

8.3 ... Logfiles auswerten ... 295



9. FTP-Server ... 299


9.1 ... Einstieg ... 299

9.2 ... Download-Server ... 300

9.3 ... Zugriff von Usern auf ihre Homeverzeichnisse ... 302

9.4 ... FTP über SSL (FTPS) ... 303

9.5 ... Anbindung an LDAP ... 305



10. Mailserver ... 307


10.1 ... Postfix ... 307

10.2 ... Antivirus- und Spam-Filter mit Amavisd-new, ClamAV und SpamAssassin ... 326

10.3 ... POP3/IMAP-Server mit Dovecot ... 338

10.4 ... Der Ernstfall: Der IMAP-Server erwacht zum Leben ... 344

10.5 ... Dovecot im Replikations-Cluster ... 346

10.6 ... Monitoring und Logfile-Auswertung ... 351



11. Datenbank ... 355


11.1 ... MariaDB in der Praxis ... 355

11.2 ... Tuning ... 368

11.3 ... Backup und Point-In-Time-Recovery ... 379



12. Syslog ... 383


12.1 ... Aufbau von Syslog-Nachrichten ... 383

12.2 ... Der Klassiker: »SyslogD« ... 385

12.3 ... Syslog-ng ... 387

12.4 ... Rsyslog ... 393

12.5 ... Loggen über das Netz ... 395

12.6 ... Syslog in eine Datenbank schreiben ... 397

12.7 ... »systemd« mit »journalctl« ... 400

12.8 ... Fazit ... 407



13. Proxy-Server ... 409


13.1 ... Einführung des Stellvertreters ... 409

13.2 ... Proxys in Zeiten des Breitbandinternets ... 410

13.3 ... Herangehensweisen und Vorüberlegungen ... 411

13.4 ... Grundkonfiguration ... 411

13.5 ... Authentifizierung ... 424

13.6 ... Log-Auswertung: »Calamaris« und »Sarg« ... 440

13.7 ... Unsichtbar: »transparent proxy« ... 443

13.8 ... Ab in den Pool -- Verzögerung mit »delay_pools« ... 444

13.9 ... Familienbetrieb: »Sibling, Parent und Co.« ... 448

13.10 ... Cache-Konfiguration ... 451



14. Kerberos ... 457


14.1 ... Begriffe im Zusammenhang mit Kerberos ... 458

14.2 ... Funktionsweise von Kerberos ... 459

14.3 ... Installation und Konfiguration des Kerberos-Servers ... 460

14.4 ... Initialisierung und Testen des Kerberos-Servers ... 465

14.5 ... Kerberos und PAM ... 471

14.6 ... Neue Benutzer mit Kerberos-Principal anlegen ... 473

14.7 ... Hosts und Dienste ... 474

14.8 ... Konfiguration des Kerberos-Clients ... 477

14.9 ... Replikation des Kerberos-Servers ... 479

14.10 ... Kerberos-Policys ... 487

14.11 ... Kerberos in LDAP einbinden ... 490

14.12 ... Neue Benutzer im LDAP-Baum ... 502

14.13 ... Authentifizierung am LDAP-Server über »GSSAPI« ... 504

14.14 ... Konfiguration des LAM Pro ... 514



15. Samba 4 ... 517


15.1 ... Vorüberlegungen ... 517

15.2 ... Konfiguration von Samba 4 als Domaincontroller ... 519

15.3 ... Testen des Domaincontrollers ... 527

15.4 ... Benutzer- und Gruppenverwaltung ... 533

15.5 ... Benutzer- und Gruppenverwaltung über die Kommandozeile ... 534

15.6 ... Die »Remote Server Administration Tools« (RSAT) ... 543

15.7 ... Gruppenrichtlinien ... 547

15.8 ... Linux-Client in der Domäne ... 558

15.9 ... Zusätzliche Server in der Domäne ... 569

15.10 ... Die Replikation der Freigabe »sysvol« einrichten ... 585

15.11 ... Was geht noch mit Samba 4? ... 590



16. NFS ... 591


16.1 ... Unterschiede zwischen »NFSv3« und »NFSv4« ... 591

16.2 ... Funktionsweise von »NFSv4« ... 592

16.3 ... Einrichten des »NFSv4«-Servers ... 593

16.4 ... Konfiguration des »NFSv4«-Clients ... 598

16.5 ... Konfiguration des »idmapd« ... 599

16.6 ... Optimierung von »NFSv4« ... 601

16.7 ... »NFSv4«~und Firewalls ... 603

16.8 ... NFS und Kerberos ... 604



17. LDAP ... 611


17.1 ... Einige Grundlagen zu LDAP ... 612

17.2 ... Unterschiede in den einzelnen Distributionen ... 620

17.3 ... Konfiguration des LDAP-Clients ... 624

17.4 ... Absichern der Verbindung zum LDAP-Server über TLS ... 624

17.5 ... Einrichtung des »sssd« ... 627

17.6 ... Grafische Werkzeuge für die LDAP-Verwaltung ... 631

17.7 ... Änderungen mit »ldapmodify« ... 632

17.8 ... Absichern des LDAP-Baums mit ACLs ... 634

17.9 ... Filter zur Suche im LDAP-Baum ... 640

17.10 ... Verwendung von Overlays ... 644

17.11 ... Partitionierung des DIT ... 647

17.12 ... Einrichtung mit Chaining ... 655

17.13 ... Testen der Umgebung ... 673

17.14 ... Replikation des DIT ... 677

17.15 ... Die dynamische Konfiguration ... 683

17.16 ... Verwaltung von Weiterleitungen für den Mailserver Postfix ... 689

17.17 ... Benutzerauthentifizierung von Dovecot über LDAP ... 692

17.18 ... Benutzerauthentifizierung am Proxy »Squid« über LDAP ... 694

17.19 ... Benutzerauthentifizierung am Webserver Apache über LDAP ... 698

17.20 ... Und was geht sonst noch alles mit LDAP? ... 701



18. Druckserver ... 703


18.1 ... Grundkonfiguration des Netzwerkzugriffs ... 704

18.2 ... Policys ... 707

18.3 ... Drucker und Klassen einrichten und verwalten ... 713

18.4 ... Druckerquotas ... 715

18.5 ... CUPS über die Kommandozeile ... 716

18.6 ... PPD-Dateien ... 719

18.7 ... CUPS und Kerberos ... 720

18.8 ... Noch mehr Druck ... 722




TEIL IV Infrastruktur ... 723



19. Hochverfügbarkeit ... 725


19.1 ... Das Beispiel-Setup ... 725

19.2 ... Installation ... 726

19.3 ... Einfache Vorarbeiten ... 727

19.4 ... Shared Storage mit DRBD ... 727

19.5 ... Grundkonfiguration der Clusterkomponenten ... 733

19.6 ... Dienste hochverfügbar machen ... 739



20. Virtualisierung ... 753


20.1 ... Einleitung ... 753

20.2 ... Für den »Sysadmin« ... 754

20.3 ... Servervirtualisierung ... 758

20.4 ... Netzwerkgrundlagen ... 762

20.5 ... Management und Installation ... 763

20.6 ... Umzugsunternehmen: Live Migration ... 780



21. Docker ... 783


21.1 ... Einführung, Installation und wichtige Grundlagen ... 783

21.2 ... Management von Images und Containern ... 797

21.3 ... Docker-Networking ... 811

21.4 ... Datenpersistenz ... 814

21.5 ... Erstellen eigener Images mit Dockerfiles ... 817

21.6 ... Multi-Container-Rollout mit Docker Compose ... 829

21.7 ... Betrieb einer eigenen Registry ... 836

21.8 ... Container-Cluster mit dem Docker Swarm Mode ... 843




TEIL V Kommunikation ... 853



22. Netzwerk ... 855


22.1 ... Vorwort zu »Predictable Network Interface Names« ... 855

22.2 ... Netzwerkkonfiguration mit »iproute2« ... 856

22.3 ... Routing mit »ip« ... 867

22.4 ... Bonding ... 878

22.5 ... IPv6 ... 884

22.6 ... Firewalls mit »netfilter« und »iptables« ... 893

22.7 ... DHCP ... 916

22.8 ... DNS-Server ... 920

22.9 ... Vertrauen schaffen mit »DNSSEC« ... 939

22.10 ... Nachwort zum Thema Netzwerk ... 948



23. OpenSSH ... 949


23.1 ... Die SSH-Familie ... 949

23.2 ... Schlüssel statt Passwort ... 954

23.3 ... X11-Forwarding ... 957

23.4 ... Portweiterleitung und Tunneling ... 957



24. Administrationstools ... 961


24.1 ... Was kann dies und jenes noch? ... 961

24.2 ... Aus der Ferne -- Remote-Administrationstools ... 984



25. Versionskontrolle ... 993


25.1 ... Philosophien ... 994

25.2 ... Versionskontrollsysteme ... 997

25.3 ... Kommandos ... 1009

25.4 ... Serverdienste ... 1010




TEIL VI Automatisierung ... 1017



26. Scripting ... 1019


26.1 ... Aufgebohrte Muscheln ... 1019

26.2 ... Vom Suchen und Finden: ein kurzer Überblick ... 1020

26.3 ... Fortgeschrittene Shell-Programmierung ... 1024

26.4 ... Tipps und Tricks aus der Praxis ... 1037



27. Ansible ... 1041


27.1 ... Einführung, Überblick und Installation ... 1041

27.2 ... Basiseinrichtung und Ad-hoc-Kommandos ... 1047

27.3 ... Die Konfigurations- und Serialisierungssprache YAML ... 1058

27.4 ... Playbooks ... 1063

27.5 ... Die Modul-Bibliothek ... 1101

27.6 ... Modularisierung von Playbooks mit Rollen oder Includes ... 1107

27.7 ... Webinterfaces ... 1113

27.8 ... Was könnte noch besser sein bzw. was fehlt noch? ... 1118



28. Monitoring -- wissen, was läuft ... 1125


28.1 ... Monitoring mit Naemon ... 1127

28.2 ... Monitoring mit Munin ... 1145

28.3 ... Fazit ... 1147




TEIL VII Sicherheit, Verschlüsselung und Zertifikate ... 1149



29. Sicherheit ... 1151


29.1 ... Weniger ist mehr ... 1152

29.2 ... »chroot« ... 1153

29.3 ... Selbstabsicherung: »AppArmor« ... 1155

29.4 ... Gotcha! Intrusion-Detection-Systeme ... 1161

29.5 ... Installation und Konfiguration ... 1164

29.6 ... Performante Log-Speicherung mit »Barnyard2« und »MySQL« ... 1170

29.7 ... Das Neueste vom Neuen: »pulledpork« ... 1175

29.8 ... Klein, aber oho: »fail2ban« ... 1177

29.9 ... OpenVPN ... 1183



30. Verschlüsselung und Zertifikate ... 1211


30.1 ... Definition und Historie ... 1211

30.2 ... Moderne Kryptologie ... 1213

30.3 ... Den Durchblick behalten ... 1215

30.4 ... Einmal mit allem und kostenlos bitte: »Let's Encrypt« ... 1220

30.5 ... In der Praxis ... 1223

30.6 ... Neben der Kommunikation -- Dateiverschlüsselung ... 1241

30.7 ... Rechtliches ... 1249



Die Autoren ... 1253


Index ... 1255