Linux-Server (eBook)

Dirk Deimeke, Jahrgang 1968, beschäftigt sich seit 1996 aktiv mit Linux. Zusätzlich zu seinem Engagement für Ubuntu Linux unterstützt er das Projekt "Taskwarrior", eine Aufgabenverwaltung für die Kommandozeile und die Blogsoftware "Serendipity". 2008 in die Schweiz ausgewandert, arbeitet er seit Juni 2014 als Senior System Engineer Unix/Linux für die Bank Vontobel AG. In seiner verbleibenden freien Zeit widmet er sich der eigenen Unternehmung "My own IT – Dirk Deimeke", die im Rahmen einer "digitalen Nachbarschaftshilfe" Privatpersonen und Organisationen darin unterstützt, die Autonomie über ihre eigenen Daten zu behalten. Neben Artikeln in seinem Blog hält er Vorträge und Workshops auf Open-Source-Konferenzen.

Daniel van Soest, Jahrgang 1981, veröffentlichte bereits mehrere Fachartikel zu IT-Themen. Während seiner Ausbildung zum Informatikkaufmann kam er zu Beginn des neuen Jahrtausends erstmals mit dem Betriebssystem Linux in Kontakt. Seit seiner Ausbildung arbeitet er im Kommunalen Rechenzentrum Niederrhein in Kamp-Lintfort. Der Schwerpunkt seiner Tätigkeit liegt auf der Betreuung der zentralen Internet-Infrastruktur und der Administration der Sicherheitssysteme.

Stefan Kania ist seit 1997 freiberuflich als Consultant und Trainer tätig. Seine Schwerpunkte liegen in der Implementierung von Samba und LDAP sowie in Schulungen zu beiden Themen. Seine Wahlheimat heißt Schleswig-Holstein.

Peer Heinlein ist E-Mail-Spezialist, Gründer des sicheren E-Mail-Dienstes mailbox.org und Autor zahlreicher Fachbücher zum Thema sicherer Server-Betrieb. Er berät Unternehmen und Internet-Provider in Sicherheitsfragen rund um elektronische Kommunikation und engagiert sich aktiv für den Schutz der Privatsphäre. Bereits 1989 gründete Peer Heinlein den Internet Service Provider JPBerlin.de – einen der ersten Anbieter für private E-Mail-Adressen in Deutschland.

Axel Miesen ist zertifizierter Linux-Systemadministrator und Trainer. Seit 2001 hat er zahlreichen Schulungen zu Themen wie Linux-Shellscripting, Perl, Docker und Ansible durchgeführt.

Vorwort ... 33
Über dieses Buch ... 43
1. Der Administrator ... 47

1.1 ... Der Beruf des Systemadministrators ... 47
1.2 ... Nützliche Fähigkeiten und Fertigkeiten ... 54
1.3 ... Das Verhältnis des Administrators zu Normalsterblichen ... 57
1.4 ... Unterbrechungsgesteuertes Arbeiten ... 59
1.5 ... Einordnung der Systemadministration ... 60
1.6 ... Ethischer Verhaltenskodex ... 64
1.7 ... Administration -- eine Lebenseinstellung? ... 65

TEIL I Grundlagen ... 67

2. Der Bootvorgang ... 69

2.1 ... Der Bootloader GRUB 2 ... 69
2.2 ... Bootloader Recovery ... 76
2.3 ... Der Kernel und die initrdignorespaces ... 77
2.4 ... systemd ignorespaces ... 83

3. Festplatten und andere Devices ... 97

3.1 ... RAIDignorespaces ... 97
3.2 ... Rein logisch: Logical Volume Manager (LVM) ... 110
3.3 ... udev ... 133
3.4 ... Alles virtuell? »>/proc« ... 137

4. Dateisysteme ... 145

4.1 ... Dateisysteme: von Bäumen, Journalen und einer Kuh ... 145
4.2 ... Praxis ... 149
4.3 ... Fazit ... 162

5. Berechtigungen ... 163

5.1 ... User, Gruppen und Dateisystemstrukturen ... 163
5.2 ... Dateisystemberechtigungen ... 166
5.3 ... Erweiterte POSIX-ACLs ... 170
5.4 ... Erweiterte Dateisystemattribute ... 179
5.5 ... Quotas ... 181
5.6 ... Pluggable Authentication Modules (PAM) ... 188
5.7 ... Konfiguration von PAM ... 194
5.8 ... ulimit ... 195
5.9 ... Abschlussbemerkung ... 197

TEIL II Aufgaben ... 199

6. Paketmanagement ... 201

6.1 ... Paketverwaltung ... 201
6.2 ... Pakete im Eigenbau ... 206
6.3 ... Updates nur einmal laden: Cache ... 219
6.4 ... Alles meins: Mirror ... 224

7. Backup und Recovery ... 237

7.1 ... Backup gleich Disaster Recovery? ... 237
7.2 ... Backupstrategien ... 238
7.3 ... Datensicherung mit tar ... 241
7.4 ... Datensynchronisation mit rsync ... 243
7.5 ... Imagesicherung mit dd ignorespaces ... 250
7.6 ... Disaster Recovery mit ReaR ... 255

TEIL III Dienste ... 269

8. Webserver ... 271

8.1 ... Apache ... 271
8.2 ... nginx ... 289
8.3 ... PHP ... 294
8.4 ... Fortgeschrittene TLS-Konfiguration und Sicherheitsfunktionen ... 301

9. FTP-Server ... 307

9.1 ... Einstieg ... 307
9.2 ... Download-Server ... 308
9.3 ... Zugriff von Usern auf ihre Homeverzeichnisse ... 310
9.4 ... FTP über SSL (FTPS) ... 311
9.5 ... Anbindung an LDAP ... 313

10. Mailserver ... 315

10.1 ... Postfix ... 315
10.2 ... POP3/IMAP-Server mit Dovecot ... 335
10.3 ... Anti-Spam/Anti-Virus mit Rspamd ... 348
10.4 ... Monitoring und Logfile-Auswertung ... 370

11. Datenbank ... 371

11.1 ... MariaDB in der Praxis ... 371
11.2 ... Tuning ... 384
11.3 ... Backup und Point-In-Time-Recovery ... 394

12. Syslog ... 397

12.1 ... Der Aufbau von Syslog-Nachrichten ... 397
12.2 ... systemd mit journalctl ... 399
12.3 ... Der Klassiker: Syslogd ... 408
12.4 ... Syslog-ng ... 410
12.5 ... Rsyslog ... 416
12.6 ... Loggen über das Netz ... 418
12.7 ... Syslog in eine Datenbank schreiben ... 420
12.8 ... Fazit ... 423

13. Proxy-Server ... 425

13.1 ... Einführung des Stellvertreters ... 425
13.2 ... Proxys in Zeiten des Breitbandinternets ... 426
13.3 ... Herangehensweisen und Vorüberlegungen ... 427
13.4 ... Grundkonfiguration ... 427
13.5 ... Authentifizierung ... 440
13.6 ... Log-Auswertung: Calamaris und Sarg ... 455
13.7 ... Unsichtbar: transparent proxy ... 458
13.8 ... Ab in den Pool -- Verzögerung mit delay_pools ... 459
13.9 ... Familienbetrieb: Sibling, Parent und Co. ... 462
13.10 ... Cache-Konfiguration ... 466

14. Kerberos ... 471

14.1 ... Begriffe im Zusammenhang mit Kerberos ... 472
14.2 ... Die Funktionsweise von Kerberos ... 472
14.3 ... Installation und Konfiguration des Kerberos-Servers ... 473
14.4 ... Initialisierung und Testen des Kerberos-Servers ... 481
14.5 ... Kerberos und PAM ... 487
14.6 ... Neue Benutzer mit Kerberos-Principal anlegen ... 489
14.7 ... Hosts und Dienste ... 490
14.8 ... Konfiguration des Kerberos-Clients ... 494
14.9 ... Replikation des Kerberos-Servers ... 496
14.10 ... Kerberos-Policies ... 504
14.11 ... Kerberos in LDAP einbinden ... 507
14.12 ... Neue Benutzer in den LDAP-Baum aufnehmen ... 526
14.13 ... Authentifizierung am LDAP-Server über »GSSAPI« ... 527
14.14 ... Konfiguration des LAM Pro ... 533

15. Samba 4 ... 537

15.1 ... Vorüberlegungen ... 537
15.2 ... Konfiguration von Samba 4 als Domaincontroller ... 538
15.3 ... Testen des Domaincontrollers ... 546
15.4 ... Benutzer- und Gruppenverwaltung ... 552
15.5 ... Benutzer- und Gruppenverwaltung über die Kommandozeile ... 553
15.6 ... Die Remote Server Administration Tools (RSAT) ... 564
15.7 ... Gruppenrichtlinien ... 567
15.8 ... Linux-Clients in der Domäne ... 577
15.9 ... Zusätzliche Server in der Domäne ... 588
15.10 ... Die Replikation der Freigabe »sysvol« einrichten ... 602
15.11 ... Was geht noch mit Samba 4? ... 607

16. NFS ... 609

16.1 ... Unterschiede zwischen NFSv3 und NFSv4 ... 609
16.2 ... Funktionsweise von NFSv4 ... 610
16.3 ... Einrichten des NFSv4-Servers ... 611
16.4 ... Konfiguration des NFSv4-Clients ... 616
16.5 ... Konfiguration des idmapd ... 617
16.6 ... Optimierung von NFSv4 ... 619
16.7 ... NFSv4 und Firewalls ... 621
16.8 ... NFS und Kerberos ... 622

17. LDAP ... 629

17.1 ... Einige Grundlagen zu LDAP ... 630
17.2 ... Zu den hier verwendeten Distributionen ... 638
17.3 ... Installation der Symas-Pakete ... 639
17.4 ... Die Verbindung zum LDAP-Server über TLS absichern ... 656
17.5 ... Einrichtung des sssd ... 660
17.6 ... Grafische Werkzeuge für die LDAP-Verwaltung ... 666
17.7 ... Änderungen mit »ldapmodify« ... 667
17.8 ... Absichern des LDAP-Baums mit ACLs ... 669
17.9 ... Grundlegende ACLs ... 673
17.10 ... Der neue LDAP-Admin ... 676
17.11 ... Absichern der Passwörter ... 678
17.12 ... ACLs mit regulären Ausdrücken ... 679
17.13 ... Filter zur Suche im LDAP-Baum ... 685
17.14 ... Verwendung von Overlays ... 690
17.15 ... Replikation des DIT ... 696
17.16 ... Weiterleitungen für den Mailserver Postfix ... 712
17.17 ... Benutzerauthentifizierung von Dovecot über LDAP ... 714
17.18 ... Benutzerauthentifizierung am Proxy Squid über LDAP ... 717
17.19 ... Benutzerauthentifizierung am Webserver Apache über LDAP ... 720
17.20 ... Und was geht sonst noch alles mit LDAP? ... 723

18. Druckserver ... 725

18.1 ... CUPS administrieren ... 726
18.2 ... Policies ... 731
18.3 ... Drucker und Klassen einrichten und verwalten ... 736
18.4 ... Druckerquotas ... 739
18.5 ... CUPS über die Kommandozeile ... 740
18.6 ... PPD-Dateien ... 743
18.7 ... Noch mehr Druck ... 744

TEIL IV Infrastruktur ... 745

19. Hochverfügbarkeit ... 747

19.1 ... Das Beispiel-Setup ... 747
19.2 ... Installation ... 748
19.3 ... Einfache Vorarbeiten ... 749
19.4 ... Shared Storage mit DRBD ... 749
19.5 ... Grundkonfiguration der Clusterkomponenten ... 755
19.6 ... Dienste hochverfügbar machen ... 762

20. Virtualisierung ... 775

20.1 ... Einleitung ... 775
20.2 ... Für den Sysadmin ... 776
20.3 ... Servervirtualisierung ... 780
20.4 ... Netzwerkgrundlagen ... 784
20.5 ... Management und Installation ... 785
20.6 ... Umzugsunternehmen: Live Migration ... 802

21. Containervirtualisierung mit Docker und Podman ... 805

21.1 ... Einführung, Installation und Grundlagen für den Betrieb ... 805
21.2 ... Management von Images und Containern ... 815
21.3 ... Docker-Networking ... 832
21.4 ... Containerdaten und Persistenz ... 836
21.5 ... Erstellen eigener Images mit Dockerfiles ... 842
21.6 ... Multi-Container-Rollout mit Docker Compose ... 855
21.7 ... Betrieb und Verwendung einer eigenen Registry ... 862

TEIL V Kommunikation ... 871

22. Netzwerk ... 873

22.1 ... Vorwort zu Predictable Network Interface Names ... 873
22.2 ... Netzwerkkonfiguration mit iproute2 ... 874
22.3 ... Routing mit ip ... 885
22.4 ... Bonding ... 896
22.5 ... IPv6 ... 902
22.6 ... Firewalls mit netfilter und iptables ignorespaces ... 911
22.7 ... DHCP ... 934

23. DNS-Server ... 939

23.1 ... Funktionsweise ... 939
23.2 ... Vertrauen schaffen mit DNSSEC ... 957
23.3 ... Client-Anfragen absichern mit »DNS over HTTPS (DoH)« ... 967

24. OpenSSH ... 973

24.1 ... Die SSH-Familie ... 973
24.2 ... Schlüssel statt Passwort ... 978
24.3 ... X11-Forwarding ... 981
24.4 ... Portweiterleitung und Tunneling ... 982

25. Administrationstools ... 985

25.1 ... Was kann dies und jenes noch? ... 985
25.2 ... Aus der Ferne -- Remote-Administrationstools ... 1008

26. Versionskontrolle ... 1017

26.1 ... Philosophien ignorespaces ... 1018
26.2 ... Versionskontrollsysteme ... 1020
26.3 ... Kommandos ... 1032
26.4 ... Serverdienste ignorespaces ... 1033

TEIL VI Automatisierung ... 1041

27. Scripting ... 1043

27.1 ... Aufgebohrte Muscheln ... 1043
27.2 ... Vom Suchen und Finden: ein kurzer Überblick ... 1044
27.3 ... Fortgeschrittene Shell-Programmierung ... 1048
27.4 ... Tipps und Tricks aus der Praxis ... 1060

28. Konfigurationsmanagement mit Ansible ... 1065

28.1 ... Einführung und Installation ... 1065
28.2 ... Basiseinrichtung und erstes Inventory-Management ... 1074
28.3 ... Ad-hoc-Kommandos und Patterns ... 1084
28.4 ... Die Konfigurations- und Serialisierungssprache YAML ... 1090
28.5 ... Playbooks und Tasks: die Grundlagen ... 1095
28.6 ... Playbooks und Tasks: fortgeschrittene Methoden ... 1112
28.7 ... Module und Collections verwenden ... 1137
28.8 ... Nächste Schritte ... 1153

29. Monitoring -- wissen, was läuft ... 1155

29.1 ... Monitoring mit Checkmk ... 1155
29.2 ... Installation der Pakete ... 1155
29.3 ... Einrichtung der ersten Monitoring-Instanz ... 1157
29.4 ... Server, Geräte und Dienste überwachen ... 1160
29.5 ... Installation des Checkmk-Agenten ... 1161
29.6 ... Anlegen eines Hosts ... 1162
29.7 ... Betriebs- und Fehlerzustände von Host und Services im Überblick ... 1163
29.8 ... Konfiguration durch Regelsätze ... 1164
29.9 ... Notifications ... 1173
29.10 ... Alarme managen ... 1176
29.11 ... Weitere Fähigkeiten von Checkmk ... 1179
29.12 ... Fazit ... 1180

TEIL VII Sicherheit, Verschlüsselung und Zertifikate ... 1181

30. Sicherheit ... 1183

30.1 ... Weniger ist mehr ... 1184
30.2 ... chroot ... 1184
30.3 ... Selbstabsicherung: AppArmor ... 1187
30.4 ... Gotcha! Intrusion-Detection-Systeme ... 1193
30.5 ... Installation und Konfiguration ... 1195
30.6 ... Immer das Neueste vom Neuen: pulledpork ... 1201
30.7 ... Klein, aber oho: fail2ban ... 1204
30.8 ... OpenVPN ... 1210
30.9 ... Schnell, Modern, Sicher: WireGuard ... 1232
30.10 ... Fazit ... 1239

31. Verschlüsselung und Zertifikate ... 1241

31.1 ... Definition und Historie ... 1241
31.2 ... Moderne Kryptologie ... 1243
31.3 ... Den Durchblick behalten ... 1245
31.4 ... Einmal mit allem und kostenlos bitte: Let's Encrypt ... 1249
31.5 ... In der Praxis ... 1253
31.6 ... Neben der Kommunikation -- Dateiverschlüsselung ... 1279

Die Autoren ... 1287
Index ... 1289

»Das umfassende Handbuch ein unverzichtbares Referenzwerk für jeden Linux-Administrator. Es eignet sich gleichermaßen für erfahrene Profis und bietet auch eine ausgezeichnete Einführung für diejenigen, die ihr Linux-Wissen auffrischen oder vertiefen möchten.« mediennerd.de 202309

»Eine Fundgrube an Tipps und Arbeitsanleitungen von Praktikern für Praktiker.« iX