Linux-Server

Linux ist das Rückgrat moderner IT-Systeme. Wie Sie Linux effizient als Server nutzen und nach aktuellen Standards administrieren, erfahren Sie in diesem Buch. Von HA-Konfigurationen über Sicherheitsthemen bis hin zur Virtualisierung & Containerisierung lernen Sie Linux intensiv und distributionsunabhängig kennen. Zahlreiche Praxislösungen und umfassendes Hintergrundwissen für die fortgeschrittene Administration unterstützen Sie dabei. Aus dem Inhalt: - Administrationsgrundlagen - Devices und Paketmanagement - Dateisysteme und Berechtigungen - Scripting und Shell-Coding - Dienste - Web-, Mail-, Proxy-, FTP- und Druckserver - Samba, LDAP, Kerberos, NFSv4 - Infrastruktur und Netze - Hochverfügbarkeit - Virtualisierung (KVM, Docker) - Routing, Bonding, Firewalls - DHCP, DNS, OpenSSH - Versionskontrolle (VCS) - Sicherheit, Monitoring & Co. - Backup und Recovery - Verschlüsselung - Zertifikate - Automatisierung - Ansible - PKI mit OCSP

Dirk Deimeke, Jahrgang 1968, beschäftigt sich seit 1996 aktiv mit Linux. Zusätzlich zu seinem Engagement für Ubuntu Linux unterstützt er das Projekt "Taskwarrior", eine Aufgabenverwaltung für die Kommandozeile und die Blogsoftware "Serendipity". 2008 in die Schweiz ausgewandert, arbeitet er seit Juni 2014 als Senior System Engineer Unix/Linux für die Bank Vontobel AG. In seiner verbleibenden freien Zeit widmet er sich der eigenen Unternehmung "My own IT - Dirk Deimeke", die im Rahmen einer "digitalen Nachbarschaftshilfe" Privatpersonen und Organisationen darin unterstützt, die Autonomie über ihre eigenen Daten zu behalten. Neben Artikeln in seinem Blog hält er Vorträge und Workshops auf Open-Source-Konferenzen.

Vorwort ... 33 Über dieses Buch ... 43 1. Der Administrator ... 47 1.1 ... Der Beruf des Systemadministrators ... 47 1.2 ... Nützliche Fähigkeiten und Fertigkeiten ... 54 1.3 ... Das Verhältnis des Administrators zu Normalsterblichen ... 57 1.4 ... Unterbrechungsgesteuertes Arbeiten ... 59 1.5 ... Einordnung der Systemadministration ... 60 1.6 ... Ethischer Verhaltenskodex ... 64 1.7 ... Administration -- eine Lebenseinstellung? ... 65 TEIL I Grundlagen ... 67 2. Der Bootvorgang ... 69 2.1 ... Der Bootloader GRUB 2 ... 69 2.2 ... Bootloader Recovery ... 76 2.3 ... Der Kernel und die initrdignorespaces ... 77 2.4 ... systemd ignorespaces ... 83 3. Festplatten und andere Devices ... 97 3.1 ... RAIDignorespaces ... 97 3.2 ... Rein logisch: Logical Volume Manager (LVM) ... 110 3.3 ... udev ... 133 3.4 ... Alles virtuell? »>/proc« ... 137 4. Dateisysteme ... 145 4.1 ... Dateisysteme: von Bäumen, Journalen und einer Kuh ... 145 4.2 ... Praxis ... 149 4.3 ... Fazit ... 162 5. Berechtigungen ... 163 5.1 ... User, Gruppen und Dateisystemstrukturen ... 163 5.2 ... Dateisystemberechtigungen ... 166 5.3 ... Erweiterte POSIX-ACLs ... 170 5.4 ... Erweiterte Dateisystemattribute ... 179 5.5 ... Quotas ... 181 5.6 ... Pluggable Authentication Modules (PAM) ... 188 5.7 ... Konfiguration von PAM ... 194 5.8 ... ulimit ... 195 5.9 ... Abschlussbemerkung ... 197 TEIL II Aufgaben ... 199 6. Paketmanagement ... 201 6.1 ... Paketverwaltung ... 201 6.2 ... Pakete im Eigenbau ... 206 6.3 ... Updates nur einmal laden: Cache ... 219 6.4 ... Alles meins: Mirror ... 224 7. Backup und Recovery ... 237 7.1 ... Backup gleich Disaster Recovery? ... 237 7.2 ... Backupstrategien ... 238 7.3 ... Datensicherung mit tar ... 241 7.4 ... Datensynchronisation mit rsync ... 243 7.5 ... Imagesicherung mit dd ignorespaces ... 250 7.6 ... Disaster Recovery mit ReaR ... 255 TEIL III Dienste ... 269 8. Webserver ... 271 8.1 ... Apache ... 271 8.2 ... nginx ... 289 8.3 ... PHP ... 294 8.4 ... Fortgeschrittene TLS-Konfiguration und Sicherheitsfunktionen ... 301 9. FTP-Server ... 307 9.1 ... Einstieg ... 307 9.2 ... Download-Server ... 308 9.3 ... Zugriff von Usern auf ihre Homeverzeichnisse ... 310 9.4 ... FTP über SSL (FTPS) ... 311 9.5 ... Anbindung an LDAP ... 313 10. Mailserver ... 315 10.1 ... Postfix ... 315 10.2 ... POP3/IMAP-Server mit Dovecot ... 335 10.3 ... Anti-Spam/Anti-Virus mit Rspamd ... 348 10.4 ... Monitoring und Logfile-Auswertung ... 370 11. Datenbank ... 371 11.1 ... MariaDB in der Praxis ... 371 11.2 ... Tuning ... 384 11.3 ... Backup und Point-In-Time-Recovery ... 394 12. Syslog ... 397 12.1 ... Der Aufbau von Syslog-Nachrichten ... 397 12.2 ... systemd mit journalctl ... 399 12.3 ... Der Klassiker: Syslogd ... 408 12.4 ... Syslog-ng ... 410 12.5 ... Rsyslog ... 416 12.6 ... Loggen über das Netz ... 418 12.7 ... Syslog in eine Datenbank schreiben ... 420 12.8 ... Fazit ... 423 13. Proxy-Server ... 425 13.1 ... Einführung des Stellvertreters ... 425 13.2 ... Proxys in Zeiten des Breitbandinternets ... 426 13.3 ... Herangehensweisen und Vorüberlegungen ... 427 13.4 ... Grundkonfiguration ... 427 13.5 ... Authentifizierung ... 440 13.6 ... Log-Auswertung: Calamaris und Sarg ... 455 13.7 ... Unsichtbar: transparent proxy ... 458 13.8 ... Ab in den Pool -- Verzögerung mit delay_pools ... 459 13.9 ... Familienbetrieb: Sibling, Parent und Co. ... 462 13.10 ... Cache-Konfiguration ... 466 14. Kerberos ... 471 14.1 ... Begriffe im Zusammenhang mit Kerberos ... 472 14.2 ... Die Funktionsweise von Kerberos ... 472 14.3 ... Installation und Konfiguration des Kerberos-Servers ... 473 14.4 ... Initialisierung und Testen des Kerberos-Servers ... 481 14.5 ... Kerberos und PAM ... 487 14.6 ... Neue Benutzer mit Kerberos-Principal anlegen ... 489 14.7 ... Hosts und Dienste ... 490 14.8 ... Konfiguration des Kerberos-Clients ... 494 14.9 ... Replikation des Kerberos-Servers ... 496 14.10 ... Kerberos-Policies ... 504 14.11 ... Kerberos in LDAP einbinden ... 507 14.12 ... Neue Benutzer in den LDAP-Baum aufnehmen ... 526 14.13 ... Authentifizierung am LDAP-Server über »GSSAPI« ... 527 14.14 ... Konfiguration des LAM Pro ... 533 15. Samba 4 ... 537 15.1 ... Vorüberlegungen ... 537 15.2 ... Konfiguration von Samba 4 als Domaincontroller ... 538 15.3 ... Testen des Domaincontrollers ... 546 15.4 ... Benutzer- und Gruppenverwaltung ... 552 15.5 ... Benutzer- und Gruppenverwaltung über die Kommandozeile ... 553 15.6 ... Die Remote Server Administration Tools (RSAT) ... 564 15.7 ... Gruppenrichtlinien ... 567 15.8 ... Linux-Clients in der Domäne ... 577 15.9 ... Zusätzliche Server in der Domäne ... 588 15.10 ... Die Replikation der Freigabe »sysvol« einrichten ... 602 15.11 ... Was geht noch mit Samba 4? ... 607 16. NFS ... 609 16.1 ... Unterschiede zwischen NFSv3 und NFSv4 ... 609 16.2 ... Funktionsweise von NFSv4 ... 610 16.3 ... Einrichten des NFSv4-Servers ... 611 16.4 ... Konfiguration des NFSv4-Clients ... 616 16.5 ... Konfiguration des idmapd ... 617 16.6 ... Optimierung von NFSv4 ... 619 16.7 ... NFSv4 und Firewalls ... 621 16.8 ... NFS und Kerberos ... 622 17. LDAP ... 629 17.1 ... Einige Grundlagen zu LDAP ... 630 17.2 ... Zu den hier verwendeten Distributionen ... 638 17.3 ... Installation der Symas-Pakete ... 639 17.4 ... Die Verbindung zum LDAP-Server über TLS absichern ... 656 17.5 ... Einrichtung des sssd ... 660 17.6 ... Grafische Werkzeuge für die LDAP-Verwaltung ... 666 17.7 ... Änderungen mit »ldapmodify« ... 667 17.8 ... Absichern des LDAP-Baums mit ACLs ... 669 17.9 ... Grundlegende ACLs ... 673 17.10 ... Der neue LDAP-Admin ... 676 17.11 ... Absichern der Passwörter ... 678 17.12 ... ACLs mit regulären Ausdrücken ... 679 17.13 ... Filter zur Suche im LDAP-Baum ... 685 17.14 ... Verwendung von Overlays ... 690 17.15 ... Replikation des DIT ... 696 17.16 ... Weiterleitungen für den Mailserver Postfix ... 712 17.17 ... Benutzerauthentifizierung von Dovecot über LDAP ... 714 17.18 ... Benutzerauthentifizierung am Proxy Squid über LDAP ... 717 17.19 ... Benutzerauthentifizierung am Webserver Apache über LDAP ... 720 17.20 ... Und was geht sonst noch alles mit LDAP? ... 723 18. Druckserver ... 725 18.1 ... CUPS administrieren ... 726 18.2 ... Policies ... 731 18.3 ... Drucker und Klassen einrichten und verwalten ... 736 18.4 ... Druckerquotas ... 739 18.5 ... CUPS über die Kommandozeile ... 740 18.6 ... PPD-Dateien ... 743 18.7 ... Noch mehr Druck ... 744 TEIL IV Infrastruktur ... 745 19. Hochverfügbarkeit ... 747 19.1 ... Das Beispiel-Setup ... 747 19.2 ... Installation ... 748 19.3 ... Einfache Vorarbeiten ... 749 19.4 ... Shared Storage mit DRBD ... 749 19.5 ... Grundkonfiguration der Clusterkomponenten ... 755 19.6 ... Dienste hochverfügbar machen ... 762 20. Virtualisierung ... 775 20.1 ... Einleitung ... 775 20.2 ... Für den Sysadmin ... 776 20.3 ... Servervirtualisierung ... 780 20.4 ... Netzwerkgrundlagen ... 784 20.5 ... Management und Installation ... 785 20.6 ... Umzugsunternehmen: Live Migration ... 802 21. Containervirtualisierung mit Docker und Podman ... 805 21.1 ... Einführung, Installation und Grundlagen für den Betrieb ... 805 21.2 ... Management von Images und Containern ... 815 21.3 ... Docker-Networking ... 832 21.4 ... Containerdaten und Persistenz ... 836 21.5 ... Erstellen eigener Images mit Dockerfiles ... 842 21.6 ... Multi-Container-Rollout mit Docker Compose ... 855 21.7 ... Betrieb und Verwendung einer eigenen Registry ... 862 TEIL V Kommunikation ... 871 22. Netzwerk ... 873 22.1 ... Vorwort zu Predictable Network Interface Names ... 873 22.2 ... Netzwerkkonfiguration mit iproute2 ... 874 22.3 ... Routing mit ip ... 885 22.4 ... Bonding ... 896 22.5 ... IPv6 ... 902 22.6 ... Firewalls mit netfilter und iptables ignorespaces ... 911 22.7 ... DHCP ... 934 23. DNS-Server ... 939 23.1 ... Funktionsweise ... 939 23.2 ... Vertrauen schaffen mit DNSSEC ... 957 23.3 ... Client-Anfragen absichern mit »DNS over HTTPS (DoH)« ... 967 24. OpenSSH ... 973 24.1 ... Die SSH-Familie ... 973 24.2 ... Schlüssel statt Passwort ... 978 24.3 ... X11-Forwarding ... 981 24.4 ... Portweiterleitung und Tunneling ... 982 25. Administrationstools ... 985 25.1 ... Was kann dies und jenes noch? ... 985 25.2 ... Aus der Ferne -- Remote-Administrationstools ... 1008 26. Versionskontrolle ... 1017 26.1 ... Philosophien ignorespaces ... 1018 26.2 ... Versionskontrollsysteme ... 1020 26.3 ... Kommandos ... 1032 26.4 ... Serverdienste ignorespaces ... 1033 TEIL VI Automatisierung ... 1041 27. Scripting ... 1043 27.1 ... Aufgebohrte Muscheln ... 1043 27.2 ... Vom Suchen und Finden: ein kurzer Überblick ... 1044 27.3 ... Fortgeschrittene Shell-Programmierung ... 1048 27.4 ... Tipps und Tricks aus der Praxis ... 1060 28. Konfigurationsmanagement mit Ansible ... 1065 28.1 ... Einführung und Installation ... 1065 28.2 ... Basiseinrichtung und erstes Inventory-Management ... 1074 28.3 ... Ad-hoc-Kommandos und Patterns ... 1084 28.4 ... Die Konfigurations- und Serialisierungssprache YAML ... 1090 28.5 ... Playbooks und Tasks: die Grundlagen ... 1095 28.6 ... Playbooks und Tasks: fortgeschrittene Methoden ... 1112 28.7 ... Module und Collections verwenden ... 1137 28.8 ... Nächste Schritte ... 1153 29. Monitoring -- wissen, was läuft ... 1155 29.1 ... Monitoring mit Checkmk ... 1155 29.2 ... Installation der Pakete ... 1155 29.3 ... Einrichtung der ersten Monitoring-Instanz ... 1157 29.4 ... Server, Geräte und Dienste überwachen ... 1160 29.5 ... Installation des Checkmk-Agenten ... 1161 29.6 ... Anlegen eines Hosts ... 1162 29.7 ... Betriebs- und Fehlerzustände von Host und Services im Überblick ... 1163 29.8 ... Konfiguration durch Regelsätze ... 1164 29.9 ... Notifications ... 1173 29.10 ... Alarme managen ... 1176 29.11 ... Weitere Fähigkeiten von Checkmk ... 1179 29.12 ... Fazit ... 1180 TEIL VII Sicherheit, Verschlüsselung und Zertifikate ... 1181 30. Sicherheit ... 1183 30.1 ... Weniger ist mehr ... 1184 30.2 ... chroot ... 1184 30.3 ... Selbstabsicherung: AppArmor ... 1187 30.4 ... Gotcha! Intrusion-Detection-Systeme ... 1193 30.5 ... Installation und Konfiguration ... 1195 30.6 ... Immer das Neueste vom Neuen: pulledpork ... 1201 30.7 ... Klein, aber oho: fail2ban ... 1204 30.8 ... OpenVPN ... 1210 30.9 ... Schnell, Modern, Sicher: WireGuard ... 1232 30.10 ... Fazit ... 1239 31. Verschlüsselung und Zertifikate ... 1241 31.1 ... Definition und Historie ... 1241 31.2 ... Moderne Kryptologie ... 1243 31.3 ... Den Durchblick behalten ... 1245 31.4 ... Einmal mit allem und kostenlos bitte: Let's Encrypt ... 1249 31.5 ... In der Praxis ... 1253 31.6 ... Neben der Kommunikation -- Dateiverschlüsselung ... 1279 Die Autoren ... 1287 Index ... 1289