Rheinwerk eBooks Computer & Internet-Linux-Server

Das Schweizer Messer für Linux-Admins!

Wie Sie Linux-Server effizient nach den aktuellen Standards administrieren, vermittelt Ihnen dieses Buch. Von Hochverfügbarkeit über Sicherheit bis hin zu Scripting und Virtualisierung: Sie lernen Linux-Server distributionsunabhängig intensiv kennen. Das Buch bietet Ihnen über benötigtes Hintergrundwissen hinaus zahlreiche Praxisbeispiele zu den häufigsten in Unternehmen eingesetzten Distributionen. Und dank Shell-Programmierung, Python, Ansible, Docker sowie den im Buch vorgestellten Tools und Automatisierungsskripten lassen Sie Ihre Rechner für sich arbeiten!

• Linux-Server einrichten und administrieren
• Backup, Sicherheit, Netzwerke und modernes DevOps
• Container mit Docker, Automatisierung mit Ansible, Datei-Server und Userverwaltung mit LDAP und Samba

Aus dem Inhalt:

• Administrationsgrundlagen
• Devices und Paketmanagement
• Dateisysteme und Berechtigungen
• Scripting und Shell-Coding
• Dienste
• Web-, Mail-, Proxy-, FTP- und Druckserver
• Samba, LDAP, Kerberos, NFSv4
• Infrastruktur und Netze
• Hochverfügbarkeit
• Virtualisierung (KVM, Docker)
• Routing, Bonding, Firewalls
• DHCP, DNS, OpenSSH
• Versionskontrolle (VCS)
• Sicherheit, Monitoring & Co.
• Backup und Recovery
• Verschlüsselung
• Zertifikate
• Automatisierung
• Ansible
• PKI mit OCSP

Vorwort . . . 33
Über dieses Buch . . . 43
1. Der Administrator . . . 47

1. 1 . . . Der Beruf des Systemadministrators . . . 47
1. 2 . . . Nützliche Fähigkeiten und Fertigkeiten . . . 54
1. 3 . . . Das Verhältnis des Administrators zu Normalsterblichen . . . 57
1. 4 . . . Unterbrechungsgesteuertes Arbeiten . . . 59
1. 5 . . . Einordnung der Systemadministration . . . 60
1. 6 . . . Ethischer Verhaltenskodex . . . 64
1. 7 . . . Administration — eine Lebenseinstellung? . . . 65

TEIL I Grundlagen . . . 67

2. Der Bootvorgang . . . 69

2. 1 . . . Der Bootloader GRUB 2 . . . 69
2. 2 . . . Bootloader Recovery . . . 76
2. 3 . . . Der Kernel und die initrdignorespaces . . . 77
2. 4 . . . systemd ignorespaces . . . 83

3. Festplatten und andere Devices . . . 97

3. 1 . . . RAIDignorespaces . . . 97
3. 2 . . . Rein logisch: Logical Volume Manager (LVM) . . . 110
3. 3 . . . udev . . . 133
3. 4 . . . Alles virtuell? »> /proc« . . . 137

4. Dateisysteme . . . 145

4. 1 . . . Dateisysteme: von Bäumen, Journalen und einer Kuh . . . 145
4. 2 . . . Praxis . . . 149
4. 3 . . . Fazit . . . 162

5. Berechtigungen . . . 163

5. 1 . . . User, Gruppen und Dateisystemstrukturen . . . 163
5. 2 . . . Dateisystemberechtigungen . . . 166
5. 3 . . . Erweiterte POSIX-ACLs . . . 170
5. 4 . . . Erweiterte Dateisystemattribute . . . 179
5. 5 . . . Quotas . . . 181
5. 6 . . . Pluggable Authentication Modules (PAM) . . . 188
5. 7 . . . Konfiguration von PAM . . . 194
5. 8 . . . ulimit . . . 195
5. 9 . . . Abschlussbemerkung . . . 197

TEIL II Aufgaben . . . 199

6. Paketmanagement . . . 201

6. 1 . . . Paketverwaltung . . . 201
6. 2 . . . Pakete im Eigenbau . . . 206
6. 3 . . . Updates nur einmal laden: Cache . . . 219
6. 4 . . . Alles meins: Mirror . . . 224

7. Backup und Recovery . . . 237

7. 1 . . . Backup gleich Disaster Recovery? . . . 237
7. 2 . . . Backupstrategien . . . 238
7. 3 . . . Datensicherung mit tar . . . 241
7. 4 . . . Datensynchronisation mit rsync . . . 243
7. 5 . . . Imagesicherung mit dd ignorespaces . . . 250
7. 6 . . . Disaster Recovery mit ReaR . . . 255

TEIL III Dienste . . . 269

8. Webserver . . . 271

8. 1 . . . Apache . . . 271
8. 2 . . . nginx . . . 289
8. 3 . . . PHP . . . 294
8. 4 . . . Fortgeschrittene TLS-Konfiguration und Sicherheitsfunktionen . . . 301

9. FTP-Server . . . 307

9. 1 . . . Einstieg . . . 307
9. 2 . . . Download-Server . . . 308
9. 3 . . . Zugriff von Usern auf ihre Homeverzeichnisse . . . 310
9. 4 . . . FTP über SSL (FTPS) . . . 311
9. 5 . . . Anbindung an LDAP . . . 313

10. Mailserver . . . 315

10. 1 . . . Postfix . . . 315
10. 2 . . . POP3/IMAP-Server mit Dovecot . . . 335
10. 3 . . . Anti-Spam/Anti-Virus mit Rspamd . . . 348
10. 4 . . . Monitoring und Logfile-Auswertung . . . 370

11. Datenbank . . . 371

11. 1 . . . MariaDB in der Praxis . . . 371
11. 2 . . . Tuning . . . 384
11. 3 . . . Backup und Point-In-Time-Recovery . . . 394

12. Syslog . . . 397

12. 1 . . . Der Aufbau von Syslog-Nachrichten . . . 397
12. 2 . . . systemd mit journalctl . . . 399
12. 3 . . . Der Klassiker: Syslogd . . . 408
12. 4 . . . Syslog-ng . . . 410
12. 5 . . . Rsyslog . . . 416
12. 6 . . . Loggen über das Netz . . . 418
12. 7 . . . Syslog in eine Datenbank schreiben . . . 420
12. 8 . . . Fazit . . . 423

13. Proxy-Server . . . 425

13. 1 . . . Einführung des Stellvertreters . . . 425
13. 2 . . . Proxys in Zeiten des Breitbandinternets . . . 426
13. 3 . . . Herangehensweisen und Vorüberlegungen . . . 427
13. 4 . . . Grundkonfiguration . . . 427
13. 5 . . . Authentifizierung . . . 440
13. 6 . . . Log-Auswertung: Calamaris und Sarg . . . 455
13. 7 . . . Unsichtbar: transparent proxy . . . 458
13. 8 . . . Ab in den Pool — Verzögerung mit delay_pools . . . 459
13. 9 . . . Familienbetrieb: Sibling, Parent und Co. . . . 462
13. 10 . . . Cache-Konfiguration . . . 466

14. Kerberos . . . 471

14. 1 . . . Begriffe im Zusammenhang mit Kerberos . . . 472
14. 2 . . . Die Funktionsweise von Kerberos . . . 472
14. 3 . . . Installation und Konfiguration des Kerberos-Servers . . . 473
14. 4 . . . Initialisierung und Testen des Kerberos-Servers . . . 481
14. 5 . . . Kerberos und PAM . . . 487
14. 6 . . . Neue Benutzer mit Kerberos-Principal anlegen . . . 489
14. 7 . . . Hosts und Dienste . . . 490
14. 8 . . . Konfiguration des Kerberos-Clients . . . 494
14. 9 . . . Replikation des Kerberos-Servers . . . 496
14. 10 . . . Kerberos-Policies . . . 504
14. 11 . . . Kerberos in LDAP einbinden . . . 507
14. 12 . . . Neue Benutzer in den LDAP-Baum aufnehmen . . . 526
14. 13 . . . Authentifizierung am LDAP-Server über »GSSAPI« . . . 527
14. 14 . . . Konfiguration des LAM Pro . . . 533

15. Samba 4 . . . 537

15. 1 . . . Vorüberlegungen . . . 537
15. 2 . . . Konfiguration von Samba 4 als Domaincontroller . . . 538
15. 3 . . . Testen des Domaincontrollers . . . 546
15. 4 . . . Benutzer- und Gruppenverwaltung . . . 552
15. 5 . . . Benutzer- und Gruppenverwaltung über die Kommandozeile . . . 553
15. 6 . . . Die Remote Server Administration Tools (RSAT) . . . 564
15. 7 . . . Gruppenrichtlinien . . . 567
15. 8 . . . Linux-Clients in der Domäne . . . 577
15. 9 . . . Zusätzliche Server in der Domäne . . . 588
15. 10 . . . Die Replikation der Freigabe »sysvol« einrichten . . . 602
15. 11 . . . Was geht noch mit Samba 4? . . . 607

16. NFS . . . 609

16. 1 . . . Unterschiede zwischen NFSv3 und NFSv4 . . . 609
16. 2 . . . Funktionsweise von NFSv4 . . . 610
16. 3 . . . Einrichten des NFSv4-Servers . . . 611
16. 4 . . . Konfiguration des NFSv4-Clients . . . 616
16. 5 . . . Konfiguration des idmapd . . . 617
16. 6 . . . Optimierung von NFSv4 . . . 619
16. 7 . . . NFSv4 und Firewalls . . . 621
16. 8 . . . NFS und Kerberos . . . 622

17. LDAP . . . 629

17. 1 . . . Einige Grundlagen zu LDAP . . . 630
17. 2 . . . Zu den hier verwendeten Distributionen . . . 638
17. 3 . . . Installation der Symas-Pakete . . . 639
17. 4 . . . Die Verbindung zum LDAP-Server über TLS absichern . . . 656
17. 5 . . . Einrichtung des sssd . . . 660
17. 6 . . . Grafische Werkzeuge für die LDAP-Verwaltung . . . 666
17. 7 . . . Änderungen mit »ldapmodify« . . . 667
17. 8 . . . Absichern des LDAP-Baums mit ACLs . . . 669
17. 9 . . . Grundlegende ACLs . . . 673
17. 10 . . . Der neue LDAP-Admin . . . 676
17. 11 . . . Absichern der Passwörter . . . 678
17. 12 . . . ACLs mit regulären Ausdrücken . . . 679
17. 13 . . . Filter zur Suche im LDAP-Baum . . . 685
17. 14 . . . Verwendung von Overlays . . . 690
17. 15 . . . Replikation des DIT . . . 696
17. 16 . . . Weiterleitungen für den Mailserver Postfix . . . 712
17. 17 . . . Benutzerauthentifizierung von Dovecot über LDAP . . . 714
17. 18 . . . Benutzerauthentifizierung am Proxy Squid über LDAP . . . 717
17. 19 . . . Benutzerauthentifizierung am Webserver Apache über LDAP . . . 720
17. 20 . . . Und was geht sonst noch alles mit LDAP? . . . 723

18. Druckserver . . . 725

18. 1 . . . CUPS administrieren . . . 726
18. 2 . . . Policies . . . 731
18. 3 . . . Drucker und Klassen einrichten und verwalten . . . 736
18. 4 . . . Druckerquotas . . . 739
18. 5 . . . CUPS über die Kommandozeile . . . 740
18. 6 . . . PPD-Dateien . . . 743
18. 7 . . . Noch mehr Druck . . . 744

TEIL IV Infrastruktur . . . 745

19. Hochverfügbarkeit . . . 747

19. 1 . . . Das Beispiel-Setup . . . 747
19. 2 . . . Installation . . . 748
19. 3 . . . Einfache Vorarbeiten . . . 749
19. 4 . . . Shared Storage mit DRBD . . . 749
19. 5 . . . Grundkonfiguration der Clusterkomponenten . . . 755
19. 6 . . . Dienste hochverfügbar machen . . . 762

20. Virtualisierung . . . 775

20. 1 . . . Einleitung . . . 775
20. 2 . . . Für den Sysadmin . . . 776
20. 3 . . . Servervirtualisierung . . . 780
20. 4 . . . Netzwerkgrundlagen . . . 784
20. 5 . . . Management und Installation . . . 785
20. 6 . . . Umzugsunternehmen: Live Migration . . . 802

21. Containervirtualisierung mit Docker und Podman . . . 805

21. 1 . . . Einführung, Installation und Grundlagen für den Betrieb . . . 805
21. 2 . . . Management von Images und Containern . . . 815
21. 3 . . . Docker-Networking . . . 832
21. 4 . . . Containerdaten und Persistenz . . . 836
21. 5 . . . Erstellen eigener Images mit Dockerfiles . . . 842
21. 6 . . . Multi-Container-Rollout mit Docker Compose . . . 855
21. 7 . . . Betrieb und Verwendung einer eigenen Registry . . . 862

TEIL V Kommunikation . . . 871

22. Netzwerk . . . 873

22. 1 . . . Vorwort zu Predictable Network Interface Names . . . 873
22. 2 . . . Netzwerkkonfiguration mit iproute2 . . . 874
22. 3 . . . Routing mit ip . . . 885
22. 4 . . . Bonding . . . 896
22. 5 . . . IPv6 . . . 902
22. 6 . . . Firewalls mit netfilter und iptables ignorespaces . . . 911
22. 7 . . . DHCP . . . 934

23. DNS-Server . . . 939

23. 1 . . . Funktionsweise . . . 939
23. 2 . . . Vertrauen schaffen mit DNSSEC . . . 957
23. 3 . . . Client-Anfragen absichern mit »DNS over HTTPS (DoH)« . . . 967

24. OpenSSH . . . 973

24. 1 . . . Die SSH-Familie . . . 973
24. 2 . . . Schlüssel statt Passwort . . . 978
24. 3 . . . X11-Forwarding . . . 981
24. 4 . . . Portweiterleitung und Tunneling . . . 982

25. Administrationstools . . . 985

25. 1 . . . Was kann dies und jenes noch? . . . 985
25. 2 . . . Aus der Ferne — Remote-Administrationstools . . . 1008

26. Versionskontrolle . . . 1017

26. 1 . . . Philosophien ignorespaces . . . 1018
26. 2 . . . Versionskontrollsysteme . . . 1020
26. 3 . . . Kommandos . . . 1032
26. 4 . . . Serverdienste ignorespaces . . . 1033

TEIL VI Automatisierung . . . 1041

27. Scripting . . . 1043

27. 1 . . . Aufgebohrte Muscheln . . . 1043
27. 2 . . . Vom Suchen und Finden: ein kurzer Überblick . . . 1044
27. 3 . . . Fortgeschrittene Shell-Programmierung . . . 1048
27. 4 . . . Tipps und Tricks aus der Praxis . . . 1060

28. Konfigurationsmanagement mit Ansible . . . 1065

28. 1 . . . Einführung und Installation . . . 1065
28. 2 . . . Basiseinrichtung und erstes Inventory-Management . . . 1074
28. 3 . . . Ad-hoc-Kommandos und Patterns . . . 1084
28. 4 . . . Die Konfigurations- und Serialisierungssprache YAML . . . 1090
28. 5 . . . Playbooks und Tasks: die Grundlagen . . . 1095
28. 6 . . . Playbooks und Tasks: fortgeschrittene Methoden . . . 1112
28. 7 . . . Module und Collections verwenden . . . 1137
28. 8 . . . Nächste Schritte . . . 1153

29. Monitoring — wissen, was läuft . . . 1155

29. 1 . . . Monitoring mit Checkmk . . . 1155
29. 2 . . . Installation der Pakete . . . 1155
29. 3 . . . Einrichtung der ersten Monitoring-Instanz . . . 1157
29. 4 . . . Server, Geräte und Dienste überwachen . . . 1160
29. 5 . . . Installation des Checkmk-Agenten . . . 1161
29. 6 . . . Anlegen eines Hosts . . . 1162
29. 7 . . . Betriebs- und Fehlerzustände von Host und Services im Überblick . . . 1163
29. 8 . . . Konfiguration durch Regelsätze . . . 1164
29. 9 . . . Notifications . . . 1173
29. 10 . . . Alarme managen . . . 1176
29. 11 . . . Weitere Fähigkeiten von Checkmk . . . 1179
29. 12 . . . Fazit . . . 1180

TEIL VII Sicherheit, Verschlüsselung und Zertifikate . . . 1181

30. Sicherheit . . . 1183

30. 1 . . . Weniger ist mehr . . . 1184
30. 2 . . . chroot . . . 1184
30. 3 . . . Selbstabsicherung: AppArmor . . . 1187
30. 4 . . . Gotcha! Intrusion-Detection-Systeme . . . 1193
30. 5 . . . Installation und Konfiguration . . . 1195
30. 6 . . . Immer das Neueste vom Neuen: pulledpork . . . 1201
30. 7 . . . Klein, aber oho: fail2ban . . . 1204
30. 8 . . . OpenVPN . . . 1210
30. 9 . . . Schnell, Modern, Sicher: WireGuard . . . 1232
30. 10 . . . Fazit . . . 1239

31. Verschlüsselung und Zertifikate . . . 1241

31. 1 . . . Definition und Historie . . . 1241
31. 2 . . . Moderne Kryptologie . . . 1243
31. 3 . . . Den Durchblick behalten . . . 1245
31. 4 . . . Einmal mit allem und kostenlos bitte: Let‘ s Encrypt . . . 1249
31. 5 . . . In der Praxis . . . 1253
31. 6 . . . Neben der Kommunikation — Dateiverschlüsselung . . . 1279

Die Autoren . . . 1287
Index . . . 1289