Bücher
Service
Dirk Deimeke, Jahrgang 1968, beschäftigt sich seit 1996 aktiv mit Linux. Zusätzlich zu seinem Engagement für Ubuntu Linux unterstützt er das Projekt "Taskwarrior", eine Aufgabenverwaltung für die Kommandozeile und die Blogsoftware "Serendipity". 2008 in die Schweiz ausgewandert, arbeitet er seit Juni 2014 als Senior System Engineer Unix/Linux für die Bank Vontobel AG. In seiner verbleibenden freien Zeit widmet er sich der eigenen Unternehmung "My own IT - Dirk Deimeke", die im Rahmen einer "digitalen Nachbarschaftshilfe" Privatpersonen und Organisationen darin unterstützt, die Autonomie über ihre eigenen Daten zu behalten. Neben Artikeln in seinem Blog hält er Vorträge und Workshops auf Open-Source-Konferenzen.
Linux ist das Rückgrat moderner IT-Systeme. Wie Sie Linux effizient als Server nutzen und nach aktuellen Standards administrieren, erfahren Sie in diesem Buch. Von HA-Konfigurationen über Sicherheitsthemen bis hin zur Virtualisierung & Containerisierung lernen Sie Linux intensiv und distributionsunabhängig kennen. Zahlreiche Praxislösungen und umfassendes Hintergrundwissen für die fortgeschrittene Administration unterstützen Sie dabei.
Aus dem Inhalt:
Vorwort ... 33
Über dieses Buch ... 43
1. Der Administrator ... 47
1.1 ... Der Beruf des Systemadministrators ... 47
1.2 ... Nützliche Fähigkeiten und Fertigkeiten ... 54
1.3 ... Das Verhältnis des Administrators zu Normalsterblichen ... 57
1.4 ... Unterbrechungsgesteuertes Arbeiten ... 59
1.5 ... Einordnung der Systemadministration ... 60
1.6 ... Ethischer Verhaltenskodex ... 64
1.7 ... Administration -- eine Lebenseinstellung? ... 65
TEIL I Grundlagen ... 67
2. Der Bootvorgang ... 69
2.1 ... Der Bootloader GRUB 2 ... 69
2.2 ... Bootloader Recovery ... 76
2.3 ... Der Kernel und die initrdignorespaces ... 77
2.4 ... systemd ignorespaces ... 83
3. Festplatten und andere Devices ... 97
3.1 ... RAIDignorespaces ... 97
3.2 ... Rein logisch: Logical Volume Manager (LVM) ... 110
3.3 ... udev ... 133
3.4 ... Alles virtuell? »>/proc« ... 137
4. Dateisysteme ... 145
4.1 ... Dateisysteme: von Bäumen, Journalen und einer Kuh ... 145
4.2 ... Praxis ... 149
4.3 ... Fazit ... 162
5. Berechtigungen ... 163
5.1 ... User, Gruppen und Dateisystemstrukturen ... 163
5.2 ... Dateisystemberechtigungen ... 166
5.3 ... Erweiterte POSIX-ACLs ... 170
5.4 ... Erweiterte Dateisystemattribute ... 179
5.5 ... Quotas ... 181
5.6 ... Pluggable Authentication Modules (PAM) ... 188
5.7 ... Konfiguration von PAM ... 194
5.8 ... ulimit ... 195
5.9 ... Abschlussbemerkung ... 197
TEIL II Aufgaben ... 199
6. Paketmanagement ... 201
6.1 ... Paketverwaltung ... 201
6.2 ... Pakete im Eigenbau ... 206
6.3 ... Updates nur einmal laden: Cache ... 219
6.4 ... Alles meins: Mirror ... 224
7. Backup und Recovery ... 237
7.1 ... Backup gleich Disaster Recovery? ... 237
7.2 ... Backupstrategien ... 238
7.3 ... Datensicherung mit tar ... 241
7.4 ... Datensynchronisation mit rsync ... 243
7.5 ... Imagesicherung mit dd ignorespaces ... 250
7.6 ... Disaster Recovery mit ReaR ... 255
TEIL III Dienste ... 269
8. Webserver ... 271
8.1 ... Apache ... 271
8.2 ... nginx ... 289
8.3 ... PHP ... 294
8.4 ... Fortgeschrittene TLS-Konfiguration und Sicherheitsfunktionen ... 301
9. FTP-Server ... 307
9.1 ... Einstieg ... 307
9.2 ... Download-Server ... 308
9.3 ... Zugriff von Usern auf ihre Homeverzeichnisse ... 310
9.4 ... FTP über SSL (FTPS) ... 311
9.5 ... Anbindung an LDAP ... 313
10. Mailserver ... 315
10.1 ... Postfix ... 315
10.2 ... POP3/IMAP-Server mit Dovecot ... 335
10.3 ... Anti-Spam/Anti-Virus mit Rspamd ... 348
10.4 ... Monitoring und Logfile-Auswertung ... 370
11. Datenbank ... 371
11.1 ... MariaDB in der Praxis ... 371
11.2 ... Tuning ... 384
11.3 ... Backup und Point-In-Time-Recovery ... 394
12. Syslog ... 397
12.1 ... Der Aufbau von Syslog-Nachrichten ... 397
12.2 ... systemd mit journalctl ... 399
12.3 ... Der Klassiker: Syslogd ... 408
12.4 ... Syslog-ng ... 410
12.5 ... Rsyslog ... 416
12.6 ... Loggen über das Netz ... 418
12.7 ... Syslog in eine Datenbank schreiben ... 420
12.8 ... Fazit ... 423
13. Proxy-Server ... 425
13.1 ... Einführung des Stellvertreters ... 425
13.2 ... Proxys in Zeiten des Breitbandinternets ... 426
13.3 ... Herangehensweisen und Vorüberlegungen ... 427
13.4 ... Grundkonfiguration ... 427
13.5 ... Authentifizierung ... 440
13.6 ... Log-Auswertung: Calamaris und Sarg ... 455
13.7 ... Unsichtbar: transparent proxy ... 458
13.8 ... Ab in den Pool -- Verzögerung mit delay_pools ... 459
13.9 ... Familienbetrieb: Sibling, Parent und Co. ... 462
13.10 ... Cache-Konfiguration ... 466
14. Kerberos ... 471
14.1 ... Begriffe im Zusammenhang mit Kerberos ... 472
14.2 ... Die Funktionsweise von Kerberos ... 472
14.3 ... Installation und Konfiguration des Kerberos-Servers ... 473
14.4 ... Initialisierung und Testen des Kerberos-Servers ... 481
14.5 ... Kerberos und PAM ... 487
14.6 ... Neue Benutzer mit Kerberos-Principal anlegen ... 489
14.7 ... Hosts und Dienste ... 490
14.8 ... Konfiguration des Kerberos-Clients ... 494
14.9 ... Replikation des Kerberos-Servers ... 496
14.10 ... Kerberos-Policies ... 504
14.11 ... Kerberos in LDAP einbinden ... 507
14.12 ... Neue Benutzer in den LDAP-Baum aufnehmen ... 526
14.13 ... Authentifizierung am LDAP-Server über »GSSAPI« ... 527
14.14 ... Konfiguration des LAM Pro ... 533
15. Samba 4 ... 537
15.1 ... Vorüberlegungen ... 537
15.2 ... Konfiguration von Samba 4 als Domaincontroller ... 538
15.3 ... Testen des Domaincontrollers ... 546
15.4 ... Benutzer- und Gruppenverwaltung ... 552
15.5 ... Benutzer- und Gruppenverwaltung über die Kommandozeile ... 553
15.6 ... Die Remote Server Administration Tools (RSAT) ... 564
15.7 ... Gruppenrichtlinien ... 567
15.8 ... Linux-Clients in der Domäne ... 577
15.9 ... Zusätzliche Server in der Domäne ... 588
15.10 ... Die Replikation der Freigabe »sysvol« einrichten ... 602
15.11 ... Was geht noch mit Samba 4? ... 607
16. NFS ... 609
16.1 ... Unterschiede zwischen NFSv3 und NFSv4 ... 609
16.2 ... Funktionsweise von NFSv4 ... 610
16.3 ... Einrichten des NFSv4-Servers ... 611
16.4 ... Konfiguration des NFSv4-Clients ... 616
16.5 ... Konfiguration des idmapd ... 617
16.6 ... Optimierung von NFSv4 ... 619
16.7 ... NFSv4 und Firewalls ... 621
16.8 ... NFS und Kerberos ... 622
17. LDAP ... 629
17.1 ... Einige Grundlagen zu LDAP ... 630
17.2 ... Zu den hier verwendeten Distributionen ... 638
17.3 ... Installation der Symas-Pakete ... 639
17.4 ... Die Verbindung zum LDAP-Server über TLS absichern ... 656
17.5 ... Einrichtung des sssd ... 660
17.6 ... Grafische Werkzeuge für die LDAP-Verwaltung ... 666
17.7 ... Änderungen mit »ldapmodify« ... 667
17.8 ... Absichern des LDAP-Baums mit ACLs ... 669
17.9 ... Grundlegende ACLs ... 673
17.10 ... Der neue LDAP-Admin ... 676
17.11 ... Absichern der Passwörter ... 678
17.12 ... ACLs mit regulären Ausdrücken ... 679
17.13 ... Filter zur Suche im LDAP-Baum ... 685
17.14 ... Verwendung von Overlays ... 690
17.15 ... Replikation des DIT ... 696
17.16 ... Weiterleitungen für den Mailserver Postfix ... 712
17.17 ... Benutzerauthentifizierung von Dovecot über LDAP ... 714
17.18 ... Benutzerauthentifizierung am Proxy Squid über LDAP ... 717
17.19 ... Benutzerauthentifizierung am Webserver Apache über LDAP ... 720
17.20 ... Und was geht sonst noch alles mit LDAP? ... 723
18. Druckserver ... 725
18.1 ... CUPS administrieren ... 726
18.2 ... Policies ... 731
18.3 ... Drucker und Klassen einrichten und verwalten ... 736
18.4 ... Druckerquotas ... 739
18.5 ... CUPS über die Kommandozeile ... 740
18.6 ... PPD-Dateien ... 743
18.7 ... Noch mehr Druck ... 744
TEIL IV Infrastruktur ... 745
19. Hochverfügbarkeit ... 747
19.1 ... Das Beispiel-Setup ... 747
19.2 ... Installation ... 748
19.3 ... Einfache Vorarbeiten ... 749
19.4 ... Shared Storage mit DRBD ... 749
19.5 ... Grundkonfiguration der Clusterkomponenten ... 755
19.6 ... Dienste hochverfügbar machen ... 762
20. Virtualisierung ... 775
20.1 ... Einleitung ... 775
20.2 ... Für den Sysadmin ... 776
20.3 ... Servervirtualisierung ... 780
20.4 ... Netzwerkgrundlagen ... 784
20.5 ... Management und Installation ... 785
20.6 ... Umzugsunternehmen: Live Migration ... 802
21. Containervirtualisierung mit Docker und Podman ... 805
21.1 ... Einführung, Installation und Grundlagen für den Betrieb ... 805
21.2 ... Management von Images und Containern ... 815
21.3 ... Docker-Networking ... 832
21.4 ... Containerdaten und Persistenz ... 836
21.5 ... Erstellen eigener Images mit Dockerfiles ... 842
21.6 ... Multi-Container-Rollout mit Docker Compose ... 855
21.7 ... Betrieb und Verwendung einer eigenen Registry ... 862
TEIL V Kommunikation ... 871
22. Netzwerk ... 873
22.1 ... Vorwort zu Predictable Network Interface Names ... 873
22.2 ... Netzwerkkonfiguration mit iproute2 ... 874
22.3 ... Routing mit ip ... 885
22.4 ... Bonding ... 896
22.5 ... IPv6 ... 902
22.6 ... Firewalls mit netfilter und iptables ignorespaces ... 911
22.7 ... DHCP ... 934
23. DNS-Server ... 939
23.1 ... Funktionsweise ... 939
23.2 ... Vertrauen schaffen mit DNSSEC ... 957
23.3 ... Client-Anfragen absichern mit »DNS over HTTPS (DoH)« ... 967
24. OpenSSH ... 973
24.1 ... Die SSH-Familie ... 973
24.2 ... Schlüssel statt Passwort ... 978
24.3 ... X11-Forwarding ... 981
24.4 ... Portweiterleitung und Tunneling ... 982
25. Administrationstools ... 985
25.1 ... Was kann dies und jenes noch? ... 985
25.2 ... Aus der Ferne -- Remote-Administrationstools ... 1008
26. Versionskontrolle ... 1017
26.1 ... Philosophien ignorespaces ... 1018
26.2 ... Versionskontrollsysteme ... 1020
26.3 ... Kommandos ... 1032
26.4 ... Serverdienste ignorespaces ... 1033
TEIL VI Automatisierung ... 1041
27. Scripting ... 1043
27.1 ... Aufgebohrte Muscheln ... 1043
27.2 ... Vom Suchen und Finden: ein kurzer Überblick ... 1044
27.3 ... Fortgeschrittene Shell-Programmierung ... 1048
27.4 ... Tipps und Tricks aus der Praxis ... 1060
28. Konfigurationsmanagement mit Ansible ... 1065
28.1 ... Einführung und Installation ... 1065
28.2 ... Basiseinrichtung und erstes Inventory-Management ... 1074
28.3 ... Ad-hoc-Kommandos und Patterns ... 1084
28.4 ... Die Konfigurations- und Serialisierungssprache YAML ... 1090
28.5 ... Playbooks und Tasks: die Grundlagen ... 1095
28.6 ... Playbooks und Tasks: fortgeschrittene Methoden ... 1112
28.7 ... Module und Collections verwenden ... 1137
28.8 ... Nächste Schritte ... 1153
29. Monitoring -- wissen, was läuft ... 1155
29.1 ... Monitoring mit Checkmk ... 1155
29.2 ... Installation der Pakete ... 1155
29.3 ... Einrichtung der ersten Monitoring-Instanz ... 1157
29.4 ... Server, Geräte und Dienste überwachen ... 1160
29.5 ... Installation des Checkmk-Agenten ... 1161
29.6 ... Anlegen eines Hosts ... 1162
29.7 ... Betriebs- und Fehlerzustände von Host und Services im Überblick ... 1163
29.8 ... Konfiguration durch Regelsätze ... 1164
29.9 ... Notifications ... 1173
29.10 ... Alarme managen ... 1176
29.11 ... Weitere Fähigkeiten von Checkmk ... 1179
29.12 ... Fazit ... 1180
TEIL VII Sicherheit, Verschlüsselung und Zertifikate ... 1181
30. Sicherheit ... 1183
30.1 ... Weniger ist mehr ... 1184
30.2 ... chroot ... 1184
30.3 ... Selbstabsicherung: AppArmor ... 1187
30.4 ... Gotcha! Intrusion-Detection-Systeme ... 1193
30.5 ... Installation und Konfiguration ... 1195
30.6 ... Immer das Neueste vom Neuen: pulledpork ... 1201
30.7 ... Klein, aber oho: fail2ban ... 1204
30.8 ... OpenVPN ... 1210
30.9 ... Schnell, Modern, Sicher: WireGuard ... 1232
30.10 ... Fazit ... 1239
31. Verschlüsselung und Zertifikate ... 1241
31.1 ... Definition und Historie ... 1241
31.2 ... Moderne Kryptologie ... 1243
31.3 ... Den Durchblick behalten ... 1245
31.4 ... Einmal mit allem und kostenlos bitte: Let's Encrypt ... 1249
31.5 ... In der Praxis ... 1253
31.6 ... Neben der Kommunikation -- Dateiverschlüsselung ... 1279
Die Autoren ... 1287
Index ... 1289
