Dirk Deimeke, Jahrgang 1968, beschäftigt sich seit 1996 aktiv mit Linux. Zusätzlich zu seinem Engagement für Ubuntu Linux unterstützt er das Projekt "Taskwarrior", eine Aufgabenverwaltung für die Kommandozeile und die Blogsoftware "Serendipity". 2008 in die Schweiz ausgewandert, arbeitet er seit Juni 2014 als Senior System Engineer Unix/Linux für die Bank Vontobel AG. In seiner verbleibenden freien Zeit widmet er sich der eigenen Unternehmung "My own IT - Dirk Deimeke", die im Rahmen einer "digitalen Nachbarschaftshilfe" Privatpersonen und Organisationen darin unterstützt, die Autonomie über ihre eigenen Daten zu behalten. Neben Artikeln in seinem Blog hält er Vorträge und Workshops auf Open-Source-Konferenzen.

Container mit Docker, Automatisierung mit Ansible, Datei-Server und Userverwaltung mit LDAP und Samba

Vorwort ... 33

Über dieses Buch ... 43

1. Der Administrator ... 47

1.1 ... Der Beruf des Systemadministrators ... 47

1.2 ... Nützliche Fähigkeiten und Fertigkeiten ... 54

1.3 ... Das Verhältnis des Administrators zu Normalsterblichen ... 57

1.4 ... Unterbrechungsgesteuertes Arbeiten ... 59

1.5 ... Einordnung der Systemadministration ... 60

1.6 ... Ethischer Verhaltenskodex ... 64

1.7 ... Administration -- eine Lebenseinstellung? ... 65

TEIL I Grundlagen ... 67

2. Der Bootvorgang ... 69

2.1 ... Der Bootloader GRUB 2 ... 69

2.2 ... Bootloader Recovery ... 76

2.3 ... Der Kernel und die initrdignorespaces ... 77

2.4 ... systemd ignorespaces ... 83

3. Festplatten und andere Devices ... 97

3.1 ... RAIDignorespaces ... 97

3.2 ... Rein logisch: Logical Volume Manager (LVM) ... 110

3.3 ... udev ... 133

3.4 ... Alles virtuell? »>/proc« ... 137

4. Dateisysteme ... 145

4.1 ... Dateisysteme: von Bäumen, Journalen und einer Kuh ... 145

4.2 ... Praxis ... 149

4.3 ... Fazit ... 162

5. Berechtigungen ... 163

5.1 ... User, Gruppen und Dateisystemstrukturen ... 163

5.2 ... Dateisystemberechtigungen ... 166

5.3 ... Erweiterte POSIX-ACLs ... 170

5.4 ... Erweiterte Dateisystemattribute ... 179

5.5 ... Quotas ... 181

5.6 ... Pluggable Authentication Modules (PAM) ... 188

5.7 ... Konfiguration von PAM ... 194

5.8 ... ulimit ... 195

5.9 ... Abschlussbemerkung ... 197

TEIL II Aufgaben ... 199

6. Paketmanagement ... 201

6.1 ... Paketverwaltung ... 201

6.2 ... Pakete im Eigenbau ... 206

6.3 ... Updates nur einmal laden: Cache ... 219

6.4 ... Alles meins: Mirror ... 224

7. Backup und Recovery ... 237

7.1 ... Backup gleich Disaster Recovery? ... 237

7.2 ... Backupstrategien ... 238

7.3 ... Datensicherung mit tar ... 241

7.4 ... Datensynchronisation mit rsync ... 243

7.5 ... Imagesicherung mit dd ignorespaces ... 250

7.6 ... Disaster Recovery mit ReaR ... 255

TEIL III Dienste ... 269

8. Webserver ... 271

8.1 ... Apache ... 271

8.2 ... nginx ... 289

8.3 ... PHP ... 294

8.4 ... Fortgeschrittene TLS-Konfiguration und Sicherheitsfunktionen ... 301

9. FTP-Server ... 307

9.1 ... Einstieg ... 307

9.2 ... Download-Server ... 308

9.3 ... Zugriff von Usern auf ihre Homeverzeichnisse ... 310

9.4 ... FTP über SSL (FTPS) ... 311

9.5 ... Anbindung an LDAP ... 313

10. Mailserver ... 315

10.1 ... Postfix ... 315

10.2 ... POP3/IMAP-Server mit Dovecot ... 335

10.3 ... Anti-Spam/Anti-Virus mit Rspamd ... 348

10.4 ... Monitoring und Logfile-Auswertung ... 370

11. Datenbank ... 371

11.1 ... MariaDB in der Praxis ... 371

11.2 ... Tuning ... 384

11.3 ... Backup und Point-In-Time-Recovery ... 394

12. Syslog ... 397

12.1 ... Der Aufbau von Syslog-Nachrichten ... 397

12.2 ... systemd mit journalctl ... 399

12.3 ... Der Klassiker: Syslogd ... 408

12.4 ... Syslog-ng ... 410

12.5 ... Rsyslog ... 416

12.6 ... Loggen über das Netz ... 418

12.7 ... Syslog in eine Datenbank schreiben ... 420

12.8 ... Fazit ... 423

13. Proxy-Server ... 425

13.1 ... Einführung des Stellvertreters ... 425

13.2 ... Proxys in Zeiten des Breitbandinternets ... 426

13.3 ... Herangehensweisen und Vorüberlegungen ... 427

13.4 ... Grundkonfiguration ... 427

13.5 ... Authentifizierung ... 440

13.6 ... Log-Auswertung: Calamaris und Sarg ... 455

13.7 ... Unsichtbar: transparent proxy ... 458

13.8 ... Ab in den Pool -- Verzögerung mit delay_pools ... 459

13.9 ... Familienbetrieb: Sibling, Parent und Co. ... 462

13.10 ... Cache-Konfiguration ... 466

14. Kerberos ... 471

14.1 ... Begriffe im Zusammenhang mit Kerberos ... 472

14.2 ... Die Funktionsweise von Kerberos ... 472

14.3 ... Installation und Konfiguration des Kerberos-Servers ... 473

14.4 ... Initialisierung und Testen des Kerberos-Servers ... 481

14.5 ... Kerberos und PAM ... 487

14.6 ... Neue Benutzer mit Kerberos-Principal anlegen ... 489

14.7 ... Hosts und Dienste ... 490

14.8 ... Konfiguration des Kerberos-Clients ... 494

14.9 ... Replikation des Kerberos-Servers ... 496

14.10 ... Kerberos-Policies ... 504

14.11 ... Kerberos in LDAP einbinden ... 507

14.12 ... Neue Benutzer in den LDAP-Baum aufnehmen ... 526

14.13 ... Authentifizierung am LDAP-Server über »GSSAPI« ... 527

14.14 ... Konfiguration des LAM Pro ... 533

15. Samba 4 ... 537

15.1 ... Vorüberlegungen ... 537

15.2 ... Konfiguration von Samba 4 als Domaincontroller ... 538

15.3 ... Testen des Domaincontrollers ... 546

15.4 ... Benutzer- und Gruppenverwaltung ... 552

15.5 ... Benutzer- und Gruppenverwaltung über die Kommandozeile ... 553

15.6 ... Die Remote Server Administration Tools (RSAT) ... 564

15.7 ... Gruppenrichtlinien ... 567

15.8 ... Linux-Clients in der Domäne ... 577

15.9 ... Zusätzliche Server in der Domäne ... 588

15.10 ... Die Replikation der Freigabe »sysvol« einrichten ... 602

15.11 ... Was geht noch mit Samba 4? ... 607

16. NFS ... 609

16.1 ... Unterschiede zwischen NFSv3 und NFSv4 ... 609

16.2 ... Funktionsweise von NFSv4 ... 610

16.3 ... Einrichten des NFSv4-Servers ... 611

16.4 ... Konfiguration des NFSv4-Clients ... 616

16.5 ... Konfiguration des idmapd ... 617

16.6 ... Optimierung von NFSv4 ... 619

16.7 ... NFSv4 und Firewalls ... 621

16.8 ... NFS und Kerberos ... 622

17. LDAP ... 629

17.1 ... Einige Grundlagen zu LDAP ... 630

17.2 ... Zu den hier verwendeten Distributionen ... 638

17.3 ... Installation der Symas-Pakete ... 639

17.4 ... Die Verbindung zum LDAP-Server über TLS absichern ... 656

17.5 ... Einrichtung des sssd ... 660

17.6 ... Grafische Werkzeuge für die LDAP-Verwaltung ... 666

17.7 ... Änderungen mit »ldapmodify« ... 667

17.8 ... Absichern des LDAP-Baums mit ACLs ... 669

17.9 ... Grundlegende ACLs ... 673

17.10 ... Der neue LDAP-Admin ... 676

17.11 ... Absichern der Passwörter ... 678

17.12 ... ACLs mit regulären Ausdrücken ... 679

17.13 ... Filter zur Suche im LDAP-Baum ... 685

17.14 ... Verwendung von Overlays ... 690

17.15 ... Replikation des DIT ... 696

17.16 ... Weiterleitungen für den Mailserver Postfix ... 712

17.17 ... Benutzerauthentifizierung von Dovecot über LDAP ... 714

17.18 ... Benutzerauthentifizierung am Proxy Squid über LDAP ... 717

17.19 ... Benutzerauthentifizierung am Webserver Apache über LDAP ... 720

17.20 ... Und was geht sonst noch alles mit LDAP? ... 723

18. Druckserver ... 725

18.1 ... CUPS administrieren ... 726

18.2 ... Policies ... 731

18.3 ... Drucker und Klassen einrichten und verwalten ... 736

18.4 ... Druckerquotas ... 739

18.5 ... CUPS über die Kommandozeile ... 740

18.6 ... PPD-Dateien ... 743

18.7 ... Noch mehr Druck ... 744

TEIL IV Infrastruktur ... 745

19. Hochverfügbarkeit ... 747

19.1 ... Das Beispiel-Setup ... 747

19.2 ... Installation ... 748

19.3 ... Einfache Vorarbeiten ... 749

19.4 ... Shared Storage mit DRBD ... 749

19.5 ... Grundkonfiguration der Clusterkomponenten ... 755

19.6 ... Dienste hochverfügbar machen ... 762

20. Virtualisierung ... 775

20.1 ... Einleitung ... 775

20.2 ... Für den Sysadmin ... 776

20.3 ... Servervirtualisierung ... 780

20.4 ... Netzwerkgrundlagen ... 784

20.5 ... Management und Installation ... 785

20.6 ... Umzugsunternehmen: Live Migration ... 802

21. Containervirtualisierung mit Docker und Podman ... 805

21.1 ... Einführung, Installation und Grundlagen für den Betrieb ... 805

21.2 ... Management von Images und Containern ... 815

21.3 ... Docker-Networking ... 832

21.4 ... Containerdaten und Persistenz ... 836

21.5 ... Erstellen eigener Images mit Dockerfiles ... 842

21.6 ... Multi-Container-Rollout mit Docker Compose ... 855

21.7 ... Betrieb und Verwendung einer eigenen Registry ... 862

TEIL V Kommunikation ... 871

22. Netzwerk ... 873

22.1 ... Vorwort zu Predictable Network Interface Names ... 873

22.2 ... Netzwerkkonfiguration mit iproute2 ... 874

22.3 ... Routing mit ip ... 885

22.4 ... Bonding ... 896

22.5 ... IPv6 ... 902

22.6 ... Firewalls mit netfilter und iptables ignorespaces ... 911

22.7 ... DHCP ... 934

23. DNS-Server ... 939

23.1 ... Funktionsweise ... 939

23.2 ... Vertrauen schaffen mit DNSSEC ... 957

23.3 ... Client-Anfragen absichern mit »DNS over HTTPS (DoH)« ... 967

24. OpenSSH ... 973

24.1 ... Die SSH-Familie ... 973

24.2 ... Schlüssel statt Passwort ... 978

24.3 ... X11-Forwarding ... 981

24.4 ... Portweiterleitung und Tunneling ... 982

25. Administrationstools ... 985

25.1 ... Was kann dies und jenes noch? ... 985

25.2 ... Aus der Ferne -- Remote-Administrationstools ... 1008

26. Versionskontrolle ... 1017

26.1 ... Philosophien ignorespaces ... 1018

26.2 ... Versionskontrollsysteme ... 1020

26.3 ... Kommandos ... 1032

26.4 ... Serverdienste ignorespaces ... 1033

TEIL VI Automatisierung ... 1041

27. Scripting ... 1043

27.1 ... Aufgebohrte Muscheln ... 1043

27.2 ... Vom Suchen und Finden: ein kurzer Überblick ... 1044

27.3 ... Fortgeschrittene Shell-Programmierung ... 1048

27.4 ... Tipps und Tricks aus der Praxis ... 1060

28. Konfigurationsmanagement mit Ansible ... 1065

28.1 ... Einführung und Installation ... 1065

28.2 ... Basiseinrichtung und erstes Inventory-Management ... 1074

28.3 ... Ad-hoc-Kommandos und Patterns ... 1084

28.4 ... Die Konfigurations- und Serialisierungssprache YAML ... 1090

28.5 ... Playbooks und Tasks: die Grundlagen ... 1095

28.6 ... Playbooks und Tasks: fortgeschrittene Methoden ... 1112

28.7 ... Module und Collections verwenden ... 1137

28.8 ... Nächste Schritte ... 1153

29. Monitoring -- wissen, was läuft ... 1155

29.1 ... Monitoring mit Checkmk ... 1155

29.2 ... Installation der Pakete ... 1155

29.3 ... Einrichtung der ersten Monitoring-Instanz ... 1157

29.4 ... Server, Geräte und Dienste überwachen ... 1160

29.5 ... Installation des Checkmk-Agenten ... 1161

29.6 ... Anlegen eines Hosts ... 1162

29.7 ... Betriebs- und Fehlerzustände von Host und...