Linux-Server - Das umfassende Handbuch

Gebundene Ausgabe - zu den Produktdetails

von Dirk Deimeke, Daniel van Soest, Stefan Kania, Peer Heinlein, Axel Miesen

69,90 €

inkl. MwSt. versandkostenfrei!

Produktdetails

Verlag	Rheinwerk Verlag
Auflage	7. Auflage, 06.09.2023
Seiten	1306
Format	19,9 x 7,0 x 24,4 cm
Gewicht	2516 g
ISBN-10	3836296152
ISBN-13	9783836296151
Bestell-Nr	83629615A

Produktbeschreibung

Linux ist das Rückgrat moderner IT-Systeme. Wie Sie Linux effizient als Server nutzen und nach aktuellen Standards administrieren, erfahren Sie in diesem Buch. Von HA-Konfigurationen über Sicherheitsthemen bis hin zur Virtualisierung & Containerisierung lernen Sie Linux intensiv und distributionsunabhängig kennen. Zahlreiche Praxislösungen und umfassendes Hintergrundwissen für die fortgeschrittene Administration unterstützen Sie dabei.

Aus dem Inhalt:

Administrationsgrundlagen

Devices und Paketmanagement

Dateisysteme und Berechtigungen

Scripting und Shell-Coding

Dienste

Web-, Mail-, Proxy-, FTP- und Druckserver

Samba, LDAP, Kerberos, NFSv4

Infrastruktur und Netze

Hochverfügbarkeit

Virtualisierung (KVM, Docker)

Routing, Bonding, Firewalls

DHCP, DNS, OpenSSH

Versionskontrolle (VCS)

Sicherheit, Monitoring & Co.

Backup und Recovery

Verschlüsselung

Zertifikate

Automatisierung

Ansible

PKI mit OCSP

Inhalt:

  Vorwort ... 33

  Über dieses Buch ... 43

  1.  Der Administrator ... 47

       1.1 ... Der Beruf des Systemadministrators ... 47

       1.2 ... Nützliche Fähigkeiten und Fertigkeiten ... 54

       1.3 ... Das Verhältnis des Administrators zu Normalsterblichen ... 57

       1.4 ... Unterbrechungsgesteuertes Arbeiten ... 59

       1.5 ... Einordnung der Systemadministration ... 60

       1.6 ... Ethischer Verhaltenskodex ... 64

       1.7 ... Administration -- eine Lebenseinstellung? ... 65

TEIL I  Grundlagen ... 67

  2.  Der Bootvorgang ... 69

       2.1 ... Der Bootloader GRUB 2 ... 69

       2.2 ... Bootloader Recovery ... 76

       2.3 ... Der Kernel und die initrdignorespaces ... 77

       2.4 ... systemd ignorespaces ... 83

  3.  Festplatten und andere Devices ... 97

       3.1 ... RAIDignorespaces ... 97

       3.2 ... Rein logisch: Logical Volume Manager (LVM) ... 110

       3.3 ... udev ... 133

       3.4 ... Alles virtuell? '>/proc' ... 137

  4.  Dateisysteme ... 145

       4.1 ... Dateisysteme: von Bäumen, Journalen und einer Kuh ... 145

       4.2 ... Praxis ... 149

       4.3 ... Fazit ... 162

  5.  Berechtigungen ... 163

       5.1 ... User, Gruppen und Dateisystemstrukturen ... 163

       5.2 ... Dateisystemberechtigungen ... 166

       5.3 ... Erweiterte POSIX-ACLs ... 170

       5.4 ... Erweiterte Dateisystemattribute ... 179

       5.5 ... Quotas ... 181

       5.6 ... Pluggable Authentication Modules (PAM) ... 188

       5.7 ... Konfiguration von PAM ... 194

       5.8 ... ulimit ... 195

       5.9 ... Abschlussbemerkung ... 197

TEIL II  Aufgaben ... 199

  6.  Paketmanagement ... 201

       6.1 ... Paketverwaltung ... 201

       6.2 ... Pakete im Eigenbau ... 206

       6.3 ... Updates nur einmal laden: Cache ... 219

       6.4 ... Alles meins: Mirror ... 224

  7.  Backup und Recovery ... 237

       7.1 ... Backup gleich Disaster Recovery? ... 237

       7.2 ... Backupstrategien ... 238

       7.3 ... Datensicherung mit tar ... 241

       7.4 ... Datensynchronisation mit rsync ... 243

       7.5 ... Imagesicherung mit dd ignorespaces ... 250

       7.6 ... Disaster Recovery mit ReaR ... 255

TEIL III  Dienste ... 269

  8.  Webserver ... 271

       8.1 ... Apache ... 271

       8.2 ... nginx ... 289

       8.3 ... PHP ... 294

       8.4 ... Fortgeschrittene TLS-Konfiguration und Sicherheitsfunktionen ... 301

  9.  FTP-Server ... 307

       9.1 ... Einstieg ... 307

       9.2 ... Download-Server ... 308

       9.3 ... Zugriff von Usern auf ihre Homeverzeichnisse ... 310

       9.4 ... FTP über SSL (FTPS) ... 311

       9.5 ... Anbindung an LDAP ... 313

10.  Mailserver ... 315

       10.1 ... Postfix ... 315

       10.2 ... POP3/IMAP-Server mit Dovecot ... 335

       10.3 ... Anti-Spam/Anti-Virus mit Rspamd ... 348

       10.4 ... Monitoring und Logfile-Auswertung ... 370

11.  Datenbank ... 371

       11.1 ... MariaDB in der Praxis ... 371

       11.2 ... Tuning ... 384

       11.3 ... Backup und Point-In-Time-Recovery ... 394

12.  Syslog ... 397

       12.1 ... Der Aufbau von Syslog-Nachrichten ... 397

       12.2 ... systemd mit journalctl ... 399

       12.3 ... Der Klassiker: Syslogd ... 408

       12.4 ... Syslog-ng ... 410

       12.5 ... Rsyslog ... 416

       12.6 ... Loggen über das Netz ... 418

       12.7 ... Syslog in eine Datenbank schreiben ... 420

       12.8 ... Fazit ... 423

13.  Proxy-Server ... 425

       13.1 ... Einführung des Stellvertreters ... 425

       13.2 ... Proxys in Zeiten des Breitbandinternets ... 426

       13.3 ... Herangehensweisen und Vorüberlegungen ... 427

       13.4 ... Grundkonfiguration ... 427

       13.5 ... Authentifizierung ... 440

       13.6 ... Log-Auswertung: Calamaris und Sarg ... 455

       13.7 ... Unsichtbar: transparent proxy ... 458

       13.8 ... Ab in den Pool -- Verzögerung mit delay_pools ... 459

       13.9 ... Familienbetrieb: Sibling, Parent und Co. ... 462

       13.10 ... Cache-Konfiguration ... 466

14.  Kerberos ... 471

       14.1 ... Begriffe im Zusammenhang mit Kerberos ... 472

       14.2 ... Die Funktionsweise von Kerberos ... 472

       14.3 ... Installation und Konfiguration des Kerberos-Servers ... 473

       14.4 ... Initialisierung und Testen des Kerberos-Servers ... 481

       14.5 ... Kerberos und PAM ... 487

       14.6 ... Neue Benutzer mit Kerberos-Principal anlegen ... 489

       14.7 ... Hosts und Dienste ... 490

       14.8 ... Konfiguration des Kerberos-Clients ... 494

       14.9 ... Replikation des Kerberos-Servers ... 496

       14.10 ... Kerberos-Policies ... 504

       14.11 ... Kerberos in LDAP einbinden ... 507

       14.12 ... Neue Benutzer in den LDAP-Baum aufnehmen ... 526

       14.13 ... Authentifizierung am LDAP-Server über 'GSSAPI' ... 527

       14.14 ... Konfiguration des LAM Pro ... 533

15.  Samba 4 ... 537

       15.1 ... Vorüberlegungen ... 537

       15.2 ... Konfiguration von Samba 4 als Domaincontroller ... 538

       15.3 ... Testen des Domaincontrollers ... 546

       15.4 ... Benutzer- und Gruppenverwaltung ... 552

       15.5 ... Benutzer- und Gruppenverwaltung über die Kommandozeile ... 553

       15.6 ... Die Remote Server Administration Tools (RSAT) ... 564

       15.7 ... Gruppenrichtlinien ... 567

       15.8 ... Linux-Clients in der Domäne ... 577

       15.9 ... Zusätzliche Server in der Domäne ... 588

       15.10 ... Die Replikation der Freigabe 'sysvol' einrichten ... 602

       15.11 ... Was geht noch mit Samba 4? ... 607

16.  NFS ... 609

       16.1 ... Unterschiede zwischen NFSv3 und NFSv4 ... 609

       16.2 ... Funktionsweise von NFSv4 ... 610

       16.3 ... Einrichten des NFSv4-Servers ... 611

       16.4 ... Konfiguration des NFSv4-Clients ... 616

       16.5 ... Konfiguration des idmapd ... 617

       16.6 ... Optimierung von NFSv4 ... 619

       16.7 ... NFSv4 und Firewalls ... 621

       16.8 ... NFS und Kerberos ... 622

17.  LDAP ... 629

       17.1 ... Einige Grundlagen zu LDAP ... 630

       17.2 ... Zu den hier verwendeten Distributionen ... 638

       17.3 ... Installation der Symas-Pakete ... 639

       17.4 ... Die Verbindung zum LDAP-Server über TLS absichern ... 656

       17.5 ... Einrichtung des sssd ... 660

       17.6 ... Grafische Werkzeuge für die LDAP-Verwaltung ... 666

       17.7 ... Änderungen mit 'ldapmodify' ... 667

       17.8 ... Absichern des LDAP-Baums mit ACLs ... 669

       17.9 ... Grundlegende ACLs ... 673

       17.10 ... Der neue LDAP-Admin ... 676

       17.11 ... Absichern der Passwörter ... 678

       17.12 ... ACLs mit regulären Ausdrücken ... 679

       17.13 ... Filter zur Suche im LDAP-Baum ... 685

       17.14 ... Verwendung von Overlays ... 690

       17.15 ... Replikation des DIT ... 696

       17.16 ... Weiterleitungen für den Mailserver Postfix ... 712

       17.17 ... Benutzerauthentifizierung von Dovecot über LDAP ... 714

       17.18 ... Benutzerauthentifizierung am Proxy Squid über LDAP ... 717

       17.19 ... Benutzerauthentifizierung am Webserver Apache über LDAP ... 720

       17.20 ... Und was geht sonst noch alles mit LDAP? ... 723

18.  Druckserver ... 725

       18.1 ... CUPS administrieren ... 726

       18.2 ... Policies ... 731

       18.3 ... Drucker und Klassen einrichten und verwalten ... 736

       18.4 ... Druckerquotas ... 739

       18.5 ... CUPS über die Kommandozeile ... 740

       18.6 ... PPD-Dateien ... 743

       18.7 ... Noch mehr Druck ... 744

TEIL IV  Infrastruktur ... 745

19.  Hochverfügbarkeit ... 747

       19.1 ... Das Beispiel-Setup ... 747

       19.2 ... Installation ... 748

       19.3 ... Einfache Vorarbeiten ... 749

       19.4 ... Shared Storage mit DRBD ... 749

       19.5 ... Grundkonfiguration der Clusterkomponenten ... 755

       19.6 ... Dienste hochverfügbar machen ... 762

20.  Virtualisierung ... 775

       20.1 ... Einleitung ... 775

       20.2 ... Für den Sysadmin ... 776

       20.3 ... Servervirtualisierung ... 780

       20.4 ... Netzwerkgrundlagen ... 784

       20.5 ... Management und Installation ... 785

       20.6 ... Umzugsunternehmen: Live Migration ... 802

21.  Containervirtualisierung mit Docker und Podman ... 805

       21.1 ... Einführung, Installation und Grundlagen für den Betrieb ... 805

       21.2 ... Management von Images und Containern ... 815

       21.3 ... Docker-Networking ... 832

       21.4 ... Containerdaten und Persistenz ... 836

       21.5 ... Erstellen eigener Images mit Dockerfiles ... 842

       21.6 ... Multi-Container-Rollout mit Docker Compose ... 855

       21.7 ... Betrieb und Verwendung einer eigenen Registry ... 862

TEIL V  Kommunikation ... 871

22.  Netzwerk ... 873

       22.1 ... Vorwort zu Predictable Network Interface Names ... 873

       22.2 ... Netzwerkkonfiguration mit iproute2 ... 874

       22.3 ... Routing mit ip ... 885

       22.4 ... Bonding ... 896

       22.5 ... IPv6 ... 902

       22.6 ... Firewalls mit netfilter und iptables ignorespaces ... 911

       22.7 ... DHCP ... 934

23.  DNS-Server ... 939

       23.1 ... Funktionsweise ... 939

       23.2 ... Vertrauen schaffen mit DNSSEC ... 957

       23.3 ... Client-Anfragen absichern mit 'DNS over HTTPS (DoH)' ... 967

24.  OpenSSH ... 973

       24.1 ... Die SSH-Familie ... 973

       24.2 ... Schlüssel statt Passwort ... 978

       24.3 ... X11-Forwarding ... 981

       24.4 ... Portweiterleitung und Tunneling ... 982

25.  Administrationstools ... 985

       25.1 ... Was kann dies und jenes noch? ... 985

       25.2 ... Aus der Ferne -- Remote-Administrationstools ... 1008

26.  Versionskontrolle ... 1017

       26.1 ... Philosophien ignorespaces ... 1018

       26.2 ... Versionskontrollsysteme ... 1020

       26.3 ... Kommandos ... 1032

       26.4 ... Serverdienste ignorespaces ... 1033

TEIL VI  Automatisierung ... 1041

27.  Scripting ... 1043

       27.1 ... Aufgebohrte Muscheln ... 1043

       27.2 ... Vom Suchen und Finden: ein kurzer Überblick ... 1044

       27.3 ... Fortgeschrittene Shell-Programmierung ... 1048

       27.4 ... Tipps und Tricks aus der Praxis ... 1060

28.  Konfigurationsmanagement mit Ansible ... 1065

       28.1 ... Einführung und Installation ... 1065

       28.2 ... Basiseinrichtung und erstes Inventory-Management ... 1074

       28.3 ... Ad-hoc-Kommandos und Patterns ... 1084

       28.4 ... Die Konfigurations- und Serialisierungssprache YAML ... 1090

       28.5 ... Playbooks und Tasks: die Grundlagen ... 1095

       28.6 ... Playbooks und Tasks: fortgeschrittene Methoden ... 1112

       28.7 ... Module und Collections verwenden ... 1137

       28.8 ... Nächste Schritte ... 1153

29.  Monitoring -- wissen, was läuft ... 1155

       29.1 ... Monitoring mit Checkmk ... 1155

       29.2 ... Installation der Pakete ... 1155

       29.3 ... Einrichtung der ersten Monitoring-Instanz ... 1157

       29.4 ... Server, Geräte und Dienste überwachen ... 1160

       29.5 ... Installation des Checkmk-Agenten ... 1161

       29.6 ... Anlegen eines Hosts ... 1162

       29.7 ... Betriebs- und Fehlerzustände von Host und Services im Überblick ... 1163

       29.8 ... Konfiguration durch Regelsätze ... 1164

       29.9 ... Notifications ... 1173

       29.10 ... Alarme managen ... 1176

       29.11 ... Weitere Fähigkeiten von Checkmk ... 1179

       29.12 ... Fazit ... 1180

TEIL VII  Sicherheit, Verschlüsselung und Zertifikate ... 1181

30.  Sicherheit ... 1183

       30.1 ... Weniger ist mehr ... 1184

       30.2 ... chroot ... 1184

       30.3 ... Selbstabsicherung: AppArmor ... 1187

       30.4 ... Gotcha! Intrusion-Detection-Systeme ... 1193

       30.5 ... Installation und Konfiguration ... 1195

       30.6 ... Immer das Neueste vom Neuen: pulledpork ... 1201

       30.7 ... Klein, aber oho: fail2ban ... 1204

       30.8 ... OpenVPN ... 1210

       30.9 ... Schnell, Modern, Sicher: WireGuard ... 1232

       30.10 ... Fazit ... 1239

31.  Verschlüsselung und Zertifikate ... 1241

       31.1 ... Definition und Historie ... 1241

       31.2 ... Moderne Kryptologie ... 1243

       31.3 ... Den Durchblick behalten ... 1245

       31.4 ... Einmal mit allem und kostenlos bitte: Let's Encrypt ... 1249

       31.5 ... In der Praxis ... 1253

       31.6 ... Neben der Kommunikation -- Dateiverschlüsselung ... 1279

  Die Autoren ... 1287

  Index ... 1289

Autorenporträt anzeigen

Dirk Deimeke, Jahrgang 1968, beschäftigt sich seit 1996 aktiv mit Linux. Zusätzlich zu seinem Engagement für Ubuntu Linux unterstützt er das Projekt "Taskwarrior", eine Aufgabenverwaltung für die Kommandozeile und die Blogsoftware "Serendipity". 2008 in die Schweiz ausgewandert, arbeitet er seit Juni 2014 als Senior System Engineer Unix/Linux für die Bank Vontobel AG. In seiner verbleibenden freien Zeit widmet er sich der eigenen Unternehmung "My own IT - Dirk Deimeke", die im Rahmen einer "digitalen Nachbarschaftshilfe" Privatpersonen und Organisationen darin unterstützt, die Autonomie über ihre eigenen Daten zu behalten. Neben Artikeln in seinem Blog hält er Vorträge und Workshops auf Open-Source-Konferenzen.
Daniel van Soest, Jahrgang 1981, veröffentlichte bereits mehrere Fachartikel zu IT-Themen. Während seiner Ausbildung zum Informatikkaufmann kam er zu Beginn des neuen Jahrtausends erstmals mit dem Betriebssystem Linux in Kontakt. Seit seiner Ausbildung arbeitet er im Kommunalen Rechenzentrum Niederrhein in Kamp-Lintfort. Der Schwerpunkt seiner Tätigkeit liegt auf der Betreuung der zentralen Internet-Infrastruktur und der Administration der Sicherheitssysteme.
Stefan Kania ist seit 1997 freiberuflich als Consultant und Trainer tätig. Seine Schwerpunkte liegen in der Implementierung von Samba und LDAP sowie in Schulungen zu beiden Themen. Seine Wahlheimat heißt Schleswig-Holstein.
Peer Heinlein ist E-Mail-Spezialist, Gründer des sicheren E-Mail-Dienstes mailbox.org und Autor zahlreicher Fachbücher zum Thema sicherer Server-Betrieb. Er berät Unternehmen und Internet-Provider in Sicherheitsfragen rund um elektronische Kommunikation und engagiert sich aktiv für den Schutz der Privatsphäre. Bereits 1989 gründete Peer Heinlein den Internet Service Provider JPBerlin.de - einen der ersten Anbieter für private E-Mail-Adressen in Deutschland.
Axel Miesen ist zertifizierter Linux-Systemadministrator und Trainer. Seit 2001 hat er zahlreichen Schulungen zu Themen wie Linux-Shellscripting, Perl, Docker und Ansible durchgeführt.

Autorenporträt schließen

Mehr Angebote zum Thema