Home

Red Hat Enterprise Linux 3 Referenzhandbuch

image

Contents

1. log level Bestimmt die Priorit tsstufe eines Protokolliervorgangs Auf den man Seiten von syslog conf finden Sie eine Liste der Priorit tsstufen log ip options Alle in den Kopfzeilen eines IP Pakets enthaltenen Optionen werden protokolliert e log prefix Fiigt beim Schreiben einer Protokollzeile eine Zeichenkette vor der Pro tokollzeile ein Es werden bis zu 29 Zeichen nach der log prefix Option akzeptiert Dies 236 Kapitel 15 iptables ist auch beim Schreiben von syslog Filtern im Zusammenhang mit der Paketprotokollierung sehr niitzlich e log tcp options Alle in den Kopfzeilen eines TCP Pakets enthaltenen Optionen wer den protokolliert e log tcp sequence Schreibt die TCP Sequenznummer fiir das Paket in der Protokoll datei REJECT Sendet ein Fehlerpaket an das System zur ck das das Paket gesendet hat und l sst dieses dann aus DROP Mit dem REJECT Ziel kann die reject with lt Typ gt Option verwendet werden um meh rere Details zusammen mit dem Fehlerpaket zu senden Die Meldung port unreachable ist die standardm ige lt type gt Fehlermeldung wobei lt type gt die Art der Zur ckweisung angibt die angezeigt wird wenn keine andere Option angewandt wurde Eine vollst ndige Liste der ver wendbaren lt type gt Optionen finden Sie auf der iptables man Seite Andere Zielerweiterungen die f r die Maskierung unter Verwendung der nat Tabelle oder f r Pake t nderu
2. Beim optionalen DRI Abschnitt Direct Rendering Infrastructure DRI handelt es sich um eine Schnittstelle die es 3D Software Applikationen erm glicht die 3D Hardwarebeschleunigung moderner und unterst tzter Grafikhardware zu nutzen Dar ber hinaus verbessert DRI die Leistung der 2D Hardwarebeschleunigung sofern vom Treiber unterst tzt Dieser Abschnitt wird ignoriert es sei denn DRI wird im Module Abschnitt aktiviert Das folgende Beispiel zeigt einen typischen DRI Abschnitt Section DRI Group 0 Mode 0666 EndSection 98 Kapitel 7 Das X Window System Unterschiedliche Grafikkarten verwenden DRI auf unterschiedliche Weise Bevor Sie DRI Werte n dern lesen Sie bitte zuerst die Datei usr X11R6 1ib X11 doc README DRI 7 4 Fonts Red Hat Enterprise Linux verwendet zwei Methoden um Fonts und die Anzeige unter XFree86 zu re geln Das neuere Fontconfig Font Subsystem vereinfacht das Font Management und liefert erweitere Anzeigefunktionen wie Anti Aliasing Dieses System wird automatisch f r Applikationen verwen det welche unter Verwendung entweder des Qt 3 oder des GTK 2 graphischen Toolkits entwickelt wurden Aus Gr nden der Kompatibilit t enth lt Red Hat Enterprise Linux auch das originale Core X Font Subsystem Dieses System welches mehr als 15 Jahre alt ist ist um den X Font Server xfs basiert Dieser Abschnitt beschreibt das Konfigurieren von Fonts unter Verwendung beider Systeme 7 4 1 Fontconfig D
3. Definiert die Anzahl von Sekunden um die der Kernel den Neustart verschiebt wenn ein Kernel Panik auftritt Dieser Wert steht normal auf 0 was einen automatischen Neustart nach einer Kernel Panik deaktiviert e printk Diese Datei kontrolliert eine Vielzahl von Einstellungen zum Anzeigen und Loggen von Fehlermitteilungen Jede Fehlermeldung vom Kernel hat einen loglevel der die Wichtigkeit der Mitteilung wiedergibt Die Loglevel Werte teilen sich wie folgt auf 0 Ein Kernel Notfall Das System ist nicht benutzbar 1 Kernel Alarm es m ssen sofort Gegenma nahmen eingeleitet werden 2 Der Kernel ist in kritischem Zustand 3 Allgemeiner Kernel Fehler 4 Allgemeine Kernel Warnung 5 Kernel Mitteilung zu einem normalen jedoch ernstzunehmendem Zustand 6 Kernel Informations Mitteilung 7 Kernel Debugging Mitteilung Vier Werte finden sich in der Datei printk 6 4 1 7 Jede dieser Werte definiert eine andere Regel zum Verarbeiten von Fehlermeldungen Der erste Wert Konsolen Loglevel genannt definiert die niedrigste Priorit t von Mitteilungen die auf die Konsole ausgegeben werden je niedriger die Priorit t desto h her die Loglevel Nummer Der zweite Wert setzt den Standart Loglevel f r Mitteilungen welche keinen Loglevel gesetzt haben Der dritte Wert setzt den niedrigsten Loglevel Konfigurationswert f r den Konsolen Loglevel Der letzte Wert setzt den Standardwert f r den
4. Ersetzen Sie lt options gt mit einer Komma Trennliste der Optionen f r das NFS Dateisystem Details siehe Abschnitt 9 4 3 Zus tzliche Informationen finden Sie auf der fstab man Seite 9 4 2 autofs Ein Nachteil bei der Verwendung von etc fstab ist dass das System Ressourcen zur Verf gung stellen muss ungeachtet dessen wie wenig das gemountete Dateisystem verwendet wird Nur so verbleibt es an dieser Stelle Bei einem oder zwei Mounts ist das kein Problem wenn Ihr System jedoch zur gleichen Zeit Mounts von Dutzenden Systemen warten mu kann die Leistungsf higkeit des Systems darunter leiden Eine Alternative zu etc fstab ist die Verwendung des auf dem Kernel basierenden Dienstprogramms automount das NFS Dateisysteme automatisch mountet und unmountet und dabei Ressourcen einspart Der autofs Dienstwird dazu verwendet denautomountBefehl ber die prim re Konfigurationsdatei etc auto master zu steuern Zwar kann automount in der Befehlszeile festgelegt werden es ist aber bequemer die Mount Punkte den Hostnamen das exportierte Verzeichnis und die Optionen mit einer Gruppe von Dateien festzulegen als sie manuell eingeben zu m ssen Die Konfigurationsdateien autofs sind in einem ber bzw untergeordneten Verh ltnis festgelegt Die wichtigste Konfigurationsdatei etc auto master f hrt Mount Punkte in Ihrem System an Kapitel 9 Netzwerk Dateisystem Network File System NFS 127 die mit einem bestimmten Zuordnungsty
5. Konfiguriert verschiedene Sicherheitsbedingungen die fiir den Befehl rndc zum Verwalten des named Services n tig sind Unter Abschnitt 11 4 1 sehen Sie wie die controls Anweisung aussehen sollte einschlie lich der verf gbaren Optionen e key lt key name gt Legt f r einen bestimmten Schl ssel einen Namen fest Schl ssel wer den verwendet um verschiedene Aktionen zu authentifizieren wie z B sichere Updates oder die Verwendung des rndc Befehls Mit key werden zwei Optionen verwendet algorithm lt algorithm name gt Der verwendete Algorithmus Typ z B dsa oder hmac md5 e secret lt key value gt Der verschl sselte Schl ssel Unter Abschnitt 11 4 2 finden Sie die Anweisungen zum Schreiben einer key Direktive logging Erlaubt die Verwendung mehrerer Arten von Protokollen mit der Bezeichnung channels Wird die Option channel in der logging Anweisung verwendet wird ein benutzerdefiniertes Protokoll mit eigenem Dateinamen file Gr enbeschr nkung size Version version und dessen Wichtigkeit severity erstellt Nachdem ein benutzerdefinierter Channel festgelegt wurde wird dieser mit der Option category klassifiziert und beginnt mit dem Protokollieren wenn named neu gestartet wird Standardm ig protokolliert named normale Mitteilungen im syslog Daemon der diese in var log messages platziert Dies geschieht weil sich verschiedene standardm ige Channel mit unterschiedlicher Wichtigkeit i
6. Sie werden nun aufgefordert das root Passwort f r den Server einzugeben Anschlie end erscheint Red Hat Update Agent und Sie k nnen Ihre Pakete auf dem Server aktualisieren als ob Sie direkt vor Ihrem Rechner sitzen w rden 17 5 2 Port Forwarding Mit SSH k nnen Sie unsichere TCP IP Protokolle via Port Forwarding sichern Bei dieser Technik wird der SSH Server zu einer verschl sselten Verbindung zum SSH Client Beim Port Forwarding wird ein lokaler Port auf einem Client zu einem remote Port auf dem Ser ver gemappt Mit SSH k nnen Sie jeden Port des Servers auf jeden Port des Clients bertragen die Portnummern m ssen hierf r nicht bereinstimmen Um einen TCP IP Port Forwarding Kanal zu erstellen der nach Verbindungen im lokalen Host sucht verwenden Sie folgenden Befehl ssh L local port remote hostname remote port username hostname 8 Anmerkung F r das Einrichten des Port Forwarding auf Ports unterhalb 1024 Zylindern m ssen Sie als root angemeldet sein Wenn Sie zum Beispiel Ihre E Mails auf einem Server mit dem Namen mail example com mithilfe von POP3 ber eine verschl sselte Verbindung abrufen m chten verwenden Sie folgenden Befehl ssh L 1100 mail example com 110 mail example com Kapitel 17 SSH Protokoll 257 Nachdem der Port Forwarding Channel zwischen dem Client und dem Mailserver eingerichtet wurde k nnen Sie einen POP3 Mail Client anweisen Port 1100 auf dem localhost fiir das Abrufen neuer E M
7. e tr_rif Die Token Ring RIF Routing Tabelle udp Enth lt detaillierte Informationen zum UDP Socket e unix Listet die UNIX Domain Sockets auf die zur Zeit benutzt werden wireless Zeigt Informationen zu Wireless Interfaces 5 3 8 proc scsi Dieses Verzeichnis ist analog zum Verzeichnis proc ide kann aber nur fiir verbundene SCSI Ger te verwendet werden Die wichtigste Datei hier ist proc scsi scsi welche eine Liste mit allen erkannten SCSI Ger ten enth lt Aus dieser Auflistung k nnen Sie den Typ des Ger tes den Modell Namen den Hersteller und die SCSI Kanal ID Daten abrufen Wenn ein System zum Beispiel ein SCSI CD ROM ein Bandlaufwerk Festplatten und einen RAID Controller beinhaltet k nnte die Datei hnlich wie in diesem Beispiel aussehen Attached devices Host scsil Channel 00 Id 05 Lun 00 Vendor NEC Model CD ROM DRIVE 466 Rev 1 06 Type CD ROM ANSI SCSI revision 02 Host scsil Channel 00 Id 06 Lun 00 Vendor ARCHIVE Model Python 04106 XXX Rev 7350 Type Sequential Access ANSI SCSI revision 02 Host scsi2 Channel 00 Id 06 Lun 00 Vendor DELL Model 1x6 U2W SCSI BP Rev 5 35 Type Processor ANSI SCSI revision 02 Host scsi2 Channel 02 Id 00 Lun 00 Vendor MegaRAID Model LDO RAIDS 34556R Rev 1 01 Type Direct Access ANSI SCSI revision 02 Jeder SCSI Treiber der vom System benutzt wird hat ein eigenes Verzeichnis in proc scsi welches spezifi
8. ig verwendet Ihr Web Server BrowserMatch um keine Verbin dungen mit Browsern zuzulassen die Probleme bereiten und zum Deaktivieren von Keepalives und HTTP Header L schbefehlen f r Browser von denen bekannt ist dass sie Probleme mit diesen Ak tionen haben Kapitel 10 Apache HTTP Server 159 10 5 59 Location Die Tags lt Location gt und lt Location gt erm glichen die Angabe von Zugangsberechtigungen auf URL Basis Wenn Sie zulassen m chten dass Benutzer von Ihrer Dom ne aus Serverstatusberichte einsehen k n nen sollten Sie f r den n chsten Abschnitt mit Anweisungen die Kommentare entfernen lt Location server status gt SetHandler server status Order deny allow Deny from all Allow from lt example com gt lt Location gt Dabei muss your_domain com durch den Namen Ihrer Second Level Dom ne ersetzt werden Wenn Sie Serverkonfigurationsberichte einschlie lich installierter Module und Konfigurationsanwei sungen f r Anforderungen aus Ihrer Dom ne bereitstellen m chten m ssen f r die folgenden Zeilen die Kommentare entfernt werden lt Location server info gt SetHandler server info Order deny allow Deny from all Allow from lt example com gt lt Location gt Auch hier muss your_domain com entsprechend angegeben werden 10 5 60 ProxyRequests Um den Apache HTTP Server als Proxy Server zu konfigurieren entfernen Sie das Hash Symbol vom Anfang der Zeile lt IfModule mod_proxy c gt
9. ndern ohne dass der Administra tor Rechte ndern m sste jedesmal wenn eine neue Datei erzeugt wird 6 5 Shadow Utilities In Mehrbenutzer Umgebungen ist es sehr wichtig Shadow Passw rter zu verwenden die im Rahmen des shadow utils Paketes geliefert werden Dies vergr ert die Sicherheit der System Authentifi zierungsdateien weshalb das Installationsprogramm Shadow Passw rter standardm ig aktiviert Im Folgenden eine Auflistung der Vorteile die Shadow Passw rter im Vergleich zu der traditionellen Speichermethode von Passw rten auf UNIX Systemen haben Shadow Passw rter erh hen die Systemsicherheit dadurch dass die verschl sselten Passw rter normalerweise in der Datei etc passwd abgelegt im Verzeichnis etc shadow abgelegt wer den das nur von root gelesen werden kann Liefern Informationen ber das Altern von Passw rtern Die M glichkeit unter Verwendung der Datei etc login defs die Sicherheitsbestimmungen besonders im Bezug auf veraltete Passw rter umzusetzen Die meisten Utilities die mit dem shadow utils Paket geliefert werden arbeiten ordnungsgem unabh ngig davon ob Shadow Passw rter aktiviert sind oder nicht Da allerdings Informationen ber die Veralterung von Passw rtern ausschlie lich in etc shadow gespeichert werden funktionieren keine Befehle die Informationen ber die Veralterung von Passw rtern erzeugen oder ver ndern Below is a list of commands which do not work with
10. Fehlerdokumente 137 Indizieren der Verzeichnisse 137 Inhaltsverhandlung 137 Konfiguration des virtuellen Host 138 LDAP 142 Logging 136 Modulsystem nderungen 138 mod_auth_db 140 mod_auth_dbm 140 mod_include 140 mod_perl 141 mod_proxy 139 mod_ssl 139 PHP 142 Server Pool Gr e 134 UserDir Anweisung 136 Multi Processing Module Aktiviere worker MPM 134 prefork 134 worker 134 neu laden 143 neu starten 143 Problembehebung 145 Server Statusberichte 159 Starten 143 zus tzliche Ressourcen 165 hilfreiche Websites 165 zus tzliche B cher 165 Apache HTTP Server Module 162 APXS Apache Dienstprogramm 163 authconfig und LDAP 194 195 autofs 126 Siehe auch NFS B Basic Input Output System Siehe BIOS Benutzer etc passwd 82 Einf hrung 81 Standard 82 Tools zur Verwaltung von User Manager 81 useradd 81 UID 81 Zus tzliche Informationsquellen 87 Biicher zum gleichen Thema 88 Installierte Dokumentation 87 Benutzereigene Gruppen Siehe Gruppen und gemeinsame Verzeichnisse 85 Berkeley Internet Name Domain Siehe BIND BIND Allgemeine Fehler 184 Einf hrung 167 167 Features 182 DNS Erweiterungen 183 IPv6 184 Mehrere Ansichten 183 Sicherheit 183 Konfiguration von Beispiel eines zone Statements 173 Beispiele f r Zone Dateien 178 Resource Records der Zone Datei 176 umgekehrte Aufl sung von Namen 179 Zone Dateien Direktiven 175 Konfigurationsdateien etc named con
11. Kapitel 3 Struktur des Dateisystems 27 3 2 1 6 Das opt Verzeichnis Das opt Verzeichnis stellt einen Bereich f r die Speicherung von gro en und statischen Software Paketen zur Verfiigung F r Pakete deren Dateien nicht ber das ganze Dateiystem verteilt abgelegt werden sollen stellt das opt Verzeichnis ein logisches und berschaubares organisatorisches System mit dem Namen des Pakets zur Verf gung Der Systemadministrator kann so die Rolle jeder Datei innerhalb eines bestimmten Pakets bestimmen Wenn z B ein besimmtes Softwarepaket das in opt abgelegt ist sample hei t dann k nnen alle zugeh rigen Dateien in Verzeichnisse innerhalb opt sample abgelegt werden z B opt sample bin f r Bin rdateien und opt sample man f r manuelle Seiten Gro e Pakete die zahlreiche Unterpakete umfassen die jeweils verschiedene Aufgaben erf llen wer den in opt positioniert so dass das gro e Paket eine Organisationsstruktur erh lt Das sample Paket kann auf diese Weise verschiedene Tools in eigenen Unterverzeichnissen besitzen beispiels weise opt sample tooll und opt sample too12 die wiederum ihre eigenen Verzeichnisse wie bin oder man u aufweisen 3 2 1 7 Das proc Verzeichnis Das proc Verzeichnis enth lt spezielle Dateien die entweder Informationen zum Kernel schicken oder sie vom Kernel erhalten Aufgrund der gro en Anzahl verf gbarer Daten in proc und der vielen Verwendungsm glichkeit
12. Unter Red Hat Enterprise Linux gibt es zwei grundlegende Methoden iptables zu kontrollieren e Security Level Configuration Tool redhat config securitylevel Eine grafische Benutzeroberfl che zum Erstellen Aktivieren und Speichern von grundlegenden Firewall Einstellungen F r weitere Informationen zur Verwendung dieses Tools sehen Sie das Kapitel Grundlegende Firewall Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration e sbin service iptables lt option gt Ein vom root Benutzer ausgef hrter Befehl der iptables ber deren Init Skripte aktiviert deaktiviert oder andere Funktionen ausf hrt lt option gt steht hierbei f r eine der folgenden Anweisungen start Ist eine Firewall konfiguriert d h etc sysconfig iptables ist vorhanden wer den alle laufenden iptables beendet und dann mit dem Befehl sbin iptables restore gestartet Die start Anweisung arbeitet nur dann wenn das ipchains Kernel Modul nicht geladen ist stop Wenn eine Firewall im Einsatz ist werden die Firewall Regeln im Speicher gel scht und alle iptables Module und Helfer beendet Wenn die IPTABLES_SAVE_ON_STOP Anweisung in der Konfigurationsdatei etc sysconfig iptables config vom Standardwert auf yes ge ndert wird werden die augenblicklichen Regeln unter etc sysconfig iptables gespeichert und jede bestehende Regel nach etc sysconfig iptables save verschoben Sehen Sie Abschnitt 15 5 1 f r weitere Information
13. etc fstab 126 autofs 126 Konfiguration 126 Mount Optionen 128 Einf hrung 119 Erforderliche Dienste 120 Neu laden 122 Neu starten 122 portmap 120 Server Konfiguration 122 etc exports 123 exportfs Befehl 125 Sicherheit 128 Dateiberechtigungen 129 Host Zugriff 129 Starten 122 Status 122 TCP 119 UDP 119 Wie es funktioniert 119 zus tzliche Informationsquellen 130 installierte Dokumentation 130 N tzliche Websites 130 zus tzliche Literatur 130 NIC Module Siehe Kernel Module ntsysv 9 Siehe auch services 0 Objekte dynamisch gemeinsam verwendet Siehe DSOs OpenLDAP Siehe LDAP OpenSSH 251 Siehe auch SSH Konfigurationsdateien 254 Options Apache Konfigurationsanweisung 151 Order Apache Konfigurationsanweisung 151 OS 400 11 Siehe auch boot loaders P Paket Filterung Siehe iptables PAM Beispiele f r Konfigurationsdateien 204 Definition von 201 Kerberos und 245 Konfigurationsdateien 201 Module 202 Argumente 204 Erstellen 206 Komponenten 202 Schnittstellen 202 Speicherort 203 stapeln gt 202 204 pam_console Definition von 208 pam_timestamp Anweisungen 208 Authentication Icon und 207 Definition von 207 zerst re Timestamps 207 pam_timestamp_check Zerst re Timestamp mit 207 Servicedateien 201 Shadow Passw rter 204 Steuer Flags 203 Vorteile 201 zus tzliche Ressourcen 209 hilfreiche Websites 210 installierte Dokumentationen 209 pam_cons
14. f Anmerkung Die Einstellungen log_on_success und log_on_failure in etc xinetd conf werden oftmals von den servicespezifischen Logdateien ge ndert Aus diesem Grund k nnen mehr Informationen als von der Datei angezeigt im Servicelog enthalten sein Weitere Informationen zu Protokoll Optionen finden Sie unter Abschnitt 14 4 3 1 14 4 2 Das etc xinetd d Verzeichnis Die Dateien im Verzeichnis etc xinetd d enthalten die Konfigurationsdateien f r jeden Ser vice der von xinetd verwaltet wird sowie die Dateinamen die zu dem Service geh ren Wie xi netd conf wird diese Datei nur gelesen wenn der xinetd Service gestartet wird Um nderungen wirksam werden zu lassen muss der Administrator den xinetd Service neu starten Die Dateien in etc xinetd d verwenden dieselben Konventionen und Optionen wie etc xinetd conf Der Hauptgrund daf r dass sich diese in eigenen Konfigurationsdateien befinden ist die Anpassung zu vereinfachen und andere Services damit weniger zu beeinflussen Um einen berblick ber die Struktur dieser Dateien zu erhalten betrachten Sie die Datei etc xinetd d telnet service telnet flags REUSE socket_type stream wait no user root server usr sbin in telnetd log_on_failure USERID disable yes Diese Zeilen kontrollieren verschiedene Aspekte des vsftpd Service e service Definiert den Servicenamen meistens entsprechend eines Services in der Datei etc services
15. procVerzeichnis Siehe proc Dateisystem sbin Verzeichnis 27 usr Verzeichnis 27 Jusr local Verzeichnis directory 28 var Verzeichnis 29 var lib rpm Verzeichnis 30 var spool up2date Verzeichnis 30 270 A aboot 3 AccessFileName Apache Konfigurationsanweisung 152 Action Apache Konfigurationsanweisung 158 AddDescription Apache Konfigurationsanweisung 157 AddEncoding Apache Konfigurationsanweisung 157 AddHandler Apache Konfigurationsanweisung 158 AddIcon Apache Konfigurationsanweisung 156 AddIconByEncoding Apache Konfigurationsanweisung 156 AddIconByType Apache Konfigurationsanweisung 156 AddLanguage Apache Konfigurationsanweisung 157 AddType Apache Konfigurationsanweisung 157 Alias Apache Konfigurationsanweisung 155 Allow Apache Konfigurationsanweisung 152 AllowOverride Apache Konfigurationsanweisung 151 Anhalten 9 Siehe auch shutdown Apache Siehe Apache HTTP Server Apache HTTP Server 1 3 Migrieren in 2 0 133 2 0 Dateisystem nderungen 132 Merkmale von 131 Migrieren aus 1 3 133 MRM spezifische Anweisungen 146 Packet nderungen 132 Anhalten 143 Ausf hren ohne Sicherheit 163 Einf hrung 131 Konfiguration 145 Log Dateien var log httpd error_log 145 Format von 154 Gemeinsames Logdatei Format 154 154 Problembehebung mit 145 146 Verwende Log Analyzer Tools mit 153 Migrieren in 2 0 133 Bind Adressen und Ports 133 DSO Support 135 Entfernte Anweisungen 135
16. ren verf gt LDAP ber eine gut durchdachte API Application Programming Interface und es sind auch zahlreiche LDAP f hige Applikationen vorhanden deren Anzahl und Qualit t zunimmt 12 1 1 Funktionserweiterungen von OpenLDAP 2 0 OpenLDAP 2 0 umfasst zahlreiche wichtige Funktionen LDAPv3 Support OpenLDAP 2 0 unterst tzt SASL Simple Authentication and Security Layer TLS Transport Layer Security und SSL Secure Sockets Layer neben weiteren Verbesserungen 188 Kapitel 12 Lightweight Directory Access Protocol LDAP Viele Anderungen die seit LDAPv2 am Protokoll vorgenommen wurden sollen zur Sicherheit von LDAP beitragen IPv6 Support OpenLDAP unterst tzt die n chste Generation des Internetprotokolls Version 6 LDAP Over IPC OpenLDAP kann innerhalb eines bestimmten Systems mit Hilfe von IPC In terprocess Communication kommunizieren Das Umgehen der Kommunikation ber ein Netzwerk erhoht die Sicherheit Aktualisierte C API Verbessert die Art und Weise in welcher Programmierer zu LDAP Verzeichnis Servern verbinden und mit diesen arbeiten LDIFv1 Support OpenLDAP 2 0 ist mit LDAP Data Interchange Format LDIF Version 1 voll kompatibel Verbesserter Stand Alone LDAP Server OpenLDAP enth lt jetzt ein aktualisiertes Zugriffss teuerungssystem Thread Pooling bessere Tools und vieles mehr 12 2 LDAP Terminologie Jede Diskussion des LDAP erfordert ein grundlegendes Verst ndnis ei
17. secret lt key value gt lt key name gt und lt key value gt sollten exakt mit den Einstellungen in etc named conf bereinstimmen Um den Schl sseln welche in etc named conf auf dem Ziel Server angegeben sind zu entspre chen f gen Sie folgende Zeilen zu etc rndc conf hinzu options default server localhost default key lt key name gt l Diese Anweisung setzt den globalen Default Schliissel Dierndc Konfigurationsdatei kann allerdings auch verschiedene Schl ssel f r verschiedene Server verwenden wie im folgenden Beispiel gezeigt server localhost key lt key name gt kenne Stellen Sie sicher dass jeweils nur ein root Benutzer auf die Datei etc rndc conf zugreifen kann 182 Kapitel 11 Berkeley Internet Name Domain BIND F r weitere Informationen zur Datei etc rndc conf sehen Sie die rndc conf man Seiten 11 4 3 Befehlszeilenoptionen Ein rndc Befehl sieht wie folgt aus rndc lt options gt lt command gt lt command options gt Wenn rndc auf einem korrekt konfigurierten lokalen Host ausgefiihrt wird stehen Ihnen folgende Befehle zur Verfiigung halt H lt den named Service sofort an querylog Protokolliert alle Abfragen die von Clients auf diesem Name Server durchgefiihrt wurden refresh Aktualisiert die Datenbank des Nameservers e reload Weist den Name Server an die Zone Dateien neu zu laden aber alle vorher verarbeit eten Antworte
18. usr share doc krb5 server lt version number gt in den Formaten PostScript und HTML zur Verf gung steht ersetzen Sie lt version number gt mit der Versionsnummer des auf Ihrem System installierten krb5 server Paket 16 4 Kerberos und PAM Derzeit verwenden die kerberisierten Dienste keinerlei PAM Pluggable Authentication Modules Kerberisierte Server berspringen PAM vollst ndig Applikationen die PAM verwenden k nnen Ker beros jedoch zur Authentifizierung nutzen sofern das Modul pam_krb5 im Paket pam_krb5 enthal ten installiert ist Das Das Paket pam_krb5 enth lt Beispielkonfigurationsdateien durch die Dien ste wie login und gdm in der Lage sind Benutzer zu authentifizieren und unter Verwendung ihrer Passw rter erste Berechtigungsnachweise zu erhalten Unter der Voraussetzung dass der Zugriff auf Netzwerkserver immer ber kerberisierte Dienste oder ber Dienste vorgenommen wird die GSS API verwenden wie z B IMAP kann das Netzwerk als relativ sicher bezeichnet werden 0 Jin Administratoren sollten vorsichtig sein es Benutzern nicht zu erlauben zu den meisten Services mit Kerberos Passw rtern zu authentifizieren Viele der von diesen Services verwendeten Protokolle verschl sseln die Passw rter nicht bevor sie diese ber das Netzwerk versenden Dies hebt die Vorteile eines Kerberos Systems auf Benutzern sollte es zum Beispiel nicht erlaubt sein deren Kerberos Passw rter ber Telnet zu authentifizieren 2
19. 239 hilfreiche Websites 239 Installierte Dokumentation 239 berblick 227 bereinstimmungsoptionen 232 274 Module 234 K Kanalverbindung Modul Befehle 266 Modul Konfiguration 266 KDE 90 Siehe auch XFree86 KeepAlive Apache Konfigurationsanweisung 146 KeepAliveTimeout Apache Konfigurationsanweisung 146 Kerberos Authentifizierungs Server AS 244 Client einrichten 247 Definition von 241 Funktionsweise 244 Key Distribution Center KDC 244 Nachteile von 241 Server einrichten 246 Terminologie 242 Ticket Granting Server TGS 244 Ticket Granting Ticket TGT 244 und PAM 245 Vorteile von 241 zus tzliche Ressourcen 248 hilfreiche Webseiten 250 Installierte Dokumentation 248 Kernel Rolle im Bootprozess 4 Kernel Module Einf hrung 263 Ethernet Module mehrere Karten unterst tzen 266 Parameter 264 Modulparameter spezifizieren 263 SCSI Module Parameter 264 Typen 263 Konfiguration Apache HTTP Server 145 virtuelle Hosts 163 Konfigurationsanweisungen Apache 145 AccessFileName 152 Action 158 AddDescription 157 AddEncoding 157 AddHandler 158 Addlcon 156 AddIconByEncoding 156 AddIconByType 156 AddLanguage 157 AddType 157 Alias 155 Allow 152 AllowOverride 151 BrowserMatch 158 CacheNegotiatedDocs 153 CustomLog 154 DefaultIcon 156 DefaultType 153 Deny 152 Directory 150 DirectoryIndex 152 DocumentRoot 150 ErrorDocument 158 ErrorLog 153 ExtendedStatu
20. Danach wird die Verbindung getrennt Nach dem Empfang einer Anforderung gilt stattdessen die Anweisung Timeout Die Vorgabe f r KeepAliveTimeout ist 15 Sekunden 10 5 8 I Module lt IfModule gt und lt I fModule gt Tags umschlie en Anweisungen die Bedingungen enthalten Die in den IfModule Tags enthaltenen Anweisungen werden verarbeitet wenn eine der zwei folgenden Bedingungen erf llt ist Die Anweisungen werden verarbeitet wenn das im ersten lt I fModule gt Tag enthaltene Modul in den Apache Server geladen wurde Wenn ein Ausrufezeichen vor dem Modul namen steht werden die Anweisungen nur verarbeitet wenn das Modul im ersten lt I fModule gt Tag not einkompiliert ist Weitere Informationen zu Apache HTTP Server Modulen finden Sie unter Abschnitt 10 7 10 5 9 MPM spezifische Server Pool Anweisungen Wie in Abschnitt 10 2 1 2 f llt die Verantwortlichkeit f r das Management der Server Pool Eigenschaften unter Apache HTTP Server 2 0 einer Modul Gruppe MPM genannt zu Die Eigenschaften des Server Pool sind unterschiedlich je nach dem welches MPM verwendet wird Aus diesem Grund ist ein IfModule Container von N ten um den Server Pool f r das verwendete MPM zu bestimmen Als Vorgabe bestimmt Apache HTTP Server 2 0 den Server Pool f r beide prefork und worker MPMs Kapitel 10 Apache HTTP Server 147 Die Folgende ist eine Liste von Anweisungen die in MPM spezifischen Server Pool Containern zu finden sind 10 5
21. Setzt den Log Level f r die Konsole e Vernichtet alle Prozesse ausser init der SIGTERM verwendet i Vernichtet alle Prozesse ausser init der SIGKILL verwendet 1 Vernichtet alle Prozesse die SIGKILL verwenden einschlie lich init Das System ist nach Ausf hren dieses System Request Key Code unbrauchbar h Gibt Hilfetext aus Dieses Feature ist sehr niitzlich bei der Verwendung eines Entwicklungskernel oder wenn ein Ein frieren des Systems auftritt Orcrtung Das System Request Key Feature wird als Sicherheitsrisiko angesehen da eine unbewachte Kon sole einem Angreifer Zugriff zum System erm glichen k nnte Aus diesem Grund ist es standard m ig ausgeschaltet Weitere Informationen zum System Request Key finden Sie unter usr src linux 2 4 Documentation sysrg txt sysrq key Bestimmt den Key Code f r den System Request Key standardm ige 84 e sysrq sticky Bestimmt ob der System Request Key eine chorded Tastenkombination ist Die angenommenen Werte sind wie Folgt 0 Alt SysRq und der System Request Code m ssen gleichzeitig gedr ckt werden Dies ist die Vorgabe 1 Alt SysRq m ssen gleichzeitig gedr ckt werden der System Request Code kann je doch jederzeit innerhalb der in proc sys kernel sysrq timer angegebenen Sekunden gedr ckt werden sysrq timer Gibt die Anzahl von Sekunden an die Ablaufen k nnen bevor der System Request Code gedr
22. Wenn Sie Apache HTTP Server als Secure Server ausf hren werden Sie aufgefordert Ihr Passwort bei jeder Verwendung der Optionen start oder restart einzugeben Auch wenn Sie nderungen in Ihrer Datei httpd conf vorgenommen haben ist es nicht n tig dass Sie Ihren Server anhalten und neu starten zu diesem Zweck k nnen Sie den Befehl reload verwenden Der Befehl reload sieht wie im folgenden Beispiel aus sbin service httpd reload Bitte beachten Wenn Sie Apache HTTP Server als Secure Server ausf hren brauchen Sie nicht Ihr Passwort eingeben wenn Sie die Option reload verwenden da das Passwort w hrend der neuen Lade vorg nge gespeichert bleibt Standardm ig wird der httpd Prozess beim Booten des Rechners nicht automatisch gestartet Sie m ssen den httpd Service konfigurieren um beim Booten starten zu k nnen und zwar anhand eines Initskript Dienstprogrammes wie sbin chkconfig sbin ntsysv oder das Services Configuration Tool Programm Im Kapitel Controlling Access to Services im Red Hat Enterprise Linux Handbuch zur System Administration finden Sie weitere Informationen zu diesen Tools Bitte beachten Wenn Sie Apache HTTP Server als Secure Server ausf hren werden Sie nach dem Booten des Rechners nach dem Passwort des Secure Servers gefragt solange ein verschl sselter privater SSL Schl ssel verwendet wird Informationen dar ber wie man einen Apache HTTP Secure Server einrichtet finden Sie im Kapitel Apach
23. cache size 256 KB fdiv_bug no hlt_bug no f00f_bug no coma_bug no fpu yes fpu_exception yes cpuid level 1 46 Kapitel 5 Das proc Dateisystem wp yes flags fpu vme de pse tsc msr mce cx8 pge mmx syscall 3dnow k6_mtrr bogomips 799 53 Bei der Anzeige unterschiedlicher virtueller Dateien im Dateisystem proc werden Sie feststellen dass einige Informationen leicht verst ndlich sind andere wiederum nicht lesbar sind Aus diesem Grund gibt es Dienstprogramme mit deren Hilfe Daten aus virtuellen Dateien lesbar angezeigt wer den Beispiele f r diese Applikationen sind lspci apm free und top Anmerkung Einige virtuelle Dateien im proc k nnen nur vom root gelesen werden 5 1 2 ndern virtueller Dateien Im Allgemeinen sind die meisten virtuellen Dateien im Verzeichnis proc schreibgsch tzt Einige k nnen jedoch dazu verwendet werden Anderungen der Kernel Einstellungen vorzunehmen Das gilt im Besonderen f r Dateien im Unterverzeichnis proc sys Sie k nnen den Wert einer virtuellen Datei ndern indem Sie den neuen Wert mit dem Befehl echo gefolgt von dem gr er als Symbol gt an die gegebene Datei weiterleiten Um zum Beispiel den Hostnamen zu ndern geben Sie Folgendes ein echo www example com gt proc sys kernel hostname Andere Dateien funktionieren als bin re oder Boolesche Switches Wenn Sie z B cat proc sys net ipv4 ip_forward eingeben erscheint entweder 0 oder 1 0 gibt
24. etc rc d rc5 d symbolische Links die auf Skripte im etc rc d init d Verzeichnis zeigen Symbolische Links werden in allen rc Verzeichnissen verwendet so dass die Runlevel durch Erstellen ndern und L schen der symboli schen Links neu konfiguriert werden k nnen ohne dass die aktuellen Skripte davon betroffen werden auf die sie verweisen Der Name jedes symbolischen Links beginnt entweder mit einem K oder einem s Die K Links sind Prozesse die auf diesem Runlevel entfernt werden w hrend die Links gestartet werden die mit einem S beginnen Zuerst beendet der Befehl init alle symbolischen K Links im Verzeichnis mit Hilfe des Befehls ete rc d init d lt Befehl gt stop wobei lt Befehl gt der zu beendende Prozess ist Anschlie end werden alle symbolischen s Links mit Hilfe von etc rc d init d lt Befehl gt start gestartet Sr Wenn das System den Bootvorgang beendet hat k nnen Sie sich als root anmelden und diesel ben Skripte zum Starten und Beenden der Dienste ausf hren So beendet zum Beispiel der Befehl etc re d init d httpd stop den Apache HTTP Server Alle symbolischen Links sind nummeriert um die Startreihenfolge festzulegen Sie k nnen die Rei henfolge ndern in der die Dienste gestartet oder beendet werden indem Sie die Nummerierung ndern Je kleiner die Nummer desto fr her wird gestartet Die symbolischen Links mit derselben Nummer werden in alphabetischer Reihenfolge gestartet f Anmerkung Als ei
25. go away 218 Kapitel 14 TCP Wrappers und xinetd Fiir weitere Informationen zur Verwendung von Shell Befehl Optionen sehen Sie die hosts_options man Seite 14 2 2 4 Expansionen Expansionen welche im Zusammenhang mit spawn und twist Anweisungen verwendet werden liefern Informationen iiber den Client Server und die betreffenden Prozesse Folgend ist eine Liste der verfiigbaren Expansionen a Die IP Adresse des Clients 3A Die IP Adresse des Servers c Verschiedene Client Informationen wie zum Beispiel der Benutzer und Hostname oder der Benutzername und die IP Adresse d Der Name des Daemon Prozesses h Der Hostname des Clients oder IP Adresse wenn der Hostname nicht verf gbar ist H Der Hostname des Servers oder IP Adresse wenn der Hostname nicht verf gbar ist n Der Hostname des Clients Wenn dieser nicht verf gbar ist wird unknown ausgegeben Wenn der Hostname und die Hostadresse des Clients nicht bereinstimmen paranoid ausgegeben N Der Hostname des Servers Wenn dieser nicht verf gbar ist wird unknown ausgegeben Wenn der Hostname und die Hostadresse des Servers nicht bereinstimmen paranoid ausgegeben p Die ID des Daemonprozesses s Verschiedene Serverinformationen wie zum Beispiel der Daemonprozess und die Host oder IP Adresse des Servers gu Der Benutzername des Clients Wenn dieser nicht verf gbar ist wird unknown au
26. http httpd apache org docs 2 0 vhosts 10 9 Zusatzliche Ressourcen Weitere Informationen zu Apache HTTP Server finden Sie in folgenden Ressourcen 10 9 1 Hilfreiche Websites e http httpd apache org Die offizielle Website f r den Apache HTTP Server Web Server mit Dokumentationen zu allen Anweisungen und Standardmodulen http www modssl org Die offizielle Website f r mod_ss1 http www apacheweek com Eine w chentliche Online Ausgabe ber Alles was Apache bet rifft 10 9 2 Zus tzliche B cher Apache Desktop Reference von Ralf S Engelschall Addison Wesley Verfasst von dem ASF Mitglied und mod_ssl Autor Ralf Engelschall das Apache Desktop Reference ist ein kompaktes jedoch all umfassendes Nachschlagewerk zur Verwendung von Apache Kompilierung Konfigura tion und Laufzeit Dieses Buch steht online unter http www apacheref com zur Verf gung e Professional Apache von Peter Wainwright Wrox Press Ltd Professional Apache stammt von Wrox Press Ltd und richtet sich sowohl an erfahrene Web Server Administratoren als auch an Anf nger Administering Apache von Mark Allan Arnold Osborne Media Group Dieses Buch ist f r Internet Dienstleistungsanbieter die sicherere Dienste liefern wollen e Apache Server Unleashed von Richard Bowen et al SAMS BOOKS Das Buch ist eine Enzyk lop die f r Apache 166 Kapitel 10 Apache HTTP Server Apache Pocket Reference von Andrew Ford Gigi Estabr
27. lokaler Port gebraucht wird Die erste Zahl ist der niedrigste Port und die zweite Zahl steht f r den h chsten benutzten Port Jedes System f r das erwartet wird dass es mehr als die Standard Ports 1024 bis 4999 ben tigt sollte die Werte 32768 bis 61000 verwenden tcp_syn_retries Bietet eine Grenze daf r an wie oft Ihr System ein SYN Paket versucht zu bertragen wenn eine Verbindung versucht wird tcp_retries1 Stellt die Anzahl von zugelassenen Neu Ubertragungen ein wenn versucht wird einer eingehenden Verbindung zu antworten Standardwert ist hier 3 tcp_retries2 Stellt die Anzahl von erlaubten Neu bertragungen von TCP Paketen ein Stan dardwert ist 15 Die Datei usr src linux 2 4 Documentation networking ip sysctl txt enth lt eine komplette Liste der im Verzeichnis proc sys net ipv4 verf gbaren Dateien und Optionen Eine Anzahl anderer Verzeichnisse in proc sys net ipv4 behandeln spezifische Inhalte Das Verzeichnis proc sys net ipv4 conf erlaubt jeder der Systemschnittstellen eine unterschied liche Konfiguration und l sst Standard Werte f r nicht konfigurierte Schnittstellen im Unterverzeich nis proc sys net ipv4 conf default und Einstellungen die alle anderen Konfigurationen berschreiben im Verzeichnis proc sys net ipv4 conf all zu Um Verbindungen zwischen direkten Nachbarn hier jedes andere System das direkt an das System angeschlossen ist zu berwachen bietet das Verzeichnis
28. m ssen Sie ein Leerzeichen zwischen jeden Wert setzen den Sie berge ben Sehen Sie die Anwendung mit dem Befehl echo hier echo 4 2 45 gt proc sys kernel acct f Anmerkung Konfigurations nderungen die Sie mit echo vornehmen gehen automatisch verloren wenn das Sys tem neu gestartet wird Um Ihre Konfigurations Anderungen nach dem Booten wirksam werden zu lassen lesen Sie bitte Abschnitt 5 4 Das Verzeichnis proc sys enth lt verschiedene Unterverzeichnisse die verschiedene Bereiche des laufenden Kernel kontrollieren 5 3 9 1 proc sys dev Dieses Verzeichnis bietet Optionen f r bestimmte Ger te im System an Viele Systeme haben minde stens zwei Verzeichnisse cdrom und raid aber benutzerdefinierte Kernel k nnen andere Verzeich nisse haben wie z B parport das es erm glicht den parallelen Port zwischen mehreren Treibern zu teilen Das cdrom Verzeichnis enth lt eine Datei namens info die einige wichtige CD ROM Parameter ausgibt CD ROM information Id cdrom c 3 12 2000 10 18 drive name hdc drive speed 32 drive of slots 1 Can close tray 1 Can open tray 1 70 Kapitel 5 Das proc Dateisystem Can lock tray 1 Can change speed 1 Can select disk 0 Can read multisession 1 Can read MCN 1 Reports media changed 1 Can play audio 1 Can write CD R 0 Can write CD RW 0 Can read DVD 0 Can write DVD R 0 Can write DVD RAM 0 Diese Datei kann benutzt werden um die F higkeiten einer
29. muss portmap verfiigbar sein bevor einer dieser Dienste gestartet wird Der portmap Dienst verwendet TCP Wrapper f r die Zugriffskontrolle die Zugriffs Kontrollregeln f r portmap beeinflussen alle auf RPC basierenden Dienste Als Alternative k nnen Sie auch Zugriffs Kontrollregeln fiir jeden der NFS RPC Daemonen einzeln bestimmen Die man Seiten fiir rpc mountdund rpc statd enthalten Informationen ber die genaue Syntax dieser Regeln 9 1 2 1 Probeml sungen bei NFS mit portmap Da portmap die Koordination zwischen RPC Diensten und den Port Nummern bernimmt die f r die Kommunikation mit den Diensten verwendet werden ist es beim L sen von Problemen sehr hilf reich eine bersicht ber die aktuellen RPC Dienste zu haben die portmap verwenden Der Befehl rpcinfo zeigt jeden auf RPC basierenden Dienst mit Port Nummern RPC Programmnummer Ver sion und dem Typ des IP Protokolls TCP oder UDP an Um sicherzustellen dass die richtigen NFS RPC basierten Dienste f r portmap aktiviert sind geben Sie den folgenden Befehl als Root ein rpcinfo p Im folgenden ein Probe Output dieses Befehls program vers proto port 00000 2 tcp 111 portmapper 00000 2 udp 111 portmapper 0002 1 udp 32774 nlockmgr 0002 3 udp 32774 nlockmgr 0002 4 udp 32774 nlockmgr 0002 1 tcp 34437 nlockmgr 0002 3 tcp 34437 nlockmgr 0002 4 tcp 34437 nlockmgr 0001 1 udp 819 rquotad 0001 2 udp 819 rquotad 0001 1 tcp 822 rquotad 0001 2 tcp 822 rquotad 000
30. nes ae ised aces dase E 211 14 2 TCP Wrappers Konfigurationsdateien 14 3 8 Het diese aan nen centers 14 4 zinetd Konfigurationsdateien nssenesessesenenennnnsnnnenennnennnennnnnennnn 14 5 Zus tzliche Ressourcen 15 1ptables usnasenhnsen 15 1 Paket Filterung eeneeen 3 15 2 Unterschiede zwischen iptables und ipchains 228 15 3 Mit iptables Befehlen verwendete Optionen 229 15 4 iptables Regeln werden gespeichert eeeessnnsenenenenennnenennnenennnnn 236 15 5 iptaples Kontrollskripte 28 2 8 Belang 237 15 6 ip6tables und IPv6 15 7 Zus tzliche Informationsquellen nueseesessesensnenenesnenenenenennnnenennnennnn 239 16 Kerberos 4 2 umuesteneitestenteenrerstee EAE ANNEES Eo Erei VAESELE E aE 241 16 1 Was ist Kerberos 241 16 2 Kerberos Terminologie 242 16 3 Funktionsweise von Kerberos 244 16 4 Kerberos und PAM ae 245 16 5 Konfigurieren eines Kerberos 5 Servers 246 16 6 Konfigurieren eines Kerberos 5 Clients we 247 16 7 Zus tzliche Ressourcen 248 17 SSH Protokoll 251 17 1 SSH Merkmale 251 17 2 SSH Protokoll Versionen siseses eiii esse sn 252 17 3 Die Abfolge der Vorg nge einer SSH Verbindung 252 17 4 OpenSSH Konfigurationsdateien neeesessesnenenenenenennennnenennnennnnnennnn 254 17 5 Mehr als eine Secure Shell ueessssnsssesnsennenennennnennnnnnnnnnnennen 2
31. r den Dateinamen der LDIF Ausgabe Dieser Befehl erzeugt eine LDIF Datei die mit dem Befehl s1apadd importiert werden kann 12 8 1 Umwandeln der 1 x Verzeichnisse Mit Red Hat Linux 7 1 beginnend wurde das On Disk Speicherformat vom slapd LDAP Server auf gdbm ge ndert Wenn Sie LDAP von Red Hat Linux 7 0 oder fr her aktualisieren m ssen Sie die existierenden LDAP Verzeichnisse mit Hilfe des folgenden Befehls in eine LDIF Datei exportieren ldbmcat n gt lt ldif_ file gt Geben Sie im obigen Befehl als lt 1dif_file gt den Namen der Ausgabedatei ein Geben Sie an schlie end den folgenden Befehl ein um die Datei zu importieren 2 0 slapadd 1 lt ldif_file gt iicn Sie m ssen root sein um usr sbin slapadd verwenden zu k nnen Der Verzeichnis Server wird jedoch als Benutzer 1dap ausgef hrt Der Verzeichnis Server ist deshalb nicht in der Lage Dateien welche von slapadd erzeugt wurden zu ndern Um dieses Problem zu beheben geben Sie den folgenden Befehl ein nachdem Sie slapada beendet haben chown R ldap var lib ldap Kapitel 12 Lightweight Directory Access Protocol LDAP 197 12 9 Zusatzliche Ressourcen Es sind weitere LDAP betreffende Informationen erh ltlich Konsultieren Sie bitte diese Quellen insbesondere die OpenLDAP Website und das LDAP HOWTO ehe Sie LDAP auf Ihrem System konfigurieren 12 9 1 Installierte Dokumentationen usr share docs openldap lt Versionsnummer gt Enth lt ein
32. read only Gibt an dass die root Partition siehe die Zeile root unten schreibgeschiitzt ist und w hrend des Bootprozesses nicht ge ndert werden kann root dev hda5 Weist LILO an welche Plattenpartition als root Partition verwendet werden soll other dev hdal Legt die Partition fest die DOS enth lt 2 10 ndern von Runleveln zum Zeitpunkt des Bootens Unter Red Hat Enterprise Linux k nnen Sie den Standard Runlevel zum Zeitpunkt des Bootens ver ndern Wenn Sie LILO verwenden greifen Sie auf den Prompt boot zu indem Sie die Tasten Strg X dr cken Geben Sie anschlie end Folgendes ein linux lt runlevel number gt Ersetzen Sie in diesem Befehl lt Runlevel Nummer gt entweder durch die Nummer des Runlevels in dem Sie booten m chten 1 bis 5 oder durch das Wort single oder emergency Kapitel 2 Bootloader 23 Falls Sie GRUB verwenden f hren Sie diese Schritte aus W hlen Sie auf dem grafischen GRUB Bootloader Bildschirm das Red Hat Enterprise Linux Bootlabel aus und dr cken Sie e um es zu bearbeiten Gehen Sie mit der Pfeiltaste zur Kernelzeile hinunter und dr cken zur Bearbeitung e Geben Sie am Prompt die Nummer des Runlevels auf dem Sie booten m chten 1 bis 5 das Wort single oder emergency ein und dr cken Sie dann die Enter Taste Sie kehren nun zum GRUB Bildschirm mit den Kernel Informationen zur ck Dr cken Sie die b Taste um das System zu starten We
33. rev 1 Master Capable Latency 32 I O at 0xd800 0xd80f Bus 0 device 4 function 2 USB Controller Intel Corporation 82371AB PIIX4 USB rev 1 IRQ 5 Master Capable Latency 32 I O at 0xd400 0xd41f Bus 0 device 4 function 3 Bridge Intel Corporation 82371AB PIIX4 ACPI rev 2 IRQ 9 Bus 0 device 9 function 0 Ethernet controller Lite On Communications Inc LNE100TX rev 33 IRQ 5 Master Capable Latency 32 I O at 0xd000 0xd0ff Non prefetchable 32 bit memory at 0xe3000000 0xe30000ff Bus 0 device 12 function 0 VGA compatible controller S3 Inc ViRGE DX or GX rev 1 IRQ 11 Master Capable Latency 32 Min Gnt 4 Max Lat 255 Non prefetchable 32 bit memory at 0xdc000000 Oxdfffffff Kapitel 5 Das proc Dateisystem 59 Diese Ausgabe zeigt eine Liste aller PCI Ger te an sortiert nach Bus Ger t und Funktion Au er Namen und Version eines Ger tes gibt Ihnen diese Liste auch detaillierte IRQ Informationen so dass ein Administrator Konflikten schnell beikommen kann 0 Jim F r eine besser lesbare Version dieser Informationen geben Sie Folgendes ein sbin lspci vb 5 2 26 proc slabinfo Diese Datei gibt Ihnen Informationen ber die Speicherbenutzung im slab Level Linux Kernel ber 2 2 benutzen slab pools um Speicher ber der Page Ebene zu verwalten Oft benutzte Objekte haben dabei eigene Slab Pools Es folgt ein Ausschnitt einer typischen virtuellen Datei proc slabinfo sla
34. sehen Sie die Kommentare in etc openldap slapd conf und die man Seite f r slapd conf F r zus tzliche Sicherheit sollte die root pw Direktive auskommentiert werden indem ihr ein Hash Symbol vorangestellt wird Wenn Sie das Befehlszeilentool usr bin slapadd verwenden um das LDAP Verzeichnis lokal aufzuf llen m ssen Sie die rootpw Direktive nicht verwenden 194 Kapitel 12 Lightweight Directory Access Protocol LDAP EB wicntic Sie m ssen root sein um usr sbin slapadd verwenden zu k nnen Der Verzeichnis Server wird jedoch als Benutzer 1dap ausgef hrt Der Verzeichnis Server ist deshalb nicht in der Lage Dateien welche von slapadd erzeugt wurden zu ndern Um dieses Problem zu beheben geben Sie den folgenden Befehl ein nachdem Sie slapadd beendet haben chown R ldap var lib ldap 12 7 Konfigurieren Ihres Systems f r die Authentifizierung mit OpenLDAP Dieser Abschnitt gibt einen kurzen berblick ber die Konfiguration der OpenLDAP Benutzer Authentifizierung Wenn Sie kein OpenLDAP Experte sind ben tigen Sie wahrscheinlich eine umfassendere Dokumentation als wir Ihnen hier bieten k nnen Weitere Informationen finden Sie in den in Abschnitt 12 9 angegebenen Literaturhinweisen Installieren der notwendigen LDAP Pakete Zuerst sollten Sie sicherstellen dass die erforderlichen Pakete auf beiden dem LDAP Server und dem LDAP Client installiert sind Der LDAP Server ben tigt das openldap server Paket D
35. sich mit diesem Service zu verbinden Wird das Client System kompro mittiert hat ein Angreifer auch Zugang zum Forwarding Service Systemadministratoren die um das Port Forwarding besorgt sind k nnen diese Funktionalit t auf dem Server deaktivieren indem sie einen no Parameter f r die Zeile AllowTcpForwarding in der Datei etc ssh sshd_config angeben und den sshd Service neu starten 17 6 Anfordern von SSH f r Fernverbindungen F r ein effektives SSH d rfen Sie keine unsicheren Verbindungsprotokolle wie Telnet und FTP ver wenden Andernfalls wird das Passwort eines Benutzers mithilfe von SSH f r eine Sitzung zwar ge sch tzt kann jedoch sp ter durch eine Anmeldung bei Telnet erfasst werden Einige Dienste zum Deaktivieren enthalten telnet rsh e rlogin e vsftpd Deaktivieren Sie unsichere Verbindungsmethoden Ihres Systems mithilfe des Befehlszeilenprogramms chkconfig des ncurses basierten Programms ntsysv oder der grafischen Applikation Services Configuration Tool redhat config services Alle diese Tools erfordern root Zugriff 258 Kapitel 17 SSH Protokoll Weitere Informationen tiber Runlevels und das Konfigurieren von Diensten mit chkconfig ntsysv und Services Configuration Tool finden Sie im Kapitel Zugriffskontrolle zu Diensten des Red Hat Enterprise Linux Handbuch zur System Administration 17 7 Zusatzliche Ressourcen Weitere Informationen zu SSH finden Sie in den folgenden Ressourcen 17 7 1 Insta
36. so konfiguriert werden dass sie DEVICE eth0 0 und eine sta tische IP Adresse 10 0 0 2 spezifieren kann und somit als Alias einer bereits konfigurierten Ethernet Schnittstelle dienen kann um ihre IP Informationen ber DHCP in ifcfg eth0 zu empfangen An dieser Stelle ist das eth0 Ger t mit einer dynamischen IP Adresse verkn pft kann aber jederzeit ber die feste 10 0 0 2 IP Adresse auf das System zur ckgreifen kenne Alias Schnittstellen unterst tzen DHCP nicht Bei der Namensgebung einer Clone Schnittstellen Konfigurationsdatei sollten folgende Konventio nen eingehalten werden ifcfg lt if name gt lt clone name gt W hrend mit einer Alias Datei auf eine bereits bestehende Schnittstellen Konfigurationsdatei zur ckgegriffen werden kann wird eine Clone Datei zum Festlegen zus tzlicher Optionen w hrend der Angabe einer Schnittstelle verwendet Die standardm ige DHCP Ethernet Schnittstelle mit dem Namen etno kann deshalb wie folgt oder hnlich aussehen DEVICE eth0 ONBOOT yes BOOTPROTO dhcp Kapitel 8 Netzwerk Schnittstellen 113 Da USERCTL auf no eingestellt ist k nnen Benutzer wenn nichts anderes angegeben wird diese Schnittstelle nicht starten oder beenden Um den Benutzern dies zu erm glichen erstellen Sie einen Clone durch Kopieren von ifcfg eth0 nach ifcfg eth0 user und f gen Sie folgende Zeile zu ifcfg eth0 user hinzu USERCTL yes Wenn ein Benutzer mit dem Befehl sbin ifup eth0 user die eth0 Schnitt
37. ssel Methode f r die Authentifizierung von Nachrichten TSIG Abk rzung f r Transaction SIGnatures Dieses Feature erlaubt die bertragung von Mas ter zu Slave nur dann wenn ein gemeinsam verwendeter geheimer Schl ssel auf beiden Name Servern existiert 184 Kapitel 11 Berkeley Internet Name Domain BIND Dieses Feature unterstiitzt die auf der IP Adresse basierende Methode der Transfer Authorisierung Somit muss ein unerwiinschter Benutzer nicht nur Zugriff auf die IP Adresse haben um die Zone zu tibertragen sondern auch den geheimen Schliissel kennen Version 9 von BIND unterstiitzt auch TKEY eine weitere Methode der Autorisierung von Zone Ubertragungen auf der Basis eines gemeinsam verwendeten geheimen Schliissels 11 5 4 IP Version 6 Die Version 9 von BIND kann mit den A6 Zone Records Name Service f r die IP Version 6 IPv6 Umgebungen zur Verfiigung stellen Wenn Ihre Netzwerkumgebung sowohl ber Ipv4 als auch IPv6 Hosts verf gt k nnen Sie den lwresd Lightweight Resolver Daemon in Ihren Netzwerk Clients verwenden Dieser Daemon ist ein sehr effektiver Caching Only Name Server der die neuesten A6 und DNAME Records versteht die mit Ipv6 verwendet werden Auf der Iwresd man Seite finden Sie weitere Informationen hierzu 11 6 Allgemein zu vermeidende Fehler Es kommt h ufig vor dass Anf nger bei der Bearbeitung der Konfigurationsdateien von BIND Fehler machen oder bei der Verwendung von named zun chst Sc
38. uneseennensnenenenennnnnennnnnennenn 184 11 7 Zus tzliche Resso rcen u a anne 184 12 Lightweight Directory Access Protocol LDAP 12 1 Warum LDAP eects 12 2 LDAP Terminologie 12 3 OpenLDAP Daemons and Utilities 187 187 188 188 12 4 OpenLDAP Konfigurationsdateien 191 12 5 Das Verzeichnis etc openldap schema 191 12 6 berblick ber die OpenLDAP Einrichtung eeeeeeee 192 12 7 Konfigurieren Ihres Systems f r die Authentifizierung mit OpenLDAP 194 12 8 Umwandeln von Verzeichnissen fr herer Releases eeeenne 195 12 9 Zus tzliche Ressourcen neee ae Ea eisen ee EEEa 196 IH Hinweis zur Sicherheit sesuscsossesesssnensnsnessonensnenensnnenenensnnenensnsnensnnensnsnenennsnsnensnennenensnensnnennnn 199 13 Pluggable Authentication Modules PAM essessssnsnsnenesesennenennnnnnnnennnnnennnnenen 201 13 1 Vorteile von PAM 13 2 PAM Konfigurationsdateien 13 3 Format der PAM Konfigurationsdatei 13 4 Beispiele f r PAM Konfigurationsdateien 204 13 5 Module erstellen 206 13 6 PAM und Administrative Credential Caching ueeeeeeen 206 13 7 PAM und Besitzrechte von Ger ten ueesssssesenensnnnenennenennnnnnnen non 208 13 8 Zus tzliche Ressourcen 14 TCP Wrappers und zinetd enssensese ame enBr Bere rer 14 1 TEBR Wrappeisas u u u
39. 0 rw number 0 0 3 rw pio_mode write only 0 255 w slow 0 0 rw unmaskirq 0 0 rw using_dma 1 0 rw 66 Kapitel 5 Das proc Dateisystem 5 3 6 proc irg Dieses Verzeichnis wird benutzt um IRQ zu CPU Verbindungen einzustellen Dies erlaubt Ihnen einen IRQ nur einer CPU zuzuweisen Sie k nnen eine CPU aber z B auch vom IRQ Handling ent binden Jeder IRQ hat ein eigenes Verzeichnis was die individuelle Konfiguration jedes IRQ erm glicht Die Datei proc irg prof_cpu_mask ist eine Bitmaske die die Standardwerte f r die Datei smp_affinity im IRQ Verzeichnis enth lt Die Werte in smp_affinity legen fest welche CPUs diesen IRQ bearbeiten F r weitere Informationen zum Verzeichnis proc irg sehen Sie usr src linux 2 4 Documentation filesystems proc txt 5 3 7 proc net Dieses Verzeichnis bietet einen weitgehenden Einblick in verschiedene Netzwerk Parameter und Statistiken Jede Datei deckt einen bestimmten Informationsbereich zum Systemnetzwerkbereich ab Es folgt eine Teilliste des Verzeichnisses proc net e arp Enth lt die ARP Tabelle des Kernels Diese Datei ist besonders sinnvoll um eine Hardware Adresse einer IP Adresse zuzuordnen e atm Ein Verzeichnis das Dateien mit verschiedenen Einstellungen und Statistiken zum Asyn chronous Transfer Mode ATM enth lt Dieses Verzeichnis wird vor allem mit ATM Netzkarten und ADSL Karten benutzt e dev Listet die verschiedenen Netzwerk Ger te die im System k
40. 2 von NFS NFSv2 ist lter wird aber von vielen Systemen unterst tzt Die NFS Version 3 NFSv3 verf gt ber mehr Features ein schlie lich einer variablen Dateigr e und einem besseren Fehlerreport ist aber mit NFSv2 Clients nicht vollst ndig kompatibel Red Hat Enterprise Linux unterst tzt sowohl NFSv2 als auch NFSv3 Clients und wenn ein Dateisystem via NFS gemountet wird verwendet Red Hat Enterprise Linux NFSv3 als Standard wenn der Server es unterst tzt NFSv2 verwendet das User Datagram Protocol UDP um eine Netzwerkverbindung ohne Status zwischen dem Client und dem Server herzustellen NFSv3 kann entweder UDP oder Transmission Control Protocol TCP verwenden wenn es auf einem Netzwerk l uft Die statuslose UDP Verbindung minimiert unter normalen Umst nden den Netzwerkverkehr da der NFS Server dem Client ein Cookie sendet nachdem der Client f r den Zugriff auf die gemeinsamen Dateien autorisiert worden ist Dieses Cookie ist ein zuf lliger Wert der im Server gespeichert ist und gemeinsam mit RPC Anfragen vom Client bermittelt wird Der NFS Server kann ohne Aus wirkung auf die Clients neu gestartet werden das Cookie bleibt dabei intakt Da aber UDP statuslos ist best rmen die UD Clients das Netzwerk weiterhin mit Anfragen f r den Server auch wenn der Server unerwarteterweise herunterf hrt Deswegen ist TCP das bevorzugte Protokoll beim Verbinden mit einem NFSv3 Server f 8 Anmerkung Aus Gr nden der Kompat
41. 9 1 startServers StartServers bestimmt wie viele Serverprozesse beim Start erzeugt werden Da der Web Server je nach Datenverkehrsaufkommen Serverprozesse dynamisch beendet bzw erzeugt muss dieser Pa rameter nicht ver ndert werden Der Web Server ist so konfiguriert dass beim Start 8 Serverprozesse f r das prefork MPM und 2 f r die worker MPM erzeugt werden 10 5 9 2 MaxRequestsPerChild MaxRequestsPerChild legt die Gesamtzahl der Anfragen fest die jeder Child Server Prozess be n tigt bevor das Child beendet wird Der Hauptgrund d r die Einstellung von MaxRequestsPer Childist dass lang andauernde durch Prozesse verursachte Speicherlecks vermieden werden sollen Die Standardeinstellung f r MaxRequest sPerChild f r den Server ist 1000 f r das prefork MPM und 0 f r das worker MPM 10 5 9 3 MaxClients MaxClients gibt eine Obergrenze f r die Gesamtzahl von Serverprozessen oder gleichzeitig verbun denen Clients an die zur selben Zeit ausgef hrt werden k nnen Der Hauptgrund f r das Bestehen von MaxClients ist es zu Verhindern dass Ihr Betriebssystem durch einen berlasteten Apache HTTP Server Server zum Absturz gebracht wird Die Standardeinstellung des Servers ist 150 unabh ngig von der verwendeten MPM Es wird nicht empfohlen MaxClients auf einen Wert gr er als 256 zu setzen wenn die prefork MPM verwendet wird 10 5 9 4 MinSpareServers and MaxSpareServers Diese Werte werden lediglich mit der prefork MPM verwen
42. Apache Konfigurationsanweisung 145 erverSignature Apache Konfigurationsanweisung 155 ervices mit chkconfig konfigurieren 9 mit ntsysv konfigurieren 9 mit Services Configuration Tool konfigurieren 9 ervices Configuration Tool 9 Siehe auch services etEnvIf Apache Konfigurationsanweisung 161 setserial Befehl S S S S S S S Konfigurieren 7 hadow Siehe Passwort hadow Passw rter berblick 86 icherheit Apache ausf hren ohne 163 lab Pools Siehe proc slabinfo apadd Befehl 189 Siehe auch LDAP apcat Befehl 189 Siehe auch LDAP apcat gdbm Befehl 189 Siehe auch LDAP apd Befehl 189 Siehe auch LDAP apindex Befehl 189 Siehe auch LDAP appasswd Befehl 189 Siehe auch LDAP lave Nameserver Siehe BIND S S urpd Befehl 189 Siehe auch LDAP SH Protokoll protocol 251 Abfolge des Verbindungsaufbaus 252 Anfordern f r Fernanmeldung 257 Authentifizierung 254 Konfigurationsdateien 254 Merkmale von 251 Port Forwarding 256 Schichten von Kan le 254 Transportschicht 253 Sicherheitsrisiken 251 unsichere Protokolle und 257 Version 1 252 Version 2 252 X11 Forwarding 256 Zus tzliche Ressourcen 258 B cher zum Thema 259 Installierte Dokumentation 258 N tzliche Webseiten 259 SSL Konfiguration 161 StartServers Apache Konfigurationsanweisung 147 startx Siehe XFree86 sysconfig Verzeichnis etc sysconfig amd 32 etc sysconfig apm scripts Ver
43. Block Ger t liegen wenn in der ersten Spalte nodev steht bedeutet das dass Sie nicht auf ein Block Ger t gemountet sind Die zweite Spalte zeigt die Namen des unterst tzten Dateisystems an Der mount Befehl durchsucht die hier aufgelisteten Dateisysteme wenn keines als Argument ange geben wurde 5 2 9 proc interrupts Diese Datei zeigt die Anzahl von Interrupts pro IRQ auf der x86 Architektur an Eine typische proc interrupts Datei hnelt dem Folgenden CPUO 0 80448940 XT PIC timer ER 174412 XT PIC keyboard 2 0 XT PIC cascade 8 Al XT PIC rtc 10 410964 XT PIC eth0 12 60330 XT PIC PS 2 Mouse 14 1314121 XT PIC ideO 153 5195422 XT PIC idel NMI 0 ERR 0 Bei einer Multi Prozessor Maschine sieht dies etwas anders aus CPUO CPUl 0 1366814704 0 XT PIC timer Kapitel 5 Das proc Dateisystem 51 13 128 340 IO APIC edge keyboard 2 0 0 XT PIC cascade 8 0 1 IO APIC edge rtc 125 5323 5793 IO APIC edge PS 2 Mouse 183 1 0 XT PIC fpu 1 6 11184294 15940594 IO APIC level Intel EtherExpress Pro 10 100 Ethernet 20 8450043 11120093 IO APIC level megaraid 30 10432 10722 IO APIC level aic xxx Sis 23 22 IO APIC level aic7xxx NMI 0 ERR 0 Die erste Spalte bezeichnet die IRQ Nummer Jeder CPU im Rechner hat seine eigene Spalte und seine eigenen Interrupts pro IRQ Die n chste Spalte bezeichnet den Typ des Interrupts und die letzte Spalte enth lt den Namen des Ger ts das auf diesem IRQ angesprochen werden kann Jeder de
44. Client Applikationen man kerberos Eine Einf hrung in das Kerberos System in dem beschrieben wird wie Berechtigungsnachweise funktionieren und Empfehlungen fiir das Erhalten und L schen von Kerberos Tickets ausgegeben werden Unten auf der man Seite werden verwandte man Seiten angegeben man kinit Beschreibt wie man diesen Befehl f r das Erhalten und Cachen eines Ticket Granting Tickets verwendet man kdestroy Beschreibt wie man diesen Befehl zum L schen von Kerberos Berechtigungsnachweisen verwendet man klist Beschreibt wie man diesen Befehl zum Auflisten von gecachten Kerberos Berechtigungsnachweisen verwendet Administrative Applikationen man kadmin Beschreibt wie man diesen Befehl zur Verwaltung der Kerberos V5 Daten bank verwendet man kdb5_util Bechreibt wie man diesen Befehl zum Erstellen und Durchf hren administrativer Funktionen in der Kerberos V5 Datenbank verwendet Server Applikationen man krb5kdc Beschreibt die zur Verf gung stehenden Befehlszeilenoptionen f r das Kerberos V5 Key Distribution Center man kadmind Beschreibt die zur Verf gung stehenden Befehlszeilenoptionen f r den Kerberos V5 Administration Server Konfirgurationsdateien man krb5 conf Beschreibt das Format und die zur Verfiigung stehenden Optionen innerhalb der Konfigurationsdatei der Kerberos V5 Bibliothek man kdc conf Beschreibt das Format und die zur Verfiigung stehenden Optionen in
45. Datei stellen sicher dass der telnet Dienst auf dem Rech ner fiir eine externe IP Adresse 123 123 123 123 bestimmt ist und zwar die Internet seitige AuBer 224 Kapitel 14 TCP Wrappers und xinetd dem werden alle an 123 123 123 123 gesendete Telnet Anfragen tiber einen zweiten Netzwerkadapter an eine interne IP Adresse 10 0 1 13 weitergeleitet auf die nur die Firewall und interne Systeme Zu griff haben Die Firewall sendet dann die Kommunikation von einem System an das andere und fiir das sich verbindende System sieht es so aus als ob es mit 123 123 123 123 verbunden sei w hrend es in Wirklichkeit mit einem anderen Rechner verbunden ist Diese Eigenschaft ist besonders niitzlich fiir Benutzer mit Breitbandverbindungen und nur fiir fe ste IP Adressen Wird Network Address Translation NAT verwendet sind die Systems hinter dem Gateway Rechner die nur interne IP Adressen verwenden au erhalb des Gateway Systems nicht zu g ngig Wenn jedoch bestimmte Services die mit xinetd kontrolliert werden mit den Optionen bind und redirect konfiguriert sind kann der Gateway Rechner als eine Art Proxy zwischen externen Systemen und einem bestimmten internen Rechner fungieren der konfiguriert ist um den Service zur Verf gung zu stellen Au erdem sind die verschiedenen xinet d Zugriffskontroll und Protokollier optionen auch f r zus tzlichen Schutz wie zum Beispiel Begrenzung der Anzahl von gleichzeitigen Verbindungen f r den weitergeleitet
46. DirectoryIndex ist die Standardseite die vom Server geliefert wird wenn ein Benutzer durch Angabe von am Ende eines Verzeichnisnamens einen Index eines Verzeichnisses anfordert Wenn ein Benutzer zum Beispiel die Seite http example this_directory anfordert wird entweder die DirectoryIndex Seite falls vorhanden oder eine vom Server erstellte Verzeichnis liste angezeigt Die Standardeinstellung f r den DirectoryIndex ist index html und die in dex html var Type Map Der Server sucht nach diesen Dateien und gibt die Datei aus die zu erst gefunden wird Wenn keine dieser Dateien gefunden wird und Options Indexes f r dieses Verzeichnis aktiviert ist erstellt und bertr gt der Server eine Liste im HTML Format die die Unter verzeichnisse und Dateien im Verzeichnis enth lt 10 5 29 AccessFileName AccessFileName bestimmt die Datei die vom Server zur Speicherung von Zugriffskontrollinforma tionen in jedem Verzeichnis verwendet werden soll Standardm ig ist Ihr Web Server so konfiguriert Kapitel 10 Apache HTTP Server 153 dass f r die Speicherung von Zugriffskontrollinformationen die Datei htaccess verwendet wird falls vorhanden Unmittelbar nach der Anweisung AccessFileName wird durch eine Reihe von Files Tags die Zu gangskontrolle zu allen Dateien geregelt die mit ht beginnen Diese Anweisungen verwehren aus Sicherheitsgr nden den Zugriff auf alle htaccess Dateien bzw andere Dateien die mit which begin with ht
47. Erstellen Sie daf r eine local schema Datei im Verzeichnis etc openldap schema Referenzieren Sie dieses neue Schema in slapd conf indem Sie die folgende Zeile unter die standardm igen include Schemazeilen hinzuf gen include etc openldap schema local schema Definieren Sie anschlie end Ihre neuen Attributtyen und Objektklassen der local schema Datei Viele Organisationen verwenden die standardm ig installierten Attributtypen und Objektklassen der Schemadateien und modifizieren diese f r die Verwendung in der local schema Datei Das Erweitern der Schemata zum Erreichen spezieller Anforderungen ist reichlich komplex und ber steigt den Umfang dieses Kapitels Weitere Informationen ber die Erstellung neuer Schemadateien finden Sie unter http www openldap org doc admin schema html 12 6 berblick ber die OpenLDAP Einrichtung In diesem Abschnitt wird ein kurzer berblick ber das Installieren und Konfigurieren eines OpenLDAP Verzeichnisses gegeben Weitere Details finden Sie unter folgenden URLs http www openldap org doc admin quickstart html Der Quick Start Guide auf der OpenLDAP Website http www redhat com mirrors LDP HOWTO LDAP HOWTO html LDAP Linux HOWTO vom Linux Documentation Project das auf der Website von Red Hat gespiegelt ist Die Grundschritte zum Erstellen eines LDAP Servers sind folgende Installieren Sie die RPMs openldap openldap servers und openldap clients 2 Bearbeite
48. Es gibt nur einen kleinen Unterschied zwischen diesem Beispiel und einer standardm igen zone Direktive der Name wird anders angegeben Bitte beachten Sie dass bei einer Zone f r eine umge kehrte Aufl sung die ersten drei Bl cke der IP Adresse zum Umkehren ben tigt werden und in addr arpa danach angegeben ist Dadurch kann ein einzelner Block von IP Ziffern der in der Zone Datei zum umgekehrten Aufl sen von Namen verwendet wird richtig an diese Zone angef gt werden 11 4 Die Verwendung von rndc BIND enth lt das Utility rndc mit dem Sie den named Daemon ber die Befehlszeile vom lokalen und von einem Remote Host verwalten k nnen Um zu verhindern dass nicht authorisierte Benutzer Zugriff zum named Daemon erlangen verwen det BIND eine Authentifizierungsmethode auf einem gemeinsamen geheimen Schl ssel basierend um Hostsystemen den Zugriff zu gew hren Das heisst das ein bereinstimmender Schl ssel in etc named conf und der rndc Konfigurationsdatei etc rndc conf existieren muss 11 4 1 Configuring etc named conf Um die Verbindung von rndczu Ihrem named Dienst zu erm glichen muss beim Start von named die cont rols Anweisung in Ihrer etc named conf Datei vorhanden sein Das folgende Beispiel einer cont rols Anweisung erm glicht es Ihnen rndc Befehle vom lokalen Host auszuf hren controls inet 127 0 0 1 allow localhost keys lt key name gt Diese Anweisung weist named an am standardm
49. Firewall neu gestartet wird Die vorherige Version wird dabei unter etc sysconfig iptables save abgelegt no Der Standardwert Bestehende Regeln werden nicht gespeichert wenn die Firewall neu gestartet wird Kapitel 15 iptables 239 IPTABLES_SAVE_COUNTER Speichert und stellt alle Paket und Byte Z hler in allen Ketten und Regeln wieder her Diese Anweisung akzeptiert die folgenden Werte yes Speichere die Werte der Z hler no Der Standardwert Speichert die Werte der Z hler nicht e IPTABLES_STATUS_NUMERIC Gibt die IP Adressen anstelle der Domain oder Hostnamen in der Statusanzeige aus Diese Anweisung akzeptiert die folgenden Werte yes Gibt lediglich IP Adressen in der Statusanzeige aus no Der Standardwert Gibt Domain oder Hostnamen in der Statusanzeige aus 15 6 ip tables und IPv6 Sollte das iptables ipv6 Paket installiert sein kann Netfilter unter Red Hat Enterprise Linux das IPv6 Internet Protokoll der n chsten Generation behandeln Der Befehl zur Manipulation des IPv6 Netfilters ist ip6tables Die meisten Anweisungen f r diesen Befehl sind identisch zu denen von iptables ausser dass die nat Tabelle noch nicht unterst tzt ist Das heisst dass es noch nicht m glich ist IPv6 Network Address Translation Tasks durchzuf hren wie Masquerading und Port Forwarding Gespeicherte Regeln f r ip6tables sind in der Datei etc sysconfig ip6stables Alte durch die ip tables Init
50. Hat Enterprise Linux Handbuch zur System Administration Sie k nnen die Konfigurationsdateien f r eine bestimmte Netzwerkschnittstelle auch manuell bear beiten Folgend ist eine Liste mit konfigurierbaren Parametern f r eine Konfigurationsdatei einer Ethernet Schnittstelle BOOTPROTO lt Protokoll gt wobei lt Protoko1l1 gt f r eine der folgenden Varianten stehen kann none Es sollte kein Boot Time Protokoll verwendet werden Kapitel 8 Netzwerk Schnittstellen 109 bootp Das BOOTP Protokoll sollte verwendet werden dhcp Das DHCP Protocoll sollte verwendet werden BROADCAST lt Adresse gt wobei lt Adresse gt f r die Broadcast Adresse steht Diese Anweisung wird missbilligt DEVICE lt Name gt wobei lt Name gt der der Name des physischen Ger ts ist ausgenommen dynamisch zugewiesene PPP Ger te bei denen es der logische Name ist DHCP_HOSTNAME Benutzen Sie diese Option lediglich wenn der DHCP Server den Client erfordert vor dem Erhalten einer IP Adresse einen Hostnamen anzugeben Der DHCP Server Daemon in Red Hat Enterprise Linux unterst tzt dieses Feature nicht DNS 1 2 lt Adresse gt wobei lt Adresse gt eine Name Server Adresse ist die in etc resolv conf gesetzt wird wenn die Anweisung PEERDNS auf yes steht e HWADDR lt MAC address gt wobei lt MAC address gt die Hardware Adresse des Ethernet Ger ts ist Diese hat das Format AA BB CC DD EE FF Diese Anweisung
51. In dieser Datei ist eine Liste der autorisierten ffentlichen Schl ssel f r Server enthalten Stellt ein Client eine Verbindung zu einem Server her wird er von diesem durch Pr fen seines unterschriebenen ffentlichen Schl ssels der in dieser Datei gespeichert ist authen tifiziert id_dsa Diese Datei enth lt den privaten Schl ssel des Benutzers id_dsa pub Der ffentliche DSA Schl ssel des Benutzers e id_rsa Der private RSA Schl ssel welcher von ssh f r Version 2 des SSH Protokolls verwen det wird id_rsa pub Der ffentliche RSA Schl ssel welcher von ssh f r Version 2 des SSH Protokolls verwendet wird identity Der private RSA Schl ssel welcher von ssh f r Version 1 des SSH Protokolls ver wendet wird e identity pub Der ffentliche RSA Schl ssel welcher von ssh f r Version 1 des SSH Protokolls verwendet wird known_hosts In dieser Datei k nnen die DSA Host Schliissel der Server gespeichert werden mit denen sich der Benutzer ber SSH anmeldet Diese Datei ist sehr wichtig um festzustellen ob der SSH Client mit dem richtigen SSH Server verbunden ist Bicon Wenn der Host Schl ssel eines SSH Servers ge ndert wurde wird der Client den Benutzer darauf hinweisen dass die Verbindung nicht fortgesetzt werden kann bevor nicht der Host Schl ssel aus der Datei known_hosts gel scht wurde Dies kann mit einem Texteditor geschehen Bevor dies geschieht sollten Sie sich aller
52. Kernel l sst Anfragen scheitern die Gr en des gesamten Swap plus dem physischem RAM dass in proc sys vm overcommit_ratio angegeben ist hinzuf gen Diese Einstel lung ist am Besten f r die die weniger memory overcommitment riskieren wollen Kapitel 5 Das proc Dateisystem 77 Anmerkung Diese Einstellung ist nur f r Systeme empfohlen deren Swap gr er als deren physischer Spe icher ist e overcommit_ratio Gibt den Prozentanteil an physischem RAM an der ber cksichtigt wird wenn proc sys vm overcommit_memory auf 2 gesetzt ist Der Standardwert ist 50 pagecache Erlaubt es Ihnen den Anteil in Prozent des System Speichers einzustellen der als Page Cache verwendet wird Eine typische Ausgabe dieser Datei sieht wie folgt aus 1 15 100 Der erste Wert setzt den minimalen Speicher der als Page Cache Speicher verwendet wird Der mittlere Wert setzt den Prozentsatz von Systemspeicher der als Puffer und Page Cache verwendet wird ab dem das Memory Management anf ngt Puffer mehr als andere Speichertypen zu l schen um Speichermangel auszugleichen Der letzte Wert setzt den maximalen Speicher der als Puffer speicher verwendet wird ist allerdings noch nicht implementiert e page cluster Stellt die Anzahl von Seiten die auf einmal gelesen werden sollen ein Der Standardwert 3 der sich eigentlich auf 16 Seiten bezieht reicht f r die meisten Systeme aus e pagetable_cache Stellt die Anzahl von Seite
53. Konfiguration hinzugef gt ii Einf hrung Das Kapitel Benutzer und Gruppen wurde aktualisiert Das Kapitel Benutzer und Gruppen wurde aktualisiert Bevor Sie dieses Handbuch lesen sollten Sie den Inhalt des Red Hat Enterprise Linux Installations handbuch ber Installationsfragen des Red Hat Enterprise Linux Introduction to System Administra tion ber grundlegende Verwaltungskonzepte desRed Hat Enterprise Linux Handbuch zur System Administration f r allgemeine Anweisungen zur benutzerdefinierten Einstellung sowie des Red Hat Enterprise Linux Sicherheitshandbuch f r Anweisungen im Zusammenhan mit Sicherheit kennen Das Red Hat Enterprise Linux Referenzhandbuch enth lt Informationen zu fortgeschrittenen Themen HTML PDF und RPM Versionen der Handb cher sind auf der Red Hat Enterprise Linux Dokumentations CD und Online unter http www redhat com docs erh ltlich Anmerkung Obwohl dieses Handbuch die neuesten Informationen enth lt lesen Sie die Red Hat Enterprise Linux Release Notes f r weitere Information die zum Druck dieses Handbuchs noch nicht vorlagen Diese k nnen auf der Red Hat Enterprise Linux CD 1 und Online unter http www redhat com docs gefunden werden 2 So finden Sie die geeignete Dokumentation Es ist wichtig dass Sie sich jene Informationen beschaffen die f r Ihren Kenntnisstand in Sachen Linux geeignet ist Andernfalls k nnten Sie sich schnell berfordert f hlen oder nicht an die Informa tione
54. Konfigurationsanweisung 148 F Feedback Kontaktadressen ix FHS 25 25 Siehe auch file system Siehe auch file system Forwarding Nameserver Siehe BIND Framebuffer Ger t 50 Siehe auch proc fb FrontPage 143 fstab 126 Siehe auch NFS G Ger te lokal Besitzrechte ber 208 Siehe auch PAM GNOME 90 Siehe auch XFree86 Group Apache Konfigurationsanweisung 149 GRUB 2 11 Siehe auch boot loaders Siehe auch boot loaders Befehle 16 Bootprozess 11 Definition von 11 Funktionen 12 Installieren 13 Konfigurationsdatei boot grub grub conf 18 Struktur 18 Men konfigurationsdatei 18 Anweisungen 18 Oberfl chen 15 Befehlszeile 15 Men 15 Meniieintrag Editor 15 Reihenfolge der 16 Rolle im Bootprozess 2 Runlevels ndern mit 15 22 Terminologie 13 Dateien 14 Ger te 13 Root Dateisystem 15 zus tzliche Ressourcen 23 B cher zu diesem Thema 24 hilfreiche Websites 23 installierte Dokumentationen 23 grub conf 18 Siehe auch GRUB Gruppen Benutzereigene 85 Einf hrung 81 Gemeinsame Verzeichnisse 85 GID 81 Standard 83 Tools zur Verwaltung von groupadd 81 85 redhat config users 85 User Manager 81 Zus tzliche Informationsquellen 87 Biicher zum gleichen Thema 88 Installierte Dokumentation 87 H HeaderName Apache Konfigurationsanweisung 157 Herunterfahren 9 Siehe auch halt Hierarchie Dateisystem 25 HostnameLookups Apache Konfigurationsanweisung 153 H
55. Konsolen Loglevel e random Verzeichnis Listet eine Anzahl von Werten die zum Erzeugen von Zufallszahlen im Kernel verwendet werden rtsig max Konfiguriert die maximale Anzahl an POSIX Echtzeitsignalen die das System gespeichert haben kann Der Standardwert ist 1024 e rtsig nr Die aktuelle Anzahl von POSIX Echzeitsignalen die zur Zeit vom Kernel abgear beitet werden sem Diese Datei konfiguriert die Semaphore Einstellungen im Kernel Eine semaphore ist ein System V IPC Objekt das benutzt wird um den Einsatz eines bestimmten Prozesses zu berwachen e shmall Zeigt den Gesamtwert des gemeinsam verwendeten Speichers in Bytes an der gle ichzeitig im System benutzt werden kann Dieser Wert ist normalerweise 2097152 e shmmax Stellt die gr te Speichersegmentgr e in Bytes ein die vom Kernel erlaubt wird Dieser Wert ist normalerweise 33554432 Der Kernel unterst tzt allerdings viel gr ere Werte shmmni Stellt die maximale Anzahl von gemeisam genutzten Speichersegmenten f r das ganze System ein Dieser Wert hat den Standardwert 4096 e sysrq Aktiviert den System Request Key wenn dieser Wert nicht auf das standardm ige 0 gesetzt ist Der Sinn des System Request Key ist es Ihnen zu erlauben dem Kernel direkte Anweisungen mit einer simplen Tastenkombination zu geben um den Rechner z B direkt herunter zu fahren das System neu zu starten alle Dateisystempuffer zu schreiben oder
56. Nummer 10 aufgef hrt sind 135 rtc 1 psaux 134 apm_bios Die erste Spalte zeigt die Minor Nummer des Ger ts an und die zweite Spalte zeigt den benutzten Treiber an 5 2 21 proc modules Diese Datei zeigt eine Liste aller Module an die im Kernel geladen wurden Ihr Inhalt h ngt von der Konfiguration und vom System ab die Organisation sollte aber hnlich sein wie in dieser Ausgabe von proc modules ide cd 27008 0 autoclean cdrom 28960 0 autoclean ide cd soundcore 4100 0 autoclean agpgart 31072 0 unused binfmt_misc 5956 1 iscsi 32672 0 unused Kapitel 5 Das proc Dateisystem 57 scsi_mod 94424 1 iscsi autofs 10628 0 autoclean unused tulip 48608 F ext3 60352 2 jbd 39192 2 ext3 Die erste Spalte enth lt den Namen des Moduls Die zweite Spalte zeigt die Speichergr e des Mo duls in Byte an Die dritte Spalte zeigt an ob das Modul zur Zeit geladen 1 oder nicht geladen 0 ist Die letzte Spalte zeigt an ob sich das Modul automatisch nach einer Zeit deaktivieren kann autoclean oder ob es zur Zeit nicht benutzt wird unused Jedes Modul mit einer Zeile in der ein Name in Klammern und steht zeigt an dass dieses Modul ein anderes zum ordnungsgem en Funktionieren ben tigt Diese Information kann auch mit dem Befehl sbin 1smod angezeigt werden 5 2 22 proc mounts Diese Datei gibt Ihnen einen kurzen berblick ber alle Mounts im System rootfs rootfs rw 0 0 dev hda2 ext
57. Records angef gt wird Wie z B die die ausschlieBlich den Host festlegen Eine Zone Datei kann z B folgende Zeile enthalten SORIGIN example com Jetzt wiirde an alle Namen die in Resource Records verwendet werden und nicht mit einem Punkt enden example com angeh ngt S Anmerkung Die Verwendung der sorIG n Direktive ist nicht erforderlich wenn der Name der Zone in etc named conf mit dem Wert bereinstimmt den Sie soRIGIn zuweisen w rden Standardm ig wird der Name der Zone als Wert der soRIGIn Anweisung verwendet STTL Legt den Standard Time to Live TTL Wert f r die Zone fest Dieser Wert legt f r die Name Server in Sekunden fest wie lange das Resource Record f r die Zone g ltig ist Ein Resource Record kann einen eigenen TTL Wert besitzen der den Wert dieser Anweisung f r die Zone berschreibt Wird dieser Wert erh ht k nnen die Remote Name Server die Zone Informationen l nger verar beiten Dadurch werden zwar die Abfragen f r diese Zone reduziert es vergr ert sich jedoch der Zeitraum bis man von den nderungen der Resource Records profitieren kann 11 3 2 Resource Records der Zone Datei Die Hauptkomponente einer Zone Datei ist deren Resource Records Es gibt viele Typen von Resource Records Folgende werden am h ufigsten verwendet A Adressen Record das einem Namen eine IP Adresse zuweist Beispiel lt host gt IN A lt IP address gt Wenn der lt host gt Wert nicht ange
58. Root Verzeichnis ist so konfiguriert dass durch Allow Anforde rungen von all d h allen Anforderern erlaubt sind 10 5 26 Deny Deny funktioniert genauso wie Allow wobei angegeben wird wem der Zugriff nicht gestattet ist In Ihrer Document Root sind standardm ig keine Deny Anweisungen enthalten 10 5 27 UserDir UserDir ist der Name des Unterverzeichnisses innerhalb eines Home Verzeichnisses jedes Benut zers wo private HTML Seiten abgelegt werden k nnen die vom Web Server bereitgestellt werden sollen Diese Anweisung hat den Standardwert disable Die Standardeinstellung f r das Unterverzeichnis ist public_html Zum Beispiel k nnte der Server die folgende Anforderung erhalten http example com username foo html Der Server sucht daraufhin die Datei home username public_html foo html Im obigen Beispiel ist home username das Home Verzeichnis des Benutzers Beachten Sie bit te dass der Standardpfad zu den Home Verzeichnissen von Benutzern auf Ihrem System abweichen kann berpr fen Sie ob die Zugriffsberechtigungen f r die Home Verzeichnisse der Benutzer richtig ein gestellt sind Die richtige Einstellung ist 0711 F r die public_html Verzeichnisse der Benutzer m ssen die read r und execute x Bits eingestellt sein 0755 ist ebenfalls ausreichend Dateien die im public_htm1 Verzeichnis der Benutzer zum Abruf angeboten werden m ssen mindestens die Berechtigung 0644 haben 10 5 28 DirectoryIndex Der
59. Slave Nameservern verwendet werden k nnen Nachfolgend finden Sie ein Beispiel f r eine zone Anweisung f r den prim ren Nameserver der example com 192 168 0 1 hostet zone example com IN type master file example com zone allow update none Diese zone Direktive benennt die Zone example com stellt als Typ master ein und weist den named Service an die Datei var named example com zone zu lesen und weist named an Ak tualisierungen durch andere Hosts nicht zuzulassen 174 Kapitel 11 Berkeley Internet Name Domain BIND Eine zone Anweisung eines Slave Servers fiir example com unterscheidet sich etwas vom vorhe rigen Beispiel Fiir einen Slave Server wird der Typ auf slave festgelegt An die Stelle der Zeile allow update tritt eine Anweisung die named die IP Adresse des Master Servers mitteilt Nachfolgend finden Sie ein Beispiel fiir eine zone Anweisung f r die example com Zone zone example com type slave file example com zone masters 192 168 0 1 Diese zone Anweisung weist named auf dem Slave Server an bei dem Master Server mit der IP 192 168 0 1 nach Informationen f r die Zone example com zu suchen Die Informationen die der Slave Server vom Master Server erh lt werden in der Datei var named example com zone gespeichert 11 2 2 Andere Statement Typen Die Folgende ist eine Liste von weniger verwendeten Statement Typen welche in named conf ver fiigbar sind controls
60. Starten einer PLIP Schnittstelle verwendet ifup plusb Wird zum Starten einer USB Schnittstelle f r Netzwerkverbindungen verwendet ifup post und ifdown post Enthalten Befehle die nach dem Starten oder Beenden einer Schnittstelle ausgef hrt werden m ssen 116 Kapitel 8 Netzwerk Schnittstellen e ifup ppp und ifdown ppp Werden zum Starten oder Beenden einer PPP Schnittstelle ver wendet e ifup routes Fiigt statische Routes fiir ein bestimmtes Ger t hinzu wenn dessen Schnittstelle aktiviert wird e ifdown sit und ifup sit Enthalten eine Funktion die zum Aktivieren und Deaktivieren eines IPv6 Tunnels in einer IPv4 Verbindung aufgerufen wird ifup sl und ifdown s1l Wird zum Starten und Beenden einer SLIP Schnittstelle verwendet A Warnung Achten Sie darauf dass das Entfernen oder Modifizieren irgendeines Skripts im Verzeichnis etc sysconfig network scripts dazu f hren kann dass Schnittstellenverbindungen seltsam reagieren oder scheitern da sie von diesen Skripts abh ngig sind Nur erfahrene Benutzer sollten daher Skripts ver ndern die f r eine Netzwerkschnittstelle relevant sind Der einfachste Weg alle Netzwerk Skripte gleichzeitig zu ndern ist es den Befehl sbin service auf dem Netzwerk Service etc rc d init d network wie folgt auszuf hren sbin service network lt action gt lt Aktion gt steht entweder f r start stop oder restart Um eine Liste der konfigurierten G
61. Stern Mike Eisler und Ricardo Labiaga O Reilly amp Associates Ein hervorragendes Referenzhandbuch f r die vielen verschiedenen NFS Exporte und die zur Verf gung stehenden Mount Optionen e NFS Illustrated von Brent Callaghan Addison Wesley Publishing Company Vergleicht NFS mit anderen Netzwerk Dateisystemen und zeigt wie die NFS Kommunikation zustande kommt Red Hat Enterprise Linux Handbuch zur System Administration Red Hat Inc Das Kapitel Network File System NFS erklart in knapper Weise wie NFS Clients und Server erstellt werden Red Hat Enterprise Linux Sicherheitshandbuch Red Hat Inc Das Kapitel Server Security er l utert Wege zur Sicherung von NFS und anderer Dienste redhat Kapitel 10 Apache HTTP Server Apache HTTP Server ist ein robuster und kommerzieller Open Source Web Server der von der Apa che Software Foundation http www apache org entwickelt wurde Red Hat Enterprise Linux enth t die Apache HTTP Server Version 2 0 sowie eine Reihe von Server Modulen die seine Funktionalit t erweitern Die mit Apache HTTP Server installierte Standardkonfigurationsdatei ist in den meisten Situatio nen unver ndert einsetzbar Dieses Kapitel zeigt wie die Apache HTTP Server Konfigurationsdatei etc httpd conf httpd conf f r Situationen angepasst werden kann in denen die Standard konfiguration nicht Ihren Anforderungen gen gt oder Sie eine Konfigurationsdatei vom lteren Apa che HTTP
62. Technologien beinhaltet Dazu geh ren 3D Hardwarebeschleunigung XRender Erweiterung f r anti aliased Fonts ein modulares Treiber basiertes Design und Unterst t zung f r moderne Video Hardware und Eingabeger te BB wicntic Red Hat Enterprise Linux stellt keine Serverpakete von XFree86 Version 3 mehr zur Verf gung Ehe Sie auf die letzte Version von Red Hat Enterprise Linux aktualisieren stellen Sie sicher dass Ihre Grafikkarte mit der Version 4 von XFree86 kompatibel ist berpr fen Sie dies auf der Red Hat HCL Hardwarekompatibilit tsliste unter dem URL http hardware redhat com Das X Window System befindet sich haupts chlich an zwei Speicherorten im Dateisystem usr X11R6 Enth lt X Server einige Client Applikationen bestimmten X Headerdateien Bibliotheken Module und Dokumentation etc X11 Enth lt alle Konfigurationsdateien f r die verschiedenen Komponenten des X Window Systems Hierzu geh ren Konfigurationsdateien f r den X Server den lteren X Font Server xfs X Display Manager und zahlreiche weitere grundlegende Komponenten Es ist wichtig zu beachten dass die Konfigurationsdatei f r die neuere Fontconfig basierte Font Architektur etc fonts fonts conf ist was die Datei etc X11 XftConfig berfl ssig 90 Kapitel 7 Das X Window System macht Fiir weitere Informationen zur Konfiguration und zum Hinzufiigen von Fonts sehen Sie Abschnitt 7 4 Da der XFree86 Server eine Reihe von fortgeschritte
63. Telesis LA100PCI T Danpex EN 9400 Cogent EM110 VIA Rhine PCI Fast via rhine o Ethernetkarten mit VIA VT86c100A Rhine II PCI oder 3043 Rhine I D Link DFE 930 TX PCI 10 100 266 Anhang A Allgemeine Parameter und Module Tabelle A 2 Ethernet Modulparameter A 3 1 Verwendung mehrerer Ethernet Karten Sie k nnen auf einem Rechner mehrere Ethernet Karten benutzen F r jede Karte muss eine ali as und m glicherweise eine options Zeile etc modules conf vorhanden sein F r weitere Informationen siehe Kapitel Kernel Module im Red Hat Enterprise Linux Handbuch zur System Administration Weitere Informationen zur Verwendung mehrerer Ethernet Karten finden Sie unter Linux Ethernet HOWTO unter der URL http www redhat com mirrors LDP HOWTO Ethernet HOWTO html A 3 2 Die Kanal Verbindungsmodule Red Hat Enterprise Linux erm glicht den Administratoren die NICs in einem einzigen Kanal zu sammenzubinden indem das bonding Kernel Modul und eine spezielle Schnittstelle die Kanal Verbindungsschnittstelle verwendet wird Die Kanalverbindung macht es m glich dass zwei oder mehrere Netzwerk Schnittstellen wie eine einzige agieren Damit wird die Bandbreite simultan er h ht und dDatenfreiraum geschaffen Um eine Kanalverbindung zwischen mehreren Netzwerk Schnittstellen herzustellen muss der Admi nistrator folgende Schritte ausf hren 1 F gen Sie die folgende Zeile zu etc modules conf hinzu alias bond lt N gt bonding E
64. Verwendung der Option nach diesem Parameter werden nur unfragmentierte Parameter abgefangen e i Setzt die Schnittstelle des Eingangsnetzwerks z B eth0 oder ppp0 die f r eine bestimmte Regel benutzt werden soll Mit iptables sollte dieser zus tzliche Parameter nur mit INPUT und FORWARD Chains in Verbindung mit der filter Tabelle und der PREROUTING Chain mit den nat und mangle Tabellen verwendet werden Dieser Parameter unterst tzt auch folgende spezielle Optionen Weist diesen Parameter an keine entsprechenden bereinstimmungen zu suchen bzw jede spezifizierte Schnittstelle von dieser Regel auszuschlie en Ein Platzhalterzeichen das verwendet wird um alle Schnittstellen zu kontrollieren die einer bestimmten Zeichenkette entsprechen Der i eth Parameter w rde diese Regel z B f r alle Ethnernet Schnittstellen Ihres Systems anwenden aber alle anderen Schnittstellen wie z B ppp0 auslassen Wenn der i Parameter ohne Spezifizierung einer Schnittstelle verwendet wird ist jede Schnitt stelle von dieser Regel betroffen e j Weist iptables an ein bestimmtes Ziel zu bergehen wenn ein Paket einer bestimmten Regel entspricht G ltige Ziele die nach der j Option verwendet werden k nnen sind unter anderem die Standardoptionen ACCEPT DROP OUEUE und RETURN sowie erweiterte Optionen 232 Kapitel 15 iptables die ber Module verf gbar sind die standardm ig mit mit dem Red Hat Enterprise Li
65. Verzeichnis 26 opt Verzeichnis 27 proc Dateisystem proc apm 47 proc bus Verzeichnis 63 proc cmdline 47 proc cpuinfo 47 proc devices Blockger te 48 Zeichen Ger te 48 proc dma 49 proc driver Verzeichnis 63 proc execdomains 49 proc fb 50 proc filesystems 50 proc fs Verzeichnis 64 proc ide Verzeichnis 64 Geriite Verzeichnisse 65 proc interrupts 50 proc iomem 51 proc ioports 52 proc irg Verzeichnis 66 proc isapnp 52 proc kcore 53 proc kmsg 53 proc ksyms 53 proc loadavg 54 proc locks 54 proc mdstat 54 proc meminfo 55 proc misc 56 proc modules 56 proc mounts 57 proc mtrr 57 proc net Verzeichnis 66 proc partitions 58 proc pei Anzeige mitlspci 58 proc scsi Verzeichnis 67 proc self Verzeichnis 63 proc slabinfo 59 proc stat 59 proc swaps 60 proc sys Verzeichnis 68 78 Siehe auch sysctl proc sys dev Verzeichnis 69 proc sys fsVerzeichnis 70 proc sys kernel sysrq Siehe System Request Key proc sys kernel Verzeichnis 71 proc sys vm Verzeichnis 75 net Verzeichnis 74 proc sysrq trigger 60 proc sysvipe Verzeichnis 77 proc tty Verzeichnis 77 proc uptime 60 proc version 60 Dateien anzeigen in 45 Dateien in top level 46 Dateien ndern in 46 68 78 eingefiihrt 45 Prozesse Verzeichnisse 61 Unterverzeichnisse in 61 zus tzliche Ressourcen 79 hilfreiche Websites 79 installierte Dokumentation 79 proc Verzeichnis 27
66. Verzeichnis etc sysconfig 4 3 Zus tzliche Ressourcen 5 Das proc Dateisystem 5 1 Ein virtuelles Dateisystem 5 2 Dateien im Hauptverzeichnis des proc Dateisystems nne 46 5 3 Verzeichnisse in proc x 5 4 Benutzen Von Sy SCE Lyre n nate aan in oisbosssecdlece causvideuiSenesans 5 5 Zus tzliche Ressourcen senres eras o E saci e ra EN a E Eia 6 Benutzer und Gruppen uensesesesnsnenenesenennensnnnnnnenennnnnennnnn 6 1 Tools zum Management von Benutzern und Gruppen 6 2 Standardbenutzer 6 3 Standardgruppen 83 6 4 Benutzereigene Gruppen 85 GD Shadow Utihties ices anne nein ea rennt 86 6 6 Zus tzliche Informationsquellen nneneesesesesnenenenenesnenenennnnnnenenennnennennnn 87 7 Das X Window System tes Bi Me PVC ORG nn sales ae aa eE AES 7 2 Desktop Umgebungen und Window Manager unssssnnenenesnenennnenen 90 7 3 XFree86 Server Konfigurationsdateien uuenessesenesennnnenenenenennenenennnenenennnn 91 TA POMS sey 2 en bes teste ovate REN RE NER EHESTEN 98 7 5 Runlevels und XFree86 101 7 6 Zus tzliche Ressourcen 102 II Hinweise f r Netzwerk Dienste sossssnsossnsnssnsnnsnsonsnssnsnnsnsnnsnsnnsnsnnsnnnsnnsnssnsnssnsnnnsnnenssnnnsnn 105 8 Netzwerk Schnittstellen 107 8 1 Netzwerk Konfigurationsdateien 107 8 2 Schnittstellen Konfigurationsdateien 108 8 3 Schnittstellen Kontro
67. Verzeichnis kann hilfreich sein 4 1 1 etc sysconfig amd Die Datei etc sysconfig amd enth lt verschiedene Parameter die von amd verwendet werden und das automatische Mounten und Unmounten von Dateisystemen erm glichen 4 1 2 etc sysconfig apmd Die Datei etc sysconfig apmd wird von apmd verwendet um zu erfahren welche Prozesse nach den Befehlen suspend resume gestartet gestoppt ge ndert werden sollen In ihr ist festgelegt ob apmd beim Starten aktiviert oder deaktiviert wird je nachdem ob Ihre Hardware Advanced Power Mana gement APM unterst tzt bzw ob Sie diese Funktionalit t benutzen m chten oder nicht apm ist ein Daemon mit Kontrollfunktion der im Linux Kernel mit einem Power Management Code arbeitet Er kann darauf hinweisen dass die Batterie fast leer ist falls Sie ein Laptop verwenden und andere Einstellungen im Bereich Stromversorung 4 1 3 etc sysconfig authconfig Die Datei etc sysconfig authconfig legt die Art der Authorisierung fest die auf dem Rechner verwendet werden soll Sie enth lt mindestens eine der folgenden Zeilen USEMD5 lt Wert gt wobei lt Wert gt einer der folgenden Werte ist yes MDS wird zur Authentifizierung verwendet no MDS wird nicht zur Authentifizierung verwendet Kapitel 4 Das Verzeichnis sysconfig 33 USEKERBEROS lt Wert gt wobei lt Wert gt einer der folgenden Werte ist yes Kerberos wird zur Authentifizierung verwendet no Kerberos wi
68. Weg Anderungen an der Konfiguration wirksam werden zu lassen wenn die Konfigurationsdateien von NFS bearbeitet wurden Um den Server neu zu starten geben Sie als Root ein sbin service nfs restart Die condrestart conditional restart Option startet nfs nur wenn es zu diesem Zeitpunkt aus gef hrt ist Diese Option ist f r Skripts hilfreich weil sie den Deamon nicht startet wenn er nicht ausgefiihrt ist Um den Server bedingt neu zu starten geben Sie als Root ein sbin service nfs condrestart Um die NFS Server Konfigurationsdatei neu zu laden ohne den Dienst neu zu starten geben Sie als Root ein sbin service nfs reload Standardm ig startet dernfs Dienst nicht automatisch zum Zeitpunkt des Hochfahrens Um das NFS so zu konfigurieren dass es beim Hochfahren automatisch startet verwenden Sie eine Initscript Utility z B sbin chkconfig sbin ntsysv oder das Services Configuration Tool Programm Siehe Kapitel Controlling Access to Services in Red Hat Enterprise Linux Handbuch zur System Administration fiir weitere Informationen tiber diese Tools 9 3 NFS Server Konfiguration Es gibt drei Wege einen NFS Server unter Red Hat Enterprise Linux zu konfigurieren die Verwen dung von NFS Server Configuration Tool redhat config nfs die manuelle Ver nderung der Konfigurationsdatei etc exports oder die Verwendung des usr sbin export fs Befehls F r Anweisungen bez glich des NFS Server Configuration Tool siehe Kap
69. allgemeines README Dokument und sonstige Informationen e LDAP bezogene man Seiten Es gibt eine Reihe von man Seiten f r die verschiedenen App likationen und Konfigurationsdateien die im Bezug zu LDAP stehen Die Folgende ist eine Liste einiger der wichtigeren man Seiten Client Applikationen man ldapadd Beschreibt das Hinzuf gen von Eintr gen zum LDAP Verzeichnis man ldapdelete Beschreibt das L schen von Eintr gen aus dem LDAP Verzeichnis e man ldapmodify Beschreibt das Bearbeiten von Eintr gen im LDAP Verzeichnis man ldapsearch Beschreibt wie nach Eintr gen im LDAP Verzeichnis gesucht werden kann e man ldappasswd Beschreibt wie ein Passwort eines LDAP Benutzers gesetzt oder ge ndert werden kann Server Applikationen man slapd Beschreibt zur Verf gung stehende Befehlszeilenoptionen f r den LDAP Server man slurpd Beschreibt zur Verf gung stehende Befehlszeilenoptionen f r den LDAP Replication Server Administrative Applikationen man slapadd Beschreibt zur Verf gung stehende Befehlszeilenoptionen fiir dieses Tool verwendet zum Hinzuf gen von Eintr gen zur slapd Datenbank e man slapcat Beschreibt zur Verf gung stehende Befehlszeilenoptionen f r dieses Tool verwendet zur Erzeugung einer LDIF Datei von einer slapd Datenbank man slapindex Beschreibt zur Verf gung stehende Befehlszeilenoptionen f r dieses Tool verwendet zur Erzeugung eines auf
70. an dass der Kernel keine Netzwerk Pakete weiterleitet Mit dem Befehl echo zum ndern des Wertes der Datei ip_forwardin 1 k nnen Sie das Weiterleiten von Paketen sofort einschalten 0 Jam Eine weiterer Befehl zur nderung von Einstellungen im Unterverzeichnis proc sys ist sbin sysct1 Weitere Informationen zu diesem Befehl erhalten Sie unter Abschnitt 5 4 Eine Liste einiger Kernel Konfigurationsdateien die in proc sys enthalten sind finden Sie unter Abschnitt 5 3 9 5 2 Dateien im Hauptverzeichnis des proc Dateisystems Im Folgenden finden Sie eine Liste von einigen n tzlichen virtuellen Dateien im Top Level des Ver zeichnisses proc Kapitel 5 Das proc Dateisystem 47 Anmerkung In den meisten F llen entspricht der Inhalt der in diesem Abschnitt aufgef hrten Dateien nicht denen in Ihrem Rechner Dies liegt daran dass sich die meisten Informationen auf die Hardware beziehen auf der Red Hat Enterprise Linux l uft 5 2 1 proc apm Diese Datei bietet Informationen ber den Status des Advanced Power Management APM Systems und wird vom Befehl apm benutzt Die Ausgabe dieser Datei auf einem System ohne Akku das an das Stromnetz angeschlossen ist sieht hnlich dieser Ausgabe aus 1 16 1 2 0x07 0x01 Oxff 0x80 1 1 Wenn Sie den Befehl apm v auf diesen Systemen ausf hren wird Folgendes angezeigt APM BIOS 1 2 kernel driver 1 16 AC on line no system battery Auf nicht batteriebetriebenen Systemen kann
71. an die Daemonen smbd und nmbd zu bertragen Mit Hilfe des smbd Daemonen k nnen Windows Clients im Netzwerk Verbindungen mit gemeinsamen Dateien herstellen Mit dem nmbd Daemonen steht Ihnen NetBIOS mit IP Naming Diensten zur Verfiigung Weitere Informationen zu den Parametern die fiir diese Datei zur Verf gung stehen erhalten Sie auf den man Seiten von smbd Standardm ig sind smbd und nmbd so eingestellt dass sie im Daemon Modus ausgef hrt werden 42 Kapitel 4 Das Verzeichnis sysconfig 4 1 31 etc sysconfig sendmail Die Datei etc sysconfig sendmail erm glicht das Versenden von Nachrichten an einen oder mehrere Empf nger wobei die Nachrichten je nach Bedarf ber beliebige Netzwerke geroutet wer den k nnen In dieser Datei sind die Standardwerte f r die Ausf hrung der Sendmail Anwendung festgelegt Standardm ig l uft es als Hintergrund Daemon und wird einmal st ndlich berpr ft f r den Fall dass sich Nachrichten angesammelt haben Folgende Werte k nnen verwendet werden DAEMON lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes Sendmail sollte so konfiguriert werden dass er auf Port 25 eingehende Mails abfragt Bei yes werden die bd Optionen von Sendmail verwendet no Sendmail sollte nicht so konfiguriert werden dass es auf Port 25 eingehende Mails abfragt QUEUE 1h wird f r Sendmail als q oUEUE eingestellt Die q Option wird f r Sendmail nicht eingestellt wen
72. apm nicht viel mehr bewirken als den Rechner in den Standby Modus zu versetzen Der apm Befehl ist auf Laptops viel sinnvoller einzusetzen Das zeigt auch die folgende Ausgabe von cat proc apm Dies ist eine beispielhafte Ausgabe eines Laptops der mit dem Stromnetz verbunden ist 1 16 1 2 0x03 0x01 0x03 0x09 100 1 Wird das gleiche Laptop f r einige Minuten vom Stromnetz entfernt ndert sich der Inhalt der Datei apm wie folgt 1 16 1 2 0x03 0x00 0x00 0x01 99 1792 min Der Befehl apm v bietet eine informatievere Ausgabe wie Folgend APM BIOS 1 2 kernel driver 1 16 AC off line battery status high 99 1 day 5 52 5 2 2 proc cmdline Diese Datei zeigt die Parameter an die dem Linux Kernel zum Startzeitpunkt bergeben wurden Eine proc cmdline Beispieldatei sieht wie folgt aus ro root dev hda2 ro zeigt an dass der Kernel read only von der zweiten Partition auf dem ersten IDE Device dev hda2 geladen wurde 5 2 3 proc cpuinfo Diese virtuelle Datei identifiziert den von Ihrem System verwendeten Prozessor Eine typische Aus gabe sieht zum Beispiel wie folgt aus processor 0 vendor_id Genuinelntel 48 Kapitel 5 Das proc Dateisystem cpu family 15 model 2 model name Intel R Xeon TM CPU 2 40GHz stepping 7 cpu MHz 2392 371 cache size 512 KB physical id 0 siblings 2 runqueue 0 fdiv_bug no hlt_bug no f00f_bug no coma_bug no fpu yes fpu_exception yes cpu
73. beginnen 10 5 30 CacheNegotiatedDocs Standardm ig fordert Ihr Web Server Proxyserver auf keine Dokumente im Cache zu halten die auf der Grundlage des Inhalts bertragen wurden d h sie k nnen nach einer gewissen Zeit oder aufgrund der Eingabe des Anforderers ge ndert werden Wenn Sie CacheNegot iatedDocs auf on setzen wird diese Funktion deaktiviert und Proxyserver k nnen Dokumente im Cache halten 10 5 31 TypesConfig TypesConfig gibt die Datei an die die Standardliste der MIME Type Zuordnungen definiert Dateinamenerweiterungen f r Inhaltstypen Die Standarddatei f r TypesConfig ist etc mime types Es wird empfohlen zum Hinzuf gen von MIME Type Zuordnungen die Datei etc mime typesnicht zu editieren sondern die Anweisung AddType zu verwenden Weitere Informationen ber AddType finden Sie in Abschnitt 10 5 54 10 5 32 DefaultType DefaultType definiert einen Standardinhaltstyp den der Web Server f r Dokumente verwendet deren MIME Types nicht bestimmt werden k nnen Die Standardeinstellung f r Ihren Web Server ist dass bei Dateien mit einem nicht genau zu bestimmenden Inhaltstyp ein Standardtext Inhaltstyp angenommen wird 10 5 33 HostnameLookups HostnameLookups kann auf on off oder double eingestellt werden Wenn Sie HostnameLoo kups erlauben durch Einstellung auf on wird vom Server die IP Adresse f r jede Verbindung die ein Dokument von Ihrem Web Server anfordert automatisch aufgel st Die Aufl s
74. beginnt wird diese als Dateiname behandelt Dies ist n tzlich wenn Regeln welche eine gro e Anzahl von Hosts angeben n tig sind Das folgende Beispiel nimmt Bezug auf TCP Wrappers zur Datei etc telnet hosts f r alle Telnet Verbindungen in telnetd etc telnet hosts Andere weniger verwendete Patterns werden auch von TCP Wrappers angenommen Sehen Sie die man 5 Seite von hosts_access f r mehr Information Mike Seien Sie sehr vorsichtig beim Verwenden von Host und Domain Namen Ein Angreifer k nnte ver schiedene Tricks anwenden um die richtige Namensaufl sung zu umgehen Zus tzlich verhindert eine Unterbrechung im DNS Service authorisierte Benutzer davon Netzwerk Services zu verwen den Es ist am besten IP Adressen zu verwenden wenn immer dies m glich ist 216 Kapitel 14 TCP Wrappers und xinetd 14 2 1 3 Portmap und TCP Wrappers Verwenden Sie keine Hostnamen wie portmap beim Erzeugen von Zugriffskontrollregeln f r port map da dessen Implementation von TCP Wrappers Host Look Ups nicht unterstiitzt Aus diesem Grund verwenden Sie ausschlie lich das Schl sselwort ALL wenn Sie Hosts in hosts allow oder hosts deny angeben Au erdem werden nderungen zu portmap Zugriffskontrollregeln nicht sofort wirksam ohne dass der portmap Service neu gestartet wird Da der Betrieb von weit verbreiteten Diensten wie NIS und NFS von portmap abh ngt bedenken Sie zuerst diese Einschr nkungen 14 2 1 4 Operatoren Die Z
75. dem Inhalt einer slapd Datenbank basierenden Index man slappasswd Beschreibt zur Verf gung stehende Befehlszeilenoptionen f r dieses Tool verwendet zur Erzeugung von Benutzerpassw rtern f r LDAP Verzeichnisse 198 Kapitel 12 Lightweight Directory Access Protocol LDAP Konfigurationsdateien man ldap conf Beschreibt das Format der und die in der Konfigurationsdatei von LDAP Clients verf gbaren Optionen e man slapd conf Beschreibt das Format und die Optionen der sowohl von LDAP Server Applikationen slapd und slurpd als auch von LDAP administrativen Tools slapadd slapcat und slapindex referenzierten Konfigurationsdatei 12 9 2 Hilfreiche Websites http www openldap org Homepage des OpenLDAP Projekts Auf dieser Website finden Sie u erst viele Informationen zum Konfigurieren von OpenLDAP http www redhat com mirrors LDP HOWTO LDAP HOWTO html Ein lteres aber immer noch relevantes LDAP HOWTO http www padl com Entwickler von nss_ldap und pam_ldap neben vielen anderen hilfre ichen LDAP Tools http www kingsmountain com ldapRoadmap shtml Jeff Hodges LDAP Road Map enth lt Links f r verschiedene hilfreiche FAQs und aktuelle Neuigkeiten ber das LDAP Protokoll http www newarchitectmag com archives 2000 05 wilcox Ein hilfreicher Einblick in das Ver walten von Gruppen in LDAP http www ldapman org articles Artikel zur Einf hrung in LDAP einschli
76. den Namen aus einer fr heren Abfrage enthalten Wenn der Nameserver die Antwort nicht in seiner Resolver Bibliothek findet wird er andere Nameserver die sogenannten Root Nameserver verwen den um festzulegen welche Nameserver f r diesen FQDN autorisiert sind Mit dieser Information wird anschlie end bei den autorisierten Nameservern dieser Name abgefragt um die IP Adresse fest zustellen Bei einem Reverse Lookup wird die gleiche Prozedur durchgef hrt allerdings mit dem Unterschied dass hier eine unbekannte IP Adresse und nicht ein Name abgefragt wird 11 1 1 Nameserver Zonen Im Internet kann ein FQDN eines Hosts in verschiedene Bereiche eingeteilt werden Diese Bereiche werden in einer Hierarchie hnlich einem Baum mit Hauptstamm prim ren Abzweigungen sekun d ren Abzweigungen usw angeordnet Betrachten Sie den folgenden FQDN 168 Kapitel 11 Berkeley Internet Name Domain BIND bob sales example com Wenn Sie sehen m chten wie ein FQDN aufgel st wurde um eine IP Adresse fiir ein bestimmtes System zu finden miissen Sie den Namen von rechts nach links lesen Jede Ebene der Hierarchie ist durch Punkte voneinander getrennt In diesem Beispiel bestimmt com die Top Level Domain fiir diesen FQDN Der domain Name ist eine Subdomain von com mit sales als Subdomain von example Ganz links im FQDN befindet sich der Hostname bob der einen bestimmten Computer identifiziert Mit Ausnahme des Hostnamens wird jeder Bereich als Z
77. den ProxyRequests und jeder Zeile in der lt Proxy gt Stanza Setzen Sie die ProxyRequests Anweisung auf On und geben Sie an welchen Domains Zugriff zum Server in der Allow from Anweisung der lt Proxy gt Stanza erlaubt sind 10 5 61 Proxy lt Proxy gt and lt Proxy gt tags create a container which encloses a group of configuration directives meant to apply only to the proxy server Many directives which are allowed within a lt Directory gt container may also be used within lt Proxy gt container 10 5 62 ProxyVia Der Befehl ProxyVia legt f r eine HTTP Via Zeile fest ob diese zusammen mit Anforderungen oder Antworten gesendet wird die ber den Apache Proxyserver laufen Der Header Via enth lt den Host Namen wenn ProxyVia auf On eingestellt ist den Host Namen und die Apache HTTP Server Version bei Einstellung auf Full alle Via Zeilen werden unver ndert weitergegeben bei Einstellung auf off und die Via Zeilen werden entfernt bei Einstellung auf Block 160 Kapitel 10 Apache HTTP Server 10 5 63 Cache Anweisungen Eine Reihe von Cache Anweisungen sind in in der Standard Konfigurationsdatei von Apache HTTP Server enthalten In den meisten Fallen reicht es aus das Hash Symbol vom Anfang der Zeile zu entfernen Die folgenden sind jedoch einige wichtigere Cache Anweisungen CacheEnable Gibt an ob der Cache ein Platten Speicher oder Datei Cache ist Als Vorgabe konfiguriert CacheEnable einen Platten Cache f
78. den Rahmen dieses Dokumentes sprengen die nderung hat jedoch Auswirkun gen wenn Sie PATH_INFO verwendet haben Darin enthalten sind Pfad Informationen die dem ech ten Dateinamen angeh ngt werden in einem Dokument das von einem jetzt als Filter implemen tierten Modul gehandhabt wird Das Kernmodul das die Anfrage anfangs gehandhabt hat versteht PATH_INFO standardm ig nicht und wird 404 Not Found Fehler ausgeben bei Anfragen die der artige Informationen enthalten Sie k nnen die Anweisung AcceptPathInfo verwenden um das Kernmodul dazu zu zwingen Anfragen mit PATH_INFO zu akzeptieren Untenstehend ein Beispiel dieser Anweisung AcceptPathInfo on Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod core html acceptpathinfo http httpd apache org docs 2 0 handler html http httpd apache org docs 2 0 filter html Kapitel 10 Apache HTTP Server 139 10 2 4 1 Das Modul mod_ss1 Die Konfiguration fiir mod_ssl wurde von httpd conf in die Datei etc httpd conf d ssl conf verschoben Damit diese Datei geladen wird und dass folglich mod_ss1 funktioniert m ssen Sie die Anweisung Include conf d conf wie in Abschnitt 10 2 1 3 beschrieben in Ihrer Datei httpd conf haben ServerName Anweisungen in virtuellen Hosts von SSL m ssen die Port Nummer ausdr cklich an geben Folgendes ist ein Beispiel einer Apache HTTP Server 1 3 A
79. der Konfigurationsdatei Wird die Konfigurationsdatei gefunden wird diese verwendet um die Men liste zu erstellen und die Bootmen oberfl che anzuzeigen Kann die Konfigurationsdatei nicht gefunden oder nicht gelesen werden l dt GRUB die Befehlszei lenoberfl che in welcher der Benutzer Befehle eingeben kann um den Bootprozess abzuschliessen Wenn die Konfigurationsdatei ung ltig ist druckt GRUB den Fehler und fordert zur Eingabe auf Dies kann sehr n tzlich sein da die Benutzer auf diese Weise genau sehen wo das Problem aufgetreten ist und die Datei entsprechend korrigieren k nnen Durch Dr cken einer beliebigen Taste wird die Men oberfl che erneut geladen wo die entsprechende Men option bearbeitet und der Fehler gem der Angabe von GRUB korrigiert werden kann Schl gt die Korrektur fehl meldet GRUB den Fehler und die Men oberfl che wird neu geladen 2 6 GRUB Befehle GRUB bietet eine Reihe n tzlicher Befehle auf seiner Befehlszeilenoberfl che Nach dem Namen einiger dieser Befehle k nnen Optionen eingegeben werden Diese Optionen sind vom Befehl und anderen Optionen auf derselben Zeile durch Leerzeichen zu trennen In der folgenden Liste sind n tzliche Befehle aufgef hrt boot Bootet das Betriebssystem oder den Kettenloader das der zuletzt geladen wurde Kapitel 2 Bootloader 17 chainloader lt Dateiname gt L dt die angegebene Datei als Kettenloader Wenn sich die Datei im ersten Sektor der
80. des Passworts verwendet e session Diese Modulschnittstelle wird nachdem der Benutzer authentifiziert wurde dazu ver wendet dessen Session zu verwalten Das Modul kann auch zus tzliche f r den Zugriff ben tigte Tasks durchf hren wie beispielsweise das Mounten des Home Verzeichnisses des Benutzers oder die Aktivierung seiner Mailbox e Anmerkung Ein einzelnes Modul kann jeglichen oder alle der o g Modul Schnittstellen ansprechen Zum Beispiel pam_unix so besitzt Komponenten die alle vier Modularten ansprechen In einer PAM Konfigurationsdatei wird als Erstes die Modul Schnittstelle bestimmt Eine solche typi sche Zeile in einer Konfiguration k nnte wie folgt aussehen auth required pam_unix so Dies weist PAM an die aut h Schnittstelle des pam_unix so Moduls zu verwenden 13 3 1 1 Modul Schnittstellen stapeln Anweisungen der Modul Schnittstellen k nnen gestapelt werden so dass mehrere Module zu einem Zweck verwendet werden k nnen Deshalb ist die Reihenfolge in der die Module aufgelistet werden f r den Authentifikationsprozess sehr wichtig Das Stapeln macht es dem Administrator einfacher zu erkennen dass bereits einige Voraussetzungen erf llt sind bevor die Benutzerauthentifizierung stattgefunden hat Zum Beispiel verwendet rlogin in der Regel f nf gestapelte auth Module wie in der PAM Konfigurations datei zu sehen auth required pam_nologin so auth required pam_securetty so auth required pam_env so
81. die Authentifizierung fehl Kapitel 13 Pluggable Authentication Modules PAM 205 Anmerkung In diesem Beispiel werden alle drei auth Module berpr ft auch wenn schon beim ersten auth Modul Fehler auftreten Der Grund daf r ist wenn ein Benutzer wei weshalb seine Authentifizierung abgelehnt wurde ist es f r ihn einfacher diese zu umgehen account required pam_unix so Dieses Modul bernimmt jegliche Pr fung des Benutzeraccounts Wenn z B Shadow Passw rter ak tiviert worden sind berpr ft das Modul pam_unix so ob der Account abgelaufen ist oder ob der Benutzer keine Passwort nderung vorgenommen hat und die Nachfrist f r eine Anderung abgelaufen ist password required pam_cracklib so retry 3 Ist ein Passwort abgelaufen fordert die Passwort Komponente des pam_cracklib so Moduls zur Eingabe eines neuen Passworts auf Zus tzlich wird das neue Passwort getestet um festzustellen ob es einfach durch ein W rterbuch basiertes Programm zum Erkennen von Passw rtern erkannt werden kann Schl gt der Test einmal fehl hat der Benutzer aufgrund des Arguments ret ry 3 zwei weitere M glichkeiten ein besseres Passwort zu erstellen password required pam_unix so shadow nullok use_authtok Diese Zeile legt fest dass bei einer nderung des Benutzer Passworts durch das Programm die password Komponente des pam_unix so Moduls verwendet wird Das passiert nur wenn der Teil auth des pam_unix so Moduls bestimmt dass das Passwort
82. durch eine Benutzerraum Applikation hinzugef gt RETURN H lt die berpr fung der bereinstimmung des Pakets mit Regeln in der aktuellen Chain an Wenn das Paket mit einem RETURN Ziel mit einer Regel in einer Chain bereinstimmt die von einer anderen Chain aufgerufen wurde wird das Paket an die erste Chain zur ckgesendet damit die berpr fung wieder dort aufgenommen werden kann wo sie unterbrochen wurde Wenn die RETURN Regel in einer integrierten Chain verwendet wird und das Paket nicht zu seiner vorherigen Chain zur ckkehren kann entscheidet das Standardziel f r die aktuelle Chain welche Ma nahme getroffen wird Zus tzlich zu diesen Standardzielen k nnen auch noch verschiedene andere Ziele mit Erweiterungen verwendet werden sogenannte Zielmodule Weitere Informationen zu bereinstimmungsoptionsmo dulen finden Sie unter Abschnitt 15 3 4 4 Es gibt viele erweiterte Zielmodule von denen sich die meisten auf bestimmte Tabellen oder Situa tionen beziehen Einige der bekanntesten Zielmodule die standardm ig in Red Hat Enterprise Linux enthalten sind LOG Protokolliert alle Pakete die dieser Regel entsprechen Da die Pakete vom Kernel pro tokolliert werden bestimmt die etc syslog conf Datei wo diese Protokolldateien geschrieben werden Standardm ig werden sie in der var log messages Datei abgelegt Nach dem LOG Ziel k nnen verschiedene Optionen verwendet werden um die Art des Protokolls zu bestimmen
83. e 0 Anhalten 1 Einzelbenutzer Textmodus e 2 Nicht belegt benutzerspezifisch 3 Vollst ndiger Mehrbenutzer Textmodus e 4 Nicht belegt benutzerspezifisch 5 Vollst ndiger Mehrbenutzer graphischer Modus mit einem X basierten Anmeldebildschirm e 6 Neu booten Im allgemeinen arbeitet Red Hat Enterprise Linux auf Runlevel 3 oder Runlevel 5 und zwar jeweils im vollst ndigen Mehrbenutzermodus Die Runlevels 2 und 4 k nnen vom Benutzer definiert werden da diese ja nicht verwendet werden Der Standard Runlevel wird in etc inittab bestimmt Um f r Ihr System den Standard Runlevel herauszufinden m ssen Sie eine Zeile suchen die der unten angegebenen etc inittab hnelt id 5 initdefault Der standardm ige Runlevel im obigen Beispiel ist f nf wie die Nummer hinter dem Doppelpunkt angibt Um diesen zu ndern bearbeiten Sie etc inittab als root wamung Seien Sie beim Bearbeiten von etc inittab vorsichtig Einfache Schreibfehler k nnen dazu f h ren dass das System nicht mehr booten kann Sollte dies vorkommen verwenden Sie entweder eine Bootdiskette treten Sie in den Einzelbenutzermodus ein oder geben Sie Rescue Modus ein um Ihren Computer zu booten und die Datei zu reparieren F r mehr Information zu Einzelbenutzer und Rescue Modus sehen Sie Kapitel Basic System Reco very im Red Hat Enterprise Linux Handbuch zur System Administration Es ist m glich den Default Runle
84. ein g ltiger Domainname eingetragen werden Zum Beispiel suffix dc example dc com Der Eintrag root dn ist der eindeutige Name Distinguished Name kurz DN f r einen Benutzer der keinen Einschr nkungen durch Parameter der Zugriffssteuerung oder Benutzerverwaltung unterliegt die im LDAP Verzeichnis f r Vorg nge festgelegt sind Der Benutzer root dn ist sozusagen Root f r das LDAP Verzeichnis Die rootdn Zeile ist zu ndern in rootdn cn root dc example dc com Wenn Sie vorhaben dass LDAP Verzeichnis bers Netzwerk zu verwalten ndern Sie die root pw Zeile indem Sie den Standardwert mit einem verschliisselten Passwort ersetzen Um ein verschliis seltes Passwort zu erzeugen geben Sie den folgenden Befehl ein slappasswd Sie werden dazu aufgefordert ein Passwort einzugeben und durch eine zweite Eingabe zu best tigen Danach gibt das Programm das verschl sselte Passwort am Terminal aus Als n chstes kopieren Sie das neu erzeugte verschl sselte Passwort in die Datei etc openldap slapd conf in eine der rootpw Zeilen und entfernen Sie das Hash Symbol Nach Abschluss sollte die rootpw Zeile etwa wie folgt aussehen rootpw SSHA vv2y ti6V6esazrIv70xSSnNAJEl8bb2u AB wamung LDAP Passw rter einschlie lich der in etc openldap slapd conf angegebenen rootpw Direktive werden als Klartext ber das Netzwerk gesendet es sei denn Sie aktivieren die TLS Verschl sselung Um TLS Verschl sselung zu aktivieren
85. eine ausf hrliche bersicht ber Kerberos redhat Kapitel 17 SSH Protokoll SSH oder Secure SHell ist ein Protokoll das die sichere Kommunikation zwischen zwei Systemen mittels einer Client Server Architektur erm glicht und ber das Benutzer sich entfernt in ein Server Host System einloggen k nnen Im Gegensatz zu anderen Remote Kommunikationsprotokollen wie FTP oder Telnet verschl sselt SSH die Anmeldung Auf diese Weise k nnen Eindringlinge keine unverschliisselten Passw rter erkennen SSH wurde als Ersatz f r ltere weniger sichere Terminalanwendungen die zum Anmelden in Remote Hosts wie telnet oder rsh verwendet werden entwickelt Das Programm scp ersetzt ltere Programme wie rep die zum Kopieren von Dateien zwischen Hosts verwendet wurden Da diese lteren Programme Passw rter zwischen dem Client und dem Server nicht verschl sseln sollten Sie m glichst vermeiden diese zu verwenden Die Verwendung von sicheren Methoden zum Anmelden verringert das Sicherheitsrisiko des Client und des Host Systems 17 1 SSH Merkmale Das SSH Protokoll liefert folgende Schutzm glichkeiten Nach einer ersten Verbindung pr ft der Client ob er sich auch in der Folge mit dem gleichen Server verbindet Der Client bertr gt die Authentifizierungsinformationen in verschl sselter Form an den Server unter Verwendung von 128 Bit Verschl sselung Alle w hrend der Verbindung gesendeten und empfangenen Daten sind mit de
86. einen bestimmten Dienst verifizieren Auch Berechtigungsnachweis genannt Ticket Granting Server TGS Ein Server der Benutzern der Reihe nach Tickets f r den Zugriff auf den gew nschten Service ausgibt TGS wird blicherweise auf demselben Host wie KDC ausgef hrt Ticket Granting Ticket TGT Ein spezielles Ticket das es dem Client erm glicht zus tzliche Tickets zu erhalten ohne diese beim KDC anfordern zu m ssen Unverschl sseltes Passwort Ein im Klartext lesbares Passwort 16 3 Funktionsweise von Kerberos Kerberos unterscheidet sich von Benutzername Passwort Authentifizierungsmethoden Die Authenti fizierung erfolgt nicht von jedem Benutzer zu jedem Netzwerk Service Kerberos verwendet stattdes sen die symmetrische Verschl sselung und einen vertrauensw rdigen Dritten das so genannte Key Distribution Center KDC um Benutzer auf einem Netzwerk f r mehrere Dienste zu authentifi zieren Nach der Authentifizierung speichert Kerberos ein f r diese Sitzung spezifisches Ticket auf dem Rechner des Benutzers Kerberisierte Dienste suchen dieses Ticket bevor sie den Benutzer zur Authentifizierung mittels eines Passwortes auffordern Wenn sich ein Benutzer in einem kerberisierten Netzwerk an seiner Workstation anmeldet wird sein Principal f r die Anforderung eines Ticket Granting Ticket TGT an den Authentifizierungs Server AS gesendet Diese Anforderung kann entweder vom Anmeldeprogramm also f r den Benutzer
87. entweder ein Verzeichnis abfragen oder Informationen hochladen Im Fall einer Abfrage antwortet der Server entweder auf die Abfrage oder wenn er nicht lokal antworten kann verweist er den Anfrage Upstream an einen bergeordneten LDAP Server weiter der die Antwort bernimmt Versucht die Clientanwendung Informationen in ein LDAP Verzeichnis zu laden pr ft der Server ob der Benutzer zum Ausf hren der nderung berechtigt ist und f gt dann die Informationen hinzu bzw aktualisiert sie In diesem Kapitel wird die Konfiguration und Verwendung von OpenLDAP 2 0 einer Open Source Implementierung der LDAPv2 und LDAPv3 Protokolle behandelt 12 1 Warum LDAP Der Hauptvorteil von LDAP ist die Verdichtung von bestimmten Informationen f r eine gesamte Or ganisation in ein zentrales Repository So kann LDAP zum Beispiel f r das Verwalten von Benutzerli sten f r alle Gruppen einer Organisation als ein zentrales Verzeichnis verwendet werden auf das vom gesamten Netzwerk aus zugegriffen werden kann Und da LDAP SSL Secure Sockets Layer und TLS Transport Layer Security unterst tzt k nnen sensible Daten vor neugierigen Augen gesch tzt werden LDAP unterst tzt auch viele Backend Datenbanken in denen die Verzeichnisse gespeichert werden Die Administratoren verf gen hierdurch ber die notwendige Flexibilit t eine Datenbank bereitzu stellen die f r die Informationsarten die der Server verbreiten soll optimal angepasst ist Des Weite
88. f r Red Hat Enterprise Linux aufbewahrt werden Dieses Kapitel spricht einige der Dateien im Verzeichnis etc sysconfig sowie deren Funktionen und deren Inhalt an Die Information in diesem Kapitel erhebt keinen Anspruch auf Vollst ndigkeit da viele der Dateien eine Reihe von Optionen haben die nur in sehr spezifischen F llen verwendet werden 4 1 Dateien im Verzeichnis etc sysconfig Folgende Dateien befinden sich normalerweise in etc sysconfig amd apmd e authconfig clock desktop e devlabel dhcpd e firstboot gpm e harddisks e hwconf i118n e init e ip6tables config e iptables config e irda e keyboard e kudzu mouse named e netdump e network e ntpd pcmcia e radvd e rawdevices 32 Kapitel 4 Das Verzeichnis sysconfig redhat config securitylevel e redhat config users e redhat logviewer e samba e sendmail e spamassassin e squid tux vncservers e xinetd Anmerkung Sollten einige dieser Dateien nicht im Verzeichnis etc sysconfig enthalten sein sind die entsprechenden Programme eventuell nicht installiert Im Folgenden eine Beschreibung dieser Dateien Dateien die hier nicht aufgelistet sind sowie extra Dateioptionen k nnen in der usr share doc initscripts lt Versionsnummer gt sysconfig txt Datei ersetzen Sie lt Versionsnummer gt mit der Version des initscripts Paketes gefunden werden Auch ein Blick in die Initscripts im etc rc d
89. geschrieben wird lt group name gt Dadurch bernimmt der NIS Server die Kontrolle f r den Zugriff auf diese exportierten Dateisysteme und Benutzer k nnen ohne Auswirkung auf etc exports zu einer NFS Gruppe hinzugef gt oder aus einer solchen entfernt werden etc exports ben tigt in seiner einfachsten Form nur die Festlegung des Verzeichnisses das ex portiert wird und den Host der es verwenden kann Z B exported directory bob example com In diesem Beispiel kann bob example com exported directory mounten Weil in diesem Beispiel keine Optionen festgelegt wurden treten die folgenden NFS Optionen in Kraft ro Schreibgesch tzte Mounts des exportierten Dateisystems Remote Hosts k nnen die Daten die auf diesem Dateisystem gemeinsam verwendet werden nicht ver ndern Wenn Sie zulassen m chten dass Hosts in dem Dateisystem nderungen vornehmen m ssen Sie die Option rw ver wenden lesen und schreiben async Erm glicht dem Server in unregelm igen Abst nden Daten auf die Platte zu schreiben Diese Einstellung funktioniert am besten wenn das exportierte Dateisystem schreibgesch tzt ist Wenn jedoch ein Host ein Dateisystem im beschreibbaren Modus ndert k nnen im Fall eines 124 Kapitel 9 Netzwerk Dateisystem Network File System NFS Absturzes des Servers Daten verloren gehen Mit der Option sync werden alle Dateien auf der Platte gesichert bevor die Schreibanfrage des Clients vervollst ndigt w
90. gliche Zahl von Daten in Bytes die ein Frame bertragen kann die Header Information nicht mitgez hlt Bei einigen Dial up Situationen hat die Einstellung dieses Werts auf 576 zur Folge dass weniger Pakete ausgelassen werden DROP und die Durchl ssigkeit f r Verbindungen leicht erh ht wird NAME lt Name gt wobei lt Name gt sich auf den Oberbegriff der Konfigurationssammlung f r Dialup Verbindungen bezieht e PAPNAME lt Name gt wobei lt Name gt f r den Benutzernamen steht der w hrend der nderung des Password Authentication Protocol PAP vergeben wurde und Ihnen die Verbindung zu einem Remote System erm glicht PERSIST lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann yes Diese Schnittstelle sollte st ndig aktiviert sein auch wenn nach einem Abbruch das Modem deaktiviert wird no Diese Schnittstelle sollte nicht st ndig aktiv sein e REMIP lt Adresse gt wobei lt Adresse gt die IP Adresse des Remote Systems ist Wird blicher weise nicht festgelegt e WVDIALSECT lt Name gt wobei lt Name gt dieser Schnittstelle in etc wvdial conf eine Anw hl Konfiguration zuweist die die anzuw hlende Telefonnummer und andere wichtige Informationen f r die Schnittstelle enth lt 8 2 6 Weitere Schnittstellen Weitere bliche Schnittstellen Konfigurationsdateien die diese Optionen verwenden sind die folgen den e ifcfg lo Ein lokale Loopback Schnittstelle wird oft zum Tes
91. ig sind alle Transfer Anfragen zul ssig e allow update Bestimmt die Hosts die Informationen in ihrer Zone dynamisch aktualisieren d rfen Standardm ig sind Anfragen f r dynamische Updates nicht zul ssig Wenn Sie zulassen dass Hosts Informationen ber ihre Zonen aktualisieren sollten Sie unbedingt sicherstellen dass Sie diese Option nur aktivieren wenn der Host absolut sicher ist Es ist besser die Updates der Zonen Records manuell von einem Administrator durchf hren zu lassen und den named Service soweit m glich neu zu laden Kapitel 11 Berkeley Internet Name Domain BIND 173 e file Bestimmt den Namen der Datei im named Arbeitsverzeichnis die die Zone Konfigurationsdateien enth lt Standardm ig ist dies var named masters Gibt die IP Adressen an von denen authorit re Zoneninformationen erfragt werden k nnen Wird nur verwendet wenn die Zone als type slave spezifiziert ist notify Gibt an ob named den Slave Servern mitteilt da eine Zone ge ndert wurde Diese Direktive kennt die folgenden Optionen yes Informiert Slave Server no Informiert Slave Server nicht e explicit Informiert Slave Server nur dann wenn diese in einer also notify List inner halb des Zonen Statement angegeben sind type Gibt den Typ der Zone an Folgend ist eine Liste der g ltigen Optionen forward Weist den Nameserver an alle Anfragen zu Informationen ber die Zone an andere
92. igen TCP Port 953 nach Loopback Adressen zu suchen und l sst rndc Befehle zu die vom lokalen Host ausgef hrt werden wenn der richtige Schl s sel angegeben wird Der lt key name gt bezieht sich auf die key Direktive die sich auch in der etc named conf Datei befindet Im n chsten Beispiel wird eine key Anweisung veranschaulicht key lt key name gt algorithm hmac md5 secret lt key value gt Kapitel 11 Berkeley Internet Name Domain BIND 181 de In diesem Beispiel benutzt lt key value gt einen HMAC MDS Algorithmus Mit dem nachfolgen den Befehl k nnen Sie Ihre eigenen Schl ssel unter Verwendung eines HMAC MDS Algorithmus erstellen dnssec keygen a hmac md5 b lt bit length gt n HOST lt key file name gt Es empfiehlt sich einen Schl ssel mit einer Gr e von mindestens 256 Bit zu erstellen Der Schl ssel der im lt key value gt Bereich gespeichert werden sollte kann in der Datei lt key file name gt welche von diesem Befehl erzeugt wurde gefunden werden AB wamung Da etc named conf von jedem gelesen werden kann ist es angeraten die key Anweisung in eine separate Datei auszulagern welche nur von root gelesen werden kann und eine include Anweisung zu verwenden um diese Datei einzubinden wie im folgenden Beispiel include etc rndc key 11 4 2 Konfigurieren von etc rndc conf Die key Anweisung ist die wichtigste in der Datei etc rndc conf key lt key name gt algorithm hmac md5
93. lt Kernelversion gt smp f r den SMP Kernel und Red Hat Enterprise Linux lt Kernelversion gt f r den Einzelprozessor angezeigt Treten beim SMP Kernel Probleme auf w hlen Sie einen nicht SMP Kernel beim Neustart aus Nachdem der Bootloader der 2 Phase den zu bootenden Kernel ermittelt hat sucht er die entsprechende Bin rdatei des Kernel im boot Verzeichnis Die eigentliche Bin rdatei ist die Datei boot vmlinuz 2 4 x xx die den Einstellungen des Bootloaders entspricht Informationen zum Benutzen des Bootloaders um dem Kernel Befehlszeilenargumente zu bergeben finden Sie unter Kapitel 2 Informationen zum ndern des Runlevels am GRUB oder LILO Prompt finden Sie unter Abschnitt 2 10 Anschlie end legt der Bootloader das entsprechende Image der initialen RAM Disk initrd im Speicher ab initrd wird vom Kernel zum Laden der nicht kompilierten Treiber verwendet die zum Starten des Systems erforderlich sind Dies ist besonders wichtig wenn Sie SCSI Festplatten haben oder das ext3 Dateisystem verwenden A wrarung Entfernen Sie auf gar keinen Fall das initrd Verzeichnis aus dem Dateisystem Wenn dieses Verzeichnis entfernt wird kann das System nicht starten und der Kernel meldet einen gravierenden Fehler Sobald der Kernel und das initrd Image in den Speicher geladen sind bergibt der Bootloader die Steuerung des Bootprozesses an den Kernel F r einen detaillierteren berblick des GRUB und des LILO Bootloader
94. mit einer EndSection Zeile Innerhalb jedes einzelnen Abschnitts befinden sich verschiedene Zeilen mit einem Optionsnamen und mindestens einem Optionswert der auch in Anf hrungszeichen angegeben sein kann Mit einem Hash Symbol beginnende Zeilen werden vom XFree86 Server nicht gelesen und stellen Kommentare f r den Benutzer dar 92 Kapitel 7 Das X Window System Einige der Optionen in etc X11 XF86Config akzeptieren boolesche Werte was die gegebene Funktion entweder ein oder aus schaltet Verwendbare boolesche Werte sind 1 on true oder yes Schaltet die Option ein 0 off false oder no Schaltet die Option aus Folgend sind einige der wichtigeren Abschnitte aufgelistet wie diese in einer typischen etc X11 XF86Config Datei vorkommen Genauere Informationen zur Konfigurationsdatei des XFree86 Server k nnen in den man Seiten zu XF86Config gefunden werden 7 3 1 2 ServerFlags Der optionale Abschnitt ServerFlags enth lt verschiedene allgemeine XFree86 Server Einstellungen Diese Einstellungen k nnen mit Optionen des Abschnitts ServerLayout berschrieben werden sehen Sie Abschnitt 7 3 1 3 f r genaueres Jeder Eintrag im Abschnitt ServerF lags ist jeweils in einer eigenen Zeile die mit dem Term Option beginnt und von einer in doppelte Anf hrungszeichen eingeschlossenen Option gefolgt wird Folgend ist ein Beispiel eines ServerFlags Abschnitts Section ServerFlags Option DontZap true EndSecti
95. nerhalb der Konfigurationsdatei der Kerberos V5 Authentication Server AS und Key Dis tribution Center KDC 250 Kapitel 16 Kerberos 16 7 2 Hilfreiche Webseiten http web mit edu kerberos www Kerberos The Network Authentication Protocol Webseite vom MIT http www nrl navy mil CCS people kenh kerberos fag html Die Seite mit den am h ufigsten gestellten Fragen zu Kerberos Frequently Asked Questions FAQ ftp athena dist mit edu pub kerberos doc usenix PS Die PostScript Version von Kerberos An Authentication Service for Open Network Systems von Jennifer G Steiner Clifford Neuman und Jeffrey I Schiller Dieses Dokument ist die Originalbeschreibung zu Kerberos http web mit edu kerberos www dialogue html Designing an Authentication System a Dia logue in Four Scenes 1988 von Bill Bryant verfasst 1997 von Theodore Ts o berarbeitet Das Dokument enth lt ein Gespr ch zwischen zwei Entwicklern die ber die Schaffung eines Authen tifizierungssystems in der Art von Kerberos nachdenken Dank seines Gespr chscharakters und dadurch dass zun chst die Grundlagen diskutiert werden eignet sich dieses Dokument besonders f r Benutzer die noch nicht mit Kerberos vertraut sind http www ornl gov jar HowToKerb html How to Kerberize your site ist eine gute Referenz zur Kerberisierung eines Netzwerks http www networkcomputing com netdesign kerbl html Kerberos Network Design Manual gibt
96. nicht in Reihenfolge gesetzt werden m ssen e tep option Versucht mit Hilfe von TCP spezifischen Optionen zu berpr fen die inner halb eines bestimmten Pakets aktiviert werden k nnen Diese bereinstimmungsoption kann eben falls mit dem Ausrufezeichen umgekehrt werden 15 3 4 2 UDP Protokoll F r das UDP Protokoll stehen folgende bereinstimmungsoptionen zur Verf gung p udp dport Spezifiziert den Zielport des UDP Pakets unter Verwendung von Dienstnamen Portnummer oder einer Reihe von Portnummern Die destination port bereinstimmungsoption kann an Stelle von dport benutzt werden Vgl hierzu die dport bereinstimmungsoption in Abschnitt 15 3 4 1 f r die verschiedenen Verwendungsmethoden dieser Option sport Bestimmt den Ursprungsport des UDP Pakets unter Verwendung von Dienstnamen Portnummer oder einer Reihe von Portnummern Die source port bereinstimmungsfunktion kann an Stelle von sport verwendet werden Vgl hierzu die dport bereinstimmungsfunktion in Abschnitt 15 3 4 1 f r die vielen unterschiedlichen Verwendungsm glichkeiten dieser Option 15 3 4 3 ICMP Protokoll Diese folgenden Match Optionen sind f r das Internet Control Message Protocol ICMP p icmp verfiigbar icmp type Bestimmt den Namen oder die Nummer des ICMP Typs der mit der Regel bereinstimmen soll Durch Eingabe des Befehls iptables p icmp h wird eine Liste aller g ltigen ICMP Namen angezeig
97. optionaler Eintrag welcher in Millimetern die physische Gr e des Bild schirmbereichs angibt HorizSync Gibt XFree86 die Bandbreite der Horizontalfrequenz in kHz an die mit dem Mon itor kompatibel ist Diese Werte werden vom XFree86 Server als Richtlinie verwendet so dass dieser wei ob bestimmte Werte eines Modeline Eintrags f r den Monitor zu verwenden sind VertRefresh Listet die vom Monitor unterst tzten vertikalen Bildwiederholfrequenzen in kHz auf Diese Werte werden vom XFree86 Server als Richtlinie verwendet so dass dieser wei ob bestimmte Werte eines Modeline Eintrags f r den Monitor zu verwenden sind Modeline Dient der optionalen Angabe der Grafikmodi des Monitors bei besonderen Aufl sun gen mit bestimmten Horizontal und Vertikalfrequenzen Sehen Sie die man Seiten zu xF86Config f r eine genauere Beschreibung der Modeline Eintr ge Option lt option name gt Ein optionaler Eintrag der weitere Parameter f r diesen Abschnitt angibt Ersetzen Sie lt option name gt mit einer g ltigen in den man Seiten zu XF86Config aufgelisteten Option 96 Kapitel 7 Das X Window System 7 3 1 8 Device Jeder Device Abschnitt konfiguriert eine Grafikkarte fiir das System Ein Device Abschnitt muss vorhanden sein Weitere k nnen bestehen einer f r jede auf dem Rechner installierte Grafikkarte Der beste Weg eine Grafikkarte einzurichten ist beim Konfigurieren von X w hrend des Installati onsp
98. proc execdomains Diese Datei zeigt die Execution Domains die gegenw rtig vom Linux Kernel unterst tzt werden und die jeweilige Anzahl unterst tzter Personalities Pers nlichkeiten an 0 0 Linux kernel Betrachten Sie Execution Domains als Pers nlichkeit eines bestimmten Betriebssystems Da ande re Bin r Formate wie Solaris UnixWare oder FreeBSD mit Linux verwendet werden k nnen kann ein Programmierer die Art ver ndern wie das Betriebssystem bestimmte Systemaufrufe dieser Bin r formate behandelt in dem er die Pers nlichkeit eines Tasks ndert Bis auf die Execution Domain PER_LINUX k nnen unterschiedliche Pers nlichkeiten als dynamisch ladbare Module implementiert werden 50 Kapitel 5 Das proc Dateisystem 5 2 7 proc fb Diese Datei enth lt eine Liste von Framebuffer Ger ten inklusive der Framebuffer Ger tenummer und dem zust ndigen Treiber Eine typische Ausgabe von proc fb f r ein System mit einem Framebuffer Ger t sieht wie folgt oder hnlich aus 0 VESA VGA 5 2 8 proc filesystems Diese Datei zeigt eine Liste von Dateisystemen an die zur Zeit vom Kernel unterst tzt werden Eine Beispielausgabe mit einem generischen proc filesystems sieht hnlich wie folgendes aus nodev rootfs nodev bdev nodev proc nodev sockfs nodev tmpfs nodev shm nodev pipefs ext2 nodev ramfs iso9660 nodev devpts ext3 nodev autofs nodev binfmt_misc Die erste Spalte zeigt an ob die Dateisysteme auf einem
99. rierter MBR zur Folge hat dass das System nicht mehr booten kann Sollte bei GRUB die Konfigu rationsdatei fehlerhaft konfiguriert sein so startet er einfach nur die Befehlszeilenoberfl che wo der 2 Weitere Informationen zum BIOS und MBR finden Sie unter Abschnitt 1 2 1 Kapitel 2 Bootloader 21 Benutzer das System manuell booten kann Siehe Abschnitt 2 5 fiir weitere Informationen zur GRUB Befehlszeilenoberfl che Sr Wenn Sie den Kernel mit Hilfe von Red Hat Update Agent aktualisieren wird der MBR automatisch aktualisiert Weitere Informationen zu RHN finden Sie online unter https rhn redhat com 2 9 Die LILO Konfigurationsdatei Die LILO Konfigurationsdatei heisst etc lilo conf Der Befehl sbin lilo benutzt diese um zu bestimmen welche Information zum MBR geschrieben werden sollen AB wamung Wenn Sie nderungen an etc lilo conf vornehmen wollen sollten Sie unbedingt eine Siche rungskopie der Datei anlegen Stellen Sie au erdem sicher dass Sie ber eine funktionierende Boot diskette verf gen um bei Problemen das System starten und den MBR ndern zu k nnen Weitere Informationen zum Erstellen einer Bootdiskette finden Sie unter den man Seiten zu mkboot disk Die Datei etc lilo conf wird vom Befehl sbin lilo verwendet um festzulegen welches Betriebssystem oder welcher Kernel gestartet wird wie auch um den eigenen Installationsort zu er mitteln 2 9 1 Probe etc lilo conf Im Folgenden finden Sie ein
100. ssen ihre Quellen so modifiziert werden dass die geeigneten Aufrufe an die Kerberos Bibliotheken gesendet werden k nnen Applikationen die auf diese Art ge ndert wurden werden als kerberisiert bezeichnet Bei einigen Applikationen kann dies aufgrund ihrer Gr e oder ihrem Design recht problematisch sein F r andere Applikationen wiederum muss die Art und Weise ge ndert werden in der Server und Clients miteinander kom munizieren Auch dies kann unter Umst nden einen gro en Aufwand bedeuten Hierbei stellen die Closed Source Applikationen ohne standardm igen Kerberos Support den problematischsten Teil dar Bei Kerberos handelt es sich um eine Alles oder Nichts L sung Wenn Kerberos im Netzwerk ver wendet werden soll sind alle unverschl sselten Passw rter die an einen nicht kerberisierten Ser vice bertragen werden einem Risiko unterlegen D h es ergibt sich f r Ihr Netzwerk keinerlei Vorteil aus der Verwendung von Kerberos Wenn Sie Ihr Netzwerk durch Kerberos sichern m chten m ssen Sie entweder alle Client Server Applikationen die Passw rter im Klartext versenden ker berisieren oder Sie sollten keine dieser Applikationen in Ihrem Netzwerk verwenden 16 2 Kerberos Terminologie Wie jedes andere System verf gt Kerberos ber seine eigene Terminologie zur Definition verschiede ner Aspekte des Dienstes Ehe die Funktionsweise des Dienstes erl utert wird sollten Sie mit folgen den Begriffen vertraut sein Authen
101. tzliche Hosts k nnen in einer Liste durch Leerzeichen getrennt festgelegt werden Die folgende Methode kann dazu verwendet werden Hostnamen festzulegen e single host Ein bestimmter Host einschlie lich des kompletten Domain Names des Hostna mens oder der IP Adresse wird festgelegt wildcards Dort wo ein oder ein Zeichen verwendet werden um eine Gruppierung von voll qualifizierten Domainnamen zu ber cksichtigen die mit einer bestimmten Reihe von Buch staben bereinstimmen Wildcards d rfen nicht mit IP Adressen verwendet werden Es kann aber m gliche sein dass sie zuf llig funktionieren wenn die umgekehrten DNS Lookups scheitern Seien Sie jedoch beim Umgang mit Wildcards im Zusammenhang mit voll qualifizierten Domain namen vorsichtig da sie genauer arbeiten k nnen als erwartet So erlaubt die Verwendung von example com als Wildcard zum Beispiel sales example com den Zugriff auf das exportierte Dateisystem aber nicht bob sales example com Um beide M glichkeiten zu erfassen m ssen so wohl example com als auch example com festgelegt werden IP networks Erlaubt die bereinstimmung von Hosts auf der Basis ihrer IP Adressen in einem gro en Netzwerk 192 168 0 0 28 l sst zum Beispiel die ersten 16 IP Adressen von 192 168 0 0 bis 192 168 0 15 zu um auf das exportierte Dateisystem zuzugreifen aber nicht 192 168 0 16 und h her e netgroups L sst einen NIS Netgroup Namen zu der wie folgt
102. unbekannten CD ROM herauszufinden Wenn mehrere Laufwerke vorhanden sind hat jedes Ger t seine eigene Informationsspalte Verschiedene Dateien in proc sys dev cdrom wie z B autoclose und checkmedia k nnen benutzt werden um das CD ROM Laufwerk einzustellen Mit dem Befehl echo k nnen Sie ein Fea ture aktivieren oder deaktivieren Wenn RAID Unterst tzung in den Kernel integriert wurde ist ein Verzeichnis proc sys dev raid mit mindestens zwei Dateien vorhanden speed_limit_min und speed_limit_max Diese Einstellungen legen die Beschleunigung eines RAID Ger t f r besonders T O intensive Aufgaben wie z B beim Synchronisieren von Festplatten fest 5 3 9 2 proc sys fs Dieses Verzeichnis enth lt eine Liste von Optionen und Informationen zu verschiedenen Einstellungen des Dateisystem inklusive Quoten Datei Handles Inoden und dentry Informationen Das Verzeichnis binfmt_misc wirt benutzt um Kernel Support f r verschiedene Bin r Formate an zubieten Die wichtigen Dateien im Verzeichnis proc sys fs sind dentry state Zeigt den Status des Verzeichnis Caches an Diese Datei sieht so hnlich wie diese aus 57411 52939 45 000 Die erste Zahl zeigt die Gesamtzahl der Verzeichnis Cache Eintr ge an die zweite Zahl zeigt die Anzahl der nicht benutzten Eintr gen an Die dritte Zahl zeigt die Sekunden zwischem dem L schen und dem erneuten Aufnehmen eines Verzeichnisses an Die vierte misst die Seiten die gerade vom Sys
103. und Hosts durch Leerzeichen voneinander trennen Es sollten jedoch keine weiteren Leerzeichen in der Datei sein es sei denn sie werden in Kommentarzeilen verwendet So bedeuten zum Beispiel die folgenden beiden Zeilen nicht das gleiche home bob example com rw home bob example com rw Kapitel 9 Netzwerk Dateisystem Network File System NFS 125 Die erste Zeile erlaubt nur Benutzern von bob example com den Zugriff im beschreibbaren Modus auf das Verzeichnis home Die zweite Zeile erlaubt Benutzern von bob example com das Verzeich nis im schreibgesch tzten Modus zu mounten der Standard alle anderen k nnen es im beschreib baren Modus mounten F r genaue Anweisungen zur Konfiguration eines NFS Servers durch Bearbeitung von etc exports siehe Kapitel Server Security in der Red Hat Enterprise Linux Handbuch zur System Administration 9 3 2 Der exportfs Befehl Jedes Dateisystem das via NFS an Remote Benutzer exportiert wird sowie die Zugriffsrechte f r diese Dateisysteme werden in der Datei etc exports abgelegt Wenn der nfs Dienst startet wird diese Datei mit dem usr sbin exportfsBefehl ge ffnet und gelesen Dann werden die f r Remote Benutzer verf gbaren Dateien an rpc mountd und rpc nfsd weitergegeben Mit der manuellen Ausf hrung des Befehls usr sbin export fs wird dem Root Benutzer gestat tet Verzeichnisse selektiv zu exportieren oder nicht zu exportieren ohne den NFS Dienst neu starten zu m ssen Wenn u
104. und mod_bandwidth wurden herausgenommen Die Versionsnummer f r das Paket mod_ss1 wurde jetzt mit dem Paket httpd in Einklang ge bracht Dies bedeutet dass das Paket mod_ss1 f r Apache HTTP Server 2 0 eine niedrigere Ver sionsnummer hat als das Paket mod_ss1 f r Apache HTTP Server 1 3 10 1 3 Dateisystem nderungen bei Apache HTTP Server 2 0 Bei der Aktualisierung auf Apache HTTP Server 2 0 ergeben sich folgende nderungen am Layout des Dateisystems Ein neues Konfigurationsverzeichnis etc httpd conf d wurde hinzugef gt Dieses neue Verzeichnis wird zur Hinterlegung von Konfigurationsdateien f r Module in Einelpakete verwendet wie mod_ssl mod_perl und php Der Server wird angewiesen anhand der Anweisung Include conf d conf in der Apache HTTP Server Konfigurationsdatei etc httpd conf httpd conf Konfigurationsdateien aus diesem Speicherplatz zu laden EB wicntic Es ist sehr wichtig dass die Zeile f r das neue Konfigurationsverzeichnis beim Migrieren einer bestehenden Konfiguration eingef gt wird Die Programme ab und logresolve wurden verschoben Diese Dienstprogramme wurden vom Verzeichnis usr sbin in das Verzeichnis usr bin umgelagert Dies hat zur Folge dass Skripts mit absoluten Pfaden f r diese Bin rdateien scheitern Der Befehl dbmmanage wurde ersetzt Der Befehl dbmmanage wurde durch htdbm ersetzt Weitere Informationen erhalten Sie unter Abschnitt 10 2 4 4 Die Konfigurationsdatei lo
105. unter http www gnu org manual grub 18 Kapitel 2 Bootloader 2 7 Men konfigurationsdatei von GRUB Die Konfigurationsdatei boot grub grub conf die verwendet wird um die Liste der zu boo tenden Betriebssysteme in der Men oberfl che von GRUB zu erstellen erm glicht dem Benutzer im Wesentlichen eine festgelegte Reihe von Befehlen auszuw hlen Dabei k nnen die in Abschnitt 2 6 angef hrten Befehle sowie einige spezielle Befehle verwendet werden die ausschlie lich in der Konfigurationsdatei zur Verf gung stehen 2 7 1 Struktur der Konfigurationsdatei Die Konfigurationsdatei der Men oberfl che von GRUB ist boot grub grub conf Die Befehle f r das Festlegen der allgemeinen Einstellungen f r die Men oberfl che werden am oberen Ende der Datei platziert Darauf folgen die verschiedenen Eintr ge f r jedes der im Men genannten Betriebs systeme oder Kernel Im Folgenden eine sehr einfache GRUB Men konfigurationsdatei die entweder Red Hat Enterprise Linux oder Microsoft Windows 2000 bootet default 0 timeout 10 splashimage hd0 0 grub splash xpm gz section to load Linux title Red Hat Enterprise Linux 2 4 21 1 ent root hd0 0 kernel vmlinuz 2 4 21 1 ro root dev sda2 initrd initrd 2 4 21 1 img section to load Windows title Windows rootnoverify hd0 0 chainloader 1 Diese Datei weist GRUB an ein Men mit Red Hat Enterprise Linux als standardm igem Betriebs system zu erstellen das nach 1
106. usr Verzeichnis Es enth lt die folgenden Unterverzeichnisse deren Verwendungszweck jeweils dem der Unterverzeichnisse im usr Verzeichnis hnlich ist usr local bin doc etc games include lib libexec sbin share src In Red Hat Enterprise Linux unterscheidet sich der Verwendungszweck f r usr local leicht von den durch FHS definierten Verwendungszwecken Laut FHS soll usr local bei jener Software abgelegt werden die vor Aktualisierungen der System Software geschiitzt bleiben soll Da Software Kapitel 3 Struktur des Dateisystems 29 Aktualisierungen sicher mit Red Hat Package Manager RPM durchgef hrt werden k nnen ist es nicht notwendig Dateien zu schiitzen indem sie in usr local abgelegt werden Stattdessen emp fehlen wir Ihnen f r lokal auf Ihrem Rechner verwendete Software auf usr local zur ckzugrei fen Wenn zum Beispiel das Verzeichnis usr als eine Read Only Nur Lesen NFS Share von einem Remote Host gemountet wird ist es immernoch m glich ein Programm oder Paket unter usr local zu installieren 3 2 1 11 Das var Verzeichnis Der Dateisystemstandard FHS erfordert dass das Mounten von usr im schreibgesch tzten Mo dus m glich ist Daher sollten Programme die Protokolldateien schreiben oder spool oder lock Verzeichnisse ben tigen am besten in das var Verzeichnis schreiben Laut FHS steht var f r variable Datendateien Dazu geh ren Spoo
107. usr src lt version number gt wobei lt version number gt die Version des installierten Kernel ist Weiterhin machen wir Sie mit Hilfe von bestimmten Strategien auf bestimmte Informationen auf merksam Entsprechend dem Wichtigkeitsgrad das die jeweilige Information f r Ihr System hat sind diese Items entweder als Anmerkung Hinweis oder Warnung gekennzeichnet Zum Beispiel f Anmerkung Beachten Sie dass Linux ein fallspezifisches System ist In anderen Worten bedeutet dies dass Rose nicht das gleiche ist wie ROSE und dies auch nicht das gleiche wie rOsE Sr Das Verzeichnis usr share doc enth lt zus tzliche Dokumentationen f r im System installierte Pakete viii Einf hrung Bicon Wenn Sie die DHCP Konfigurationsdatei bearbeiten werden die nderungen erst wirksam wenn Sie den DHCP Daemon neu gestartet haben Orcrtung F hren Sie keine allt glichen Aufgaben als root aus verwenden Sie hierzu au er f r den Fall dass Sie einen root Account f r Ihre Systemverwaltung benutzen einen regul ren Benutzeraccount AB wamung Seien Sie vorsichtig und entfernen Sie lediglich die notwendigen Red Hat Enterprise Linux Parti tionen Das Entfernen anderer Partitionen k nnte zu Datenverlusten oder zur Korruption der Syste mumgebung f hren 4 Verwenden der Maus F r die Benutzung von Red Hat Enterprise Linux ist eine Maus mit drei Tasten vorgesehen Falls Sie im Besitz einer Maus mit nur zwei Tasten sind sollte
108. virtual host Name based virtual hosts only work with the non secure Web server The configuration directives for the secure server are contained within virtual host tags in the etc httpd conf d ssl conf file Kapitel 10 Apache HTTP Server 165 Standardm ig verwenden sowohl der sichere als auch der unverschl sselte Web Server dieselbe DocumentRoot Um DocumentRoot so zu ndern dass es nicht mehr gemeinsam vom sicheren und vom unverschl sselten Server verwendet wird ist eine der Document Root Anweisungen zu n dern Die DocumentRoot Anweisung innerhalb oder au erhalb der Virtual Host Tags in der Datei httpd conf definiert die DocumentRoot f r Ihren unverschl sselten Web Server Die Documen tRoot Anweisung in der Datei conf d ssl conf innerhalb der Virtual Host Tags definiert Docu mentRoot f r den verschl sselten Server Um nicht sichere Web Server vom Akzeptieren einer Verbindung abzuhalten kommentieren Sie die Zeile Listen 80 in der Datei httpd conf aus indem Sie ein Kommentarsymbol voranstellen Die Zeile wird dann wie Folgt aussehen Listen 80 F r weitere Informationen zum Konfigurieren eines SSL unterst tzten Web Servers sehen Sie das Kapitel Apache HTTP Secure Server Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration F r weiterf hrende Hinweise sehen Sie die Dokumentation der Apache Soft ware Foundation Online unter den folgenden URLs http httpd apache org docs 2 0 ssl
109. werden die the Microsoft Windows Operationssysteme und andere Sy steme mit chain loading geladen Bei dieser Methode verweist der MBR einfach auf den ersten Sektor der Partition auf der das Betriebssystem installiert ist Dort befinden sich die f r das Starten des Be triebssystems erforderlichen Dateien GRUB unterst tzt sowohl die direkte als auch die verkettete Lademethode wodurch fast alle Betriebs systeme gestartet werden k nnen A wamung W hrend der Installation berschreiben DOS und Windows von Microsoft den MBR komplett und l schen somit alle vorhandenen Bootloader Wird ein duales Bootsystem erstellt wird empfohlen das Betriebssystem von Microsoft zuerst zu installieren 2 2 2 Funktionen von GRUB GRUB enth lt zahlreiche Funktionen die im Vergleich zu anderen f r die x86 Architektur verf gba ren Bootloadern vorteilhaft sind Nachfolgend ist eine Liste mit den wichtigsten Funktionen angef hrt GRUB liefert auf x86 Rechnern eine echte auf Befehlen basierende vor OS Umgebung Dies ver leiht dem Benutzer maximale Flexibilit t beim Laden der Betriebssysteme mit bestimmten Op tionen bzw beim Sammeln von Informationen ber das System Viele nicht x86 Architekturen verwenden seit Jahren vor OS Umgebungen die das Starten des Systems von einer Befehlszeile aus erm glichen Einige Befehlsfunktionen stehen mit LILO oder anderen x86 Bootloadern zur Verf gung GRUB bietet jedoch eine gr ere Anzahl solcher Funktion
110. wide settings ow Abbildung 13 2 Authentifizierungssymbol Dialog Wenn von einem Remote System aus mit ssh angemeldet benutzen Sie den Befehl sbin pam_timestamp_check k root um die Timestap Datei zu l schen 8 Anmerkung Nur der Benutzer der urspr nglich daspam_timestamp so Modul aufgerufen hat kann den Be fehl sbin pam_timestamp_check verwenden Melden Sie sich nicht als root an um diesen Befehl auszuf hren Zu Informationen zum L schen der Timestamp Datei mittelspam_t imest amp_check sehen Sie die man Seiten vonpam_timestamp_check 208 Kapitel 13 Pluggable Authentication Modules PAM 13 6 2 Allgemeine pam timestamp Anweisungen Das pam_timestamp so Modul akzeptiert verschiedene Anweisungen Folgend sind die zwei am haufigsten verwendeten angegeben timestamp_timeout Die Anzahl der Sekunden w hrend denen die Timestap Datei g ltig ist Der Standardwert ist 300 Sekunden f nf Minuten e timestampdir Gibt das Verzeichnis an in dem die Timestamp Datei gespeichert ist Der Stan dardwert ist var run sudo F r weitere Informationen zur Kontrolle des pam_timestamp so Moduls sehen Sie Abschnitt 13 8 1 13 7 PAM und Besitzrechte von Ger ten Red Hat Enterprise Linux erlaubt es dem ersten Benutzer mithilfe des PAM Moduls pam_console so sich in der Konsole des Computers anzumelden sowie das Bearbeiten von Ger ten und das Ausf hren von Tasks die normalerweise f r Root Benutzer reserviert
111. xinetd Service neu starten Unten ein Beispiel einer etc xinetd conf Datei defaults instances 60 log_type SYSLOG authpriv log_on_success HOST PID log_on_failure HOST cps 25 30 includedir etc xinetd d Diese Zeilen kontrollieren verschiedene Aspekte von xinetd e instances Bestimmt die H chstzahl der Anfragen die xinetd gleichzeitig bearbeiten kann e log_type Weist xinetd an die Protokolldatei authpriv die Log Eintr ge in die Datei var log secure schreibt zu verwenden Das Hinzuf gen einer Direktive wie FILE var log xinetdlog w rde eine benutzerdefinierte Log Datei mit dem Namen xinetdlog im Verzeichnis var log erstellen e log_on_success Konfiguriert xinetd zum Protokollieren wenn die Verbindung erfolgreich ist Standardm ig werden die Remote Host IP Adresse und die ID des Servers der die Anfrage verarbeitet aufgezeichnet log_on_failure Konfiguriert xinetd zum Protokollieren wenn die Verbindung fehlschl gt oder nicht zugelassen ist e cps Konfiguriert xinetd f r einen bestimmten Dienst nicht mehr als 25 Verbindungen pro Sekunde zuzulassen Wenn diese Grenze erreicht wird wird der Dienst f r 30 Sekunden zur ckge zogen 220 Kapitel 14 TCP Wrappers und xinetd e includedir etc xinetd d Enth lt Optionen der _ servicespezifischen Konfigurationsdateien im Verzeichnis etc xinetd d Weitere Informationen zu diesem Verzeichnis finden Sie unter Abschnitt 14 4 2
112. zentral gespeicherte Informationen ber ein Netzwerk verwendet werden Es basiert auf dem X 500 Standard f r das gemeinsame Nutzen von Verzeichnissen ist jedoch weniger komplex und ressourcenintensiv Aus diesem Grund wird LDAP bisweilen auch X 500 Lite genannt Ebenso wie X 500 organisiert LDAP die Informationen mit Hilfe von Verzeichnissen hierarchisch In den Verzeichnissen kann eine Vielfalt an Informationen gespeichert werden Zudem k nnen sie auf hnliche Weise wie der Network Information Service NIS verwendet werden so dass alle Benutzer von jedem beliebigen Rechner in einem LDAP unterst tzten Netzwerk auf ihre Accounts zugreifen k nnen In den meisten F llen wird LDAP jedoch einfach als virtuelles Telefonbuch verwendet mit dem Be nutzer auf Kontaktinformationen f r andere Benutzer zugreifen k nnen LDAP geht allerdings ber ein herk mmliches Telefonbuch hinaus da es seine Verzeichnisse auf andere LDAP Server weltweit bertragen und somit globalen Zugriff auf Informationen zur Verf gung stellen kann Momentan wird LDAP allerdings in der Regel eher in Einzelorganisationen wie Universit ten Regierungsabteilungen und Privatunternehmen verwendet LDAP ist ein Client Server System Der Server kann eine Vielfalt an Datenbanken zum Speichern eines Verzeichnisses verwenden wobei jede f r schnelle und umfangreiche Lesevorg nge optimiert ist Wenn eine LDAP Clientanwendung eine Verbindung mit einem LDAP Server herstellt kann sie
113. 0 Screen0 0 0 Die erste Zahl in diesem Beispiel eines Screen Eintrags 0 gibt an dass der erste Anschluss auf der Grafikkarte die im Screen Abschnitt angegebene Konfiguration mit dem Identifier Screen0 verwendet Sollte die Grafikkarte mehr als einen Anschluss haben sind weitere Screen Eintr ge mit unter schiedlichen Nummern und Identifiern f r Screen Abschnitte von N ten Die Nummern auf der rechten Seite liefern die X und Y Koordinaten f r die linke obere Ecke des Bildschirms standardm ig 0 0 e InputDevice Gibt den Namen eines InputDevice Abschnitts an der mit dem XFree86 Server verwendet wird Es muss zumindest zwei InputDevice Eintr ge geben Einer f r die Standardmaus und einer f r die Standardtastatur Die Optionen CorePointer und CoreKeyboard weisen darauf hin dass es sich um prim re Maus und Tastatur handelt Option lt option name gt Ein optionaler Eintrag der weitere Parameter f r diesen Abschnitt angibt Jede der hier aufgef hrten Optionen berschreibt die Optionen im Abschnitt ServerFlags Ersetzen Sie lt option name gt hier mit einer der in den XF86Config man Seiten aufgelisteten Optionen Es ist m glich mehr als einen ServerLayout Abschnitt anzugeben Der Server wird jedoch nur den ersten einlesen au er es wird eine anderer ServerLayout Abschnitt als Befehlszeilenargument angegeben 7 3 1 4 Files Der Files Abschnitt legt f r XFree86 Server wichtige Pfade wie zum Beispiel d
114. 0 Development von David Sweet und Matthias Ettrich Sams Publishing Leitet noch unerfahrene und erfahrene Entwickler an wie die vielen Umgebungsrichtlinien am besten genutzt werden k nnen um QT Anwendungen f r KDE zu erstellen 104 Kapitel 7 Das X Window System ll Hinweise fur Netzwerk Dienste Unter Red Hat Enterprise Linux ist es m glich eine gro e Anzahl von Netzwerk Diensten laufen zu lassen Dieser Abschnitt beschreibt wie Netzwerk Schnittstellen konfiguriert werden Zus tzlich sind Details ber kritische Netzwerk Dienste wie FTP NFS Apache HTTP Server Sendmail Postfix Fetchmail Procmail BIND und LDAP vorhanden Inhaltsverzeichnis 8 Netzwerk Schnittstellen 9 Netzwerk Dateisystem Network File System NFS 10 Apache HTTP Server 11 Berkeley Internet Name Domain BIND 12 Lightweight Directory Access Protocol LDAP redhat Kapitel 8 Netzwerk Schnittstellen Bei der Verwendung von Red Hat Enterprise Linux verl uft die gesamte Netzwerkkommunikation zwischen konfigurierten Software Schnittstellen und den physischen Netzwerkger ten die mit dem System verbunden sind Die Konfigurationsdateien f r die verschiedenen Netzwerkschnittstellen und die Skripts zu deren Ak tivierung oder Deaktivierung befinden sich im etc sysconfig network scripts Verzeichnis Die bestimmten Schnittstellendateien k nnen je nach System zwar unterschiedlich sein es gibt aber grunds tzlich drei verschiedene Dateitype
115. 0 Sekunden automatisch gebootet wird Gegeben sind zwei Abschnitte einer pro Betriebssystemeintrag mit spezifischen Befehlen f r die Partitionstabelle der Systemplatte Anmerkung Beachten Sie dass der Standardwert als Ganzzahl angegeben ist die sich auf die erste title Zeile in der GRUB Konfigurationsdatei bezieht Wenn Sie windows im vorigen Beispiel als Standard festlegen m chten ndern Sie default 0 Zu default 1 Die Konfiguration einer GRUB Men konfigurationsdatei f r das Starten mehrerer Betriebssysteme bersteigt den Rahmen dieses Kapitels Siehe Abschnitt 2 11 f r eine Liste zus tzlicher Informations quellen 2 7 2 Anweisungen f r die Konfigurationsdatei Die folgenden Anweisungen werden h ufig in der Men konfigurationsdatei von GRUB verwendet chainloader lt path to file gt L dt die angegebene Datei als Kettenloader Ersetzen Sie lt path to file gt mit dem absoluten Pfad zum Kettenloader Wenn sich die Datei auf dem ersten Sektor der festgelegten Partition befindet verwenden Sie die Blocklisten Notation 1 Kapitel 2 Bootloader 19 color lt normal color gt lt selected color gt Erm glicht spezifische Farben fiir das Menii einzustellen wobei zwei Farben als Vorder und Hintergrundfarben konfiguriert werden Ver wenden Sie einfache Farbbezeichnungen wie red black Zum Beispiel color red black green blue default lt integer gt Ersetzen Sie lt integer gt mit der standardm ig
116. 0 ist der Standardwert message boot message Verweist auf den Bildschirm von LILO auf dem Sie das zu star tende Betriebssystem bzw den Kernel ausw hlen 1ba32 Beschreibt LILO die Festplattengeometrie Ein anderer blicher Eintrag ist linear Sie sollten diese Zeile nicht ndern es sei denn Sie verf gen ber die notwendigen Kenntnisse Ansonsten k nnten Sie Ihr System in einen nicht mehr startf higen Status versetzen default linux Verweist auf das Betriebssystem das LILO standardm ig aus den unterhalb dieser Zeile genannten Optionen starten soll Der Name linux bezieht sich auf die untere Zeile label in allen Bootoptionen image boot vmlinuz 2 4 0 0 43 6 Gibt den Linux Kernel an der mit genau diesen Bootoptionen gestartet werden soll label linux Benennt die Betriebssystemoption im LILO Bildschirm In diesem Fall handelt es sich auch um den Namen auf den die Zeile default verweist e initrd boot initrd 2 4 0 0 43 6 img Verweist auf das initiale RAM Disk Image das zum Zeitpunkt des Bootens verwendet wird um die Ger te wirklich zu initialisieren und zu starten die das Booten des Kernels erm glichen Die initiale RAM Disk ist eine Sammlung von rechnerspezifischen Treibern die zum Betreiben von SCSI Karten Festplatten oder anderer Ger te ben tigt wird die zum Laden des Kernels erforderlich sind Versuchen Sie niemals initiale RAM Disks auf mehreren Rechnern gemeinsam zu nutzen
117. 03 Zus tzliche Literatur 103 xinetd 219 Siehe auch TCP wrappers DoS Angriffen und 224 Einf hrung 211 219 Konfigurationsdateien 219 etc xinetd conf 219 etc xinetd d directory 220 Bindungs Optionen 223 Protokoll Optionen 219 220 221 Ressourcen Management Optionen 224 Umleitungs Optionen 223 Zugriffskontroll Optionen 221 Verh ltnis zu TCP Wrapper 221 zus tzliche Ressourcen B cher zum Thema 225 installierte Dokumentation 224 n tzliche Websites 225 xinit Siehe XFree86 Y YABOOT 11 Siehe auch boot loaders Z z IPL 11 Siehe auch boot loaders Zeichen Ger te 48 Siehe auch proc devices Definition von 48 Zugriffskontrolle 211 281 redhat Colophon Die Handb cher wurden im Format DocBook SGML v4 1 erstellt Die HTML und PDF Formate werden unter Verwendung benutzerdefinierter DSSSL Stylesheets und benutzerdefinierten Jade Wrap per Scripts angelegt Die DocBook SGML Dateien wurden in Emacs mithilfe von PSGML Mode geschrieben Garrett LeSage schuf das Design der Grafiken f r Meldungen Anmerkung Tipp Wichtig Achtung und Warnung Diese d rfen frei zusammen mit der Red Hat Dokumentation vertrieben werden Das Team der Red Hat Produktdokumentation besteht aus Sandra A Moore Verantwortliche Autorin Bearbeiterin des Red Hat Enterprise Linux Installati onshandbuch f r x86 Itanium und AMD64 Architekturen Verantwortliche Autorin Bearbeiterin des Red Hat Enterprise Linux I
118. 03 2 udp 2049 nfs 00003 3 udp 2049 nfs 00003 2 tcp 2049 nfs 00003 3 tcp 2049 nfs 00005 1 udp 836 mountd 00005 1 tcp 839 mountd 00005 2 udp 836 mountd 00005 2 tcp 839 mountd 00005 3 udp 836 mountd 00005 3 tcp 839 mountd Im oben aufgef hrten Output wird angezeigt dass die richtigen NFS Dienste ausgef hrt sind Wenn einer der NFS Dienste nicht korrekt startet kann portmap die RPC Anfragen von Clients f r diesen Dienst nicht dem richtigen Port zuordnen Wenn NFS im rpcinfo Output nicht vorhanden ist f hrt in vielen F llen das Neustarten von NFS dazu dass der Dienst korrekt in portmap registriert werden und arbeiten kann Anweisungen f r das Starten von NFS finden Sie unter Abschnitt 9 2 Andere hilfreiche Optionen sind f r den rpcinfo Befehl vorhanden Siehe rpcinfo man Seite f r weitere Informationen 122 Kapitel 9 Netzwerk Dateisystem Network File System NFS 9 2 Starten und Anhalten von NFS Um einen NFS Server zu betreiben muss der portmap Dienst ausgefiihrt sein Um zu tiberpriifen dass portmap aktiv ist geben Sie den folgenden Befehl als Root ein sbin service portmap status Wenn derportmap Dienst ausgefiihrt ist dann kann der nfs Dienst gestartet werden Um einen NFS Server zu starten geben Sie als Root ein sbin service nfs start Um den Server anzuhalten geben Sie als Root ein sbin service nfs stop Die restart Option ist ein verk rzter Weg f r das Anhalten und Starten von NFS Dies ist der beste
119. 1 2 gt dev null 1 root root 64 May 8 11 31 3 gt dev ptmx 1 root root 64 May 8 11 31 4 gt socket 7774817 1 root root 64 May 8 11 31 5 gt dev ptmx 1 root root 64 May 8 11 31 6 gt socket 7774829 1 root root 64 May 8 11 31 7 gt dev ptmx e maps Enth lt Speicher Maps zu den verschiedenen ausf hrbaren Dateien und Library Dateien die mit diesem Prozess zusammenh ngen Diese Datei kann sehr lang werden wenn ein sehr kom plexer Prozess ausgef hrt wird eine Beispielausgabe eines sshd Prozesses f ngt so an 08048000 08086000 r xp 00000000 03 03 391479 usr sbin sshd 08086000 08088000 rw p 0003e000 03 03 391479 usr sbin sshd 08088000 08095000 rwxp 00000000 00 00 0 40000000 40013000 r xp 00000000 03 03 293205 lib 1d 2 2 5 so0 40013000 40014000 rw p 00013000 03 03 293205 lib 1d 2 2 5 so 62 Kapitel 5 Das proc Dateisystem 40031000 40038000 r xp 00000000 03 03 293282 lib libpam so 0 75 40038000 40039000 rw p 00006000 03 03 293282 lib libpam so 0 75 40039000 4003a000 rw p 00000000 00 00 0 4003a000 4003c000 r xp 00000000 03 03 293218 lib libd1 2 2 5 s0 4003c000 4003d000 rw p 00001000 03 03 293218 lib libd1 2 2 5 s0 mem Der Speicher der von diesem Prozess benutzt wird Diese Datei kann vom Benutzer nicht gelesen werden root Ein Link zum root Verzeichnis des Prozesses stat Der Status des Prozesses statm Der Status des Speichers der von diesem Prozess benutzt wird Eine beispielhafte s
120. 2 2 beschrieben BB wicntic Bitte beachten Sie dass die SSL TLS Konfiguration des virtuellen Host aus der Hauptserver Konfigurationsdatei genommen und in etc httpd conf d ssl conf verschoben wurde Weitere Informationen zu diesem Thema finden Sie im Kapitel Apache HTTP Secure Server Kon figuration im Red Hat Enterprise Linux Handbuch zur System Administration und in der Online Dokumentation unter folgender URL http httpd apache org docs 2 0 vhosts 10 2 4 Module und Apache HTTP Server 2 0 In Apache HTTP Server 2 0 wurde das Modulsystem so ge ndert dass Module auf neue und interes sante Weise miteinander verkn pft und kombiniert werden k nnen CGI Skripts sind zum Beispiel in der Lage serverkonvertierte HTML Dokumente zu erzeugen die dann von mod_include verarbeitet werden k nnen Dies er ffnet eine enorme Anzahl von M glichkeiten in Bezug darauf wie Module zum Erreichen eines bestimmten Ziels kombiniert werden k nnen Das funktioniert so dass jede Anfrage direkt von einem handler Modul bedient wird gefolgt von null oder mehr filter Modulen In Apache HTTP Server 1 3 zum Beispiel w rde ein Perl Skript ganz vom Perl Modul mod_per1 gehandhabt werden In Apache HTTP Server 2 0 wird die Anfrage zun chst vom Kernmodul gehand habt das statische Dateien bedient und wird dann von mod_perl gefiltert Die genaue Verwendung und alle anderen diesbez glichen neuen Eigenschaften von Apache HTTP Server 2 0 w rden
121. 2 2 durchlesen Erfahrener Benutzer Dieser Benutzertyp hat Red Hat Enterprise Linux bereits zuvor erfolgreich installiert und ver wendet Haben Sie gute Erfahrung in Sachen Linux Falls ja lesen Sie Abschnitt 2 3 Einf hrung iii 2 1 Dokumentation f r Linux Einsteiger Ein Linux Einsteiger k nnte von den vielen Informationen die ber jedes Argument wie z B Drucken und Starten zur Verf gung stehen berfordert sein Bevor Sie sich mit diesen Fortgeschrittenen Themen auseinandersetzen ist es sicher eine gute Idee einen Schritt zur ckzugehen um zun chst einmal gen gend Informationen ber die Funktionsweise von Linux zu sammeln Ihr erstes Ziel sollte es zun chst sein sich die notwendige Dokumentation zu beschaffen Die Wich tigkeit dieses Schritts kann gar nicht oft genug betont werden Ohne die erforderlichen Informationen k nnen Sie Ihr Red Hat Enterprise Linux System n mlich nicht nach Ihren W nschen einrichten und das kann zu Frustration f hren Sie sollten sich die folgende Linux Dokumentation beschaffen Ein kurzer berblick ber die Geschichte von Linux Viele Aspekte von Linux lassen sich durch die historische Entwicklung dieses Betriebssystems besser verstehen Es gibt sogar so et was wie eine Linux Kultur die wiederum eng mit dieser Geschichte und den Anspr chen und Erfordernissen der Vergangenheit zusammenh ngt Wenn Sie sich zumindest ein bisschen mit der Entstehungsgeschichte von Linux auskenn
122. 28 0 255 pty master pty_slave dev ttyp 3 0 255 pty slave pty_master dev pty 2 0 255 pty master dev vc 0 dev vc 0 4 0 system vtmaster 78 Kapitel 5 Das proc Dateisystem dev ptmx dev ptmx 5 2 system dev console dev console 5 1 system console dev tty dev tty 5 0 system dev tty unknown dev vc d 4 1 63 console Die Datei proc tty driver serial listet die Nutzungs Statistik und den Status jedes der seriel len TTY Ger te auf Damit TTY Ger te hnlich wie Netzwerk Ger te benutzt werden k nnen stellt der Kernel line disci pline f r das Ger t ein Das erlaubt dem Treiber einen bestimmten Headertyp mit jedem Datenblock der ber das Ger t geht zu transferieren dieser Header macht das Paket zu einem Paket in einem Stream SLIP und PPP sind allgemein bekannte Line Disciplines und werden vor allem benutzt um Systeme ber eine serielle Verbindung zu koppeln Registrierte Line Disciplines werden in der Datei 1discs gespeichert detaillierte Informationen fin den Sie im Verzeichnis ldisc 5 4 Benutzen von sysct1 Der Befehl sbin sysct1 wird zum Betrachten Setzen und Automatisieren von Kerneleinstellun gen im Verzeichnis proc sys verwendet Um einen schnellen berblick ber alle konfigurierbaren Einstellungen im Verzeichnis proc sys zu bekommen geben Sie den Befehl sbin sysct1 a als root ein Dies gibt eine lange umfassen de Liste aus ein kleiner Teil dieser Liste k nnte z B so aussehen net ipv4 route
123. 3 rw 0 0 proc proc proc rw 0 0 dev hdal boot ext3 rw 0 0 none dev pts devpts rw 0 0 none dev shm tmpfs rw 0 0 none proc sys fs binfmt_misc binfmt_misc rw 0 0 Die Ausgabe aus dieser Datei ist sehr hnlich zur Ausgabe von etc mtab mit dem Unterschied dass proc mount aktueller sein kann Die erste Spalte bezeichnet das Ger t das gemountet ist wobei die zweite Spalte den zugeh rigen Mount Punkt anzeigt Die dritte Spalte enth lt den Dateisystemtyp und die vierte Spalte zeigt an ob ein Dateisystem nur zum Lesen ro oder auch zum Schreiben rw gemountet ist Die f nfte und sechste Spalte sind Dummy Werte um das Format von etc mtab zu emulieren 5 2 23 proc mtrr Diese Datei bezieht sich auf die aktuellen Memory Type Range Registers MTRRs die im System verwendet werden Wenn Ihre System Architektur MTRRs unterstiizt k nnte Ihre Datei proc mtrr so hnlich wie diese aussehen reg00 base 0x00000000 OMB size 64MB write back count 1 MTRRs werden seit der Intel P6 Familie benutzt Pentium II und h her um den Zugriff des Pro zessors auf Speicherbereiche zu steuern Wenn Sie eine Grafikkarte im PCI oder AGP Bus einsetzen kann eine richtig konfigurierte proc mtrr Datei die Leistung um 150 erh hen In den meisten F llen werden diese Werte richtig f r Sie eingestellt Weitere Informationen zur ma nuellen Konfiguration dieser Datei finden Sie unter folgender URL http webl linuxhq com kernel v2 3 doc m
124. 4 iptables Regeln werden gespeichert Regeln die mit dem iptables Befehl erstellt wurden werden nur im RAM gespeichert Wenn das System nach Erstellung der iptables Regeln neu gestartet wird gehen diese verloren Wenn Sie m chten dass Netzfilterregeln bei jedem Booten Ihres Systems erneut wirksam werden m ssen Sie sich als root anmelden und folgendes eingeben sbin service iptables save Kapitel 15 iptables 237 Dadurch wird das iptables Init Skript angewiesen das aktuelle sbin iptables save Programm auszuf hren und die aktuelle iptables Konfiguration in die etc sysconfig iptables Datei geschrieben Die bestehende Datei etc sysconfig iptables wird unter etc sysconfig iptables save gespeichert Beim n chsten Systemstart wendet das iptables Init Skript die in etc sysconfig iptables gespeicherten Regeln durch die Verwendung des sbin iptables restore Befehls erneut an Es ist grunds tzlich empfehlenswert eine neue iptables Regel immer erst zu testen bevor sie in die etc sysconfig iptables Datei eingef gt wird Sie k nnen die iptables Regeln aber auch von der Dateiversion eines anderen Systems in diese Datei kopieren wodurch sie in kurzer Zeit ganze S tze von iptables Regeln an verschiedene Rechner verteilen k nnen EB wicntic Wenn Sie die etc sysconfig iptables Datei an andere Rechner verteilen m ssen Sie sbin service iptables restart eingeben damit die neuen Regeln wirksam werden 15 5 iptables Kontrollskripte
125. 46 Kapitel 16 Kerberos 16 5 Konfigurieren eines Kerberos 5 Servers Inst allieren Sie zuerst den Server wenn Sie Kerberos einrichten Wenn Sie Slave Server einrichten m ssen finden Sie Detailinformationen zum Festlegen der Beziehungen zwischen den Master und Slave Servern im Kerberos 5 Installation Guide im Verzeichnis usr share doc krb5 server lt Versionsnummer gt ersetzen Sie lt version number gt mit der Versionsnummer des auf Ihrem System installierten krb5 server Pakets F hren Sie diese Schritte aus um einen Kerberos Server zu konfigurieren 1 Stellen Sie sicher dass die Zeitsynchronisierung und DNS auf dem Server funktionieren ehe Sie Kerberos 5 konfigurieren Schenken Sie der Zeitsynchronisierung zwischen dem Kerberos Server und seinen verschiedenen Clients besondere Aufmerksamkeit berschreitet die Zeit differenz zwischen der Server und den Clientuhren f nf Minuten der Standardwert kann in Kerberos 5 konfiguriert werden sind die Kerberos Clients nicht in der Lage sich am Server anzumelden Diese Zeitsynchronisierung ist notwendig um Angreifer davon abzuhalten ein altes Kerberos Ticket zu verwenden um sich als g ltigen Benutzer auszugeben Selbst wenn Sie Kerberos nicht verwenden sollten Sie ein NTP kompatibles Client Server Netzwerk einrichten Red Hat Enterprise Linux beeinhaltet hierf r das ntp Paket Weitere Informationen finden Sie unter usr share doc ntp lt version number gt index htm zum
126. 56 17 6 Anfordern von SSH f r Fernverbindungen 257 17 7 ZusatzZlicheRESSOULCED sz ccicescissssessssaneossseosssazesessesssssastasdansaatesitsadanscsaitsevazaeages 258 IV Anhang A Allgemeine Parameter und Module 263 A 1 Spezifizieren der Modulparameter 263 A 2 SCSI Parameter ee 263 A 3 Ethernet Parameter noei ree ninasi ee nina es 264 StichwortverzeichniS uesessenenenenesnensnenenensnnenenenensnnonenenensonenenenennnnenensnensnnenensnensnenensnsnsnnensnsnensenenee 269 Colophon EEE T E OEE eee 283 redhat Einf hrung Willkommen im Red Hat Enterprise Linux Referenzhandbuch Das Red Hat Enterprise Linux Referenzhandbuch enth lt n tzliche Informationen ber Ihr Red Hat Enterprise Linux System Der Inhalt reicht von grundlegenden Konzepten wie z B Struktur des Dateisystems bis hin zu den Details wie z B Systemsicherheit und Authentifizierungskontrolle Wir hoffen dass dieses Buch zu einem wertvollen Nachschlagewerk f r Sie wird Wenn Sie ein wenig mehr ber die Funktionsweise des Red Hat Enterprise Linux Systems erfahren m chten ist dieser Leitfaden genau das Richtige Es werden unter anderem folgende Themen behan delt Boot Prozess Struktur des Dateisystems Das X Window System Netzwerkleistungen Sicherheits Tools 1 Anderungen an diesem Handbuch Dieses Handbuch wurde zur besseren Ubersicht neu angeordnet und mit den neuesten Eigenschaften von Red Hat Enterprise
127. 6 steuert gemeinsam mit Red Hat Enterprise Linux die notwendige Hardware und stellt die grafische Umgebung zur Verf gung http sourceforge net projects dri Home Page des DRI Projekts Direct Rendering Infrastruc ture DRI ist die wesentliche 3D Hardwarebeschleunigungskomponente von XFree86 http www redhat com mirrors LDP HOWTO XFree86 HOWTO Ein HOWTO Dokument mit einer detaillierten Beschreibung der manuellen Installation und der benutzerdefinierten Konfigura tion von XFree86 http www gnome org Home Page des GNOME Projekts http www kde org Home Page f r die KDE Desktop Umgebung http nexp cs pdx edu fontconfig Home Page des Fontconfig Font Subsystems f r XFree86 7 6 3 Zus tzliche Literatur The Concise Guide to XFree86 for Linux von Aron Hsiao Que Der Kommentar eines Experten ber die Funktionsweise von XFree86 auf Linux Systemen The New XFree86 von Bill Ball Prima Publishing Liefert einen guten und umfassenden berblick ber XFree86 in Zusammenhang mit den beliebtesten Desktop Umgebungen wie GNOME und KDE Beginning GTK and GNOME von Peter Wright Wrox Press Inc Eine Einf hrung f r Pro grammierer in GNOME Architektur und eine Erl uterung von GTK GTK GNOME Application Development von Havoc Pennington New Riders Publishing Fort geschrittene Kenntnisse der GTK Programmierung insbesondere ber den Sample Code und ver f gbare APls KDE 2
128. B Paket von den Installations CD ROMs verwenden Informationen zum Installieren von Paketen finden Sie im Kapitel Paket Management mit RPM im Red Hat Enterprise Linux Handbuch zur System Administration ffnen Sie nach der Installation des GRUB Pakets einen Root Shell Prompt und f hren Sie den Be fehl sbin grub install lt Speicherort gt aus wobei lt Speicherort gt der Speicherort ist in den der Stage 1 GRUB Bootloader installiert werden soll Z B installiert der folgende Befehl Grub in den MDR des Master IDE Ger tes auf der prim ren IDE Sammelleitung sbin grub install dev hda Beim n chsten Systemstart wird das grafische Bootloader Men von GRUB angezeigt bevor der Kernel in den Speicher geladen wird EB wicntic Wenn GRUB auf einem RAID 1 Array installiert wird kann passieren dass sich das System im Falle eines Plattenversagens nicht mehr starten l sst Eine nicht unterst tzte Hilfestellung wir online unter der folgenden URL geboten http www dur ac uk a d stribblehill mirrored_grub html 2 4 GRUB Terminologie Zu den grundlegenden Kenntnissen vor der Verwendung von GRUB geh rt wie das Programm Ger te wie Festplatten und Partitionen anspricht Diese Informationen sind insbesondere dann wichtig wenn GRUB zum Starten mehrerer Betriebssysteme konfiguriert werden soll 2 4 1 Ger tenamen Wenn Sie sich auf ein bestimmtes Ger t mit GRUB beziehen verwenden Sie folgendes Format be achten Sie dass die Klammern un
129. Chain entfernt wird Wenn keine Chain angegeben wird l scht dieser Befehl jede Regel jeder Chain e h Liefert eine Liste mit Befehlsstrukturen sowie eine kurze Zusammenfassung der Befehlspa rameter und Optionen 1 F gt eine Regel an einem bestimmten Punkt in eine Chain ein welcher ein ganzzahliger Wert ist Wenn kein Wert angegeben ist setzt iptables den Befehl an den Anfang der Regelliste sonne Achten Sie darauf dass wenn Sie die Option a oder 1 verwenden die Reihenfolge der Regeln sehr wichtig sein kann wenn Sie bestimmen welche Regeln auf welche Pakete zutreffen L Listet alle Regeln in der nach dem Befehl spezifizierten Chain auf Um alle Regeln in allen Chains in der Standardtabelle filter aufzulisten spezifizieren Sie nicht eine Chain oder eine Tabelle Ansonsten sollte folgende Satzstruktur verwendet werden um die Regeln in einer spezifis chen Chain in einer bestimmten Tabelle aufzulisten iptables L lt chain name gt t lt table name gt Kapitel 15 iptables 231 Zus tzliche Optionen f r die L Befehlsoption die Regelziffern liefern und ausf hrlichere Regel beschreibungen erm glichen sind unter anderem in Abschnitt 15 3 6 beschrieben e N Erstellt eine neue Chain mit benutzerdefiniertem Namen P Setzt die standardm ige Policy f r eine bestimmte Chain damit bei der Durchquerung von Paketen durch eine Chain die Pakete wie bei ACCEPT oder DROP ohne bereinstimmung mi
130. Dateien hei en normalerweise ifcfg lt Ger t gt wobei lt Ger t gt sich auf den Namen des Ger ts bezieht das von der Konfigurationsdatei gesteuert wird 8 2 1 Ethernet Schnittstellen Zu den am meisten verwendeten Schnittstellendateien geh rt auch ifcfg eth0 mit der die erste Ethernet Netzwerk Schnittstellen Karte im System auch N C genannt gesteuert wird In einem Sy stem mit mehreren NICs gibt es entsprechend mehrere ifcfg eth lt x gt Dateien wobei lt X gt eine eindeutige Nummer ist je nach der entsprechenden Schnittstelle Da jedes Ger t ber eine eigene Konfigurationsdatei verf gt k nnen Sie die Funktionalit t jeder einzelnen Schnittstelle steuern Nachfolgend ist eine ifcfg eth0 Beispielsdatei f r ein System mit einer festen IP Adresse DEVICE eth0 BOOTPROTO none ONBOOT yes NETWORK 10 0 1 0 NETMASK 255 255 255 0 IPADDR 10 0 1 27 USERCTL no Die in einer Schnittstellen Konfigurationsdatei ben tigten Werte k nnen sich auf der Grundlage von anderen Werten ndern Die ifcfg eth0 Datei f r eine Schnittstelle mit DHCP sieht beispielsweise etwas anders aus weil die IP Information vom DHCP Server zur Verf gung gestellt wird DEVICE eth0 BOOTPROTO dhcp ONBOOT yes Network Administration Tool redhat config network macht es recht einfach in den verschie denen Schnittstellen Konfigurationsdateien nderungen vorzunehmen Anleitungen zur Verwendung dieses Tools finden Sie im Kapitel Netzwerk Konfiguration im Red
131. Einrichten eines NTP Servers und http www eecis udel edu ntp f r zus tzliche Infor mationen zu NTP 2 Installieren Sie auf dem daf r abgestellten Rechner auf dem KDC ausgef hrt wird die Pakete krb5 libs krb5 server undkrb5 workstation Dieser Rechner muss extrem sicher sein wenn m glich sollten au er KDC keine anderen Services ausgef hrt werden Wenn Sie Kerberos mit einem GUI Utility verwalten m chten sollten Sie auch das gnome kerberos Paket installieren Es enth lt krb5 ein GUI Tool zum Verwalten von Tickets 3 Bearbeiten Sie die Konfigurationsdateien etc krb5 conf und var kerberos krb5kdc kdc conf um den Realm Namen sowie die Domain Realm Zuordnungen anzugeben Ein einfacher Realm kann durch das Ersetzen von Instanzen von BEISPIEL COM und Beispiel com durch Ihren Domainnamen erstellt werden beachten Sie die Gro und Kleinschreibung sowie durch ndern des KDC von Kerberos Beispiel com in den Namen des Kerberos Servers Hierbei gilt dass alle Realm Namen gro und alle DNS Hostnamen und Domainnamen klein geschrieben werden Weitere Informationen zum Format dieser Dateien finden Sie auf den jeweiligen man Seiten 4 Erstellen Sie die Datenbank mit Hilfe des Dienstprogramms kdb5_util von einem Shell Prompt usr kerberos sbin kdb5_util create s Der Befehl create erstellt die Datenbank die zum Speichern der Schl ssel f r den Kerberos Realm verwendet wird Der Switch s erzwingt die Erstellung ein
132. Hat Enterprise Linux Sicherheitshandbuch Co Autor des Red Hat Enterprise Linux Introduction to System Administration Co Autor des Red Hat Enterprise Linux Schrittweise Einf hrung Das Red Hat Team verantwortlich f r bersetzungen besteht aus Jean Paul Aubry Franz sisch David Barzilay Portugisisch Brasilien Bernd Groh Deutsch James Hashida Japanisch Michelle Ji yeen Kim Koreanisch Yelitza Louze Spanisch Noriko Mizumoto Japanisch Nadine Richter Deutsch Audrey Simons Franz sisch Francesco Valente Italienisch Sarah Saiying Wang Einfaches Chinesisch Ben Hung Pin Wu Traditionelles Chinesisch 284
133. I Skripts k nnten wie Textdokumente gelesen werden Auch wenn Sie nichts dagegen haben dass andere Ihre CGI Skripts lesen und weiterverwenden k nnte die Offenlegung ihrer Funktion von Benutzern mit krimineller Energie zur Ausnutzung von Sicherheitsl cken im Skript genutzt werden Dies kann somit ein Sicherheitsrisiko f r Ihren Server darstellen Standardm ig ist das Verzeichnis cgi bin ein ScriptAlias von cgi bin und in Wirklichkeit das Verzeichnis var www cgi bin Hinweise zum Ausf hren von CGI Skripts in anderen Verzeichnissen als cgi bin finden Sie in Ab schnitt 10 5 55 und Abschnitt 10 5 21 10 5 41 Redirect Wenn eine Web Seite verschoben wird kann mit Redirect die Zuordnung der alten URL auf eine neue URL erfolgen Hier das Format Redirect lt old path gt lt file name gt http lt current domain gt lt current path gt lt file name gt Wenn also eine HTTP Anforderung f r eine Seite empfangen wird die fr her unter http your_domain path foo html abgerufen werden konnte sendet der Server die neue URL http new_domain path foo html an den Client der dann im Normalfall versucht das Dokument von der neuen URL abzurufen In this example any requests for lt file name gt at the old location is automatically redirected to the new location Genauere Hinweise zur Redirect Option finden Sie im Modul mod_rewrite das mit dem Server geliefert wird 156 Kapitel 10 Apache HTTP Server 10 5 42 IndexOptions
134. IndexOptions bestimmt das Erscheinungsbild der vom Server erstellten Verzeichnislisten durch das Hinzufiigen von Symbolen Dateibeschreibungen usw Wenn Options Indexes aktiviert ist siehe Abschnitt 10 5 22 kann Ihr Web Server eine Verzeichnisliste erstellen wenn er eine HTTP Anforderung wie die Folgende empf ngt http your_domain this_directory Die Standardkonfiguration schaltet FancyIndexing ein Das heisst dass ein Benutzer ein Verzeich nis durch Klicken auf die Spaltenheader neu ordnen kann Ein weiterer Klick auf den selben Header ndert die Reihenfolge von Aufsteigend nach Absteigend FancyIndexing zeigt auch verschiedene Icons f r verschiedene Dateien je nach Dateiendungen In der Standardkonfiguration ist FancyIndexing aktiviert Wenn FancyIndexing aktiviert ist wer den durch Klicken auf die berschrift der Spalte in der Verzeichnisliste die Eintr ge entsprechend dieser Spalte sortiert Ein weiterer Klick auf dieselbe berschrift schaltet von aufsteigender zu ab steigender Reihenfolge um und umgekehrt FancyIndexing zeigt au erdem je nach Dateiendung verschiedene Symbole f r verschiedene Dateien an Bei Verwendung der Anweisung AddDescrip tion und aktiviertem FancyIndexing wird in der vom Server erstellten Verzeichnisliste eine kurze Dateibeschreibung angegeben IndexOptions hat eine Reihe von weiteren Parametern die zur Festlegung des Erscheinungsbilds der vom Server erstellten Verzeichnisse verwendet werden k nnen Z
135. Kapitel BIND Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration A warung Wenn Sie das Domain Name Service Configuration Tool verwenden sollten Sie die BIND Konfigurationsdateien nicht manuell bearbeiten da alle manuell vorgenommenen Anderungen vom Domain Name Service Configuration Tool berschrieben werden 11 1 Einf hrung in den DNS Wenn Hosts auf einem Netzwerk zu einem anderen ber deren Hostnamen auch fully qualified domain name FQDN genannt verbinden wird DNS verwendet um die IP Adressen der Rechner ber deren Hostnamen zu bestimmen Die Verwendung von DNS und FQDN sind auch f r Systemadministratoren vorteilhaft Dank dieser Namen verf gen Administratoren ber die Flexibilit t IP Adressen f r einzelne Rechner zu ndern ohne namenbasierte Abfragen der Rechner ausf hren zu m ssen Umgekehrt k nnen die Administra toren festlegen welche Rechner eine namenbasierte Abfrage in einer f r die Benutzer transparenten Weise handhaben DNS wird im Allgemeinen mit Hilfe zentralisierter Server implementiert die f r einige Domains authorisiert sind und sich auf andere DNS Server f r andere Domains beziehen Eine Client Applikation verbindet blicherweise ber den Port 53 mit dem Nameserver und fragt In formationen ber diesen ab Der Nameserver wird versuchen mit Hilfe einer Resolver Bibliothek den FQDN zu l sen Diese Bibliothek kann die vom Host angeforderten Informationen oder Daten ber
136. Karten NICs erfordern keine Modul Parameter um Einstellungen zu ndern Diese k nnen Anstelle mit ethtool oder mii tool konfiguriert werden Nur wenn der Versuch mit diesen Tools fehlschl gt sollten Modul Parameter angepasst werden Zu Information ber die Verwendung dieser Tools sehen Sie die man Seiten von ethtool und mii tool Hardware Modul Parameter Anhang A Allgemeine Parameter und Module 265 Hardware Modul sid Parameter 3Com EtherLink PCI 3c59x 0 full_duplex IIVXL Vortex 3c590 0 ist ausgeschaltet 3c592 3c595 36597 1 ist eingeschaltet Boomerang 3c900 3c905 3c595 gt RTL8139 SMC EZ Karte 8139too o Fast Ethernet RealTek Karten die RTL8129 oder RTL8139 Fast Ethernet Chipsets verwenden Intel Ether e100 0 e100_speed_duplex xX Express 100 Treiber Wenn X 0 automatisches Finden Geschwindigkeit und Duplex 1 10Mbps half duplex 2 10Mbps full duplex 3 100Mbps half duplex 4 100Mbps full duplex Intel EtherExpress 1000 e1000 0 Gigabit Intel i82557 182558 PCI eeprol00 0 EtherExpressPro Treiber NatSemi DP83815 Fast natsemi o Ethernet AMD PCnet32 und AMD pcnet32 0 PCnetPCI SIS 900 701G PCI Fast sis900 0 Ethernet ThunderLAN Digital 21x4x Tulip tulip o io I O_Port PCI Ethernetkarten SMC EtherPower 10 PCI 8432T 8432BT SMC EtherPower 10 100 PCI 9332DST DEC EtherWorks 100 10 PCI DE500 XA DEC EtherWorks 10 PCI DE450 DEC QSILVER s Znyx 312 etherarray Allied
137. Konfigurationsdatei einer PAM Anwendung sieht z B wie folgt aus SPAM 1 0 auth required pam_securetty so auth required pam_unix so shadow nullok auth required pam_nologin so account required pam_unix so password required pam_cracklib so retry 3 password required pam_unix so shadow nullok use_authtok session required pam_unix so Die erste Zeile ist ein Kommentar was durch das Hash Zeichen am Anfang der Zeile erkenntlich ist Die Zeilen zwei bis vier stellen drei Module in den Stack fiir die Authentifizierung bei der Anmeldung auth required pam_securetty so Wenn der Benutzer sich als Root anzumelden versucht stellt dieses Modul sicher dass das Terminal an dem er sich anmeldet in der Datei etc securetty aufgef hrt ist falls solch eine Datei existiert auth required pam_unix so shadow nullok Dieses Modul fragt den Benutzer nach einem Passwort und berpr ft dieses Passwort anhand der in etc passwd und falls vorhanden in etc shadow gespeicherten Informationen Das Modul pam_unix so erkennt gespeicherte Shadow Passworter und verwendet sie zur Authentifizierung von Benutzern Im Abschnitt 6 5 finden Sie weitere Informationen Das Argument nullok weist das Modul pam_unix so an ein leeres Passwort zuzulassen auth required pam_nologin so Das ist der letzte Schritt der Authentifizierung Es wird gepr ft ob die Datei etc nologin existiert Falls nologin existiert und der Benutzer nicht als Root angemeldet ist schl gt
138. LDAP Server auf andere LDAP Server im Netzwerk verwendet wird Der sLurpd Daemon ist nur erforderlich wenn mehrere LDAP Server verwendet werden Das openldap server Paket installiert zum Durchf hren von Verwaltungsaufgaben folgende Uti lities in usr sbin e slapadd F gt Eintr ge aus einer LDIF Datei in ein LDAP Verzeichnis ein usr sbin slapadd 1 ldif Eingabe liest die LDIF Datei Idif Eingabe welche die neuen Eintr ge enth lt e slapcat Entnimmt Eintr ge aus einem LDAP Verzeichnis im Standardformat Berkeley DB und speichert diese in einer LDIF Datei Der Befehl usr sbin slapcat 1 ldif Ausgabe gibt zum Beispiel eine LDIF Datei 1dif Ausgabe aus welche die Eintr ge aus dem LDAP Verzeichnis enth lt e slapcat gdbm Zieht Eintr ge aus dem LDAP Verzeichnis im gdbm Format die Vorgabe in fr heren OpenLDAP Versionen und speichert diese in einer LDIF Datei Dieser Befehl wird lediglich zur Migration eines Verzeichnisses von OpenLDAP unter Red Hat Enterprise Linux 2 1 und Red Hat Linux Versionen 7 x bis 8 verwendet Sehen Sie Abschnitt 12 8 f r Informationen zur Verwendung dieses Befehls slapindex Indiziert das slapd Verzeichnis auf Grundlage des aktuellen Inhalts neu Dieses Tools sollte ausgef hrt werden wenn die Indexing Optionen in etc openldap slapd conf ge ndert werden slappasswd Generiert einen verschl sselten Wert eines Benutzerpasswortes zur Verwendung mit dem ldapmodify oder rootpw We
139. Linux 3 aktualisiert Zu den nderungen geh ren u a Ein neues FTP Kapitel Das neue FTP Kapitel erkl rt das FTP Protokoll und stellt eine detaillierte Liste an Konfigura tionsoptionen f r den Standard FTP Server bereit vsftpd Ein aktualisiertes Netzwerk Dateisysteme NFS Kapitel Das Netzwerk Dateisystem NFS wurde komplett berarbeitet und f r eine bessere Klarheit neu organisiert Au erdem wurden neue Bereiche hinzugef gt z B TCP und Kontrolllisten Unterst tzung Ein aktualisierter ModuleAnhang Der Module Anhang ist komplett berarbeitet worden Es wurden Anweisungen f r das bonding Modul hinzugef gt das Benutzern erlaubt mehrfache Netzwerk Schnittstellenkarten zusammenzubinden als ob sie eine w ren Das Kapitel Netzwerkschnittstellen wurde aktualisiert Das Kapitel Netzwerkschnittstellen wurde aktualisiert und enth lt jetzt IPSec und bindende Schnittstellen Das Kapitel Apache HTTP Server wurde aktualisiert Es steht nun ein Leitfaden zur Migration von Version 1 3 nach Version 2 0 von Apache HTTP Server zur Verf gung Au erdem wurde die Liste der Serverkonfigurations Optionen auf den neuesten Stand gebracht Ein besonderer Dank geht an Gary Benson und Joe Orton f r ihre harte Arbeit am Apache HTTP Server Migrationsleitfaden Ein aktualisiertes Das X Window System Kapitel Das X Window System wurde komplett umgeschrieben und f r eine bessere Klarheit neu organ isiert Weiterhin wurden Anleitungen zur Font
140. Meistens ist es am g nstigsten ServerAdmin auf webmaster example com einzustellen Richten Sie dann in etc aliases einen Alias webmaster ein der auf den f r den Web Server Verantwort lichen zeigt F hren Sie schlie lich usr bin newaliases aus um den neuen Alias hinzuzuf gen 10 5 18 ServerName Mit ServerName k nnen Sie einen Rechnernamen und eine Port Nummer die mit der Anweisung Listen bereinstimmt f r Ihren Server angeben Der Servername kann sich vom vom wirklichen Namen Ihres Host unterscheiden Zum Beispiel k nnen Sie so den Namen www your_domain com 150 Kapitel 10 Apache HTTP Server einrichten obwohl der wirkliche Name Ihres Servers foo your_domain com Beachten Sie dass Ser verName einen g ltigen Domain Name Service DNS Namen enthalten muss den Sie auch tats ch lich verwenden d rfen also nicht einfach etwas ausdenken Zum Beispiel ServerName www example com 80 Wenn Sie in ServerName einen Servernamen angeben muss die entsprechende Zuordnung von IP Adresse und Servername in Ihrer etc hosts Datei enthalten sein 10 5 19 UseCanonicalName Wenn auf on gesetzt konfiguriert diese Anweisung Apache HTTP Server dazu sich selbst mit den ServerName und Port Anweisungen zu referenzieren Ist UseCanonicalName auf off gesetzt verwendet der Server stattdessen den Wert der in der Anforderung des Clients enthalten ist um sich selbst zu referenzieren UseCanonicalName ist standardm ig auf of f eingestell
141. Nameserver weiterzuleiten hint Ein spezieller Zonen Typ mit dem auf die Root Nameserver verwiesen wird die ver wendet werden um Abfragen zu l sen wenn eine Zone ansonsten unbekannt ist Sie brauchen neben der Standarddatei etc named conf keine zus tzliche Hinweisdatei konfigurieren master Bezeichnet den Nameserver der f r diese Zone ma geblich ist Wenn die Konfigu rationsdateien f r diese Zone auf Ihrem System sind sollte der master Typ eingestellt werden slave Bezeichnet den Nameserver der f r diese Zone der Slave Server ist und der named mitteilt die Zonen Konfigurationsdateien f r diese Zone von der IP Adresse des Master Nameservers abzufragen e zone statistics Weist named an die Statistiken ber diese Zone aufzubewahren und diese entweder in der Standard Datei var named named stats oder an einer Stelle abzulegen die mit der statistics file Option in der server Anweisung sofern vorhanden daf r ein gerichtet wurde Sehen Sie Abschnitt 11 2 2 f r mehr Information ber das server Statement 11 2 1 5 Beispiele von zone Statements Die meisten nderungen in der etc named conf Datei eines Master oder Slave Nameservers betreffen das Hinzuf gen Modifizieren oder L schen von zone Direktiven Obwohl diese zone Anweisungen mehrere Optionen enthalten k nnen werden von den meisten Nameservern nur weni ge verwendet Die folgenden zone Direktiven sind sehr allgemeine Beispiele die auf Master
142. Red Hat Enterprise Linux 3 Referenzhandbuch I redhat Red Hat Enterprise Linux 3 Referenzhandbuch Copyright 2003 von Red Hat Inc a Red Hat Inc 1801 Varsity Drive Raleigh NC 27606 2072 USA Phone 1 919 754 3700 Phone 888 733 4281 Fax 1 919 754 3701 PO Box 13588 Re search Triangle Park NC 27709 USA rhel rg DE 3 Print RHI 2003 07 25T17 13 Copyright 2003 by Red Hat Inc Das vorliegende Material darf nur unter Einhaltung der in Open Publication License V1 0 oder neuer dargelegten Gesch ftsbedingungen vertrieben werde die neueste Version ist gegenw rtig unter http www opencontent org openpub verf gbar Betr chtlich modifizierte Versionen dieses Dokumentes d rfen nur mit ausdr cklicher Genehmigung des Copyright Inhabers vertrieben werden Der Vertrieb des Werks oder einer Ableitung des Werks in Standardbuchform Papier zu kommerziellen Zwecken ist nicht zul ssig sofern dies nicht zuvor durch den Copyright Inhaber genehmigt wurde Red Hat Red Hat Network das Red Hat Shadow Man Logo RPM Maximum RPM das RPM Logo Linux Library PowerTools Linux Undercover RHmember RHmember More Rough Cuts Rawhide und alle Red Hat basierten Warenzeichen und Logos sind Warenzeichen oder eingetragene Warenzeichen von Red Hat Inc in den USA und anderen L ndern Linux ist ein eingetragenes Warenzeichen von Linus Torvalds Motif und UNIX sind eingetragene Warenzeichen von The Open Group Intel und Pentium sind eingetr
143. Server 1 3 Format konvertieren m ssen Biworung Wenn Sie vorhaben das graphische HTTP Configuration Tool redhat config httpd zu verwen den editieren Sie nicht die Apache HTTP Server Konfigurationsdatei Das HTTP Configuration Tool erstellt diese Datei jedes Mal neu wenn sie verwendet wird Weitere Informationen zum HTTP Configuration Tool finden Sie im Kapitel Apache HTTP Server Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration 10 1 Apache HTTP Server 2 0 Es gibt einige wichtige Unterschiede zwischen Apache HTTP Server Version 2 0 und Version 1 3 die mit der Release Red Hat Linux 7 3 und fr her ausgeliefert wurde Dieser Abschnitt gibt einen berblick ber einige der neuen Merkmale von Apache HTTP Server 2 0 und weist auf wichtige nderungen hin M chten Sie eine Konfigurationsdatei der Version 1 3 in das neue Format migrieren lesen Sie Abschnitt 10 2 10 1 1 Merkmale von Apache HTTP Server 2 0 Die Einf hrung von Apache HTTP Server 2 0 bringt eine Reihe neuer Merkmale mit sich Einige davon sind Neue Apache API Apache HTTP Server hat eine Reihe neuer besserer Application Programing Interfaces APIs f r Module EB wicntic F r Apache HTTP Server 1 3 gebaute Module funktionieren nicht wenn diese nicht auf die neue API angepasst wurden Wenn Sie sich nicht sicher sind ob ein bestimmtes Modul angepasst wurde oder nicht wenden Sie sich an die f r die Paket Pflege zust ndige Stell
144. UT Chain wenn diese fiir das lokale System bestimmt sind w hrend Pakete nur an die OUTPUT Chain gesendet werden wenn das lokale System die Pakete erzeugt hat Aus diesem Grund m ssen Sie sicherstellen dass sich die Regel f r das Abfangen eines bestimmten Pakets in der richtigen Chain befindet die das Paket auch wirklich behandelt Das DENY Ziel wurde auf DROP ge ndert Mit ipchains k nnen Pakete die einer Regel in einer Chain entsprachen an das DENY Ziel weitergeleitet werden welches unbemerkt das Paket aus gelassen hat Dieses Ziel muss mit iptables auf DROP ge ndert werden damit derselbe Effekt erzielt wird Die Reihenfolge ist wichtig wenn Optionen in eine Chainregel eingef gt werden Bisher war mit ipchains die Reihenfolge der Optionen bei der Eingabe einer Regel nicht so wichtig Der iptables Befehl ist ein wenig empfindlicher daf r an welcher Stelle Optionen eingef gt werden Sie m ssen nun z B den Ursprungs oder Zielport nach dem in einer Chainregel zu verwendenden Protokoll ICMP TCP oder UDP spezifizieren Bei der Spezifizierung von Netzwerkschnittstellen auf die eine bestimmte Regel angewandt werden soll m ssen Sie Eingangsschnittstellen i option nur mit INPUT oder FORWARD Chains und Ausgangsschnittstellen o option nur mit FORWARD oder OUTPUT Chains verwenden Dies ist notwendig weil OUTPUT Chains nicht mehr f r Eingangsschnittstellen verwendet werden und INPUT Chains f r Pakete die durch eine Sc
145. V lt Wert gt wobei lt Wert gt das Gateway Ger t ist z B eth0 NISDOMAIN lt Wert gt wobei lt Wert gt der NIS Domainname ist 4 1 23 etc sysconfig ntpd Die Datei etc sysconfig ntpd wird verwendet um beim Booten Argumente an den ntpd Daemon zu tibertragen Mit dem ntpd Daemon wird die Systemuhr eingestellt und in Ubereinstimmung mit einem Standard Zeit Server im Internet gebracht Hierbei wird Version 4 des Network Time Protocol NTP implementiert Weitere Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie wenn Sie den Browser zu folgender Datei f hren usr share doc ntp lt Version gt ntpd htm wobei lt Version gt die Versionsnummer vonntpd ist Standardm ig legt diese Datei den Besitzer des ntpd Prozesses auf den Benutzer ntp 4 1 24 etc sysconfig pcmcia Mit der Datei etc sysconfig pcmcia werden die Informationen zur Konfiguration von PCMCIA bestimmt Die folgenden Werte k nnen verwendet werden PCMCIA lt Wert gt wobei lt Wert gt einer der folgenden Werte ist yes Der PCMCIA Support sollte aktiviert werden no Der PCMCIA Support sollte nicht aktiviert werden e PCIC lt Wert gt wobei lt Wert gt einer der folgenden Werte ist i82365 Der Computer verf gt ber einen Chipsatz mit i82365 PCMCIA Steckplatz e tcic Der Computer verf gt ber einen Chipsatz mit teic PCMCIA Steckplatz e PCIC_OPTS lt Wert gt wobei lt Wert gt die Timing Para
146. Zun chst berpr ft pam_nologin so ob etc nologin existiert Ist dies der Fall kann sich nie mand anmelden mit Ausnahme des Rootbenutzers 206 Kapitel 13 Pluggable Authentication Modules PAM auth required pam_securetty so Anschlie end verhindert pam_securetty so dass Root Anmeldungen auf unsicheren Terminals vorgenommen werden k nnen Damit werden praktisch alle Root Anmeldungen ber rlogin aus Sicherheitsgr nden verhindert Sr Um sich als Root von einem Remote Rechner aus anzumelden benutzen Sie OpenSSH F r mehr Informationen zum SSH Protokoll sehen Sie Kapitel 17 auth required pam_env so Diese Zeile l dt das Modul pam_env so das die in etc security pam_env conf angegebenen Umgebungsvariablen festlegt auth sufficient pam_rhosts_auth so Das pam_rhosts_auth so Modul authentifiziert den Benutzer unter Verwendung von rhosts im Hauptverzeichnis des Benutzers Sollte dies erfolgreich sein wird PAM die Authentifizierung als erfolgreich ansehen Sollte pam_rhosts_auth so fehlschlagen wird dieser Versuch der Authenti fizierung ignoriert auth required pam_stack so service system auth Wenn die Authentifizierung des Benutzers durch pam_rhosts_auth so gescheitert ist f hrt das pam_stack so Modul eine normale Passwort Authentifizierung durch Das Argument service system auth bedeutet dass der Benutzer die PAM Konfiguration zur System Authentifizierung in etc pam d system auth durchlaufen muss o Wenn Sie
147. a Apache HTTP Server 2 0 DSOs unterst tzt k nnen Sie Apache Module auf einfache Weise laden bzw Ihre eigenen Module einkompilieren DSO Unterst tzung bedeutet auch dass Module w hrend der Laufzeit dynamisch nach Bedarf geladen werden k nnen und so keinen Speicherplatz auf dem Server belegen Das Apache Project stellt eine vollst ndige DSO Dokumentation unter http httpd apache org docs 2 0 dso html zur Verf gung Nach der Installation des Pakets http manual k nnen Sie auch unter http localhost manual mod Dokumentationen zu Apache Modulen finden Damit Apache HTTP Server ein DSO Modul verwenden kann muss dieses in einer LoadModule Anweisung in der Datei etc httpd conf httpd conf enthalten sein Wenn das Modul von ei nem separaten Paket bereit gestellt wird muss diese Zeile in der Konfigurationsdatei des Moduls im Verzeichnis etc httpd conf d erscheinen Sehen Sie Abschnitt 10 5 12 f r weitere Informatio nen zur LoadModule Anweisung Wenn Sie Module aus http conf hinzuf gen oder l schen m ssen Sie Apache neu laden oder star ten wie in Abschnitt 10 4 beschrieben Wenn Sie ein eigenes Modul haben k nnen Sie es zur Datei httpd conf hinzuf gen damit es als ein DSO einkompiliert und geladen wird Dazu m ssen Sie das Paket httpd devel installieren weil es die Include Dateien die Header Dateien und die APache eXtenSion apxs enth lt Der Befehl apxs verwendet die Include Dateien und die Header Dateien zum Kompilieren de
148. ab Authentifizierung aus damit Sie standardm ige PAM f hige Anwendungen f r die Authentifizierung mit LDAP verwenden k nnen Weitere Informationen zum Konfigurieren von PAM finden Sie unter Kapitel 13 sowie auf den man Seiten von PAM 12 7 2 Umwandeln lhrer alten Authentifizierungsinformationen in das LDAP Format Das Verzeichnis usr share openldap migration enth lt mehrere Shell und Perl Skripte zur Umwandlung Ihrer alten Authentifizierungsinformationen in das LDAP Format f 8 Anmerkung Um diese Skripte ausf hren zu k nnen m ssen Sie Perl auf Ihrem System installiert haben Zuerst m ssen Sie die Datei migrate_common ph an Ihre Domain anpassen Die Standardwerte der Standard DNS Domain m ssen hnlich wie folgt ge ndert werden DEFAULT_MAIL_DOMAIN example Die Standardannahme muss ebenfalls ge ndert werden von SDEFAULT_BASE dc example dc com Das Umwandeln einer Benutzerdatenbank in ein LDAP Format fallt einer Gruppe von Umwandlungs skripten im gleichen Verzeichnis zu Entscheiden Sie mit Hilfe von Tabelle 12 1 welches Skript zur Umwandlung der Benutzerdatenbank ausgefiihrt werden soll F hren Sie das Ihrem vorhandenen Name Service entsprechende Skript aus Die Dateien README und migration tools txt im Verzeichnis usr share openldap migration enthalten weitere Detailinformationen zum Umwandeln der Informationen Namensdienst ausgef hrt etc Klartext Dateien etc Klartext Dateien Netto mig
149. ag kann so viele der lt attrtype gt lt attrvalue gt Paare haben wie erforderlich Eine leere Zeile markiert das Ende eines Eintrags O sonne Alle der lt attrtype gt und lt attrvalue gt Paare m ssen in einer entsprechenden Schemadatei definiert sein um diese Informationen verwenden zu k nnen Alle Angaben innerhalb der spitzen Klammern lt und gt sind Variablen und k nnen mit Aus nahme von lt ID gt beim Erstellen eines neuen LDAP Eintrags festgelegt werden Die lt ID gt ist eine Zahl die von der Anwendung festgelegt wird wenn der Eintrag bearbeitet wird Kapitel 12 Lightweight Directory Access Protocol LDAP 189 12 3 OpenLDAP Daemons and Utilities Die Suite der OpenLDAP Bibliotheken und Tools ist ber folgende Pakete verteilt openldap Enth lt die Bibliotheken welche zum Ausf hren der OpenLDAP Server und Client Applikationen ben tigt werden openldap clients Enth lt die Befehlszeilentools zur Ansicht und zum Ver ndern der Verze ichnisse auf einem LDAP Server openldap server Enth lt die Server und andere Tools welche zum Konfigurieren und f r den Betrieb eines LDAP Servers ben tigt werden Das openldap servers Paket enth lt zwei Server den Standalone LDAP Daemon usr sbin slapd und den Standalone LDAP Update Replication Daemon usr sbin slurpd Der slapd Daemon ist der eigenst ndige LDAP Server w hrend der slurpd Daemon zum Synchro nisieren der nderungen von einem
150. agene Warenzeichen der Intel Corporation Itanium und Celeron sind Warenzeichen der Intel Corporation AMD Opteron Athlon Duron und K6 sind eingetragene Warenzeichen von Advanced Micro Devices Inc Netscape ist ein eingetragenes Warenzeichen der Netscape Communications Corporation in den USA und anderen L ndern Windows ist ein eingetragenes Warenzeichen der Microsoft Corporation SSH und Secure Shell sind Warenzeichen der SSH Communications Security Inc FireWire ist ein Warenzeichen der Apple Computer Corporation IBM AS 400 OS 400 RS 6000 S 390 und zSeries sind eingetragene Warenzeichen der International Business Machines Corporation eServer iSeries und pSeries sind Warenzeichen der International Business Machines Corporation Alle weiteren hier genannten Rechte an Warenzeichen sowie Copyrights liegen bei den jeweiligen Eigent mern Der GPG Code des security redhat com Schl ssels lautet CA 20 86 86 2B D6 9D FC 65 F6 EC C4 21 91 80 CD DB 42 A6 0E Inhaltsverzeichnis Einf hrung susenssesnsnenenenenssnensnenssnsnenenenennenenenenenunensnensnnensnenensnnenenensnensenensnensnnensnensnenssnsnsnssennenensnene i 1 nderungen an diesem Handbuch ccsscssesssessessesssssssesessscssessscsscsussscesecsessscsuesuecsecsesaseeseess i 2 So finden Sie die geeignete Dokumentation 2 1 Dokumentation f r Linux Einsteiger esensennensenensennnensnnnennn ii 2 2 F r erfahrene Linux Benutzet ccceeceeceess
151. ails zu verwenden Alle an Port 1100 gesendeten Anforderungen werden auf diese Weise sicher an den Server mail example com weitergeleitet Wenn mail example com keinen SSH Serverdaemon ausf hrt Sie sich jedoch an einem anderen Rechner im gleichen Netzwerk anmelden k nnen k nnen Sie dennoch SSH verwenden um einen Teil der Verbindung zu sichern Hierzu ist ein anderer Befehl notwendig ssh L 1100 mail example com 110 other example com In diesem Beispiel werden POP3 Anfragen von Port 1100 des Client Rechners ber die SSH Verbindung auf Port 22 an den SSH Server other example com weitergeleitet Anschlie end verbindet sich other example com mit Port 110 auf mail example com so dass Sie neue E Mails abrufen k nnen Beachten Sie dass bei Verwendung dieser Methode nur die Verbindung zwischen dem Client System und dem other example com SSH Server sicher ist Dies kann sehr n tzlich sein wenn Sie Informationen sicher ber Netzwerk Firewalls bertragen m chten Wenn die Firewall so konfiguriert ist dass SSH Kommunikationen ber den Standardport 22 erfolgen die bertragung ber andere Ports jedoch gesperrt ist ist eine Verbindung zwischen zwei Rechnern mit gesperrten Ports weiterhin m glich indem die Meldungen ber eine festgesetzte SSH Verbindung zwischen diesen Rechnern bermittelt werden Anmerkung Die Verwendung von Port Forwarding f r das Weiterleiten von Verbindungen erm glicht es jedem Benutzer des Client Servers
152. alle Anfragen antwortet die nicht ber eine lt VirtualHost gt Definition gehandhabt werden Die Werte hier liefern auch Standardwerte f r alle lt VirtualHost gt Definitionen die Sie eventuell definieren m chten In den Anweisungen dieses Abschnitts gibt es kaum Unterschiede zwischen Apache HTTP Server 1 3 und Version 2 0 Wenn Ihre Hauptserver Konfiguration sehr stark benutzerdefiniert ist ist es vielleicht einfacher f r Sie wenn Sie Ihre bereits existierende Konfiguration an Apache HTTP Server 2 0 an passen Benutzer mit weniger benutzerdefinierten Hauptserver Abschnitten sollten ihre nderungen in die Apache HTTP Server 2 0 Stock Konfiguration migrieren 10 2 2 1 UserDir Mapping Die Anweisung UserDir wird verwendet um URLs wie http example com bob in ein Unterverzeichnis innerhalb des Home Verzeichnisses des Benutzers bob wie home bob public_html abzubilden Als Nebenwirkung erlaubt es diese Eigenschaft einem potentiellen Unbefugten festzustellen ob ein bestimmter Benutzername im System vorhanden ist Aus diesem Grund ist diese Anweisung in der Standardkonfiguration von Apache HTTP Server 2 0 deaktiviert Aktivieren Sie die UserDir Abbildung durch Um ndern der sich in httpd conf befindlichen An weisung von UserDir disable in folgende UserDir public_html Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_us
153. ample com STTL 86400 IN SOA dnsl example com hostmaster example com 2001062501 serial 21600 vefresh after 6 hours Kapitel 11 Berkeley Internet Name Domain BIND 179 3600 retry after 1 hour 604800 expire after 1 week 86400 minimum TTL of 1 day IN NS dnsl example com IN NS dns2 example com IN MX 10 mail example com IN MX 20 mail2 example com IN A 10 0 155 serverl IN A 10 0 155 server2 IN A 10 0 1 7 dns1 IN A 10 0 1 2 dns2 IN A 10 0 1 3 ftp IN CNAME serverl mail IN CNAME serverl mail2 IN CNAME server2 www IN CNAME server2 In diesem Beispiel werden Standard Anweisungen und SOA Werte verwendet Die ma geblichen Name Server sind dabei als dns1 example com und dns2 example com eingestellt die ber A Records verf gen wodurch sie mit 10 0 1 2 bzw 10 0 1 3 verbunden sind Die mit Mx Records konfigurierten E Mail Server verweisen auf server1 und server2 ber CNAME Records Da die server1 und server2 Namen nicht mit einem Punkt enden wird die SORIGIN Domain nach ihnen abgelegt wobei sie zu server1 domain com und server2 domain comer weitert werden Mit den dazugeh rigen A Resource Records k nnen dann ihre IP Adressen bestimmt werden Die beliebten FTP und Web Dienste die unter den standardm igen Namen ftp domain com und www domain com zur Verf gung stehen verweisen auf Rechner die entsprechende Dienste f r die Namen bieten die CNAME Records verwenden 11 3 4 Zone Dateien f r die umgek
154. angegebenen Partition befindet verwenden Sie stattdesses 1 als Dateinamen Im Folgenden ein Beispiel fiir einen chainloader Befehl chainloader 1 displaymem Zeigt den derzeitigen Speicherbedarf entsprechend den Informationen des BIOS an Dies ist besonders zum Ermitteln des RAM eines Systems vor dem Booten n tzlich initrd lt path to initrd gt Erm glicht die Angabe einer initialen RAM Disk die beim Booten verwendet wird Eine initrd ist erforderlich wenn der Kernel bestimmte Module zum ordnungsgem en Starten ben tigt Dies ist zum Beispiel dann der Fall wenn die root Partition mit dem Dateisystem ext3 formatiert wurde Im Folgenden ein Bespiel f r einen initrd Befehl initrd initrd 2 4 21 ent img e install lt stage 1 gt lt install disk gt lt stage 2 gt p config file _Installiert GRUB in den System MBR lt stage 1 gt Spezifiziert Ger t Partition und Datei wo das erste Boot Loader Image gefun den werden kann z B hd0 0 grub stagel lt install disk gt Gibt die Platte an auf welcher der Stage 1 Boot Loader installiert sein sollte z B hd0 lt sstage 2 gt Ubergibt dem Stage 1 Boot Loader den Ort an welchem sich der Stage 2 Boot Loader befindet z B hd0 0 grub stage2 p lt config file gt Diese Option weist den install Befehl an nach der Konfigurationsdatei des Men s das durch lt config file gt spezifiziert ist zu suchen Zum Beispiel hd0 0 gr
155. application x httpd php php AddType application x httpd php source phps Verwenden Sie dagegen in Apache HTTP Server 2 0 folgende Anweisungen lt Files php gt SetOutputFilter PHP SetInputFilter PHP lt Files gt In PHP 4 2 0 und sp teren Versionen haben sich die standardm igen vordefinierten Variablen die im globalen Scope verf gbar waren ge ndert Individuelle Input und Servervariablen werden nicht mehr standardm ig direkt in das globale Scope gesetzt Diese nderung kann dazu f hren dass Skripts nicht mehr funktionieren Sie k nnen zum alten Verhalten zur ckkehren indem Sie in der Datei etc php ini register_globals auf On setzen Weitere Informationen zu diesem Thema finden Sie im folgenden URL Darin enthalten sind Einzel heiten zu den nderungen im globalen Scope http www php net release_4_1_O php 10 2 4 8 Das Modul mod_authz_ldap Red Hat Enterprise Linux wird mit dem Modul mod_authz_ldap f r Apache HTTP Server aus geliefert Dieses Modul verwendet die Kurzform des Distinguished Name als Subjekt und den Aussteller des Client SSL Zertifikats um den Distinguished Name des Benutzers innerhalb eines LDAP Verzeichnisses zu bestimmen Es kann auch Benutzer anhand den Attributen der Eintr ge im LDAP Verzeichnis autorisieren wobei Zugriff auf ein Asset auf Benutzerrechte und Gruppenrechten Kapitel 10 Apache HTTP Server 143 des Asset basiert und Zugriff fiir Benutzer mit abgelaufenen Passwortern abg
156. ariable und statische Dateien gemeinsam genutzte Dateien sind Dateien auf die lokal zugegriffen werden kann und auf die ver schiedene Hosts zugreifen k nnen w hrend nicht gemeinsam genutzte Dateien nur lokalen Hosts zur Verf gung stehen Variable Dateien wie z B Dokumente k nnen jederzeit ge ndert werden stati sche Dateien wie Bin rdateien bleiben ohne Aktion des Systemadministrators unver ndert Diese Betrachtungsweise soll helfen die Zusammenh nge zwischen Dateien und den Zugriffsoptio nen ihrer Verzeichnisse besser zu erkennen Die Art wie das Betriebssystem und seine Benutzer die Dateien verwenden bestimmt somit auch das Verzeichnis in dem sie abgelegt werden Und ob dieses Verzeichnis schreibgesch tzt gemountet wird oder mit Schreib und Lesezugriff und welche Zugriffsrechte jeder Benutzer f r seine Dateien hat Ausschlaggebend ist die oberste Organisations stufe da der Zugriff auf die darunterliegenden Verzeichnisse eingeschr nkt werden kann bzw sich unter Umst nden Sicherheitsprobleme ergeben wenn die Organisation nicht von oben bis unten einer strengen Struktur unterliegt 3 2 bersicht ber den Dateisystem Hierarchiestandard FHS Red Hat ben tzt die Filesystem Hierarchy Standard FHS Dateisystemstruktur die die Namen Orte und Genehmigungen f r viele Dataiarten und Verzeichnisse definiert Das aktuelle FHS Dokument ist die maBgebende Referenz f r alle FHS konformen Dateisystem wo bei der Standard j
157. arstellt ist die vom X Window System kurz X genannt bereitgestellte grafische Umgebung f r viele Benutzer das Gesicht des Betriebssy stems In der UNIX Welt gibt es seit Jahrzehnten Umgebungen mit Fenstergestaltung womit sie vielen der momentan gebr uchlichsten Betriebssystemen voraus war Das X Window System ist nun die gebr uchlichste GUI f r Unix hnliche Betriebssysteme Die graphische Umgebung von Red Hat Enterprise Linux wird von XFree86 bereitgestellt ei nem Open Source Softwareprojekt an dem Hunderte von Entwicklern in der ganzen Welt arbeiten XFree86 zeichnet sich durch eine schnelle Entwicklung einen umfangreichen Support f r verschie dene Hardware Ger te und Architekturen sowie die F higkeit aus unter verschiedenen Betriebssyste men und Plattformen zu laufen Das X Window System verwendet eine Client Server Architektur Dabei wird ein X Server Prozess gestartet mit dem sich X Client Prozesse ber ein Netzwerk oder eine lokale Verbindung verkn pfen k nnen Der Serverprozess verwaltet die Kommunikation mit der Hardware wie zum Beispiel mit der Grafikkarte dem Monitor der Tastatur und der Maus Der X Client existiert im Benutzerbereich und erstellt eine graphische Benutzerschnittstelle graphical user interface GUI f r den Benutzer und gibt Anfragen an den X Server weiter 7 1 XFree86 Red Hat Enterprise Linux 3 verwendet XFree86 Version 4 x als Basis X Window System welches viele Cutting Edge XFree86
158. art bezieht die bei der Ausf hrung von X verwendet wird Die hier aufgefiihrten Optionen entsprechen den MOUSETYPE Einstellungen dieser Datei DEVICE lt Wert gt wobei lt Wert gt die Maus ist Au erdem gibt es dev mouse einen symbolischen Link der auf das eigentliche Mausger t zeigt 4 1 20 etc sysconfig named Die Datei etc sysconfig named wird verwendet um beim Booten Argumente an den named Daemon zu bertragen Der named Daemon ist ein Domain Name System DNS Server der die Ver sion 9 von Berkeley Internet Name Domain BIND implementiert Auf diesem Server gibt es eine Tabelle mit deren Hilfe bestimmte Hostnamen IP Adressen im Netzwerk zugeordnet werden Verwenden Sie bitte bis auf weiteres nur die folgenden Werte ROOTDIR lt irgend wo gt wobei sich lt irgend wo gt auf den vollst ndigen Verzeichnisp fad einer konfigurierten Chroot Umgebung bezieht unter der named ausgef hrt wird Besagte Umgebung muss zun chst konfiguriert werden Nach Eingabe von info chroot erhalten Sie mehr Informationen dazu wie Sie bei der Konfiguration vorgehen m ssen OPTIONS lt Wert gt wobei lt Wert gt jede der auf der man Seite f r named aufgef hrten Optio nen sein kann mit Ausnahme von t An Stelle von t verwenden Sie oben bitte die ROOTDIR Zeile Informationen zu den Parametern die f r diese Datei zur Verf gung stehen erhalten Sie auf der man Seite von named Detaillierte Informationen zum Konfigur
159. as Fontconfig Font Subsystem erlaubt Applikationen den Zugriff auf Fonts des Systems und die Verwendung von Xft oder eines anderen Render Mechanismus um Fontconfig Fonts mit einem fort geschrittenen Anti Aliasing zu versehen Graphische Applikationen k nnen die Xft Library mit Font config dazu benutzen Text auf dem Bildschirm darzustellen Mit der Zeit wird das Fontconfig Xft Font Subsystem das Core X Font Subsystem vollst ndig abl sen EB wicntic Das Fontconfig Font Subsystem arbeitet noch nicht mit OpenOffice org das eigene Font Render Technologien verwendet Es ist wichtig zu beachten dass Fontconfig die Konfigurationsdatei etc fonts fonts conf teilt was das alte etc X11 XftConfig ersetzt Die Fontconfig Konfigurationsdatei sollte nicht manuell bearbeitet werden Sr W hrend dem bergang zum neuen Font System werden GTK 1 2 Applikationen von nderungen welche ber den Font Preferences Dialog Main Menu Button auf dem Panel gt Preferences gt Font get tigt werden nicht betroffen F r diese Applikationen kann eine Font durch Hinzuf gen der folgenden Zeile zur Datei gtkrc mine konfiguriert werden style user font fontset lt font specification gt widget_class style user font Ersetzen Sie lt font specification gt mit einer Fontangabe im traditionellen von X Applikationen verwendeten Format wie adobe helvetica medium r normal 120 x Eine vollst ndige Liste der Core F
160. astenkombination Strg Alt R cktaste beenden Sie Ihre grafische Sitzung und keh ren zum grafischen Anmeldebildschirm oder zur Konsole zur ck Text in der GUI Schnittstelle berschriften Worte oder S tze die Sie auf dem GUI Schnittstellenbildschirm oder in Window finden werden in diesem Stil wiedergegeben Wenn Sie daher einen Text in diesem Stil finden soll dieser einen bestimmten GUI Bildschirm oder ein Element eines GUI Bildschirms z B ein Text der sich auf ein Kontrollk stchen oder auf ein Feld bezieht identifizieren Beispiel W hlen Sie das Kontrollk stchen Passwort erforderlich wenn Ihr Bildschirmschoner passwort gesch tzt sein soll Erste Men stufe auf einem GUI Bildschirm oder in einem Fenster Wenn ein Wort auf diese Art und Weise dargestellt ist zeigt dies an dass es sich hierbei um den Anfang eines Pulldown Men s handelt Beim Klicken auf das Wort auf dem GUI Bildschirm erscheint der Rest des Men s Zum Beispiel Unter Datei auf dem GNOME Terminal sehen Sie die Option Neuer Tab mit dem Sie mehrere Shell Prompts im gleichen Fenster ffnen k nnen Wenn Sie eine Befehlsreihe aus einem GUI Men eingeben wollen wird diese entsprechend dem folgenden Beispiel angezeigt Indem Sie Hauptmen im Panel gt Programmieren gt Emacs w hlen starten Sie den Tex teditor Emacs Schaltfl che auf einem GUI Bildschirm oder in einem Fenster Diese Darstellungsweise zeigt an dass man den betreffenden Text auf
161. ative Datei zur Konfiguration des Men s nicht in den Befehl eingeschlossen wird dann kann ein Benutzer der das Passwort kennt die aktuelle Konfigurationsdatei bearbeiten F r weitere Informationen ber die Sicherung von GRUB siehe Kapitel Workstation Security im Red Hat Enterprise Linux Sicherheitshandbuch root lt device type gt lt device number gt lt partition gt Konfiguriert die Root Partition f r GRUB z B hd0 0 und mountet die Partition rootnoverify lt device type gt lt device number gt lt partition gt Konfiguriert die Root Partition fiir GRUB wie der root Befehl aber mountet die Partition nicht timeout lt integer gt Legt den Intervall in Sekunden fest der verstreicht bevor GRUB die in default command enthaltene Eingabe l dt splashimage lt path to image gt Gibt den Speicherort des Splashscreen Images an das verwendet wird wenn GRUB bootet title group title Legt einen Titel fest der einer bestimmten Gruppe von Befehlen zuge ordnet ist die f r das Laden eines Kernel oder Betriebssystems benutzt werden Um f r Benutzer lesbare Kommentare zur Men Konfigurationsdatei hinzuzuf gen beginnen Sie die Zeile mit dem Raute Zeichen 2 8 LILO LILO ist das Akronym f r L nux LOader und wurde w hrend vieler Jahre verwendet um Linux auf x86 Systemen zu starten Obwohl GRUB jetzt der Standardbootloader ist bevorzugen manche Per sonen LILO da sie mit dem Programm vertraut si
162. aussehen DEVICE eth lt N gt BOOTPROTO none ONBOOT yes MASTER bondO SLAVE yes 112 Kapitel 8 Netzwerk Schnittstellen USERCTL no In diesem Beispiel steht lt N gt fiir die Nummer der Schnittstelle Damit ein Channel Bonding Interface g ltig ist muss das Kernelmodul geladen sein Um sicherzu stellen dass das Kernelmodul geladen ist wenn das Channel Bonding Interface hochgefahren wird muss folgende Zeile zur Datei et c modules conf hinzugef gt werden alias bond lt N gt bonding lt N gt steht hierbei f r die Nummer der Schnittstelle wie 0 F r jedes konfigurierte Channel Bonding Interface muss ein entsprechender Eintrag in der Datei etc modules conf stehen Ist etc modules conf das Channel Bonding Interface und sind die Netzwerk Schnittstellen erst einmal konfiguriert kann der Befehl ifup verwendet werden um das Channel Bonding Interface hochzufahren EB wicntic Wichtige Aspekte des Channel Bonding Interface werden durch das Kernelmodul kontrolliert Fir weitere Informationen zur Kontrolle der bonding Module sehen Sie Abschnitt A 3 2 8 2 4 Alias und Clone Dateien Zwei weniger verwendete Arten von Schnittstellen Konfigurationsdateien sind Alias und Clone Da teien Alias Schnittstellen Konfigurationsdateien haben das Format ifcfg lt if name gt lt alias value gt Diese werden haupts chlich verwendet um mehrere Adressen zu einer einzelnen Schnittstelle zu binden Eine ifcfg eth0 0 Datei kann z B
163. auth sufficient pam_rhosts_auth so auth required pam_stack so service system auth Bevor rlogin ausgef hrt werden kann stellt PAM fest dass die Datei etc nologin nicht existiert dass niemandversucht sich von einem Remote Rechner ber eine unverschl sselte Netzwerkverbin dung als Root anzumelden und dass alle Umgebungsvariablen geladen werden k nnen Wenn die Kapitel 13 Pluggable Authentication Modules PAM 203 rhosts Authentifizierung erfolgreich ist kann die Verbindung zugelassen werden Ist die Authenti fizierung nicht erfolgreich wird zur Standardauthentifizierung mit Passwort tibergegangen 13 3 2 Steuer Flags Alle PAM Module erstellen bei einer berpr fung Fehler oder Erfolgsmeldungen Die Steuer Flags geben PAM an was mit diesen Ergebnissen geschehen soll Wahrend Module in einer bestimmten Reihenfolge gestapelt werden k nnen k nnen Sie mit den Steuer Flags einstellen wie wichtig der Erfolg oder das Fehlschlagen des entsprechenden Moduls f r die Authentifizierung des gesamten Service ist Es gibt vier vordefinierte Steuer Flags required Solche Module m ssen erfolgreich berpr ft werden bevor die Authentifizierung erfolgen kann Wenn bei einem required Modul Fehler auftreten wird der Benutzer dar ber in formiert sobald auch alle anderen Module welche die gleiche Schnittstelle referenzieren berpr ft wurden requisite Solche Module m ssen ebenfalls berpr ft werden bevor die Authentifizie
164. bearbeitung und verteilung zust ndig ist Drei MPM Module werden mit der Version 2 0 ausgeliefert prefork worker and perchild Lediglich prefork und worker MPMs sind zur Zeit verf gbar das perchild MPM k nnte allerdings zu einem sp teren Zeitpunkt verf gbar werden Das standardm ige Verhalten des Apache HTTP Server 1 3 wurde in das prefork MPM verlagert Das prefork MPM akzeptiert die gleichen Anweisungen wie Apache HTTP Server 1 3 Folgende Anweisungen k nnen direkt migriert werden StartServers e MinSpareServers e MaxSpareServers e MaxClients MaxRequestsPerChild Das worker MPM implementiert einen Multi Process Multi Threaded Server der eine gr ere Ska lierbarkeit bietet Wenn dieses MPM verwendet wird werden Anfragen durch Threads gehandhabt was Systemreserven spart und es einer gr eren Anzahl von Anfragen erlaubt effizient beantwortet zu werden Obwohl einige der von der worker MPM akzeptierten Anweisungen die selben sind wie die von der prefork MPM akzeptierten sollten die Werte nicht direkt von einer Apache HTTP Server 1 3 Installation bertragen werden Es ist am Besten die Standardwerte als Richtlinie zu nehmen und dann zu Experimentieren um die geeignetsten Werte zu bestimmen BB wicntic Um das worker MPM zu verwenden erzeugen Sie die Datei etc sysconfig httpd F gen Sie folgende Anweisungen zu der Datei hinzu HTTPD usr sbin httpd worker Kapitel 10 Apache HTTP Server 135 Weitere Infor
165. beider Namens basierter und IP basierter Virtual Hosts finden Sie Online unter http httpd apache org docs 2 0 vhosts 10 8 2 Der virtuelle Host des Secure Web Servers In der Standardkonfiguration Ihres Red Hat Enterprise Linux AS wird ein unverschl sselter und Se cure Server ausgef hrt Beide Server verwenden dieselbe IP Adresse und denselben Host Namen warten jedoch an verschiedenen Ports auf Anforderungen Au erdem ist der sichere Server ein virtu eller Host Mit dieser Konfiguration k nnen Sie sowohl unverschl sselte als auch verschl sselte Do kumente bereitstellen Wie Ihnen wahrscheinlich bekannt ist erfordern sichere HTTP bertragungen mehr Zeit als nicht verschl sselte bertragungen da w hrend der sicheren Transaktionen erheblich mehr Informationen ausgetauscht werden Die Verwendung Ihres Secure Servers f r unverschl ssel ten Web Datenverkehr ist daher nicht zu empfehlen Ein Aspekt SSL unterst tzter HTTP bertragungen ist dass diese mehr Ressourcen ben tigen als das Standard HTTP Protokoll weswegen ein Secure Server nicht die gleiche Anzahl an Seiten pro Sekun de bereitstellen kann Aus diesem Grund ist es oft ratsam die von einem Secure Server bereitgestellte Information zu minimieren vor allem wenn die Seite viele Anfragen erh lt BB wicntic Do not use name based virtual hosts in conjunction with a secure Web server as the SSL handshake occurs before the HTTP request identifies the appropriate name based
166. benutzem gemeinsam genutzem gepuffertem und Cache Speicher in Bytes total used free shared buffered und cached Swap Zeigt die gesamte benutzte und freie Menge von Swap in Bytes an total used und free MemTotal Gesamte RAM Gr e in Kilobytes MemFree Die Menge von physischem RAM die vom System nicht benutzt wird in Kilobytes MemShared Wird ab Kernel 2 4 nicht mehr benutzt aber aus Kompatibilit tsgr nden immer noch angezeigt Buffers Die Gr e der physischen RAM in Kilobytes der f r Dateipufferung verwendet wird Cached Die Menge der physischen RAM die als Cache verwendet wird in Kilobyte SwapCached Die Menge des als Cache verwendeten Swap in Kilobyte Active Die Gesamtmenge des Puffer oder Page Cache Speicher in Kilobyte der aktiv verwen det wird 56 Kapitel 5 Das proc Dateisystem Inact_dirty Die Gesamtmenge von Puffer oder Cache Seiten die freigegeben werden k n nen in Kilobyte Inact_laundry Die Gesamtmenge von Puffer oder Cache Seiten die in K rze frei und ver fiigbar werden in Kilobyte Dies geschieht eventuell nachdem Platten IO fiir diese Seiten beendet wurde Inact_clean Die Gesamtmenge von Puffer oder Cache Seiten die definitiv frei und verf gbar sind in Kilobyte Inact_target Netto Menge von Zuordnungen pro Sekunden in Kilobyte Durchschnitt pro Minute Diese Statistik wurde berhohlt und hat auf modernen Systeme
167. ber RPM finden Sie im Kapitel Paketverwaltung mit RPM im Red Hat Enterprise Linux Handbuch zur System Administration Das var spool up2date Verzeichnis enth lt Dateien die vom Red Hat Update Agent verwen det werden einschlie lich RPM Header Informationen f r das System Hier k nnen Sie auch RPMs die Sie w hrend des Updates Ihres Systems heruntergeladen haben zwischenspeichern Weitere In formationen zum Red Hat Network finden Sie online unter https rhn redhat com Eine weitere Red Hat Enterprise Linux spezifische Speicherstelle ist das etc sysconfig Verzeichnis In diesem Verzeichnis wird eine ganze Reihe unterschiedlicher Konfigurationsinformationen gespeichert Viele Skripts die beim Booten ausgef hrt werden greifen auf die Dateien in diesem Verzeichnis zur ck Siehe hierzu Kapitel 4 f r weitere Informationen ber den Inhalt dieses Verzeichnisses und die Bedeutung die diese Dateien f r den Bootprozess haben Schlie lich soll auch das initrd Verzeichnis nicht unerw hnt bleiben Es ist zwar leer wird aber w hrend des Boot Prozesses als kritischer Mount Punkt verwendet AB Warnung Entfernen Sie unter gar keinen Umst nden das initrd Verzeichnis Wenn Sie dieses Verzeichnis l schen kann Ihr System nicht starten und der Kernel gibt eine gravierende Fehlermeldung aus redhat Kapitel 4 Das Verzeichnis sysconfig Das Verzeichnis etc sysconfig ist der Ort an dem eine Vielzahl von Konfigurationsdateien
168. binfo version 1 1 statistics kmem_cache 64 68 112 2 2 1 nfs_write_data 0 0 384 0 0 1 nfs_read_data 0 160 384 0 16 1 nfs_page 0 200 96 0 5 1 ip_fib_hash 10 113 32 1 1 1 journal_head 51 7020 48 2 90 al revoke_table 2 253 12 1 1 al revoke_record 0 0 32 0 0 T clip_arp_cache 0 0 128 0 0 1 ip_mrt_cache 0 0 96 0 0 1 Die Werte in dieser Datei stehen in folgender Reihenfolge Cache Name Anzahl der aktiven Objek te Anzahl der Gesamtobjekte Gr e des Objekts Anzahl der Aktiven slabs Bl cke des Objekts Gesamtanzahl der slabs des Objekkts und Anzahl der Seiten per slab Beachten Sie bitte dass active in diesem Fall bedeutet dass ein Objekt in Verwendung ist 5 2 27 proc stat Diese Datei enth lt diverse Statistiken ber das System seit dem letzten Neustart Der Inhalt von proc stat welcher auch sehr lang sein kann f ngt hnlich wie unser Beispiel an cpu 1139111 3689 234449 84378914 cpu0 1139111 3689 234449 84378914 page 2675248 8567956 swap 10022 19226 intr 93326523 85756163 174412 0 3 3 0 6 0 1 0 428620 0 60330 0 1368304 5538681 disk_io 3 0 1408049 445601 5349480 962448 17135856 ctxt 27269477 btime 886490134 processes 206458 Einige der h ufiger verwendeten Statistiken sind cpu Misst die Anzahl von Jiffies 1 100 Sekunden in denen das System im Benutzer Modus Benutzer Modus mit niedriger Priorit t nice System Modus und im Idle Task war Die 60 Kapitel 5 Das proc Dateisystem G
169. ch Die Folgende ist die Datei ifcfg f r eine Netzwerk zu Netzwerk IPsec Verbindung f r LAN A Der eindeutige Name mit dem die Verbindung in diesem Beispiel identifiziert wird ist ipsec1 weswegen die entsprechende Datei etc sysconfig network scripts ifcfg ipsecl ist TYPE IPsec ONBOOT yes IKE_METHOD PSK SRCNET 192 168 1 0 24 DSTNET 192 168 2 0 24 DST X X X X In diesem Beispiel ist X X X X die ffentliche IP Adresse des Ziel IPsec Routers Folgend ist eine Liste mit konfigurierbaren Parametern f r eine IPsec Schnittstelle DST lt address gt wobei lt address gt die IP Adresse des IPsec Ziel Host oder Router ist Dies wird sowohl fiir Host zu Host als auch f r Netzwerk zu Netzwerk IPsec Konfigurationen verwen det DSTNET lt network gt wobei lt network gt die Netzwerk Adresse des IPsec Ziel Netzwerks ist Dies wird lediglich fiir Netzwerk zu Netzwerk IPsec Konfigurationen verwendet SRC lt address gt wobei lt address gt die IP Adress des IPsec Quellen Host oder Router ist Diese Einstellung ist optional und wird lediglich fiir Host zu Host IPsec Konfigurationen verwen det e SRCNET lt network gt wobei lt network gt die Netzwerk Adresse des IPsec Ziel Netzwerks ist Dies wird lediglich fiir Netzwerk zu Netzwerk IPsec Konfigurationen verwendet TYPE lt interface type gt wobei lt interface type gt IPSEC ist Siehe usr share doc initscripts lt version number gt sysconfig txt ersetze lt ver
170. ch ein NFS Client verbindet Dieser Prozess korrespondiert mit dem nfs Dienst e rpc lockd Ein fakultativer Prozess der NFS Clients erlaubt Dateien am Server festzumachen Dieser Prozess korrespondiert mit demnfslock Dienst e rpc statd Implementiert das Network Status Monitor NSM RPC Protokoll Dies verst ndigt NFS Clients wenn ein NFS Server neu gestartet wird ohne dass er ordentlich heruntergefahren wurde Dieser Prozess wird automatisch durch den nfslock Dienst gestartet und erfordert keine Benutzer Konfiguration e rpc rquotad Dieser Prozess stellt Information ber Benutzerquoten f r Remote Benutzer zur Verf gung Der Prozess wird automatisch durch den nfs Dienst gestartet und erfordert keine Benutzer Konfiguration 9 1 2 NFS und portmap Der portmap Dienst von Linux wird ben tigt um die RPC Anfragen den korrekten Dienste zuzu ordnen portmap wird von den RPC Prozessen benachrichtigt wenn sie starten Des Weiteren tei len die Anfragen die berwachte Port Nummer sowie die Nummern des RPS Programms mit die aufgerufen werden Der Client kontaktiert portmap auf dem Server mit einer bestimmten RPC Programmnummer Der portmap Dienst leitet dann den Client zur richtigen Port Nummer um damit er mit dem gew nschten Dienst kommunizieren kann Kapitel 9 Netzwerk Dateisystem Network File System NFS 121 Da Dienste die auf RPC basieren fiir die Verbindungen mit ankommenden Client Anfragen von portmap abhingig sind
171. cher Weg notwendige Tasks auszuf hren wie das Starten von speziellen Services oder das Initialisieren von Ger ten ohne ein Schreiben komplizierter Installationsskripte im Verzeichnis etc rc d init d und das Erzeugen symbolischer Links zu erfordern Wenn Sie das Einstellen von seriellen Ports ben tigen k nnen Sie au erdem etc rc serial er stellen und ndern so dass es zum Zeitpunkt des Bootens automatisch ausgef hrt wird Dieses Skript kann eine Vielzahl von setserial Befehlen ausf hren um die seriellen Ports des Systems speziell zu konfigurieren Auf der setserial man Seite finden Sie weitere Informationen hierzu 1 4 SysV Init Runlevels Das SysV init Runlevel System stellt einen Standardprozess zur Kontrolle welche Programme von init w hrend des Initialisierens des Runlevels gestartet oder angehalten werden bereit SysV wurde gew hlt da es einfacher zu benutzen und flexibler ist als der herk mmliche BSD Style Init Prozess Die Konfigurationsdateien f r SysV init befinden sich im Verzeichnis etc rc d In diesem Ver zeichnis befinden sich die Skripte rc rc local rc sysinit und optional rc serial sowie die folgenden Verzeichnisse init d rc0 d rel d rc2 d rc3 d rc4 d rc5 d rc6 d Das Verzeichnis init d enth lt die vom Befehl sbin init zum Steuern der Dienste verwendeten Skripte Jedes der nummerierten Verzeichnisse stellt die sechs Runlevel dar die standardm ig unter Red Hat Enterprise Linux
172. cher durch Verweisen auf eine Datei mit den vorzunehmenden nderungen zu verwenden als durch Eingabe eines Befehls f r jeden Eintrag der in einem LDAP Verzeichnis ge ndert werden soll Das Format solcher Dateien wird auf der man Seite der jeweiligen Applikation skizziert 12 3 1 NSS PAM and LDAP Neben den OpenLDAP Paketen enth lt Red Hat Enterprise Linux das Paket nss_ldap das die M g lichkeit LDAP in Linux und andere UNIX Umgebungen zu integrieren optimiert Das Paket nss_1dap stellt folgende Module zur Verf gung lib libnss_ldap lt glibc version gt so e lib security pam_ldap so Die 1ibnss_ldap lt glibc version gt so Module erm glichen Applikationen Benutzer Grup pen Hosts und sonstige Informationen mit Hilfe eines LDAP Verzeichnisses ber die Schnittstel le Nameservice Switch NSS zu suchen ersetzen Sie lt glibc version gt mit der verwendeten Version von libnss_ldap NSS erlaubt Applikationen eine Authetifizierung unter Verwendung von LDAP in Verbindung mit dem Name Service Network Information Service NIS und Klartext Authentifizierungsdateien Das Modul pam_ldap erm glicht PAM f higen Applikationen Benutzer mit Hilfe von in einem LDAP Verzeichnis gespeicherten Informationen zu authentifizieren PAM f hige Applikationen um fassen Konsolenanmeldung POP und IMAP Mail Server und Samba Wenn ein LDAP Server im Netzwerk bereitgestellt wird k nnen alle Anmeldesituationen gegen eine Benutzer ID und Passw
173. chnis welches Zone Statistiken und Cache Dateien enth lt Die n chsten zwei Abschnitte behandeln die BIND Konfigurationsdateien in mehr Detail 11 2 etc named conf Die etc named conf Datei ist eine Ansammlung von Direktiven die in verschachtelte geschweif te Klammern platzierte Optionen verwenden Administratoren m ssen vorsichtig beim Bearbei ten der Datei named conf sein und jegliche syntaktische Fehler veremeiden da auch die kleinsten Fehler den Service named vom Starten abhalten k nnen Warnung Bearbeiten Sie die Datei etc named conf oder andere Dateien aus dem var named Verzeichnis nicht manuell wenn Sie mit dem Domain Name Service Configuration Tool arbeiten Alle ma nuell vorgenommenen nderungen an diese Dateien werden berschrieben wenn Domain Name Service Configuration Tool das n chste Mal verwendet wird Eine typische named conf Datei ist hnlich wie folgt gegliedert lt statement 1 gt lt statement l name gt lt statement 1l class gt lt option 1 gt lt option 2 gt lt option N gt lt statement 2 gt lt statement 2 name gt lt statement 2 class gt lt option 1 gt lt option 2 gt lt option N gt lt statement N gt lt statement N name gt lt statement N class gt lt option 1 gt lt option 2 gt lt option N gt hi 11 2 1 Haufig verwendete Typen von Statements Die folgenden Typen von Statements werden h ufig in etc name
174. cht ge ndert werden au er wenn Sie ein neues Programm testen dass diese Rolle ausf llt modprobe Stellt den Speicherort des Programms ein das Kernel Module bei Bedarf l dt Der Standardwert von sbin modprobe zeigt an dass kmod dieses Programm aufruft wenn ein Kernel Thread kmod aufruft um ein Modul zu laden msgmax Setzt die maximale Gr e von gesendeten Mitteilungen von einem Prozess zum an deren wobei der Standardwert 8192 Bytes ist Mit dem Erh hen dieses Wertes sollten Sie vor sichtig sein weil zwischengespeicherte Werte in nicht auslagerbarem Kernel Speicher abgelegt werden und jede Erh hung in msgmax die RAM Erfordernisse im System erh hen msgmnb Setzt die maximale Anzahl von Bytes in einer einzelnen Mitteilungs Queue Standard ist hier 16384 msgmni Setzt die maximale Anzahl von Mitteilungs Queue IDs Standard ist 16 osrelease Listet die Linux Kernel Releasenummer auf Diese Datei kann nur durch Neu ber setzung und Neukompilierung des Kernels ver ndert werden ostype Zeigt den Typ des Betriebssystems an Diese Datei zeigt normalerweise Linux an dieser Wert kann nur durch Andern der Kernel Quellen und Neukompilieren ge ndert werden overflowgid und overflowuid Definiert die feste Gruppen und Benutzer ID die f r Sys temaufrufe bei Architekturen die nur 16 bit Gruppen und Benutzer IDs unterst tzen benutzt wer den 72 Kapitel 5 Das proc Dateisystem panic
175. ckt werden muss Der Standardwert ist 10 tainted Zeigt an ob ein non GPL Modul geladen ist 0 Keine non GPL Module sind geladen 74 Kapitel 5 Das proc Dateisystem 1 Wenigstens ein Modul ohne GPL Lizenz einschlie lich Module ohne Lizenz ist geladen 2 Zumindest ein Modul wurde mit dem Befehl insmod f zwangsweise geladen threads max Stellt die maximale Anzahl von Threads die vom Kernel genutzt werden k nnen ein Standardwert 4095 version Zeigt Datum und Zeit der letzten Kernel Kompilierung an Das erste Feld in dieser Datei wie z B 3 zeigt an wie oft ein Kernel aus den Quellen neukompiliert wurde 5 3 9 4 proc sys net Dieses Verzeichnis enth lt Unterverzeichnisse ber verschiedene Netzwerk Themen Verschiedene Konfigurationen zur Kernel Kompilierung erzeugen hier verschiedene Verzeichnisse wie z B appletalk ethernet ipv4 ipx und ipv6 In diesen Verzeichnissen k nnen Sie verschiedene Netzwerk Einstellungen f r diese Konfiguration am laufenden System ndern Aufgrund der vielf ltigen Netzwerk Optionen die in Linux verwendet werden k nnen werden wir nur die wichtigsten Verzeichnisse in proc sys net vorstellen Das Verzeichnis proc sys net core enth lt eine Vielzahl von Einstellungen die die Interaktion zwischen Kernel und Netzwerkschichten beeinflussen Die wichtigsten Dateien sind hier message_burst Die Anzahl Zehntelsekunden die ben tigt werden um eine ne
176. closed by foreign host Au erdem werden diese Anmeldeversuche in var log secure protokolliert May 15 17 38 49 boo xinetd 16252 START telnet pid 16256 from 10 0 1 2 May 15 17 38 49 boo xinetd 16256 FAIL telnet address from 10 0 1 2 May 15 17 38 49 boo xinetd 16252 EXIT telnet status 0 pid 16256 Wenn Sie TCP Wrapper zusammen mit der Zugriffskontrolle von xinetd verwenden m ssen Sie die Beziehung dieser beiden Zugriffskontroll Mechanismen verstehen Im Folgenden wird die Abfolge der Vorg nge in xinetd beschrieben wenn ein Client eine Verbin dung anfordert 1 Der xinetd Daemon greift auf die Host Zugriffsregeln der TCP Wrapper durch einen 1ib wrap a Library Aufruf zu Besteht eine Dienstverweigerungs Regel f r den Client Host wird die Verbindung nicht aufgebaut Besteht eine Zugrifferlaubnis wird die Verbindung an xinetd weitergegeben 2 Der xinetd Daemon berpr ft seine eigenen Zugriffskontroll Regeln f r den xinetd Service und den angeforderten Service Besteht eine Dienstverweigerungs Regel f r den Client Host wird die Verbindung nicht aufgebaut Ansonsten startet xinetd eine Instanz des angeforderten Services und gibt die Kontrolle an diesen weiter Kapitel 14 TCP Wrappers und xinetd 223 EB wicntic Seien Sie vorsichtig beim Verwenden von TCP Wrapper Zugriffskontrollen zusammen mit xinetd Zugriffskontrollen Eine Fehlkonfiguration kann h chst unerw nschte Folgen nach sich ziehen 14 4 3 3 Bindungs und Umle
177. csil 0 5 0 Device using Narrow Sync transfers at 20 0 MByte sec offset 15 Transinfo settings current 12 15 0 0 goal 12 15 0 0 user 12 15 0 0 Total transfers 0 0 reads and 0 writes lt 2K 2K 4K 8K 16K 32K 64K 128K Reads 0 0 0 0 0 0 0 0 Writes 0 0 0 0 0 0 0 0 scsil 0 6 0 Device using Narrow Sync transfers at 10 0 MByte sec offset 15 Transinfo settings current 25 15 0 0 goal 12 15 0 0 user 12 15 0 0 Total transfers 132 0 reads and 132 writes lt 2K 2K 4K 8K 16K 32K 64K 128K Reads 0 0 0 0 0 0 0 0 Writes 0 0 0 1 131 0 0 0 Dieser Bildschirm zeigt die Transfergeschwindigkeiten zu den verschiedenen SCSI Ger ten die an den Controller angeschlossen sind basierend auf der Channel ID sowie detaillierte Statistiken zu der Anzahl und Gr e der Dateien die von diesem Ger t gelesen oder geschrieben wurden Der oben angegebenen Ausgabe entnehmen Sie dass der Controller mit dem CD ROM Laufwerk mit 20 Me gabyte pro Sekunde kommuniziert w hrend das Bandlaufwerk nur mit 10 Megabytes kommuniziert 5 3 9 proc sys Das Verzeichnis proc sys unterscheidet sich von proc weil es nicht nur eine Menge Informa tionen ber das System zeigt sondern auch Administratoren erlaubt Kerneleigenschaften sofort zu aktivieren oder zu deaktivieren A wamung Versuchen Sie niemals Ihre Kernel Einstellungen auf einem Produktionssystem mit den Dateien in proc sys zu optimieren Es kann in manchen F llen passier
178. cumentRoot ist Options standardm ig so konfiguriert dass Indexes Includes und FollowSymLinks enthalten sind Indexes erlaubt dem Server eine Verzeichnisliste f r ein Verzeichnis zu erstellen wenn kein DirectoryIndex z B index html angegeben wird Includes bedeutet dass server seitige Includes erlaubt sind FollowSymLinks erlaubt dem Server in diesem Verzeichnis symbolischen Links zu folgen f Bitte beachten Options statements from the main server configuration section needs to be replicated to each vir tualHost Containers individually Refer to Abschnitt 10 5 65 for more information about virtualHost containers 10 5 23 AllowOverride Die Anweisung AllowOverride bestimmt ob Options durch Deklarationen in einer htaccess Datei berschrieben werden k nnen Standardm ig sind sowohl das root Verzeichnis als auch Do cumentRootso konfiguriert dass ein Uberschreiben durch htaccess nicht m glich ist 10 5 24 Order Die Anweisung Order bestimmt die Reihenfolge in der die Anweisungen allow und deny aus gewertet werden Der Server ist so konfiguriert dass f r Ihr Allow gt Anweisungen vor den Deny Anweisungen f r Ihr DocumentRoot ausgewertet werden 152 Kapitel 10 Apache HTTP Server 10 5 25 Allow Allow gibt an welcher Anforderer auf ein bestimmtes Verzeichnis zugreifen darf Der Anforde rer kann sein all ein Dom nenname eine IP Adresse ein Teil einer IP Adresse ein Netzwerk Netmask Paar usw Ihr Document
179. d Sobald die Regeln erstellt wurden f gen Sie sie zum etc sysconfig iptables hinzu Geben Sie den folgenden Befehl ein sbin service iptables save Once this file exists any firewall rules saved in it persists through a system reboot or a service restart Mehr Information ber iptables finden Sie unter Kapitel 15 4 1 16 etc sysconfig irda Die Datei etc sysconfig irda steuert die Konfiguration der Infrarot Ger te auf Ihrem System beim Starten Folgende Werte k nnen verwendet werden IRDA lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes irattach wird ausgef hrt wodurch regelm ig berpr ft wird ob irgendeine Kom ponente versucht eine Verbindung zum Infrarot Port herzustellen z B ein anderes Notebook das versucht eine Netzwerkverbindung herzustellen Damit Infrarot Ger te auf Ihrem System laufen k nnen muss diese Zeile auf yes eingestellt sein e no irattach wird nicht ausgef hrt und verhindert daher eine Verbindung zu Infrarot Ger ten DEVICE lt Wert gt wobei lt Wert gt das Ger t ist normalerweise ein serieller Port ber das die Infrarot Verbindungen abgewickelt werden DONGLE lt Wert gt wobei lt Wert gt die Art Dongle angibt die f r die Infrarot Kommunikation ver wendet wird Diese Einstellung ist fiir die Benutzer wichtig die serielle Dongles statt eigentlicher Infrarot Ports verwenden Ein Dongle ist ein Ger t das mit einem herk mmliche
180. d conf verwendet 11 2 1 1 ac Statement Das acl Statement Access Control Statement definiert eine Gruppe von Hosts welchen Zugriff zum Nameserver erlaubt oder verboten werden kann Ein acl Statement hat folgende Form acl lt acl name gt lt match element gt lt match element gt 170 Kapitel 11 Berkeley Internet Name Domain BIND In diesem Statement ersetzen Sie lt acl name gt mit dem Namen der Access Control List Liste der Zugriffskontrolle und ersetzen Sie lt match element gt mit einer List von IP Adressen wo bei Adressen durch ein Semikolon getrennt werden Meistens wird eine individuelle IP Adresse oder IP Netzwerk Notation wie 10 0 1 0 24 benutzt um die IP Adresse im ac Statement zu identifi zieren Die folgenden Access Control Lists sind bereits als Schl sselw rter definiert um die Konfiguration zu vereinfachen any Vergleicht jede IP Adresse localhost Vergleicht jede IP Adresse die auf dem lokalen System verwendet wird localnets Vergleicht jede IP Adresse auf allen Netzwerken mit denen das lokale System verbunden ist none Vergleicht keine IP Adressen Wenn mit anderen Statements wie dem opt ions Statement verwendet k nnen acl Statements sehr hilfreich dabei sein BIND Nameserver vor unbefugtem Zugriff zu sch tzen Das folgende Beispiel gibt zwei Access Control Lists und benutzt ein options Statement um anzu geben wie diese vom Nameserver behand
181. d Kommas syntaktisch sehr wichtig sind lt type of device gt lt bios device number gt lt partition number gt lt Ger tetyp gt legt den Typ des Ger tes fest von dem aus GRUB startet Die zwei gebr uchlich sten Optionen sind hd f r eine Festplatte oder fd f r eine 3 5 Diskette Es gibt auch einen weniger verwendeten Ger te Iyp f r eine Netzwerkplatte nd genannt Anweisungen f r das Konfigurieren von GRUB zum Hochfahren ber ein Netzwerk finden Sie unter http www gnu org manual grub 14 Kapitel 2 Bootloader Die lt Bios Ger tenummer gt ist die Nummer f r die BIOS Einrichtung Die prim re IDE Festplatte tr gt die Nummero und eine sekund re Festplatte tr gt die Nummer1 Diese Syntax ist im Groben jener hnlich die der Kernel f r Ger te verwendet Z B istain hda f r den Kernel analog zu 0 in hdo f r GRUB b in hab ist analog zu 1 in hd1 und so weiter Die lt Partitionsnummer gt bezieht sich auf die Nummer einer spezifischen Partition auf einem Plattenger t Wie die lt BIOS Ger tenummer gt beginnt die Nummerierung bei den meisten Parti tionstypen bei 0 BSD Partitionen werden allerdings mit Buchstaben festgelegt wobei a mit 0 korre spondiert b mit 1 und so weiter o H Das Nummerierungsystem f r Ger te beginnt bei GRUB immer mit o nicht miti Fehler bei dieser Unterscheidung geh ren zu den h ufigsten Fehlern die von neuen GRUB Benutzern begangen werden Ein Beispiel wenn ein System mehr als ei
182. daemon 0 Feb 13 01 28 1123 dr xr xr x 3 root root 0 Feb 13 01 28 11307 dr xr xr x 3 apache apache 0 Feb 13 01 28 13660 dr xr xr x 3 rpc rpc 0 Feb 13 01 28 637 dr xr xr x 3 rpcuser rpcuser 0 Feb 13 01 28 666 Diese Verzeichnisse hei en Prozess Verzeichnisse weil sie sich auf eine Prozess ID beziehen und Informationen zu diesem Prozess enthalten Der Eigent mer und die Gruppe jedes Prozess Verzeichnisses wird auf die ID des Benutzers der den Prozess ausf hrt gesetzt Wenn der Prozess beendet wird verschwindet das zugeh rige proc Prozess Verzeichnis Jedes Prozess Verzeichnis enth lt die folgenden Dateien cmdline Diese Datei enth lt den Befehl der bei Prozessstart ausgegeben wird cpu Bietet spezifische Informationen zur Prozessorlast aller CPUs an Ein Prozess der auf einem Dual CPU System l uft k nnte eine Ausgabe wie folgt haben cpu 113 cpu0 0 0 cpul 11 3 cwd Ein symbolischer Link zum aktuellen Arbeitsverzeichnis des Prozesses e environ Gibt eine Liste von Umgebungsvariablen des Prozesses aus Die Variablennamen werde in Gro buchstaben die Werte in Kleinbuchstaben ausgegeben e exe Ein symbolischer Link zur ausgef hrten Datei des Prozesses fd Ein Verzeichnis mit allen Datei Descriptors eines bestimmten Prozesses Diese werden als nummerierte Links ausgegeben total 0 1 root root 64 May 8 11 31 0 gt dev null 1 root root 64 May 8 11 31 1 gt dev null 1 root root 64 May 8 11 3
183. dann den syslog Daemon syslogd verwenden um den Namen des anfordernden Hosts und Service entweder zu var log secure oder zu var log messages zu schreiben Wenn es einem Client Host erlaubt ist zu verbinden gibt TCP Wrapper die Kontrolle ber die Verbin dung zum angeforderten Service und wird nicht mehr in die Kommunikation zwischen Client Host und Server eingreifen Zus tzlich zu Zugriffskontrolle und Logging TCP Wrapper kann Befehle aktivieren um mit dem Client zu interagieren bevor er die Kontrolle der Verbindung zum angeforderten Netzwerk Service bergibt oder diesen ablehnt Da TCP Wrapper ein wertvoller Zusatz zum Arsenal jeden Administrators Sicherheits Tools sind sind die meisten Netzwerk Services unter Red Hat Enterprise Linux gegen die 1ibwrap a gebunden Eini ge dieser Anwendungen sind usr sbin sshd usr sbin sendmail und usr sbin xinetd f Anmerkung Um festzustellen ob die Bin rdatei eines Netzwerk Service gegen libwrap a gebunden ist geben Sie den folgenden Befehl als root ein strings f lt binary name gt grep hosts_access Ersetzen Sie lt binary name gt mit dem Namen der Bin rdatei des Netzwerk Service Wenn eine Anfrage beantwortet wird dann ist der Netzwerk Service nicht gegen libwrap a gebun den 14 1 1 Vorteile eines TCP Wrappers TCP Wrappers bietet zwei grundlegende Vorteile im Vergleich zu anderen Kontrollmethoden f r Netz werkdienste Der sich verbindende Client bemerkt den Ein
184. dard Red Hat Version und Sie haben eine Kopie des Originals gespeichert dann ist es vielleicht am einfachsten wenn Sie den Befehl diff aufrufen wie in folgendem Beispiel gezeigt diff u httpd conf orig httpd conf less Dieser Befehl hebt die von Ihnen durchgef hrten nderungen hervor Besitzen Sie keine Kopie der Originaldatei entnehmen Sie sie anhand der Befehle rpm2cpio und cpio einem RPM Paket wie in folgendem Beispiel gezeigt rpm2cpio apache lt version number gt i386 rpm cpio i make In the above command replace lt version number gt with the version number for the apache package Es ist hilfreich zu wissen dass Apache HTTP Server ber einen Testmodus zur Pr fung Ihrer Konfi gurations auf Fehler verf gt Der Zugriff erfolgt ber folgenden Befehl apachectl configtest 10 2 1 Globale Umgebungskonfiguration Der globale Umgebungsabschnitt der Konfigurationsdatei enth lt Anweisungen die sich insgesamt auf die Funktionsweise von Apache HTTP Server auswirken wie die Anzahl konkurrierender An fragen die abgefertigt werden und die Speicherpl tze der verschiedenen verwendeten Dateien Bei diesem Abschnitt ist im Vergleich zu den anderen eine gro e Anzahl an nderungen notwendig Es empfiehlt sich deshalb dass dieser Abschnitt seine Basis in der Apache HTTP Server 2 0 Konfigura tionsdatei hat und Sie Ihre alten Einstellungen dorthin migrieren 10 2 1 1 Interface und Port Binding Die Anweisungen BindAddres
185. das Mana gement von Gruppenprojekten die sich ein gemeinsames Verzeichnis teilen erheblich Alle Dateien 86 Kapitel 6 Benutzer und Gruppen die ein Benutzer innerhalb des Verzeichnisses erstellt geh ren der Gruppe der auch das Verzeichnis gehort Stellen Sie sich zum Beispiel vor dass eine Gruppe von Mitarbeitern an Dateien im Verzeichnis usr lib emacs site lisp arbeitet Einigen wird soweit vertraut dass sie das Verzeichnis n dern d rfen aber sicherlich nicht allen Erstellen Sie zuerst eine emacs Gruppe mit folgendem Befehl usr sbin groupadd emacs Um den Verzeichnisinhalt mit der emacs Gruppe zu verkn pfen geben Sie Folgendes ein chown R root emacs usr lib emacs site lisp Nun k nnen Sie mit Hilfe von gpasswd die richtigen Benutzer zur Gruppe hinzuf gen usr bin gpasswd a lt username gt emacs Um den Benutzern tats chlich zu gestatten Dateien im Verzeichnis zu erstellen verwenden Sie den folgenden Befehl chmod 775 usr lib emacs site lisp Wenn ein Benutzer eine neue Datei erstellt wird diese der benutzereigenen Standardgruppe zugeord net Um dies zu verhindern m ssen Sie folgenden Befehl ausf hren der daf r sorgt dass alle Dateien im Verzeichnis mit der Gruppe des Verzeichnis selbst emacs erstellt werden chmod 2775 usr lib emacs site lisp Zu diesem Zeitpunkt da die Default umask aller Benutzer 002 ist k nnen die Mitglieder der emacs Gruppe Dateien im Verzeichnis usr 1lib emacs site lisp
186. den Prompt beim Eingeben des Passworts nicht anzeigen m chten nachdem die se curetty Pr fung fehlgeschlagen ist k nnen Sie das pam_securetty so Modul von required in requisite ndern 13 5 Module erstellen Es k nnen jederzeit neue PAM Module hinzugef gt werden PAM kompatible Anwendungen k nnen dann so angepasst werden dass diese Module verwendet werden k nnen Falls Sie z B ber ein Re chensystem f r Einmal Passw rter verf gen und festlegen k nnen dass es von einem PAM Modul unterst tzt werden soll sind PAM kompatible Programme in der Lage das neue Modul zu verwen den und mit dem neuen Rechensystem f r Einmal Passw rter zu arbeiten ohne dass es neu kompiliert oder anderweitig modifiziert werden m sste Das ist sehr n tzlich da Sie dadurch sehr schnell Au thentifizierungsmethoden mit verschiedenen Programmen vermischen und vergleichen sowie testen k nnen ohne die Programme neu zu kompilieren Dokumentationen ber das Schreiben von Modulen finden Sie im Verzeichnis usr share doc pam lt version number gt wobei lt version number gt die Versionsnummer von PAM ist Kapitel 13 Pluggable Authentication Modules PAM 207 13 6 PAM und Administrative Credential Caching Eine Reihe grafischer Verwaltungstools unter Red Hat Enterprise Linux geben Benutzern erweiterte Rechte ber das Modul pam_timestamp so f r eine Zeitdauer von 5 Minuten Es ist wichtig zu verstehen wie dieser Mechanismus funktioniert denn wen
187. den Sie unter Abschnitt 1 2 1 12 Kapitel 2 Bootloader 2 Der Stage 1 5 Bootloader wird vom Stage 1 Bootloader in den Speicher eingelesen wenn dies notwendig ist F r manche Hardware ist ein Zwischenschritt beim Aufrufen des Stage 2 Boot loaders erforderlich Dies trifft manchmal zu wenn die boot Partition 1024 Zylinder auf der Festplatte berschreitet oder wenn LBA Modus verwendet wird Der Stage 1 5 Bootloader befindet sich entweder auf der boot Partition oder auf einem kleinen Teil des MBR und der boot Partition 3 Der Stage 2 oder sekund re Bootloader wird in den Speicher gelesen Der sekund re Boot loader zeigt die Men und Befehlsumgebung von GRUB an Mit dieser Oberfl che k nnen Sie das zu startende Betriebssystem bzw den Linux Kernel ausw hlen Argumente an den Kernel weiterleiten oder sich die Systemparameter anzeigen lassen 4 Der sekund re Bootloader liest das Betriebssystem bzw den Kernel und initrd in den Spe icher Sobald GRUB festlegt welches Betriebssystem gestartet werden soll l dt er es in den Speicher und bergibt die Steuerung der Rechners an das Betriebssystem Diese zum Starten von Red Hat Enterprise Linux verwendete Bootmethode wird direktes Laden ge nannt da der Bootloader das Betriebssystem direkt l dt Zwischen dem Bootloader und dem Kernel ist keine Zwischenstufe vorhanden Der von den anderen Betriebssystemen verwendete Bootprozess kann von dem hier beschriebenen abweichen For example
188. der Schaltfl che eines GUI Bildschirms finden kann Zum Beispiel Indem Sie auf die Schaltfl che Zur ck klicken kehren Sie auf die Website zur ck die Sie zuletzt angesehen haben Einf hrung v Computerausgabe Text der in diesem Stil dargestellt wird ist Text der in einem Shell Prompt ausgegeben wird wie Fehlermeldungen und Antworten auf bestimmte Befehle Zum Beispiel Durch Eingabe von 1s erscheint der Inhalt eines Verzeichnisses Zum Beispiel Desktop about html logs paulwesterberg png Mail backupfiles mail reports Die Ausgabe die als Antwort auf den Befehl erscheint in diesem Fall der Inhalt des Verzeich nisses wird auf diese Art und Weise dargestellt Prompt Ein Prompt wird auf diese Art und Weise dargestellt wenn der Computer Ihnen mitteilen will dass Sie nun eine Eingabe t tigen k nnen Beispiele stephen maturin stephen leopard login Benutzereingabe Ein Text wird auf diese Art und Weise dargestellt wenn er vom Benutzer entweder in die Be fehlszeile oder in die Textbox auf einem GUI Bildschirm eingegeben werden soll Im folgenden Beispiel wird text in diesem Stil angezeigt Mit dem Befehl text am Prompt boot booten Sie Ihr System in das textbasierte Installations programm replaceable Text der vom Benutzer ersetzt werden soll wird in diesem Stil dargestellt Im folgenden Beispiel ist lt version number gt in dieser Form dargestellt Das Verzeichnis f r den Kernel Source ist
189. der Systembenutzername keinem Principal in der Kerberos Datenbank gibt kinit eine Fehlermeldung aus Geben Sie in diesem Fall kinit den Namen Ihres Principal als Ar gument auf der Befehlszeile an kinit lt principal gt Wenn Sie oben genannte Schritte ausgef hrt haben sollte Ihr Kerberos Server korrekt funktionieren 16 6 Konfigurieren eines Kerberos 5 Clients Das Einrichten eines Kerberos 5 Client ist wesentlich einfacher als das Einrichten eines Servers Sie sollten zumindest die Clientpakete installieren und den Clients eine g ltige krb5 conf Konfigurationsdatei zur Verf gung stellen Kerberisierte Versionen von rsh und rlogin erfordern ebenfalls einige Konfigurations nderungen 248 Kapitel 16 Kerberos 1 Stellen Sie sicher dass zwischen dem Kerberos Client und KDC Zeitsynchronisierung vorhan den ist Weitere Informationen finden Sie unter Abschnitt 16 5 Zudem sollten Sie priifen dass DNS auf dem Kerberos Client fehlerfrei l uft bevor die Kerberos Clientprogramme installiert werden 2 Installieren Sie die Pakete krb5 libs und krb5 workstation auf allen Client Rechnern F r jeden Client m ssen Sie eine g ltige Version von etc krb5 conf zur Verf gung stellen dies kann normalerweise dieselbe krb5 conf Datei sein die von KDC verwendet wird 3 Ehe eine bestimmte Workstation im Realm Benutzern das Herstellen einer Verbindung mit Hilfe der kerberisierten Befehle rsh und rlogin erlaubt muss auf der Worksta
190. det und bestimmen wie sich der Apa che HTTP Server Server dynamisch an die erkannte Last anpasst indem je nach Datenverkehr eine geeignete Anzahl von Reserve Serverprozessen aufrechterhalten werden Der Server pr ft die An zahl von Servern die auf eine Anforderung warten und beendet einige davon wenn mehr als von MaxSpareServers angegeben vorhanden sind bzw erzeugt einige neue wenn weniger als in Min SpareServers angegeben vorhanden sind Die Standardeinstellung des Servers f r MinSpareServers ist 5 Die Standardeinstellung des Servers f r MaxSpareServers ist 20 Diese Standardeinstellungen sind f r die meisten Situationen geeignet MinSpareServers sollte nicht auf eine zu gro e Zahl eingestellt werden weil dadurch selbst bei geringem Datenverkehr die Belastung des Servers hoch ist 10 5 9 5 MinSpareThreads Und MaxSpareThreads Diese Werte werden lediglich mit der worker MPM verwendet und bestimmen wie sich der Apa che HTTP Server Server dynamisch an die erkannte Last anpasst indem je nach Datenverkehr eine geeignete Anzahl von Server Threads in Reserve aufrechterhalten werden Der Server pr ft die An zahl von Servern die auf eine Anforderung warten und beendet einige davon wenn mehr als von MaxSpareThreads angegeben vorhanden sind bzw erzeugt einige neue wenn weniger als in Min SpareThreads angegeben vorhanden sind Die Standardeinstellung des Servers f r MinSpareThreads ist 25 Die Standardeinstellung des Ser vers f r MaxS
191. det werden um Shell Befehle auszuf hren Zugriff zu gew hren oder abzulehnen und die Log Methode zu ndern siehe Abschnitt 14 2 2 Folgend ist eine einfaches Beispiel einer Hosts Zugriffsregel vsftpd example com Diese Regel leitet TCP Wrappers dazu an f r Verbindungen zum FTP Daemon vsftpd von jedem Host in der example com Domain Ausschau zu halten Sollte diese Regel in hosts allow auf treten wird die Verbindung angenommen Sollte diese Regel in hosts deny vorkommen wird die Verbindung abgelehnt Folgendes Beispiel einer Hosts Zugriffsregel ist komplizierter und verwendet zwei Option Felder sshd example com spawn bin echo bin date access denied gt gt var log sshd log deny Beachten Sie dass in diesem Beispiel jedem der Option Felder ein Backslash voransteht Die Verwendung eines Backslash beugt einem Ausfallen auf Grund einer zu langen Zeile vor Diese Beispielregel sagt dass wenn ein Verbindungsversuch zum SSH Daemon sshd von einem Host in der example com Domain stattfindet fiihre den Befehl echo aus welcher den Versuch in eine spezielle Log Datei schreibt und lehne die Verbindung ab Da die optionale Anweisung deny verwendet wird wird diese Zeile den Zugriff ablehnen auch wenn sie in der Datei hosts allow steht Fiir einen detaillierteren Uberblick der Optionen sehen Sie Abschnitt 14 2 2 14 2 1 1 Wildcards Wildcards erlauben TCP Wrappers eine einfachere Suche von Gruppen von Daem
192. dete Netzwerk Pakete PREROUTING ndert ber eine Netzwerkschnittstelle empfangene Pakete vor dem Routen POSTROUTING ndert Pakete vor dem Senden ber eine Netzwerkschnittstelle Ein Paket kann in allen Tabellen auf mehrere Regeln hin iiberpriift werden bevor es am Ende der Chain austritt Struktur und Zweck dieser Regeln k nnen unterschiedlich sein sie versuchen jedoch normalerweise ein Paket das von einer oder an eine IP Adresse bzw mehrere IP Adressen gesendet wurde zu identifizieren wenn dieses ein bestimmtes Protokoll und einen bestimmten Netzwerkdienst benutzt Unabh ngig von ihrem Ziel sind Pakete sobald sie einer bestimmten Regel einer Tabelle entsprechen f r ein bestimmtes Ziel bzw f r eine auf sie anzuwendende Aktion bestimmt Wenn in der Regel f r das Ziel eines entsprechenden Pakets ein ACCEPT AKZEPTIEREN angegeben ist berspringt das Paket die restlichen Regelkontrollen und darf somit seinen Weg in Zielrichtung fortsetzen Wenn aber in einer Regel f r das Ziel DROP AUSLASSEN angegeben ist wird das Paket ausgelassen d h das Paket erh lt keinen Zugriff auf das System und es wird nichts an den Host Rechner zur ckgesendet von dem das Paket stammt Wenn eine Regel QUEUE WARTESCHLANGE als Ziel angibt wird das Paket zum Benutzerplatz geleitet Wenn in einer Regel f r das Ziel REJECT ABLEHNEN angegeben ist wird das Paket ausgelassen und als Fehlerpaket wieder zu seinem Ursprungsort zur ckgeschick
193. die Instanz auf den Hostnamen des FTP Servers festgelegt sein Aktivieren Sie dann gssftp e IMAP Der IMAP Server im imap Paket enthalten verwendet die GSS API Authentifizierung unter Verwendung von Kerberos 5 wenn es den richtigen Key in etc krb5 keytab findet Der root f r den Principal sollte imap sein e CVS CVSs kerberisierter gserver verwendet einen Principal mit cvs als root Andern falls stimmt er mit pserver berein Detaillierte Informationen zum Aktivieren von Services finden Sie im Kapitel Zugriffskontrolle f r Dienste im Red Hat Enterprise Linux Handbuch zur System Administration 16 7 Zus tzliche Ressourcen Weitere Informationen zu Kerberos finden Sie in folgenden Ressourcen 16 7 1 Installierte Dokumentation Im Verzeichnis usr share doc krb5 server lt version number gt Die Kerberos V5 In Ss tallation Guide und die Kerberos V5 System Administrator s Guide in den Formaten PostScript und HTML Das krb5 server Paket muss installiert sein Kapitel 16 Kerberos 249 Im Verzeichnis usr share doc krb5 workstat ion lt version number gt Der Kerberos V5 UNIX User s Guide in den Formaten PostScript und HTML Das krb5 workstation Paket muss installiert sein Kerberos man Seiten Es gibt eine Vielzahl von man Seiten f r die verschiedenen Applikationen und Konfirgurationsdateien fiir die Implementation von Kerberos Im folgenden finden Sie eine Liste der bedeutenderen man Seiten
194. die beim Mounten eines Nicht NFS Dateisystems verwendet werden 9 5 NFS Sichern Die Art wie NFS bei der gemeinsamen Verwendung ganzer Dateisysteme mit einer gro en Anzahl bekannter Hosts arbeitet ist gut zu durchschauen Aus diesem Vorteil k nnen sich jedoch auch eine Reihe potenzieller Sicherheitsprobleme ergeben Folgende Punkte sollten beim Exportieren von NFS Dateisystemen auf einem Server oder beim Mounten auf einem Client beachtet werden Dadurch k nnen die Sicherheitsrisiken von NFS verringert und die Daten auf dem Server besser gesch tzt werden Eine kurze Auflistung von Schritten die Administratoren zur Sicherung von NFS ausf hren k nnen lesen Sie das Kapitel Server Security in der Red Hat Enterprise Linux Sicherheitshandbuch Kapitel 9 Netzwerk Dateisystem Network File System NFS 129 9 5 1 Host Zugriff NFS steuert anhand des Hosts der die Anfrage zum Mounten stellt wer ein exportiertes Dateisy stem mounten kann und nicht anhand des Benutzers der das Dateisystem tats chlich verwendet Die Hosts m ssen ber eine ausdr cklicheBerechtigung verf gen exportierte Dateisysteme zu moun ten F r Benutzer ist keine Zugriffskontrolle m glich mit Ausnahme der Berechtigungen f r Dateien und Verzeichnisse Mit anderen Worten wenn ein Dateisystem via NFS exportiert wird kann jeder Benutzer auf jedem Remote Host der mit dem NFS Server verbunden ist auf die gemeinsam verwen deten Daten zugreifen Um die potentiell
195. die nicht nicht skalierten Fonts dieses Pfades zuerst zu laden Anschlie end k nnen Sie den gesamten Pfad erneut angeben um andere skalierte Fonts zu laden e client limit Stellt die maximale Anzahl an Clients ein die von diesem Font Server bedient werden k nnen Der Standardwert ist 10 clone self Gibt an ob der Font Server eine neue Version von sich selbst klont wenn client limit erreicht ist Standardm ig ist diese Option auf on eingestellt e default point size Stellt die standardm ige Punktgr e f r alle Fonts ein die keinen spezifischen Wert aufweisen Der Standardwert von 120 entspricht 12 Punkt Fonts e default resolutions Gibt eine Liste mit vom XFree86 Server unterst tzten Aufl sungen an Die Aufl sungen der Liste m ssen dabei durch Kommas getrennt sein e deferglyphs Gibt an ob mit dem Laden von glyphs der Grafik die eine Font visuell darstellt gewartet werden soll Diese Option kann mit none deaktiviert werden Alternativ kann sie auch f r alle Fonts all oder nur f r 16 Bit Fonts 16 aktiviert werden e error file Hiermit k nnen Sie den Pfad und Dateinamen von Speicherorten eingeben wo xfs Fehler protokolliert werden k nnen e no listen Weist xfs an bestimmte Protokolle nicht abzuh ren Standardm ig ist diese Op tion auf tcp eingestellt um zu verhindern dass xfs TCP Ports abh rt Dies geschieht aus Sicher heitsgr nden Orv Wenn xfs verwendet wird um Fo
196. die verbundene Schnittstelle in Aktiv Datensicherungs Modus befindet Siehe usr src linux 2 4 Documentation networking bonding txt f r weitere Informationen e multicast Bestimmt einen Ganzzahlen Wert f r den Typ der gew nschten Multicast Unterst tzung Zugelassene Werte f r diesen Parameter sind 0 Deaktiviert die Multicast Unterst tzung 1 Aktiviert Multicast Unterst tzung aber nur auf der aktiven Nebenschnittstelle 2 Aktiviert Multicast Unterst tzung auf allen Nebenschnittstellen Standardeinstellung EB wicntic Es ist notwendig dass entweder die arp_interval und arp_ip_target oder miimon Parameter festgelegt werden Wenn dies verabsaumt wird kann die Leistung des Netzwerkes abfallen wenn eine Verbindung versagt F r ausf hrliche Anweisungen bez glich verbundener Schnittstellen siehe usr src linux 2 4 Documentation networking bonding txt 2 Dieses Dokument wird mit dem kernel source Paket installiert 2 Dieses Dokument wird mit dem kernel source Paket installiert Stichwortverzeichnis Symbols boot Verzeichnis 26 dev Verzeichnis 26 etc Verzeichnis 26 etc named conf Siehe BIND etc pam conf 201 Siehe auch PAM etc pam d 201 Siehe auch PAM etc sysconfig Verzeichnis 30 etc sysconfig Verzeichnis Siehe sysconfig Verzeichnis initrd Verzeichnis 30 lib Verzeichnis 26 lib security 201 Siehe auch PAM lib64 security 201 Siehe auch PAM mnt
197. diglich dieser Benutzer ist Mitglied der Gruppe UGP erm glicht das sichere Einstellen von Standard Genehmigungen fiir eine neu erstellte Datei oder ein Verzeichnis die das sowohl dem Benutzer als auch der Gruppe dieses Benutzers gestatten Ver nderungen an der Datei oder am Verzeichnis vorzunehmen Die Einstellung die festlegt welche Rechte einer neu erzeugten Datei oder einem Verzeichnis zu gewiesen werden wird umask gennannt und ist in der Datei etc bashrc enthalten Auf UNIX Systemen ist die umask traditionell 022 was andere Benutzer und andere Mitglieder der Gruppe des Benutzers davon abh lt diese Dateien zu ndern Da jeder Benutzer ihre seine eigene private Gruppe im UPG Schema hat ist dieser Gruppenschutz nicht notwendig 6 4 1 Gruppenverzeichnisse Viele IT Organisationen ziehen es vor eine Gruppe f r jedes gr ere Projekt zu erstellen und dann dieser Gruppe Mitarbeiter zuzuweisen wenn sie auf die Dateien des Projekts zugreifen m ssen Bei dieser traditionellen Methode ist das Management von solchen Dateien schwierig denn wennjemand eine Datei erstellt ist sie mit der Hauptgruppe des Benutzers assoziiert Wenn eine einzelne Person an mehreren Projekten gleichzeitig arbeitet ist es schwierig die richtigen Dateien der richtigen Gruppe zuzuweisen Unter Verwendung des UPG Schemas werden Gruppen automatisch Dateien zugewiesen die in Verzeichnissen erstellt werden die das setgidBit eingestellt haben Dies vereinfacht
198. dings zuerst mit dem System Administrator des SSH Servers in Verbindung setzen um sicherzustellen dass der Server nicht kompromittiert wurde 256 Kapitel 17 SSH Protokoll Auf den man Seiten von ssh_config und sshd_configfinden Sie weitere Informationen iiber die verschiedenen Direktiven in den SSH Konfigurationsdateien 17 5 Mehr als eine Secure Shell Eine sichere Befehlszeilenschnittstelle stellt nur eine der vielen Arten und Weisen dar wie SSH verwendet werden kann Mit einer angemessenen Bandbreite k nnen X11 Sitzungen ber einen SSH Kanal verwaltet werden Mithilfe von TCP IP Forwarding k nnen bisher unsichere Port Verbindungen zwischen Systemen auf spezifische SSH Kan le gemappt werden 17 5 1 X11 Forwarding Eine X11 Sitzung ber eine bestehende SSH Verbindung zu ffnen ist so einfach wie das Ausf h ren eines X Programms w hrend Sie bereits einen X Client auf Ihrem Host ausf hren Wird ein X Programm von einem Secure Shell Prompt ausgef hrt erstellen der SSH Client und Server einen neuen verschl sselten Kanal in der aktuellen SSH Verbindung und die Daten des X Programms wer den ber diesen Kanal auf Ihren Client Rechner gesendet Sie k nnen sich sicherlich vorstellen wie n tzlich X11 Forwarding sein kann Sie k nnen hiermit zum Beispiel eine sichere interaktive Sitzung mithilfe von up2date auf dem Server erstellen Verbinden Sie sich hierzu ber ssh mit dem Server und geben Sie Folgendes ein up2date amp
199. dministratoren die Log Einstellungen und den Schwierigkeitsgrad f r eine Regel einfach zu ndern indem die severity Anweisung verwendet wird Im folgenden Beispiel werden Verbindungen zum SSH Daemon von jedem Host in der example com Domain zu der Standard Logdatei authpriv geschrieben da kein Wert angegeben ist und dies mit einer Priorit t von emerg Kapitel 14 TCP Wrappers und xinetd 217 sshd example com severity emerg Es ist auch m glich eine Log mit der severity Option anzugeben Das folgende Beispiel loggt alle Hosts aus der example com Domain welche versuchen zu einem SSH service zu verbinden zu der local0 Log mit einer Priorit t von alert sshd example com severity local0 alert f Anmerkung In der Praxis wird dieses Beispiel nicht arbeiten solange der Syslog Daemon sysloga nicht dazu konfiguriert ist Log Meldungen zu 10ca10 zu schreiben Sehen Sie die syslog conf man Seite f r Informationen zum Konfigurieren von benutzerdefinierten Logs 14 2 2 2 Zugriffskontrolle Option Felder erlauben es dem Administratoren Hosts explizit anzunehmen oder abzulehnen indem sie die allow oder deny Anweisung als letzte Option hinzuf gen Die folgenden Regeln zum Beispiel erlauben SSH Verbindungen von client 1 example com lehnen aber Verbindungsversuche von client 2 example comab sshd client l example com allow sshd client 2 example com deny Durch erlauben der Zugriffskontrolle auf einer pro Rege
200. dow Manager gt ein wo bei lt Pfad zum Window Manager gt der Speicherort der Bin rdatei des Window Managers ist Die Bin rdatei kann ermittelt werden indem Sie which lt Window Manager Name gt eingeben wobei lt Window Manager Name gt der Name des gesuchten Window Manager ist 7 3 XFree86 Server Konfigurationsdateien Der XFree86 Server ist eine einzelne ausf hrbare Bin rdatei usr X11R6 bin XFree86 welche alle ben tigten X Server Module zur Laufzeit vom Verzeichnis usr X11R6 lib modules l dt Einige dieser Module werden automatisch geladen w hrend andere in der Konfigurationsdatei von XFree86 Server angegeben werden m ssen Die XFree86 Server und damit zusammenh ngende Konfigurationsdateien sind im Verzeichnis etc x11 abgelegt Die Konfigurationsdatei f r XFree86 Server ist etc X11 XF86Config Wenn Red Hat Enterprise Linux installiert ist werden die Konfigurationsdateien f r XFree86 mithilfe der w hrend der Installation gesammelten Informationen erstellt 7 3 1 XF86Config Auch wenn Sie etc X11 XF86Config kaum manuell bearbeiten m ssen ist es sinnvoll deren einzelnen Bereiche und optionalen Parameter zu kennen Dies ist vor allem w hrend der Fehlersuche vorteilhaft 7 3 1 1 Die Struktur Die Datei etc X11 XF86Config besteht aus zahlreichen Abschnitten welche einen jeweils spezi fischen Teil der System Hardware ansprechen Jeder Abschnitt beginnt mit einer Section lt Sektionsname gt Zeile und endet
201. dump init d snmpd init d vsftpd init d pxe init d ldap init d init d kprop init d krb524 init d krb5kdc init d aep1000 init d bcm5820 pd init d ypserv init d ypxfrd pd init d ospf6d spfd pd init d ripngd kadmin init d zebra init d ipvsadm init d network init d syslog init d portmap init d nfslock init d random init d pcmcia init d netfs init d apmd init d postgresql init d rarpd init d netdump server init d snmptrapd init d tux init d firstboot init d microcode_ctl init d ip6tables init d iptables init d isdn init d irgbalance init d keytable 6 Kapitel 1 Bootprozess Init und Shutdown S28autofs gt init d autofs S44acpid gt init d acpid S55sshd gt init d sshd S56rawdevices gt init d rawdevices S56xinetd gt init d xinetd S59hpoj gt init d hpoj S80sendmail gt init d sendmail S85gpm gt init d gpm S90canna gt init d canna S90crond gt init d crond S90cups gt init d cups S90FreeWnn gt init d FreeWnn S90xfs gt init d xfs s95atd gt init d atd S97rhnsd gt init d rhnsd Ss99local gt rc local S99mdmonitor gt init d mdmonitor Wie Sie sehen befindet sich keines der Skripte die die Dienste starten und beenden im Verzeich nis etc rc d rc5 d Vielmehr sind alle Dateien in
202. e dport Sie k nnen auch source port verwenden um diese bereinstimmungsoption zu spez ifizieren syn Kontrolliert alle TCP Pakete die eine Kommunikation initialisieren sollen allgemein SYN Pakete genannt auf bereinstimmung mit dieser Regel Alle Pakete die einen Daten Payload enthalten werden nicht bearbeitet Wird ein Ausrufezeichen als Flag hinter die syn Option gesetzt werden alle Nicht SYN Pakete kontrolliert tcp flags Erm glicht die Verwendung von TCP Paketen mit bestimmten Bits oder Flags damit sie einer Regel entsprechen Die bereinstimmungsoption tcp flags akzeptiert nach Kapitel 15 iptables 233 stehend zwei Parameter die Flags fiir bestimmte Bits in einer Liste mit Kommatrennung sind Der erste Parameter ist eine Maske die die zu untersuchenden Flags des Pakets bestimmt Der zweite Parameter bezieht sich auf die Flags die im Paket gesetzt werden miissen um eine Ubereinstim mung zu erhalten M gliche Flags sind AC FIN PSH RST SY URG ALL NONE Eine iptables Regel die p tcp tcp flags ACK FIN SYN SYN enth lt berpr ft bei spielsweise nur TCP Pakete in denen das SYN Flag aktiviert und die ACK und FIN Flags de aktiviert sind Wie bei vielen anderen Optionen auch wird die Auswirkung der berpr fungsoptionen durch Ein f gen eines Ausrufezeichens hinter tcp flags umgekehrt so dass f r deren berpr fung die Flags des zweiten Parameters
203. e Foundation Website http httpd apache org docs 2 0 mod mod_proxy html 140 Kapitel 10 Apache HTTP Server 10 2 4 3 Das Modul mod_include Das Modul mod_include ist jetzt als Filter implementiert weitere Informationen zu Filtern finden Sie in Abschnitt 10 2 4 und wird deshalb anders aktiviert Folgendes ist ein Beispiel einer Apache HTTP Server 1 3 Anweisung AddType text html shtml AddHandler server parsed shtml Verwenden Sie folgende Struktur um diese Einstellung zu Apache HTTP Server 2 0 zu migrieren AddType text html shtml AddOutputFilter INCLUDES shtml Beachten Sie bitte dass die Anweisung Options Includes wie bisher f r den lt Directory gt Ab schnitt oder in einer htaccess Datei verlangt wird Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_include html 10 2 4 4 Die Module mod_auth_dbm und mod_auth_db Apache HTTP Server 1 3 unterst tzte zwei Authentifizierungsmodule mod_auth_db und mod_auth_dbm die jeweils Berkely Datenbanken und DBM Datenbanken verwendeten Diese Module wurden in Apache HTTP Server 2 0 in ein einziges Modul mit dem Namen mod_auth_dbm zusammengefasst das auf mehrere verschiedene Datenbankformate zugreifen kann Um von mod_auth_db aus Version 1 3 zu migrieren m ssen die Konfigurationsdateien angepasst werden indem man AuthDBUserFile und AuthDBGroupFile durch die entspr
204. e lich Methoden zur Erstellung eines Verzeichnisbaums und benutzerdefinierter Verzeichnis strukturen 12 9 3 B cher zum Thema Implementing LDAP von Mark Wilcox Wrox Press Inc Understanding and Deploying LDAP Directory Services von Tim Howes et al Macmillan Techni cal Publishing lll Hinweis zur Sicherheit Die Verwendung von sicheren Protokollen ist ein wichtiger Teil bei der Aufrechterhaltung der Sy stemintegrit t Dieser Abschnitt beschreibt kritische Werkzeuge die fiir Benutzer Authentifizierung Netzwerk Zugangskontrolle sichere Netzwerkkommunikation und das Aufsp ren von Eindringver suchen verwendet werden Siehe Red Hat Enterprise Linux Sicherheitshandbuch f r weitere Informa tionen zur Sicherung eines Red Hat Enterprise Linux Systems Inhaltsverzeichnis 13 Pluggable Authentication Modules PAM 14 TCP Wrappers und xinetd 15 iptables 16 Kerberos 17 SSH Protokoll redhat Kapitel 13 Pluggable Authentication Modules PAM Programme die Benutzern Zugriff zu einem System gew hren berpr fen die Identit t der Benut zer durch einen Prozess der Authentifizierung genannt wird Historisch haben alle diese Programme ihren eigenen Weg die Authentifizierung durchzuf hren Unter Red Hat Enterprise Linux sind viele dieser Programme daf r konfiguriert einen zentralisierten Authentifizierungsprozess zu benutzen der Pluggable Authentication Modules PAM genannt wird PAM benutzt eine auswechs
205. e Art Befehl Sie brauchen um eine Aufgabe zu erledigen Sie sollten also lediglich grob dar ber Bescheid wissen wie Linux funktioniert was Sie erreichen wollen und und wie Sie den Zugang zu dem Tool finden das Ihnen dann genaue Anweisungen dazu gibt wie Sie den Befehl ausf hren m ssen Das Red Hat Enterprise Linux Installationshandbuch ist eine hervorragende Informationsquelle die Ihnen dabei hilft Ihr Red Hat Enterprise Linux System erfolgreich zu installieren und grundlegend zu konfigurieren Das Red Hat Enterprise Linux Introduction to System Administration ist ein exzellenter Ausgangspunkt wenn Sie die Grundlagen der Systemverwaltung lernen wollen Sie sollten mit diesen zwei B chern beginnen und sich so ein Basiswissen ber Red Hat Enterprise Linux aneignen Es wird nicht lange dauern dass Ihnen auch kompliziertere Konzepte sinnvoll erscheinen weil Sie die Grundgedanken dahinter bereits verstanden haben Au er den Red Hat Enterprise Linux Handb chern stehen Ihnen noch viele andere hervorragende Dokumentationsquellen zur Verf gung die sofern sie nicht gratis sind auch nicht viel kosten 2 1 1 Einf hrung in Linux Webseiten http www redhat com Auf der Red Hat Website finden Sie Links zum Linux Documentation Project LDP zu den Online Versionen der Red Hat Enterprise Linux Handb cher den FAQs iv Einf hrung h ufig gestellte Fragen zu der Datenbank f r die Suche nach einer Linux Benutzergruppe in Ihrer N
206. e Datei etc rc serial aus Anschlie end f hrt init das etc inittab Skript aus das beschreibt wie das System auf jedem SysV init Runlevel eingerichtet werden sollte Die Datei etc inittab legt u a den Standard Runlevel fest und bestimmt dass sbin update bei jedem Start eines bestimmten Runlevels ausge f hrt werden muss Danach legt init die Quellfunktionsbibliothek etc rc d init d functions f r das System fest In der Datei wird festgelegt wie Programme zu starten oder zu beenden sind und wie die PID eines Programms bestimmt werden kann Danach startet init alle Hintergrundprozesse indem es im entsprechenden rc Verzeichnis nach den Runleveln sucht die in etc inittab als Standard festgelegt sind Die rc Verzeichnisse sind gem den Runleveln nummeriert die sie darstellen So ist zum Beispiel etc rc d rc5 d das Verzeich nis f r Runlevel 5 Das Programm init sucht beim Starten auf Runlevel 5 im Verzeichnis etc rc d rc5 d um die Prozesse zu ermitteln die gestartet und beendet werden m ssen Folgend ist ein Beispiel Listing f r das Verzeichnis etc rc d rc5 d K05innd gt init d innd K05saslauthd gt init d saslauthd KlOpsacct gt init d psacct K10radiusd gt init d radiusd Kl2mysqld gt init d mysqld Kl5httpd gt init d httpd 3 Weitere Informationen zu SysV init Runleves finden Sie unter Abschnitt 1 4 4 Das update Programm gibt fehlerhafte Buffer auf der Festplatte wieder fr
207. e Ger te umfassen Eine proc isapnp Datei mit einem Soundblaster Eintrag sieht hnlich wie hier aus Card 1 CTLO070 Creative ViBRA16C PnP PnP version 1 0 Product version 1 0 Logical device 0 CTLO001 Audio Device is not active Active port 0x220 0x330 0x388 Active IRQ 5 0x2 Active DMA 1 5 Resources 0 Priority preferred Port 0x220 0x220 align 0x0 size 0x10 16 bit address decoding Port 0x330 0x330 align 0x0 size 0x2 16 bit address decoding Port 0x388 0x3f8 align 0x0 size 0x4 16 bit address decoding IRQ 5 High Edge DMA 1 8 bit byte count compatible DMA 5 16 bit word count compatible Alternate resources 0 1 Priority acceptable Port 0x220 0x280 align Oxlf size 0x10 16 bit address decoding Port 0x300 0x330 align 0x2f size 0x2 16 bit address decoding Kapitel 5 Das proc Dateisystem 53 Port 0x388 0x3f8 align 0x0 size 0x4 16 bit address decoding IRQ 5 7 2 9 10 High Edge DMA 1 3 8 bit byte count compatible DMA 5 7 16 bit word count compatible Diese Datei kann sehr lang werden je nach Anzahl der angezeigten Ger te und deren Ressourcenan forderungen Jede Karte wird mit ihrem Namen der PnP Versionsnummer und der Produkt Versionsnummer an gezeigt Wenn das Ger t aktiv und konfiguriert ist zeigt die Datei auch den Port und die IRQs der Karte an Zus tzlich zeigt die Karte auch preferred und acceptable Werte f r verschiedene Pa rameter an Das Ziel hierbei ist PnP Karten perfekt einzustellen und Konflikte
208. e Grafikkarte befindet Diese Option ist nur bei Systemen mit mehreren Karten notwendig e Screen Ein optionaler Eintrag der angibt welchen Anschluss der Grafikkarte dieser Device Abschnitt konfiguriert Diese Option ist nur bei Grafikkarten mit mehr als einem Anschluss n t zlich Wenn mehrere Monitore an eine Grafikkarte angeschlossen sind dann m ssen auch verschiedene Device Abschnitte mit einem jeweils unterschiedlichen Screen Wert zur Verf gung stehen Der Wert eines Screen Eintrags ist eine ganzzahlige Nummer Der erste Anschluss hat den Wert 0 und f r jeden weiteren Anschluss wird diese Zahl um eins erh ht Option lt option name gt Ein optionaler Eintrag der weitere Parameter f r diesen Abschnitt angibt Ersetzen Sie lt option name gt mit einer g ltigen in den man Seiten zu XF86Config aufgelisteten Option Eine der h ufiger verwendeten Optionen ist dpms welches die Service Star Energy Compliance f r den Monitor einschaltet Kapitel 7 Das X Window System 97 7 3 1 9 Screen Jeder Screen Abschnitt bindet eine Grafikkarte oder einen Anschluss auf einer Grafikkarte an einen Monitor indem dieser den Device Abschnitt und den jeweiligen Monitor Abschnitt fiir jeden der Anschliisse referenziert Ein Screen Abschnitt muss vorhanden sein weitere bestehen fiir jede zu s tzliche Kombination von Grafikkarte oder Anschluss zu Monitor auf dem gegebenen Rechner Folgend ist ein Beispiel eines typischen Scr
209. e HTTP Secure Server Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration Kapitel 10 Apache HTTP Server 145 10 5 Konfigurationsanweisungen in httpd conf Die Apache HTTP Server Konfigurationsdatei ist etc httpd conf httpd conf Die Datei httpd conf enth lt ausf hrliche Kommentare und erkl rt sich bis zu einem gewissen Grad selbst Die Standardkonfiguration Ihres Web Servers ist f r die meisten Situationen ausreichend Sie sollten sich jedoch mit einigen der wichtigsten Konfigurationsoptionen vertraut machen A Warnung Mit der Release von Apache HTTP Server 2 0 haben sich viele Konfigurationsoptionen ge ndert M ssen Sie eine Konfigurationsdatei der Version 1 3 in das neue Format migrieren wenden Sie sich an Abschnitt 10 2 10 5 1 Allgemeine Konfigurationshinweise Wenn Sie Ihren Apache HTTP Server konfigurieren m ssen ist lediglich die Datei httpd conf zu editieren und anschlie end der httpd conf Prozess neu zu laden oder anzuhalten und neu zu starten Das Neuladen Anhalten und Starten von Apache HTTP Server wird in Abschnitt 10 4 besprochen Vor dem Editieren von httpd conf sollten Sie zuerst eine Kopie der Originaldatei anlegen Falls Sie beim Editieren der Konfigurationsdatei einen Fehler machen steht Ihnen auf diese Weise eine Sicherheitskopie zur Verf gung mit der Sie von vorn beginnen k nnen Falls Sie einen Fehler machen und Ihr Web Server nicht richtig funktioniert sollten Sie zuerst d
210. e Hosts Informationen die sich vollkommen von denen unterscheiden die andere Hosts erhalten Eine andere M glichkeit ist nur bestimmte Zonen f r bestimmte sichere Hosts zug nglich zu machen w hrend nicht sichere Hosts nur Abfragen f r andere Zonen erstellen k nnen Es k nnen auch mehrere Ansichten verwendet werden solange ihre Namen eindeutig sind Die match clients Option legt die IP Adressen fest die f r eine bestimmte Ansicht verwendet wer den Alle opt ion Direktiven k nnen in einer Ansicht verwendet werden Sie berschreiben dabei die allgemeinen bereits f r named konfigurierten Optionen Die meisten view Direktiven enthalten mehrere zone Anweisungen die f r die match clients Liste gelten Es ist wichtig in welcher Reihenfolge die view Anweisungen aufgelistet sind da die erste view Direktive die mit einer bestimmten IP Adresse des Client bereinstimmt verwendet wird Unter Abschnitt 11 5 2 finden Sie weitere Informationen zur view Anweisung 11 2 3 Kommentar Tags Die Folgende ist eine Liste g ltiger in named conf verwendeter Kommentar Tags Wenn an den Anfang der Zeile gestellt wird diese Zeile von named ignoriert Wenn an den Anfang der Zeile gestellt wird diese Zeile von named ignoriert und Hierin eingeschlossener Text wird von named ignoriert 11 3 Zone Dateien Zone Dateien sind im named Arbeitsverzeichnis var named gespeichert und enthalten Informa tionen ber eine
211. e Probe etc lilo conf f r ein System das so konfiguriert ist dass es zwei Betriebssysteme hochfahren kann Red Hat Enterprise Linux und DOS boot dev hda map boot map install boot boot b prompt timeout 50 message boot message 1ba32 default linux image boot vmlinuz 2 4 0 0 43 6 label linux initrd boot initrd 2 4 0 0 43 6 img read only root dev hda5 other dev hdal label dos Hier ein ausf hrlicher Blick auf die Zeilen dieser Datei 22 Kapitel 2 Bootloader boot dev hda Weist LILO an sich selbst auf der ersten Festplatte des ersten IDE Controllers zu installieren map boot map Sucht die Zuordnungsdatei Normalerweise sollten hier keine nderungen vorgenommen werden install boot boot b Weist LILO an die angegebene Datei als neuen Bootsektor zu instal lieren Normalerweise sollten hier keine nderungen vorgenommen werden Wenn die install Zeile fehlt geht LILO davon aus dass boot boot b standardm ig zu verwenden ist prompt Weist LILO an alle Verweise in der message Zeile anzuzeigen Es wird davon abger aten die prompt Zeile zu entfernen Wenn Sie dies dennoch tun k nnen Sie nach wie vor einen Prompt aufrufen indem Sie die Umschalt Taste gedr ckt halten w hrend der Rechner hochf hrt timeout 50 Legt den Zeitraum fest den LILO auf Benutzereingaben wartet ehe er mit dem Starten des default Zeileneintrags fortf hrt Dies wird in Zehntelsekunden gemessen 5
212. e Regel warning etc hosts allow line 20 missing newline or line too long 14 2 1 Formatieren von Zugriffsregeln Das Format der beiden Dateien etc hosts allowund etc hosts deny ist gleich Leere Zeilen oder Zeilen die mit dem Zeichen beginnen werden nicht ber cksichtigt Jede Regel muss auf einer neuen Zeile beginnen Jede Regel verwendet folgendes grundlegende Format um den Zugriff zu Netzwerk Services zu kon trollieren lt daemon list gt lt client list gt lt option gt lt option gt lt daemon list gt Eine durch Kommas getrennte Liste von Prozessnamen nicht Service Namen oder dem ALLE Wildcard siehe Abschnitt 14 2 1 1 Die Daemon Liste akzeptiert auch Operatoren in Abschnitt 14 2 1 4 aufgelistet um gr ere Flexibilit t zu gew hren 214 Kapitel 14 TCP Wrappers und xinetd e lt client list gt Eine durch Kommas getrennte Liste von Hostnamen Host IP Adressen speziellen Patterns siehe Abschnitt 14 2 1 2 oder speziellen Wildcards siehe Abschnitt 14 2 1 1 welche die von dieser Regel betroffenen Hosts identifizieren Die Client Liste akzeptiert auch Op eratoren wie in Abschnitt 14 2 1 4 aufgelistet um gr ere Flexibilit t zu gew hren e lt option gt Eine optionale Aktion oder durch Doppelpunkte getrennte Liste von Aktionen welche ausgef hrt werden wenn eine Regel angewendet wird Option Felder unterst tzen Expan sionen siehe Abschnitt 14 2 2 4 und k nnen verwen
213. e bevor Sie aktual isieren Filtern Module f r Apache HTTP Server 2 0 sind in der Lage Inhalte zu filtern Weitere Infor mationen dazu finden Sie unter Abschnitt 10 2 4 IPv6 Support Apache HTTP Server 2 0 unterst tzt die IP Adressfunktionen der n chsten Gen eration 132 Kapitel 10 Apache HTTP Server Vereinfachte Anweisungen Eine Reihe verwirrender Anweisungen wurden entfernt und andere vereinfacht Informationen zu speziellen Anweisungen finden Sie unter Abschnitt 10 5 Mehrsprachige Fehlermeldungen Bei der Verwendung von Server Side Include SSI Doku menten k nnen beutzerdefinierbare Seiten zu Fehlermeldungen in mehreren Sprachen verschickt werden Mehrfach Protokoll Support Apache HTTP Server 2 0 kann mehrere Protokolle unterst tzen Eine vollst ndigerere Liste der nderungen finden Sie online unter http httpd apache org docs 2 0 10 1 2 Packet nderungen bei Apache HTTP Server 2 0 In Red Hat Linux 9 wurde das Apache HTTP Server Paket umbenannt Au erdem wurden einige verwandte Pakete umbenannt verworfen oder in andere Pakete aufgenommen Es folgt eine Liste der Paket nderungen Die apache apache devel und apache manual Pakete wurden jeweils umbenannt in httpd httpd devel und httpd manual Das Paket httpd enth lt jetzt mod_dav Die Pakete mod_put und mod_roaming wurden herausgenommen da deren Funktionen bereits in mod_dav enthalten sind Die Pakete mod_auth_any
214. e dieses Verzeichnis l schen kann Ihr System nicht mehr gestartet werden 3 2 1 2 Das dev Verzeichnis Das dev Verzeichnis enth lt Dateisystemeintr ge die die an das System angeschlossenen Ger te wiedergeben Diese Dateien sind f r das einwandfreie Funktionieren des Systems unerl sslich 3 2 1 3 Das etc Verzeichnis Das etc Verzeichnis ist f r lokale Konfigurationsdateien Ihres Rechners reserviert Unter etc d rfen keine Bin rdateien abgelegt werden S mtliche Bin rdateien die zu einem fr heren Zeitpunkt in etc abgelegt wurden m ssen nun nach sbin oder bin verschoben werden Die Verzeichnisse x11 und skel sind Unterverzeichnisse von etc etc amp 117 skel Im etc x11 Verzeichnis werden X Window System Konfigurationsdateien wie z B XF86Config abgelegt Im etc skel Verzeichnis werden skeleton Benutzerdateien abgelegt Wenn ein neuer Benutzer hinzukommt dienen sie dazu ein Home Verzeichnis anzulegen 3 2 1 4 Das 1ib Verzeichnis Das 1ib Verzeichnis sollte nur jene Bibliotheken enthalten die f r das Ausf hren der Bin rdatei en von bin und sbin gebraucht werden Diese gemeinsam genutzten Bibliothek Images sind insbesondere f r das Hochfahren des Systems und das Ausf hren von Befehlen innerhalb des root Dateisystems von Bedeutung 3 2 1 5 Das mnt Verzeichnis Das mnt Verzeichnis ist f r vor bergehend gemountete Dateisysteme wie CD ROMs und 3 5 Dis ketten
215. e im Kapi tel Apache HTTP Secure Server Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration f Bitte beachten Nehmen Sie keine Ver nderungen an Ihren SSL Anweisungen vor es sei denn Sie wissen genau was Sie tun In den meisten F llen sind die SSL Anweisungen in der installierten Form v llig ausre ichend 162 Kapitel 10 Apache HTTP Server 10 6 Standard Module Apache HTTP Server wird mit einer Reihe von Modulen vertrieben Standardm ig werden folgende Module mit dem httpd Packet auf Red Hat Enterprise Linux 3 installiert und aktiviert mod_access so mod_auth so mod_auth_anon so mod_auth_dbm so mod_auth_digest so mod_include so mod_log_config so mod_env so mod_mime_magic so mod_cern_meta so mod_expires so mod_headers so mod_usertrack so mod_unique_id so mod_setenvif so mod_mime so mod_dav so mod_status so mod_autoindex so mod_asis so mod_info so mod_dav_fs so mod_vhost_alias so mod_negotiation so mod_dir so mod_imap so mod_actions so mod_speling so mod_userdir so mod_alias so mod_rewrite so mod_proxy so mod_proxy_ftp so mod_proxy_http so mod_proxy_connect so mod_cache so mod_disk_cache so mod_file_cache so mod_mem_cache so mod_cgi so Folgende Module sind zus tzlich verf gbar wenn Sie weitere Pakete installieren mod_auth_mysql mod_auth_pgsql mod_perl mod_python mod_ssl php Kapitel 10 Apache HTTP Server 163 10 7 Hinzuf gen von Modulen zu Ihrem Server D
216. e ma gebliche Informationen ber den Namespace an den Name Server Nach den Direktiven festgelegt ist ein SOA Resource Record der erste Resource Record in einer Zone Datei Das folgende Beispiel zeigt die Basisstruktur eines SOA Resource Record IN SOA lt primary name server gt lt hostmaster email gt lt serial number gt lt time to refresh gt lt time to retry gt lt time to expire gt lt minimum TTL gt Das Symbol richtet die SORIGIN Anweisung oder den Namen der Zone falls die SORIGIN Direktive nicht eingestellt ist als Namespace ein das von diesem SOA Resource Record eingestellt wurde Als lt primary Nameserver gt wird der erste f r diese Domain ma gebliche Name Server verwendet und die E Mail der ber diesen Namespace zu kontaktierenden Person wird durch die lt hostmaster email gt ersetzt Die lt serial number gt wird bei jeder nderung der Zone Datei erh ht so dass named er kennt dass diese Zone neu geladen werden kann Die lt time to refresh gt teilt den Slave Servern mit wie lange sie warten m ssen bevor sie beim Master Nameserver anfragen ob alle nderungen f r die Zone durchgef hrt wurden Der Wert der lt serial number gt wird vom 178 Kapitel 11 Berkeley Internet Name Domain BIND Slave Server verwendet um festzustellen ob veraltete Daten der Zone verwendet werden die ak tualisiert werden sollten Die lt time to retry gt gibt den Zeitraum an nach dem eine neue Anfrage b
217. e namensbasierte virtuelle Hosts einrichten m ssen Sie die Anweisung NameVirtualHost f r die IP Adresse verwenden und die Portnummer falls erforderlich Die Konfiguration von namens basierten virtuellen Hosts wird verwendet wenn Sie verschiedene virtuelle Hosts f r verschiedene Dom nen einrichten m chten aber nicht gen gend verschiedene IP Adressen f r die verschiedenen Dom nennamen haben oder verwenden m chten f r die Ihr Web Server Dokumente bereitstellt Bitte beachten Alle eingerichteten namensbasierten virtuellen Hosts funktionieren nur f r unverschl sselte HTTP Verbindungen da Sie keine namensbasierten virtuellen Hosts f r einen verschl sselten Server ver wenden k nnen M ssen Sie virtuelle Hosts mit einem verschl sselten Server verwenden ben tigen Sie IP adressbasierte virtuelle Hosts Wenn Sie namensbasierte virtuelle Hosts verwenden sind fiir die Konfigurationsanweisung NameVirtualHost die Kommentare zu entfernen und nach NameVirtualHost ist die richtige IP Adresse f r Ihren Server anzugeben Anschlie end sind mit virtualHost Tags weitere Informationen zu den verschiedenen Dom nen hinzuzuf gen die ServerName f r jeden virtuellen Host sowie weitere Konfigurationsanweisungen einschlie en die nur f r diesen virtuellen Host gelten Kapitel 10 Apache HTTP Server 161 10 5 65 virtualHost lt VirtualHost gt und lt VirtualHost gt Tags erzeugen einen Container der die Eigenschaften eines virt
218. e unter Abschnitt 2 6 2 5 GRUB Oberflachen GRUB bietet drei Oberfl chen die unterschiedliche Stufen an Funktionalit t bieten Jede einzelne Oberfl che erm glicht das Booten des Linux Kernels oder eines anderen Betriebssystems Dabei handelt es sich um folgende Schnittstellen Meni oberfl che Wurde GRUB vom Installationsprogramm konfiguriert wird automatischdiese Oberfl che als Standard angezeigt Es wird ein Men mit vorkonfigurierten Betriebssystemen oder Kerneln als Liste nach Namen geordnet angezeigt Anhand der Pfeiltasten k nnen Sie eine andere Option als die Standardauswahl w hlen Dr cken Sie die Enter Taste um diese Option zu booten Es kann auch eine Zeit eingestellt sein nach der GRUB mit dem Laden der Standardoption beginnt Dr cken Sie in der Men oberfl che die Taste e um die Oberfl che des Eintrag Editors aufzu rufen bzw die Taste c um eine Befehlszeilenoberfl che zu laden Weitere Informationen zum Konfigurieren dieser Oberfl che finden Sie unter Abschnitt 2 7 16 Kapitel 2 Bootloader Oberfl che Meniieintrag Editor Um auf den Meniieintrag Editor zuzugreifen driicken Sie die Taste e im Bootloader Menii Die GRUB Befehle fiir diesen Eintrag werden hier angezeigt und die Benutzer haben die M glichkeit diese Befehlszeilen vor dem Starten des Betriebssystems durch Hinzuf gen einer Befehlszeile o f gt die neue Zeile nach der aktuellen Zeile ein O davor durch Bearbeiten e od
219. echenden aus mod_auth_dbm ersetzt AuthDBMUserFile und AuthDBMGroupFile Sie m ssen au erdem die Anweisung AuthDBMType DB hinzuf gen um den Typ der Datenbankdatei anzugeben der verwendet wird Folgendes ist ein Beispiel f r eine mod_auth_db Konfiguration in Apache 1 3 lt Location private gt AuthType Basic AuthName My Private Files AuthDBUserFile var www authdb require valid user lt Location gt Verwenden Sie folgende Struktur um diese Einstellung zu Apache HTTP Server 2 0 zu migrieren lt Location private gt AuthType Basic AuthName My Private Files AuthDBMUserFile var www authdb AuthDBMType DB require valid user lt Location gt Bitte beachten Sie dass die Anweisung AuthDBMUserFile auch in htaccess Dateien verwendet werden kann Das dbmmanage Perl Skript das zur Bearbeitung von Benutzernamen und Passwort Datenbanken verwendet wurde wurde in Apache HTTP Server 2 0 durch ht dbm ersetzt Das Programm htdbm Kapitel 10 Apache HTTP Server 141 bietet gleichwertige Funktionalit t und kann wie mod_auth_dbm mit einer Reihe von Datenbank Formaten umgehen die Option T kann in der Befehlszeile zur Bestimmung des Formats verwendet werden Tabelle 10 1 zeigt wie man von einer Datenbank im DBM Format anhand von dbmmanage in das htdbm Format migrieren kann dbmmanage Befehl Entsprechender htdbm Apache 1 3 Befehl Apache 2 0 Benutzer zu Datenbank bmmanage authdb add htdbm b TDB authdb hinzuf gen an
220. edenen Betriebssystemen oder Kerneln an die zum Starten konfiguriert wurden Wenn Sie standardm ig nur Red Hat Enterprise Linux installiert haben ist nur linux als Option vorhanden Sollte das System mehrere Prozessoren haben wird eine linux up Option f r den Einzelprozessor Kernel und eine Linux Option f r den SMP Kernel erscheinen Ist LILO dazu konfiguriert andere Betriebssysteme zu booten erscheinen diese Bootoptionen ebenfalls auf dem Bildschirm Die Pfeiltasten erm glichen Ihnen das Betriebssystem zu markieren und durch Dr cken der Enter Taste wird der Bootvorgang gestartet Um Zugriff zu einem boot Prompt zu erhalten dr cken Sie Strg X 2 8 2 LILO vs GRUB Im Gro en und Ganzen gesehen funktioniert LILO wie GRUB mit Ausnahme folgender drei Haupt unterschiede e Die Befehlsoberfl che ist nicht interaktiv Er speichert Informationen ber den Speicherort des Kernels oder anderer zu ladenden Betriebssys teme im MBR e Er kann keine ext2 Partitionen lesen Der erste Punkt bedeutet dass der Befehls Prompt fiir LILO nicht interaktiv ist und nur Befehle mit Argumenten zul sst Die letzten beiden Punkte bedeuten dass Sie nach nderungen an der Konfigurationsdatei von LILO oder der Installation eines neuen Kernels LILO auf dem MBR neu installieren m ssen Dazu dient der folgende Befehl sbin lilo v v Diese Methode stellt ein gr eres Risiko als die GRUB Methode dar da ein nicht richtig konfigu
221. edoch viele Bereiche undefiniert oder erweiterbar l sst In diesem Abschnitt geben wir Ihnen einen berblick ber diesen Standard und eine Beschreibung jener Bereiche des Dateisy stems die vom Standard nicht erfasst werden Die Erf llung dieses Standards bedeutet viel aber die beiden wichtigsten Aspekte sind sicherlich die Kompatibilit t mit anderen Systemen und die M glichkeit eine usr Partition schreibgesch tzt zu mounten weil sie gemeinsam genutzte ausf hrbare Dateien enth lt und daher keine nderungen durch den Benutzer vorgenommen werden sollten Da usr schreibgesch tzt gemountet ist besteht die M glichkeit sie ber die CD ROM oder ber einen schreibgesch tzten NFS Mount von einem anderen Rechner aus zu mounten 3 2 1 FHS Organisation Die hier beschriebenen Verzeichnisse und Dateien stellen nur eine kleine Teilmenge der im Dokument zum Dateisystemstandard angegebenen Verzeichnisse und Dateien dar Vollst ndige Informationen finden Sie im neuesten Dokument zum Dateisystemstandard FHS 26 Kapitel 3 Struktur des Dateisystems Der vollst ndige Standard ist online verf gbar unter http www pathname com fhs 3 2 1 1 Das boot Verzeichnis Das boot Verzeichnis enth lt statische Dateien die erforderlich sind um das System hochzufah ren den Linux Kernel Diese Dateien sind notwendig damit das System fehlerfrei hochfahren kann Ans Entfernen Sie unter keinen Umst nden das boot Verzeichnis Wenn Si
222. een Abschnitts Section Screen Identifier Screen0 Device Videocard0 Monitor Monitor0 DefaultDepth 16 SubSection Display Depth 24 Modes 1280x1024 1280x960 1152x864 1024x768 800x600 640x480 EndSubSection SubSection Display Depth 16 Modes 1152x864 1024x768 800x600 640x480 EndSubSection EndSection Folgende Eintr ge sind h ufig in einem Screen Abschnitt verwendet e Identifier Ein eindeutiger Name f r diesen Screen Abschnitt Dies ist ein notwendiger Eintrag Device Gibt einen eindeutigen Namen eines Device Abschnitts an Dieser Eintrag ist erforder lich Monitor Gibt einen eindeutigen Namen eines Monitor Abschnitts an Dieser Eintrag ist notwendig DefaultDepth Gibt die Farbtiefe in Bits an Im vorangegangenen Beispiel ist 16 was mehrere tausende von Farben erm glicht der Default Wert Mehrere DefaultDepth Eintr ge sind zul s sig aber einer muss mindestens vorhanden sein e SubSection Display Gibt die Bildschirmmodi an die bei einer spezifischen Farbtiefe zur Verf gung stehen Ein Screen Abschnitt kann mehrere Display Unterabschnitte haben es muss allerdings zumindest einer f r die in DefaultDepth angegebene Farbtiefe bestehen Option lt option name gt Ein optionaler Eintrag der weitere Parameter f r diesen Abschnitt angibt Ersetzen Sie lt option name gt mit einer g ltigen in den man Seiten zu XF86Config aufgelisteten Option 7 3 1 10 DRI
223. ef hrt werden bis jeder Parameter und jede Option die einen weiteren Optionensatz erfordert erf llt ist Wenn Sie iptables h eingeben erhalten Sie eine vollst ndige Liste der iptables Befehlsstrukturen 15 3 2 Befehlsoptionen Mit Befehlsoptionen wird iptables angewiesen einen bestimmten Vorgang auszuf hren Nur ein einziger Befehl pro iptables Befehlszeichenkette ist zugelassen Mit Ausnahme des Hilfebefehls sind alle Befehle in Gro buchstaben geschrieben Die iptables Befehle sind A H ngt die iptables Regel an das Ende der spezifizierten Chain an Dies ist der Befehl mit dem eine Regel einfach hinzugef gt wird wenn die Reihenfolge der Regeln in der Chain nicht ausschlaggebend ist C Kontrolliert eine bestimmte Regel bevor sie zur benutzerdefinierten Chain hinzugef gt wird Dieser Befehl kann Ihnen dabei helfen komplizierte iptables Regeln zu erstellen indem er Sie jeweils durch Aufforderungen dazu bringt zus tzliche Parameter und Optionen einzugeben D Entfernt eine Regel in einer bestimmten Chain nach ihrer Ziffer z B 5 f r die 5 Regel einer Chain Sie k nnen ebenfalls die gesamte Regel eingeben woraufhin iptables dann die entsprechende Regel aus der Chain mit der die Regel bereinstimmt entfernt E Benennt eine benutzerdefinierte Chain um Dies hat allerdings keine Auswirkung auf die Tabellenstruktur F L scht die gew hlte Chain woraufhin effektiv jede Regel in der
224. egt die Eigenschaften einer Zone wie den Ort der Konfigurationsdatei und Zonen spezifische Optionen fest Diese Statement kann benutzt werden um globale options State ments zu berschreiben Ein zone Statement hat die folgende Form zone lt zone name gt lt zone class gt lt zone options gt lt zone options gt In diesem Statement lt zone name gt ist der Name der Zone lt zone class gt ist die optionale Klasse der Zone und lt zone options gt ist eine List von Optionen welche die Eigenschaften der Zone bestimmen Das lt zone name gt Attribut f r die Zone ist besonders wichtig da es den Standardwert f r die SORIGIN Direktive festlegt welche den Zonen Dateien im Verzeichnis var named entspricht Der named Daemon h ngt den Namen der Zone an jeden nicht FQDN an welcher in der Zonen Datei aufgelistet ist Wenn zum Beispiel ein zone Statement den Namespace f r example com angibt verwende exam ple comals lt zone name gt damit es an Hostnamen in der example com Zonen Datei angeh ngt wird F r mehr Information zu Zonen Dateien siehe Abschnitt 11 3 Die am h ufigsten verwendeten Optionen von zone Statement sind die Folgenden e allow query Legt fest welche Clients Informationen ber diese Zone anfordern d rfen Stan dardm ig sind alle Anfragen zul ssig e allow transfer Bestimmt die Slave Server die den Transfer der Informationen ber die Zonen anfordern d rfen Standardm
225. ehnt Wenn nicht wird die Verbindung erlaubt Die folgenden Punkte sind wichtig wenn TCP Wrappers verwendet werden um Netzwerk Services zu sch tzen Da Zugriffsregeln in hosts allow zuerst angewendet werden haben diese Vorrang vor den Regeln in hosts deny Sollte der Zugriff zu einem Service in hosts allow erlaubt sein wird jegliche Regel in hosts deny welche den Zugriff verbietet ignoriert Da alle Regeln von oben nach unten abgearbeitet werden wird lediglich die erste Regel f r einen gegebenen Service angewendet weswegen die Reihenfolge der Regeln sehr wichtig ist Sollte keine Regel f r einen gegebenen Service gefunden werden in keiner der beiden Dateien so wird der Zugriff zu diesem Service gew hrt TCP wrapped Services speichern Regeln f r die Hosts Zugriffsdateien nicht zwischen jegliche nderungen zu hosts allow oder hosts deny treten deswegen sofort in Kraft A Warnung Sollte die letzte Zeile einer Hosts Zugriffsdatei keine Leerzeile sein eine Leerzeile enth lt lediglich ein Newline Zeichen und wurde durch Dr cken der Enter Taste erzeugt wird die letzte Regel in der Datei nicht richtig abgearbeitet und ein Fehler wird entweder nach var log messages oder var log secure geschrieben Dies ist auch der Fall f r Regelzeilen welche auf mehrere Zeilen aufgeteilt werden ohne den Backslash zu benutzen Das folgende Beispiel zeigt den wichtigsten Teil einer Log Meldung f r eine durch genannte Gr nde fehlerhaft
226. ehrte Aufl sung von Namen Eine Zone Datei f r die Aufl sung von Reverse Namen wird verwendet um eine IP Adresse in ein bestimmtes Namespace in einem FQDN umzusetzen Sie hnelt einer standardm igen Zone Datei mit dem Unterschied dass die PTR Resource Records zur Verkn pfung der IP Adressen mit g ltigen Domain Namen verwendet werden Ein PTR Record sieht Folgendem hnlich lt last IP digit gt IN PTR lt FODN of system gt Die lt last IP digit gt bezieht sich auf die letzte Nummer in einer IP Adresse mit der auf die FODN eines bestimmtenSystems hingewiesen wird Im folgenden Beispiel werden die IP Adressen 10 0 1 20 durch 10 0 1 25 den korrespondieren den FQDN zugewiesen SORIGIN 1 0 10 in addr arpa TTL 86400 IN SOA dnsl example com hostmaster example com 2001062501 serial 21600 vefresh after 6 hours 3600 retry after 1 hour 604800 expire after 1 week 180 Kapitel 11 Berkeley Internet Name Domain BIND 86400 minimum TTL of 1 day IN NS dnsl example com IN NS dns2 example com 20 IN PTR alice example com 21 IN PTR betty example com 22 IN PTR charlie example com 23 IN PTR doug example com 24 IN PTR ernest example com 25 IN PTR fanny example com Diese Zone Datei w rde mit einer zone Anweisung in der named conf Datei in den Dienst ber nommen was dann so hnlich aussieht wie zone 1 0 10 in addr arpa IN type master file example com rr zone allow update none
227. ei Kapitel 1 Bootprozess Init und Shutdown K1l5postgresql gt Kl6rarpd gt K20iscsi gt K20netdump server gt init d nfs K20nfs gt K20tomcat K24irda gt K25squid gt K28amd gt gt K34dhcrelay gt K34yppasswdd gt K35dhcpd gt K35smb gt K35vncserver gt K35winbind gt K36lisa gt K45arpwatch gt K45named gt K45smartd gt K46radvd gt K50netdump gt K50snmpd gt K50snmptrapd gt K50tux gt K50vsftpd gt K54pxe gt K6lldap gt K65kadmin gt K65kprop gt K65krb524 gt K65krb5kdc gt K70aep1000 gt K70bcm5820 gt K74ntpd gt K74ypserv gt K74ypxfrd gt K84bgpd gt K84ospf6d gt K84ospfd gt K84ripd gt K84ripngd gt K85zebra gt K92ipvsadm gt K95firstboot SOOmicrocode_ctl gt SO8ip6tables gt SO8iptables gt s09isdn gt S10network gt S12syslog gt S13irqbalance gt S13portmap gt S14nfslock gt Sl7keytable gt S20random gt S24pcmcia gt S25netfs gt S26apmd gt init d nt init d bg init d o selanik diri gt init d iscsi init d tomcat init d irda init d squid init d amd init d dhcrelay init d yppasswdd init d dhcepd init d smb init d vnceserver init d winbind slant sd jisa init d arpwatch init d named init d smartd init d radvd init d net
228. ein Remote Host das NFS Dateisystem im Read Write Modus gemountet hat sind die Ge nehmigungen der einzige Schutz den jede gemeinsame Datei hat Zwei Benutzer die die gleiche Benutzer ID zum Mounten des gleichen NFS Dateisystems verwenden k nnen ihre Dateien gegen seitig modifizieren Jeder der als Root angemeldet ist kann den Befehl su verwenden um ein Benutzer zu werden und ber das NFS Share Zugang zu bestimmten Dateien zu erlangen Mehr Infor mation ber Konflikte zwischen NSF und Benutzer ID finden Sie im KapitelManaging User Accounts and Resource Access im Red Hat Enterprise Linux Introduction to System Administration Standardm ig werden Zugangs Unterst tzungslisten ACLs von NFS unter Red Hat Enterprise Li nux unterstiitzt Es wird nicht empfohlen diese Funktion zu deaktivieren Mehr dazu finden Sie im Kapitel Network File System NFS in der Red Hat Enterprise Linux Handbuch zur System Administration Standardm ig wird beim Exportieren eines Dateisystems via NFS Root Squashing verwendet Dies setzt die Benutzer ID von jedem der auf die NFS Share zugreift auf dem jeweiligen lokalen Rechner auf einen Wert des nf snobody Accounts auf dem Server Schalten Sie Root Squashing niemals aus Wenn Sie eine NFS Share als schreibgeschiitzt exportieren verwenden Sie die Option all_squash wodurch alle Benutzer die auf Ihr exportiertes Dateisystem Zugriff haben die Benutzer ID nfsno body erhalten 130 Kapitel 9 Netzwerk Datei
229. eispiel f r eine Apache HTTP Server 1 3 mod_per1 Konfiguration lt Directory var www perl gt SetHandler perl script PerlHandler Apache Registry Options ExecCGI lt Directory gt Dies entspricht mod_per1 in Apache HTTP Server 2 0 lt Directory var www perl gt 142 Kapitel 10 Apache HTTP Server SetHandler perl script PerlModule ModPerl Registry PerlHandler ModPerl Registry handler Options ExecCGI lt Directory gt Die meisten Module fiir mod_perl 1 x diirften ohne Anderungen mit mod_perl 2 x funktionieren XS Module erfordern eine Neukompilierung und bediirfen eventuell geringerer Makefile Anderungen 10 2 4 6 Das Modul mod_python Die Konfiguration f r mod_python wurde von etc httpd conf d python conf verschoben Damit diese Datei geladen wird und folglich dass mod_python funktioniert m ssen Sie die Anwei sung Include conf d conf wie in Abschnitt 10 2 1 3 beschrieben in Ihrer Datei httpd conf haben 10 2 4 7 PHP Die Konfiguration f r PHP wurde von httpd conf in die Datei etc httpd conf d php conf verschoben Damit diese Datei geladen wird m ssen Sie die Anweisung Include conf d conf wie in Abschnitt 10 2 1 3 beschrieben in Ihrer Datei httpd conf haben PHP ist jetzt als Filter implementiert und muss deshalb anders aktiviert werden Weitere Informationen zu Filtern finden Sie unter Abschnitt 10 2 4 In Apache HTTP Server 1 3 wurde PHP anhand folgender Anweisungen implementiert AddType
230. elbare modulare Architektur welche dem System Administrator einen hohen Grad an Flexibilit t beim Einstellen der Authentifizierungsregeln des Systems bereit stellt Es ist kaum notwendig die Standard PAM Konfigurationsdateien f r eine Applikation welche PAM verwendet zu ndern Hin und wieder kann es allerdings notwendig werden eine PAM Konfigurati onsdatei zu ndern Da eine falsche Einstellung in der PAM Konfigurationsdatei die Systemsicherheit kompromitieren kann sollten Sie mit der Struktur der Konfigurationsdateien von PAM vertraut sein bevor Sie eventuelle nderungen vornehmen weitere Informationen finden Sie unter Abschnitt 13 3 13 1 Vorteile von PAM PAM bietet die folgenden Vorteile Es stellt ein gemeinsames Authentifikationsschema bereit das fiir viele verschiedene Anwendungen verwendet werden kann Es erlaubt gro e Flexibilit t und Kontrolle der Authentifizierung f r Administratoren und Entwick ler von Anwendungen Es erlaubt Anwendungsentwicklern ihr Programm nicht speziell f r die Verwendung bestimmter Authentifikationsschemata entwickeln zu m ssen 13 2 PAM Konfigurationsdateien Die PAM Konfigurationsdateien sind im Verzeichnis etc pam d enthalten In fr heren Versionen von PAM wurde die Datei etc pam conf verwendet die aber k nftig nicht mehr verwendet wird Die Datei pam conf wird nur eingelesen wenn das Verzeichnis etc pam d nicht existiert 13 2 1 PAM Servicedateien F r Appl
231. elehnt wird Das Modul mod_ss1 wird fiir die Verwendung des Modul mod_authz_1dap ben tigt BB wicntic Das Modul mod_authz_1dap authetifiziert einen Benutzer zu einem LDAP Verzecihnis mit einem ver schl sselten Passwort Hash Diese Funktionalit t ist im experimentellen Modul mod_auth_ldap en thalten das nicht in Red Hat Enterprise Linux enthalten ist Sehen Sie die Website der Apache Soft ware Foundation Online unter http www apache org f r Informationen zum Status dieses Moduls Die Datei etc httpd conf d authz_ldap conf konfiguriert das Modul mod_authz_ldap Sehen Sie usr share doc mod_authz_ldap lt version gt index html ersetzen Sie lt version gt mit der Versionsnummer des Pakets f r weitere Informationen zur Konfiguration des Moduls mod_authz_ldap 10 3 Nach der Installation Nach Installieren des httpd Pakets sehen Sie sich die Dokumentation von Apache HTTP Server Online unter http httpd apache org docs 2 0 an Die Apache HTTP Server Dokumentation enth lt Listen und komplette Beschreibungen aller Konfi gurationsoptionen Um Ihnen die bersicht zu erleichtern liefert dieses Kapitel kurze Beschreibungen der von Apache HTTP Server 2 0 verwendeten Konfigurationsanleitungen Die Apache HTTP Server Version 2 0 kann als sicherer Web Server mit der starken SSL Verschl sselung der Pakete mod_ssl und openssl eingerichtet werden Beim Lesen der Konfigurationsdateien Ihres Web Servers stellen Sie sicher dass diese sowo
232. elle verbesserte Merkmale Benutzer der Version 8 von BIND sollten sich das Dokument migration anschauen das sich mit bestimmten nderungen befasst die f r eine Verwendung der Version 9 von BIND vorzunehmen sind In der options Datei sind alle in BIND 9 implementierten Optionen aufgelistet die in etc named conf verwendet werden lt version number gt ist dabei die auf Ihrem System installierte Version von bind usr share doc bind lt version number gt rfc In diesem Verzeichnis finden Sie jedes RFC Dokument das mit BIND zusammenh ngt lt version number gt ist dabei die auf Ihrem System installierte Version von bind BIND bezogene man Seiten Es gibt einige man Seiten zu den verschiedenen Applikationen und Konfigurationsdateien die im Bezug zu BIND stehen Einige der wichtigeren sind Folgend aufgelistet Administrative Applikationen man rndc Erklart die verschiedenen Optionen die bei der Verwendung von rndc zur Kontrolle eines BIND Name Servers zur Verfiigung stehen Server Applikationen man named Untersucht ausgew hlte Argumente die zur Steuerung des BIND Name Server Daemon verwendet werden k nnen man lwresd Beschreibt den Lightweight Resolver Daemon und dessen verf gbare Op tionen Konfigurationsdateien man named conf Eine vollst ndige Liste von Optionen welche in der named Konfigurationsdatei zur Verf gung stehen 186 Kapitel 11 Berkeley Internet Name Domain BIND e man rndc con
233. elle Codierungsart angeben sollen AddEncoding kann auch bei manchen Browsern nicht bei allen dazu verwendet werden bestimmte Dateien beim Download zu entpacken 10 5 52 AddLanguage AddLanguage verkn pft Dateinamenserweiterungen mit der speziellen Sprache in der der Inhalt ab gefasst ist Diese Anweisung ist haupts chlich f r den Inhaltsabgleich n tzlich wenn der Server je nach Spracheinstellung im Browser des Clients eines von mehreren m glichen Dokumenten zur ck liefert 10 5 53 LanguagePriority LanguagePriority erm glicht die Einstellung in welchen Sprachen Dateien geliefert werden sol len falls vom Client im Browser keine Angabe zur Sprache vorliegt 10 5 54 AddType Verwenden Sie die AddType Anweisung um die Paare von MIME Type und Dateiendung zu bestim men oder die Standardeinstellungen zu berschreiben Die folgenden Beispielsanweisungen weisen Apache HTTP Server an die Dateiendung tgz zu kennen 158 Kapitel 10 Apache HTTP Server AddType application x tar tgz 10 5 55 AddHandler AddHandler ordnet Dateierweiterungen speziellen Handlern zu Der cgi script Handler kann zum Beispiel in Kombination mit der Erweiterung cgi verwendet werden um eine Datei mit der Endung cgi als CGI Skript zu bearbeiten Das funktioniert auch f r Dateien die au erhalb des Verzeichnisses ScriptAlias liegen wenn Sie die hier angegebenen Hinweise beachten Ihre Datei httpd conf enth lt einen AddHandler f r CGI AddHand
234. elle wird f r spezielle Arten der Paket nderung verwendet Sr Zus tzlich zu diesen eingebauten Tabellen k nnen spezifische Tabellen erstellt und im Verzeichnis lib modules lt kernel version gt kernel net ipv4 netfilter gespeichert werden wobei lt kernel version gt der Version des Kernel entspricht Jede dieser Tabellen verf gt ber eine Gruppe integrierter Chains Ketten die den Aktionen entspre chen die vom Netzfilter f r das Paket durchgef hrt werden Die f r die filter Tabelle integrierten Chains sind folgende INPUT Gilt f r ber eine Netzwerkschnittstelle empfangene Pakete 228 Kapitel 15 iptables OUTPUT Gilt f r Pakete die ber dieselbe Netzwerkschnittstelle versendet werden die die Pakete empfing FORWARD Gilt f r Pakete die auf einer Netzwerkschnittstelle empfangen aber ber eine andere versendet werden Die f r die nat Tabelle integrierten Chains sind folgende PREROUTING ndert ber eine Netzwerkschnittstelle empfangene Pakete beim Empfang OUTPUT Modifiziert lokal generierte Netzwerk Pakete bevor diese gesendet werden POSTROUTING ndert Pakete vor dem Senden ber eine Netzwerkschnittstelle Die f r die mangle Tabelle integrierten Chains sind folgende INPUT ndert f r den Host bestimmte Netzwerk Pakete OUTPUT Modifiziert lokal generierte Netzwerk Pakete bevor diese gesendet werden FORWARD ndert ber den Host gesen
235. ellen wobei lt Wert gt die Zeit in Sekunden festlegt die vergeht bevor ein Fehler gemeldet wird e intr Erm glicht dass die NFS Anfragen unterbrochen werden k nnen wenn der Server aus f llt oder nicht erreicht werden kann e nfsvers 2 oder nfsvers 3 Legt fest welche Version des NFS Protokolls verwendet werden soll nolock Deaktiviert das Sperren von Dateien Diese Einstellung wird gelegentlich f r die Verbindung zu einem alten NFS Server ben tigt noexec Verhindert das Ausf hren von Bin rdateien auf dem gemounteten Dateisystem Diese Option ist hilfreich wenn Ihr System ein Nicht Linux Dateisystem tiber NFS mountet das inkom patible Bin rdateien enth lt e nosuid Deaktiviert Set User Identifier oder Set Group Identifier Bits Diese Funktion verhin dert dass Remote Benutzer h here Privilegien erlangen indem sie ein Setuid Programm ausf hren e rsize 8192 und wsize 8192 K nnen NFS Kommunikationen zum Lesen rsize und Schreiben wsize beschleunigen indem das Ausma des Datenblocks in Bytes vergr ert wird der bertragen wird Beim ndern dieser Werte sollten Sie beachten dass einige ltere Linux Kernel und Netzwerkkarten eventuell mit einem gr eren Datenblock nicht korrekt arbeiten tcp Legt f r den NFS Mount die Verwendung des TCP Protokolls anstatt von UDP fest Auf dermount man Seite stehen noch viele weitere Optionen zur Verf gung einschlie lich Optionen
236. elt werden sollen acl black hats 10 0 2 0 24 192 168 0 0 24 acl red hats 10 0 1 0 24 options blackhole black hats allow query red hats allow recursion red hats Dieses Beispiel enth lt zwei Access Control Lists black hats und red hats Hosts in der black hats Liste ist der Zugriff zum Nameserver verboten w hrend Hosts in der red hats Liste normaler Zugriff gew hrt ist 11 2 1 2 include Statement Das include Statement erlaubt Dateien in named conf einzuschliessen In dieser Weise k nnen sensitive Konfigurationsdaten wie keys in einer separaten Datei mit eingeschr nkten Rechten ge halten werden Ein include Statement hat die folgende Form include lt file name gt In diesem Statement ersetzen Sie lt file name gt mit dem absoluten Pfad zu einer Datei Kapitel 11 Berkeley Internet Name Domain BIND 171 11 2 1 3 options Statement Das options Statement legt Konfigurationsoptionen des globalen Servers fest und setzt Defaults fiir andere Statements Es kann verwendet werden um den Ort des named Arbeitsverzeichnisses anzuge ben den Typ der erlaubten Queries uvm Das options Statement hat die folgende Form options lt option gt lt option gt In diesem Statement ersetzen Sie die lt opt ion gt Direktiven mit einer g ltigen Option Die folgenden sind h ufig benutzte Optionen e allow query Legt fest welche Hosts diesen Nameserver abfragen d
237. eltener verwendet Ein typischer Name fiir die Schnittstellen Konfigurationsdatei der SLIP Dateien ist z B ifcfg s10 Folgende Optionen k nnen in diesen Dateien verwendet werden DEFROUTE lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann yes Stellt diese Schnittstelle als Standardroute ein no Stellt diese Schnittstelle nicht als Standardroute ein DEMAND lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann 114 Kapitel 8 Netzwerk Schnittstellen e yes Mit dieser Schnittstelle kann pppd eine Verbindung starten wenn darauf zugegriffen wird no Verbindungen mit dieser Schnittstelle m ssen manuell hergestellt werden e IDLETIMEOUT lt Wert gt wobei lt Wert gt die Sekunden ohne Aktivit t darstellt nach denen die Schnittstelle die Verbindung selbst unterbricht e INITSTRING lt Zeichenkette gt wobei lt Zeichenkette gt die erste Zeichenfolge ist die an das Modem bergeben wird Diese Option wird haupts chlich von SLIP Schnittstellen verwendet LINESPEED lt Wert gt wobei lt Wert gt die Baudrate des Ger tes angibt Zu den m glichen Stan dardwerten geh ren 57600 38400 19200 und 9600 MODEMPORT lt Ger t gt wobei lt Ger t gt der Name des Serial Ger ts ist das die Verbindung f r die Schnittstelle herstellt MTU lt Wert gt wobei lt Wert gt die Maximum Transfer Unit MTU Einstellung f r die Schnittstelle ist Die MTU bezieht sich auf die gr tm
238. em Punkt endende IP Adresse Ein Punkt am Ende einer IP Adresse bewirkt dass auf alle Hosts deren IP Adresse dementsprechend beginnt die Regel angewendet wird Das folgende Beispiel trifft auf alle Hosts im 192 168 x x Netzwerk zu ALL 192 168 IP Adresse Netmask Paar Netmask Ausdr cke k nnen auch als ein Pattern verwendet werden um den Zugriff zu einer bestimmten Gruppe von IP Adressen zu regeln Das folgende Beispiel trifft auf alle Hosts mit einer Adresse zwischen 192 168 0 0 und 192 168 1 255 zu ALL 192 168 0 0 255 255 254 0 EB wicntic Wenn im IPv4 Adressraum gearbeitet wird sind Paare von Adresse Prefixlange prefixien Dekla rationen nicht unterst tzt Lediglich IPv6 Regeln k nnen diesed Format benutzen IPv6 Adresse prefixlen Paar net prefixlen Paare k nnen auch als Pattern verwendet werden um Zugriff zu einer bestimmten Gruppe von IPv6 Adressen zu kontrollieren Das folgende Beispiel trifft auf jeden Host mit einer Adresse von 3ffe 505 2 1 bis 3LLte 505 2 Ti ELLE ELELSEELE SEELE WU ALL 3ffe 505 2 1 64 Ein Stern Sterne k nnen f r komplette Gruppen von Hostnamen oder IP Adressen verwendet werden solange diese nicht in einer Client Liste verwendet werden welche bereits andere Patterns verwendet Das folgende Beispiel trifft auf alle Hosts in der example com Domain zu ALL example com Der Slash oder Schr gstrich Wenn die Client Liste mit einem Schr gstrich
239. eme die Transportschicht korrekt aufbauen Austausch der Schl ssel Zu verwendenden Algorithmus f r den ffentlichen Schl ssel bestimmen Zu verwendenden Algorithmus f r die symmetrische Verschl sselung bestimmen Zu verwendenden Algorithmus f r die Authentifizierung der Mitteilungen bestimmen Der Hash Algorithmus wird bestimmt Beim Austausch der Schliissel identifiziert sich der Server gegeniiber dem Client mithilfe eines ein deutigen Host Schl ssel Hat der Client bisher noch nie mit diesem Server kommuniziert ist der Server Schl ssel dem Client unbekannt und es wird keine Verbindung hergestellt OpenSSH umgeht dieses Problem indem es den Host Schl ssel des Servers akzeptiert nachdem der Benutzer benach richtigt wurde und pr ft die Akzeptanz des neuen Host Schl ssels Bei allen nachfolgenden Verbin dungen wird dieser Schl ssel mit der gespeicherten Version des Clients verglichen und auf diese Weise sichergestellt dass der Client tats chlich mit dem gew nschten Server kommuniziert Sollte der Host Schl ssel in Zukunft nicht mehr passen muss der Benutzer die gespeicherte Version des Client entfernen bevor eine Verbindung zustande kommen kann Orcrtung Es ist m glich dass ein Hacker sich zum Beispiel bei der ersten Verbindung als Server ausgeben kann da der lokale Rechner zu diesem Zeitpunkt den gew nschten Server und einen unerlaubt eingerichteten Server noch nicht unterscheiden kann Um dies zu vermeiden sollt
240. en e GRUB unterst tzt den Logical Block Addressing LBA Modus LBA bergibt die Adressen Konvertierung die dazu dient Dateien zu suchen in der Firmware der Festplatte und wird auf vielen IDE und allen SCSI Festplatten verwendet In Zeiten vor LBA stie en Bootloader auf die 1024 Zylindergrenze des BIOS ber der das BIOS keine Dateien finden konnte Die LBA Unterst tzung erm glicht GRUB Betriebssysteme von Partitionen oberhalb der 1024 Zylindergrenze zu booten sofern das System BIOS den LBA Modus unterst tzt Die meisten modernen BIOS Versionen unterst tzen den LBA Modus Kapitel 2 Bootloader 13 GRUB kann ext2 Partitionen lesen Deswegen kann GRUB bei jedem Systemstart auf seine Kon figurationsdatei boot grub grub conf zugreifen und damit umgehen eine neue Version des Stage 1 Bootloaders auf den MBR schreiben zu m ssen wenn die Konfiguration ge ndert wird GRUB muss nur dann neu auf dem MRR installiert werden wenn die physische Speicherstelle der boot Partition auf der Platte verschoben wird Detaillierte Informationen zum Installieren von GRUB auf den MBR finden Sie unter Abschnitt 2 3 2 3 Installation von GRUB Wenn Sie GRUB w hrend des Installationsprozesses nicht installiert haben k nnen Sie ihn sp ter installieren Er wird nach dem Installieren automatisch zum standardm igen Bootloader Vor der Installation von GRUB sollten Sie sicherstellen dass Sie das neueste GRUB Paket haben Sie k nnen auch das GRU
241. en Die folgende Informationsquelle enth lt ausf hrlichere Informationen 4 3 1 Installierte Dokumentation e usr share doc initscripts lt version number gt sysconfig txt Diese Datei en th lt eine umfangreichere Liste der im Verzeichnis etc sysconfig enthaltenen Dateien und die Konfigurationsoptionen welche diesen zur Verf gung stehen lt version number gt im Pfad zur Datei entspricht der Version des installierten initscripts Pakets redhat Kapitel 5 Das proc Dateisystem Der Linux Kernel hat zwei Hauptfunktionen die Zugriffskontrolle auf physische Ger te eines Com puters und die Planung wann und wie Prozesse diese Ger te beeinflussen Das Verzeichnis proc enth lt eine Hierarchie spezieller Dateien die den aktuellen Stand des Kernel darstellen und Anwen dungen und Benutzern einen Einblick in die Sicht des Kernels auf das System gestatten Im Verzeichnis proc finden Sie eine Vielzahl an Informationen zur Systemhardware und allen derzeit laufenden Prozessen Au erdem k nnen einige Dateien des Baumverzeichnisses proc von Benutzern und Anwendungen so ge ndert werden dass sich die Kernelkonfiguration ndert 5 1 Ein virtuelles Dateisystem Unter Linux werden alle Daten in Dateien gespeichert Die meisten Benutzer kennen die beiden Grundarten von Dateien Text und Bin r Das proc Verzeichnis enth lt allerdings eine andere Da teiart die Virtuelle Datei genannt wird Aus diesem Grund spricht man bei proc o
242. en Eingabe Titelnummer die geladenwerden soll wenn die Men oberfl che wegen Zeit berschreitung abbricht fallback lt integer gt Ersetzen Sie lt integer gt mit der Eingabe Titelnummer f r einen erneuten Versuch wenn der erste Versuch gescheitert ist hiddenmenu Verhindert dass die GRUB Men oberfl che angezeigt wird und l dt den default Eintrag wenn der timeout Zeitraum abl uft Der Benutzer kann das standardm ige GRUB Men aufrufen indem er die Taste Esc dr ckt initrd lt path to initrd gt Erm glicht die Angabe einer initialen RAM Disk die beim Booten verwendet wird Ersetzen Sie lt path to initrd gt mit dem absoluten Pfad zu dem urspr nglichen RAM Speicher kernel lt path to kernel gt lt option 1 gt lt option N gt Legt die Kernel Datei an die beim Hochfahren des Operationssystems geladen wird Ersetzen Sie lt path to kernel gt mit einem absoluten Pfad von der Partition die durch den Root Befehl festgelegt wurde Mehrere Op tionen k nnen an den Kernel weitergegeben werden wenn er geladen wird password lt password gt Verhindert dass ein Benutzer ohne Passwort die Eintr ge dieser Meniioption ver ndert Nach dem Befehl password lt passwort gt k nnen Sie auch eine alternative Men konfigurations datei angeben In diesem Fall startet GRUB die zweite Stufe des Bootloaders erneut und verwendet diese alternative Konfigurationsdatei um das Men zu erstellen Wenn eine altern
243. en dass eine Einstellung den Kernel instabil macht und damit ein Neustart erforderlich wird berpr fen Sie daher unbedingt die Korrektheit der Syntax bevor Sie eine nderung in proc sys vornehmen Kapitel 5 Das proc Dateisystem 69 Ob eine Datei konfiguriert werden kann oder nur Informationen liefern soll findet man am besten heraus indem man sie ber 1 an einem Shell Prompt anzeigt Wenn die Datei schreibbar ist k n nen Sie diese zum Konfigurieren des Kernels verwenden Zum Beispiel sieht eine Auflistung von proc sys fs so aus Sie a 1 root root 0 May 10 16 14 dentry state rW r r 1 root root 0 May 10 16 14 dir notify enable SBS Sr 16 1 root root 0 May 10 16 14 dquot nr rW r r 1 root root 0 May 10 16 14 file max a a ai E a 1 root root 0 May 10 16 14 file nr Hier sind die Dateien dir notify enable und file max schreibbar und k nnen deshalb benutzt werden um den Kernel zu konfigurieren Die anderen Dateien geben nur Informationen zu den aktu ellen Einstellungen des Kernels aus Ein Wert in einer Datei in proc sys wird ge ndert indem der neue Wert in diese Datei geschrie ben wird Zum Beispiel benutzt man um den System Request Key in einem laufenden Kernel zu aktivieren folgenden Befehl echo 1 gt proc sys kernel sysrq Dies ndert den Wert der Datei sysrq von 0 off auf 1 on Einige Konfigurationsdateien in proc sys enthalten mehr als einen Wert Um neue Werte in sol chen Dateien zu speichern
244. en dieses Verzeichnisses im Zusammenhang mit dem Kernel wurde diesem Thema ein ganzes Kapitel gewidmet Weitere Informationen hierzu finden Sie unter Kapitel 5 3 2 1 8 Das sbin Verzeichnis Das sbin Verzeichnis enth lt die ausf hrbaren Dateien die vom root Benutzer ben tzt werden Die ausf hrbaren Dateien in sbin dienen ausschlie lich dem Hochfahren und f hren Wiederher stellungsvorg nge durch In diesem Verzeichnis bedeutet FHS sbin enth lt Bin rdateien die f r das Hochfahren Wiederherstellen Retten und oder Reparieren des Systems notwendig sind sowie Bin rdateien in bin Jede nach dem Mounten von usr verwende te ausf hrbare Datei sofern keine Probleme auftreten sollte in usr sbin abgelegt werden Lokale Systemverwaltungs Bin rdateien sollten in usr local sbin abgelegt werden Zumindest die folgenden Programme sollten sich also in sbin befinden arp clock halt init fsck grub ifconfig lilo mingetty mkfs mkswap reboot route shutdown swapoff swapon 3 2 1 9 Das usr Verzeichnis Im usr Verzeichnis werden Dateien abgelegt die allen Maschinen zur Verf gung gestellt werden Das usr Verzeichnis liegt oftmals in seiner eigenen Partition und ist schreibgeschiitzt gemounted Zumindest folgende Verzeichnisse sollten Unterverzeichnisse von usr sein 28 Kapitel 3 Struktur des Dateisystems bin dict doc etc games include kerberos gt EBY
245. en werden Sie im voraus herausfinden wie Sie viele Ihrer potentiellen Probleme l sen k nnen bevor sie berhaupt auftreten Eine Erkl rung der Funktionsweise von Linux Auch wenn es sicherlich nicht n tig ist sich mit den exotischsten Fragestellungen hinsichtlich des Linux Kernels auseinanderzusetzen ist doch ein grundlegendes Verst ndnis der Funktionsweise von Linux sehr hilfreich Diese Kenntnisse sind vor allem dann wichtig wenn Sie sich bereits mit anderen Betriebssystemen auskennen Einige der Konzepte dieser Betriebssysteme k nnen m glicherweise nicht direkt auf Linux bertragen werden Eine einf hrende Befehls bersicht mit Beispielen Dies ist unter Umst nden der wichtigste Punkt bei Ihrer Suche nach einer geeigneten Linux Dokumentation Die grundlegende Philosophie von Linux lautet dass es besser ist viele kleine miteinander verschiedenartig verbundene Befehle zu verwenden als wenige gro e und sehr komplizierte Befehle zu haben die die ganze Angele genheit alleine erledigen Ohne Beispiele f r diesen von Linux vertretenen Ansatz f r das Erledigen von Aufgaben k nnte es sein dass Sie sich von der Vielzahl der Befehle berw ltigt sehen die auf dem Red Hat Enterprise Linux System zur Verf gung stehen Denken Sie aber bitte immer daran dass Sie sich nicht an alle Ihnen zur Verf gung stehenden Linux Befehle erinnern m ssen Es gibt verschiedene Techniken und Hilfestellungen um heraus zufinden welch
246. en Fontpfad fest Das folgende Beispiel zeigt einen typischen Files Abschnitt Section Files RgbPath usr X11R6 lib X11 rgb FontPath unix 7100 EndSection Folgende Eintr ge sind die in einem Files Abschnitt am h ufigsten verwendeten RgbPath Gibt den Speicherort der RGB Farbdatenbank an Diese Datenbank definiert alle in XFree86 g ltigen Farbnamen und bindet diese deren entsprechenden RGB Werten FontPath Gibt an wo der XFree86 Server verbinden muss um Fonts vom xfs Font Server zu erhalten Standardm ig ist FontPath unix 7100 Auf diese Weise wird der XFree86 Server angewiesen Font Informationen mithilfe von UNIX Dom nen Sockets f r die Kommunikation zwischen den Prozessen IPC abzurufen In Abschnitt 7 4 finden Sie weitere Informationen ber XFree86 und Fonts ModulePath Erm glicht Ihnen optional die Einstellung von mehreren Verzeichnissen die f r die Speicherung von XFree86 Server Modulen verwendet werden 94 Kapitel 7 Das X Window System 7 3 1 5 Module Der Abschnitt Module gibt dem XFree86 Server an welche Module des usr X11R6 1ib modules Verzeichnisses zu laden sind Die Module statten den XFree86 Server mit zus tzlichen Funktionen aus Folgend ist ein Beispiel eines typischen Module Abschnitts Section Module Load dbe Load extmod Load fbdevhw Load glx Load record Load freetype Load typel Load dri EndSection 7 3 1 6 InputDevice Jeder InputDev
247. en Risiken zu limitieren erlauben Administratoren oft nur schreibgesch tzten Zugang oder quetschen Benutzer Genehmigungen zu einer blichen Benutzer und Gruppen ID zusammen Leider verhindern diese L sungen dass das NFS Share so gen tzt wird wie urspr nglich beabsichtigt Wenn ein Angreifer die Kontrolle ber den DNS Server erlangt der vom System zum Exportieren des NFS Dateisystems verwendet wird kann das System dem ein bestimmter Hostname oder der kom plette Domain Name zugeordnet ist auf einen nicht autorisierten Computer hinweisen An diesem Punkt ist dieser nicht autorisierte Computer das System das das NFS Share mounten kann da keine Informationen ber Benutzernamen oder Passwort ausgetauscht werden um zus tzliche Sicherheit f r den NFS Mount zu garantieren Wildcards sollten sparsam verwendet werden wenn Verzeichnisse ber NFS exportiert werden da sich der Wirkungsbereich der Wildcard mehr Systeme als gewollt ausdehnen kann Es ist auch m glich den Zugang zum portmap Dienstmittels TCP Wrapper einzuschr nken Der Zu gang zu Ports die portmap rpc mountd und rpc nfsd verwenden kann ebenfalls eingeschr nkt werden indem mit iptables Firewall Regeln aufgestellt werden F r weitere Informationen ber das Sichern von NFS portmap siehe Kapitel Server Security in der Red Hat Enterprise Linux Sicherheitshandbuch Zus tzliche Informationen ber Firewalls finden Sie in Kapitel 15 9 5 2 Dateiberechtigungen Wenn
248. en Service verf gbar 14 4 3 4 Ressourcen Management Optionen Der xinetd Daemon kann einen einfachen Grad an Schutz vor Denial of Service DoS Angriffen Dienstverweigerungs Angriffe liefern Untenstehend finden Sie eine Liste an Direktiven die Ihnen beim Einschr nken der Auswirkung dieser Angriffe helfen per_source Definiert die H chstanzahl von Verbindungen von einer bestimmen IP Adresse mit einem bestimmen Dienst Es werden nur ganze Zahlen als Argument akzeptiert und er kann in xinetd conf und in den servicespezifischen Konfigurationsdateien im Verzeichnis xinetd d verwendet werden cps Definiert die H chstzahl der Verbindungen pro Sekunde Diese Option akzeptiert zwei ganz zahlige Argumente getrennt durch eine Leerstelle Die erste Zahl ist die H chstzahl von Verbindun gen zum Service pro Sekunde Die zweite Zahl ist die Anzahl der Sekunden die xinetd warten muss bis der Service wieder aktiviert wird Es werden nur ganze Zahlen akzeptiert und die Op tion kann in xinetd conf und in den servicespezifischen Konfigurationsdateien im Verzeichnis xinetd d verwendet werden max_load Definiert den Schwellenwert f r die CPU Nutzung eines Dienstes Es werden Kommazahlen Argumente Es gibt noch weitere Ressource Management Optionen f r xinetd Im Kapitel Server Sicherheit im Red Hat Enterprise Linux Sicherheitshandbuch und auf der xinetd conf man Seite finden Sie weitere Informationen 14 5 Zus tzliche Resso
249. en Sie die Integrit t eines neuen SSH Servers pr fen indem Sie sich vor dem ersten Kontakt oder nachdem sich der Host Schl ssel ge ndert hat mit dem Server Administrator in Verbindung setzen Das SSH Protokoll wurde konzipiert um mit fast allen Algorithmen oder Formaten f r allgemeine Schl ssel verwendet werden zu k nnen Nachdem ein erster Schl sselaustausch zwei Werte erstellt hat einen Hash Wert f r den Austausch und einen gemeinsam genutzten geheimen Wert berechnen die beiden Systeme sofort neue Schl ssel und Algorithmen um die Authentifizierung und die in der Folge ber die Verbindung gesendeten Daten zu sch tzen Nachdem eine bestimmte Datenmenge mithilfe eines vorgegebenen Schl ssels und Algorithmus ber tragen wurde die genaue Menge h ngt von der SSH Implementation ab erfolgt ein weiterer Schl s selaustausch der wiederum einen neuen Hash Wert und einen neuen gemeinsam genutzten geheimen 254 Kapitel 17 SSH Protokoll Wert generiert Auch wenn eine unbefugte Person diese beiden Werte ermitteln sollte miisste sie diese Information bei jedem neuen Schliisselaustausch ermitteln um die Verbindung zu iiberwachen 17 3 2 Authentifizierung Nachdem die Transportschicht einen sicheren Kanal geschaffen hat in dem die Informationen zwi schen den beiden Systemen iibertragen werden teilt der Server dem Client die verschiedenen unter st tzten Authentifizierungsmethoden mit beispielsweise eine private verschl ssel
250. en zur Datei iptables config restart Sollte eine Firewall in Betrieb sein werden die Firewall Regeln im Speicher gel scht und die Firewall sollte sie in etc sysconfig iptables konfiguriert sein neu gestartet Die restart Anweisung wird nur dann arbeiten wenn die ipchains Kernel Module nicht geladen sind Wenn die IPTABLES_SAVE_ON_RESTART Anweisung der Konfigurationsdatei etc sysconfig iptables config vom Standardwert auf yes ge ndert wird werden die augenblicklichen Regeln unter etc sysconfig iptables gespeichert und jede bestehende Regel nach etc sysconfig iptables save verschoben 238 Kapitel 15 iptables Sehen Sie Abschnitt 15 5 1 f r weitere Informationen zur Datei iptables config status Gibt den Status der Firewall und eine Liste der aktiven Regeln am Shell Prompt aus Sollten keine Firewall Regeln geladen oder konfiguriert sein wird dies angegeben Eine Liste der aktiven Regeln die Domain und Hostnamen in den Regellisten enthalten solange der Standardwert f r IPTABLES_STATUS_NUMERIC is in der Konfigurationsdatei etc sysconfig iptables config nicht auf yes ge ndert wird Sehen Sie Abschnitt 15 5 1 f r weitere Informationen zur Datei iptables config panic L scht alle Firewall Regeln Die Policy aller konfigurierten Tabellen wird auf DROP gesetzt save Speichert Firewall Regeln mittels iptables save nach etc sysconfig iptables Sehen Sie Abschnitt 15 4 f r weitere Informationen zum Speic
251. enldap ldap confbearbeiten 194 authconfig 194 Clients einrichten 194 Pakete 194 PAM 195 slapd conf bearbeiten 194 Client Applikationen 191 Daemons 189 Definition 187 Konfigurationsdateien etc ldap conf 191 etc openldap ldap conf 191 etc openldap schema Verzeichnis 191 191 etc openldap slapd conf 191 193 LDAPv2 187 275 LDAPv3 187 LDIF Format 188 mit Apache HTTP Server verwenden 190 mit NSS verwenden 190 mit PAM verwenden 190 mit PHP4 verwenden 190 OpenLDAP Funktionen 187 setting up 192 Umwandeln der 1 x Verzeichnisse 196 Umwandeln lterer Verzeichnisse 196 Terminologie 188 Upgrade von Verzeichnissen 196 Vorteile 187 Zus tzliche Ressourcen 197 B cher zum Thema 198 hilfreiche Websites 198 installierte Dokumentationen 197 Idapadd Befehl 189 Siehe auch LDAP Idapdelete Befehl 189 Siehe auch LDAP ldapmodify Befehl 189 Siehe auch LDAP Idappasswd Befehl 189 Siehe auch LDAP ldapsearch Befehl 189 Siehe auch LDAP Lightweight Directory Access Protocol Siehe LDAP LILO 2 11 Siehe auch boot loaders Siehe auch boot loaders Bootprozess 20 Definition von 19 Konfigurationsdatei etc lilo conf 21 Rolle im Bootprozess 2 Runlevels ndern mit 22 zus tzliche Ressourcen 23 B cher zu diesem Thema 24 hilfreiche Websites 23 installierte Dokumentationen 23 lilo conf 21 Siehe auch LILO Listen Apache Konfigurationsanweisung 148 LoadModule Apache Konfigurationsa
252. er te und der augenblicklich aktiven Netzwerk Schnittstellen an zuzueigen benutzen Sie folgenden Befehl sbin service network status 8 4 Netzwerkfunktionsdateien Red Hat Enterprise Linux nutzt verschiedene Dateien die wichtige allgemeine Funktionen zum ak tivieren und deaktivieren von Schnittstellen enthalten Diese Funktionen werden in einigen wenigen Dateien in geeigneter Weise gruppiert und k nnen bei Bedarf einfach abgerufen werden wodurch diese Funktionen nicht in jeder Kontrolldatei enthalten sein m ssen Die g ngigste Netzwerkfunktionsdatei ist etc sysconfig network scripts network functions Diese Datei enth lt eine Vielzahl von allgemeinen IPv4 Funktionen die f r viele Schnittstellenkontrollskripte hilfreich sind Hierzu geh rt das Kontaktieren laufender Programme die Informationen zu den nderungen des Schnittstellenstatus ben tigen das Einrichten von Host Namen die Suche eines Gateway Ger tes das Pr fen ob ein bestimmtes Ger t ausgefallen ist oder nicht und das Hinzuf gen einer Standard Route Da die Funktionen die f r die IPv6 Schnittstellen ben tigt werden sich von denen f r IPv4 Schnittstellen unterscheiden gibt es eine Datei etc sysconfig network scripts network functions ipv6 In dieser Datei finden Sie Funktionen die statische IPv6 Routen konfigurieren und l schen Tunnel erstellen und entfernen IPv6 Adressen einer Schnittstelle hinzuf gen oder sie von dort entfernen und Dateien zum Testen
253. er Apache Soft ware Foundation Online unter http www apache org f r Informationen zum Status dieses Moduls 12 3 3 LDAP Client Applikationen Es stehen grafische LDAP Clients zur Verfiigung die das Erstellen und Andern von Verzeichnis sen unterstiitzen Diese sind allerdings nicht im Lieferumfang von Red Hat Enterprise Linux ent halten Eine solche Anwendung ist LDAP Browser Editor Ein Java basiertes Tool das unter http www iit edu gawojar ldap zur Verf gung steht Die meisten anderen LDAP Clients greifen auf die Verzeichnisse im Lesemodus zu und verwenden sie zum Verweisen und nicht Andern auf unternehmensweite Informationen Beispiele fiir diese Anwendungen sind Sendmail Mozilla Gnome Meeting und Evolution 12 4 OpenLDAP Konfigurationsdateien Die Konfigurationsdateien von OpenLDAP werden im Verzeichnis etc openldap installiert Im Folgenden werden die wichtigsten Verzeichnisse und Dateien kurz vorgestellt etc openldap ldap conf Dies ist die Konfigurationsdatei f r alle Client Applikationen die die OpenLDAP Bibliotheken verwenden Darunter befinden sich unter anderem ldapsearch ldapadd Sendmail Evolution und Gnome Meeting etc openldap slapd conf Dies ist die Konfigurationsdatei f r den slapd Daemon Weit ere Informationen zu dieser Datei finden Sie unter Abschnitt 12 6 1 etc openldap schema Verzeichnis Dieses Unterverzeichnis enth lt das vom slapd Daemon verwendete Schema Weitere I
254. er L schen d zu ndern Nachdem die gew nschten nderungen an den Zeilen vorgenommen wurden k nnen Sie die Taste b dr cken um die Befehle auszuf hren und das Betriebssystem zu booten Mittels der Taste Esc werden die nderungen verworfen und die Standardmen oberfl che geladen ber die Taste c wird die Befehlszeilenoberfl che geladen Sr Weitere Informationen zum ndern der Runlevel mit GRUB unter Verwendung des Men eintrag Editors finden Sie unter Abschnitt 2 10 Befehlszeilenoberfl che Die Befehlszeile ist die einfachste GRUB Oberfl che die gleichzeitig auch die gr te Kontrolle bietet Die Befehlszeile erm glicht es alle relevanten GRUB Befehle einzugeben und diese anschlie end durch Dr cken der Enter Taste auszuf hren Diese Oberfl che bietet einige er weiterte shell hnliche Funktionen einschlie lich der auf Kontext basierenden Verwendung der Taste Tab zur Zeilenvervollst ndigung sowie den Kombinationen mit der Taste Strg bei der Eingabe von Befehlen beispielsweise Strg a wenn Sie zum Anfang einer Zeile springen m chten und Strg e wenn Sie zum Ende einer Zeile springen m chten Dar ber hinaus funktionieren die Tasten Pos1 Ende und Entf wie in der bash Shell Eine Liste mit gebr uchlichen Befehlen finden Sie unter Abschnitt 2 6 2 5 1 Lade Reihenfolge der Oberfl chen Wenn die GRUB Umgebung mit dem Laden des Bootloaders der zweiten Phase beginnt sucht diese nach
255. er erweitern In diesem Kapitel werden die Grundlagen der Paketfilterung beschrieben wobei die Unterschiede zwischen ipchains und iptables definiert und die verschiedenen mit den iptables Befehlen zur Verf gung stehenden Optionen erkl rt werden Es wird au erdem gezeigt wie Filterungsregeln zwischen den Bootvorg ngen des Systems erhalten bleiben Wenn Sie Anweisungen f r das Erstellen von iptables Regeln oder das Einrichten einer Firewall auf der Grundlage dieser Regeln ben tigen finden Sie weitere Informationen unter Abschnitt 15 7 T vrarung Der standardm ige Firewall Mechanismus im 2 4 Kernel ist zwar iptables iptables kann aber nicht benutzt werden wenn die ipchains schon laufen Wenn also beim Booten ipchains vorhan den sind gibt der Kernel eine Fehlermeldung und kann iptables nicht starten Diese Bootfehler Meldungen haben keinerlei Auswirkung auf das Funktionieren der ipchains 15 1 Paket Filterung Der Linux Kernel enth lt die integrierte F higkeit Pakete zu filtern und erm glicht einigen von ih nen den Zugang zum System w hrend anderen dieser verwehrt wird Der Netzfilter des 2 4 Kernels enth lt integrierte Tabellen oder Regellisten Dabei handelt es sich um Folgende e filter Die Standardtabelle zum Verwalten von Netzwerkpaketen e nat Mithilfe dieser Tabelle werden Pakete ge ndert die eine neue Verbindung herstellen wie f r Network Address Translation NAT verwendet mangle Diese Tab
256. er stash Datei in der der Master Server Schl ssel gespeichert wird Ist keine stash Datei vorhanden von der der Schl s sel gelesen werden kann fordert der Kerberos Server krb5kdc die Benutzer bei jedem Start zur Eingabe des Passwortes des Master Servers auf wodurch der Schl ssel erneut generiert werden kann 5 Bearbeiten Sie die Datei var kerberos krb5kdc kadm5 acl Diese Datei wird von kad mind zum Ermitteln der Principals mit Zugriff auf die Kerberos Datenbank sowie deren Zu griffslevel verwendet Die meisten Organisationen kommen mit einer einzigen Zeile aus admin EXAMPLE COM Kapitel 16 Kerberos 247 N o9 Die meisten Benutzer werden in der Datenbank durch einen einzelnen Principal dargestellt mit einer NULL oder leeren Instanz wie zum Beispiel joe EXAMPLE COM Mit dieser Konfi guration k nnen Benutzer mit einem zweiten Principal mit einer admin Instanz zum Beispiel joe admin EXAMPLE COM kompletten Zugriff auf die Kerberos Datenbank des Realm er halten Sobald kadmind auf dem Server gestartet ist k nnen alle Benutzer auf die Dienste zugreifen indem sie auf einem beliebigen Client oder Server im Realm kadmin ausf hren Allerdings k n nen nur die in der Datei kadm5 ac1 genannten Benutzer die Datenbank ndern ausgenommen das eigene Passwort i gt Anmerkung Das kadmin Utility kommuniziert mit dem kadmind Server ber das Netzwerk wobei Kerberos f r die Authentifizierung verwendet wird Sie m ssen
257. erberisierten Service authentifiziert und ein Passwort als Klartext gesendet wird Von der Verwendung von nicht kerberisierten Services wird daher abgeraten Diese Services umfassen Telnet und FTP Andere verschl sselte Protokolle wie zum Beispiel SSH oder SSL Secu red Services k nnen dagegen verwendet werden auch wenn diese nicht unbedingt ideal sind Dies ist selbstverst ndlich nur ein grober berblick ber die typische Funktionsweise der Kerberos Authentifizierung in einem Netzwerk Weiterf hrende Informationen zur Kerberos Authentifizierung finden Sie unter Abschnitt 16 7 f Anmerkung Kerberos ben tigt verschiedene Netzwerk Services um fehlerfrei zu arbeiten Zun chst ist f r Ker beros eine Zeitsynchronisierung zwischen den Rechnern im Netzwerk erforderlich F r das Netzw erk sollte daher ein Programm zur Zeitsynchronisierung wie zum Beispiel ntpa eingerichtet werden Weiterf hrende Informationen zum Konfigurieren von ntpa und zum Einrichten von NTP Network Time Protocol Servern finden Sie unter usr share doc ntp lt version number gt index htm er setzen Sie lt version number gt durch die Versionsnummer des auf Ihrem System installierten ntp Pakets Da Kerberos zum Teil auch auf den Domain Name Service DNS angewiesen ist m ssen Sie sich au erdem vergewissern dass die DNS Eintrage und Hosts im Netzwerk richtig eingerichtet sind Weitere Informationen finden Sie imKerberos V5 System Administrator s Guide der unter
258. erden wie z B in m state state INVALID NEW mac Modul Dieses Modul erm glicht die bereinstimmung einer bestimmten Hardware MAC Adresse zu berpr fen Das mac Modul hat folgende Option Kapitel 15 iptables 235 mac source berpr ft auf die MAC Adresse der NIC welche das Paket gesendet hat Um eine MAC Adresse von einer Regel auszuschlie en f gen Sie nach der mac source bereinstimmungsoption ein Ausrufezeichen hinzu Weitere ber Module verf gbare bereinstimmungsoptionen finden Sie auf der man Seite zu ipta bles 15 3 5 Zieloptionen Sobald ein Paket mit einer bestimmten Regel bereinstimmt kann die Regel das Paket an viele ver schiedene Ziele senden an denen dann eventuell weitere Vorg nge erfolgen Au erdem hat jede Chain ein standardm iges Ziel das verwendet wird wenn ein Paket keiner Regel entspricht oder wenn in der Regel mit dem das Paket bereinstimmt ein Ziel angegeben ist Die Folgenden sind die Standardziele lt user defined chain gt lt user defined chain gt steht hier f r den Namen der be nutzerdefinierten Chain Dieses Ziel leitet das Paket zur Ziel Chain weiter ACCEPT Das Paket gelangt erfolgreich an sein Ziel oder an eine andere Chain DROP Das Paket wird ausgelassen Das System das dieses Paket gesendet hat wird nicht ber das Ausfallen des Pakets benachrichtigt QUEUE Das Paket wird zur Warteschlange f r die Bearbeitung
259. erdir html userdir 10 2 2 2 Logging Folgende Log Anweisungen wurden entfernt e AgentLog RefererLog RefererIgnore Agent und Referrer Logs sind ber CustomLog und LogFormat Anweisungen immer noch verf g bar Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website Kapitel 10 Apache HTTP Server 137 http httpd apache org docs 2 0 mod mod_log_config html customlog http httpd apache org docs 2 0 mod mod_log_config html logformat 10 2 2 3 Index Erstellung f r Verzeichnisse Die veraltete AnweisungFancy Indexing wurde entfernt Die gleiche Funktionalit t ist ber Fancy Indexing Option in der Anweisung IndexOptions verf gbar Die neue Option VersionSort f r die IndexOpt ions Anweisung f hrt dazu dass Dateien mit Ver sionsnummern auf nat rliche Weise sortiert werden so dass httpd 2 0 6 tarin einer Verzeichnis Indexseite vor httpd 2 0 36 tar erscheinen w rde Die Standardwerte f r die Anweisungen ReadmeName und HeaderName haben sich ge ndert und zwar von README und HEADER in README htm1 und HEADER html Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_autoindex html indexoptions http httpd apache org docs 2 0 mod mod_autoindex html readmename http httpd apache org docs 2 0 mod mod_autoindex html headername 10 2 2 4 Inhal
260. erm glichen spezielle Ubereinstimmungsoptionen die auf spezifi sche Weise gesetzt werden k nnen um ein bestimmtes Paket mit Hilfe dieses Protokolls zu kontrol lieren Das Protokoll muss nat rlich zuerst im iptables Befehl spezifiziert werden z B durch die Verwendung von p tcp lt Protokollname gt wobei lt Protokollname gt das Ziel Protokoll ist die Optionen f r dieses Protokoll verf gbar zu machen 15 3 4 1 TCP Protokoll Folgende Ubereinstimmungsoptionen stehen f r das TCP Protokoll zur Verf gung p tcp dport Setzt den Zielport f r das Paket F r die Konfiguration dieser Option k nnen Sie en tweder den Namen eines Netzwerkdienstes verwenden z B www oder smtp und eine oder mehrere Portnummern verwenden Um die Namen und Alias Namen der Netzwerkdienste und die Portnum mern die Sie verwenden nachzulesen sehen Sie sich bitte die Datei etc services an Sie k n nen auch destination port verwenden um diese bereinstimmungsoption zu spezifizieren Um eine spezifische Reihe von Portnummern anzugeben trennen Sie die zwei Ziffern durch einen Doppelpunkt z B p tcp dport 3000 3200 Die l ngstm gliche Reihe ist 0 65535 Sie k nnen auch ein Ausrufezeichen als Flag nach der dport Option verwenden um ip tables anzuweisen alle Pakete die nicht diesen Netzwerkdienst oder diesen Port verwenden zu kontrollieren sport Setzt den Ursprungsport des Pakets unter Verwendung der selben Optionen wi
261. erprise Linux unter st tzt Um diese Funktion zu deaktivieren legen Sie die no_ac1 Option fest wenn Sie das Dateisys tem exportieren Mehr Informationen zu dieser Funktion finden Sie im KapitelNetwork File System NFS im Red Hat Enterprise Linux Handbuch zur System Administration Jede standardm ige Einstellung f r jedes exportierte Dateisystem muss ausdr cklich berschrie ben werden Wenn z B die rw Option nicht festgelegt ist dann wird das exportierte Dateisystem schreibgesch tzt gemeinsam verwendet Im Folgenden eine Beispielszeile von etc exports die zwei Standardoptionen berschreibt another exported directory 192 168 0 3 rw sync In diesem Beispiel kann 192 168 0 3 another exported directory beschreibbar mounten und alle bertragungen auf die Platte werden auf der Platte gesichert bevor die Schreibanfrage des Client abgeschlossen wird Wo keine Standardwerte angegeben sind stehen zus tzliche Optionen zur Verf gung Diese bieten die M glichkeit das berpr fen der Sub Trees zu deaktivieren erlauben den Zugriff von unsicheren Ports sowie das Sperren unsicherer Dateien f r bestimmte fr here NFS Client Implementierungen notwendig Auf der export s man Seite finden Sie weitere Details ber diese weniger verwendeten Optionen wamung Das Format der Datei etc exports ist sehr pr zisegestaltet besonders im Bezug auf Leerzeichen Denken Sie daran exportierte Dateisystem immer getrennt von Hosts aufzuf hren
262. ersuchen Ihre Originaldatei zu ndern beachten Sie bitte dass es u erst wichtig ist dass Ihre httpd conf folgende Anweisung enth lt Include conf d conf Das Weglassen dieser Anweisung hat zur Folge dass alle Module scheitern die in ihren eigenen RPMs wie mod_perl php und mod_ss1 verpackt sind 10 2 1 4 Sonstige globale Umgebungsanderungen Folgende Anweisungen wurden aus der Apache HTTP Server 2 0 Konfiguration entfernt ServerType Der Apache HTTP Server kann nur als ServerType standalone gestartet wer den womit diese Anweisung keine Bedeutung mehr hat AccessConfig und ResourceConfig Diese Anweisungen wurden herausgenommen da sie die gleiche Funktion wie die Include Anweisung haben Haben Sie AccessConfig und Re sourceConfig Anweisungen gesetzt dann miissen sie diese durch Include Anweisungen erset zen Um sicherzustellen dass die Dateien in der Reihenfolge gelesen werden die von den lteren Anwei sungen vorgesehen war sollten Sie Include Anweisungen an das Ende von httpd conf setzen 136 Kapitel 10 Apache HTTP Server Dabei sollte die Anweisung die ResourceConfig entspricht vor der Anweisung liegen die Ac cessConfig entspricht Haben Sie mit Standardwerten gearbeitet m ssen Sie diese ausdr cklich als conf srm conf und conf access conf mit aufnehmen 10 2 2 Hauptserver Konfiguration Der Abschnitt zur Hauptserver Konfiguration der Konfigurationsdatei richtet den Hauptserver ein der auf
263. erver Log Dateien Welches LogFormat verwendet wird h ngt von den Einstellungen in der CustomLog Anweisung ab siehe Abschnitt 10 5 37 The following are the format options if the CustomLog directive is set to combined sh remote host s IP address or hostname Lists the remote IP address of the requesting client If HostnameLookups is set to on the client hostname is recorded unless it is not available from DNS 1 rfc931 Not used A hyphen appears in the log file for this field Su authenticated user If authentication was required lists the user name of the user is recorded Usually this is not used so a hyphen appears in the log file for this field St date Lists the date and time of the request Sr request string Lists the request string exactly as it came from the browser or client s status Lists the HTTP status code which was returned to the client host Sb bytes Lists the size of the document Referer i referrer Lists the URL of the webpage which referred the client host to Web server 3 User Agent i user agent Lists the type of Web browser making the request 10 5 37 customLog CustomLog bestimmt die Protokolldatei und das Protokolldateiformat In der Standardkonfiguration Ihres Web Servers bestimmt CustomLog die Protokolldatei in der die Zugriffe auf Ihren Web Server protokolliert werden var log httpd access_log Wenn Sie fiir Ihren Web Server Server Lei
264. erwendet var kerberos krb5kdc kadm5 keytab kinit Der Befehl kinit erlaubt einem Principal der bereits angemeldet ist das anf ngliche Ticket Granting Ticket TGT zu erhalten und im Cache abzulegen Weitere Informationen zur Verwen dung des Befehls kinit finden Sie auf dessen man Seite Principal Der Principal Name oder Principal ist ein eindeutiger Name f r einen Benutzer oder Service der sich mit Hilfe von Kerberos authentifizieren kann Der Name eines Principal hat das For mat root instance REALM Bei einem typischen Benutzer entspricht root der Login ID w hrend instance optional ist Wenn der Principal ber eine Instanz verf gt ist diese von root durch einen Schr gstrich getrennt Bei einem leerem String handelt es sich zwar um eine g ltige Instanz die sich von der Standardinstanz NULL unterscheidet allerdings kann deren Verwendung zu Verwirrung f hren Alle Principals innerhalb eines Realms verf gen ber 244 Kapitel 16 Kerberos einen eigenen Schl ssel der sich fiir Benutzeraus derem Passwort ableitet oder bei Services nach dem Zufallsprinzip erzeugt wird Realm Ein Netzwerk das Kerberos verwendet und aus einem oder einigen Servern auch als KDCs bezeichnet sowie einer potenziell sehr gro en Zahl von Clients besteht Service Ein Programm auf das ber das Netzwerk zugegriffen wird Ticket Ein tempor rer Satz elektronischer Berechtigungsnachweise die die Identit t eines Client f r
265. esamtzahl fiir alle CPUs wird ganz oben ausgegeben und jede einzele CPU wird unten mit eigenen Statistiken aufgelistet page Anzahl der Speicherseiten die das System von Platte und auf Platte geschrieben hat swap Anzahl der Swap Seiten die das System von Platte und auf Platte geschrieben hat intr Anzahl der Interrupts die im System aufgetreten sind btime Die Boot Zeit gemessen in Sekunden seit dem Januar 1970 auch bekannt als epoch 5 2 28 proc sysrg trigger Unter Verwendung des Befehls echo kann ein Remote Benutzer System Request Key Befehle wie an einem lokalen Terminal ausf hren Um mit echo den Wert in diese Datei zu schreiben muss proc sys kernel sysrq auf einen Wert ungleich 0 gesetzt sein F r weitere Informationen ber den System Request Key Sehen Sie Abschnitt 5 3 9 3 Obwohl man zu dieser Datei schreiben kann diese kann nicht gelesen werden nicht einmal vom root Benutzer 5 2 29 proc swaps Diese Datei misst den Swapspeicher und seine Auslastung F r ein System mit nur einer Swap Partition k nnte die Ausgabe von proc swap hnlich wie Folgt aussehen Filename Type Size Used Priority dev hda6 partition 136512 20024 1 Obwohl Sie einige dieser Informationen auch in anderen Dateien im Verzeichnis proc finden liefert Ihnen die Datei proc swap einen berblick ber alle Swap Dateinamen Typen des Swap Space und die Gesamtgr e sowie die verwendete Gr e in Kilobyte Die Pri
266. eseeseeceeeseeecseceeneceeeesenecaeeeeneeneneeneeeas iv 2 3 Dokumentation f r Linux Gurus 3 Dokumentk nventionen suusiuensrniennneukenintshminsibeiune SUETA SEE 4 Net wenden der Maus ai AA O nt ileeheereieineinntdktfertsnhenngneed iii 5 Kopieren und Einf gen von Text mit X 6 1 Wir brauchen Ihre R ckmeldung 7 Melden Sie sich f r den Support an I Systemhinweise 1 Bootprozess Init und Shutdown 1 1 Der Bootprozess 1 2 Der Bootprozess im Detai 1 3 Ausf hren von zus tzlichen Programmen zum Zeitpunkt des Bootens 1 4 SysV init Ru nleyels eansss ses a ER RE EES 7 1 5 Her nterfahren eek bSRH Hass pn 9 23 Installation von GRUB 2 4 GRUB Terminologie 2 5 GRUB Oberfl chen 2 6 GRUB Befehle 2 7 Men konfigurationsdatei von GRUB Ss 2 8 LIE On ana E HARD 2 9 Die LIE O K nfigurationsd lel an u eesemnenenlepeaesee una 2 10 ndern von Runleveln zum Zeitpunkt des Bootens a 2 11 Zus tzliche RESSOULCEM s sscscceeissssecsssacevecseds sania ossetestatscaseacnvsczesaasbaasecevasvavbevava geese 3 Struktur des D teisystems u en teuheresendutvedeereesnsuanrensieceenes 3 1 Warum eine gemeinsame Struktur ae 3 2 bersicht ber den Dateisystem Hierarchiestandard FHS 25 3 3 Spezielle Dateispeicherstellen unter Red Hat Enterprise Linux 30 4 Das Verzeichnis sysconfig 4 1 Dateien im Verzeichnis etc sysconfig 4 2 Verzeichnisse im
267. eser die Autorit t darstellt Die Slave Nameserver erhalten ihre Informationen ber ein Namespace jedoch von Master Nameservern e Caching Only Bietet Services f r IP Aufl sungen hat aber nicht f r alle Zonen eine Berech tigung Antworten f r alle Aufl sungen werden blicherweise in einer Datenbank bearbeitet die f r eine bestimmte Zeit im Hauptspeicher verbleibt Sie werden von dem Zone Record das die Antworten erh lt nach der ersten Aufl sung f r andere DNS Clients festgelegt e Forwarding Leitet Anfragen zum Aufl sen an eine spezielle Liste von Nameservern weiter Wenn keiner der angegebenen Nameserver den Aufl sungsprozess durchf hren kann wird der Vor gang abgebrochen und die Aufl sung schl gt fehl Ein Nameserver kann einem oder mehreren dieser Typen zugeh ren Zum Beispiel kann ein Name server f r einige Zonen der Master und f r andere Zonen der Slave sein und f r andere ausschlie lich Aufl sungen weiterleiten 11 1 3 BIND als Nameserver BIND f hrt Namensaufl sungsdienste mittles des usr sbin named Daemon durch BIND enth lt auch ein administratives Utility usr sbin rndc genannt Mehr Information zu rndc kann unter Abschnitt 11 4 gefunden werden BIND speichert seine Konfigurationsdateien in den folgenden zwei Orten e etc named conf Die Konfigurationsdatei f r den named Daemon Kapitel 11 Berkeley Internet Name Domain BIND 169 e var named directory Das named Arbeitsverzei
268. ez glich der Aktualisierung durchgef hrt werden soll wenn der Master Nameserver auf die letzte Anfrage nicht reagiert hat Wenn der Master Nameserver nicht geantwortet hat bevor die lt time to expire gt abl uft reagiert der Slave Nameserver nicht mehr auf Anfragen bez glich des Name spaces lt minimum TTL gt ist die Zeit die anderen Nameservern zum Verarbeiten der Zonen Informationen mindestens zur Verf gung steht In BIND werden alle Zeiten in Sekunden angegeben Sie k nnen jedoch auch Abk rzungen f r andere Zeiteinheiten verwenden wie z B Minuten M Stunden H Tage D und Wochen w In der Tabelle unter Tabelle 11 1 finden Sie Zeitr ume in Sekunden und die entsprechende Zeit in anderen Formaten 1800 3600 10800 21600 43200 86400 259200 604800 31536000 Tabelle 11 1 Sekunden im Vergleich zu anderen Zeiteinheiten Das folgende Beispiel zeigt Ihnen wie ein SOA Resource Record aussehen k nnte wenn es mit echten Werten konfiguriert ist IN SOA dnsl example com hostmaster example com 2001062501 serial 21600 refresh after 6 hours 3600 retry after 1 hour 604800 expire after 1 week 86400 minimum TTL of 1 day 11 3 3 Beispiele fur Zone Dateien Einzeln betrachtet konnten die Anweisungen und Resource Records schwer zu verstehen sein Sind beide in einer gemeinsamen Datei plaziert wird es einfacher Im n chsten Beispiel ist eine sehr einfache Zone Datei abgebildet SORIGIN ex
269. f A Eine vollst ndige Liste von Optionen welche in der rndc Konfigurationsdatei zur Verf gung stehen 11 7 2 Hilfreiche Webseiten http www isc org products BIND Die Homepage des BIND Projekts Hier finden Sie Infor mationen aktuellen Releases und k nnen das BIND 9 Administrator Reference Manual in der PDF Version herunterladen http www redhat com mirrors LDP HOWTO DNS HOWTO html Befasst sich mit BIND als Caching Nameserver und der Konfiguration der einzelnen Zone Dateien sowie der Konfiguration verschiedener Zone Dateien die als prim rer Name Server f r eine Domain ben tigt werden 11 7 3 Bucher zum Thema Red Hat Enterprise Linux Handbuch zur System Administration Das Kapitel BIND Konfiguration erkl rt wie man mit Hilfe desDomain Name Service Configuration Tool einen DNS Server einrichten kann DNS and BIND von Paul Albitz und Cricket Liu O Reilly amp Associates Ein bekanntes Buch das allgemeine und weiterf hrende Optionen der Konfiguration von BIND erkl rt und Strategien zum Schutz Ihres DNS Servers vorstellt The Concise Guide to DNS and BIND von Nicolai Langfeldt Que Beschreibt die Verbindun gen zwischen mehreren Netzwerkdiensten und BIND mit Schwerpunkt auf aufgabenorientierten technischen Themen redhat Kapitel 12 Lightweight Directory Access Protocol LDAP LDAP Lightweight Directory Access Protocol ist ein Satz von offenen Protokollen die zum Zu greifen auf
270. f 168 169 var named Verzeichnis 168 Zone Dateien 175 named Daemon 168 Nameserver Definition von 167 Nameserver Typen Caching Only 168 Forwarding 168 Master 168 Slave 168 rndc Programm 180 etc rndc conf 181 Befehlszeilenoptionen 182 named fiir Verwendung konfigurieren 180 Schliissel konfigurieren 181 Root Nameserver Definition von 167 Zonen Definition von 167 Zus tzliche Ressourcen 184 B cher zum Thema 186 Hilfreiche Webseiten 186 Installierte Dokumentationen 185 BIOS Definition von 1 Siehe auch boot process Blockger te 48 Siehe auch proc devices Definition von 48 Bootloader 11 19 Siehe auch GRUB Siehe auch LILO Definition von 11 Typen ELILO 11 GRUB 11 LILO 11 OS 400 11 YABOOT 11 z IPL 11 271 Bootprozess 1 1 Siehe auch boot loaders Direktes Laden 11 f r x86 1 Phasen 1 1 sbin init Befehl 4 BIOS 1 Bootloader 2 EFI Shell 1 Kernel 4 Verkettetes Laden 11 BrowserMatch Apache Konfigurationsanweisung 158 Cc Cache Konfigurationsanweisungen fiir Apache 160 CacheNegotiatedDocs Apache Konfigurationsanweisung 153 Caching Only Nameserver Siehe BIND CGI Skripts auBerhalb ScriptAlias 158 externe Ausfiihrung zulassen cgi bin 150 Channel Bonding Schnittstelle Konfiguration von 111 chkconfig 9 Siehe auch services CustomLog Apache Konfigurationsanweisung 154 D Dateien Proc Dateisystem Anzeigen von Dateien 45 78 andern 46 78 Dateis
271. f r IRQ und Ports zu vermeiden 5 2 13 proc kcore Diese Datei repr sentiert den physischen Speicher des Systems und wir im core Dateiformat abge speichert Im Gegensatz zu den meisten proc Dateien zeigt kcore seine Gr e an Dieser Wert wird in Bytes angezeigt und entspricht der Gr e des physischen Speichers RAM plus 4KB Der Inhalt dieser Datei ist so konzipiert dass er nur von einem Debugger wie gdb untersucht werden kann und ansonsten nicht lesbar ist Min ffnen Sie die virtuelle Datei proc kcore nicht Die Inhalte der Datei werden als Textausgabe unlesbar auf dem Bildschirm angezeigt Wenn Sie diese Datei unbeabsichtigt ffnen dr cken Sie Strg C um den Prozess zu stoppen und kehren Sie mit reset zum Befehlszeilenprompt zur ck 5 2 14 proc kmsg In dieser Datei befinden sich Mitteilungen die vom Kernel erstellt wurden Diese Mitteilungen werden dann von anderen Programmen wie z B sbin klogd oder bin dmesg hier abgerufen 5 2 15 proc ksyms Diese Datei enth lt die vom Kernel exportierten Symbol Definitionen die von den Modul Programmen benutzt werden um ladbare Module dynamisch zu verlinken und einzubinden e003def4 speedo_debug eeprol100 e003b04c eeprol00_init eeprol100 e00390c0 st_template st e002104c RDINDOOR megaraid e00210a4 callDone megaraid e00226cc megaraid_detect megaraid Der erste Spalte listet die Speicheradresse f r die Kernelfunktion auf die zweite Spalte bezieh
272. fiziert werden 1 X11 bezieht sich auf das X11R6 Anzeigesystem das gew hnlich als X Window System oder X bezeichnet wird Red Hat Enterprise Linux enth lt XFree86 ein Open Source X Window System 252 Kapitel 17 SSH Protokoll Abfangen von Mitteilungen zwischen zwei Systemen In diesem Fall gibt es irgendwo im Netzw erk zwischen den miteinander kommunizierenden Systemen einen Dritten der die Informationen die zwischen den beiden Systemen ausgetauscht werden kopiert Der Dritte kann dabei die In formationen abfangen und aufbewahren oder sie auch ndern und an den eigentlichen Empf nger weiterleiten Dieser m gliche Angriff kann durch die Verwendung eines Packet Sniffers einem gew hnlichen Netzwerk Dienstprogramm gemountet werden Imitation eines bestimmten Hosts Mit dieser Strategie ist ein drittes System so konfiguriert dass es vorgibt der eigentliche Empf nger einer bertragung zu sein Ist die Strategie erfolgreich bemerkt das Benutzersystem nicht dass es mit dem falschen Host kommuniziert Dieser m gliche Angriff kann anhand von Techniken die unter dem Namen DNS Poisoning oder IP Spoofing bekannt sind gemounted werden Bei beiden Methoden werden m glicherweise wichtige Informationen abgefangen Wenn dies aus unlauteren Gr nden erfolgt k nnen die Ergebnisse katastrophal sein Wenn SSH f r Fernanmeldungen ber eine Shell und f r das Kopieren von Dateien verwendet wird k nnen diese Sicherheits
273. ft von einem Virtuellen Dateisystem Diese virtuellen Dateien haben einige interessante Besonderheiten Die meisten werden mit einer Dateigr e von 0 Bytes aufgelistet wenn man die Datei allerdings ffnet zeigt sie oft einiges an Informationen Au erdem spiegeln die meisten Zeit und Datumseinstellungen der virtuellen Dateien die aktuelle Zeit und das aktuelle Datum wieder was bedeutet dass sie sich st ndig ndern Virtuelle Dateien wie proc interrupts proc meminfo proc mounts und proc partitions bieten einen aktuellen Einblick in die Systemumgebung Andere wie proc filesystems und das Verzeichnis proc sys bieten Informationen zur System Konfiguration und zu Schnittstellen Um eine bessere Strukturierung zu erreichen sind Dateien mit hnlichen Informationen in virtuelle Verzeichnisse und Unter Verzeichnisse einsortiert Zum Beispiel proc ide enth lt Informationen zu allen physischen IDE Ger ten Prozessverzeichnisse enthalten Informationen zu jedem im System laufenden Prozess 5 1 1 Anzeigen virtueller Dateien Mit cat more oder less k nnen Sie die Dateien in proc mit ihrem enormen Informationsgehalt ber das System direkt auslesen Wenn Sie z B wissen m chten welche Art von CPU ein Computer hat geben Sie den Befehl cat proc cpuinfo ein und es erscheint in etwa Folgendes processor 0 vendor_id AuthenticAMD cpu family 5 model 9 model name AMD K6 tm 3D Processor stepping 1 cpu MHz 400 919
274. g A Allgemeine Parameter und Module 267 Wenn Sie sich davon iiberzeugt haben dass keine Fehler auftreten bzw dass die Leistung der Verbindungs Schnittstelle in Ordnung ist fiigen Sie die passenden bonding Modul Parameter zu etc modules conf hinzu Im Folgenden eine Liste der verf gbaren Parameter f r das bonding Modul mode Bestimmt eine der vier Richtlinien die f r das bonding Modul erlaubt sind Folgende Werte sind f r diesen Parameter zugelassen 0 Legt eine allgemeing ltige Richtlinie f r die Fehlertoleranz und die Lastenverteilung fest Die bertragungen werden eine nach der anderen auf jeder verbundenen Nebenschnittstelle emp fangen und versendet Auf der ersten verf gbaren wird begonnen 1 Legt eine Richtlinie f r Aktiv Datensicherung bei der Fehlertoleranz fest Die Ubertragun gen werden ber die erste verf gbare verbundene Nebenschnittstelle empfangen und versendet Eine weitere verbundene Nebenschnittstelle wird nur dann verwendet wenn die aktive verbun dene Nebenschnittstelle versagt 2 Legt eine XOR exklusiv oder Richtlinie f r die Fehlertoleranz und die Lastenverteilung fest Mit dieser Methode vergleicht die Schnittstelle die MAC Adressen der eingehenden Anfra gen mit der MAC Adresse f r eine der Neben NICs Wenn diese Verbindung aufrecht ist werden die bertragungen eine nach der anderen beginnend bei der ersten verf gbaren Schnittstelle ausgesendet 3 Legt eine allgeme
275. g ipt6ables config Die etc sysconfig ip6tables Datei speichert vom Kernel verwendete Informationen um die IPv6 Paketfilterung einzurichten beim Hochfahren oder immer wenn der ip6tables Dienst gestartet wird Ver ndern Sie diese Datei nicht von Hand au er Sie sind mit der Konstruktion von ip6tables Regeln vertraut Die Regeln k nnen mit dem sbin ip6tables Befehl auch manuell aufgestellt werden Wenn die Regeln aufgestellt sind f gen Sie sie in die etc sysconfig ip6tables Datei ein indem Sie den folgenden Befehl eingeben sbin service ip6tables save Kapitel 4 Das Verzeichnis sysconfig 37 Once this file exists any firewall rules saved in it persists through a system reboot or a service restart Mehr Information zu ip6t ables finden Sie unter Kapitel 15 4 1 15 etc sysconfig iptables config Die etc sysconfig iptables Datei speichert Information die der Kernel verwendet um Pa ketfilterungsdienste einzurichten entweder beim Hochfahren oder wann immer der Dienst gestartet wird Wenn Sie mit der Erstellung der iptables Regeln noch nicht vertraut sind sollten Sie diese Datei nicht manuell ndern Es ist am einfachsten solche Regeln mit der Security Level Configuration Tool redhat config securitylevel Anwendung zu verwenden und eine Firewall zu errichten Diese Anwendungen bearbeiten die Datei automatisch am Ende des Prozesses Die Regeln k nnen auch manuell erstellt werden indem der sbin iptables Befehl verwendet wir
276. ge ndert werden muss Das Argument shadow teilt dem Modul mit beim Updaten eines Benutzer Passworts ein Shadow Passwort zu erstellen Das Argument nullok weist das Modul an dem Benutzer zu erlauben sein Passwort von einem leeren Passwort zu ndern Andernfalls wird ein Null Passwort als Account Sperre betrachtet Das letzte Argument dieser Zeile ist use_authtok und ein gutes Beispiel f r die Wichtigkeit der Reihenfolge beim Stapeln von PAM Modulen Dieses Argument weist das Modul an den Benutzer nicht zur Eingabe eines neuen Passworts aufzufordern Stattdessen wird jedes Passwort akzeptiert das von vorherigen Passwort Modulen verwendet wurde Auf diese Weise m ssen allen neuen Passw rter den pam_cracklib so Test f r sichere Passw rter durchlaufen bevor sie akzepiert werden session required pam_unix so Die letzte Zeile gibt an dass das Modul pam_unix so f r die Verwaltung der Sitzung verwendet werden soll Dieses Modul protokolliert bei jedem Start und Ende einer Sitzung den Benutzernamen und den Service Typ in die Datei var log messages Wenn Sie weitere Funktionen ben tigen kann es durch das Stapeln mit anderen Sitzungsmodulen erg nzt werden Die n chste Beispielkonfigurationsdatei erl utert das auth Modulstapeln f r den rlogin Dienst SPAM 1 0 auth required pam_nologin so auth required pam_securetty so auth required pam_env so auth sufficient pam_rhosts_auth so auth required pam_stack so service system auth
277. geben wird verweist ein A Record auf eine standardm ige IP Adresse f r den oberen Teil des Namespaces Dieses System gilt f r alle nicht FQDN Anfragen Beachten Sie das folgende A Record Beispiel f r die example com Zone Datei IN A 10 0213 serverl IN A 10 0 1 5 Anfragen f r example com richten sich an 10 0 1 3 w hrend Anfragen f r serverl example comsich an 10 0 1 5 richten CNAME Name Record welcher Namen untereinander zuordnet Dieser Typ ist auch als Alias bekannt Im n chsten Beispiel wird named angewiesen dass alle Anfragen die an den lt alias name gt gesendet werden auf den Host lt real name gt zeigen CNAME Records werden am h ufigsten verwendet um auf Dienste zu verweisen die ein allgemeines Namensschema f r den korrekten Host wie www f r Web Server verwenden lt alias name gt IN CNAME lt real name gt Betrachten Sie das folgende Beispiel In dieser Einrichtung bindet der A Record einen Hostnamen an eine IP Adresse w hrend ein CNAME Record den allgemein verwendeten Hostnamen www zu weist serverl IN A 1040515 Kapitel 11 Berkeley Internet Name Domain BIND 177 www IN CNAME serverl e MX Mail eXchange Record das angibt welchen Weg eine Mail nimmt die an ein bestimmtes Namespace gesendet und von dieser Zone kontrolliert wurde IN MX lt preference value gt lt email server name gt In diesem Beispiel erm glicht lt preference value gt die E Mail Server der Reihenfolge nach z
278. gef llt Weitere Informationen zu dieser Datei finden Sie auf den man Seiten von resolv conf etc sysconfig network gibt Routing und Host Informationen f r alle Netzwerk Schnittstellen an Weitere Informationen zu dieser Datei und dar ber welche Anweisungen sie akzeptiert finden Sie unter Abschnitt 4 1 22 e etc sysconfig network scripts ifcfg lt interface name gt f r jede Netzwerk Schnittstelle gibt es ein entsprechendes Schnittstellen Konfigurationsskript Jede dieser Dateien liefert Informationen die f r eine besondere Netzwerk Schnittstelle spezifisch sind Unter Abschnitt 8 2 finden Sie weitere Informationen zur Art der Datei und welche Anweisungen sie akzeptiert 108 Kapitel 8 Netzwerk Schnittstellen O kenne Das Verzeichnis etc sysconfig networking Wird vom Network Administration Tool redhat config network verwendet und dessen Inhalt sollte nicht manuell bearbeitet werden Weitere Infor mationen zur Konfiguration von Netzwerk Schnittstellen anhand von Network Administration Tool finden Sie im Kapitel Netzwerk Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration 8 2 Schnittstellen Konfigurationsdateien Schnittstellen Konfigurationsdateien steuern die Software Schnittstellen der einzelnen Netzwerkschnittstellenger te Wenn das System bootet verwendet es diese Dateien um zu erfahren welche Schnittstellen automatisch gestartet werden und wie diese zu konfigurieren sind Diese
279. gegebenes sername password username password Passwort verwenden Benutzer zu Datenbank dbmmanage authdb htdbm TDB authdb hinzuf gen fragt nach adduser username username Passwort Benutzer aus Datenbank dbmmanage authdb delete htdbm x TDB authdb entfernen sername username Benutzer in Datenbank dbmmanage authdb view htdbm 1 TDB authdb auflisten u d Passwort pr fen dbmmanage authdb check htdbm v TDB authdb username username Tabelle 10 1 Migrieren von dbmmanage nach htdbm Die Optionen m und s funktionieren sowohl mit dbmmanage als auch mit htdbm und aktivieren damit jeweils die Verwendung von MDS5 oder SHA1 Algorithmen zum Haschieren der Passw rter Wird mit htdbm eine neue Datenbank erzeugt muss dies anhand der Option c erfolgen Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_auth_dbm html 10 2 4 5 Das Modul mod_perl Die Konfiguration f r mod_perl wurde von httpd conf in die Datei etc httpd conf d perl conf verschoben Damit diese Datei geladen wird und dass folglich mod_perl funktioniert m ssen Sie die Anweisung Include conf d conf wie in Abschnitt 10 2 1 3 beschrieben in Ihrer Datei httpd conf haben Alle Apache Eintr ge in httpd conf m ssen durch ModPerl ersetzt werden Au erdem hat sich die Art und Weise ge ndert mit der Handler eingetragen werden Dies ist ein B
280. gen query source address port 53 11 7 Zus tzliche Ressourcen Folgende Quellen enthalten zus tzliche Hintergrundinformationen zu BIND Kapitel 11 Berkeley Internet Name Domain BIND 185 11 7 1 Installierte Dokumentation BIND verfiigt iiber installierte Dokumentationen die verschiedene Themen behandeln und jeweils in einem eigenen Verzeichnis abgelegt sind usr share doc bind lt version number gt Eine Auflistung der neuesten Features wobei lt version number gt die auf Ihrem System installierte Version von bind ist usr share doc bind lt version number gt arm Enth lt das BIND 9 Administrator Reference Manual im HTML und SGML Format mit Details ber die fiir BIND erforderlichen Ressourcen zur Konfigurationsweise der verschiedenen Name Server Typen zur Durchf hrung des Load Balancing und anderen spezielleren Themen Die meisten neuen Benutzer werden sich mit dieser Informationsquelle am besten mit BIND vertraut machen k nnen lt version number gt ist dabei die auf Ihrem System installierte Version von bind usr share doc bind lt version number gt draft Enth lt ausgew hlte technische Dokumente die sich mit dem DNS Service und damit verbundenen Problemen besch ftigen und einige Methoden zur L sung dieser Probleme vorschlagen lt version number gt ist dabei die auf Ihrem System installierte Version von bind usr share doc bind lt version number gt misc Enth lt Dokumente ber spezi
281. gister an die von jedem der verschiedenen Speichertypen verwen det werden Die zweite Spalte zeigt die Art des Speichers in diesem Register an Diese Spalte zeigt Ihnen vor allem auch an welche Speicherregister vom Kernel im Systemspeicher benutzt werden oder wenn z B Ihre Netzwerkschnittstelle mehrere Ethernetports hat welcher Port welche Speicher register verwendet 52 Kapitel 5 Das proc Dateisystem 5 2 11 proc ioports Die Ausgabe von proc ioports liefert eine Liste von zur Zeit registrierten Port Regionen zur I O Kommunikation mit einem Ger t Diese Datei kann sehr lang sein der Anfang kann hnlich wie hier aussehen 0000 001f dmal 0020 003f picl 0040 005 timer 0060 006f keyboard 0070 007 rtc 0080 008f dma page reg 00a0 00bf pic2 00c0 00df dma2 OOf0 O0ff fpu 0170 0177 idel 01f0 01f7 ide0 02f8 02ff serial auto 0376 0376 idel 03c0 03df vgat 03f6 03f6 ide0 03f8 03ff serial auto Ocf8 Ocff PCI confl d000 dfff PCI Bus 01 e000 e00f VIA Technologies Inc Bus Master IDE e000 e007 ided e008 e00f idel e800 e87 Digital Equipment Corporation DECchip 21140 FasterNet e800 e87 tulip Die erste Spalte zeigt den Adressbereich des I O Ports an der f r ein Ger t in der zweiten Spalte reserviert ist 5 2 12 proc isapnp Diese Datei listet Plug and Play PnP Karten in ISA Steckpl tzen im System auf Dies ist oft bei Soundkarten der Fall aber kann auch viele ander
282. grotate wurde umbenannt Die Konfigurationsdatei logrotate wurde von etc logrotate d apache umbenannt in etc logrotate d httpd Kapitel 10 Apache HTTP Server 133 Der n chste Abschnitt zeigt wie eine Apache HTTP Server 1 3 Konfiguration in das neue Format 2 0 migriert werden kann 10 2 Migrieren von Apache HTTP Server 1 3 Konfigurationsdateien Der n chste Abschnitt zeigt wie eine Apache HTTP Server 1 3 Konfiguration in das neue Format von Apache HTTP Server 2 0 migriert werden kann Wenn Ihr Server von Red Hat Enterprise Linux 2 1 auf Red Hat Enterprise Linux 3 aktualisiert wurde und Apache HTTP Server bereits installiert war dann wird die neue Stock Konfigurationsdatei f r das Apache HTTP Server 2 0 Paket als etc httpd conf httpd conf rpmnew installiert und Ihre Originalversion 1 3 httpd conf beibehalten Es liegt nat rlich ganz bei Ihnen ob Sie die neue Konfigurationsdatei verwenden m chten und Ihre alten Einstellungen dorthin migrieren oder die vor handene Datei als Basis verwenden und sie entsprechend anpassen einige Bereiche der Datei haben sich jedoch mehr als andere ver ndert deshalb ist ein gemischtes Vorgehen normalerweise die beste L sung Die Stock Konfigurationsdateien sowohl f r Version 1 3 als auch f r Version 2 0 werden in drei Abschnitte unterteilt Ziel dieses Leitfadens ist es den hoffentlich einfachsten Weg aufzuzeigen Handelt es sich bei etc httpd conf httpd conf um eine modifizierte Version der Stan
283. gruppe von Ger tetreibern um eine stabile Installationsumgebung zu erzeugen Obwohl das Installationspro gramm die Installation auf vielen verschiedenen Typen von Hardware unterst tzt sind manche Trei ber einschlie lich der Treiber f r SCSI Adapter Netzwerkkarten und viele CD ROMs nicht im Installations Kernel integriert Stattdessen sind sie als Module verf gbar die w hrend dem Bootvor gang vom Benutzer geladen werden m ssen Weitere Informationen ber zus tzliche Kernel Module w hrend des Installationsprozesses finden Sie im Abschnitt ber alternative Bootmethoden im Kapitel Schritte f r den erfolgreichen Start im Red Hat Enterprise Linux Installationshandbuch Nach Abschluss der Installation besteht eine Unterst tzung f r eine gro e Anzahl von Ger ten durch Kernel Module Bicon Red Hat bietet eine gro e Anzahl nicht unterst tzter Ger tetreiber in einer Reihe von Paketen n m lich kernel unsupported lt kernel version gt kernel smp unsupported lt kernel version gt und kernel hugemem unsupported lt kernel version gt Ersetzen Sie lt kernel version gt mit der Version des Kernels der auf dem System installiert ist Diese Pakete werden vom Red Hat En terprise Linux Installationsprogramm nicht installiert und diebereitgestellten Module werden von Red Hat Inc nicht unterst tzt A 1 Spezifizieren der Modulparameter In einigen Situationen kann es notwendig sein Parameter f r ein Modul beim Laden desselben an
284. gurieren 163 Listen Befehl 164 namensbasiert 163 Options 151 Server seitige Includes 157 Virtuelles Dateisystem Siehe proc Dateisystem 280 Ww Webmaster E Mail Adresse f r 149 Window Manager Siehe XFree86 X Siehe XFree86 X Window System Siehe XFree86 X 500 Siehe LDAP X 500 Lite Siehe LDAP XFree86 etc X11 XF86Config Boolesche Werte fiir 91 Device 96 DRI 97 Einf hrung 91 Files Abschnitt 93 InputDevice Abschnitt 94 Module Abschnitt 94 Monitor 95 Screen 97 Section Tag 91 ServerFlags Abschnitt 92 ServerLayout Abschnitt 92 Struktur 91 Desktop Umgebungen GNOME 90 KDE 90 Dienstprogramme X Configuration Tool 89 Display Manager Definition 101 gdm 101 kdm 101 Konfiguration der vorgezogenen 101 prefdm Skript 101 xdm 101 Einf hrung 89 Fonts Core X Font Subsystem 99 Einf hrung 98 Fontconfig 98 Fontconfig Fonts hinzuf gen 99 Free Type 98 X Font Server 99 X Render Extension 98 xfs 99 xfs Konfiguration 99 xfs Fonts hinzuf gen 100 Xft 98 Konfigurationsdateien etc X11 Verzeichnis 91 etc X11 XF86Config 91 Optionen 91 Serveroptionen 91 Runlevel 3 101 5 101 Runlevels 101 Window Manager kwin 90 metacity 90 mwm 90 twm 90 X Server 89 Funktionen 89 XFree86 89 X Clients 89 90 Desktop Umgebungen 90 startx command 101 Window Manager 90 xinit 101 Zus tzliche Ressourcen 102 Installierte Dokumentation 103 N tzliche Webseiten 1
285. h des Diffie Hellmann Schl s sels enthalten Wenn der Austausch dieser Schl ssel zu Beginn einer SSH Sitzung erfolgt wird ein gemeinsam genutzter geheimer Wert erstellt der von keiner Seite allein erstellt werden kann Dieser Wert wird zur Host Authentifizierung verwendet ssh_config Hierbei handelt es sich um eine Datei f r die Konfiguration des SSH Clients Wenn einem Benutzer eine eigene Konfigurationsdatei in seinem Home Verzeichnis ssh config zur Verf gung steht werden die hier enthaltenen Werte berschrieben e sshd_config Die Konfigurationsdatei f r den sshd Daemon ssh_host_dsa_key Der private DSA Schl ssel der vom sshd Daemon verwendet wird ssh_host_dsa_key pub Der ffentliche DSA Schl ssel der vom sshd Daemon verwendet wird ssh_host_key Der private RSA Schl ssel der vom sshd Daemon f r die Version 1 des SSH Protokolls verwendet wird e ssh_host_key pub Der ffentliche RSA Schl ssel der vom sshd Daemon f r die Version 1 des SSH Protokolls verwendet wird ssh_host_rsa_key Der private RSA Schl ssel der von sshd Daemon f r die Version 2 des SSH Protokolls verwendet wird ssh_host_rsa_key pub Der ffentliche RSA Schl ssel der von sshd f r die Version 2 des SSH Protokolls verwendet wird Die benutzerspezifischen SSH Konfigurationsinformationen werden im Home Verzeichnis des Be nutzers im Unterverzeichnis ssh gespeichert authorized_keys
286. he zu technischen Informationen in der Red Hat Support Knowledge Base eine weitere Datenbank zur Unterst tzung und vieles mehr http www linuxheadquarters com Auf der Linux Headquarters Website finden Sie leicht ver st ndliche schrittweise Anweisungen zu einer Vielzahl von Linux Aufgaben 2 1 2 Einf hrung in die Linux Newsgroups Sie k nnen an den Newsgroups teilnehmen indem Sie den Diskussionen anderer Benutzer folgen die versuchen Probleme zu l sen oder indem Sie selbst aktiv Fragen stellen oder beantworten Er fahrene Linux Benutzer sind daf r bekannt dass Sie Einsteigern gerne bei Ihren unterschiedlichen Fragen zu Linux unter die Arme greifen vor allem wenn Sie Ihre Fragen vor dem richtigem Pu blikum stellen Sollten Sie allerdings keinen Zugang zu einer der News Reader Anwendungen ha ben k nnen Sie unter der folgenden Webadresse nach entsprechenden Informationen hierzu suchen http groups google com Es gibt n mliche Dutzende Linux relevante Newsgroups unter anderem die folgenden linux help Eine hervorragende Adresse sich von Linux Kollegen helfen zu lassen linux redhat In dieser Newsgroup geht es haupts chlich um Red Hat Enterprise Linux spezifische Themen linux redhat install Dieser Newsgroup k nnen Sie Fragen zur Installation stellen oder nach schauen wie andere Benutzer hnliche Probleme l sen oder gel st haben linux redhat misc Fragen bzw Anfragen die nicht u
287. hen zwei Hosts bei 2 DNS Poisoning erfolgt wenn ein Eindringling einen DNS Server knackt und Client Systeme auf einen b s willig vervielf ltigten Host zu lenken 3 IP Spoofing erfolgt wenn ein Eindringling Netzwerk Pakete versendet die scheinbar von einem vertrauens w rdigen Host auf dem Netzwerk versendet werden Kapitel 17 SSH Protokoll 253 e Zun chst wird eine sichere Transportschicht geschaffen die dem Client System anzeigt dass es mit dem korrekten Server in Verbindung steht e Die Transportschicht zwischen dem Client und dem Remote Host ist mit einer symmetrischen Kodierung verschl sselt Der Client authentifiziert sich gegen ber dem Server Der Remote Client kann nun sicher mit dem Remote Host ber die verschl sselte Verbindung kom munizieren 17 3 1 Transportschicht Die wichtigste Aufgabe der Transportschicht ist es die sichere und verschl sselte Kommunikation zwischen zwei Rechnern bei und nach der Authentifizierung zu gew hrleisten Die Transportschicht verwaltet zu diesem Zweck die Verschl sselung und Entschl sselung der Daten und sorgt daf r dass die Datenpakete w hrend des gesamten bertragungsflusses gesch tzt sind Weiterhin kann diese Schicht die Daten komprimieren und damit die bertragungsgeschwindigkeit erheblich erh hen Sobald ein Client ber ein SSH Protokoll mit einem Server in Verbindung tritt erfolgen verschiedene wichtige Vorg nge die dazu dienen dass die beiden Syst
288. hern von Firewall Regeln o Um die gleichen Initskript Befehle zu verwenden um den Netfilter f r IPv6 zu kontrollieren ersetzen Sie iptables durch ip6tables in den in diesem Abschnitt angegebenen sbin service Befehlen F r weitere Informationen zu IPv6 und Netfilter sehen Sie Abschnitt 15 6 15 5 1 Konfigurationsdatei der iptables Kontrollskripte Das Verhalten des iptables Init Skripts wird durch die Konfigurationsdatei etc sysconfig iptables config bestimmt Folgend ist eine Liste der in dieser Datei vorkommenden Anweisungen IPTABLES_MODULES Gibt eine durch Leerzeichen getrennte Liste von zus tzlichen iptables Modulen an die beim aktivieren einer Firewall geladen wird Diese kann Verbindungs Tracker und NAT Helfer enthalten IPTABLES_SAVE_ON_STOP Speichert die augenblicklichen Firewall Regeln nach etc sysconfig iptables wenn die Firewall angehalten wird Diese Anweisung akzeptiert folgende Werte e yes Speichert vorhandene Regeln nach etc sysconfig iptables wenn die Firewall angehalten wird Die vorherige Version wird unter etc sysconfig iptables save abgelegt no Der Standardwert Bestehende Regeln werden nicht gespeichert wenn die Firewall ange halten wird IPTABLES_SAVE_ON_RESTART Speichert augenblickliche Firewall Regeln wenn die Firewall neu gestartet wird Diese Anweisungen akzeptiert die folgenden Werte e yes Speichere bestehende Regeln nach etc sysconfig iptables wenn die
289. hl den Web Server ohne als auch mit Verschl sselung enth lt Der Web Server wird als virtueller Host ausgef hrt der in der Datei etc httpd conf d ssl conf konfiguriert wird Weitere Informationen ber virtuelle Hosts f r sichere Server finden Sie unter Abschnitt 10 8 1 Informationen zur Einrichtung eines sicheren Servers von Apache HTTP finden Sie im Kapitel Apache HTTP Secure Server Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration 8 Bitte beachten Red Hat Inc liefert keine FrontPage Erweiterungen mit aus da die Lizenz von Microsoft deren Lieferung in einem Produkt eines Drittanbieters verbietet Mehr ber FrontPage Erweiterungen er fahren Sie unter http www rtr com fpsupport 10 4 Starten und Anhalten vonhttpd Die httpd RPM installiert das etc init d httpd Skript auf das Sie anhand des Befehls sbin service zugreifen k nnen Geben Sie folgenden Befehl ein um Ihren Server als root starten sbin service httpd start Geben Sie folgenden Befehl ein um Ihren Server anzuhalten 144 Kapitel 10 Apache HTTP Server sbin service httpd stop Der Befehl restart stellt die direkteste M glichkeit zum Starten und Anhalten dar Der Befehl re start h lt den Server an un startet ihn wieder Beim Neustart werden Sie aufgefordert Ihr Passwort einzugeben wenn Sie Apache als Secure Server verwenden Der Befehl restart stellt sich wie folgt dar sbin service httpd restart f Bitte beachten
290. hnis Wenn eines der beiden Skripte aufgerufen wird verlangt dieses dass ein Schnittstellenwert angegeben wird wie z B ifup eth0 kenne ifup und ifdown sind die einzigen Skripte die der Benutzer zum Starten und Beenden der Netzwerk Schnittstellen verwenden sollte Die folgenden Skripte sind lediglich zu Referenzzwecken angegeben An dieser Stelle werden zwei Dateien etce rc d init d functions und etc sysconfig network scripts network functions dazu verwendet eine ganze Reihe von Aufgaben der Initialisierung des Netzwerks zu erf llen Weitere Informationen finden Sie unter Abschnitt 8 4 Nachdem sichergestellt ist dass eine Schnittstelle angegeben wurde und dass der Benutzer der diese Anfrage ausf hrt die Berechtigung zur Steuerung der Schnittstelle hat wird das richtige Skript zum Starten oder Beenden der Schnittstelle aufgerufen Zu den g ngigsten Schnittstellen Kontrollskripten im Verzeichnis etc sysconfig network scripts geh ren die Folgenden ifup aliases Konfiguriert die IP Aliase der Schnittstellen Konfigurationsdateien wennn einer Schnittstelle mehr als eine IP Adresse zugeordnet ist ifup cipcb und ifdown cipcb Werden zum Starten und Beenden von Crypto IP Encapsu lation CIPE Verbindungen verwendet ifup ipv6 und ifdown ipv6 Werden zum Starten oder Beenden einer IPv6 Schnittstelle ver wendet ifup ipx Wird zum Starten einer IPX Schnittstelle verwendet ifup plip Wird zum
291. hnittstelle treten nicht gesehen werden Dies sind auf keinen Fall alle nderungen da iptables ein von Grund auf neu geschriebener Netz werkfilter ist Genauere Einzelheiten finden Sie im Linux 2 4 Packet Filtering HOWTO und in den unter Abschnitt 15 7 angegebenen Quellen 15 3 Mit iptables Befehlen verwendete Optionen Regeln die es erm glichen dass Pakete vom Kernel gefiltert werden werden durch Ausf hren des iptables Befehls erstellt Beim Verwenden des iptables Befehls m ssen Sie folgende Optionen angeben Pakettyp Diese Option legt fest welche Art von Paketen der Befehl filtert Paketquelle oder ziel Diese Option legt fest welche Pakete vom Befehl auf Grundlage der Paketquelle oder des Paketziels gefiltert werden Ziel Diese Option legt fest welche Aktion ausgef hrt wird wenn die Pakete die oben genannten Kriterien erf llen F r weitere Informationen zu spezifischen Optionen welche diese Aspekte eines Pakets betreffen sehen Sie Abschnitt 15 3 4 und Abschnitt 15 3 5 Die mit der gegebenen iptables Regel verwendeten Optionen m ssen logisch gruppiert sein d h auf Grundlage des Zwecks und der Bedingungen der Gesamtregel damit die Regel g ltig ist Der Rest dieses Abschnitts erkl rt h ufig verwendete Optionen des Befehls iptables 15 3 1 Struktur der iptables Optionen Viele iptables Befehle haben folgende Struktur iptables t lt table name gt lt command gt lt chain name gt lt para
292. hwierigkeiten haben Viele der nachfolgend beschriebenen Probleme k nnen Sie aber vermeiden wenn Sie Folgendes beachten Erh hen Sie die Seriennummer wenn Sie eine Zone Datei bearbeiten Wenn die Seriennummer nicht erh ht wird hat Ihr Master Name Server zwar die korrekten neuen Informationen Ihr Slave Name Server werden jedoch nie ber diese Anderungen oder den Versuch informiert die Daten in der Zone zu aktualisieren Achten Sie darauf dass Sie geschweifte Klammern und Strichpunkte in der etc named conf Datei richtig verwenden Ein ausgelassenes Semikolon oder eine nicht geschlossene geschweifte Klammer kann dazu f hren dass named nicht startet Denken Sie daran in den Zone Dateien nach jedem FQDN Punkte zu setzen und sie beim Hostnamen wegzulassen Der Punkt bedeutet dass der angegebene Name komplett ist Wird er weggelassen platziert named den Namen der Zone oder des ORIGIN Werts hinter den Namen um ihn zu vervollst ndigen Wenn Ihre Firewall Verbindungen von Ihrem named zu anderen Nameservern blockiert m ssen Sie m glicherweise die Konfigurationsdatei bearbeiten Standardm ig verwendet die Version 9 von BIND willk rliche Ports oberhalb von 1024 um an dere Name Server abzufragen Einige Firewalls gehen jedoch von Name Servern aus die f r die Kommunikation nur den Port 53 verwenden Sie k nnen dieses Verhalten erzwingen indem Sie in etc named conf folgende Zeile zur opt ions Direktive hinzuf
293. ibilit t ist UDP das standardm ige Transport Protokoll f r NFS unter Red Hat Enterprise Linux Siehe Kapitel Network File System NFS im Red Hat Enterprise Linux Hand buch zur System Administration f r weitere Informationen ber Verbindung zum Server mittels TCP NFS f hrt Authentifizierungen nur dann durch wenn ein Client versucht die gemeinsame NFS Ressource zu mounten Um Zugriffe auf den NFS Server zu limitieren werden TCP Wrapper verwen det Die TCP Wrapper lesen die Dateien etc hosts allow und etc hosts deny um festzu legen ob einem bestimmten Client oder einem Netzwerk der Zugriff auf den NFS Server erlaubt oder verwehrt wird Weitere Informationen zum Konfigurieren der Zugriffssteuerung mit TCP Wrapper finden Sie unter Kapitel 14 Erh lt der Client die Berechtigung die TCP Wrapper zu passieren verweist der NFS Server auf die Konfigurationsdatei etc exports um festzulegen ob der Client ber ausreichende Privilegien zum Zugreifen auf eine der exportierten Dateisysteme verf gt Wird der Zutritt gew hrt kann der User ber alle Datei und Verzeichnisvorg nge verf gen 120 Kapitel 9 Netzwerk Dateisystem Network File System NFS Awarung NFS Mount Privilegien werden dem Client Host gewahrt nicht dem Benutzer Deswegen kann jeder Benutzer auf einem Client Host mit Zugangsberechtigung auf die exportierten Dateisysteme zugrei fen Wenn Sie die gemeinsamen NFS Dateien konfigurieren seien Sie vorsichtig welche Hos
294. ice Abschnitt konfiguriert ein Input Ger t wie eine Maus oder eine Tastatur das f r die Eingabe von Informationen in das System mithilfe des XFree86 Servers verwendet wird Die meisten Systeme besitzen mindestens zwei InputDevice Abschnitte Tastatur und Maus Das folgende Beispiel zeigt einen typischen InputDevice Abschnitt f r eine Maus Section InputDevice Identifier Mouse0 Driver mouse Option Protocol IMPS 2 Option Device dev input mice Option Emulate3Buttons no EndSection Die folgenden Eintr ge werden am h ufigsten in einem InputDevice Abschnitt verwendet Identifier Gibt einen eindeutigen Namen f r diesen InputDevice Abschnitt an Dieser Eintrag ist notwendig Driver Gibt XFree86 den Namen des Treibers an der f r die Verwendung des Ger ts zu laden ist Option Gibt Ger te bezogene Optionen an F r eine Maus enthalten diese Optionen Folgende Protokoll Gibt das von der Maus verwendete Protokoll an wie IMPS 2 Device Gibt den Ort des physischen Ger ts an Emulate3Buttons Gibt an ob eine Zwei Tasten Maus eine dritte Taste wenn beide Tasten gleichzeitig gedr ckt werden emulieren soll Sehen Sie die XF86Config man Seiten f r eine Liste der g ltigen Optionen Der Abschnitt InputDevice enth lt einige Kommentare die dem Benuzter das Konfigurieren wei terer Optionen erm glicht Kapitel 7 Das X Window System 95 7 3 1 7 Monitor Abschnitt Jeder Mon
295. icht ber cksichtigt Eine Beispiel Ausgabe dieser virtuellen Datei finden Sie hier Character devices 1 mem pty ttyp ttyS cua 7 vcs 10 misc OB WN 14 sound 29 fb Kapitel 5 Das proc Dateisystem 49 36 netlink 128 ptm 129 ptm 136 pts 137 pts 162 raw 254 iscsictl Block devices 1 ramdisk 2 fd 3 ided 9 md 22 idel Die Ausgabe von proc devices enth lt die Major Number und den Namen eines Ger tes und ist in zwei gr ere Sektionen aufgeteilt Character devices und Block devices Zeichen Ger te Character Devices sind bis auf zwei wichtige Unterschiede sehr hnlich zu Block Ger ten 1 Block Ger te haben einen Puffer der das Ordnen von Zugriffen vor der Ausf hrung zul sst Das erm glicht zum Beispiel bei Festplatten oder anderen Speicherger ten eine effizientere Speicherung Zeichen Ger te ben tigen diese Pufferung nicht 2 Block Ger te k nnen Informationen in Datenbl cken einer bestimmten Gr e senden und emp fangen Diese Gr e kann je nach Ger t konfiguriert werden Zeichen Ger te senden Daten ohne eine vorkonfigurierte Gr e zu beachten F r weitere Informationen ber Ger te sehen Sie die im Folgenden angegebene Dokumentation usr sre linux 2 4 Documentation devices txt 5 2 5 proc dma Diese Datei enth lt eine Liste von registrierten ISA Direct Memory Access DMA Kan len die verwendet werden Eine Beispieldatei von proc dma sieht wie folgt aus 4 cascade 5 2 6
296. id level 2 wp yes flags fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm bogomips 4771 02 processor Gibt jedem Prozessor eine ID Nummer Wenn Ihr System nur ber einen Prozessor verf gt wird nur 0 angezeigt cpu family Zeigt Ihnen den Prozessortyp an den Ihr System benutzt Basiert Ihr Rechner auf Intel stellen Sie die Zahl einfach vor 86 um den Wert zu berechnen Das ist besonders dann n tzlich wenn Sie die Architektur eines lteren Systems wie 586 486 oder 386 herausfinden m chten Da einige RPM Pakete f r jede dieser speziellen Architekturen kompiliert werden hilft Ihnen dieser Wert bei der Entscheidung welches Packet zu installieren ist model name Zeigt den Namen und den Projektnamen des Prozessors an cpu MHz Zeigt die genaue Geschwindigkeit des Prozessors in Megahertz an cache size Zeigt die Menge von verf gbarem Level 2 Cache des Prozessors an siblings Zeigt die Anzahl von sibling CPUs auf der gleichen physischen CPU f r Architek turen die Hyper Threading verwenden an flags Gibt eine Anzahl von Eigenschaften des Prozessors aus wie zum Beispiel eine Floating Point Unit FPU oder die Verarbeitung von MMX Befehlen 5 2 4 proc devices Diese Datei zeigt die Zeichen und Block Ger te an die zur Zeit im Kernel konfiguriert sind Ger te deren Module nicht im Kernel geladen sind werden n
297. ie Eingaben der gerade editierten Datei httpd conf berpr fen Stellen Sie sicher dass diese keine Tippfehler enth lt Als N chstes sollten Sie einen Blick auf die Fehlerprotokolldatei Ihres Web Servers werfen var log httpd error_log Die Auswertung der Fehlerprotokolldatei ist je nachdem wie viel Erfahrung Sie damit haben m glicherweise nicht ganz einfach Wenn gerade ein Problem aufgetreten ist sollten die letzten Eintr ge jedoch einige Hinweise dar ber liefern was passiert ist Die folgenden Teilabschnitte enthalten kurze Beschreibungen der Anweisungen in httpd conf Die se Beschreibungen gehen nicht bis ins letzte Detail Weitere Informationen finden Sie in der Apache Dokumentation Online unter http httpd apache org docs 2 0 Weitere Informationen zu mod_ss1 Anweisungen erhalten Sie aus der Dokumentation Online unter http httpd apache org docs 2 0 mod mod_ssl html 10 5 2 ServerRoot ServerRoot ist das oberste Verzeichnis das die Server Dateien enth lt Sowohl der Server mit Ver schl sselung Secure Server als auch der Server ohne Verschl sselung sind auf die Verwendung von etc httpd als ServerRoot eingestellt 10 5 3 PidFile PidFile gibt die Datei an in der der Server seine Prozess ID pid ablegt Ihr Web Server ist so konfiguriert dass er seine pid in var run httpd pid ablegt 146 Kapitel 10 Apache HTTP Server 10 5 4 Timeout Timeout gibt die Zeit in Sekunden an die der Server bei Kommunika
298. ie Pakete openldap openldap clients und nss_ldap m ssen auf allen LDAP Client Maschinen installiert sein Bearbeiten der Konfigurationsdateien Bearbeiten Sie die Datei etc openldap slapd conf auf dem LDAP Server um sicherzustellen dass diese mit den Gegebenheiten Ihrer Organisation bereinstimmt Bitte sehen Sie Abschnitt 12 6 1 f r Anleitungen zum Bearbeiten der Datei slapd conf Auf allen Client Rechnern m ssen sowohl etc ldap conf als auch etc openldap ldap conf den jeweiligen Server und grundlegende Informationen f r Ihre Organisation enthalten Die einfachste Weise hierzu ist das Ausf hren von Authentication Configuration Tool authconfig gtk und das Ausw hlen von LDAP verwenden in der Tab Benutzerinformationen Diese Dateien k nnen auch manuell bearbeitet werden Auf allen Client Maschinen muss die Datei etc nsswitch conf bearbeitet werden um LDAP zu verwenden Die einfachste Weise hierzu ist das Ausf hren von Authentication Configuration Tool authconfig gtk und das Ausw hlen von LDAP verwenden in der Tab Benutzerinformationen Wenn Sie etc nsswitch conf manuell bearbeiten f gen Sie 1dap in den entsprechenden Zeilen hinzu Zum Beispiel passwd files ldap shadow files ldap group files ldap Kapitel 12 Lightweight Directory Access Protocol LDAP 195 12 7 1 PAM and LDAP F hren Sie Authentication Configuration Tool authconfig gtk aus und w hlen Sie die Option LDAP verwenden im T
299. ie Textstelle angeben nur so k nnen wir die Stelle finden und korrigieren 7 Melden Sie sich f r den Support an Wenn Sie eine offizielle Version von Red Hat Enterprise Linux 3 erworben haben k nnen Sie die Vorteile als Kunde von Red Hat nutzen Sie k nnen einige oder andere der folgenden Vorteile nutzen je nachdem welches Produkt Sie erwor ben haben Red Hat Support Sie erhalten vom Red Hat Inc Support Team Hilfe bei der Installation Red Hat Network Einfaches Update Ihrer Pakete Sie erhalten auf Ihr System abgestimmte Sicherheits Meldungen Unter http rhn redhat com finden Sie weitere Details Under the Brim The Official Red Hat E Newsletter Sie erhalten monatlich die neuesten Mittei lungen und Produktinformationen direkt von Red Hat Melden Sie sich unter http www redhat com apps activate Ihre Produkt ID finden Sie auf der schwarz rot wei en Karte in Ihrer Red Hat Enterprise Linux Box Weitere Informationen ber den technischen Support f r Red Hat Enterprise Linux finden Sie im Anhang Technischen Support anfordern im Red Hat Enterprise Linux Installationshandbuch Viel Gl ck und vielen Dank dass Sie sich f r Red Hat Enterprise Linux entschieden haben Das Red Hat Dokumentationsteam Einf hrung I Systemhinweise Um das System wirkungsvoll zu leiten ist es wichtig seine Komponenten zu kennen und zu wissen wie sie zusammenarbeiten Dieser Abschnitt geht auf viele verschiedene Aspe
300. ie aktuellsten Links zu Informationsquellen zum Thema Paketfilterung Red Hat Enterprise Linux Sicherheitshandbuch Red Hat Inc Enth lt ein Kapitel zur Rolle von Firewalls innerhalb einer globalen Sicherheitsstrategie wie auch Strategien zum Erstellen von Firewall Regeln Red Hat Enterprise Linux Handbuch zur System Administration Red Hat Inc Enth lt ein Kapi tel zur Konfiguration von Firewalls unter Verwendung von Security Level Configuration Tool redhat Kapitel 16 Kerberos Systemsicherheit und Integrit t innerhalb eines Netzwerkes kann ziemlich schwierig sein und die Zeit mehrerer Systemadministratoren allein nur f r das Verfolgen von welche Services auf dem Netz werk ausgef hrt und wie diese ausgef hrt werden in Anspruch nehmen Desweiteren kann das Au thentifizieren von Benutzern f r Netzwerkservices gewisse Gefahren bergen wenn die Methoden hierf r von Natur aus unsicher sind wie am Beispiel von bertragungen unverschl sselter Passw r ter ber ein Netzwerk unter FTP oder Telnetprotokollen bewiesen Kerberos ist eine Methode die Notwendigkeit von Protokollen die eine unsichere Authentifizierung erm glichen auszur umen und somit die Gesamtsicherheit des Netzwerkes zu erh hen 16 1 Was ist Kerberos Kerberos ist ein von MIT erstelltes Authentifizierungsprotokoll f r Netzwerke das geheime Schl ssel zum Sichern von Passw rtern verwendet ohne Passw rter ber das Netzwerk senden
301. ie zus tzliche Quellenangaben f r Informationen ber das Dateisystem proc 5 5 1 Installierte Dokumentation Eine Auswahl der besten Dokumentation zum proc Dateisystem ist standardm ig auf dem System installiert e usr src linux 2 4 Documentation filesystems proc txt Enth lt bestimmte je doch eingeschr nkte Dokumentation zu den Aspekten von proc usr src linux 2 4 Documentation sysrq txt Ein berblick ber die System Re quest Key Optionen e usr src linux 2 4 Documentation sysct1 Ein Verzeichnis dass eine Vielzahl von Tips zu sysctl enth lt inklusive Optionen die den Kernel angehen kernel txt zu den Dateisystemen fs txt und zum virtuellen Speicher vm txt e usr src linux 2 4 Documentation networking ip sysctl txt Ein detallierter berblick auf verschiedene IP Netzwerk Optionen e usr sre linux 2 4 Die vielleicht wichtigste Informationsquelle zu proc ist der Sourcecode des Linux Kernels Wenn Sie das RPM Paket kernel source installiert haben finden Sie diesen im Verzeichnis usr src linux 2 4 5 5 2 Hilfreiche Websites http www linuxhq com Diese Seite wartet eine komplette Datenbank mit Quellcode Patches und Dokumentation f r verschiedene Versionen des Linux Kernels 80 Kapitel 5 Das proc Dateisystem redhat Kapitel 6 Benutzer und Gruppen Die Benutzer und Gruppen Kontrolle ist ein grundlegendes Element der Red Hat Enterprise Linux Systemadmi
302. ieren eines BIND DNS Servers finden Sie unter Kapitel 11 Standardm ig enth lt diese Datei keine Parameter 4 1 21 etc sysconfig netdump etc sysconfig netdump ist die Konfigurationsdatei f r den etc init d netdump Dienst Mit dem netdump Dienst werden sowohl Oops also auch Speicherdaten auf dem Netzwerk bertra gen net dump ist grunds tzlich nicht erforderlich Sie sollten diese Datei also nur ausf hren wenn es unbedingt notwendig ist Weitere Informationen zu den Parametern die f r diese Datei zur Verf gung stehen erhalten Sie auf den man Seiten von netdump 4 1 22 etc sysconfig network Die Datei etc sysconfig arpwatch wird verwendet um Informationen ber die gew nschte Netzwerkkonfiguration anzugeben Die folgenden Werte k nnen verwendet werden NETWORKING lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes Das Netzwerk sollte konfiguriert sein no Das Netzwerk sollte nicht konfiguriert sein 40 Kapitel 4 Das Verzeichnis sysconfig HOSTNAME lt Wert gt wobei lt Wert gt der Fully Qualified Domain Name FQDN sein sollte z B hostname domain com kann aber auch jeder andere von Ihnen gewiinschte Hostname sein Anmerkung Um die Kompatibilit t mit lterer Software z B trn zu gew hrleisten sollte die etc HOSTNAME Datei den gleichen Wert wie hier enthalten GATEWAY lt Wert gt wobei lt Wert gt die IP Adresse des Netzwerk Gateways ist GATEWAYDE
303. ig M glicherweise haben Sie ein eigenes Linux System installiert und sogar Einf hrung v Software aus dem Internet heruntergeladen und installiert Nach der Installation von Linux k nnen Konfigurationsfragen allerdings auch f r Sie sehr verwirrend sein Das Red Hat Enterprise Linux Handbuch zur System Administration wird Ihnen die verschiedenen Optionen erl utern mit denen Sie Ihr Red Hat Enterprise Linux System konfigurieren und gewisse Ziele erreichen k nnen Nutzen Sie dieses Handbuch dazu sich mit bestimmten Konfigurationsoptio nen und ihrer Umsetzung vertraut zu machen Wenn Sie Software installieren die nicht im Red Hat Enterprise Linux Handbuch zur System Administration enthalten ist hilft es oft sich anzusehen wie andere Benutzer unter hnlichen Voraussetzungen vorgegangen sind Die HOWTO Dokumente des Linux Documentation Project stehen Ihnen unter http www redhat com mirrors LDP HOWTO HOWTO INDEX howtos html zur Verf gung und dokumentieren ganz bestimmte Linux Aspekte von der esoterischen Ver nderung des Low Level Kernels bis hin zum Einsatz von Linux f r einen Amateur Radiosender Wenn Sie sich mit Sicherheitsfragen auseinandersetzen wollen ist das Red Hat Enterprise Linux Sicherheitshandbuch eine gro artige Informationsquelle Hier werden die besten Strategien und Praktiken zu Sicherung von Red Hat Enterprise Linux in knapper Weise erkl rt 2 3 Dokumentation f r Linux Gurus Wenn Sie Red Hat Enterprise Li
304. ikationen oder Services welche PAM verwenden besteht eine Datei im Verzeichnis etc pam d Jede dieser Dateien ist nach dem Service benannt f r welchen diese den Zugriff kontrolliert Es ist dem PAM verwendenden Programm berlassen seinen Servicenamen zu bestimmen und die ent sprechende PAM Konfigurationsdatei im Verzeichnis etc pam d abzulegen Das Login Program zum Beispiel bestimmt seinen Servicenamen als etc pam d login 13 3 Format der PAM Konfigurationsdatei Jede PAM Konfigurationsdatei enth lt eine Gruppe von Anweisungen welche wie folgt formattiert sind 202 Kapitel 13 Pluggable Authentication Modules PAM lt module interface gt lt control flag gt lt module name gt lt module arguments gt Jedes dieser Elemente ist in den folgenden Abschnitten erklart 13 3 1 Modul Schnittstellen Es gibt vier Typen von Modul Schnittstellen welche den unterschiedlichen Aspekten des Authentifi zierungsprozesses entsprechen auth Diese Modulschnittstelle authentifiziertdie Verwendung Sie zum Beispiel erfragt und berpr ft das Passwort und stellt Berechtigungsmerkmale wie z B Mitgliedschaft in einer Gruppe oder Kerberos Tickets ein account Diese Modulschnittstelle stellt sicher dass der Zugriff erlaubt ist Zum Beispiel k n nen sie priifen ob der Account abgelaufen ist oder ob der Benutzer zur Anmeldung um diese Uhrzeit zugelassen ist password Diese Modulschnittstelle wird zur Einstellung
305. iktive Parameter definiert damit HTTP Anforderungen in diesem Verzeichnis bearbeitet werden k nnen Das Verzeichnis cgi bin wird mit der Option ExecCGIf r die Ausf hrung von CGI Skripts einge richtet Wenn die Ausf hrung von CGI Skripts in anderen Verzeichnissen erforderlich ist m ssen Sie Exec CGI entsprechend f r dieses Verzeichnis einstellen Kapitel 10 Apache HTTP Server 151 Wenn Ihr Verzeichnis cgi bin zum Beispiel var www cgi bin ist Sie aber CGI Skripts im Ver zeichnis home my_cgi_directory ausf hren m chten k nnen Sie in Ihrer Datei httpd conf eine ExecCGI Anweisung mit einem Satz von Direct ory Anweisungen hinzuf gen lt Directory home my_cgi_directory gt Options ExecCGI lt Directory gt Als nachstes muss das Kommentar aus der AddHandler Anweisung entfernt werden um Dateien mit der Endung cgi als CGI Skripte zu identifizieren Sehen Sie Abschnitt 10 5 55 fiir Anleitungen zum Setzen von AddHandler Die Zugriffsberechtigungen f r CGI Skripts und den gesamten Pfad zu den Skripts m ssen auf 0755 eingestellt sein 10 5 22 Options Die Anweisung Options bestimmt welche Serverfunktionen in einem bestimmten Verzeichnis ver f gbar sind Zum Beispiel ist f r Options entsprechend den restriktiven Parametern f r das root Verzeichnis lediglich FollowSymLinks angegeben Es sind keine Funktionen aktiviert au er dass der Server im root Verzeichnis symbolischen Links folgen darf In Ihrem Verzeichnis Do
306. ing ltige Richtlinie f r die Fehlertoleranz und die Lastenverteilung fest Die bertragungen werden eine nach der anderen auf jeder verbundenen Nebenschnittstelle aus gesendet beginnend mit der ersten verf gbaren mi imon Legt in Millisekunden fest wie oft die MII Verbindung beobachtet werden soll Das ist dann wichtig wenn eine hohe Verf gbarkeit gefragt ist denn MII kann feststellen ob die NIC akitv ist Um zu berpr fen ob der Treiber f r eine bestimmte NIC das MII Tool unterst tzt geben Sie den folgenden Befehl als Root ein ethtool lt interface name gt grep Link detected Ersetzen Sie bei diesem Befehl lt interface name gt mit dem Namen der Ger te Schnittstelle z B eth0 nicht der bond Schnittstelle Wenn MII unterst tzt wird zeigt der Befehl an Link detected yes Wenn Sie eine Verbindungs Schnittstelle f r hohe Verf gbarkeit verwenden muss das Modul von jeder NIC MII unterst tzen Wenn Sie den Wert auf 0 setzen Standardeinstellung wird diese Funktion abgeschaltet Wenn Sie die Einstellung konfigurieren ist 100 ein guter Anfangspunkt f r diesen Parameter downdelay Legt in Millisekunden fest wie lange nach einem Verbindungsversagen gewartet werden soll bevor die Verbindung deaktiviert wird Der Wert muss ein Vielfaches des Wertes be tragen der immiimon Parameter bestimmt wurde Standardm ig ist dieser Wert auf 0 eingestellt was die Funktion deaktiviert updelay Legt in Milli
307. ionsdatei angegeben wie z B lib security pam_stack so Seit dem Aufkommen von Multilib Systemen die 64 bit PAM Module im Verzeichnis 1ib64 security speichern wird der Verzeichnisname jedoch weggelassen da die Applikation zur richtigen Version von libpam verbunden ist die die richtige Version des Moduls feststellen kann 204 Kapitel 13 Pluggable Authentication Modules PAM 13 3 4 Modul Argumente PAM verwendet Argumente um w hrend der Authentifizierung Informationen ber eine bestimmte Modul Schnittstelle einem Pluggable Module zu bermitteln Zum Beispiel verwendet das Modul pam_userdb so versteckte Dateien aus der Berkeley DB Datei um den Benutzer zu authentifizieren Berkeley DB ist eine in vielen Anwendungen eingebundenes Open Source Datenbank System Das Modul verwendet ein db Argument welches die von Berkeley DB f r den angeforderten Service zu verwendende Datenbank angibt Eine typische pam_userdb so Zeile in einer PAM Konfigurationsdatei sieht wie folgt aus auth required pam_userdb so db lt path to file gt Im vorangegangenen Beispiel ersetzen Sie lt path to file gt mitdem vollst ndigen Pfad der Ber keley DB Datenbank Datei Ung ltige Argumente werden ignoriert und wirken sich auch nicht auf den Erfolg oder Misserfolg eines PAM Moduls aus Wenn ein ung ltiges Argument auftaucht erscheint jedoch normalerweise eine Fehlermeldung in var log messages 13 4 Beispiele f r PAM Konfigurationsdateien Eine
308. ird und ersetzen Sie lt local directory gt mit dem lokalen Verzeichnis in dem das Remote Dateisystem gemountet werden soll F r weitere Details siehe mount man Seite Wenn mit dem manuellen mount Befehl auf ein NFS Share zugegriffen wird muss das Dateisystem manuell wieder gemountet werden nachdem das System neu gestartet wurde Red Hat Enterprise Linux bietet zwei Methoden an mit denen Remote Dateisysteme automatisch beim Hochfahren ge mountet werden k nnen the etc fstab Datei oder der autofs Dienst 9 4 1 etc fstab Auf die etc fstab Datei wird von dem net fs Dienst zum Zeitpunkt des Hochfahrens verwiesen Zeilen die auf NFS Shares verweisen haben daher den gleichen Effekt als w rde man w hrend des Hochfahrens einen manuellen mount Befehl eingeben Eine Zeile etc fstab zum Mounten eines NFS Exports sieht wie folgendes Beispiel aus lt server gt lt remote export gt lt local directory gt nfs lt options gt 0 0 Ersetzen Sie lt server gt mit dem Hostnamen der IP Adresse oder dem voll qualifizierten Domain Namen des Servers der das Dateisystem exportiert Ersetzen Sie lt remote export gt mit dem Pfad zum exprotierten Verzeichnis Ersetzen Sie lt local directory gt mit dem lokalen Dateisystem auf dem das exportierte Ver zeichnis gemountet ist Dieser Mount Punkt muss vorhanden sein bevor etc fstab gelesen wird oder das Mounten scheitert Die Option nfs gibt den Typ des gemounteten Dateisystems an
309. ist f r Rechner mit mehreren NICs n tzlich um sicherzustellen dass die Schnittstellen den richtigen Ger tenamen zugewiesen werden unabh ngig von der Lade Reihenfolge der NIC Module Diese Anweisung sollte nicht in Verbindung mit MACADDR verwendet werden e IPADDR lt Adresse gt wobei lt Adresse gt die IP Adresse ist MACADDR lt MAC address gt wobei lt MAC address gt die Hardware Adresse des Ethernet Ger ts ist Diese hat das Format AA BB CC DD EE FF Diese Anweisung wird verwendet um einer Schnittstelle eine MAC Adresse zuzuweisen wobei die der physischen NIC berschrieben wird Diese Anweisung sollte nicht in Verbindung mit HWADDR verwendet werden MASTER lt bond interface gt wobei lt bond interface gt das Channel Bonding Interface ist zu dem die Ethernet Schnittstelle verbunden ist Diese Anweisung wird zusammen mit der SLAVE Anweisung verwendet Sehen Sie Abschnitt 8 2 3 f r Weiteres zu Channel Bonding Interfaces e NETMASK lt Maske gt wobei lt Make gt der Wert der Netzmaske ist e NETWORK lt Adresse gt wobei lt Adresse gt die Netzwerkadresse ist Diese Anweisung wird nicht l nger verwendet ONBOOT lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann yes Dieses Ger t sollte beim Booten aktiviert werden no Dieses Ger t sollte nicht beim Booten aktiviert werden PEERDNS lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann yes ndern Sie etc resolv c
310. it 5 hour zum Beispiel kann die Regel nur 5 Mal in einer Stunde berein stimmen Wenn keine Anzahl und Zeitarbeiter angegeben sind wird der Standardwert 3 hour angenom men limit burst Setzt eine Grenze f r die Anzahl von Paketen deren bereinstimmung mit einer Regel gleichzeitig gepr ft 1imit Option verwendet werden Man kann au erdem einen maximalen Grenzwert setzen Wenn keine Zahl festgelegt wird k nnen anfangs nur f nf Pakete in bereinstimmung mit der Regel berpr ft werden state Modul Dieses Modul welches die state bereinstimmungsoptionen definiert kann ein Paket auf die nachfolgenden bestimmten Verbindungszust nde berpr fen Das Modul state erlaubt die folgenden Optionen state bereinstimmung mit einem Paket das folgenden Verbindungszust nde hat ESTABLISHED Das bereinstimmende Paket wird anderen Paketen in einer bestimmten Verbindung zugeordnet INVALID Das bereinstimmende Paket kann nicht mit einer bekannten Verbindung verkn pft werden NEW Das bereinstimmende Paket stellt entweder eine neue Verbindung her oder ist Teil einer Zwei Weg Verbindung die vorher nicht gesehen wurde RELATED Ein bereinstimmendes Paket stellt eine neue Verbindung her die auf irgendeine Weise mit einer bestehenden Verbindung zusammenh ngt Die Verbindungsstatus k nnen untereinander miteinander verbunden werden indem sie durch Kommata voneinander getrennt w
311. it or Abschnitt konfiguriert einen Typ von Monitor der vom System verwendet wird Min destens ein Monitor Abschnitt muss vorhanden sein zus tzliche k nnen bestehen einen f r jeden vom Rechner verwendeten Typ von Monitor Der beste Weg einen Monitor einzurichten ist beim Konfigurieren von X w hrend des Installations prozesses oder durch Verwendung von X Configuration Tool F r weiteres zur Verwendung von X Configuration Tool sehen Sie da Kapitel X Window System Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration Das folgende Beispiel zeigt einen typischen Monitor Abschnitt Section Monitor Identifier Monitor0 VendorName Monitor Vendor ModelName DDC Probed Monitor ViewSonic G773 2 DisplaySize 320 240 HorizSync 30 0 70 0 VertRefresh 50 0 180 0 EndSection A Warnung Seien Sie vorsichtig wenn Sie die Werte im Monitor Abschnitt der Datei etc x11 xF86Config manuell bearbeiten Falsche Werte in diesem Abschnitt k nnen Ihren Monitor besch digen Schlagen Sie in der Dokumentation Ihres Monitors die verf gbaren sicheren Parameter nach Folgend sind h ufig im Monitor Abschnitt verwendete Eintr ge Identifier Verleiht dem Monitor einen eindeutigen Namen Dieser Eintrag ist erforderlich VendorName Ein optionaler Eintrag welcher den Hersteller des Monitors angibt ModelName Ein optionaler Eintrag welcher den Namen des Models des Monitors angibt DisplaySize Ein
312. itel Network File System NFS im Red Hat Enterprise Linux Handbuch zur System Administration Der Rest dieses Abschnittes behandelt die manuelle Bearbeitung von etc exports und die Verwendung des usr sbin exportfs Befehls f r den Export von NFS Dateisystemen Kapitel 9 Netzwerk Dateisystem Network File System NFS 123 9 3 1 NFS Server Konfigurationsdatei Die Datei etc exports kontrolliert welche Dateisysteme an Remote Hosts exportiert werden und legt die Optionen fest Leere Zeilen werden ignoriert Kommentare k nnen mithilfe des Rautezeichens am Zeilenanfang eingegeben werden Lange Zeilen k nnen durch einen inversen Schr gstrich umgebrochen werden Jedes exportierte Dateisystem sollte eine eigene Zeile haben Listen von au torisierten Hosts die nach einem exportierten Dateisystem platziert sind m ssen durch Leerzeichen getrennt werden Die Optionen f r alle Hosts m ssen in Klammern direkt nach der Hostbezeichnung stehen Zwischen dem Host und der ersten Klammen darf kein Leerzeichen sein Eine Zeile f r ein exportiertes Dateisystem hat die folgende Struktur lt export gt lt hostl gt lt options gt lt hostN gt lt options gt Ersetzen Sie in dieser Struktur lt export gt mit dem Verzeichnis das exportiert wird Ersetzen Sie lt host1 gt mit dem Host oder Netzwerk mit dem der Export gemeinsam verwendet wird und er setzen Sie lt options gt mit den Optionen f r diesen Host oder dieses Netzwerk Zus
313. itere Informationen ber Runlevel finden Sie unter Abschnitt 1 4 1 2 11 Zus tzliche Ressourcen Dieses Kapitel stellt lediglich eine Einf hrung in GRUB und LILO dar Weitere Informationen ber die Funktionsweise von GRUB und LILO finden Sie in folgenden Ressourcen 2 11 1 Installierte Dokumentation e usr share doc grub lt version number gt Dieses Verzeichnis enth lt wertvolle Infor mationen ber die Verwendung und Konfiguration von GRUB lt version number gt bezieht sich auf die Version des installierten GRUB Paketes Mit dem Befehl info grub k nnen Sie die GRUB Informationsseite aufrufen Sie enth lt eine Einf hrung ein Referenzhandbuch f r Benutzer ein Referenzhandbuch f r Programmierer sowie ein FAQ Dokument zu GRUB und seiner Verwendung e usr share doc lilo lt version number gt Dieses Verzeichnis enth lt viele Informa tionen ber die Verwendung und Konfiguration von LILO Besondere Aufmerksamkeit verdient das Unterverzeichnis doc mit der informativen Postscriptdatei User_Guide ps lt version number gt bezieht sich auf die Version des installierten LILO Pakets 2 11 2 Hilfreiche Websites http www gnu org software grub Die Homepage des GNU GRUB Projekts Hier sind Infor mationen ber die Entwicklung von GRUB und ein FAQ Dokument enthalten http www uruk org orig grub Die urspr ngliche GRUB Dokumentation bevor das Projekt zur weiteren Entwicklung an die Free Software Foundati
314. itungs Optionen Die Dienstkonfigurationsdateien f r xinetd unterst tzen auch die Bindung des Dienstes an eine besondere IP Adresse und Umleitung der eingehenden Anfragen f r diesen Dienst an andere IP Adressen Hostnamen oder Ports Die Bindung wird von der bind Option in den Dienstkonfigurationsdateien kontrolliert und verkn pft den Dienst mit einer IP Adresse auf dem System Nach der Konfiguration l sst die bind Option nur Anfragen f r die richtige IP Adresse zum Zugriff auf den Dienst zu So kann jeder Dienst je nach Bedarf mit verschiedenen Netzwerkschnittstellen gebunden werden Dies ist besonders n tzlich bei Systemen mit mehreren Netzwerkadaptern oder mehreren IP Adressen Sie k nnen beispielsweise Telnet zum Abh ren von Schnittstellen konfigurieren die mit einem priva ten Netzwerk und nicht mit dem Internet verbunden sind Die Option redirect akzeptiert eine IP Adresse oder einen Hostnamen gefolgt von einer Port Nummer Sie konfiguriert den Service alle alle Anfragen f r diesen Dienst an eine bestimmte Adresse und Portnummer weiterzuleiten Diese Eigenschaft kann verwendet werden um auf eine andere Port Nummer auf demselben System zu verweisen die Anfrage an eine andere IP Adresse auf demselben Rechner weiterzuleiten die Anfrage an ein anderes System oder eine andere Port Nummer zu ver schieben Die Eigenschaft kann auch f r eine Kombination dieser Optionen verwendet werden Auf diese Weise kann ein Benutzer der sich f
315. k verwenden Genaue Anweisun gen hinsichtlich der Benutzung von SSH zum Schutz der Kommunikaton mit VNC finden Sie unter http www uk research att com vnc sshvnc html N heres ber SSH finden Sie in Kapitel 17 oder im Red Hat Enterprise Linux Handbuch zur System Administration 4 1 36 etc sysconfig xinetd Mit der Datei etc sysconfig xinetd werden zum Zeitpunkt des Bootens Argumente an den xinetd Daemon bertragen Der xinetd Daemon startet Programme die Ihnen Internet Dienste zur Verf gung stellen wenn auf dem f r diesen Dienst zust ndigen Port eine entsprechende Anfrage eingeht Weitere Informationen zu den verf gbaren Parametern dieser Datei erhalten Sie auf den man Seiten von xinetd Weitere Informationen zum xinetd Dienst finden Sie unter Abschnitt 14 3 4 2 Verzeichnisse im Verzeichnis etc sysconfig Folgende Verzeichnisse befinden sich normalerweise in etc sysconfig apm scripts Dieses Verzeichnis enth lt das Red Hat APM Suspend Resume Skript Sie soll ten diese Datei nicht direkt bearbeiten Wenn Sie eine Anpassung w nschen erstellen Sie eine Datei mit dem Namen etc sysconfig apm scripts apmcontinue die dann am Ende des Skripts aufgerufen wird Sie k nnen das Skript auch mittels der Bearbeitung von etc sysconfig apmd steuern cbq Dieses Verzeichnis enth lt die Konfigurationsdateien f r das Class Based Queuing im Rahmen der Verwaltung der Daten bertragungsrate von Netzwerk Schnittstellen net
316. kein anderes Symbol angegeben ist unknown gif ist f r diese Dateien stan dardm ig DefaultIcon Kapitel 10 Apache HTTP Server 157 10 5 47 AddDescription Mit AddDescription k nnen Sie in vom Server erstellten Listen f r bestimmte Dateien von Ihnen eingegebenen Text anzeigen lassen dazu muss au erdem Fancy Indexing in IndexOpt ions akti viert sein Sie k nnen bestimmte Dateien Wildcards oder Dateiendungen f r die Dateien angeben auf die diese Anweisung angewandt werden soll 10 5 48 ReadmeName ReadmeName bestimmt die Datei die an das Ende der vom Server erstellten Verzeichnisliste ange h ngt wird falls die Datei im Verzeichnis vorhanden ist Der Web Server versucht zuerst die Datei als HTML Dokument anzuh ngen dann als Standardtextdatei Standardm ig ist ReadmeName auf README eingestellt 10 5 49 HeaderName HeaderName bestimmt die Datei die am Beginn der vom Server erstellten Verzeichnislisten eingef gt wird falls die Datei im Verzeichnis vorhanden ist Wie bei ReadmeName versucht der Server die Datei nach M glichkeit als HTML Datei anzuh ngen sonst als einfachen Text 10 5 50 IndexIgnore IndexIgnore kann Dateiendungen Teile von Dateinamen Wildcards oder vollst ndige Dateinamen enthalten Der Web Server nimmt Dateien die diesen Parametern entsprechen nicht mit in vom Server erstellte Verzeichnislisten auf 10 5 51 AddEncoding AddEncoding bestimmt welche Dateinamenerweiterungen eine spezi
317. konfiguriert sind 5 Weitere Informationen zu tty Ger ten finden Sie unter Abschnitt 5 3 11 6 Sehen Sie Abschnitt 7 5 2 f r weitere Informationen zu Display Managern 8 Kapitel 1 Bootprozess Init und Shutdown 1 4 1 Runlevels Runlevels sind ein Zustand oder Modus durch die im SysV Verzeichnis etc rc d rc lt x gt d enthaltenen Services definiert werden wobei lt x gt die Nummer des Runlevels ist Die Idee hinter SysV init Runlevels basiert auf der Gegebenheit dass verschiedene Systeme auf ver schiedene Weise verwendet werden k nnen Ein Server zum Beispiel ist effizienter wenn kein X Window System l uft und Systemressourcen verschwendet Zu anderen Zeiten muss z B ein Syste madministrator das System auf einem niedrigeren Runlevel betreiben um diagnostische Aufgaben zu erledigen wie das Beheben von korrumpierten Dateisystemen in Runlevel 1 wenn keine anderen Benutzer auf dem System sein k nnen Die Eigenschaften eines gegebenen Runlevel bestimmen welche Services von init angehalten und gestartet werden Runlevel 1 Einzelbenutzer Modus zum Beispiel h lt alle Netzwerk Services w hrend Runlevel 3 diese startet Durch die Angabe bei welchem Runlevel spezifische Services an gehalten oder gestartet werden kann init schnell den Modus der Maschine ndern ohne dass der Benuzter diese Services manuell starten oder anhalten m sste Die folgenden Runlevels sind in Red Hat Enterprise Linux standardm ig definiert
318. kontrolle weiter feinabstimmt Abbildung 14 1 ist eine grundlegende Illustration welche zeigt wie diese Tools zusammen arbeiten um Netzwerk Services zu sch tzen Eingehende Anforderungen aus dem Internet gt Anforderung angenommen Anforderung abgelehnt TCP Wrappers Anforderung angenommen Anforderung angenommen TCP Wrapped Network Service xinetd Controlled Network Service Abbildung 14 1 Zugriffskontrolle zu Netzwerk Services Dieses Kapitel besch ftigt sich mit der Rolle von TCP Wrappers und xinetd in der Zugriffskontrolle zu Netzwerk Services und in wie diese Tools verwendet werden k nnen um das Management von sowohl Logging als auch Verwendbarkeit zu verbessern Fiir eine Diskussion der Verbindung von Firewall und iptables siehe Kapitel 15 14 1 TCP Wrappers Das TCP Wrappers Paket tcp_wrappers ist standardm ig installiert und stellt Host basierte Zugriffskontrolle zu Netzwerk Services bereit Die wichtigste Komponente in diesem Paket ist die 212 Kapitel 14 TCP Wrappers und xinetd usr lib libwrap a Bibliothek In allgemeinen Begriffen ist ein TCP wrapped Service einer der gegen die 1ibwrap a Bibliothek kompiliert wurde Wenn ein Verbindungsversuch zu einem TCP wrapped Service eingeleitet wird wird der Service zuerst die Hosts Zugriffs Dateien etc hosts allow und etc hosts deny untersuchen um festzustellen ob der Client Host erlaubt ist zu verbinden Dieser wird
319. kte des Sytems ein Behandelt werden der Boot Prozess die grundlegende Anordnung des Dateisystems der Ort von bedeutenden Systemdateien und Systemverzeichnissen und das Grundkonzept von Benutzern und Benutzergruppen Zus tzlich wird das Window X System genau erkl rt Inhaltsverzeichnis 1 Bootprozess Init und Shutdown 2 Bootloader dee 3 Struktur des Dateisystems 4 Das Verzeichnis sysconfig 5 Das proc Dateisystem 6 Benutzer und Gruppen 7 Das X Window System sssssssssssssssscscssssssssscesesssssessesesssssssessesessssssasesssssessesesessssssssesesesessasevess redhat Kapitel 1 Bootprozess Init und Shutdown Einer der gr ten Vorteile von Red Hat Enterprise Linux ist die flexible und Benutzer konfigurierbare Methode des Bootens und Herunterfahrens des Betriebssystems Benutzer k nnen viele Aspekte des Bootvorgangs frei einstellen einschlie lich welche Programme w hrend des Bootens gestartet wer den Ebenso beendet das richtige Herunterfahren des Systems die Prozesse auf organisierte und konfi gurierbare Art und Weise auch wenn die individuelle Gestaltung dieses Prozesses kaum erforderlich ist Das Verstehen der Funktionsweise der Boot und Shutdownprozesse erleichtert nicht nur das individu elle Gestalten je nach Ihren Anforderungen sondern macht auch das Beheben von Fehlern einfacher die beim Starten oder Herunterfahren des Systems auftreten k nnen 1 1 Der Bootprozess Nachf
320. l der Benutzer hinzuf gt userdel Ein Befehl der Benutzer entfernt usermod Ein Befehl der Benutzer ver ndert Konfigurationsdateien man man man 5 group Die Datei die Gruppeninformation f r das System enth lt 5 passwd Die Datei die Benutzerinformation f r das System enth lt 5 shadow Die Datei die Passw rter und Informationen ber den Verfall der Ac counts enth lt 88 Kapitel 6 Benutzer und Gruppen 6 6 2 Bucher zum gleichen Thema Red Hat Enterprise Linux Introduction to System Administration Red Hat Inc Dieser Begleiter bietet einen berblick ber die Konzepte und Techniken der Systemverwaltung Das Kapitel Man aging User Accounts and Resource Access enth lt gro artige Informationen ber die Verwaltung von Benutzer und Gruppen Accounts Red Hat Enterprise Linux Handbuch zur System Administration Red Hat Inc Dieser Begleiter enth lt weitere Informationen ber die Verwaltung von Benutzern und Gruppen sowie ber fort geschrittene Konfigurationen von Genehmigungen mit ACLs F r Details siehe die Kapitel User and Group Configuration und Access Control Lists Red Hat Enterprise Linux Sicherheitshandbuch Red Hat Inc Dieser Begleiter informiert ber Sicherheitsaspekte von Benutzer Accounts konkret ber das Ausw hlen kompetenter Passw rter redhat Kapitel 7 Das X Window System W hrend der Kernel das Herz von Red Hat Enterprise Linux d
321. l Basis erlaubt das Option Feld Administra toren alle Zugriffsregeln in entweder hosts allow oder hosts deny zusammenzufassen Einige halten dies fiir einen einfacheren Weg die Zugriffsregeln zu organisieren 14 2 2 3 Shell Befehle Option Felder erlauben Zugriffsregeln Shell Befehle auszufiihren durch die zwei folgenden Anwei sungen spawn Startet einen Shell Befehl als Kind Prozess Diese Option Anweisung kann Aufgaben wie die Verwendung von usr sbin safe_finger durchf hren um weitere Informationen ber den anfragenden Client zu erhalten oder spezielle Log Dateien mit dem echo Befehl erzeugen Im folgenden Beispiel versuchen Clients auf einen Telnet Service von der example com Domain aus zuzugreifen was in eine spezielle Log Datei geschrieben wird in telnetd example com spawn bin echo bin date from h gt gt var log telnet log allow twist Ersetzt den angeforderten Service mit dem angegebenen Befehl Diese Anweisung wird oft verwendet um Fallen fiir etwaige Angreifer im Englischen auch honey pots Deutsch Honigt pfe genannt zu stellen Diese kann auch verwendet werden um Nachrichten zu verbindenden Clients zu senden Der twist Befehl muss am Ende der Regelzeile stehen Im folgenden Beispiel wird Clients welche versuchen auf FTP Services von der example com Domain aus zuzugreifen eine Nachricht mit Hilfe des echo Befehls gesendet vsftpd example com twist bin echo 421 Bad hacker
322. l Verzeichnisse und Spooldateien Systemverwaltungs und Protokollierungsdaten sowie zwischengespeicherte Dateien Nachfolgend einige der Verzeichnisse die im var Verzeichnis gefunden werden k nnen var account arpwatch cache crash db empty ftp gdm kerberos lib local lock log mail gt spool mail mailman named nis opt preserve run spool at clientmqueue cron cups lpd mail mqueue news postfix repackage rwho samba squid squirrelmail up2date 30 Kapitel 3 Struktur des Dateisystems uucppublic vbox tmp l tux www l yp Systemprotokolldateien wie z B messages und lastlog werden im var log Verzeichnis ab gelegt Das var 1lib rpm Verzeichnis enth lt auch die RPM Systemdatenbanken Sperrdateien werden in var lock abgelegt wobei es sich hier normalerweise um spezifische Verzeichnisse f r das Programm handelt das diese Dateien benutzt Das var spoo1 Verzeichnis hat Unterverzeich nisse f r Programme in denen Datendateien gespeichert werden 3 3 Spezielle Dateispeicherstellen unter Red Hat Enterprise Linux Red Hat Enterprise Linux erweitert die FHS Struktur ein wenig um Platz f r spezielle Dateien zu schaffen Die meisten Dateien die zum RPM geh ren werden im Verzeichnis var 1ib rpm hinterlegt Wei tere Informationen
323. lay Manager fiir die Benutzer Authentifizierung zur Verfiigung gdm Der in Red Hat Enterprise Linux standardm ig ausgew hlte Display Manager gdm erlaubt dem Benutzer Spracheinstellungen zu ndern den Computer herunterzufahren neu zu starten oder sich im System anzumelden kdm Der KDE Display Manager erlaubt dem Benutzer den Computer herunterzufahren neu zu starten oder sich im System anzumelden xdm Ein sehr einfacher Display Manager welcher es dem Benutzer lediglich erlaubt sich im System anzumelden Wenn das System in Runlevel 5 bootet bestimmt das Skript prefdm den bevorzugten Display Manager f r die Benutzer Authentifizierung Hierzu wird die Datei etc sysconfig desktop verwendet Sehen Sie die Datei usr share doc initscripts lt version number gt sysconfig txt wobei lt version number gt die Versionsnummer des initscripts Pakets ist f r eine Liste der f r diese Datei verf gbaren Optionen Jeder Display Manager verwendet die Datei etc X11 xdm Xsetup_0 um den Anmeldebildschirm einzurichten Sobald sich der Benutzer am System anmeldet wird das Skript etc X11 xdm GiveConsole ausgef hrt um dem Benutzer die Konsole als Eigentum zuzuweisen Dann wird das Skript etc X11 xdm Xsession ausgef hrt um viele der Aufgaben auszuf hren die in der Regel vom Skript xinitrc beim Start von X in Runlevel 3 ausgef hrt werden Dazu geh ren u a das Festlegen der System und Benutzerressourcen oder das Ausf h
324. le com DocumentRoot www docs dummy host example com ServerName dummy host example com ErrorLog logs dummy host example com error_log 164 Kapitel 10 Apache HTTP Server CustomLog logs dummy host example com access_log common lt VirtualHost gt Um Namens basiertes Virtual Hosting zu aktivieren entfernen Sie das Kommentarsymbol aus der NameVirtualHost Zeile und ersetzen Sie den Stern mit der IP Adresse die dem Rechner zugewiesen ist Als n chstes konfigurieren Sie einen Virtual Host indem Sie die Kommetarsymbole im lt VirtualHost gt Container entfernen und die Werte benutzerdefiniert einstellen In der lt VirtualHost gt Zeile ndern Sie den Stern in die IP Adresse des Servers ndern Sie ServerName auf einen g ltigen dem Rechner zugewiesenen DNS Namen und konfigurieren Sie andere Anweisungen entsprechend Der lt VirtualHost gt Container ist in hohem Grade benutzerdefinierbar und akzeptiert nahezu jede Anweisung in der allgemeinen Server Konfiguration Sr Wenn Sie einen Virtual Host dazu konfigurieren einen nicht Standard Port abzuh ren muss dieser Port zur Listen Anweisung in den allgemeinen Einstellungen der Datei etc httpd conf http conf hinzugef gt werden Um einen neu erzeugten Virtual Host zu aktivieren muss Apache HTTP Server neu geladen oder neu gestartet werden Sehen Sie Abschnitt 10 4 f r diesbez gliche Anleitungen Umfassende Informationen zum Erzeugen und Konfigurieren
325. legen Im Folgenden wird die Struktur eines solchen Befehls gezeigt lt device type gt lt device number gt lt partition number gt lt path to file gt Ersetzen Sie bei diesem Beispiel lt Ger tetyp gt mit hd fd oder nd Ersetzen Sie lt Ger tenummer gt mit der Ganzzahl f r das Ger t Ersetzen Sie lt Pfad zur Datei gt mit einem absoluten Pfad in Bezug zur h chsten Ebene des Ger tes In GRUB k nnen auch Dateien festgelegt werden die eigentlich nicht im Dateisystem angezeigt wer den Ein Beispiel ist ein Kettenloader der sich in den ersten paar Bl cken einer Partition befindet Zum Laden solcher Dateien muss eine Blockliste zur Verf gung gestellt werden die Block f r Block angibt an welcher Stelle der Partition sich die Datei befindet Da eine Datei oft aus mehreren Blocks tzen besteht werden die Blocklisten auf eine ganz bestimmte Art und Weise geschrieben Jeder Block der die Datei enth lt wird durch eine Offset Anzahl von Bl cken festgelegt gefolgt von der Anzahl Kapitel 2 Bootloader 15 der Bl cke ab diesem Offset Punkt Die Block Offsets werden in Reihenfolge und durch Kommas getrennt aufgelistet Folgend ist ein Beispiel einer Blockliste 0 50 100 25 20041 Diese Probe Blockliste legt eine Datei fest die beim ersten Block der Partition beginnt und die Bl cke 0 bis 49 99 bis 124 und 199 verwendet Blocklisten schreiben zu k nnen ist dann sehr n tzlich wenn GRUB zum Laden von Betriebssyste men
326. ler cgi script cgi Zus tzlich muss ExecCGI als Options f r alle Verzeichnisse eingestellt werden die ein CGI Skript enthalten Weitere Informationen zum Einstellen von ExecCGI f r ein Verzeichnis finden Sie in Ab schnitt 10 5 21 AddHandler wird vom Server neben CGI Skripts auch f r die Verarbeitung der vom Server verar beiteten HTML und Imagemap Dateien verwendet 10 5 56 Action Action erm glicht die Angabe einer Paarung aus MIME Inhaltstyp und CGI Skript damit ein spezi elles CGI Skript immer dann ausgef hrt wird wenn eine Datei dieses Medientyps angefordert wird 10 5 57 ErrorDocument ErrorDocument verkn pft einfach einen HTTP Antwortcode mit einer Meldung oder einer URL die zum Client zur ckgesendet wird Standardm ig gibt Ihr Web Server bei einem Problem oder Fehler eine einfache und meist kryptische Fehlermeldung an den anfordernden Client zur ck Statt der Standardeinstellung k nnen Sie ErrorDocument zur Konfiguration Ihres Web Servers verwenden so dass der Server eine von Ihnen angepasste Meldung ausgibt oder den Client zu einer lokalen oder externen URL umleitet BB wicntic Sie m ssen die Fehlermeldung in doppelte Anf hrungszeichen setzen damit sie g tig ist 10 5 58 BrowserMatch Die Anweisung BrowserMatch erm glicht es Ihrem Server Umgebungsvariablen zu definieren und auf Grundlage des User Agent HTTP Header Felds gibt den Browser des Clients an in geeigneter Weise zu reagieren Standardm
327. libexec local sbin share src tmp gt var tmp X11R6 Im usr Verzeichnis enth lt das bin Verzeichnis ausf hrbare Dateien dict enth lt nicht FHS konforme Dokumentationsseiten etc enth lt Konfigurationsdateien f r das gesamte System ga mes ist f r Spiele reserviert include enth lt C Header Dateien kerberos enth lt Bin rdateien und andere Dateien im Zusammenhang mit Kerberos und 1ib enth lt Objektdateien und Bibliothe ken die nicht konzipiert wurden um direkt von Benutzern oder Shell Skripts verwendet zu werden Das libexec Verzeichnis enth lt kleinere Hilfsprogramme die von anderen Programmen aufge rufen werden sbin enth lt die Bin rdateien f r die Systemverwaltung jene Bin rdateien die nicht zu sbin geh ren share enth lt Dateien die nicht architekturspezifisch sind src ist f r den Quellcode reserviert und X11R6 ist f r das X Window System gedacht XFree86 auf Red Hat En terprise Linux 3 2 1 10 Das usr local Verzeichnis Laut FHS Die usr local Hierarchie kann vom Systemadministrator f r die Installation lokaler Software benutzt werden Bei der Aktualisierung der Systemsoftware muss ein berschreiben ausgeschlossen werden Das Verzeichnis kann f r Programme und Daten benutzt werden auf die innerhalb einer Gruppe von Rechnern zugegriffen werden kann und die nicht in usr abgelegt sind Das usr local Verzeichnis hat eine hnliche Struktur wie das
328. liert die Prozess ID des Servers an den die Anfrage gesendet wird log_on_success USERID Protokolliert den Remote Benutzer mithilfe der in RFC 1413 definierten Methode f r alle Multithreaded Stream Dienste log_on_failure und log_on_success Eine vollst ndige Liste der Protokoll Optionen finden Sie auf der man Seite zu xinetd conf 14 4 3 2 Zugriffskontroll Optionen Benutzer von xinetd Services k nnen w hlen ob sie die Host Zugriffskontrolldateien der TCP Wrappers Zugriffskontrolle mittels xinetd Konfigurationsdateien oder eine Mischung von beidem verwenden wollen Informationen zum Gebrauch von Host Zugriffskontrolldateien der TCP Wrappers finden Sie in Abschnitt 14 2 In diesem Abschnitt wird der Einsatz von xinetd f r die Kontrolle von Zugriffen auf bestimmte Services besprochen f Anmerkung Im Gegensatz zu TCP Wrapper muss der xinetd Administrator nach jeder nderung den xinetdService neu starten damit diese wirksam werden Im Gegensatz zu TCP Wrappers betrifft die Zugriffskontrolle durch xineta lediglich die Services die durch xineta kontrolliert werden Die xinetd Host Zugriffskontrolle unterscheidet sich von der von TCP Wrappers verwendeten Methode W hrend TCP Wrapper die gesamte Zugriffskonfiguration in zwei Dateien ablegt etc hosts allow und etc hosts deny kann jede Dienstdatei in etc xinetd d ihre eigenen Zugriffskontrollregeln enthalten Die folgenden Optionen werden in den xinetd Dateien f
329. ll Der dritte Wert zeigt das Intervall in Sekunden in dem der Kernel das Dateisystem abfragt um zu entscheiden ob das Logging wieder aufgenommen oder unterbrochen werden soll cap bound Kontrolliert die Capability Bounding Einstellungen Diese bieten eine Liste von M glichkeiten die jeder Prozess auf dem System benutzten kann Wenn eine M glichkeit hier nicht aufgelistet ist dann kann kein Prozess egal mit welchen Privilegien diese benutzen Dies macht das System dadurch dass bestimmte Dinge nicht ausgef hrt werden k nnen sicherer wenigstens nach einem bestimmten Punkt im Boot Prozess nicht Eine Liste g ltiger Werte f r diese virtuelle Datei finden Sie unter usr sre linux 2 4 include linux capability h Weitere Informationen zum Capability Bounding finden Sie unter http lwn net 1999 1202 kernel php3 ctrl alt del Stellt ein ob die Tastenkombination Strg Alt Entf den Rechner mittels des init Befehls Wert 0 neu startet oder einen sofortigen Neustart ohne Puffer Synchronisation vornimmt Wert 1 domainname Erlaubt es den Domainnamen des Systems zu konfigurieren wie z B exam ple com hostname Erlaubt es den Hostnamen des Systems zu konfigurieren wie z B www example com hotplug Konfiguriert das Programm das benutzt wird wenn eine Konfigurations nderung vom System erkannt wird Dies wird vor allem mit dem USB und dem Cardbus PCI benutzt Der Standardwert sbin hotplug sollte ni
330. llierte Dokumentation e Das Verzeichnis usr share doc openssh lt version number gt Ersetzen Sie lt version number gt mit der Version Ihres OpenSSH Pakets Dieses Verzeichnis enth lt ein README mit grundlegenden Informationen ber das OpenSSH Projekt und eine Datei mit dem Namen RFC nroff mit allgemeinen Informationen ber das SSH Protokoll SSH bezogene man Seiten Es gibt eine Vielzahl von man Seiten f r die verschiedenen Applika tionen und Konfigurationsdateien f r SSH Im folgenden finden Sie eine Liste der bedeutenderen man Seiten Client Applikationen man ssh Beschreibt wie dieser Befehl zur Verbindung mit einem SSH Server verwen det werden kann man scp Beschreibt wie dieser Befehl zum Kopieren von Dateien von und auf einem SSH Server verwendet werden kann man sftp Beschreibt wie dieser Befehl zum interaktiven Kopieren von Dateien von und auf einem SSH Server verwendet werden kann Server Applikationen man sshd Beschreibt die zur Verf gung stehenden Befehlszeilenoptionen f r den SSH Server Konfigurationsdateien e man ssh_config Beschreibt das Format und die Optionen die innerhalb der Konfigu rationsdatei f r SSH Clients zur Verf gung stehen e man sshd_config Beschreibt das Format und die Optionen die innerhalb der Konfig urationsdatei f r SSH Server zur Verf gung stehen Kapitel 17 SSH Protokoll 259 17 7 2 N tzliche Webseiten http www opens
331. llskripts 2u0esenesesesennnnenenenennnnenenenennenennnnnennnnenen 115 8 4 Netzwerkfunktionsdateien 0 0 0 eceeeseeeeseeseteeseeecseecseeecseeeeeesceeeaeeecaeeeeeeeaeeeeee 116 8 5 Zus tzliche Ressourcen 116 9 Netzwerk Dateisystem Network File System NES EE EA 119 OL Wie es funktioniert sn ne a e E EER ATAA ETS 119 9 2 Starten und Anhalten von NFS 121 9 3 NFS Server Konfiguration 122 9 4 NFS Client Konfigurationsdateien 126 9 5 NFS Sichern 128 9 6 Zus tzliche Informationsquellen 129 10 Apache HTTP Server 131 10 1 Apache HTTP Server 2 0 131 10 2 Migrieren von Apache HTTP Server 1 3 Konfigurationsdateien 133 10 3 Nach det Installation u 2 en e KERERE E RER 143 10 4 Starten und Anhalten vonhttpd eesesssssseessnenennennsnennenennennennennnon 143 10 5 Konfigurationsanweisungen in httpd conf 144 10 6 St ndard M dule u2 ee mean ask EINER 161 10 7 Hinzuf gen von Modulen zu Ihrem Server nnsenesennennene 162 10 8 Virtuelle Hosts verwenden 163 10 9 Zus tzliche Ressourcen 165 11 Berkeley Internet Name Domain BIND 167 11 1 Einf hrung in den DNS 167 11 2 etc named conf 169 11 3 Zone Dateien an ask meins siehe 175 11 4 Die Verwendung von rid oriori Tirini i a ia E EE EEE 180 11 5 Erweiterte Funktionen von BIND 182 11 6 Allgemein zu vermeidende Fehler
332. llungen die zusammen verwendet werden sind sehr hilfreich bei der Verhinderung von Angriffen auf das System oder bei der Verwendung des Systems als Router Orcrtung Eine irrt mliche nderung dieser Dateien kann die Netzwerkverbindungen beeintr chtigen Folgend ist eine Liste einiger der wichtigeren Dateien im Verzeichnis proc sys net ipv4 Kapitel 5 Das proc Dateisystem 75 e icmp_destunreach_rate icmp_echoreply_rate icmp_paramprob_rate und icmp_timeexeed_rate Stellt die maximale ICMP Send Paket Rate in 1 100 Sekunden an Hosts unter verschiedenen Bedingungen ein Eine Einstellung von 0 entfernt alle Verz gerungen und sollte nicht eingestellt werden e icmp_echo_ignore_allund icmp_echo_ignore_broadcasts Erlaubt dem Kernel ICMP ECHO Pakete von allen Hosts oder nur solche von Broadcast oder Multicast Adressen zu ignori eren Eine 0 erlaubt dem Kernel zu antworten eine 1 ignoriert diese Pakete e ip_default_tt1 Stellt die Standard Time To Live TTL ein die die Anzahl von Spr ngen limitiert bevor ein Paket sein Ziel erreicht Eine Erh hung dieses Wertes kann unter Umst nden die Systemleistung beeintr chtigen ip_forward Erlaubt Schnittstellen im System Pakete zu einer anderen weiterzuleiten Stan dardm ig ist diese Datei auf 0 gesetzt um das Weiterleiten auszuschalten Eine 1 aktiviert die Paketweiterleitung ip_local_port_range Legt die Ports fest die von TCP oder UDP benutzt werden wenn ein
333. m BIND befinden Zum Beispiel verarbeitet ein Channel die Protokoll Mitteilungen default_syslog und ein anderer speziell Debugging Mitteilungen default_debug Die standardm ige Kategorie default verwendet zum normalen Protokollieren ohne spezielle Konfigurationen integrierte Channel Den Protokollierungsprozess individuell anzupassen kann sehr aufwendig sein und bersteigt den Umfang dieses Kapitels Informationen ber die Erstellung von benutzerdefinierten BIND Protokollen finden Sie im BIND 9 Administrator Reference Manual in Abschnitt 11 7 1 e server Definiert bestimmte Optionen die Auswirkungen darauf haben wie named sich gegen ber Remote Name Servern verhalten soll insbesondere im Hinblick auf Benachrichtigungen und Zone bertragungen Kapitel 11 Berkeley Internet Name Domain BIND 175 Die Option transfer format kontrolliert ob mit jeder Mitteilung ein Resource Record one answer oder mehrere Ressource Records mit jeder Meldung gesendet werden many answers Da many answers leistungsf higer ist wird es nur von neueren Name Servern angenommen trusted keys Enth lt verschiedene ffentliche Schl ssel f r die Verwendung mit Secure DNS DNSSEC Unter Abschnitt 11 5 3 finden Sie eine Einf hrung in die BIND Sicherheit e view lt view name gt Erstellt spezielle Ansichten die bestimmten Informationen entsprechen die von dem Host abh ngig sind der den Name Server kontaktiert Dadurch erhalten einig
334. manuell bearbeiten um nderungen durchzu f hren verwenden Sie AXFR Weitere Informationen ber das dynamische Updaten finden Sie im BIND 9 Administrator Reference Manual Unter Abschnitt 11 7 1 finden Sie mehr Informationen 11 5 2 Mehrere Ansichten Durch Verwendung der view Anweisung in named conf kann BIND verschiedene Informationen bereitstellen abh ngig von welchem Netzwerk eine Anforderung gestellt wurde Dies ist vor allem dann n tzlich wenn Sie nicht m chten dass externe Clients einen bestimmten DNS Dienst ausf hren oder bestimmte Informationen sehen k nnen w hrend Sie dies auf dem lokalen Netzwerk internen Clients erm glichen Die view Anweisung verwendet die match clients Option um IP Adressen oder ganze Netzwer ke zu vergleichen und diesen spezielle Optionen und Zone Daten zu geben 11 5 3 Sicherheit BIND unterst tzt eine Reihe verschiedener Methoden um das Updaten von Zonen auf Master oder Slave Nameservern zu sch tzen DNSSEC Abk rzung f r DNS SECurity Dieses Feature ist f r Zonen die mit einem Zonen schl ssel kryptographisch signiert werden bestimmt Auf diese Weise kann sichergestellt werden dass die Informationen ber eine spezielle Zone von einem Nameserver stammen der mit einem bestimmten privaten Schl ssel signiert wurde und der Empf nger ber den ffentlichen Schl ssel dieses Nameservers verf gt Version 9 von BIND unterst tzt auch die SIG 0 ffentlicher privater Schl
335. mationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mpm html 10 2 1 3 Support fur Dynamic Shared Objects DSO Viele Anderungen sind hier notwendig und es empfiehlt sich fiir jeden der versucht eine Apache HTTP Server 1 3 Konfiguration an eine 2 0 Konfiguration anzupassen im Gegensatz zur Migration Ihrer nderungen in die 2 0 Konfiguration diesen Abschnitt aus der Apache HTTP Server 2 0 Stock Konfigurationsdatei zu kopieren Diejenigen die den Abschnitt immer noch nicht aus der Stock Apache HTTP Server 2 0 Konfiguration kopieren m chten sollten Folgendes beachten Die Anweisungen AddModule und ClearModuleList existieren nicht mehr Diese Anweisungen wurden verwendet um sicherzustellen dass Module in der richtigen Reihenfolge aktiviert werden konnten Apache 2 0 API erlaubt es den Modulen ihre Reihenfolge anzugeben womit diese beiden Anweisungen berfl ssig werden Die Reihenfolge der LoadModule Zeilen ist nicht mehr von Bedeutung Viele Module wurden hinzugef gt entfernt umbenannt aufgeteilt oder zusammengefasst LoadModule Zeilen f r Module die in ihren eigenen RPMs mod_ssl php mod_perl und hnliche verpackt sind sind nicht mehr notwendig da sie sich in der entsprechenden Datei im etc httpd conf d Verzeichnis befinden Die verschiedenen HAVE_XxX Definitionen werden nicht mehr festgelegt iicn Sollten Sie v
336. meter 1 gt lt option 1 gt lt parameter n gt lt option n gt Die Option lt table name gt erlaubt dem Benutzer eine andere Tabelle als die standardm ige filter Tabelle auszuw hlen die mit dem Befehl verwendet werden soll Die Option lt command gt l st einen bestimmten Vorgang aus wie z B das Anh ngen oder L schen einer Regel in einer Chain 230 Kapitel 15 iptables die in der Option lt chain name gt spezifiziert ist Nach der Option lt chain name gt befinden sich Parameterpaare und Optionen die letztendlich dar ber entscheiden wie die Regel angewandt wird und was passiert wenn ein Paket einer Regel entspricht Bei der Betrachtung der Struktur eines iptables Befehls ist es wichtig daran zu denken dass sich anders als bei den meisten anderen Befehlen L nge und Komplexit t eines iptables Befehls je nach seinem Zweck ver ndern k nnen Ein einfacher Befehl f r das Entfernen einer Regel aus einer Chain kann z B sehr kurz sein w hrend ein Befehl f r das Filtern von Paketen aus einem bestimm ten Sub Netz aufgrund verschiedener spezifischer Parameter und Optionen sehr lang sein kann Bei iptables Befehlen sollten Sie ber cksichtigen dass manche Parameter und Optionen die verwen det werden unter Umst nden die Notwendigkeit nach sich ziehen weitere Parameter und Optionen zu erstellen damit die Anforderungen der ersten Option weiter spezifiziert werden k nnen Um eine g ltige Regel zu erstellen muss diese weiterg
337. meter f r den Steckplatztreiber angibt 182365 oder tcic CORE_OPTS lt Wert gt wobei lt Wert gt die Liste der pcmcia_core Optionen ist e CARDMGR_OPTS lt Wert gt wobei lt Wert gt die Liste mit den Optionen f r den PCMCIA cardmgr ist z B q f r den Ruhemodus m um nach ladbaren Kernelmodulen im angegebenen Verzeichnis zu suchen usw Weitere Informationen finden Sie auf der cardmgr man Seite Kapitel 4 Das Verzeichnis sysconfig 41 4 1 25 etc sysconfig radvd Die Datei etc sysconfig radvd wird verwendet um beim Booten Argumente an den radvd Daemon zu bertragen Der radvd Daemon h rt Router Anfragen ab und versendet Router Anzeigen f r das IP Version 6 Protokoll Mit diesem Dienst k nnen die Rechner eines Netzwerks dynamisch ihre Standard Router auf der Grundlage vorgenannter Router Anzeigen ndern Weitere Informatio nen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf den man Seiten von radvd Standardm ig stellt diese Datei als Besitzer des radvd Prozesses den Benutzer radvd ein 4 1 26 etc sysconfig rawdevices Mit der Datei etc sysconfig rawdevices werden Rawdevice Verbindungen konfiguriert z B dev raw rawl dev sdal dev raw raw2 8 5 4 1 27 etc sysconfig redhat config securitylevel Die Datei etc sysconfig redhat config securitylevel enth lt alle Optionen welche beim letzten Ausf hren von Security Level Configuration Tool redhat config securitylevel gew hl
338. min_delay 2 kernel sysrq 0 kernel sem 250 32000 32 128 Das ist im Prinzip diesselbe Information die Sie auch s hen wenn Sie jede Datei einzeln betrachteten Der einzige Unterschied ist der Ort der Datei Die Datei proc sys net ipv4 route min_delay wird durch net ipv4 route min_delay angesprochen die Schr gstriche im Verzeichnis werden durch Punkte ersetzt und derproc sys Teil wird angenommen Der Befehl sysct1 kann anstelle von echo f r das Zuweisen von Werten zu schreibbaren Dateien im Verzeichnis proc sys verwendet werden Statt diesen Befehl zu verwenden echo 1 gt proc sys kernel sysrq Der entsprechende sysct1 Befehl ist Folgender sysctl w kernel sysrq 1 kernel sysrq 1 Auch wenn das schnelle Setzen von Werten wie bei diesem in proc sys niitzlich zum Testen ist funktioniert das nicht gut auf einem Produktionssystem weil alle Einstellungen aus proc sys bei einem Neustart verloren gehen Um permanente Einstellungen zu sichern f gen Sie diese zu der Datei etc sysctl conf hinzu Jedes Mal wenn das System gestartet wird wird das Skript etc rc d rc sysinit von init aufgerufen Dieses Skript enth lt einen Befehl um sysct1 auszuf hren und verwendet etc sysctl conf zur Vorgabe der Werte die an den Kernel gegegeben wurden Alle Werte die zu etc sysctl conf hinzugef hrt wurden werden nach jedem Neustart aktiviert Kapitel 5 Das proc Dateisystem 79 5 5 Zusatzliche Ressourcen Nachstehend finden S
339. n Nachdem diese Optionen eingestellt sind f hrt das Skript xinitrc alle Skripte im Verzeichnis etc X11 xinit xinitre daus Ein wichtiges Skript dieses Verzeichnisses ist xinput womit Einstellungen wie die zu verwendende Standardsprache und Desktop Umgebung konfiguriert werden Anschlie end versucht das Skript xinitrc Xclients im Home Verzeichnis des Benutzers auszu f hren und kehrt zu etc X11 xinit Xclients zur ck wenn diese Datei nicht gefunden wird Der Zweck der Datei Xclients ist der Start der Desktop Umgebung oder wenn m glich nur ei nes einfachen Window Managers Das Skript xclients des Home Verzeichnisses startet die vom Benutzer angegebene Desktop Umgebung oder den Window Manager in der Datei xclients default Wenn xclients nicht im Home Verzeichnis vorhanden ist versucht das Standardskript etc X11 init Xclients eine andere Desktop Umgebung zu starten und verwendet hierzu zu n chst GNOME dann KDE und anschlie end t wm Wenn der Benutzer sich aus X abmeldet wird dieser sich wieder im Textmodus des Runlevel 3 befin den 7 5 2 Runlevel 5 Wenn das System in den Runlevel 5 bootet wird eine spezielle X Client Applikation Display Manager genannt gestartet Ein Benutzer muss sich gegen den Display Manager authentifizieren bevor Desktop Umgebungen oder Window Manager gestartet werden 102 Kapitel 7 Das X Window System Je nach den auf Ihrem System installierten Desktop Umgebungen stehen drei verschiedene Disp
340. n etc sysconfig sendmail vorhanden ist und QUEUE leer oder nicht definiert ist 4 1 32 etc sysconfig spamassassin Die Datei etc sysconfig spamassassin wird verwendet um Argumente zum spamd Daemon eine daemonisierte Version von Spamassassin zur Bootzeit zu bergeben Spamassassin ist ein Email Spam Filter Eine Liste der verf gbaren Optionen finden Sie die auf den man Seiten von spamd Standardm ig wird spamd f r den Daemon Mode konfiguriert zum Erzeugen von Benuzter Pr ferenzen und zum automatischen Erzeugen von Referenzlisten 4 1 33 etc sysconfig squid Die Datei etc sysconfig squid wird verwendet um beim Booten Argumente an den squid Daemon zu bertragen Der squid Daemon ist ein Proxy Caching Server f r Web Client Applikationen Weitere Informationen zum Konfigurieren eines squid Proxy Servers erhalten Sie indem Sie mit einem Webbrowser das Verzeichnis usr share doc squid lt Version gt ffnen ersetzen Sie lt Version gt durch die auf Ihrem System installierte squid Versionsnummer Standardm ig ist in dieser Datei der squid Topstart im Daemon Modus und die Zeitspanne innerhalb der es sich schlie t festgelegt 4 1 34 etc sysconfig tux etc sysconfig tux ist die Konfigurationsdatei f r den Red Hat Content Accelerator fr her TUX den Kernel basierten Web Server Weitere Informationen zum Konfigurieren von Red Hat Content Accelerator erhalten Sie wenn Sie mit einem Web Browser usr share doc tux lt Ve
341. n Sie die Datei etc openldap slapd conf um auf die LDAP Domain und den LDAP Server zu verweisen Weitere Informationen finden Sie unter Abschnitt 12 6 1 3 Starten Sie slapd mit folgendem Befehl sbin service ldap start Nachdem Sie LDAP konfiguriert haben k nnen Sie chkconfig ntsysv oder Services Con figuration Tool verwenden um LDAP so zu konfigurieren dass es zur Bootzeit gestartet wird Weitere Informationen zum Konfigurieren von Services finden Sie im Kapitel Kontrolle des Zugriffs auf die Services im Red Hat Enterprise Linux Handbuch zur System Administration 4 F gen Sie Eintr ge zum LDAP Verzeichnis mit Hilfe von 1dapadd hinzu 5 Verwenden Sie ldapsearch um zu pr fen ob slapd auf die Informationen richtig zugreift Kapitel 12 Lightweight Directory Access Protocol LDAP 193 6 Wenn Sie an diesem Punkt angelangt sind sollte Ihr LDAP Verzeichnis ordnungsgem funk tionieren und Sie k nnen alle LDAP f higen Applikationen f r die Verwendung des LDAP Verzeichnisses konfigurieren 12 6 1 Bearbeiten des Verzeichnisses etc openldap slapd conf Sie m ssen die Konfigurationsdatei etc openldap slapd conf des slapd LDAP Servers n dern um ihn verwenden zu k nnen Sie m ssen diese Datei bearbeiten um sie an Ihre Domain und Server anzupassen Die Suffix Zeile nennt die Domain f r die der LDAP Server Informationen bereitstellt und sollte wie folgt ge ndert werden suffix de your domain dc com Hier muss
342. n Sie einfach an der gew nschten Stelle auf die mittlere Maustaste Einf hrung ix 6 Fortsetzung folgt Das Red Hat Enterprise Linux Referenzhandbuch ist Teil der Verpflichtungvon Red Hat die Red Hat Enterprise Linux Benutzer durch zeitgerechte und niitzliche Informationen zu unterstiitzen Die zuk nftigen Ausgaben werden erweiterte Informationen ber nderungen im Systemaufbau und in der Systemorganisation neue und leistungsstarke Sicherheits Tools und weitere Ressourcen enthalten mit denen Sie die Leistungsf higkeit Ihres Red Hat Enterprise Linux Systems und Ihre eigenen F higkeiten noch weiter steigern k nnen Hier k nnten wir Ihre Hilfe gebrauchen 6 1 Wir brauchen Ihre R ckmeldung Wenn Sie Fehler im Red Hat Enterprise Linux Referenzhandbuch entdecken oder Vorschl ge bzw Anregungen zur Verbesserung dieses Handbuchs machen wollen w rden wir uns sehr freuen von Ih nen zu h ren Schreiben Sie bitte an Bugzilla http bugzilla redhat com bugzilla mit dem Kennwort rhel rg Geben Sie bitte dabei auch die Kennziffer dieses Handbuchs ein rhel rg DE 3 Print RHI 2003 07 25T17 13 Geben Sie bitte auch die Kennziffer des Handbuchs an damit wir wissen um welche Version Ihnen vorliegt Wenn Sie Vorschl ge zur Verbesserung der Dokumentation haben beschreiben Sie uns Ihren Vor schlag bitte so pr zise wie m glich Und wenn Sie einen Fehler entdeckt haben hilft es uns wenn Sie uns den genauen Abschnitt und d
343. n Sie w hrend des Installationsprozesses die Drei Tasten Emulation w hlen Mit der Drei Tasten Emulation bet tigen Sie die dritte nicht real vorhandene mittlere Maus Taste indem Sie die beiden vorhandenen Tasten gleichzeitig dr cken Immer wenn Sie in diesem Dokument dazu aufgefordert werden etwas mit der Maus anzuklicken bedeutet dies automatisch dass Sie mit der linken Taste klicken sollen Falls Sie hingegen die mitt lere oder die rechte Maus Taste bet tigen sollen werden Sie ausdr cklich dazu aufgefordert Rechts und links sind genau umgekehrt wenn Sie Ihre Maus f r die Benutzung durch einen Linksh nder konfiguriert haben Wahrscheinlich kennen Sie den Ausdruck ziehen und ablegen Drag amp Drop bereits Wenn Sie dazu aufgefordert werden eine Item auf Ihrem GUI Desktop zu ziehen und abzulegen bedeutet dies dass Sie etwas anklicken sollen und dann die Maus Taste gedr ckt halten Sie halten nun die Maus Taste weiterhin gedr ckt und ziehen das Element indem Sie die Maus auf die gew nschte Position bewegen Nachdem Sie auf dieser Position angekommen sind lassen Sie die Maus Taste los und legen damit das Element ab 5 Kopieren und Einf gen von Text mit X Das Kopieren und Einf gen von Text mit der Maus und dem X Window System ist sehr einfach Um Text zu kopieren klicken Sie auf Ihre linke Maustaste und ziehen Sie den Cursor ber den Text um ihn hervorzuheben Um den Text an einer anderen Stelle einzuf gen klicke
344. n bestimmten Namespace Jede Zone Datei ist gem der Daten der ile Option in der zone Direktive benannt Normalerweise bezieht sich der Name auf die entsprechende Domain und identifiziert die Datei als Datei die Zone Daten enth lt wie z B example com zone Jede Zone Datei kann Direktiven und Resource Records enthalten Direktiven weisen den Name Server an bestimmte Aktionen auszuf hren oder spezielle Einstellungen f r die Zone zu verwenden Resource Records legen die Parameter der Zone fest Diese ordnen bestimmten Systemen innerhalb des Namespaces der Zone eine Identit t zu Anweisungen sind optional aber Resource Records sind notwendig um dieser Zone den Name Service zur Verf gung zu stellen Alle Direktiven und Resource Records sollten in einer eigenen Zeile stehen Kommentare k nnen in Zone Dateien nach dem Semikolon platziert werden 11 3 1 Zone Dateien Direktiven Anweisungen werden durch das vorangestellte Dollarzeichen identifiziert das vor dem Namen der Anweisung blicherweise im oberen Teil der Zone Datei steht Folgende Anweisungen werden am h ufigsten verwendet 176 Kapitel 11 Berkeley Internet Name Domain BIND e SINCLUDE Weist named an in diese Zone Datei an Stelle der Anweisung eine andere Zone Datei einzuf gen Dadurch k nnen zus tzliche Einstellungen der Zone getrennt von der Haupt Zone Datei gespeichert werden SORIGIN Stellt den Domain Name so ein dass er an alle ungeeigneten
345. n ein die auf Pro Prozessor Basis zwischenge speichert werden ein Der erste und zweite Wert beziehen sich auf die minmale und die maximale Anzahl von Seitentabellen Zus tzliche Informationen hierzu finden Sie in usr src linux 2 4 Documentation sysctl vm txt 5 3 10 proc sysvipc Dieses Verzeichnis enth lt Informationen ber die System V IPC Ressourcen Die Dateien in die sem Verzeichnis h ngen mit den System V IPC Aufrufen zusammen msg Semaphores sem und gemeinsam benutzter Speicher shm 5 3 11 proc tty Dieses Verzeichnis enth lt Informationen ber die verf gbaren und zur Zeit benutzten TTY Ger te im System Fr her teletype device genannt werden heute alle Buchstaben orientierten Daten Terminals als TTY Ger te bezeichnet Unter Linux gibt es drei verschiedene Arten von TTY Ger ten Serielle Ger te werden mit seriellen Verbindungen benutzt wie z B mit Modems oder seriellen Kabeln Virtuelle Terminals erzeugen die normalen Konsolenverbindungen wie die virtuellen Konsolen die verf gbar sind wenn Sie Alt lt F key gt auf einer Systemkonsole dr cken Pseudo Terminals erzeugen eine zwei Wege Kommu nikation die von einigen h herrangigen Applikationen wie z B XFree86 verwendet werden Die Datei drivers enth lt eine Liste der TTY Ger te die zur Zeit benutzt werden serial dev cua 5 64 127 serial callout serial dev ttyS 4 64 127 serial pty_slave dev pts 136 0 255 pty slave pty_master dev ptm 1
346. n ein Benutzer sich vom Terminal entfernt w hrend pam_t imestamp so ausgef hrt wird ist der Rechner offen f r Manipulationen von jedem mit physischem Zugang zur Konsole Unter dem PAM Timestamp Scheme wird die grafische Verwaltungsapplikation beim Starten den Benutzer nach dem Root Passwort fragen Nach der Authentifizierung erzeugt das pam_timestamp so Modul eine Timestamp Datei im Verzeichnis var run sudo Sollte diese Datei bereits existieren werden andere grafische Verwaltungstools nicht nach dem Passwort fragen Das pam_timestamp so Modul wird anstelle die Timestamp Datei aktualisieren wobei dem Benutzer f nf Minuten freier administrativer Zugriff gew hrt werden Das Bestehen der Timestamp Datei wird durch ein Authetifizierungssymbol in der Notification Area des Panels angezeigt Folgend ist eine Illustration des Authetifizierungssymbols Q A Abbildung 13 1 Das Authentication Icon 13 6 1 Entferne die Timestamp Datei Es wird empfohlen dass bevor Sie sich von einer Konsole entfernen an der PAM l uft die Timestamp Datei gel scht wird Um dies innerhalb der grafischen Umgebung zu tun klicken Sie auf das Authetifizierungssymbol im Panel Wenn das Dialog Fenster erscheint klicken Sie den Button Forget Authorization Jj that affect all users without typing the administrator password again You can give up this authorization Keep Authorization Forget Authorization You re currently authorized to configure system
347. n gelangen mit deren Hilfe Sie Probleme l sen k nnen Das Red Hat Enterprise Linux Referenz handbuch besch ftigt sich mit den eher technischen Aspekten und Optionen eines Red Hat Enterprise Linux Systems Dieser Abschnitt wird Ihnen dabei helfen zu entscheiden ob Sie dieses Handbuch als Informationsquelle benutzen wollen oder ob Sie andere Red Hat Enterprise Linux Handb cher einschlie lich der Online Quellen bei Ihrer Suche zu Rate ziehen wollen Es gibt drei verschiedene Kategorien von Red Hat Enterprise Linux Benutzern Und jede dieser Kate gorien ben tigt andere Dokumentations und Informationsquellen Um genauer beurteilen zu k nnen welche f r Sie am besten ist sollten Sie sich klar dar ber werden wie umfangreich Ihre Vorkenntnisse sind Linux Einsteiger Dieser Benutzertyp hat bislang noch kein Linux oder Linux hnliches Betriebssystem ver wendet oder verf gt ber nur geringe Kenntnisse in Linux M glicherweise sind bereits gewis se Kenntnisse im Umgang mit anderen Betriebssystemen vorhanden beispielsweise Windows Trifft dies auf Sie zu Falls ja sollten Sie sich Abschnitt 2 1 durchlesen Bereits einige Erfahrungen mit Linux Dieser Benutzertyp hat Linux aber nicht Red Hat Enterprise Linux zuvor bereits erfolgreich installiert und verwendet Er verf gt unter Umst nden auch ber vergleichbare Erfahrungen mit anderen Betriebssystemen die Linux hneln Trifft das auf Sie zu Falls ja sollten Sie sich Abschnitt
348. n in diesem Verzeichnis Schnittstellenkonfigurationsdateien Schnittstellenkontrollskripte Netzwerkfunktionsdateien Die Dateien in jeder dieser Kategorien arbeiten zusammen um es zu erm glichen auf die verschiede nen Netzwerkger te zur ckzugreifen Dieses Kapitel besch ftigt sich mit den Verbindungen zwischen diesen Dateien und ihrer Verwen dungsweise 8 1 Netzwerk Konfigurationsdateien Bevor wir die Schnittstellen Konfigurationsdateien tiefergehend untersuchen wollen wir die zur Netzwerk Konfiguration verwendeten prim ren Konfigurationsdateien auflisten Das Verst ndnis der Rolle die diese Dateien bei der Einrichtung des Netzwerk Stack spielen kann beim benutzerdefinieren eines Red Hat Enterprise Linux Systems n tzlich sein Folgende sind prim re Netzwerk Konfigurationsdateien etc hosts Hauptzweck dieser Datei ist es Host Namen zu l sen die nicht anderweitig gel st werden k nnen Sie kann auch zur L sung von Host Namen auf kleineren Netzwerken ohne DNS Server verwendet werden Unabh ngig davon an welchem Netzwerk der Computer angeschlossen ist sollte diese Datei eine Zeile enthalten die die IP Adresse des Loopback Ger tes 127 0 0 1 als localhost localdomain angibt Weitere Informationen finden in den man Seiten zu hosts etc resolv conf diese Datei gibt die IP Adressen von DNS Servern und die Search Domain an Wenn nicht anders konfiguriert wird diese Datei von Initialisierungs Skripten
349. n keine Bedeutung HighTotal und HighFree Die Gesamtmenge und der freie Speicher in Kilobytes die nicht direkt in den Kernelbereich gemappt werden Die Werte von HighTotal k nnen von Kernel zu Kernel anders sein LowTotal und LowFree Die Gesamtmenge und der freie Speicher die direkt in den Kernel bereich gemappt werden Die Werte von LowTotal k nnen von Kernel zu Kernel anders sein e SwapTotal Die gesamte verf gbare Swapgr e in Kilobyte SwapFree Die Gesamtmenge von freiem Swapspeicher in Kilobyte HugePages_Total Die vollst ndige Anzahl von Hugepages f r das System Diese Nummer wird berechnet indem Hugepagesize durch die Megabytes die in proc sys vm hugetlb_pool f r hugepages reserviert wurden geteilt wird Diese Statistik erscheint lediglich auf x86 Itanium und AMD64 Architekturen HugePages_Free Die vollst ndige Anzahl von Hugepages die dem System zur verf gung ste hen Diese Statistik erscheint lediglich auf x86 Itanium und AMD64 Architekturen Hugepagesize Die Gr e f r jede Hugepages Einheit in Kilobytes Der Standardwert ist 4096 KB auf Uniprocessor Kernels f r 32 Bit Architekturen F r SMP und Hugemem Kernel ist der Standardwert 2048 KB F r 64 Bit Architekturen ist der Standardwert 262144 KB Diese Statistik erscheint lediglich auf x86 Itanium und AMD64 Architekturen 5 2 20 proc misc Diese Datei listet verschiedene Treiber auf die im Major Ger t mit der
350. n seriellen Port verbunden ist um per Infrarot zu kommunizieren Diese wird standardm ig auskommentiert da Notebooks mit echten Infrarot Ports viel h ufiger vorkommen als Computer mit angef gten Don gles DISCOVERY lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes Startet irattach im Entdeckungs Modus d h dieser Befehl sucht aktiv nach anderen Infrarot Ger ten Dieser Befehl muss aktiviert werden damit der Rechner aktiv nach einer Infrarot Verbindung suchen kann d h nach dem Peer der die Verbindung nicht einleitet no Startet irattach nicht im Discovery Modus 38 Kapitel 4 Das Verzeichnis sysconfig 4 1 17 etc sysconfig keyboard Die Datei etc sysconfig keyboard steuert das Tastatur Verhalten Folgende Werte k nnen ver wendet werden KEYBOARDTYPE sun pc Wird nur bei Spark Prozessoren verwendet sun gibt an dass eine Sun Tastatur an dev kbd angeschlossen ist und pc steht f r die Verbindung einer PS 2 Tastatur mit einem PS 2 Port KEYTABLE lt Datei gt wobei lt Datei gt der Name der keytable Datei ist Beispiel KEYTABLE us Die Dateien die als keytables verwendet werden k nnen beginnen unter lib kbd keymaps i386 und verzweigen von dort aus in verschiedene Tastatur Layouts die alle mit lt Datei gt kmap gz gekennzeichnet sind Die erste Datei die unter lib kbd keymaps i386 mit der KEYTABLE Einstellung bereinstimmt wird verwendet 4 1 18 etc sy
351. n zu behalten Dadurch k nnen Sie Anderungen in den Zone Dateien durchf hren ohne dass die gespeicherten Aufl sungen von Namen verloren gehen Wenn sich Ihre nderungen nur auf eine bestimmte Zone auswirken k nnen Sie lediglich diese Zone neu laden Geben Sie hierzu nach dem reload Befehl den Namen der Zone ein stats Schreibt die aktuellen named Statistiken in die Datei var named named stats e stop Stoppt den Server vorsichtig und speichert dabei alle dynamischen Updates und die vorhandenen Incremental Zone Transfers IXFR Daten vor dem Beenden Gelegentlich werden Sie bestimmt auch die Standardeinstellungen in der etc rndc conf Datei bergehen wollen Hierzu stehen Ihnen folgende Optionen zur Verf gung c lt configuration file gt Gibt einen alternativen Speicherort der Konfigurationsdatei an p lt port number gt Legt f r die rndc Verbindung eine andere als die standardm ige Port nummer 953 fest e s lt server gt Erm glicht es Ihnen einen anderen als den default server in etc rndc conf anzugeben e y lt key name gt Erm glicht es Ihnen einen anderen als den default key in der etc rndc conf Datei einzustellen Zus tzliche Informationen zu diesen Optionen finden Sie auf der rndc man Seite 11 5 Erweiterte Funktionen von BIND Die meisten BIND Implementierungen verwenden f r die Dienste zur Aufl sung von Namen oder als Autorit t f r bestimmte Domains oder Sub Domains
352. nat rlich den ersten Principal erstellen ehe Sie eine Verbindung mit dem Server ber das Netzwerk herstellen k nnen um diesenzu verwalten Erstellen Sie den ersten Principal mit dem Befehl kadmin 1ocal der speziell f r den Gebrauch auf demselben Host wie KDC entworfen ist und Kerberos nicht zur Authentifizierung verwendet Geben Sie am KDC Terminal den folgenden kadmin 1ocal Befehl ein um den ersten Princi pal zu erstellen usr kerberos sbin kadmin local q addprinc username admin Starten Sie Kerberos mit Hilfe der folgenden Befehle sbin service krb5kdc start sbin service kadmin start sbin service krb524 start F gen Sie Principals f r Ihre Benutzer mit Hilfe des Befehls addprinc mit kadmin hinzu kadmin und kadmin local auf dem Master KDC sind die Befehlszeilenschnittstellen zum KDC Insofern stehen viele Befehle nach dem Starten des kadmin Programms zur Verf gung Weitere Informationen finden Sie auf der man Seite zu kadmin berpr fen Sie ob das KDC Tickets ausgibt F hren Sie zuerst kinit aus um ein Ticket zu erhalten und speichern Sie es in einer Credential Cache Datei Zeigen Sie dann mit klist eine Referenzenliste im Cache an und verwenden Sie kdestroy um den Cache sowie die enthaltenen Referenzen zu zerst ren Anmerkung Standardm ig versucht kinit Sie mit Hilfe des Anmeldenamens des Kontos zu authen tifizieren das Sie zur ersten Anmeldung am System verwendeten nicht am Kerberos Server Entspricht
353. nbedingt in die g ngigen Kategorien geh ren sollten Sie hier stellen linux redhat rpm Eine gute Adresse die Sie aufsuchen sollten wenn Sie Schwierigkeiten haben mit RPMbestimmte Ziele zu erreichen 2 1 3 Linux B cher f r Anf nger Red Hat Linux for Dummies 2 Auflage von Jon maddog Hall IDG Special Edition Using Red Hat Linux von Alan Simpson John Ray und Neal Jamison Que Running Linux von Matt Welsh und Lar Kaufman O Reilly amp Associates Red Hat Linux 9 Unleashed von Bill Ball und Hoyle Duff Pearson Education Die hier vorgeschlagenen B cher sind ausgezeichnete Informationsquellen f r die allgemeinen Grundkenntnisse ber das Red Hat Enterprise Linux System Detailliertere Informationen ber die in diesem Handbuch beprochenen Themen finden Sie in bestimmten Fachb chern deren Titel in vielen Kapiteln dieses Handbuches f r Sie aufgelistet wurden meist im Weitere Informationsquellen Bereich Eine hervorragende Informationsquelle f r angehende Systemadministratoren ist Red Hat Enterprise Linux Introduction to System Administration Dieses Buch wurde geschrieben um Strategien zur Ad ministration von Red Hat Enterprise Linux zu erkl ren Ein wirklich geeigneter Ausgangspunkt f r jene die die Grundlagen der Systemadministration lernen wollen 2 2 F r erfahrene Linux Benutzer Wenn Sie bereits andere Linux Produkte verwendet haben sind Ihnen vermutlich die am g ngigsten Befehle l ngst gel uf
354. nd Andere wiederum verwenden ihn weil GRUB m glicherweise beim Starten gewisser Hardware Probleme bereitet 20 Kapitel 2 Bootloader 2 8 1 LILO und der x86 Bootprozess In diesem Abschnitt wird die spezifische Rolle von LILO beim Booten eines x86 Systems ausfiihrlich beschrieben Detaillierte Informationen zum gesamten Bootprozess finden Sie unter Abschnitt 1 2 LILO wird fast genauso wie GRUB in den Speicher geladen mit dem Unterschied dass es nur ein zweistufiger Loader ist 1 Der Stage 1 oder prim re Bootloader wird vom BIOS aus dem MBR in den Speicher gele sen Der prim re Bootloader nimmt weniger als 512 Bytes Plattenplatz i im MBR in Anspruch Seine einzige Aufgabe ist das Laden des Stage 2 Bootloaders sowie das bergeben der Geome triedaten der Platte an ihn 2 Der Stage 2 oder sekund re Bootloader wird in den Speicher gelesen Der sekund re Boot loader zeigt den Red Hat Enterprise Linux Einstiegsbildschirm an Mit diesem Bildschirm k n nen Sie das Betriebssystem bzw den Linux Kernel ausw hlen das der gestartet werden soll 3 Der Stage 2 Bootloader liest das Betriebssystem bzw den Kernel und initrd in den Speicher Sobald LILO festlegt welches Betriebssystem gestartet werden soll l dt er es in den Speicher und bergibt die Steuerung des Rechners an das Betriebssystem Wenn der Stage 2 Bootloader in den Arbeitsspeicher geladen ist zeigt LILO den Red Hat Enterprise Linux Einstiegsbildschirm mit den verschi
355. ne Festplatte hat bezeichnet GRUB die erste Festplatte als hd0 und die zweite als hd1 Ebenso bezeichnet GRUB die erste Partition auf der ersten Platte als hd0 0 und die dritte Partition auf der zweiten Platte als hd1 2 Bei GRUB gelten generell die folgenden Regeln f r die Bezeichnung von Ger ten und Partitionen Unabh ngig davon ob es sich bei den Festplatten um IDE oder SCSI Festplatten handelt beginnen alle Festplatten mit den Buchstaben hd Die Buchstaben fd hingegen werden zur Bezeichnung von Disketten verwendet Um ein ganzes Ger t ohne Ber cksichtigung seiner Partitionen anzugeben lassen Sie einfach das Komma und die Partitionsnummer weg Dies ist dann wichtig wenn Sie GRUB anweisen den MBR f r eine bestimmte Festplatte zu konfigurieren Beispielsweise gibt hd0 den MBR auf dem ersten Ger t an und hd3 gibt den MBR auf dem vierten Ger t an Wenn ein System ber mehrere Festplatten verf gt muss deren Startreihenfolge gem BIOS bekannt sein Dies ist einfach wenn das System nur IDE oder SCSI Festplatten besitzt Wenn je doch eine Mischung aus verschiedenen Ger ten vorliegt ist es wichtig dass zuerst auf jenes Ger t zugegriffen wird auf dem sich die Boot Partition befindet 2 4 2 Dateinamen und Blocklisten Wenn Sie Befehle in GRUB eingeben die sich auf eine Datei beziehen wie z B eine Meniiliste ist es notwendig gleich nach der Ger te und Partitionsnummer einen absoluten Dateipfad festzu
356. ne der letzten Aktionen f hrt das Programm init alle Skripte aus die sich in etc rc d rc local befinden Diese Datei ist n tzlich f r das Anpassen des Systems F r mehr zur Verwendung von rc local lesen Sie Abschnitt 1 3 Nachdem der Befehl init das entsprechende rc Verzeichnis fiir das Runlevel verarbeitet hat sucht das Skript etc inittab einen sbin mingetty Prozess fiir jede virtuelle Konsole Anmelde Kapitel 1 Bootprozess Init und Shutdown 7 bildschirme die dem Runlevel zugewiesen ist Runlevel 2 bis 5 rufen alle sechs virtuellen Konsolen auf w hrend Runlevel 1 Einzelbenutzermodus nur eine aufruft und Runlevel 0 und 6 gar keine Der sbin mingetty Prozess ffnet Kommunikationswege zu fry Ger ten legt die Modi fest druckt den Anmeldebildschirm ruft den Benutzernamen ab und initiiert den Anmeldeprozess f r den Benut zer Auf Runlevel 5 f hrt etc inittab das Skript etc X11 prefdm aus Das prefdm Skript f hrt den gew nschten X Desktop Manager aus gdm kdm oder xdm je nach Inhalt der Datei etc sysconfig desktop Zu diesem Zeitpunkt ist das System im Runlevel 5 und zeigt den Anmeldebildschirm an 1 3 Ausf hren von zus tzlichen Programmen zum Zeitpunkt des Bootens Das Skript etc rc d rc local wird vom Befehl init zum Zeitpunkt des Bootens ausgef hrt nachdem die restliche Initialisierung abgeschlossen ist sowie bei nderungen der Runlevel Das Hin zuf gen von Befehlen zu diesem Skript ist ein einfa
357. nel Swap Out Daemon ein kswapd Diese Datei hat drei Werte 512 32 8 Der erste Wert setzt die maximale Anzahl von Seiten die kswapd in einem Versuch zu l schen versucht Je gr er diese Zahl desto schneller kann der Kernel auf freie Seiten zur ckgreifen Der zweite Wert setzt die minimale Anzahl von Versuchen die kswapd versucht eine Seite zu l schen Der dritte Wert setzt die Anzahl von Seiten die kswapd in einem Versuch zu schreiben versucht Ein richtiges Einstellen des letzten Wertes kann die Systemleistung auf Kosten einer Menge Swap Platzes erh hen indem der Kernel Seiten in gro en Bl cken schreibt und dabei die Anzahl der Plattenzugriffe verringert max_map_count Konfiguriert die maximale Anzahl von Speicher Map Bereichen die ein Prozess haben darf In den meisten F llen ist ein Standardwert von 65536 angemessen hugetlb_pool Gibt die Gr e der Hugepages gro e physisch kontinuierliche Speich erseiten in Megabytes an Diese Seiten k nnen verwendet werden um gro e TLB virtuelle Speicher Abbildungen zu erzeugen die f r RAM intensive Datenbankapplikationen n tzlich sind TLB ist ein spezielle in CPU Cache der f r solche virtuellen Speicher Abbildungen entwickelt wurde Obwohl dieses Feature zur Laufzeit ge ndert werden kann ist dieses sensitiv im Bezug zu Fragme tierung wenn der Pool erweitert wird w hrend das Feld MemF ree von proc meminfo niedrig ist Aus diesem Grund kann es wichtig sein ne
358. nen 14 5 2 Hilfreiche Websites http www xinetd org Die Homepage von xinetd enth lt Beispielkonfigurationsdateien eine vollst ndige Liste von Eigenschaften und eine FAQ Liste http www macsecurity org resources xinetd tutorial shtml Eine ausf hrliche Anleitung mit Beispielen in der viele M glichkeiten beschrieben werden standardm ige xinet d Konfigurationsdateien f r bestimmte Sicherheitszwecke anzupassen 14 5 3 B cher zum Thema e Red Hat Enterprise Linux Sicherheitshandbuch Red Hat Inc Bietet einen berblick ber Workstation Server und Netzwerksicherheit mit speziellen Vorschl gen zu TCP Wrappers und xinetd e Hacking Linux Exposed von Brian Hatch James Lee und George Kurtz Osbourne McGraw Hill Eine exzellente Ressource fiir Sicherheit und Informationen TCP Wrapper und xinetd 226 Kapitel 14 TCP Wrappers und xinetd redhat Kapitel 15 iptables Red Hat Enterprise Linux wird mit erweiterten Tools f r die Paket Filterung geliefert den Prozess zur Kontrolle von Netzwerkpaketen mit Zugang zu durch und aus dem Netzwerkstack des Kernels Die Kernelversionen vor 2 4 konnten Pakete mit ipchains manipulieren und verwendeten Regel listen f r jedes Paket in jeder Phase des Filterungsprozesses Die Einf hrung des 2 4 Kernels hat iptables mit sich gebracht auch netfilter genannt die den ipchains hnlich sind deren Wir kungsbereich und Kontrollm glichkeiten bei der Filterung ab
359. nen Tasks auf einer Vielzahl an Hardware durch f hrt ben tigt dieser eine detaillierte Konfiguration Das Installationsprogramm installiert und auto matisch konfiguriert XFree86 solange die XFree86 Pakete zur Installation ausgew hlt sind Wenn sich allerdings der Monitor oder die Grafikkarte ndert muss XFree86 neu konfiguriert werden Am besten verwenden Sie hierzu X Configuration Tool redhat config xfree86 Wenn Sie X Configuration Tool in einer aktiven X Sitzung starten m chten wechseln Sie zur Schalt fl che des Hauptmen s im Panel gt Systemtools gt Anzeigen Wenn Sie X Configuration Tool w hrend einer X Sitzung verwendet haben m ssen Sie sich von der aktuellen X Sitzung abmelden und erneut anmelden damit die nderungen wirksam werden F r weitere Informationen zur Ver wendung von X Configuration Tool sehen Sie das Kapitel Audio Video und Multimedia im Red Hat Enterprise Linux Handbuch zur System Administration In einigen F llen kann es notwendig sein die Konfigurationsdatei des XFree86 Server etc X11 XF86Config manuell zu bearbeiten F r weitere Informationen zur Struktur dieser Datei sehen Sie Abschnitt 7 3 7 2 Desktop Umgebungen und Window Manager Wenn der XFree86 Server erst einmal l uft k nnen X Client Applikationen zu diesem verbinden und eine GUI f r den Benutzer erzeugen Eine Anzahl von GUIs sind in Red Hat Enterprise Linux m g lich vom rudiment ren Tab Window Manager zum hochentwickelten in
360. nen be niitzt die nicht langer verwendet werden CLOCKMODE lt Wert gt wobei lt Wert gt einer der folgenden Werte ist GMT Zeigt an dass die Uhr auf Weltzeit GMT eingestellt ist ARC Zeigt an dass der 42 Jahre Offset der Konsole aktiviert ist nur bei Alpha gestiitzten Systemen 34 Kapitel 4 Das Verzeichnis sysconfig 4 1 5 etc sysconfig desktop Die Datei etc sysconfig desktop legt den Desktop fiir neue Benutzer fest und fiihrt den Display Manager bei Erreichen von Runleverl 5 aus Die richtigen Werte sind DISPLAY lt value gt wobei lt value gt einer der folgenden Werte ist GNOME W hlt die GNOME Desktop Umgebung aus KDE W hlt die KDE Desktop Umgebung aus e DISPLAYMANAGER lt value gt wobei lt value gt einer der folgenden Werte ist GDM W hlt den GNOME Display Manager aus KDM W hlt den KDE Display Manager aus XDM W hlt den Xfree86 Display Manager aus Mehr ber das X Window System unter Red Hat Enterprise Linux erfahren Sie unter Kapitel 7 4 1 6 etc sysconfig devlabel Das etc sysconfig devlabel ist die devlabel Konfigurationsdatei Sie sollte nicht von Hand ver ndert sondern mit Hilfe des sbin devlabel Befehls konfiguriert werden Anweisungen f r die Verwendung des devlabel Befehls finden Sie im Kapitel User Defined Device Names in der Red Hat Enterprise Linux Handbuch zur System Administration 4 1 7 etc sysconfig dhcpd Die Datei etc
361. nen zu den verwendeten Treibern der Anbieter ID und der Ger te ID kudzu findet und konfiguriert neue bzw ge nderte Hardware Komponenten Die Datei etc sysconfig hwconfig ist nicht dazu gedacht manuell bearbeitet zu werden Wenn Sie sie dennoch bearbeiten k nnte es passieren dass manche Ger te pl tzlich als hinzugef gt oder entfernt angezeigt werden 4 1 12 etc sysconfig il8n Mit der Datei etc sysconfig il8n wird die Standardsprache jede unterst tzte Sprache und der Default System Font eingestellt Zum Beispiel LANG en_US UTF 8 SUPPORTED en_US UTF 8 en_US en SYSFONT latarcyrheb sunl16 36 Kapitel 4 Das Verzeichnis sysconfig 4 1 13 etc sysconfig init In der Datei etc sysconfig init wird das Erscheinungsbild und die Funktion des Systems w h rend des Hochfahrens gesteuert Folgende Werte k nnen verwendet werden BOOTUP lt Wert gt wobei lt Wert gt einer der folgenden Werte ist BOOTUP color stellt die standardm ige Bildschirmdarstellung beim Systemstart dar wobei der Erfolg oder Misserfolg von Ger ten und Diensten beim Booten in verschiedenen Farben angezeigt wird BOOTUP verbose erzeugt ein Display im herk mmlichen Stil Dieses Display liefert mehr In formationen als blo e Mitteilungen ber Erfolg oder Misserfolg Alle anderen Werte erzeugen ein neues Display aber ohne ANSI Formatierung e RES_COL lt Wert gt wobei lt Wert gt die Spaltennummer des Bildschirms ist in der Stat
362. nformationen zu diesem Verzeichnis finden Sie unter Abschnitt 12 5 f Anmerkung Wenn das nss_1dap Paket installiert ist erstellt es die Datei etc 1dap conf Diese Datei wird von den PAM und NSS Modulen verwendet die vom nss_idap Paket bereitgestellt werden Weitere Informationen zu dieser Konfigurationsdatei finden Sie unter Abschnitt 12 7 12 5 Das Verzeichnis etc openldap schema Das etc openldap schema Verzeichnis beinhaltet die LDAP Definition die zuvor in den Da teien slapd at conf und slapd oc conf abgelegt waren Alle Artributsyntaxdefinitionen und Objektklassendefinitionen sind jetzt in den unterschiedlichen Schemadateien abgelegt Auf die ver schiedenen Schemadateien wird in etc openldap slapd conf mit Hilfe der include Zeilen verwiesen wie im folgenden Beispiel zu sehen ist include etc openldap schema core schema 192 Kapitel 12 Lightweight Directory Access Protocol LDAP include etc openldap schema cosine schema include etc openldap schema inetorgperson schema include etc openldap schema nis schema include etc openldap schema rfc822 MailMember schema include etc openldap schema autofs schema include etc openldap schema kerberosobject schema kenne Sie sollten keines der Schemata aus den von OpenLDAP installierten Schemadateien ndern Sie k nnen das von OpenLDAP verwendete Schema erweitern um zus tzliche Attributtypen und Objektklassen mit Hilfe der Standardschemadateien zu unterst tzen
363. ng mithilfe der mangle Tabelle n tzlich sind finden Sie auf der iptables man Seite 15 3 6 Auflistungsoptionen Der standardm ige Auflistungsbefehl iptables L bietet eine sehr allgemeine bersicht ber die standardm igen aktuellen Regel Chains der Filtertabelle Es gibt aber auch noch zus tzliche Optio nen mit weiteren Informationen v Zeigt eine ausf hrliche Ausgabe an wie z B die Anzahl der Pakete und Bytes die jede Chain gesehen hat die Anzahl der Pakete und Bytes die von jeder Regel auf bereinstimmung berpr ft wurden und auf deren Schnittstellen eine bestimmte Regel angewandt werden x Erweitert die Zahlen auf ihre exakten Werte In einem arbeitenden System kann die An zahl der Pakte und Bytes die von einer bestimmten Chain oder Regel gesehen werden unter Ver wendung der Abk rzungen K Tausender M Millionen und G Milliarden am Ende der Zahl wiedergegeben werden Mit dieser Option muss zwangsl ufig die vollst ndige Zahl angezeigt wer den n Zeigt IP Adressen und Portnummern im numerischen Format an und nicht im standardm i gen Hostnamen und Netzwerkdienst Format e line numbers Listet Regeln in jeder Chain in N he derer numerischer Reihenfolge in der Chain auf Diese Option ist n tzlich wenn man versucht eine bestimmte Regel aus einer Chain zu entfernen oder zu bestimmen wo eine Regel in einer Chain eingef gt werden soll e t Gibt einen Tabellennamen an 15
364. nge geben ist die Aussage wahr In diesem Fall ist die Bedingung wahr wenn Ihr Web Server gestartet ist und die Anweisungen in den Tags IfDefine werden ausgef hrt 10 5 15 User Die Anweisung User definiert die Benutzer ID die vom Server zur Beantwortung von Anforderungen verwendet wird Die User Einstellung bestimmt die Zugriffsrechte des Servers Alle Dateien auf die dieser Benutzer nicht zugreifen darf sind f r die Besucher Ihrer Website ebenfalls nicht zug nglich Die Standardeinstellung f r User ist apache Der User sollte nur Zugriffsrechte auf solche Dateien haben die f r die Au enwelt sichtbar sein sollen Der in User eingetragene Benutzer ist auch der Eigent mer aller vom Server erzeugten CGI Prozesse Der in User eingetragene Benutzer sollte nur Codes ausf hren d rfen die zur Beantwortung von HTTP Anforderungen vorgesehen sind Bitte beachten Aus Sicherheitsgr nden kann Apache HTTP Server nicht als root Benutzer ausgef hrt werden 10 5 16 Group Die Anweisung Group legt den Gruppennamen der Apache HTTP Server Prozesse fest Die Standardeinstellung f r Group ist apache 10 5 17 ServerAdmin ServerAdmin sollte auf die E Mail Adresse Ihres Web Server Administrators eingestellt sein Diese E Mail Adresse wird in Fehlermeldungen auf vom Server erstellten Web Seiten angezeigt damit die Benutzer dem Serveradministrator ein Problem per E Mail melden k nnen ServerAdmin ist standardm ig root localhost
365. niger LDAP spezifischen Be griffe Eintrag Ein Eintrag Entry stellt in einem LDAP Verzeichnis eine Einheit dar Ein Eintrag wird durch seinen eindeutigen Namen Distinguished Name kurz DN identifiziert Attribute Attribute sind direkt mit dem Eintrag zusammenh ngende Informationen Eine Organ isation k nnte zum Beispiel ein LDAP Eintrag sein Mit dieser Organisation verkn pfte Attribute k nnen zum Beispiel die Faxnummer die Adresse usw sein Auch Mitarbeiter k nnen Eintr ge in einem LDAP Verzeichnis sein bliche Attribute f r Mitarbeiter sind u a Telefonnummern und E Mail Adressen Bestimmte Attribute sind obligatorisch w hrend andere Attribute optional sind In einer Objektklasse Objectclass ist festgelegt welche Attribute pro Eintrag obligatorisch und welche optional sind Die Objektklassendefinitionen sind in verschiedenen Schemadateien im Verzeichnis etc openldap schema abgelegt F r mehr Information zu LDAP Schemata siehe Abschnitt 12 5 LDIF Das LDAP Datenaustauschformat LDAP Data Interchange Format LDIF ist ein ASCII Textformat f r LDAP Eintr ge Dateien die Daten von einem LDAP Server importieren oder auf einen LDAP Server exportieren miissen im LDIF Format vorliegen Ein LDIF Eintrag sieht zum Beispiel folgenderma en aus lt id gt dn lt distinguished name gt lt attrtype gt lt attrvalue gt lt attrtype gt lt attrvalue gt lt attrtype gt lt attrvalue gt Ein Eintr
366. nistration Benutzer k nnen sowohl Personen sein d h Accounts die an einen bestimmten Benutzer gebunden sind als auch Accounts die f r bestimmte Anwendungen gedacht sind Gruppen sind der logische Ausdruck einer Zusammenfassung von Benutzern zu einem bestimmten Zweck Alle Benutzer in der selben Gruppe k nnen Dateien dieser Gruppe Lesen Schreiben und Ausf hren Jeder Benutzer und jede Gruppe hat eine eindeutige numerische Identifikationsnummer Benutzer ID UID bzw Gruppen ID GID genannt Der Benutzer der eine Datei erstellt wird als Besitzer und Gruppenbesitzer eingesetzt Dar ber hinaus werden dem Dateibesitzer der Gruppe und allen anderen eigene Berechtigungen zum Lesen Schrei ben und Ausf hren zugewiesen Der Besitzer einer Datei kann nur durch den Root Benutzer ge ndert werden Die Gruppe zu der eine Datei geh rt kann nur durch den Root oder durch den Besitzer der Datei ge ndert werden wenn Letzterer Teil der Gruppe ist die zur Datei hinzugef gt wird Die Zu griffsberechtigungen f r diese Datei k nnen sowohl vom Root Benutzer als auch vom Besitzer der Datei ge ndert werden Red Hat Enterprise Linux unterst tzt Zugangskontrolllisten ACLs f r Dateien und Verzeichnisse die gestatten dass gewisse Benutzer au erhalb des Besitzers eingerichtet werden k nnen F r wei tere Informationen ber die Verwendung von ACLs siehe KapitelAccess Control Lists im Red Hat Enterprise Linux Handbuch zur System Administrati
367. nstallationshandbuch fiir IBM eServer iSeries und IBM eServer pSeries Architekturen Co Autorin des Red Hat Enterprise Linux Schrittweise Einfiihrung Tammy Fox Verantwortliche Autorin Bearbeiterin des Red Hat Enterprise Linux Handbuch zur System Administration Co Autorin des Red Hat Enterprise Linux Installationshandbuch fiir x86 Ita nium und AMD64 Architekturen Co Autorin des Red Hat Enterprise Linux Sicherheitshandbuch Co Autorin des Red Hat Enterprise Linux Schrittweise Einf hrung Autorin Bearbeiterin der benut zerdefinierten DocBook Stylesheets und Skripte Edward C Bailey Verantwortlicher Autor Bearbeiter des Red Hat Enterprise Linux Introduction to System Administration Verantwortlicher Autor Bearbeiter der Release Notes Co Autor des Red Hat Enterprise Linux Installationshandbuch f r x86 Itanium M und AMD64 Architekturen Johnray Fuller Verantwortlicher Autor Bearbeiter des Red Hat Enterprise Linux Referenzhand buch Co Autor Co Bearbeiter des Red Hat Enterprise Linux Sicherheitshandbuch Co Autor des Red Hat Enterprise Linux Introduction to System Administration John Ha Verantwortlicher Autor Bearbeiter des Red Hat Cluster Suite Configuring and Managing a Cluster Verantwortlicher Autor Bearbeiter des Red Hat Glossary Verantwortlicher Autor Bearbeiter des Red Hat Enterprise Linux Installationshandbuch f r IBM S 390 und IBM eServer zSe ries Architekturen Co Autor Co Bearbeiter des Red
368. nstalliert sind 7 2 2 Window Manager Window Manager sind X Clientprogramme die die Art und Weise steuern in der andere X Clients positioniert in ihrer Gr e ver ndert oder bewegt werden Window Manager liefern dar ber hinaus Kapitel 7 Das X Window System 91 auch Titelleisten Tastaturspezifizierung nach Tastatur oder Maus sowie benutzerspezifische Tasten und Maustastenbindungen Fiinf Window Manager sind in Red Hat Enterprise Linux enthalten kwin Der KWin Window Manager ist der Default bei der Auswahl der KDE Desktop Umgebung Dies ist ein effizienter Window Manager der benutzerdefinierte Themen unterstiitzt e metacity Der Metacity Window Manager ist der Default bei der Auswahl der GNOME Desktop Umgebung Es ist ein einfacher und effizienter Window Manager der benutzerdefinierte Themen unterstiitzt mwm Der Motif Window Manager ist ein Standalone Window Manager mit grundlegenden Funk tionen Da dieser als Standalone entwickelt wurde sollte er weder mit der GNOME noch mit der KDE Desktop Umgebung ausgefiihrt werden twm Ein minimalistischer Tab Window Manager der im Vergleich am wenigsten Funktionalit t bietet Er kann als Standalone oder zusammen mit einer Desktop Umgebung ausgef hrt werden und wird als Teil von XFree86 installiert Diese Window Manager k nnen als einzelne X Clients ausgef hrt werden womit auch die Unter schiede deutlicher werden Geben Sie den Befehl xinit lt Pfad zum Win
369. nts ber das Netzwerk bereit zu stellen entfernen Sie diese Zeile port Gibt den TCP Port an den xfs abh rt wenn no listen entweder nicht vorhanden ist oder auskommentiert wurde e use syslog Gibt an ob das System Error Log verwendet werden soll 7 4 2 2 Hinzuf gen von Fonts zu xfs Um dem Core X Font Subsystem xfs Fonts hinzuzuf gen folgen Sie diesen Schritten 1 Erstellen Sie ein Font Verzeichnis sofern nicht vorhanden mit dem Namen usr share fonts local unter Verwendung des folgenden Befehls als root mkdir usr share fonts local Sollte es n tig sein das Verzeichnis usr share fonts local zu erstellen muss dieses zum xfs Pfad hinzugef gt werden Dies geschieht durch Aufrufen des folgenden Befehls als root chkfontpath add usr share fonts local 2 Kopieren Sie die neuen Font Dateien in das Verzeichnis usr share fonts local 3 Aktualisieren Sie die Font Information durch Ausf hren des folgenden Befehls als root ttmkfdir d usr share fonts local o usr share fonts local fonts scale Kapitel 7 Das X Window System 101 4 Laden Sie die Font Server Konfigurationsdatei von xfs neu indem Sie folgenden Befehl als root eingeben service xfs reload 7 5 Runlevels und XFree86 In den meisten F llen konfiguriert eine Standardinstallation von Red Hat Enterprise Linux einen Rech ner zum Booten in die graphische Oberfl che als Runlevel 5 bekannt Es ist allerdings m glich in eine text basier
370. nur named Die Version 9 von BIND ver f gt jedoch auch ber eine Reihe weiterer Features die korrekte Konfigurierung und Verwendung vorausgesetzt einen sichereren und effizienteren DNS Dienst gew hrleisten Kapitel 11 Berkeley Internet Name Domain BIND 183 Orcrtung Einige dieser Features wie z B DNSSEC TSIG und IXFR sollten nur in Netzwerkumgebungen mit Nameservern verwendet werden die diese Features unterst tzen Wenn Ihre Netzwerkumgebung nicht BIND oder ltere BIND Nameserver enth lt pr fen Sie bitte ob es daf r verbesserte Features gibt bevor Sie sie verwenden Alle hier vorgestellten Features werden im BIND 9 Administrator Reference Manual detaillierter be schrieben Unter Abschnitt 11 7 1 finden Sie mehr Informationen 11 5 1 DNS Protokoll Erweiterungen BIND unterst tzt Incremental Zone Transfers IXFR bei denen Slave Server nur die aktualisierten Teile einer Zone die auf einem Master Name Server modifiziert wurden heruntergeladen werden Der standardm ige TransferProcess erfordert dass auch bei der kleinsten nderung die gesamte Zone an alle Slave Name Server bermittelt wird F r sehr popul re Domains mit sehr gro z gi gen Zone Dateien und vielen Slave Name Servern macht IXFR den Benachrichtigungs und Update Prozess weniger ressourcenintensiv Beachten Sie bitte dass IXFR nur zur Verf gung steht wenn Sie f r nderungen der Master Zonen Records dynamisch updaten Wenn Sie Zone Dateien
371. nux iptablesRPM Paket geladen werden wie z B unter anderem LOG MARK und REJECT Weitere Informationen zu diesen und anderen Zielen sowie Regeln zu deren Verwendung finden Sie auf der iptables man Seite Sie k nnen ein Paket das dieser Regel entspricht auch an eine benutzerdefinierte Chain au erhalb der aktuellen Chain weiterleiten Dadurch k nnen Sie andere Regeln auf dieses Paket anwenden Wenn kein Ziel festgelegt ist bewegt sich das Paket an der Regel vorbei ohne dass etwas passieren w rde Der Z hler f r diese Regel springt jedoch um eine Stelle weiter o Setzt die Schnittstelle des Ausgangsnetzwerks f r eine bestimmte Regel fest die nur mit OUTPUT un d FORWARD Chains in der filter Tabelle und mit der POSTROUTING Chain in den nat und mangle Tabellen verwendet werden kann Die Optionen dieses Parameters sind dieselben wie die des Parameters der Schnittstelle des Eingangsnetzwerks i p Setzt das IP Protokoll f r die Regel die entweder icmp tcp udp oder all sein kann um allen m glichen Protokollen zu entsprechen Au erdem k nnen weniger verwendete Protokolle die in etc protocols aufgelistet sind ebenfalls verwendet werden Wenn diese Option beim Erstellen einer Regel ausgelassen wird ist die al1 Option der Standard s Setzt die Quelle eines bestimmten Pakets mit Hilfe derselben Satzstrukturen die der Zielpa rameter d verwendet 15 3 4 iptables Match Optionen Verschiedene Netzwerkprotokolle
372. nux bereits seit langem benutzen wissen Sie wahrscheinlich l ngst dass der beste Weg zum Verst ndnis eines spezifischen Programms das Lesen seines Quellcodes und oder der Konfigurationsdateien ist Ein gro er Vorteil von Red Hat Enterprise Linux ist dass der Quellcode von allen Benutzern gelesen werden kann Nat rlich ist nicht jeder ein Programmierer und Sie k nnen mit dem Quellcode daher vielleicht wenig anfangen Wenn Sie jedoch nur ein wenig Erfahrungen und Kenntnisse haben und wissen wie man ihn lesen kann finden Sie im Quellcode die Antwort auf alle Ihre Fragen 3 Dokumentkonventionen Beim Lesen dieses Handbuchs werden Sie feststellen dass bestimmte W rter in verschiedenen Fonts Schriftbildern Gr en usw dargestellt sind Diese Unterscheidung folgt einer bestimmten Ordnung bestimmte W rter werden auf die gleiche Weise dargestellt um darauf hinzuweisen dass sie zu einer bestimmten Kategorie geh ren Typen von W rtern die so dargestellt werden schlie en Folgende ein Befehl Linux Befehle sowie Befehle anderer Betriebssysteme sofern verwendet werden auf diese Weise dargestellt Diese Darstellungsart weist darauf hin dass Sie das Wort oder den Satz in die Befehlszeile eingeben und die Enter Taste dr cken k nnen um den entsprechenden Be fehl auszuf hren Gelegentlich enth lt ein Befehl W rter die eigentlich auf eine andere Weise dargestellt werden w rden beispielsweise Dateinamen In einem solchen Fall
373. nweisung lt VirtualHost _default_ 443 gt General setup for the virtual host ServerName ssl example name lt NirtualHost gt Verwenden Sie folgende Struktur um diese Einstellung zu Apache HTTP Server 2 0 zu migrieren lt VirtualHost _default_ 443 gt General setup for the virtual host ServerName ssl host name 443 lt VirtualHost gt Es ist auch wichtig zu beachten dass beide die SSLLog und SSLLogLevel Anweisung entfernt wurden Das Modul mod_ss1 unterliegt nun den ErrorLog und LogLevel Anweisungen Sehen Sie Abschnitt 10 5 34 und Abschnitt 10 5 35 f r weitere Information zu diesen Anweisungen Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_ssl html http httpd apache org docs 2 0 vhosts 10 2 4 2 Das Modul mod_proxy Zugriffskontrollbefehle f r den Proxy befinden sich jetzt in einem lt Proxy gt Block anstatt in einem lt Directory proxy gt Die Cache Funktionalit t der alten Datei mod_proxy Wurde in folgende drei Module aufgeteilt mod_cache e mod_disk_cache e mod_mem_cache Diese verwenden normalerweise die gleichen oder hnliche Anweisungen wie die lteren Versio nen des mod_proxy Moduls es wird allerdings angeraten jede Anweisung zu pr fen bevor etwaige Cache Einstellungen migriert werden Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Softwar
374. nweisung 148 Location Apache Konfigurationsanweisung 159 LogFormat Apache Konfigurationsanweisung 154 LogLevel Apache Konfigurationsanweisung 154 Ispci 58 276 Master Boot Record Siehe MBR Siehe MBR Master Nameserver Siehe BIND Maus verwenden viii MaxClients Apache Konfigurationsanweisung 147 MaxKeepAliveRequests Apache Konfigurationsanweisung 146 MaxRequestsPerChild Apache Konfigurationsanweisung 147 MaxSpareServers Apache Konfigurationsanweisung 147 MaxSpareThreads Apache Konfigurationsanweisung 147 MBR Definition von 1 1 Siehe auch boot loaders Siehe auch boot process metacity 90 Siehe auch XFree86 MinSpareServers Apache Konfigurationsanweisung 147 MinSpareThreads Apache Konfigurationsanweisung 147 Module Siehe Kernel Module Siehe Kernel Module Apache Ihr eigenes 163 laden 163 standard 162 Modulparameter Siehe Kernel Module mwm 90 Siehe auch XFree86 N named Daemon Siehe BIND named conf Siehe BIND Nameserver Siehe BIND NameVirtualHost Apache Konfigurationsanweisung 160 netfilter Siehe iptables Netzwerk Befehle sbin ifdown 115 sbin ifup 115 sbin service network 115 Funktionen 116 Konfiguration 108 Schnittstellen 108 Alias 112 Channel Bonding 111 Clone 112 Dialup 113 Ethernet 108 IPsec 110 Skripts 107 Zus tzliche Ressourcen 116 Netzwerk Dateisystem Siehe NFS NFS Anhalten 122 Bedingter Neustart 122 Client
375. ob auf der Schnittstelle eine IPv6 Adresse existiert 8 5 Zus tzliche Ressourcen Die Folgenden sind Ressourcen die n her auf Netzwerk Schnittstellen eingehen Kapitel 8 Netzwerk Schnittstellen 117 8 5 1 Installierte Dokumentation e usr share doc initscripts lt version gt sysconfig txt Ein verst ndlicher Leitfaden zu verf gbaren Optionen f r Netzwerk Konfigurationsdateien einschlie lich IPv6 Optionen die in diesem Kapitel nicht behandelt werden e usr share doc iproute lt version gt ip cref ps Diese Datei enth lt eine Vielzahl an Informationen zu ip die u a zur Bearbeitung von Routing Tabellen verwendet werden k nnen Sehen Sie sich diese Datei mit ggv oder kghostview an 118 Kapitel 8 Netzwerk Schnittstellen redhat Kapitel 9 Netzwerk Dateisystem Network File SYSNFS Mit dem Netzwerk Dateisystem NFS k nnen Remote Hosts Dateisysteme auf einem System moun ten und verwenden als w ren sie lokal gemountet Dies erm glicht den Systemadministratoren Res sourcen auf zentralen Servern im Netzwerk sicherzustellen Dieses Kapitel konzentriert sich auf fundamentale NFS Konzepte und erg nzende Information F r detaillierte Anweisungen bez glich Konfiguration und Funktion von NFS Servern und Client Software siehe Kapitel Network File System NFS im Red Hat Enterprise Linux Handbuch zur System Administration 9 1 Wie es funktioniert Zur Zeit werden zwei Versionen von NFS verwendet Die Version
376. ole Siehe PAM pam_timestamp Siehe PAM pam_timestamp_check Siehe PAM Passwort 204 Siehe auch PAM 277 Shadow Passw rter 204 Passw rter Shadow 86 PidFile Apache Konfigurationsanweisung 145 Pluggable Authentication Modules Siehe PAM portmap 120 Siehe auch NFS NFS 121 rpcinfo 121 Status 122 prefdm Siehe XFree86 Problembehebung Fehlerprotokoll 153 Programme zum Zeitpunkt des Bootens ausf hren 7 Proxy Apache Konfigurationsanweisung 159 proxy server 159 160 ProxyRequests Apache Konfigurationsanweisung 159 ProxyVia Apache Konfigurationsanweisung 159 public_html directories 152 R rc local ndern 7 rc serial 7 Siehe auch setserial command ReadmeName Apache Konfigurationsanweisung 157 Red Hat Enterprise Linux spezifische Dateispeicher stellen etc sysconfig 30 Siehe auch sysconfig directory var lib rpm 30 var spool up2date 30 Redirect Apache Konfigurationsanweisung 155 Root Nameserver Siehe BIND rpcinfo 121 Runlevels Siehe init Befehl Konfiguration 9 Siehe auch services zum Zeitpunkt des Bootens ndern 22 ndern mit GRUB 15 278 S S S criptAlias Apache Konfigurationsanweisung 155 CSI Module Siehe Kernel Module serielle Schnittstellen S S S S S S S S Siehe setserial Befehl erver seitige Includes 151 157 erverAdmin Apache Konfigurationsanweisung 149 erverName Apache Konfigurationsanweisung 149 erverRoot
377. olgend werden die grundlegenden Phasen des Bootprozesses f r ein x86 System beschrieben Das System BIOS pr ft das System und startet den ersten Bootloader auf dem MBR der prim ren Festplatte 2 Der Bootloader der ersten Phase wird in den Arbeitsspeicher geladen und startet den Bootloader der zweiten Phase von der boot Partition 3 Der Bootloader der zweiten Phase l dt den Kernel in den Arbeitsspeicher welcher wiederum seinerseits alle erforderlichen Module l dt und die root Partition als schreibgesch tzt mountet 4 Der Kernel bergibt die Steuerung des Bootprozesses an das Programm sbin init 5 Das Programm sbin init l dt alle Dienste und Tools des Arbeitsplatzes und mountet alle in etc fstab genannten Partitionen 6 Dem Benutzer wird eine Anmeldeaufforderung f r das gerade gestartete Linux System angezeigt Da das Konfigurieren des Bootprozesses h ufiger ist als die individuelle Gestaltung des Herunterfah rens wird im restlichen Kapitel die Funktionsweise des Bootprozesses sowie die individuelle Anpas sung an Ihre Bed rfnisse detailliert behandelt 1 2 Der Bootprozess im Detail Der wirkliche Beginn des Bootprozesses h ngt von der verwendeten Hardware Plattform ab Sobald jedoch der Kernel vom System gefunden und geladen wurde ist der standardm ige Bootprozess auf allen Architekturen identisch Dieses Kapitel bezieht sich auf eine x86 Architektur 1 2 1 Das BIOS Wenn ein x86 Computer gestartet
378. on Eine gute Verwaltung von Benutzern und Gruppen sowie eine effektive Verwaltung der Dateiberech tigungen geh ren zu den wichtigsten Aufgaben eines System Administrators F r einen detaillierten berblick der Strategien zum Management von Benutzern und Gruppen siehe Kapitel Managing User Accounts and Resource Access im Red Hat Enterprise Linux Introduction to System Administra tion 6 1 Tools zum Management von Benutzern und Gruppen Die Verwaltung von Benutzern und Gruppen kann sehr langwierig sein Red Hat Enterprise Linux liefert allerdings ein paar Tools und Konventionen die diese Aufgabe erleichtern sollen Der einfachste Weg Benutzer und Gruppen zu verwalten ist mit Hilfe der grafischen Anwendung User Manager redhat config users F r mehr Informationen zu User Manager siehe Kapitel Benutzer und Gruppenkonfiguration im Red Hat Enterprise Linux Handbuch zur System Administration Auch k nnen die folgenden Befehlszeilentools zum Verwalten von Benutzern und Gruppen verwendet werden useradd usermod und userdel Methoden des Industriestandards zum Hinzuf gen L schen und Andern von Benutzeraccounts groupadd groupmod und groupdel Methoden des Industriestandards zum Hinzuf gen L schen und Andern von Gruppen gpasswd Methode des Industriestandards zum Verwalten der Datei etc group pwck grpck Tools zum berpr fen von Passwort Gruppe und zugeh rigen Schattendateien 82 Kapitel 6 Ben
379. on Folgend ist eine Liste der n tzlichsten Optionen DontZap lt boolean gt Wenn der Wert von lt boolean gt auf true gesetzt ist verhindert dies dass die Tastenkombination Strg Alt R cktaste verwendet wird die den XFree86 Server sofort beendet DontZoom lt boolean gt Wenn der Wert von lt boolean gt true ist verhindert dass die Tastenkombinationen Strg Alt Zehnertastatur Plus und Strg Alt Zehnertastatur Minus verwendet werden um sich durch konfigurierte Grafikaufl sungen zu bewegen 73 1 3 ServerLayout Der Abschnitt ServerLayout bindet Eingabe und Ausgabeger te die vom XFree86 Server kontrol liert werden Dieser Abschnitt muss zumindest ein Ausgabeger t und zwei Eingabeger te Tastatur und Maus angeben Das folgende Beispiel zeigt einen typischen ServerLayout Abschnitt Section ServerLayout Identifier Default Layout Screen 0 Screen0 0 0 InputDevice Mouse0 CorePointer InputDevice Keyboard0 CoreKeyboard EndSection Die folgenden Eintr ge sind die in einem ServerLayout Abschnitt am h ufigsten verwendeten Identifier Ein eindeutiger Name der f r die Beschreibung dieses ServerLayout Abschnitts verwendet wird Screen Der Name eines Screen Abschnitts der mit dem XFree86 Server verwendet wird Es k nnen mehr als eine Screen Option vorkommen Kapitel 7 Das X Window System 93 Folgend ist ein Beispiel eines typischen Screen Eintrags Screen
380. on bergeben wurde http www redhat com mirrors LDP HOWTO mini Multiboot with GRUB html Behandelt ver schiedene Verwendungen fiir GRUB einschlie lich das Booten von nicht Linux Betriebssystemen http www linuxgazette com issue64 kohli htm Eine Einf hrung ber die Konfiguration von GRUB auf einem System und ein berblick der Befehlszeilenoptionen von GRUB http www tldp org HOWTO mini LILO html In diesem mini HOWTO werden die verschiedenen Verwendungsweisen von LILO besprochen u a das Booten von nicht Linux Betriebssystemen 24 Kapitel 2 Bootloader 2 11 3 Bucher zu diesem Thema Red Hat Enterprise Linux Sicherheitshandbuch Red Hat Inc Das Workstation Security Kapitel erklart in knapper Weise wie man die GRUB und LILO sichern kann redhat Kapitel 3 Struktur des Dateisystems 3 1 Warum eine gemeinsame Struktur Die Struktur des Dateisystems ist die niedrigste organisatorische Stufe eines Betriebssystems Fast alle Wege mit denen ein Betriebssystem mit seinen Benutzern seinen Anwendungen und seinem Si cherheitskonzept interagiert h ngen davon ab wie es Dateien auf Speicherelementen speichert Das Bereitstellen einer gemeinsamen Struktur des Dateisystems stellt sicher dass Benutzer und Program me imstande sind Dateien zu ffnen und Dateien zu schreiben Dateisysteme unterteilen Dateien in zwei logische Kategorien e Gemeinsam genutzte und nicht gemeinsam genutzte Dateien e V
381. on gpm Standardm ig ist die Maus auf dev mouse eingestellt 4 1 10 etc sysconfig harddisks Die Datei etc sysconfig harddisks erm glicht es Ihnen Ihre Festplatte n abzustimmen Der Administrator kann auch etc sysconfig hardiskhd a h verwenden um die Parameter f r bestimmte Laufwerke zu konfigurieren AB wrarnung Nehmen Sie keine leichtsinnigen nderungen in dieser Datei vor Wenn Sie die hier gespeicherten Standardwerte ndern besteht das Risiko dass Sie alle Daten der Festplatte n verlieren Die Datei etc sysconfig harddisks kann Folgendes enthalten USE_DMA 1 wobei der Wert 1 DMA aktiviert Bei einigen Chips tzen und Festplattenkombina tionen kann DMA jedoch zu Datenverluste verursachen Lesen Sie in der Dokumentation Ihrer Festplatte nach oder wenden Sie sich an den Hersteller bevor Sie diesen Befehl aktivieren Multiple_10 16 die Einstellung 16 l sst mehrere Sektoren pro E A Interrupt zu Ist diese Funk tion aktiviert wird der Verwaltungsaufwand des Betriebssystems um 30 50 reduziert Au erste Vorsicht EIDE_32BIT 3 aktiviert E IDE 32 Bit E A Support f r eine Schnittstellen Karte LOOKAHEAD 1 aktiviert Lookahead Lesezugriffe auf das Laufwerk EXTRA_PARAMS legt fest wo zus tzliche Parameter hinzugef gt werden k nnen 4 1 11 etc sysconfig hwconf In der Datei etc sysconfig hwconfig sind alle Hardware Komponenten aufgef hrt die kudzu in Ihrem System entdeckt hat au erdem Informatio
382. one bezeichnet die einen bestimmten Na mespace Namensbereich festlegt Ein Namespace kontrolliert die Bezeichnung der Subdomains auf der linken Seite In diesem Beispiel sind zwar nur zwei Subdomains angegeben ein FQDN muss aber mindestens eine und kann viel mehr Subdomains enthalten je nach der Organisation des Namespace Die Zonen werden mit Hilfe von Zone Dateien in authorisierten Nameservern festgelegt Die Zone Dateien beschreiben den Namenspace der Zone den fiir eine bestimmte Domain oder Subdomain zu verwendenden Mail Server uvm Die Zone Dateien sind auf primdren Nameservern auch Master Nameserver genannt gespeichert die f r nderungen an Dateien ma geblich sind sowie auf sekun d ren Nameservern auch Slave Nameserver genannt die ihre Zone Dateien von den prim ren Na meservern erhalten Jeder Nameserver kann gleichzeitig f r unterschiedliche Zonen sowohl prim rer als auch sekund rer Nameserver sein Zugleich k nnen sie auch f r mehrere Zonen ma geblich sein Dies h ngt alles von der Konfiguration des Nameservers ab 11 1 2 Nameserver Types Prim re Nameserver k nnen auf vier verschiedene Arten konfiguriert sein Master Speichert die urspr nglichen und ma geblichen Zonen f r einen bestimmten Names pace und beantwortet Fragen von anderen Nameservern die nach Antworten f r diesen Namespace suchen Slave Beantwortet ebenfalls die Anfragen anderer Nameserver bez glich des Namespace f r den di
383. onf wenn die DNS Anweisung gesetzt ist Verwenden Sie DCHP dann ist yes Standard no ndern Sie etc resolv conf nicht SLAVE lt bond interface gt wobei lt bond interface gt Folgendes bedeuten kann yes Dieses Ger t wird vom in der MASTER Direktive angegebenen Channel Bonding Interface gesteuert no Dieses Ger t wird nicht vom in der MASTER Direktive angegebenen Channel Bonding Interface gesteuert Diese Anweisung wird zusammen mit der MASTER Anweisung verwendet 110 Kapitel 8 Netzwerk Schnittstellen Sehen Sie Abschnitt 8 2 3 fiir Weiteres zu Channel Bonding Interfaces SRCADDR lt Adresse gt wobei lt Adresse gt die angegebene Ausgangs IP Adresse f r ausgehende Pakete ist USERCTL lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann yes Nicht root d rfen dieses Ger t kontrollieren no Nicht root d rfen dieses Ger t nicht kontrollieren 8 2 2 IPsec Schnittstellen Mit Red Hat Enterprise Linux ist es m glich zu anderen Hosts oder Netzwerken ber eine sichere IP Verbindung als IPsec bekannt zu verbinden Anleitungen zur Einrichtung einer IPsec Verbindung mit Network Administration Tool redhat config network sehen Sie das Kapitel Netzwerk Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration F r das manuelle Einrichten von IPsec Verbindungen sehen Sie das Kapitel Virtuelle Private Netzwerke im Red Hat Enterprise Linux Sicherheitshandbu
384. onfiguriert sind mit Statistiken zum Senden und Empfangen auf Diese Datei zeigt Ihnen welche Schnittstelle wieviel Bytes emp fangen und gesendet hat die Paketanzahl Fehleranzahl und verlorene Pakete an e dev_mcast Zeigt die verschiedenen Layer2 Multicast Gruppen an auf denen ein Ger t zuh rt e igmp Listet die von diesem System zusammengefassten IP Adressen auf e ip_conntrack Listet gefundene Netzwerkverbindungen f r Rechner mit weiterleitenden IP Verbindungen auf e ip_tables_names Listet die verwendeten Typen von iptables Diese Datei besteht nur dann wenniptables auf dem System aktiv ist und einen oder mehrere der folgenden Werte enth lt filter mangle oder nat e ip_mr_cache Liste des Multicasting Routing Cache e ip_mr_vif Liste der virtuellen Schnittstellen zum Multicasting e netstat Enth lt eine umfangreiche und detaillierte Sammlung von Netzwerk Statistiken mit TCP Timeouts gesendeten und empfangenen SYN Cookies und vielem mehr psched Liste der globalen Paket Scheduler Parametern e raw Liste der Raw Ger t Statistiken e route Zeigt die Kernel Routing Tabelle an rt_cache Zeigt den aktuellen Routing Cache e snmp Eine Liste von Simple Network Management Protocol SNMP Daten verschiedener Netzwerk Protokolle e sockstat Liefert Statistiken zum Socket e tcp Enth lt detaillierte Informationen zum TCP Socket Kapitel 5 Das proc Dateisystem 67
385. ons oder Hosts Diese werden am h ufigsten im Client Listen Feld der Zugriffsregel gefunden Die folgenden Wildcards k nnen verwendet werden ALL F r Alle Kann f r beide verwendet werden die Daemon Liste und die Client Liste LOCAL F r jeden Host Rechner der keinen Punkt enth lt wie localhost KNOWN F r jeden Host Rechner dessen Hostname und Hostadresse oder der Benutzer bekannt sind UNKNOWN F r jeden Host Rechner dessen Hostname und Hostadresse oder der Benutzer nicht bekannt sind PARANOID F r jeden Host Rechner dessen Hostname nicht mit der Hostadresse bereinstimmt O sentuns Die Wildcards KNOWN UNKNOWN und PARANOID sollten sehr vorsichtig verwendet werden da eine Un terbrechung in der Namenaufl sung eine Zugriffsverweigerung auf Netzwerkdienste f r berechtigte Benutzer zur Folge haben kann Kapitel 14 TCP Wrappers und xinetd 215 14 2 1 2 Patterns Patterns k nnen im Client Listen Feld von Zugriffsregeln benutzt werden um Gruppen von Client Hosts genauer anzugeben Folgend ist eine Liste der am h ufigsten akzeptierten Patterns f r einen Eintrag in der Client Liste Ein mit einem Punkt beginnender Hostname Ein Punkt am Anfang eines Hostnamens be wirkt dass fiir alle Host Rechner die in diesem Hostnamen enden die Regel angewandt wird Das folgende Beispiel wird auf jeden Host in der example com Domain angewendet ALL example com Eine mit ein
386. onsole gt tty 0 9 0 9 vc 0 9 0 9 0 0 9 0 lt xconsole gt 0 0 9 0 Dies wird Remote Benutzer davon abhalten Zugriff auf Ger te und Applikationen h herer Sicher heitsstufe zu gelangen Wenn die Konfigurationsdatei des gdm kdm oder xdm Display Manager ge ndert wurde um Remote Benutzern den Zugriff zu gew hren und der Host ist zur Ausf hrung in Runlevel 5 konfiguriert dann wird empfohlen die lt console gt und lt xconsole gt Anweisungen auf folgende Werte zu ndern lt console gt tty 0 9 0 9 vc 0 9 0 9 Kapitel 13 Pluggable Authentication Modules PAM 209 13 7 2 Zugriff zu Applikationen Der Konsolen Benutzer hat die M glichkeit mithilfe einer Datei die den Befehlsnamen im Verzeich nis etc security console apps enth lt zu bestimmten Programm Zugriff zu erhalten Eine wichtige Gruppe von Applikationen zu denen der Konsolen Benutzer Zugriff hat sind folgende drei Programme zum Abschalten und Neubooten des Systems sbin halt e sbin reboot sbin poweroff Da diese Programme PAM kompatible Applikationen sind ben tigen sie das pam_console so Mo dul F r weitere Informationen sehen Sie Abschnitt 13 8 1 13 8 Zus tzliche Ressourcen Folgend finden Sie eine Aufstellung von Informationsquellen zur Verwendung und Konfiguration von PAM Zus tzlich zu diesen Quellen sollten Sie sich mit den PAM Konfigurationsdateien in Ihrem System vertraut machen um deren Aufbau besser
387. onts kann durch Ausf hren von x1sfonts erhalten oder durch Verwendung von x ontsel interaktiv erzeugt werden Kapitel 7 Das X Window System 99 7 4 1 1 Hinzuf gen von Fonts zu Fontconfig Das Hinzuf gen von neuen Fonts zum Fontconfig Subsystem ist ein einfacher und direkter Vorgang 1 Um Fonts systemweit hinzuzuf gen kopieren Sie die neuen Fonts in das Verzeichnis usr share fonts local Um Fonts f r einen gewissen Benutzer hinzuzuf gen kopieren Sie die Fonts in das Unterver zeichnis fonts im Hauptverzeichnis des Benutzers 2 Benutzen Sie den Befehl c cache um die Font Information im Cache zu aktualisieren wie Folgend beschrieben 4fc cache lt path to font directory gt Ersetzen Sie lt path to font directory gt mit dem Verzeichnis das die neuen Fonts enth lt entweder usr share fonts local oder home lt user gt fonts Or Individuelle Benutzer k nnen Fonts auch graphisch installieren indem Sie fonts in der Adress Leiste von Nautilus angeben und neue Font Dateien ber Drag and Drop dort hinein kopieren Bicon Wenn der Font Dateiname in gz ended ist dies eine komprimierte Datei und diese kann nicht direkt verwendet werden Die darin enthaltenen Dateien m ssen zuerst extrahiert werden Verwenden Sie dazu den Befehl gunzip oder doppel klicken Sie die Datei und kopieren Sie die Font mittels Drag and Drop in ein Verzeichnis in Nautilus 7 4 2 Core X Font System Aus Gr nden der Kompatibili
388. ook O Reilly Dies ist das letzte Werk der Reihe O Reilly Pocket Reference Red Hat Enterprise Linux Handbuch zur System Administration Red Hat Inc Enth lt ein Kapi tel zur Konfiguration von Apache HTTP Server unter Verwendung von HTTP Configuration Tool und ein Kapitel zur Konfiguration eines Apache HTTP Server Secure Servers Red Hat Enterprise Linux Sicherheitshandbuch Red Hat Inc Das Kapitel Server Sicherheit beschreibt Wege den Apache HTTP Server und andere Services sicher zu machen redhat Kapitel 11 Berkeley Internet Name Domain BIND Die meisten modernen Netzwerke einschliesslich dem Internet erlauben dem Benutzer andere Com puter ber deren Namen zu bestimmen Dies befreit den Benutzer davon die numerische Netzwerk Adresse behalten zu m ssen Der effektivste Weg ein Netzwerk zu konfigurieren sodass es namens basierte Verbindungen zul sst ist durch das Einrichten eines Domain Name Service DNS oder Na meserver welcher Rechnernamen in numerische Adressen aufl st und umgekehrt Dieses Kapitel stellt den in Red Hat Enterprise Linux enthaltenen Nameserver Berkeley Internet Name Domain BIND DNS Server vor mit dem Fokus auf die Struktur dessen Konfigurationsdateien und der Art und Weise wie dieser lokal und auch remote verwaltet werden kann Anweisungen f r die Konfiguration von BIND unter Verwendung des graphischen Domain Name Service Configuration Tool redhat config bind finden Sie im
389. orit tsspalte ist sinnvoll wenn mehrere Swap Dateien benutzt werden Je niedriger die Priorit t desto wahrscheinlicher wird eine Swap Datei benutzt 5 2 30 proc uptime Diese Datei enth lt Informationen dar ber wie lange das System seit dem letzten Neustart l uft Die Ausgabe von proc uptime ist relativ gering 350735 47 234388 90 Die erste Zahl zeigt die Sekundenzahl an die das System bereits l uft Die zweite Zahl zeigt die Sekunden an wielange die Maschine idle im Leerlauf war 5 2 31 proc version Diese Datei zeigt die Version des Linux Kernels und von gcc an und au erdem die Version von Red Hat Enterprise Linux die auf dem System installiert ist Linux version 2 4 20 1 1931 2 231 2 12 ent user foo redhat com gcc version 3 2 3 200 Red Hat Enterprise Linux 3 2 3 7 1 Thu Jun 19 14 57 04 EDT 2003 Diese Information wird f r eine Vielzahl von Zwecken benutzt unter anderem um Versionsdaten am Login Prompt auszugeben Kapitel 5 Das proc Dateisystem 61 5 3 Verzeichnisse in proc Allgemeine Informationsgruppen beziiglich des Kernels werden in Verzeichnisse und Unterverzeich nisse in proc sortiert 5 3 1 Prozess Verzeichnisse Jedes proc Verzeichnis enth lt einige Verzeichnisse mit numerischen Namen Eine Liste mit sol chen f ngt hnlich dieser Liste an dr xr xr x 3 root root 0 Feb 13 01 28 1 dr xr xr x 3 root root 0 Feb 13 01 28 1010 dr xr xr x 3 xfs xfs 0 Feb 13 01 28 1087 dr xr xr x 3 daemon
390. ort kombination authentifizieren und so die Verwaltung sp rbar vereinfachen 12 3 2 PHP4 LDAP und Apache HTTP Server Red Hat Enterprise Linux enth lt auch Pakete mit LDAP Modulen f r die PHP serverseitige Skript sprache Das Paket php 1dap f gt LDAP Unterstiitzung zur PHP4 HTML eingebetteten Skriptsprache ber das Modul usr lib php4 1ldap so hinzu Dieses Modul erm glicht PHP4 Skripten auf Infor mationen zuzugreifen die in einem LDAP Verzeichnis gespeichert sind Red Hat Enterprise Linux wird mit dem Modul mod_authz_ldap f r Apache HTTP Server aus geliefert Dieses Modul verwendet die Kurzform des Distinguished Name als Subjekt und den Aussteller des Client SSL Zertifikats um den Distinguished Name des Benutzers innerhalb eines LDAP Verzeichnisses zu bestimmen Es kann auch Benutzer anhand den Attributen der Eintr ge im LDAP Verzeichnis autorisieren wobei Zugriff auf ein Asset auf Benutzerrechte und Gruppenrechten des Asset basiert und Zugriff f r Benutzer mit abgelaufenen Passw rtern abgelehnt wird Das Modul mod_ss1 wird f r die Verwendung des Modul mod_authz_1dap ben tigt Kapitel 12 Lightweight Directory Access Protocol LDAP 191 ieee Das Modul mod_authz_1dap authetifiziert einen Benutzer zu einem LDAP Verzecihnis mit einem ver schl sselten Passwort Hash Diese Funktionalit t ist im experimentellen Modul mod_auth_ldap en thalten das nicht in Red Hat Enterprise Linux enthalten ist Sehen Sie die Website d
391. osts Zugriffsdateien Siehe TCP Wrappers hosts allow Siehe TCP Wrappers hosts deny Siehe TCP Wrappers httpd conf Siehe Konfigurationsanweisungen Apache Hugepages Konfiguration von 75 IfDefine Apache Konfigurationsanweisung 149 ifdown 115 IfModule Apache Konfigurationsanweisung 146 ifup 115 Include Apache Konfigurationsanweisung 148 IndexIgnore Apache Konfigurationsanweisung 157 IndexOptions Apache Konfigurationsanweisung 156 init Befehl 4 Siehe auch boot process auf Runlevel zugreifen 8 Konfigurationsdateien 273 etc inittab 7 Rolle im Bootprozess 4 Siehe auch boot process Runlevels Verzeichnisse f r 7 SysV init Definition von 7 ip6tables Einf hrung 239 Kontrollskripte Neustart 237 Panik 237 Speichern 237 Start 237 Status 237 stop 237 ipchains Siehe iptables IPsec Siehe Netzwerk iptables sbin iptables restore 236 sbin iptables save 236 Chains Ziel 227 Grundlagen der Paket Filterung 227 Konfigurationsdateien etc sysconfig iptables 236 etc sysconfig iptables config 238 etc sysconfig iptables save 236 Kontrollskripte Neustart 237 Panik 237 Speichern 236 237 Start 237 Status 237 stop 237 Optionen 229 Auflistung 236 Befehle 230 Parameter 231 Struktur von 229 Ziel 235 Protokolle ICMP 233 TCP 232 UDP 233 Regelliste 227 Regeln speichern 236 Tabellen 227 Vergleich mit ipchains 228 Zus tzliche Informationsquellen
392. oten des Rechners zusammen mit der Partitionstabelle Nach dem Laden pr ft das BIOS das jeweilige Programm auf dem MBR 1 2 2 Der Bootloader In diesem Abschnitt werden die Bootloader f r die x86 Plattform betrachtet Je nach Systemarchitek tur kann der Bootprozess leicht variieren Unter Abschnitt 1 2 2 1 finden Sie einen kurzen berblick zu nicht x86 Bootloadern Unter Red Hat Enterprise Linux stehen zwei Bootloader zur Verf gung GRUB oder LILO GRUB ist der Default Bootloader LILO ist allerdings verf gbar f r alle die diesen entweder ben tigen oder vorziehen F r weitere Informationen zum Konfigurieren von GRUB oder LILO siehe Kapitel 2 Die Linux Bootloader f r x86 Plattformen werden in mindestens zwei Phasen unterteilt Die erste Phase ist ein kleiner bin rer Rechnercode auf dem MBR Seine einzige Aufgabe besteht im Suchen des Bootloaders der zweiten Phase und dem Laden des ersten Teils in den Arbeitsspeicher GRUB ist der neuere Bootloader und hat den Vorteil dass er ext2 und ext3 Partitionen lesen kann und seine Konfigurationsdatei boot grub grub conf zur Bootzeit laden kann Sehen Sie Abschnitt 2 7 f r Informationen zum Bearbeiten dieser Datei Unter LILO verwendet der Bootloader der 2 Phase die Informationen auf dem MBR um zu ermitteln welche Bootoptionen dem Benutzer zur Verf gung stehen Dies bedeutet dass Sie bei jeder Konfi gurations nderung oder manuellen Kernelaktualisierung den Befehl sbin lilo
393. out first enabling shadow passwords Kapitel 6 Benutzer und Gruppen 87 e chage gpasswd e usr sbin usermod e or f options e usr sbin useradd e or f options 6 6 Zusatzliche Informationsquellen F r weitere Informationen ber Benutzer und Gruppen sowie ber die Tools zu ihrer Verwaltung siehe die folgenden Informationsquellen 6 6 1 Installierte Dokumentation Man Seiten zu diesen Themenbereichen Es gibt eine Reihe von man Seiten ber die verschiede nen Anwendungen und Konfigurationsdateien die beim Verwalten von Benutzern und Gruppen verwendet werden Im Folgenden eine Liste der wichtigsten man Seiten Anwendungen zur Benutzer und Gruppenverwaltung man chage Ein Befehl der die Richtlinien zur Passwort Veralterung und zum Verfall des Accounts ver ndert gpasswd Ein Befehl zur Verwaltung der Datei etc group man man man man man man man man man man groupadd Ein Befehl der Gruppen hinzufiigt grpck Ein Befehl zur berpr fung des der Datei etc group groupdel Ein Befehl zum Entfernen von Gruppen groupmod Ein Befehl zur Ver nderung von Gruppen Mitgliedschaften pwck Ein Befehl zur berpr fung der etc passwd und der etc shadow Datei pwconv Ein Tool das Standard Passw rter in Shadow Passw rter umwandelt pwunconv Ein Tool das Shadow Passw rter in Standard Passw rter umwandelt useradd Ein Befeh
394. p verbunden sind der die Form von anderen Konfigurations dateien Programmen NIS Maps oder anderen weniger bekannte Methoden zum Mounten annehmen kann Die Datei auto master enth lt Zeilen die auf diese Mount Punkte verweisen und wie folgt aussehen lt mount point gt lt map type gt Das lt Mount Punkt gt Element zeigt den Ort des Mount in dem lokalen Dateisystem an Der lt Zuordnungst yp gt bezieht sich auf die Art wie der Mount Punkt gemountet wird blicherweise wird zum automatischen Mounten von NFS Exporten eine Datei als Zuordnungstyp f r einen bestimmten Mount Punkt verwendet Die Zuordnungsdatei wird normalerweise wie folgt bezeichnet auto lt Mount Punkt gt wobei lt Mount Punkt gt der in auto master bezeichnete Mount Punkt ist Eine Zeile in den Zuordnungsdateien zum Mounten einens NFS Exports sieht wie folgendes Beispiel aus lt local directory gt lt options gt lt server gt lt remote export gt Ersetzen Sie lt local directory gt mit dem lokalen Dateisystem auf dem das exportierte Ver zeichnis gemountet wird Dieser Mount Punkt muss existieren bevor die Zuordnungsdatei gelesen wird sonst scheitert der Mount Ersetzen Sie lt options gt mit einer Komma Trennliste mit den Optionen f r das NFS Dateisystem F r Details siehe Abschnitt 9 4 3 Stellen sie sicher dass Sie das Bindestrich Zeichen unmittelbar vor der Optionsliste eingeben Ersetzen Sie lt server gt mit dem Hostnamen der IP Adre
395. pareThreads ist 75 Diese Standardeinstellungen sind f r die meisten Situationen 148 Kapitel 10 Apache HTTP Server geeignet Der Wert f r MaxSpareThreads muss gr er oder gleich der Summe von MinSpare Threads und ThreadsPerChild sein oder Apache HTTP Server wird dies automatisch berichti gen 10 5 9 6 ThreadsPerChild Dieser Wert wird lediglich mit der worker MPM verwendet Er setzt die Anzahl von Threads inner halb der Child Prozesse Der Standardwert fiir diese Anweisung ist 25 10 5 10 Listen Der Befehl Listen kennzeichnet den Port an dem ankommende Anforderungen angenommen werden Apache HTTP Server ist so konfiguriert dass auf Port 80 auf unverschl sselte Web Kommunikation und in der Datei etc httpd conf d ssl conf die den Secure Server definiert auf Port 443 auf sichere Web Kommunikation gewartet wird Wenn Sie Apache HTTP Server so konfigurieren dass an einem Port kleiner als 1024 gewartet wird miissen Sie als root angemeldet sein um den Prozess zu starten Fiir Port 1024 und dariiber kann httpd als normaler Benutzer gestartet werden Listen kann auch zur Angabe spezieller IP Adressen verwendet werden ber die der Server Verbin dungen annimmt 10 5 11 Include Include erlaubt dass andere Konfigurationsdateien w hrend der Laufzeit mit aufgenommen werden Der Pfad zu diesen Konfigurationspfaden kann absolut sein oder sich auf ServerRoot beziehen chic Damit der Server einzeln verpackte Module verwende
396. proc sys net ipv4 neigh steht f r neighbors spezielle Konfigurationen f r jede Schnittstelle an Das erlaubt Ihnen Systeme denen Sie aufgrund ihrer rtlichen N he mehr vertrauen anders zu behandeln Es macht es gleichzeitig aber auch m glich rtlich entfernte Systeme mit festen Regeln zu belegen Das Routen ber IPV4 besitzt auch ein eigenes Verzeichnis proc sys net ipv4 route Im Gegensatz zu conf und neigh enth lt das proc sys net ipv4 route Verzeichnis Spezifika tionen die das Routing auf allen Systemschnittstellen beeinflusst Viele dieser Einstellungen wie z B max_size max_delay undmin_delay h ngen mit der Einstellung des Routing Caches zusammen Um den Routing Cache zu l schen schreiben Sie einen beliebigen Inhalt in die Datei flush Zus tzliche Informationen ber diese Verzeichnisse und die m glichen Werte zur Konfiguration fin den Sie unter usr srce linux 2 4 Documentation filesystems proc txt 5 3 9 5 proc sys vm Dieses Verzeichnis erleichtert die Konfiguration des virtuellen Speicher Subsystems des Linux Ker nels VM Der Kernel macht ausgiebigen und intelligenten Gebrauch von virtuellem Speicher der 76 Kapitel 5 Das proc Dateisystem auch Swap Speicher genannt wird Di e folgenden Dateien findet man normalerweise im Verzeichnis proc sys vm bdflush Setzt verschiedene Werte in Bezug auf den bdflush Kernel Daemon kswapd Stellt verschiedene Werte in Zusammenhang mit dem Ker
397. r fen proc sys 78 SysRq Siehe System Request Key System Request Key aktivieren 68 System Request Key Definition von 68 Timing setzen 71 SysV init Siehe init Befehl T TCP Wrappers 219 Siehe auch xinetd Definition von 211 Einf hrung 211 Konfigurationsdateien etc hosts allow 211 212 etc hosts deny 211 212 Expansionen 218 Formatierungsregeln in 213 Hosts Zugriffsdateien 212 Log Option 216 Operatoren 216 Option Felder 216 Optionen der Zugriffskontrolle 217 Patterns 215 Shell Befehl Option 217 spawn Option 217 twist Option 217 Wildcards 214 Vorteile 212 zus tzliche Ressourcen 224 B cher zum Thema 225 installierte Dokumentation 224 n tzliche Websites 225 ThreadsPerChild Apache Konfigurationsanweisung 148 279 Timeout Apache Konfigurationsanweisung 146 TLB Cache Siehe Hugepages Treiber Siehe Kernel Module twm 90 Siehe auch XFree86 TypesConfig Apache Konfigurationsanweisung 153 U Unverschl sselte Web Server deaktivieren 165 UseCanonicalName Apache Konfigurationsanweisung 150 User Apache Konfigurationsanweisung 149 UserDir Apache Konfigurationsanweisung 152 users private HTML Verzeichnisse 152 V Verzeichnisse boot 26 dev 26 etc 26 Nib 26 mnt 26 opt 27 proc 27 sbin 27 Jusr 27 J usr local 28 var 29 VirtualHost Apache Konfigurationsanweisung 161 Virtuelle Dateien Siehe proc Dateisystem virtuelle Hosts konfi
398. r 128 Bit Verschliisselung so komplex verschl sselt dass es u erst schwierig ist abgefangene bertragungen zu entschl sseln und zu lesen Der Client kann X11 Applikationen vom Server weiterleiten Diese Technik X 1 forwarding genannt gew hrleistet die sichere Verwendung grafischer Applikationen ber ein Netzwerk Das das SSH Protokoll alles verschl sselt das gesendet oder empfangen wird k nnen damit auch unsichere Protokolle verschl sselt werden Mit port forwarding kann ein SSH Server zum Verschl s seln unsicherer Protokolle z B POP verwendet werden und somit die Sicherheit des Systems und der Daten erh hen Red Hat Enterprise Linux enth lt die allgemeinen OpenSSH Pakete openssh den OpenSSH Server openssh server und Client openssh clients Pakete Weitere Informationen ber die Instal lation und den Einsatz von OpenSSH finden Sie im Kapitel OpenSSH des Red Hat Enterprise Linux Handbuch zur System Administration Bitte beachten Sie dass die OpenSSH Pakete das OpenSSL Paket openss1 erfordern OpenSSL installiert verschiedene wichtige kryptographische Bibliothe ken die OpenSSH bei der Erstellung mit verschl sselten Meldungen unterst tzt 17 1 1 Wozu dient SSH Skrupellosen Computerbenutzern stehen eine Reihe von Tools zur Verf gung um die Netzwerkkom munikation zu st ren abzufangen und umzuleiten und um auf diese Weise Zugriff auf Ihr System zu erhalten Diese Gefahren k nnen generell wie folgt klassi
399. r Apache Module Wenn Sie ein eigenes Modul geschrieben haben sollten Sie usr sbin apxs verwenden um die Modulquellen au erhalb des Apache Quellbaums zu kompilieren F r weitere Informationen zur Verwendung des Befehls usr sbin apxs sehen Sie die Apache Dokumentation Online unter http httpd apache org docs 2 0 dso html und die man Seiten zu apxs Speichern Sie Ihr Modul nach dem Kompilieren im Verzeichnis usr lib httpd modules F gen Sie dann der Datei httpd conf eine LoadModule Zeile hinzu die folgendes Format verwendet LoadModule lt module name gt lt path to module so gt Beachten Sie dass Sie den den Namen von lt foo_module gt und lt mod_foo so gt in geeigneter Weise ndern m ssen 10 8 Virtuelle Hosts verwenden Apache HTTP Server bietet die M glichkeit zur Verwendung von virtuellen Hosts um verschiedene Server f r verschiedene IP Adressen verschiedene Rechnernamen oder verschiedene Ports auf dem selben Server zu benutzen Wenn Sie virtuelle Hosts verwenden m chten so finden Sie detaillierte Informationen in der Apache Dokumentation oder unter http httpd apache org docs 2 0 vhosts 10 8 1 Einrichten von Virtual Hosts Um einen Namens basierten Virtual Host zu erzeugen ist es am besten den Virtual Host Container in httpd conf als Grundlage zu verwenden Das Beispiel des Virtual Host liest sich wie folgt NameVirtualHost lt VirtualHost gt ServerAdmin webmaster dummy host examp
400. r Interrupt Typen die plattform spezifisch sind in dieser Datei hat eine unterschiedliche Be deutung Bei x86 Rechnern kommen folgende Werte h ufig vor xT PIc Die alten AT Rechner Interrupts IO APIC edge Das Spannungssignal dieses Interrupts variiert zwischen tief und hoch und hat eine Flanke an der der Interrupt ausgel st und nur einmal signalisiert wird Dieser Interrupt Typ wird wie der IO APIC level Interrupt nur auf Systemen mit Prozessoren der 586 Familie und h her benutzt IO APIC level Erzeugt Interrupts wenn das Spannungssignal hoch geht solange bis das Signal wieder niedrig ist 5 2 10 proc iomem Diese Datei zeigt Ihnen das aktuelle Mapping des Systemspeichers f r jedes physische Ger t an 00000000 0009fbff System RAM 0009fc00 0009ffff reserved 000a0000 000bffff Video RAM area 000c0000 000c7fff Video ROM 000f0000 000fffff System ROM 00100000 07ffffff System RAM 00100000 00291ba8 Kernel code 00291ba9 002e09cb Kernel data e0000000 e3ffffff VIA Technologies Inc VT82C597 Apollo VP3 e4000000 e7ffffff PCI Bus 01 e4000000 e4003fff Matrox Graphics Inc MGA G200 AGP e5000000 e57fffff Matrox Graphics Inc MGA G200 AGP e8000000 e8ffffff PCI Bus 01 e8000000 e8ffffff Matrox Graphics Inc MGA G200 AGP ea000000 ea00007 Digital Equipment Corporation DECchip 21140 FasterNet ea000000 ea00007 f tulip ffff0000 ffffffff reserved Die erste Spalte zeigt die Speicherre
401. r Service der den Zugriff auf eine Anzahl belieb ter Netzwerkservices wie FTP IMAP und Telnet bereitstellt Er bietet auBerdem servicespezifische Konfigurationsoptionen zur Zugriffskontrolle erweitertes Logging Umleitungen und Ressourcen Einsatzkontrolle Wenn sich ein Client Host mit einem von xinetd berwachten Netzwerkservice zu verbinden ver sucht erh lt der Super Service die Anfrage und pr ft die TCP Wrappers Zugriffsrechte Wird der Zugang gew hrt berpr ft xinetd dass die Verbindung auch entsprechend seinen Regeln f r die sen Service erlaubt ist und dass der Service nicht mehr als die zugewiesenen Ressourcen verbraucht bzw jegliche Regeln einh lt Daraufhin wird eine Instanz des angeforderten Services ge ffnet und die berwachung der Verbindung bergeben Sobald die Verbindung besteht h lt sich xinetd aus der Kommunikation zwischen Client Host und Server raus 14 4 xinetd Konfigurationsdateien Die Konfigurationsdateien f r xinetd sind folgende etc xinetd conf Die globale xinetd Konfigurationsdatei e etc xinetd d Verzeichnis Das Verzeichnis das alle servicespezifischen Dateien enth lt 14 4 1 Die etc xinetd conf Datei Die Datei etc xinetd conf enth lt allgemeine Konfigurationseinstellungen die jeden Service unter Kontrolle von xinetd betreffen Bei jedem Start des xinetd Service wird diese Datei gelesen um also Konfigurations nderungen wirksam werden zu lassen muss der Administrator den
402. r URLs auf oder unterhalb CacheRoot bestimmt den Namen des Verzeichnisses in dem die zwischengespeicherten Dateien abgelegt werden Die Standard CacheRoot ist var cache httpd CacheSize bestimmt wie viel Speicherplatz in KB fiir den Cache zur Verfiigung gestellt wird Der Standardwert fiir CacheSize ist 5 KB Die folgende Liste gibt einige andere Cache bezogene Anweisungen CacheMaxExpire Im Cache gespeicherte HTML Dokumente werden fiir eine maximale An zahl von Stunden durch diese Anweisung angegeben im Cache gehalten ohne Neuladen vom Ursprungsserver Der Standardwert ist 24 Stunden 86400 seconds e Der CacheLastModifiedFactor betrifft die Erzeugung eines Ablaufdatums expiration f r ein Dokument das vom Ursprungsserver nicht mit einem eigenen Ablaufdatum versehen wurde Der Standard CacheLastModifiedFactor ist auf 0 1 eingestellt d h das Ablaufdatum f r solche Dokumente entspricht einem Zehntel der Zeit die vergangen ist seitdem das Dokument zuletzt ge ndert wurde CacheDefaultExpire Die Ablaufzeit in Stunden f r ein Dokument das ber ein Protokoll empfangen wurde das keine Ablaufzeiten unterst tzt Die Standardeinstellung ist 1 Stunde 3600 Sekunden e NoProxy Gibt eine durch Leerstellen getrennte Liste von Subnets IP Adressen Domains oder Hosts an deren Inhalte nicht im Cache gehalten werden Diese Einstellung ist sehr n tzlich f r Intranet Seiten 10 5 64 NameVirtualHost Wenn Si
403. r die Host Zugriffskontrolle unterst tzt only_from Erlaubt nur den angegebenen Host Rechnern die Nutzung des Dienstes no_access Sperrt aufgef hrten Host Rechnern den Zugriff auf den Dienst 222 Kapitel 14 TCP Wrappers und xinetd access_times Den Zeitraum in dem ein bestimmter Dienst verwendet werden kann Der Zeitraum muss im 24 Stunden Format HH MM HH MM angegeben werden Die Optionen only_from und no_access k nnen eine Liste von IP Adressen oder Hostnamen ver wenden oder ein gesamtes Netzwerk spezifizieren Wie TCP Wrappers kann durch die Kombination der xinetd Zugriffskontrolle und der entsprechenden Protokollierkonfiguration die Sicherheit durch das Sperren von Anfragen von gesperrten Hosts und das Protokollieren aller Verbindungsversuche erh ht werden Zum Beispiel kann die folgende etc xinetd d telnet Datei verwendet werden um den Telnet Zugriff einer bestimmten Netzwerkgruppe auf ein System zu verweigern und den gesamten Zeitraum f r die Anmeldung von zugelassenen Benutzern einzuschr nken service telnet disable no flags REUSE socket_type stream wait no user root server usr sbin in telnetd log_on_failure USERID no_access 10 0 1 0 24 log_on_success PID HOST EXIT access_times 09 45 16 15 In diesem Beispiel erh lt jedes System des Unternetzes 10 0 1 0 24 wie zum Beispiel 10 0 1 2 beim Versuch auf Telnet zuzugreifen die folgende Meldung Connection
404. r einen bestimmten Dienst an einem System anmeldet ohne Unterbrechung umgeleitet werden Der xinetd Daemon kann diese Umleitung durch Erzeugen eines Prozesses ausf hren der w hrend der Verbindung des anfragenden Client Rechners mit dem Host Rechner der den eigentlichen Dienst liefert im Stay Alive Modus l uft und Daten zwischen den zwei Systemen austauscht Der eigentliche St rke der bind und redirect Optionen liegt in deren kombinierten Verwendung Durch Bindung eines Dienstes an eine bestimmte IP Adresse auf einem System und dem darauf folgenden Umleiten der Anfragen f r denselben Dienst an einen zweiten Rechner der nur f r den ersten Rechner sichtbar ist k nnen Sie ein internes System verwenden um Dienste f r vollkommen unterschiedliche Netzwerke zur Verf gung zu stellen Ansonsten k nnen diese Optionen verwendet werden um die Zeit zu begrenzen w hrend derer ein Dienst auf einem Multihomed Rechner einer bekannten IP Adresse ausgesetzt ist sowie jegliche Anfragen f r diesen Dienst an einen anderen Rechner weiterzuleiten der eigens f r diesen Zweck konfiguriert ist Nehmen wir zum Beispiel ein System das als Firewall mit diesen Einstellungen f r seine Telnet Dienste verwendet wird service telnet socket_type stream wait no server usr sbin in telnetd log_on_success DURATION USERID log_on_failure USERID bind 123 123 123 123 redirect 10 0 1 13 23 Die Optionen bind und redirect in dieser
405. r zu exportierenden Dateisysteme hinzugef gt werden i Ignoriert etc exports nur die Optionen die von der Befehlszeile aus eingegeben wurden werden zum Definieren der exportierten Dateisysteme verwendet e u Hebt den Export aller gemeinsam verwendeter Verzeichnisse auf Der Befehl usr sbin exportfs ua unterbricht die gemeinsame Verwendung von NFS Dateien w hrend alle NFS Daemone weiter arbeiten Geben Sie den Befehl exportfs r ein um die gemeinsame Verwendung von NFS Dateien wieder fortzusetzen v Verbose Operation bei der exportierte oder nicht exportierte Dateisysteme detaillierter angezeigt werden wenn der Befehl export fs ausgef hrt wird Wenn f r den Befehl usr sbin export fs keine Optionen eingegeben werden wird eine Liste der aktuell exportierten Dateisysteme angezeigt F r weitere Informationen ber den usr sbin export fs Befehlsiehe export fs man Seite 126 Kapitel 9 Netzwerk Dateisystem Network File System NFS 9 4 NFS Client Konfigurationsdateien Gemeinsame NFS Dateien mit dem mount Befehl auf die Seite des Clients gemountet Das Format des Befehls lautet mount o lt options gt lt host gt lt remote export gt lt local directory gt Ersetzen Sie lt options gt mit einer Komma Trennliste der Optionen fiir das NFS Dateisystem f r Details siehe Abschnitt 9 4 3 Ersetzen Sie lt host gt mit dem Remote Host lt remote export gt mit dem Remote Verzeichnis das gemountet w
406. rate ani netinfo online sh Ja all Tabelle 12 1 LDAP Umwandlungsskripte 196 Kapitel 12 Lightweight Directory Access Protocol LDAP 12 8 Umwandeln von Verzeichnissen fr herer Releases Mit Beginn der Release von Red Hat Linux 9 benutzt OpenLDAP das Berkeley DB System von Sleepy Cat Software als On Disk Speicherformat Fr here Versionen von OpenLDAP verwendeten den GNU Database Manager gdbm Aus diesem Grund sollten vor einem Upgrade einer LDAP Implementation auf Red Hat Enterprise Linux 3 von Red Hat Enterprise Linux 2 1 oder Red Hat Linux 7 x bis 8 diese Schritte durchgef hrt werden 1 Bevor Sie ein Upgrade des Betriebssystems durchf hren f hren Sie den Befehl usr sbin slapcat 1 ldif Ausgabe aus Dieser gibt eine LDIF Datei 1dif Ausgabe aus die die Eintr ge aus dem LDAP Verzeichnis enth lt 2 F hren Sie ein Upgrade des Betriebssystems durch und stellen Sie dabei sicher dass Sie die Partition die die LDIF Datei enth lt nicht neu formatieren 3 Importieren Sie das LDAP Verzeichnis erneut zum aktuellen Berkeley DB Format indem Sie den Befehl usr sbin slapadd 1 1dif output ausf hren EB wicntic Sollte ein LDAP Verzeichnis nicht exportiert werden bevor das Upgrade zu Red Hat Enterprise Linux 3 von Red Hat Enterprise Linux 2 1 oder Red Hat Linux 7 x bis 8 durchgef hrt wird benutzen Sie den Befehl usr sbin slapcat gdbm 1 ldif output um das alte Verzeichnis zu extrahieren 1dif output steht hierbei f
407. rd nicht zur Authentifizierung verwendet USELDAPAUTH lt Wert gt wobei lt Wert gt einer der folgenden Werte ist yes LDAP wird zur Authentifizierung verwendet no LDAP wird nicht zur Authentifizierung verwendet 4 1 4 etc sysconfig clock Die Datei etc sysconfig clock steuert die Interpretation der Werte der Hardware System Uhr Derzeit gelten die folgenden Werte UTC lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist true oder yes Die Hardware Uhr ist auf UTC Universal Time Coordinate eingestellt false oder no Die Hardware Uhr ist auf lokale Zeit eingestellt ARC lt Wert gt wobei lt Wert gt einer der folgenden Werte ist true oder yes Zeigt an dass der 42 Jahre Offset der Konsole aktiviert ist Diese Einstellung ist lediglich fiir ARC oder AlphaBIOS basierte Alpha Systeme Alle anderen Werte geben an dass die normale UNIX Epoche eingestellt ist SRM lt Wert gt wobei lt Wert gt folgender ist true oder yes Die 1900 Epoche der Konsole ist aktiviert Diese Einstellung ist lediglich f r SRM basierte Alpha Systeme Jeder andere Wert gibt an dass die normale UNIX Epoche eingestellt ist e ZONE lt Dateiname gt Die Zeitzonen Datei unter usr share zoneinfo von der etc localtime eine Kopie ist Diese Datei enthalt Informationen wie ZONE America New York Friihere Versionen von Red Hat Linux und Red Hat Enterprise Linux haben folgende Versio
408. re Netzwerk Schnittstellen in einem ein zelnen Kanal zusammenzuf hren indem die bonding Kernelmodule und eine spezielle Netzwerk Schnitstelle Channel Bonding Interface genannt verwendet werden Channel Bonding erlaubt es mehreren Netzwerk Schnittstellen als eine zu arbeiten die Bandbreite zu erh hen und Redundanz zu gew hren Um ein Channel Bonding Interface zu erstellen erzeugen Sie eine Datei im Verzeichnis etc sysconfig network scripts mit dem Namen ifcfg bond lt N gt wobei Sie lt N gt mit der Nummer der Schnittstelle z B 0 ersetzen Der Inhalt der Datei kann dem Typ der Schnittstelle entsprechen die in einem Channel Bonding Interface verwendet wird wie einer Ethernet Schnittstelle Der einzige Unterschied ist dass die DEVICE Direktive auf bond lt N gt gesetzt werden muss wobei lt N gt die Nummer der Schnittstelle ist Die Folgende ist ein Beispiel einer Channel Bonding Konfigurationsdatei DEVICE bond0 BOOTPROTO none ONBOOT yes NETWORK 10 0 1 0 NETMASK 255 255 255 0 IPADDR 10 0 1 27 USERCTL no Nachdem das Channel Bonding Interface erzeugt wurde m ssen die zu bindenden Netzwerk Schnittstellen konfiguriert werden indem die MASTER und SLAVE Anweisungen zu deren Konfigurationsdateien hinzugef gt werden Die Konfigurationdateien der gebundenen Schnittstellen k nnen fast identisch sein Wenn zum Beispiel zwei Ethernet Schnittstellen gebunden werden k nnen beide et ho und eth1 wie im folgenden Beispiel
409. ren der Skripte im Verzeichnis etc X11 xinit xinitre d Der Benutzer kann mithilfe des gdm oder kdm Display Managers angeben welche Desktop Umgebung bei der Authentifizierung verwendet werden sollen Die Display Manager k nnen im Men Sitzung ausgew hlt werden Ist die Desktop Umgebung nicht im Display Manager angegeben pr ft das Skript etc X11 xdm Xsession die Dateien xsession und Xclients im Home Verzeichnis um zu entscheiden welche Desktop Umgebung geladen werden soll Als letzte M glichkeit wird die Datei etc X11 xinit Xclients verwendet um eine Desktop Umgebung oder einen Window Manager zu w hlen der auf die gleiche Weise wie in Runlevel 3 benutzt wird Wenn der Benutzer eine X Sitzung in der Standardanzeige beendet 0 und sich abmeldet wird das Skript etc X11 xdm TakeConsole ausgef hrt und weist dem root die Konsole neu zu Der urspr ngliche Display Manager der nach der Anmeldung weiter ausgef hrt wurde bernimmt die Steuerung und erzeugt einen neuen Display Manager Auf diese Weise wird der XFree86 Server neu gestartet ein neuer Anmeldebildschirm angezeigt und der gesamte Prozess neu gestartet Wenn sich der Benutzer aus X Runlevel 5 abmeldet wird dieser sich wieder im Display Manager befinden F r weitere Informationen dar ber wie Display Manger die Benutzerauthentifizierung steuern sehen Sie die Datei usr share doc gdm lt version number gt README wobei lt version number gt die Versionsnummer des ins
410. rfen Standardm ig sind alle Hosts dazu berechtigt Mit Hilfe einer Access Controll List einer Sammlung von IP Adressen oder Netzwerken kann festgelegt werden dass nur bestimmte Hosts den Nameserver abfragen d r fen e allow recursion Ahnelt der Option allow query mit der Ausnahme dass sie sich auf rekursive Abfragen bezieht Standardm ig k nnen alle Hosts rekursive Abfragen auf dem Name server durchf hren e blackhole Gibt an welchen Hosts es nicht erlaubt is Anfragen an den Server zu stellen e directory ndert das named Arbeitsverzeichnis so dass es sich von dem Default var named unterscheidet e forward Kontrolliert das Verhalten beim Weiterleiten einer forwarders Direktive Die folgenden Optionen werden angenommen e first Gibt an dass Nameserver die in der forwarders Option festgelegt sind zuerst nach Informationen abgefragt werden Sollten anschlie end keine Informationen vorhanden sein ver sucht named die Aufl sung selbst durchzuf hren only Gibt an dass named nicht versucht die Aufl sung selbst durchzuf hren wenn die for warders Direktive nicht erfolgreich war e forwarders Legt eine Liste von Nameservern fest bei denen Abfragen f r Aufl sungen weit ergeleitet werden e listen on Legt die Netzwerk Schnittstelle fest die named verwendet um Anfragen zu pr fen Standardm ig werden alle Schnittstellen verwendet Auf diese Weise sollte der DNS Server a
411. riebssysteme in den Speicher verantwortlich 2 1 Bootloader und Systemarchitektur Jede Rechnerarchitektur die Red Hat Enterprise Linux ausf hren kann verwendet einen anderen Bootloader Die folgende Tabelle listet die Bootloader auf die f r jede Architektur verhanden sind E IBM eServer zSeries z IPL Intel Itanium ELILO x86 GRUB oder LILO Tabelle 2 1 Bootloader f r Systemarchitekturen In diesem Kapitel werden Befehle und Konfigurationsoptionen der beiden Bootloader besprochen die mit Red Hat Enterprise Linux f r die x86 Architektur geliefert werden GRUB und LILO 2 2 GRUB GNU GRand Unified Bootloader oder GRUB ist ein Programm mit dem der Benutzer das Betriebs system oder den Kernel ausw hlen kann das bzw der beim Systemstart geladen werden soll Deswei teren kann der Benutzer Argumente an den Kernel bergeben 2 2 1 GRUB und der x86 Bootprozess In diesem Abschnitt wird die spezifische Rolle von GRUB beim Booten eines x86 Systems ausf hr lich beschrieben Detaillierte Informationen zum gesamten Bootprozess finden Sie unter Abschnitt 1 2 GRUB l dt sich selbst in folgenden Phasen in den Speicher 1 Der Stage 1 oder prim re Bootloader wird aus dem MBR vom BIOS in den Speicher gelesen Der prim re Bootloader nimmt weniger als 512 Bytes Plattenplatz im MBR in Anspruch Seine einzige Aufgabe ist das Laden des Stage 1 5 oder Stage 2 Bootloaders 1 Weitere Informationen zum BIOS und MBR fin
412. risiken erheblich gemindert werden Das ist darauf zur ckzuf hren dass der SSH Client und Server digitale Unterschriften verwenden um gegenseitig ihre Identit t zu pr fen Au erdem sind alle Mitteilungen zwischen Client und Server verschl sselt Dabei nutzen auch Versu che sich als das eine oder andere System auszugeben nichts da der Schl ssel hierf r nur dem lokalen und dem remote System bekannt ist 17 2 SSH Protokoll Versionen Das SSH Protokoll erlaubt jedem Client und Server Programm welches zu den Spezifikationen des Protokolls gebaut wurde sicher zu kommunizieren und austauschbar verwendet werden zu k nnen Zur Zeit gibt es zwei Versionen von SSH SSH Version 1 verwendet verschiedene patentierte Ver schl sselungsalgorithmen einige dieser Patente sind allerdings abgelaufen hat allerdings ein Si cherheitsrisiko das unter Umst nden erlaubt Daten in den Datenfluss einzuf gen Die OpenSSH Suite unter Red Hat Enterprise Linux verwendet standardm ig SSH Version 2 da diese Version des Protokolls einen erweiterten Algorithmus f r den Schl sselaustausch besitzt der nicht so anf llig ist Die OpenSSH Suite unterst tzt jedoch auch weiterhin SSH1 Verbindungen BB wicntic Es ist empfohlen nur SSH Version 2 kompatible Server und Clients zu verwenden sofern dies m glich ist 17 3 Die Abfolge der Vorg nge einer SSH Verbindung Die folgende Abfolge von Vorg ngen tragen zu einer unversehrten SSH Kommunikation zwisc
413. rity Service Application Program Interface definiert in RFC 2743 und her ausgegeben von der Internet Engineering Task Force ist eine Sammlung von Funktionen die Sicherheitsservices bereitstellen Clients k nnen mit diesenFunktionen Services authentifizieren und genauso k nnen Services Clients authentifizieren ohne das diese Programme ein spezifis ches Wissen der zugrundeliegenden Mechanismen ben tigen Sollte ein Netzwerk Service wie IMAP die GSS API verwenden kann dieser mittels Kerberos authentifizieren Hash Eine Zahl die aus Text generiert wurde und dazu verwendet wird sicherzustellen dass die bertragenen Daten nicht kompromittiert wurden Key Schl ssel Daten die zum Verschl sseln bzw Entschl sseln von Daten verwendet werden Verschl sselte Daten lassen sich ohne den richtigen Schl ssel nicht bzw nur durch wirklich leistungf hige Programme zum Herausfinden von Passw rtern entschl sseln Key Distribution Center KDC Ein Dienst der Kerberos Tickets ausgibt und normalerweise auf dem gleichen Host wie der Ticket Granting Server TGS ausgef hrt wird Key Table oder Keytab Eine Datei die eine unverschl sselte Liste aller Principals und ihrer Schl ssel enth lt Server holen sich die ben tigten Keys aus keytab Dateien statt kinit zu verwenden Die standardm ige keytab Datei ist etc krb5 keytab wobei usr kerberos sbin kadmind der einzige bekannte Service ist der eine andere Datei verwendet er v
414. rozesses oder durch Verwendung von X Configuration Tool F r weiteres zur Verwendung von X Configuration Tool schen Sie da Kapitel X Window System Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration Das folgende Beispiel zeigt einen typischen Device Abschnitt f r eine Grafikkarte Section Device Identifier Videocard0 Driver mga VendorName Videocard vendor BoardName Matrox Millennium G200 VideoRam 8192 Option dpms EndSection Die folgenden Eintr ge sind h ufig in einem Device Abschnitt verwendet Identifier Ein eindeutiger Name f r diesen Device Abschnitt Dies ist ein notwendiger Eintrag Driver Gibt an welchen Treiber der XFree86 Server laden muss um die Grafikkarte verwenden zu k nnen Eine Liste von Treibern kann in der Datei usr X11R6 1ib X11 Cards gefunden werden welche mit dem Paket hwdata installiert wird VendorName Gibt optional den Hersteller der Grafikkarte an BoardName Gibt optional den Namen der Grafikkarte an VideoRam Der RAM Speicher optional der Grafikkarte in Kilobytes Diese Einstellung ist normalerweise nicht notwendig da der XFree86 Server gew hnlich die Grafikkarte automatisch auf den verf gbaren Speicher pr ft Es gibt jedoch Grafikkarten die XFree86 nicht automatisch erkennen kann weswegen Ihnen diese Option die M glichkeit bietet manuell den Grafik RAM anzugeben BusID Gibt optional den Bus an in dem sich di
415. rsetzen Sie Replace lt N gt mit der Schnittstellennummer z B 0 Fiir jede konfigurierte Kanalverbindungs Schnittstelle muss es einen korrespondierenden Eintrag in etc modules conf geben 2 Konfigurieren Sie eine Kanalverbindungs Schnittstelle wie inAbschnitt 8 2 3 angegeben 3 Um die Leistung zu verbessern justieren Sie die verf gbaren Moduloptionen und stellen Sie fest welche Kombination am besten funktioniert Achten Sie besonders auf die miimon oder arp_interval und die arp_ip_target Parameter Unter Abschnitt A 3 2 1 finden Sie eine Auflistung aller verf gbaren Funktionen 4 Platzieren Sie die bevorzugten Moduloptionen nach dem Testen in etc modules conf A 3 2 1 bonding Modul Befehle Bevor Sie die Einstellungen des bonding Modules beenden w re es g nstig zu testen welche Ein stellungen am besten funktionieren ffnen Sie hierf r einen Shell Prompt als Root und schreiben Sie tail f var log messages ffnen Sie einen weiteren Shell Prompt und verwenden Sie den sbin insmod Befehl um das bonding Module mit anderen Parametern zu laden Beobachten Sie dabei ob der Kernel Fehlermel dungen ausgibt Der sbin insmod Befehl wird in folgendem Format ausgegeben sbin insmod bond lt N gt lt parameter value gt Ersetzen Sie lt N gt mit der Nummer der Verbindungs Schnittstelle Ersetzen Sie lt parameter value gt durch eine Liste der gew schten Paramter f r die Schnittstelle mit Leerstellen Trennung Anhan
416. rsion gt tux index html ffnen ersetzen Sie gt lt Version gt mit der bereits auf Ihrem System installierten TUX Versionsnummer Die f r diese Datei verf gbaren Parameter sind unter usr share doc tux lt Version gt tux parameters html aufgef hrt 4 1 35 etc sysconfig vnceservers Die Datei etc sysconfig vncservers konfiguriert wie der Virtual Network Computing VNC Server gestartet wird Bei VNC handelt es sich um ein System zur Remote Anzeige mit der Sie eine Bildschirmumgebung nicht nur auf dem zugeh rigen Rechner anzeigen k nnen sondern auch ber Kapitel 4 Das Verzeichnis sysconfig 43 verschiedene Netzwerke von LAN bis Internet und dabei eine Vielfalt von Rechnerarchitekturen verwenden k nnen VNC is a remote display system which allows users to view the desktop environment not only on the machine where it is running but across different networks on a variety of architectures Folgende Werte k nnen enthalten sein VNCSERVERS lt Wert gt wobei lt Wert gt z B wie folgt eingestellt wird 1 red Dies zeigt an dass ein VNC Server f r den Benutzer Fred auf Anzeige 1 gestartet werden sollte Benutzer Fred muss allerdings vorher mit vncpasswd ein VNC Passwort eingestellt haben um eine Verbindung mit dem Remote VNC Server herstellen zu k nnen Beachten Sie bitte dass Ihre Kommunikation nicht verschl sselt ist wenn Sie mit einem VNC Server arbeiten Sie sollten VNC also nicht auf einem unsicheren Netzwer
417. rt in der slapd Konfigurationsdatei etc openldap slapd conf F hren Sie usr sbin slappasswd aus um das Passwort zu erstellen ven Stellen Sie sicher dass slapd mit Hilfe von usr sbin service slapd stop angehalten wird bevor Sie slapadd slapcat Oder slapindex verwenden Andernfalls riskieren Sie die Integrit t des LDAP Verzeichnis Weitere Informationen zur Verwendung dieser Utilities finden Sie auf den jeweiligen man Seiten Das openldap clients Paket installiert Tools zum Hinzuf gen ndern und L schen von Eintr gen eines LDAP Verzeichnisses in usr bin Diese Tools beinhalten Folgendes 190 Kapitel 12 Lightweight Directory Access Protocol LDAP ldapmodify ndert Eintr ge in einem LDAP Verzeichnis durch Eingaben aus einer Datei oder von der Standardeingabe ldapadd F gt durch Annehmen von Eingaben ber eine Datei oder der Standardeingabe Ein tr ge zum Verzeichnis hinzu 1dapadd ist nichts anderes als ein harter Link zu ldapmodify a ldapdelete L scht Eintr ge aus einem LDAP Verzeichnis durch Annehmen von Eingaben des Benutzers am Terminal oder ber eine Datei ldapmodify ndert Eintr ge in einem LDAP Verzeichnis durch Eingaben aus einer Datei oder von der Standardeingabe ldappasswd Setzt das Passwort f r einen LDAP Benutzer ldapsearch Sucht mit Hilfe eines Shell Prompts im LDAP Verzeichnis nach Eintr gen Alle Utilities Ldapsearch ausgenommen sind einfa
418. rung erfolgreich sein kann Wenn bei einem requisite Modul Fehler auftreten wird der Benutzer hier ber sofort informiert Diese Mitteilung zeigt das erste fehlerhafte required oder requi site Modul an sufficient Bei solchen Modulen werden Fehler ignoriert Wenn ein sufficient Modul jedoch erfolgreich berpr ft wurde und kein required Modul fehlschl gt werden keine weiteren berpr fungen dieser Modul Schnittstelle ben tigt und diese wird erfolgreich authentifiziert optional Solche Module sind f r die erfolgreiche oder fehlgeschlagene Authentifizierung dieser Modul Schnittstelle nicht von Bedeutung Diese werden nur dann wichtig wenn kein an deres Modul dieser Modul Schnittstelle erfolgreich war oder fehlgeschlagen ist Bicon Die Reihenfolge in welcher requirea Module aufgerufen werden spielt keine Rolle Bei den Steuer Flags sufficient und requisite ist die Reihenfolge allerdings wichtig Eine neuere Steuer Flag Syntax mit immer mehr Kontrollm glichkeiten steht nun f r PAM zur Ver f gung Mehr Informationen ber diese neue Syntax finden Sie in den PAM Dokumentationen im Verzeichnis usr share doc pam version number wobei lt version number gt die Ver sionsnummer von PAM ist 13 3 3 Modulname Der Modulname liefert PAM den Namen des Pluggable Moduls das die angegebene Modulschnittstelle enth lt Unter lteren Versionen von Red Hat Enterprise Linux wurde der vollst ndige Pfad zum Modul in der PAM Konfigurat
419. rzeichnis Der Name des Ger te Verzeichnisses entspricht dem Laufwerksbuchstaben im dev Verzeichnis So ist z B das erste IDE Laufwerk in ide0 hda Anmerkung F r jedes dieser Ger te Verzeichnisse gibt es einen symbolischen Link zum proc ide Verzeichnis Jedes Ger te Verzeichnis enth lt eine Sammlung von Informationen und Statistiken Der Inhalt dieser Verzeichnisse ver ndert sich je nach angesprochenem Ger t Einige der wichtigen Dateien die bei verschiedenen Ger ten vorhanden sind umfassen unter anderem cache Der Ger te Cache capacity Die Kapazit t des Ger tes in 512 Byte Bl cken e driver Treiber und Treiberversion die benutzt wird um das Ger t anzusprechen geometry Physische und logische Geometrie des Ger tes media Der Ger te Typ wie zum Beispiel disk model Modellname oder Nummer des Ger tes settings Eine Liste von aktuellen Parametern des Ger tes Diese Datei enth lt normalerweise einige wissenswerte technische Informationen Ein Beispiel einer settings Datei f r eine Stan dard IDE Festplatte sieht so aus name value min max mode bios_cyl 784 0 65535 rw bios_head 255 0 255 rw bios_sect 63 0 63 rw breada_readahead 4 0 27 rw bswap 0 0 t current_speed 66 0 69 rw file_readahead 0 0 2097151 rw ide_scsi 0 0 rw init_speed 66 0 69 rw io_32bit 0 0 3 rw keepsettings 0 0 rw lun 0 0 7 rw max_kb_per_request 64 1 27 rw multcount 8 0 8 rw nicel 1 0 rw nowerr 0
420. rzeichnis zuzugreifen einen NFS Mount auf dem server example com System innerhalb des exportierten Dateisystems zur Folge hat Die Mount Optionen geben an dass bei jedem NFS Mount des home Verzeichnisses bestimmte Einstellungen verwendet werden Weitere Informationen ber Mount Optionen einschlie lich der in diesem Beispiel verwendeten finden Sie unter Abschnitt 9 4 3 F r weitere Informationen ber aut ofs Konfigurationsdateien siehe die auto master man Seite 128 Kapitel 9 Netzwerk Dateisystem Network File System NFS 9 4 3 Allgemeine NFS Mount Optionen Neben dem Mounten eines Dateisystems auf einem Remote Host via NFS k nnen eine Anzahl anderer Optionen zum Zeitpunkt des Mountens festgelegt werden Diese Optionen k nnen gemeinsam mit den manuellen mount Befehlen etc fstab Einstellungen undautofs verwendet werden Im Folgenden sind die blichen Optionen f r NFS Mounts aufgef hrt hardoder soft Legt fest ob das Programm das eine Datei ber eine NFS Verbindung verwen det anhalten und auf den Server warten soll hard bis dieser wieder online ist wenn der Host der das exportierte Dateisystem betreut nicht zur Verf gung steht oder einen Fehler meldet soft Wenn Sie hard festlegen k nnen Sie den Prozess des Wartens auf eine NFS Verbindung nicht aufheben es sei denn Sie haben auch die Option intr festgelegt Wenn Sie die Option soft bestimmen k nnen Sie eine weitere timeo lt Wert gt Option ein st
421. s linear raidl read_ahead 1024 sectors md0 active raidl sda2 1 sdb2 0 9940 blocks 2 2 UU resync 1 finish 12 3min algorithm 2 3 3 UUU Kapitel 5 Das proc Dateisystem 55 unused devices lt none gt 5 2 19 proc meminfo Dies ist eine der eher h ufig benutzten Dateien im Verzeichnis proc da sie viele wertvolle Informa tionen tiber die RAM Auslastung des Systems ausgibt Die folgende virtuelle Datei proc meminfo stammt von einem System mit 256MB Ram und 384MB Swap Space total used free shared buffers cached Mem 128692224 121212928 7479296 0 9293824 47964160 Swap 1103093760 32772096 1070321664 MemTotal 125676 kB MemF ree 7304 kB MemShared 0 kB Buffers 9076 kB Cached 34204 kB SwapCached 12636 kB Active 79352 kB ActiveAnon 57308 kB ActiveCache 22044 kB Inact_dirty 240 kB Inact_laundry 17468 kB Inact_clean 984 kB Inact_target 19608 kB HighTotal 0 kB HighFree 0 kB LowTotal 125676 kB LowF ree 7304 kB SwapTotal 1077240 kB SwapFree 1045236 kB HugePages_Total 2 HugePages_Free 2 Hugepagesize 2096 kB Viele der hier ausgegebenen Informationen werden von den Befehlen free top und ps verwendet Die Ausgabe von free ist sogar im Aufbau und Inhalt ahnlich wie proc meminfo Wenn Sie die Datei proc meminfo direkt ansehen k nnen Sie noch mehr Details ansehen Mem Zeigt den aktuellen Status des physischen Arbeitsspeichers im System mit einer kompletten Auflistung vom gesamten
422. s 148 f r Cache Funktionalit ten 160 Group 149 HeaderName 157 HostnameLookups 153 IfDefine 149 IfModule 146 Include 148 IndexIgnore 157 IndexOptions 156 KeepAlive 146 Siehe auch KeepAliveTimeout Problembehebung 146 KeepAliveTimeout 146 LanguagePriority 157 Listen 148 LoadModule 148 Location 159 LogFormat Format Optionen 154 LogLevel 154 MaxClients 147 MaxKeepAliveRequests 146 MaxRequestsPerChild 147 MaxSpareServers 147 MaxSpareThreads 147 MinSpareServers 147 MinSpareThreads 147 NameVirtualHost 160 Options 151 Order 151 PidFile 145 Proxy 159 ProxyRequests 159 ProxyVia 159 ReadmeName 157 Redirect 155 ScriptAlias 155 ServerAdmin 149 ServerName 149 ServerRoot 145 ServerSignature 155 SetEnvIf 161 SSL Konfiguration 161 StartServers 147 ThreadsPerChild 148 Timeout 146 TypesConfig 153 UseCanonicalName 150 User 149 UserDir 152 VirtualHost 161 Konventionen Dokument v Kopieren und Einfiigen von Text beim Verwenden von X viii kwin 90 Siehe auch XFree86 L LanguagePriority Apache Konfigurationsanweisung 157 LDAP Applikationen Idapadd 189 Idapdelete 189 Idapmodify 189 Idappasswd 189 Idapsearch 189 OpenLDAP Suite 189 slapadd 189 slapcat 189 slapcat gdbm 189 slapd 189 slapindex 189 slappasswd 189 slurpd 189 Utilities 189 Authetifizierung unter Verwendung von 194 etc ldap conf bearbeiten 194 etc nsswitch conf bearbeiten 194 etc op
423. s sehen Sie Kapitel 2 1 2 2 1 Bootloader f r andere Architekturen Ist der Kernel erst einmal geladen und bergibt den Bootprozess zum init Befehl erfolgt die selbe Abfolge von Events auf jeder Architektur Der Hauptunterschied zwischen den Bootprozessen der verschiedenen Architekturen liegt deshalb in der Applikation welche zum Finden und Laden des Kernel verwendet wird Die Alpha Architektur zum Beispiel verwendet den aboot Bootloader die Itanium Architektur den ELILO Bootloader IBM pSeries verwendet YABOOT und IBM s390 Systeme den z IPL Bootloader Lesen Sie das f r die jeweilige Plattform spezifische Red Hat Enterprise Linux Installationshandbuch f r Informationen zum Konfigurieren der Bootloader 2 Detaillierte Informationen zum Erstellen von initrd sehen Sie das Kapitel Das ext3 Dateisystem im Red Hat Enterprise Linux Handbuch zur System Administration 4 Kapitel 1 Bootprozess Init und Shutdown 1 2 3 Der Kernel Wenn der Kernel l dt initialisiert und konfiguriert er sofort den Arbeitsspeicher des Computers An schlieBend wird die an das System angeschlossene Hardware konfiguriert einschlieBlich aller Pro zessoren und E A Subsysteme sowie alle Speicherger te Dann sucht er nach dem komprimierten init rd Image an einem bestimmten Speicherort im Speicher dekomprimiert es mountet es und l dt alle notwendigen Treiber Danach initialisiert er die mit dem Dateisystem verbundenen virtuellen Ge r te wie LVM oder Sof
424. s und Port existieren nicht mehr ihre Funktionen wurde durch eine flexiblere Listen Anweisung ersetzt Wenn Sie in Ihrer 1 3 Version die Konfigurationsdatei auf Port 80 gesetzt haben sollten Sie diese auf Listen 80 um ndern Hatten Sie Port auf einen Wert gesetzt der nicht 80 war dann m ssen Sie auch die Port Nummer an den Inhalt Ihrer ServerName Anweisung anh ngen Folgendes ist ein Beispiel einer Apache HTTP Server 1 3 Anweisung 134 Kapitel 10 Apache HTTP Server Port 123 ServerName www example com Verwenden Sie folgende Struktur um diese Einstellung zu Apache HTTP Server 2 0 zu migrieren Listen 123 ServerName www example com 123 Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mpm_common html listen http httpd apache org docs 2 0 mod core html servername 10 2 1 2 Server Pool Gr eneinstellung Wenn Apache HTTP Server Anforderungen annimmt werden Child Prozesse oder Threads erzeugt die diese bernehmen Diese Gruppe von Child Prozessen oder Threads wird server pool genannt Die Verantwortung der Handhabung von Annahmen und Versenden von Child Prozessen wurde in Apache HTTP Server 2 0 in einer Modulgruppe mit dem Namen Multi Processing Modules MPMs zusammengefasst Im Gegensatz zu anderen Modulen kann nur ein Modul der MPM Gruppe von Apache HTTP Server geladen werden da ein MPM Modul f r grundlegende Anfrage
425. satz von TCP Wrappers nicht Zugelassene Benutzer bemerken keinen Unterschied und Angreifer erhalten niemals zus tzliche Informationen ber den Grund daf r warum ihr Verbindungsversuch fehlgeschlagen ist e Zentralisiertes Management von mehreren Protokollen TCP Wrappers arbeiten unabh ngig vom Netzwerkdienst den sie sch tzen Dies erlaubt es mehreren Server Applikationen sich eine gemein same Gruppe von Konfigurationsdateien zu teilen was ein vereinfachtes Management zur Folge hat 14 2 TCP Wrappers Konfigurationsdateien Um zu bestimmen ob es einer Client Maschine erlaubt ist zu einem gewissen Service zu verbin den verwenden TCP Wrappers die folgenden zwei Dateien die auch Hosts Zugriffsdateien gennant werden e etc hosts allow Kapitel 14 TCP Wrappers und xinetd 213 e etc hosts deny Wenn ein Verbindungsversuch zu einem TCP wrapped Service eingeleitet wird wird der Service folgende Schritte durchfiihren 1 Der Service wird zuerst etc hosts allow untersuchen Der TCP wrapped Service arbeitet die Datei etc hosts allow sequentiell ab und wendet die erste f r diesen Service angegebene Regel an Sollte dieser eine solche Regel finden erlaubt dieser die Verbindung Wenn nicht wird dieser zum Schritt 2 bergehen 2 Der Service untersucht etc hosts deny Der TCP wrapped Service arbeitet die Datei etc hosts deny sequentiell ab Sollte es eine entsprechende Regel finden wird die Verbindung abgel
426. sche Dateien f r jeden Controller enth lt F r unser Beispiel oben gibt es also die Ver zeichnisse aic7xxx und megaraid da diese beiden Treiber benutzt werden Die Dateien in diesen beiden Unterverzeichnissen beinhalten typischerweise I O Adressbereiche IRQ Informationen und Statistiken f r den SCSI Controller der den Treiber benutzt Jeder Controller liefert Informationen in verschiedener Gr e und Art Der Adaptec AIC 7880 Ultra SCSI Hostadapter in unserem Beispiel gibt folgende Ausgabe Adaptec AIC7xxx driver version 5 1 20 3 2 4 Compile Options TCQ Enabled By Default Disabled AIC7XXX_PROC_STATS Enabled AIC7XXX_RESET_DELAY pop Adapter Configuration SCSI Adapter Adaptec AIC 7880 Ultra SCSI host adapter Ultra Narrow Controller PCI MMAPed I O Base Oxfcffe000 Adapter SEEPROM Config SEEPROM found and used Adaptec SCSI BIOS Enabled IRQ 30 SCBs Active 0 Max Active 1 Allocated 15 HW 16 Page 255 Interrupts 33726 BIOS Control Word 0x18a6 68 Kapitel 5 Das proc Dateisystem Adapter Control Word Oxlc5Sf Extended Translation Enabled Disconnect Enable Flags O0x00ff Ultra Enable Flags 0x0020 Tag Queue Enable Flags 0x0000 Ordered Queue Tag Flags 0x0000 Default Tag Queue Depth 8 Tagged Queue By Device array for aic7xxx host instance 1 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 Actual queue depth per device for aic7xxx host instance 1 Ueda ie E21 171753 Statistics s
427. sconfig kudzu Mit etc sysconfig kuzdu k nnen Sie beim Booten mit Hilfe von kudzu eine sichere berpr fung Ihrer System Hardware vornehmen Bei einer sicheren berpr fung wird die berpr fung der seriellen Ports deaktiviert SAFE lt Wert gt wobei lt Wert gt einer der folgenden Werte ist yes kuzdu f hrt eine sichere berpr fung aus no kuzdu f hrt eine normale berpr fung aus 4 1 19 etc sysconfig mouse Die Datei etc sysconfig mouse stellt Informationen ber die verf gbare Maus zur Verf gung Die folgenden Werte k nnen verwendet werden e FULLNAME lt Wert gt wobei sich lt wWert gt auf den vollen Namen der verwendeten Mausart bezieht e MOUSETYPE lt Wert gt wobei lt Wert gt einer der folgenden Werte ist imps2 Generische USB Rad Maus microsoft Microsoft Maus mouseman MouseMan Maus mousesystems Mouse Systems Maus ps 2 PS 2 Maus msbm Microsoft Bus Maus logibm Logitech Bus Maus atibm ATI Bus Maus logitech Logitech Maus mmseries ltere MouseMan Maus Kapitel 4 Das Verzeichnis sysconfig 39 mmhittab mmhittab Maus e XEMU3 lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes Die Maus hat nur zwei Buttons drei Buttons sollten jedoch emuliert werden no Die Maus hat bereits drei Buttons e XMOUSETYPE lt Wert gt wobei sich lt wert gt auf die Maus
428. sekunden fest wie lange gewartet werden soll bevor eine Verbindung aktiviert wird Der Wert muss ein Vielfaches des Wertes betragen der im miimon Parameter bes timmt wurde Der Wert ist standardm ig auf 0 gestellt was die Funktion deaktiviert arp_interval Legt in Millisekunden fest wie oft ARP Beobachtung eintritt Wenn Sie diese Einstellung in mode 0 oder 2 die zwei Modi zum Lastenausgleich verwenden muss der Netzwerk Schalter so konfiguriert sein dass er die Pakete gleichm ig ber die NICs verteilt Weitere Informationen zu dieser Funktion finden Sie unter usr src linux 2 4 Documentation networking bonding txt 2 Dieses Dokument wird mit dem kernel source Paket installiert 268 Anhang A Allgemeine Parameter und Module Der Wert ist standardm ig auf 0 eingestellt was die Funktion deaktiviert arp_ip_target Legt die Ziel IP Adresse von ARP Anfragen fest wenn der arp_interval Parameter aktiviert ist In einer Liste mit Kommatrennung k nnen bis zu 16 IP Adressen festgelegt werden e primary Bestimmt den Namen der Schnittstelle des prim ren Ger tes z B eth0 Das pri mary Ger t ist die erste der verbundenen Schnittstellen die verwendet wird Sie wird nicht aufge lassen au er wenn sie versagt Diese Einstellung ist vor allem dann hilfreich wenn eine NIC in der verbundenen Schnittstelle schneller ist und daher eine gr ere Last bernehmen kann Diese Einstellung ist nur dann g ltig wenn sich
429. selbst zu beobachten ohne die eigene Prozess ID zu kennen In einer Shell Umgebung hat eine Auflistung des Verzeichnises proc self den gleichen Inhalt wie die Auflistung des Prozess Verzeichnisses dieses Prozesses 5 3 2 proc bus Dieses Verzeichnis enth lt spezifische Informationen zu den verschiedenen Bussystemen die auf ei nem System verf gbar sind Zum Beispiel finden Sie auf einem Standard PC mit PCI und USB Bussen aktuelle Daten zu jedem dieser Bussysteme in einem Unterverzeichnis von proc bus das den Namen des Busses hat wie z B proc bus pci Die Unterverzeichnisse und Dateien im Verzeichnis proc bus h ngen von den zum System ver bundenen Ger ten ab Jeder Bustyp hat jedoch zumindest ein Verzeichnis Innerhalb dieser Bus Verzeichnisse befindet sich zumindest ein Unterverzeichnis mit einem numerischen Namen wie 001 das Bin rdateien enth lt Das Verzeichnis proc bus usb enth lt Dateien die zu Ger ten an den USB Bussen geh ren genauso wie die Treiber die gebraucht werden um die Ger te zu benutzen Folgend ist ein Beispiel eines proc bus usb Verzeichnisses total 0 dr xr xr x 1 root root 0 May 3 16 25 001 SELL 1 root root 0 May 3 16 25 devices SI Teer 1 root root 0 May 3 16 25 drivers Das Verzeichnis proc bus usb 001 enth lt alle Ger te am ersten USB Bus Wenn Sie sich den Inhalt der Datei devices ansehen k nnen Sie sehen dass es sich um das USB root Hub auf dem Mainboard handelt Folgend i
430. sgegeben Die folgende Beispielregel verwendet eine Expansion in Verbindung mit dem spawn Befehl um den Host des Clients in einer benutzerdefinierten Log Datei zu identifizieren Sollte ein Verbindungsversuch zum SSH Daemon sshd von einem Host in der example com Do main unternommen werden f hre den Befehl echo aus um den Versuch in eine spezielle Logdatei zu schreiben einschlie lich desHostnamen des Client unter Verwendung von h sshd example com spawn bin echo bin date access denied to h gt gt var log sshd log deny hnlich k nnen Expansionen dazu verwendet werden um Nachrichten auf bestimmte Clients abzu stimmen Im folgenden Beispiel wird Clients welche versuchen auf FTP Services von der exam ple com Domain aus zuzugreifen mitgeteilt dass diese vom Server ausgeschlossen wurden vsftpd example com twist bin echo 421 h has been banned from this server F r eine vollst ndige Erkl rung der verf gbaren Expansionen wie zus tzlichen Zugriffskontroll Optionen sehen Sie Abschnitt 5 der man Seiten von hosts_access man 5 hosts_access und die man Seite f r hosts_options F r zus tzliche Informationen zu TCP Wrappers sehen Sie Abschnitt 14 5 F r weitere Information zur Sicherung von TCP Wrappers sehen Sie das Kapitel Server Sicherheit im Red Hat Enterprise Linux Sicherheitshandbuch Kapitel 14 TCP Wrappers und xinetd 219 14 3 xinetd Der xinetd Daemon ist ein TCP wrapped Supe
431. sh com Die OpenSSH FAQ Seite Bugreports Mailinglisten Projektziele und eine technische Erkl rung der Sicherheitseigenschaften http www openssl org Die OpenSSL FAQ Seite Mailinglisten und eine Beschreibung des Pro jektziels http www freessh org SSH Client Software f r andere Plattformen 17 7 3 Bucher zum Thema Red Hat Enterprise Linux Handbuch zur System Administration Red Hat Inc Das Kapitel OpenSSH beschreibt die Einrichtung eines SSH Servers und die Verwendung der SSH Client Soft ware die mit der OpenSSH Toolsuite ausgeliefert wird Desweiteren wird beschrieben wie ein RSA oder DSA Schl sselpaar erstellt wird das passwortloses Anmelden erm glicht 260 Kapitel 17 SSH Protokoll IV Anhang Inhaltsverzeichnis A Allgemeine Parameter und Module redhat Anhang A Allgemeine Parameter und Module Dieser Anhang soll einige der m glichen Parameter erkl ren die f r bestimmte h ufig verwendete Hardware Treiber die unter Red Hat Enterprise Linux Kernel Module genannt werden In den mei sten F llen sind diese zus tzlichen Parameter nicht notwendig da der Kernel das Ger t bereits ohne sie verwenden kann Es k nnte jedoch vorkommen dass zus tzliche Modul Parameter notwendig sind damit ein Ger t richtig arbeitet oder wenn Sie die Standardparameter f r das Ger t berschreiben m chten W hrend der Installation verwendet Red Hat Enterprise Linux eine eingeschr nkte Unter
432. sind 13 7 1 Besitzrechte von Ger ten Wenn sich ein Benutzer unter Red Hat Enterprise Linux in einem Computer anmeldet wird das pam_console so Modul durch login oder die grafischen Anmeldeprogramme gdm und kdm auf gerufen Ist dieser Benutzer der erste Benutzer der sich in der physischen Konsole anmeldet Konsolen Benutzer genannt bewilligt das Modul dem Benutzer das Besitzrecht einer ganzen Reihe von Ger ten die normalerweise im Besitz von Root sind Der Konsolen Benutzer besitzt diese Ge r te solange bis die letzte lokale Sitzung f r diesen Benutzer beendet ist Sobald sich der Benutzer abgemeldet hat kehrt das Besitzrecht auf seinen Standardwert zur ck Es sind alle Ger te betroffen nicht nur Soundkarten Disketten Laufwerke und CD ROM Laufwerke Dadurch hat der lokale Benutzer die M glichkeit diese Ger te zu bearbeiten ohne als Root angemel det zu sein was allgemeine Tasks f r den Konsolen Benutzer vereinfacht Die Liste von Ger ten die von pam_console so kontrolliert werden k nnen vom Administrator in der Datei etc security console perms bearbeitet werden AB Warnung Wenn die Konfigurationsdatei des gdm kdm oder xdm Display Manager ge ndert wurde um Remote Benutzern den Zugriff zu gew hren und der Host ist zur Ausf hrung in Runlevel 5 konfiguriert dann wird empfohlen die lt console gt und lt xconsole gt Anweisungen in der Datei etc security console perms auf folgende Werte zu ndern lt c
433. sion number gt mit der Version des installierten initscripts Pakets f r Konfigurationsparameter wenn manuelle Key Verschl sselung mit IPsec verwendet wird Wenn racoon verwendet wird um Key Verschl sselung automatisch zu verwalten sind folgende Optionen erfordert Kapitel 8 Netzwerk Schnittstellen 111 e IKE_METHOD lt encryption method gt wobei lt encryption method gt entweder PSK x509 oder GSSAPI ist Wenn PSK angegeben ist muss der IKE_PSK Parameter gesetzt sein Wenn x509 angegeben ist muss der IKE_CERTFILE Parameter auch gesetzt sein e IKE_PSK lt shared key gt wobei lt shared key gt der gemeinsame geheime Wert f r die PSK Preshared Keys Methode ist IKE_CERTFILE lt cert file gt wobei lt cert file gt eine g ltige X 509 Zertifikatsdatei f r den Host ist e IKE_PEER_CERTFILE lt cert file gt wobei lt cert file gt eine g ltige X 509 Zertifikats datei f r den Remote Host ist e IKE_DNSSEC lt answer gt wobei lt answer gt yes ist Der racoon Daemon empf ngt das X 509 Zertifikat des Remote Host ber DNS Wenn ein IKE_PEER_CERTFILE angegeben ist schlie en Sie diesen Parameter nicht ein F r weitere Informationen zu Verschl sselungsalgorithmen die f r IPsec verf gbar sind sehen Sie die setkey man Seite F r weitere Informationen zu racoon sehen Sie racoon und die racoon conf man Seiten 8 2 3 Channel Bonding Schnittstellen Red Hat Enterprise Linux erlaubt Administratoren mehre
434. skripte gespeicherte Regeln sind in der Datei etc sysconfig ip6stables save Die Konfigurationsdatei f r ip6tables Initskripte ist etc sysconfig ip6tables configund die Namen der Anweisungen sind leicht verschieden Die iptables config Anweisung zum Bei spiel IPTABLES_MODULES ist IP6TABLES_MODULES in ip6tables config 15 7 Zus tzliche Informationsquellen Zus tzliche Informationen zur Paketfilterung mit iptables finden Sie in den weiter unten aufgef hr ten Quellen 15 7 1 Installierte Dokumentation man iptables Enth lt eine Beschreibung von iptables und eine umfangreiche Liste ver schiedener Befehle Parameter und anderer Optionen 15 7 2 Hilfreiche Websites http netfilter samba org Die Homepage des Netfilter iptables Projektes Enth lt ausgew hlte Informationen zu iptables sowie FAQ zu spezifischen Problemen denen Sie unter Umst nden begegnen verschiedene hilfreiche Handb cher von Rusty Russell dem Linux IP Firewall Warter In diesen Anleitungen werden Themen wie z B Netzwerkgundlagen 2 4 Kernel Paketfilterung und NAT Konfigurationen besprochen 240 Kapitel 15 iptables http Avww linuxnewbie org nhf Security IPtables_Basics html Ein sehr allgemeiner berblick dariiber wie sich Pakete durch den Linux Kernel bewegen plus eine Einleitung zur Erstellung von einfachen iptables Befehlen http www redhat com support resources networking firewall html Auf dieser Webseite finden Sie d
435. socket_type Setzt den Netzwerk Sockettyp auf st ream wait Bestimmt ob ein Service Single Threaded yes oder Multi Threaded no ist user Bestimmt die User ID unter der der Prozess abl uft server Bestimmt die auszuf hrende Bin rdatei log_on_success Bestimmt die Protokoll Parameter f r log_on_success zus tzlich zu den in xinetd conf eingestellten log_on_failure Bestimmt die Protokoll Parameter f r 1og_on_failure zus tzlich zu den in xinetd conf eingestellten disable Bestimmt ob der Service aktiv oder inaktiv ist Kapitel 14 TCP Wrappers und xinetd 221 14 4 3 Andern von xineta Konfigurationsdateien Es gibt eine gro e Anzahl an Direktiven fiir xinetd gesch tzte Dienste Dieser Abschnitt beschreibt einige der h ufig verwendeten Optionen 14 4 3 1 Protokoll Optionen Die folgenden Protokoll Optionen stehen f r etc xinetd conf und die servicespezifischen Kon figurationsdateien im Verzeichnis etc xinetd d zur Verf gung Hier eine Liste der h ufig verwendeten Protokoll Optionen ATTEMPT Protokolliert einen fehlgeschlagenen Versuch log_on_failure DURATION Protokolliert die Zeitdauer der Dienstnutzung seitens eines Remote Systems log_on_success EXIT protokolliert das Beenden oder das Endsignal des Dienstes Log_on_success HOST Protokolliert die IP Adresse des Remote Host Rechners log_on_failure und log_on_success PID Protokol
436. sr sbin export fs die korrekten Optionen erh lt wird dasexportierte Dateisy stemin var lib nfs xtab gespeichert Darpc mountd sich f r das Festlegen der Privilegien f r den Zugriff auf ein Dateisystem auf die Datei xtab bezieht werden nderungen an der Liste der exportierten Dateisysteme sofort wirksam Bei der Verwendung des Befehls usr sbin exportfs stehen folgende bliche Optionen zur Ver f gung e r Alle in etc exports aufgelistete Verzeichnisse werden exportiert und in etc lib nfs xtab wird eine neue Exportliste erstellt Durch diese Option wird die Exportliste einschlie lich aller nderungen die in etc exports vorgenommen wurden aktualisiert a Alle Verzeichnisse werden exportiert oder nicht exportiert je nachdem welche anderen Op tionen in usr sbin exportfs gew hlt wurden Wenn keine anderen Optionen festgelegt wur den exportiert usr sbin export fs alle in etc exportsfestgelegten Dateisysteme o file systems Erm glicht dem Benutzer Verzeichnisse zum Exportieren festzulegen die nicht in etc exports aufgef hrt sind Ersetzen Sie file systems mit den zus tzlichen Dateisystemen die exportiert werden sollen Diese Dateisysteme m ssen auf dieselbe Weise formatiert werden wie sie in etc exports angegeben sind Siehe Abschnitt 9 3 1 f r weitere Informationen ber die etc exports Syntax Diese Option wird oft verwendet um exportierte Dateisysteme zu testen bevor sie endg ltig zu der Liste de
437. sse oder dem voll qualifizierten Domain Namen des Servers der das Dateisystem exportiert Ersetzen Sie lt remote export gt mit dem Pfad zum exprotierten Verzeichnis Ersetzen Sie lt options gt mit einer Komma Trennliste f r die Optionen des NFS Dateisystems F r Details siehe Abschnitt 9 4 3 Da die autofs Konfigurationsdateien f r eine Anzahl verschiedener Mounts f r viele Arten von Ge r ten und Dateisystemen verwendet werden k nnen sind sie besonders f r die Erstellung von NFS Mount hilfreich Einige Organisationen speichern zum Beispiel das Benutzerverzeichnis home mit hilfe eines NFS Shares auf einem zentralen Server Anschlie end wird die Datei auto master auf jeder Workstation konfiguriert um auf eine auto home Datei zu verweisen die genaue Angaben enthalten wie das Verzeichnis home via NFS zu mounten ist Der Benutzer erh lt soZugriff auf pers nliche Daten und Konfigurationsdateien im Verzeichnis home indem er sich irgendwo im internen Netzwerk anmeldet In diesem Fall w rde die Datei auto master wie folgt aussehen home etc auto home Dies stellt den home Mount Punkt auf dem lokalen System so ein dass er mit der Datei etc auto home konfiguriert wird die wie folgendes Beispiel aussieht fstype nfs soft intr rsize 8192 wsize 8192 nosuid tcp server example com home Diese Zeile gibt an dass jeder Versuch eines Benutzers im lokalen home Verzeichnis aufgrund des Sternchens auf irgendein Ve
438. st ein Beispiel der Datei proc bus usb devices Bus 01 Lev 00 Prnt 00 Port 00 Cnt 00 Dev 1 Spd 12 MxCh 2 Alloc 0 900 us 0 Int 0 Iso 0 Ver 1 00 Cls 09 hub Sub 00 Prot 00 MxPS 8 Cfgs 1 Vendor 0000 ProdID 0000 Rev 0 00 Product USB UHCI Root Hub SerialNumber d400 Ifs 1 Cfg 1 Atr 40 MxPwr OmA If 0 Alt 0 EPs 1 Cls 09 hub Sub 00 Prot 00 Driver hub Ad 81 I Atr 03 Int MxPS 8 Ivl 255ms BHaunn wow H 5 3 3 proc driver Dieses Verzeichnis enth lt Informationen zu bestimmten Treibern die vom Kernel verwendet werden Eine allgemein hier zu findende Datei ist rtc welche die Ausgabe des Treibers f r die Echtzeituhr RTC ein Ger t zum Erhalten der Zeit w hrend der Rechner ausgeschaltet ist darstellt Eine Bei spielausgabe von proc driver rtc rtc_time 01 38 43 rtc_date 1998 02 13 rtc_epoch 1900 alarm 00 00 00 64 Kapitel 5 Das proc Dateisystem DST_enable no BCD yes 24hr yes square_wave no alarm_IRO no update_IRO no periodic_IRQ no periodic_freq 1024 batt_status okay Informationen ber den RTC finden Sie unter usr src linux 2 4 Documentation rtc txt 5 3 4 proc fs Dieses Verzeichnis zeigt an welche Dateisysteme exportiert werden Arbeiten Sie mit einem NFS Server geben Sie cat proc fs nfs exports ein um die gemeinsam verwendeten Dateisyste me und die daf r gew hrten Berechtigungen anzuzeigen Weitere Informationen zur gemeinsamen Verwendung
439. stelle startet werden die Konfigurationsoptionen von ifcfg eth0 und ifcfg eth0 user kombiniert Dies ist zwar nur ein sehr einfaches Beispiel diese Methode kann ber f r viele verschiedene Optionen und Schnitt stellen verwendet werden Der einfachste Weg zur Erstellung von Alias und Clone Schnittstellen Konfigurationsdateien ist die Verwendung des grafischen Network Administration Tool Weitere Informationen zur Verwendung dieses Tools finden Sie im Kapitel Netzwerk Konfiguration im Red Hat Enterprise Linux Handbuch zur System Administration 8 2 5 Schnittstellen f r den Verbindungsaufbau Wenn Sie ber einen Dialup Account mit dem Internet verbinden brauchen Sie eine Konfigurations datei f r diese Schnittstelle PPP Schnittstellendateien haben das Format ifcfg ppp lt x gt wobei lt X gt eine eindeutige einer spezifischen Schnittstelle entsprechende Nummer ist Die Konfigurationsdatei der PPP Schnittstelle wird automatisch erzeugt wenn Sie wvdial Network Administration Tool oder Kppp verwenden um einen Dialup Account zu erzeugen Sie k nnen diese Datei aber auch manuell erstellen und bearbeiten Folgend ist eine typische ifcfg ppp0 Datei DEVICE ppp0 NAME test WVDIALSECT test MODEMPORT dev modem LINESPEED 115200 PAPNAME test USERCTL true ONBOOT no PERSIST no DEFROUTE yes PEERDNS yes DEMAND no IDLETIMEOUT 600 Serial Line Internet Protocol SLIP ist eine weitere Dialup Schnittstelle wird im allgemeinen aber s
440. stungsstatistiken auf der Basis der Zugriffe erstellen m chten muss Ihnen bekannt sein wo diese Datei abgelegt ist Kapitel 10 Apache HTTP Server 155 CustomLog stellt au erdem das Protokolldateiformat auf common ein Das Protokolldateiformat common sieht folgenderma en aus remotehost rfc931 user date request status bytes referrer user agent 10 5 38 serverSignature Die Anweisung ServerSignature fiigt in alle vom Server erstellten Dokumente eine Zeile ein die die Apache Serverversion und den ServerName des Rechners enth lt auf dem der Server ausge f hrt wird z B Fehlermeldungen die an Clients zur ckgesendet werden ServerSignature ist standardm ig auf on eingestellt Sie k nnen die Einstellung auf off setzen oder auf EMail was einen mailto ServerAdmin HTML Tag in die Signaturzeile einf gt 10 5 39 Alias Mit der Einstellung Alias k nnen Verzeichnisse au erhalb des Verzeichnisses Document Root liegen und der Web Server kann dennoch darauf zugreifen Jede URL die mit dem Alias endet verzweigt automatisch zum Aliaspfad Als Standard Einstellung ist bereits ein Alias eingerichtet Auf das Ver zeichnis icons kann vom Web Server zugegriffen werden liegt liegt jedoch nicht Document Root 10 5 40 ScriptAlias Die Einstellung ScriptAlias legt fest wo CGI Skripts oder andere Skriptarten abgelegt sind Im Allgemeinen sollten CGI Skripts nicht in Document Root abgelegt werden In Document Root abge legte CG
441. sysconfig dhcpd wird verwendet um beim Booten Argumente an den dhcpd Daemon zu bertragen Der dhcpd Daemon implementiert das Dynamic Host Configuration Protocol DHCP und das Internet Bootstrap Protocol BOOTP DHCP und BOOTP weisen Rechnern auf dem Netzwerk Hostnamen zu Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf den man Seiten von dhcpd 4 1 8 etc sysconfig firstboot Ab Red Hat Linux 8 0 ruft das Programm sbin init beim Erststart des Systems das Skript etce rc d init d firstboot auf Dieses Skript ruft seinerseits Setup Agent auf Diese Applikation erm glicht dem Benutzer das Installieren weiterer Anwendungen und Dokumentation vor dem Abschluss des Initialstarts Die Datei etc sysconfig firstboot weist den Setup Agent einfach an nicht ausgef hrt zu werden Wenn diese Applikation beim n chsten Systemstart ausf hren m chten m ssen Sie einfach nur etc sysconfig firstboot entfernen und chkconfig level 5 firstboot on aus f hren Kapitel 4 Das Verzeichnis sysconfig 35 4 1 9 etc sysconfig gpm Die Datei etc sysconfig gpm wird verwendet um beim Booten Argumente an den gpm Daemon zu bertragen Der gpm Daemon ist der Maus Server mit dem die Geschwindigkeit der Maus erh ht und die M glichkeit des Kopierens mit der mittleren Maus Taste geschaffen werden kann Weitere Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf den man Seiten v
442. system Network File System NFS 9 6 Zusatzliche Informationsquellen Das Verwalten eines NFS Servers kann eine Herausforderung sein Es gibt viele Optionen um NFS Dateisysteme zu exportieren oder zu mounten Einige davon wurden in diesem Kapitel nicht erwahnt Weitere Informationen finden Sie in den angegebenen Quellen 9 6 1 Installierte Dokumentation e usr share doc nfs utils lt Versionsnummer gt Ersetzen Sie lt Versionsnummer gt mit der Versionsnummer des installierten NFS Pakets Dieses Verzeichnis enth lt einen Menge an Informationen ber die NFS Implementierung f r Linux wobei auch ein Blick auf die verschiedenen NFS Konfigurationen und ihre Auswirkungen auf die bertragung von Dateien geworfen wird man mount Enth lt einen umfassenden berblick ber die Mount Optionen fiir NFS Server und Client Konfigurationen man fstab Bietet Details ber das Format der Datei etc fstab die beim Hochfahren des Systems Dateisysteme mountet e man nfs Liefert Details ber den Export von NFS spezifischen Dateisystemen und Mount Optionen man exports Zeigt allgemeine Optionen an die w hrend des Exportierens von NFS Dateisystemenin der Datei etc exports verwendet werden 9 6 2 N tzliche Websites http sourceforge net projects nfs Die Homepage des Linux NFS Project und eine gro artige Quelle f r Projektstatus Upgrades 9 6 3 Zus tzliche Literatur Managing NFS and NIS von Hal
443. t 10 5 20 DocumentRoot DocumentRoot ist das Verzeichnis das die meisten HTML Dateien enth lt die der Server auf An forderung bertr gt Der Standardeintrag f r Document Root ist sowohl f r den unverschl sselten als auch f r den Secure Web Server var www html Zum Beispiel k nnte der Server eine Anforderung f r folgendes Dokument empfangen http example com foo html Der Server sucht die folgende Datei im Standardverzeichnis var www html foo html Wenn Sie den Eintrag in DocumentRoot ndern m chten dass dieser nicht vom sicheren und vom unverschliisselten Web Server gemeinsam benutzt wird finden Sie in Abschnitt 10 8 entsprechende Informationen 10 5 21 Directory Die Tags lt Directory path to directory gt und lt Directory gt werden verwendet um eine Gruppe von Konfigurationsanweisungen zu umschlie en die sich nur auf dieses Verzeichnis und alle seine Unterverzeichnisse beziehen sollen Alle Anweisungen die auf ein Verzeichnis anwendbar sind k nnen innerhalb der lt Directory gt Tags verwendet werden In der Standardeinstellung werden f r das root Verzeichnis mit den Anweisungen Options siehe Abschnitt 10 5 22 und AllowOverride siehe Abschnitt 10 5 23 sehr restriktive Parameter vor gegeben Bei dieser Konfiguration m ssen f r jedes Verzeichnis die Einstellungen explizit vergeben werden wenn weniger restriktive Einstellungen erforderlich sind Mit Directory Tags werden f r DocumentRoot weniger restr
444. t 234 Kapitel 15 iptables 15 3 4 4 Module mit zusatzlichen Match Optionen Zus tzliche Ubereinstimmungsoptionen die sich nicht spezifisch auf ein Protokoll beziehen sind ebenfalls mithilfe von Modulen verf gbar die geladen werden wenn der iptables Befehl sie auf ruft Um ein bereinstimmungsmodul anzuwenden m ssen Sie das Modul mit dessen Namen laden indem beim Erstellen einer Regel der m lt Modulname gt wobei lt Modulname gt durch den Na men des Moduls ersetzt wird in den iptables Befehl eingef gt wird Standardm ig stehen zahlreiche Module zur Verf gung Sie k nnen auch Ihre eigenen Module er stellen um die Funktionalit t zu erweitern Folgend ist eine Teilliste der am h ufigsten verwendeten Module 1imit Modul Erlaubt eine Grenze f r die Anzahl der in bereinstimmung mit einer Regel zu berpr fenden Pakete zu setzen Dies ist besonders n tzlich wenn zusammen mit einem LOG Target verwendet Auf diese Weise verhindern Sie dass die zahlreichen bereinstimmenden Pakete Ihre Protokolldateien nicht mit wiederholten Nachrichten berf llen oder zu viele Systemressourcen beanspruchen Sehen Sie Abschnitt 15 3 5 f r weitere Informationen zum LOG Target Das 1imit Modul erlaubt die folgenden Optionen limit Bestimmt die Zahl der bereinstimmungen innerhalb eines bestimmten Zeitraums der mit einem Anzahl und Zeitmodifikator in dem Format lt number gt lt Zeit gt angegeben wird Mit lim
445. t Jede Chain hat eine Default Policy zu ACCEPT DROP REJECT oder QUEUE Wenn das Paket keiner der Regeln in der Chain entspricht wird auf dieses Paket die standardm ige Policy angewandt Der Befehl iptables erm glicht Ihnen diese Tabellen zu konfigurieren und falls n tig neue Tabel len zu erzeugen 15 2 Unterschiede zwischen iptables und ipchains Auf den ersten Blick scheinen sich ipchains und iptables sehr zu hneln Beide Methoden ver wenden Regel Chains f r die Filterung von Paketen und arbeiten im Linux Kernel nicht nur um zu entscheiden welche Pakete hinein oder hinausgelassen werden sollen sondern auch wie mit diesen Paketen die bestimmten Regeln entsprechen verfahren werden soll iptables stellt Ihnen jedoch eine deutlich erweiterbarere Paketfilterung zur Verf gung da sie dem Administrator mehr Kontrolle gibt ohne dass das gesamte System hierdurch zu kompliziert wird Insbesondere sollten Benutzer die sich mit ipchains gut auskennen auf folgende wichtige Unter schiede zwischen ipchains und iptables achten bevor sie versuchen iptables zu benutzen Mit iptables wird jedes gefilterte Paket nur durch Anwendung der Regeln einer einzigen Chain und nicht mit denen mehrerer Chains verarbeitet Beispiel Ein FORWARD Paket das ein System Kapitel 15 iptables 229 betritt wiirde mit ipchains den INPUT FORWARD und OUTPUT Chains unterliegen um sein Ziel zu erreichen iptables hingegen sendet Pakete nur zur INP
446. t einer Regel an ein bestimmtes Ziel weitergeleitet werden k nnen R Ersetzt eine Regel in einer bestimmten Chain Sie m ssen eine Regelnummer nach dem Namen der Chain verwenden um die Regel zu ersetzen Die erste Regel einer Chain bezieht sich auf die Regelziffer eins e X Entfernt eine benutzerdefinierte Chain Das Entfernen einer integrierten Chain f r eine Tabelle ist nicht zugelassen e Z Stellt Byte und Paketz hler in allen Chains f r eine bestimmte Tabelle auf Null 15 3 3 iptables Parameteroptionen Sobald gewisse iptables Befehle spezifiziert worden sind einschlie lich derer zum Hinzuf gen Anh ngen Entfernen Einf gen oder Ersetzen innerhalb einer bestimmten Chain m ssen Sie Para meter definieren um mit der Erstellung einer Paketfilterungsregel beginnen zu k nnen e c Setzt die Z hler f r eine bestimmte Regel zur ck Dieser Parameter akzeptiert die PKTS und BYTES Optionen zur Spezifizierung der zur ckzusetzenden Z hler d Stellt Ziel Hostnamen IP Adresse oder Netzwerk eines Pakets ein das mit der Regel bere instimmt Wenn das Paket mit einem Netzwerk bereinstimmt sind die folgenden Formate f r IP Adressen Netmasks unterst tzt N N N N M M M M Wobei N N N N der Bereich der IP Adresse und M M M M die Net mask ist N N N N M Wobei N N N N der Bereich der IP Adresse und M die Bitmask ist f Wendet diese Regel nur auf fragmentierte Pakete an Durch
447. t t stellt Red Hat Enterprise Linux das Core X Font Subsystem das den X Font Server xfs verwendet auch weiterhin zur Verf gung um den X Client Applikationen Fonts bereitzustellen Der XFree86 Server sucht nach den im FontPath Eintrag des Files Abschnitt der Konfigurations datei etc X11 XF86Config angegebenen Fonts Sehen Sie Abschnitt 7 3 1 4 f r weitere Informa tion zum FontPath Eintrag Der XFree86 Server verbindet zum xfs Server auf einem angegebenen Port um Font Informationen zu erfragen Aus diesem Grund muss der xfs Service laufen damit X starten kann F r weitere In formationen zum Konfigurieren von Services fiir einen bestimmten Runlevel sehen Sie das Kapitel Zugriffskontrolle von Services im Red Hat Enterprise Linux Handbuch zur System Administration 7 4 2 1 x s Konfiguration Das etc rc d init d xfs Skript startet den xfs Server In der Datei etc X11 fs config k nnen verschiedene Optionen konfiguriert werden Die Folgende ist eine Liste der h ufiger verwendeten Optionen 100 Kapitel 7 Das X Window System alternate servers Gibt eine Liste alternativer Font Server an die verwendet werden k n nen wenn dieser Server nicht verfiigbar ist Die einzelnen Font Server sind durch Kommas zu trennen catalogue Eine geordnete Liste mit zu verwendenden Font Pfaden Font Pfade miissen dabei durch Kommas getrennt werden Sie k nnen die Zeichenkette unscaled unmittelbar nach dem Font Pfad verwenden um
448. t wie mod_ss1 mod_perl Und php muss sich folgende Anweisung in section 1 Global Environment VON http conf befinden Include conf d conf 10 5 12 LoadModule LoadModule wird verwendet um Dynamic Shared Objects DSO Modulen zu laden Weitere Infor mationen zur DSO Unterst tzung von Apache HTTP Server einschlie lich der genauen Verwendung der Anweisung LoadModule finden Sie in Abschnitt 10 7 Beachten Sie dass die Ladereihenfolge der Module nicht l nger wichtig ist bei Apache HTTP Server 2 0 Weitere Informationen zur DSO Unterst tzung in Apache HTTP Server 2 0 finden Sie unter Abschnitt 10 2 1 3 10 5 13 ExtendedStatus Die Anweisung ExtendedStatus bestimmt ob Apache beim Aufruf des server status Handler grundlegende off oder detaillierte Server Status Informationen on erstellt Sserver status wird ber Locat ion Tags aufgerufen Weitere Informationen zum Aufruf von server status finden Sie in Abschnitt 10 5 59 Kapitel 10 Apache HTTP Server 149 10 5 14 IfDefine Die Tags lt IfDefine gt und lt IfDefine gt umschlie en Konfigurationsanweisungen die ausge f hrt werden wenn sich f r die Bedingung im Tag lt IfDefine gt die Aussage wahr ergibt Die An weisungen werden nicht ausgef hrt wenn sich die Aussage falsch ergibt Die Bedingung in den Tags lt IfDefine gt ist eine Parameterbezeichnung z B HAVE_PERL Wenn der Parameter definiert ist d h er wurde beim Start des Servers als Argument des Startbefehls a
449. t atm Datei sieht aus wie folgt 263 210 210 5 0 205 0 Die sieben Spalten h ngen mit verschiedenen Speicherstatistiken f r den Prozess zusammen Sie zeigen von links nach rechts verschiedene Aspekte des benutzten Speichers 1 Gesamte Programmgr e in Kilobytes 2 Gr e der Speicherteile in Kilobytes 3 Anzahl der gemeinsam verwendeten Seiten 4 Anzahl der Seiten mit Programmcode 5 Anzahl der Seiten mit Stack Daten 6 Anzahl der Library Seiten 7 Anzahl der unsauberen Seiten status Bietet den Status des Prozesses in einer lesbareren Form als stat oder statm an Eine Beispielausgabe bei sshd sieht hnlich wie folgt aus Name sshd State S sleeping Tgid 797 Pid 797 PPA dis Ai TracerPid 0 Uid 0000 Gid 0000 FDSize 32 Groups VmSize 3072 kB VmLck 0 kB VmRSS 840 kB VmData 104 kB VmStk 12 kB VmExe 300 kB VmLib 2528 kB SigPnd 0000000000000000 SigBlk 0000000000000000 SigIgn 8000000000001000 SigCgt 0000000000014005 CapInh 0000000000000000 CapPrm 00000000fffffeff CapEff 00000000f ffffeff Die Informationen in dieser Ausgabe enthalten den Prozessnamen die ID den Status wie z B S sleeping oder R running Benutzer Gruppe die den Prozess ausf hren und detailierte Daten bez glich der Speicherauslastung Kapitel 5 Das proc Dateisystem 63 5 3 1 1 proc self Das Verzeichnis proc sel1f ist ein Link zum zur Zeit laufenden Prozess Das erlaubt einem Prozess sich
450. t sich auf den Namen der Funktion und die letzte Spalte zeigt den Namen des geladenen Moduls an 54 Kapitel 5 Das proc Dateisystem 5 2 16 proc loadavg Diese Datei bietet eine bersicht ber die durchschnittliche Auslastung der Prozessoren ber Zeit und liefert au erdem zus tzliche Informationen die vom upt ime und anderen Befehlen benutzt werden Eine proc loadavg Beispielsdatei finden Sie hier 0 20 0 18 0 12 1 80 11206 Die ersten drei Spalten messen die CPU Ausnutzung der letzten 1 5 und 10 Minuten Die vierte Spalte zeigt die Anzahl der zur Zeit laufenden Prozesse und die Gesamtanzahl der Prozesse an Die letzte Spalte zeigt die letzte Prozess ID die verwendet wurde 5 2 17 proc locks Diese Datei zeigt die Dateien an die zur Zeit vom Kernel gesperrt sind Der Inhalt dieser Datei enth lt interne Debugging Daten des Kernels und kann stark variieren je nach Benutzungsgrad des Systems Eine Beispiel proc locks Datei eines Systems mit leichter Belastung finden Sie hier 1 FLOCK ADVISORY WRITE 807 03 05 308731 0 EOF c2a260c0 c025aa48 c2a26120 2 POSIX ADVISORY WRITE 708 03 05 308720 0 EOF c2a2611lc c2a260c4 c025aa48 Jeder Sperre wird eine einmalige Zahl am Anfang jeder Zeile zugeordnet Die zweite Spalte zeigt den verwendeten Sperr Typ an wobei FLOCK f r die lteren UNIX Dateisperren des flock Systemaufrufs steht POSIX wiederum steht f r die neueren POSIX Sperren mit dem lockf Systemaufruf Die dritte Spalte kann
451. t wurden Benutzer sollten diese Datei nicht manuell bearbeiten F r mehr Informationen zu Security Level Configuration Tool lesen Sie das Kapitel Basiskonfiguration der Firewall im Red Hat Enterprise Linux Handbuch zur System Administration 4 1 28 etc sysconfig redhat config users Die Datei etc sysconfig redhat config users ist die Konfigurationsdatei f r die grafische Applikation User Manager Diese Datei dazu verwendet um Systembenutzer wie root daemon oder 1p herauszufiltern Diese Datei kann ber das Pull Down Men Einstellungen gt Systembe nutzer und Gruppen filtern in der Anwendung User Manager bearbeitet werden Die Bearbei tung sollte nicht manuell erfolgen Weitere Informationen zur Verwendung dieser Anwendung finden Sie im Kapitel Benutzer und Gruppen Konfiguration des Red Hat Enterprise Linux Handbuch zur System Administration 4 1 29 etc sysconfig redhat logviewer Die Datei etc sysconfig redhat logviewer ist die Konfigurationsdatei f r die grafische in teraktive Anwendung zum Anzeigen von Protokollen Log Viewer Diese Datei wird ber das Pull Down Men Bearbeiten gt Einstellungen in Log Viewer bearbeitet Die Bearbeitung sollte nicht manuell erfolgen Weitere Informationen zum Verwenden der Anwendung finden Sie im Kapitel Pro tokolldateien des Red Hat Enterprise Linux Handbuch zur System Administration 4 1 30 etc sysconfig samba Die Datei etc sysconfig samba wird verwendet um beim Booten Argumente
452. tallierten gdm Pakets ist und die xdm man Seiten 7 6 Zus tzliche Ressourcen ber den XFree86 Server die damit verbundenen Clients und die entsprechenden Desktop Umgebungen sowie Window Manager ist noch lange nicht alles gesagt F r erfahrene Benutzer k nnen daher die zus tzlichen Ressourcen von gro em Nutzen sein Kapitel 7 Das X Window System 103 7 6 1 Installierte Dokumentation e usr X11R6 1ib X11 doc README Beschreibt kurz die XFree86 Architektur und wie Ein steiger zus tzliche Informationen ber das XFree86 Projekt erhalten e gt usr X11R6 lib X11 doc RELNOTES F r erfahrene Benutzer die sich ber die Neuheiten von XFree86 informieren m chten man XF86Config Enth lt Informationen ber die Konfigurationsdateien von XFree86 ein schlie lich der Bedeutung und der Syntax f r die verschiedenen Abschnitte innerhalb der Dateien man XFree86 Die wichtigste man Seite f r alle Informationen in Bezug auf XFree86 Hier werden der Unterschied zwischen den X Serververbindungen auf lokaler Ebene und ber ein Net zwerk detailliert beschrieben bliche Umgebungsvariablen dargestellt Optionen von Befehlszeilen erl utert und hilfreiche administrative Schl sselkombinationen gegeben man Xserver Beschreibt den X Display Server 7 6 2 N tzliche Webseiten http www xfree86 org Die Home Page des XFree86 Projekts die die XFree86 Open Source Version des X Window Systems bietet XFree 8
453. te Oberfl che auch Runlevel 3 genannt zu Booten und eine X Session von dort zu beginnen F r mehr Informationen zu Runlevels sehen Sie Abschnitt 1 4 Dieser Abschnitt behandelt das Starten von XFree86 in beide Runlevel 3 und Runlevel 5 7 5 1 Runlevel 3 Wenn Sie sich im Runlevel 3 befinden ist es empfehlenswert X mit dem Befehl startx zu starten startx ist ein Front End zum Befehl xinit das den XFree86 Server startet und ihn mit X Clients verbindet Da Sie bereits im Runlevel 3 im System angemeldet sein m ssen startet startx weder den Display Manager noch authentifiziert er Benutzer Sehen Sie Abschnitt 7 5 2 f r weitere Infor mationen zu Display Managern Wenn startx startet wird nach der Datei xinitrc im Home Verzeichnis des Benutzers gesucht um die Desktop Umgebung und eventuell andere auszuf hrenden X Clients zu bestimmen Ist diese Datei nicht vorhanden wird das Standardskript etc X11 xinit xinitrc ausgef hrt Das standardm ige xinitrc Skript sucht anschlie end im Home Verzeichnis des Benutzers nach benutzerdefinierten Dateien und standardm igen Systemdateien einschlie lich xresources Xmodmap und Xkbmap und nach Xresources Xmodmap und Xkbmap im Verzeichnis etc X11 Die Dateien Xmodmap und Xkbmap werden sofern sie vorhanden sind vom Dienstprogramm xmodmap verwendet um die Tastatur zu konfigurieren Die Xresources Dateien werden gelesen um bestimmten Applikationen spezifische Pr ferenzwerte zuzuweise
454. te Signatur oder die Eingabe eines Passworts Der Client wird anschlie end versuchen sich anhand einer der unterst tz ten Methoden gegen ber dem Server zu identifizieren SSH Server und Clients k nnen konfiguriert werden um verschiedene Arten der Authentifizierung zu erm glichen Diese Methode bietet daher jeder Seite das ideale Ma an Kontrolle Der Server kann entscheiden welche Verschl sselungsmethoden er auf der Grundlage seines Sicherheitsmodells unterst tzen m chte und der Client kann festlegen in welcher Reihenfolge er die verschiedenen ver f gbaren Authentifizierungsmethoden verwendet Dank der Sicherheit der SSH Transportschicht sind auch scheinbar unsichere Authentifizierungsmethoden wie Host und Passwort basierte Authentifi zierung sicher 17 3 3 Verbindungskan le Nach der erfolgreichen Authentifizierung ber die SSH Transportschicht werden mehrere Kan le channels unter Verwendung von Multiplexing ge ffnet Jeder der Kan le bearbeitet die Mitteilun gen f r eine andere Terminal oder weitergeleitete X11 Sitzung Sowohl Clients als auch Server k nnen einen neuen Kanal erstellen wobei jedem Kanal an jedem Ende eine unterschiedliche Nummer zugewiesen wird Wenn eine Seite einen neuen Kanal ffnen m chte wird die Nummer der entsprechenden Seite des Kanals mit der Anforderung bermittelt Diese Information wird von der anderen Seite gespeichert und verwendet um eine bestimmte Mittei lung an diesen Kanal
455. tem angefordert werden Die letzten zwei Zahlen werden nicht benutzt und zeigen nur Nullen an dquot nr Zeigt die maximale Anzahl von zwischengespeicherten Quoten Eintr gen an e file max Erlaubt es die maximale Anzahl von Datei Handles die der Kernel zuweist zu ndern Diesen Wert zu ndern kann Fehler l sen die beim Zuweisen von Datei Handles entstehen k nnen file nr Zeigt die Anzahl zugewiesener benutzter und die maximale Anzahl der Datei Handles an overflowgid und overflowuid Definiert die feste Benutzer und Gruppen ID falls das Sys tem nur 16 bit Gruppen und Benutzer IDs unterst tzt super max Kontrolliert die maximal verf gbare Anzahl von Superbl cken super nr Zeigt die aktuelle Anzahl der benutzten Superbl cke an Kapitel 5 Das proc Dateisystem 71 5 3 9 3 proc sys kernel Dieses Verzeichnis enthalt eine Vielzahl von verschiedenen Konfigurationsdateien die direkt die Ker nelfunktion beeinflussen Einige der wichtigsten Dateien sind unter anderem e acct Kontrolliert die Aufhebung von Prozess Accounting basierend auf der Prozentzahl des verf gbaren freien Speichers der auf dem Dateisystem das den Log enth lt verf gbar ist Dieser Log sieht gew hnlich so aus 4 2 30 Der zweite Wert setzt den Schwellenwert des freien Speichers wenn das Logging unterbrochen werden soll der erste Wert hingegen zeigt den Wert an wann das Logging wieder aufgenommen werden so
456. ten verwendet wie auch in Ap plikationen die eine zum System zur ckweisende IP Adresse ben tigen Jegliche Daten die zum Loopback Ger t gesendet werden werden augenblicklich zur Netzwerkschicht des Host zur ck gegeben A Warnung Bearbeiten Sie niemals das Loopback Schnittstellenskript etc sysconfig network scripts ifcfg lo von Hand Andernfalls kann die richtige Funktionsweise des Systems beeintr chtigt werden Kapitel 8 Netzwerk Schnittstellen 115 e ifcfg irlan0 Eine Infrarot Schnittstelle sorgt daf r dass Informationen zwischen Ger ten wie Laptop und Drucker ber einen Infrarot Link flie en welcher hnlich arbeitet wie ein Ethernet Ger t mit dem Unterschied dass es normalerweise ber eine Peer to Peer Verbindung l uft e ifcfg plip0 Eine Parallel Line Interface Protocol PLIP Verbindung arbeitet auf hnliche Weise mit dem Unterschied dass sie eine parallelen Schnittstelle verwendet e ifcfg tr0 Token Ring Topologien sind nicht mehr so verbreitet auf Local Area Networks LANs da sie durch Ethernet verdr ngt wurden 8 3 Schnittstellen Kontrollskripts Die Schnittstellen Kontrollskripts aktivieren und deaktivieren Systemschnittstellen Die zwei wichtig sten Schnittstellen Kontroll Skripts sind sbin ifdown und sbin ifup die verschiedene andere Kontrollskripte aus dem etc sysconfig network scripts Verzeichnis verwenden ifup und ifdown sind symbolische Links zu den Skripte im sbin Verzeic
457. teraktiven GNOME Desktop mit welcher die meisten Red Hat Enterprise Linux Benutzer vertraut sind Um die letztere weiter entwickelte GUI zu erzeugen m ssen zwei X Client Applikationen zum XFree86 Server verbinden Eine Desktop Umgebung und ein Window Manager 7 2 1 Desktop Umgebungen Eine Desktop Umgebung umfasst eine Anzahl verschiedenster X Clients Diese zusammengenom men stellen die graphische Benutzeroberfl che und Entwicklungsplattform dar Desktop Umgebungen enthalten erweiterte Merkmale die es X Clients und anderen laufenden Pro zessen erm glichen miteinander zu kommunizieren Auf diese Weise k nnen alle Applikationen die f r diese Umgebung geschrieben wurden integriert und auf weitere Arten verwendet werden wie beispielsweise die Drag and Drop Funktionen Red Hat Enterprise Linux liefert zwei Desktop Umgebungen GNOME Die standardm ige Desktop Umgebung f r Red Hat Enterprise Linux welche auf dem GTK 2 graphischen Toolkit basiert KDE Eine weitere Desktop Umgebung welche auf dem Qt 3 graphischen Toolkit basiert Sowohl GNOME als auch KDE besitzen erweiterte Applikationen wie textverarbeitende Prozesso ren elektronische Kalkulationstabellen und Bedienerkonsolen Ger te mit denen Sie das Look and Feel vollst ndig steuern k nnen Beide Umgebungen k nnen standardm ige X Clientanwendungen ausf hren Die meisten KDE Anwendungen k nnen auch in GNOME ausgef hrt werden wenn die Qt Bibliotheken i
458. terzufahren kann der root Benutzer den Befehl sbin shutdown ausf hren Die man Seiten zu shutdown enthalten eine vollst ndige Liste von Optionen Hier sind die zwei am h ufigsten verwendeten sbin shutdown h now sbin shutdown r now Nachdem das System vollst ndig heruntergefahren wurde h lt die Option h den Rechner an und die Option r startet diesen neu Benutzer von PAM Konsolen k nnen die Befehle reboot und halt verwenden um das System herunterzufahren solange das System in den Runlevels 1 bis 5 ist F r weitere Informationen zur Verwendung von PAM Konsolen sehen Sie Abschnitt 13 7 Sollte der Computer sich nicht selbst herunterfahren seien Sie vorsichtig und schalten Sie den Com puter nicht aus bis eine Nachricht erscheint dass das System angehalten wurde Wenn Sie dies nicht tun und den Computer ausschalten bevor diese Meldung erscheint kann auf einigen Partitionen noch ein Mount bestehen was zur Korruption von Daten f hren kann 10 Kapitel 1 Bootprozess Init und Shutdown redhat Kapitel 2 Bootloader Wenn ein Computer mit Red Hat Enterprise Linux angeschaltet wird muss das Operationssystem ber ein spezielles Programm namens Bootloader geladen werden Ein Bootloader ist in der Regel auf der ersten Festplatte des Systems oder auf einem anderen Medienger t installiert und ist nur f r das Laden des Linux Kernels und seiner erforderlichen Dateien oder in manchen F llen f r das Laden anderer Bet
459. tifizierungs Server AS Ein Server der Tickets f r einen gew nschten Service ausstellt die wiederum an Benutzer f r den Zugang zu einem Service weitergegeben werden Der AS antwortet auf Anfragen von Clients die keine Berechtigungen haben oder keine versenden Es wird gew hnlicherweise f r den Zugang zum Ticket granting Server TGS Service verwendet indem ein Ticket granting Ticket TGT ausgestellt wird Der AS l uft auf dem gleichen Host wie das Key Distribution Center KDC ciphertext Verschl sselte Daten Client Ein Objekt im Netzwerk ein Benutzer ein Host oder eine Applikation das von Kerberos ein Ticket erhalten kann Berechtigungen Ein tempor rer Satz an elektronischen Berechtigungsnachweisen die die Identit t eines Client f r einen bestimmten Dienst verifizieren Auch als Ticket bezeichnet Kapitel 16 Kerberos 243 Credential Cache oder Ticket Datei Eine Datei die die Schl ssel zum Verschl sseln der Kommunikation zwischen einem Benutzer und verschiedenen Netzwerkdiensten enth lt Kerberos 5 unterst tzt einen Rahmen fiir die Ver wendung anderer Cache Typen wie zum Beispiel gemeinsam genutzten Speicher Die Dateien werden allerdings besser unterstiitzt Crypt Hash Ein unidirektionaler Hash der zum Authentifizieren von Benutzern verwendet wird Auch wenn dies sicherer als unverschliisselte Daten ist ist das Entschliisseln fiir einen erfahrenen Hacker ein Kinderspiel GSS API Das Generic Secu
460. tion zum einen das xinetd Paket installiert sein und zum anderen muss sie ihren eigenen Hostprincipal in der Kerberos Datenbank haben Die Serverprogramme kshd und klogind ben tigen ebenfalls Zu griff auf die Schl ssel f r den Principal ihres Services Mit Hilfe von kadmin f gen Sie einen Hostprincipal f r die Workstation auf dem KDC hinzu Die Instanz ist in diesem Fall der Hostname der Workstation Sie k nnen die Option randkey f r den kadmin Befehl addprinc verwenden um den Principal zu erstellen und ihm einen zuf llig ausgew hlten Schl ssel zuweisen addprinc randkey host blah example com Nachdem der Principal erstellt ist k nnen Sie die Schl ssel f r die Workstation extrahieren indem Sie kadmin auf der Workstation selbst ausf hren und den Befehl ktadd in kadmin verwenden ktadd k etc krb5 keytab host blah example com 4 Sollten Sie andere kerberisierten Netzwerk Services benutzen wollen m ssen diese gestartet werden Folgend ist eine Liste der gebr uchlicheren kerberisierten Services und Anleitungen zum Aktivieren dieser e rsh und rlogin Um die kerberisierten Versionen von rsh und rlogin zu verwenden m ssen Sie klogin eklogin und kshell aktivieren Telnet Um das kerberisierte Telnet verwenden zu k nnen m ssen Sie krb5 telnet ak tivieren FTP Zum Bereitstellen von FTP Zugriff m ssen Sie einen Schl ssel f r einen Principal mit einem root von ftp erstellen und extrahieren Dabei muss
461. tionsverbindungen auf den Empfang und auf Ubertragungen wartet Timeout is auf 300 Sekunden eingestellt eine fiir die mei sten Situationen geeignete Einstellung 10 5 5 KeepAlive Mit KeepAlive kann eingestellt werden ob auf Ihrem Server mehr als eine Anfrage pro Verbindung zugelassen ist KeepAlive kann verwendet werden um zu verhindern dass ein einzelner Client zu viele der Serverressourcen verbraucht Die Standardeinstellung fiir KeepAlive ist off Ist Keepalive auf on eingestellt und der Verkehr auf dem Server nimmt sp rbar zu kann der Server schnell die H chstanzahl von untergeordneten Prozessen erreichen In dieser Situation l sst die Leistung des Servers deutlich nach Wenn Keepali ve aktiviert ist ist es ratsam die Option KeepAliveTimeout niedrig einzustellen siehe Abschnitt 10 5 7 und die Datei var log httpd error_log der Server zu berwachen Dieses Protokoll erstellt einen Bericht wenn dem Server keine untergeordneten Prozesse zur Verf gung stehen 10 5 6 MaxKeepAliveRequests Diese Anweisung gibt an wie viele Anforderungen pro wiederholter Verbindung maximal erlaubt sind Die Apache Group empfiehlt einen hohen Wert Dadurch wird die Leistung des Servers verbes sert Die Standardeinstellung f r MaxKeepAliveRequests ist 100 eine f r die meisten Situationen geeignete Einstellung 10 5 7 KeepAliveTimeout KeepAliveTimeout gibt in Sekunden an wie lange der Server wartet nachdem eine Anforderung bearbeitet wurde
462. transparent oder nach dem Anmelden des Benutzers vom Programm kinit gesendet werden Der KDC sucht dann in seiner Datenbank nach diesem Principal Sobald der Principal gefunden wur de erstellt der KDC ein TGT verschl sselt es unter Verwendung des zu diesem Benutzer geh renden Schl ssels und sendet es an den Benutzer zur ck Das Anmeldeprogramm auf dem Client oder kinit entschl sselt das TGT mit Hilfe des Benutzer schl ssels den es aus dem Passwort des Benutzers errechnet Der Benutzerschl ssel wird lediglich auf der Client Maschine benutzt und wird nicht ber das Netzwerk versendet Das TGT ist nur eine bestimmte Zeitspanne gew hnlich 10 Stunden g ltig und wird im Berechtigungs Cache des Client gespeichert Die G ltigkeitsdauer ist so eingerichtet dass ein TGT immer nur f r eine bestimmte Zeitspanne verwendet werden kann Ist das TGT erst einmal erstellt muss der Benutzer das Passwort bis zum Ablauf der G ltigkeit des TGT nicht erneut eingeben bzw bis sich der Benutzer ab und neu anmeldet Kapitel 16 Kerberos 245 Wenn der Benutzer auf einen Netzwerkdienst zugreifen m chte verwendet der Client das TGT um vom Ticket Granting Server TGS ein Ticket fiir den Service anzufordern Der TGS stellt ein Ticket fiir den gewiinschten Service aus das zur Authentifizierung des Benutzers verwendet wird AB Warnung Das Kerberos System kann immer dann kompromittiert werden wenn ein Benutzer auf dem Netz werk gegen einen nicht k
463. trr txt html 58 Kapitel 5 Das proc Dateisystem 5 2 24 proc partitions Die meisten Infomationen hier sind nicht sehr wichtig fiir die meisten Benutzer Die folgenden Zeilen allerdings ausgenommen major Die Major Nummer des Ger tes auf dem diese Partition liegt Die Major Nummer in unserem Beispiel 3 entspricht dem Block Ger t ide0 in proc devices minor Die Minor Nummer des Ger ts auf dem diese Partition liegt Diese dient dazu die Partionen auf verschiedene physische Ger te aufzuteilen und h ngt mit der Zahl am Ende des Par titionsnamens zusammen e blocks Listet die Anzahl von Plattenbl cken auf die in einer bestimmten Partition enthalten sind name Der Name der Partition 5 2 25 proc pci Diese Datei enth lt eine volle Auflistung jedes PCI Ger ts in Ihrem System Wenn Sie viele PCI Ger te im System haben kann proc pci sehr lang werden Ein Beispiel aus dieser Datei auf einem Standardrechner Bus 0 device 0 unction 0 Host bridge Intel Corporation 440BX ZX 82443BX ZX Host bridge rev 3 Master Capable Latency 64 Prefetchable 32 bit memory at 0xe4000000 Oxe7ffffff Bus 0 device function 0 PCI bridge Intel Corporation 440BX ZX 82443BX ZX AGP bridge rev 3 Master Capable Latency 64 Min Gnt 128 Bus 0 device 4 function 0 ISA bridge Intel Corporation 82371AB PIIX4 ISA rev 2 Bus 0 device 4 unction 1 IDE interface Intel Corporation 82371AB PIIX4 IDE
464. ts eine Lese und Schreibberechtigung erhalten rw 9 1 1 Erforderliche Dienste Red Hat Enterprise Linux verwendet fiir das NFS Datei Sharing eine Kombination aus dem Kernel Level Support und den Daemon Prozessen NFS verl sst sich auf Remote Procedure Calls RPC um Anfragen zwischen Clients und Servern zu routen Bei Linux werden RPC Dienste durch den portmap Dienst gesteuert Beim gemeinsamen Verwenden oder mounten von NFS Dateisystemen arbeiten folgende Dienste zusammen nfs Startet die passenden RPC Prozesse um Anfragen f r gemeinsame NFS Dateisysteme zu handhaben e nfslock ein fakultativer Dienst der die passenden RPC Prozesse startet damit NFS Clients Dateien auf dem Server festmachen k nnen portmap Der RPC Dienst f r Linux er reagiert auf Anfragen f r RPC Dienste und und baut Verbindungen zu den erfragten RPC Diensten auf Die folgenden RPC Prozesse arbeiten im Hintergrund zusammen um die NFS Dienste zu unterst t zen rpc mountd Dieser Prozess empf ngt die Mount Anfrage der NFS Clients und kontrolliert ob das erfragte Dateisystem zu diesem Zeitpunkt exportiert ist Der Prozess wird automatisch durch den nfs Dienst gestartet und erfordert keine Benutzer Konfiguration e rpc nfsd Dieser Prozess ist der NFS Server Er arbeitet mit dem Linux Kernel um mit den dynamischen Vorgaben des NFS Clients bereinzustimmen Zum Beispiel das Bereitstellen zus t zlicher Server Threads immer wenn si
465. tsverhandlung Die Anweisung CacheNegot iatedDocs kann jetzt die Argumente on oder off haben Existierende F lle von CacheNegotiatedDocs sollten durch CacheNegotiatedDocs on ersetzt werden Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_negotiation html cachenegotiateddocs 10 2 2 5 Fehlerdokumente Um eine feste Meldung mit der ErrorDocument Anweisung zu verwenden sollte die Meldung von einem Paar doppelter Anf hrungszeichen umschlossen sein anstatt dass nur doppelte Anf hrungszei chen der Meldung vorangestellt werden wie in Apache 1 3 verlangt Folgendes ist ein Beispiel einer Apache HTTP Server 1 3 Anweisung ErrorDocument 404 The document was not found Verwenden Sie folgende Struktur um eine ErrorDocument Einstellung nach Apache HTTP Server 2 0 zu migrieren ErrorDocument 404 The document was not found Beachten Sie dass in der 0 g Beispiel Anweisung ErrorDocument doppelte Anf hrungszeichen angeh ngt wurden Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod core html errordocument 138 Kapitel 10 Apache HTTP Server 10 2 3 Konfiguration des virtuellen Host Der Inhalt aller lt VirtualHost gt Sektionen sollte auf die gleiche Weise wie der Hauptserver Abschnitt migriert werden wie in Abschnitt 10
466. tware RAID bevor das initrd Disk Image dekomprimiert und der gesamte Speicher freigesetzt wird der belegt war Nach dem Initialisieren aller Ger te des Systems erstellt der Kernel ein root Ger t mountet die root Partition als schreibgesch tzt und setzt nicht verwendeten Speicher frei Zu diesem Zeitpunkt ist der Kernel in den Speicher geladen und betriebsbereit Allerdings ist das System ohne die M glichkeit f r den Benutzer sinnvolle Eingaben vorzunehmen nicht von gro em Nutzen Der Kernel startet den Befehl sbin init um die Benutzerumgebung einzurichten 1 2 4 Das Programm sbin init Das Programm sbin init auch init genannt koordiniert den verbleibenden Bootprozess und konfiguriert die Benutzerumgebung Wenn init gestartet wird wird es automatisch der Elternprozess aller zuk nftigen auf dem System automatisch gestarteten Prozesse Zuerst f hrt es das etc rc d rc sysinit Skript aus das den Umgebungspfad einstellt Swapping startet die Dateisysteme berpr ft und andere Schritte der Sy steminitialisierung bernimmt rc sysinit k mmert sich im Grunde um alle Prozesse die beim Starten des Systems durchgef hrt werden m ssen Die meisten Systeme verwenden zum Beispiel ei ne Uhr In diesem Fall liest rc sysinit die Konfigurationsdatei etc sysconfig clock um die Hardware Uhr zu initialisieren Falls Sie ber spezielle serielle Portprozesse verf gen die ebenfalls initialisiert werden m ssen f hrt rc sysinit di
467. tzwerk besteht ausgeschaltet Allerdings kann sich die Implementierung aus folgenden Gr nden schwierig gestalten Das Migrieren von Benutzerpassw rtern von einer standardm igen UNIX Passwortdatenbank wie zum Beispiel etc passwd oder etc shadow in eine Kerberos Passwortdatenbank kann lang wierig sein da es zum Durchf hren dieser Aufgabe keine automatisierten Mechanismen gibt De tailliertere Informationen finden Sie unter Frage 2 23 in den Kerberos online FAQ unter http www nrl navy mil CCS people kenh kerberos faq html 1 Ein Systen bei dem Client und Server einen allgemeinen Schl ssel teilen der zur Ver und Entschl sselung der Netzwerkkommunikation verwendet wird 242 Kapitel 16 Kerberos Kerberos ist nur teilweise mit dem Pluggable Authentication Modules System PAM System kom patibel das die meisten Red Hat Enterprise Linux Server verwenden Weitere Informationen hierzu finden Sie unter Abschnitt 16 4 Kerberos nimmt an dass Sie sichere Hosts auf einem unsicheren Netzwerk verwenden Seine wichtigste Aufgabe ist es zu vermeiden dass Passw rter im Klartext ber das Netzwerk versendet werden Wenn jedoch noch jemand anderes als der richtige Benutzer Zugriff auf den Host hat der die Tickets zur Authentifizierung ausstellt Key Distribution Center KDC genannt besteht die Gefahr dass das gesamte Kerberos Authentifizierungssystem kompromittiert wird Damit eine Applikation Kerberos verwenden kann m
468. u 65534 a a8 var www as vetesmiasts sbin notogin 80 var tiv menu xde sbin notogin 42 vorssm sbin notogin 27 ivar tin mysat bin bash 67 _ vac www nemt usage sbin nologin 147 var spoot nqueve sbin nologin Er 3 E a m Ea o2 ao 9 24 48 43 80 42 27 67 47 51 23 55 34 77 75 92 Tabelle 6 1 Standardbenutzer 6 3 Standardgruppen In Tabelle 6 2 sind die Standardgruppen aufgef hrt die von einer Alles Installation konfiguriert werden Die Gruppen werden in der Datei etc group gespeichert Mitglieder bi in bin daemon sys Oo 84 Kapitel 6 Benutzer und Gruppen Gruppe cm itglieder ES de 0 ier Mail Postfix u HE fan 000000 e En EEE posed fw a k psw fo esis PIE o y O mmea fs postgres PIE o C wese o de o y nfsnobody Jessa y fm E EEE aane o e G pos de S ag e Kapitel 6 Benutzer und Gruppen 85 Gruppe _ ip __ Mitglieder gdm webalizer wao o e e sms EEE y Co E EEE netdump pcap Quaggavty Quagga radvd slocate el pwn fag Tabelle 6 2 Standardgruppen 6 4 Benutzereigene Gruppen Red Hat Enterprise Linux verwendet ein Schema fiir benutzereigene Gruppen UPG das die Verwal tung von UNIX Gruppen vereinfacht Eine UPG wird erzeugt wenn ein neuer Benutzer zum System hinzugef gt wird UPGs haben den selben Namen wie der Benutzer fiir welchen diese erzeugt wurden und le
469. u diesen Parametern geh ren IconHeight und IconWidth durch die der Server angewiesen wird die HTML Tags HEIGHT und WIDTH f r die Symbole in vom Server erstellten Web Seiten zu verwenden sowie IconsAre Links durch die die Symbole zusammen mit dem Dateinamen als Teil des HTML Ankers f r den Link verwendet werden k nnen 10 5 43 AddIconByEncoding Diese Anweisung bestimmt die Symbole die in vom Server erstellten Verzeichnislisten f r Datei en mit MIME Encoding angezeigt werden Zum Beispiel verwendet der Web Server in vom Server erstellten Verzeichnislisten standardm ig f r MIME codierte x compress und x gzip Dateien das Symbol compressed gif 10 5 44 AddIconByType In dieser Anweisung werden Symbole angegeben die in vom Server erstellten Verzeichnislisten f r Dateien mit MIME Types angezeigt werden Ihr Server ist zum Beispiel so konfiguriert dass in vom Server erstellten Verzeichnislisten f r Dateien mit dem Mime Type text das Symbol text gif angezeigt wird 10 5 45 AddIcon AddIcon gibt an welche Symbole in vom Server erstellten Verzeichnislisten f r bestimmte Dateity pen bzw f r Dateien mit bestimmten Erweiterungen anzuzeigen sind Zum Beispiel ist Ihr Web Server so konfiguriert dass das Symbol binary gif f r Dateien mit der Erweiterung bin oder exe ver wendet wird 10 5 46 DefaultIcon DefaultIcon bestimmt das Symbol das in vom Server erstellten Verzeichnislisten f r Dateien an gezeigt wird f r die
470. u nummerieren auf denen Sie f r dieses Namespace bestimmte E Mails empfangen m ch ten indem Sie einigen E Mail Systemen den Vorrang vor anderen geben Der mX Resource Record mit dem niedrigsten lt preference value gt wird den anderen vorgezogen Sie k nnen meh reren E Mail Servern denselben Wert zuweisen um den E Mail Verkehr zwischen den Servern zu verteilen Der lt email server name gt kann ein Hostname oder ein FQDN sein IN MX 10 mail example com IN MX 20 mail2 example com In diesem Beispiel wird der erste mail example com E Mail Server vor dem mail2 example com E Mail Server bevorzugt wenn eine E Mail f r die Domain example com ankommt NS Name Server Record der die ma geblichen Name Server f r eine bestimmte Zone anzeigt Beispiel f r einen NS Record IN NS lt nameserver name gt Der lt nameserver name gt sollte ein FQDN sein Anschlie end werden zwei Nameserver als ma geblich f r die Domain aufgelistet Es ist nicht so wichtig ob diese Namenserver Slave oder Master Nameserver sind da beide bereits ma gebend sind IN NS dnsl example com IN NS dns2 example com PTR PoinTeR Record verweist auf einen anderen Teil des Namespace PTR Records werden prim r f r eine umgekehrte Namensaufl sung verwendet da sie IP Adressen zu einem bestimmten Namen verweisen Unter Abschnitt 11 3 4 finden Sie weitere Beispiele zur Verwendung von PTR Records SOA Start Of Authority Record gibt wichtig
471. ub grub conf Warnung Der install Befehl berschreibt alle Informationen die sich bereits auf dem MBR befinden kernel lt path to kernel gt lt option 1 gt lt option N gt Gibt die Kernel Datei an die geladen werden soll wenn das Betriebssystem hochgefahren wird Ersetzen Sie lt path to kernel gt mit einem absoluten Pfad von der Partition die durch den Root Befehl festgelegt ist Ersetzen Sie lt option 1 gt mit Optionen f r den Linux Kernel z B root dev hda5 um das Ger t festzulegen auf dem sich die Root Partition f r das System befindet Dem Kernel k nnen mit einer Lehrzeichen Trennliste mehrere Optionen weitergegeben werden Im Folgenden das Beispiel eines kernel Befehls kernel vmlinuz 2 4 21 root dev hda5 Die Option im vorhergehenden Beispiel legt fest dass sich das Root Dateisystem f r Linux auf der hda5 Partition befindet root lt device type gt lt device number gt lt partition gt Konfiguriert die Root Partition f r GRUB z B hd0 0 und mountet die Partition Im Folgenden ein Beispiel f r einen root Befehl root hd0 0 e rootnoverify lt device type gt lt device number gt lt partition gt Konfiguriert die Root Partition f r GRUB wie der root Befehl aber mountet die Partition nicht Es sind auch andere Befehle verf gbar geben Sie info grub ein um eine komplette Liste der Befehel zu erhalten F r eine Beschreibung aller GRUB Befehle siehe Online Informationen
472. uch der Gateway sein kann BIND dazu konfiguriert werden nur Anfragen welche von einem dieser Netzwerke gestellt wurden zu beantworten Eine listen on Direktive kann folgenderma en aussehen options listen on 10 0 1 1 Auf diese Art und Weise werden nur Anfragen von der Netzwerk Schnittstelle akzeptiert die das private Netzwerk 10 0 1 1 verwendet notify Wird verwendet wenn die Zone als Slave type festgelegt ist Die masters Option teilt dem named eines Slaves die IP Adressen mit von denen ma gebliche Informationen ber die Zone angefragt werden yes Informiert Slave Server 172 Kapitel 11 Berkeley Internet Name Domain BIND no Informiert Slave Server nicht e explicit Informiert Slave Server nur dann wenn diese in einer also notify List inner halb des Zonen Statement angegeben sind e pid file Erlaubt das Festlegen eines alternativen Ortes f r die Prozess ID Datei die named erstellt e statistics file Erlaubt das Festlegen eines alternativen Ortes in welcher die Statistik Dateien abgelegt werden Standardm ig werden named Statistiken in var named named stats gespeichert Es gibt noch zahlreiche andere Optionen bei denen einige voneinander abh ngig sind um fehlerfrei zu funktionieren Weitere Informationen hierzu finden Sie im BIND 9 Administrator Reference Manual in Abschnitt 11 7 1 und in den man Seiten zu bind conf 11 2 1 4 zone Statement Ein zone Statement l
473. ue Warnungsmitteilung zu schreiben Das wird benutzt um Denial of Service DoS Angriffe zu vermeiden die Standardeinstellung ist 50 message_cost Wird auch verwendet um DoS Angriffe zu vermeiden indem ein Cost Faktor auf jede Warnung gesetzt wird Je h her der Wert dieser Datei Standard ist 5 desto eher wird die Warnung ignoriert Diese Einstellung wird im Bezug zu DoS Angriffen verwendet Eine DoS Attacke bedeutet dass ein Angreifer Ihr System mit Anfragen berh uft die Fehler er zeugen und ihre Diskpartitionen mit Logdateien f llen oder Ihre Systemressourcen zum Fehler loggen verbrauchen Die Einstellungen in message_burst und message_cost sind dazu da ein Gleichgewicht zwischen gutem Logging und einem geringen Risiko einzustellen netdev_max_backlog Setzt die maximale Nummer von Paketen die in die Warteschlange gestellt werden wenn eine Schnittstelle Pakete schneller empf ngt als der Kernel diese verarbeiten kann Der Standardwert hier ist 300 optmem_max Konfiguriert die maximale zus tzliche Puffergr e pro Socket rmem_default Setzt die Standardgr e f r den Empfangspuffer in Byte rmem_max Setzt die Maximalgr e des Empfangspuffers in Byte wmem_default Setzt die Standardgr e f r den Sendepuffer in Byte wmem_max Setzt die Maximalgr e f r den Sendepuffer in Byte Das Verzeichnis proc sys net ipv4 enth lt weitere Netzwerkeinstellungen Viele dieser Ein ste
474. ue Einstellungen in etc sysctl con f vorzunehmen und neu zu starten Siehe Abschnitt 5 4 f r Informationen zu sysct1 Siehe usr src linux 2 4 Documentation vm huget lbpage txt f r weitere Information zur Konfiguration von hugepages Wichtig Obwohl in huget lbpage txt erw hnt ist die Datei proc sys vm nr_hugepages nicht in Red Hat Enterprise Linux enthalten huget1b_pool sollte anstelle verwendet werden um die Anzahl der f r das System verf gbaren Hugepages zu konfigurieren Es ist auch wichtig zu beachten dass nr_hugepages hugepage Einheiten verwendet w hrend huget 1b_pool konfiguriert hugepages in Megabytes overcommit_memory Konfiguriert die Bedingungen unter denen gro e Speicheranforderun gen akzeptiert oder abgelehnt werden Die folgenden drei Modi sind verf gbar 0 Der Kernel f hrt ein heuristisches memory overcommit handling durch und sch tzt einen verf gbaren Speicherumfang und l sst Anfragen scheitern die eindeutig ung ltig sind Da bei der Speicherzuordnung eher ein heuristischer als ein genauer Algorithmus verwendet wird kann es manchmal zu einer berlastung des Systems kommen Dies ist die Vorgabe 1 Der Kernel f hrt kein memory overcommit handling durch Dies erh ht die Wahrschein lichkeit einer System berlastung Das gleiche gilt f r die Durchf hrung von speicherintensiven Aufgaben wie die die von einigen wissenschaftlichen Softwareprogrammen verwendet wer den 2 Der
475. uellen Hosts angibt Der VirtualHost Container akzeptiert die meisten Konfigurationsan weisungen Eine Reihe von auskommentierten VirtualHost Tags sind in httpd conf enthalten was die mini malen Konfigurationsanweisungen beschreibt die f r die Einrichtung eines virtuellen Hosts ben tigt sind Weitere Informationen ber virtuelle Hosts finden Sie in Abschnitt 10 8 f Bitte beachten Alle virtuellen Hostumgebungen von SSL wurden in die Datei etc httpd conf d ssl conf ver schoben 10 5 66 SSL Konfigurationsanweisungen Die Anweisungen in der Datei etc httpd conf d ssl conf k nnen so konfiguriert werden dass sichere Web Kommunikationen mit SSL und TLS m glich sind 10 5 66 1 SsetEnvI Die Apache Konfigurationsanweisung SetEnvIf kann dazu verwendet werden um Umgebungsvariablen zu setzen die auf Kopfinformationen der Anfrage basieren In der mitgelieferten Datei httpd conf wird zur Deaktivierung von HTTP Keepalive verwendet und erm glicht SSL das Schlie en der Verbindung ohne dass ein Close Notify Alarm vom Client Browser gesendet wird Diese Einstellung ist f r bestimmte Browser erforderlich die die SSL Verbindung nicht zuverl ssig beenden F r weitere Informationen zu SSL Anweisungen rufen Sie mit Ihrem Browser die folgenden Seiten auf http localhost manual mod mod_ssl html http httpd apache org docs 2 0 mod mod_ssl html Informationen dar ber wie man einen Apache HTTP Secure Server einrichtet finden Si
476. ugriffskontrollregeln kennen zur Zeit einen Operator EXCEPT Dieser kann sowohl in der Daemon als auch in der Client List einer Regel verwendet werden Der EXCEPT Operator erlaubt spezifische Ausnahmen in einer Regel Im folgenden Beispiel der Datei hosts allow ist es allen example com Hosts erlaubt zu verbinden mit der Ausnahme von cracker example com ALL example com EXCEPT cracker example com In einem anderen Beispiel der Datei hosts allow k nnen Clients des 192 168 0 x Netzwerks alle Services benutzen mit der Ausnahme von FTP ALL EXCEPT vsftpd 192 168 0 f Anmerkung Aus organisatorischen Gr nden ist es normalerweise besser ExcEPT Operatoren zu vermeiden Dadurch k nnen alle Administratoren schnell die gew nschten Dateien durchsuchen um zu sehen welche Host Rechner Zugriff und welche keinen Zugriff auf bestimmte Services haben sollen ohne mehrere ExcEPT Operatoren durchsuchen zu m ssen 14 2 2 Option Felder Zus tzlich zu den grundlegenden Regeln welche Zugriff gew hren oder ablehnen unterst tzt die Red Hat Enterprise Linux Implementation von TCP Wrappers Erweiterungen zu der Zugriffskontrollspra che durch Optionsfelder Durch Verwendung der Optionsfelder innerhalb einer Hosts Zugriffsregel k nnen Administratoren eine Reihe von Tasks erledigen wie dem ndern des Log Verhaltens Zu sammenfassen der Zugriffskontrolle und dem Ausf hren von Shell Befehlen 14 2 2 1 Logging Option Felder erlauben es A
477. ung der IP Adresse bedeutet dass Ihr Server mindestens eine Verbindung zum DNS herstellt um den zu einer IP Adresse geh renden Host Namen zu bestimmen Wenn Sie HostnameLookups auf double einstellen stellt Ihr Server einen doppelt umgekehrten DNS aus Mit anderen Worten nach einem umgekehrten Loo kup wird ein Vorw rts Lookup ausgef hrt Mindestens eine der IP Adressen im Vorw rts Lookup muss der Adresse des ersten umgekehrten Lookup entsprechen Im Allgemeinen sollten Sie die Einstellung f r HostnameLookups auf off belassen um Ressourcen zu sparen Wenn Sie sich die Host Namen in Ihrer Protokolldai ansehen wollen verwenden Sie eines der vielen Protokolldateinanalysier Tools mit denen die DNS Lookups wirkungsvoller und stapelweise erfolgt wenn Sie Ihre Protokolldatein rotieren 10 5 34 ErrorLog ErrorLog bestimmt die Datei in der Server Fehler protokolliert werden Wie durch den Namen der Anweisung angedeutet ist die Fehlerprotokolldatei f r Ihren Web Server var log httpd error_log 154 Kapitel 10 Apache HTTP Server 10 5 35 LogLevel LogLevel legt fest wie ausf hrlich die Fehlermeldungen im Fehlerprotokoll dargestellt werden Lo gLevel kann auf emerg alert crit error warn notice info oder debug eingestellt werden von der k rzesten bis zur ausf hrlichsten Darstellung LogLevel ist standardm ig auf warn ein gestellt 10 5 36 LogFormat Die LogFormat Anweisung bestimmt das Format in den verschiedenen Web S
478. urcen Weitere Informationen ber TCP Wrappers und xinetd finden Sie in der Systemdokumentation und im Internet 14 5 1 Installierte Dokumentation Die im Paket enthaltene Dokumentation auf Ihrem System ist ein guter Ausgangspunkt wenn Sie weitere Informationen ber TCP Wrapper xinetd und Zugriffskontroll Konfigurationsoptionen su chen Kapitel 14 TCP Wrappers und xinetd 225 e usr share doc tcp_wrappers lt version gt Enth lt eine README Datei in der die Funktionsweise von TCP Wrapper und die verschiedenen Hostnamen und Hostadressen Spoofing Risiken beschrieben werden usr share doc xinetd lt version gt Enth lt eine README Datei in der Aspekte der Zu griffskontrolle beschrieben sind und eine sample conf Datei mit Ideen zum Bearbeiten der Kon figurationsdateien im etc xinetd d Verzeichnis TCP Wrappers and xinetd bezogene man Seiten Es gibt eine Reihe von man Seiten f r die verschiedensten Applikationen und Konfigurationsdateien die im Bezug zu TCP Wrappers und xinetd stehen Die folgende Liste benennt einige der wichtigeren man Seiten Server Applikationen man xinetd Die man Seite f r den xinetd Super Service Daemon Konfigurationsdateien man 5 hosts_access Die man Seite f r die TCP Wrapper Hostzugriffskontroll Dateien man hosts_options Die man Seite f r die TCP Wrapper Optionsfelder man xinetd conf Die man Seite mit einer Liste der xinetd Konfigurationsoptio
479. urde Das kann allerdings die Leistung verlangsamen wdelay Weist den NFS Server an das Schreiben auf einer Platte zu verz gern wenn das Aufheben des Schreibschutz Modus bevorsteht Dies kann die Leistung verbessern indem die An zahl der einzelnen Schreibbefehle f r die Platte verringert wird Mit der Option no_wdelay kann diese Funktion deaktiviert werden die nur funktioniert wenn Sie die Option sync verwenden root_squash Nimmt Root Benutzern welche von au en verbunden sind deren Root Rechte indem diese die Benutzer ID nfsnobody erhalten Auf diese Weise wird die Kontrolle des Remote Roots auf den niedrigsten lokalen Benutzer gequetscht was verhindert dass Dateien auf dem Remote Server unerlaubterweise ver ndert werden Als Alternative k nnen Sie mit der Option no_root_squash das Sqashing des Roots deaktivieren Um jeden Remote Benutzer einschlie lich Root zu quetschen verwenden Sie die Option all_squash Um die Benutzer und Gruppen IDs festzulegen die mit Remote Benutzern eines bestimmten Hosts verwendet werden sollen benutzen Sie die Optionen anonuid und anongid Auf diese Weise k nnen Sie f r Remote NFS Benutzer ein spezielles Benutzer Konto anonuid lt uid value gt anongid lt gid value gt erstellen und gemeinsam verwenden wobei lt uid value gt die Benutzer ID Nummer und lt gid value gt die die gruppen ID Nummer ist Bicon Standardm ig werden access control lists ACLs von NFS unter Red Hat Ent
480. us Kennungen beginnen Standardeinstellung ist 60 MOVE_TO_COL lt Wert gt wobei lt Wert gt den Cursor zu dem Wert in der Zeile RES_COL f hrt was ber den Befehl echo en geschieht SETCOLOR_SUCCESS lt Wert gt wobei lt Wert gt die Farbe f r die Anzeige von erfolgreichen Vorg ngen ist Dies geschieht ber den Befehl echo en wobei die Farbe auf gr n gesetzt wird SETCOLOR_FAILURE lt Wert gt wobei lt Wert gt die Farbe f r die Anzeige von nicht erfolgreichen Vorg ngen bestimmt Dies geschieht ber den Befehl echo en wobei die Farbe rot eingestellt wird SETCOLOR_WARNING lt Wert gt wobei lt Wert gt die Farbe f r die Anzeige von Warnungen bes timmt Dies geschieht ber den Befehl echo en wobei die Farbe gelb eingestellt wird SETCOLOR_NORMAL lt Wert gt wobei lt Wert gt normal eingestellt wird Dies geschieht ber den Befehl echo en LOGLEVEL lt Wert gt wobei lt Wert gt den anf nglichen Anmelde Level f r den Kernel bestimmt Die Standardeinstellung ist 3 Der Wert 8 aktiviert alles einschlie lich Debugging der Wert 1 deaktivert alles au er der Kernel Panik syslogd hebt diese Einstellungen auf nachdem es ges tartet ist PROMPT lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes Aktiviert die Key Uberpriifung f r den interaktiven Modus no Deaktiviert die Key berpr fung f r den interakiven Modus 4 1 14 etc sysconfi
481. utzer und Gruppen pwconv pwunconv Tools f r die Konvertierung von Passw rtern zu Shadow Passwortern und wieder zur ck zu Standard Passw rtern Einen berblick ber das Verwalten von Benutzern und Gruppen finden Sie im Red Hat Enterprise Linux Introduction to System Administration F r eine detaillierte Beschreibung von Befehlszeilen tools zur Verwaltung von Benutzern und Gruppen siehe Kapitel Benutzer und Gruppenkonfiguration im Red Hat Enterprise Linux Handbuch zur System Administration 6 2 Standardbenutzer Tabelle 6 1 zeigt die Standardbenutzer die w hrend des Installationsvorgangs in der Datei etc passwd eingerichtet werden Die Gruppen ID GID in der Tabelle gibt die Hauptgruppe des Benutzers an Eine Auflistung der Standardgruppen finden Sie in Abschnitt 6 3 Benutzer Verzeichnis bin d daemon e aD Shen o root o ia 3 4 varvaan sbinmorogin a 7 varsspoorrima sbinsmorogin sme Is fo en ie sbin 7 sbin news var sspoot news operator ff rer stn notogin 100 14 fp o a fo seen rebtn notogin_ C 37 svar iin epm einsach 69 rev sbin nonogin Kapitel 6 Benutzer und Gruppen 83 Benutzer uid ciD Benutzer Verzeichnis Shell named 25 fos varmana Poin tatse amanda 336 vers sb ananda bin bash postgres f 2s var stsb pasat innen 29 25 26 74 mer fe 65534 varm var lib nfs sbin nologin E
482. v v ausf hren m ssen um die entsprechenden Informationen auf den MBR zu schreiben Detaillierte Informationen hierzu finden Sie unter Abschnitt 2 8 Sr Wenn Sie ein Upgrade des Kernel mit Hilfe des Red Hat Update Agent durchf hren wird die Kon figurationsdatei des Bootloader automatisch aktualisiert Weitere Informationen zu RHN finden Sie unter folgendem URL https rhn redhat com Wenn der Bootloader der 2 Phase in den Arbeitsspeicher geladen ist wird dem Benutzer der gra fische Anfangsbildschirm mit den verschiedenen Betriebssystemen oder Kernels angezeigt die ge startet werden sollen Auf diesem Bildschirm kann ein Benutzer die Pfeiltasten benutzen um ein Betriebssystem auszuw hlen und dann die Enter Taste dr cken um dieses zu booten Sollte keine Taste gedr ckt werden wird der Bootloader nach einiger Zeit das standardm ig ausgew hlte Be triebsystem booten 1 GRUB liest ext3 Dateisysteme als ext2 unabh ngig von der Journal Datei Sehen Sie das Kapitel Das ext3 Dateisystem im Red Hat Enterprise Linux Handbuch zur System Administration f r mehr Informationen zum ext3 Dateisystem Kapitel 1 Bootprozess Init und Shutdown 3 Anmerkung Wenn SMP Kernel Support Symmetric Multi Processor installiert ist stehen Ihnen beim Erststart des Systems mehrere Optionen zur Verf gung Unter LILO wird linux f r den SMP Kernel und linux up f r den Einzelprozessor angezeigt Unter GRUB wird Red Hat Enterprise Linux
483. vel zur Bootzeit zu ndern indem Sie die Argumente ndern die der Bootloader dem Kernel bergibt Weitere Informationen zum Andern der Runlevel zur Bootzeit finden Sie unter Abschnitt 2 10 Kapitel 1 Bootprozess Init und Shutdown 9 1 4 2 Runlevel Utilities Einer der besten Wege die Runlevels zu konfigurieren ist die Verwendung eines Jnitscript Utility Diese Tools erleichtern den Task die Dateien in der SysV init Verzeichnishierarchie zu warten und nimmt es den Systemadministratoren ab die gro e Anzahl von symbolischen Links in den Unterver zeichnissen von etc rc d direkt ndern zu m ssen Red Hat Enterprise Linux stellt drei dieser Utilities zur Verf gung sbin chkconfig Das sbin chkconfig Utility stellt ein einfaches Befehlszeilentool f r die Pflege der etc rc d init d Verzeichnishierarchie zur Verf gung sbin ntsysv Das ncurses basierte sbin ntsysv Utility stellt eine interaktive textbasierte Ober fl che zur Verf gung was einige benutzerfreundlicher finden als die Befehlszeilenoberfl che von chkconfig Services Configuration Tool Das graphische Services Configuration Tool redhat config services Programm ist ein flexibles GTK2 basiertes Utility zum Konfigurieren der Runlevels Im Kapitel Controlling Access to Services im Red Hat Enterprise Linux Handbuch zur System Administration finden Sie weitere Informationen zu diesen Tools 1 5 Herunterfahren Um Red Hat Enterprise Linux herun
484. velopers Manual sowie eine Kopie des PAM Standards DCE RFC 86 0 lt version number gt steht hierbei fiir die Versionsnummer von PAM e usr share doc pam lt version number gt txts README pam_timestamp Enth lt Informationen ber das pam_timestamp so PAM Module wobei lt version number gt die Versionsnummer von PAM ist 13 8 2 Hilfreiche Websites http www kernel org pub linux libs pam Die wichtigste Website f r Linux PAM Sie enth lt Informationen ber die verschiedenen PAM Module und Anwendungen die verwendet oder en twickelt werden sowie FAQ und zus tzliche Dokumentationen ber PAM redhat Kapitel 14 TCP Wrappers und xinetd Die Kontrolle des Zugriffs zu Netzwerk Services ist eine der wichtigsten Sicherheitsaufgaben denen sich der Administrator stellen muss Gl cklicherweise gibt es unter Red Hat Enterprise Linux eine Reihe von Tools welche genau dies tun Eine iptables basierte Firewall zum Beispiel filtert al le unerw nschten Netzwerk Pakete im Netzwerk Stack des Kernel heraus F r Netzwerk Services welche davon Verwendung machen f gt TCP Wrappers eine zus tzliche Schutzschicht hinzu indem dieser definiert welchen Hosts es erlaubt ist zu wrapped Netzwerk Services zu verbinden und wel chen nicht Einer dieser wrapped Netzwerk Services ist xinetd Super Server Dieser Service wird Super Server genannt da dieser Verbindungen zu einem Subnet von Netzwerk Services kontrolliert und Zugriffs
485. verwendet wird die das verkettete Laden benutzen Sie k nnen den Offset an Bl cken weglassen wenn Sie bei Block 0 starten Beispiel die Kettenlade Datei auf der ersten Partition der ersten Fest platte w rde somit folgenden Namen besitzen hd0 0 1 Im Folgenden wird der Befehl chainloader mit einer hnlichen Blocklisten Bezeichnung in der GRUB Befehlszeile gezeigt nachdem Sie als root das korrekte Ger t und Partition eingestellt haben chainloader 1 2 4 3 Das Root Dateisystem und GRUB Der Begriff Root Dateisystem hat bei GRUB eine andere Bedeutung Es ist wichtig zu beachten dass das Root Dateisystem von GRUB nichts mit dem Root Dateisystem von Linux zu tun hat Das GRUB Root Dateisystem ist die h chste Ebene des bestimmten Ger tes Z B die Image Datei hd0 0 grub splash xpm gz befindet sich im grub Verzeichnis auf der h chsten Ebene oder Root der hd0 0 Partition die eigentlich die boot Partition f r das System ist Nachdem GRUB die root Partition geladen hat die der boot Partition entspricht und den Linux Kernel enth lt kann der Befehl kernel mit dem Speicherort der Kerneldatei als Option ausgef hrt werden Sobald der Linux Kernel bootet richtet er ein eigenes root System ein das Linux Benutzern bekannt ist Das urspr ngliche root Dateisystem von GRUB und die Mounts sind bereits vergessen Sie dienten lediglich dem Booten der Kerneldatei Weitere Informationen zu den Befehlen root und kernel finden Si
486. von Dateisystemen mit NFS finden Sie unter Kapitel 9 5 3 5 proc ide Dieses Verzeichnis beinhaltet Informationen ber IDE Ger te auf diesem System Jeder IDE Kanal wird von einem seperaten Verzeichnis wie z B proc ide ide0 und proc ide idel repr sen tiert Zus tzlich gibt es eine drivers Datei die die Versionsnummer der verschiedenen in diesem IDE Kanal verwendeten Treiber darstellt ide cdrom version 4 59 ide floppy version 0 97 ide disk version 1 10 Viele Chips tze bieten eine Informationsdatei in diesem Verzeichnis an welche zus tzliche Daten betreffend der Festplatten die ber die Kan le angebunden sind ausgibt Zum Beispiel gibt ein ge nerischer Intel PIIX4 Ultra 33 Chipsatz eine Datei proc ide piix aus die Ihnen zeigt ob DMA oder UDMA f r Ger te an den IDE Kan len aktiviert sind Intel PIIX4 Ultra 33 Chipset GE me Primary Channel Secondary Channel enabled enabled a ee ee drive0 drivel drive0 drivel DMA enabled yes no yes no UDMA enabled yes no no no UDMA enabled 2 X X X UDMA DMA PIO Im Verzeichnis eines IDE Kanals wie z B ideo f r den ersten Kanal finden Sie noch mehr Informa tionen Die Datei channe1 zeigt die Kanalnummer an wohingegen die Datei mode1 den Bustyp am Kanal anzeigt z B pci Kapitel 5 Das proc Dateisystem 65 5 3 5 1 Gerate Verzeichnisse In jedem IDE Kanal Verzeichnis befindet sich ein Ger te Ve
487. weiterzuleiten Ziel ist zu vermeiden dass sich verschiedene Arten Sessionen beeinflussen und die Kan le geschlossen werden k nnen ohne die prim re SSH Verbindung zwischen den beiden Systemen zu unterbrechen Kan le unterst tzen auch die Datenflusskontrolle was es ihnen erm glicht Daten geordnet zu senden und zu empfangen Auf diese Weise werden Daten erst dann ber den Kanal gesendet wenn der Host Rechner die Meldung erh lt dass der Kanal empfangsbereit ist Der Client und Server bertragen automatisch die Eigenschaften jedes Kanals je nachdem welche Art von Dienst der Client abruft und wie der Benutzer mit dem Netzwerk verbunden ist Dadurch ergibt sich eine gr ere Flexibilit t bei der Handhabung der verschiedenen Arten von Remote Verbindungen ohne die Basis Infrastruktur des Protokolls ndern zu m ssen 17 4 OpenSSH Konfigurationsdateien OpenSSH verf gt ber zwei verschiedene Arten von Konfigurationsdateien eine f r Clientprogram me ssh scp sftp und eine andere f r den Server Daemon sshd Die SSH Konfigurationsinformationen f r das gesamte System sind im Verzeichnis etc ssh ge speichert 4 Eine Multiplex Verbindung besteht aus verschiedenen Signalen die ber ein gemeinsam genutztes Medi um gesendet werden Bei SSH werden verschiedene Kan le ber eine gemeinsame verschl sselte Verbindung gesendet Kapitel 17 SSH Protokoll 255 e moduli Hier sind Diffie Hellmann Gruppen f r den Austausc
488. werden sie als Teil des Befehls betrachtet und der gesamte Satz wird als Befehl dargestellt Beispiel Verwenden Sie den Befehl cat testfile um den Inhalt einer Datei mit dem Namen test file in einem aktuellen Verzeichnis anzeigen zu lassen Dateiname Datei und Verzeichnisnamen sowie die Namen von Pfaden und RPM Paketen werden auf diese Weise dargestellt was bedeutet dass eine bestimmte Datei oder ein bestimmtes Verzeichnis mit diesem Namen in Ihrem System vorhanden ist Beispiele vi Einf hrung Die Datei bashrc in Ihrem Home Verzeichnis enth lt Bash Shell Definitionen und Aliase f r Ihren Gebrauch Die Datei etc fstab enth lt Informationen ber verschiedene Systemger te und Dateisyste me Installieren Sie den webalizer RPM wenn Sie ein Analyseprogramm f r eine Webserver Protokolldatei verwenden m chten Applikation Diese Darstellungsart weist darauf hin dass es sich bei diesem Programm um eine Endbenutzer Anwendung handelt im Gegensatz zur System Software Beispiel Verwenden Sie Mozilla um im Web zu browsen Taste Die Tasten der Tastatur werden auf diese Weise dargestellt Beispiel Um die Tab Vervollst ndigung zu verwenden geben Sie einen Buchstaben ein und dr cken Sie anschlie end die Taste Tab Auf diese Weise wird die Liste der Dateien im Verzeichnis angezeigt die mit diesem Buchstaben beginnen Tasten Kombination Eine Tastenkombination wird auf diese Art und Weise dargestellt Mit der T
489. wichtige Informationen auf Ihre Konsole zu schreiben Um den System Request Key zu aktivieren dr cken Sie Alt SysRq lt system request code gt Ersetzen Sie lt system request code gt mit einem der folgenden System Request Codes Kapitel 5 Das proc Dateisystem 73 r Deaktiviert Raw Mode f r die Tastatur und setzt dieses auf XLATE ein eingeschrankterer Tastaturmodus der die Tasten Alt Ctrl oder Shift f r keine der Keys erkennt k Vernichtet alle Prozesse die in der virtuellen Konsole aktiv sind Auch Secure Access Key SAK genannt wird dieser oft verwendet um zu pr fen dass der Login Prompt von init ges tartet wird und nicht eine trojanische Kopie die darauf aus ist Benutzernamen und Passw rter zu sammeln b Startet den Kernel neu ohne dabei zuerst einen Unmount auf Dateisysteme durchzuf hren oder einen Sync zu Platten die an das System angebunden sind c Verursacht einen Absturz des Systems ohne dabei zuerst einen Unmount auf Dateisysteme durchzuf hren oder einen Sync zu Platten die an das System angebunden sind o F hrt das System herunter s Versucht einen Sync auf Platten die an das System angebunden sind u Versucht einen Unmount und dann einen Mount in Read Only f r alle Dateisysteme p Gibt alle Flags und Register zur Konsole aus e t Gibt eine Liste der Prozesse zur Konsole aus m Gibt Speicherstatistiken zur Konsole aus 0 bis 9
490. wird sucht der Prozessor am Ende des Systemspeichers nach dem Basic Input Output System oder BIOS Programm und f hrt es aus Das BIOS steuert nicht nur den ersten Schritt des Bootprozesses sondern stellt auch die Schnittstelle der untersten Ebene zu den Peripherieger ten dar Daher ist es im schreibgeschiitzten permanenten Speicher abgelegt und st ndig einsatzbereit Andere Plattformen verwenden verschiedene Programme um Aufgaben der niedrigen Ebene durchzu f hren die denen des BIOS auf einem x86 System stark hneln Itanium basierte Computer zum Bei 2 Kapitel 1 Bootprozess Init und Shutdown spiel verwenden die Extensible Firmware Interface EFI Shell w hrend Alpha Systeme die SRM Konsole verwenden Nach dem Start pr ft das BIOS das System sucht und pr ft Peripherieger te und sucht dann nach einem g ltigen Ger t zum Starten des Systems Normalerweise pr ft es zuerst die Disketten und CD ROM Laufwerke auf startf hige Medien und sucht dann auf den Festplatten des Systems Die Reihenfolge der zum Booten durchsuchten Laufwerke wird oft durch eine Einstellung auf dem BIOS gesteuert H ufig ist die erste zum Booten festgelegte Festplatte das Laufwerk C oder das Master IDE Ger t auf dem prim ren IDE Bus Das BIOS l dt das Programm das im ersten Sektor dieses Ger ts gespeichert ist und Master Boot Record oder MBR genannt wird in den Speicher Der MBR ist nur 512 Bytes gro und enth lt vom Rechner lesbare Anweisungen zum Bo
491. working Dieses Verzeichnis wird f r Network Administration Tool redhat config network verwendet und sollte nicht manuell bearbeitet werden Weitere Informationen zur Konfig uration von Schnittstellen mit Network Administration Tool finden Sie im Kapitel Netzwerkkon figuration im Red Hat Enterprise Linux Handbuch zur System Administration network scripts Dieses Verzeichnis enth lt die folgenden netzwerkrelevanten Konfigura tionsdateien Netzwerk Konfigurationsdateien f r jede einzelne konfigurierte Schnittstelle wie z B ifcfg eth0 f r die eth0 Ethernet Schnittstelle Skripts zur Aktivierung und Deaktivierung von Netzwerk Schnittstellen wie z B i fup und if down Skripts zur Aktivierung und Deaktivierung von ISDN Schnittstellen wie z B ifup isdn und ifdown isdn 44 Kapitel 4 Das Verzeichnis sysconfig Verschiedene Skripte zu gemeinsam genutzten Netzwerk Funktionen die nicht unmittelbar be rarbeitet werden sollten Weitere Informationen zum Verzeichnis network scripts finden Sie unter Kapitel 8 e rhn Dieses Verzeichnis enth lt die Konfigurationsdateien f r Red Hat Network Keine der Dateien in diesem Verzeichnis sollte manuell bearbeitet werden Weitere Informationen zum Red Hat Network finden Sie auf der Red Hat Network Website unter folgender URL https rhn redhat com 4 3 Zusatzliche Ressourcen Dieses Kapitel soll nur eine Einleitung zu den Dateien im Verzeichnis etc sysconfig darstell
492. ystem Hierarchie 25 Organisation 25 Standard 25 Struktur 25 virtuelles Siehe proc Dateisystem DefaultIcon Apache Konfigurationsanweisung 156 DefaultType Apache Konfigurationsanweisung 153 Denial of Service Verhinderung mit xinetd 224 Siehe auch xinetd Denial of Service Angriff 74 Siehe auch proc sys net directory Definition von 74 Deny 272 Apache Konfigurationsanweisung 152 Desktop Umgebungen Siehe XFree86 Directory Apache Konfigurationsanweisung 150 DirectoryIndex Apache Konfigurationsanweisung 152 Display Manager Siehe XFree86 DNS 167 Siehe auch BIND Einf hrung 167 DocumentRoot Apache Konfigurationsanweisung 150 gemeinsam verwendete ndern 164 ndern 163 Dokumentation die geeignete finden ii Einsteiger iii B cher iv Newsgroups iv Webseiten iii erfahrene Benutzer iv Guru v DoS Siehe Denial of Service DoS Angriff Siehe Denial of Service Angriff drag and drop viii DSOs laden 163 E EFI Shell Definition von 1 Siehe auch boot process Einf hrung i ELILO 3 11 Siehe auch boot loaders Epoch 59 Siehe auch proc stat Definition von 59 ErrorDocument Apache Konfigurationsanweisung 158 ErrorLog Apache Konfigurationsanweisung 153 Erweiterbare Firmware Schnittstellen Shell Siehe EFI Shell Ethernet Siehe Netzwerk Ethernet Module Siehe Kernel Module Execution Domains 49 Siehe auch proc execdomains Definition von 49 ExtendedStatus Apache
493. zeichnis 43 etc sysconfig apmd 32 etc sysconfig authconfig 32 etc sysconfig cbq Verzeichnis 43 etc sysconfig clock 33 etc sysconfig desktop 34 etc sysconfig devlabel 34 etc sysconfig dhcpd 34 etc sysconfig firstboot 34 etc sysconfig gpm 35 etc sysconfig harddisks 35 etc sysconfig hwconf 35 etc sysconfig init 36 etc sysconfig ipt6ables config 36 etc sysconfig iptables 37 etc sysconfig irda 37 etc sysconfig keyboard 38 etc sysconfig kudzu 38 etc sysconfig mouse 38 etc sysconfig named 39 etc sysconfig netdump 39 etc sysconfig network 39 etc sysconfig ntpd 40 etc sysconfig pemcia 40 etc sysconfig radvd 41 etc sysconfig rawdevices 41 etc sysconfig redhat config securitylevel 41 etc sysconfig redhat config users 41 etc sysconfig redhat logviewer 41 etc sysconfig thn Verzeichnis 44 etc sysconfig samba 41 etc sysconfig sendmail 42 etc sysconfig spamassassin 42 etc sysconfig squid 42 etc sysconfig tux 42 etc sysconfig vncservers 42 etc sysconfig xinetd 43 Dateien in 31 Verzeichnisse in 43 zus tzliche Informationen 31 Zus tzliche Ressourcen 44 Installierte Dokumentation 44 sysconfig Verzeichnis etc sysconfig iptables 236 etc sysconfig network scripts Verzeichnis 43 Siehe auch network etc sysconfig networking Verzeichnis 43 sysconfig Verzeichnis etc sysconfig network scripts Verzeichnis 107 sysctl Konfigurieren mit etc sysctl conf 78 P
494. zu geben damit es richtig funktioniert Wenn Sie zum Beispiel f r eine Intel Ether Express 100 Karte volle Duplex Kapazit t bei einer Ver bindungsgeschwindigkeit von 100Mbps erm glichen wollen laden Sie den e100 Treiber mit der e100_speed_duplex 4 Option O kenne Wenn ein Parameter Kommas beinhaltet achten Sie darauf dass Sie nach dem Komma KEIN Leer zeichen setzen 1 zur Verf gung stehen Unter einem Treiber versteht man Software die Ihrem Linux System die Verwendung bestimmter Hardware Ger te erm glicht Ohne den Treiber kann der Kernel mit den zugef gten Ger ten nicht richtig kommunizieren 264 Anhang A Allgemeine Parameter und Module A 2 SCSI Parameter Hardware Modul Parameter Sware Storage Controller uno 3 NCR53c810 820 720 5307 8xx 0 NCR53c700 7 10 700 66 Adaptec AACRAID aaraa Adaptec 28xx R9xx 39xx aic7xxx o AHA 284x AHA 29xx AHA 394x AHA 398x AHA 274x AHA 274xT AHA 2842 AHA 2910B AHA 2920C AHA 2930 U U2 AHA 2940 W U UW AU U2W U2 U2B U2BOEM AHA 2944D WD UD UWD AHA 2950U2 W B AHA 3940 U W UW AUW U2W U2B AHA 3950U2D AHA 3985 U W UW AIC 777x AIC 785x AIC 786x AIC 787x AIC 788x AIC 789x AIC 3860 ICP RAID Controller pno oo i IBM ServeRAID ipso y AMI MegaRAID 418 428 438 megaraid o 466 762 Qlogic 1280 Tabelle A 1 SCSI Parameter A 3 Ethernet Parameter vr nee Die meisten modernen Ethernet basierten Netzwerk Schnittstellen
495. zu m ssen Das Authentifizieren mit Hilfe von Kerberos h lt effizient unautorisierte Benutzer vom Versuch ab Passw rter im Netzwerk abzufangen 16 1 1 Vorteile von Kerberos Die meisten herk mmlichen Netzwerksysteme verwenden passwortbasierte Authentifizierungssche mata Wenn sich ein Benutzer an einem Netzwerkserver anmeldet muss er einen Benutzernamen und Passwort f r jeden Dienst angeben der Authentifizierung erfordert Ungl cklicherweise erfolgt die bertragung von Authentifizierungsinformationen bei vielen Diensten im Klartext Damit ein solches Schemata sicher ist muss das Netzwerk vor Zugriff von Au en gesch tzt werden und alle Computer und Benutzer auf dem Netzwerk m ssen sicher sein Auch wenn dies der Fall sein sollte ist das Netzwerk erst einmal mit dem Internet verbunden kann dessen Sicherheit nicht l nger angenommen werden Jeder Hacker der Zugriff auf das Netzwerk und einen Paket Analysierer Packet Sniffer hat kann auf diese Weise versendete Passw rter knacken was Benutzeraccounts und die Integrit t der gesamten Sicherheitsinfrastruktur kompromittiert Prim res Ziel von Kerberos ist es die bertragung der Authentifizierungsinformationen ber das Netzwerk zu beseitigen Die richtige Verwendung von Kerberos vermindert sp rbar die Gefahr die Packet Sniffer andernfalls f r das Netzwerk bedeuten 16 1 2 Nachteile von Kerberos Dank Kerberos wird eine Bedrohung die ganz allgemein f r die Sicherheit im Ne
496. zu verstehen 13 8 1 Installierte Dokumentationen PAM bezogene man Seiten Es gibt eine Reihe von man Seiten f r die verschiedenen Applikatio nen und Konfigurationsdateien die im Bezug zu PAM stehen Folgend ist eine Liste der wichtigeren man Seiten Konfigurationsdateien man pam Eine gute Einf hrung in PAM einschlie lich der Struktur und der Funktion von PAM Konfigurationsdateien Bitte beachten Sie das obwohl diese man Seiten die Datei etc pam conf behandeln die tats chlichen Konfigurationsdateien f r PAM in Red Hat Enterprise Linux sind im Verzeichnis etc pam d man pam_console Beschreibt die Funktion des pam_console so Moduls Beschreibt auch die entsprechende Syntax eines Eintrags in der PAM Konfigurationsdatei man console apps Beschreibt das Format und die verf gbaren Optionen der Konfigu rationsdatei etc security console apps die festlegt auf welche Applikationen der durch PAM zugewiesenen Konsolenbenutzer zugreifen kann man console perms Beschreibt das Format und die verf gbaren Optionen der Kon figurationsdatei etc security console perms die die Zugriffsrechte des durch PAM zugewiesenen Konsolenbenutzers festlegt man pam_timestamp Beschreibt daspam_timestamp so Modul 210 Kapitel 13 Pluggable Authentication Modules PAM e usr share doc pam lt version number gt Enth lt einen System Administrators Guide ein Module Writers Manual und ein Application De
497. zwei Werte haben ADVISORY oder MANDATORY ADVISORY bedeutet dass die Sperre andere Benutzer nicht vom Datenzugriff abh lt nur andere Sperr Versuche werden verhindert MANDATORY bedeutet dass kein anderer Datenzugriff zugelassen wird solange die Sperre bestehen bleibt Die vierte Spalte zeigt an ob die Sperre dem Eigent mer Lese oder Schreibzugriff READ oder WRITE erlaubt und die f nfte Spalte zeigt die ID des gesperrten Prozesses an Die sechste Spalte zeigt die ID der gesperrten Datei in folgendem Format an MAJOR DEVICE MINOR DEVICE INODE NUMBER Die siebte Spalte zeigt Anfang und Ende der in der Datei gesperrten Region Die brigen Spalten zeigen auf Kernel interne Datenstrukturen f r spezielle Debugging Funktionen und k nnen ignoriert werden 5 2 18 proc mdstat Diese Datei enth lt die aktuellen Informationen zu Konfigurationen mit mehreren Platten und RAID Wenn Ihr System keine solche Konfiguration enth lt sieht Ihre proc mdstat Datei vermutlich so hnlich aus Personalities read_ahead not set unused devices lt none gt Diese Datei bleibt solange in dem o g Zustand bis Sie ein Software RAID erstellt haben oder md existiert Dann k nnen Sie proc mdstat anzeigen um sich ein Bild davon zu machen was gerade mit Ihren max RAID Ger ten passiert Die folgende proc mdstat Datei zeigt ein System mit dem Ger t md0 das als RAID 1 Ger t konfiguriert ist und zur Zeit die Platten neu synchronisiert Personalitie

Download Pdf Manuals

image

Related Search

Related Contents

Operators Manual / Guide d'Utilisation / Manual del operario  UPStation GXT2 10 kVA Tower  Multi Air Conditioner SVC MANUAL(Exploded View)  Motor Drive Analyzer Software Instruction Manual  SGML Library  Manual Combi 11 sprachig.qxd  Franke Undermount GAX 110-30  FLI 225 - Avery Weigh    Bedienungsanleitung Abricht-Dickenhobelmaschine  

Copyright © All rights reserved.
Failed to retrieve file