Home

Projektdokumentation

Contents

1. m fwbuilder DIE File Edit View Insert Rules Tools Help General Interfaces Sysinfo Compile Install Firewall Network Nene Address best et Oyn MAG now sume gel etho 111 111 111 111 255 255 255 255 ext 127 0 0 1 EN 255 0 0 0 Edit 222 222 222 222 255 255 255 0 ext Delete _ H Policy attached to interface eth1 Num Source Destination Service Action Direction Options Comment 00 D er anetz rors _ elaccent Sinbouns A RE var ki ve Loaded data etc fwhuilder doku xml Abbildung 11 15 Eine fertig eingerichtete Regel fiir eth1 F r s mtlichen weiteren Regeln wiederholten sich die vorher aufgef hrten Schritte bis die Regeln den Vorgaben die an die Firewall gestellt wurden erf llt waren Seite 69 Linux Firewall 11 4 5 Globale Regeln Abschlie end werden nun noch die globalen Regeln nach dem selben Muster erstellt Diese gelten nicht nur f r einzelne Netzwerkschnittstellen sondern f r die gesamte Firewall Als letztes wird noch eine Regel angeh ngt die alles verbietet was noch nicht erkannt wurde X A fwbuilder Hak File Edit View Insert Rules Tools Help User Standard Destination Service Action mane Guer E Firewall em Objects 00 pal CMP unreachables Jaccept am A F Groups gF rewal netz Mosis Canet E Firewall ee Networks 01 goal ICMP unreachables oJaccert Any A netz1 gF irewai netz netz2
2. amp Zur ck zu FTP Server Einstellungen Abbildung 8 3 Aliases und Pfade Hier werden die Namen erzeugt die ein Benutzer statt der richtigen Verzeichnisnamen zu sehen bekommt Es k nnen statt Verzeichnisse auch Links angegeben werden Im Bild oben ist die platte ftp cdrom ein Softlink auf mnt cdronm Seite 43 wu ftp Der FTP Server 8 2 2 Anonymes FTP Um unbekannten Benutzern den Zugang zum FTP Server zu gestatten wird ein so anonymer Zugang eingerichtet Zu diesem Zweck bekommt er quasi ein eigenes Heimatverzeichnis ide platte ftp Eingestellt werden diese Optionen unter Anonymes FTP auf der Hauptseite von wu ftp Hilfe Modada Anonymes FTP Root Verzeichnis f r anonymes FTP Gast Root Verzeichnis Unix Gruppen f r anonyme Benutzer Kennwort berpr fung f r anonymes FTP Verzeichnis Tei O Verzeichnis Fee n fewe peee 1 Wechsle zu Gruppe F r Klassen C Default Muss eine E Mail Adresse nach RFC822 sein Nur warnen Kennw rter f r anonymes FTP die verweigert werden sollen Speichern e Zur ck zu FTP Server Einstellungen amp Zur ck zu FTP Server Einstellungen Abbildung 8 4 Anonymes FTP Seite 44 wu ftp Der FTP Server 8 2 3 Benutzer und Klassen Um einzustellen welche Benutzer und Klassen welche Rechte bekommen sollen klickt man auf der Server Hauptseite auf Benutzer und Klassen Webmin Index
3. 11 3 Tabelle 11 2 Generelle begleitende Optionen Kommando Bedeutung t lt tabelle gt Auswahl einer Tabelle filter nat mangle filter ist die Standard Tabelle falls diese Option nicht gew hlt wurde Hierbei wird das diese Tabelle managende Modul iptable_ lt tabelle gt geladen sofern der Kernel mit automatischem Modul Loading konfiguriert ist V Mehr ausgeben n Numerische Ausgaben bei Auflistungen X Exakte Zahlenangeben anstelle von Kilo Mega Giga h Hilfe Meldungen und Optionen ausgeben in Verbindung mit m oder j werden die mit dem jeweiligen Modul zur Verf gung stehenden zus tzlichen Optionen angezeigt m lt modul gt Zus tzliche Optionen bereitstellen die im angegebenen Modul verankert sind Hierbei wird der Modulname ohne vorangestelltes ipt_ und ohne Erweiterung angegeben z B mac zum Laden des Moduls ipt_mac o Besonders hilfreich ist in diesem Zusammenhang die Hilfe Funktion h die in Verbindung mit einem Modul dessen Parameter und Optionen auflistet Grundlegende Konfiguration der Firewall Die folgenden Ausf hrungen beziehen sich nicht auf das Projekt eine Firewall f r einen Server zu erstellen sondern soll nur die grundlegenden Prinzipien aufzeigen Die Regeln f r eben dieses Projekt werden sp ter mit dem GUI Tool Firewall Builder erstellt und erl utert Vor dem erstellen von neuen Firewall Regeln sollte man um Schwierigkeiten zu
4. amp Services 02 Any Any Any Seny Any A Groups ICMP IP TCP UDP Custom Firewalls Firewall FNAT Policy Time Undo DI Loaded data etc fwhuilder doku xml Abbildung 11 16 Globale Regeln f r die Firewall 11 4 6 Firewall starten Damit hatten wir die Konfiguration der Firewall abgeschlossen und speicherten sie ein letztes Mal ab Anschlie end w hlten wir im Men den Punkt lt Rules gt lt Compile gt an Firewall Builder generierte jetzt das Firewall Skript und speichert es im Arbeitsverzeichnis etc fwbuilder ab Von dort kann es ber lt Rules gt lt Install gt gestartet und anschlie end ausgetestet werden Seite 70 Linux Firewall X A fwbuilder DIE File Edit View Insert Rules Tools Help User Standard Num Source Destination Service Action Time Options Comment Name er Firewall opp d Obi 00 all ICMP unreachables Accept Any Objects E r 1 21 Groups rs irewal ne 1 Hosts netz2 EN Firewal icme Networks 01 A ICMP unreachables OJacsert Any A netz1 Firewall netz2 netz f f Services 02 Any Any Any apen any A Groups ICMP IP TCP X A fwbuilder lt 2 gt UDP Custom EET A n i Executing usr bin fwb_iptables f etc fwhuilder doku xml d 2 F Firewalls etc fwbuilder Firewall Firewall 3 Wrote file Firewall fw FNAT Firewall Policy compiled sucessfully Policy
5. 2 3 1 Einf hrung in das RAID Prinzip Um die Ausfallsicherheit und die Leistungsf higkeit eines Systems zu erh hen und eventuellem Datenverlust vorzubeugen wird ein RAID Verbund benutzt RAID bedeutet Redundant Array of Independent oder auch Inexpensive Disks Dies bedeutet das mehrere Festplatten benutzt werden um Daten zu speichern Dabei ist es m glich bei Ausfall einer Festplatte alle Daten beibehalten zu k nnen Ausnahme RAID 0 Wie die Daten auf die Festplatten verteilt werden legen die so genannten RAID Level fest Tabelle 2 3 RAID Level RAID Level Beschreibung 0 Die Daten werden fortlaufend auf die Laufwerke verteilt Dies hat eine Geschwindigkeitssteigerung gegen ber einer einzelnen Festplatte zur Folge F llt hierbei eine Festplatte aus so sind bei gleicher Verteilung die H lfte der Daten verloren Sie k nnen auch nicht rekonstruiert werden Die Daten werden parallel auf mindestens zwei Festplatten geschrieben F llt bei dieser L sung eine Platte aus so kann diese entfernt werden und eine leere eingebunden werden Der RAID Controller oder die Controller Software spiegelt die vorhandenen Daten auf die neue Platte so das wieder zwei komplette Datens tze bestehen Hierbei werden wie in Level 0 die Daten auf mehrere Festplatten verteilt und eine zus tzliche speichert nur Parit tsdaten So kann bei Ausfall einer Datenplatte die Parit tsinformation benutzt werden um die urspr nglichen Daten zu
6. 443 HTTPS sichere Verbindung zum WWW Wie aus der Liste zu ersehen ist wird bei einem Client der zum Beispiel mit Netscape eine Verbindung zu einem Webserver herstellen will der Port 80 verwendet Um nun eine Regel zu erstellen benutzt man nun folgenden Befehl iptables A OUTPUT p tcp sport 1024 dport 8 amp 0 j ACCEPT Die Option A OUTPUT h ngt die neue Regel an die Output Chain an das sport 1024 steht fiir den Source Port Dieser muss mindestens 1024 sein mit dem angeh ngten Doppelpunkt erreicht man das auch alle dar ber liegenden Ports erlaubt sind Durch diese Regel hat man nun erreicht das der Client ein Paket an den Webserver schicken kann Da jetzt zwar dieser Weg frei ist kann man aber in diesem Moment noch nichts empfangen Hierfiir ist nun eine weitere Regel erforderlich iptables A INPUT p tcp sport 80 dport 1024 syn j ACCEPT Wie zu erkennen ist sind hier nun die Absender und Empfanger ports vertauscht Die Option syn berpr ft bestimmte Flags im Kopf des TCP Paketes und erkennt daran das erste Paket einer neuen Verbindung Im Klartext bedeutet dies das alle Pakete die zu einer bestehenden Verbindung geh ren erlaubt sind ein Aufbau einer neuen Verbindung von au en aber verweigert wird also Programme auf dem eigenen System Verbindungen aufbauen darf fremde Rechner von au erhalb aber nicht Da es sich hierbei aber um einen relativ einfachen Mechanismus handelt verwendet man lieber ein s
7. Auswahl der Sprache SCH Danish W hlen Sie die Sprache die Sie English w hrend der Installation von Red Erenthi Hat Linux verwenden wollen Hungarian Icelandic Italian Japanese Norwegian Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swedish Turkish Ukrainian Hilfe ausblenden Info zur Version lt Zur ck D Weiter Abbildung 2 2 Sprachauswahl Red Hat Linux Online Hilfe Tastatur konfigurieren Gs I DES e Ke Tastatur en konfigurieren IT T m W hlen Sie die Tastatur die sich en SS ee Generic 102 key nt PC Wenn Sie keinen genauen Eintrag Generic 104 key PC f r Ihre Tastatur finden w hlen Sie SE int Pe die am besten geeignete generische 4 Tastatur aus beispielsweise den Tastaturbelegung Eintrag f r eine generische PC Tastatur mit 101 Tasten Een en Germa Tastaturlayout f r Ihre Tastatur Greek aus beispielsweise Deutsch Hungarian Die Eingabe von Sonderzeichen ZS 4 wie N O und f r die keine Dead Keys Tasten auf Ihrer Tastatur vorhanden sind erfolgt mithilfe der sogenannten Dead Key Funktion also durch die Kombination mehrerer Tasten zu einer Testen Sie hier Ihre Auswahl Tastenfolge Wenn Sie diese Sonderzeichen eingeben m ssen 7j Hilfe ausblenden Info zur Version D weiter Abbildung 2 3 Tastaturkonfiguration Dead k en Dead Keys deaktivieren Seite 8 Das Betriebssystem Installation von Red Hat Linux 7 2 un
8. dev sdb1 2 4 Bootloader Nach der Partitionierung erscheint der Bildschirm f r die Boot Konfiguration Dabei k nnen die Bootloader grub und lilo ausgew hlt C Use LILO as the boot loader werden Red Hat Linux Online Help rBoot Loader Configuration la Please select the boot loader that the computer will use GRUB is the default boot loader However if you do not wish to overwrite your Boot Loader current boot loader select Do not install a boot loader 2 Use GRUB as the boot loader Installation New to Red Hat Linux 7 2 GRUB is a software boot loader that can be used to start Red Hat Linux on your computer It can also start other operating systems such as Windows 9x Here you ll be asked how or whether you want to configure a boot loader and which one GRUB or LILO Choose which boot loader you want to install If you would rather use the legacy boot loader LILO make sure itis selected instead of GRUB If you choose not to install a boot loader make sure you create a boot disk or have another way to boot your Red Hat Linux system To install a boot loader select where you want to install it If your system ail use only Red Hat Linux Hide Help Release Notes xi C Do not install a boot loader Install Boot Loader record on dev hda Master Boot Record MBR C dev hdal First sector of boot partition Kernel Parameters Force use ofLBA32 not normally require
9. 2 5 482 22880828 pass ireikeee ei kuss a S spe 89 12 7 Smtp Pop E Mail Clients einrichten cus0ssssssnssorsossnnsonsnnsnnsnnsnnssnssnnsonsnnsnnsnnsnnssnssnnsonsnnsonsnnes 90 12 8 Wie Mail Transportiert wird eosssssssssesosssessonssonssonsnnnsnnssnnssnnssnnesnnnsnnnnsnsssnssnsssnssonssonsnnssnnssnnssnnnene 90 12 9 Mail Routing im Internet ccssssssnsesossssssssssonssonssonsnnnsnnssnnssnnsennnnnnnsnnnnsnsssnssnssonssonssonsnnnsnnssnnsnnnene 91 KRUTEN 92 PROJEKT TAGEBUCH a aeea aaea anpa sense EES 93 LITERATURVERZEICHNIS UND QUELLENANGABEN nuusnsunnsnannnnnonnunnannnnnnnnnannunnannnnnnnnnannnnnannnnnn 97 Seite 5 Projektbeschreibung 1 Projektbeschreibung 1 1 Problemstellung Das Netzwerk der BBS II benutzt als Schnittstelle zum Internet einen Server der sowohl Schutz gegen Eindringlinge bietet als auch Dienste f r das interne Netzwerk bereitstellt Der vorhandene Server soll durch einen leistungsf higeren ersetzt werden 1 2 Aufgabenstellung Die Aufgabe sieht die Einrichtung des neuen ARKTUR Servers vor der den vorhandenen ersetzen soll Die Plattform f r diese Aufgabe stellt das Betriebssystem Red Hat Linux 7 2 dar Auf diese Plattform werden weitere Dienste aufgesetzt um die Infrastruktur des Netzwerkes bereitzustellen Dies sind im einzelnen Firewall zur Absicherung des Netzwerkes gegen ber dem Internet Email Server f r den Email Verkehr der BBS II Web Server f r die Internetseiten der BBS I
10. www abitz com Internet www linux as server de www linuxinfo de www linuxfocus org www linux community de www fwbuilder org Tutorial zum Firewall Builder www tu harburg de dlhp HowTo zu IPTABLES www pl berichte de Firewall selbst entwickeln Seite 97
11. Arktur bbs2 fh wilhelmshaven d Leite unqualifizierte Benutzernamen Tekallaudketemn r a weiter zu Host Leite Mail f r lokale Benutzer weiter zu Teckallausiekim E IR a a Host Delivery mode C Default Background C Queue only C Interactive C Deferred SMTP port options C Standard Port smtp Addr 139 13 210 1 Name MTA Maximaler Load Durchschnitt f r das fe Maximaler Load Durchschnitt f r m Senden sonc 9 E das Empfangen 9 e Maximale Anzahl von untergeordneten IR Maximale Anzahl von Rm Prozessen Standard C Verbindungen Sekunde Standard C Minimale Zeit vor dem erneuten Serie l isegen ER Col Sendeversuch S D Zeit bevor eine Warnung gesendet Zeit bevor aufgegeben wird C Standard 1d ied C Standard Jan Verzeichnis der Warteschlange C Standard var spool mqueue Sende Fehlermeldungen an Postmaster C Benutzerweiterleitungsdateien C Standard 2 forward w 2z forward Mlinimaler freier Speicherplatz C Standard 100 blocks Maximale Nachrichtengr e Standard C bytes MIME kodierte Bounce e x Protokoll Level C Standard 9 Nachrichten Ja Nein Accept mail for users real names C Ja Nein Maximum mail hop count Standard C Dateisicherheitseinstellungen Default C Ausgew hlte ClassFilelnUnsafeDirPath DontWarnForwardFilelnYUnsafeDirPath ErrorHeaderinUnsafeDirPath Safe AssumeSafeChown Speichern und Anwenden amp Z
12. Destination Service Action Direction Options Comment SE E de A Ge 00 D er gF irewai K dd Je Accept bon Ihttp daytime dns_tcp eklogin finger fip fip data http https imap imaps irc klogin ksh Idap linuxconf linuxconf mysql nfs nntp v af send kl unae HS Loaded data etc fwhuilder dokuxml Abbildung 11 13 Eine fertig eingerichtete Regel fiir eth0 Seite 67 Linux Firewall F r das Loopback Device wird alles freigegeben da es sich um die so genannte und schon erw hnte Pseudoschnittstelle f r lokale Anwendungen handelt X A fwbuilder DIE File Edit View Insert Rules Tools Help User Standard General Interfaces SysInfo Compile Install Firewall Network Name T Name Tausress reme Jerjovnfmac now snme aa Groups 111 111 111 111 255 255 255 255 ext Hosts 127 0 0 1 255 0 0 0 Edit Networks eth1 222 222 222 222 255 255 255 0 ext eth1 netz1 Delete i netz2 EIS gt j T u Policy attached to interface lo Ser Num Source Destination Service Action Direction Options Comment ne o0 Any Any Any Olaccert amp son A Ez k UDP Custom Firewalls e Firewall NAT Policy Time X Y eppi Undo HS D Loaded data etc fwhuilder doku xml Abbildung 11 14 Regel fiir das Loopback Device Seite 68 Linux Firewall
13. Maan ader Benutzer und Klassen Hilfe UR k d ooo O IR root bin daemon adm Ip sync shutdown halt mail P base Face d Ki kd sesichem de Zur ck zu FTP Server Einste n Abbildung 8 5 Benutzer und Klassen Seite 45 ntpd Der Zeit Server 9 ntpd Der Zeit Server 9 1 9 2 9 3 Funktionsweise Der Zeitserver ist ein Dienst der sich automatisch in einem gegebenen Intervall mit einem angegebenen Referenzzeitserver im Internet verbindet die Laufzeit der Signale berechnet sich die aktuelle Zeit holt und durch die gemessene Laufzeit korrigiert Dies ist die Clientseite des Servers Die Serverseite stellt nun wiederum anderen Clients im LAN die aktuelle Zeit zur Verf gung Installation und automatischer Start Wie bereits die anderen Server vorher ist auch der ntpd bei der Vollinstallation mit installiert worden Sein Startverhalten wird ber ein Start und Stoppskript in den Runlevel Verzeichnissen unter etc bestimmt Unter Webmin findet man dies in den Systemstart und Herunterfahr Dienste in System gt System Start und Stopp eingestellt ber den Link ntp gelangt man auf die Detailansicht Konfiguration Die Konfiguration umfasst nur die Angabe des Referenzservers Dieser wird in die Datei etc ntp conf eingetragen Ausschnitt another protocol the prefer keyword would cause the local host to disregard all other synchronization sources unless the kernel
14. erste Regel auf die der Vergleich zutrifft entscheidet was mit dem Datenpaket geschehen soll Um entscheiden zu k nnen ob ein Paket akzeptiert wird oder nicht werden in den Firewall Regeln verschiedene Parameter abgefragt Die wichtigsten Parameter sind das verwendete IP Protokoll die IP Adressen von Absender und Empf nger des Paketes die Portnummern sowie das Netzwerkinterface ber das die Daten verschickt bzw empfangen werden sollen Seite 48 Linux Firewall 11 1 2 Hintergrundinformationen zu IP Protokollen Um die Funktion einer Firewall verstehen zu k nnen ist ein Ausflug zu der Funktionsweise von IP Protokollen von N ten Abbildung 11 1 Verh ltnis der IP Protokolle zu den Protokollen der Anwendungsebene 11 1 2 1 TCP Transmission Control Protocol Das TCP Protokoll ist im Moment das meist genutzte Protokoll das von fast allen Internet Diensten verwendet wird Das TCP Protokoll kennt den Begriff der Verbindung die vor der bertragung aufgebaut und danach wieder abgebaut werden muss W hrend einer bestehenden Verbindung garantiert TCP die Integrit t der Daten Wenn w hrend einer Verbindung einzelne Pakete verloren gehen werden diese automatisch noch mal bertragen Ebenfalls werden die Daten von TCP auch in die richtige Reihenfolge einsortiert bevor diese an die Anwendung weiter gegeben werden TCP ist f r eine Firewall besonders praktisch da man den Aufbau einer Verbindung anhand von Flags im Kopf
15. vermeiden eventuell vorhandene Regeln die bereits vom System erstellt wurden ausschalten Dieses erreicht man in dem man in der Datei die sp ter die Regeln enthalten soll als erstes den folgenden Eintrag macht iptables F Den vorgestellten Prinzipien folgend werden anschlie end alles gesperrt um sp ter durch entsprechende Regeln einzelne Datenpakete die die Firewall passieren d rfen wieder freizugeben Um dieses zu erreichen verwendet man folgende Regeln iptables P INPUT DROP iptables P OUTPUT DROP iptables P FORWARD DROP Seite 52 Linux Firewall Nachdem man nun alles gesperrt hat macht man sich daran die einzelnen Prozesse die gew nscht sind wieder freizugeben Als Beispiel hierf r soll die Verbindung zum WWW betrachtet werden Bevor man sich daran begibt muss man aber wissen welche entsprechenden Portnummern zu den jeweiligen Prozessen geh ren Hierzu dient die folgende Liste die eine Auswahl der Portnummern ist Die vollst ndige der von Linux unterst tzten Ports findet man in der Datei etc services 21 FTP Daten bertragung 22 SSH SecureShell 23 TELNET unsichere Alternative zu SSH 25 SMTP Mail Versand 43 WHOIS Verzeichnis der Inhaber und Betreiber von Internet Domains 53 DNS Zuordnung von Domain Namen und IP Adressen 79 FINGER Abfrage von Benutzerinformationen 80 HTTP Verbindung zum WWW 110 POP3 Mail Empfang 119 NNTP Usenet News Versand und Empfang 143 IMAP Mail Empfang
16. z B t oder source port won Ein vorangestelltes mit den Daten eines Paketes iibereinstimmen Ohne getestet 11 2 3 Typische Kommandos Auswahl bedeutet Negation d h der nachfolgende Parameter darf nicht won wird stets auf Ubereinstimmung Alle in eckigen Klammern stehenden Werte sind optional lt gt Das in spitzen Klammern stehende Wort steht stellvertretend fiir den stattdessen einzusetzenden Inhalt Tabelle 11 1 iptables Befehle Kommando Bedeutung A lt chain gt lt regel gt Anfiigen einer neuen Regel am Ende einer Chain Tabelle D lt chain gt lt regel gt L schen einer Regel aus einer Chain Tabelle C lt chain gt lt regel gt Testen eines Paketes mit bestimmten Bedingungen auf eine Chain Tabelle R lt chain gt lt nr gt lt regel gt Ersetzen einer Regel durch eine neue I lt chain gt lt nr gt lt regel gt Einfiigen einer Regel in eine Tabelle Chain L lt chain gt Auflisten aller Regeln einer Tabelle Chain evtl mit Z F lt chain gt Alle Regeln einer Chain l schen Z lt chain gt L schen der Z hler einer Chain N lt chain gt Neue benutzerdefinierte Chain anlegen X lt chain gt Benutzerdefinierte Chain l schen P lt chain gt lt ziel gt Standardverhalten einer Chain festlegen E lt chain gt lt chain neu gt Umbenennen einer Chain Seite 51 Linux Firewall
17. Builder Die beschriebene Konfiguration reizt die F higkeiten des Firewall Builder bei weitem nicht aus So l sst sich durch die Definition und Einbindung von Zeitspannen die Geltungsdauer von Regeln zeitlich beschr nken Daneben kann das Tool mehrere Firewall Konfigurationen parallel vorhalten und bei Bedarf auf verschiedene Rechner verteilen Viele dazu notwendigen Informationen holt sich Firewall Builder bei Bedarf per Knopfdruck via DNS und SNMP In jedem Fall reduziert Firewall Builder den Aufwand beim Erstellen Austesten und Verteilen von Firewall Policies drastisch da die ben tigten Regeln nicht von Hand in ein entsprechendes Script eingetragen werden m ssen Seite 72 Linux Firewall 11 5 Erstelltes Script vom Firewall Builder bin sh This is automatically generated file DO NOT MODIFY Firewall Builder fwb_iptables v1 0 0 Generated Mon Apr 29 12 12 48 2002 CET by root HHH HH HH HHH if x usr bin logger then logger p info Activating firewall script Firewall fw generated Mon Apr 29 12 12 48 2002 CET by root fi modprobe ip_conntrack exit 1 modprobe ip_conntrack_ftp exit 1 modprobe ip_nat_ftp exit 1 FWD cat proc sys net ipv4 ip_forward echo 0 gt proc sys net ipv4 ip_forward echo 30 gt proc sys net ipv4 tcp_fin_timeout echo 1800 gt proc sys net ipv4 tcp_keepalive_intvl iptables P OUTPUT DROP iptables P INPUT DROP iptables P FORWARD DROP cat proc net ip_tables_na
18. Editor Dieser zeigt folgendes Bild Time units may be days hours minutes or seconds Grace period before enforcing soft limits for users Filesystem block grace period file grace period dev mdo days 7days dev hdcl 7days 7days Hier kann nun die Zeit einzeln f r jede Partition und getrennt nach Softlimit f r Platzverbrauch block und Dateianzahl file eingestellt werden Die dabei m glichen Zeitdauervariablen stehen in der ersten Zeile Seite 26 Disk Quotas 3 3 2 bertragen von Quotawerten auf mehrere Benutzer Hat man sich einen Musterbenutzer erstellt so kann man mit der Option p die Limits auf andere Benutzer oder Gruppen Kopieren edquota u MusterUser p Userl User User Die vorhergehenden Vorg nge beziehen sich auf ein System das bereits aktive Benutzer hat und nun nachtr glich der Festplattenplatz begrenzt werden soll Hat man ein System zu dem man Benutzer erst noch hinzuf gen muss so kann man Standardwerte vorgeben die f r jeden neuen Benutzer automatisch bernommen werden Die Option verbirgt sich in der Linuxconf unter Linuxconf gt Verwaltung gt Benutzer gt set quota defaults 3 3 3 Starten und beenden der Quotaiiberwachung Zum Starten und Beenden der Quota berwachung werden die Programme quotaon und quotaoff ben tigt Mit quotaon avug wird die Quota berwachung eingeschaltet mit quotaoff avug wird sie ausgeschaltet Dabei steht wieder a f r alle montierten F
19. Handbuchseite von dhcpd conf ACHTUNG Vor allem bei der ad hoc Methode ist uns einige Male der DNS Server stehen geblieben Der Grund daf r ist das die Vergaben nicht sofort in die Zonen Dateien geschrieben werden sondern vorerst im RAM und in den nicht lesbaren Journal Dateien festgehalten werden Das hat den Sinn das der Server in einer Firma oder Schule bei Arbeitsbeginn oder Ende f r durchaus mehrere Hundert an oder abmeldende Rechner einzelne Schreibvorg nge auf die Zonen Datei ausf hren m sste Sollte dies der Fall sein braucht man nur die Journal Dateien zu l schen und den DNS und DHCP Server neu zu starten Sie befinden sich in dem Ordner wo sich auch die Zonen Dateien befinden var named Die Dateien hei en genau wie die jeweiligen Zonen und haben die Endung jnl Bei der Umstellung auf den interim Style konnten wir nur noch gelegentliche Abst rze beobachten Es kann daher davon ausgegangen werden das bei der noch erscheinenden dritten Methode diese Abst rze nicht mehr auftreten werden Wir raten deshalb dazu ein Update einzuspielen sobald dies verf gbar ist und die Update Methode in der dhcpd conf umzu ndern server identifier Diese Zeile gibt dem Server einen Namen option domain name Hier wird dem Server die Dom ne mitgeteilt f r die er zust ndig ist option domain name servers Festlegung des f r die Dom ne zust ndigen DNS Servers option routers 139 13 210 1 Angabe ber den Router ber den die Ve
20. IP Adresse die hier durch XXX XXX XXX XXX dargestellt ist kann man die Quelle source einschr nken Im konkreten Beispiel w rden alle IP Adressen des Bereiches xxx xxx xxx 0 bis Xxx xxx xxx 255 ber SSH eine Verbindung zum System aufbauen k nnen Durch die Option d Xxx xxx XXX XXX k nnte man der Verbindung noch ein Ziel destination angeben F r alle weiteren Server die auf dem Rechner laufen sollen geht man nach dem selben Prinzip vor Seite 54 Linux Firewall 11 3 3 Regeln f r DNS Domain Name Service Der DNS bedarf einer besonderen Beachtung da dieser immer notwendig ist das beruht darauf das die Namensaufl sung eine wesentliche Voraussetzung f r die Internet Kommunikation ist Wird eine Anfrage an einen DNS Server gestellt so wird diese immer ber zuerst ber UDP ausgef hrt Wenn die Antwort f r diese Anfrage aufgrund ihrer Gr e mit UDP nicht ausgef hrt werden kann wird die Anfrage nochmals ber TCP wiederholt da hier ber gr ere Datenmengen bertragen werden k nnen F r diese Besonderheiten gelten folgende Regeln iptables A OUTPUT p udp sport 1024 dport 53 j ACCEPT iptables A OUTPUT p tcp sport 1024 dport 53 j ACCEPT Aufgrund der schon erw hnten Besonderheiten von UDP in Bezug auf eine Firewall das genau diese Firewall nicht feststellen kann ob ein UDP Paket zu einer bestehenden Verbindung geh rt Aus diesem Grund bedeutet es f r die Erstellung der Firewall besondere Aufmer
21. IX ch DRDOS sec FAT 4 FATIb lt 32M 39 Plan 9 80 Old Minix c Syrinx 5 Erweiterte 3c PartitionMag 831 Minix old Lin da Non FS data b FATIb 40 Venix 602486 8 amp 2 Linux Swap db CP M CTOS Vd HPFS NTFS 4l PPC PReP Boo 83 Linux de Dell Utility amp AIX 42 SES a4 OS 2 verst C df BootIt H AIX bootf h 4d daNXU x 85 Linux erweitert el DOS access a 0S E Bootma He ANXH x 2nd p db NTFS volume set e3 DOS R O b WindS FAT32 4f QANXU x 3rd p 837 NTFS volume set e4 SpeedStor c WindS FAT32 50 OnTrack DM Ae Linux LVM eb BeOS fs e WindS FATIb 51 OnTrack DMb 93 Amoeba ee EFI GPT f WindS Erw 52 CP M q4 Amoeba BBT ef EFI FAT 1b 10 OPUS 53 OnTrack DML 9f BSD OS fl SpeedStor ll Verst FATL 54 OnTrackDMb aD IBM Thinkpad hi f4 SpeedStor l2 Compaq Diag 55 EZ Drive a5 BSD 38b fe DOS secondary 14 Verst FATL 5b Golden Bow ab OpenBSD fd Linuxraidauto lb Verst FATL 5c Priam Edisk a NeXTSTEP fe LANstep 1 Verst HPFS bl SpeedStor b BSDI fs ff BBT 18 AST SmartSl 63 GNU HURD S b amp BSDI swap Hex code L um eine Liste anzuzeigen fd Der Dateisystemtyp der Partition 1 ist nun fd Linux raid autodetect Kommando m f r Hilfe Diese Vorg nge wiederholt man nun f r jede einzelne Partition auf diesem Laufwerk Abgeschlossen wird fdisk mit w f r write Damit wird die Partitionstabelle neu geschrieben und neu eingelesen Damit w re nun eine Festplatte partitioniert Es m ssen nun die anderen Laufwerke ebenso abgehandelt werden Seite 13 D
22. Monochrome Color scheme which color scheme do you wish to use 1 1 Die serielle Schnittstelle die verwendet werden soll wird in dem folgenden Dialog spezifiziert Dabei steht ttySO f r COM Port 1 und ttyS1 f r COM Port 2 Unter Other kann ein anderer konfiguriert werden PowerChute Plus for UNIX requires complete control of the serial port No processes including gettys are allowed to be accessing the port Therefore the serial port you select must NOT be enabled for logins To ensure that PowerChute Plus for UNIX has control of the serial port make sure that it is not enabled for logins To disable the port for logins consult the PowerChute Plus for UNIX manual 1 dev ttyso 2 dev ttysi 3 Other which serial device will be dedicated to PowerChute Plus for UNIX 1 Nun wird man aufgefordert sich zu vergewissern das das Spezialkabel mit der UPS und dem Rechner verbunden ist You should have the black cable 940 0024C attached to dev ttyS0 Please verify Command files may be executed with root privileges or with the privileges you assign to the pwrchute account allowing you to customize command file execution according to your system requirements Do you want to execute command files as root y n y E mail may be sent with root privileges or with the privileges you assign to the pwrchute account Do you want to send e mail as root y n n Diese zwei Fragen beziehen sich auf das Verhalten das PowerCh
23. Netzwerk Sie benutzen Wir konzentrieren uns darauf wie TCP IP Netzwerke Mail Adressen interpretieren Aufbau einer Email Adresse RFC 822 Internetsysteme halten sich an den Standard RFC 822 der die bliche Schreibweise user host domain verlangt wobei host domain der voll qualifizierte Domainname des Hosts ist Das Zeichen in der Mitte ist ein Klammeraffe der englische Name commercial at kurz at macht einem eher begreiflich wieso es als Trennsysmbol gew hlt wurde Diese Notation gibt keine Route zum Zielhost an Seite 92 Projekttagebuch Projekttagebuch 06 Februar 2002 Aufbau der Vorl ufigen Hardware 3 Standard PC gt 1 Server 2 Clients Einbau der Netzwerkkarten Installation von Red Hat 7 1 Server und Clients Installation von Windows 98SE auf den Clients Informationsbeschaffung tiber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachbiichern 07 Februar 2002 Download von WEBMIN 0 93 und Installation DNS eingerichtet Informationsbeschaffung tiber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachbiichern 13 Februar 2002 Download von Firewall Builder und Installation DNS Probleme Informationsbeschaffung tiber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachbiichern 14 Februar 2002 Einrichtung des Time Server Einrichtung von Sendmail Einrichtung der Firewall Informationsbeschaffung tiber die Geforderten Teilaufg
24. OK gt Diese Einstellungen wiederholten f r die weiteren Schnittstellen lt eth1 gt und das Loopback Device lt lo gt Beim Loopback Device wurde allerdings der Haken im Feld lt External Interface gt weggelassen Seite 61 Linux Firewall X A fwbuilder EICH File Edit View Insert Rules Tools Help User Standard General Interfaces Sysinfo Compile Install Firewall Network ane Jane names Jalchks now sne oet Groups 111 111 111 111 255 255 255 255 el Hosts lo 127 0 0 1 255 0 0 0 Edit Networks eth1 222 222 222 222 255 255 255 0 ext eth1 Delete Groups al ISS Policy attached to interface ethO Num Source Destination Service Action Direction Options Comment Custom Firewalls Firewall Ei send 5 unae Loaded data usr share fwhuilder objects_initxml Abbildung 11 8 Fertig eingef gte Netzwerkschnittstellen 11 4 3 Kompilierung und Installation Der Regelcompiler liegt nach einer Standardinstallation von Firewall Builder im Verzeichnis usr bin Da wir Regeln f r die Iptables Firewall erstellten gaben wir als Pfad zum Compiler also usr bin fwb_iptables an Seite 62 Linux Firewall X A fwbuilder Hok File Edit View Insert Rules Tools Help User Standard General Interfaces Sysinfo Compile Install Firewall Network Compiler amp Services Firewalls Compiler if different from default
25. Record e Deaktivieren des Advanced Interrupt Handlers wegen eines speziellen Motherboard Fehlers der in Verbindung mit Linux auftritt Er kann nicht mit einem Bios Update behoben werden Nach dem Abspeichern der Optionen kann dann nach einem Neustart mit der Installation begonnen werden Als erstes kommt ein Bildschirm auf dem man sich fiir die Art der Installation entscheiden muss Sollte es zum Beispiel Probleme mit der grafischen Installationsroutine geben kann man hier den Textmodus w hlen Red Hat To install or upgrade a system running Red Hat Linux 3 8 3 or later in graphical mode press the lt ENTER gt key To install or upgrade a system running Red Hat Linux 3 8 3 or later in text mode type text lt ENTER gt To enable expert mode type expert lt ENTER gt Press lt F3 gt for more information about expert mode To enable rescue mode type linux rescue lt ENTER gt Press lt F5 for more information about rescue mode If you have a driver disk type linux dd lt ENTER gt Use the function keys listed below for more information Fi Mai Gener boot Loading initrd img Abbildung 2 1 Installationsauswahl Seite 7 Das Betriebssystem Installation von Red Hat Linux 7 2 Nun folgen nacheinander die Abfragen f r die Sprache das Tastaturlayout und die Mauseinstellungen Red Linux Online Hilfe Auswahl der Sprache Welche Sprache soll w hrend des Installationsvorgangs verwendet werden
26. address if needed Anschluss Standard Beliebig Dokumenten Root H Server Name C Automatisch Copy directives from Nowhere Erstellen amp Zur ck zu Startseite Abbildung 7 4 Apache Startseite Nun kann man durch anklicken eines Links in der Liste der virtuellen Server die Einstellungen f r jeden einzelnen Server anpassen Wie in der Liste zu sehen ist greifen die Virtuellen Server mit dem Namen www auf das Dokumentenverzeichnis var www bbs2 zu In diesem befinden sich die Internetseiten der BBS II Der Dritte Server der auf wwwtest h rt greift dagegen auf var www wwwtest zu Diese Verzeichnis ist gleichzeitig eine Samba Fileserver Share Dies bedeutet das Sch ler ber den Windows Explorer von einem Schulrechner aus ihre selbst erstellten Webseiten in das Dokumentenverzeichnis von wwwtest legen k nnen Somit ist ein sofortiges testen der Seiten im LAN m glich Im LAN deshalb weil der wwwtest nur auf die Schul interne Schnittstelle h rt Seite 40 wu ftp Der FTP Server 8 wu ftp Der FTP Server 8 1 Installation und Start von wu ftp Der verwendet wu ftp Server wird bereits mit der Vollinstallation mit installiert Das Startverhalten wird ber den Extended Internet Superserver xinetd gesteuert Dazu ist f r jeden seiner Dienste eine Textdatei im Verzeichnis etc xinetd d vorhanden Im Falle des wu ftp ist dies etc xinetd d wu ftpd In dieser Datei steht auch das auszuf
27. aus dem Rumpf der Nachricht also dem von Ihnen geschriebenen Text und speziellen administrativen Daten die die Empf nger angeben Das Transportmedium usw ist vergleichbar mit einem Briefumschlag Diese administrativen Daten lassen sich in zwei Kategorien einteilen In die erste fallen alle Daten die das Transportmedium betreffen wie z B die Adresse des Absenders und Empf ngers Man spricht deshalb auch vom Briefumschlag dem Envelope Diese Daten k nnen von der Transportsoftware transformiert werden w hrend sie die Botschaft weiterreicht Die zweite Kategorie umfasst alle Informationen die zur Verarbeitung der E Mail erforderlich sind und von jeglichem Transportmechanismus unabh ngig sind Dazu geh ren beispielsweise die Betreff Zeile engl subject die Liste aller Empf nger sowie Datum und Uhrzeit wann die Botschaft abgeschickt wurde In vielen Netzwerken hat es sich eingeb rgert diese Informationen der eigentlichen Botschaft als Briefkopf voranzustellen Dieser Kopf oder mail header ist vom Rumpf oder mail body der Botschaft durch eine Leerzeile getrennt Die meisten Mail Programme in der UNIX Welt verwenden ein Header Format das in RFC 822 skizziert ist Sein urspr nglicher Zweck war es einen Standard f r das ARPANET zu schaffen Da es so entworfen wurde dass es unabh ngig von irgendeiner bestimmten Netzwerkumgebung ist wurde es auch leicht an andere Netze angepasst einschlie lich vieler UUCP basierter Netze RF
28. be running with 2 Die erste Abfrage richtet sich auf die verwendete Hardware Bei uns war es eine SmartUPS 1000 Danach fragt das Skript eine Optionale Messerweiterung vorhanden ist Dies war nicht der Fall The Measure UPS is a device which is designed to perform environmental monitoring in conjunction with PowerChute Plus for UNIX Do you currently have a Measure UPS attached to the UPS y n n Die folgende Frage bezieht sich auf die M glichkeit andere Computer ber TCP IP Netzwerke zu berwachen Da keine anderen Computer berwacht werden sollen und ein Fehler beim Aufrufen des Programms auftrat der besagte das keine Verbindung zum Server aufgenommen werden kann haben wir diese Frage verneint Somit l uft der Prozess nur Lokal PowerChute Plus for UNIX is able to monitor other hosts However in order to monitor other hosts TCP IP must be installed If you do not have TCP IP installed answer n to the following question Do you currently have TCP IP Installed y n n Seite 29 USV Unterbrechungsfreie Stromversorgung Da PowerChute Plus unter Red Hat 7 2 nur auf der grafischen Oberfl che lauff hig ist spielt die Antwort auf die Frage nach dem Farbschema keine Rolle Sie ist f r Versionen die auf der Textkonsole laufen gedacht If you will be using the Motif version of the User Interface on a monochrome monitor using the Monochrome Coloring scheme is recommended 1 Use Default Color scheme 2 Use
29. bezieht den Ordner etc xinetd d mit ein Hier sind die einzelnen Dienste in eigene Dateien verteilt In der Datei etc xinetd d ipop3 muss der pop3 Service frei geschaltet werden default off description The POP3 service allows remote users to access their mail using an POP3 client such as Netscape Communicator mutt or fetchmail H H E service pop3 socket_type stream wait no user root server usr sbin ipop3d log_on_success USERID log_on_failure USERID disable no lt hier wird der Dienst aktiviert no statt yes Danach musste der xinetd d Dienst neu gestartet werden was wir mit dem Befehl etc init d xinetd d restart erreicht haben Der Mailserver Sendmail wird als eigenst ndiger Prozess gestartet und nicht ber den xinetd verwaltet Sendmail startet man mit usr sbin sendmail q q Warteschlangenbearbeitungsintevall Sendmail stoppen Seite 78 Mailserver Sendmail etc rc d init d sendmail stop Um Sendmail zu starten etc rc d init d sendmail start Tipp zum deaktivieren von Diensten Deaktivieren Sie Dienste nur ber das Setzen von Kommentarzeichen nicht durch l schen der Zeile Wenn sp ter der Dienst doch wieder gebraucht wird dann kann er leicht wieder aktiviert werden indem einfach das Kommentarzeichen weggenommen wird 12 6 Konfiguration mit Webmin Ne Sendmail Einstellungen Sende ausgehende Mail durch Host C Direkt senden J
30. change the default language after the installation Red Hat Linux can alternately install and support several languages To use more than one English Australia English Botswana English Canada English Denmark English Great Britain English Hong Kong English Ireland English New Zealand English Philippines English Singapore English South Africa English USA English Zimbabwe language on your system choose Estonian specific languages to be installed Ge Faroe Islands or select alllanguages to have all available languages installed on your Red Hat Linux system Use the Reset button to cancel your selections Hide Help Release Notes H French Belgium French Canada French France French Luxemburg French Switzerland Galician Spain German Austria German Belgium Hat Linux Reset E lt Back Abbildung 2 11 Sprachenunterstiitzung Um die Uhrzeit und die lokale Zeitzone einzustellen dient der n chste Dialog Der n chste Standort in der Liste ist Berlin PS Red Hat Linux Online Help Time Zone Selection Location UTC Offset Time Zone View World T System clock uses UTC 63 Selection L You can set your time zone either by selecting your computer s physical location or by
31. crssonsoossossonssnnssnnssnnennsennnsnnsssnssonssonsnonsnnnsnnssnnsennnene 75 12 3 Was ist berhaupt eine Mail ccuscssssosssssssossnssonssonsonnsnnnsnnssnnssnnennnssnnnnsnsssnssnssonssonssonsnnnsnnssnnssnnnene 76 124 Die Datei Sendmail ck seesussesnesnesesnennenesnennenesnennenesnennenennennenennennenennennenennennenesnennenesnennenennennenennene 77 12 5 POP 3 Dienst aktivieren essssessesnesesnennenesnennenesnennenesnennenesnennenesnennenesnennenennennenesnennenennennesesnennenennene 78 12 6 Konfiguration mit Webmin cc ssss0s0s0sosssossonssonssonsonnsnnssnnssnnssnnsnnnnsnnsnnnsssnssnssonssonssonsnnnsnnssnnsnnnene 79 12 6 1 Benutzer und Gruppen 5 3s28 2 8 EENS EENS ARENS Ee 81 12 6 2 Spam Kontrolle access Shell 7etc MAil ACCESS ceeeessscesneecsseceeeeecsseceeeeeesaeceseeeenaeeeees 83 12 6 3 Mail Aliases Shell etc mail aliases sccnsnsseressseeesenneenennnennnnnnnnnennnnonnnnnnnennnnnn 84 12 6 4 Dom nenverkn pfung domaintable Shell etc mail domaintable 85 12 6 5 Dom nen Routing mailertable Shell Zertc mnail metlertablei eeeeeeeeneeeee 85 12 6 6 Adressenverkn pfung virtuser etc mail virtusertable sesser 86 12 6 7 Ausgehende Adressen generics etc mail genericstable eeeeeee 86 12 6 8 N ertraute Benutz EE 87 12 6 9 Weiterleitungsdom nen e esensi raaes aoe 2 Susseiteiiiieee ie TE SEESE SESE OSTES EErEE RSE 88 12 6 10 Dom nenmaskierung
32. dei server identifier 139 13 210 15 Der Domain Name option domain name bbse fh wilhelmshaven de s Der die Domain Nameserver option domain name servers 139 13 210 15 option netbios name servers 139 13 210 15 Der default Router option routers 139 13 210 15 Die Subnetzmaske option subnet mask 255 255 255 035 l Tag Zuteilungsdauer fuer eine IP Nummer default lease time 4b4005 Smal soviel als Maximum max lease time 4320005 key DHCP_UPDATER algorithm HMAC MD5 SIG ALG REG INT secret XXXXXXXXXXXXXXXXXXXXXXXX4F zone BBS2 FH WILHELMSHAVEN DE primary 127 0 0 15 key DHCP_UPDATERS zone 210 13 139 in addr arpa primary 127 0 0 15 key DHCP_UPDATERS subnet 139 13 210 0 netmask 255 255 255 0 range 139 13 210 222 139 13 210 2545 option broadcast address 139 13 210 25535 Seite 34 DHCP Dynamische IP Adressenvergabe 6 2 1 Erkl rung der Direktiven ddns update style Diese Zeile gibt die Methode f r das dynamische DNS Update vor Zum Zeitpunkt der Drucklegung sind zwei Update Typen verf gbar der ad hoc und der interim Style Interim bedeutet soviel wie bergang oder zwischenzeitlich und meint das bis zur Verabschiedung der dritten angestrebten Version diese als aktuell gilt Weiterhin ist davon die Rede das sich die endg ltige nicht viel von der jetzigen Interim Methode unterscheiden wird Der ad hoc Style wird als nicht funktionsf hig bezeichnet Nachzulesen in der
33. den Standardwert 538b 8 Letzter Zylinder oder Gr e Gr eK oder Gr eM 53868 79780 EStandardwert 797800 Benutze den Standardwert 79740 Kommando m f r Hilfe n Kommando Aktion e Erweiterte p Prim re Partition 1 4 D Partitionsnummer 1 4 1 Erster Zylinder 1 749780 Standardwert 11 Benutze den Standardwert 1 Letzter Zylinder oder Gr e Gr eK oder Gr eM 1 79780 EStandardwert 7497801 26 Kommando m f r Hilfe p Festplatte dev hdc lb K pfe b3 Sektoren 79780 Zylinder Einheiten Zylinder mit 1008 Sle Bytes Ger t boot Anfang Ende Bl cke Id Dateisystemtyp dev hdcl l 40b4 e O4 c24 83 Linux Tipp Wie hier zu sehen ist funktioniert die Angabe 2G stellvertretend f r 2 Gigabyte auch obwohl sie nicht angef hrt ist Seite 12 Das Betriebssystem Installation von Red Hat Linux 7 2 Um das Dateisystem der Partition zu ndern benutzt man das Kommando t Daraufhin fragt fdisk nach der Partitionsnummer deren Typ ge ndert werden soll Der Typ wird durch einen Hex Wert ausgedr ckt Eine bersicht ber die zur Verf gung stehenden Dateisysteme gibt es mit 1 f r Liste Kommando m f r Hilfe t Partitionsnummer 1 4 1 Hex code L um eine Liste anzuzeigen 1 0 Leer lb Verst WindS b4 Novell Netware bb Boot Wizard l FATID lc Verst WindS b5 Novell Netware cl DRDOS sec FAT 2 XENIX root le Verst WindS 70 DiskSecure Mult c4 DRDOS sec FAT 3 XENIX usr du NEC DOS 75 PC
34. errechnen F llt die Parit tsplatte aus so werden nach dem Ersatz die Parit tsinformationen neu berechnet Hierbei handelt es sich im Prinzip um ein Level 4 bei dem die Parit tsinformationen nicht auf eine einzelne Festplatte geschrieben werden sondern auf die Datenplatten mit verteilt werden 10 spricht man Eins Null aus Hierbei werden mehrere Level 0 Verbunde komplett gespiegelt Dies verspricht eine weitere Performancesteigerung siehe 0 und 1 Um die Verteilung der Daten k mmert sich der so genannte RAID Controller Dieser kann als Hardwarevariante in dem Festplattencontroller integriert sein oder als Softwarecontroller vom Betriebssystem gesteuert werden Seite 15 Das Betriebssystem Installation von Red Hat Linux 7 2 2 3 2 Aufbau eines RAID 1 Verbundes Bei einem RAID 1 Verbund werden zwei Partitionen von idealer weise verschiedenen Festplatten zu einem Multiple Disk oder auch Multiple Device kurz md zusammengef hrt So wird aus den ersten Partitionen der SCSI Laufwerke sdal und sdb1 das Device md3 Dieses Device kann nun wie eine normale Partition eingebunden und angesprochen werden 2 3 3 Konfiguration Die Konfiguration geschieht bereits w hrend der Installation Dazu werden zun chst die Festplatten die als RAID Device arbeiten sollen gleich partitioniert Als Dateisystem kommt dabei Linux raid autodetect fd zum Einsatz Auszug aus der Partionisierungstabelle des Servers SCSI Laufwer
35. hrende Programm usr sbin in ftpd Um den Server mit dem xinetd zu starten muss die Zeile disable yesin disable no abge ndert werden Alternativ kann man in Webmin unter dem Registereiter Server und dann dem Eintrag Extended Internet Services den Service FTP ausw hlen und bearbeiten as Edit Internet Service Service name ftp Service enabled Ja C Nein Bind to address AIC Port number Standard C Socket type Stream z Protocol Default Service handled by Internal to Xinetd Server program jusr sbinjin ttpd Ja Redirect to host port Run as user froot H Run as group From user C f Wait until complete C Ja Nein Max concurrent servers Unlimited Nice level for server C Default fio Maximum connections per second Unlimited C Delay if maximum is reached seconds Allow access from Allhosts Only listed hosts Deny access from No hosts Only listed hosts BR EI Allow access at times Any time C Speichern L schen We Zunick m cervice list Abbildung 8 1 FTP Dienst aktivieren Seite 41 wu ftp Der FTP Server 8 2 Nach einem Neustart des Superservers ist wu ftp aktiv Dazu gibt man auf der Konsole folgendes ein etc init d xinetd restart Um die Server beim booten zu aktivieren muss xinetd als Startdienst eingetragen sein Dies kann wieder manuell ber Links in den Runlevel Verzeichnissen ber Linuxconf oder Webmin er
36. object while currently opened one has been modified G Automatically save data in dialogs while switching between objects Ir x cancel Abbildung 11 5 Automatisches Speichern beim Wechsel zwischen einzelnen Objekten 11 4 2 Erstellen des Firewall Objektes Ein wesentliches Stichwort beim Umgang mit dem Firewall Builder sind Objekte Bei der weiteren Konfiguration baut das Tool auf die Definition diverser Objekte auf Dazu z hlen Netzwerke und Hosts Objects Protokolle und Ports Services sowie Zeitspannen Time Das wichtigste davon stellt das Firewall Objekt selbst dar Dies ist also der Rechner den es ber eine zugeordnete Policy zu sch tzen gilt Daher erstellten wir als erstes ber den Men punkt Insert Firewall ein entsprechendes Objekt Dieses muss ber insgesamt f nf Reiter mit Einstellungen versorgt werden Auf dem Reiter lt General gt trugen wir eine Bezeichnung f r das Objekt hier Firewall sowie die entsprechende Netzwerkadresse ein Als unterst tzte Firewall Software w hlten wir Iptables die anderen Werte blieben auf den Voreinstellungen Seite 59 Linux Firewall X A fwbuilder EICH File Edit View Insert Rules Tools Help User Standard General Interfaces Sysinfo Compile Install Firewall Network Host amp Services Firewalls Name Firewall DNS lookup Firewall Address 11 A fin 5 D 11 f Address is dynamic Host OS Linux 2 4 el Firewall sof
37. period una 26 3 3 2 bertragen von Quotawerten auf mehrere Benutzer nn 27 3 3 3 Starten und beenden der Quotatiberwachung 2002 nnonnnennnennnnnnnnnnnnnnnsneennennne nme nn 27 USV UNTERBRECHUNGSFREIE STROMVERSORGUNG uunzesnsnnannnnannnnnnnnnnnnnnnnnnnnnannnnnann 28 4 1 Die Aufgabe der USV eosssnssnsssssossnnsonsnnsnnsnnennssnssnnsonsnnsnnsnnnnnssnnsnnsnnsnnssnsnnsnnnsnssnnsonsnnssnsnnssnssnssnnsonsnnssnne 28 4 2 Installation der Hardware oesssesossssnsnssossnsnssnssnsnnsnssnsnnnnrsnsnssnnsnsnssnssnsnnsnnsssnennssesnsnnssnsnenassesnensassesnenane 28 4 3 Installation der Software eroesossssossnssnsnssnssnsnrsnnsnsnnsnssnsnnsnnsnsnnsnnsnsnnnnssnsnssnnsnsnsnsnnsesnssnssnsnensnssesnnsansesnenane 28 4 4 Konfiguration 00r00ss0nsonssnssnsssssossnnsonsnnsnnsnnennssnssnnsonsnnsnnsnnsnnssnssnnsnnsnnssnsnnsssssnssnnsonsnnssnsnnssnssnssnnsonsnnsnnene 29 DNS DER DOMAIN NAME SERVICE uuzsuensannnnannnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnnnnannnnnann 32 Seite 3 Inhaltsverzeichnis 10 11 5 1 Warum der DNS Server ein Telefonbuch ist orsersesursesnrsorsnsnesnrsesnesnssesnesnnsesnennnsesnennrsesnennnsesnenane 32 5 2 Installation und Konfiguration crsossssssnsssssossnnsonsnnsnnsnnsnnssnnsnnsonsnnsnnsnnsnnssnssnnsnnsnnsnnsnnssnssnssnnsonsnnsnnnne 32 DHCP DYNAMISCHE IP ADRESSENVERGABE uuunssnssnannnennnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnnnnannnnnann 34 6 1 Installatio
38. 0 destination port 110 j IRULE_0_eth1 iptables A IRULE_0_eth1 j LOG log level info log prefix RULE 0 Accept iptables A IRULE_0_eth1 j ACCEPT Rule 0 iptables N RULE_0 iptables A INPUT p icmp m state state NEW s 111 111 111 111 255 255 255 0 icmp type 3 j RULE_O iptables A INPUT p icmp m state state NEW s 111 111 111 111 icmp type 3 j RULE_O iptables A INPUT p icmp m state state NEW s 222 222 222 222 icmp type 3 j RULE_O iptables A INPUT p icmp m state state NEW s 111 111 111 111 icmp type 3 j RULE_O iptables A INPUT p icmp m state state NEW s 222 222 222 222 icmp type 3 j RULE_O iptables A RULE_0 j LOG log level info log prefix RULE 0 Accept iptables A RULE_0 j ACCEPT Rule 1 iptables N RULE_1 iptables A INPUT p icmp m state state NEW s 222 222 222 222 255 255 255 0 icmp type 3 j RULE_1 iptables A FORWARD p icmp m state state NEW s 222 222 222 222 255 255 255 0 d 222 222 222 222 255 255 255 0 icmp type 3 j RULE_1 iptables A INPUT p icmp m state state NEW s 111 111 111 111 icmp type 3 j RULE_1 iptables A INPUT p icmp m state state NEW s 222 222 222 222 icmp type 3 j RULE_1 iptables A INPUT p icmp m state state NEW s 111 111 111 111 icmp type 3 j RULE_1 iptables A INPUT p icmp m state state NEW s 222 222 222 222 icmp type 3 j RULE_1 iptables A OUTPUT p icmp m state state NEW d 222 222 222 222
39. 255 255 255 0 icmp type 3 j RULE_1 iptables A RULE_1 j LOG log level info log prefix RULE 1 Accept iptables A RULE_1 j ACCEPT Rule 2 iptables N RULE_2 iptables A OUTPUT m state state NEW j RULE_2 iptables A INPUT m state state NEW j RULE_2 iptables A FORWARD m state state NEW j RULE 2 iptables A RULE_2 j LOG log level info log prefix RULE 2 Deny iptables A RULE_2 j DROP Final rules iptables A INPUT j DROP iptables A OUTPUT j DROP iptables A FORWARD j DROP echo FWD gt proc sys net ipv4 ip_forward Seite 74 Mailserver Sendmail 12 Mailserver Sendmail 12 1 12 2 Allgemeines zu Sendmail Einer der wichtigsten Services des Internet ist die elektronische Post F r die Nutzung dieses Services ist sowohl das Senden als auch das Empfangen der Post einzeln zu konfigurieren Eric Allman schrieb hierf r ein Programm namens Sendmail Sendmail ist ein multifunktionales Mailverteilprogramm f r Unix Man bezeichnet Sendmail als Mail Transfer Agent MTA Gerade im Bereich bei den MTAs gibt es mehrere gute konkurrierende Produkte Das noch immer am h ufigsten verwendete Programmpaket ist allerdings Sendmail da es bei vielen Distributionen schon auf den CD ROMs enthalten ist Es sollte aber darauf geachtet werden dass immer nur ein Mail Programm installiert ist da es sonst zu St rungen kommen k nnte Bei der Installation des Linux RedHat 7 2
40. 5 NTPD DER ZEIT SERVER 1212222122 Ee ran 46 KR WT E 46 9 2 Installation und automatischer Start sscccssssssssssscsssessesessessessssessssessessssessessssessessssessessesessessesessers 46 KE RE sssceseisscissisescossescecsestenssiesedcasdasauascasuedceceastenasceneseosdasducencnescacccsaseeadendaassicscacooeasascessssddesseesecs 46 WEBMIN 2 nn 47 10 1 Was ist Webmin KE 47 10 2 Installation eeeseeonssesnennenesnennenssnennenesnennenesnennenesnennenesnennenesnennenesnennenesnennenesnennenesnennenennennenesnennesennene 47 LINUX FIREWALD ee ee gedet ae eng 48 11 1 Allgemeines zur Firewall eusessessussossossnnsonsnnsnnsnnsnnssnssnnsonsnnsonsnnsnssnnssnnsonsnnsonsnnssnsnnssnnsnssnnsonsnnnnne 48 11 1 1 Grundlegende Arbeitsweise einer Firewall mit Linux 24 48 11 1 2 Hintergrundinformationen zu IP Protokollen AAA 49 11 2 Firewall mit Linux 2 4 ssorsosssnsonsssssnssnssossnssonsnnsnnsnnssnssnssnnsnnsnnssnsnnnsnnsnssnnsonsnnssnsnnsnnssnssnnsonsnnsnnsnnee 50 11 2 1 Firewall auf Basis NETFILTER des Kernel 2 4 OPTARBLES 50 11 2 2 Aufruf Konventionen von 1pt ables sen 51 11 2 3 Typische Kommandos Auswahl 51 Seite 4 Inhaltsverzeichnis 11 3 Grundlegende Konfiguration der Firewall ersessessusssssossonsonsnnsnnsnnsnnssonsnnsonsnnssnsnnsnnnsnnsnnsonsnnsnne 52 11 3 1 Verbindungen zwischen Programmen auf einem Rechner 54 11 3 2 Betrieb von Servern hinter der Firewall eccceeceescecsseeeececeeeeeenee
41. A INPUT p icmp icmp type destination unreachable j ACCEPT 11 3 5 Abschlie ende Regeln einer Firewall Zum Abschluss muss man noch einige abschlie ende Regeln erstellen um die bisher noch nicht erkannten Datenpakete zu verbieten Des weiteren sind noch Regeln zur Protokollierung des Datenverkehrs notwendig Die folgenden Regeln sollen nur Beispiele sein um einen Datenverkehr zu Protokollieren bzw zu verbieten Die Verbietende Regel muss auf jeden Fall am Ende der Regeln stehen iptables A INPUT j LOG iptables A OUTPUT j LOG iptables A INPUT j DROP iptables A OUTPUT j DROP Abschlie end muss noch erw hnt werden das f r NAT Network Adress Translation wenn es denn gewiinscht oder gefordert wird einige Regeln erstellt werden miissen In unserem besonderen Fall war dies aber nicht Bestandteil des Projektes Fiir genauere Informationen lesen Sie die entsprechenden Dokumentationen der Betriebssysteme 11 3 6 Speichern und automatisches ausfiihren der Regeln 11 4 Da wir wie schon erw hnt die Firewall Regeln bei unserem Projekt mit dem GUI Tool Firewall Builder erstellen gehen wir in diesem Abschnitt der Dokumentation nicht n her auf diesen Punkt ein Die entsprechenden Anleitungen entnehmen Sie bitte den Handbuchseiten bzw der einschl gigen Lekt re oder HOWTO s Erstellen einer Firewall mit dem GUI Tool Firewall Builder Um mit dem Firewall Builder arbeiten zu k nnen laden haben wir uns zu Anfang erst ei
42. Betriebssystems wurde Sendmail automatisch mit eingebunden Funktion und Aufgaben eines Mailservers Unsere Aufgabe war es den Mailserver so einzurichten dass die Verwaltung und die Lehrer von ausgew hlten Rechnern Mails senden und empfangen k nnen Sendmail nimmt einerseits Emails von dem Mail User Agenten mit anderen Worten ein Mailprogramm wie z B Outlook bei Microsoft an und leitet diese Mail weiter Andererseits ist es ein Programm dass ankommende Mails von anderen Mailservern entgegen nimmt und abspeichert damit die User sich ihre Emails mit einem Mail User Agent MUA bei dem Mailserver abholen k nnen Der lokale Mailserver soll in regelm igen Abst nden die Nachrichten zum Provider bermitteln und vom Provider abholen und lokal zustellen d h im lokalen Postfach Mailboxes ablegen Von den Arbeitsstationen im Netz werden dann die Mails vom lokalen Postfach abgeholt Eine genauere Beschreibung des Mailverlaufs folgt auf den n chsten Seiten Der User Agent sendet abgehende Meldungen an den Message Transprt Agent r Message Transport Der Message Transport Agent sendet Agent eingehende Meldungen an den User MTA Agent wenn dieser nach neuen User Agent Meldungen fragt POP3 III UU Abbildung 12 1 MTA und User Agent Seite 75 Mailserver Sendmail 12 3 Was ist berhaupt eine Mail Ein elektronischer Brief besteht im allgemeinen zun chst
43. C 822 ist allerdings nur der gr te gemeinsame Nenner In j ngerer Zeit sind verschiedene Standards entwickelt worden die den wachsenden Bedarf an Zus tzen wie Verschl sselung Unterst tzung f r internationale Zeichens tze und MIME Multipurpose Internet Mail Extensions bew ltigen sollen All diese Standards gehen davon aus dass ein Mail Header aus mehreren Zeilen besteht getrennt durch Zeilenendezeichen Eine Zeile setzt sich jeweils aus einem Feldnamen zusammen der in Spalte eins beginnt und dem Feld selbst das durch einen Doppelpunkt und ein Leerzeichen abgesetzt ist Das Format und die Bedeutung der einzelnen Felder variiert in Abh ngigkeit vom Feldnamen Ein Header Feld kann ber eine Zeile fortgesetzt werden wenn die n chste Zeile mit Leerzeichen Blank oder TAB beginnt Die Reihenfolge der Felder spielt keine Rolle F r den normalen User ist meist nur folgender Header von Interesse e Die To Zeile Hier erscheint der Adressat der Nachricht e Die From Zeile Hier steht der Absender der Mail drin e Die Cc Zeile Cc steht f r Carbon copy was w rtlich Durchschlag bedeutet Adressaten die in der Cc Zeile stehen erhalten eine Kopie dieser Mail e Die Bcc Zeile Bcc hei t Blind carbon copy und bedeutet dass es sich um eine versteckte Kopie der Mail handelt e Subject Das ist der Betreff der Nachricht 7 Seite 76 Mailserver Sendmail 12 4 Mailserver E amp E In das Fach vom Benutzer able
44. I Proxy Server zur Sicherheits und Geschwindigkeitssteigerung Heimatverzeichnisse und Klassenordner mit Gr enbeschr nkung Namensaufl sung im lokalen Netzwerk Vergabe von IP Adressen f r tempor re Rechneranmeldungen Time Server f r genaue Zeit im ganzen Netzwerk 1 3 Hardware Die Hardware wurde vorkonfiguriert geliefert Sie umfasst folgende Komponenten e 19 Zoll ATX Server Geh use mit 2 redundanten Netzteilen e Dual Prozessor Mainboard Asus CUV4X DS mit Adaptec Dual Channel Ultral60 SCSI Controller und 3Com 3C920 Fast Ethernet LAN on Board e Zwei Pentium III 1GHz Sockel 370 512MB SD RAM Matrox Standard Grafikkarte e 3Com Netzwerkkarte 10 100 MBit e zwei U160 SCSI Festplatten IBM DDYS T36950M mit je 35GB e eine EIDE Festplatte IBM IC35L040AV V A07 0 mit 40GB e ein Standard 40x CDROM Laufwerk e ein Standard 3 5 Zoll Diskettenlaufwerk Sowie e unterbrechungsfreie Stromversorgung APC Smart UPS 1000 Seite 6 Das Betriebssystem Installation von Red Hat Linux 7 2 2 Das Betriebssystem Installation von Red Hat Linux 7 2 Als Basis f r den Serverbetrieb wurde die aktuelle Linux Distribution von Red Hat benutzt Im folgenden wird beschrieben wie das Betriebssystem auf dem Server installiert und an die Hardware angepasst wurde 2 1 Vorbereitende Schritte e Einstellen der Bootreihenfolge im BIOS Als prim res Bootlaufwerk wird das CD ROM Laufwerk gew hlt e Deaktivieren des Schreibschutzes f r den Master Boot
45. LES Die Firewall auf Basis des Netfilter verwendet drei verschiedene Tabellen wobei die filter Tabelle die eigentlichen Firewall Regeln die nat Tabelle die Regeln f r Network Adress Translation beinhalten Als drittes gibt es noch die mangle Tabelle in der zus tzliche M glichkeiten der Modifikation erm glicht werden Wie schon erw hnt befinden sich die f r die Firewall wichtigen Regeln alle in der filter Tabelle worauf nun das Augenmerk gelegt werden soll Jede dieser Tabellen besteht aus so genannten Chains Ketten Diese Chains werden INPUT OUTPUT und FORWARD genannt Alle Daten die f r den Linuxrechner bestimmt sind durchlaufen die INPUT Chain alle Daten die der Linuxrechner erzeugt die OUTPUT Chain Die FORWARD Chain ist f r Daten die direkt vom LAN ins Internet und umgekehrt geschickt werden lt Forward l ID Ep Ee Firewall Abbildung 11 2 Darstellung der Ketten Seite 50 Linux Firewall Grunds tzlich gilt 11 2 2 Aufruf Konventionen von iptables e Kommandos bestehen aus einem Grossbuchstaben z B L oder der entsprechenden Langform z B list e Targets d h Ziele oder Aktionen bestehen aus einem gro geschriebenen Wort z B DROP e Chains bestehen aus einem gro geschriebenen Wort z B INPUT e Tabellen sind Worte in Kleinbuchstaben z B filter e Optionen bestehen aus Kleinbuchstaben
46. Linux Firewall 11 2 Firewall mit Linux 2 4 Beim erstellen von Sicherheits relevanten Mechanismen gibt es grunds tzlich zwei entgegen gesetzte Ans tze Zum einen versucht man nicht erw nschte Ereignisse zu erkennen und auszuschalten alles andere zu erlauben Dieser Ansatz ist aus Sicht der zu erstellenden Firewall sehr gef hrlich da wenn ein Ereignis vergessen wird dieses automatisch erlaubt ist Dieses ist besonders dahin gehend gef hrlich weil bis jetzt unbekannte Angriffe auf das System ohne weiteres die Firewall passieren k nnten Bei der Erstellung von Firewall Regeln geht man daher den zweiten Weg Indem man unbekannte Ereignisse immer verbietet und unbekannte Pakete niemals annimmt Daraus folgt das alles was erlaubt sein soll explizit definiert werden muss Dieses birgt aber auch einen Nachteil in sich und zwar das solange eine Firewall unvollst ndig oder fehlerhaft ist ein vern nftiger Netzwerkzugriff nicht m glich ist Des Weiteren muss f r jedes Anwendungsprogramm welches ein neues Netzwerkprotokoll verwendet die Firewall entsprechend angepasst werden Im Falle einer Linux Firewall werden die beiden vorgestellten Prinzipien durch so genannte Policies umgesetzt In den nachfolgenden Erl uterungen wir ausschlie lich auf den Netfilter des Kernel 2 4 eingegangen Die Versionen der Kernel 2 0 und 2 2 IPWADM und IPCHAINS werden hier nicht betrachtet 11 2 1 Firewall auf Basis NETFILTER des Kernel 2 4 IPTAB
47. PS Red Hat Linux Online Hilfe Maus Konfiguration D Maus Konfiguration ALPS GlidePoint PS 2 Wahlen Sie den korrekten Maustyp b ASCII far ihr System ATI Bus Mouse V Generic Verf gen Sie ber eine PS 2 2 Button Mouse PS 2 2 Button Mouse USB 2 Button Mouse serial 3 Button Mouse PS 2 3 Button Mouse USB 3 Button Mouse serial Bus oder serielle Maus Tipp Wenn der Anschluss Ihrer Maus rund ist haben Sie eine PS 2 oder Busmaus Wenn der Anschluss hingegen rechteckig ist verf gen D Genius Sie ber eine serielle Maus E Kensington W hlen Sie in der Liste oben rechts SE den geeigneten Eintrag f r Ihre E Microsoft Maus aus Wenn in der Liste kein Mouse Systems Mouse serial passender Eintrag f r Ihre Maus None None enthalten ist sollten Sie eine Maus Sun Mouse ausw hlen die mit Ihrem Modell kompatibel ist W hlen Sie andernfalls einen geeigneten generischen Maustyp aus A1 unter DOS 12 unter D unter DOS OM4 unter DOS SS ss Wenn Sie ber eine serielle Maus verf gen m ssen Sie im n chsten i A i Drei Tasten emulieren Y Hilfe ausblenden Info zur Version D weiter Abbildung 2 4 Einrichten der Maus Danach folgt ein Begr ungsbildschirm Nach einem Klick auf Weiter kommt man zum Auswahlbildschirm f r die Installationsoptionen Hier kann man vorgefertigte Installationstypen bernehmen eine benutzerdefinie
48. Projektdokumentation Planung Installation und Konfiguration eines Internetservers mit LINUX Projektarbeit der Fachschule Technik Elektrotechnik BBS II Wilhelmshaven Carsten Schaumburg Addo Christians Tim Abels Best tigung der selbstst ndigen Erarbeitung Mit der Unterzeichnung dieses Dokumentes best tigen wir Addo Christians Tim Abels und Carsten Schaumburg alle mit dem Projekt Internet Server f r die BBS2 Wilhelmshaven angefallenen Arbeiten selbstst ndig und ohne fremde Hilfe verfasst erstellt und ausgef hrt zu haben Addo Christians Tim Abels Carsten Schaumburg Wilhelmshaven den 22 April 2012 Inhaltsverzeichnis 1 5 PROJEKTBESCHREIBUNG 2 22 2 22 04222242 222224240040 asa stcesuenceedsetesnte EES EE ENEE 6 1 1 Problemstellung cussousssssusssusssesssnssonssonsnnnsnnssnnssnnesnnesnnsnnnssusssnsssnssonsnnnsnnssnnssnnssnnesnnssnnnsnsssunssnssanssansnane 6 1 2 Aufgabenstellung eesoessessossnssonsonsonsonennssnssnnsonsnnsnnsnnsnnsnnennssnssnnsnnsnnsnnsnnnsnsnnssnnsnnsnnsnnsnnssnsnnssnssnssnnsonsnnsnnn 6 1 3 Hardware ecouesesnesneesnenneneonennenesnennenesnennenennennenennennenennennenennennenesnennesennennesesnennesennennesesnennssesnennssesnenassesnenane 6 DAS BETRIEBSSYSTEM INSTALLATION VON RED HAT LINUX 7 2 nunnuussnnnnnansnnnnnnnannnnnannnn 7 2 1 Vorbereitende Schritte ussesssosssssnsnssnssnsnnsnssnsnnsnssnsnnsnssnsnnnnssnsnnsnssnsnnsnssnsnns
49. Time Y eppi ve gt Saved data as etc fwhuilder doku xml Abbildung 11 17 Meldung iiber die fertig kompilierte Firewall Seite 71 Linux Firewall gedit iptables Dem Datei Bearbeiten Plugins Einstellungen Dokumente Hilfe OSB Gi seir OBR 4 case 1 in start start FWBUILDER SCRIPT fete fwbhuilder Firewall fw Ht Ht Ht HH HE HE HE HH EH HE HH E HH ZZ EZ eo stop stop a restart restart is really just start as this isn t a daemon and start clears any pre defined rules anyway This is really only here to make those who expect it happy start FWBEUILDER SCRIPT etce fwbuilder Firewall fw FE E HE E HE E HE HE EE HG EE EE EE EE fP condrestart e var lock subsys iptables amp amp start eo Abbildung 11 18 Automation des Firewallstarts Um automatisch bei jedem Systemstart das aktuelle Firewall Skript zu laden trugen wir es in etc init d iptables das Startup Skript f r Iptables ein Dazu suchten wir die Marken start und restart und erg nzen sie um den Befehl zur Ausf hrung der in etc fwbuilder gespeicherten Regeln Eine berpr fung unserer Firewall mit einem Portscanner wie z B nmap zeigte dass unser Rechner durch nicht autorisierte Stationen tats chlich nicht mehr entdeckt werden konnte Potentiellen Angreifern bleibt er also k nftig verborgen 11 4 7 Abschluss Betrachtung zum Firewall
50. Verbindungen verhindert man diese Risiken aber 11 3 1 Verbindungen zwischen Programmen auf einem Rechner Um die IP basierte Kommunikation zwischen Programmen auf dem eigenen Rechner zu erm glichen wird ein besonderes Netzwerkinterface benutzt Hierbei handelt es sich um das so genannte Loopback Device das auch kurz mit lo bezeichnet wird Um nun Programmen die M glichkeit zu geben miteinander kommunizieren zu k nnen sind weitere Regeln n tig iptables A INPUT i lo j ACCEPT iptables A OUTPUT o lo j ACCEPT Durch die Optionen i bzw o werden die Pakete die ber das angegebene Netzwerkinterface empfangen input oder gesendet output werden eingeschr nkt 11 3 2 Betrieb von Servern hinter der Firewall Da es sich bei einem Betriebsystem wie Linux anbietet eigene Server einzurichten und auf diese ber das Internet zugreifen zu k nnen m ssen auch hierf r entsprechende Firewall Regeln erstellt werden Als Beispiel soll hierf r HTTP und SSH dienen Die entsprechenden Regeln sehen dann folgenderma en aus iptables A INPUT p tcp S xxx xxx xxx xxx 24 dport 22 j ACCEPT iptables A INPUT p tcp dport 80 j ACCEPT iptables A OUTPUT p tcp sport 22 j ACCEPT iptables A OUTPUT p tcp sport 80 j ACCEPT Aus diesen Regeln ist ersichtlich das man fiir jeden Server den man aufsetzt zwei Regeln erforderlich sind Also jeweils eine f r ausgehende und eine f r eingehende Pakete Mit der Option s und einer
51. aben im Internet und aus entsprechenden Fachbiichern 20 Februar 2002 Vorbereitung und Installation von Red Hat 7 2 Kompilierung Apache mod_proxy Informationsbeschaffung tiber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachbiichern 21 Februar 2002 Download und Update auf WEBMIN 0 94 Einrichtung Apache Einrichtung Sendmail Einrichtung Firewall Informationsbeschaffung tiber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachbiichern Seite 93 Projekttagebuch 27 Februar 2002 Einrichtung Apache Einrichtung Sendmail Einrichtung Firewall Informationsbeschaffung ber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachb chern 28 Februar 2002 Einrichtung Apache und 1 Verbindung vom Client Einrichtung Sendmail Einrichtung Firewall Informationsbeschaffung ber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachb chern 06 M rz 2002 Endg ltige Hardware bekommen ohne redundantes Netzteil Einrichten der Hardware Installation von Red Hat 7 2 Einrichtung der RAID Devices Anschlie en der USV und Installation von PowerChute Einrichtung der USV USV Software darf nicht mit Netzwerkoption auf lokalem Server eingerichtet werden da sie sonst vom Programm nicht gefunden wird Informationsbeschaffung ber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachb chern 07 M rz 2002 Einrichtung Apache Konfiguration
52. ails oder Postings in News Gruppen Das Bild zeigt deutlich wie Spammer einen Mailserver ausnutzen k nnen um zum Beispiel Werbemails zu versenden Die Funktion ist hnlich wie bei den so genannten Kettenbriefen die auf dem normalen Postweg verschickt werden Wir haben unter Webmin alle Rechner der Schule eingetragen aber nur bestimmten Hosts erlaubt von ihnen aus Emails zu senden und zu empfangen Somit ist gew hrleistet dass kein Sch ler Emails ber den Server verschicken kann Empf nger Mail Server Mi brauchtes Relay Lu Modemleitung langsam Spammer Seite 83 Mailserver Sendmail 12 6 3 Mail Aliases Shell etc mail aliases Mail Aliases w IO Mail Aliases ist die dritte Datei die vom Administrator immer beobachtet werden muss Hierf r steht eine ausf hrliche Beschreibung in dem Benutzerhandbuch Wichtig sind Eintragungen bei Namens nderungen bei neuen Usern die hinzugef hrt werden aber auch wenn z B ein Administratorwechsel vorgenommen wird Diese Datei umschreibt die Usernamen in die richtigen Namen und mit dieser Datei kann man eine Emailadresse mehreren Postf chern zuordnen wie es beim root der Fall ist Die nun folgenden Einstellungen sind nur einmal zu bewerkstelligen k nnen aber bei Erweiterung des Systems noch ver ndert werden Seite 84 Mailserver Sendmail 12 6 4 Dom nenverkn pfung d
53. as Betriebssystem Installation von Red Hat Linux 7 2 Die fertige Partitionstabelle des Servers sieht folgenderma en aus Festplatte dev sda b4 Einheiten Ger t boot Anfang dev sdal x l dev sdar 5002 dev sda3 15003 dev sda4 25004 Festplatte dev sdb b4 Einheiten Zylinder mit Gerdt boot Anfang dev sdbl x 1 dev sdbe 5002 dev sdb3 15003 dev sdb4 25004 Festplatte dev hdc 1b Einheiten Zylinder mit Ger t boot Anfang dev hdcl 1 dev hdce 40636 dev hdc3 44700 dev hdc4 52827 dev hdc5 52827 dev hdch 53368 Zylinder mit 2048 x Sle Bytes K pfe 32 Sektoren Ende Bl cke 5001 5121008 15002 10241024 25003 10241024 35003 10240000 K pfe 32 Sektoren e048 Sie Bytes Ende Bl cke 5001 5121008 15002 10241024 25003 10241024 35003 10240000 K pfe b3 Sektoren 1008 512 Bytes Ende Bl cke 40635 20480008 44699 2048256 52826 4096008 79780 13584816 53867 524b32 79780 13060120 35003 Id fd fd fd fd 35003 Id fd fd fd fd 79780 Id 83 83 83 5 Ad 83 Zylinder Dateisyste Linuxraid Linuxraid Linuxraid Linuxraid Zylinder Dateisyste Linuxraid Linuxraid Linuxraid Linuxraid Zylinder Dateisyste Linux Linux Linux Erweiterte Linux Swap Linux mtyp autodetect autodetect autodetect autodetect mtyp autodetect autodetect autodetect autodetect mtyp Seite 14 Das Betriebssystem Installation von Red Hat Linux 7 2 2 3 RAID
54. at ein Benutzer also 75MB Soft und 100MB Hard Limit mit einer grace period von 3 Tagen so kann er fiir 3 Tage an sein Hard Limit gehen und wird dann vom System aufgefordert die tiberbelegten 25MB wieder freizugeben Neben der Beschr nkung des Platzes kann man auch die Anzahl der Dateien beschr nken Vorbereitung zum Setzen der Quotas Die Partitionen die mit Quotas beschr nkt werden sollen erhalten in der Datei etc fstab bei den Mountoptionen den Zusatz usrquota f r Benutzer bezogene Begrenzung beziehungsweise grpquota f r eine Gruppenbegrenzung Auch eine Kombination ist hier m glich Auszug aus der Filesystemtabelle des Arktur Servers dev mde home exte defaults usrquota dev hdcl ide platte bbs klassen ext defaults usrquota Hr mu ru Zu beachten war hierbei weiterhin dass die bei der Installation automatisch mit Label versehene RAID Partition in ihren Ger tenamen Device umbenannt werden muss hier von LABEL home in dev md da sich sonst die Quotas nicht aktivieren lassen Der n chste Schritt ware laut Howto das Anlegen von zwei Dateien die den Platzverbrauch pro Benutzer beziehungsweise Gruppe speichern Hier gibt es nun zwei Versionen agouta user und aquota group quota user und quota group Diese Dateien sollten nur Lese und Schreibrechte fiir root bekommen Die Schritte w rden so aussehen touch partition quota user touch partition quota group chmod LOO partition quota user Seite 24 Disk Quo
55. atten eine andere Adresse unter From anzugeben wenn er in der Liste links steht Diese Einschr nkung h lt Benutzer davon ab gef lschte From Adressen in E Mails zu benutzen die von Ihrem System aus gesendet werden de Zur ck zu Sendmail K onfiguration Abbildung 12 9 Vertraute Benutzer Im Normalfall haben alle User der Schule folgende Absenderadresse User bbs2 fh wilhelmshaven de Unter dem Punkt Vertraute Benutzer werden die Namen der User eingetragen die auch mit einer anderen Absenderadresse Emails aus dem Netzwerk versenden d rfen Seite 87 Mailserver Sendmail 12 6 9 Weiterleitungsdom nen Webmin Index Modi lads Weiterleitungsdomanen Dom nen zu denen Weiterleitung gestattet ist bbs2 fh wilhelmshaven de fh wilhelmshaven de Speichern Wenn es nicht durch eine Spam Kontrollregel erlaubt ist wird Sendmail das Weiterleiten nur von Dom nen gestatten die links aufgelistet sind Eingehende Mail die nicht f r einen lokalen Benutzer und nicht f r eine hier angegebene Dom ne sind werden abgewiesen Wenn Ihr System als Gateway f r mehrere Dom nen arbeitet die nicht direkt durch Benutzen der Dom nen Routing Funktion von au erhalb des Netzwerks zu erreichen sind sollten alle solche Dom nen hier aufgelistet sein amp Zur ck zu Sendmail K onfiguration Abbildung 12 10 Weiterleitungsdom nen Wenn die Meldung We do not Relay ankommt muss eine Lis
56. ber dennoch m glich F r diese so genannte reverse Anfrage wird auch eine Zonen Datei erzeugt Die beiden Zonen Dateien liegen im Verzeichnis var named Sinnvollerweise benennt man die Zonen Dateien nach dem Schema named domain und named domain rev Installation und Konfiguration Der DNS D mon named bind9 ist nach der Vollinstallation von Red Hat Linux 7 2 mit installiert In seiner Grundeinstellung startet er allerdings nicht automatisch Um dies sicherzustellen kann man entweder per Hand die Verkn pfungen zu dem Startscript f r die einzelnen Runlevel erzeugen oder komfortabel ber das Tool Linuxconf einschalten Linuxconf gt System gt Kontrolltafel gt Dienste gt named Die Konfiguration erfolgt in der Datei etc named conf Auszug zone bbs2 fh wilhelmshaven de type masters file var named named BBS2 5 allow update key DHCP_UPDATERS 5 4 zone 210 13 139 in addr arpa type masteri file var named named BBS2 rev i allow update key DHCP_UPDATERS 5 3 F r die Dom ne bbs2 fh wilhelmshaven de wurden hier 2 Zonen angelegt Die erste f r die Vorw rts Aufl sung die zweite f r die R ckw rts Aufl sung Dazu werden jeweils die Dateinamen mit Pfaden angegeben Der Eintrag allow update erm glicht es einem anderen Programm das ber den Schl ssel key mit dem Namen DHCP_UPDATER verf gt die Zonendatei zu ver ndern In unserem Fall soll der DHCP Server die IP Adresse und den Hostnamen die er ve
57. ceeeeeaeeceeeeeneeceseeseneecenreeeneeess 54 11 3 3 Regeln f r DNS Domain Name Service 55 11 3 4 Firewall und ICMP t3 less es d ENT 55 11 3 5 Abschlie ende Regeln einer Frewall nennen 56 11 3 6 Speichern und automatisches ausf hren der Regeln A 56 11 4 Erstellen einer Firewall mit dem GUI Tool Firewall Builder 000 e22000000000200000000000000 56 11 4 1 Basiskonfiguration anne nee dive sudees E a S Es eae Er aE AIS ERSE EE 57 11 4 2 Erstellen des Firewall Objektes n cecssuestensdnssseveuseseevsdy sy cevcepssteesdpndpsvecsieavavede sd pave cheek SESEK Seah ES 59 11 4 3 Kompilierung und Installanon eee eecesecesecssecssecaeecaeeesessaeeseeeeeeeeeseeaecsaecsaessaesaeseneeees 62 11 4 4 Erstellen der Regeln f r die Netzwerkschnittstellen 0 ee eee eeeeeecesecesecesecsecsecseesneeeneeees 66 11 4 5 Globale Regeln 3 25 Ses eas ss aaen EEr a R EO vssastebssbesbeedssecdenisesavsecsseeostasses 70 11 4 6 Firewall startem a a E E Ea aa A EEEE a 70 11 4 7 Abschluss Betrachtung zum Firewall Bu lder AA 72 11 5 Erstelltes Script vom Firewall Builder crs0s00000000000000000020020020020000000002000002001002000 0000000000000 00000 73 12 MAILSERVER SENDMAIE 2 2 22 22 2m ere een 75 12 1 Allgemeines zu Sendmail 0u 00ss00ss0ossonsennsennsonnesnnennnennnssnnssnssonssonssnnsnnssnnssnnssnnssnnssnnnssnensnnsense 75 12 2 Funktion und Aufgaben eines Mailservers
58. ckages upgrade RPMs and do most system maintenance Logging in as root gives you complete control over your system and is very powerful Use the root account ony for administration Create anon root account for your general use and su to gain root access when you need to fix something quickly These basic rules will minimize the chances of a typo or incorrect command doing damage to your system Enter a password for the root account The password must be at least six characters in lensth Red Hat Li Account Configuration a J Enter the password for the root user administrator of this system Root Password Confirm Root password accepted Additional accounts can be created for other users ofthis system Such Daa accounts could be for a personal login account or for other Au non administrative users who need to use this system Use the lt Add gt button to enter additional user accounts Account Name Full Name Add Edit Delete Angela Webb x Hide Help Release Notes Abbildung 2 13 Superuser Passwort lt Back D Next Nach eine Klick auf Weiter kommt man zu den Authentisierungsoptionen Dabei kann man die Standardeinstellungen ohne weiteres bernehmen Seite 21 Das Betriebssystem Installation von Red Hat Linux 7 2 2 9 Paketauswahl Um zu bestimmen welche Software auf den Computer kopiert werden soll gibt es nun die M glichkeit einzelne Software Gruppen auszu
59. d Partition dev hda2 Y Default boot image Boot label Red Hat Linux Default Partition type Boot label Type ext3 Red Hat Linux dew hda2 ext3 Abbildung 2 8 Bootloader Wir haben haben den Linux Loader lilo auf dem Master Boot Record des RAID Verbundes md3 installiert Seite 17 Das Betriebssystem Installation von Red Hat Linux 7 2 2 5 Netzwerkkonfiguration In diesem Dialog werden alle angaben ber die beim Start gefundenen Netzwerkkarten eingetragen Red Hat Linux t Online Help Network Configuration Choose your network card and whether you would like to configure using DHCP If you have multiple Ethernet devices each device will have its own configuration screen You can switch between device screens for example eth0 and eth1 the information you give will be specific to each screen If you select Activate on boot your network card will be started when you boot If you do not have DHCP client access or are unsure as to what this information is please contact your Network Administrator Next enter where applicable the IP Address Netmask Network and Broadcast addresses If you are unsure about any nf these Hide Help Release Notes Network Configuration etho eth1 T Configure using DHCP Z Activate on boot IP Address 139 13 210 1 Netmask 255 255 255 0 Network f139 13 210 0 Broadcast 139 13 210 255 Hostname arktur bbs2 fh wilhelms
60. der USV Einrichtung Sendmail Einrichtung Firewall Informationsbeschaffung ber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachb chern 13 M rz 2002 Einrichtung Apache aufspielen der Websites der Schule Einrichtung Sendmail Einrichtung Firewall Netzwerkkarte defekt neue eingebaut Informationsbeschaffung ber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachb chern Seite 94 Projekttagebuch 14 M rz 2002 Einrichtung von DNS und DHCP automatische Aktualisierung der Zonendateien nicht m glich neuere Version des DHCP herunter geladen und installiert Einrichtung Sendmail Informationsbeschaffung ber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachb chern 20 M rz 2002 Redundantes Netzteil eingebaut L fterplatine angeschlossen L fterbr cke eingebaut Ergebnis gt nichts geht mehr Fehlersuche Server Fehler lokalisiert L fterplatine hat Kurzschluss zwei L fter der L fterbr cke defekt gt wahrscheinlicher Fehlerfall Durch die zwei defekten L fter wo die L fterr der vom Antrieb abgebrochen waren blockierten die L fterr der und es floss ein zu gro er Strom Dadurch entstand auf der L fterplatine ein Kurzschluss der wiederum dazu f hrte das dass Netzteil abschaltete L fterplatine und L fterbr cke ausgebaut und zum Lieferanten zur ck gegeben 21 M rz 2002 Hinzuf gen der User Zug nge Aufteilung des Speicherplatzes mit Quota
61. des Paketes erkennen kann Hierdurch lassen sich Datenstr me beurteilen geh ren sie zu einer Daten bertragung die durch ein Client Programm initiiert wurde wie zum Beispiel Netscape oder versucht jemand von au en den Zugriff auf das System 11 1 2 2 UDP User Datagram Protocol Mit UDP werden Datenpakete von einem zum anderen Computer verschickt Bei dieser bertragung identifizieren sich die beteiligten Programme anhand von Portnummern Bei UDP entf llt die Aushandlung der Verbindung wodurch das Protokoll f r Anwendungen besonders geeignet ist bei denen es auf Schnelligkeit ankommt wie zum Beispiel bei vernetzten Dateisystemen oder Multimedia bertragungen Der Nachteil bei UDP ist das Pakete verloren gehen k nnen und auch die Reihenfolge in der sie beim Empf nger ist undefiniert wodurch sich das Anwenderprogramm nicht auf Datenintegrit t verlassen darf Im Bezug auf die Firewall hat UDP auch Nachteile da bei ankommenden Paketen nicht festgestellt werden kann ob es eine Reaktion auf eine Anfrage ist oder ob ein Zugriff auf das System von au en versucht wird 11 1 2 3 ICMP Internet Control Message Protocol Bei ICMP werden genauso wie bei UDP nur einzelne Pakete bertragen wobei ICMP aber nicht dem Versand von Nutzerdaten dient sondern nur Statusinformationen ber das Netzwerk oder Fehlermeldungen versendet Im Bezug auf die korrekt arbeitende Firewall ist es wichtig das diese auf ICMP Pakete eingeht Seite 49
62. ds k nnen auch dazu verwendet werden den Datenverkehr von Hosts die nicht selbst ans Internet angeschlossen sind zu verwalten Typische Beispiele sind UUCP Netzwerke und FidoNet Rechner deren Mails durch ein Gateway geleitet werden m ssen Einem MX Record ist immer eine positive Zahl die so genannte Pr ferenz zugeordnet Wenn mehrere Mail Exchanger f r einen Host existieren versucht der MTA die Nachricht an den Mail Exchanger mit dem niedrigsten Pr ferenzwert Seite 91 Mailserver Sendmail auszuliefern Wenn dieser Versuch fehlschl gt probiert er einen Host mit einem h heren Wert Ist der lokale Host selbst ein Mail Exchanger f r die Zieladresse darf er Nachrichten nur an Mail Exchanger mit niedrigerer Pr ferenz als seiner eigenen ausliefern Diese Einschr nkung verhindert dass sich eine Mail zwischen verschiedenen MX Records in einer Schleife verf ngt Existiert kein MX Record f r eine Domain oder kein passender kann der MTA ermitteln ob zu der Domain eine IP Adresse existiert und den Versuch unternehmen die Mail direkt an diese Adresse zu senden Angenommen eine Firma namens Foobar GmbH m chte dass alle anfallenden Mails von ihrem zentralen Server namens mailhub bearbeitet werden Dann wird sie f r jede ihrer Maschinen einen MX Record wie diesen im DNS eintragen green foobar con IN MX 5 mailhub foobar com Das macht mailhub foobar com als Mail Exchanger f r die Domain green foobar com mit einer Pr f
63. e to install everything depending on how many packages need to be installed Hide Help Release Notes Red Hat Linux Installing Packages Package ncurses 5 2 12 Size 9 836 KBytes Summary A CRT screen handling and optimization package Package Progress Total Progress Total 441 1018 M 0 11 49 Completed 120 297 M 0 03 26 Remaining 321 721 M 0 08 22 redhat lt Back b gt Next Abbildung 2 15 Kopiervorgang Die letzten beiden Schritte der Installation sind nun das erstellen einer Bootdiskette fiir den Notfall und die Monitorauswahl Nach einem Neustart sollte man noch die Bootreihenfolge zuriicksetzten damit in Zukunft direkt von der Festplatte gestartet werden kann Damit ist die Installation des Betriebssystems abgeschlossen Seite 23 Disk Quotas 3 Disk Quotas 3 1 3 2 Wozu Quotas gedacht sind Um Festplattenplatz zu begrenzen setzt man Quotas ein Damit kann man verhindern das Benutzer oder Gruppen Platz auf dem Server belegen der bekannterma en nicht wieder freigegeben wird Es gibt dabei zwei unterschiedliche Arten Hard und Soft Quotas Hard Quotas beschr nken endgiiltig den benutzbaren Platz Steht das Hard Limit auf 100MB kann der Benutzer auch nur ber genau diese 100MB verf gen Soft Quotas erm glichen dem Benutzer ein ausdehnen des benutzten Platzes bis hin zum Hard Limit und zwar f r die Dauer der spezifizierten grace period w rtlich Gnaden Zeit H
64. ei der Strom ausf llt Eine zerst rte Zonendatei hindert den DNS Server daran die Namen f r das LAN aufzul sen In diesem Falle w rde das Netzwerk stehen bis der Administrator eine neue Zone angelegt hat oder die hoffentlich vorhandene Sicherungskopie wieder eingespielt hat Um dies zu verhindern sichert eine unterbrechungsfreie Stromversorgung durch einen Pufferakkumulator die Stromversorgung ab Sie befindet sich also zwischen Stromanschluss und Netzteil des zu sch tzenden Servers Dabei berwacht sie st ndig die anliegende Netzspannung Sinkt diese unter einen voreingestellten Wert schaltet die USV automatisch auf Batteriebetrieb Dies w rde einen kurzen Stromausfall abfangen Kurz h ngt in diesem Fall von der Batteriekapazit t ab Die hier verwendet SmartUPS 1000 von APC h lt den Server ungef hr eine dreiviertel Stunde oben Damit dann der Server nicht doch noch kalt abgeschaltet wird ist die USV mit einer seriellen Schnittstelle ausger stet ber diese kann auf der einen Seite die USV konfiguriert werden und Statusvariablen abgefragt werden wie zum Beispiel Spannungen und Akkukapazit t und auf der anderen Seite kann sie dem Server ein Signal geben das der Strom ausgefallen ist und ihn somit veranlassen ordnungsgem herunterzufahren Installation der Hardware Die Installation beginnt mit der Verbindung des Akkumulators mit der Ladeelektronik Dieser ist hinter der Frontblende mit einem Hochstromstecker von der Elektronik g
65. eitet sondern mit Nachrichtentypen und einem eventuellen Subtyp An diesen Gegebenheiten kann die Firewall erkennen worum es hierbei geht und kann somit selektiv filtern Ein Beispiel hierf r ist z B echo request und echo reply welche Frage und Antwort von PING sind PING benutzt man um zu berpr fen ob ein Rechner korrekt an ein Netzwerk angeschlossen ist oder nicht Mit den folgenden Regeln erlaubt man der Firewall genau diese passieren zu lassen iptables A OUTPUT p icmp icmp type echo request j ACCEPT iptables A INPUT p icmp icmp type echo reply j ACCEPT Seite 55 Linux Firewall Will man den umgekehrten Weg auch freigeben gibt man noch folgende Regeln ein iptables A INPUT p icmp icmp type echo request j ACCEPT iptables A OUTPUT p icmp icmp type echo reply j ACCEPT Ein weiterer Nachrichtentyp ist destination unreachable mit seinen zahlreichen Subtypen dieser teilt einem Rechner mit das eine bestimmte Resource nicht erreichbar ist Dieser Nachrichtentyp sollte auf jeden Fall die Firewall passieren d rfen Insbesondere der Subtyp fragmentation needed ist f r die Kommunikation von besonderer Bedeutung denn unter besonderen Umst nden kann eine fehlende Erlaubnis in diesem Fall zu undurchsichtigen Fehlermeldungen kommen Um diesem Fall aus dem Wege zu gehen sollten nachfolgende Regeln in die Firewall implementiert werden iptables A OUTPUT p icmp icmp type destination unreachable j ACCEPT iptables
66. ellen fete mail virtusertable manuell bearbeiten Adressenverknipfungen sind vergleichbar mit Aliases aber sie sind besser geeignet f r Systeme die mehrere E Mail Domanen behandeln Sie k men benutzt werden um ganze Dom nen zu einer einzigen Adresse umzuleiten um Benutzer mit einem Namen in mehreren Dom nen zu behandeln oder um alle E Mails zu einer Dom ne zu einer anderen umzuleiten Beachten Sie dass Sie einen Eintrag in der Tabelle f r lokale Dom nen f r alle Dom nen haben m ssen f r die Adressenverkn pfung benutzt wird Ebenso muss im DNS Eintrag f r jede Dom ne em MX Eintrag vorhanden sein der auf Ihr System verweist amp Zur ck zu Sendmail K onfiguration Abbildung 12 8 Adressenverkniipfung 12 6 7 Ausgehende Adressen generics etc mail genericstable Genericstable ist fiir die Umsetzung der lokalen Namen in offizielle im Internet giiltige Namen zust ndig bzw l sst sich dazu verwenden Es wird einfach zu jeder lokalen Email Adresse eine passende f r drau en definiert Genericstable l dt Regeln mit denen man Senderadressen ndern kann wenn der Sender auf andere Rechner umgezogen ist Dieses Feature ist nicht beim Mailserver aktiviert Seite 86 Mailserver Sendmail 12 6 8 Vertraute Benutzer Webmin Index oe Vertraute Benutzer Lokale Benutzer denen von Sendmail getraut wird Wrenn ein lokaler Benutzer versucht E Mails zu versenden wird Sendmail ihm nur gest
67. eparates Modul zur Verbindungs berwachung Dieses erreicht man durch hinzuf gen folgender Regeln iptables A INPUT m state state ESTABLISHED RELATED j ACCEPT iptables A OUTPUT m state state ESTABLISHEDiRELATED j ACCEPT Durch diese beiden Regeln merkt sich die Firewall alle bestehenden Verbindungen Gelangt jetzt ein Paket an die Firewall berpr ft diese ob es zu einer bestehenden bzw bekannten Verbindung geh rt Wird erkannt das die Verbindung bekannt ist so wird Seite 53 Linux Firewall das Paket ohne weiteres nachfragen zugelassen Ebenfalls werden hierdurch Pakete erkannt die als verwandt gelten Um so genannte verwandte handelt es sich zum Beispiel um ICMP Fehlermeldungen oder die Datenkan le einer FTP Verbindung Bei dieser Art der berwachung kann man die berpr fung mit der Option syn unterlassen Anhand der vorgestellten Regeln f r den Port 80 ist es nun m glich weitere Regeln f r die anderen Ports zu erstellen die die Firewall passieren d rfen Eine Ausnahme bildet aber der Datenverkehr ber FTP weil dort eine Verbindung zu den oberen Ports aufgebaut wird Man unterscheidet zwischen dem aktiven und passiven Modus Beim aktiven Modus handelt es sich um eine Verbindung vom FTP Server zu uns und im passiven Modus baut ein FTP Client ber die oberen Ports eine Verbindung auf Normalerweise ist dieses recht unsicher und beinhaltet Sicherheitsrisiken Durch die erstellten Regeln zur berwachung der
68. erenz von 5 bekannt Ein Host der eine Nachricht an joedgreen foobar com ausliefern will findet im DNS den MX Record der auf mailhub zeigt Wenn er keinen anderen MX Record mit einer kleineren Pr ferenz als 5 findet wird die Nachricht an mailhub bertragen und von dort an green versendet Soweit in groben Umrissen wie MX Records funktionieren Weitergehende Informationen ber Mail Routing im Internet finden Sie in RFC 821 RFC 974 und RFC 1123 12 10 Email Adressen Genau wie bei der Post m ssen auch Emails adressiert werden Jeder der am elektronischen Austausch von Nachrichten teilnehmen m chte muss ber eine g ltige Email Adresse verf gen Email Adressen bestehen aus mindestens zwei Teilen Ein Teil ist die Mail Domain bbs2 fh wilhelmshaven de bei der es sich entweder um den Namen des Empf nger Hosts oder um den Namen einer Maschine handelt die die Mail im Auftrag des Empf ngers bearbeitet Der andere Teil ist eine Art eindeutige Benutzer Identifikation wie der Login Name des Benutzers oder der echte Name des Benutzers im Vorname Nachname Format z B Peter Tester oder ein beliebiger Alias der zu einem Benutzer bzw einer Liste von Benutzern bersetzt wird Andere Adressierungsschemata wie X 400 verwenden einen allgemeineren Satz von Attributen aus denen mit Hilfe eines X 500 Directory Servers das Empf ngersystem ermittelt wird Wie Mail Adressen interpretiert werden h ngt stark davon ab welche Art von
69. erma en vor Zwei 37 5GB SCSI Laufwerke die identisch eingeteilt werden um sie im RAID Modus betreiben zu k nnen Auf dem RAID Verbund sollen das System die Internetseiten der Schule die Heimatverzeichnisse der Lehrer und Bedienstete sowie eine Optionale Partition erstellt werden Tabelle 2 1 Aufteilung der Systemfestplatten Verwendung Gr e System SGB Webseiten 10GB Heimatverzeichnis 10GB Optional 12 5GB Eine EIDE Festplatte mit Heimatverzeichnissen f r die Klassen einem Verzeichnis f r FTP einem Proxy Cache Verzeichnis die Swap Datei und eine Partition f r Ubungswebspace und allgemeine Offentliche Anwendungen Tabelle 2 2 Aufteilung der EIDE Festplatte Verwendung Gr e Heimatverzeichnis f r die Klassen 20GB FTP 2GB Proxy 4GB bungswebspace und Public 13GB Swap 512MB Da wir keinen Screenshot w hrend der Installation von fdisk machen konnten und fdisk Text basiert arbeitet z hlen wir hier die Arbeitsschritte auf die n tig sind um neue Partitionen zu erstellen und das richtige Filesystem auszuw hlen Diese k nnen auch sp ter im laufenden Betrieb genutzt werden um nderungen vorzunehmen oder neue Festplatten einzubinden In diesem Fall erfolgt der Aufruf von fdisk mit dem zu bearbeitendem Laufwerk Device als Argument fdisk dev hdc Seite 11 Das Betriebssystem Installation von Red Hat Linux 7 2 Mit der Taste lt m gt bekommt man eine bersicht ber die ver
70. etrennt Auf dem Abdeckklebeband ist die Vorgehensweise illustriert Danach verbindet man die serielle Schnittstelle mit einem freien COM Port an dem Server Dabei ist zu beachten das es sich nicht um eine Standardleitung handelt Es muss das mitgelieferte Kabel benutzt werden Nachdem man dann den Server mit einem der mitgelieferten Kaltger teverl ngerungskabel an die USV angeschlossen hat kann man sie mit dem Stromnetz verbinden Installation der Software Auf der mitgelieferten CD ROM ist eine Konfigurationssoftware mit Namen PowerChute Plus f r die g ngigsten Serverbetriebssysteme dabei PowerChute liegt auf der CD im RPM Format vor Dadurch ist die Installation sehr einfach Nach dem einlegen und mounten der CD wird durch die Zeile rpm i PFAD ZUR CD ROM PowerChutePlus 4 5 2 1 2 i138b rpm Seite 28 USV Unterbrechungsfreie Stromversorgung 4 4 das Paket eingespielt Danach befindet sich das Programm komplett im Verzeichnis usr lib powerchute Konfiguration Die Konfiguration erfolgt zun chst durch ein Konfigurationsskript das sich im Programmverzeichnis befindet Die Aufrufe cd usr lib powerchute Config sh starten das Skript root arktur powerchute Config sh PowerChute Plus for Linux v4 5 3 Configuration Script Copyright American Power Conversion 2001 Matrix UPS Smart UPS Back UPS Back UPS Pro Symmetra Power Array Smart UPS DP No FWNE Which APC Hardware will PowerChute Plus for UNIX
71. gen Das Mail an den Absender zur ckschicken evti eine Meldung zum Benutzer schicken F r andere Benutzer unzug nglich machen Abbildung 12 2 Mail Verlauf ber einen Server Die Datei Sendmail cf Es gibt viele unterschiedliche Konfigurationstools die im Endeffekt allerdings immer zum selben Ziel f hren n mlich zum Einrichten bestimmter Dateien Im Fall von Sendmail sind es diese Dateien etc sendmail cf und die Dateien im Verzeichnis etc mail Da die Datei etc sendmail cf allerdings die gr te und umfassendste Datei auf dem Linux Betriebssystem ist und zus tzlich noch eine eigene Syntax hat ist von einer nderung hier auf jeden Fall abzuraten Zu fast allen Einstellungen die wir zu dem Projektteil Mailserver Sendmail gemacht haben benutzten wir das Konfigurationstool Webmin welches auf die gerade erw hnten Dateien zugreift dabei aber ein bersichtliches verst ndliches Werkzeug f r den Administrator bietet Ein paar andere Einstellungen wurden ber die Konsole gemacht wobei diese im folgenden Teil noch genau beschrieben werden Alle Dateien lassen sich auch ber die shell bearbeiten In der nun folgenden Beschreibung sind die Dateien Fett gedruckt die nderungen mit Webmin sind kursiv geschrieben Andere Einstellungen wie z B unter Windows sind unterstrichen Bei den direkten Datei nderungen auf der shell sind Datenbank Versionen von den jeweiligen Konfigurationsdateien zu erstellen weil Sendmail
72. haven de Gateway 139 13 223 17 Primary DNS 133 13 210 1 el Secondary DNS Ternary DNS lt Back D Next Abbildung 2 9 Netzwerkschnittstellen In dem Server befinden sich 2 Interfaces Dies sind die in den Reitern dargestellten ethO und eth1 Dabei ist ethO die Schnittstelle zur Fachhochschule und eth1 die Schnittstelle zum internen Schulnetz Die folgende Tabelle beinhaltet alle n tigen Informationen zur Netzwerkkonfiguration Tabelle 2 5 Netzwerkdaten ethO eth Netzwerkadresse 139 13 223 16 139 13 210 0 IP Adresse 139 13 223 18 139 13 210 1 Netzmaske 255 255 255 252 255 255 255 0 Broadcast 139 13 223 19 139 13 210 255 Prim rer DNS 139 13 223 17 139 13 210 1 Gateway 139 13 223 17 139 13 223 17 Hostname Arktur bbs2 fh wilhelmshaven de Arktur bbs2 fh wilhelmshaven de Seite 18 Das Betriebssystem Installation von Red Hat Linux 7 2 2 6 Firewall Dieser Dialog gibt dem Benutzer die M glichkeit eine einfache Firewall aufzusetzen Da der Server allerdings eine erweiterte Firewall erh lt wird diese Funktion deaktiviert FS Red Hat Linux Online Help Firewall Configuration Please choose your security level A C High Medium C No firewall Firewall Configuration C Use default firewall rules Customize Red Hat Linux also offers you firewall protection for enhanced Trusted devices Oe system secu
73. hei t Werkzeug und MUA abgek rzt Wenn Sie eine Nachricht abschicken wird sie von Ihrem Benutzerprogramm in der Regel an ein anderes Programm weitergereicht das den Transport zum Zielsystem bernimmt Dieses Programm hei t Mail Transport Agent kurz MTA Auf den meisten Systemen wird derselbe MTA sowohl f r lokalen als auch fernen Versand benutzt in der Regel usr sbin sendmail Die Auslieferung einer Mail an einen lokalen Benutzer umfasst nat rlich mehr als sie nur an die Mailbox Datei des Benutzers anzuh ngen F r gew hnlich mu sich der Seite 90 Mailserver Sendmail lokale MTA um Aliasing Einrichtung lokaler Empf nger Adressen die auf andere Adressen verweisen und Forwarding Umleiten einer Benutzer Mail auf ein anderes Ziel k mmern Au erdem m ssen nicht zustellbare Mails mitsamt einem Fehlerreport an den Absender zur ckgesandt werden im Englischen wird dieser Vorgang als bouncing bezeichnet Bei der Auslieferung ber ein anderes System h ngt es ganz von der Art der Netzverbindung ab welche Transportsoftware verwendet wird Werden die Nachrichten ber ein TCP IP basiertes Netz zugestellt wird f r gew hnlich SMTP verwendet SMTP steht f r Simple Mail Transfer Protocol und ist in RFC 821 beschrieben SMTP wurde so entworfen dass eine Nachricht direkt an eine Empf nger Maschine zugestellt wird wobei die Nachrichten bertragung mit dem SMTP D mon der Gegenseite ausgehandelt wird In Unternehmen ist es he
74. hes Partitionieren A Sie sind gerade dabei alle vorhandenen Linux Installationen auf Ihrem System zu l schen Automatisches Wenn Sie hiermit nicht fortfahren m chten k nnen Sie die Partitionieren ae Sind Sie sicher Wenn Sie sich fiir diese Installationsklasse entschieden haben werden Sie Daten verlieren Bei dieser Installationsklasse werden ALLE Daten auf ALLEN vorhandenen Linux Partitionen auf ALLEN Festplatten gel scht A Automatisches Partitionieren und L SCHEN DER DATEN Wenn Sie die Daten auf den wv Manuelles Partitionieren mit Disk Druid vorhandenen Linux Partitionen Manuelles Partitionieren mit fdisk nur f r Experten geeignet erhalten m chten sollten Sie die Option zur manuellen Partitionierung verwenden oder die benutzerdefinierte Installation w hlen Mit dem Button Zwr ck k nnen Sie die benutzerdefinierte Installation ausw hlen Wenn Sie mit einer Installation der Klasse Workstation l Hilfe ausblenden Info zur Version D weiter Abbildung 2 6 Automatisches Partitionieren Nach einem Klick auf lt Manuelles Partitionieren mit fdisk gt und dann auf lt Weiter gt bekommt man eine Auswahl ber die im System vorhandenen Festplatten Diese muss man nun der Reihe nach abarbeiten Im vorliegenden Fall waren dies zwei SCSI Laufwerke und eine EIDE Festplatte Seite 10 Das Betriebssystem Installation von Red Hat Linux 7 2 2 2 1 Vorgaben Die Vorgaben sahen die Aufteilung folgend
75. ichen vor den folgenden Zeilen entfernt werden LoadModule proxy_module modules libproxy so und AddModule mod_proxy c Weiterhin bem ngelte Webmin die Proxydom nendirektiven als invalid also ung ltig und brach den Speichervorgang ab Tr gt man diese Direktiven manuell in die httpd conf ein und startet den Apache funktioniert alles wie vorgesehen Da wir ein hnliches Problem mit den Disk Quotas hatten welches durch eine neuere Version von Webmin behoben wurde raten wir dazu die Webmin Versionen zu beobachten und bei Behebung dieses Fehlers ein Update einzuspielen Im Gegenw rtigen Zustand ist die Webminseite ber die Proxy Einstellungen nur zur bersicht zu gebrauchen Weomin Index Angerungen ZUWEISEN Moduler Proxying ag eee F r www bbs2 fh wilhelmshaven de 8080 Act as proxy server Ja C Nein Cache directory None ide platte proxy cache g Block requests to domains C None sex playboy eroti xx blow happynight climax edda teens anc AIC Matching Don t pass requests to another Type Noproxyfor proxy for Domain z obs2 in wilhelmshaven de IP address E Domain for requests with no None bbs2 th wilhelmshaven d Domains not to cache None bbs2 th wilhelmshaven d domain Ports to which CONNECT is Default C Cache default expiry time C Default 6 hours allowed Cache directory name length Default C Cache directory levels Default C Finish and cache transfer af
76. ilder doku xml Abbildung 11 10 Einrichtung des 1 Netzwerkes Dieses wiederholten wir ebenfalls fiir das zweite Netzwerk Seite 64 Linux Firewall X A fwbuilder DIE File Edit View Insert Rules Tools Help User Standard Hosts Networks Name netz2 DNS lookup Address 222 222 bs Network ql 3 77 222 222 Services Groups Netmask 255 4255 1255 Comments Custom Firewalls amp Firewall NAT Policy Time Y eppi kl ve Loaded data etc fwhuilder doku xml Abbildung 11 11 Fertig eingerichtete Netzwerke Seite 65 Linux Firewall 11 4 4 Erstellen der Regeln f r die Netzwerkschnittstellen Um nun die Regeln zu erstellen klickt man mit der rechten Maustaste auf das graue Feld Worauf das folgende Fenster erscheint Nachdem dieses geschehen ist zieht man per Drag and Drop linke Maustaste gedr ckt halten die entsprechenden Objekte in die Felder unterhalb von Source Destination Service hiernach werden dann noch mit der rechten Maustaste auf die Felder Action Direction Options Comment geklickt wo die entsprechend Gew nschten Optionen ausgew hlt werden Folgende M glichkeiten ergeben sich Source Alle unter Objects und Firewalls eingerichteten Objekte und Firewalls Destination Alle unter Objects und Firewalls eingerichteten Objekte und Firewalls Service Alle unter Standard oder User eingerichteten Ser
77. ilesysteme in etc mtab v f r Fortschrittsanzeige u fiir Benutzerquotas und g fiir Gruppenquotas Der eingestellte Zustand bleibt dabei auch ber einen Neustart hinaus erhalten Hinweis zu diesem Kapitel Die Einstellungen k nnen auch alle mit Webmin vorgenommen werden so wie es auch im Benutzerhandbuch steht Dies funktionierte bei uns aber erst ab der Webmin Version 0 95 Diese Version erschien erst als die Quotas bereits fertig konfiguriert waren Davor lieBen sich die Quotas nicht aktivieren Aus diesem Grund steht in dem vorhergehenden Kapitel die Vorgehensweise mit Hilfe der Konsole In der Modulkonfiguration fiir Diskquotas unter Webmin finden sich all diese Befehle genauso wieder Seite 27 USV Unterbrechungsfreie Stromversorgung 4 USV Unterbrechungsfreie Stromversorgung 4 1 4 2 4 3 Die Aufgabe der USV Server reagieren im allgemeinen sehr empfindlich auf Stromausf lle Aufgrund ihrer Aufgabe viele verschiedene Dienste zur Verf gung zu stellen finden sehr viele Schreib und Lesevorg nge statt Linux hat mit dem Extended2 Filesystem die Eigenart die Daten nicht sofort auf die Festplatte zu schreiben sondern verz gert in Bl cken F llt vor einem solchen Schreibvorgang der Strom aus ist ein Datenverlust die Folge Dies kann weitreichende Auswirkungen auf den Netzwerkbetrieb haben Denkbar w re zum Beispiel das der DHCP Server den DNS Server updaten will und das bei dem Schreibvorgang in die Zonendat
78. ist nicht in der httpd conf vorhanden wird sie hinzugef gt if needed Anschluss Port Nummer auf die der Server h ren soll Document Root Verzeichnis das die HTML Dateien enth lt Server Name Name unter dem der Server angesprochen wird z B www Seite 39 Apache Der Internet Server Copy directives from Hier kann ein Profil eines anderen Servers geklont werden Nach einem Klick auf lt ERSTELLEN gt werden die Einstellung in der httpd conf gespeichert Um den neuen Server in der Liste sehen zu k nnen muss die Seite aktualisiert werden Webmin Index nderungen zuweisen Modi Kealauaic Apache Webserver Sie Suche in der Hilfe Globale Konfiguration GI Fire Ss a amp amp MIS H Wil Prozesse und Grenzwerte Netzwerk und Adressen Apache Module MIME Typen Verschiedenes WW Cimod_fo DSSI Rmod a E Ges GE CGI Programme Per Bekannte Module neu Definierte Parameter Edit Config Files Verzeichniseinstellungsdateien konfigurieren bearbeiten Virtuelle Server Standard Server Beliebig Beliebig www bbs2 fh wilhelmshaven de Automatisch Virtueller Server 139 13 210 1 80 139 13 210 1 3080 80 www bbs2 fh wilhelmshaven de jrarfwwwibbs2 Virtueller Server 139 13 223 18 80 www bbs2 fh wilhelmshaven de rarfwwwibbs2 Virtueller Server 192132101 80 wwwrtest bbs2 fh wilhelmshaven de rarfwwwiwwrwtest Adresse Beliebig M Add name virtual server
79. ke Festplatte dev sda b4 K pfe 32 Sektoren 35003 Zylinder Einheiten Zylinder mit 2048 x 512 Bytes Ger t boot Anfang Ende Bl cke Id Dateisystemtyp dev sdal x 1 5001 5121008 fd Linuxraidautodetect dev sdace 5002 15002 10241024 fd Linuxraidautodetect dev sda3 15003 25003 10241024 fd Linuxraidautodetect dev sda4 25004 35003 10240000 fd Linuxraidautodetect Festplatte dev sdb b4 K pfe 32 Sektoren 35003 Zylinder Einheiten Zylinder mit 2048 x 512 Bytes Ger t boot Anfang Ende Bl cke Id Dateisystemtyp dev sdbl x 1 5001 5121008 fd Linuxraidautodetect dev sdbe 5002 15002 10241024 fd Linuxraidautodetect dev sdb3 15003 25003 10241024 fd Linuxraidautodetect dev sdb4 25004 35003 10240000 fd Linuxraidautodetect Die Zusammenf hrung der Partitionen erfolgt dann in diesem Dialog Filesystem type ext2 RAID Level RAID1 SS Raid Members Number of spares fo r Format partition OK Cancel Abbildung 2 7 RAID Zusammenstellung Seite 16 Das Betriebssystem Installation von Red Hat Linux 7 2 Diesen Dialog ruft man f r jeden RAID Verbund erneut auf Dabei w hlt man den entsprechenden Mount Point das Filesystem und die Mitglieder Members aus und best tigt den Dialog Die Zusammenstellung sieht nun so aus Tabelle 2 4 RAID Zusammensetzung RAID Verbund Partitionen dev mdO dev sda4 dev sdb4 dev md1 dev sda2 dev sdb2 dev md2 dev sda3 dev sdb3 dev md3 dev sdal
80. ksamkeit Wenn nun ein DNS Server Kontakt mit dem eigenen Rechner aufnimmt geschieht das von Port 53 aus Das Ziel ist einer der oberen Ports auf dem eigenem System dies geschieht aber nur wenn man keinen eigenen DNS Server betreibt Wenn man nur auf einen einzigen DNS Server zugreift wie z B den des Internetproviders erlaubt man nur UDP Pakete von genau dieser IP Adresse Die Regeln sehen dann wie folgt aus nameserver xXxX XXX XXX XXX iptables A INPUT p udp s Snameserver sport 53 j ACCEPT iptables A INPUT p tcp s Snameserver sport 53 j ACCEPT Wird im eigenem System ein DNS Server betrieben wird kann man den lokal verwendeten Port konfigurieren In diesem Fall werden UDP Pakete aus dem ganzen Internet akzeptiert jedoch nur an diesem einen UDP Port iptables A INPUT p udp sport 53 dport 7531 j ACCEPT Wenn kein eigener DNS Server wird und bei ver nderlichem fremden Server wie z B bei einer Modem Einwahlverbindung ist es m glich ein Script zu erstellen um nach jeder neuen Interneteinwahl die Firewall zu aktualisieren Auf diese M glichkeit wird hier aber nicht n her eingegangen da es nicht Bestandteil unseres Projektes ist 11 3 4 Firewall und ICMP Datenpakete die ICMP verwenden m ssen in Bezug auf die Firewall noch besonders beachtet werden da diese wie schon erw hnt Informationen ber den Netzwerkstatus liefern und Fehlermeldungen bertragen Bei ICMP wird anders wie bei TCP und UDP nicht mit Ports gearb
81. ledigt werden Weiterhin muss noch eine geeignete Verzeichnisstruktur f r den FTP Server erstellt werden Bei der gegebenen Hardware wurde eigens f r den FTP Server eine 2 GB Partition angelegt die an den Mount Point ide platte ftp angeh ngt wurde Darunter wurden Verzeichnisse f r FTP typische Art angelegt Dies sind zum einen ein public Verzeichnis und zum anderen ein incoming Verzeichnis zum Hochladen Denkbar w re hier auch ein Link zum wwwtest Ordner um von au en HTML Seiten zum testen in das Dokumentenverzeichnis des Apache zu laden Dies d rfte allerdings nicht f r anonyme Benutzer erlaubt sein Konfiguration 8 2 1 Verzeichnisse Die Grundlegenden Einstellungen sind zun chst die Angaben ber die Verzeichnisse Dazu klickt man unter Webmin ber Server gt wu ftp auf das Icon Aliases und Pfade em FTP Server Be 209 116 1 TER Ans Modul K onfiguration Ak D Benutzer und Klassen Meldungen und Banner Grenzwerte und Netzwerk Protokollierung Zuenffskontrolle Aliases und Pfade Anonymes FTP Rechte Verschiedene Einstellungen www Smeg amp Zur ck zu Startseite Abbildung 8 2 FTP Startseite Seite 42 wu ftp Der FTP Server Webmin Index ia bie Aliases und Pfade Hilfe Alias und Pfadeinstellungen CD Verzeichnis Aliases Alias Name Alias zu Verzeichnis fe epatu RR EEE CD Verzeichnissuchpfad a Speichern
82. m daemon ache 48 bin 1 root bin daemon Ge 100 sopp berber bierm boesa ebeling ewendi fiedler gerdes hansen jech johan kloetz lange schollb seibt steffen szkodow troeck wagner FH welle wengerow woeste wendisch fpelektro fpbauholz steinro mucha linnem siegert jan tsbs utmp 22 uucp 14 uucp wagner 518 welle 519 wendisch 522 w ow 520 wheel 10 root wine 101 woeste 521 zfs 43 Neue Gruppe erstellen Zeige Anmeldungen f r Hi Logged In Users K Zur ck zu Startseite Abbildung 12 4 Benutzer und Gruppen Hier gibt es einen berblick auf alle Benutzer die schon eingetragen sind nderungen kann man bei jedem einzelnen durch anklicken des Namens vornehmen Seite 81 Mailserver Sendmail Nachdem man unter Benutzer und Gruppen Neuen Benutzer hinzuf gen gedr ckt hat erscheint folgendes Bild Hier wird dann ein neuer Benutzer Account angelegt Webmin Index SS Benutzer anlegen Hilfe Benutzerdetails io romeren H r Zur ck zu Benutzer und Gruppenliste Abbildung 12 5 Benutzer anlegen Seite 82 Mailserver Sendmail Webmin Index Modul Index 12 6 2 Spam Kontrolle access Shell etc mail access Spam Kontrolle Spam Kontrollregel erstellen 72 o Mail Quelle E Mai Adresse ss tst S Akzeptieren C Erlaube Weiterleitung C Abweisen Leise l schen Fehlercode Nachricht Erstellen Quelle Aegen Ga
83. mes while read table do iptables t table L n while read c chain rest do if test X c XChain then iptables t table F chain fi done iptables t table X done ip addr flush dev ethO scope link ip addr flush dev lo scope link ip addr flush dev eth1 scope link iptables A INPUT m state state ESTABLISHED RELATED j ACCEPT iptables A OUTPUT m state state ESTABLISHED RELATED j ACCEPT iptables A FORWARD m state state ESTABLISHED RELATED j ACCEPT Interface Rule 0 http iptables N IRULE_O_ethO iptables A INPUT i ethO p tcp m state state NEW s 111 111 111 111 255 255 255 0 destination port 80 j IRULE_0_ethO iptables A INPUT o ethO p tcp m state state NEW s 111 111 111 111 255 255 255 0 destination port 80 j IRULE_0_eth0 iptables A IRULE_0_eth0 j LOG log level info log prefix RULE 0 Accept iptables A IRULE_0_eth0 j ACCEPT Interface Rule 0 loopback iptables N IRULE_O_lo iptables A INPUT i lo m state state NEW j IRULE_O_lo iptables A OUTPUT o lo m state state NEW j IRULE_0_lo iptables A IRULE_0_lo j LOG log level info log prefix RULE 0 Accept iptables A IRULE_0_lo j ACCEPT Fortsetzung auf der n chsten Seite Seite 73 Linux Firewall Fortsetzung Interface Rule 0 pop3 iptables N IRULE_0O_eth1 iptables A INPUT i eth1 p tcp m state state NEW s 222 222 222 222 255 255 255
84. modifications are in use and declare an unsynchronized condition server 130 133 1 10 cronos zedat fu berlin de Seite 46 Webmin 10 Webmin 10 1 10 2 Was ist Webmin Webmin ist ein Konfigurationstool welches modular aufgebaut ist und st ndig aktualisiert und erweitertet wird Es kann nach der Installation durch einen beliebigen Webbrowser auf jedem beliebigen Rechner der mit dem Webmin Rechner vernetzt ist bedient werden Installation Nach dem herunterladen des Webmin Paketes wird es einfach von der Konsole aus mit der folgenden Zeile installiert rpm i pfad zum paket webmin versionsnummer rpm Zum Zeitpunkt der Drucklegung war die Version 0 96 unter der Internetadresse www webmin com verf gbar Wir weisen darauf hin das Webmin noch in der Entwicklung ist Dies ist auch an der Versionsnummer zu sehen Wir hatten einige Male Schwierigkeiten mit einzelnen Funktionen quotas apache proxy die teilweise durch neuere Versionen behoben wurden Seite 47 Linux Firewall 11 Linux Firewall 11 1 Allgemeines zur Firewall Eine Firewall dient zur Kontrolle der Daten die einen Computer passieren wollen dazu werden alle Datenpakete in denen die Daten verpackt sind durch die Firewall berwacht Der Sinn dieser berwachung ist es einen Zugriff von fremden Personen auf das eigene System abzublocken sowie der Schutz vor Fehlern der eigenen Software und unerw nschten Programmen Durch eine Firewall wird
85. n ssssssssssssssssssesessessssessessesessessssessessesessessssessessssessessesesassesessassesessesesessessesessassesessessesessens 34 FPA TATE E ATIS OA REAS AT A T EET 34 6 2 1 Erkl r ng d r Direkt veni sos scsccs csccssssdsvessetcasess jetscgsveteseesbeedecescghoseestsedapdincs ssessbesdspuseebaseebantasseostesves 35 APACHE DER INTERNET SERVER nnuunsnnssasnnennannnnnnnnnannnnnnnnnnnannnnnnnnnannnnnnnnnnnnnnnnnnnnnannnnnannnn 37 7 1 Aufgabe des Servers saccsssssessesssossossssasscassensceasavasevasousasoasvessstsseasoussunssees caesaaseseessoedesasoosvsssecassasoensceosssassuass 37 7 2 Installation und Konfiguration crsosssassnssossossnnsonsnnsonsnnennssnnsnnsonsnnsnnsnnsnnnsnnsnnsonsnnsnnsnnssnssnssnnsonsnnsnnnn 37 ToS AU SAW EE 37 7 4 Bemerkungen ber das Proxy Modul eussusssssossnssonsossonsnnensssossnnsonsnnsnnsnnsnnnsnnsnssonsnnsnnsnnssnssnssnnsnnsnnsnnne 38 7 5 Die virtuellen Server sssssssssssssssessssessessssessersesessessssessessesessessssessessesassessesessessesessessssessessesessessesessens 39 FSA Anlegen eines virtuellen Servers 0208er ns Harn 39 WU FTP DER FTP SERVER aie erea a aa aaa eaae aa e e ea han ha Ehe 41 8 1 Installation und Start von wu ftp esssssessesseseosoesessoesesoossesoessesessossessossesoessesossossessossessossesoesssseesossessose 41 8 2 Konfiguration E 42 g2 ee EE 42 8 22 Anonymes T eenig 44 8 2 3 Benutzer und Klassen nassen tin testing nissen 4
86. n de Zur ck zu Sendmail K onfiguration Abbildung 12 11 Dom nenmaskierung Seite 89 Mailserver Sendmail 12 7 12 8 Smtp Pop E Mail Clients einrichten Dies ist die Schnittstelle zwischen dem Mailserver und den Benutzern Bei diesem Server werden wohl die meisten Benutzer ihre Post auf Windows Maschinen mit einen POP3 Client lesen Um es ihnen es zu erm glichen einen typischen POP3 SMTP Mailclient zu konfigurieren m ssen jedem Benutzer folgende Informationen mitgeteilt werden Als Beispiel SMTP Server SMTP Simple Mail Transfer Protocol SMTP bbs2 fh wilhelmshaven de POP3 Server Post Office Protocol Version 3 zum Abholen von E Mails die beim Mail bbs2 fh wilhelmshaven de Provider in einer Art Briefkasten zwischengespeichert wurden E Mail Adresse muss weltweit eindeutig sein oft mit folgendem Aufbau Vorname Nachname provider de wobei de hier die Landkennung f r tester bbs2 fh wilhelmshaven de Deutschland ist Benutzerkennung Tester Passwort nur mit Benutzerkennung und passendem f mlddik97 Passwort kann die E Mail abgeholt werden Ein Mail Client erlaubt dann Empfangen Zugriff auf die Mailbox Bearbeiten Verwalten Versenden einer Mail Wie Mail Transportiert wird F r gew hnlich werden Sie Ihre E Mails mit Hilfe von Programmen wie Outlook Microsoft oder Kmail Linux schreiben Diese Programme werden im Englischen als Mail User Agents bezeichnet agent
87. n nach unten passende Eintrag wird genommen Der letzte Eintrag gilt dann f r alle Mails die nicht schon vorher ausgew hlt wurden Webmin Index Modul Index Domanen Routing C Dom ne Auslieferung SMTP Sende an I Ignoriere MX Eintrag f r SMIP Auslieferung Erstellen fetc mail mailertable manuell bearbeiten Domanen Routing stellt eine Methode zur Verf gung um eine spezielle Transfernethode f r bestimmte Dom nen festzulegen Dies kann n tzlich sein wenn Ihr System ein Gateway f r Mailserver ist die nicht von au erhalb Ihre Netzwerks erreichbar sind oder wenn Sie alle E Mails f r eine bestimmte Dom ne ber einen anderen Server leiten wollen Sie sollten f r eine geroutete Dom ne keinen Eintrag in der Liste lokalen Dom nen haben Sie sollten aber f r alle Dom nen f r die dieses Gateway zust ndig ist einen DNS MX Eintrag haben der auf Ihr System zeigt ge Zur ck zu Sendmail K onfiguration Abbildung 12 7 Dom nen Routing Seite 85 Mailserver Sendmail 12 6 6 Adressenverkn pfung virtuser etc mail virtusertable Sendmail verwendet diese um bei entgegengenommenen Mails die offiziellen Adressen wieder in lokale umzusetzen Dieses ist aber erst sinnvoll bei mehreren Domains Webmin Index Modi lade Adressenverknupfung Mail f r Adresse EEE Dom ne Ir Sende an Adresse Dom ne eege Fehler zur ckgeben nouser message Ir Erst
88. nen Installation und Konfiguration Der Apache Webserver wird mit der Vollinstallation von Red Hat 7 2 mit installiert Seine Konfiguration geschieht in der Datei etc httpd conf httpd conf Dies kann manuell in einem beliebigen Editor erfolgen oder mit Hilfe eines der vielen Konfigurationstools In Red Hat 7 2 ist beispielsweise apacheconf enthalten Weiterhin gibt es Comanche oder das hier verwendete Webmin Aufgaben Als erstes soll der zu erstellende Server die Internet Seiten der BBS II der Au enwelt zur Verf gung stellen Die Zweite Aufgabe ist eine Plattform f r Unterrichts und Versuchszwecke zur Verf gung zu stellen Auf dieser k nnen die Sch ler selbst erstellte HTML Dokumente unter realen Bedingungen testen Die dritte Aufgabe sieht vor das alle vom lokalen Netz aus aufgerufenen Internetseiten durch einen Stellvertreter Proxy angefordert werden Anfrage SF Client3 Entfernter Apache Server Internet Anfrage Client4 Client5 Antwort Entfernter Client Abbildung 7 1 Proxyprinzip Seite 37 Apache Der Internet Server 7 4 Bemerkungen ber das Proxy Modul Bei der Konfiguration per Webmin traten mit dem Proxymodul einige Schwierigkeiten auf Dazu geh rt das sich das Modul nicht ber die Modulkonfiguration einschalten lie Um den Proxy Modus einschalten zu k nnen m ssen in der httpd conf die Kommentarze
89. nmal das entsprechende RPM Paket von der Internetseite www fwbuilder org herunter geladen Auf dieser Seite findet man auch entsprechende Dokumentationen zu dieser Software Nachdem wir dieses getan hatten installierten wir das RPM Paket mit dem Paket Manager von RedHat 7 2 In den nun folgenden Ausf hrungen gehen wir aus Sicherheitsgriinden nicht auf die detaillierte Einrichtung der Firewall unseres Projektes ein Seite 56 Linux Firewall Die genaue Beschreibung befindet sich im Benutzerhandbuch das nicht f r die ffentlichkeit zug nglich ist 11 4 1 Basiskonfiguration Bevor wir den Firewall Builder das erste Mal starteten legten wir in etc als k nftiges Arbeitsverzeichnis f r die Applikation das Directory etc fwbuilder an Dort sollten sp ter die Konfigurationsdatei des Tools sowie die erstellten Firewall Regeln lagern Jetzt starteten wir den Firewall Builder Als erstes galt es einige grundlegende Einstellungen f r die Applikation selbst zu treffen Dazu riefen wir den Men punkt Edit Options auf Unter General Paths des daraufhin erscheinenden Popup Fensters trugen wir den Pfad zu unserem Arbeitsverzeichnis also etc fwbuilder ein Die Einstellungen unter Network haben wir bei den Defaultwerten belassen Also je 10 Sekunden Timeout und einen Wiederholungsversuch X Options General Paths Network GUI Firewall Builder looks for the data files in the Object Tooltips working directory It also call
90. nsportverwaltung von Mail ber private Firewalls Bei unserem Netzwerk sind die eigenen unregistrierten IP Adressen von einer Firewall gesch tzt Wollte man nun Mails von den Hosts des Schulnetzwerkes mittels SMTP an die Au enwelt senden oder empfangen w re das mit einer konventionellen Konfiguration nicht zu machen Die Hosts w ren nicht in der Lage eine direkte Netzwerkverbindung zum Internet herzustellen Die L sung hierf r ist den Firewall Rechner auch als Smart Host f r die Mailverwaltung agieren zu lassen Der Smart Host w rde Mails von beiden Seiten annehmen im lokalen Speicher ablegen und dann f r die erneute bertragung der Mails an die gew nschten Hosts sorgen Seite 80 Mailserver Sendmail 12 6 1 Benutzer und Gruppen Webmin System gt Benutzer und Gruppen Shell etc passwd Als nachstes wurden Benutzer und Gruppen hinzugefiigt Dieses ist genau wie die beiden n chsten Einstellungen eine Sache die immer aktualisiert werden muss Deshalb haben wir die erforderlichen Einstellungen ganz ausf hrlich in dem Benutzerhandbuch beschrieben Webmin Index Suche in der Hilfe i Benutzer und Gruppen en Modul K onfiguration Lokale Benutzer adm 3 adm varfadm sbin nologin amanda 33 Amanda user fvarfib amanda fbin bash zfs 43 X Font Server fetc X1 1 fs bin false Neuen Benutzer hinzuf gen Lokale Gruppen adm 4 root ad
91. nssnsnnsnssnsnnnsnsnnsnnsnsnssnnensnnennene 7 2 2 Partitionier sine ns e ES S AP Oana eise 10 22l Vorgaben nie t es eel ah salon T A E R EA E A a Eer 11 2 2 2 Anlegen einer nejen Partition essen ann bien E a A EN 12 STE LE 15 2 3 1 Einf hrungin das RAID Prinzip ans eenenine esasen reren 15 2 3 2 Aufbau eines RAID 1 Verbundes AAA 16 2 3 3 1 K nfigur tion RE 16 2 4 Bootloader E O 17 2 5 Netzwerkkonfiguration susousssssossnssonsnnsnnsnnennssnssnnsonsnnsnnsnnsnnnsnnsnnsnnsnnssnsnnsnnnsnssnnsonsnnssnsnnsnnssnssnnsnnsnnsnnene 18 2 6 Firewall A E E A A 19 2 7 Abschlusskonfiguration cusssssssnssonsnnssnsnnensssnssnnsonsnnsnnsnnennssnnsnnsonsnnsnnsnnsnnssnnsnnsnnsnnssnsnnsnnssnssnnsnnsnnsnnne 20 2 8 SUPELUser PAasSWOrtccccsesscsserserscesooavoosssesdcnessvdscosessadsacsesvoasesssvensoosdcassensavsseescevesdessoxsscensdacsuessussevesesvenses 21 2 9 Paketauswall sscssssrsessssessesssssssessssessessssessessssessassssessessssessessssessessesessessesessesessesessesessessesessesseseseens 22 2 10 Kopieren aan ans ah reerengenfenhseehennde 23 DISK QUOTAS EE 24 3 1 Wozu Quotas gedacht Sind EE 24 3 2 Vorbereitung zum Setzen der Quotas cuscussnssnssnssonsnnsnnsnnennssnssnnsonsnnsnnsnnsnnssnnsnnsonsnnsnnsnnssnssnnsnnsonsnnsnnnn 24 3 3 Aktivieren und editieren der Quotas c00sss00s000ssensnnennnsessnnennnsessnsnnnnsessnnsnnsesssnsnnnnsssssnnnnnssssnnssnssessne 25 3 3 1 Einstellung der Gnadenzeit grace
92. omaintable Shell etc mail domaintable Wenn z B der Domainname ge ndert werden soll kann jenes mit diesem Filter geschehen indem man den Namen bei ein und ausgehenden Emails einfach austauscht Dies funktioniert sogar wenn User noch den alten Domainnamen in ihrem Mailprogramm eingetragen haben Dieses Feature ist bei dem Mailserver der BBS2 aber nicht aktiviert da es wohl nicht zu einer nderung des Domainamens kommen wird Wichtig w re es zum Beispiel bei einer nderung bei der alle User erhalten bleiben sollen Dies erspart viel Zeit durch eine ausbleibende Neukonfiguration 12 6 5 Dom nen Routing mailertable Shell etc mail mailertable Mailertabellen sind eine einfache M glichkeit Nachrichten anhand von Rechner und Domainnamen an unterschiedliche Delivery Agenten zu leiten Man kann also auch noch einen mailertable definieren Mit dieser Datei kann der Transport zu bestimmten 1 Smarthosts delegiert werden Au erdem k nnen beispielsweise Mails an domain com ber den Smarthost provider de verschickt und gleichzeitig alle anderen Mails an fh wilhelmshaven de zugestellt werden Diese Datei wird vor allem daher notwendig weil zunehmend Mailserver im Internet gegen Relaying dicht gemacht werden um so die Rechner als Ausgangspunkt von Spam noch besser zu sch tzen und um das Zustellen nur noch von bestimmten anderen Hosts aus zuzulassen Zu beachten ist hier die Reihenfolge der Eintr ge Der erste von obe
93. rgaben geleitet werden Seite 35 DHCP Dynamische IP Adressenvergabe option subnet mask 255 255 255 0 Netzmaske des Unternetzes default lease time 86400 Standard Vergabe Zeit in Sekunden Hier 1 Tag max lease time 432000 Maximale Vergabe Zeit in Sekunden Hier 5 Tage key DHCP_UPDATER Festlegung des f r den Updateprozess vereinbarten Sicherheitsschl ssel Nur bei Verwendung dieses Schliissels erlaubt der DNS Server ein Update Siehe dazu auch Abschnitt 5 2 zone BBS2 FH WILHELMSHAVEN DE Angabe ber die Zone f r die Vorw rtsaufl sung zone 210 13 139 in addr arpa Angabe ber die Zone f r die R ckw rtsaufl sung subnet 139 13 210 0 netmask 255 255 255 0 range 139 13 210 222 139 13 210 254 option broadcast address 139 13 210 255 Hier wird der Bereich f r die Adressenvergabe eingegrenzt und die Broadcast Adresse festgelegt Seite 36 Apache Der Internet Server 7 Apache Der Internet Server 7 1 7 2 7 3 Aufgabe des Servers Apache ist der weit verbreitteste Internetserver auf dem Globus Er stellt auf Anfrage eines Clients HTML Dokumente zur Verf gung Sein Erfolg basiert wohl auf der gro en Flexibilit t und Plattformunabh ngigkeit So kann ein Apache Server Internetseiten f r mehrere Dom nen verwalten und nebenbei auch noch als Proxy f r ein lokales Netz dienen Apache besteht aus mehreren Modulen die w hrend der Laufzeit dynamisch nachgeladen werden k n
94. rgeben hat in die Zonen eintragen Um dies abzusichern wird ein Schl ssel benutzt den man mit dem Keygenerator dnssec Seite 32 DNS Der Domain Name Service keygen des DNS Paketes erzeugen kann Diesen tr gt man dann in der secret Anweisung im key Bereich ein key DHCP_UPDATER algorithm HMAC MDS SIG ALG REG INTS secret XXXXXXXXXXXXXXXXXXXXXX4 3 Aus Sicherheitsgr nden ist der key hier unkenntlich gemacht worden Der Keygenerator erzeugt eine Datei in der der Schl ssel im Klartext steht Diesen kann man kopieren und in die secret Anweisung einf gen Der Eintrag algorithm spezifiziert den benutzten Verschl sselungsalgorithmus Weitere Informationen zu den m glichen Verschl sselungen gibt es in den Handbuchseiten von dhcpd conf und dnssec keygen Seite 33 DHCP Dynamische IP Adressenvergabe 6 DHCP Dynamische IP Adressenvergabe 6 1 Installation Die DHCP Version die mit der Red Hat Distribution geliefert wird ist nicht dazu geeignet den DNS Server dynamisch aufzufrischen Es existiert die M glichkeit dies mit selbst geschriebenen Skripten zu tun jedoch bietet die zum Projektbeginn erschienene Version 3 des DHCP Paketes diese Funktion Darum war ein Update notwendig 6 2 Konfiguration Die Konfiguration erfolgt in der Datei etc dhcpd conf ddns update style ad hoc ddns update style interimi dhcpd conf Configuration file for ISC dhcpd server identifier server bbs2 fh wilhelmshaven
95. rity A firewall sits between your computer and the Allow incoming network and determines which resources on your computer remote users on the network are TT www HTTP able to access A properly O Mail SMTP configured firewall can greatly U FTP increase the out of the box security of your system Other ports e eee Choose the appropriate security level for your system High Security By choosing High Security your system will not accept connections that are not explicitly defined by you By default only the following connections are allowed a DNS replies sl Hide Help Release Notes lt Back Abbildung 2 10 Firewallkonfiguration Seite 19 Das Betriebssystem Installation von Red Hat Linux 7 2 2 7 Abschlusskonfiguration Anschlie end wird die Sprachunterst tzung gew hlt Dabei werden unter anderem W rterb cher f r die gew hlten Sprachen installiert Sinnvollerweise w hlt man hier mindestens Deutsch und Englisch GB aus Online Help Additional Language Support zl Choose the default language for this system English USA d Language Support Choose additional languages you would like to use on this system Selection Dutch Netherlands a Select all Select a language to use as the default language The default language will be the language used on your Red Hat Linux system once installation is complete If you choose to install other languages it is possible to
96. rte Version w hlen oder eine ltere Version aktualisieren Wir w hlen hier die Benutzerdefinierte Installation ca Red Hat Linux m NENNE Emm 65 TER 521 21 5 Hmmm cuneate nanan nee eo Installationsoptionen a Installieren W hlen Sie ob sie eine vollst ndige Installation oder ein Upgrade durchf hren wollen v workstation Bei einer vollst ndigen Installation werden alle zuvor gespeicherten Daten auf den ausgew hlten Partitionen gel scht Server System We Laptop x 2 Benutzerdefiniertes System Wenn Sie eine vollst ndige Installation durchf hren m chten A m ssen Sie die gew nschte d Installationsklasse bzw den v Aktualisieren gew nschten Installationstyp ausw hlen Folgende Optionen stehen zur Verf gung Workstation Server System Laptop oder Benutzerdefiniertes System lt lt Bei einem Upgrade bleiben die vorhandenen Red Hat Linuz Systemdaten erhalten _ Wenn Sie sich noch f r keine f lt a EE Hilfe ausblenden Info zur Version lt Zur ck gt Weiter Abbildung 2 5 Benutzerdefinierte Installation Seite 9 Das Betriebssystem Installation von Red Hat Linux 7 2 2 2 Partitionierung Der n chste wichtige Schritt ist die Partitionierung des Systems Dazu gibt es die M glichkeit dies automatisch erledigen zu lassen es mit dem Disk Druid selber zu tun oder aber mit fdisk Red Hat Linux Online Hilfe Automatisc
97. s ia localhost localdomain RELAY 139 13 210 160 DENY localhost RELAY 139 13 210 161 DENY 127 0 0 1 RELAY 139 13 210 162 DENY 13991322104 RELAY 139 13 210 163 DENY 139 13 223 18 RELAY 139 13 210 164 DENY 139 13 210 158 DENY 139 13 210 253 DENY 139 13 210 159 DENY 139 13 210 254 DENY ete mail access manuell bearbeiten Sendmails Spam K ontrolle erm glicht es Ihnen Ihr System vor Spam zu sch tzen indem E Mails von bestimmten Adressen abgewiesen werden Ebenso verhindert es dass Spammer Ihr System zum Weiterleiten von Spam benutzen Standardm ig akzeptiert Sendmail alle E Mails f r lokale Benutzer verweigert jedoch allen Clients oder Mailservern E Mail ber Ihr System weiterzuleiten Typischerweise werden Sie Anti Spam Regeln hinzuf gen um E Mails von Spammer abzuweisen und Regeln um anderen Maschinen auf ihrem Netz das Weiterleiten von E Mail ber Ihr System zu gestatten amp Zur ck zu Sendmail K onfiguration Abbildung 12 6 Spam Kontrolle Um Missbrauch von dem Mailserver zu verhindern wurden nur bestimmte Rechner fiir das Versenden und Empfangen von Email bestimmt Das so genannte Spamming wurde durch den Eintrag in die Datei etc access db f r alle anderen Rechner unterbunden SPAM ist die landl ufige Bezeichnung f r kommerzielle Werbemails UCE bzw UBE f r unsolicited commercial bulk e mail f r Kettenbriefe chain letter f r MMF Systeme Make Money Fast und hnliche unerw nschte M
98. s Einrichtung Sendmail Einrichtung Firewall Informationsbeschaffung ber die Geforderten Teilaufgaben im Internet und aus entsprechenden Fachb chern 17 April 2002 Einrichtung des FTP Server Einrichtung Firewall Erstellung der Dokumentation 18 April 2002 Erstellung der Dokumentation Testlauf des Servers und berpr fung aller gemachten Einstellungen 24 April 2002 Erstellung der Dokumentation 25 April 2002 Nochmaliger Testlauf berpr fung der Firewall mit einem Portscanner Erstellung der Dokumentation Seite 95 Projekttagebuch 02 Mai 2002 Erstellung der Dokumentation Testlauf des Servers am Netzwerk Probleme mit DNS Sendmail und der Firewall DNS Eintr ge in der resolv Datei ge ndert FORWARDERS Bei Sendmail weitere Schnittstelle eingef gt an der Sendmail h ren soll Bei der Firewall die Regeln so abge ndert das Datenverkehr m glich ist 06 Mai 2002 Abgabe der Dokumentation Seite 96 Quellenangaben Literaturverzeichnis und Quellenangaben B cher Kabir Mohamed Red Hat Linux Server Bonn mm Verlag 2000 ISBN 3 8266 060 1 9 Costales Allman sendmail kurz und gut K ln O Reilys 1998 ISBN 3 89721 202 1 Aulds Charles Apache Web Server D sseldorf Sybex Verlag 2001 ISBN 3 815 50322 1 Eilebrecht Lars Apache Web Server Bonn MITP 1998 ISBN 3 826 60438 5 Dietrich Michael Linux M nchen dtv 1998 ISBN 3 423 50190 1 Links www doc thepenguin de
99. s policy compiler Behavior with appropriate command line option so the Tree View final firewall script will be placed in the same directory If this parameter is left blank firewall script will be placed in the directory object data file has been loaded from working directory Browse etc fwbuilder OK x cancel Abbildung 11 3 Angabe des Arbeitsverzeichnisses Seite 57 Linux Firewall X Options General r L Here you can set timeout and retry values Object Tooltips for SNMP and DNS queries Behavior Tree View SNMP Timeout sec 10 Retries 1 amp DNS Timeout sec Retries x cancel Abbildung 11 4 Default Einstellungen unter Network Unter GUI Behavior stellten wir die automatische Sicherung aller Einstellungen beim Wechsel zwischen den Objekten ein Die Optionen f r lt Object Tooltips gt und lt Tree View gt haben wir au er Betracht gelassen da diese f r die grunds tzliche Funktion nicht ausschlaggebend sind Allerdings erwiesen sich die eingestellten Vorgaben bei der weiteren Arbeit erfahrungsgem als hilfreich Seite 58 Linux Firewall XA Options gt General L Paths Network gt GUI If this option is turned ON all changes made to l Object Tooltips the object opened in the dialog will be Behavior automatically saved when another one is Tree View opened If this option is OFF program will ask confirmation every time you chose different
100. schiedenen Befehle Kommando m f r Hilfe m Kommando Bedeutung De Aktivieren des bootbar Flags bsd disklabel bearbeiten De Aktivieren des DOS Kompatibilitdtsflags Eine Partition l schen Die bekannten Dateisystemtypen anzeigen Dieses Men anzeigen Eine neue Partition anlegen Eine neue leere DOS Partitionstabelle anlegen Die Partitionstabelle anzeigen Ende ohne Speichern der nderungen Einen neuen leeren Sun disklabel anlegen Den Dateisystemtyp einer Partition ndern Die Einheit f r die Anzeige Eingabe ndern Die Partitionstabelle berpr fen Die Tabelle auf die Festplatte schreiben und das Programm beend Zus tzliche Funktionen nur f r Experten xec lt crvo so Sta oO Ou Wie hier zu sehen ist sind n f r neu p f r Partitionstabelle t f r Typ und w f r write die wichtigsten Kommandos 2 2 2 Anlegen einer neuen Partition Nach dem Kommando n fragt fdisk ob es sich bei der neuen Partition um eine prim re p oder erweiterte e Partition handelt Nun wird die Partitionsnummer erwartet Sie kann von 1 bis 4 f r die Prim ren Partitionen und von 5 an f r die Erweiterten Partitionen gew hlt werden Anschlie end werden der Partitionsanfang und die Gr e abgefragt Die am Ende einer Abfrage stehenden Werte in den eckigen Klammern sind Standardwerte die fdisk bernimmt wenn kein anderer Wert eingegeben wurden Kommando m f r Hilfe n Erster Zylinder 53864 79780 Standardwert 538581 Benutze
101. schneller auf diese zugreifen kann Diese DBM Datenbanken werden mit dem Befehl makemap hash etc mail configdatei lt etc mail configdatei gemacht Es gibt aber auch hier eine Ausnahme n mlich die etc mail aliases Datei welche mit dem Befehl newalias zu einer Datenbankdatei wird Wie bereits erl utert haben wir die nderungen weitestgehend mit Webmin vorgenommen aber f r einen versierten Administrator ist diese Art der Shell Einstellung auch allein aus zeittechnischen Gr nden sehr interessant var named named BBSe Seite 77 Mailserver Sendmail 12 5 Der MX Record leitet Mails an einen Mailserver weiter Hierbei kann die Mail f r einen einzelnen Rechner oder f r eine vollst ndige Domain weitergeben werden Es muss f r den Mailsever ein MX Mail Exchange Records Eintrag festgelegt werden um SMTP Mailserver Ressourcen in einer Domain zu kennzeichnen In unserem fall muss dem Eintrag IN MX 5 mail bbs2 fh wilhelmshaven de und IN MX 50rz5 rz wilhelmshaven de sein Es ist auch m glich mehrere MX Eintr ge zu haben wobei der Pr ferenzwert 5 eine wesentliche Rolle spielt In diesem Fall wird die Mail erst vom BBS Mailserver versendet und dann vom FH Mailserver Bei mehreren Mailservern wird dann die Mail mit dem Server der die kleinste Nummer hat gr te Priorit t zuerst versendet POP 3 Dienst aktivieren Shell etc xinetd conf Extended Internet Service Daemon Konfigurationsdatei Diese Datei
102. somit der gesamte Datenfluss durch die Regeln der Firewall beschr nkt Aufgrund der zahlreichen Konfigurationsm glichkeiten einer Firewall mit Linux eigenen Mechanismen ist es m glich das eigene System so abzudichten wie man es f r n tig h lt Aber gerade durch die Vielzahl dieser M glichkeiten ist es nicht so einfach eine wirklich sichere Firewall zu erstellen Die folgenden Ausf hrungen sollen behilflich sein um dieses Ziel dennoch zu erreichen 11 1 1 Grundlegende Arbeitsweise einer Firewall mit Linux 2 4 Die Kommunikation also der Datenaustausch zwischen verschiedenen Rechnern bzw Netzwerken bedeutet das die Daten entsprechend ihrer Protokolle immer in Pakete verpackt werden Diese Pakete werden durch die Firewall berpr ft Anhand der verschiedenen Regeln die die Firewall beinhaltet entscheidet diese was mit den entsprechenden Paketen geschehen soll Die Aktionen die dann von der Firewall ausgef hrt werden sind ACCEPT DROP und REJECT Bei ACCEPT werden die entsprechenden Pakete akzeptiert und k nnen die Firewall passieren und weiterverarbeitet werden Im Fall von DROP werden die Pakete verworfen und somit von der Firewall abgeblockt Mit REJECT werden die Pakete ebenfalls verworfen teilt dem Absender jedoch durch eine Fehlermeldung die Ablehnung des Paketes mit Eine Firewall selbst besteht aus einer Reihe von Regeln die nacheinander abgearbeitet werden Jedes Datenpaket wird wie bei einer Checkliste mit den Regeln verglichen Die
103. tas 3 3 chmod LOO partition quota group Es hat sich aber gezeigt das diese Dateien bei der Quotaversion quota 3 01pre9 3 von Red Hat 7 2 nicht benutzt werden sondern die ersten beiden oben angef hrten mit einem f hrenden a im Dateinamen Diese wurde von dem Quotaprogramm beim aktivieren und berpr fen des Platzverbrauches selbst erzeugt Die Rechte stehen dabei schon auf 600 rw Der n chste Schritt ist dem System die ver nderten Filesystemeinstellungen mitzuteilen Dazu montiert man die Partitionen ab und wieder an In einigen Quellen ist von der Notwendigkeit die Rede das System Komplett neu zu starten Dies konnten wir aber nicht feststellen Im Falle einer normalen Partition wie zum Beispiel home kann man einfach folgende Schritte anwenden umount dev mde home mount dev md home Im Fall das auf der root Partition quotas verwendet werden geht dies nicht da das System nicht ohne Systemverzeichnis lauff hig ist Hier muss man die Option remount benutzen mount dev mdO o remount Aktivieren und editieren der Quotas Um den aktuellen Platzverbrauch festzustellen ruft man zun chst das Programm quotacheck auf gotacheck avug dabei steht a f r alle montierten Filesysteme in etc mtab v f r Fortschrittsanzeige u f r Benutzerquotas und g f r Gruppenquotas Das editieren der einzelnen Begrenzungen erfolgt mit dem Programm edquota Es benutzt dazu einen Systemeditior wie zum Beispiel
104. te erstellt werden in der alle Domains eingetragen werden an die Email gesendet werden darf Also die Zieldomain da es nun aber unendlich viele Domains gibt wird hier nur die Endung eingetragen Bei allen Domains f r Deutschland ist es dann de F r alle anderen Domains sind es dann zum Beispiel com org usw Seite 88 Mailserver Sendmail 12 6 10Dom nenmaskierung Dieses Feature veranlasst dass alle ausgehenden Adressen so transformiert werden als ob sie von der angegebenen Domain k men Da es in unserem Fall aber nur eine Dom ne gibt ist hier nur ein Eintrag vorhanden Webmin Index E Dom nenmaskierung Maskiere als Dom ne bbs2 th wilhelmshaven de Dom nen die maskiert werden sollen Falls eine Dom ne oben angegeben ist wird Sendmail die Absenderadresse From f r alle ausgehenden E Mails so ndern als w rden Sie von dieser Dom ne kommen Zus tzlich werden die Absenderadressen From von E Mails die durch Ihr System transferiert werden von einer der Dom nen die links angegeben sind auf die gleiche Weise ge ndert Beachten Sie dass jede Dom nenmaskierung f r einzelne Benutzer durch die Seite Ausgehende Adressen berschrieben werden kann Diese Funktion kann m tzlich sein wenn ausgehende E Mails von Ihrem Dom nennamen und nicht von ihrem Host Namen kommen soll oder wenn Ihr System ein Mailverteiler f r eine Reihe anderer Hosts ist die Ihre eigenen Mailserver betreibe
105. ter Default C Cache garbage collection interval Never 10 hours Cached file expiry time factor C Default 0 7 Cached file maximum expiry time Default e 120 hours Cache size C Default 3500000 KB Speichern Abbildung 7 2 Proxyeinstellungen eines Virtuellen Servers Seite 38 Apache Der Internet Server 7 5 Die virtuellen Server Damit der Server die Aufgaben bedienen kann wird er in 3 virtuelle Server Aufgeteilt Der erste k mmert sich um Anfragen von au en der zweite um Anfragen von innen und der dritte ist der Testserver f r Sch ler Dabei bernimmt der zweite gleichzeitig die Aufgabe der Zwischenspeicherung Proxy eth0 eth1 Virtueller Virtueller Virtueller Server 1 Server 2 Server 3 www wwwtest Seiten Test Web Seiten Festplatte Abbildung 7 3 Virtuelle Server 7 5 1 Anlegen eines virtuellen Servers Um einen virtuellen Server zu erstellen kann man die Eingabemaske am unteren Rand der Apache Startseite benutzen Dabei bedeuten die Felder folgendes Adresse Hier kann sowohl die IP Adresse als auch der Hostname eingetragen werden Bei einem Hostnamen muss allerdings beachtet werden das Apache bei jedem Start eine DNS Abfrage sendet Erh lt er keine Antwort startet der virtuelle Server nicht Add Name Vitual Host Soll der neue Server ein Namensbasierter Virtueller Host sein und die daf r n tige Direktive NameVirtualHost on
106. tware SNMP Communities Platform iptables Le Read pubie 0 Version Write private Comments Ei SCH kl ve Loaded data etc fwhuilder doku xml Abbildung 11 6 Erstelltes Firewallobjekt Als n chster Punkt wurden unter dem Reiter lt Interfaces gt die Netzwerkschnittstellen Netzwerkkarten eingetragen Dieses wurde erreicht indem wir den lt New gt Button bet tigten Woraufhin das folgende Fenster erschien Seite 60 Linux Firewall X A fwbuilder E File Edit View Insert Rules Tools User Standara Groups Hosts Networks Groups A dialog Policy rules attached to interface General Interfaces Sysinfo Compile Install Firewall Network Name Joen Nemas ea oyn wac Jo Delete Custom Firewalls Firewall Name Address Netmask etno Label etno CG r ess External interface Address is dynamic D e 25 5 MAC Address ax A cancel Help New SNMP oe Edit Loaded data usr share fwhuilder objects_initxml Ei send kl undo Abbildung 11 7 Einrichtung der Netzwerkkarten In der nun aufgehenden Dialogbox trugen wir den Namen der Netzwerkkarte einen Label nicht unbedingt erforderlich sowie die IP Adresse und die Netzmaske ein Au erdem machten wir einen Haken in das Feld lt External Interface gt und schlossen die Dialogbox ber lt
107. ur ck zu Sendmail Konfiguration Abbildung 12 3 Sendmail Einstellungen Diese Einstellungen werden direkt in die Sendmail cf Datei geschrieben wichtig hierbei ist der Eintrag SMTP port options Dort werden die Ports eingetragen auf die der SMTP D mon h rt Und zwar der Port mit der Adresse 139 13 210 1 f r alle lokalen Emails und der Port 139 13 223 18 f r alle Emails die aus dem Internet kommen Au erdem kann hier auch ein Smarthost unter Sende ausgehende Mail durch Host eingetragen werden Smarthost Dies ist einfach der Rechner an den diejenige Post geschickt wird die nicht lokal zugestellt werden kann Lokal zustellen hei t dass Post von einem Benutzer des Linux Seite 79 Mailserver Sendmail Systems an einen anderen Benutzer des gleichen Systems geschickt wird Stellt Sendmail fest dass es sich um einen Benutzer au erhalb des Systems handelt bergibt es die Post einfach an den Smarthost Es ist derjenige Server der die Sprache SMTP versteht Man kann den Smarthost direkt in der Sendmail cf Datei eintragen unter Smart relay host may be null oder mit Webmin unter Server gt Sendmail gt Sendmail Einstellungen gt Sende ausgehende Mail durch host Der Vorteil durch diesen Eintrag sind bessere Geschwindigkeiten innerhalb des Systems da bei lokalen Mails nicht versucht wird sie ber das Internet zu verschicken Eine weitere sinnvolle Anwendung f r Smarthost Konfigurationen ist die Tra
108. ust bin fwb_iptables Browse Firewall Command line parameters for this compiler Install script Policy install script fetc fwbuilder firewall fw Browse Command line parameters for this script Undo Loaded data etc fwhuilder doku xml Abbildung 11 9 Eingabe der Pfade f r den Compiler und das Installationsscript Als Installationsskript haben wir direkt das von Firewall Builder sp ter erstellte Konfigurationsskript angegeben Es liegt im Arbeitsverzeichnis der Applikation bei uns also etc fwbuilder und tr gt den Namen des Firewall Objekts mit der Endung fw Nachdem wir diese Grundeinstellungen erledigt hatten speicherten wir den momentanen Status tiber den Meniipunkt lt File Save As gt als etc fwbuilder_rules xml Inder folgenden Phase haben wir die Netzwerke eingerichtet an die der Server angeschlossen werden soll Dieses erreicht man im Men lt Insert gt unter lt Network gt Im darauf folgenden Fenster haben wir dann den Namen des Netzwerkes die IP Adresse und die Netzmaske angegeben Seite 63 Linux Firewall X A fwbuilder OCI File Edit View Insert Rules Tools Help User Standard Objects bs Network Hosts Networks Name let DNS lookup Network Services Address 111 KH KG Groups ICMP Netmask 255 255 255 WR IP GE Comments Custom amp Firewalls amp Firewall NAT Policy Time af send s unae Loaded data etc fwhu
109. ute an den Tag legt wenn es Befehle ausf hrt und Emails verschickt Man kann w hlen ob diese Aktionen als Benutzer powerchute oder als Superuser ausgef hrt werden sollen Seite 30 USV Unterbrechungsfreie Stromversorgung Zum Schluss zeigt das Skript eine Zusammenfassung an und schlie t mit einer Sicherheitsabfrage ab PRODUCT PowerChute Plus for UNIX DEDICATED TTY dev ttySo UPS TYPE Smart UPS Measure UPS INSTALLED FALSE INSTALLING AS ROOT TRUE TCP IP Installed FALSE RUN COMMAND FILES AS ROOT TRUE SEND EMAIL AS ROOT FALSE Are the above selections correct y n Seite 31 DNS Der Domain Name Service 5 DNS Der Domain Name Service 5 1 5 2 Warum der DNS Server ein Telefonbuch ist Der Domain Name Service stellt im Internet so etwas wie eine Auskunft dar die von einem anfragenden Client eine Internet Adresse in eine g ltige IP Adresse bersetzt Der DNS Server legt zu diesem Zweck eine so genannte Zonen Datei an in der die IP Adressen und die dazu geh rigen Host Namen wie in einer Tabelle nebeneinander stehen Dieser Vorgang ist eine so genannte forward oder Vorw rts Aufl sung Um einen Dom nen Namen zu einer vorhandenen IP Adresse zu finden gibt es die revers oder R ckw rts Aufl sung Dies ist allerdings nicht immer von den Dom neninhabern erw nscht und f r einige daher deaktiviert Die Vorw rts Aufl sung ist a
110. utzutage blich spezielle Hosts Smarthosts zur Verf gung zu stellen die alle an Empf nger im Unternehmen gerichteten Mails aufnehmen und ordnungsgem an die gew nschten Empf nger weiterleiten POP3 Post Office Protocol Version 3 ist die aktuelle Version des Protokolls zur bertragung von Emails zwischen dem Mail Server und dem lokalen Rechner POP Post Office Protocol Dieses Protokoll ist f r das Empfangen der Datenpakete zust ndig Client 5 u HUB LJ E amp E Mailserver INTERNET SMTP Simple Mail Transfer Protocol Dieses Protokoll verwaltet das Senden der Datenpakete Client 12 9 Mail Routing im Internet Im Internet ist es ganz vom Zielsystem abh ngig ob berhaupt ein besonderes Mail Routing vorgenommen wird Im Normalfall wird eine Nachricht direkt an den Zielrechner bertragen wobei zuerst festgestellt wird an welchen Host die Nachricht gesendet werden soll und danach die Nachricht direkt an diesen Host zugestellt wird Die meisten Internet Sites werden es allerdings vorziehen dass alle eingehenden Mails von einem zentral verf gbaren Server entgegengenommen und lokal verteilt werden Um diesen Dienst bekannt zu machen ver ffentlicht die Site im DNS einen sogenannten MX Record f r ihre lokale Domain MX steht f r den englischen Terminus Mail Exchanger Im Grunde besagt ein MX Record dass der Server Host bereit ist alle Mail Adressen in der Domain anzunehmen und weiterzuleiten MX Recor
111. vi Standardeinstellung Kommt man mit diesem nicht so gut klar oder will sich nicht umgew hnen kann man die Systemvariable EDITOR in der Datei bash_profile aus dem eigenen Heimatverzeichnis exportieren Sie sorgt daf r ein anderer Editor benutzt wird In unserem Fall war dies pico export EDITOR usr bin pico Damit diese nderung wirksam wird muss man sich ab und wieder anmelden Seite 25 Disk Quotas Nun kann man mit dem Aufruf edquota u USERI die Begrenzungen f r den Benutzer USER1 ndern Dazu gelangt man in den oben spezifizierten Editor pico Dabei gilt gleiches f r Gruppenquotas mit der Option g Im Editor erscheint jetzt folgende bersicht Diskquotas for User xyz uid 4711 Filesystem blocks soft hard inodes soft hard dev mde HU 200000 200000 lb D D dev hdcl D D D D D D dabei bedeuten in der zweiten Zeile der Reihenfolge nach blocks aktuell benutzte 1024k Bl cke soft Softlimit f r die Bl cke hard Hardlimit f r die Bl cke inodes aktuelle Anzahl an Dateien soft Softlimit f r Dateianzahl hard Hardlimit f r Dateianzahl Und dies f r die jeweiligen Partitionen die in der ersten Spalte stehen Eine 0 als Wert bedeutet dabei keine Beschr nkung Die Werte unterhalb von block und inodes sind wie gezeigt die aktuellen Werte Sie sollten nicht editiert werden 3 3 1 Einstellung der Gnadenzeit grace period Mit dem Aufruf von edquota mit der Option t gelangt man wieder in den
112. vices Action Auswahlm glichkeiten Deny Accept Reject Direction Auswahlm glichkeiten Inbound Outbound Both Input Output Both Options Auswahlm glichkeiten logging on off Comment Textfeld zum eintragen eines Kommentars fwbuilder DIE File Edit View Insert Rules Tools Help General Interfaces Sysinfo Compile Install Firewall Network Name one nemas Jl new sne gt User Standara Groups ethd 111 111 111 111 255 255 255 255 ext Fi Io 127 0 0 1 255 0 0 0 Edit Networks eth1 222 222 222 222 255 255 255 0 ext eth1 Services Groups E C Delete De Policy attached to interface eth0 TCP Num Source Destination Service Action Direction Options Comment 1 UDP 00 Any Any Any Epen A Custom Firewalls Firewall Ei send 5 undo Loaded data etc fwhuilder doku xml Abbildung 11 12 Einrichtung der Regeln fiir die Netzwerkschnittstellen Seite 66 Linux Firewall X A fwbuilder DIE File Edit View Insert Rules Tools Help User Standard General Interfaces Sysinfo Compile Install Firewall Network ame Objects ene lege __ Netmssk Ext oynjmac New SNMP zl Services lb 111 111 111 111 255 255 255 255 ext ESTABLISHED lo 127 0 0 1 255 0 0 0 Edit amp Groups eth1 222 222 222 222 255 255 255 0 ext eth1 ICMP e IP Delete amp TCP ay P Policy attached to interface ethO ALL TCP M GE Z All TCP Num Source
113. w hlen Auf dem Server wurde eine Komplettinstallation vorgenommen Diese belegt 2 3GB auf der Festplatte Die daf r vorgesehene Option everything steht ganz unten als letztes Durch einen Haken in dem Feld einzelne Pakete ausw hlen kann man die Zusammenstellung innerhalb der Software Gruppen beeinflussen ES Red Hat Linux Online Help Package Group Selection E S ed gt Printing Support Selecting Package Groups Vv Classic X Window System Select the package application groups that you want to install To select a package group click on E ck X Window System the check box beside it To select individual packages 1 check the Select Individual amp Laptop Support Packages box atthe bottom ofthe screen Iv A GNOME D Us KDE Fr D Sound and Multimedia Support E a Network Support zi 7 Select individual packages Total install size 853M Hide Help Release Notes lt Back Abbildung 2 14 Paketauswahl Danach folgt die Auswahl der Grafikkarte Hierbei wird meistens schon die richtige Karte vom System vorgeschlagen Seite 22 Das Betriebssystem Installation von Red Hat Linux 7 2 2 10 Kopieren Jetzt beginnt das Installationsprogramm die Daten auf die Festplatte zu kopieren Dabei wird der Verlauf f r die Paketanzahl und die Zeit angezeigt Online Help Installing Packages We have gathered allthe information needed to install Red Hat Linux on your system It may take a whil
114. your time zone s offset from Universal Coordinated Time also known as UTC Notice the two tabs at the top of the screen The first tab offers you the ability to configure by location With this option you can choose your view In choosing View your options are World North America South America Pacific Rim Europe Africa and Asia From the interactive map you can click on a specific city as indicated by the yellow dots and a red X will appear at your selection You can also scroll through the city list and choose your desired time Hide Help Release Notes America Montevideo America Montreal America Montserrat America Nassau America New_York America Nipigon America Nome America Noronha America Panama Eastern Time Ontario amp Quebec mast locations Eastern Time Eastern Time Ontario amp Quebec places that did ni Alaska Time west Alaska Atlantic islands Cartarn Standard Time Abbildung 2 12 Zeitzone Seite 20 Das Betriebssystem Installation von Red Hat Linux 7 2 2 8 Superuser Passwort Im folgenden Dialog wird nach dem Passwort f r den Superuser gefragt Weiterhin besteht hier die M glichkeit weitere Benutzer anzulegen Online Help Account Configuration Note Setting up aroot account and password is one of the most important steps during your installation Your root account enables you to install pa

Download Pdf Manuals

Related Search

Projektdokumentation projektdokumentation projektdokumentation vorlage projektdokumentation fisi projektdokumentation fachinformatiker projektdokumentation beispiel projektdokumentation ihk projektdokumentation fiae projektdokumentation vorlage word projektdokumentation deckblatt projektdokumentation beispiele projektdokumentation ihk fachinformatiker projektdokumentation fachinformatiker vorlage projektdokumentation vorlage word kostenlos projektdokumentation ihk vorlage

Related Contents

施工・取扱説明書  N156161 man recip saw DWE357 Euro.indd  ARCTIC Accelero Xtreme III  User Manual Satlock MagicFINDER Plus English  C51ASM User Guide - Atmel Corporation    Kenwood KIV-700 User's Manual  FESTO IPC Server User Manual  （物品分）（PDF：865KB）  Zoom in - Bibliotheca Andana  

Copyright © All rights reserved. Failed to retrieve file