Red Hat Linux 9 Red Hat Linux Referenzhandbuch
Contents
1. ueeensesensenensennenenennnnnnnennnne nennen Das Verzeichnis etc openldap schema x berblick ber die OpenLDAP Einrichtung eenennnnn Konfigurieren Ihres Systems f r die Authentifizierung mit OpenLDAP 204 Aktualisieren auf OpenLDAP Version 2 0 Zus tzliche Ressoureen u uu 2a nn IH Sicherheit sesesesnsnsnssessonensnenesnsnenenenennsnenenenensnnensnenssnnnsnenenenssnenensnensnnensnsnssnnnnnensnensnnensnssennenen 209 14 Pluggable Authentication Modules PAM cccssssssseeesceseeeeseeeeseeaceeaeeeeseeeseeeaeeeaeers 211 14 1 Vorteile von PAM 211 14 2 PAM Konfigurationsdateien 211 14 3 Format der PAM Konfigurationsdatei 14 4 Beispiele f r PAM Konfigurationsdateien 14 5 Module erstellen 216 14 6 PAM und Besitzrechte von Ger ten uunseesenessenennennensennennennsennens nennen 216 14 7 Zus tzlicheResso rcen au unnseessihnurnnenenentenagesenteieen 217 15 TCP Wrappers und xinetd 15 1 TCP Wrappers 15 2 TCP Wrappers Konfigurationsdateien ueeesnenenennennenennnenennenn 220 15 3 15 4 zinetd Konfigurationsdateien nssenesesesenenennnnnennenennnnnennnnennnnnennnn 227 15 5 Zus tzliche Ress urcen ar nnesaergee aan 232 16 1pt ables nne nennen 235 16 1 Paket Filterung 16 2 Unterschiede zwischen iptables und ipchains w 236 16 3 Mit iptables Befehlen verwendete Optionen2. 13 1 Warum LDAP Der Hauptvorteil von LDAP ist die Verdichtung von bestimmten Informationen f r eine gesamte Or ganisation in ein zentrales Repository So kann LDAP zum Beispiel f r das Verwalten von Benutzerli sten f r alle Gruppen einer Organisation als ein zentrales Verzeichnis verwendet werden auf das vom gesamten Netzwerk aus zugegriffen werden kann Und da LDAP SSL Secure Sockets Layer und TLS Transport Layer Security unterst tzt k nnen sensible Daten vor neugierigen Augen gesch tzt werden LDAP unterst tzt auch viele Backend Datenbanken in denen die Verzeichnisse gespeichert werden Die Administratoren verf gen hierdurch ber die notwendige Flexibilit t eine Datenbank bereitzu stellen die f r die Informationsarten die der Server verbreiten soll optimal angepasst ist Des Weite ren verf gt LDAP ber eine gut durchdachte API Application Programming Interface und es sind auch zahlreiche LDAP f hige Applikationen vorhanden deren Anzahl und Qualit t zunimmt Der Nachteil von LDAP ist die Konfiguration die nicht unbedingt leicht ist 13 1 1 Funktionserweiterungen von OpenLDAP 2 0 OpenLDAP 2 0 umfasst zahlreiche wichtige Funktionen 198 Kapitel 13 Lightweight Directory Access Protocol LDAP LDAPv3 Support LDAPv3 Support OpenLDAP 2 0 unterst tzt SASL Simple Authentication and Security Layer TLS Transport Layer Security und SSL Secure Sockets Layer neben weit eren Verbesserungen Viele A
3. Da diese Programme PAM kompatible Applikationen sind ben tigen sie das pam_console so Mo dul Weitere Informationen finden Sie in den man Seiten zu pam_console console perms conso le apps und userhelper 14 7 Zus tzliche Ressourcen Folgend finden Sie eine Aufstellung von Informationsquellen zur Verwendung und Konfiguration von PAM Zus tzlich zu diesen Quellen sollten Sie sich mit den PAM Konfigurationsdateien in Ihrem System vertraut machen um deren Aufbau besser zu verstehen 14 7 1 Installierte Dokumentationen man pam Gute Information zur Einf hrung von PAM einschlie lich Aufbau und Zweck der PAM Konfigurationsdateien 218 Kapitel 14 Pluggable Authentication Modules PAM e usr share doc pam lt version number gt Enth lt einen System Administrators Guide ein Module Writers Manual und ein Application Developers Manual sowie eine Kopie des PAM Standards DCE RFC 86 0 14 7 2 Hilfreiche Websites http www kernel org pub linux libs pam Die wichtigste Website f r Linux PAM Sie enth lt Informationen iiber die verschiedenen PAM Module und Anwendungen die verwendet oder en twickelt werden sowie FAQ und zus tzliche Dokumentationen ber PAM redhat Kapitel 15 TCP Wrappers und xinetd Die Kontrolle des Zugriffs zu Netzwerk Services ist eine der wichtigsten Sicherheitsaufgaben de nen sich der Administrator stellen muss Gl cklicherweise gibt es unter Red Hat Linux eine Reihe
4. Die ersten zwei Zeichen in einem Procmail Recipe sind ein Doppelpunkt und eine Null Nach der Null k nnen wahlweise verschiedene Flags platziert werden um zu kontrollieren was Procmail tut wenn dieses Recipe bearbeitet wird Ein Doppelpunkt nach dem Abschnitt lt Flags gt bestimmt dass f r diese Mitteilung eine Sperrdatei erstellt wird Wenn diese Sperrdatei erstellt wird geben Sie deren Namen in das lt Sperrdatei Name gt Feld ein Ein Recipe kann verschiedene Bedingungen f r die berpr fung einer Mitteilung enthalten Sind keine Bedingungen enthalten wird jede Mitteilung dem Recipe angepasst Zur Vereinfachung eines Vergleichs mit einer Mitteilung werden in einigen Bedingungen regul re Ausdr cke platziert Wenn viele Bedingungen verwendet werden m ssen diese alle verglichen werden bevor eine Aktion aus gef hrt wird Die Bedingungen werden auf der Grundlage der Flags berpr ft die in der ersten Zeile der Regel eingestellt wurden Spezielle wahlweise platzierte Zeichen nach dem Zeichen k nnen die Bedingungen kontrollieren Die Option lt auszuf hrende Aktion gt legt fest was mit einer Mitteilung passiert die einer der Bedingungen entspricht Pro Recipe wird nur eine Aktion ausgef hrt In vielen F llen wird der Name der Mailbox verwendet um die Mitteilungen in die Datei weiterzuleiten die die E Mails tats chlich sortiert Es k nnen auch spezielle Zeichen f r die Aktion verwendet werden bevor diese festgelegt wird
5. Es ist wichtig zu beachten dass Fontconfig die Konfigurationsdatei etc fonts fonts conf teilt was das alte etc X11 XftConfig ersetzt Die Fontconfig Konfigurationsdatei sollte nicht manuell bearbeitet werden Sr W hrend dem bergang zum neuen Font System werden GTK 1 2 Applikationen von nderungen welche ber den Font Preferences Dialog Main Menu Button auf dem Panel gt Preferences gt Font get tigt werden nicht betroffen F r diese Applikationen kann eine Font durch Hinzuf gen der folgenden Zeile zur Datei gtkrc mine konfiguriert werden style user font fontset lt font specification gt widget_class style user font Ersetzen Sie lt font specification gt mit einer Fontangabe im traditionellen von X Applikatio nen verwendeten Format wie adobe helvetica medium r normal 120 Eine vollst ndige Liste der Core Fonts kann durch Ausf hren von x1s onts erhalten oder durch Verwen dung von xfontsel interaktiv erzeugt werden Kapitel 7 Das X Window System 95 7 4 1 1 Hinzuf gen von Fonts zu Fontconfig Das Hinzuf gen von neuen Fonts zum Fontconfig Subsystem ist ein einfacher und direkter Vorgang 1 Um Fonts systemweit hinzuzuf gen kopieren Sie die neuen Fonts in das Verzeichnis usr share fonts local Um Fonts f r einen gewissen Benutzer hinzuzuf gen kopieren Sie die Fonts in das Unterver zeichnis onts im Hauptverzeichnis des Benutzers 2 Benutzen Sie den
6. PREROUTING ndert ber eine Netzwerkschnittstelle empfangene Pakete beim Empfang OUTPUT ndert lokal generierte Pakete ehe sie ber eine Netzwerkschnittstelle geleitet wer den POSTROUTING ndert Pakete vor dem Senden ber eine Netzwerkschnittstelle Die f r die mangle Tabelle integrierten Chains sind folgende PREROUTING ndert ber eine Netzwerkschnittstelle empfangene Pakete vor dem Routen OUTPUT ndert lokal generierte Pakete ehe sie ber eine Netzwerkschnittstelle geleitet wer den Jedes von einem Linux System empfangene oder gesendete Paket geh rt zu mindestens einer Tabelle Ein Paket kann in allen Tabellen auf mehrere Regeln hin berpr ft werden bevor es am Ende der Chain austritt Struktur und Zweck dieser Regeln k nnen unterschiedlich sein sie versuchen jedoch normalerweise ein Paket das von einer oder an eine IP Adresse bzw mehrere IP Adressen gesendet wurde zu identifizieren wenn dieses ein bestimmtes Protokoll und einen bestimmten Netzwerkdienst benutzt Unabh ngig von ihrem Ziel sind Pakete sobald sie einer bestimmten Regel einer Tabelle entsprechen f r ein bestimmtes Ziel bzw f r eine auf sie anzuwendende Aktion bestimmt Wenn in der Regel f r das Ziel eines entsprechenden Pakets ein ACCEPT AKZEPTIEREN angegeben ist berspringt das Paket die restlichen Regelkontrollen und darf somit seinen Weg in Zielrichtung fortsetzen Wenn aber in einer Regel f r das Zi
7. Section Monitor Identifier Monitor0 VendorName Monitor Vendor ModelName DDC Probed Monitor ViewSonic G773 2 DisplaySize 320 240 HorizSync 30 0 70 0 VertRefresh 50 0 180 0 EndSection A Warnung Seien Sie vorsichtig wenn Sie die Werte im Monitor Abschnitts der Datei etc x11 xF86Config manuell bearbeiten Falsche Werte in diesem Abschnitt k nnen Ihren Monitor besch digen Schlagen Sie in der Dokumentation Ihres Monitors die verf gbaren sicheren Parameter nach Folgend sind h ufig im Monitor Abschnitt verwendete Eintr ge Identifier Verleiht dem Monitor einen eindeutigen Namen Dieser Eintrag ist erforderlich VendorName Ein optionaler Eintrag welcher den Hersteller des Monitors angibt ModelName Ein optionaler Eintrag welcher den Namen des Models des Monitors angibt DisplaySize Ein optionaler Eintrag welcher in Millimetern die physische Gr e des Bild schirmbereichs angibt HorizSync Gibt XFree86 die Bandbreite der Horizontalfrequenz in kHz an die mit dem Mon itor kompatibel ist Diese Werte werden vom XFree86 Server als Richtlinie verwendet so dass dieser wei ob bestimmte Werte eines Modeline Eintrags f r den Monitor zu verwenden sind VertRefresh Listet die vom Monitor unterst tzten vertikalen Bildwiederholfrequenzen in kHz auf Diese Werte werden vom XFree86 Server als Richtlinie verwendet so dass dieser wei ob bestimmte Werte eines Modeline Eintrags f
8. ig verwendet die Version 9 von BIND willk rliche Ports oberhalb von 1024 um an dere Name Server abzufragen Einige Firewalls gehen jedoch von Name Servern aus die f r die Kommunikation nur den Port 53 verwenden Sie k nnen dieses Verhalten erzwingen indem Sie in etc named conf folgende Zeile zur options Direktive hinzuf gen query source address port 53 12 7 Zus tzliche Ressourcen Folgende Quellen enthalten zus tzliche Hintergrundinformationen zu BIND 12 7 1 Installierte Dokumentation BIND verf gt ber installierte Dokumentationen die verschiedene Themen behandeln und jeweils in einem eigenen Verzeichnis abgelegt sind usr share doc bind lt version number gt Enth lt eine README Datei mit einer Liste der neuesten Features Kapitel 12 Berkeley Internet Name Domain BIND 195 usr share doc bind lt version number gt arm Enth lt das BIND 9 Administrator Reference Manual im HTML und SGML Format mit Details ber die fiir BIND erforderlichen Ressourcen zur Konfigurationsweise der verschiedenen Name Server Typen zur Durchf hrung des Load Balancing und anderen spezielleren Themen Die meisten neuen Benutzer werden sich mit dieser Informationsquelle am besten mit BIND vertraut machen k nnen usr share doc bind lt version number gt draft Enth lt ausgew hlte technische Dokumente die sich mit den Problemen besch ftigen und einige Methoden zur L sung dieser Probleme vorschlagen
9. igen Namen ftp domain com und www domain com zur Verf gung stehen verweisen auf Rechner die entsprechende Dienste f r die Namen bieten die CNAME Records verwenden 12 3 4 Zone Dateien f r die umgekehrte Aufl sung von Namen Eine Zone Datei f r die umgekehrte Aufl sung von Namen wird verwendet um eine IP Adresse in ein bestimmtes Namespace in einem FQDN umzusetzen Sie hnelt einer standardm igen Zone Datei mit dem Unterschied dass die PTR Resource Records zur Verkn pfung der IP Adressen mit bestimmten Systemnamen verwendet werden Ein PTR Record sieht Folgendem hnlich lt last IP digit gt IN PTR lt FODN of system gt Die lt last IP digit gt bezieht sich auf die letzte Ziffer in einer IP Adresse mit der auf einen bestimmten FQDN im System hingewiesen wird Im folgenden Beispiel werden die IP Adressen 10 0 1 20 durch 10 0 1 25 den korrespondieren den FQDN zugewiesen SORIGIN 1 0 10 in addr arpa STIL 86400 IN SOA dnsl example com hostmaster example com 2001062501 serial 21600 vefresh after 6 hours 3600 retry after 1 hour 604800 expire after 1 week 86400 minimum TTL of 1 day 190 Kapitel 12 Berkeley Internet Name Domain BIND IN NS dnsl example com IN NS dns2 example com 20 IN PTR alice example com 21 IN PTR betty example com 22 IN PTR charlie example com 23 IN PTR doug example com 24 IN PTR ernest example com 25 IN PTR fanny example com Diese Zone Datei w rde mit einer
10. 11 4 2 1 Delivering und Non Delivering Recipes Die Aktion die ein Recipe beim Vergleichen einer bestimmten Mitteilung durchf hrt legt fest ob das Recipe liefert oder nicht liefert Ein Delivering Recipe enth lt eine Aktion die eine Mitteilung in eine Datei schreibt die Mitteilung an ein anderes Programm schickt oder an eine andere E Mail Adresse weiterleitet Ein Non delivering Recipe hingegen deckt alle anderen Aktion ab wie z B das Verwenden eines Nesting Blocks Ein Nesting Block ist eine Aktion in Klammern die zus tzli che Aktionen f r Mitteilungen vorsieht welche mit den Bedingungen der Recipes verglichen werden Nesting Blocks k nnen verschachtelt werden und bieten dadurch eine bessere Kontrolle zum Identifi zieren und Ausf hren von Aktionen in Mitteilungen Delivering Recipes die Mitteilungen vergleichen weisen Procmail an eine bestimmte Aktion aus zuf hren und das Vergleichen der Mitteilungen mit anderen Recipes zu beenden Mitteilungen die den Bedingungen in Non Delivering Recipes entsprechen werden weiterhin in den aktuellen und fol genden rc Dateien mit anderen Recipes verglichen Mit anderen Worten Non Delivering Recipes bewirken dass die Mitteilung weiterhin durch die Recipes kontrolliert wird nachdem eine bestimmte Aktion eingestellt wurde 11 4 2 2 Flags Flags sind sehr wichtig um festzulegen wie und ob eine Mitteilung mit den Bedingungen des Recipes verglichen wird Im allgemeinen werden folgende
11. 16 3 5 bereinstimmungsoptionen Verschiedene Netzwerkprotokolle erm glichen spezielle bereinstimmungsoptionen die auf spezifi sche Weise gesetzt werden k nnen um ein bestimmtes Paket mit Hilfe dieses Protokolls zu kontrol lieren Das Protokoll muss nat rlich zuerst im iptables Befehl spezifiziert werden z B durch die Verwendung von p tcp lt Protokollname gt wobei lt Protokollname gt das Ziel Protokoll ist die Optionen f r dieses Protokoll verf gbar zu machen 16 3 5 1 TCP Protokoll Folgende Ubereinstimmungsoptionen stehen f r das TCP Protokoll zur Verf gung p tcp dport Setzt den Zielport f r das Paket F r die Konfiguration dieser Option k nnen Sie en tweder den Namen eines Netzwerkdienstes verwenden z B www oder smtp und eine oder mehrere Kapitel 16 iptables 241 Portnummern verwenden Um die Namen und Alias Namen der Netzwerkdienste und die Portnum mern die Sie verwenden nachzulesen sehen Sie sich bitte die Datei etc services an Sie k n nen auch destination port verwenden um diese bereinstimmungsoption zu spezifizieren Um eine spezifische Reihe von Portnummern anzugeben trennen Sie die zwei Ziffern durch einen Doppelpunkt z B p tcp dport 3000 3200 Die l ngstm gliche Reihe ist 0 65535 Sie k nnen auch ein Ausrufezeichen als Flag nach der dport Option verwenden um ip tables anzuweisen alle Pakete die nicht diesen Netzwerkdienst oder diesen Port verwenden zu
12. Die meisten BIND Implementierungen verwenden f r die Dienste zur Aufl sung von Namen oder als Autorit t f r bestimmte Domains oder Sub Domains nur named Die Version 9 von BIND ver f gt jedoch auch ber eine Reihe weiterer Features die korrekte Konfigurierung und Verwendung vorausgesetzt einen sichereren und effizienteren DNS Dienst gew hrleisten kenne Einige dieser Features wie z B DNSSEC TSIG und IXFR sollten nur in Netzwerkumgebungen mit Nameservern verwendet werden die diese Features unterst tzen Wenn Ihre Netzwerkumgebung nicht BIND oder ltere BIND Nameserver enth lt pr fen Sie bitte ob es daf r verbesserte Features gibt bevor Sie sie verwenden Kapitel 12 Berkeley Internet Name Domain BIND 193 Alle hier vorgestellten Features werden im BIND 9 Administrator Reference Manual detaillierter be schrieben Unter Abschnitt 12 7 1 finden Sie mehr Informationen 12 5 1 DNS Protokoll Erweiterungen BIND unterstiitzt Incremental Zone Transfers IXFR bei denen Slave Server nur die aktualisier ten Teile einer Zone die auf einem Master Name Server modifiziert wurden heruntergeladen wer den Der standardm ige Transfer AXFR Process erfordert dass auch bei der kleinsten nderung die gesamte Zone an alle Slave Name Server bermittelt wird F r sehr popul re Domainn mit sehr gro z gigen Zone Dateien und vielen Slave Name Servern macht IXFR den Benachrichtigungs und Update Prozess weniger ressourceninten
13. HOST Protokolliert die IP Adresse des Remote Host Rechners log_on_failure und log_on_success PID Protokolliert die Prozess ID des Servers an den die Anfrage gesendet wird log_on_success RECORD Zeichnet die Informationen ber das Remote System auf wenn der Dienst nicht ges tartet werden kann Nur besondere Dienste wie zum Beispiel login and finger k nnen diese Option verwenden log_on_failure USERID Protokolliert den Remote Benutzer mithilfe der in RFC 1413 definierten Methode f r alle Multithreaded Stream Dienste log_on_failure und log_on_success Eine vollst ndige Liste der Protokoll Optionen finden Sie auf der man Seite zu xinetd conf 15 4 3 2 Zugriffskontroll Optionen Benutzer von xinetd Diensten k nnen w hlen ob sie die TCP Wrapper Host Zugriffskontrolldateien Zugriffskontrolle mittels xinetd Konfigurationsdateien oder eine Mischung von beidem verwenden wollen Informationen ber den Gebrauch von TCP Wrapper Host Zugriffskontrolldateien finden Sie in Abschnitt 15 2 In diesem Teil wird der Einsatz von xinetd f r die Kontrolle von Zugriffen auf bestimmte Dienste besprochen Anmerkung Im Gegensatz zu TCP Wrapper muss der xinetd Administrator nach jeder nderung den xinetdService neu starten damit diese wirksam werden Die xinetd Host Zugriffskontrolle unterscheidet sich von der von TCP Wrapper verwendeten Methode W hrend TCP Wrapper die gesamte Zugriffskonfiguration in zwei
14. In Tabelle 6 2 sind die vom Installationsprogramm eingestellten Standardgruppen aufgef hrt Im Red Hat Linux werden Gruppen in der Datei etc group gespeichert adm root adm daemon root 82 Kapitel 6 Benutzer und Gruppen Gruppe GID Mitglieder a aie 14 Fr EEE posix PIE S y named FE postgres ftw EV 0 frpewser ft ntsnobody fessa om o a S Co Eo o aoe o st fo FTSE e G CE webalizer dea o o y Kapitel 6 Benutzer und Gruppen 83 Grupe fs Mitglieder miman fa G C smo EEE y swa da G y fips S y neomp o a G ppp da G Ba a o o woy fe G C C Oe socas ft w de S y Tabelle 6 2 Standardgruppen 6 4 Benutzereigene Gruppen Red Hat Linux verwendet ein Schema f r benutzereigene Gruppen UPG welche die Benutzung von UNIX Gruppen wesentlich vereinfacht Eine UPG wird erzeugt wenn ein neuer Benutzer zum System hinzugef gt wird UPGs haben den selben Namen wie der Benutzer f r welchen diese erzeugt wurden und lediglich dieser Benutzer ist Mitglied der Gruppe Die Verwendung von UPGs macht es problemlos m glich dass die Default Rechte von Dateien er zeugt von einem Benutzer schreibbar von beiden Benutzer und Gruppe sind da der Benutzer das einzige Mitglied der Gruppe ist Die Einstellung die festlegt welche Rechte einer neu erzeugten Datei oder einem Verzeichnis zu gewiesen werden wird umask gennannt und ist in der Datei etc bashrc enthalten Auf UNIX Systemen ist
15. Option lt option name gt Ein optionaler Eintrag der weitere Parameter f r diesen Abschnitt angibt Ersetzen Sie lt option name gt mit einer g ltigen in den man Seiten zu XF86Config aufgelisteten Option Eine der h ufiger verwendeten Optionen ist dpms welches die Service Star Energy Compliance f r den Monitor einschaltet Kapitel 7 Das X Window System 93 7 3 1 9 Screen Jeder Screen Abschnitt bindet eine Grafikkarte oder einen Anschluss auf einer Grafikkarte an einen Monitor indem dieser den Device Abschnitt und den jeweiligen Monitor Abschnitt fiir jeden der Anschliisse referenziert Ein Screen Abschnitt muss vorhanden sein weitere bestehen fiir jede zu s tzliche Kombination von Grafikkarte oder Anschluss zu Monitor auf dem gegebenen Rechner Folgend ist ein Beispiel eines typischen Screen Abschnitts Section Screen Identifier Screen0 Device Videocard0 Monitor Monitor0 DefaultDepth 16 SubSection Display Depth 24 Modes 1280x1024 1280x960 1152x864 1024x768 800x600 640x480 EndSubSection SubSection Display Depth 16 Modes 1152x864 1024x768 800x600 640x480 EndSubSection EndSection Folgende Eintr ge sind h ufig in einem Screen Abschnitt verwendet e Identifier Ein eindeutiger Name f r diesen Screen Abschnitt Dies ist ein notwendiger Eintrag Device Gibt einen eindeutigen Namen eines Device Abschnitts an Dieser Eintrag ist erforder lich Monito
16. lehnen aber Verbindungsversuche von client 2 example comab sshd client l example com allow sshd client 2 example com deny Durch erlauben der Zugriffskontrolle auf einer pro Regel Basis erlaubt das Option Feld Administra toren alle Zugriffsregeln in entweder hosts allow oder hosts deny zusammenzufassen Einige halten dies f r einen einfacheren Weg die Zugriffsregeln zu organisieren 15 2 3 3 Shell Befehle Option Felder erlauben Zugriffsregeln Shell Befehle auszuf hren durch die zwei folgenden Anwei sungen spawn Startet einen Shell Befehl als Kind Prozess Diese Option Anweisung kann Aufgaben wie die Verwendung von usr sbin safe_finger durchf hren um weitere Informationen ber den anfragenden Client zu erhalten oder spezielle Log Dateien mit dem echo Befehl erzeugen Im folgenden Beispiel versuchen Clients auf einen Telnet Service von der example com Domain aus zuzugreifen was in eine spezielle Log Datei geschrieben wird in telnetd example com spawn bin echo bin date from h gt gt var log telnet log allow twist Ersetzt den angeforderten Service mit dem angegebenen Befehl Diese Anweisung wird oft verwendet um Fallen f r etwaige Angreifer im Englischen auch honey pots Deutsch Honigt pfe genannt zu stellen Diese kann auch verwendet werden um Nachrichten zu verbindenden Clients zu senden Der twist Befehl muss am Ende der Regelzeile stehen Im folgenden Beispiel wird Clien
17. mand anmelden mit Ausnahme des Rootbenutzers 216 Kapitel 14 Pluggable Authentication Modules PAM auth required lib security pam_securetty so Anschlie end verhindert pam_securetty so dass Root Anmeldungen auf unsicheren Terminals vorgenommen werden k nnen Damit werden praktisch alle Root Anmeldungen ber rlogin aus Sicherheitsgr nden verhindert Sr Um sich als Root von einem Remote Rechner aus anzumelden benutzen Sie OpenSSH F r mehr Informationen zum SSH Protokoll sehen Sie Kapitel 18 auth required lib security pam_env so Diese Zeile l dt das Modul pam_env so das die in etc security pam_env conf angegebenen Umgebungsvariablen festlegt auth sufficient lib security pam_rhosts_auth so Das pam_rhosts_auth so Modul authentifiziert den Benutzer unter Verwendung von rhosts im Hauptverzeichnis des Benutzers Sollte dies erfolgreich sein wird PAM die Authentifizierung als erfolgreich ansehen Sollte pam_rhosts_auth so fehlschlagen wird dieser Versuch der Authenti fizierung ignoriert auth required lib security pam_stack so service system auth Wenn die Authentifizierung des Benutzers durch pam_rhosts_auth so gescheitert ist f hrt das pam_stack so Modul eine normale Passwort Authentifizierung durch Das Argument service system auth bedeutet dass der Benutzer die PAM Konfiguration zur System Authentifizierung in etc pam d system auth durchlaufen muss Sr Wenn Sie den Prompt beim Eingeben des Passworts
18. usr local 28 30 vat 28 VirtualHost Apache Konfigurationsanweisung 149 Virtuelle Dateien Siehe procDateisystem Virtuelle Hosts konfigurieren 151 Listen Anweisung 152 namensbasiert 151 Options 139 Server seitige Includes 146 Virtuelles Dateisystem Siehe procDateisystem WwW Webmaster E Mail Adresse f r 138 Window Manager Siehe XFree86 X Siehe XFree86 X Window System Siehe XFree86 X 500 Siehe LDAP X 500 Lite Siehe LDAP XFree86 etc X11 XF86Config Boolesche Werte fiir 87 Device 92 DRI 93 Einf hrung 87 Files Abschnitt 89 InputDevice Abschnitt 90 Module Abschnitt 90 Monitor 91 Screen 93 Section Tag 87 ServerFlags Abschnitt 88 ServerLayout Abschnitt 88 Struktur 87 Desktop Umgebungen GNOME 86 KDE 86 Dienstprogramme X Konfigurationstool 85 Display Manager Definition 97 gdm 97 kdm 97 Konfiguration der vorgezogenen 97 prefdm Skript 97 xdm 97 Einf hrung 85 Fonts Core X Font Subsystem 95 Einf hrung 94 Fontconfig 94 Fontconfig Fonts hinzufiigen 95 FreeType 94 X Font Server 95 X Render Extension 94 xfs 95 xfs Konfiguration 96 xfs Fonts hinzufiigen 96 Xft 94 Konfigurationsdateien etc X11 Verzeichnis 87 etc X11 XF86Config 87 Optionen 87 Serveroptionen 87 Runlevel 3 97 5 97 Runlevels 97 window managers kwin 86 metacity 86 mwm 86 sawfish 86 twm 86 X Server 85 Funktionen 85 XFree86 85 X Clients 85 86 Desktop Umgebung
19. we 237 16 4 Das Speichern von iptables Informationen 245 16 5 Zus tzliche Informationsquellen neseesessesssnenenesnenenenenenennenennnennnnn 245 17 Kerber s n uun EBEN HERRIN REISEN 247 17 1 Vorteile von Kerberos 247 17 2 Kerberos Terminolo gies iseisissssecassatesrsvesncvadesaveaaasdavisssensiavesiasstaceetvidsavevaviges 248 17 3 Funktionsweise von Kerberos sccccscessssesseeeeseseeeeseeeeseeceeeeseeeaeeaeseeaeeeeaeenes 249 17 4 Kerberos und PAM R 250 17 5 Konfigurieren eines Kerberos 5 Servers 17 6 Konfigurieren eines Kerberos 5 Clients 17 7 Zus tzliche Ressourcen 254 18 SSH Protokoll neeee 255 18 1 SSH Merkmale 18 2 SSH Protokoll Versionen 18 3 Die Abfolge der Vorg nge einer SSH Verbindung 18 4 OpenSSH Konfigurationsdateien 18 5 Mehr als eine Secure Shell 222u 28222 era Bleche 18 6 Anfordern von SSH f r Fernverbindungen 19 Tripwitess unse E INE EASE EA STEA EESE A ADEE R 19 1 Der Gebrauch von Tripwire cseseesssesssesnsennsennenennennnennnnnnnnennon 19 2 Installation von Tripwire RPM 19 3 Tripwire benutzerdefinieren 19 4 Initialisieren der Tripwire Datenbank 19 5 Ausf hren einer Integrit tspr fung 19 6 Untersuchen von Tripwire Berichten 19 7 Aktualisieren der Tripwire Datenbank eeeensenesenesennenen 19 8 Aktualisieren der Tripwire Policy Datei ceesese
20. 10 5 68 NameVirtualHost Wenn Sie namensbasierte virtuelle Hosts einrichten miissen Sie die Anweisung NameVirtualHost f r die IP Adresse verwenden und die Portnummer falls erforderlich Die Konfiguration von namens basierten virtuellen Hosts wird verwendet wenn Sie verschiedene virtuelle Hosts f r verschiedene Domains einrichten m chten ohne mehrere IP Adressen zu verwenden f Anmerkung Alle eingerichteten namensbasierten virtuellen Hosts funktionieren nur f r unverschl sselte HTTP Verbindungen da Sie keine namensbasierten virtuellen Hosts f r einen verschl sselten Server ver wenden k nnen M ssen Sie virtuelle Hosts mit einem verschl sselten Server verwenden ben tigen Sie IP adressbasierte virtuelle Hosts Wenn Sie namensbasierte virtuelle Hosts verwenden sind f r die Konfigurationsanweisung NameVirtualHost die Kommentare zu entfernen und nach NameVirtualHost ist die richtige IP Adresse f r Ihren Server anzugeben Anschlie end sind mit VirtualHost Tags weitere Informationen zu den verschiedenen Domains hinzuzuf gen 10 5 69 VirtualHost Die Tags lt VirtualHost gt und lt VirtualHost gt umschlie en alle Konfigurationsanweisungen die f r einen virtuellen Host gelten Die meisten Konfigurationsanweisungen k nnen innerhalb von lt VirtualHost gt Tags verwendet werden und gelten dann f r diesen virtuellen Host Eine Reihe von auskommentierten VirtualHost Tags umschlie en einige Beispielkonfigurations anweis
21. 12 2 2 Andere Statement Typen Die Folgende ist eine Liste von weniger verwendeten Statement Typen welche in named conf ver f gbar sind controls Konfiguriert verschiedene Sicherheitsbedingungen die fiir den Befehl rndc zum Verwalten des named Services n tig sind Unter Abschnitt 12 4 1 sehen Sie wie die controls Anweisung aussehen sollte einschlie lich mehrerer Optionen die nur mit ihr verwendet werden e key lt key name gt Legt f r einen bestimmten Schl ssel einen Namen fest Schl ssel wer den verwendet um verschiedene Aktionen zu authentifizieren wie z B sichere Updates oder die Verwendung des rndc Befehls Mit key werden zwei Optionen verwendet algorithm lt algorithm name gt Der verwendete Algorithmus Typ z B dsa oder hmac md5 e secret lt key value gt Der verschl sselte Schl ssel Unter Abschnitt 12 4 2 finden Sie die Anweisungen zum Schreiben einer key Direktive logging Erlaubt die Verwendung mehrerer Arten von Protokollen mit der Bezeichnung channels Wird die Option channel in der logging Anweisung verwendet wird ein benutzerdefiniertes Protokoll mit eigenem Dateinamen file Gr enbeschr nkung size Version version und dessen Wichtigkeit severity erstellt Nachdem ein benutzerdefinierter Channel festgelegt wurde wird dieser mit der Option category klassifiziert und beginnt mit dem Protokollieren wenn named neu gestartet wird Standardm ig protokolliert nam
22. Detaillierte Informationen zum Konfigurieren eines BIND DNS Servers finden Sie unter Kapitel 12 Standardm ig enth lt diese Datei keine Parameter 4 1 22 etc sysconfig netdump etc sysconfig netdump ist die Konfigurationsdatei f r den etc init d netdump Dienst Mit dem net dump Dienst werden sowohl Oops also auch Speicherdaten auf dem Netzwerk bertra gen net dump ist grunds tzlich nicht erforderlich Sie sollten diese Datei also nur ausf hren wenn es unbedingt notwendig ist Weitere Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf den man Seiten von net dump 4 1 23 etc sysconfig network Die Datei etc sysconfig arpwatch wird verwendet um Informationen ber die gew nschte Netzwerkkonfiguration anzugeben Die folgenden Werte k nnen verwendet werden NETWORKING lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes Das Netzwerk sollte konfiguriert sein no Das Netzwerk sollte nicht konfiguriert sein HOSTNAME lt Wert gt wobei lt Wert gt der Fully Qualified Domain Name FQDN sein sollte z B hostname domain com kann aber auch jeder andere von Ihnen gew nschte Hostname sein 8 Anmerkung Um die Kompatibilit t mit lterer Software z B trn zu gew hrleisten sollte die etc HOSTNAME Datei den gleichen Wert wie hier enthalten GATEWAY lt Wert gt wobei lt Wert gt die IP Adresse des Netzwerk Gateways ist GATEWAYDEV
23. Im folgenden Beispiel wird text in diesem Stil angezeigt Mit dem Befehl text am Prompt boot booten Sie Ihr System in das textbasierte Installations programm Weiterhin machen wir Sie mit Hilfe von bestimmten Strategien auf bestimmte Informationen auf merksam Entsprechend dem Wichtigkeitsgrad das die jeweilige Information f r Ihr System hat sind diese Items entweder als Anmerkung Hinweis oder Warnung gekennzeichnet Zum Beispiel f Anmerkung Beachten Sie dass Linux ein fallspezifisches System ist In anderen Worten bedeutet dies dass Rose nicht das gleiche ist wie ROSE und dies auch nicht das gleiche wie rOsE Sr Das Verzeichnis usr share doc enth lt zus tzliche Dokumentationen f r im System installierte Pakete Bicon Wenn Sie die DHCP Konfigurationsdatei bearbeiten werden die nderungen erst wirksam wenn Sie den DHCP Daemon neu gestartet haben Orcrtung F hren Sie keine allt glichen Aufgaben als root aus verwenden Sie hierzu au er f r den Fall dass Sie einen root Account f r Ihre Systemverwaltung benutzen einen regul ren Benutzeraccount viii Einf hrung T E Falls Sie beschlie en nicht manuell zu partionieren entfernt eine Serverinstallation alle bestehenden Partitionen von allen installierten Festplattenlaufwerken W hlen Sie diese Installationsklasse nur dann wenn Sie sich sicher sind dass Sie keine zu speichernden Daten haben 4 Verwenden der Maus F r die Benutzung von Red Hat
24. Include erlaubt dass andere Konfigurationsdateien w hrend der Laufzeit mit aufgenommen werden Der Pfad zu diesen Konfigurationspfaden kann absolut sein oder sich auf ServerRoot beziehen EB wicntic Damit der Server einzeln verpackte Module verwendet wie mod_ss1 mod_perl und php muss sich folgende Anweisung in section 1 Global Environment VON http conf befinden Include conf d conf Kapitel 10 Apache 137 10 5 15 LoadModule LoadModule wird verwendet um Dynamic Shared Objects DSO Modulen zu laden Weitere Infor mationen zur DSO Unterst tzung von Apache HTTP Server einschlie lich der genauen Verwendung der Anweisung LoadModule finden Sie in Abschnitt 10 7 Beachten Sie dass die Ladereihenfolge der Module nicht mehr wichtig ist bei Apache HTTP Server 2 0 Weitere Informationen zur DSO Unterst tzung in Apache HTTP Server 2 0 finden Sie unter Abschnitt 10 2 1 3 10 5 16 ExtendedStatus Die Anweisung ExtendedStatus bestimmt ob Apache beim Aufruf des server status Handler grundlegende off oder detaillierte Server Status Informationen on erstellt Sserver status wird ber Locat ion Tags aufgerufen Weitere Informationen zum Aufruf von server status finden Sie in Abschnitt 10 5 63 10 5 17 IfDefine Die Tags lt IfDefine gt und lt IfDefine gt umschlie en Konfigurationsanweisungen die ausge f hrt werden wenn sich f r die Bedingung im Tag lt IfDefine gt die Aussage wahr ergibt Die An weisungen werden nicht a
25. Installieren Sie das Paket htt pd manual und zeigen Sie mit einem Web Browser auf http localhost manual oder Sie k nnen die Apache Dokumentation im Web unter http httpd apache org docs 2 0 einsehen Die Apache HTTP Server Dokumentation enth lt Listen und komplette Beschreibungen aller Konfi gurationsoptionen Um Ihnen die bersicht zu erleichtern liefert dieses Kapitel kurze Beschreibungen der von Apache HTTP Server 2 0 verwendeten Konfigurationsanweisungen Diese Apache HTTP Server Version kann als sicherer Web Server mit der starken SSL Verschl s selung durch die Pakete mod_ss1 und openss1 eingerichtet werden Beim Lesen der Konfigurati onsdateien Ihres Web Servers stellen Sie sicher dass diese sowohl den Web Server ohne als auch mit Verschl sselung enth lt Der Web Server wird als virtueller Host ausgef hrt der in der Datei etc httpd conf d ssl conf konfiguriert wird Weitere Informationen ber virtuelle Hosts fin den Sie unter Abschnitt 10 8 Weitere Informationen zum Secure Server Virtual Host finden Sie unter Abschnitt 10 8 1 F r weitere Informationen zum Einrichten eines Apache HTTP Secure Server se hen Sie das Kapitel Konfiguration von Apache HTTP Secure Server im Red Hat Linux Handbuch benutzerdefinierter Konfiguration f Anmerkung Red Hat Inc liefert keine FrontPage Erweiterungen mit aus da die Lizenz von Microsoft deren Lieferung in einem Produkt eines Drittanbieters verbietet Mehr ber FrontPage Erwei
26. Int 0 Iso 0 Ver 1 00 Cls 09 hub Sub 00 Prot 00 MxPS 8 Cfgs 1 Vendor 0000 ProdID 0000 Rev 0 00 voUWH Kapitel 5 Das proc Dateisystem 63 Product USB UHCI Root Hub SerialNumber d400 Ifs 1 Cfg 1 Atr 40 MxPwr OmA If 0 Alt 0 EPs 1 Cls 09 hub Sub 00 Prot 00 Driver hub Ad 81 I Atr 03 Int MxPS 8 Ivl 255ms GHANN 5 3 3 proc driver Dieses Verzeichnis enth lt Informationen zu bestimmten Treibern die vom Kernel verwendet werden Eine allgemein hier zu findende Datei ist rtc welche die Ausgabe des Treibers f r die Echtzeituhr RTC ein Ger t zum Erhalten der Zeit w hrend der Rechner ausgeschaltet ist darstellt Eine Bei spielausgabe von proc driver rtc rtc_time 01 38 43 rtc_date 1998 02 13 rtc_epoch 1900 alarm 00 00 00 DST_enable no BCD yes 24hr yes square_wave no alarm_IRQ no update_IRO no periodic_IRO no periodic_freq 1024 batt_status okay Informationen ber den RTC finden Sie unter usr src linux 2 4 Documentation rtc txt 5 3 4 proc fs Dieses Verzeichnis zeigt an welche Dateisysteme exportiert werden Arbeiten Sie mit einem NFS Server geben Sie cat proc fs nfs exports ein um die gemeinsam verwendeten Dateisyste me und die daf r gew hrten Berechtigungen anzuzeigen Weitere Informationen zur gemeinsamen Verwendung von Dateisystemen mit NFS finden Sie unter Kapitel 9 5 3 5 proc ide Dieses Verzeichnis beinhaltet Informationen ber IDE G
27. Programmieren gt Emacs w hlen starten Sie den Tex teditor Emacs Schaltfl che auf einem GUI Bildschirm oder in einem Fenster Diese Darstellungsweise zeigt an dass man den betreffenden Text auf der Schaltfl che eines GUI Bildschirms finden kann Zum Beispiel Indem Sie auf die Schaltfl che Zur ck klicken kehren Sie auf die Website zur ck die Sie zuletzt angesehen haben Computerausgabe Ein Text der auf diese Art und Weise dargestellt ist weist darauf hin dass der Computer diesen Text in der Befehlszeile anzeigt Dort werden Antworten auf die von Ihnen eingegebenen Be fehle Fehlermeldungen und interaktive Prompts f r Eingaben w hrend Skripts angezeigt auch Programme werden auf diese Art und Weise angezeigt Zum Beispiel Durch Eingabe von 1s erscheint der Inhalt eines Verzeichnisses ls Desktop about html logs paulwesterberg png Mail backupfiles mail reports Die Ausgabe die als Antwort auf den Befehl erscheint in diesem Fall der Inhalt des Verzeich nisses wird auf diese Art und Weise dargestellt Einf hrung v Prompt Ein Prompt wird auf diese Art und Weise dargestellt wenn der Computer Ihnen mitteilen will dass Sie nun eine Eingabe t tigen k nnen Beispiele stephen maturin stephen leopard login Benutzereingabe Ein Text wird auf diese Art und Weise dargestellt wenn er vom Benutzer entweder in die Be fehlszeile oder in die Textbox auf einem GUI Bildschirm eingegeben werden soll
28. Starten 132 Version 1 3 Migrieren in 2 0 123 Version 2 0 Dateisystem nderungen 122 Merkmale von 121 Migrieren aus 1 3 123 Paket nderungen 122 Zus tzliche Informationen 153 Hilfreiche Webseiten 153 Zus tzliche B cher 153 Apache HTTP Server Module 150 APXS Apache Dienstprogramm 151 authconfig und LDAP 204 205 autofs 116 B Basic Input Output System Siehe BIOS Benutzer etc passwd 80 Einf hrung 79 Standard 80 Tools zur Verwaltung von User Manager 79 useradd 79 UID 79 Benutzereigene Gruppen Siehe Gruppen und gemeinsame Verzeichnisse 83 Berkeley Internet Name Domain Siehe BIND BIND Allgemeine Fehler 194 Einf hrung 177 177 Features DNS Erweiterungen 193 IPv6 194 Mehrere Ansichten 193 Sicherheit 193 Funktionen 192 Konfiguration von Beispiel eines zone Statements 183 Beispiele f r Zone Dateien 188 Resource Records der Zone Datei 186 umgekehrte Aufl sung von Namen 189 Zone Dateien Direktiven 185 Konfigurationsdateien etc named conf 178 179 var named Verzeichnis 178 Zone Dateien 185 named Daemon 178 Nameserver Definition von 177 Nameserver Typen Caching Only 178 Forwarding 178 Master 178 Slave 178 rndc Programm 190 etc rndc conf 191 Befehlszeilenoptionen 192 named fiir Verwendung konfigurieren 190 Schliissel konfigurieren 191 Root Nameserver Definition von 177 Zonen Definition von 177 Zus tzliche Ressourcen 194 B cher zum Thema
29. Verzeichnisse zum Exportieren festzulegen die nicht in etc exports aufgef hrt sind Diese zus tzlichen Dateisystem Shares m ssen auf dieselbe 114 Kapitel 9 Network File System NFS Weise gespeichert werden wie sie in etc exports angegeben sind Diese Option wird verwen det um exportierte Dateisysteme zu testen bevor sie endgiiltig zu der Liste der zu exportierenden Dateisysteme hinzugefiigt werden i Weist export fs an etc exports zu bergehen in diesem Fall werden nur die Optionen die von der Befehlszeile aus eingegeben wurden zum Definieren der exportierten Dateisystems verwendet e u Exportiert keine Verzeichnisse die von Remote Benutzern gemountet wurden Der Befehl exportfs ua unterbricht das NFS Datei Sharing und f hrt die verschiedenen NFS Daemonen weiter aus Geben Sie den Befehl exportfs r ein um das NFS Datei Sharing fortzusetzen v Verbose Operation bei der exportierte oder nicht exportierte Dateisysteme detaillierter angezeigt werden wenn der Befehl export fs ausgef hrt wird Wenn f r den Befehl export fs keine Optionen eingegeben werden wird eine Liste der aktuell ex portierten Dateisysteme angezeigt nderungen in etc exports k nnen gelesen werden indem der NFS Dienst mithilfe des Befehls service nfs reload neu geladen wird Dabei wird der NFS Daemon weiterhin ausgef hrt w h rend die Datei etc exports erneut exportiert wird 9 2 1 etc exports Die Datei etc exports
30. Weitere Informationen zum Konfigurieren von Diensten finden Sie im Kapitel Kontrolle des Zugriffs auf die Dienste im Official Red Hat Linux Customization Guide 4 F gen Sie Eintr ge zum LDAP Verzeichnis mit Hilfe von 1dapadd hinzu 5 Verwenden Sie ldapsearch um zu pr fen ob slapd korrekt auf die Informationen zugreift 6 Wenn Sie an diesem Punkt angelangt sind sollte Ihr LDAP Verzeichnis ordnungsgem funk tionieren und Sie k nnen alle LDAP f higen Anwendungen f r die Verwendung des LDAP Verzeichnisses konfigurieren Kapitel 13 Lightweight Directory Access Protocol LDAP 203 13 6 1 Bearbeiten des Verzeichnisses etc openldap slapd conf Sie m ssen die Konfigurationsdatei etc openldap slapd conf des slapd LDAP Servers n dern um ihn verwenden zu k nnen Sie m ssen diese Datei bearbeiten um sie an Ihre Domain und Server anzupassen Die Suffix Zeile nennt die Domain f r die der LDAP Server Informationen bereitstellt und sollte wie folgt ge ndert werden suffix dc your domain dc com Hier muss ein giiltiger Domainname eingetragen werden Zum Beispiel suffix dc example dc com Der Eintrag rootdn ist der eindeutige Name DN f r einen Benutzer der keinen Einschr nkungen durch Parameter der Zugriffssteuerung oder Benutzerverwaltung unterliegt die im LDAP Verzeichnis f r Vorg nge festgelegt sind Der Benutzer root dn ist sozusagen Root f r das LDAP Verzeichnis Die root dn Zeile ist zu ndern in r
31. Wildcards sollten sparsam verwendet werden wenn Zugriff auf ein NFS Share gew hrt wird da sich der Anwendungsbereich von Wildcards auf Systeme erstrecken kann von denen Sie nicht einmal wissen dass es sie gibt F r mehr Informationen zur Sicherung von NFS sehen Sie das Kapitel Server Security in der Red Hat Linux Security Guide 9 4 2 Dateiberechtigungen Wenn ein Remote Host das NFS Dateisystem im Read Write Modus gemountet hat umfasst der Schutz der Share Dateien auch deren Berechtigungen die Benutzer und die Gruppen ID Zwei Be nutzer die die gleiche Benutzer ID zum Mounten des gleichen NFS Dateisystems verwenden k nnen die Dateien gegenseitig modifizieren Jeder der als Root angemeldet ist kann den Befehl su ver wenden um ber das NFS Share Zugang zu bestimmten Dateien zu erlangen F r mehr zu NFS und Userid Konflikten sehen Sie Kapitel Managing Accounts and Groups im Red Hat Linux System Ad ministration Primer Standardm ig wird beim Exportieren eines Dateisystems via NFS Root Squashing verwendet Dies setzt die Benutzer ID von jedem der auf die NFS Share zugreift auf dem jeweiligen lokalen Rechner auf einen Wert des Nobody Accounts Schalten Sie Root Squashing niemals aus Wenn Sie eine NFS Share als Nur Lesen exportieren verwenden Sie die Option all_squash wo durch alle Benutzer die auf Ihr exportiertes Dateisystem Zugriff haben die Benutzer ID Nobody erhalten 9 5 Zus tzliche Ressourcen Das Ve
32. alle Optionen f r die notwendige berpr fung von E Mails auf einem Remote Server bei der Ausf hrung von Fetchmail ber die Befehlszeile auszuf hren ist die Verwendung der Datei fet chmailrc wesentlich einfacher All Ihre Konfigurationsdateien werden in der Datei fet chmailrc gespeichert Sie k nnen diese aber auch w hrend der Ausf hrung von Fetchmail bergehen indem Sie die entsprechende Option in der Befehlszeile festlegen Die Benutzerdatei fet chmailrc ist in drei bestimmte Arten von Konfigurationsoptionen unterteilt e global options Gibt Fetchmail Anweisungen die die Vorg nge des Programms kontrollieren oder erstellt Einstellungen f r jede Verbindung die E Mails kontrolliert zur Verf gung e server options Spezifiziert die notwendigen Informationen ber den gew hlten Server wie z B den Hostnamen oder die Pr ferenzen die Sie bei einem bestimmten E Mail Server sehen m chten z B der zu pr fende Port oder die Sekunden bis zur Zeit berschreitung Diese Optionen wirken sich auf jede Benutzeroption aus die mit diesem Server verwendet wird e user options Enth lt Informationen wie z B Benutzername und Passwort die zur Authen tifizierung und berpr fung von E Mails ben tigt werden Die allgemeinen Optionen befinden sich am Anfang der fetchmailrc Datei gefolgt von einer oder mehreren Server Optionen wobei jede dieser Optionen einen anderen von Fetchmail zu pr fenden E Mail Server bezeichnet Dan
33. ber den Status des Advanced Power Management APM Systems und wird vom Befehl apm benutzt Die Ausgabe dieser Datei auf einem System ohne Akku das an das Stromnetz angeschlossen ist sieht hnlich dieser Ausgabe aus 1 16 1 2 0x07 0x01 Oxff 0x80 1 1 Wenn Sie den Befehl apm v auf diesen Systemen ausf hren wird Folgendes angezeigt APM BIOS 1 2 kernel driver 1 16 AC on line no system battery Auf nicht batteriebetriebenen Systemen kann apm nicht viel mehr bewirken als den Rechner in den Standby Modus zu versetzen Der apm Befehl ist auf Laptops viel sinnvoller einzusetzen Das zeigt auch die folgende Ausgabe von cat proc apm Dies ist eine beispielhafte Ausgabe eines Laptops der mit dem Stromnetz verbunden ist 1 16 1 2 0x03 0x01 0x03 0x09 100 1 Wird das gleiche Laptop f r einige Minuten vom Stromnetz entfernt ndert sich der Inhalt der Datei apm wie folgt 1 16 1 2 0x03 0x00 0x00 0x01 99 1792 min Das Programm apm macht nun eine lesbare Ausgabe aus diesen Daten APM BIOS 1 2 kernel driver 1 16 AC off line battery status high 99 1 day 5 52 5 2 2 proc cmdline Diese Datei zeigt die Parameter an die dem Linux Kernel zum Startzeitpunkt bergeben wurden Eine proc cmdline Beispieldatei sieht wie folgt aus ro root dev hda2 ro zeigt an dass der Kernel read only von der zweiten Partition auf dem ersten IDE Device dev hda2 geladen wurde 5 2 3 proc cpuinfo Diese virtuelle Datei identifiziert de
34. genannt F r weitere Informationen zu Sendmail und Fetchmail sehen Sie Abschnitt 11 3 158 Kapitel 11 E Mail 11 2 2 Mail Delivery Agent Ein Mail Delivery Agent MDA wird vom MTA verwendet um eingehende E Mails in der richtigen Benutzer Mailbox abzulegen In vielen F llen ist der MDA in Wirklichkeit ein Local Delivery Agent LDA wie mail oder Procmail Jedes Programm das in der Lage ist Nachrichten dem Empf nger zuzustellen sodass diese in ei nem E Mail Client gelesen werden k nnen kann als MDA bezeichnet werden Aus diesem Grund k nnen einige MTAs wie Sendmail und Postfix die Rolle eines MDA bernehmen wenn sie neue E Mails an die lokale Spool Datei des Benutzers anh ngen Im Allgemeinen bertragen MDAs weder Nachrichten ber Systemgrenzen hinweg noch stellen sie eine Benutzerschnittstelle zur Verf gung MDAs verteilen und sortieren Nachrichten auf einem lokalen Rechner so dass eine E Mail Client Applikation auf diese Zugreifen kann 11 2 3 Mail User Agent Ein Mail User Agent MUA ist synonym zu einer E Mail Client Applikation Ein MUA ist ein Pro gramm das zumindest das Lesen und Verfassen von E Mails erlaubt Viele MUAs k nnen dem Benut zer nat rlich auch in anderen Bereichen n tzlich sein unter anderem bei der Abfrage von Nachrichten ber die POP oder IMAP Protokolle der Einrichtung von Mailboxen zum Speichern der Nachrichten oder bei der bergabe neuer Mitteilungen an einen MTA MUAs k nnen sow
35. im Besonderen f r Dateien im Unterverzeichnis proc sys Sie k nnen den Wert einer virtuellen Datei mit dem Befehl echo ndern und mit dem Symbol gt den neuen Wert an die Datei weiterleiten Um zum Beispiel den Hostnamen zu ndern geben Sie Folgendes ein echo www example com gt proc sys kernel hostname Andere Dateien funktionieren als bin re oder Boolesche Switches Wenn Sie z B cat proc sys net ipv4 ip_forward eingeben erscheint entweder 0 oder 1 0 gibt an dass der Kernel keine Netzwerk Pakete weiterleitet Mit dem Befehl echo zum ndern des Wertes der Datei ip_forwardin 1 k nnen Sie das Weiterleiten von Paketen sofort einschalten o Eine weiterer Befehl zur nderung von Einstellungen im Unterverzeichnis proc sys ist sbin sysct1 Weitere Informationen zu diesem Befehl erhalten Sie unter Abschnitt 5 4 Eine Liste einiger Kernel Konfigurationsdateien die in proc sys enthalten sind finden Sie unter Abschnitt 5 3 9 5 2 Top Level Dateien in procDateisystem Im Folgenden finden Sie eine Liste von einigen n tzlichen virtuellen Dateien im Top Level des Ver zeichnisses proc Kapitel 5 Das proc Dateisystem 47 i Anmerkung In den meisten F llen entspricht der Inhalt der in diesem Abschnitt aufgef hrten Dateien nicht denen in Ihrem Rechner Dies liegt daran dass sich die meisten Informationen auf die Hardware beziehen auf der Red Hat Linux l uft 5 2 1 proc apm Diese Datei bietet Informationen
36. mlich vielleicht davon aus dass Sendmail die einzige Applikation ist die Sie zum Ausf hren eines Mail Servers auf Ihrem System be n tigen Technisch betrachtet ist dies auch richtig da die Sendmail E Mails in Ihr Benutzerverzeichnis speichern kann Die meisten Benutzer ben tigen jedoch mehr als nur eine Applikation die Mails lie fert Sie m chten doch mit Ihrer E Mail interagieren und verwenden dazu den E Mail Client der zum Herunterladen von Mitteilungen auf den lokalen Rechner POP oder IMAP verwendet Oder Sie bevor zugen f r den Zugriff auf Ihre Mailbox eine Web Schnittstelle Diese anderen Applikationen k nnen in Verbindung mit Sendmail und SMTP arbeiten wurden aber aus anderen Gr nden entwickelt und k nnen unabh ngig voneinander angewendet werden Es w rde den Rahmen dieses Kapitels sprengen hier im einzelnen auszuf hren wie Sendmail konfi guriert werden sollte oder kann Hunderte verschiedener Optionen und Vorschriften werden in ganzen B chern abgehandelt die ebenfalls alles erkl ren und dabei helfen Probleme zu l sen Sehen Sie die Abschnitt 11 6 f r eine List der Ressourcen zu Sendmail Sie sollten allerdings wissen welche Dateien standardm ig mit Sendmail installiert werden und auch dar ber Bescheid wissen wie nderungen der Basiskonfiguration vorgenommen werden Au erdem sollten Sie wissen wie Sie unerw nschte E Mails stoppen und wie Sie Sendmail mit dem Lightweight Directory Access Protocol LDAP erweite
37. r eine bestimmte Netzwerkschnittstelle auch manuell bearbei ten Folgend ist eine Liste mit konfigurierbaren Parametern f r eine Konfigurationsdatei einer Ethernet Schnittstelle BOOTPROTO lt Protokoll gt wobei lt Protoko11 gt f r eine der folgenden Varianten stehen kann none Es sollte kein Boot Time Protokoll verwendet werden Kapitel 8 Netzwerk Schnittstellen 105 bootp Das BOOTP Protokoll sollte verwendet werden dhcp Das DHCP Protocoll sollte verwendet werden BROADCAST lt Adresse gt wobei lt Adresse gt f r die Broadcast Adresse steht Diese Anweisung wird missbilligt DEVICE lt Name gt wobei lt Name gt der der Name des physischen Ger ts ist ausgenommen dynamisch zugewiesene PPP Ger te bei denen es der logische Name ist DNS 1 2 lt Adresse gt wobei lt Adresse gt eine Name Server Adresse ist die in etc resolv conf gesetzt wird wenn die Anweisung PEERDNS auf yes steht e IPADDR lt Adresse gt wobei lt Adresse gt die IP Adresse ist e NETMASK lt Maske gt wobei lt Make gt der Wert der Netzmaske ist e NETWORK lt Adresse gt wobei lt Adresse gt die Netzwerkadresse ist Diese Anweisung wird nicht l nger verwendet ONBOOT lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann yes Dieses Ger t sollte beim Booten aktiviert werden no Dieses Ger t sollte nicht beim Booten aktiviert werden PEERDNS lt Antwort gt wobei lt Antwort
38. rdateien sollten in usr local sbin abgelegt werden Zumindest die folgenden Programme sollten sich also in sbin befinden arp clock getty halt init fdisk fsck grub ifconfig lilo mkfs mkswap reboot route shutdown swapoff swapon update 3 2 1 8 Das usr Verzeichnis Im usr Verzeichnis werden Dateien abgelegt die allen Benutzern auf eine Site zur Verf gung gestellt werden Das usr Verzeichnis verf gt normalerweise ber eine eigene Partition bei der es m glich sein sollte sie schreibgesch tzt zu mounten Zumindest folgende Verzeichnisse sollten Unterverzeichnisse von usr sein bin dict I doc l etc games 28 Kapitel 3 Struktur des Dateisystems include kerberos lib libexec local sbin share src tmp gt var tmp X11R6 Das bin Verzeichnis enth lt ausf hrbare Dateien dict enth lt nicht FHS konforme Dokumen tationsseiten etc enth lt Konfigurationsdateien fiir das gesamte System games ist f r Spiele reserviert include enth lt C Header Dateien kerberos enth lt Bin rdateien und viele andere Kerberos Elemente und 1ib enth lt Objektdateien und Bibliotheken die nicht konzipiert wurden um direkt von Benutzern oder Shell Skripts verwendet zu werden Das 1ibexec Verzeichnis ent h lt kleinere Hilfsprogramme die von anderen Programmen aufgerufen werden sbin enth lt die Bin rdateien f r die Systemverwaltung
39. rigen Dateien je nach Funktion an verschiedenen Stellen e Im Verzeichnis usr sbin finden Sie folgende Programme e tripwire twadmin twprint e Im Verzeichnis etc tripwire finden Sie folgende Dateien twinstall sh lnitialisierungs Skript f r Tripwire twcfg txt Von Tripwire RPM gelieferte Beispielkonfigurationsdatei tw cfg Vom twinstall sh Skript erstellte unterzeichnete Konfigurationsdatei twpol txt Von Tripwire RPM gelieferte Beispiel Policy Datei tw pol Vom twinstall sh Skript erstellte unterzeichnete Policy Datei Schliisseldateien Vom Skript twinstall sh erstellte Lokal und Site Schliissel die mit einer key Dateierweiterung enden e Nach Durchf hren des twinstall sh Installationskripts finden Sie folgende Dateien im var lib tripwire Verzeichnis Tripwire Datenbank Datenbank Ihrer Systemdateien die eine t wd Dateierweiterung hat Tripwire Berichte Im report Verzeichnis werden Tripwire Berichte hinterlegt Der n chste Abschnitt erkl rt N heres ber die Rollen dieser Dateien im Tripwire System 19 10 1 Tripwire Komponenten Die folgende Beschreibung enth lt Einzelheiten zu den Rollen die die im vorhergehenden Abschnitt aufgef hrten Dateien im Tripwire System spielen etc tripwire tw cfg Dies ist die verschliisselte Tripwire Konfigurationsdatei in der systemspezifische Informatio nen wie der Speicherplatz von Tripwire Datendateien hinterlegt werden
40. sollte Ihr Kerberos Server korrekt funktionieren Anschlie end m ssen Sie den Kerberos Client einrichten 17 6 Konfigurieren eines Kerberos 5 Clients Das Einrichten eines Kerberos 5 Client ist wesentlich einfacher als das Einrichten eines Servers Sie sollten zumindest die Clientpakete installieren und den Clients eine g ltige krb5 conf Konfigurationsdatei zur Verf gung stellen Kerberisierte Versionen von rsh und rlogin erfordern ebenfalls einige Konfigurations nderungen 1 Stellen Sie sicher dass zwischen dem Kerberos Client und KDC Zeitsynchronisierung vorhan den ist Weitere Informationen finden Sie unter Abschnitt 17 5 Zudem sollten Sie pr fen dass DNS auf dem Kerberos Client fehlerfrei l uft bevor die Kerberos Clientprogramme installiert werden 2 Installieren Sie die Pakete krb5 libs und krb5 workstation auf allen Client Rechnern F r jeden Client m ssen Sie eine Version von etc krb5 conf zur Verf gung stellen dies kann normalerweise dieselbe krb5 conf sein die von KDC verwendet wird 3 Ehe eine bestimmte Workstation im Realm Benutzern das Herstellen einer Verbindung mit Hilfe der kerberisierten Befehle rsh und rlogin erlaubt muss auf der Workstation zum einen das xinetd Paket installiert sein und zum anderen muss sie ihren eigenen Hostprincipal in der Kerberos Datenbank haben Die Serverprogramme kshd und klogind ben tigen ebenfalls Zu griff auf die Schl ssel f r den Dienstprincipal Mit Hilfe von kadmin f g
41. tigt werden um eine neue Warnungsmitteilung zu schreiben Das wird benutzt um Denial of Service DoS Angriffe zu vermeiden die Standardeinstellung ist 50 message_cost Wird auch verwendet um DoS Angriffe zu vermeiden indem ein Cost Faktor auf jede Warnung gesetzt wird Je h her der Wert dieser Datei Standard ist 5 desto eher wird die Warnung ignoriert Eine DoS Attacke bedeutet dass ein Angreifer Ihr System mit Anfragen berh uft die Fehler er zeugen und ihre Diskpartitionen mit Logdateien f llen oder Ihre Systemressourcen zum Fehler loggen verbrauchen Die Einstellungen in message_burst und message_cost sind dazu da ein Gleichgewicht zwischen gutem Logging und einem geringen Risiko einzustellen Kapitel 5 Das proc Dateisystem 73 e netdev_max_backlog Setzt die maximale Nummer von Paketen die in die Warteschlange gestellt werden wenn eine Schnittstelle Pakete schneller empf ngt als der Kernel diese verarbeiten kann Der Standardwert hier ist 300 optmem_max Konfiguriert die maximale zus tzliche Puffergr e pro Socket rmem default Setzt die Standardgr e f r den Empfangspuffer in Byte rmem_max Setzt die Maximalgr e des Empfangspuffers in Byte wmem_default Setzt die Standardgr e f r den Sendepuffer in Byte wmem_max Setzt die Maximalgr e f r den Sendepuffer in Byte Das Verzeichnis proc sys net ipv4 enth lt weitere Netzwerkeinstellungen Viele dieser Ein
42. usr share doc bind lt version number gt misc Enth lt Dokumente ber spezielle verbesserte Merkmale Benutzer der Version 8 von BIND sollten sich das Dokument migration anschauen das sich mit bestimmten nderungen befasst die f r eine Verwendung der Version 9 von BIND vorzunehmen sind In der options Datei sind alle in BIND 9 implementierten Optionen aufgelistet die in etc named conf verwendet werden usr share doc bind lt version number gt rfc In diesem Verzeichnis finden Sie jedes RFC Dokument das mit BIND zusammenh ngt man named Untersucht ausgew hlte Argumente die zur Steuerung des BIND Name Server Daemon verwendet werden K nnen man named conf Eine vollst ndige Liste von Optionen welche in der named Konfigurationsdatei zur Verf gung stehen man rndc Erkl rt die verschiedenen Optionen die bei der Verwendung von rnac zur Kontrolle eines BIND Name Servers zur Verf gung stehen man rndc conf A Eine vollst ndige Liste von Optionen welche in der rndc Konfigurationsdatei zur Verf gung stehen 12 7 2 Hilfreiche Webseiten http www isc org products BIND Die Homepage des BIND Projekts Hier finden Sie Informa tionen aktuellen Releases und k nnen das BIND 9 Administrator Reference Manual in der PDF Version herunterladen http www redhat com mirrors LDP HOWTO DNS HOWTO html Befasst sich mit BIND als Caching Nameserver und der Konfiguration der einzelnen Zone Dateien sowie
43. wait no server usr sbin in telnetd log_on_success DURATION USERID log_on_failure USERID bind 123 123 123 123 redirect 102 031 1321 23 Die Optionen bind und redirect in dieser Datei stellen sicher dass der telnet Dienst auf dem Rech ner fiir eine externe IP Adresse 123 123 123 123 bestimmt ist und zwar die Internet seitige AuBer 232 Kapitel 15 TCP Wrappers und xinetd dem werden alle an 123 123 123 123 gesendete Telnet Anfragen tiber einen zweiten Netzwerkadapter an eine interne IP Adresse 10 0 1 13 weitergeleitet auf die nur die Firewall und interne Systeme Zu griff haben Die Firewall sendet dann die Kommunikation von einem System an das andere und fiir das sich verbindende System sieht es so aus als ob es mit 123 123 123 123 verbunden sei w hrend es in Wirklichkeit mit einem anderen Rechner verbunden ist Diese Eigenschaft ist besonders niitzlich fiir Benutzer mit Breitbandverbindungen und nur fiir fe ste IP Adressen Wird Network Address Translation NAT verwendet sind die Systems hinter dem Gateway Rechner die nur interne IP Adressen verwenden au erhalb des Gateway Systems nicht zu g ngig Wenn jedoch bestimmte Dienste die mit xinetd kontrolliert werden mit den Optionen bind und redirect konfiguriert sind kann der Gateway Rechner als eine Art Proxy zwischen externen Systemen und einem bestimmten internen Rechner fungieren der konfiguriert ist um den Dienst zur Verf gung zu stellen Au erdem
44. welche unter den folgenden URLs verf gbar ist http httpd apache org docs 2 0 ssl http httpd apache org docs 2 0 vhosts 10 9 Zus tzliche Ressourcen Weitere Informationen zu Apache HTTP Server finden Sie in folgenden Ressourcen 10 9 1 Hilfreiche Webseiten http httpd apache org Die offizielle Website f r den Apache HTTP Server mit Dokumentatio nen zu allen Anweisungen und Standardmodulen http www modssl org Die offizielle Website f r mod_ss1 http www apacheweek com Eine w chentliche Online Ausgabe ber alles was Apache bet rifft 10 9 2 Zus tzliche B cher Apache Desktop Reference von Ralf S Engelschall Addison Wesley Verfasst von dem ASF Mitglied und mod_ss1 Autor Ralf Engelschall das Apache Desktop Reference ist ein kompaktes je doch all umfassendes Nachschlagewerk zur Verwendung von Apache HTTP Server Kompilierung Konfiguration und Laufzeit Dieses Buch steht online unter http www apacheref com Professional Apache von Peter Wainwright Wrox Press Ltd Professional Apache stammt von Wrox Press Ltd s Programmer to Programmer Reihe und richtet sich sowohl an erfahrene als auch einsteigende Web Server Administratoren e Administering Apache von Mark Allan Arnold Osborne Media Group Dieses Buch ist fiir In ternet Service Providers die sicherere Services zur Verfiigung stellen wollen Apache Server Unleashed von Richard Bowen et al SAMS BOOKS
45. 0 0 rw using_dma 0 rw 5 3 6 proc irg Dieses Verzeichnis wird benutzt um IRQ zu CPU Verbindungen einzustellen Dies erlaubt Ihnen einen IRQ nur einer CPU zuzuweisen Sie k nnen eine CPU aber z B auch vom IRQ Handling ent binden Jeder IRQ hat ein eigenes Verzeichnis was die individuelle Konfiguration jedes IRQ erm glicht Die Datei proc irg prof_cpu_mask ist eine Bitmaske die die Standardwerte f r die Datei smp_affinity im IRQ Verzeichnis enth lt Die Werte in smp_affinity legen fest welche CPUs diesen IRQ bearbeiten Weitere Informationen zum Verzeichnis proc irq finden Sie unter usr srce linux 2 4 Documentation filesystems proc txt 5 3 7 proc net Dieses Verzeichnis bietet einen weitgehenden Einblick in verschiedene Netzwerk Parameter und Statistiken Jede Datei deckt einen bestimmten Informationsbereich zum Systemnetzwerkbereich ab Es folgt eine Teilliste dieser virtuellen Dateien e arp Enth lt die ARP Tabelle des Kernels Diese Datei ist besonders sinnvoll um eine Hardware Adresse einer IP Adresse zuzuordnen e atm Ein Verzeichnis das Dateien mit verschiedenen Einstellungen und Statistiken zum Asyn chronous Transfer Mode ATM enth lt Dieses Verzeichnis wird vor allem mit ATM Netzkarten und ADSL Karten benutzt e dev Listet die verschiedenen Netzwerk Ger te die im System konfiguriert sind mit Statistiken zum Senden und Empfangen auf Diese Datei zeigt Ihnen welche Schnittstelle w
46. 16 3 7 Auflistungsoptionen Der standardm ige Auflistungsbefehl iptables L bietet eine sehr allgemeine bersicht ber die standardm igen aktuellen Regel Chains der Filtertabelle Es gibt aber auch noch zus tzliche Optio nen mit weiteren Informationen v Zeigt eine ausf hrliche Ausgabe an wie z B die Anzahl der Pakete und Bytes die jede Chain gesehen hat die Anzahl der Pakete und Bytes die von jeder Regel auf bereinstimmung berpr ft wurden und auf deren Schnittstellen eine bestimmte Regel angewandt werden e x Erweitert die Zahlen auf ihre exakten Werte In einem arbeitenden System kann die An zahl der Pakte und Bytes die von einer bestimmten Chain oder Regel gesehen werden unter Ver wendung der Abk rzungen K Tausender M Millionen und G Milliarden am Ende der Zahl wiedergegeben werden Mit dieser Option muss zwangsl ufig die vollst ndige Zahl angezeigt wer den n Zeigt IP Adressen und Portnummern im numerischen Format an und nicht im standardm i gen Hostnamen und Netzwerkdienst Format e line numbers Listet Regeln in jeder Chain in N he derer numerischer Reihenfolge in der Chain auf Diese Option ist n tzlich wenn man versucht eine bestimmte Regel aus einer Chain zu entfernen oder zu bestimmen wo eine Regel in einer Chain eingef gt werden soll e t Gibt einen Tabellennamen an Kapitel 16 iptables 245 16 4 Das Speichern von iptables Informationen Regeln die m
47. 16 5 1 Installierte Dokumentation man iptables Enth lt eine vollst ndige Beschreibung verschiedener Befehle Parameter und anderer Optionen 16 5 2 Hilfreiche Websites http netfilter samba org Enth lt ausgew hlte Informationen zu iptables sowie FAQ zu spezi fischen Problemen denen Sie unter Umst nden begegnen verschiedene hilfreiche Handb cher von Rusty Russell dem Linux IP Firewall Warter In diesen Anleitungen werden Themen wie z B Netzwerkgundlagen 2 4 Kernel Paketfilterung und NAT Konfigurationen besprochen http www linuxnewbie org nhf Security IPtables_Basics html Ein sehr allgemeiner berblick dar ber wie sich Pakete durch den Linux Kernel bewegen plus eine Einleitung zur Erstellung von einfachen iptables Befehlen http www redhat com support resources networking firewall html Auf dieser Webseite finden Sie die aktuellsten Links zu Informationsquellen zum Thema Paketfilterung 246 Kapitel 16 iptables redhat Kapitel 17 Kerberos Kerberos ist ein von MIT erstelltes Authentifizierungsprotokoll f r Netzwerke das geheime Schl ssel zum Sichern von Passw rtern verwendet ohne Passw rter ber das Netzwerk senden zu m ssen Das Authentifizieren mit Hilfe von Kerberos h lt effizient unautorisierte Benutzer vom Versuch ab Passw rter im Netzwerk abzufangen 17 1 Vorteile von Kerberos Die meisten herk mmlichen Netzwerksysteme verwenden passwortbasierte Authentifizieru
48. 637 dr xr xr x 3 rpcuser rpcuser 0 Feb 13 01 28 666 Diese Verzeichnisse hei en Prozess Verzeichnisse weil sie sich auf eine Prozess ID beziehen und Informationen zu diesem Prozess enthalten Der Eigent mer und die Gruppe jedes Prozess Verzeichnisses wird auf die ID des Benutzers der den Prozess ausf hrt gesetzt Wenn der Prozess beendet wird verschwindet das zugeh rige proc Prozess Verzeichnis Jedes Prozess Verzeichnis enth lt die folgenden Dateien cmdline Diese Datei enth lt den Befehl der bei Prozessstart ausgegeben wird cpu Bietet spezifische Informationen zur Prozessorlast aller CPUs an Ein Prozess der auf einem Dual CPU System l uft k nnte eine Ausgabe wie folgt haben cpu 113 cpu0 0 0 cpul 11 3 cwd Ein symbolischer Link zum aktuellen Arbeitsverzeichnis des Prozesses e environ Gibt eine Liste von Umgebungsvariablen des Prozesses aus Die Variablennamen werde in Gro buchstaben die Werte in Kleinbuchstaben ausgegeben e exe Ein symbolischer Link zur ausgef hrten Datei des Prozesses Kapitel 5 Das proc Dateisystem 61 e d Ein Verzeichnis mit allen Datei Descriptors eines bestimmten Prozesses Diese werden als nummerierte Links ausgegeben total 0 1 root root 64 May 8 11 31 0 gt dev null 1 root root 64 May 8 11 31 1 gt dev null 1 root root 64 May 8 11 31 2 gt dev null 1 root root 64 May 8 11 31 3 gt dev ptmx 1 root root 64 May 8 11 31 4 gt socket 77748
49. 7 1 und in den man Seiten zu bind conf 12 2 1 4 zone Statement Ein zone Statement legt die Eigenschaften einer Zone wie den Ort der Konfigurationsdatei und Zonen spezifische Optionen fest Diese Statement kann benutzt werden um globale options State ments zu berschreiben Ein zone Statement hat die folgende Form zone lt zone name gt lt zone class gt lt zone options gt lt zone options gt In diesem Statement lt zone name gt ist der Name der Zone lt zone class gt ist die optionale Klasse der Zone und lt zone options gt ist eine List von Optionen welche die Eigenschaften der Zone bestimmen Das lt zone name gt Attribut f r die Zone ist besonders wichtig da es den Standardwert f r die SORIGIN Direktive festlegt welche den Zonen Dateien im Verzeichnis var named entspricht Der named Daemon h ngt den Namen der Zone an jeden nicht FQDN an welcher in der Zonen Datei aufgelistet ist Wenn zum Beispiel ein zone Statement den Namespace fiir example com angibt verwende exam ple comals lt zone name gt damit es an Hostnamen in der example com Zonen Datei angeh ngt wird Fiir mehr Information zu Zonen Dateien siehe Abschnitt 12 3 Die am haufigsten verwendeten Optionen von zone Statement sind die Folgenden e allow query Legt fest welche Clients Informationen ber diese Zone anfordern d rfen Stan dardm ig sind alle Anfragen zul ssig allow transfer Bestimmt die Sl
50. Anmerkung Um festzustellen ob die Bin rdatei eines Netzwerk Service gegen libwrap a gebunden ist geben Sie den folgenden Befehl als root ein strings f lt binary name gt grep hosts_access Ersetzen Sie lt binary name gt mit dem Namen der Bin rdatei des Netzwerk Service 15 1 1 Vorteile eines TCP Wrappers TCP Wrappers bietet zwei grundlegende Vorteile im Vergleich zu anderen Kontrollmethoden f r Netz werkdienste Der sich verbindende Client bemerkt den Einsatz von TCP Wrappers nicht Zugelassene Benutzer bemerken keinen Unterschied und Angreifer erhalten niemals zus tzliche Informationen ber den Grund daf r warum ihr Verbindungsversuch fehlgeschlagen ist Zentralisiertes Management von mehreren Protokollen TCP Wrappers arbeiten unabh ngig vom Netzwerkdienst den sie sch tzen Dies erlaubt es mehreren Server Applikationen sich eine gemein same Gruppe von Konfigurationsdateien zu teilen was ein vereinfachtes Management zur Folge hat 15 2 TCP Wrappers Konfigurationsdateien Um zu bestimmen ob es einer Client Maschine erlaubt ist zu einem gewissen Service zu verbin den verwenden TCP Wrappers die folgenden zwei Dateien die auch Hosts Zugriffsdateien gennant werden e etc hosts allow e etc hosts deny Kapitel 15 TCP Wrappers und xinetd 221 Wenn ein Verbindungsversuch zu einem TCP wrapped Service eingeleitet wird wird der Service folgende Schritte durchfiihren 1 Der Service wird zuerst
51. Aspekte des Systems Er behandelt den Boot Prozess das grundlegende Layout des Dateisystems den Ort von wichtigen Systemdateien und Dateisystemen sowie die grundlegenden Konzepte hinter Benutzern und Gruppen Zus tzlich wird das X Window System ausf hrlich beschrieben Inhaltsverzeichnis 1 Boot Init und Shutdown 2 Bootloader ee 3 Struktur des Dateisystems 4 Das Verzeichnis sysconfig 5 Das proc Dateisystem 6 Benutzer und Gruppen 7 Das X Window System sssssssssssssssssecsessssssssesecsssseseesesssssesessesssessseasesesssessesesesssessssasesesessasevess redhat Kapitel 1 Boot Init und Shutdown Einer der gr ten Vorteile von Red Hat Linux ist die flexible und Benutzer konfigurierbare Methode des Bootens und Herunterfahrens des Betriebssystems Benutzer k nnen viele Aspekte des Bootvor gangs frei einstellen einschlie lich welche Programme w hrend des Bootens gestartet werden Eben so beendet das richtige Herunterfahren des Systems die Prozesse auf organisierte und konfigurierbare Art und Weise auch wenn die individuelle Gestaltung dieses Prozesses kaum erforderlich ist Das Verstehen der Funktionsweise der Boot und Shutdownprozesse erleichtert nicht nur das indivi duelle Gestalten von Red Hat Linux je nach Ihren Anforderungen sondern macht auch das Beheben von Fehlern einfacher die beim Starten oder Herunterfahren des Systems auftreten k nnen 1 1 Der Bootprozess Nachfolgend w
52. Auf diese Weise wird die Liste der Dateien im Verzeichnis angezeigt die mit diesem Buchstaben beginnen Tasten Kombination Eine Tastenkombination wird auf diese Art und Weise dargestellt Mit der Tastenkombination Strg Alt R cktaste beenden Sie Ihre grafische Sitzung und keh ren zum grafischen Anmeldebildschirm oder zur Konsole zur ck Text in der GUI Schnittstelle berschriften Worte oder S tze die Sie auf dem GUI Schnittstellenbildschirm oder in Window finden werden in diesem Stil wiedergegeben Wenn Sie daher einen Text in diesem Stil finden soll dieser einen bestimmten GUI Bildschirm oder ein Element eines GUI Bildschirms z B ein Text der sich auf ein Kontrollk stchen oder auf ein Feld bezieht identifizieren Beispiel W hlen Sie das Kontrollk stchen Passwort erforderlich wenn Ihr Bildschirmschoner passwort gesch tzt sein soll Erste Men stufe auf einem GUI Bildschirm oder in einem Fenster Wenn ein Wort auf diese Art und Weise dargestellt ist zeigt dies an dass es sich hierbei um den Anfang eines Pulldown Men s handelt Beim Klicken auf das Wort auf dem GUI Bildschirm erscheint der Rest des Men s Zum Beispiel Unter Datei auf dem GNOME Terminal sehen Sie die Option Neuer Tab mit dem Sie mehrere Shell Prompts im gleichen Fenster ffnen k nnen Wenn Sie eine Befehlsreihe aus einem GUI Men eingeben wollen wird diese entsprechend dem folgenden Beispiel angezeigt Indem Sie Hauptmen im Panel gt
53. Bearbeiten der Datei slapd conf e Auf allen Client Rechnern m ssen sowohl etc ldap conf als auch etc openldap ldap conf den jeweiligen Server und grundlegende Informationen f r Ihre Organisation enthalten Die einfachste Weise hierzu ist das Ausf hren von Authentifizierungs Konfigurations Tool authconfig gtk und das Ausw hlen von LDAP verwenden in der Tab Benutzerinfor mationen Diese Dateien k nnen auch manuell bearbeitet werden Auf allen Client Maschinen muss die Datei etc nsswitch conf bearbeitet werden um LDAP zu verwenden Die einfachste Weise hierzu ist das Ausf hren von Authentifizierungs Konfigurations Tool authconfig gtk und das Ausw hlen von LDAP verwenden in der Tab Benutzerinfor mationen Wenn Sie etc nsswitch conf manuell bearbeiten f gen Sie 1dap in den entsprechenden Zeilen hinzu Zum Beispiel passwd files ldap shadow files ldap group files ldap Kapitel 13 Lightweight Directory Access Protocol LDAP 205 13 7 1 PAM and LDAP F hren Sie authconfig aus und w hlen Sie die Option LDAP verwenden im Tab Authentifizie rung aus damit Sie standardm ige PAM f hige Anwendungen f r die Authentifizierung mit LDAP verwenden k nnen Weitere Informationen zum Konfigurieren von PAM finden Sie unter Kapitel 14 sowie auf den man Seiten von PAM 13 7 2 Umwandeln Ihrer alten Authentifizierungsinformationen in das LDAP Format Das Verzeichnis usr share openldap migration enth lt mehrere
54. Befehlszeile aus erm glichen Einige Befehlsfunktionen stehen mit LILO oder anderen x86 Bootloadern zur Verf gung GRUB bietet jedoch eine gr ere Anzahl solcher Funktionen GRUB unterst tzt den Logical Block Addressing LBA Modus LBA bergibt die Adressierkonvertierung die dazu dient Dateien zu suchen an die Firmware der Festplatte und wird auf vielen IDE und allen SCSI Festplatten verwendet Vor LBA stie en Bootloader auf die 1024 Zylindergrenze des BIOS oberhalb derer das BIOS keine Dateien finden konnte Die LBA Unterst tzung erm glicht GRUB Betriebssysteme von Partitionen oberhalb dieser Grenze zu booten sofern das System BIOS den LBA Modus unterst tzt Die meisten modernen BIOS Versionen unterst tzen den LBA Modus GRUB kann ext2 Partitionen lesen Hierdurch kann GRUB bei jedem Systemstart auf die Kon figurationsdatei boot grub grub conf zugreifen und die Notwendigkeit umgehen eine neue Version des Stage 1 Bootloaders auf den MBR schreiben zu m ssen wenn die Konfiguration ge n dert wird GRUB muss nur dann neu auf dem MBR installiert werden wenn die physische Stelle der boot Partition auf der Platte verschoben wird Detaillierte Informationen zum Installieren von GRUB auf den MBR finden Sie unter Abschnitt 2 3 2 3 Installation von GRUB Wenn Sie GRUB w hrend des Installationsprozesses nicht installiert haben k nnen Sie ihn sp ter installieren Er wird automatisch zum standardm igen Bootloader K
55. Beispiel in Kombination mit der Erweiterung cgi verwendet werden um eine Datei mit der Endung cgi als CGI Skript zu bearbeiten Das folgende Beispiel ist eine AddHandler Anweisung f r die Dateiendung cgi AddHandler cgi script cgi Diese Anweisung erlaubt CGIs auch ausserhalb von cgi bin zu arbeiten und zwar in jedem Ver zeichnis welches die ExecCGI Option im Verzeichnis Container gesetzt hat Sehen Sie Abschnitt 10 5 24 f r weitere Informationen zum Einrichten der ExecCGI Option f r ein Verzeichnis AddHandler wird vom Server neben CGI Skripts auch f r die Verarbeitung der vom Server verar beiteten HTML und Image Map Dateien verwendet 10 5 60 Action Action erm glicht die Angabe einer Paarung aus MIME Inhaltstyp und CGI Skript damit ein spezi elles CGI Skript immer dann ausgef hrt wird wenn eine Datei dieses Medientyps angefordert wird Kapitel 10 Apache 147 10 5 61 ErrorDocument ErrorDocument verkn pft einfach einen HTTP Antwortcode mit einer Meldung oder einer URL die zum Client zur ckgesendet wird Standardm ig gibt Ihr Web Server bei einem Problem oder Fehler eine einfache und meist kryptische Fehlermeldung an den anfordernden Client zur ck Statt der Standardeinstellung k nnen Sie ErrorDocument zur Konfiguration Ihres Web Servers verwenden so dass der Server eine von Ihnen angepasste Meldung ausgibt oder den Client zu einer lokalen oder externen URL umleitet iicn Sie m ssen die Fehlermeldung in do
56. Benutzer einen SMTP Server auf dem lokalen Rechner konfigurieren um eingehende E Mails zu handhaben Es ist jedoch auch m glich einen Remote SMTP Server f r ausgehende E Mails zu konfigurieren Ein wichtiger Punkt im Bezug zum SMTP Protokoll ist der dass es keine Authentifizierung ben tigt Dies erlaubt es jedem im Internet E Mails zu jedem Anderen und sogar zu gr eren Gruppen zu senden Es ist diese Eigenschaft von SMTP die Junk E Mail oder spam m glich macht Moderne 156 Kapitel 11 E Mail SMTP Server versuchen dies einzuschr nken indem Sie nur bekannten Hosts den Zugriff gew hren Server die solche Einschr nkungen nicht durchsetzen werden Open Relay Server genannt Red Hat Linux benutzt Sendmail usr sbin sendmail als standardm iges SMTP Programm Postfix usr sbin post fix eine einfacher zu verwendende Applikation steht jedoch ebenfalls zur Verf gung 11 1 2 Mail Access Protocols Es gibt zwei grundlegende Protokolle die von E Mail Client Applikationen verwendet werden um E Mails von einem Mail Server abzurufen das Post Office Protocol POP und das Internet Message Access Protocol IMAP Im Unterschied zu SMTP erfordern beide dieser Protokolle dass die verbindenden Clients sich mit einem Benutzernamen und Passwort authentifizieren m ssen Standardm ig werden die Passw rter f r beide Protokolle unverschl sselt ber das Netzwerk gesandt 11 1 2 1 POP Der standardm ige POP Server in Red Hat
57. Das Verzeichnis sysconfig 4 1 19 etc sysconfig kudzu Mit etc sysconfig kuzdu k nnen Sie beim Booten mit Hilfe von kudzu eine sichere Uberprii fung Ihrer System Hardware vornehmen Bei einer sicheren berpr fung wird die berpr fung der seriellen Ports deaktiviert SAFE lt Wert gt wobei lt Wert gt einer der folgenden Werte ist yes kuzdu f hrt eine sichere berpr fung aus no kuzdu f hrt eine normale berpr fung aus 4 1 20 etc sysconfig mouse Die Datei etc sysconfig mouse stellt Informationen ber die verf gbare Maus zur Verf gung Die folgenden Werte k nnen verwendet werden e FULLNAME lt Wert gt wobei sich lt Wert gt auf den vollen Namen der verwendeten Mausart bezieht e MOUSETYPE lt Wert gt wobei lt Wert gt einer der folgenden Werte ist imps2 Generische USB Rad Maus microsoft Microsoft Maus e mouseman MouseMan Maus mousesystems Mouse Systems Maus ps 2 PS 2 Maus msbm Microsoft Bus Maus logibm Logitech Bus Maus e atibm ATI Bus Maus logitech Logitech Maus mmseries ltere MouseMan Maus mmhittab mmhittab Maus XEMU3 lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist e yes Die Maus hat nur zwei Buttons drei Buttons sollten jedoch emuliert werden no Die Maus hat bereits drei Buttons e XMOUSETYPE lt Wert gt wobei sich lt wert gt auf die Maus
58. Das twinstall sh Installationsskript und twadmin Befehl erzeugen diese Datei anhand von Informationen in der Textversion der Konfigurationsdatei etc tripwire twcfg txt Nach Durchf hren des Installations Skripts kann der Systemadministrator die Parameter durch Bearbeiten von etc tripwire twcfg txt ndern und anhand des twadmin Befehls eine unterzeichnete Kopie der tw cfg Datei neu erzeugen Weitere Informationen hierzu finden Sie unter Abschnitt 19 9 276 Kapitel 19 Tripwire etc tripwire tw pol Die aktive Tripwire Policy Datei ist eine verschliisselte Datei mit Kommentaren Regeln An weisungen und Variablen Sie bestimmt die Art mit der Tripwire Ihr System priift Jede in dieser Datei enthaltene Regel gibt ein Systemobjekt an das gepriift werden soll Weiterhin bestim men diese Regeln welche Anderungen in einem Bericht angezeigt und welche ignoriert werden sollen Systemobjekte sind die Dateien und Verzeichnisse die tiberpriift werden sollen Jedes Objekt be sitzt einen Namen Eine Eigenschaft bezieht sich auf ein einzelnes Objektmerkmal das Tripwire berpr ft Anweisungen verwalten die bedingte Verarbeitung von Regels tzen in einer Policy Datei Bei der Installation wird die Beispiel Text Policydatei etc tripwire tw pol verwen det um die aktive Tripwire Policydatei zu generieren Nach Durchf hren des Installations Skripts kann der Systemadministrator die Parameter durch Bearbeiten von etc tripwire twcfg txt ndern und
59. Dateien ablegt etc hosts allow und etc hosts deny kann jede Dienstdatei in etc xinetd d ihre eigenen Zugriffskontrollregeln enthalten Die folgenden Optionen werden in den xinetd Dateien f r die Host Zugriffskontrolle unterst tzt only_from Erlaubt nur den angegebenen Host Rechnern die Nutzung des Dienstes no_access Sperrt aufgef hrten Host Rechnern den Zugriff auf den Dienst 230 Kapitel 15 TCP Wrappers und xinetd access_times Den Zeitraum in dem ein bestimmter Dienst verwendet werden kann Der Zeitraum muss im 24 Stunden Format HH MM HH MM angegeben werden Die Optionen only_from und no_access k nnen eine Liste von IP Adressen oder Hostnamen ver wenden oder ein gesamtes Netzwerk spezifizieren Wie TCP Wrapper kann durch die Kombination der xinetd Zugriffskontrolle und der entsprechenden Protokollierkonfiguration die Sicherheit durch das Sperren von Anfragen von gesperrten Hosts und das Protokollieren aller Verbindungsversuche erhoht werden Zum Beispiel kann die folgende etc xinetd d telnet Datei verwendet werden um den Telnet Zugriff einer bestimmten Netzwerkgruppe auf ein System zu verweigern und den gesamten Zeitraum f r die Anmeldung von zugelassenen Benutzern einzuschr nken service telnet disable no flags REUSE socket_type stream wait no user root server usr sbin in telnetd log_on_failure USERID no_access 10 0 1 0 24 log_on_success PID HOST EXIT ac
60. Dateisystem 51 ERR 0 Die erste Spalte bezeichnet die IRQ Nummer Jeder CPU im Rechner hat seine eigene Spalte und seine eigenen Interrupts pro IRQ Die n chste Spalte bezeichnet den Typ des Interrupts und die letzte Spalte enthalt den Namen des Geriits das auf diesem IRQ angesprochen werden kann Jeder der plattform abhangigen Interrupt Typen in dieser Datei hat eine unterschiedliche Bedeutung Bei x86 Rechnern kommen folgende Werte h ufig vor XT PIC Die alten AT Rechner Interrupts IO APIC edge Das Spannungssignal dieses Interrupts variiert zwischen tief und hoch und hat eine Flanke an der der Interrupt ausgel st und nur einmal signalisiert wird Dieser Interrupt Typ wird wie der IO APIC level Interrupt nur auf Systemen mit Prozessoren der 586 Familie und h her benutzt IO APIC level Erzeugt Interrupts wenn das Spannungssignal hoch geht solange bis das Signal wieder das Tief erreicht 5 2 10 proc iomem Diese Datei zeigt Ihnen das aktuelle Mapping des Systemspeichers f r jedes physische Ger t an 00000000 0009fbff System RAM 0009fc00 0009ffff reserved 000a0000 000bffff Video RAM area 000c 0000 000c7fff Video ROM 000f0000 000fffff System ROM 00100000 07ffffff System RAM 00100000 00291ba8 Kernel code 00291ba9 002e09cb Kernel data e0000000 e3ffffff VIA Technologies Inc VT82C597 Apollo VP3 e4000000 e7ffffff PCI Bus 01 e4000000 e4003fff Matrox Graphics Inc MGA G200 AGP e500
61. Eine Enzyklop die zu Apache HTTP Server Apache Pocket Reference von Andrew Ford Gigi Estabrook O Reilly Dies ist das letzte Werk der O Reilly Pocket Reference Reihe 154 Kapitel 10 Apache redhat Kapitel 11 E Mail Die Geburtsstunde elektronischer Mail E Mail liegt in den fr hen sechziger Jahren Die Mailbox war eine Datei im Home Verzeichnis des Benutzers das nur vom Benutzer gelesen werden konnte Anf ngliche Mail Applikationen h ngten neue Text Nachrichten an das Ende dieser Datei an und der Benutzer musste sich durch diese st ndig wachsende Datei w hlen um die entsprechende Nachricht zu finden Dieses System war lediglich dazu in der Lage Nachrichten an Benutzer auf dem selben System zu senden Das erste Mal dass eine elektronische Mail ber ein Netzwerk gesendet wurde war in 1971 Der Computer Engineer Ray Tomlinson sendete eine Test Nachricht zwischen zwei Rechnern mittles AR PANET der Vorg nger des Internet Kommunikation ber E Mail bekam bald darauf sehr popul r und stellte innerhalb von zwei Jahren 75 Prozent des Netzwerkverkehrs auf dem ARPANET dar Heutzutage haben sich die auf standardisierten Netzwerkprotokollen basierenden E Mail Systeme zu den am meisten verwendeten Services im Internet entwickelt Red Hat Linux bietet zahlreiche fortge schrittene E Mail Applikationen In diesem Kapitel werden bekannte gegenw rtig verwendete E Mail Protokolle und einige Program me die mit E Mail
62. F r Anleitungen zur Verwendung dieser Applikationen sehen Sie das Kapitel E Mail Applikationen im Red Hat Linux Handbuch Erster Schritte Der Rest dieses Abschnitts geht auf die Sicherheit bei der Kommunikation zwichen Client und Server ein 11 5 1 Sicherheit bei der Kommunikation Bekannte MUAs die Teil von Red Hat Linux sind wie z B Mozilla Mail mutt und pine gew hr leisten SSL verschl sselte E Mail Sitzungen Wie alle anderen Dienste die unverschl sselte und wichige E Mail Informationen wie z B Benut zernamen Passw rter und vollst ndige Mitteilungen ber das Netzwerk verschicken k nnen diese Informationen auch ohne besondere Kenntnisse ber Server oder Clients abgefangen und eingesehen werden Bei der Verwendung der Standardprotokolle POP und IMAP werden alle Informationen ber die Authentifizierung im Klartext bermittelt Angreifer die diese Informationen abfangen k nnen sich dadurch Zugriff zu diesen Accounts verschaffen 11 5 1 1 Sichere E Mail Clients Die meisten E Mail Clients in Linux kontrollieren E Mails auf Remote Servern und unterst tzen SSL zum Verschl sseln von Mitteilungen wenn sie ber ein Netzwerk verschickt werden Um SSL beim Abfragen von E Mails verwenden zu k nnen muss es auf dem E Mail Client und dem Server aller dings aktiviert sein SSL ist auf einem Client einfach zu aktivieren Oft klickt man dazu lediglich auf einen Button im Kon figurationsbereich der E Mail Clients Sichere
63. Flags verwendet e A Legt fest dass dieses Recipe nur verwendet wird wenn das vorherige Recipe ohne ein A oder a Flag diese Mitteilung ebenfalls verglichen hat Um sicherzustellen dass der letzte Vergleich mit dem Recipe erfolgreich abgeschlossen wurde verwenden Sie das a Flag e B Analysiert den Hauptteil der Mitteilung und sucht nach Matching Bedingungen 170 Kapitel 11 E Mail b Verwendet standardm ig den Hauptteil der Mitteilung und die sich daraus ergebenden Aktio nen wie z B das Scheiben der Mitteilung in eine Datei oder das Weiterleiten der Mitteilung Dies ist standardm ig e c Erstellt eine Kopie der E Mail Dies ist f r die Delivering Recipes hilfreich da die erforder lichen Aktionen in der Mitteilung ausgef hrt und die Kopie weiterhin in den rc Dateien verarbeitet werden kann e D Macht den egrep Vergleich abh ngig von Gro und Kleinschreibung Standardm ig wird nicht zwischen Gro und Kleinschreibung unterschieden E Ahnelt dem a Flag mit dem Unterschied dass die Bedingungen in diesem Recipe nur mit der Mitteilung verglichen werden und das vorherige Recipe ohne E Flag die Mitteilung nicht verglichen hat Dies ist vergleichbar mit der else Aktion Verwenden Sie stattdessen das e Flag wenn Sie nur dieses Recipe zum berpr fen verwenden wollen und die Pr fung des vorherigen Recipes fehlgeschlagen ist e f Verwendet die Pipe als Filter e H Analysiert standard
64. HTTP Server 2 0 an passen Benutzer mit weniger benutzerdefinierten Hauptserver Abschnitten sollten ihre nderungen in die Stock Apache HTTP Server 2 0 Konfiguration migrieren 10 2 2 1 UserDir Abbildung Die Anweisung UserDir wird verwendet um URLs wie http example com bob in ein Unterverzeichnis innerhalb des Home Verzeichnisses des Benutzers bob wie home bob public_html abzubilden Als Nebenwirkung erlaubt es diese Eigenschaft einem potentiellen Unbefugten festzustellen ob ein bestimmter Benutzername im System vorhanden ist 126 Kapitel 10 Apache Aus diesem Grund ist diese Anweisung in der Standardkonfiguration von Apache HTTP Server 2 0 deaktiviert Aktivieren Sie die UserDir Abbildung durch Um ndern der sich in httpd conf befindlichen An weisung von UserDir disable in folgende UserDir public_html Weitere Informationen zu diesem Thema finden Sie in der Dokumentation auf der Apache Software Foundation Website unter http httpd apache org docs 2 0 mod mod_userdir html userdir 10 2 2 2 Logging Folgende Log Anweisungen wurden entfernt e AgentLog RefererLog e RefererIgnore Agent und Referrer Logs sind ber CustomLog und LogFormat Anweisungen immer noch verf g bar Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_log_config html customlog http httpd apache org docs 2 0 mod mod_log_con
65. Hat Linux per Default installiert und stellt Host basierte Zugriffskontrolle zu Netzwerk Services bereit Die wichtigste Komponente in diesem 220 Kapitel 15 TCP Wrappers und xinetd Paket ist die usr lib libwrap a Bibliothek In allgemeinen Begriffen ist ein TCP wrapped Service einer der gegen die 1ibwrap a Bibliothek kompiliert wurde Wenn ein Verbindungsversuch zu einem TCP wrapped Service eingeleitet wird wird der Service zuerst die Hosts Zugriffs Dateien etc hosts allow und etc hosts deny untersuchen um festzustellen ob der Client Host erlaubt ist zu verbinden Dieser wird dann den syslog Daemon syslogd verwenden um den Namen des anfordernden Hosts und Service entweder zu var log secure oder zu var log messages zu schreiben Wenn es einem Client Host erlaubt ist zu verbinden gibt TCP Wrapper die Kontrolle ber die Verbin dung zum angeforderten Service und wird nicht mehr in die Kommunikation zwischen Client Host und Server eingreifen Zus tzlich zu Zugriffskontrolle und Logging TCP Wrapper kann Befehle aktivieren um mit dem Client zu interagieren bevor er die Kontrolle der Verbindung zum angeforderten Netzwerk Service bergibt oder diesen ablehnt Da TCP Wrapper ein wertvoller Zusatz zum Arsenal jeden Administrators Sicherheits Tools sind sind die meisten Netzwerk Services unter Red Hat Linux gegen die libwrap a gebunden Einige dieser Anwendungen sind usr sbin sshd usr sbin sendmail und usr sbin xinetd f
66. Kapitel Audio Video und Multimedia im Red Hat Linux Handbuch Erster Schritte In einigen F llen kann es notwendig sein die Konfigurationsdatei des XFree86 Server etc X11 XF86Config manuell zu bearbeiten F r weitere Informationen zur Struktur dieser Datei sehen Sie Abschnitt 7 3 7 2 Desktop Umgebungen und Window Manager Wenn der XFree86 Server erst einmal l uft k nnen X Client Applikationen zu diesem verbinden und eine GUI f r den Benutzer erzeugen Eine Anzahl von GUIs sind in Red Hat Linux m glich vom rudiment ren Tab Window Manager zum hochentwickelten interaktiven GNOME Desktop mit welcher die meisten Red Hat Linux Benutzer vertraut sind Um die letztere weiter entwickelte GUI zu erzeugen m ssen zwei X Client Applikationen zum XFree86 Server verbinden Eine Desktop Umgebung und ein Window Manager 7 2 1 Desktop Umgebungen Eine Desktop Umgebung umfasst eine Anzahl verschiedenster X Clients Diese zusammengenom men stellen die graphische Benutzeroberfl che und Entwicklungsplattform dar Desktop Umgebungen enthalten erweiterte Merkmale die es X Clients und anderen laufenden Pro zessen erm glichen miteinander zu kommunizieren Auf diese Weise k nnen alle Applikationen die f r diese Umgebung geschrieben wurden integriert und auf weitere Arten verwendet werden wie beispielsweise die Drag and Drop Funktionen Red Hat Linux liefert zwei Desktop Umgebungen GNOME Die standardm ige Desktop Umgebung f r
67. Konfigurationen durchge f hrten nderungen in die Datenbankdateien miteinzubeziehen m ssen Sie daher folgenden Befehl ausf hren makemap hash etc mail lt name gt lt etc mail lt name gt wobei lt name gt der Name der zu konvertierenden Konfigurationsdatei ist Wenn Sie z B m chten dass alle E Mails die an die example com Domain adressiert sind an lt bob other example com gt geschickt werden sollen m ssen Sie der Datei virtusertable die folgenden Zeile hinzuf gen 160 Kapitel 11 E Mail example com bob other example com Um die nderungen abzuschliessen muss die Datei virtusertable db aktualisiert werden F hren Sie dazu folgenden Befehl als root aus makemap hash etc mail virtusertable lt etc mail virtusertable Dadurch wird eine neue virtusertable db erstellt die dann die neue Konfiguration enth lt 11 3 1 3 Typische nderungen der Sendmail Konfiguration Zur nderung der Konfigurations Datei von Sendmail erstellen Sie am besten eine v llig neue etc sendmail cf Datei anstatt die bereits bestehende Datei zu bearbeiten O kenne Bevor Sie die sendmail cf Datei ver ndern sollten Sie eine Sicherungsdatei dieser anlegen Um die gew nschten Funktionen Sendmail hinzuzuf gen m ssen Sie die etc mail sendmail mc Datei bearbeiten Wenn Sie fertig sind verwenden Sie den m4 Makroprozessor um eine neue sendmail cf mit Hilfe des m4 etc mail sendmail mc gt etc sendmail cf Befehls zu erstellen
68. LILO vs GRUB Im Gro en und Ganzen gesehen funktioniert LILO wie GRUB mit Ausnahme folgender drei Haupt unterschiede Die Befehlsoberfl che ist nicht interaktiv Er speichert Informationen ber den Speicherort des Kernels oder anderer zu ladenden Betriebssys teme im MBR 2 Weitere Informationen zum BIOS und MBR finden Sie unter Abschnitt 1 2 1 20 Kapitel 2 Bootloader Er kann keine ext2 Partitionen lesen Der erste Punkt bedeutet dass der Befehls Prompt fiir LILO nicht interaktiv ist und nur Befehle mit Argumenten zul sst Die letzten beiden Punkte bedeuten dass Sie nach nderungen an der Konfigurationsdatei von LILO oder der Installation eines neuen Kernels den Stage 1 LILO Bootloader mit folgendem Befehl neu in den MBR schreiben m ssen sbin lilo v v Dies stell ein gr eres Risiko als die GRUB Methode dar da ein nicht richtig konfigurierter MBR zur Folge hat dass das System nicht mehr booten kann Sollte bei GRUB die Konfigurationsdatei fehlerhaft konfiguriert sein so startet er einfach nur die Befehlszeilenoberfl che wo der Benutzer das System manuell booten kann Sr Wenn Sie den Kernel mit Hilfe des Red Hat Update Agent aktualisieren wird der MBR automatisch aktualisiert Weitere Informationen zu RHN finden Sie Online unter folgender URL https rhn redhat com 2 9 Optionen in etc lilo conf Die LILO Konfigurationsdatei heisst etc lilo conf Der Befehl sbin 1ilo benutzt diese um zu be
69. Linux Handbuch Erster Schritte Tammy Fox Verantwortliche Autorin des Red Hat Linux Handbuch benutzerdefinierter Konfigura tion Co Autorin des Red Hat Linux Handbuch Erster Schritte Autorin Bearbeiterin der benutzerde finierten DocBook Stylesheets und Skripte Edward C Bailey Autor des Red Hat Linux System Administration Primer Co Autor des Red Hat Linux x86 Installationshandbuch Johnray Fuller Verantwortlicher Autor des Red Hat Linux Referenzhandbuch Co Autor des Red Hat Linux Security Guide Co Autor des Red Hat Linux System Administration Primer John Ha Verantwortlicher Autor des Red Hat Linux Handbuch Erster Schritte Co Autor des Red Hat Linux Security Guide Co Autor des Red Hat Linux System Administration Primer Dr Bernd R Groh Verantwortlicher Ubersetzer Bearbeiter des Red Hat Linux x86 Installationshandbuch Red Hat Linux Handbuch Erster Schritte Red Hat Linux Handbuch benutzerdefinierter Konfiguration Red Hat Linux Referenzhandbuch Nadine Richter Dipl Technik bersetzerin FH Verantwortliche bersetzerin Bearbeiterin des Red Hat Linux x86 Installationshandbuch Red Hat Linux Handbuch Erster Schritte Red Hat Linux Handbuch benutzerdefinierter Konfiguration Red Hat Linux Referenzhandbuch 308
70. Linux ist usr sbin ipop3d und wird mit dem imap Paket installiert Das Verwenden eines POP Servers erlaubt E Mail Clients E Mails von einem Remote Server herunterzuladen Die meisten POP E Mail Clients sind automatisch so konfiguriert dass sie Mitteilungen auf dem E Mail Server l schen wenn sie erfolgreich an das Client System bermittelt wurden Dies kann normalerweise jedoch anders eingestellt werden POP ist vollst ndig kompatibel mit wichtigen Internet Messaging Standards wie Multipurpose Inter net Mail Extensions MIME welche es erlauben Dateien an eine E Mail anzuh ngen POP ist am besten geeignet f r Benutzer die nur ber ein einziges System verf gen auf dem sie ihre E Mails lesen POP ist ebenfalls eine gute L sung wenn Sie keine st ndige Verbindung zum Internet oder Ihrem Mail Server haben Da POP von Client Programmen fordert dass diese nach der Authentifizierung den gesamten Inhalt einer Nachricht herunterladen kann dies f r diejenigen mit einer langsamen Netzwerkverbindung eine lange Zeit in Anspruch nehmen insbesondere wenn gro e Dateien an E Mails angeh ngt sind Die neueste Variante des Standard POP Protokolls ist POP3 Es gibt jedoch auch eine Anzahl weniger h ufig verwendeter POP Protokoll Varianten APOP POP3 mit MDS Authentifizierung wobei ein Hashcode Ihres Passworts und nicht der unverschl sselte Passworttext vom E Mail Client zum Server bermittelt wird KPOP POP3 mit Kerberos Aut
71. Linux ist eine Maus mit drei Tasten vorgesehen Falls Sie im Be sitz einer Maus mit nur zwei Tasten sind sollten Sie w hrend des Installationsprozesses die Drei Tasten Emulation w hlen Mit der Drei Tasten Emulation bet tigen Sie die dritte nicht real vorhan dene mittlere Maus Taste indem Sie die beiden vorhandenen Tasten gleichzeitig dr cken Immer wenn Sie in diesem Dokument dazu aufgefordert werden etwas mit der Maus anzuklicken bedeutet dies automatisch dass Sie mit der linken Taste klicken sollen Falls Sie hingegen die mitt lere oder die rechte Maus Taste bet tigen sollen werden Sie ausdr cklich dazu aufgefordert Rechts und links sind genau umgekehrt wenn Sie Ihre Maus f r die Benutzung durch einen Linksh nder konfiguriert haben Wahrscheinlich kennen Sie den Ausdruck ziehen und ablegen Drag amp Drop bereits Wenn Sie dazu aufgefordert werden eine Item auf Ihrem GUI Desktop zu ziehen und abzulegen bedeutet dies dass Sie etwas anklicken sollen und dann die Maus Taste gedr ckt halten Sie halten nun die Maus Taste weiterhin gedr ckt und ziehen das Element indem Sie die Maus auf die gew nschte Position bewegen Nachdem Sie auf dieser Position angekommen sind lassen Sie die Maus Taste los und legen damit das Element ab 5 Kopieren und Einf gen von Text mit X Das Kopieren und Einf gen von Text mit der Maus und dem X Window System ist sehr einfach Um Text zu kopieren klicken Sie auf Ihre linke Maustaste un
72. MBR Beim Verwenden des Befehls install muss der Benutzer folgendes angeben lt stage 1 gt Spezifiziert Ger t Partition und Datei wo das erste Boot Loader Image gefun den werden kann z B hd0 0 grub stagel lt install disk gt Gibt die Platte an auf welcher der Boot Loader der ersten Phase instal liert sein sollte z B hao e lt stage 2 gt Ubergibt dem Boot Loader der ersten Phase den Ort an welchem sich der Boot Loader der zweiten Phase befindet z B hd0 0 grub stage2 p lt config file gt Diese Option sagt dem install Befehl dass dieser nach der Konfig urationsdatei des Men s durch lt config file gt spezifiziert suchen soll Ein Beispiel eines g ltigen Pfads zur Konfigurationsdatei ist hd0 0 grub grub conf Kapitel 2 Bootloader 17 A warung Der Befehl install Uberschreibt alle Informationen im MBR Wird der Befehl ausgef hrt gehen alle Angaben verloren au er GRUB Daten die zum Booten anderer Betriebssysteme verwendet werden e kernel lt Kernel Dateiname gt lt Option 1 gt lt Option N gt Gibt die Kernel Datei an die vom GRUB root Dateisystem geladen werden soll wenn das Betriebssystem mit Hilfe des direkten Ladens gestartet werden soll Nach dem Befehl kerne1 k nnen Optionen angegeben und beim Laden dem Kernel bergeben werden Bei Red Hat Linux wird der Befehl kerne1 beispielsweise wie folgt angezeigt kernel vmlinuz root dev hda5 Diese Zeile gibt
73. Nach der Erstellung einer neuen etc sendmail cf m ssen Sie Sendmail neu starten damit die nderungen bernommen werden Geben Sie hierzu einfach als root den Befehl sbin service sendmail restart ein Der m4 Makroprozessor wird standardm ig mit Sendmail installiert ist aber im m4 Paket enthalten EB wicntic Die Standard sendmail cf Datei erm glicht es Sendmail nicht Netzwerkverbindungen die nicht vom eigenen Rechner kommen zu akzeptieren Wenn Sie also Sendmail als Server auch f r andere Clients konfigurieren m chten bearbeiten Sie hierzu bitte etc mail sendmail mc und ndern Sie DAEMON_OPTIONS um so auch auf Netzwerkgerate zu reagieren oder schreiben Sie diese Option ganz aus Stellen Sie dann etc sendmail cf mit der Ausf hrung folgenden Befehls wieder her m4 etc mail sendmail mc gt etc mail sendmail cf Diese Konfiguration m sste auf den meisten Seiten die ausschlie lich SMTP verwenden funktio nieren Sie funktioniert allerdings ganz sicher nicht auf UUCP UNIX auf UNIX Copy Seiten In diesen F llen m ssen Sie eine neue sendmail cf erstellen wenn Sie UUCP Mail bertragungen verwenden m ssen Sie sollten sich die Datei usr share sendmail cf README anschauen bevor Sie irgendeine Da tei der Verzeichnisse unter dem usr share sendmail cf Verzeichnis bearbeiten weil diese Aus wirkungen darauf haben k nnen wie die sp teren etc mail sendmail cf Dateien konfiguriert werden 11 3 1 4 Masquerading
74. Netzwerk Schnittstelle fest die named verwendet um Anfragen zu pr fen Standardm ig werden alle Schnittstellen verwendet Auf diese Weise sollte der DNS Server auch der Gateway sein kann BIND dazu konfiguriert werden nur Anfragen welche von einem dieser Netzwerke gestellt wurden zu beantworten Eine listen on Direktive kann folgenderma en aussehen options listen on 10 0 1 1 Auf diese Art und Weise werden nur Anfragen von der Netzwerk Schnittstelle akzeptiert die das private Netzwerk 10 0 1 1 verwendet notify Kontrolliert ob named die Slave Server informiert wenn eine Zone aktualisiert wird Nimmt die folgenden Optionen an yes Informiert Slave Server no Informiert Slave Server nicht 182 Kapitel 12 Berkeley Internet Name Domain BIND e explicit Informiert Slave Server nur dann wenn diese in einer also notify List inner halb des Zonen Statement angegeben sind e pid file Erlaubt das Festlegen eines alternativen Ortes f r die Prozess ID Datei die named erstellt e statistics file Erlaubt das Festlegen eines alternativen Ortes in welcher die Statistik Dateien abgelegt werden Standardm ig werden named Statistiken in var named named stats gespeichert Es gibt noch zahlreiche andere Optionen bei denen einige voneinander abh ngig sind um fehlerfrei zu funktionieren Weitere Informationen hierzu finden Sie im BIND 9 Administrator Reference Manual in Abschnitt 12
75. Passw rter normalerweise in der Datei etc passwd abgelegt im Verzeichnis etc shadow abgelegt wer den das nur von root gelesen werden kann Liefern Informationen ber das Altern von Passw rtern Die M glichkeit unter Verwendung der Datei etc login defs die Sicherheitsbestimmungen besonders im Bezug auf veraltete Passw rter umzusetzen Shadow Utilities arbeiten ordnungsgem unabh ngig davon ob Shadow Passw rter aktiviert sind oder nicht und diese unterst tzen das privaten Gruppen Schema des Benutzers redhat Kapitel 7 Das X Window System W hrend der Kernel das Herz von Red Hat Linux darstellt ist die vom X Window System kurz X genannt bereitgestellte grafische Umgebung f r viele Benutzer das Gesicht des Betriebssystems In der UNIX Welt gibt es seit Jahrzehnten Umgebungen mit Fenstergestaltung womit sie vielen der momentan gebr uchlichsten Betriebssystemen voraus war Das X Window System ist nun die gebr uchlichste GUI f r Unix hnliche Betriebssysteme Die graphische Umgebung von Red Hat Linux wird von XFree86 bereitgestellt einem Open Sour ce Softwareprojekt an dem Hunderte von Entwicklern in der ganzen Welt arbeiten XFree86 zeich net sich durch eine schnelle Entwicklung einen umfangreichen Support f r verschiedene Hardware Ger te und Architekturen sowie die F higkeit aus unter verschiedenen Betriebssystemen und Platt formen zu laufen Das X Window System verwendet eine Client Serve
76. Pentium II und h her um den Zugriff des Pro zessors auf Speicherbereiche zu steuern Wenn Sie eine Grafikkarte im PCI oder AGP Bus einsetzen kann eine richtig konfigurierte proc mtrr Datei die Leistung um 150 erh hen In den meisten F llen werden diese Werte korrekt f r Sie eingestellt Weitere Informationen zu MTRRs und der Konfiguration per Hand finden Sie unter der URL http web 1 linuxhq com kernel v2 3 doc mtrr txt html 5 2 24 proc partitions Die meisten Infomationen hier sind nicht sehr wichtig fiir die meisten Benutzer Die folgenden Zeilen allerdings ausgenommen major Die Major Nummer des Ger tes auf dem diese Partition liegt Die Major Nummer in unserem Beispiel 3 entspricht dem Block Ger t ide0 in proc devices minor Die Minor Nummer des Ger ts auf dem diese Partition liegt Diese dient dazu die Partionen auf verschiedene physische Ger te aufzuteilen und h ngt mit der Zahl am Ende des Par titionsnamens zusammen blocks Listet die Anzahl von Plattenbl cken auf die in einer bestimmten Partition enthalten sind name Der Name der Partition 5 2 25 proc pci Diese Datei enth lt eine volle Auflistung jedes PCI Ger ts in Ihrem System Wenn Sie viele PCI Ger te im System haben kann proc pci sehr lang werden Ein Beispiel aus dieser Datei auf einem Standardrechner Bus 0 device 0 function 0 Host bridge Intel Corporation 440BX ZX 82443BX ZX Host bridge rev 3 Ma
77. Red Hat Linux welche auf dem GTK 2 graphischen Toolkit basiert KDE Eine weitere Desktop Umgebung welche auf dem Qt 3 graphischen Toolkit basiert Sowohl GNOME als auch KDE besitzen erweiterte Applikationen wie textverarbeitende Prozesso ren elektronische Kalkulationstabellen und Bedienerkonsolen Ger te mit denen Sie das Look and Feel vollst ndig steuern k nnen Beide Umgebungen k nnen standardm ige X Clientanwendungen ausf hren Die meisten KDE Anwendungen k nnen auch in GNOME ausgef hrt werden wenn die Ot Bibliotheken installiert sind Im Red Hat Linux Handbuch Erster Schritte finden Sie weitere Informationen ber die benutzerdefi nierte Konfiguration der Desktop Umgebungen GNOME und KDE 7 2 2 Window Manager Window Manager sind X Clientprogramme die die Art und Weise steuern in der andere X Clients positioniert in ihrer Gr e ver ndert oder bewegt werden Window Manager liefern dar ber hinaus Kapitel 7 Das X Window System 87 auch Titelleisten Tastaturspezifizierung nach Tastatur oder Maus sowie benutzerspezifische Tasten und Maustastenbindungen Fiinf Window Manager sind in Red Hat Linux enthalten kwin Der KWin Window Manager ist der Default bei der Auswahl der KDE Desktop Umgebung Dies ist ein effizienter Window Manager der benutzerdefinierte Themen unterstiitzt e metacity Der Metacity Window Manager ist der Default bei der Auswahl der GNOME Desktop Umgebung Es ist ein einfacher und
78. Serverinformationen wie zum Beispiel der Daemonprozess und die Host oder IP Adresse des Servers e u Der Benutzername des Clients Wenn dieser nicht verf gbar ist wird unknown ausgegeben Die folgende Beispielregel verwendet eine Expansion in Verbindung mit dem spawn Befehl um den Host des Clients in einer benutzerdefinierten Log Datei zu identifizieren Sie leitet TCP Wrappers an sollte ein Verbindungsversuch zum SSH Daemon sshd von einem Host in der example com Domain unternommen werden mit dem Befehl echo den Versuch in eine spezielle Log Datei zu schreiben einschlie lich Hostname des Client unter Verwendung von h sshd example com spawn bin echo bin date access denied to h gt gt var log sshd log deny hnlich k nnen Expansionen dazu verwendet werden um Nachrichten auf bestimmte Clients abzu stimmen Im folgenden Beispiel wird Clients welche versuchen auf FTP Services von der exam ple com Domain aus zuzugreifen mitgeteilt dass diese vom Server ausgeschlossen wurden vsftpd example com twist bin echo 421 h has been banned from this server F r eine vollst ndige Erkl rung der verf gbaren Expansionen wie zus tzlichen Zugriffskontroll Optionen sehen Sie Abschnitt 5 der man Seiten von hosts_access man 5 hosts_access und die man Seite f r hosts_options F r zus tzliche Ressourcen im Bezug zu TCP Wrappers sehen Sie Abschnitt 15 5 15 3 xinetd Der xinetd Daemon i
79. Sie weitere Informationen zu diesen Tools 1 5 Herunterfahren Um Red Hat Linux herunterzufahren kann der root Benutzer den Befehl sbin shutdown ausf h ren Die man Seiten zu shutdown enthalten eine vollst ndige Liste von Optionen Hier sind die zwei am h ufigsten verwendeten sbin shutdown h now sbin shutdown r now Nachdem das System vollst ndig heruntergefahren wurde h lt die Option h die Maschine an und die Option r startet diese neu Normale Benutzer k nnen die Befehle reboot und halt verwenden um das System herunterzu fahren solange das System in den Runlevels 1 bis 5 ist Jedoch nicht alle Linux Betriebssysteme unterst zten diese Funktion Sollte der Computer sich nicht selbst herunterfahren seien Sie vorsichtig und schalten Sie den Com puter nicht aus bis eine Nachricht erscheint dass das System angehalten wurde 10 Kapitel 1 Boot Init und Shutdown Wenn Sie dies nicht tun und den Computer ausschalten bevor diese Meldung erscheint kann auf einigen Partitionen noch ein Mount bestehen was zur Korruption von Daten fiihren kann redhat Kapitel 2 Bootloader Bevor Red Hat Linux auf einem System ausgef hrt werden kann muss es ber ein spezielles Pro gramm namens Bootloader geladen werden Das Bootloaderprogramm ist in der Regel auf der ersten Festplatte des Systems oder einem anderen Ger t installiert und ist f r das Laden der f r den Linux Kernel erforderlichen Dateien oder in manchen F ll
80. Strg Alt Entf den Rechner mittels des init Befehls Wert 0 neu startet oder einen sofortigen Neustart ohne Puffer Synchronisation vornimmt Wert 1 e domainname Erlaubt es den Domainnamen des Systems zu konfigurieren wie z B exam ple com hostname Erlaubt es den Hostnamen des Systems zu konfigurieren wie z B www example com hotplug Konfiguriert das Programm welches benutzt wird wenn eine Konfigurations nderung vom System erkannt wird Dies wird vor allem mit dem USB und dem Cardbus PCI benutzt Der Standardwert sbin hotplug sollte nicht ge ndert werden au er wenn Sie ein neues Programm testen dass diese Rolle ausf llt modprobe Stellt den Ort des Programms ein das Kernel Module bei Bedarf l dt Der Standard wert von sbin modprobe zeigt an dass kmod dieses Programm aufruft wenn ein Kernel Thread kmod aufruft um ein Modul zu laden msgmax Setzt die maximale Gr e von gesendeten Mitteilungen von einem Prozess zum an deren Standardwert 8192 Bytes Mit dem Erh hen dieses Wertes sollten Sie vorsichtig sein weil zwischengespeicherte Werte in nicht auslagerbarem Kernel Speicher abgelegt werden und jede Erh hung in msgmax die RAM Erfordernisse im System erh hen msgmnb Setzt die maximale Anzahl von Bytes in einer einzelnen Mitteilungs Queue Standard ist hier 16384 msgmni Setzt die maximale Anzahl von Mitteilungs Queue IDs Standard ist 16 osrelease Listet d
81. Subdomain von com mit sales als Subdomain von example Ganz links im FQDN befindet sich der Hostname bob der einen bestimmten Computer identifiziert Mit Ausnahme des Hostnamens wird jeder Bereich als Zone bezeichnet die einen bestimmten Na mespace Namensbereich festlegt Ein Namespace kontrolliert die Bezeichnung der Subdomains auf der linken Seite In diesem Beispiel sind zwar nur zwei Subdomains angegeben ein FQDN muss aber mindestens eine und kann viel mehr Subdomains enthalten je nach der Organisation des Namespace Die Zonen werden mit Hilfe von Zone Dateien in authorisierten Nameservern festgelegt Die Zone Dateien beschreiben den Namenspace der Zone den fiir eine bestimmte Domain oder Subdomain zu verwendenden Mail Server uvm Die Zone Dateien sind auf primdren Nameservern auch Master Nameserver genannt gespeichert die f r nderungen an Dateien ma geblich sind sowie auf sekun d ren Nameservern auch Slave Nameserver genannt die ihre Zone Dateien von den prim ren Na meservern erhalten Jeder Nameserver kann gleichzeitig f r unterschiedliche Zonen sowohl prim rer als auch sekund rer Nameserver sein Zugleich k nnen sie auch f r mehrere Zonen ma geblich sein Dies h ngt alles von der Konfiguration des Nameservers ab 12 1 2 Nameserver Types Prim re Nameserver k nnen auf vier verschiedene Arten konfiguriert sein e Master Speichert die urspr nglichen und ma geblichen Zonen f r einen bestimmten Names p
82. System angemeldet sein m ssen startet startx weder den Display Manager noch authentifiziert er Benutzer Sehen Sie Abschnitt 7 5 2 f r weitere Infor mationen zu einem Display Manager Wenn startx startet wird nach der Datei xinitrc im Home Verzeichnis des Benutzers gesucht um die auszuf hrenden X Clients zu definieren Ist diese Datei nicht vorhanden wird das Standard skript etc X11 xinit xinitrc ausgef hrt Das standardm ige xinitrc Skript sucht anschlie end im Home Verzeichnis des Benutzers nach benutzerdefinierten Dateien und standardm igen Systemdateien einschlie lich Xresources Xmodmap und Xkbmap und nach Xresources Xmodmap und Xkbmap im Verzeichnis etc X11 Die Dateien Xmodmap und Xkbmap werden sofern sie vorhanden sind vom Dienstprogramm xmodmap verwendet um die Tastatur zu konfigurieren Die Xresources Dateien werden gelesen um bestimmten Applikationen spezifische Pr ferenzwerte zuzuweisen Nachdem diese Optionen eingestellt sind f hrt das Skript xinitrc alle Skripte im Verzeichnis etce X11 xinit xinitrc daus Ein wichtiges Skript dieses Verzeichnisses ist xinput womit Einstellungen wie die zu verwendende Standardsprache und Desktop Umgebung konfiguriert werden Anschlie end versucht das Skript xinitrc Xclients im Home Verzeichnis des Benutzers auszu f hren und kehrt zu etc X11 xinit Xclients zur ck wenn diese Datei nicht gefunden wird Der Zweck der Datei Xclients ist der Start der Desktop Umg
83. XFree86 Server angewiesen Font Informationen mithilfe von UNIX Dom nen Sockets f r die Kommunikation zwischen den Prozessen IPC abzurufen In Abschnitt 7 4 finden Sie weitere Informationen ber XFree86 und Fonts ModulePath Erm glicht Ihnen optional die Einstellung von mehreren Verzeichnissen die f r die Speicherung von XFree86 Server Modulen verwendet werden 90 Kapitel 7 Das X Window System 7 3 1 5 Module Der Abschnitt Module gibt dem XFree86 Server an welche Module des usr X11R6 1ib modules Verzeichnisses zu laden sind Die Module statten den XFree86 Server mit zus tzlichen Funktionen aus Folgend ist ein Beispiel eines typischen Module Abschnitts Section Module Load dbe Load extmod Load fbdevhw Load glx Load record Load freetype Load typel Load dri EndSection 7 3 1 6 InputDevice Jeder InputDevice Abschnitt konfiguriert ein Input Ger t wie eine Maus oder eine Tastatur das f r die Eingabe von Informationen in das System mithilfe des XFree86 Servers verwendet wird Die meisten Systeme besitzen mindestens zwei InputDevice Abschnitte Tastatur und Maus Das folgende Beispiel zeigt einen typischen InputDevice Abschnitt f r eine Maus Section InputDevice Identifier Mouse0 Driver mouse Option Protocol IMPS 2 Option Device dev input mice Option Emulate3Buttons no EndSection Die folgenden Eintr ge werden am h ufigsten in einem InputDevice Abschnitt verw
84. Zeit eingestellt sein nach der GRUB mit dem Laden der Standardoption beginnt Dr cken Sie in der Men oberfl che die Taste e um die Oberfl che des Eintrag Editors aufzu rufen bzw die Taste c um eine Befehlszeilenoberfl che zu laden Weitere Informationen zum Konfigurieren dieser Oberfl che finden Sie unter Abschnitt 2 7 Oberfl che Men eintrag Editor Um auf den Men eintrag Editor zuzugreifen dr cken Sie die Taste e im Bootloader Men Die GRUB Befehle f r diesen Eintrag werden hier angezeigt und die Benutzer haben die M glichkeit diese Befehlszeilen vor dem Starten des Betriebssystems durch Hinzuf gen einer Befehlszeile o f gt die neue Zeile nach der aktuellen Zeile ein O davor durch Bearbeiten e oder L schen d zu ndern Nachdem die gew nschten nderungen an den Zeilen vorgenommen wurden k nnen Sie die Taste b dr cken um die Befehle auszuf hren und das Betriebssystem zu booten Mittels der Taste Esc werden die nderungen verworfen und die Standardmen oberfl che geladen ber die Taste c wird die Befehlszeilenoberfl che geladen Oro Weitere Informationen zum ndern der Runlevel mit GRUB unter Verwendung des Men eintrag Editors finden Sie unter Abschnitt 2 10 Befehlszeilenoberfl che Die Befehlszeile ist die einfachste GRUB Oberfl che die gleichzeitig auch die gr te Kontrolle bietet Die Befehlszeile erm glicht es alle relevanten GRUB Befehle einzugeben und diese
85. al O Reilly amp Associates Eine gute Beschreibung von Sendmail Geschrieben mit der Unterst tzung des Entwicklers von Delivermail und Sendmail Removing the Spam Email Processing and Filtering von Geoff Mulligan Addison Wesley Pub lishing Company Ein Buch das die verschiedenen Methoden betrachtet mit denen Email Administratorren unter Anwendung bekannter Tools wie z B Sendmail oder Procmail Probleme mit Junkmails handhaben Internet Email Protocols A Developer s Guide von Kevin Johnson Addison Wesley Publishing Company Vollst ndiger berblick ber die wichtigsten E Mail Protokolle und deren Sicherheit Managing IMAP von Dianna Mullet und Kevin Mullet O Reilly amp Associates Beschreibt die einzelnen Schritte zur Konfiguration eines IMAP Servers redhat Kapitel 12 Berkeley Internet Name Domain BIND Die meisten modernen Netzwerke einschliesslich dem Internet erlauben dem Benutzer andere Com puter ber deren Namen zu bestimmen Dies befreit den Benutzer davon die numerische Netzwerk Adresse behalten zu m ssen Der effektivste Weg ein Netzwerk zu konfigurieren sodass es namens basierte Verbindungen zul sst ist durch das Einrichten eines Domain Name Service DNS oder Na meserver welcher Rechnernamen in IP Adressen aufl st und umgekehrt Dieses Kapitel stellt den in Red Hat Linux enthaltenen Nameserver Berkeley Internet Name Domain BIND DNS Server vor mit dem Fokus auf die Stru
86. allowund etc hosts deny ist gleich Leere Zeilen oder Zeilen die mit dem Zeichen beginnen werden nicht ber cksichtigt Jede Regel muss auf einer neuen Zeile beginnen Jede Regel verwendet folgendes grundlegende Format um den Zugriff zu Netzwerk Services zu kon trollieren lt daemon list gt lt client list gt lt option gt lt option gt e lt daemon list gt Eine durch Kommas getrennte Liste von Prozessnamen nicht Service Namen oder dem ALLE Wildcard siehe Abschnitt 15 2 1 1 Die Daemon Liste akzeptiert auch Operatoren in Abschnitt 15 2 1 3 aufgelistet um gr ere Flexibilit t zu gew hren e lt client list gt Eine durch Kommas getrennte Liste von Hostnamen Host IP Adressen speziellen Patterns siehe Abschnitt 15 2 1 2 oder speziellen Wildcards siehe Abschnitt 15 2 1 1 welche die von dieser Regel betroffenen Hosts identifizieren Die Client Liste akzeptiert auch Op eratoren wie in Abschnitt 15 2 1 3 aufgelistet um gr ere Flexibilit t zu gew hren e lt option gt Eine optionale Aktion oder durch Doppelpunkte getrennte Liste von Aktionen welche ausgef hrt werden wenn eine Regel angewendet wird Option Felder unterst tzen Expan sionen siehe Abschnitt 15 2 3 4 und k nnen verwendet werden um Shell Befehle auszuf hren Zugriff zu gew hren oder abzulehnen und die Log Methode zu ndern siehe Abschnitt 15 2 3 Folgend ist eine einfaches Beispiel einer Hosts Zugriffsregel v
87. also fiir den Benutzer transparent oder nachdem sich der Benutzer angemeldet hat vom Programm kinit gesendet werden Der KDC sucht dann in seiner Datenbank nach diesem Principal Sobald der Principal gefunden wur de erstellt der KDC ein TGT verschl sselt es unter Verwendung des zu diesem Benutzer geh renden Schliissels und sendet es an den Benutzer zuriick Das Anmeldeprogramm auf dem Client oder kinit entschliisselt das TGT mit Hilfe des Benutzer schliissels den es aus dem Passwort des Benutzers errechnet Der Benutzerschliissel wird lediglich auf der Client Maschine benutzt und wird nicht iiber das Netzwerk versendet Das TGT ist nur eine bestimmte Zeitspanne giiltig und wird im Credential Cache des Client gespei chert Die G ltigkeitsdauer ist so eingerichtet dass ein TGT immer nur w hrend einer bestimmten Zeitspanne verwendet werden kann Ist das TGT erst einmal erstellt muss der Benutzer das Passwort fiir das KDC bis zum Ablauf der Giiltigkeit des Passworts nicht erneut eingeben bzw bis sich der Benutzer ab und neu anmeldet Wenn der Benutzer auf einen Netzwerkdienst zugreifen m chte verwendet der Client das TGT um vom Ticket Granting Service TGS ein Ticket fiir den Service anzufordern der auf dem KDC ausge f hrt wird Der TGS stellt ein Ticket f r den gew nschten Service aus das zur Authentifizierung des Benutzers verwendet wird Warnung Das Kerberos System kann jederzeit kompromitiert werden wenn ein Ben
88. an dass die Datei vmlinuz vom GRUB root Dateisystem geladen wird z B hd0 0 Weiterhin wird dem Kernel eine Option bergeben die angibt dass sich das root Dateisystem f r den Linux Kernel beim Laden auf hda5 der f nften Partition auf der ersten IDE Festplatte befinden sollte Bei Bedarf k nnen nach dieser Option weitere Optionen angegeben werden root lt Ger t und Partition gt Konfiguriert die root Partition von GRUB als diese Kom bination von Ger t und Partition z B hd0 0 und mountet die Partition so dass Dateien gelesen werden k nnen rootnoverify lt Ger t und Partition gt Entspricht dem Befehl root mountet jedoch nicht die Partition Dar ber hinaus stehen noch andere Befehle zur Verf gung Geben Sie info grub ein um eine voll st ndige Liste zu erhalten 2 7 Men konfigurationsdatei von GRUB Die Konfigurationsdatei boot grub grub conf die verwendet wird um die Liste der zu boo tenden Betriebssysteme in der Men oberfl che von GRUB zu erstellen erm glicht dem Benutzer im Wesentlichen eine festgelegte Reihe von Befehlen auszuw hlen Dabei k nnen die in Abschnitt 2 6 angef hrten Befehle sowie einige spezielle Befehle verwendet werden die ausschlie lich in der Konfigurationsdatei zur Verf gung stehen 2 7 1 Spezielle Konfigurationsdateibefehle Die folgenden Befehle k nnen ausschlie lich in der Men konfigurationsdatei von GRUB verwendet werden color lt normale Farbe
89. anhand des twadmin Befehls eine unterzeichnete Kopie der tw cfg Datei neu erzeugen Weitere Informationen hierzu finden Sie unter Abschnitt 19 9 var lib tripwire host_name twd Nach der ersten Initialisierung verwendet Tripwire die Regeln der unterzeichneten Policy Dateien um diese Datenbankdatei zu erstellen Diese Datei enth lt eine bersicht ber das System in einem bekannten sicheren Status Tripwire vergleicht diese Basisdatei mit dem aktuellen System um eventuelle nderungen zu ermitteln Dieser Vorgang ist die sog Integrit tspr fung var lib tripwire report host_name date_of_report time_of_report twr Bei der Integrit tspr fung erstellt Tripwire Berichtdateien im var lib tripwire report Verzeichnis In diesen Dateien sind kurz die nderungen dargestellt die w hrend der Intergri tspr fung nicht den Regeln der Policy Dateien entsprechen Tripwire Berichte werden unter Beachtung folgender Konventionen benannt host_name date_of_report time_of_report twr Diese Berichte f hren die Unterschiede zwischen der Tripwire Datenbank und Ihren aktuellen System Dateien im Einzelnen auf 19 11 Zus tzliche Ressourcen Tripwire bietet noch mehr als das was in diesem Kapitel beschrieben wurde Lesen Sie die Zusatzin formationen um mehr ber Tripwire zu erfahren 19 11 1 Installierte Dokumentation e usr share doc tripwire lt Versionsnummer gt Ein idealer Ausgangspunkt um zu er fahren wie die Konfigurations und Pol
90. ben tigt und diese wird erfolgreich authentifiziert optional Solche Module sind f r die erfolgreiche oder fehlgeschlagene Authentifizierung dieser Modul Schnittstelle nicht von Bedeutung Diese werden nur dann wichtig wenn kein an deres Modul dieser Modul Schnittstelle erfolgreich war oder fehlgeschlagen ist In diesem Fall bestimmt der Erfolg oder Misserfolg eines optional Moduls die gesamte PAM Authentifikation f r diese Modul Schnittstelle EB wicntic Die Reihenfolge in welcher required Module aufgerufen werden spielt keine Rolle Bei den Steuer Flags sufficient und requisite ist die Reihenfolge allerdings wichtig Eine neuere Steuer Flag Syntax mit immer mehr Kontrollm glichkeiten steht nun fiir PAM zur Ver fiigung Mehr Informationen iiber diese neue Syntax finden Sie in den PAM Dokumentationen im Verzeichnis usr share doc pam version number wobei lt version number gt die Ver sionsnummer von PAM ist 14 3 3 PAM Modul Pfade Modulpfade geben PAM an wo die Pluggable Modules zu finden sind die von der ausgew hl ten Modul Schnittstelle verwendet werden Sie geben blicherweise den kompletten Pfad zu einem Modul an wie zum Beispiel lib security pam_stack so Wenn der komplette Pfad jedoch nicht angegeben ist wird angenommen dass sich das angegebene Modul in lib security dem Default Verzeichnis f r PAM Module befindet 214 Kapitel 14 Pluggable Authentication Modules PAM 14 3 4 Modul Argumente PA
91. benutzerdefinierbare Seiten zu Fehlermeldungen in mehreren Sprachen verschickt werden Multiprotocol Support Mehrere Protokolle werden unterst tzt Eine vollst ndige Liste der nderungen finden Sie online unter http httpd apache org docs 2 0 10 1 2 Paket nderungen bei Apache HTTP Server 2 0 Mit Red Hat Linux 8 0 beginnend wurden die Apache HTTP Server Pakete umbenannt Au erdem wurden einige verwandte Pakete umbenannt verworfen oder in andere Pakete aufgenommen Es folgt eine Liste der Paket nderungen Die Pakete apache apache devel und apache manual wurden in httpd httpd devel und httpd manual umbenannt Das Paket mod_dav wurde in httpd integriert Die Pakete mod_put und mod_roaming wurden entfernt da deren Funktionalit t in mod_dav en thalten ist Die Pakete mod_auth_any und mod_bandwidth wurden entfernt Die Versionsnummer f r das Paket mod_ss1 wurde jetzt mit dem Paket httpd in Einklang ge bracht Dies bedeutet dass das Paket mod_ss1 f r Apache HTTP Server 2 0 eine niedrigere Ver sionsnummer hat als das Paket mod_ss1 f r Apache HTTP Server 1 3 10 1 3 Dateisystem nderungen bei Apache HTTP Server 2 0 Bei der Aktualisierung auf Apache HTTP Server 2 0 ergeben sich folgende nderungen am Layout des Dateisystems Ein neues Konfigurationsverzeichnis etc httpd conf d wurde hinzugef gt Dieses neue Verzeichnis wird zur Hinterlegung von Konfigurationsdateien f r Module in Einzelpa
92. bietet gleichwertige Funktionalit t und kann wie mod_auth_dbm mit einer Reihe von Datenbank Formaten umgehen die Option T kann in der Befehlszeile zur Bestimmung des Formats verwendet werden Tabelle 10 1 zeigt wie man von einer Datenbank im DBM Format anhand von dbmmanage in das htdbm Format migrieren kann dbmmanage Befehl 1 3 Entsprechender htdbm Befehl 2 0 Benutzer zu Datenbank bmmanage authdb add htdbm b TDB authdb hinzuf gen angegebenes sername password username password Passwort verwenden Benutzer zu Datenbank dbmmanage authdb htdbm TDB authdb hinzuf gen fragt nach adduser username username Passwort Benutzer aus Datenbank dbmmanage authdb delete htdbm x TDB authdb entfernen username username Benutzer in Datenbank dbmmanage authdb view htdbm 1 TDB authdb auflisten Passwort pr fen dbmmanage authdb check htdbm v TDB authdb username username Tabelle 10 1 Migrieren von dbmmanage nach htdbm Die Optionen m und s funktionieren sowohl mit dbmmanage als auch mit htdbm und aktivieren damit jeweils die Verwendung von MDS5 oder SHA1 Algorithmen zum Haschieren der Passw rter Wird mit htdbm eine neue Datenbank erzeugt muss dies anhand der Option c erfolgen Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website Kapitel 10 Apache 131 http httpd apache org docs 2 0 mod mod_auth_dbm html 10 2 4 5 Das Modul mod_perl
93. binfmt_misc wirt benutzt um Kernel Support f r verschiedene Bin r Formate an zubieten Die wichtigen Dateien im Verzeichnis proc sys fs sind dentry state Zeigt den Status des Verzeichnis Caches an Diese Datei sieht so hnlich wie diese aus 57411 52939 45 000 Die erste Zahl zeigt die Gesamtzahl der Verzeichnis Cache Eintr ge an die zweite Zahl zeigt die Anzahl der nicht benutzten Eintr gen an Die dritte Zahl zeigt die Sekunden zwischem dem L schen und dem erneuten Aufnehmen eines Verzeichnisses an Die vierte misst die Seiten die gerade vom System angefordert werden Die letzten zwei Zahlen werden nicht benutzt und zeigen nur Nullen an dquot nr Zeigt die maximale Anzahl von zwischengespeicherten Quoten Eintr gen an e file max Erlaubt es die maximale Anzahl von Datei Handles die der Kernel zuweist zu ndern Diesen Wert zu ndern kann Fehler l sen die beim Zuweisen von Datei Handles entstehen k nnen e file nr Zeigt die Anzahl zugewiesener benutzter und die maximale Anzahl der Datei Handles an overflowgid und overflowuid Definiert die feste Benutzer und Gruppen ID falls das Sys tem nur 16 bit Gruppen und Benutzer IDs unterstiitzt super max Kontrolliert die maximal verf gbare Anzahl von Superbl cken super nr Zeigt die aktuelle Anzahl der benutzten Superbl cke an 5 3 9 3 proc sys kernel Dieses Verzeichnis enth lt eine Vielzahl von verschiedenen Konfigurati
94. d h die Bin rdateien die nicht zu sbin geh ren sha re enth lt Dateien die nicht architekturspezifisch sind src ist f r den Quellcode reserviert und X11R6 ist f r das X Window System gedacht XFree86 in Red Hat Linux 3 2 1 9 Das usr local Verzeichnis Laut FHS Die usr local Hierarchie kann vom Systemadministrator f r die Installation lokaler Software benutzt werden Bei der Aktualisierung der Systemsoftware muss ein berschreiben ausgeschlossen werden Das Verzeichnis kann f r Programme und Daten benutzt werden auf die innerhalb einer Gruppe von Rechnern zugegriffen werden kan und die nicht in usr abgelegt sind Das usr local Verzeichnis hat eine hnliche Struktur wie das usr Verzeichnis Es enth lt die folgenden Unterverzeichnisse deren Verwendungszweck jeweils dem der Unterverzeichnisse im usr Verzeichnis hnlich ist usr local bin doc etc games include lib libexec sbin share src 3 2 1 10 Das var Verzeichnis Der Dateisystemstandard FHS erfordert dass das Mounten von usr im schreibgesch tzten Mo dus m glich ist Daher sollten Programme die Protokolldateien schreiben oder spool or lock Verzeichnisse ben tigen am besten in das the var schreiben Laut FHS steht var f r variable Datendateien Dazu geh ren Spool Verzeichnisse und Spooldateien Systemverwaltungs und Protokollierungsdaten sowie zwischengespeicherte Dateien Kap
95. das XFree86 Projekt erhalten gt usr X11R6 1ib X11 doc RELNOTES F r erfahrene Benutzer die sich ber die Neuheiten von XFree86 informieren m chten man XF86Config Enth lt Informationen ber die Konfigurationsdateien von XFree86 ein schlie lich der Bedeutung und der Syntax f r die verschiedenen Abschnitte innerhalb der Dateien man XFree86 Die wichtigste man Seite f r alle Informationen in Bezug auf XFree86 Hier werden der Unterschied zwischen den X Serververbindungen auf lokaler Ebene und ber ein Net zwerk detailliert beschrieben bliche Umgebungsvariablen dargestellt Optionen von Befehlszeilen erl utert und hilfreiche administrative Schl sselkombinationen gegeben man Xserver Beschreibt den X Display Server 7 6 2 N tzliche Webseiten http www xfree86 org Die Home Page des XFree86 Projekts die die XFree86 Open Source Version des X Window Systems bietet XFree 86 steuert gemeinsam mit Red Hat Linux die notwendige Hardware und stellt die GUI Umgebung zur Verf gung http dri sourceforge net Home Page des DRI Projekts Direct Rendering Infrastructure DRI ist die wesentliche 3D Hardwarebeschleunigungskomponente von XFree86 http www redhat com mirrors LDP HOWTO XFree86 HOWTO Ein HOWTO Dokument mit einer detaillierten Beschreibung der manuellen Installation und der benutzerdefinierten Konfigura tion von XFree86 http www gnome org Home Page des GNOME Projekts http www kde
96. der Konfiguration verschiedener Zone Dateien die als prim rer Name Server f r eine Domain ben tigt werden 12 7 3 B cher zum Thema DNS and BIND von Paul Albitz und Cricket Liu O Reilly amp Associates Ein bekanntes Buch das allgemeine und weiterf hrende Optionen der Konfiguration von BIND erkl rt und Strategien zum Schutz Ihres DNS Servers vorstellt The Concise Guide to DNS and BIND von Nicolai Langfeldt Que Beschreibt die Verbindun gen zwischen mehreren Netzwerkdiensten und BIND mit Schwerpunkt auf aufgabenorientierten technischen Themen 196 Kapitel 12 Berkeley Internet Name Domain BIND amp redhat Kapitel 13 Lightweight Directory Access Protocol LDAP LDAP Lightweight Directory Access Protocol ist ein Satz von offenen Protokollen die zum Zu greifen auf zentral gespeicherte Informationen ber ein Netzwerk verwendet werden Es basiert auf dem X 500 Standard fiir das gemeinsame Nutzen von Verzeichnissen ist jedoch weniger komplex und ressourcenintensiv Aus diesem Grund wird LDAP bisweilen auch X 500 Lite genannt Ebenso wie X 500 organisiert LDAP die Informationen mit Hilfe von Verzeichnissen hierarchisch In den Verzeichnissen kann eine Vielfalt an Informationen gespeichert werden Zudem k nnen sie auf hnliche Weise wie der Network Information Service NIS verwendet werden so dass alle Benutzer von jedem beliebigen Rechner in einem LDAP unterst tzten Netzwerk auf ihre Accounts zugreifen k nne
97. die umask traditionell 022 was andere Benutzer und andere Mitglieder der Gruppe des Benutzers davon abh lt diese Dateien zu ndern Da jeder Benutzer ihre seine eigene private Gruppe im UPG Schema hat ist dieser Gruppenschutz nicht notwendig 6 4 1 Gruppenverzeichnisse Viele IT Organisationen ziehen es vor eine Gruppe f r jedes gr ere Projekt zu erstellen und dann Mitarbeiter zu dieser Gruppe zuzuweisen wenn diese die Dateien des Projekts bearbeiten m ssen Unter dieser traditionellen Methode ist das Management von solchen Dateien schwierig da wenn jemand eine Datei erzeugt diese mit der Hauptgruppe des Benutzers assoziiert ist Wenn ein einzelner Benutzer an mehreren Projekten gleichzeitig arbeitet ist es schwierig die entsprechenden Dateien der richtigen Gruppe zuzuweisen Unter Verwendung des UPG Schemas werden Gruppen automatisch Dateien zugewiesen die in Verzeichnissen erstellt werden welche das setgid Bit gesetzt haben Dies Vereinfacht das Management von Gruppenprojekten welche sich ein Verzeichnis teilen erheblich Lass uns zum Beispiel sagen dass eine Gruppe von Mitarbeitern an Dateien im Verzeichnis usr lib emacs site lisp arbeitet Einigen dieser Mitarbeiter ist es zugetraut das Verzeichnis 84 Kapitel 6 Benutzer und Gruppen zu ndern aber sicherlich nicht allen Erstellen Sie zuerst eine Gruppe emacs wie im folgenden Beispiel gezeigt usr sbin groupadd emacs Um den Verzeichnisinhalt mit der emacs
98. dieser Konfiguration m ssen f r jedes Verzeichnis die Einstellungen explizit vergeben werden wenn weniger restriktive Einstellungen erforderlich sind Mit Directory Tags werden f r DocumentRoot weniger restriktive Parameter definiert damit Apa che HTTP Server auf Dateien in diesem Verzeichnis zugreifen kann Der Directory Container kann auch dazu verwendet werden zus tzliche cgi bin Verzeichnisse f r Applikationen auf der Server Seite ausserhalb des in der ScriptAlias Anweisung angegebenen Verzeichnisses sehen Sie Abschnitt 10 5 44 f r mehr Information zur ScriptAlias Anweisung anzugeben Um dies zu erzielen muss der Directory Container die ExecCGI Option f r dieses Verzeichnis setzen Wenn sich CGI Skripte zum Beispiel im Verzeichnis home my_cgi_directory befinden f gen Sie der Datei httpd conf folgenden Directory Container hinzu lt Directory home my_cgi_directory gt Options ExecCGI lt Directory gt Als n chstes m ssen f r die Anweisung AddHandler die Kommentare entfernt werden damit Da teien mit der Endung cgi als CGI Skripts erkannt werden k nnen Anleitungen zur Einstellung von AddHandler finden Sie in Abschnitt 10 5 59 Damit dies funktioniert m ssen die Zugriffsberechtigungen f r CGI Skripts und den gesamten Pfad zu den Skripts auf 0755 eingestellt sein 10 5 25 Options Die Anweisung Options bestimmt welche Serverfunktionen in einem bestimmten Verzeichnis ver f gbar sind Zum Beispiel ist f
99. effizienter Window Manager der benutzerdefinierte Themen unterstiitzt mwm Der Motif Window Manager ist ein Standalone Window Manager mit grundlegenden Funk tionen Da dieser als Standalone entwickelt wurde sollte er weder mit der GNOME noch mit der KDE Desktop Umgebung ausgefiihrt werden e sawfish Der Sawfish Window Manager ist ein kompletter Window Manager mit zahlreichen Funktionen Dieser war der Default fiir die GNOME Desktop Umgebung bis zu Red Hat Linux 8 0 Er kann als Standalone oder zusammen mit einer Desktop Umgebung ausgefiihrt werden twm Ein minimalistischer Tab Window Manager der im Vergleich am wenigsten Funktionalit t bietet Er kann als Standalone oder zusammen mit einer Desktop Umgebung ausgef hrt werden und wird als Teil von XFree86 installiert Diese Window Manager k nnen als einzelne X Clients ausgef hrt werden womit auch die Unter schiede deutlicher werden Geben Sie den Befehl xinit lt Pfad zum Window Manager gt ein wo bei lt Pfad zum Window Manager gt der Speicherort der Bin rdatei des Window Managers ist Die Bin rdatei kann ermittelt werden indem Sie which lt Window Manager Name gt eingeben 7 3 XFree86 Server Konfigurationsdateien Der XFree86 Server ist eine einzelne ausf hrbare Bin rdatei usr X11R6 bin XFree86 welche alle ben tigten X Server Module zur Laufzeit vom Verzeichnis usr X11R6 lib modules l dt Einige dieser Module werden automatisch geladen w hrend ande
100. ein Benutzer unter Red Hat Linux in einem Computer anmeldet wird das pam_console so Modul durch login oder die grafischen Anmeldeprogramme gdm und kdm aufgerufen Ist dieser Benutzer der erste Benutzer der sich in der physischen Konsole anmeldet Konsolen Benutzer genannt bewilligt das Modul dem Benutzer das Besitzrecht einer ganzen Reihe von Ger ten die normalerweise im Besitz von Root sind Der Konsolen Benutzer besitzt diese Ger te solange bis die letzte lokale Sitzung f r diesen Benutzer beendet ist Sobald sich der Benutzer abgemeldet hat kehrt das Besitzrecht auf seinen Standardwert zur ck Es sind alle Ger te betroffen nicht nur Soundkarten Disketten Laufwerke und CD ROM Laufwerke Dadurch hat der lokale Benutzer die M glichkeit diese Ger te zu bearbeiten ohne als Root angemel det zu sein was allgemeine Tasks f r den Konsolen Benutzer vereinfacht Die Liste von Ger ten die von pam_console so kontrolliert werden k nnen vom Administrator in der Datei etc security console perms bearbeitet werden 14 6 2 Zugriff zu Applikationen Der Konsolen Benutzer hat die M glichkeit mithilfe einer Datei die den Befehlsnamen im Verzeich nis etc security console apps enth lt zu bestimmten Programm Zugriff zu erhalten Eine wichtige Gruppe von Applikationen zu denen der Konsolen Benutzer Zugriff hat sind folgende drei Programme zum Abschalten und Neubooten des Systems sbin halt e sbin reboot sbin poweroff
101. ein um das Konfigurations Skript durchzuf hren Das twinstall sh Skript fragt Sie nach den lokalen und Site Passworten Diese Passw rter werden dazu verwendet kryptographische Schl ssel zum Schutz der Tripwire Dateien zu generieren Das Skript erstellt und unterzeichnet daraufhin diese Dateien Bei der Auswahl der lokalen und Site Passw rter sollten sie folgende Richtlinien befolgen Verwenden Sie mindestens acht alphanumerische und symbolische Zeichen aber berschreiten Sie 1023 nicht f r die einzelnen Passw rter Verwenden Sie keine Anf hrungszeichen im Passwort Die Tripwire Passw rter sollten sich vollkommen vom root oder allen anderen Passw rtern des Systems unterscheiden Verwenden Sie sowohl f r den Site Schl ssel als auch f r den lokalen Schl ssel einmalige Pass w rter Das Passwort f r den Site Schl ssel sch tzt die Konfigurations und Policy Dateien von Tripwire Das Passwort f r den lokalen Schl ssel sch tzt die Datenbank und Bericht Dateien von Tripwire Kapitel 19 Tripwire 269 AB warnung Es gibt keine M glichkeit eine unterzeichnete Datei zu entschl sseln wenn Sie Ihr Passwort verges sen Wenn Sie Passw rter vergessen k nnen die Dateien nicht mehr verwendet werden und Sie m ssen das Konfigurations Skript erneut durchf hren Durch Verschl sselung der Konfigurations Policy Datenbank und Bericht Dateien sch tzt Tripwi re sie davor dass sie jemandem angezeigt werden der
102. einige wichtige Unterschiede zwischen Apache HTTP Server Version 2 0 und Version 1 3 mit Red Hat Linux 7 3 und fr her ausgeliefert Dieser Abschnitt gibt einen berblick ber einige der neuen Merkmale von Apache HTTP Server 2 0 und weist auf wichtige nderungen hin M chten Sie eine Konfigurationsdatei der Version 1 3 in das neue Format migrieren sehen Sie Abschnitt 10 2 10 1 1 Merkmale von Apache HTTP Server 2 0 Die Einf hrung von Apache HTTP Server 2 0 bringt eine Reihe neuer Merkmale mit sich Einige davon sind Neue Apache API Eine Reihe neuer verbesserter Application Programming Interfaces APIs f r Module Bicon F r Apache HTTP Server 1 3 erstellte Module funktionieren nicht wenn diese nicht auf die neue API angepasst wurden Wenn Sie sich nicht sicher sind ob ein bestimmtes Modul angepasst wurde oder nicht wenden Sie sich an die f r die Paket Pflege zust ndige Stelle bevor Sie aktual isieren e Filtering Module sind in der Lage Inhalte zu filtern Weitere Informationen dazu finden Sie unter Abschnitt 10 2 4 IPv6 Support IP Adressfunktionen der n chsten Generation werden unterst tzt 122 Kapitel 10 Apache Vereinfachte Anweisungen Eine Reihe verwirrender Anweisungen wurden entfernt und andere vereinfacht Informationen zu speziellen Anweisungen finden Sie unter Abschnitt 10 5 Mehrsprachige Fehlermeldungen Bei der Verwendung von Server Side Include SSI Doku menten k nnen
103. ern Abe hate Abbildung 19 1 Der Gebrauch von Tripwire Folgende Schritte beschreiben im Detail die in Abbildung 19 1 gezeigten numerierten Bl cke 1 Installieren von Tripwire und benutzerdefiniertes Einstellen der Policy Datei Installieren Sie die Tripwire RPM siehe Abschnitt 19 2 Benutzerdefinieren Sie anschlie end die Beispielkonfigurations und Policydateien jeweils etc tripwire twcfg txt und etc tripwire twpol txt und f hren Sie das Konfigurationsskript etc tripwire twinstall sh aus Mehr Informationen hierzu finden Sie unter Abschnitt 19 3 Kapitel 19 Tripwire 265 2 Initialisieren der Tripwire Datenbank Erstellen Sie eine Datenbank der zu priifenden kritischen Dateien auf der Grundlage der neuen Tripwire Policy Datei etc tripwire tw pol Weitere Informationen finden Sie unter Ab schnitt 19 4 3 Ausf hren einer Tripwire Integrit tspr fung Vergleichen Sie die neu erstellte Tripwire Datenbank mit den aktuellen Systemdateien wobei fehlende oder ge nderte Dateien ermittelt werden Weitere Informationen finden Sie unter Ab schnitt 19 5 4 Analyse der Tripwire Berichtdatei Zeigen Sie die Tripwire Berichtdatei mithilfe von twprint an um Differenzen zu ermitteln Weitere Informationen finden Sie unter Abschnitt 19 6 1 5 Ergreifen Sie im Falle unberechtigter Intergrit tsverletzungen die angemessenen Sicherheitsma nahmen Wurden berwachte Dateien auf nicht angemessene Weise ver ndert k nne
104. etc hosts allow untersuchen Der TCP wrapped Service arbeitet die Datei etc hosts allow sequentiell ab und wendet die erste f r diesen Service angegebene Regel an Sollte dieser eine solche Regel finden erlaubt dieser die Verbindung Wenn nicht wird dieser zum Schritt 2 bergehen 2 Der Service untersucht etc hosts deny Der TCP wrapped Service arbeitet die Datei etc hosts deny sequentiell ab Sollte es eine entsprechende Regel finden wird die Verbindung abgelehnt Wenn nicht wird die Verbindung erlaubt Die folgenden Punkte sind wichtig wenn TCP Wrappers verwendet werden um Netzwerk Services zu sch tzen Da Zugriffsregeln in hosts allow zuerst angewendet werden haben diese Vorrang vor den Regeln in hosts deny Sollte der Zugriff zu einem Service in hosts allow erlaubt sein wird jegliche Regel in hosts deny welche den Zugriff verbietet ignoriert Da alle Regeln von oben nach unten abgearbeitet werden wird lediglich die erste Regel f r einen gegebenen Service angewendet weswegen die Reihenfolge der Regeln sehr wichtig ist Sollte keine Regel f r einen gegebenen Service gefunden werden in keiner der beiden Dateien so wird der Zugriff zu diesem Service gew hrt TCP wrapped Services speichern Regeln f r die Hosts Zugriffsdateien nicht zwischen jegliche nderungen zu hosts allow oder hosts deny treten deswegen sofort in Kraft 15 2 1 Formatieren von Zugriffsregeln Das Format der beiden Dateien etc hosts
105. f r Red Hat Network Registration Client Red Hat Update Agent Configuration Tool Red Hat Update Agent und Red Hat Net work Alert Notification Tool sowie systemid und GPG Schl ssel Keine der Dateien in diesem Verzeichnis sollte manuell bearbeitet werden Weitere Informationen zu Red Hat Network finden Sie auf der Red Hat Network Website unter folgender URL https rhn redhat com 4 3 Zus tzliche Ressourcen Da dieses Kapitel nur eine Einleitung zu den Dateien im Verzeichnis etc sysconfig darstellt sind folgend Quellen angegeben welche ausf hrlichere Informationen enthalten 4 3 1 Installierte Dokumentation e usr share doc initscripts lt version number gt sysconfig txt Diese Datei en th lt eine umfangreichere Liste der im Verzeichnis etc sysconfig enthaltenen Dateien und die Konfigurationsoptionen welche diesen zur Verf gung stehen lt version number gt im Pfad zur Datei entspricht der Version des installierten initscripts Pakets K redhat Kapitel 5 Das proc Dateisystem Der Linux Kernel hat zwei Hauptfunktionen die Zugriffskontrolle auf physische Ger te eines Com puters und die Planung wann und wie Prozesse diese Ger te beeinflussen Das Verzeichnis proc enth lt eine Hierarchie spezieller Dateien die den aktuellen Stand des Kernel darstellen und Anwen dungen und Benutzern einen Einblick in die Sicht des Kernels auf das System gestatten Im Verzeichnis proc finden Sie eine Vielzahl an Informationen zur Sy
106. fahrene Linux Benutzer sind daf r bekannt da Sie Einsteigern gerne bei Ihren unterschiedlichen Fragen zu Linux unter die Arme greifen vor allem wenn Sie Ihre Fragen vor dem richtigem Pu blikum stellen Sollten Sie allerdings keinen Zugang zu einer der News Reader Anwendungen ha ben k nnen Sie unter der folgenden Webadresse nach entsprechenden Informationen hierzu suchen http groups google com Es gibt n mliche Dutzende Linux relevante Newsgroups unter anderem die folgenden linux help Eine hervorragende Adresse sich von Linux Kollegen helfen zu lassen linux redhat In dieser Newsgroup geht es haupts chlich um Red Hat Linux spezifische Themen linux redhat install Dieser Newsgroup k nnen Sie Fragen zur Installation stellen oder nach schauen wie andere Benutzer hnliche Probleme l sen oder gel st haben linux redhat misc Fragen bzw Anfragen die nicht unbedingt in die g ngigen Kategorien geh ren sollten Sie hier stellen linux redhat rpm Eine gute Adresse die Sie aufsuchen sollten wenn Sie mit RPM bestimmte Schwierigkeiten haben 2 1 3 Linux B cher f r Anf nger Red Hat Linux for Dummies 2 Auflage von Jon maddog Hall IDG Special Edition Using Red Hat Linux von Alan Simpson John Ray und Neal Jamison Que Running Linux von Matt Welsh und Lar Kaufman O Reilly amp Associates Red Hat Linux 8 Unleashed von Bill Ball und Hoyle Duff Pearson Education Die hier vorge
107. fd Um ein ganzes Ger t ohne Ber cksichtigung seiner Partitionen anzugeben lassen Sie einfach das Komma und die Partitionsnummer weg Dies ist dann wichtig wenn Sie GRUB anweisen den 14 Kapitel 2 Bootloader MBR f r eine bestimmte Festplatte zu konfigurieren Beispielsweise gibt hd0 den MBR auf dem ersten Ger t an und hd3 gibt den MBR auf dem vierten Ger t an Wenn ein System ber mehrere Festplatten verf gt muss deren Startreihenfolge gem BIOS bekannt sein Dies ist sehr einfach wenn das System nur IDE oder SCSI Festplatten besitzt Besitzt es jedoch mehrere sind die Dinge etwas komplizierter 2 4 2 Dateinamen und Blocklisten Wenn Sie Befehle in Bezug auf eine Datei in GRUB eingeben wie z B eine Men liste die zu ver wenden ist wenn das Booten von mehreren Betriebssystemen erm glicht werden soll muss die Datei sofort nach der Angabe des Ger ts und der Partition spezifiziert werden Ein Beispiel f r die Angabe einer Datei in einem absoluten Dateinamen lt type of device gt lt bios device number gt lt partition number gt path to file In den meisten F llen geben Benutzer Dateien mit dem Verzeichnispfad auf der entsprechenden Par tition und den Dateinamen an GRUB k nnen weiterhin Dateien angegeben werden die nicht im Dateisystem angezeigt werden Ein Beispiel ist ein Kettenloader der sich in den ersten wenigen Bl cken einer Partition befindet Zur Angabe von solchen Dateien muss eine Block
108. gt lt ausgew hlte Farbe gt Erm glicht spezifische im Men zu verwendende Farben einzustellen wobei zwei Farben als Vorder und Hintergrundfarben konfiguri ert werden Verwenden Sie einfache Farbbezeichnungen wie red black Zum Beispiel color red black green blue default lt Titel gt Der standardm ige Eintrag der geladen wird wenn die Men oberfl che durch Zeit berschreitung abbricht e fallback lt Titel gt Wenn verwendet der Eintrag der verwendet wird wenn der erste Ver such fehlschlug hiddenmenu Wenn verwendet verhindert dass die GRUB Men oberfl che angezeigt wird und l dt den default Eintrag wenn der t imeout Zeitraum abl uft Der Benutzer kann das standard m ige GRUB Men anzeigen indem er die Taste Esc dr ckt password lt Passwort gt Wenn verwendet verhindert dass der Benutzer der das Passwort nicht kennt die Eintr ge f r diese Men option bearbeitet 18 Kapitel 2 Bootloader Nach dem Befehl password lt Passwort gt k nnen Sie auch eine alternative Men konfigurations datei angeben so dass wenn das Passwort bekannt ist GRUB den zweiten Schritt des Bootloaders erneut startet und diese alternative Konfigurationsdatei verwendet um das Men zu erstellen Wenn diese alternative Datei nicht in den Befehl eingeschlossen wird dann k nnte ein Benutzer der das Passwort kennt die aktuelle Konfigurationsdatei bearbeiten e timeout Wenn verwendet stellt die
109. gt ist eine Zahl die von der Anwendung festgelegt wird wenn der Eintrag bearbeitet wird Anmerkung YSie sollten LDIF Eintr ge nie manuell bearbeiten Verwenden Sie stattdessen eine LDAP Clientanwendung wie eine der in Abschnitt 13 3 aufgez hlten 13 3 OpenLDAP Daemons and Utilities Die Suite der OpenLDAP Bibliotheken ist ber folgende Pakete verteilt openldap Enth lt die Bibliotheken welche zum Ausf hren der OpenLDAP Server und Client Applikationen ben tigt werden openldap clients Enth lt die Befehlszeilentools zur Ansicht und zum Ver ndern der Verze ichnisse auf einem LDAP Server e openldap server Enth lt die Server und andere Tools welche zum Konfigurieren und f r den Betrieb eines LDAP Servers ben tigt werden Das openldap servers Paket enth lt zwei Server den Standalone LDAP Daemon usr sbin slapd und den Standalone LDAP Update Replication Daemon usr sbin slurpd Der s1apd Daemon ist der eigenst ndige LDAP Server w hrend der slurpd Daemon zum Synchro nisieren der nderungen von einem LDAP Server auf andere LDAP Server im Netzwerk verwendet wird Der slurpd Daemon ist nur erforderlich wenn mehrere LDAP Server verwendet werden Das openldap server Paket installiert zum Durchf hren von Verwaltungsaufgaben folgende Uti lities in usr sbin e slapadd F gt Eintr ge aus einer LDIF Datei in ein LDAP Verzeichnis ein usr sbin slapadd 1 ldif Eingabe liest die LDIF Datei Idi
110. http localhost mod mod_ssl html oder Online unter http httpd apache org docs 2 0 mod mod_ssl html 10 5 2 ServerRoot ServerRoot ist das oberste Verzeichnis indem sich die Server Dateien befinden Sowohl der Server mit Verschl sselung Secure Server als auch der Server ohne Verschl sselung sind auf die Verwen dung von etc httpd als ServerRoot eingestellt 10 5 3 ScoreBoardFile Im ScoreBoardFile werden interne Serverprozessinformationen gespeichert die f r die Kommu nikation zwischen dem Parent Serverprozess und seinen Child Prozessen verwendet werden Red Hat Linux verwendet gemeinsamen Speicherplatz um ScoreBoardFile abzulegen der Standard etc httpd logs apache_runtime_status wird nur als Fallback verwendet Kapitel 10 Apache 135 10 5 4 PidFile PidFile gibt die Datei an in welcher der Server seine Prozess ID PID ablegt Der Default ist hier var run httpd pid 10 5 5 Timeout Timeout gibt die Zeit in Sekunden an die der Server bei Kommunikationsverbindungen auf den Empfang und auf bertragungen wartet Insbesondere gibt Timeout an wie lange der Server auf den Empfang einer GET Anforderung wartet wie lange er auf den Empfang von TCP Paketen bei einer POST oder PUT Anforderung wartet und wie lange er zwischen ACKs wartet die als Antwort auf TCP Pakete gesendet werden Timeout is auf 300 Sekunden eingestellt eine f r die meisten Situationen geeignete Einstellung 10 5 6 KeepAlive Mit KeepAlive kann ei
111. im Zusammenhang stehen beschrieben 11 1 E Mail Protokolle E Mail wird heutzutage ber eine Client Server Architektur verteilt Eine elektronische Mail wird mit einem Client Programm erzeugt Dieses Programm sendet die E Mail an einen Server welcher diese dann an den E Mail Server des Empf ngers weiterleitet Dort wird die E Mail dann vom E Mail Server dem E Mail Client des Empf ngers bergeben Um diesen Vorgang zu erm glichen erlaubt eine Reihe von Standardnetzwerkprotokollen verschiedenen Rechnern welche oft verschiedene Betriebssysteme ausf hren und verschiedene E Mail Programme verwenden E Mails zu senden und zu empfangen Die folgende Protokolle werden am h ufigsten f r das Versenden von E Mails zwischen unterschied lichen Systemen verwendet 11 1 1 Mail Transport Protocols Die Zustellung von E Mails von einer Client Applikation zu einem Server und von einem ausgehen den Server zu einem Ziel Server wird ber das Simple Mail Transfer Protocol SMTP gehandhabt 11 1 1 1 SMTP SMTP wird haupts chlich zum bertragen von E Mails zwischen Servern verwendet ist jedoch auch f r E Mail Clients wichtig Um E Mails senden zu k nnen muss der Client die Nachricht an einen ausgehenden Mail Server senden welcher dann eine Verbindung mit dem Ziel Server herstellt um die E Mail zu bertragen Aus diesem Grund ist es wichtig einen SMTP Server beim Konfigurieren des E Mail Clients anzugeben Unter Red Hat Linux kann ein
112. lt Wert gt wobei lt Wert gt das Gateway Ger t ist z B eth0 NISDOMAIN lt Wert gt wobei lt Wert gt der NIS Domainname ist 40 Kapitel 4 Das Verzeichnis sysconfig 4 1 24 etc sysconfig ntpd Die Datei etc sysconfig ntpd wird verwendet um beim Booten Argumente an den ntpd Daemon zu tibertragen Mit dem ntpd Daemon wird die Systemuhr eingestellt und in Ubereinstimmung mit einem Standard Zeit Server im Internet gebracht Hierbei wird Version 4 des Network Time Protocol NTP implementiert Weitere Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie wenn Sie den Browser zu folgender Datei f hren usr share doc ntp lt version gt ntpd htm wobei lt Version gt die jeweilige Version von ntpd bezeichnet Standardm ig legt diese Datei den Besitzer des ntpd Prozesses auf den Benutzer ntp 4 1 25 etc sysconfig pcmcia Mit der Datei etc sysconfig pcmcia werden die Informationen zur Konfiguration von PCMCIA bestimmt Die folgenden Werte k nnen verwendet werden PCMCIA lt Wert gt wobei lt Wert gt einer der folgenden Werte ist e yes Der PCMCIA Support sollte aktiviert werden no Der PCMCIA Support sollte nicht aktiviert werden e PCIC lt Wert gt wobei lt Wert gt einer der folgenden Werte ist i82365 Der Computer verf gt ber einen Chipsatz mit i82365 PCMCIA Steckplatz e tcic Der Computer verf gt ber einen Chipsatz mit teic PCMCIA Steckplatz PCIC_O
113. lt view name gt Erstellt spezielle Ansichten die bestimmten Informationen entsprechen die von dem Host abh ngig sind der den Name Server kontaktiert Dadurch erhalten einige Hosts Informationen die sich vollkommen von denen unterscheiden die andere Hosts erhalten Eine andere M glichkeit ist nur bestimmte Zonen f r bestimmte sichere Hosts zug nglich zu machen w hrend nicht sichere Hosts nur Abfragen f r andere Zonen erstellen k nnen Es k nnen auch mehrere Ansichten verwendet werden solange ihre Namen eindeutig sind Die match clients Option legt die IP Adressen fest die f r eine bestimmte Ansicht verwendet wer den Alle opt ion Direktiven k nnen in einer Ansicht verwendet werden Sie berschreiben dabei die allgemeinen bereits f r named konfigurierten Optionen Die meisten view Direktiven enthalten mehrere zone Anweisungen die f r die match clients Liste gelten Es ist wichtig in welcher Reihenfolge die view Anweisungen aufgelistet sind da die erste view Direktive die mit einer bestimmten IP Adresse des Client bereinstimmt verwendet wird Unter Abschnitt 12 5 2 finden Sie weitere Informationen zur view Anweisung 12 2 3 Kommentar Tags Die Folgende ist eine Liste g ltiger in named conf verwendeter Kommentar Tags Wenn an den Anfang der Zeile gestellt wird diese Zeile von named ignoriert Wenn an den Anfang der Zeile gestellt wird diese Zeile von named ignoriert und Hierin e
114. meminfo Wenn Sie die Datei proc meminfo direkt ansehen k nnen Sie noch mehr Details ansehen Mem Zeigt den aktuellen Status des physischen Arbeitsspeichers im System mit einer kompletten Auflistung vom gesamten benutzem gemeinsam genutzem gepuffertem und Cache Speicher in Bytes total used free shared buffered und cached Swap Zeigt die gesamte benutzte und freie Menge von Swap in Bytes an total used und free MemTotal Gesamte RAM Gr e in Kilobytes MemF ree Die Menge von physischem RAM die vom System nicht benutzt wird in Kilobytes MemShared Wird ab Kernel 2 4 nicht mehr benutzt aber aus Kompatibilit tsgr nden immer noch angezeigt Buffers Die Gr e der physischen RAM in Kilobytes der fiir Dateipufferung verwendet wird Cached Die Menge der physischen RAM die als Cache verwendet wird in Kilobyte Active Die Gesamtmenge des Puffer oder Page Cache Speicher in Kilobyte der aktiv verwen det wird e Inact_dirty Die Gesamtmenge von Puffer oder Cache Seiten die freigegeben werden k n nen in Kilobyte e Inact_clean Die Gesamtmenge von Puffer oder Cache Seiten die definitiv frei und verf gbar sind in Kilobyte e Inact_target Netto Menge von Zuordnungen pro Sekunden in Kilobyte Durchschnitt pro Minute HighTotal und HighFree Die Gesamtmenge und der freie Speicher in Kilobytes die nicht direkt in den Kernelbereich gemappt werden Die Werte v
115. mit Hilfe der grafischen Applikation User Manager redhat config users F r mehr Informationen zu User Manager sehen Sie das Kapitel Benutzer und Gruppenkonfiguration im Red Hat Linux Handbuch benutzerdefinierter Konfiguration Auch k nnen die folgenden Befehlszeilentools zum Verwalten von Benutzern und Gruppen verwendet werden useradd usermod und userdel Methoden des Industriestandards zum Hinzuf gen L schen und Andern von Benutzeraccounts groupadd groupmod und groupdel Methoden des Industriestandards zum Hinzuf gen L schen und Andern von Gruppen gpasswd Methode des Industriestandards zum Verwalten der Datei etc group pwck grpck Tools zum berpr fen von Passwort Gruppe und zugeh rigen Shadow Dateien pwconv pwunconv Tools zur Konvertierung zu Shadow Passwortern und zur ck zu Standard Passw rtern F r einen berblick zum Management von Benutzern und Gruppen sehen Sie den Red Hat Linux System Administration Primer F r eine detaillierte Beschreibung dieser Befehlszeilentools sehen Sie das Kapitel Benutzer und Gruppenkonfiguration im Red Hat Linux Handbuch benutzerdefinierter Konfiguration 80 6 2 Standardbenutzer Kapitel 6 Benutzer und Gruppen Tabelle 6 1 zeigt die Standardbenutzer die w hrend des Installationsvorgangs in der Datei etc passwd eingerichtet werden Die Gruppen ID GID in der Tabelle gibt die Hauptgruppe des Benutzers an Eine Auflistung der Standar
116. mouse named e netdump e network ntpd pcmcia 32 Kapitel 4 Das Verzeichnis sysconfig e radvd e rawdevices redhat config securitylevel e redhat config users e redhat logviewer samba e sendmail soundcard spamassassin squid tux ups vncservers e xinetd i Anmerkung Sollten einige dieser Dateien nicht im Verzeichnis etc sysconfig enthalten sein sind die entsprechenden Programme eventuell nicht installiert 4 1 1 etc sysconfig amd Die Datei etc sysconfig amd enth lt verschiedene Parameter die von amd verwendet werden und das automatische Mounten und Unmounten von Dateisystemen erm glichen 4 1 2 etc sysconfig amd Die Datei etc sysconfig apmd wird von apmd verwendet um zu erfahren welche Prozesse nach den Befehlen suspend resume gestartet gestoppt ge ndert werden sollen In ihr ist festgelegt ob apmd beim Starten aktiviert oder deaktiviert wird je nachdem ob Ihre Hardware Advanced Power Mana gement APM unterst tzt bzw ob Sie diese Funktionalit t benutzen m chten oder nicht apm ist ein Daemon mit Kontrollfunktion der im Linux Kernel mit einem Power Management Code arbeitet Er kann darauf hinweisen dass die Batterie fast leer ist falls Ihr Red Hat Linux auf einem Laptop l uft u v m 4 1 3 etc sysconfig arpwatch Die Datei etc sysconfig arpwatch wird verwendet um beim Booten Argumente an den arpwatch Daemon zu bertragen Der arpwatch Daemon pflegt eine T
117. nur grunds tzliche Konzepte und erg nzende Informationen zur Verf gung Speziel le Anweisungen bez glich der Konfiguration und Funktionsweise eines NFS auf Clients oder Servern finden Sie im Kapitel Nerwork File System NFS im Red Hat Linux Handbuch benutzerdefinierter Konfiguration 9 1 Methodologie Linux verwendet f r das NFS Datei Sharing eine Kombination aus dem Kernel Level Support und den st ndig ausgef hrten Daemon Prozessen wobei der Support f r das NFS im Linux Kernel akti viert sein mu NFS verwendet Remote Procedure Calls RPC um Anfragen zwischen Clients und Servern zu senden Dazu muss der Dienst portmap sowie die korrekten Runlevel f r die NFS Kom munikation aktiviert sein Wenn Sie mit portmap arbeiten wird durch verschiedene andere Prozesse sichergestellt dass eine bestimmte NFS Verbindung zugelassen und ohne Fehler ausgef hrt werden kann rpc mountd Der ausgef hrte Prozess empf ngt die Anfrage des NFS Clients f r das Mounten und kontrolliert ob diese mit einem aktuell exportierten Dateisystem bereinstimmt rpc nfsd Der Prozess der die Benutzerplatz Komponenten des NFS Dienstes implementiert Er verwendet den Linux Kernel um mit den dynamischen Vorgaben des NFS Clients bereinzus timmen Zum Beispiel zus tzliche Server Threads f r NFS Clients rpc lockd Ein Daemon der bei neueren Kernels nicht ben tigt wird Das Sperren von NFS Dateien wird nun vom Kernel durchgef hrt F r Be
118. option 1 gt lt option 2 gt lt option N gt 12 2 1 H ufig verwendete Typen von Statements Die folgenden Typen von Statements werden h ufig in etc named conf verwendet 12 2 1 1 acl Statement Das ac1 Statement Access Control Statement definiert eine Gruppe von Hosts welchen Zugriff zum Nameserver erlaubt oder verboten werden kann Ein ac1 Statement hat folgende Form acl lt acl name gt lt match element gt lt match element gt 180 Kapitel 12 Berkeley Internet Name Domain BIND In diesem Statement ersetzen Sie lt acl name gt mit dem Namen der Access Control List Liste der Zugriffskontrolle und ersetzen Sie lt match element gt mit einer List von IP Adressen wo bei Adressen durch ein Semikolon getrennt werden Meistens wird eine individuelle IP Adresse oder IP Netzwerk Notation wie 10 0 1 0 24 benutzt um die IP Adresse im ac Statement zu identifi zieren Die folgenden Access Control Lists sind bereits als Schl sselw rter definiert um die Konfiguration zu vereinfachen any Vergleicht jede IP Adresse localhost Vergleicht jede IP Adresse die auf dem lokalen System verwendet wird localnets Vergleicht jede IP Adresse auf allen Netzwerken mit denen das lokale System verbunden ist none Vergleicht keine IP Adressen Wenn mit anderen Statements wie dem opt ions Statement verwendet k nnen acl Statements sehr hilfreich dabei sein BIND Nameserver vor
119. option n gt In diesem Beispiel erm glicht die Option lt table name gt dem Benutzer eine andere Tabelle als die standardm ige filter Tabelle auszuw hlen die mit dem Befehl verwendet werden soll Die Option lt command gt l st einen bestimmten Vorgang aus wie z B das Anh ngen oder L schen einer Regel in einer Chain die in der Option lt chain name gt spezifiziert ist Nach der Option lt chain name gt befinden sich Parameterpaare und Optionen die letztendlich dar ber entscheiden wie die Regel angewandt wird und was passiert wenn ein Paket einer Regel entspricht Bei der Betrachtung der Struktur eines iptables Befehls ist es wichtig daran zu denken dass sich anders als bei den meisten anderen Befehlen L nge und Komplexit t eines iptables Befehls je nach seinem Zweck ver ndern k nnen Ein einfacher Befehl f r das Entfernen einer Regel aus einer Chain kann z B sehr kurz sein w hrend ein Befehl f r das Filtern von Paketen aus einem bestimm ten Sub Netz aufgrund verschiedener spezifischer Parameter und Optionen sehr lang sein kann Bei iptables Befehlen sollten Sie ber cksichtigen dass manche Parameter und Optionen die verwen det werden unter Umst nden die Notwendigkeit nach sich ziehen weitere Parameter und Optionen zu erstellen damit die Anforderungen der ersten Option weiter spezifiziert werden k nnen Um eine g ltige Regel zu erstellen muss diese weitergef hrt werden bis jeder Parameter und jede Option die ei
120. org Home Page f r die KDE Desktop Umgebung http nexp cs pdx edu fontconfig Home Page des Fontconfig Font Subsystems f r XFree86 7 6 3 Zus tzliche Literatur The Concise Guide to XFree86 for Linux von Aron Hsiao Que Der Kommentar eines Experten ber die Funktionsweise von XFree86 auf Linux Systemen The New XFree86 von Bill Ball Prima Publishing Liefert einen guten und umfassenden berblick ber XFree86 in Zusammenhang mit den beliebtesten Desktop Umgebungen wie GNOME und KDE Beginning GTK and GNOME von Peter Wright Wrox Press Inc Eine Einf hrung f r Pro grammierer in GNOME Architektur und eine Erl uterung von GTK GTK GNOME Application Development von Havoc Pennington New Riders Publishing Fort geschrittene Kenntnisse der GTK Programmierung insbesondere ber den Sample Code und ver f gbare APls KDE 2 0 Development von David Sweet und Matthias Ettrich Sams Publishing Leitet noch unerfahrene und erfahrene Entwickler an wie die vielen Umgebungsrichtlinien am besten genutzt werden k nnen um QT Anwendungen f r KDE zu erstellen 100 Kapitel 7 Das X Window System ll Netzwerk Services Unter Red Hat Linux ist es m glich eine gro e Bandbreite von Netzwerk Services einzusetzen Die ser Teil beschreibt wie Netzwerk Services konfiguriert werden und gibt detailierte Informationen zu kritischen Netzwerk Services wie NFS Apache HTTP Server Sendmail Fetchmail Procmail BIND und
121. proc sys net ipv4 neigh steht f r neighbors spezielle Konfigurationen f r jede Schnittstelle an Das erlaubt Ihnen Systeme denen Sie aufgrund ihrer rtlichen N he mehr vertrauen anders zu behandeln Es macht es gleichzeitig aber auch m glich rtlich entfernte Systeme mit festen Regeln zu belegen Das Routen ber IPV4 besitzt auch ein eigenes Verzeichnis proc sys net ipv4 route Im Gegensatz zu conf und neigh enth lt das proc sys net ipv4 route Verzeichnis Spezifika tionen die das Routing auf allen Systemschnittstellen beeinflusst Viele dieser Einstellungen wie z B max_size max_delay undmin_delay h ngen mit der Einstellung des Routing Caches zusammen Um den Routing Cache zu l schen schreiben Sie einen beliebigen Inhalt in die Datei flush Zus tzliche Informationen ber diese Verzeichnisse und die m glichen Werte zur Konfiguration fin den Sie unter usr src linux 2 4 Documentation filesystems proc txt 5 3 9 5 proc sys vm Dieses Verzeichnis erleichtert die Konfiguration des virtuellen Speicher Subsystems des Linux Ker nels VM Der Kernel macht ausgiebigen und intelligenten Gebrauch von virtuellem Speicher der auch Swap Speicher genannt wird Die folgenden Dateien findet man normalerweise im Verzeichnis proc sys vm bdflush Setzt verschiedene Werte in Bezug auf den bdflush Kernel Daemon buffermem Erlaubt es Ihnen den Wert des gesamten System Speichers einzustellen der zum Puffern verwendet w
122. samba Die Datei etc sysconfig samba wird verwendet um beim Booten Argumente an die Daemonen smbd und nmbd zu bertragen Mit Hilfe des smbd Daemonen k nnen Windows Clients im Netzwerk Verbindungen mit gemeinsamen Dateien herstellen Mit dem nmbd Daemonen steht Ihnen NetBIOS mit IP Naming Diensten zur Verf gung Weitere Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf den man Seiten von smbd Standardm ig sind smbd und nmbd so eingestellt dass sie im Daemon Modus ausgef hrt werden 4 1 32 etc sysconfig sendmail Die Datei etc sysconfig sendmail erm glicht das Versenden von Nachrichten an einen oder mehrere Empf nger wobei die Nachrichten je nach Bedarf ber beliebige Netzwerke geroutet wer den k nnen In dieser Datei sind die Standardwerte f r die Ausf hrung der Sendmail Applikation festgelegt Standardm ig l uft es als Hintergrund Daemon und wird einmal st ndlich berpr ft f r den Fall dass Nachrichten zur ckgesandt wurden Folgende Werte k nnen verwendet werden DAEMON lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes Sendmail sollte so konfiguriert werden dass er auf Port 25 eingehende Mails abfragt Bei yes werden die bd Optionen von Sendmail verwendet no Sendmail sollte nicht so konfiguriert werden dass es auf Port 25 eingehende Mails abfragt 42 Kapitel 4 Das Verzeichnis sysconfig QUEUE 1h wird fiir Sendmail al
123. sicher lich die Kompatibilit t mit anderen Systemen und die M glichkeit eine usr Partition schreibge 26 Kapitel 3 Struktur des Dateisystems sch tzt zu mounten da sie gmeinsam genutzte ausf hrbare Dateien enth lt und daher keine nde rungen durch den Benutzer vorgenommen werden sollten Da usr schreibgesch tzt gemountet ist besteht die M glichkeit sie ber die CD ROM oder r ber einen schreibgesch tzten NFS Mount von einem anderen Rechner aus zu mounten 3 2 1 FHS Organisation Die hier beschriebenen Verzeichnisse und Dateien stellen nur eine kleine Teilmenge der im Dokument zum Dateisystemstandard angegebenen Verzeichnisse und Dateien dar Vollst ndige Informationen finden Sie im neuesten Dokument zum Dateisystemstandard FHS 3 2 1 1 Das dev Verzeichnis Das dev Verzeichnis enth lt Dateisystemeintr ge die die an das System angeschlossenen Ger te wiedergeben Diese Dateien sind f r das einwandfreie Funktionieren des Systems unerl sslich 3 2 1 2 Das etc Verzeichnis Das etc Verzeichnis ist f r lokale Konfigurationsdateien Ihres Rechners reserviert Unter etc d rfen keine Bin rdateien abgelegt werden S mtliche Bin rdateien die zu einem fr heren Zeitpunkt in etc abgelegt wurden m ssen nun nach sbin oder evtl bin verschoben werden Die Verzeichnisse x11 und skel sind Unterverzeichnisse von etc etc l X11 I skel Im etc x11 Verzeichnis werden X11 Konfigurationsdateien w
124. sind die verschiedenen xinet d Zugriffskontroll und Protokollier optionen auch f r zus tzlichen Schutz wie zum Beispiel Begrenzung der Anzahl von gleichzeitigen Verbindungen f r den weitergeleiteten Dienst verf gbar 15 4 3 4 Ressourcen Management Optionen Der xinetd Daemon kann einen einfachen Grad an Schutz vor Denial of Service DoS Angriffen Dienstverweigerungs Angriffe liefern Untenstehend finden Sie eine Liste an Direktiven die Ihnen beim Einschr nken der Auswirkung dieser Angriffe helfen per_source Definiert die H chstanzahl von Verbindungen von einer bestimmen IP Adresse mit einem bestimmen Dienst Es werden nur ganze Zahlen als Argument akzeptiert und er kann in xinetd conf und in den servicespezifischen Konfigurationsdateien im Verzeichnis xinetd d verwendet werden cps Definiert die H chstzahl der Verbindungen pro Sekunde Diese Option akzeptiert zwei ganz zahlige Argumente getrennt durch eine Leerstelle Die erste Zahl ist die H chstzahl von Verbindun gen zum Service pro Sekunde Die zweite Zahl ist die Anzahl der Sekunden die xinetd warten muss bis der Service wieder aktiviert wird Es werden nur ganze Zahlen akzeptiert und die Op tion kann in xinetd conf und in den servicespezifischen Konfigurationsdateien im Verzeichnis xinetd d verwendet werden max_load Definiert den Schwellenwert f r die CPU Nutzung eines Dienstes Es werden Kommazahlen Argumente Es gibt noch weitere Ressource Man
125. sogar mit der Stan dardkonfiguration blockiert Das Weiterleiten von SMTP Nachrichten auch SMTP relaying genannt wurde standardm ig mit Version 8 9 deaktiviert Ohne diese Deaktivierung h tte Sendmail Ihren Mail Host x org angewie sen Nachrichten von einem Teilnehmer anzunehmen y com und sie an einen anderen Teilnehmer z net weiterzuleiten Mittlerweile m ssen Sie Sendmail aber ausdr cklich anweisen einer Domain zu erlauben Mails ber Ihre Domain weiterzuleiten Um diese nderung zu aktivieren m ssen Sie die etc mail relay domains Datei bearbeiten und Sendmail neu zu starten Trotzdem kann es h ufig vorkommen dass Ihre Benutzer nach wie vor von Junkmail von anderen Servern ber das Internet bombardiert werden die Sie nicht kontrollieren k nnen In diesen F llen k nnen Sie die Zugriffskontrollfeatures die Ihnen in der etc mail access Datei zur Verf gung stehen einsetzen F gen Sie als root die Domains hinzu mit denen Sie den Zugriff blockieren oder ausdr cklich zulassen m chten wie in diesem Beispiel badspammer com ERROR 550 Go away and do not spam us anymore tux badspammer com OK 10 0 RELAY Dieses Beispiel macht deutlich dass jede E Mail die von badspammer com geschickt wurde mit einem 550 RFC821 Fehlercode blockiert und zum Absender der Junkmail zur ckgeschickt wird bis auf die E Mail die von der Sub Domain tux badspammer com kam und akzeptiert wurde In der letzten Zeile wird angezeigt dass alle
126. soll Durch Eingabe des Befehls iptables p icmp h wird eine Liste aller g ltigen ICMP Namen angezeigt 16 3 5 4 Module mit zus tzlichen bereinstimmungsoptionen Zus tzliche bereinstimmungsoptionen die sich nicht spezifisch auf ein Protokoll beziehen sind ebenfalls mithilfe von Modulen verf gbar die geladen werden wenn der iptables Befehl sie auf ruft Um ein bereinstimmungsmodul anzuwenden m ssen Sie das Modul mit dessen Namen laden indem beim Erstellen einer Regel der m lt Modulname gt wobei lt Modulname gt durch den Na men des Moduls ersetzt wird in den iptables Befehl eingef gt wird Standardm ig stehen zahlreiche Module zur Verf gung Sie k nnen auch Ihre eigenen Module er stellen um die Funktionalit t der bereinstimmungsoptionen zu erweitern Es gibt viele Module an dieser Stelle werden wir Ihnen allerdings nur die bekanntesten vorstellen limit Modul Mit diesem Modul k nnen Sie eine Grenze setzen f r die Anzahl der in Uberein stimmung mit einer Regel zu berpr fenden Pakete Dies ist besonders n tzlich wenn Regel bere instimmungen protokolliert werden Auf diese Weise verhindern Sie dass die zahlreichen bere instimmenden Pakete Ihre Protokolldateien nicht mit wiederholten Nachrichten berf llen oder zu viele Systemressourcen beanspruchen limit Bestimmt die Zahl der bereinstimmungen innerhalb eines bestimmten Zeitraums der mit einem Anzahl und Zeitbearbeiter in dem Fo
127. sshd von einem Host in der example com Domain stattfindet f hre den Befehl echo aus welcher den Versuch in eine spezielle Log Datei schreibt und lehne die Verbindung ab Da die optionale Anweisung deny verwendet wird wird diese Zeile den Zugriff ablehnen auch wenn sie in der Datei hosts allow steht F r einen detaillierteren berblick der Optionen sehen Sie Abschnitt 15 2 3 15 2 1 1 Wildcards Wildcards erlauben TCP Wrappers eine einfachere Suche von Gruppen von Daemons oder Hosts Diese werden am h ufigsten im Client Listen Feld der Zugriffsregel gefunden Die folgenden Wildcards k nnen verwendet werden ALL F r Alle Kann f r beide verwendet werden die Daemon Liste und die Client Liste LOCAL F r jeden Host Rechner der keinen Punkt enth lt wie localhost KNOWN F r jeden Host Rechner dessen Hostname und Hostadresse oder der Benutzer bekannt sind UNKNOWN F r jeden Host Rechner dessen Hostname und Hostadresse oder der Benutzer nicht bekannt sind PARANOID F r jeden Host Rechner dessen Hostname nicht mit der Hostadresse bereinstimmt Orcrtung Die Wildcards KNOWN UNKNOWN Und PARANOID Sollten sehr vorsichtig verwendet werden da eine Un terbrechung in der Namenaufl sung eine Zugriffsverweigerung auf Netzwerkdienste f r berechtigte Benutzer zur Folge haben kann Kapitel 15 TCP Wrappers und xinetd 223 15 2 1 2 Patterns Patterns k nnen im Client Listen Feld von Zug
128. stellungen die zusammen verwendet werden sind sehr hilfreich bei der Verhinderung von Angriffen auf das System oder bei der Verwendung des Systems als Router O asenu Eine irrt mliche nderung dieser Dateien kann die Netzwerkverbindungen beeintr chtigen Einige der wichtigsten Dateien im Verzeichnis proc sys net ipv4 icmp_destunreach_rate icmp_echoreply_rate icmp_paramprob_rate und icmp_timeexeed_rate Stellt die maximale ICMP Send Paket Rate in 1 100 Sekunden bei Intel Systemen an Hosts unter verschiedenen Bedingungen ein Eine Einstellung von 0 entfernt alle Verz gerungen und sollte nicht eingestellt werden icmp_echo_ignore_all und icmp_echo_ignore_broadcasts Erlaubt dem Kernel ICMP ECHO Pakete von allen Hosts oder nur solche von Broadcast oder Multicast Adressen zu ignori eren Eine 0 erlaubt dem Kernel zu antworten eine 1 ignoriert diese Pakete ip_default_tt1 Stellt die Standard Time To Live TTL ein die die Anzahl von Spr ngen limitiert bevor ein Paket sein Ziel erreicht Eine Erh hung dieses Wertes kann unter Umst nden die Systemleistung beeintr chtigen ip_forward Erlaubt Schnittstellen im System Pakete zu einer anderen weiterzuleiten Stan dardm ig ist diese Datei auf 0 gesetzt um das Weiterleiten auszuschalten Eine 1 aktiviert die Paketweiterleitung ip_local_port_range legt die Ports fest die von TCP oder UDP benutzt werden wenn ein lokaler Port gebraucht wird Die erst
129. twrfile var lib tripwire report lt name gt twr Die m r Option des Befehls weist twprint einen Tripwire Bericht zu dekodieren Die twrfile Option weist twprint an eine bestimmte Tripwire Berichtdatei zu verwenden Der Name des Tripwire Berichts den Sie anzeigen m chten enth lt den Namen des Rechners den Tripwire f r den Bericht gepr ft hat sowie das Datum und die Uhrzeit des Berichts Sie k nnen zuvor gespeicherte Berichte jederzeit wieder anzeigen Geben Sie hierzu einfach 1s var lib tripwire report ein Es erscheint eine Liste der Tripwire Berichte Tripwire Berichte k nnen sehr lang sein was allerdings von der Anzahl der ermittelten Differenzen oder Fehlern abh ngt Ein Beispielbericht startet wie folgt Tripwire R 2 3 0 Integrity Check Report Report generated by root Report created on Fri Jan 12 04 04 42 2001 Database last updated on Tue Jan 9 16 19 34 2001 Host name some host com Host IP address 10 0 0 1 Host ID None Policy file used etc tripwire tw pol Configuration file used etc tripwire tw cfg Database file used var lib tripwire some host com twd Command line used usr sbin tripwire check Section Unix File System Rule Name Severity Level Added Removed Modified Invariant Directories 69 0 0 0 Temporary directories 33 0 0 0 Tripwire Data Files 100 1 0 0 Critical devices 100 0 0 0 User binaries 69 0 0 0 Tripwire Binaries 100 0 0 0 Kapitel 19 Tripwire 271 19 6 2 Anzeige der T
130. unbefugtem Zugriff zu sch tzen Das folgende Beispiel gibt zwei Access Control Lists und benutzt ein options Statement um anzu geben wie diese vom Nameserver behandelt werden sollen acl black hats 10 0 2 0 24 192 168 0 0 24 acl red hats 10 0 1 0 24 options blackhole black hats allow query red hats allow recursion red hats Dieses Beispiel enth lt zwei Access Control Lists black hats und red hats Hosts in der black hats Liste ist der Zugriff zum Nameserver verboten w hrend Hosts in der red hats Liste normaler Zugriff gew hrt ist 12 2 1 2 include Statement Das include Statement erlaubt Dateien in named conf einzuschliessen In dieser Weise k nnen sensitive Konfigurationsdaten wie keys in einer separaten Datei mit eingeschr nkten Rechten ge halten werden Ein include Statement hat die folgende Form include lt file name gt In diesem Statement ersetzen Sie lt file name gt mit dem absoluten Pfad zu einer Datei Kapitel 12 Berkeley Internet Name Domain BIND 181 12 2 1 3 options Statement Das options Statement legt Konfigurationsoptionen des globalen Servers fest und setzt Defaults fiir andere Statements Es kann verwendet werden um den Ort des named Arbeitsverzeichnisses anzuge ben den Typ der erlaubten Queries uvm Das options Statement hat die folgende Form options lt option gt lt option gt In diesem Statement ersetzen Sie die lt op
131. unterst tzt einen Rahmen f r die Ver wendung anderer Cache Typen wie zum Beispiel gemeinsam genutzten Speicher Die Dateien werden allerdings besser unterst tzt Crypt Hash Ein unidirektionaler Hash der zum Authentifizieren von Benutzern verwendet wird Auch wenn dies sicherer als Klartext ist ist das Entschl sseln f r einen erfahrenen Hacker ein Kinderspiel GSS API Die generische API des Sicherheitsservice RFC 2743 ist eine Sammlung von Funktionen welche Sicherheitsservices bereitstellen Clients k nnen diese Funktionen benutzen um zu Servern und Server k nnen diese Funktionen benutzen um zu Clients zu authentifizieren ohne ein spezifisches Wissen der zugrundeliegenden Mechanismen zu ben tigen Sollte ein Netzwerk Service wie IMAP die GSS API verwenden kann dieser unter Verwendung von Kerberos authentifizieren Key Schl ssel Daten die zum Verschl sseln bzw Entschl sseln von Daten verwendet werden Verschl sselte Daten lassen sich ohne den richtigen Schl ssel nicht bzw nur durch wirklich leistungf hige Programme zum Herausfinden von Passw rtern entschl sseln Key Distribution Center KDC Ein Dienst der Kerberos Tickets ausgibt normalerweise auf dem gleichen Host wie Ticket Granting Server Kapitel 17 Kerberos 249 Key Table oder Keytab Eine Datei die eine unverschl sselte Liste aller Principals und ihrer Schl ssel enth lt Server holen sich die ben tigten Keys aus keytab Dateien statt kini
132. von Tools welche genau dies tun Eine iptables basierte Firewall zum Beispiel filtert alle uner w nschten Netzwerk Pakete im Netzwerk Stack des Kernel heraus F r Netzwerk Services welche davon Verwendung machen f gt TCP Wrapper eine zus tzliche Schutzschicht hinzu indem dieser definiert welchen Hosts es erlaubt ist zu wrapped Netzwerk Services zu verbinden und welchen nicht Einer dieser wrapped Netzwerk Services ist xinetd super server Dieser Service wird Super Server genannt da dieser Verbindungen zu einem Subnet von Netzwerk Services kontrolliert und Zugriffskontrolle weiter feinabstimmt Abbildung 15 1 ist eine grundlegende Illustration welche zeigt wie diese Tools zusammen arbeiten um Netzwerk Services zu sch tzen Eingehende Anforderungen aus dem Internet gt Anforderung angenommen Anforderung abgelehnt TCP Wrappers Anforderung angenommen Anforderung angenommen TCP Wrapped Network Service xinetd Controlled Network Service Abbildung 15 1 Zugriffskontrolle zu Netzwerk Services Dieses Kapitel besch ftigt sich mit der Rolle von TCP Wrapper und xinetd in der Zugriffskontrolle zu Netzwerk Services und in wie diese Tools verwendet werden k nnen um das Management von sowohl Logging als auch Verwendbarkeit zu verbessern Fiir eine Diskussion der Verbindung von Firewall und iptables siehe Kapitel 16 15 1 TCP Wrappers Das TCP Wrappers Paket t cp_wrappers ist unter Red
133. von in einem LDAP Verzeichnis gespeicherten Informationen zu authentifizieren PAM f hige Applikationen um fassen Konsolenanmeldung POP und IMAP Mail Server und Samba Wenn ein LDAP Server im Netzwerk bereitgestellt wird k nnen alle Anmeldesituationen gegen eine Benutzer ID und Passwort kombination authentifizieren und so die Verwaltung sp rbar vereinfachen 13 3 2 PHP4 Apache HTTP Server und LDAP Red Hat Linux enth lt auch Pakete mit LDAP Modulen f r Apache HTTP Server und PHP serverseitige Skriptsprache Das Paket php 1dap f gt LDAP Unterstiitzung zur PHP4 HTML eingebetteten Skriptsprache ber das Modul usr lib php4 1ldap so hinzu Dieses Modul erm glicht PHP4 Skripten auf Infor mationen zuzugreifen die in einem LDAP Verzeichnis gespeichert sind icno Red Hat Linux wird nicht l nger mit dem Paket auth_1dap ausgeliefert Dieses Paket stellte LDAP Support f r Versionen 1 3 und fr her von Apache HTTP Server bereit Sehen Sie die Webseiten der Apache Software Foundation unter http www apache org f r detaillierte Informationen zum Status dieses Moduls Kapitel 13 Lightweight Directory Access Protocol LDAP 201 13 3 3 LDAP Client Applikationen Es stehen grafische LDAP Clients zur Verfiigung die das Erstellen und Andern von Verzeichnissen unterstiitzen Diese sind allerdings nicht im Lieferumfang von Red Hat Linux enthalten Eine solche Anwendung ist LDAP Browser Editor Ein Java basiertes Tool das unter htt
134. wird standardm ig verwendet um zu kontrollieren welche Dateisysteme an welchen Host exportiert werden Weiterhin wird sie verwendet um bestimmte Optionen einzu stellen mit denen alles kontrolliert werden kann Leere Zeilen werden ignoriert Kommentare k nnen mithilfe von eingegeben werden und lange Zeilen k nnen durch einen Backslash umgebrochen werden Jedes exportierte Dateisystem sollte eine eigene Zeile haben Listen von nicht autorisierten Hosts die nach einem exportierten Dateisystem platziert sind m ssen durch Leerzeichen getrennt werden Die Optionen f r alle Hosts m ssen in Klammern direkt nach der Hostbezeichnung stehen Zwischen dem Host und der ersten Klammen ist kein Leerzeichen etc exports ben tigt in seiner einfachsten Form nur das Verzeichnis das exportiert wird und den Host der es verwenden kann some directory bob example com another exported directory 192 168 0 3 Nachdem etc exports erneut mit dem Befehl sbin service nfs reload exportiert wurde kann der Host bob example com die Datei some directory sowie 192 168 0 3 die Datei another exported directory mounten Da in diesem Beispiel keine Optionen festgelegt sind werden verschiedene NFS Pr ferenzen aktiviert ro Schreibgesch tzt Hosts die dieses Dateisystem mounten k nnen es nicht ndern Wenn Sie zulassen m chten dass in dem Dateisystem nderungen vorgenommen werden k nnen m ssen Sie die Option rw verwenden read write lese
135. zone Anweisung in der named conf Datei in den Dienst ber nommen was dann so hnlich aussieht wie zone 1 0 10 in addr arpa IN type master file example com rr zone allow update none Es gibt nur einen kleinen Unterschied zwischen diesem Beispiel und einer standardm igen zone Direktive der Name wird anders angegeben Bitte beachten Sie dass bei einer Zone f r eine umge kehrte Aufl sung die ersten drei Bl cke der IP Adresse zum Umkehren ben tigt werden und in addr arpa danach angegeben ist Dadurch kann ein einzelner Block von IP Ziffern der in der Zone Datei zum umgekehrten Aufl sen von Namen verwendet wird richtig an diese Zone angef gt werden 12 4 Die Verwendung von rndc BIND enth lt das Utility rndc mit dem Sie den named Daemon ber die Befehlszeile vom lokalen und von einem Remote Host verwalten k nnen Um zu verhindern dass nicht authorisierte Benutzer auf deren System BIND auf Ihrem Server kon trollieren wird durch einen gemeinsam verwendeten Schl ssel gew hrleistet dass ausdr cklich nur bestimmte Hosts ein entsprechendes Zugriffsrecht haben Damit rndc in allen named Dateien auf ei nem lokalen Rechner Befehle ausf hren kann m ssen die Schl ssel die in etc named conf und etc rndc conf verwendet werden bereinstimmen 12 4 1 Configuring etc named conf Um die Verbindung von rndczu Ihrem named Dienst zu erm glichen muss beim Start von named die cont rols Anweisung in Ihr
136. zu tty Ger ten finden Sie unter Abschnitt 5 3 11 8 Kapitel 1 Boot Init und Shutdown rc2 d rc3 d rc4 d rc5 d rc6 d Das Verzeichnis init d enth lt die vom Befehl sbin init zum Steuern der Dienste verwendeten Skripte Jedes der nummerierten Verzeichnisse stellt die sechs Runlevel dar die standardm ig unter Red Hat Linux konfiguriert sind 1 4 1 Runlevels Runlevels sind ein Zustand oder Modus durch die im SysV Verzeichnis etc rc d rc lt x gt d enthaltenen Services definiert werden wobei lt x gt die Nummer des Runlevels ist Die Idee hinter SysV init Runlevels basiert auf der Gegebenheit dass verschiedene Systeme auf ver schiedene Weise verwendet werden k nnen Ein Server zum Beispiel ist effizienter wenn kein X Window System l uft und Systemressourcen verschwendet Zu anderen Zeiten muss z B ein Syste madministrator das System auf einem niedrigeren Runlevel betreiben um diagnostische Aufgaben zu erledigen wie das Beheben von korrumpierten Dateisystemen in Runlevel 1 wenn keine anderen Benutzer auf dem System sein k nnen Die Eigenschaften eines gegebenen Runlevel bestimmen welche Services von init angehalten und gestartet werden Runlevel 1 Einzelbenutzer Modus zum Beispiel h lt alle Netzwerk Services w hrend Runlevel 3 diese startet Durch die Angabe bei welchem Runlevel spezifische Services an gehalten oder gestartet werden kann init schnell den Modus der Maschine ndern ohne dass der Benuz
137. zum Konfigurieren von OpenLDAP http www redhat com mirrors LDP HOWTO LDAP HOWTO html Ein lteres aber immer noch relevantes LDAP HOWTO http www padl com Entwickler von nss_ldap und pam_ldap neben vielen anderen hilfre ichen LDAP Tools http www innosoft com ldapworld Enth lt Informationen zu LDAP RFCs und LDAP Version 3 Spezifikationen http www kingsmountain com ldapRoadmap shtml Jeff Hodges LDAP Road Map enth lt Links f r verschiedene hilfreiche FAQs und aktuelle Neuigkeiten ber das LDAP Protokoll Kapitel 13 Lightweight Directory Access Protocol LDAP 207 http www rudedog org auth_ldap Homepage des auth_1dap Authentifizierungsmoduls f r Apache HTTP Server http www webtechniques com archives 2000 05 wilcox Ein hilfreicher Einblick in das Verwal ten von Gruppen in LDAP http www ldapman org articles Artikel zur Einf hrung in LDAP einschlie lich Methoden zur Erstellung eines Verzeichnisbaums und benutzerdefinierter Verzeichnis strukturen 13 9 3 B cher zum Thema Implementing LDAP von Mark Wilcox Wrox Press Inc Understanding and Deploying LDAP Directory Services von Tim Howes et al Macmillan Techni cal Publishing 208 Kapitel 13 Lightweight Directory Access Protocol LDAP lll Sicherheit Die Verwendung von sicheren Protokollen ist ein kritischer Punkt in der Gew hrleistung der Inte grit t des Systems Dieser Teil beschreibt entscheid
138. 0 0 user 12 15 0 0 Total transfers 0 0 reads and 0 writes lt 2K 2K 4K 8K 16K 32K 64K 128K Reads 0 0 0 0 0 0 0 0 Writes 0 0 0 0 0 0 0 0 scsil 0 6 0 Device using Narrow Sync transfers at 10 0 MByte sec offset 15 Transinfo settings current 25 15 0 0 goal 12 15 0 0 user 12 15 0 0 Total transfers 132 0 reads and 132 writes lt 2K 2K 4K 8K 16K 32K 64K 128K Reads 0 0 0 0 0 0 0 0 Writes 0 0 0 at 131 0 0 0 Dieser Bildschirm zeigt die Transfergeschwindigkeiten zu den verschiedenen SCSI Ger ten die an den Controller angeschlossen sind basierend auf der Channel ID sowie detaillierte Statistiken zu der Anzahl und Gr e der Dateien die von diesem Ger t gelesen oder geschrieben wurden Der oben angegebenen Ausgabe entnehmen Sie dass der Controller mit dem CD ROM Laufwerk mit 20 Me gabyte pro Sekunde kommuniziert w hrend das Bandlaufwerk nur mit 10 Megabytes kommuniziert 68 Kapitel 5 Das proc Dateisystem 5 3 9 proc sys Das Verzeichnis proc sys unterscheidet sich von proc weil es nicht nur eine Menge Informa tionen iiber das System zeigt sondern auch Administratoren erlaubt Kerneleigenschaften sofort zu aktivieren oder zu deaktivieren A wamung Versuchen Sie niemals Ihre Kernel Einstellungen auf einem Produktionssystem mit den Dateien in proc sys zu optimieren Es kann in manchen F llen passieren dass eine Einstellung den Kernel instabil macht und damit ein Neustart erforderlich wir
139. 0 1368304 5538681 disk_io 3 0 1408049 445601 5349480 962448 17135856 ctxt 27269477 btime 886490134 processes 206458 Einige der bekannteren Statistiken sind e cpu Misst die Anzahl von Jiffies 1 100 Sekunden in denen das System im Benutzer Modus Benutzer Modus mit niedriger Priorit t nice System Modus und im Idle Task war Die Gesamtzahl f r alle CPUs wird ganz oben ausgegeben und jede einzele CPU wird unten mit eigenen Statistiken aufgelistet page Anzahl der Speicherseiten die das System von Platte und auf Platte geschrieben hat swap Anzahl der Swap Seiten die das System von Platte und auf Platte geschrieben hat e intr Anzahl der Interrupts die im System aufgetreten sind btime Die Boot Zeit gemessen in Sekunden seit dem Januar 1970 auch bekannt als epoch 5 2 28 proc swaps Diese Datei misst den Swapspeicher und seine Auslastung F r ein System mit nur einer Swap Partition k nnte die Ausgabe von proc swap so hnlich aussehen Filename Type Size Used Priority dev hda6 partition 136512 20024 1 Obwohl Sie einige dieser Informationen auch in anderen Dateien im Verzeichnis proc finden liefert Ihnen die Datei proc swap einen berblick ber alle Swap Dateinamen Typen des Swap Space und die Gesamtgr e sowie die verwendete Gr e in Kilobyte Die Priorit tsspalte ist sinnvoll wenn mehrere Swap Dateien benutzt werden Je niedriger die Priorit t desto wahrscheinlicher wi
140. 0000 e57fffff Matrox Graphics Inc MGA G200 AGP e8000000 e8ffffff PCI Bus 01 e8000000 e8ffffff Matrox Graphics Inc MGA G200 AGP ea000000 ea00007f Digital Equipment Corporation DECchip 21140 FasterNet ea000000 ea00007 f tulip ffff0000 ffffffff reserved Die erste Spalte zeigt die Speicherregister an die von jedem der verschiedenen Speichertypen verwen det werden Die zweite Spalte zeigt die Art des Speichers in diesem Register an Diese Spalte zeigt Ihnen vor allem auch an welche Speicherregister vom Kernel im Systemspeicher benutzt werden oder wenn z B Ihre Netzwerkschnittstelle mehrere Ethernetports hat welcher Port welche Speicher register verwendet 5 2 11 proc ioports Die Ausgabe von proc ioports liefert eine Liste von zur Zeit registrierten Port Regionen zur I O Kommunikation mit einem Ger t Diese Datei kann sehr lang sein der Anfang kann hnlich wie hier aussehen 0000 001f dmal 0020 003f picl 0040 005 timer 52 Kapitel 5 Das proc Dateisystem 0060 006f keyboard 0070 007 rtc 0080 008f dma page reg 00a0 00bf pic2 00c0 00df dma2 OOf0 O0ff fpu 0170 0177 idel 01f 0 01f 7 ideOd 02f8 02ff serial auto 0376 0376 idel 03c0 03df vgat 03 6 03 6 ideO 03f8 03ff serial auto Ocf8 Ocff PCI confl d000 dfff PCI Bus 01 e000 e00f VIA Technologies Inc Bus Master IDE e000 e007 ided e008 e00f idel e800 e87 Digital Equipment Corporation
141. 1 3 finden Sie hierzu die entsprechenden Anweisungen Weitere Informationen zu LDAP finden Sie unter Kapitel 13 11 3 2 Fetchmail Fetchmail ist ein MTA der E Mails von Remote Servern holen und zum lokalen MTA bertragen kann Viele Benutzer sch tzen es dass das Herunterladen ihrer Mitteilungen von einem Remote Server und das Lesen und Sortieren ihrer E Mails in einem E Mail Client voneinander getrennt wer den kann Fetchmail wurde f r die Bed rfnisse von Dial up Benutzern entwickelt Mit Fetchmail Kapitel 11 E Mail 163 k nnen unter Verwendung aller Protokolle einschlie lich POP3 und IMAP alle Ihre E Mails schnell mit Ihrer Mail Spool Datei verbunden und heruntergeladen werden Bei Bedarf k nnen Ihre E Mail Mitteilungen auch an einen SMTP Server weitergeleitet werden Fetchmail wurde f r jeden Benutzer mit einer fet chmailrc Datei im Home Verzeichnis des Be nutzers konfiguriert Mit den Pr ferenzen der fetchmailrc Datei berpr ft Fetchmail E Mails auf einem Remote Rechner l dt diese herunter und versucht sie an Port 25 des lokalen Rechners zu bertragen Dabei verwendet es den lokalen MTA um die E Mail in die richtige Spool Datei des Benutzers zu platzie ren Wenn Procmail zur Verf gung steht k nnen Sie es dazu verwenden die E Mail zu filtern und in einer Mailbox zu platzieren so dass sie dort von einem E Mail Client gelesen werden kann 11 3 2 1 Konfigurationsoptionen bei Fetchmail Obwohl es m glich ist
142. 17 1 root root 64 May 8 11 31 5 gt dev ptmx 1 root root 64 May 8 11 31 6 gt socket 7774829 1 root root 64 May 8 11 31 7 gt dev ptmx e maps Enth lt Speicher Maps zu den verschiedenen ausf hrbaren Dateien und Library Dateien die mit diesem Prozess zusammenh ngen Diese Datei kann sehr lang werden wenn ein sehr kom plexer Prozess ausgef hrt wird eine Beispielausgabe eines sshd Prozesses f ngt so an 08048000 08086000 r xp 00000000 03 03 391479 usr sbin sshd 08086000 08088000 rw p 0003e000 03 03 391479 usr sbin sshd 08088000 08095000 rwxp 00000000 00 00 0 40000000 40013000 r xp 00000000 03 03 293205 lib 1d 2 2 5 so 40013000 40014000 rw p 00013000 03 03 293205 lib 1d 2 2 5 so 40031000 40038000 r xp 00000000 03 03 293282 lib libpam so 0 75 40038000 40039000 rw p 00006000 03 03 293282 lib libpam so 0 75 40039000 4003a000 rw p 00000000 00 00 0 4003a000 4003c000 r xp 00000000 03 03 293218 lib libdl 2 2 5 so 4003c000 4003d000 rw p 00001000 03 03 293218 lib libdl 2 2 5 so e mem Der Speicher der von diesem Prozess benutzt wird Diese Datei kann vom Benutzer nicht gelesen werden root Ein Link zum root Verzeichnis des Prozesses e stat Der Status des Prozesses statm Der Status des Speichers der von diesem Prozess benutzt wird Eine beispielhafte st atm Datei sieht aus wie folgt 263 210 210 5 0 205 0 Die sieben Spalten h ngen mit verschiedenen Speicherstatistiken f r den Prozess zusamme
143. 195 Hilfreiche Webseiten 195 Installierte Dokumentationen 194 BIOS Definition 1 Siehe auch Bootprozess Blockger te Definition von 48 Bootloader 11 19 11 Siehe auch aboot Definition 11 Typen 11 Bootprozess 1 1 Siehe auch Bootloader Direktes Laden 11 f r x86 1 Phasen 1 1 sbin init Befehl 4 BIOS 1 Bootloader 2 EFI Shell 1 Kernel 4 Verkettetes Laden 11 BrowserMatch Apache Konfigurationsanweisung 147 Cc Cache Konfigurationsanweisungen fiir Apache 148 CacheNegotiatedDocs Apache Konfigurationsanweisung 141 Caching Only Nameserver Siehe BIND CD ROM Module Siehe Kernelmodule CGI Skripte externe Ausf hrung zulassen cgi bin 139 CGI Skripts auBerhalb ScriptAlias 146 chkconfig 9 Siehe auch Services CustomLog Apache Konfigurationsanweisung 143 295 D Dateien Proc Dateisystem Anzeigen 76 Andern 76 andern 46 Dateisystem Hierarchie 25 Organisation 26 Standard 26 Struktur 25 virtuelles Siehe proc Dateisystem DefaultIcon Apache Konfigurationsanweisung 145 DefaultType Apache Konfigurationsanweisung 141 Denial of Service Verhinderung mit xinetd 232 Siehe auch xinetd Denial of Service Angriff 72 Siehe auch proc sys net Verzeichnis Definition von 72 Deny Apache Konfigurationsanweisung 140 Desktop Umgebungen Siehe XFree86 Directory Apache Konfigurationsanweisung 139 DirectoryIndex Apache Konfigurationsanweisung 140 Display Manager Siehe XFree86 D
144. 214 Steuer Flags 213 Vorteile 211 zus tzliche Ressourcen 217 hilfreiche Websites 218 installierte Dokumentationen 217 pam_console Siehe PAM Passwort 214 Siehe auch PAM Shadow Passw rter 214 Passw rter Shadow 84 PidFile Apache Konfigurationsanweisung 135 Pluggable Authentication Modules Siehe PAM portmap 112 rpcinfo 112 prefdm Siehe XFree86 Problembehebung Fehlerprotokoll 142 proc Dateisystem proc devices Zeichen Ger te 48 proc sys Verzeichnis proc sys kernel sysrq Siehe System Request Key Dateien anzeigen in 45 procDateisystem proc isapnp 52 proc sys Verzeichnis 76 Siehe auch sysctl Dateien in top level 46 Dateien ndern in 46 68 76 Procmail 166 Konfiguration 167 Recipes 168 Beispiele 171 Besondere Aktionen 170 Besondere Bedingungen 170 Delivering 169 Flags 169 Lokale Sperrdateien 170 Non delivering 169 SpamAssassin 172 Zus tzliche Informationsquellen 175 Programme zum Zeitpunkt des Bootens ausf hren 7 Protokolldateien Allgemeines Format der Log Dateien 143 Proxy Apache Konfigurationsanweisung 148 Proxy Server 148 148 ProxyRequests Apache Konfigurationsanweisung 148 ProxyVia Apache Konfigurationsanweisung 148 301 public_html directories 140 R rc local ndern 7 ReadmeName Apache Konfigurationsanweisung 145 Red Hat Linux spezifische Dateispeicherstellen etc sysconfig 30 var spool up2date 30 Red Hat Linux spezifischen Dat
145. 3 Advansys SCSI Karten advansysso Adaptec AHA 154x amd ahal542 0 63 1x basiert Adaptec AHA 1740 anara Adaptec AHA 274x AHA 284x aic7xxx o AHA 29xx AHA 394x AHA 398x AHA 274x AHA 274xT AHA 2842 AHA 2910B AHA 2920C AHA 2930 U U2 AHA 2940 W U UW AU U2W U2 U2B U2BOEM AHA 2944D WD UD UWD AHA 2950U2 W B AHA 3940 U W UW AUW U2W U2B AHA 3950U2D AHA 3985 U W UW AIC 777x AIC 785x AIC 786x AIC 787x AIC 788x AIC 789x AIC 3860 ACARD ATP870U atp870u o PCI SCSI Controller Compaq Smart Array 5300 cciss o Controller Compaq Smart 2 RAID cpgarray o Controller Anhang A Allgemeine Parameter und Module 285 Parameter Hardware Compaq FibreChannel Controller Domex DMX3191D Free FE o DTP SCSI Adapter PM2011 eata_dma o M2021 PM2041 PM3021 M2012B PM2022 PM2122 M2322 PM2042 PM3122 M3222 PM3332 PM2024 M2124 PM2044 PM2144 PM3224 PM3334 NCR5380 generischer Treiber g_NCR5380 0 Po IOMEGA MatchMaker paralleler imm o SCSI Anschlussadapter IBM ServeRAID Data Technology Corp dtc o DTC3180 3280 DTP SCSI Hostadapter eata o EATA DMA PM2011B 9X ISA PM2021A 9X ISA M2012A PM2012B M2022A 9X EISA M2122A 9X PM2322A 9X martRAID PM3021 PM3222 M3224 Sun Enterprise Network Array fcal o FC AL Future Domain TMC 16xx SCSI ICP RAID Controller 120 Blockweiber Always IN2000 ISA SCSI Karte in2000 0 in2000 Setupzeichenfolge Wert ODER in2000 Setupzeichenfolge W
146. 34 ServerSignature 143 SetEnvIf 149 StartServers 136 Timeout 135 TypesConfig 141 UseCanonicalName 138 User 137 UserDir 140 VirtualHost 149 Konfigurieren Apache 133 SSL 149 Virtuelle Hosts 151 Konventionen Dokument v Kopieren und Einfiigen von Text beim Verwenden von X viii kwin 86 Siehe auch XFree86 L LanguagePriority Apache Konfigurationsanweisung 146 LDAP Applikationen 201 Idapadd 199 Idapdelete 199 Idapmodify 199 Idapsearch 199 OpenLDAP Suite 199 slapadd 199 slapcat 199 slapd 199 slapindex 199 slappasswd 199 slurpd 199 Utilities 199 Authentifizierung mit 204 Authetifizierung unter Verwendung von etc ldap conf bearbeiten 204 etc nsswitch conf bearbeiten 204 etc openldap ldap conf bearbeiten 204 authconfig 204 Clients einrichten 204 Pakete 204 PAM 205 slapd conf bearbeiten 204 Daemons 199 Definition 197 Einrichten Umwandeln der 1 x Verzeichnisse 206 Konfigurationsdateien etc ldap conf 201 etc openldap ldap conf 201 etc openldap schema Verzeichnis 201 201 etc openldap slapd conf 201 203 LDAPV2 197 LDAPv3 197 LDIF Format 198 mit Apache HTTP Server verwenden 200 mit NSS verwenden 200 mit PAM verwenden 200 mit PHP4 verwenden 200 OpenLDAP Funktionen 197 Terminologie 198 Vorteile 197 Zus tzliche Ressourcen 206 B cher zum Thema 207 hilfreiche Websites 206 installierte Dokumentationen 206 Idapadd Befehl 199 Siehe auch LDAP Idap
147. 4 Kapitel 13 Lightweight Directory Access Protocol LDAP EB wicntic Sie m ssen root sein um usr sbin slapadd zu verwenden Der Verzeichnis Server wird jedoch als Benutzer 1dap ausgef hrt Der Verzeichnis Server ist deshalb nicht in der Lage Dateien welche von slapadd erzeugt wurden zu ndern Um dieses Problem zu beheben geben Sie den folgenden Befehl ein nachdem Sie s1apadd beendet haben chown R ldap var lib ldap 13 7 Konfigurieren Ihres Systems f r die Authentifizierung mit OpenLDAP Dieser Abschnitt gibt einen kurzen berblick ber die Konfiguration Ihres Red Hat Linux Systems f r die Authentifizierung mit OpenLDAP Wenn Sie kein OpenLDAP Experte sind ben tigen Sie wahrscheinlich eine umfassendere Dokumentation als wir Ihnen hier bieten k nnen Weitere Infor mationen finden Sie in den in Abschnitt 13 9 angegebenen Literaturhinweisen Installieren der notwendigen LDAP Pakete Zuerst sollten Sie sicherstellen dass die erforderlichen Pakete auf beiden dem LDAP Server und dem LDAP Client installiert sind Der LDAP Server ben tigt das openldap server Paket Die Pakete openldap openldap clients und nss_ldap m ssen auf allen LDAP Client Maschinen installiert sein Bearbeiten der Konfigurationsdateien Bearbeiten Sie die Datei etc openldap slapd conf auf dem LDAP Server um sicherzustellen dass diese mit den Gegebenheiten Ihrer Organisation bereinstimmt Bitte sehen Sie Abschnitt 13 6 1 f r Anleitungen zum
148. 50 DefaultIcon DefaultIcon bestimmt das Symbol das in vom Server erstellten Verzeichnislisten f r Dateien an gezeigt wird f r die kein anderes Symbol angegeben ist unknown gif ist dabei der Default 10 5 51 AddDescription Mit AddDescription k nnen Sie in vom Server erstellten Listen f r bestimmte Dateien von Ihnen eingegebenen Text anzeigen lassen wozu FancyIndexing in IndexOptions aktiviert sein muss Sie k nnen bestimmte Dateien Platzhalterausdr cke oder Dateiendungen f r die Dateien angeben auf die diese Anweisung angewandt werden soll AddDescription unterst tzt das Auflisten von bestimmten Dateien Wildcard Ausdr cken oder Dateiendungen 10 5 52 ReadmeName ReadmeName bestimmt die Datei die an das Ende der vom Server erstellten Verzeichnisliste ange h ngt wird falls die Datei im Verzeichnis vorhanden ist Der Web Server versucht zuerst die Datei als HTML Dokument anzuh ngen dann als Standardtextdatei Standardm ig ist ReadmeName auf README htm1 eingestellt 10 5 53 HeaderName HeaderName bestimmt die Datei die am Beginn der vom Server erstellten Verzeichnislisten eingef gt wird falls die Datei im Verzeichnis vorhanden ist Wie bei ReadmeName versucht der Server die Datei nach M glichkeit als HTML Datei anzuh ngen sonst als einfachen Text 10 5 54 IndexIgnore IndexIgnore kann Dateiendungen Teile von Dateinamen Platzhalterausdr cke oder vollst ndige Dateinamen enthalten Der Web Server nimmt
149. 54 Installierte Dokumentation 254 298 Kernel Rolle im Bootprozess 4 Kernelmodul CD ROM Module Beispiele 283 Parameter 282 Einf hrung 281 Ethernet Module Beispiele 291 mehrere Karten unterst tzen 291 Parameter 287 Modulparameter spezifizieren 281 SCSI Module Beispiele 286 Parameter 284 Typen 281 Konfigurationsanweisungen Apache 134 AccessFileName 141 Action 146 AddDescription 145 AddEncoding 146 AddHandler 146 Addlcon 145 AddIconByEncoding 144 AddIconByType 145 AddLanguage 146 AddType 146 Alias 143 Allow 140 AllowOverride 140 BrowserMatch 147 CacheNegotiatedDocs 141 CustomLog 143 DefaultIcon 145 DefaultType 141 Deny 140 Directory 139 DirectoryIndex 140 DocumentRoot 138 ErrorDocument 147 ErrorLog 142 ExtendedStatus 137 f r Cache Funktionalit ten 148 f r SSL Funktionalit ten 149 Group 137 HeaderName 145 HostnameLookups 142 IfDefine 137 IfModule 141 Include 136 IndexIgnore 145 IndexOptions 144 KeepAlive 135 KeepAliveTimeout 135 LanguagePriority 146 Listen 136 LoadModule 137 Location 147 LogFormat 142 LogLevel 142 MaxClients 136 MaxKeepAliveRequests 135 MaxRequestsPerChild 136 MaxSpareServers 135 MinSpareServers 135 NameVirtualHost 149 Options 139 Order 140 PidFile 135 Proxy 148 ProxyRequests 148 ProxyVia 148 ReadmeName 145 Redirect 144 ScoreBoardFile 134 ScriptAlias 143 ServerAdmin 138 ServerName 138 ServerRoot 1
150. 64 Benutzeroptionen 165 Serveroptionen 164 Zus tzliche Informationsquellen 175 FHS 26 25 Siehe auch Dateisystem Forwarding Nameserver Siehe BIND Framebuffer Ger t 49 Siehe auch proc fb FrontPage 132 G Ger te lokal Besitzrechte ber 217 Siehe auch PAM GNOME 86 Siehe auch XFree86 Group Apache Konfigurationsanweisung 137 GRUB 2 Siehe auch Bootloader Befehle 16 Bootprozess 11 Definition 11 Funktionen 12 Installieren 12 Konfigurationsdatei boot grub grub conf 18 Struktur 18 Men konfigurationsdatei 17 Befehle 17 Oberfl chen 15 Befehlszeile 15 Men 15 Meniieintrag Editor 15 Reihenfolge 16 Rolle im Bootprozess 2 Runlevel ndern mit 22 Runlevels ndern mit 15 Terminologie 13 Dateien 14 Ger te 13 root Dateisystem 14 zus tzliche Ressourcen 22 hilfreiche Websites 22 installierte Dokumentationen 22 grub conf 18 Siehe auch GRUB Gruppen Benutzereigene 83 Einf hrung 79 Gemeinsame Verzeichnisse 83 GID 79 Standard 81 Tools zur Verwaltung von groupadd 79 83 redhat config users 83 User Manager 79 H HeaderName Apache Konfigurationsanweisung 145 Herunterfahren 9 Siehe auch Anhalten Hierarchie Dateisystem 25 HostnameLookups Apache Konfigurationsanweisung 142 Hosts Zugriffsdateien Siehe TCP Wrappers hosts allow Siehe TCP Wrappers hosts deny Siehe TCP Wrappers httpd conf Siehe Konfigurationsanweisungen Apache IfDefine Apac
151. Alias legt fest wo CGI Skripts oder andere Skriptarten abgelegt sind Im Allgemeinen sollten CGI Skripts nicht in DocumentRoot abgelegt werden In DocumentRoot abgelegte CGI Skripts k nnten wie Textdokumente gelesen werden Deswegen ist das Verzeichnis cgi bin standardm ig ein ScriptAlias von cgi bin und in Wirklichkeit das Verzeichnis var www cgi bin Es ist m glich Verzeichnisse mit ausf hrbaren Dateien ausserhalb von cgi bin zu erstellen F r Anleitungen dazu sehen Sie Abschnitt 10 5 59 und Abschnitt 10 5 24 144 Kapitel 10 Apache 10 5 45 Redirect Wenn eine Web Seite verschoben wird kann mit Redirect die Zuordnung der alten URL auf eine neue URL erfolgen Hier das Format Redirect lt old path gt lt file name gt http lt current domain gt lt current path gt lt file name gt Ersetzen Sie in diesem Beispiel lt old path gt mit den alten Pfadinformationen f r lt file name gt und lt current domain gt sowie lt current path gt mit der augenblicklichen Domain und den Pfadinformationen f r lt file name gt In diesem Beispiel werden alle Anfragen an lt file name gt ber die alte URL automatisch zur neuen URL umgeleitet F r erweiterte Methoden zur Umleitung verwenden Sie das Modul mod_rewrite welche im Apache HTTP Server enthalten ist F r weitere Informationen zum Konfigurieren von mod_rewrite sehen Sie die Dokumentation auf der Webseite der Apache Software Foundation Online unter http httpd apac
152. Anzeige 1 gestartet werden sollte Benutzer Fred muss allerdings vorher mit vncpasswd ein VNC Passwort eingestellt haben um eine Verbindung mit dem Remote VNC Server herstellen zu k nnen Beachten Sie bitte dass Ihre Kommunikation nicht verschl sselt ist wenn Sie mit einem VNC Server arbeiten Sie sollten VNC also nicht auf einem unsicheren Netzwerk verwenden Genaue Anweisun gen hinsichtlich der Benutzung von SSH zum Schutz der Kommunikaton mit VNC finden Sie unter http www uk research att com vnc sshvnc html N heres ber SSH finden Sie in Kapitel 18 oder im Red Hat Linux Handbuch benutzerdefinierter Konfiguration 4 1 39 etc sysconfig xinetd Mit der Datei etc sysconfig xinetd werden zum Zeitpunkt des Bootens Argumente an den xinetd Daemon bertragen Der xinetd Daemon startet Programme die Ihnen Internet Dienste zur Verf gung stellen wenn auf dem f r diesen Dienst zust ndigen Port eine entsprechende Anfrage eingeht Weitere Informationen zu den m glichen Parametern in dieser Datei erhalten Sie auf den man Seiten von xinetd Weitere Informationen zum xinetd Dienst finden Sie unter Abschnitt 15 3 44 Kapitel 4 Das Verzeichnis sysconfig 4 2 Verzeichnisse im Verzeichnis etc sysconfig Folgende Verzeichnisse befinden sich normalerweise in etc sysconfig apm scripts Dieses Verzeichnis enth lt das Red Hat APM Suspend Resume Skript Sie sollten diese Datei nicht direkt bearbeiten Wenn Sie eine Anpassung wiinschen
153. Authentifizierung erfolgreich kann die Verbindung zugelassen werden Ist die Authentifizierung nicht erfolgreich ist wird zur Standardauthentifizierung mit Passwort bergegangen 14 3 2 Steuer Flags Alle PAM Module erstellen bei einer berpr fung Fehler oder Erfolgsmeldungen Die Steuer Flags geben PAM an was mit diesen Ergebnissen geschehen soll W hrend Module in einer bestimmten Reihenfolge gestapelt werden k nnen k nnen Sie mit den Steuer Flags einstellen wie wichtig der Erfolg oder das Fehlschlagen des entsprechenden Moduls f r die Authentifizierung des gesamten Service ist Es gibt vier vordefinierte Steuer Flags required Solche Module m ssen erfolgreich berpr ft werden bevor die Authentifizierung erfolgen kann Wenn bei einem required Modul Fehler auftreten wird der Benutzer dar ber in formiert sobald auch alle anderen Module welche die gleiche Schnittstelle referenzieren berpr ft wurden e requisite Solche Module m ssen ebenfalls berpr ft werden bevor die Authentifizierung erfolgreich sein kann Wenn bei einem requisite Modul Fehler auftreten wird der Benutzer hier ber sofort informiert Diese Mitteilung zeigt das erste fehlerhafte required oder requi site Modul an sufficient Bei solchen Modulen werden Fehler ignoriert Wenn ein sufficient Modul je doch erfolgreich berpr ft wurde und kein required Modul fehlschl gt werden keine weiteren berpr fungen dieser Modul Schnittstelle
154. Befehl c cache um die Font Information im Cache zu aktualisieren wie Folgend beschrieben 4fc cache lt path to font directory gt Ersetzen Sie lt path to font directory gt mit dem Verzeichnis das die neuen Fonts enth lt entweder usr share fonts local oder fonts Sr Individuelle Benutzer k nnen Fonts auch graphisch installieren indem Sie den Nautilus Browser zu fonts navigieren und neue Font Dateien ber Drag and Drop dort hinein kopieren EB wicntic Wenn der Font Dateiname in gz ended ist dies eine komprimierte Datei und diese kann nicht direkt verwendet werden Die darin enthaltenen Dateien m ssen zuerst extrahiert werden Verwenden Sie dazu den Befehl gunzip oder doppel klicken Sie die Datei und kopieren Sie die Font mittels Drag and Drop in ein Verzeichnis in Nautilus 7 4 2 Core X Font System Aus Gr nden der Kompatibilit t stellt Red Hat Linux das Core X Font Subsystem welches den X Font Server xfs verwendet auch weiterhin zur Verf gung um den X Client Applikationen Fonts bereitzustellen Der XFree86 Server sucht nach den im FontPath Eintrag des Files Abschnitt der Konfigurations datei etc X11 XF86Config angegebenen Fonts Sehen Sie Abschnitt 7 3 1 4 f r weitere Informa tion zum FontPath Eintrag Der XFree86 Server verbindet zum xfs Server auf einem angegebenen Port um Font Informationen zu erfragen Aus diesem Grund muss der xfs Service laufen damit X starten kann F r weitere Information
155. CMP TCP oder UDP spezifizieren Bei der Spezifizierung von Netzwerkschnittstellen auf die eine bestimmte Regel angewandt werden soll m ssen Sie Eingangsschnittstellen i option nur mit INPUT oder FORWARD Chains und Ausgangsschnittstellen o option nur mit FORWARD oder OUTPUT Chains verwenden Dies ist notwendig weil OUTPUT Chains nicht mehr f r Eingangsschnittstellen verwendet werden und INPUT Chains f r Pakete die durch eine Schnittstelle treten nicht gesehen werden Dies sind auf keinen Fall alle nderungen da iptables ein von Grund auf neu geschriebener Netz werkfilter ist Genauere Einzelheiten finden Sie im Linux 2 4 Packet Filtering HOWTO und in den unter Abschnitt 16 5 angegebenen Quellen 16 3 Mit iptables Befehlen verwendete Optionen Regeln die es erm glichen dass Pakete vom Kernel gefiltert werden werden durch Ausf hren des iptables Befehls erstellt Beim Verwenden des iptables Befehls m ssen Sie folgende Optionen angeben Pakettyp Diese Option legt fest welche Art von Paketen der Befehl filtert Paketquelle oder ziel Diese Option legt fest welche Pakete vom Befehl auf Grundlage der Paketquelle oder des Paketziels gefiltert werden Ziel Diese Option legt fest welche Aktion ausgef hrt wird wenn die Pakete die oben genannten Kriterien erf llen Die mit der iptables Regel verwendeten Optionen m ssen logisch gruppiert sein d h auf Grund lage des Zwecks und der Bedingungen der Ge
156. CSI und Ethernettabellen in diesem Anhang zeigt an wo die erste Parameter Methode aufh rt und wo die zweite einsetzt Anmerkung Verwenden Sie nur eine der beiden Methoden zum Laden eines Moduls mit bestimmten Parametern kenne Wenn ein Parameter Kommas beinhaltet achten Sie darauf dass Sie nach dem Komma KEIN Leer zeichen setzen 1 Unter einem Treiber versteht man Software die Ihrem System die Verwendung bestimmter Hardware Ger te erm glicht Ohne den Treiber kann der Kernel die jeweiligen Ger te unter Umst nden nicht richtig benutzen 282 Anhang A Allgemeine Parameter und Module A 2 CD ROM Modulparameter f Anmerkung Nicht alle aufgef hrten CD ROM Laufwerke werden unterst tzt berpr fen Sie daher in der Hardware Kompatibilit tsliste auf der Website von Red Hat Linux http hardware redhat com ob Ihr CD ROM Laufwerk unterst tzt wird Selbst wenn die Parameter nach dem Laden der Treiberdiskette spezifiziert werden und das Ger t an gegeben wird kann der am h ufigsten verwendete Parameter hdx cdrom wobei X f r den entspre chenden Buchstaben des Laufwerks steht auch w hrend der Installation am Bootprompt eingegeben werden Diese Ausnahme von der Regel ist erlaubt weil dieser Parameter sich auf die im Kernel integrierte Unterst tzung von IDI ATAPI CD ROMs bezieht also bereits Teil des Kernels ist Die meisten der in den nachfolgenden Tabellen ohne Parameter aufgef hrten Module k nnen ent wed
157. D no IDLETIMEOUT 600 Serial Line Internet Protocol SLIP ist eine weitere Dialup Schnittstelle wird im allgemeinen aber seltener verwendet Ein typischer Name f r die Schnittstellen Konfigurationsdatei der SLIP Dateien ist z B ifcfg s10 Folgende Optionen k nnen in diesen Dateien verwendet werden DEFROUTE lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann yes Stellt diese Schnittstelle als Standardroute ein no Stellt diese Schnittstelle nicht als Standardroute ein DEMAND lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann e yes Mit dieser Schnittstelle kann pppd eine Verbindung starten no Verbindungen mit dieser Schnittstelle m ssen manuell hergestellt werden e IDLETIMEOUT lt Wert gt wobei lt Wert gt die Sekunden ohne Aktivit t darstellt nach denen die Schnittstelle die Verbindung selbst unterbricht e INITSTRING lt Zeichenkette gt wobei lt Zeichenkette gt die erste Zeichenfolge ist die an das Modem bergeben wird Diese Option wird haupts chlich von SLIP Schnittstellen verwendet LINESPEED lt Wert gt wobei lt Wert gt die Baudrate des Ger tes angibt Zu den m glichen Stan dardwerten geh ren 57600 38400 19200 und 9600 MODEMPORT lt Ger t gt wobei lt Ger t gt der Name des Serial Ger ts ist das die Verbindung f r die Schnittstelle herstellt MTU lt Wert gt wobei lt Wert gt die Maximum Transfer Unit MTU Einstellung f r die Schnit
158. DECchip 21140 FasterNet e800 e87 tulip Die erste Spalte zeigt den Adressbereich des I O Ports an der f r ein Ger t in der zweiten Spalte reserviert ist 5 2 12 proc isapnp Diese Datei listet Plug and Play PnP Karten in ISA Steckpl tzen im System auf Dies ist oft bei Soundkarten der Fall aber kann auch viele andere Ger te umfassen Eine proc isapnp Datei mit einem Soundblaster Eintrag sieht hnlich wie hier aus Card 1 CTLO0070 Creative ViBRA16C PnP PnP version 1 0 Product version 1 0 Logical device 0 CTLO001 Audio Device is not active Active port 0x220 0x330 0x388 Active IRQ 5 0x2 Active DMA 1 5 Resources 0 Priority preferred Port 0x220 0x220 align 0x0 size 0x10 16 bit address decoding Port 0x330 0x330 align 0x0 size 0x2 16 bit address decoding Port 0x388 0x3f8 align 0x0 size 0x4 16 bit address decoding IRQ 5 High Edge DMA 1 8 bit byte count compatible DMA 5 16 bit word count compatible Alternate resources 0 1 Priority acceptable Port 0x220 0x280 align Oxlf size 0x10 16 bit address decoding Port 0x300 0x330 align 0x2f size 0x2 16 bit address decoding Port 0x388 0x3f8 align 0x0 size 0x4 16 bit address decoding IRQ 5 7 2 9 10 High Edge DMA 1 3 8 bit byte count compatible DMA 5 7 16 bit word count compatible Diese Datei kann sehr lang werden je nach Anzahl der angezeigten Ger te und deren Ressourcenan forderungen Kapitel 5 Das proc Dateisystem 53 Jede Karte wird mit ihrem Name
159. Dateien die diesen Parametern entsprechen nicht mit in vom Server erstellte Verzeichnislisten auf 146 Kapitel 10 Apache 10 5 55 AddEncoding AddEncoding bestimmt welche Dateinamenerweiterungen eine spezielle Codierungsart angeben sollen AddEncoding kann auch bei manchen Browsern nicht bei allen dazu verwendet werden bestimmte Dateien beim Download zu entpacken 10 5 56 AddLanguage AddLanguage verkniipft Dateinamenserweiterungen mit der speziellen Sprache in der der Inhalt ab gefasst ist Diese Anweisung ist haupts chlich f r den Inhaltsabgleich n tzlich wenn der Server je nach Spracheinstellung im Browser des Clients eines von mehreren m glichen Dokumenten zur ck liefert 10 5 57 LanguagePriority LanguagePriority erm glicht die Einstellung in welchen Sprachen Dateien geliefert werden sol len falls vom Client im Browser keine Angabe zur Sprache vorliegt 10 5 58 AddType Mit der Anweisung AddType k nnen Sie paarweise Zuordnungen aus MIME Types und Dateierwei terungen definieren Wenn Sie zum Beispiel PHP4 einsetzen verwendet Ihr Web Server die Anwei sung AddType um Dateien mit PHP Endungen php4 php3 phtml php als PHP MIME Types erkennen zu k nnen Mit folgender Anweisung erkennt Apache HTTP Server die Dateierweiterung shtml AddType text html shtml AddHandler server parsed shtml 10 5 59 AddHandler AddHandler ordnet Dateierweiterungen speziellen Handlern zu Der cgi script Handler kann zum
160. Die Datei etc sysconfig harddisks erm glicht es Ihnen Ihre Festplatte n abzustimmen Der Administrator kann auch etc sysconfig hardiskhd a h verwenden um die Parameter f r bestimmte Laufwerke zu konfigurieren AB warung Nehmen Sie keine leichtsinnigen nderungen in dieser Datei vor Wenn Sie die hier gespeicherten Standardwerte ndern besteht das Risiko dass Sie alle Daten der Festplatte n verlieren Kapitel 4 Das Verzeichnis sysconfig 35 Die Datei etc sysconfig harddisks kann Folgendes enthalten USE_DMA 1 wobei der Wert 1 DMA aktiviert Bei einigen Chips tzen und Festplattenkombinatio nen kann dies jedoch zu Datenverlusten f hren Lesen Sie in der Dokumentation Ihrer Festplatte nach oder wenden Sie sich an den Hersteller bevor Sie diesen Befehl aktivieren Multiple_10 16 die Einstellung 16 l sst mehrere Sektoren pro E A Interrupt zu Ist diese Funk tion aktiviert wird der Verwaltungsaufwand des Betriebssystems um 30 50 reduziert Au erste Vorsicht EIDE_32BIT 3 aktiviert E IDE 32 Bit E A Support f r eine Schnittstellen Karte LOOKAHEAD 1 aktiviert Lookahead Lesezugriffe auf das Laufwerk EXTRA_PARAMS legt fest wo zus tzliche Parameter hinzugef gt werden k nnen 4 1 11 etc sysconfig hwconf In der Datei etc sysconfig hwconfig sind alle Hardware Komponenten aufgef hrt die kudzu in Ihrem System entdeckt hat au erdem Informationen zu den verwendeten Treibern der Anbieter ID und der Ger t
161. Die Konfiguration f r mod_perl wurde von httpd conf in die Datei etc httpd conf d perl conf verschoben Damit diese Datei geladen wird und dass folglich mod_perl funktioniert m ssen Sie die Anweisung Include conf d conf wie in Abschnitt 10 2 1 3 beschrieben in Ihrer Datei httpd conf haben Alle Apache Eintr ge in httpd conf m ssen durch ModPerl ersetzt werden Au erdem hat sich die Art und Weise ge ndert mit der Handler eingetragen werden Dies ist ein Beispiel f r eine Apache HTTP Server 1 3 mod_per1 Konfiguration lt Directory var www perl gt SetHandler perl script PerlHandler Apache Registry Options ExecCGI lt Directory gt Dies entspricht mod_per1 in Apache HTTP Server 2 0 lt Directory var www perl gt SetHandler perl script PerlModule ModPerl Registry PerlHandler ModPerl Registry handler Options ExecCGI lt Directory gt Die meisten Module fiir mod_perl 1 x diirften ohne Anderungen mit mod_perl 2 x funktionieren XS Module erfordern eine Neukompilierung und bed rfen eventuell geringerer Makefile Anderungen 10 2 4 6 Das Modul mod_python Die Konfiguration f r mod_python wurde von httpd conf nach etc httpd conf d python conf verschoben Damit diese Datei geladen wird und folglich dass mod_python funktioniert m ssen Sie die Anweisung Include conf d conf wie in Abschnitt 10 2 1 3 beschrieben in Ihrer Datei httpd conf haben 10 2 4 7 PHP Die Konfiguration f r PHP wurde von httpd con
162. E 708 03 05 308720 0 EOF c2a2611lc c2a260c4 c025aa48 Jeder Sperre wird eine einmalige Zahl am Anfang jeder Zeile zugeordnet Die zweite Spalte zeigt den verwendeten Sperr Typ an wobei FLOCK f r die lteren UNIX Dateisperren des flock Systemaufrufs steht POSIX wiederum steht f r die neueren POSIX Sperren mit dem lock Systemaufruf Die dritte Spalte kann zwei Werte haben ADVISORY oder MANDATORY ADVISORY bedeutet dass die Sperre andere Benutzer nicht vom Datenzugriff abh lt nur andere Sperr Versuche werden verhindert MANDATORY bedeutet dass kein anderer Datenzugriff zugelassen wird solange die Sperre bestehen bleibt Die vierte Spalte zeigt an ob die Sperre dem Eigent mer Lese oder Schreibzugriff READ oder WRITE erlaubt und die f nfte Spalte zeigt die ID des gesperrten Prozesses an Die sechste Spalte zeigt die ID der gesperrten Datei in folgendem Format an MAJOR DEVICE MINOR DEVICE INODE NUMBER Die siebte Spalte zeigt Anfang und Ende der in der Datei gesperrten Region Die brigen Spalten zeigen auf Kernel interne Datenstrukturen f r spezielle Debugging Funktionen und k nnen ignoriert werden 5 2 18 proc mdstat Diese Datei enth lt die aktuellen Informationen zu Konfigurationen mit mehreren Platten und RAID Wenn Ihr System keine solche Konfiguration enth lt sieht Ihre proc mdstat Datei vermutlich so hnlich aus Personalities read_ahead not set unused devices lt none gt Diese Datei bleibt solange in de
163. E L teea EE ATSE A Ea EEAS aE ASETE EE EASE 5 5 Zus tzliche Ressourcen 6 Benutzer und Gruppen uesnnessesensnenenesenennensnnnnnnenennnnnennnnn 6 1 Tools zum Management von Benutzern und Gruppen 6 2 Standardbenutzer 19 6 3 Standardgruppen 81 6 4 Benutzereigene Gruppen 83 6 5 5hadow U iliiesns 222 he a ER na ons 7 Das X Window System muessen ae a aE AE NEE a OEE ia 7 1 Der XFree86 Server es 7 2 Desktop Umgebungen und Window Manager unessenenneneenenennnenen 86 7 3 XFree86 Server Konfigurationsdateien uuenessnenenesennnenenenesennnnenenenenennnnn 87 TA Fonts Manns en sehn gnSpn EANET SES 94 7 3 Runlevels und XFree86 nuenaseentlesenesss nn 97 7 6 Zus tzliche Ressourcen II Netzwerk Services 8 Netzwerk Schnittstellen 8 1 Netzwerk Konfigurationsdateien 8 2 Schnittstellen Konfigurationsdateien 104 8 3 Schnittstellen Kontrollskripts 108 8 4 Netzwerkfunktionsdateien uucnsessesesenesesnenenenenennenenenenennnnennnnnennennnnnnnnnenn 109 8 5 Zus tzliche Ress urcen u u 2 2 2 22 22ER a Ey 110 9 Network File System NFS 9 1 Meth dologie iente sari aperar iosaestsseieedasd Avebscseasbeateigvess dazissenstice aerate 9 2 NFS Server Konfigurationsdateien uesenesesesesnenenenenennenennnennnnnnennnnnennnn 113 9 3 NFS Client Konfigurationsdateien 116 9 4 NFS Sichern wee 118 9 5 Zus tz
164. E Mails die vom 10 0 Netzwerk geschickt wurden ber Ihren Mail Server weitergeleitet werden k nnen Da etc mail access db eine Datenbank ist verwenden Sie stets makemap damit die nderun gen in Kraft treten Geben Sie hierzu den folgenden Befehl als root ein makemap hash etc mail access lt etc mail access 162 Kapitel 11 E Mail Dieses Beispiel geht nicht wirklich tief in die M glichkeiten von Sendmail ein was das Blockie ren von Zugriff betrifft Sehen Sie die Datei usr share doc sendmail README cf f r weitere Informationen und Beispiele Da Sendmail den Procmail MDA zur Zustellung von Mails aufruft ist es auch m glich einen Spam Filter wie SpamAssassin zu verwenden um Spam fiir Benutzer zu identifizieren und entsprechend zu handhaben Sehen Sie Abschnitt 11 4 2 6 fiir Informationen zu SpamAssassin 11 3 1 6 Verwenden von Sendmail mit LDAP Die Verwendung des Lightweight Directory Access Protocol LDAP ist eine schnelle und wirkungs volle M glichkeit um genauere Informationen ber einen bestimmten Benutzer aus einer gr eren Gruppe zu erhalten Sie k nnen z B den LDAP Server benutzen um eine E Mail Adresse aus einem Verzeichnis zu finden das von einer Firma benutzt wird In diesem Punkt besteht ein gro er Unter schied zu Sendmail Mit LDAP speichern Sie hierarchische Benutzerinformationen Sendmail zeigt die Resultate von LDAP bei der Suche nach voradressierten E Mails Sendmail unterst tzt jedoch
165. Eine g ngige Sendmail Konfiguration ist dass ein einzelner Rechner f r alle Rechner im Netzwerk als Mail Gateway eingesetzt wird Zum Beispiel hat ein Unternehmen einen Rechner mit dem Namen Kapitel 11 E Mail 161 mail bigcorp com der alle Mails abwickelt und aller ausgehenden Post eine einheitliche Riicksen deadresse zuordnet In dieser Situation muss der Sendmail Server die Rechnernamen auf dem Firmennetzwerk verdecken so dass deren Riicksendeadresse user bigcorp com statt user devel bigcorp com lautet F gen Sie hierzu folgende Zeilen zu etc mail sendmail mc hinzu FEATURE always_add_domain dnl FEATURE masquerade_entire_domain FEATURE masquerade_envelope FEATURE Yallmasquerade MASQUERADE_AS bigcorp com MASQUERADE_DOMAIN bigcorp com MASQUERADE_AS bigcorp com Nach Erstellen eines neuen sendmail cf anhand von m4 gibt diese Konfiguration vor dass s mtli che Post innerhalb des Netzwerkes von bigcorp com aus gesandt wurde 11 3 1 5 Verhindern von Spam Spam oder Junkmails sind berfl ssige und unerw nschte E Mails deren Absender der Benutzer nicht kennt und die er auch niemals angefordert hat Das ist ein st render kostspieliger aber weitverbreite ter Missbrauch des Standards zur Internet Kommunikation Mit Sendmail ist es relativ einfach neue Junkmail Techniken die zum Versenden von Junkmails eingesetzt sind zu blockieren Die meisten blichen Junkmail Methoden werden
166. EndSection Unterschiedliche Grafikkarten verwenden DRI auf unterschiedliche Weise Bevor Sie DRI Werte n dern lesen Sie bitte zuerst die Datei usr X11R6 1ib X11 doc README DRI 7 4 Fonts Red Hat Linux verwendet zwei Methoden um Fonts und die Anzeige unter XFree86 zu regeln Das neuere Fontconfig Font Subsystem vereinfacht das Font Management und liefert erweitere Anzeige funktionen wie Anti Aliasing Dieses System wird automatisch f r Applikationen verwendet welche unter Verwendung entweder des Qt 3 oder des GTK 2 graphischen Toolkits entwickelt wurden Aus Gr nden der Kompatibilit t enth lt Red Hat Linux auch das originale Core X Font Subsystem Dieses System welches mehr als 15 Jahre alt ist ist um den X Font Server xfs basiert Dieser Abschnitt beschreibt das Konfigurieren von Fonts unter Verwendung beider Systeme 7 4 1 Fontconfig Das Fontconfig Font Subsystem erlaubt Applikationen den Zugriff auf Fonts des Systems und die Verwendung von Xft oder eines anderen Render Mechanismus um Fontconfig Fonts mit einem fort geschrittenen Anti Aliasing zu versehen Graphische Applikationen k nnen die Xft Library mit Font config dazu benutzen Text auf dem Bildschirm darzustellen Mit der Zeit wird das Fontconfig Xft Font Subsystem das Core X Font Subsystem vollst ndig abl sen EB wicntic Das Fontconfig Font Subsystem arbeitet noch nicht mit OpenOffice org und Abiword welche eigene Font Render Technologien verwenden
167. Folgenden sind die bekanntesten Optionen fiir NFS Mounts aufgefiihrt hard oder soft Legt fest ob das Programm das ber eine NFS Verbindung eine Datei verwen det anhalten und auf den Server warten soll hard bis dieser wieder online ist wenn der Host der das exportierte Dateisystem liefert nicht zur Verfiigung steht oder einen Fehler meldet soft Wenn Sie hard festlegen k nnen Sie den Prozess des Wartens auf eine NFS Verbindung nicht unterbrechen es sei denn Sie haben ebenfalls die Option intr festgelegt Wenn Sie die Option soft bestimmen k nnen Sie eine weitere timeo lt Wert gt Option ein stellen wobei lt Wert gt die Zeit in Sekunden festlegt die vergeht bevor ein Fehler gemeldet wird e intr Erm glicht dass die NFS Anfragen unterbrochen werden k nnen wenn der Server aus f llt oder nicht nicht erreicht werden kann e nolock Wird unter Umst nden f r die Verbindung zu einem alten NFS Server ben tigt Zum Sperren verwenden Sie die Option lock option noexec Verhindert das Ausf hren von Bin rdateien auf dem gemounteten Dateisystem Diese Option ist hilfreich wenn Ihr System ein Nicht Linux Dateisystem ber NFS mountet welches inkompatible Bin rdateien enth lt e nosuid Set user identifier oder set group identifier Bits werden nicht wirksam e rsize 8192 und wsize 8192 K nnen NFS Kommunikationen zum Lesen rsize und Schreiben wsize beschleunigen indem das Ausma des D
168. Gruppe zu verkn pfen geben Sie Folgendes ein chown R root emacs usr lib emacs site lisp Nun k nnen Sie mit Hilfe von gpasswd die richtigen Benutzer zur Gruppe hinzuf gen usr bin gpasswd a lt username gt emacs Gestatten Sie den Benutzern mit folgendem Befehl Dateien im Verzeichnis erstellen zu k nnen chmod 775 usr lib emacs site lisp Wenn ein Benutzer eine neue Datei erstellt wird diese der benutzereigenen Standardgruppe zugeord net Um dies zu verhindern m ssen Sie folgenden Befehl ausf hren der daf r sorgt dass alle Dateien im Verzeichnis mit der Gruppe des Verzeichnis selbst emacs erstellt werden chmod 2775 usr lib emacs site lisp Zu diesem Zeitpunkt da die Default umask aller Benutzer 002 ist k nnen die Mitglieder der emacs Gruppe Dateien im Verzeichnis usr 1lib emacs site lisp ndern ohne dass der Administra tor Rechte ndern m sste jedesmal wenn eine neue Datei erzeugt wird 6 5 Shadow Utilities In Mehrbenutzer Umgebungen ist es sehr wichtig Shadow Utilities zu verwenden auch als Shadow Passw rter bekannt da diese erweiterten Schutz f r die Authentifizierungsdateien des Systems be reitstellen W hrend der Installation von Red Hat Linux werden Shadow Passw rter als Default ein geschaltet Shadow Passw rter bieten ber die herk mmliche auf UNIX basierten Systemen verwendete Weise folgende Vorteile Shadow Passw rter erh hen die Systemsicherheit dadurch dass die verschl sselten
169. ID NEW mac Modul Dieses Modul erm glicht die bereinstimmung einer bestimmten Hardware MAC Adresse zu berpr fen Das mac Modul hat folgende Option mac source berpr ft auf die MAC Adresse der NIC welche das Paket gesendet hat Um eine MAC Adresse von einer Regel auszuschlie en f gen Sie nach der mac source Ubereinstimmungsoption ein Ausrufezeichen hinzu Weitere ber Module verf gbare bereinstimmungsoptionen finden Sie auf der man Seite zu ipta bles 16 3 6 Zieloptionen Sobald ein Paket mit einer bestimmten Regel bereinstimmt kann die Regel das Paket an viele ver schiedene Ziele senden an denen dann eventuell weitere Vorg nge erfolgen Au erdem hat jede Chain ein standardm iges Ziel das verwendet wird wenn ein Paket keiner Regel entspricht oder wenn in der Regel mit dem das Paket bereinstimmt ein Ziel angegeben ist Die Folgenden sind die Standardziele lt user defined chain gt lt user defined chain gt steht hier f r den Namen der be nutzerdefinierten Chain Dieses Ziel leitet das Paket zur Ziel Chain weiter ACCEPT Das Paket gelangt erfolgreich an sein Ziel oder an eine andere Chain DROP Das Paket wird ausgelassen Das System das dieses Paket gesendet hat wird nicht ber das Ausfallen des Pakets benachrichtigt QUEUE Das Paket wird zur Warteschlange f r die Bearbeitung durch eine Benutzerraum Applikation hinzugef gt RETURN H
170. IMAP und POP haben bekannte Portnummern 993 bzw 995 die der E Mail Client verwendet um Mitteilungen zu authentifizieren und herunterzula den 174 Kapitel 11 E Mail 11 5 1 2 Sicherheit in E Mail Client Kommunikationen Die Bereitstellung einer SSL Verschliisselung fiir IMAP und POP Benutzer auf dem E Mail Servers ist recht einfach Zuerst m ssen Sie ein SSL Zertifikat erzeugen Dies kann auf zwei verschiedene Weisen geschehen Durch Anfordern eines SSL Zertifikats bei der Certificate Authority CA oder durch Erzeugen eines eigensignierten Zertifikats O aerun Eigensignierte Zertifikate sollten lediglich f r Testzwecke verwendet werden Jeder in einem Pro duktionsablauf verwendete Server sollte ein SSL Zertifikat verwenden das von der CA ausgestellt wurde Um ein eigensigniertes Zertifikat f r IMAP zu erstellen wechseln Sie in das usr share ssl certs Verzeichnis und geben den folgenden Befehl als root ein make imapd pem Beantworten Sie alle Fragen um diesen Vorgang abzuschliessen Um ein eigensigniertes Zertifikat f r POP zu erstellen wechseln Sie in das usr share ssl certs Verzeichnis und geben den folgenden Befehl als root ein make ipop3d pem Auch hier beantworten Sie alle Fragen um diesen Vorgang abzuschliessen Nach Abschluss verwenden Sie den Befehl sbin service um den entsprechenden Daemon imaps oder pop3s zu starten Richten Sie als n chstes den imaps oder pop3s Service so ein dass dieser in de
171. Konfiguration der Benachrichtigung von Tripwire E Mails zu testen usr sbin tripwire test email your email address Daraufhin sendet das tripwire Programm sofort eine Probe E Mail an die angegebene E Mail Adresse 19 9 Aktualisieren der Tripwire Konfigurationsdatei Wenn Sie die Konfigurationsdatei von Tripwire ndern m chten sollten Sie zun chst die Beispiel Konfigurationsdatei etc tripwire twcfg txt bearbeiten Haben Sie diese Datei gel scht was der Fall sein sollte wann immer Sie mit der Konfiguration von Tripwire fertig sind k nnen Sie sie durch Eingabe des folgenden Befehls neu generieren twadmin print cfgfile gt etc tripwire twcfg txt Tripwire erkennt solange keine nderungen der Konfiguration bis die Konfigurationstextdatei nicht korrekt unterzeichnet und mit dem Befehl twadmin in etc tripwire tw pol konvertiert wurde Verwenden Sie folgenden Befehl um eine Konfigurationsdatei aus der Textdatei etc tripwire twcfg txt neu zu generieren usr sbin twadmin create cfgfile S site key etc tripwire twcfg txt Kapitel 19 Tripwire 275 Da die Konfigurationsdatei weder die Policy Datei von Tripwire noch die von der Anwendung ermit telten Dateien ndert ist es auch nicht notwendig die Tripwire Datenbank neu zu generieren 19 10 Hinweis zum Tripwire Datei Speicherplatz Bevor Sie mit Tripwire arbeiten sollten Sie wissen wo fiir die Anwendung wichtige Dateien abgelegt sind Tripwire speichert die zugeh
172. LDAP Inhaltsverzeichnis 8 Netzwerk Schmrittstellen ccccccssscsscsecscossssscsvsevsssoosesssevsnseasscssnissasecssssensessnesestesesecessvenssesvesseaesessnssess 103 9 Network File System NES sssscsccssecsecseasseosssensvoncaosoeaseneosensosscssvetsssensensocsesntonsnsensessoctasneseenssnsens 111 NO Apache sisiis ccsscscccsassiacecbevcsdccscsssrssested csessnncsccnessetseacebsncesenbicssossetucetsessssesseesesntcesssitentcoetoed eubevcees 121 11 ReMi sscsccsesssesssecsscceistensosstsees 155 12 Berkeley Internet Name Domain BIND ssrsussossssossnsnssnsnsensnnensnnsnsnnsnsonsnnnsnnsnssnsnnsnsnnne 177 13 Lightweight Directory Access Protocol LDAP ssssssssssssssscsscersssesesseseesessssesseseesesseseres 197 redhat Kapitel 8 Netzwerk Schnittstellen Bei der Verwendung von Red Hat Linux verl uft die gesamte Netzwerkkommunikation zwischen konfigurierten Software Schnittstellen und den Netzwerkger ten die mit dem System verbunden sind Die Konfigurationsdateien f r die verschiedenen Netzwerkschnittstellen und die Skripts zu deren Ak tivierung oder Deaktivierung befinden sich im etc sysconfig network scripts Verzeichnis Die bestimmten Schnittstellendateien k nnen je nach System zwar unterschiedlich sein es gibt aber grunds tzlich drei verschiedene Dateitypen in diesem Verzeichnis Schnittstellenkonfigurationsdateien Schnittstellenkontrollskripte Netzwerkfunktionsdateien Die Dateien i
173. LOG MARK und REJECT Weitere Informationen zu diesen und anderen Zielen sowie Regeln zu deren Verwendung finden Sie auf der iptables man Seite Sie k nnen ein Paket das dieser Regel entspricht auch an eine benutzerdefinierte Chain au erhalb der aktuellen Chain weiterleiten Dadurch k nnen Sie andere Regeln auf dieses Paket anwenden und es mit Hilfe spezieller Kriterien noch intensiver filtern Wenn kein Ziel festgelegt ist bewegt sich das Paket an der Regel vorbei ohne dass etwas passieren w rde Der Z hler f r diese Regel springt jedoch um eine Stelle weiter so als ob das Paket der festgelegten Regel entsprechen w rde e o Setzt die Schnittstelle des Ausgangsnetzwerks f r eine bestimmte Regel fest die nur mit OUTPUT un d FORWARD Chains in der filter Tabelle und mit der POSTROUTING Chain in den nat und mangle Tabellen verwendet werden kann Die Optionen dieses Parameters sind dieselben wie die des Parameters der Schnittstelle des Eingangsnetzwerks i e p Setzt das IP Protokoll f r die Regel die entweder icmp tcp udp oder all sein kann um allen m glichen Protokollen zu entsprechen Au erdem k nnen weniger verwendete Protokolle die in etc protocols aufgelistet sind ebenfalls verwendet werden Wenn diese Option beim Erstellen einer Regel ausgelassen wird ist die al1 Option der Standard e s Setzt die Quelle eines bestimmten Pakets mit Hilfe derselben Satzstrukturen die der Zielpa rameter d verwendet
174. M glichkeit E Mails zu l schen ohne sich deren Inhalt anzusehen oder diese herunterzula den Zur Vereinfachung k nnen IMAP Client Applikationen Inhalte von E Mails lokal zwischenspeichern damit es einem Benutzer m glich ist E Mails zu lesen ohne mit dem IMAP Server verbunden sein zu m ssen IMAP wie auch POP ist vollst ndig kompatibel mit den wichtigen Internet Messaging Standards wie MIME was das Anh ngen von Dateien an E Mails erlaubt F r zus tzliche Sicherheit ist es m glich SSL f r die Client Authentifizierung und den Datentrans fer zu verwenden Dies kann durch den imaps Service oder das usr sbin stunnel Programm aktiviert werden Sehen Sie Abschnitt 11 5 1 f r weitere Informationen Es gibt andere freie und auch kommerzielle IMAP Clients und Server die das IMAP Protokoll erweitern und ber zus tzliche Funktionen verf gen Eine vollst ndige Liste finden Sie unter http www imap org products longlist htm 11 2 E Mail Programm Kategorien Im allgemeinen k nnen alle E Mail Applikationen mindestens einer von drei Kategorien zugeordnet werden Jede dieser Kategorien hat eine spezielle Funktion beim Senden und Verwalten von E Mails Obwohl die meisten Benutzer nur das E Mail Programm kennen das sie zum Senden und Empfangen von Nachrichten benutzen ist jede dieser Kategorien wichtig um gew hrleisten zu k nnen dass die E Mails auch bei der richtigen Adresse ankommen 11 2 1 Mail Transfer Agent Ein Mail Tran
175. M verwendet Argumente um w hrend der Authentifizierung Informationen ber eine bestimmte Modul Schnittstelle einem Pluggable Module zu bermitteln Zum Beispiel verwendet das Modul pam_userdb so versteckte Dateien aus der Berkeley DB Datei um den Benutzer zu authentifizieren Berkeley DB ist eine in vielen Anwendungen eingebundenes Open Source Datenbank System Das Modul verwendet ein db Argument welches die von Berkeley DB f r den angeforderten Service zu verwendende Datenbank angibt Eine typische pam_userdb so Zeile in einer PAM Konfigurationsdatei sieht wie folgt aus auth required lib security pam_userdb so db lt path to file gt Im vorangegangenen Beispiel ersetzen Sie lt path to file gt mitdem vollst ndigen Pfad der Ber keley DB Datenbank Datei Ung ltige Argumente werden ignoriert und wirken sich auch nicht auf den Erfolg oder Misserfolg eines PAM Moduls aus Wenn ein ung ltiges Argument auftaucht erscheint jedoch normalerweise eine Fehlermeldung in var log messages 14 4 Beispiele f r PAM Konfigurationsdateien Eine Konfigurationsdatei einer PAM Anwendung sieht z B wie folgt aus SPAM 1 0 auth required lib security pam_securetty so auth required lib security pam_unix so shadow nullok auth required lib security pam_nologin so account required lib security pam_unix so password required lib security pam_cracklib so retry 3 password required lib security pam_unix so shadow nullok use_authtok session r
176. MAL lt Wert gt wobei lt Wert gt normal eingestellt wird Dies geschieht ber den Befehl echo en LOGLEVEL lt Wert gt wobei lt Wert gt den anf nglichen Anmelde Level f r den Kernel bestimmt Die Standardeinstellung ist 3 Der Wert 8 aktiviert alles einschlie lich Debugging der Wert 1 deaktivert alles au er der Kernel Panik syslogd hebt diese Einstellungen auf nachdem es ges tartet ist PROMPT lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes Aktiviert die Key berpr fung f r den interaktiven Modus no Deaktiviert die Key berpr fung f r den interakiven Modus 4 1 15 etc sysconfig ipchains Die Datei etc sysconfig ipchains enthalt Informationen welche vom ipchains Initialisationsskript zum Einrichten des ipchains Services verwendet werden Diese Datei ist durch das Ausf hren des service ipchains save gt Befehls modifiziert falls es g ltige ipchains Vorschriften gibt Sie sollten diese Datei nicht manuell bearbeiten Verwenden Sie statt dessen den Befehl ipchains um die notwendigen Paket Filter Vorschriften zu konfigurieren und speichern Sie die Vorschriften anschlie end in dieser Datei 4 1 16 etc sysconfig iptables Genau wie etc sysconfig ipchains speichert etc sysconfig iptables vom Kernel ver wendete Informationen um spezialisierte Paket Filter Dienste zu liefern Wenn Sie mit der Erstellung der iptables Regeln noch nicht vertraut sind sollten Sie
177. NS 177 Siehe auch BIND Einf hrung 177 DocumentRoot Apache Konfigurationsanweisung 138 gemeinsam verwendete ndern 153 ndern 151 Dokumentation die geeignete finden ii Einsteiger iii B cher iv Newsgroups iv Webseiten iii erfahrene Benutzer iv Guru v DoS Siehe Denial of Service DoS Angriff Siehe Denial of Service Angriff drag and drop viii DSOs laden 151 296 E E Mail Arten Mail Delivery Agent 158 Mail Transfer Agent 157 Mail User Agent 158 Fetchmail 162 Geschichte 155 Junkmail herausfiltern 172 Procmail 166 Programmkategorien 157 Protokolle 155 IMAP 156 POP 156 SMTP 155 Sendmail 158 Sicherheit 173 Clients 173 Server 174 Zus tzliche Informationsquellen 175 Hilfreiche Webseiten 175 Installierte Dokumentation 175 Literatur zum Thema 176 EFI Shell Definition 1 Siehe auch Bootprozess Einf hrung i ELILO 3 11 Epoch 59 Siehe auch proc stat Definition von 59 ErrorDocument Apache Konfigurationsanweisung 147 ErrorLog Apache Konfigurationsanweisung 142 Erweiterbare Firmware Schnittstellen Shell Siehe EFI Shell Ethernet Siehe Netzwerk Ethernet Module Siehe Kernelmodule Execution Domains 49 Siehe auch proc execdomains Definition von 49 ExtendedStatus Apache Konfigurationsanweisung 137 F Feedback Kontaktadressen viii Fetchmail 162 Befehlsoptionen 165 Informations 166 Spezielle 166 Konfigurationsoptionen 163 Allgemeine Optionen 1
178. PTS lt Wert gt wobei lt Wert gt die Timing Parameter f r den Steckplatztreiber angibt 182365 oder tcic CORE_OPTS lt Wert gt wobei lt Wert gt die Liste der pcmcia_core Optionen ist CARDMGR_OPTS lt Wert gt wobei lt Wert gt die Liste mit den Optionen f r den PCMCIA cardmgr ist z B q f r den Ruhemodus m um nach ladbaren Kernelmodulen im angegebenen Verzeichnis zu suchen usw Weitere Informationen finden Sie auf der cardmgr man Seite 4 1 26 etc sysconfig radvd Die Datei etc sysconfig radvd wird verwendet um beim Booten Argumente an den radvd Daemon zu bertragen Der radvd Daemon spricht auf Router Anfragen an und versendet Router Anzeigen f r das IP Version 6 Protokoll Mit diesem Dienst k nnen die Rechner eines Netzwerks dynamisch ihre Standard Router auf der Grundlage vorgenannter Router Anzeigen ndern Weitere Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf den man Seiten von radvd Standardm ig stellt diese Datei als Besitzer des radvd Prozesses den Benutzer radvd ein 4 1 27 etc sysconfig rawdevices Mit der Datei etc sysconfig rawdevices werden Rawdevice Verbindungen konfiguriert z B dev raw rawl dev sdal dev raw raw2 8 5 Kapitel 4 Das Verzeichnis sysconfig 41 4 1 28 etc sysconfig redhat config securitylevel Die Datei etc sysconfig redhat config securitylevel enth lt alle Optionen welche beim letzten Ausf hren von Sicherheitsle
179. Procmail sowie Fehlermeldungen enth lt MAILDIR Stellt das aktuell ausgef hrte Verzeichnis f r Procmail ein Ist es eingestellt beziehen sich alle anderen Pfade in Procmail auf dieses Verzeichnis ORGMAIL Legt die urspr ngliche Mailbox oder andere Orte fest an denen Mitteilungen abgelegt werden k nnen wenn sie nicht in der standardm igen oder recipe m igen Stelle platziert werden k nnen Standardm ig wird der var spool mail LOGNAME Wert verwendet SUSPEND Legt die Zeit fest in Sekunden nach der Procmail stoppt wenn die ben tigten Ressourcen z B ein Swap Space nicht zur Verf gung stehen SWITCHRC Erm glicht einem Benutzer eine externe Datei festzulegen die zus tzliche Recipes enth lt hnlich wie die INCLUDERC Option aber mit der Ausnahme dass die Konfigurationsdatei zur Zeit nicht berpr ft wird und nur Recipes die in der SWITCHRC spezifischen Datei festgelegt sind angewendet werden VERBOSE Weist Procmail an viel mehr Informationen zu protokollieren Diese Option eignet sich gut f r das Debugging Weitere wichtige Umgebungsvariablen k nnen Sie Ihrer Shell entnehmen z B LOGNAME Ihr Login Name HOME die Speicherstelle Ihres Homeverzeichnisses und SHELL Ihre Standard Shell Eine vollst ndige Beschreibung aller Umgebungsvariablen sowie deren Werte finden Sie in der proc mailrc man Seite 11 4 2 Procmail Recipes Neue Benutzer empfinden den Aufbau der Rec
180. RL2000 PCI NE2000 clones NetVin NV5000SC Via 82C926 SureCom NE34 Novell NES2I0EISA nes210 0 MiCom Intrlan NISOIO nisc o f NI5210 Karte 182586 ni52 0 ni52 1 0_Port IRO ODER ni52 Ethernet Chip io I O_Port irg IRO NI6S10 Eiheme IBM Olympic basierter olympic o PCI Token Ring AMD PCnet32 und AMD pcnet32 0 PCnetPCI SIS 900 701G PCI Fast sis900 0 Ethernet SysKonnect SK 98xX sk98lin o Gigabit SMC Ultra und SMC smc ultra o smc ultra I O_Port I RQ ODER smc ultra EtherEZ ISA Etherkarte io I O_Port irg IRO 8K 83c790 SMC Ultra32 smc ultra32 0 EISA Ethernetkarte 32K Digital 21x4x Tulip PCI Ethernetkarten SMC EtherPower 10 PCI 8432T 8432BT SMC EtherPower 10 100 PCI 9332DST DEC EtherWorks 100 10 PCI DE500 XA DEC EtherWorks 10 PCI DE450 DEC QSILVER s Znyx 312 etherarray Allied Telesis LA100PCI T Danpex EN 9400 Cogent EM110 Anhang A Allgemeine Parameter und Module 291 Hardware Modul sid Parameter VIA Rhine PCI Fast via rhine o Ethernetkarten mit VIA VT86c100A Rhine II PCI oder 3043 Rhine I D Link DFE 930 TX PCI 10 100 AT amp T GIS nee NCR wavelan o wavelan IRO 0 io_port NWID WaveLan ISA Karte WD8003 und wd 1 0_Port IRO Mit Mit_Ende WD8013 kompatible ODER wd io I O_Port irg IRO Ethernetkarten mem Mit mem_end Ende Compex RLIOOATX PCI winbong o ee Packet Engines Yellowfin yettowsino o Tabelle A 5 Ethernet Modulparameter Nachfolgend einige Beisp
181. Red Hat Linux 9 Red Hat Linux Referenzhandbuch S redhat Red Hat Linux 9 Red Hat Linux Referenzhandbuch Copyright 2003 von Red Hat Inc a Red Hat Inc 1801 Varsity Drive Raleigh NC 27606 2072 USA Phone 1 919 754 3700 Phone 888 733 4281 Fax 1 919 754 3701 PO Box 13588 Research Triangle Park NC 27709 USA rhl rg DE 9 Print RHI 2003 02 13T19 20 Copyright 2003 by Red Hat Inc Das vorliegende Material darf nur unter Einhaltung der in Open Publication License V1 0 oder neuer dargelegten Gesch ftsbedingungen vertrieben werde die neueste Version ist gegenw rtig unter http www opencontent org openpub verf gbar Betr chtlich modifizierte Versionen dieses Dokumentes d rfen nur mit ausdr cklicher Genehmigung des Copyright Inhabers vertrieben werden Der Vertrieb des Werks oder einer Ableitung des Werks in Standardbuchform Papier zu kommerziellen Zwecken ist nicht zul ssig sofern dies nicht zuvor durch den Copyright Inhaber genehmigt wurde Red Hat Red Hat Network das Red Hat Shadow Man Logo RPM Maximum RPM das RPM Logo Linux Library PowerTools Linux Undercover RHmember RHmember More Rough Cuts Rawhide und alle Red Hat basierten Warenzeichen und Logos sind Warenzeichen oder eingetragene Warenzeichen von Red Hat Inc in den USA und anderen L ndern Linux ist ein eingetragenes Warenzeichen von Linus Torvalds Motif und UNIX sind eingetragene Warenzeichen von The Open Group Intel und Pent
182. Shell und Perl Skripte zur Umwandlung Ihrer alten Authentifizierungsinformationen in das LDAP Format Zuerst m ssen Sie die Datei migrate_common ph an Ihre Domain anpassen Die Standardwerte der Standard DNS Domain m ssen hnlich wie folgt ge ndert werden DEFAULT_MAIL_DOMAIN your_company Die Standardannahme muss ebenfalls ge ndert werden von SDEFAULT_BASE dc your_company dc com Das Umwandeln einer Benutzerdatenbank in ein LDAP Format kann in eine Gruppe von Umwand lungsskripten unterteilt werden die mit dem Paket nss_1dap installiert wurden Entscheiden Sie mit Hilfe von Tabelle 13 1 welches Skript zur Umwandlung der Benutzerdatenbank ausgef hrt werden soll Vorhandener Wird LDAP Zu verwendendes Skript Namensdienst ausgef hrt ete Klartext Dateien ete Klartext Dateien Tabelle 13 1 LDAP Umwandlungsskripte F hren Sie das Ihrem vorhandenen Name Service entsprechende Skript aus f Anmerkung Um einige dieser Skripte ausf hren zu k nnen m ssen Sie Perl auf Ihrem System installiert haben Die Dateien README und migration tools txt im Verzeichnis usr share openldap migration enthalten weitere Detailinformationen zum Umwandeln der Informationen 206 Kapitel 13 Lightweight Directory Access Protocol LDAP 13 8 Aktualisieren auf OpenLDAP Version 2 0 In OpenLDAP Version 2 0 wurde das Speicherformat vom slapd LDAP Server ge ndert Wenn Sie LDAP von Red Hat Linux 7 0 oder fr her aktualisieren
183. Skript etc rc d rc local wird vom Befehl init zum Zeitpunkt des Bootens ausgef hrt nachdem die restliche Initialisierung abgeschlossen ist sowie bei nderungen der Runlevel Das Hin zuf gen von Befehlen zu diesem Skript ist ein einfacher Weg notwendige Tasks auszuf hren wie das Starten von speziellen Services oder das Initialisieren von Ger ten ohne ein Schreiben komplizierter Installationsskripte im Verzeichnis etc rc d init d und das Erzeugen symbolischer Links zu erfordern Wenn Sie das Einstellen von seriellen Ports ben tigen k nnen Sie au erdem etc rc serial er stellen und ndern so dass es zum Zeitpunkt des Bootens automatisch ausgef hrt wird Dieses Skript kann eine Vielzahl von setserial Befehlen ausf hren um die seriellen Ports des Systems speziell zu konfigurieren Auf der setserial man Seite finden Sie weitere Informationen hierzu 1 4 SysV Init Runlevels Das SysV init Runlevel System stellt einen Standardprozess zur Kontrolle welche Programme von init w hrend des Initialisierens des Runlevels gestartet oder angehalten werden bereit SysV wurde gew hlt da es einfacher zu benutzen und flexibler ist als der herk mmliche BSD Style Init Prozess Die Konfigurationsdateien f r SysV init befinden sich im Verzeichnis etc rc d In diesem Ver zeichnis befinden sich die Skripte rc rc local rc sysinit und optional rc serial sowie die folgenden Verzeichnisse init d rc0 d rel d 5 Weitere Informationen
184. System auf jedem SysV init Runlevel eingerichtet werden sollte Die Datei etc inittab legt u a den Standard Runlevel fest und bestimmt dass sbin update bei jedem Start eines bestimmten Runlevels ausge f hrt werden muss Danach legt init die Quellfunktionsbibliothek etc rc d init d functions f r das System fest In der Datei wird festgelegt wie Programme zu starten oder zu beenden sind und wie die PID eines Programms bestimmt werden kann Danach startet init alle Hintergrundprozesse indem es im entsprechenden rc Verzeichnis nach den Runleveln sucht die in etc inittabals Standard festgelegt sind Die rc Verzeichnisse sind gem den Runleveln nummeriert die sie darstellen So ist zum Beispiel etc rc d rc5 d das Verzeich nis f r Runlevel 5 Das Programm init sucht beim Starten auf Runlevel 5 im Verzeichnis etc rc d rc5 d um die Prozesse zu ermitteln die gestartet und beendet werden m ssen Folgend ist ein Beispiel Listing f r das Verzeichnis etc rc d rc5 d KO5innd gt init d innd K05saslauthd gt init d saslauthd Kl0psacct gt init d psacct Kl2cWnn gt init d cWnn K12FreeWnn gt init d FreeWnn 3 Weitere Informationen zu SysV init Runleves finden Sie unter Abschnitt 1 4 4 Das update Programm gibt fehlerhafte Buffer auf der Festplatte wieder frei Kapitel 1 Boot Init und Shutdown Kl2kWnn gt Kl2mysqld gt Kl2tWnn gt K15httpd gt Kl5postgresql gt Kl6rarp
185. Zeit in Sekunden ein bevor GRUB den Eintrag l dt der von default vorgegeben wird splashimage Gibt den Speicherort des Splashscreen Images an das verwendet wird wenn GRUB bootet title Stellt einen Titel ein der einer bestimmten Gruppe von Befehlen zugeordnet ist die f r das Laden eines Betriebssystems benutzt werden Das Zeichen am Anfang einer Zeile kann verwendet werden um Kommentare in die Men konfigu rationsdatei einzuf gen 2 7 2 Struktur der Konfigurationsdatei Die Konfigurationsdatei der Men oberfl che von GRUB ist boot grub grub conf Die Befehle f r das Festlegen der allgemeinen Einstellungen f r die Men oberfl che werden am Anfang der Datei platziert Darauf folgen die verschiedenen Eintr ge f r jedes der im Men genannten Betriebssysteme oder Kernel Eine sehr einfache GRUB Men konfigurationsdatei die entweder Red Hat Linux oder Microsoft Win dows 2000 bootet k nnte wie folgt aussehen default 0 timeout 10 splashimage hd0 0 grub splash xpm gz section to load linux title Red Hat Linux 2 4 18 5 47 root hd0 0 kernel vmlinuz 2 4 18 5 47 ro root dev sda2 initrd initrd 2 4 18 5 47 img section to load Windows 2000 title windows rootnoverify hd0 0 chainloader 1 Diese Datei w rde GRUB anweisen ein Men mit Red Hat Linux als standardm igem Betriebssy stem zu erstellen was nach 10 Sekunden automatisch gebootet wird Gegeben sind zwei Abschnitte einer fiir jed
186. abelle mit Ethernet MAC Adressen und deren IP Adressen Paarungen Weitere Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf den man Seiten von arpwatch Standardm ig legt diese Datei als Besitzer des arpwatch Prozesses den Benutzer pcap fest Kapitel 4 Das Verzeichnis sysconfig 33 4 1 4 etc sysconfig authconfig Die Datei etc sysconfig authconfig legt die Art der Authorisierung fest die auf dem Rechner verwendet werden soll Sie enth lt mindestens eine der folgenden Zeilen USEMD5 lt Wert gt wobei lt Wert gt einer der folgenden Werte ist yes MDS wird zur Authentifizierung verwendet no MDS wird nicht zur Authentifizierung verwendet USEKERBEROS lt Wert gt wobei lt Wert gt einer der folgenden Werte ist yes Kerberos wird zur Authentifizierung verwendet no Kerberos wird nicht zur Authentifizierung verwendet USELDAPAUTH lt Wert gt wobei lt Wert gt einer der folgenden Werte ist yes LDAP wird zur Authentifizierung verwendet no LDAP wird nicht zur Authentifizierung verwendet 4 1 5 etc sysconfig clock Die Datei etc sysconfig clock steuert die Interpretation der Werte der Hardware System Uhr Derzeit gelten die folgenden Werte UTC lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist e true oder yes Die Hardware Uhr ist auf UTC Universal Time Coordinate eingestellt false oder no Die Hardw
187. ace beantwortet Fragen von anderen Nameservern die nach Antworten f r diesen Namespace suchen Slave Beantwortet ebenfalls die Anfragen anderer Nameserver bez glich des Namespace f r den dieser die Autorit t darstellt Die Slave Nameserver erhalten ihre Informationen ber ein Namespace jedoch von Master Nameservern e Caching Only Bietet Services f r IP Aufl sungen hat aber nicht f r alle Zonen eine Berech tigung Antworten f r alle Aufl sungen werden blicherweise in einer Datenbank bearbeitet die f r eine bestimmte Zeit im Hauptspeicher verbleibt Sie werden von dem Zone Record das die Antworten erh lt nach der ersten Aufl sung f r andere DNS Clients festgelegt e Forwarding Leitet Anfragen zum Aufl sen an eine spezielle Liste von Nameservern weiter Wenn keiner der angegebenen Nameserver den Aufl sungsprozess durchf hren kann wird der Vor gang abgebrochen und die Aufl sung schl gt fehl Ein Nameserver kann einem oder mehreren dieser Typen zugeh ren Zum Beispiel kann ein Name server f r einige Zonen der Master und f r andere Zonen der Slave sein und f r andere ausschlie lich Aufl sungen weiterleiten 12 1 3 BIND als Nameserver BIND f hrt Namensaufl sungsdienste mittles des usr sbin named Daemon durch BIND enth lt auch ein administratives Utility usr sbin rndc genannt Mehr Information zu rndc kann unter Abschnitt 12 4 gefunden werden BIND speichert seine Konfigurationsdateien in de
188. ach folgen die Benutzeroptionen jedem Benutzeraccount den Sie auf diesem E Mail Server pr fen m chten Genau wie die Serveroptionen k nnen auch mehrere Benut zeroptionen f r die Verwendung auf einem bestimmten Server festgelegt werden so als w rden Sie mehrere E Mail Accounts auf ein und demselben Server pr fen wollen Die Serveroptionen werden mit einem speziellen Optionsverb poll oder skip das jeder Server information vorangestellt wird in der fet chmailrc Datei eingebunden Die po11 Aktion weist Fetchmail an diese Serveroption zu verwenden wenn es ausgef hrt wird Damit werden E Mails unter Verwendung verschiedener Benutzeroptionen berpr ft Nach der skip Aktion werden die Ser veroptionen allerdings so lange nicht berpr ft bis Sie den Hostnamen des Servers eingeben w hrend Fetchmail abgerufen wird Die skip Option erlaubt es Ihnen in fet chmailrc Testkonfigurationen einzustellen und unter Verwendung dieses Services nur dann berpr fungen vorzunehmen wenn dies ausdr cklich gew nscht wird Dies hat keine Auswirkung auf die aktuell ausgef hrten Konfiguratio nen Eine Muster fetchmailrc Datei sieht wie folgt aus set postmaster userl set bouncemail poll pop domain com proto pop3 user userl there with password secret is userl here poll mail domain2 com 164 Kapitel 11 E Mail user user5 there with password secret2 is userl here user user7 there with password secret3 i
189. aden des Stage 2 Bootloaders sowie das bergeben der Geome triedaten der Platte an diesen 2 Der Stage 2 oder sekund re Bootloader wird in den Speicher gelesen Der sekund re Boot loader zeigt den Einstiegsbildschirm von Red Hat Linux an Mit diesem Bildschirm k nnen Sie das Betriebssystem bzw den Linux Kernel ausw hlen das der gestartet werden soll 3 Der Stage 2 Bootloader liest das Betriebssystem bzw den Kernel und initrd in den Speicher Sobald LILO festlegt welches Betriebssystem gestartet werden soll l dt er es in den Speicher und bergibt die Steuerung der Rechners an das Betriebssystem Wenn der Stage 2 Bootloader in den Arbeitsspeicher geladen ist zeigt LILO den Red Hat Linux Einstiegsbildschirm mit den verschiedenen Betriebssystemen oder Kernel an die zum Starten konfi guriert wurden Wenn Sie nur Red Hat Linux installiert haben und keine nderungen an der Konfigu rationsdatei von LILO vorgenommen haben wird nur linux als Option angezeigt Sollte das System mehrere Prozessoren haben wird eine linux up Option f r den Einzelprozessor Kernel und linux f r den SMP Kernel vorhanden sein Ist LILO dazu konfiguriert andere Betriebssysteme zu booten erscheinen diese Bootoptionen auch auf dem Bildschirm Die Pfeiltasten erm glichen Ihnen das Betriebssystem zu markieren und durch Dr cken der Enter Taste wird der Bootvorgang gestartet Um Zugriff zu einem boot Prompt zu erhalten dr cken Sie Strg X 2 8 2
190. agement Optionen f r xinetd Im Kapitel Server Security im Red Hat Linux Security Guide und auf der xinetd conf man Seite finden Sie weitere Informatio nen 15 5 Zus tzliche Ressourcen Weitere Informationen ber TCP Wrapper und xinetd finden Sie in der Systemdokumentation und im Internet 15 5 1 Installierte Dokumentation Die im Paket enthaltene Dokumentation auf Ihrem System ist ein guter Ausgangspunkt wenn Sie weitere Informationen ber TCP Wrapper xinetd und Zugriffskontroll Konfigurationsoptionen su chen Kapitel 15 TCP Wrappers und xinetd 233 e usr share doc tcp_wrappers lt version gt Enth lt eine README Datei in der die Funktionsweise von TCP Wrapper und die verschiedenen Hostnamen und Hostadressen Spoofing Risiken beschrieben werden usr share doc xinetd lt version gt Enth lt eine README Datei in der Aspekte der Zu griffskontrolle beschrieben sind und eine sample conf Datei mit Ideen zum Bearbeiten der Kon figurationsdateien im etc xinetd d Verzeichnis man 5 hosts_access Die man Seite f r die TCP Wrapper Hostzugriffskontroll Dateien man hosts_options Die man Seite f r die TCP Wrapper Optionsfelder man xinetd conf Die man Seite mit einer Liste der xinetd Konfigurationsoptionen man xinetd Die man Seite f r den xinetd Super Service Daemon 15 5 2 Hilfreiche Websites http www xinetd org Die Homepage von xinetd enth lt Beispielkonfigurationsdateien ei
191. allationsprogramm die Installa tion auf vielen verschiedenen Typen von Hardware unterst tzt sind manche Treiber einschlie lich der Treiber f r SCSI Adapter Netzwerkkarten und vieler CD ROMs nicht in den Linux Kernel in tegriert der vom Installationsprogramm verwendet wird Anstelle sind diese als Module verf gbar welche w hrend dem Bootvorgang vom Benutzer geladen werden m ssen F r Informationen wo diese zus tzlichen Kernel Module w hrend dem Installationsprozess gefunden werden k nnen sehen Sie den Abschnitt ber alternative Bootmethoden im Kapitel Schritte f r den erfolgreichen Start im Red Hat Linux Installationshandbuch Nach Abschluss der Installation besteht eine Unterst tzung f r eine gro e Anzahl von Ger ten durch Kernel Module A 1 Spezifizieren der Modulparameter In einigen Situationen kann es notwendig sein Parameter f r ein Modul beim Laden dieses anzuge ben Die kann auf zwei verschiedene Arten geschehen Sie k nnen einen vollst ndigen Parametersatz mit nur einer Anweisung spezifizieren Der Parame ter cdu31 0x340 0 k nnte z B mit einem Sony CDU 31 oder 33 am Port 340 ohne IRQ verwendet werden Sie k nnen die Parameter auch individuell spezifizieren Diese Methode wird benutzt wenn ein oder mehrere Parameter aus dem ersten Satz nicht ben tigt werden Beispiel cdu31_port 0x340 cdu3la_irg 0 kann z B als Parameter f r das gleiche CD ROM Laufwerk verwendet werden Ein ODER in den CD ROM S
192. alliert ist geben Sie folgenden Befehl an einem Shell Prompt ein rpm q tripwire Ist Tripwire installiert erhalten Sie folgende R ckmeldung tripwire lt version number gt In der vorhergehenden Ausgabe ist lt version number gt die Versionsnummer des Pakets Sollte Tripwire nicht installiert sein kehrt der Prompt zur ck 266 Kapitel 19 Tripwire Folgende Schritte legen dar wie Tripwire anhand der RPM Befehlszeilenanwendung mit CD ROM gefunden und installiert werden kann 1 Legen Sie CD 2 der Red Hat Linux 9 Installations CD ROMs ein 2 Mounted die CD ROM nicht automatisch geben Sie folgenden Befehl ein mount mnt cdrom 3 Priifen Sie dass sich die Tripwire RPM auf der CD ROM befindet indem Sie eingeben ls mnt cdrom RedHat RPMS grep tripwire Befindet sich RPM auf der CD ROM zeigt dieser Befehl den Paketnamen an Befindet sich RPM nicht auf der CD ROM kehrt das Shell Prompt zuriick In diesem Fall miis sen Sie die anderen CDs pr fen und wenn m glich CD der Red Hat Linux 9 Installations CD ROMs indem Sie zun chst die CD ROM unmounten und dann die Schritte eins bis drei wiederholen Unmounten Sie die CD ROM durch Klicken mit der rechten Maustaste auf die CD ROM Ikone und w hlen Sie Auswerfen oder geben Sie folgenden Befehl am Shell Prompt ein umount mnt cdrom 4 Nachdem Sie Tripwire RPM gefunden haben installieren Sie ihn durch Eingabe folgenden Be fehls als root Benutzer rpm Uvh mnt cdrom RedHa
193. amen usr share fonts local unter Verwendung des folgenden Befehls als root mkdir usr share fonts local Sollte es n tig sein das Verzeichnis usr share fonts local zu erstellen muss dieses zum xfs Pfad hinzugef gt werden Dies geschieht durch Aufrufen des folgenden Befehls als root chkfontpath add usr share fonts local 2 Kopieren Sie die neuen Font Dateien in das Verzeichnis usr share fonts local Kapitel 7 Das X Window System 97 3 Aktualisieren Sie die Font Information durch Ausf hren des folgenden Befehls als root ttmkfdir d usr share fonts local o usr share fonts local fonts scale 4 Starten Sie den xfs Font Server neu Benutzen Sie dazu den folgenden Befehl als root service xfs reload 7 5 Runlevels und XFree86 In den meisten F llen konfiguriert eine Standardinstallation von Red Hat Linux einen Rechner zum Booten in die graphische Oberfl che als Runlevel 5 bekannt Es ist allerdings m glich in eine text basierte Oberfl che auch Runlevel 3 genannt zu Booten und eine X Session von dort zu beginnen F r mehr Informationen zu Runlevels sehen Sie Abschnitt 1 4 Dieser Abschnitt behandelt das Starten von XFree86 in beide Runlevel 3 und Runlevel 5 7 5 1 Runlevel 3 Wenn Sie sich im Runlevel 3 befinden ist es empfehlenswert X mit dem Befehl startx zu starten startx ist ein Front End zum Befehl xinit das den XFree86 Server startet und ihn mit X Clients verbindet Da Sie bereits im Runlevel 3 im
194. an schlie end durch Dr cken der Enter Taste auszuf hren Diese Oberfl che bietet einige erweit erte shell hnliche Funktionen einschlie lich der kontextbasierten Verwendung der Taste Tab zur Zeilenvervollst ndigung sowie den Kombinationen mit der Taste Strg bei der Eingabe von Befehlen beispielsweise Strg a wenn Sie zum Anfang einer Zeile springen m chten und Strg e wenn Sie zum Ende einer Zeile springen m chten Dar ber hinaus funktionieren die Tasten Pos1 Ende und Entf wie in der bash Shell Eine Liste mit den gebr uchlichsten Befehlen finden Sie unter Abschnitt 2 6 16 Kapitel 2 Bootloader 2 5 1 Reihenfolge der Oberflachen Wenn die GRUB Umgebung mit dem Laden des Bootloaders der zweiten Phase beginnt sucht diese nach der Konfigurationsdatei Wird die Konfigurationsdatei gefunden wird diese verwendet um die Men liste zu erstellen und die Bootmen oberfl che anzuzeigen Kann die Konfigurationsdatei nicht gefunden oder nicht gelesen werden l dt GRUB die Befehlszei lenoberfl che in welcher der Benutzer Befehle eingeben kann um den Bootprozess abzuschliessen Wenn die Konfigurationsdatei ung ltig ist druckt GRUB den Fehler und fordert zur Eingabe auf Dies kann sehr n tzlich sein da die Benutzer auf diese Weise genau sehen wo das Problem aufgetreten ist und die Datei entsprechend korrigieren k nnen Durch Dr cken einer beliebigen Taste wird die Men oberfl che erneut geladen wo die ent
195. an dem Benutzer zu erlauben sein Passwort von einem leeren Passwort zu ndern Andernfalls wird ein Null Passwort als Account Sperre betrachtet Das letzte Argument dieser Zeile ist use_authtok und ein gutes Beispiel f r die Wichtigkeit der Reihenfolge beim Stapeln von PAM Modulen Dieses Argument weist das Modul an den Benutzer nicht zur Eingabe eines neuen Passworts aufzufordern Stattdessen wird jedes Passwort akzeptiert das von vorherigen Passwort Modulen verwendet wurde Auf diese Weise m ssen allen neuen Passw rter den pam_cracklib so Test f r sichere Passw rter durchlaufen bevor sie akzepiert werden session required lib security pam_unix so Die letzte Zeile gibt an dass das Modul pam_unix so f r die Verwaltung der Sitzung verwendet werden soll Dieses Modul protokolliert bei jedem Start und Ende einer Sitzung den Benutzernamen und den Service Typ in die Datei var log messages Wenn Sie weitere Funktionen ben tigen kann es durch das Stapeln mit anderen Sitzungsmodulen erg nzt werden Die n chste Beispielkonfigurationsdatei erl utert das auth Modulstapeln f r den rlogin Dienst 3PAM 1 0 auth required lib security pam_nologin so auth required lib security pam_securetty so auth required lib security pam_env so auth sufficient lib security pam_rhosts_auth so auth required lib security pam_stack so service system auth Zun chst berpr ft pam_nologin so ob etc nologin existiert Ist dies der Fall kann sich nie
196. anche Hardware ist ein Zwischenschritt beim Aufrufen des Stage 2 Bootloaders erforderlich Dies trifft manchmal zu wenn die boot Partition 1024 Zylinder berschreitet oder im LBA Modus verwendet wird Der Stage 1 5 Bootloader befindet sich en tweder auf der boot Partition oder auf einem kleinen Teil des MBR und der boot Partition 3 Der Stage 2 oder sekund re Bootloader wird in den Speicher gelesen Der sekund re Boot loader zeigt die Men und Befehlsumgebung von GRUB an Mit dieser Oberfl che k nnen Sie das zu startende Betriebssystem bzw den Linux Kernel ausw hlen Argumente an den Ker nel weiterleiten oder sich die Systemparameter wie zum Beispiel verf gbaren RAM anzeigen lassen 4 Der sekund re Bootloader liest das Betriebssystem bzw den Kernel und initrd in den Spe icher Sobald GRUB festlegt welches Betriebssystem gestartet werden soll l dt er es in den Speicher und bergibt die Steuerung der Rechners an das Betriebssystem 1 Weitere Informationen zum BIOS und MBR finden Sie unter Abschnitt 1 2 1 12 Kapitel 2 Bootloader Diese zum Starten von Red Hat Linux verwendete Bootmethode wird direktes Laden genannt da der Bootloader das Betriebssystem direkt l dt Zwischen dem Bootloader und dem Kernel ist keine Zwischenstufe vorhanden Der von den anderen Betriebssystemen verwendete Bootprozess kann von dem hier beschriebenen abweichen Die Betriebssysteme DOS und Windows von Microsoft wie auch andere propriet re B
197. andardm ige Punktgr e f r alle Fonts ein die keinen spezifischen Wert aufweisen Der Standardwert von 120 entspricht 12 Punkt Fonts e default resolutions Gibt eine Liste mit vom XFree86 Server unterst tzten Aufl sungen an Die Aufl sungen der Liste m ssen dabei durch Kommas getrennt sein deferglyphs Gibt an ob mit dem Laden von glyphs der Grafik die eine Font visuell darstellt gewartet werden soll Diese Option kann mit none deaktiviert werden Alternativ kann sie auch f r alle Fonts a11 oder nur f r 16 Bit Fonts 16 aktiviert werden error file Hiermit k nnen Sie den Pfad und Dateinamen von Speicherorten eingeben wo xfs Fehler protokolliert werden k nnen no listen Weist xfs an nicht mithilfe eines bestimmten Protokolls zu warten Standardm ig ist diese Option auf t cp eingestellt um zu verhindern dass xfs an TCP Ports wartet dies vor allem aus Sicherheitsgr nden Wenn Sie xfs verwenden m chten um Fonts an vernetzte Workstations in einem LAN weiterzuleiten m ssen Sie diese Zeile entfernen port Gibt den TCP Port an an dem xfs wartet wenn no listen entweder nicht vorhanden ist oder auskommentiert wurde use syslog Gibt an ob das Fehlerprotokoll des Systems zu verwenden ist 7 4 2 2 Hinzuf gen von Fonts zu xfs Um dem Core X Font Subsystem xfs Fonts hinzuzuf gen folgen Sie diesen Schritten 1 Erstellen Sie ein Font Verzeichnis sofern nicht vorhanden mit dem N
198. andererseits eine gro z gigere Implementation mit LDAP immer dann wenn es LDAP verwendet um einzelne Dateien wie z B aliases und virtusertables auf den verschiedenen Mail Servern auszutauschen die zusammenarbeiten um mittlere bis gr ere Unter nehmensorganisationen zu unterst tzen Kurz gesagt Sie k nnen LDAP verwenden um den Mail Routing Level von Sendmail und dessen einzelne Konfigurationsdateien in einen leistungsf higen LDAP Cluster zu bertragen der durch viele verschiedene Applikationen verbessert wurde Die aktuelle Version von Sendmail enth lt Support f r LDAP Um Ihren Sendmail Server mit LD AP zu erweitern installieren und konfigurieren Sie zun chst einmal einen LDAP Server wie z B OpenLDAP Dann m ssen Sie Ihre etc mail sendmail mc bearbeiten um Folgendes einzuf gen LDAPROUTE_DOMAIN yourdomain com dnl FEATURE ldap_routing dnl l Anmerkung Das ist nur die einfachste Standard Konfiguration von Sendmail mit LDAP von der sich Ihre Konfig uration erheblich unterscheiden wird Dies ist abh ngig von Ihrer LDAP Implementierung insbeson dere wenn Sie mehrere Computer f r die Verwendung eines gemeinsamen LDAP Servers konfiguri eren m chten Unter usr share doc sendmail README cf erhalten Sie genaue Anweisungen und Beispiele f r die RoutingKonfiguration von LDAP Erstellen Sie als n chstes etc sendmail cf neu indem Sie m4 ausf hren und Sendmail neu star ten Unter Abschnitt 11 3
199. ap schema Verzeichnis beinhaltet die LDAP Definition die zuvor in den Da teien slapd at conf und slapd oc conf abgelegt waren Alle Attributsyntaxdefinitionen und Objektklassendefinitionen sind jetzt in den unterschiedlichen Schemadateien abgelegt Auf die ver schiedenen Schemadateien wird in etc openldap slapd conf mit Hilfe der include Zeilen verwiesen wie im folgenden Beispiel zu sehen ist include etc openldap schema core schema include etc openldap schema cosine schema include etc openldap schema inetorgperson schema include etc openldap schema nis schema include etc openldap schema rfc822 MailMember schema include etc openldap schema autofs schema include etc openldap schema kerberosobject schema 202 Kapitel 13 Lightweight Directory Access Protocol LDAP Orcrtung Sie sollten keines der Schemata aus den Schemadateien die von OpenLDAP installiert wurden ndern Sie k nnen das von OpenLDAP verwendete Schema erweitern um zus tzliche Attributtypen und Objektklassen mit Hilfe der Standardschemadateien zu unterst tzen Erstellen Sie daf r eine local schema Datei im Verzeichnis etc openldap schema Referenzieren Sie dieses neue Schema in slapd conf indem Sie die folgende Zeile unter die standardm igen include Schemazeilen hinzuf gen include etc openldap schema local schema Definieren Sie anschlie end Ihre neuen Attributtyen und Objektklassen der local schema Datei Viele Organisationen verwenden die stand
200. apitel 2 Bootloader 13 Vor der Installation von GRUB sollten Sie sicherstellen dass Sie das neueste GRUB Paket haben Sie k nnen auch das GRUB Paket von den Red Hat Linux Installations CD ROMs verwenden Weitere Informationen zum Installieren von Paketen finden Sie im Kapitel Paket Management mit RPM im Red Hat Linux Handbuch benutzerdefinierter Konfiguration Offnen Sie nach der Installation des GRUB Pakets einen root Shell Prompt und f hren Sie den Befehl sbin grub install lt Speicherort gt aus wobei lt Speicherort gt der Speicherort ist in den der Stage 1 GRUB Bootloader installiert werden soll Mit dem folgenden Befehl installieren Sie GRUB auf den MBR des Master IDE Ger ts auf dem prim ren IDE Bus sbin grub install dev hda Beim n chsten Systemstart wird das grafische Bootloader Men von GRUB angezeigt bevor der Kernel l dt 2 4 GRUB Terminologie Zu den grundlegenden Kenntnissen vor der Verwendung von GRUB geh rt wie das Programm Ger te wie Festplatten und Partitionen anspricht Diese Informationen sind insbesondere dann wichtig wenn GRUB zum Starten mehrerer Betriebssysteme konfiguriert werden soll 2 4 1 Ger tenamen Nehmen Sie an dass Ihr System mehrere Festplatten hat Die erste Festplatte eines Systems wird von GRUB als hd0 die erste Partition auf dieser Festplatte als nd0 0 und die f nfte Partition auf der zweiten Festplatte als hd1 4 bezeichnet Im Allgemeinen sieht die Konvention f r die Nam
201. ar Nach dem Initialisieren aller Ger te des Systems erstellt der Kernel ein root Ger t mountet die root Partition als schreibgesch tzt und setzt nicht verwendeten Speicher frei Zu diesem Zeitpunkt ist der Kernel in den Speicher geladen und betriebsbereit Allerdings ist das System ohne die M glichkeit f r den Benutzer sinnvolle Eingaben vorzunehmen nicht von gro em Nutzen Der Kernel startet den Befehl sbin init um die Benutzerumgebung einzurichten 1 2 4 Das Programm sbin init Das Programm sbin init auch init genannt koordiniert den verbleibenden Bootprozess und konfiguriert die Benutzerumgebung Wenn init gestartet wird wird es automatisch der Stammvater aller zuk nftigen Prozesse des Systems die auf einem Red Hat Linux System automatisch gestartet werden Zuerst f hrt es das etc rc d rc sysinit Skript aus mit dem der Umgebungspfad eingestellt wird Swapping gestartet die Dateisysteme berpr ft werden u v m rc sysinit k mmert sich im Grunde um alle Prozesse die beim Starten des Systems durchgef hrt werden m ssen Die meisten Systeme verwenden zum Beispiel eine Uhr In diesem Fall liest rc sysinit die Konfigurationsdatei etc sysconfig clock um die Hardware Uhr zu initialisieren Falls Sie ber spezielle serielle Portprozesse verf gen die ebenfalls initialisiert werden m ssen f hrt rc sysinit die Datei etc rc serial aus Anschlie end f hrt init das etc inittab Skript aus das beschreibt wie das
202. arbeiten Obwohl es nicht verlangt wird sollten Sie diese vielkommentierte Beispiel Tripwire Policydatei be arbeiten um die speziellen Anwendungen Dateien und Verzeichnisse in Ihrem System in Betracht zu ziehen Sich allein auf die unver nderte Beispiel Konfiguration von RPM zu verlassen k nnte eventuell kein ausreichender Schutz f r Ihr System sein Eine nderung der Policy Datei erh ht die N tzlichkeit der Tripwire Berichte da falsche Alerts f r Dateien und Programme die Sie nicht verwenden auf ein Minimum reduziert und Funktionalit ten wie E Mail Zustellung hinzugef gt werden Anmerkung Zustellung ber E Mail ist nicht standardm ig konfiguriert Weitere Informationen zur Konfiguration dieses Merkmals erhalten Sie unter Abschnitt 19 8 1 ndern Sie die Beispiel Policydatei nach Durchf hrung des Konfigurations Skripts finden Sie unter Abschnitt 19 8 Anweisungen zur Neugenerierung einer unterzeichneten Policy Datei wamung Aus Sicherheitsgr nden sollten Sie s mtliche Kopien der reinen Textdatei etc tripwire twpol txt entweder l schen oder in einem sicheren Speicherplatz hinterlegen nachdem Sie das Installations Skript ausgef hrt oder eine unterzeichnete Konfigurationsdatei neu generiert haben Alternativ hierzu k nnen Sie die Berechtigungen ndern so dass sie nicht auf der ganzen Welt lesbar ist 19 3 3 Durchf hren des twinstall sh Skripts Geben Sie als root etc tripwire twinstall sh am Shell Prompt
203. ardm ig installierten Attributtypen und Objektklassen der Schemadateien und modifizieren diese f r die Verwendung in der local schema Datei Das Erweitern der Schemata zum Erreichen spezieller Anforderungen ist reichlich komplex und ber steigt den Umfang dieses Kapitels Weitere Informationen ber die Erstellung neuer Schemadateien finden Sie unter http www openldap org doc admin schema html 13 6 berblick ber die OpenLDAP Einrichtung In diesem Abschnitt wird ein kurzer berblick ber das Installieren und Konfigurieren eines OpenLDAP Verzeichnisses gegeben Weitere Details finden Sie unter folgenden URLs http www openldap org doc admin quickstart html Der Quick Start Guide auf der OpenLDAP Website http www redhat com mirrors LDP HOWTO LDAP HOWTO html LDAP Linux HOWTO vom Linux Documentation Project das auf der Website von Red Hat gespiegelt ist Die Grundschritte zum Erstellen eines LDAP Servers sind folgende Installieren Sie die RPMs openldap openldap servers und openldap clients 2 Bearbeiten Sie die Datei etc openldap slapd conf um auf die LDAP Domain und den LDAP Server zu verweisen Weitere Informationen finden Sie unter Abschnitt 13 6 1 U Starten Sie slapd mit folgendem Befehl sbin service ldap start Nachdem Sie LDAP korrekt konfiguriert haben k nnen Sie chkconfig ntsysv oder redhat config services verwenden um LDAP so zu konfigurieren dass es zur Bootzeit gestartet wird
204. are Uhr ist auf lokale Zeit eingestellt ARC lt Wert gt wobei lt Wert gt einer der folgenden Werte ist true oder yes Zeigt an dass der 42 Jahre Offset der Konsole aktiviert ist Diese Einstellung ist lediglich fiir ARC oder AlphaBIOS basierte Alpha Systeme Alle anderen Werte geben an dass die normale UNIX Epoche eingestellt ist SRM lt Wert gt wobei lt Wert gt folgender ist true oder yes Die 1900 Epoche der Konsole ist aktiviert Diese Einstellung ist lediglich f r SRM basierte Alpha Systeme Jeder andere Wert gibt an dass die normale UNIX Epoche eingestellt ist ZONE lt Dateiname gt Die Zeitzonen Datei unter usr share zoneinfo von der etc localtime eine Kopie ist Diese Datei enth lt Informationen wie folgende ZONE America New York Fr here Versionen von Red Hat Linux benutzten folgende Versionen welche nicht l nger verwendet werden e CLOCKMODE lt Wert gt wobei lt Wert gt einer der folgenden Werte ist GMT Zeigt an dass die Uhr auf Weltzeit GMT eingestellt ist 34 Kapitel 4 Das Verzeichnis sysconfig ARC Zeigt an dass der 42 Jahre Offset der Konsole aktiviert ist nur bei Alpha gestiitzten Systemen 4 1 6 etc sysconfig desktop Die Datei etc sysconfig desktop legt fest welcher Desktop Manager ausgef hrt werden soll z B DESKTOP GNOME 4 1 7 etc sysconfig dhcpd Die Datei etc sysconfig dhcp wird verwendet um beim Booten Argumente an den dhc
205. art bezieht die bei der Ausf hrung von X verwendet wird Die hier aufgef hrten Optionen entsprechen den MOUSETYPE Einstellungen dieser Datei DEVICE lt Wert gt wobei lt Wert gt die Maus ist Au erdem gibt es dev mouse einen symbolischen Link der auf das eigentliche Mausger t zeigt Kapitel 4 Das Verzeichnis sysconfig 39 4 1 21 etc sysconfig named Die Datei etc sysconfig named wird verwendet um beim Booten Argumente an den named Daemon zu bertragen Der named Daemon ist ein Domain Name System DNS Server der die Ver sion 9 von Berkeley Internet Name Domain BIND implementiert Auf diesem Server gibt es eine Tabelle mit deren Hilfe bestimmte Hostnamen IP Adressen im Netzwerk zugeordnet werden Verwenden Sie bitte bis auf weiteres nur die folgenden Werte ROOTDIR lt irgend wo gt wobei sich lt irgend wo gt auf den vollst ndigen Verzeichnisp fad einer konfigurierten Chroot Umgebung bezieht unter der named ausgef hrt wird Besagte Umgebung muss zun chst konfiguriert werden Nach Eingabe von info chroot erhalten Sie mehr Informationen dazu wie Sie bei der Konfiguration vorgehen m ssen OPTIONS lt Wert gt wobei lt Wert gt jede der auf der man Seite f r named aufgef hrten Optio nen sein kann mit Ausnahme von t An Stelle von t verwenden Sie oben bitte die ROOTDIR Zeile Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf der man Seite von named
206. arten zu k nnen und zwar anhand ei nes Initskript Utilities wie sbin chkconfig sbin ntsysv oder des Services Konfigurationstool Programms Im Kapitel Zugriffskontrolle fiir Dienste im Red Hat Linux Handbuch benutzerdefinierter Konfiguration finden Sie weitere Informationen zu diesen Tools f Anmerkung Wenn Sie Apache HTTP Server als Secure Server ausf hren werden Sie nach dem Booten des Rechners nach dem Passwort des Secure Servers gefragt es sei denn Sie haben eine besondere Art von Server Schl sseldatei erstellt Informationen ber das Einrichten eines Apache HTTP Secure Server finden Sie im Kapitel Apache HTTP Secure Server Configuration im Red Hat Linux Handbuch benutzerdefinierter Konfiguration 10 5 Konfigurationsanweisungen in httpd conf Die Apache HTTP Server Konfigurationsdatei ist etc httpd conf httpd conf Die Datei httpd conf enth lt ausf hrliche Kommentare und erkl rt sich bis zu einem gewissen Grad selbst 134 Kapitel 10 Apache Die Standardkonfiguration Ihres Web Servers ist fiir die meisten Situationen ausreichend Sie sollten sich jedoch mit einigen der wichtigsten Konfigurationsoptionen vertraut machen nd Mit der Release von Apache HTTP Server 2 0 haben sich viele Konfigurationsoptionen ge ndert M ssen Sie eine Konfigurationsdatei der Version 1 3 in das neue Format migrieren studieren Sie Abschnitt 10 2 10 5 1 Allgemeine Tipps zur Konfiguration Wenn Sie Apache HTTP Server konfigurieren m ss
207. atei in seinem Home Verzeichnis ssh config zur Verf gung steht werden die hier enthaltenen Werte berschrieben sshd_config Die Konfigurationsdatei f r den sshd Daemon e ssh_host_dsa_key Der private DSA Schl ssel der vom sshd Daemon verwendet wird ssh_host_dsa_key pub Der ffentliche DSA Schl ssel der vom sshd Daemon verwendet wird ssh_host_key Der private RSA Schl ssel der vom sshd Daemon f r die Version 1 des SSH Protokolls verwendet wird ssh_host_key pub Der ffentliche RSA Schl ssel der vom sshd Daemon f r die Version 1 des SSH Protokolls verwendet wird ssh_host_rsa_key Der private RSA Schl ssel der von sshd Daemon fiir die Version 2 des SSH Protokolls verwendet wird ssh_host_rsa_key pub Der ffentliche RSA Schl ssel der von sshd f r die Version 2 des SSH Protokolls verwendet wird Die benutzerspezifischen SSH Konfigurationsinformationen werden im Home Verzeichnis des Be nutzers im Unterverzeichnis ssh gespeichert authorized_keys In dieser Datei ist eine Liste der autorisierten ffentlichen Schl ssel f r Server enthalten Stellt ein Client eine Verbindung zu einem Server her wird er von diesem durch Pr fen seines unterschriebenen ffentlichen Schl ssels der in dieser Datei gespeichert ist authen tifiziert id_dsa Diese Datei enth lt den privaten Schl ssel des Benutzers id_dsa pub Der ffentliche DSA Schl ssel des Be
208. atenblocks in Bytes vergr ert wird der bertragen wird Beim ndern dieser Werte sollten Sie beachten dass einige ltere Linux Kernel und Netzwerkkarten eventuell mit einem gr eren Datenblock nicht korrekt arbeiten k nnten e nfsvers 2 oder nfsvers 3 Legen fest welche Version des NFS Protokolls verwendet wird Auf der mount man Seite stehen noch weitere Optionen zur Verf gung einschlie lich Optionen die beim Mounten eines Nicht NFS Dateisystems verwendet werden 9 4 NFS Sichern Die Art wie NFS bei der gemeinsamen Verwendung ganzer Dateisysteme mit einer gro en Anzahl be kannter Hosts arbeitet ist gut zu durchschauen Viele Benutzer haben ber einen NFS Mount Zugriff auf Dateien wobei sie nicht wissen dass sich diese Dateisysteme nicht auf ihrem lokalen System befinden Aus diesem Vorteil k nnen sich jedoch auch eine Reihe potenzieller Sicherheitsprobleme ergeben Folgende Punkte sollten beim Exportieren von NFS Dateisystemen auf einem Server oder beim Mounten dieser Dateisysteme auf einem Client beachtet werden Dadurch k nnen die Sicherheitsrisiken von NFS verringert und Ihre Daten besser gesch tzt werden 9 4 1 Host Zugriff NFS steuert anhand des Hosts der die Anfrage zum Mounten stellt wer ein exportiertes Dateisystem mounten kann und nicht anhand des Benutzers der das Dateisystem tats chlich verwendet Die Hosts m ssen ber die Berechtigung verf gen exportierte Dateisysteme zu mounten F r Benut
209. ave Server die den Transfer der Informationen ber die Zonen anfordern d rfen Standardm ig sind alle Transfer Anfragen zul ssig e allow update Bestimmt die Hosts die Informationen in ihrer Zone dynamisch aktualisieren d rfen Standardm ig sind Anfragen f r dynamische Updates nicht zul ssig Wenn Sie zulassen dass Hosts Informationen ber ihre Zonen aktualisieren sollten Sie unbedingt sicherstellen dass Sie diese Option nur aktivieren wenn der Host absolut sicher ist Es ist besser die Updates der Zonen Records manuell von einem Administrator durchf hren zu lassen und den named Service soweit m glich neu zu laden e file Bestimmt den Namen der Datei im named Arbeitsverzeichnis die die Zone Konfigurationsdateien enth lt Standardm ig ist dies var named Kapitel 12 Berkeley Internet Name Domain BIND 183 masters The masters option lists the IP addresses from which to request authoritative zone information Used only if the zone is defined as type slave e notify Wird verwendet wenn die Zone als Slave type festgelegt ist Die masters Option teilt dem named eines Slaves die IP Adressen mit von denen ma gebliche Informationen ber die Zone angefragt werden yes Informiert Slave Server no Informiert Slave Server nicht e explicit Informiert Slave Server nur dann wenn diese in einer also notify List inner halb des Zonen Statement angegeben sind type Gibt den Typ d
210. ayout bindet Eingabe und Ausgabeger te die vom XFree86 Server kontrol liert werden Dieser Abschnitt muss zumindest ein Ausgabeger t und zwei Eingabeger te Tastatur und Maus angeben Das folgende Beispiel zeigt einen typischen ServerLayout Abschnitt Section ServerLayout Identifier Default Layout Screen 0 Screen0 0 0 InputDevice Mouse0 CorePointer InputDevice Keyboard0 CoreKeyboard EndSection Die folgenden Eintr ge sind die in einem ServerLayout Abschnitt am h ufigsten verwendeten Kapitel 7 Das X Window System 89 e Identifier Ein eindeutiger Name der f r die Beschreibung dieses ServerLayout Abschnitts verwendet wird Screen Der Name eines Screen Abschnitts der mit dem XFree86 Server verwendet wird Es k nnen mehr als eine Screen Option vorkommen Folgend ist ein Beispiel eines typischen Screen Eintrags Screen 0 Screen0 0 0 Die erste Zahl in diesem Beispiel eines Screen Eintrags 0 gibt an dass der erste Anschluss auf der Grafikkarte die im Screen Abschnitt angegebene Konfiguration mit dem Identifier Screen0 verwendet Sollte die Grafikkarte mehr als einen Anschluss haben sind weitere Screen Eintr ge mit unter schiedlichen Nummern und Identifiern f r Screen Abschnitte von N ten Die Nummern auf der rechten Seite liefern die X und Y Koordinaten f r die linke obere Ecke des Bildschirms standardm ig 0 0 InputDevice Gibt den Namen eines InputDevice Abschnitts an der m
211. cess_times 09 45 16 15 In diesem Beispiel erh lt jedes System des Unternetzes 10 0 1 0 24 wie zum Beispiel 10 0 1 2 beim Versuch auf Telnet zuzugreifen die folgende Meldung Connection closed by foreign host Au erdem werden diese Anmeldeversuche in var log secure protokolliert May 15 17 38 49 boo xinetd 16252 START telnet pid 16256 from 10 0 1 2 May 15 17 38 49 boo xinetd 16256 FAIL telnet address from 10 0 1 2 May 15 17 38 49 boo xinetd 16252 EXIT telnet status 0 pid 16256 Wenn Sie TCP Wrapper zusammen mit der Zugriffskontrolle von xinetd verwenden m ssen Sie die Beziehung dieser beiden Zugriffskontroll Mechanismen verstehen Im folgenden wird die Abfolge der Vorg nge in xinetd beschrieben wenn ein Client eine Verbindung anfordert 1 Der xinetd Daemon greift auf die Host Zugriffsregeln der TCP Wrapper durch einen 1ib wrap a Library Aufruf zu Besteht eine Dienstverweigerungs Regel f r den Client Host wird die Verbindung nicht aufgebaut Besteht eine Zugrifferlaubnis wird die Verbindung an xinetd weitergegeben 2 Der xinetd Daemon berpr ft seine eigenen Zugriffskontroll Regeln f r den xinetd Service und den angeforderten Service Besteht eine Dienstverweigerungs Regel f r den Client Host wird die Verbindung nicht aufgebaut Ansonsten startet xinetd eine Instanz des angeforderten Services und gibt die Kontrolle an diesen weiter Kapitel 15 TCP Wrappers und xinetd 231 EB wicntic Seien Sie vorsic
212. ch nach einer Zeit deaktivieren kann autoclean oder ob es zur Zeit nicht benutzt wird unused Jedes Modul mit einer Zeile in der ein Name in Klammern und steht zeigt an dass dieses Modul ein anderes zum ordnungsgem en Funktionieren ben tigt 5 2 22 proc mounts Diese Datei gibt Ihnen einen kurzen berblick ber alle Mounts im System rootfs rootfs rw 0 0 dev hda2 ext3 rw 0 0 proc proc proc rw 0 0 dev hdal boot ext3 rw 0 0 none dev pts devpts rw 0 0 none dev shm tmpfs rw 0 0 none proc sys fs binfmt_misc binfmt_misc rw 0 0 Kapitel 5 Das proc Dateisystem 57 Die Ausgabe aus dieser Datei ist sehr hnlich zur Ausgabe von etc mtab mit dem Unterschied dass proc mount aktueller sein kann Die erste Spalte bezeichnet das Ger t das gemountet ist wobei die zweite Spalte den zugeh rigen Mount Punkt anzeigt Die dritte Spalte enth lt den Dateisystemtyp und die vierte Spalte zeigt an ob ein Dateisystem nur zum Lesen ro oder auch zum Schreiben rw gemountet ist Die f nfte und sechste Spalte sind Dummy Werte um das Format von etc mtab zu emulieren 5 2 23 proc mtrr Diese Datei bezieht sich auf die aktuellen Memory Type Range Registers MTRRs die im System verwendet werden Wenn Ihre System Architektur MTRRs unterstiizt k nnte Ihre Datei proc mtrr so hnlich wie diese aussehen reg00 base 0x00000000 OMB size 64MB write back count 1 MTRRs werden seit der Intel P6 Familie benutzt
213. chiedenen mit den iptables Befehlen zur Verf gung stehenden Optionen erkl rt werden Es wird au erdem gezeigt wie Filterungsregeln zwischen den Bootvorg ngen des Systems erhalten bleiben Wenn Sie Anweisungen f r das Erstellen von iptables Regeln oder das Einrichten einer Firewall auf der Grundlage dieser Regeln ben tigen finden Sie weitere Informationen unter Abschnitt 16 5 AB vrarung Der standardm ige Firewall Mechanismus im 2 4 Kernel ist zwar iptables iptables kann aber nicht benutzt werden wenn die ipchains schon laufen Wenn also beim Booten ipchains vorhan den sind gibt der Kernel eine Fehlermeldung und kann iptables nicht starten Diese Bootfehler Meldungen haben keinerlei Auswirkung auf das Funktionieren der ipchains 16 1 Paket Filterung Die Daten werden ber ein Netzwerk als Pakete bertragen Ein Netzwerkpaket ist eine Sammlung von Daten einer bestimmten Gr e und Format Der sendende Computer teilt eine Datei in Pakete auf die unter Verwendung bestimmter Netzwerkprotokolle ber das Netzwerk gesendet werden Jedes Paket enth lt einen kleinen Teil der Dateidaten Der andere Computer empf ngt die Pakete und f gt sie wieder zu einer Datei zusammen Jedes Paket enth lt Informationen mit deren Hilfe es sich durch das Netzwerk zu seinem Bestim mungsort bewegt Das Paket kann den Computern die es passiert als auch dem Computer der sein Ziel ist unter anderem mitteilen woher es kam und wohin es geht und we
214. chnitt 15 4 2 228 Kapitel 15 TCP Wrappers und xinetd i Anmerkung Die Einstellungen log_on_success und log_on_failure in etc xinetd conf werden oftmals von den servicespezifischen Logdateien ge ndert Aus diesem Grund k nnen mehr Informationen als von der Datei angezeigt im Servicelog enthalten sein Weitere Informationen zu Protokoll Optionen finden Sie unter Abschnitt 15 4 3 1 15 4 2 Das etc xinetd d Verzeichnis Die Dateien im Verzeichnis etc xinetd d enthalten die Konfigurationsdateien f r jeden Ser vice der von xinetd verwaltet wird sowie die Dateinamen die zu dem Service geh ren Wie xi netd conf wird diese Datei nur gelesen wenn der xinetd Service gestartet wird Um nderungen wirksam werden zu lassen muss der Administrator den xinetd Service neu starten Die Dateien in etc xinetd d verwenden dieselben Konventionen und Optionen wie etc xinetd conf Der Hauptgrund daf r dass sich diese in eigenen Konfigurationsdateien befinden ist die Anpassung zu vereinfachen und andere Services damit weniger zu beeinflussen Um einen berblick ber die Struktur dieser Dateien zu erhalten betrachten Sie die Datei vs f tpd service ftp socket_type stream wait no user root server usr sbin vsftpd log_on_success DURATION USERID log_on_failure USERID nice 10 disable no Diese Zeilen kontrollieren verschiedene Aspekte des vsftpd Service e service Definiert den Servicenamen
215. d berpr fen Sie daher unbedingt die Korrektheit der Syntax bevor Sie eine nderung in proc sys vornehmen Ob eine Datei konfiguriert werden kann oder nur Informationen liefern soll findet man am besten heraus indem man sie ber 1 an einem Shell Prompt anzeigt Wenn die Datei schreibbar ist k n nen Sie diese zum Konfigurieren des Kernels verwenden Zum Beispiel sieht eine Auflistung von proc sys fs so aus e aE AA TS 1 root root 0 May 10 16 14 dentry state rW r r 1 root root 0 May 10 16 14 dir notify enable oai aaier Apace nian 1 root root 0 May 10 16 14 dquot nr E oa ea 1 root root 0 May 10 16 14 file max E Les 1 root root 0 May 10 16 14 file nr Hier sind die Dateien dir notify enable und file max schreibbar und k nnen deshalb benutzt werden um den Kernel zu konfigurieren Die anderen Dateien geben nur Informationen zu den aktu ellen Einstellungen des Kernels aus Ein Wert in einer Datei in proc sys wird ge ndert indem der neue Wert in diese Datei geschrie ben wird Zum Beispiel benutzt man um den System Request Key in einem laufenden Kernel zu aktivieren folgenden Befehl echo 1 gt proc sys kernel sysrq Dies ndert den Wert der Datei sysrq von 0 off auf 1 on Der Sinn des System Request Key ist es Ihnen zu erlauben dem Kernel direkte Anweisungen mit einer simplen Tastenkombination zu geben um den Rechner z B direkt herunter zu fahren das System neu zu starten alle Dateisystempuffer zu schreib
216. d gt K20bootparamd gt K20iscsi gt K20netdump s K20nfs gt K20rstatd gt K20rusersd gt K20rwalld gt K20rwhod gt K24irda gt K25squid gt K28amd gt K35atalk gt K35dhcpd gt K35smb gt K45named gt K45smartd gt K46radvd gt K50netdump gt K50snmpd gt K50snmptrapd gt init d kWnn init d mysqld init d tWnn init d httpd init d postgresql init d rarpd init d bootparamd init d iscsi erver gt init d netdump server init d nfs init d rstatd init d rusersd init d rwalld init d rwhod init d irda init d squid init d amd K34dhcrelay gt K34yppasswdd gt init d dhcrelay init d yppasswdd init d atalk init d dhcpd init d smb K35vncserver gt K35winbind gt K40mars nwe gt K45arpwatch gt init d vnceserver init d winbind init d mars nwe init d arpwatch init d named init d smartd init d radvd init d netdump init d snmpd init d snmptrapd K50tux gt init d tux K54pxe gt init d pxe K55routed gt init d routed K6lldap gt init d ldap K65identd gt init d identd K65kadmin gt init d kadmin K65kprop gt init d kprop K65krb524 gt init d krb524 K65krb5kde gt init d krb5kdc K70aep1000 gt init d aep1000 K70bcm5820 gt init d bcm5820 K74ntpd gt init d ntpd K74ups gt in
217. d Befehl 199 Siehe auch LDAP SpamAssassin mit Procmail verwenden 172 SSH Protokoll Authentifizierung 258 SSH Protokoll Version 1 256 Version 2 256 SSH Protokoll 255 Abfolge des Verbindungsaufbaus 257 Anfordern fiir Fernanmeldung 261 Konfigurationsdateien 259 Merkmale von 255 Port Forwarding 260 Schichten von Kan le 258 Transportschicht 257 Sicherheitsrisiken 256 X11 Forwarding 260 SSH Protokoll protocol unsichere Protokolle und 261 SSL Konfigurationsanweisungen 149 Sstem Request Key Definition von 68 StartServers Apache Konfigurationsanweisung 136 startx Siehe XFree86 stunnel 174 sysconfig Verzeichnis etc sysconfig redhat config securitylevel 41 etc sysconfig spamassassin 42 zus tzliche Informationen 31 sysconfig Verzeichnis etc sysconfig amd 32 etc sysconfig apm scripts Verzeichnis 44 etc sysconfig apmd 32 etc sysconfig arpwatch 32 etc sysconfig authconfig 33 etc sysconfig cbq Verzeichnis 44 etc sysconfig clock 33 etc sysconfig desktop 34 etc sysconfig dhcpd 34 etc sysconfig firstboot 34 etc sysconfig gpm 34 etc sysconfig harddisks 34 etc sysconfig hwconf 35 etc sysconfig identd 35 etc sysconfig init 35 etc sysconfig ipchains 36 etc sysconfig iptables 36 245 etc sysconfig irda 37 etc sysconfig keyboard 37 etc sysconfig kudzu 38 etc sysconfig mouse 38 etc sysconfig named 39 etc sysconfig netdump 39 etc sysconfig network 39 e
218. d ziehen Sie den Cursor ber den Text um ihn hervorzuheben Um den Text an einer anderen Stelle einzuf gen klicken Sie einfach an der gew nschten Stelle auf die mittlere Maustaste 6 Fortsetzung folgt Das Red Hat Linux Referenzhandbuch ist Teil des st ndig wachsenden Engagements seitens Red Hat den Red Hat Linux Benutzer zum richtigen Zeitpunkt durch n tzliche Informationen zu unterst tzen In den k nftigen Ausgaben werden Sie erweiterte Informationen ber nderungen im Systemaufbau und in der Systemorganisation neue und leistungsstarke Sicherheits Tools und weitere Ressourcen finden mit denen Sie Ihr Red Hat Linux System noch besser nutzen und selbstverst ndlich auch Ihr System Knowhow Hier k nnten wir Ihre Hilfe gebrauchen 6 1 Wir brauchen Ihre R ckmeldung Wenn Sie Fehler im Red Hat Linux Referenzhandbuch entdecken oder Vorschl ge oder Anregungen zur Verbesserung diesse Handbuchs machen m chten w rden wir uns sehr freuen von Ihnen zu h ren Schreiben Sie bitte Bugzilla http bugzilla redhat com bugzilla mit dem Kenntwort rhl rg Geben Sie bitte dabei auch die Kennziffer dieses Handbuchs ein rhl rg DE 9 Print RHI 2003 02 13T19 20 Einf hrung ix Nur mit der Kennziffer des Handbuchs wissen wir welche Version Ihnen vorliegt Wenn Sie Vorschlige zur Verbesserung der Dokumentation haben beschreiben Sie uns Ihren Vor schlag bitte so pr zise wie m glich Und wenn Sie einen Fehler entdeckt haben
219. das Bestehen von MaxClients ist dass damit verhindert werden soll dass Ihr Betriebssystem durch einen berlasteten Apache HTTP Server zum Absturz gebracht wird Sie sollten MaxClients auf einer hohen Anzahl belassen die Standar deinstellung des Servers ist 150 Es ist nicht empfohlen MaxClients auf einen Wert gr er als 256 zu setzen 10 5 12 MaxRequestsPerChild MaxRequestsPerChildlegt die Gesamtzahl der Anfragen fest die jeder Kind Server Prozess ben tigt bevor der Kind Prozess beendet wird Der Hauptgrund f r die Einstellung von MaxRequest sPerChildist dass lang andauernde durch Prozesse verursachte Speicherprobleme vermieden wer den sollen Die Standardeinstellung f r MaxRequest sPerChild f r den Server ist 1000 10 5 13 Listen Der Befehl Listen kennzeichnet den Port an dem Ihr Web Server ankommende Anforderungen an nimmt Der Web Server ist so konfiguriert dass auf Port 80 auf unverschl sselte Web Kommunikation und in etc httpd conf d ssl conf die s mtliche Secure Servers definiert auf Port 443 auf sichere Web Kommunikation abh rt Wenn Sie Apache HTTP Server so konfigurieren dass ein Port kleiner als 1024 abgeh rt wird Listen Modus m ssen Sie als root angemeldet sein um den Prozess zu starten F r Port 1024 und dar ber kann httpd als normaler Benutzer gestartet werden Listen kann auch zur Angabe spezieller IP Adressen verwendet werden ber die der Server Verbin dungen annimmt 10 5 14 Include
220. de etc rndc key 12 4 2 Konfigurieren von etc rndc conf Die key Anweisung ist die wichtigste in der Datei etc rndc conf key lt key name gt algorithm hmac md5 secret lt key value gt lt key name gt und lt key value gt sollten exakt mit den Einstellungen in etc named conf bereinstimmen Um den Schl sseln welche in etc named conf auf dem Ziel Server angegeben sind zu entspre chen f gen Sie folgende Zeilen zu etc rndc conf hinzu options default server localhost default key lt key name gt Dieser Befehl setzt den globalen Default Schl ssel Der Befehl rndc kann allerdings auch verschie dene Schl ssel f r verschiedene Server verwenden wie im folgenden Beispiel gezeigt server localhost key lt key name gt O kenne Stellen Sie sicher dass jeweils nur ein root Benutzer auf die Datei etc rndc conf zugreifen kann 192 Kapitel 12 Berkeley Internet Name Domain BIND 12 4 3 Befehlszeilenoptionen Ein rndc Befehl sieht wie folgt aus rnde lt options gt lt command gt lt command options gt Wenn rndc auf einem korrekt konfigurierten lokalen Host ausgefiihrt wird stehen Ihnen folgende Befehle zur Verfiigung halt H lt den named Service sofort an querylog Protokolliert alle Abfragen die von Clients auf diesem Name Server durchgef hrt wurden refresh Aktualisiert die Datenbank des Nameservers reload Weist den Name Server an di
221. delete Befehl 199 Siehe auch LDAP 299 ldapmodify Befehl 199 Siehe auch LDAP ldapsearch Befehl 199 Siehe auch LDAP Lightweight Directory Access Protocol Siehe LDAP LILO 2 Siehe auch Bootloader Bootprozess 19 Definition 19 Konfigurationsdatei etc lilo conf 20 Rolle im Bootprozess 2 Runlevel ndern mit 22 zus tzliche Ressourcen 22 hilfreiche Websites 22 installierte Dokumentationen 22 lilo conf 20 Siehe auch LILO Listen Apache Konfigurationsanweisung 136 LoadModule Apache Konfigurationsanweisung 137 Location Apache Konfigurationsanweisung 147 LogFormat Apache Konfigurationsanweisung 142 LogLevel Apache Konfigurationsanweisung 142 Mail Delivery Agent Siehe E Mail Mail Transfer Agent Siehe E Mail Mail User Agent Siehe E Mail Master Boot Record Siehe MBR Siehe MBR Master Nameserver Siehe BIND Maus verwenden viii MaxClients Apache Konfigurationsanweisung 136 MaxKeepAliveRequests Apache Konfigurationsanweisung 135 MaxRequestsPerChild Apache Konfigurationsanweisung 136 MaxSpareServers Apache Konfigurationsanweisung 135 MBR Definition 1 1 300 Siehe auch Bootloader MDA Siehe Mail Delivery Agent metacity 86 Siehe auch XFree86 MinSpareServers Apache Konfigurationsanweisung 135 Module Siehe Kernelmodule Siehe Kernelmodule Apache Eigene 151 laden 151 standard 150 Modulparameter Siehe Kernelmodule MTA Siehe Mail Transfer Agent MUA Sieh
222. der Online Quellen bei Ihrer Suche zu Rate ziehen wollen Es gibt drei verschiedene Kategorien von Red Hat Linux Benutzern Und jede dieser Kategorien be n tigt eine andere Dokumentation und Informationsquelle Um genauer beurteilen zu k nnen welche f r Sie die geeigneteste ist sollten Sie sich klar dar ber werden wie umfangreich Ihre Vorkenntnisse sind Linux Einsteiger Dieser Benutzertyp hat bislang noch kein Linux oder Linux hnliches Betriebssystem ver wendet oder verf gt ber nur geringe Kenntnisse in Linux M glicherweise sind bereits gewis se Kenntnisse im Umgang mit anderen Betriebssystemen vorhanden beispielsweise Windows Trifft dies auf Sie zu Falls ja sollten Sie sich Abschnitt 2 1 durchlesen Bereits einige Erfahrungen mit Linux Dieser Benutzertyp hat Linux aber nicht Red Hat Linux zuvor bereits erfolgreich installiert und verwendet Er verf gt unter Umst nden auch ber vergleichbare Erfahrungen mit anderen Betriebssystemen die Linux hneln Trifft das auf Sie zu Falls ja sollten Sie sich Abschnitt 2 2 durchlesen Alter Hase Dieser Benutzertyp hat Red Hat Linux bereits zuvor erfolgreich installiert und verwendet Sind Sie ein alter Hase in Sachen Linux Falls ja sollten Sie sich Abschnitt 2 3 durchlesen Einf hrung iii 2 1 Dokumentation f r Linux Einsteiger Ein Linux Einsteiger k nnte von den vielen Informationen die ber jedes Argument wie z B Drucken und Starten zur Verf gung stehe
223. der Prozessor am Ende des Systemspeichers nach dem Basic Input Output System oder BIOS Programm und f hrt es aus Das BIOS steuert nicht nur den ersten Schritt des Bootprozesses sondern stellt auch die Schnittstelle der untersten Ebene zu den Peripherieger ten dar Daher ist es im schreibgesch tzten permanenten Speicher abgelegt und st ndig einsatzbereit Andere Plattformen verwenden verschiedene Programme um Aufgaben der niedrigen Ebene durchzu f hren die denen des BIOS auf einem x86 System stark hneln Itanium basierte Computer zum Bei spiel verwenden die Extensible Firmware Interface EFI Shell w hrend Alpha Systeme die SRM Konsole verwenden 2 Kapitel 1 Boot Init und Shutdown Nach dem Start pr ft das BIOS das System sucht und pr ft Peripherieger te und sucht dann nach einem g ltigen Ger t zum Starten des Systems Normalerweise pr ft es zuerst die Disketten und CD ROM Laufwerke auf startf hige Medien und sucht dann auf den Festplatten des Systems Die Reihenfolge der zum Booten durchsuchten Laufwerke wird oft durch eine Einstellung auf dem BIOS gesteuert H ufig ist die erste zum Booten festgelegte Festplatte das Laufwerk C oder das Master IDE Ger t auf dem prim ren IDE Bus Das BIOS l dt das Programm das im ersten Sektor dieses Ger ts gespeichert ist und Master Boot Record oder MBR genannt wird in den Speicher Der MBR ist nur 512 Bytes gro und enth lt vom Rechner lesbare Anweisungen zum Booten des Rechners zu
224. der Webseite die den Client Host zum Web Server verwiesen hat 3 User Agent i User Agent Listet den Typ des anfragenden Web Browsers 10 5 41 CustomLog CustomLog identifiziert die Log Datei und das Format der Log Datei Standardm ig werden die Log Meldungen nach var log httpd access_log geschrieben Das Standardformat von CustomLog ist combined Folgend ist das combined Format gezeigt remotehost rfc931l user date request status bytes referrer user agent 10 5 42 serverSignature Die Anweisung ServerSignature fiigt in alle vom Server erstellten Dokumente eine Zeile ein die die Apache Serverversion und den ServerName des Rechners enth lt auf dem der Server ausge f hrt wird z B Fehlermeldungen die an Clients zur ckgesendet werden ServerSignature ist standardm ig auf on eingestellt Sie k nnen die Einstellung auf off setzen so wird keine Signaturzeile eingef gt oder auf EMail ndern EMail f gt ein HTML Tag mailto ServerAdmin in die Signaturzeile 10 5 43 Alias Mit der Einstellung Alias k nnen Verzeichnisse au erhalb des Verzeichnisses Document Root lie gen und der Web Server kann doch darauf zugegreifen Jede URL die mit dem Alias endet verzweigt automatisch zum Aliaspfad Als Standard Einstellung ist bereits ein Alias eingerichtet Auf das Ver zeichnis icons kann vom Web Server zugegriffen werden dieses liegt jedoch nicht im Documen tRoot 10 5 44 ScriptAlias Die Einstellung Script
225. der die Dienste gestartet oder beendet werden indem Sie die Nummerierung Kapitel 1 Boot Init und Shutdown 7 ndern Je kleiner die Nummer desto fr her wird gestartet Die symbolischen Links mit derselben Nummer werden in alphabetischer Reihenfolge gestartet i Anmerkung Als eine der letzten Aktionen f hrt das Programm init alle Skripte aus die sich in etc rc d rc local befinden Diese Datei ist n tzlich f r das Anpassen des Systems F r mehr zur Verwendung von rc local lesen Sie Abschnitt 1 3 Nachdem der Befehl init das entsprechende rc Verzeichnis fiir das Runlevel verarbeitet hat sucht das Skript etc inittab einen sbin getty Prozess fiir jede virtuelle Konsole Anmeldebild schirme die dem Runlevel zugewiesen ist Runlevel 2 bis 5 rufen alle sechs virtuellen Konsolen auf w hrend Runlevel 1 Einzelbenutzermodus nur eine aufruft und Runlevel 0 und 6 gar keine Der sbin mingetty Prozess ffnet Kommunikationswege zu tty Ger ten legt die Modi fest druckt den Anmeldebildschirm ruft den Benutzernamen ab und initiiert den Anmeldeprozess f r den Benut zer Auf Runlevel 5 f hrt etc inittab das Skript etc X11 prefdm aus Das prefdm Skript f hrt den gew nschten X Desktop Manager aus gdm kdm oder xdm je nach Inhalt der Datei etc sysconfig desktop Zu diesem Zeitpunkt ist das System im Runlevel 5 und zeigt den Anmeldebildschirm an 1 3 Ausf hren von zus tzlichen Programmen zum Zeitpunkt des Bootens Das
226. dere Architekturen Ist der Red Hat Linux Kernel erst einmal geladen und bergibt den Bootprozess zum init Befehl erfolgt die selbe Abfolge von Events auf jeder Architektur Der Hauptunterschied zwischen den Boot prozessen der verschiedenen Architekturen liegt deshalb in der Applikation welche zum Finden und Laden des Kernel verwendet wird Die Alpha Architektur zum Beispiel verwendet den aboot Bootloader w hrend die Itanium Architektur den ELILO Bootloader verwendet Lesen Sie das f r die jeweilige Plattform spezifische Red Hat Linux Installationshandbuch f r Infor mationen zum Konfigurieren der Bootloader 2 Detaillierte Informationen zum Erstellen von initrd sehen Sie das Kapitel Das ext3 Dateisystem im Red Hat Linux Handbuch benutzerdefinierter Konfiguration 4 Kapitel 1 Boot Init und Shutdown 1 2 3 Der Kernel Wenn der Kernel l dt initialisiert und konfiguriert er sofort den Arbeitsspeicher des Computers An schlieBend wird die an das System angeschlossene Hardware konfiguriert einschlieBlich aller Pro zessoren und E A Subsysteme sowie alle Speicherger te Dann sucht er nach dem komprimierten init rd Image an einem bestimmten Speicherort im Speicher dekomprimiert es mountet es und l dt alle notwendigen Treiber Danach initialisiert er die mit dem Dateisystem verbundenen virtuellen Ge r te wie LVM oder Software RAID bevor das initrd Disk Image dekomprimiert und der gesamte Speicher freigesetzt wird der belegt w
227. dgruppen finden Sie in Abschnitt 6 3 Benutzer c sync operator games bi a p ft rp n nscd m 13 2 named 2 amana s 2 sshd nsinobody 65534_ 65534 3 mp E cann 3 fein EEE demon e fam 0 s me E E onl e 15 1 s news e up Li 1 1 1 nobody In om 37 ar vaste oe i 9 1 2 4 7 8 8 5 3 in dm i o i o m p a Ic 2 6 Benutzer Verzeichnis 0 bin bash sbin nologin cD o fee jo 2 sbin nologin sbin nologin sbin nologin bin sync bin shutdown Rue 12 var spool mail sbin nologin sbin nologin sbin nologin sbin nologin 30 usr lib gopher data sbin nologin s bin nologin sbin nologin bin bash dev var lib canna var spool postfix var named sbin nologin sbin nologin sbin nologin bin false sbin nologin bin true bin false bin bash bin bash sbin nologin sbin nologin sbin nologin Kapitel 6 Benutzer und Gruppen 81 Benutzer Verzeichnis Shell xs e jes webalizer fo 67 var wmw ntmi usage sbin nologin fideo fs enin noiogin privoxry fio fion eterprivory f i pewa s 5 emmae tx fae 17 var sspooistax sbin notogin Tabelle 6 1 Standardbenutzer 24 48 43 80 42 27 67 41 47 51 23 55 34 77 75 78 9 24 48 43 80 42 27 67 41 47 51 23 55 34 77 75 78 9 6 3 Standardgruppen
228. die Auflistung des Prozess Verzeichnisses dieses Prozesses 5 3 2 proc bus Dieses Verzeichnis enth lt spezifische Informationen zu den verschiedenen Bussystemen die auf ei nem System verf gbar sind Zum Beispiel finden Sie auf einem Standard PC mit ISA PCI und USB Bus aktuelle Daten zu jedem dieser Bussysteme im Verzeichnis proc bus Der Inhalt der Unterverzeichnisse und Dateien h ngt sehr von der genauen Konfiguration Ihres Sy stems ab Allerdings enth lt jedes Verzeichnis f r jedes der Bustypen mindestens ein Verzeichnis f r jeden Bus eines Typen Diese individuellen Bus Verzeichnisse normalerweise mit Zahlen wie 00 anzusprechen enthalten bin re Dateien die sich auf die verschiedenen Ger te auf dem Bus beziehen So hat ein System mit einem USB Bus aber ohne angeschlossene USB Ger te ein proc bus usb Verzeichnis mit verschiedenen Dateien total 0 dr xr xr x 1 root root 0 May 3 16 25 001 SEETLSRErE 1 root root 0 May 3 16 25 devices E AE a 1 root root 0 May 3 16 25 drivers Das Verzeichnis proc bus usb enth lt Dateien die zu Ger ten an den USB Bussen geh ren genauso wie die Treiber die gebraucht werden um die Ger te zu benutzen Das Verzeichnis proc bus usb 001 enth lt alle Ger te am ersten USB Bus Wenn Sie sich den Inhalt der Datei devices ansehen k nnen Sie sehen dass es sich um das USB root Hub auf dem Mainboard handelt Bus 01 Lev 00 Prnt 00 Port 00 Cnt 00 Dev 1 Spd 12 MxCh 2 Alloc 0 900 us 0
229. die f r bestimmte Anwendungen gedacht sind Gruppen sind der logische Ausdruck einer Zusammenfassung von Benutzern zu einem bestimmten Zweck Alle Benutzer in der selben Gruppe k nnen Dateien dieser Gruppe Lesen Schreiben und Ausf hren Jeder Benutzer und jede Gruppe hat eine eindeutige numerische Identifikationsnummer Benutzer ID UID und Gruppen ID GID genannt Jeder Datei wird bei ihrer Erstellung ein Benutzer oder eine Gruppe zugewiesen Dar ber hinaus wer den dem Dateibesitzer der Gruppe und allen anderen getrennte Berechtigungen zum Lesen Schreiben und Ausf hren zugewiesen Die Benutzer und Gruppen einer bestimmten Datei sowie die Zugriffsbe rechtigungen f r diese Datei k nnen durch den root ge ndert werden oder in den meisten F llen vom Ersteller der Datei Eine gute Verwaltung von Benutzern und Gruppen sowie eine effektive Verwaltung der Dateiberech tigungen geh ren zu den wichtigsten Aufgaben eines System Administrators F r einen detaillierten berblick der Strategien zum Management von Benutzern und Gruppen sehen Sie das Kapitel Ma naging Accounts and Group im Red Hat Linux System Administration Primer 6 1 Tools zum Management von Benutzern und Gruppen Die Verwaltung von Benutzern und Gruppen kann sehr langwierig sein Red Hat Linux liefert aller dings ein paar Tools und Konventionen die dem Systemadministratoren diese Aufgabe erleichtern sollen Der einfachste Weg Benutzer und Gruppen zu verwalten ist
230. die lokalen und Site Passw rter nicht kennt Dies bedeutet dass selbst wenn eine unbefugte Person root Zugriff zum System bekommt wird es ihr nicht gelingen die Tripwire Dateien so zu ndern dass sie nicht mehr gefunden werden Nachdem sie verschl sselt und unterzeichnet wurden sollten die Konfigurations und Policy Dateien die anhand der Durchf hrung des twinstall sh Skript generiert wurde nicht mehr umbenannt oder verschoben werden 19 4 Initialisieren der Tripwire Datenbank Bei der Initialisierung der Datenbank erstellt Tripwire eine Sammlung von Dateisystemobjekten die auf den Regeln in der Policy Datei beruhen Diese Datenbank dient als Basis f r Integrit tspr fungen Initialsisieren Sie die Tripwire Datenbank mit folgendem Befehl usr sbin tripwire init Die Ausf hrung dieses Befehls kann einige Minuten dauern Wurden diese Schritte erfolgreich durchgef hrt hat Tripwire einen Basis berblick Ihres Dateisy stems der zur Pr fung von nderungen in kritischen Dateien notwendig ist Nach Initialisierung der Tripwire Datenbank sollten Sie eine erste Integrit tspr fung durchf hren Diese Pr fung sollte erfol gen bevor der Computer an das Netzwerk angeschlossen wird und zu Arbeiten anf ngt Anweisungen dazu finden Sie unter Abschnitt 19 5 Nachdem Tripwire zu Ihrer Zufriedenheit konfiguriert wurde kann der Rechner mit seiner Arbeit beginnen 19 5 Ausf hren einer Integrit tspr fung Standardm ig f gt Tr
231. diese Datei nicht manuell ndern Es ist am einfachsten solche Regeln mit Sicherheitslevel Konfigurationstool redhat config securitylevel dem Befehl usr sbin lokkit oder der GNOME Lokkit Applikation hinzuzuf gen Kapitel 4 Das Verzeichnis sysconfig 37 Sobald diese Datei vorhanden ist bleiben alle hier gespeicherten Firewall Regeln durch einen Sy stemneustart bestehen 4 1 17 etc sysconfig irda Die Datei etc sysconfig irda steuert die Konfiguration der Infrarot Ger te auf Ihrem System beim Starten Folgende Werte k nnen verwendet werden IRDA lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes irattach wird ausgef hrt wodurch regelm ig berpr ft wird ob irgendeine Kompo nente versucht eine Verbindung zum Infrarot Port herzustellen z B ein Notebook das versucht eine Netzwerkverbindung herzustellen Damit Infrarot Ger te auf Ihrem System laufen k nnen muss diese Zeile auf yes eingestellt sein no irattach wird nicht ausgef hrt wodurch keine Verbindung zu Infrarot Ger ten besteht DEVICE lt Wert gt wobei lt Wert gt das Ger t ist normalerweise ein serieller Port ber das die Infrarot Verbindungen abgewickelt werden DONGLE lt Wert gt wobei lt wWert gt die Art Dongle angibt die f r die Infrarot Kommunikation ver wendet wird Diese Einstellung ist fiir die Benutzer wichtig die serielle Dongles statt eigentlicher Infrarot Ports verwenden Ein Do
232. diese beiden Treiber benutzt werden Die Dateien in diesen beiden Unterverzeichnissen beinhalten typischerweise I O Adressbereiche IRQ Informationen und Statistiken f r den SCSI Controller der den Treiber benutzt Jeder Controller liefert Informationen in verschiedener Gr e und Art Der Adaptec AIC 7880 Ultra SCSI Hostadapter in unserem Beispiel gibt folgende Ausgabe Kapitel 5 Das proc Dateisystem 67 Adaptec AIC7xxx driver version 5 1 20 3 2 4 Compile Options TCQ Enabled By Default Disabled AIC7XXX_PROC_STATS Enabled AIC7XXX_RESET_DELAY 5 Adapter Configuration SCSI Adapter Adaptec AIC 7880 Ultra SCSI host adapter Ultra Narrow Controller PCI MMAPed I O Base Oxfcffe000 Adapter SEEPROM Config SEEPROM found and used Adaptec SCSI BIOS Enabled IRQ 30 SCBs Active 0 Max Active 1 Allocated 15 HW 16 Page 255 Interrupts 33726 BIOS Control Word 0x18a6 Adapter Control Word OxlcSf Extended Translation Enabled Disconnect Enable Flags 0x00ff Ultra Enable Flags 0x0020 Tag Queue Enable Flags 0x0000 Ordered Queue Tag Flags 0x0000 Default Tag Queue Depth 8 Tagged Queue By Device array for aic7xxx host instance 1 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 Actual queue depth per device for aic7xxx host instance 1 CL My Lgl 2171721315173 255 Statistics scsil 0 5 0 Device using Narrow Sync transfers at 20 0 MByte sec offset 15 Transinfo settings current 12 15 0 0 goal 12 15
233. e triebssysteme werden mit Hilfe der Bootmethode Verkettetes Laden geladen Bei dieser Methode ver weist der MBR einfach auf den ersten Sektor der Partition auf der das Betriebssystem installiert ist Dort befinden sich die f r das Starten des Betriebssystems erforderlichen Dateien GRUB unterst tzt sowohl das direkte als auch das verkettete Laden wodurch fast alle Betriebssysteme gestartet werden k nnen A Warnung W hrend der Installation berschreiben DOS und Windows von Microsoft den MBR komplett und l schen somit alle vorhandenen Bootloader Wird ein duales Bootsystem erstellt wird empfohlen das Betriebssystem von Microsoft zuerst zu installieren Die entsprechenden Anweisungen hierzu finden Sie im Anhang Installing Red Hat Linux in a Dual Boot Environment im Red Hat Linux Installations handbuch 2 2 2 Funktionen von GRUB GRUB enth lt zahlreiche Funktionen die im Vergleich zu anderen f r die x86 Architektur verf gba ren Bootloadern vorteilhaft sind Nachfolgend ist eine Liste mit den wichtigsten Funktionen angef hrt GRUB liefert auf x86 Rechnern eine echte befehlsbasierte Umgebung f r die Phase vor dem Laden des Betriebssystems Dies verleiht dem Benutzer maximale Flexibilit t beim Laden der Betrieb ssysteme mit bestimmten Optionen bzw beim Sammeln von Informationen ber das System Viele nicht x86 Architekturen verwenden seit Jahren pr OS Umgebungen die die Steuerung des Boot prozesses des Systems von einer
234. e htaccess Dateien bzw andere Dateien die mit ht be ginnen 10 5 33 CacheNegotiatedDocs Standardm ig fordert Ihr Web Server Proxyserver auf keine Dokumente im Cache zu halten die auf der Grundlage des Inhalts bertragen wurden d h sie k nnen nach einer gewissen Zeit oder aufgrund der Eingabe des Anforderers ge ndert werden Wenn Sie CacheNegot iatedDocs auf on setzen wird diese Funktion deaktiviert und Proxyserver k nnen Dokumente im Cache halten 10 5 34 TypesConfig TypesConfig gibt die Datei an die die Standardliste der MIME Type Zuordnungen definiert Datein amenerweiterungen f r Inhaltstypen Die Standarddatei f r TypesConfig ist etc mime types Es wird empfohlen zum Hinzuf gen von MIME Type Zuordnungen die Datei etc mime types nicht zu editieren sondern die Anweisung AddType zu verwenden Weitere Informationen ber AddType finden Sie in Abschnitt 10 5 58 10 5 35 DefaultType DefaultType definiert einen Default Content Type den der Web Server f r Dokumente verwendet deren MIME Types nicht bestimmt werden k nnen Die Standardeinstellung ist text plain 10 5 36 I Module lt IfModule gt und lt I fModule gt Tags umschlie en Anweisungen die Bedingungen enthalten Die in den IfModule Tags enthaltenen Anweisungen werden verarbeitet wenn eine der zwei folgenden Bedingungen erf llt ist Die Anweisungen werden verarbeitet wenn das im ersten lt I fModule gt Tag enthaltene Modul in den Apache Se
235. e 2 0 Konfiguration diesen Abschnitt aus der Stock Red Hat Linux Apache HTTP Server 2 0 Konfigurationsdatei zu kopieren Diejenigen die diesen Abschnitt nicht kopieren wollen sollten Folgendes beachten Die AddModule und ClearModuleList Anweisungen gibt es nicht l nger Diese Anweisungen wurden verwendet um sicherzustellen dass Module in der richtigen Reihenfolge aktiviert wur den Die Apache HTTP Server 2 0 API erlaubt Modulen die Reihenfolge zu bestimmen was diese beiden Anweisungen berfl ssig macht Die Reihenfolge der LoadModule Zeilen ist nicht mehr von Bedeutung Kapitel 10 Apache 125 e Viele Module wurden hinzugef gt entfernt umbenannt aufgeteilt oder zusammengefasst LoadModule Zeilen f r Module die in ihren eigenen RPMs mod_ssl php mod_perl und hnliche verpackt sind sind nicht mehr notwendig da sie sich in der entsprechenden Datei im etc httpd conf d Verzeichnis befinden Die verschiedenen HAVE_XXX Definitionen werden nicht mehr festgelegt BB wicntic Sollten Sie versuchen Ihre Originaldatei zu ndern beachten Sie bitte dass es u erst wichtig ist dass Ihre httpd conf folgende Anweisung enth lt Include conf d conf Das Weglassen dieser Anweisung hat zur Folge dass alle Module scheitern die in ihren eigenen RPMs wie mod_perl php und mod_ss1 verpackt sind 10 2 1 4 Sonstige Anderungen der globalen Umgebung Folgende Anweisungen wurden aus der Apache HTTP Server 2 0 Konfi
236. e A 4 Konfigurationsbeispiele fiir SCSI Parameter Anhang A Allgemeine Parameter und Module 287 A 4 Ethernet Parameter BB wicntic Die meisten modernen Ethernet basierten Netzwerk Schnittstellen Karten NICs erfordern keine Modul Parameter um Einstellungen zu ndern Diese k nnen Anstelle mit ethtool oder mii tool konfiguriert werden Nur wenn der Versuch mit diesen Tools fehlschl gt sollten Modul Parameter angepasst werden Zu Information ber die Verwendung dieser Tools sehen Sie die man Seiten von ethtool und mii tool Hardware Modul Parameter FEN ee 3Com 3c503 und 3c503 16 3c503 0 3c503 1 0_Port IRO ODER 3c503 io I O_Port_1 I O_Port_N irg IRQ_1 IRO_N 3Com EtherLink Plus 3c505 0 3c505 1 0_Port IRQ ODER 3c505 36505 io I O_Port_1 I O_Port_N irq IRQ_1 IRQ_2 3Com EtherLink 16 3c507 0 3c507 I O_Port IRQ ODER 3c507 io I O_Port irg IRO 3Com EtherLink M 3c509 I O_Port IRQ 3Com ISA EtherLink XL 3c515 0 Corkscrew 3Com EtherLink PCI 3c59x 0 full_duplex IIVXL Vortex 3c590 0 ist ausgeschaltet 3c592 36595 36597 1 ist eingeschaltet Boomerang 3c900 3c905 3c595 RTL8139 SMC EZ Card 8139t00 0 Fast Ethernet RealTek Karten mit 8139t00 0 RTL8129 oder RTL8139 Fast Ethernet Chips tzen Apricot 82596 Ansel Communications ac3200 0 ac3200 1 0_Port IRQ ODER ac3200 Model 3200 io I O_Port_1 I O_Port_N irg IRQ_1 IRO_N Alteon AceNIC Gigabit acenico Aironet Arlan 65 ariano J Allied Te
237. e Anweisungen und Resource Records schwer zu verstehen sein Sind beide in einer gemeinsamen Datei plaziert wird es einfacher Im n chsten Beispiel ist eine sehr einfache Zone Datei abgebildet SORIGIN example com TTL 86400 IN SOA dnsl example com hostmaster example com 2001062501 serial 21600 vefresh after 6 hours 3600 retry after 1 hour Kapitel 12 Berkeley Internet Name Domain BIND 189 604800 expire after 1 week 86400 minimum TTL of 1 day IN NS dnsl example com IN NS dns2 example com IN MX 10 mail example com IN MX 20 mail2 example com IN A 10 015 server1 IN A 10 0 1 5 server2 IN A 10 0 1 7 dns1 IN A 10 0 1 2 dns2 IN A 10 0 1 3 ftp IN CNAME serverl mail IN CNAME serverl mail2 IN CNAME server2 www IN CNAME server2 In diesem Beispiel werden Standard Anweisungen und SOA Werte verwendet Die ma geblichen Name Server sind dabei als dns1 example com und dns2 example com eingestellt die ber A Records verf gen wodurch sie mit 10 0 1 2 bzw 10 0 1 3 verbunden sind Die mit Mx Records konfigurierten E Mail Server verweisen auf server1 und server2 ber CNAME Records Da die server1 und server2 Namen nicht mit einem Punkt enden wird die SORIGIN Domain nach ihnen abgelegt wobei sie zu server1 domain com und server2 domain com er weitert werden Mit den dazugeh rigen A Resource Records k nnen dann ihre IP Adressen bestimmt werden Die beliebten FTP und Web Dienste die unter den standardm
238. e ID kudzu findet und konfiguriert neue bzw ge nderte Hardware Komponenten Die Datei etc sysconfig hwconfigist nicht dazu gedacht manuell bearbeitet zu werden Wenn Sie sie dennoch bearbeiten k nnte es passieren dass manche Ger te pl tzlich als hinzugef gt oder entfernt angezeigt werden 4 1 12 etc sysconfig il8n Mit der Datei etc sysconfig il8n wird die Standardsprache jede unterst tzte Sprache und der Default System Font eingestellt Zum Beispiel LANG en_US UTF 8 SUPPORTED en_US UTF 8 en_US en SYSFONT latarcyrheb sunl16 4 1 13 etc sysconfig identd Mit der Datei etc sysconfig identd werden zum Zeitpunkt des Bootens Argumente an den identd Daemon bertragen Der identd Daemon leitet den Benutzernamen von Prozessen mit of fenen TCP IP Verbindungen zur ck Einige Netzwerk Services wie z B FTP und IRC Server wer den Fehlermeldungen geben und langsamer arbeiten wenn identd nicht l uft Im Allgemeinen ist identd jedoch kein unbedingt erforderlicher Service Wenn die Sicherheit auf dem Spiel steht soll ten Sie diesen Befehl nicht ausf hren Weitere Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf den man Seiten von identd Standardm ig enth lt diese Datei keine Parameter 4 1 14 etc sysconfig init In der Datei etc sysconfig init wird die Art der Bildschirmdarstellung und deren Funktionali t t w hrend des Bootprozesses gesteuert Folgende Werte k nnen ve
239. e Mail User Agent mwm 86 Siehe auch XFree86 N named Daemon Siehe BIND named conf Siehe BIND Nameserver Siehe BIND NameVirtualHost Apache Konfigurationsanweisung 149 netfilter Siehe iptables Network File System Siehe NFS Netzwerk Befehle sbin ifdown 108 sbin ifup 108 sbin service network 108 Funktionen 109 Konfiguration 104 Schnittstellen 104 Alias 107 Clone 107 Dialup 105 Ethernet 104 Skripts 103 Zus tzliche Ressourcen 110 NFS Client etc fstab 116 autofs 116 Konfiguration 116 Mount Optionen 117 Einf hrung 111 Methodologie 111 portmap 112 Server Konfigurationsdateien 113 Sicherheit 118 Dateiberechtigungen 119 Host Zugriff 118 zus tzliche Ressourcen 119 installierte Dokumentation 119 zus tzliche Literatur 120 NIC Module Siehe Kernelmodule ntsysv 9 Siehe auch Services 0 Objekte dynamisch gemeinsam verwendet Siehe DSOs OpenLDAP Siehe LDAP OpenSSH 255 Siehe auch SSH Konfigurationsdateien 259 Options Apache Konfigurationsanweisung 139 Order Apache Konfigurationsanweisung 140 P Paket Filterung Siehe iptables PAM Beispiele f r Konfigurationsdateien 214 Definition von 211 Kerberos und 251 Konfigurationsdateien 211 Modul Pfade 213 Module 212 Argumente 214 Erstellen 216 Komponenten 212 Schnittstellen 212 stapeln 212 stapeln gt 214 pam_console Definition von 217 Servicedateien 211 Shadow Passw rter
240. e Procmail funktioniert und wie neue Recipes erstellt werden sind die man Seiten u erst hilfreich procmail berblick ber die Arbeitsweise von Procmail und die Schritte die zum Filtern von E Mails notwendig sind e procmailrc Erkl rt das Format der rc Datei mit der Recipes erstellt werden procmailex Bietet viele n tzliche Beispiele aus der Praxis der Procmail Recipes e procmailsc Erkl rt die Weight Scoring Technik die von Procmail verwendet wird um festzustellen ob ein bestimmtes Recipe mit einer bestimmten Nachricht bereinstimmt e usr share doc spamassassin lt version number gt Dieses Verzeichnis enth lt eine groe Anzahl an Informationen im Bezug zu SpamAssassin Ersetzen Sie lt version number gt mit der Versionsnummer des spamassassin Pakets 11 6 2 Hilfreiche Webseiten http www redhat com mirrors LDP HOWTO Mail Administrator HOWTO html Bietet einen berblick zur Funktionsweise von E Mails und pr ft m gliche E Mail L sungen und E Mail Konfigurationen der Clients und Server 176 Kapitel 11 E Mail http www redhat com mirrors LDP HOWTO Mail User HOWTO Betrachtet E Mails aus der Perspektive des Benutzers untersucht verschiedene bekannte E Mail Client Applikationen und bietet eine Einf hrung f r verschiedene Themen wie Alias Namen Weiterleiten Auto Reply Mailing Listen Mail Filter und Junkmail http www redhat com mirrors LDP HOWTO mini Secure POP SSH htm
241. e Server verwendet um festzustellen ob veraltete Daten der Zone verwendet werden die ak tualisiert werden sollten Die lt time to retry gt gibt den Zeitraum an nach dem eine neue Anfrage bez glich der Aktualisierung durchgef hrt werden soll wenn der Master Nameserver auf die letzte Anfrage nicht reagiert hat Wenn der Master Nameserver nicht geantwortet hat bevor die lt time to expire gt abl uft reagiert der Slave Nameserver nicht mehr auf Anfragen bez glich des Name spaces lt minimum TTL gt ist die Zeit die anderen Nameservern zum Verarbeiten der Zonen Informationen mindestens zur Verf gung steht in Sekunden In BIND werden alle Zeiten in Sekunden angegeben Sie k nnen jedoch auch Abk rzungen f r andere Zeiteinheiten verwenden wie z B Minuten M Stunden H Tage D und Wochen w In der Tabelle unter Tabelle 12 1 finden Sie Zeitr ume in Sekunden und die entsprechende Zeit in anderen Formaten 1800 3600 10800 21600 43200 86400 259200 604800 31536000 Tabelle 12 1 Sekunden im Vergleich zu anderen Zeiteinheiten Das folgende Beispiel zeigt Ihnen wie ein SOA Resource Record aussehen k nnte wenn es mit echten Werten konfiguriert ist IN SOA dnsl example com hostmaster example com 2001062501 serial 21600 refresh after 6 hours 3600 retry after 1 hour 604800 expire after 1 week 86400 minimum TTL of 1 day 12 3 3 Beispiele f r Zone Dateien Einzeln betrachtet k nnten di
242. e WVDIALSECT lt Name gt wobei lt Name gt dieser Schnittstelle in etc wvdial conf eine Anw hl Konfiguration zuweist die die anzuw hlende Telefonnummer und andere wichtige Informationen f r die Schnittstelle enth lt 8 2 3 Weitere Schnittstellen Weitere bliche Schnittstellen Konfigurationsdateien die diese Optionen verwenden sind die folgen den e ifcfg lo Ein lokale Loopback Schnittstelle wird oft zum Testen verwendet wie auch in Ap plikationen die eine zum System zur ckweisende IP Adresse ben tigen Jegliche Daten die zum Loopback Ger t gesendet werden werden augenblicklich zur Netzwerkschicht des Host zur ck gegeben A wamung Bearbeiten Sie niemals das Loopback Schnittstellenskript etc sysconfig network scripts ifcfg lo von Hand Andernfalls kann die richtige Funktionsweise des Systems beeintr chtigt werden e ifcfg irlan0 Eine Infrarot Schnittstelle sorgt daf r dass Informationen zwischen Ger ten wie Laptop und Drucker ber einen Infrarot Link flie en welcher hnlich arbeitet wie ein Ethernet Ger t mit dem Unterschied dass es normalerweise ber eine Peer to Peer Verbindung l uft e ifcfg plip0 Eine parallele Zeilenschnittstellen Protokoll PLIP Verbindung arbeitet auf hnliche Weise mit dem Unterschied dass sie eine parallelen Schnittstelle verwendet ifcfg tr0 Token Ring Topologien sind nicht mehr so verbreitet auf Local Area Networks LANs da sie durch Ethernet verdr ng
243. e Zahl ist der niedrigste Port und die zweite Zahl steht f r den h chsten benutzten Port Jedes System f r das erwartet wird dass es mehr als die Standard Ports 1024 bis 4999 ben tigt sollte die Werte 32768 bis 61000 verwenden e tcp_syn_retries Bietet eine Grenze daf r an wie oft Ihr System ein SYN Paket versucht zu bertragen wenn eine Verbindung versucht wird tcp_retriesi Stellt die Anzahl von zugelassenen Neu Ubertragungen ein wenn versucht wird einer eingehenden Verbindung zu antworten Standardwert ist hier 3 tcp_retries2 Stellt die Anzahl von erlaubten Neu Ubertragungen von TCP Paketen ein Stan dardwert ist 15 Die Datei usr src linux 2 4 Documentation networking ip sysctl txt enth lt eine komplette Liste der im Verzeichnis proc sys net ipv4 verfiigbaren Dateien und Optionen Eine Anzahl anderer Verzeichnisse in proc sys net ipv4 behandeln spezifische Inhalte Das Verzeichnis proc sys net ipv4 conf erlaubt jeder der Systemschnittstellen eine unterschied liche Konfiguration und l sst Standard Werte f r nicht konfigurierte Schnittstellen im Unterverzeich 74 Kapitel 5 Das proc Dateisystem nis proc sys net ipv4 conf default und Einstellungen die alle anderen Konfigurationen berschreiben im Verzeichnis proc sys net ipv4 conf all zu Um Verbindungen zwischen direkten Nachbarn hier jedes andere System das direkt an das System angeschlossen ist zu berwachen bietet das Verzeichnis
244. e Zone Dateien neu zu laden aber alle vorher verarbeit eten Antworten zu behalten Dadurch k nnen Sie Anderungen in den Zone Dateien durchf hren ohne dass die gespeicherten Aufl sungen von Namen verloren gehen Wenn sich Ihre nderungen nur auf eine bestimmte Zone auswirken k nnen Sie nur diese Zone zu laden Geben Sie hierzu nach dem reload Befehl den Namen der Zone ein e stats Schreibt die aktuellen named Statistiken in die Datei var named named stats stop Stoppt den Server vorsichtig und speichert dabei alle dynamischen Updates und die vorhandenen Incremental Zone Transfers IXFR Daten vor dem Beenden Gelegentlich werden Sie bestimmt auch die Standardeinstellungen in der etc rndc conf Datei bergehen wollen Hierzu stehen Ihnen folgende Optionen zur Verf gung e c lt configuration file gt Weist rndc an nicht die standardm ige etc rndc conf Datei sondern eine andere Konfigurationsdatei zu benutzen p lt port number gt Legt f r die rndc Verbindung eine andere als die standardm ige Port nummer 953 fest s lt server gt Weist rndc an Befehle an einen anderen Server zu schicken und nicht an den default server in der etc rndc conf Datei e y lt key name gt Erm glicht es Ihnen einen anderen als den default key in der etc rndc conf Datei einzustellen Zus tzliche Informationen zu diesen Optionen finden Sie auf der rndc man Seite 12 5 Erweiterte Funktionen von BIND
245. e an ein anderes System oder eine andere Port Nummer zu ver schieben Die Eigenschaft kann auch f r eine Kombination dieser Optionen verwendet werden Auf diese Weise kann ein Benutzer der sich f r einen bestimmten Dienst an einem System anmeldet ohne Unterbrechung umgeleitet werden Der xinetd Daemon kann diese Umleitung durch Erzeugen eines Prozesses ausf hren der w hrend der Verbindung des anfragenden Client Rechners mit dem Host Rechner der den eigentlichen Dienst liefert im Stay Alive Modus l uft und Daten zwischen den zwei Systemen austauscht Der eigentliche St rke der bind und redirect Optionen liegt in deren kombinierten Verwendung Durch Bindung eines Dienstes an eine bestimmte IP Adresse auf einem System und dem darauf folgenden Umleiten der Anfragen f r denselben Dienst an einen zweiten Rechner der nur f r den ersten Rechner sichtbar ist k nnen Sie ein internes System verwenden um Dienste f r vollkommen unterschiedliche Netzwerke zur Verf gung zu stellen Ansonsten k nnen diese Optionen verwendet werden um die Zeit zu begrenzen w hrend derer ein Dienst auf einem Multihomed Rechner einer bekannten IP Adresse ausgesetzt ist sowie jegliche Anfragen f r diesen Dienst an einen anderen Rechner weiterzuleiten der eigens f r diesen Zweck konfiguriert ist Nehmen wir zum Beispiel ein System das als Firewall mit diesen Einstellungen f r seine Telnet Dienste verwendet wird service telnet socket_type stream
246. ebung oder wenn m glich nur ei nes einfachen Window Managers Das Skript xclients des Home Verzeichnisses startet die vom Benutzer angegebene Desktop Umgebung oder den Window Manager in der Datei xclients default Wenn xclients nicht im Home Verzeichnis vorhanden ist versucht das Standardskript etc X11 init Xclients eine andere Desktop Umgebung zu starten und verwendet hierzu zu n chst GNOME dann KDE und anschlie end twm Wenn der Benutzer sich aus X abmeldet wird dieser sich wieder im Textmodus des Runlevel 3 befin den 7 5 2 Runlevel 5 Wenn das System in den Runlevel 5 bootet wird eine spezielle X Client Applikation Display Ma nager genannt gestartet Ein Benutzer muss sich gegen den Display Manager authentifizieren bevor Desktop Umgebungen oder Window Manager gestartet werden 98 Kapitel 7 Das X Window System Je nach den auf Ihrem System installierten Desktop Umgebungen stehen drei verschiedene Display Manager fiir die Benutzer Authentifizierung zur Verfiigung gdm Der in Red Hat Linux standardm ig ausgew hlte Display Manager gdm erlaubt dem Be nutzer Spracheinstellungen zu ndern den Computer herunterzufahren neu zu starten oder sich im System anzumelden kdm Der KDE Display Manager erlaubt dem Benutzer den Computer herunterzufahren neu zu starten oder sich im System anzumelden xdm Ein sehr einfacher Display Manager welcher es dem Benutzer lediglich erlaubt sich im System anzumelde
247. ecords Folgende werden am h ufigsten verwendet A Adressen Record das einem Namen eine IP Adresse zuweist Beispiel lt host gt IN A lt IP address gt Wenn der lt host gt Wert nicht angegeben wird verweist ein A Record auf eine standardm ige IP Adresse fiir den oberen Teil des Namespaces Dieses System gilt fiir alle nicht FQDN Anfragen Beachten Sie das folgende A Record Beispiel f r die example com Zone Datei IN A 10 0 1 3 serverl IN A 10 015 Anfragen f r example com richten sich an 10 0 1 3 w hrend Anfragen fiir server1 example comsich an 10 0 1 5 richten CNAME Name Record welcher Namen untereinander zuordnet Dieser Typ ist auch als Alias bekannt Im n chsten Beispiel wird named angewiesen dass alle Anfragen die an den lt alias name gt gesendet werden auf den Host lt real name gt zeigen CNAME Records werden am h ufigsten verwendet um auf Dienste zu verweisen die ein allgemeines Namensschema f r den korrekten Host wie www f r Web Server verwenden lt alias name gt IN CNAME lt real name gt Betrachten Sie das folgende Beispiel In dieser Einrichtung bindet der A Record einen Hostnamen an eine IP Adresse w hrend ein CNAME Record den allgemein verwendeten Hostnamen www zu weist serverl IN A 10 0 1 5 Kapitel 12 Berkeley Internet Name Domain BIND 187 www IN CNAME serverl e MX Mail eXchange Record das angibt welchen Weg eine Mail nimmt die an ein bestimmtes Namespace
248. ed normale Mitteilungen im syslog Daemon der diese in var log messages platziert Dies geschieht weil sich verschiedene standardm ige Channel mit unterschiedlicher Wichtigkeit im BIND befinden Zum Beispiel verarbeitet ein Channel die Protokoll Mitteilungen default_syslog und ein anderer speziell Debugging Mitteilungen default_debug Die standardm ige Kategorie default verwendet zum normalen Protokollieren ohne spezielle Konfigurationen integrierte Channel Den Protokollierungsprozess individuell anzupassen kann sehr aufwendig sein und bersteigt den Umfang dieses Kapitels Informationen ber die Erstellung von benutzerdefinierten BIND Protokollen finden Sie im BIND 9 Administrator Reference Manual in Abschnitt 12 7 1 e server Definiert bestimmte Optionen die Auswirkungen darauf haben wie named sich gegen ber Remote Name Servern verhalten soll insbesondere im Hinblick auf Benachrichtigungen und Zone bertragungen Kapitel 12 Berkeley Internet Name Domain BIND 185 Die Option transfer format kontrolliert ob mit jeder Mitteilung ein Resource Record one answer oder mehrere Ressource Records mit jeder Meldung gesendet werden many answers Da many answers leistungsf higer ist wird es nur von neueren Name Servern angenommen trusted keys Enth lt verschiedene ffentliche Schl ssel f r die Verwendung mit Secure DNS DNSSEC Unter Abschnitt 12 5 3 finden Sie eine Einf hrung in die BIND Sicherheit e view
249. ede dieser Werte definiert eine andere Regel zum Verarbeiten von Fehlermeldungen Der erste Wert Konsolen Loglevel genannt definiert die niedrigste Priorit t von Mitteilungen die auf die 72 Kapitel 5 Das proc Dateisystem Konsole ausgegeben werden je niedriger die Priorit t desto h her die Loglevel Nummer Der zweite Wert setzt den Standart Loglevel f r Mitteilungen welche keinen Loglevel gesetzt haben Der dritte Wert setzt den niedrigsten Loglevel Konfigurationswert f r den Konsolen Loglevel Der letzte Wert setzt den Standardwert f r den Konsolen Loglevel e rtsig max Konfiguriert die maximale Anzahl an POSIX Echtzeitsignalen die das System gespeichert haben kann Der Standardwert ist 1024 e xtsig nr Die aktuelle Anzahl von POSIX Echzeitsignalen die zur Zeit vom Kernel zwis chengespeichert werden e sem Diese Datei konfiguriert die Semaphore Einstellungen im Kernel Eine semaphore ist ein System V IPC Objekt das benutzt wird um den Einsatz eines bestimmten Prozesses zu berwachen e shmall Zeigt den Gesamtwert des gemeinsam verwendeten Speichers in Bytes an der gle ichzeitig im System benutzt werden kann Dieser Wert ist normalerweise 2097152 e shmmax Stellt die gr te Speichersegmentgr e in Bytes ein die vom Kernel erlaubt wird Dieser Wert ist normalerweise 33554432 Der Kernel unterst tzt allerdings viel gr ere Werte shmmni Stellt die maximale Anzahl von gemeisam genutzten S
250. ede zwischen ipchains und iptables achten bevor sie versuchen iptables zu benutzen Kapitel 16 iptables 237 Mit iptables wird jedes gefilterte Paket nur durch Anwendung der Regeln einer einzigen Chain und nicht mit denen mehrerer Chains verarbeitet Beispiel Ein FORWARD Paket das ein System betritt w rde mit ipchains den INPUT FORWARD und OUTPUT Chains unterliegen um sein Ziel zu erreichen iptables hingegen sendet Pakete nur zur INPUT Chain wenn diese f r das lokale System bestimmt sind w hrend Pakete nur an die OUTPUT Chain gesendet werden wenn das lokale System die Pakete erzeugt hat Aus diesem Grund m ssen Sie sicherstellen dass sich die Regel f r das Abfangen eines bestimmten Pakets in der richtigen Chain befindet die das Paket auch wirklich sieht Das DENY Ziel wurde auf DROP ge ndert Mit ipchains k nnen Pakete die einer Regel in einer Chain entsprachen an das DENY Ziel weitergeleitet werden welches unbemerkt das Paket aus gelassen hat Dieses Ziel muss mit iptables auf DROP ge ndert werden damit derselbe Effekt erzielt wird Die Reihenfolge ist wichtig wenn Optionen in eine Chainregel eingef gt werden Bisher war mit ipchains die Reihenfolge der Optionen bei der Eingabe einer Regel nicht so wichtig Der iptables Befehl ist ein wenig empfindlicher daf r an welcher Stelle Optionen eingef gt werden Sie m ssen nun z B den Ursprungs oder Zielport nach dem in einer Chainregel zu verwendenden Protokoll I
251. edingungen verwendet werden Kehrt die Bedingungen um und verursacht ein Match f r den Fall dass die Bedingungen nicht mit der Mitteilung bereinstimmen lt Pr ft ob die Mitteilung eine bestimmte Byte Zahl unterschreitet gt Pr ft ob die Mitteilung eine bestimmte Byte Zahl berschreitet Folgende Zeichen werden verwendet um spezielle Aktionen durchzuf hren Weist Procmail an die Mitteilung an die gegebenen E Mail Adressen weiterzuleiten Kapitel 11 E Mail 171 Verweist auf eine vorher in der Refers to rc Datei eingestellte Variable Dieses Zeichen wird blicherweise verwendet um eine allgemeine Mailbox einzustellen die sich auf verschiedene Recipes bezieht Das Pipe Zeichen weist Procmail an ein bestimmtes Programm zu starten das diese Mit teilung verarbeitet and Erstellt einen Nesting Block der weitere Recipes zum Vergleichen mit der Mitteilung enth lt Wenn am Beginn einer Zeile f r eine Aktion kein spezielles Zeichen verwendet wird geht Procmail davon aus dass die Aktionszeile in der Mailbox festgelegt ist in die die Mitteilung geschrieben sein sollte 11 4 2 5 Recipe Beispiele Procmail ist ein u erst flexibles Programm das es Ihnen erlaubt Mitteilungen mit sehr spezifischen Bedingungen zu vergleichen und danach detaillierte Aktionen in diesen Mitteilungen ausf hrt Auf grund dieser Flexibilit t kann das Erstellen eines Procmail Recipes zu ei
252. egen die mit Remote Benutzern eines bestimmten Hosts verwendet werden sollen benutzen Sie die Optionen anonuid und anongid Auf diese Weise k nnen Sie ein spezielles Benutzer Konto f r Remote NFS Benutzer erstellen um die Option anonuid lt UID Wert gt anongid lt GID Wert gt festzulegen und gemeinsam zu verwenden Hierbei steht lt UID Wert gt f r die ID Nummer des Benutzers und lt GID Wert gt f r die ID Nummer der Gruppe Um diese Standards zu bersteuern m ssen Sie eine Option festlegen die diese Standards ersetzt Wenn Sie zum Beispiel die Option rw nicht festlegen werden exportierte Dateisysteme im Schreib schutzmodus verwendet F r jedes exportierte Dateisystem m ssen die Standardeinstellungen explizit bersteuert werden Wo keine Standardwerte angegeben sind stehen zus tzliche Optionen zur Ver f gung Diese bieten die M glichkeit das berpr fen der Sub Trees zu deaktivieren erlauben unsi cheren Ports den Zugriff sowie das Sperren unsicherer Dateien f r bestimmte fr here NFS Client Implementierungen notwendig Auf der exports man Seite finden Sie weitere Details ber diese weniger verwendeten Optionen Es gibt verschiedene M glichkeiten festzulegen dass Hosts ein bestimmtes exportiertes Dateisystem verwenden k nnen single host Ein bestimmter Host einschlie lich des kompletten Domain Names des Hostna mens oder der IP Adresse wird festgelegt wildcards Die Zeichen oder werden ver
253. ehl auszuf hren bevor Mitteilungen f r diesen Benutzer abgefragt werden postconnect lt command gt Weist Fetchmail an den Befehl auszuf hren nachdem Mit teilungen f r diesen Benutzer abgefragt wurden e ssl Aktiviert SSL Verschl sselung user lt username gt Stellt den von Fetchmail verwendeten Benutzernamen ein um Mit teilungen abzurufen Diese Option sollte als erste vor allen anderen Benutzeroptionen aufgelistet sein 11 3 2 5 Fetchmail Befehls Optionen Die meisten Optionen von Fetchmail k nnen in der Befehlszeile verwendet werden wenn der Befehl fetchmail ausgef hrt wird Dabei werden die Konfigurationsoptionen von fet chmailrc wieder gegeben Dies dient dazu Fetchmail sowohl mit als auch ohne Konfigurationsdatei zu verwenden Die meisten Benutzer verwenden diese Optionen nicht in der Befehlszeile weil es einfacher ist die Optio nen in der Datei fet chmailrc zu belassen um sie dort immer dann zu verwenden wenn Fetchmail ausgef hrt wird Eventuell m chten Sie jedoch gelegentlich den fetchmail Befehl mit anderen Optionen f r be stimmte Zwecke benutzen Da alle Optionen die in der Befehlszeile festgelegt sind die Optionen der Konfigurationsdatei bergehen k nnen Sie auch mit den Befehlsoptionen die fetchmailrc Einstellungen vor bergehend bergehen die zu einem Fehler f hrt 166 Kapitel 11 E Mail 11 3 2 6 Informations oder Debugging Optionen Bestimmte Optionen die nac
254. eim Port Forwarding wird ein lokaler Port in einem Client zu einem remote Port auf dem Server gemappt Mit SSH k nnen Sie jeden Port des Servers auf jeden Port des Clients bertragen die Port nummern m ssen hierf r nicht bereinstimmen Um einen TCP IP Port Forwarding Kanal zu erstellen der nach Verbindungen im lokalen Host sucht verwenden Sie folgenden Befehl ssh L local port remote hostname remote port username hostname Kapitel 18 SSH Protokoll 261 i Anmerkung F r das Einrichten von TCP IP Forwarding Kan len f r Ports mit weniger als 1024 Zylindern m ssen Sie als root angemeldet sein Wenn Sie zum Beispiel Ihre E Mails auf einem Server mit dem Namen mail domain com mithilfe von POP ber eine verschl sselte Verbindung abrufen m chten verwenden Sie folgenden Befehl ssh L 1100 mail example com 110 mail example com Nachdem TCP IP Forwarding zwischen Ihrem Rechner und dem Mailserver eingerichtet wurde k n nen Sie einen POP Mail Client anweisen localhost als POP Server und 1100 als Port f r das Abrufen neuer E Mails zu verwenden Alle an Ihren Port 1100 gesendeten Anforderungen werden auf diese Weise sicher an den Server mail domain com weitergeleitet Wenn mail domain com keinen SSH Serverd mon ausf hrt Sie sich jedoch ber SSH an einem nahen Rechner anmelden k nnen k nnen Sie dennoch SSH verwenden um den Teil der POP Verbindung zu sichern der ber ffentliche Netzwerke l uft Hierzu ist ein Befehl no
255. ein 0 off false oder no Schaltet die Option aus Folgend sind einige der wichtigeren Abschnitte aufgelistet wie diese in einer typischen etc X11 XF86Config Datei vorkommen Genauere Informationen zur Konfigurationsdatei des XFree86 Server k nnen in den man Seiten zu XF86Config gefunden werden 7 3 1 2 ServerFlags Der optionale Abschnitt ServerFlags enth lt verschiedene allgemeine XFree86 Server Einstellungen Diese Einstellungen k nnen mit Optionen des Abschnitts ServerLayout berschrieben werden sehen Sie Abschnitt 7 3 1 3 f r genaueres Jeder Eintrag im Abschnitt ServerFlags ist jeweils in einer eigenen Zeile welche mit dem Term Option beginnt und von einer in doppelte Anf hrungszeichen eingeschlossenen Option gefolgt wird Folgend ist ein Beispiel eines ServerFlags Abschnitts Section ServerFlags Option DontZap true EndSection Folgend ist eine Liste der n tzlichsten Optionen DontZap lt boolean gt Wenn der Wert von lt boolean gt auf true gesetzt ist verhindert dies dass die Tastenkombination Strg Alt R cktaste verwendet wird die den XFree86 Server sofort beendet DontZoom lt boolean gt Wenn der Wert von lt boolean gt true ist verhindert dass die Tastenkombinationen Strg Alt Zehnertastatur Plus und Strg Alt Zehnertastatur Minus verwendet werden um sich durch konfigurierte Grafikaufl sungen zu bewegen 73 1 3 ServerLayout Der Abschnitt ServerL
256. einer PPP Schnittstelle ver wendet e ifup routes F gt statische Routes f r ein bestimmtes Ger t hinzu wenn dessen Schnittstelle aktiviert wird e ifdown sit und ifup sit Enthalten eine Funktion die zum Aktivieren und Deaktivieren eines IPv6 Tunnels in einer IPv4 Verbindung aufgerufen wird e ifdown sl und ifup s1 Wird zum Starten und Beenden einer SLIP Schnittstelle verwendet varning Achten Sie darauf dass das Entfernen oder Modifizieren irgendeines Skripts im etc sysconfig network scripts Verzeichnis dazu f hren kann dass Schnittstellenverbindungen seltsam reagieren oder scheitern da sie von diesen Skripts abh ngig sind Nur erfahrene Benutzer sollten daher Skripts ver ndern die f r eine Netzwerkschnittstelle relevant sind Der einfachste Weg alle Netzwerk Skripte gleichzeitig zu ndern ist es den Befehl sbin service auf dem Netzwerk Service etc rc d init d network wie folgt auszuf hren sbin service network lt action gt lt Aktion gt steht entweder fiir start stop oder restart Um eine Liste der konfigurierten Ger te und der augenblicklich aktiven Netzwerk Schnittstellen an zuzueigen benutzen Sie folgenden Befehl sbin service network status 8 4 Netzwerkfunktionsdateien Red Hat Linux nutzt verschiedene Dateien die wichtige Informationen enthalten mit denen Schnitt stellen aktiviert und deaktiviert werden Diese Funktionen werden in einigen wenigen Dateien in geeigneter Weise g
257. eispeicherstellen var lib rpm 30 Redirect Apache Konfigurationsanweisung 144 Root Nameserver Siehe BIND rpcinfo 112 Runlevel zum Zeitpunkt des Bootens ndern 22 Runlevels Siehe init Befehl ndern mit GRUB 15 S sawfish 86 Siehe auch XFree86 ScoreBoardFile Apache Konfigurationsanweisung 134 ScriptAlias Apache Konfigurationsanweisung 143 SCSI Module Siehe Kernelmodule Sendmail 158 Alias Namen 160 Einschr nkungen 159 Junkmail 161 LDAP und 162 Masquerading 160 mit UUCP 160 Standardm ige Installation 159 Typische nderungen der Konfiguration 160 Ziele 159 Zus tzliche Informationsquellen 175 server seitige Includes 139 146 ServerAdmin Apache Konfigurationsanweisung 138 ServerName Apache Konfigurationsanweisung 138 ServerRoot Apache Konfigurationsanweisung 134 ServerSignature Apache Konfigurationsanweisung 143 serviceconf 9 302 Siehe auch Services Services mit chkconfig konfigurieren 9 mit ntsysv konfigurieren 9 mit serviceconf konfigurieren 9 SetEnvIf Apache Konfigurationsanweisung 149 Shadow Siehe Passwort Shadow Passw rter Uberblick 84 Sicherheit Apache ausf hren ohne 151 konfigurieren 149 Slab Pools Siehe proc slabinfo slapadd Befehl 199 Siehe auch LDAP slapcat Befehl 199 Siehe auch LDAP slapd Befehl 199 Siehe auch LDAP slapindex Befehl 199 Siehe auch LDAP slappasswd Befehl 199 Siehe auch LDAP Slave Nameserver Siehe BIND slurp
258. el 17 Kerberos 251 17 4 Kerberos und PAM Derzeit verwenden die kerberisierten Dienste keinerlei PAM Pluggable Authentication Modules Kerberisierte Server berspringen PAM vollst ndig Anwendungen die PAM verwenden k nnen Kerberos jedoch zur Authentifizierung nutzen sofern das Modul pam_krb5 im Paket pam_krb5 enthalten installiert ist Das Das Paket pam_krb5 enth lt Beispielkonfigurationsdateien durch die Dienste wie login und gdm in der Lage sind Benutzer zu authentifizieren und unter Verwendung ihrer Passw rter erste Berechtigungsnachweise zu erhalten Unter der Voraussetzung dass der Zu griff auf Netzwerkserver immer ber kerberisierte Dienste oder ber Dienste vorgenommen wird die GSS API verwenden wie z B IMAP kann das Netzwerk als relativ sicher bezeichnet werden Administratoren sollten vorsichtig sein es Benutzern nicht zu erlauben zu den meisten Services mit Kerberos Passw rtern zu authentifizieren Viele der von diesen Services verwendeten Protokolle ver schl sseln die Passw rter nicht bevor sie diese ber das Netzwerk versenden Dies hebt die Vorteile eines Kerberos Systems auf Benutzern sollte es zum Beispiel nicht erlaubt sein deren Kerberos Passw rter ber Telnet zu authentifizieren Im n chsten Abschnitt wird das Einrichten eines Kerberos Servers beschrieben 17 5 Konfigurieren eines Kerberos 5 Servers Installieren Sie zuerst den Server wenn Sie Kerberos einrichten Wenn Sie Slave Server e
259. el DROP AUSLASSEN angegeben ist wird das Paket ausgelassen d h das Paket erh lt keinen Zugriff auf das System und es wird nichts an den Host Rechner zur ckgesendet von dem das Paket stammt Wenn eine Regel QUEUE WARTESCHLANGE als Ziel angibt wird das Paket zum Benutzerplatz geleitet Wenn in einer Regel f r das Ziel REJECT ABLEHNEN angegeben ist wird das Paket ausgelassen und als Fehlerpaket wieder zu seinem Ursprungsort zur ckgeschickt Jede Chain hat eine Default Policy zu ACCEPT DROP REJECT oder QUEUE Wenn das Paket keiner der Regeln in der Chain entspricht wird auf dieses Paket die standardm ige Policy angewandt Der Befehl iptables erm glicht Ihnen diese Tabellen zu konfigurieren und falls n tig neue Tabel len zu erzeugen 16 2 Unterschiede zwischen iptables und ipchains Auf den ersten Blick scheinen sich ipchains und iptables sehr zu hneln Beide Methoden ver wenden Regel Chains f r die Filterung von Paketen und arbeiten im Linux Kernel nicht nur um zu entscheiden welche Pakete hinein oder hinausgelassen werden sollen sondern auch wie mit diesen Paketen die bestimmten Regeln entsprechen verfahren werden soll iptables stellt Ihnen jedoch eine deutlich erweiterbarere Paketfilterung zur Verf gung da sie dem Administrator mehr Kontrolle gibt ohne dass das gesamte System hierdurch zu kompliziert wird Insbesondere sollten Benutzer die sich mit ipchains gut auskennen auf folgende wichtige Unter schi
260. en Damit SSH Ihre Netzwerkverbindungen effektiv sch tzt d rfen Sie keine unsicheren Verbindungs protokolle wie Telnet und FTP verwenden Andernfalls wird das Passwort eines Benutzers mithilfe von ssh f r eine Sitzung zwar gesch tzt kann jedoch sp ter w hrend Sie sich mit Telnet anmelden erfasst werden Einige Dienste zum Deaktivieren enthalten 262 Kapitel 18 SSH Protokoll telnet e rsh ftp e rlogin vsftpd Deaktivieren Sie unsichere Verbindungsmethoden Ihres Systems mithilfe des Befehlszeilenprogramms chkconfig des ncurses basierten Programms ntsysv oder der grafischen Applikation Services Konfigurationstool redhat config services Alle diese Tools erfordern root Zugriff Weitere Informationen ber Runlevels und das Konfigurieren von Diensten mit chkconfig ntsysv und Services Konfigurationstool finden Sie im Kapitel Zugriffskontrolle zu Diensten des Red Hat Linux Handbuchs benutzerdefinierter Konfiguration redhat Kapitel 19 Tripwire Tripwire Datenintegrit ts Software berwacht die Verl sslichkeit von kritischen Systemdateien und Verzeichnissen indem es nderungen dieser erkennt Es tut dies ber eine automatische Verifikation welche in regelm igen Intervallen ausgef hrt wird Sollte Tripwire erkennen dass eine berwach te Datei ge ndert wurde wird es den Systemadministrator per E Mail benachrichtigen Da Tripwire feststellen kann welche Dateien hinzugef gt ge ndert oder gel scht wurde
261. en ffentlichen Schl ssel dieses Nameservers verf gt Version 9 von BIND unterst tzt auch die SIG 0 ffentlicher privater Schl ssel Methode f r die Authentifizierung von Nachrichten TSIG Abk rzung f r Transaction SIGnatures ein gemeinsam verwendeter geheimer Schl ssel auf dem Master und Slave Name Server der sicherstellt dass die bertragungen zwischen dem Master und dem Slave Name Server authorisiert sind Dieses Feature unterst tzt die auf der IP Adresse basierende Methode der Transfer Authorisierung Somit muss ein unerw nschter Benutzer nicht nur Zugriff auf die IP Adresse haben um die Zone zu bertragen sondern auch den geheimen Schl ssel kennen Version 9 von BIND unterst tzt auch TKEY eine weitere Methode der Autorisierung von Zone bertragungen auf der Basis eines gemeinsam verwendeten geheimen Schl ssels 194 Kapitel 12 Berkeley Internet Name Domain BIND 12 5 4 IP Version 6 Die Version 9 von BIND kann mit den A6 Zone Records Name Service f r die IP Version 6 IPv6 Umgebungen zur Verfiigung stellen Wenn Ihre Netzwerkumgebung sowohl ber Ipv4 als auch IPv6 Hosts verf gt k nnen Sie den lwresd Lightweight Resolver Daemon in Ihren Netzwerk Clients verwenden Dieser Daemon ist ein sehr effektiver Caching Only Name Server der die neuesten A6 und DNAME Records versteht die mit Ipv6 verwendet werden Auf der 1wresd man Seite finden Sie weitere Informationen hierzu 12 6 Allgemein zu verme
262. en 86 startx command 97 Window Manager 86 xinit 97 Zus tzliche Ressourcen 98 Installierte Dokumentation 99 N tzliche Webseiten 99 Zus tzliche Literatur 99 xinetd 226 Siehe auch TCP Wrapper DoS Angriffen und 232 Einf hrung 219 Einf hrung in 226 Konfigurationsdateien 227 etc xinetd conf 227 etc xinetd d directory 228 Bindungs Optionen 231 Log Optionen 227 Protokoll Optionen 228 229 Ressourcen Management Optionen 232 Umleitungs Optionen 231 Zugriffskontroll Optionen 229 Verh ltnis zu TCP Wrapper 229 zus tzliche Ressourcen B cher zum Thema 233 installierte Dokumentation 232 n tzliche Websites 233 xinit Siehe XFree86 Z Zeichen Ger te 48 Siehe auch proc devices Definition von 48 Zugriffskontrolle 219 305 redhat Colophon Die Red Hat Linux Handb cher wurden im Format DocBook SGML v4 1 erstellt Die HTML und PDF Formate werden unter Verwendung benutzerdefinierter DSSSL Stylesheets und benutzerdefi nierten Jade Wrapper Scripts angelegt Die DocBook SGML Dateien wurden in Emacs mithilfe von PSGML Mode geschrieben Garrett LeSage schuf das Design der Grafiken f r Meldungen Anmerkung Tipp Wichtig Achtung und Warnung Diese d rfen frei zusammen mit der Red Hat Dokumentation vertrieben werden Das Team der Red Hat Linux Produktdokumentation besteht aus Sandra A Moore Verantwortliche Autorin des Red Hat Linux x86 Installationshandbuch Co Autorin des Red Hat
263. en ist lediglich die Datei etc httpd conf httpd conf zu editieren und anschlie end der httpd Prozess neu zu laden oder anzuhalten und neu zu starten Das Neuladen Anhalten und Starten von Apache HTTP Server wird in Abschnitt 10 4 besprochen Vor dem Editieren von httpd conf sollten Sie zuerst eine Kopie dieser Datei erstellen Falls Sie beim Editieren der Konfigurationsdatei einen Fehler machen steht Ihnen auf diese Weise eine Sicher heitskopie zur Verf gung Falls Sie einen Fehler machen und Ihr Web Server nicht richtig funktioniert sollten Sie zuerst die Eingaben der gerade editierten Datei httpd conf berpr fen Stellen Sie sicher dass diese keine Tippfehler enth lt Als N chstes sollten Sie einen Blick auf die Fehlerprotokolldatei Ihres Web Servers var log httpd error_log werfen Die Auswertung der Fehlerprotokolldatei ist je nachdem wie viel Erfahrung Sie damit haben m glicherweise nicht ganz einfach Wenn gerade ein Problem aufgetreten ist sollten die letzten Eintr ge jedoch einige Hinweise dar ber liefern was passiert ist Der n chste Abschnitt enth lt kurze Beschreibungen der Anweisungen in httpd conf welche allerdings nicht bis ins letzte Detail gehen Weitere Informationen finden Sie in der Apache Dokumentation im HTML Format unter http localhost manual oder Online unter http httpd apache org docs 2 0 Weitere Informationen zu den mod_ssl Anweisungen erhalten Sie aus der Dokumentation im HTML Format unter
264. en mit denen Sie festlegen wie mit bestimmten Mitteilungen zu verfahren ist In den meisten F llen h ngt die Konfiguration von Procmail f r das Filtern Ihrer E Mail davon ab ob eine procmailrc Benutzerdatei vorhanden ist Um Procmail zu deaktivieren und Ihre Arbeit in der procmailrc Datei zu speichern platzieren Sie Procmail mit dem mv procmailrc procmailrcSAVE Befehl in eine Datei mit einem hnlichen Namen Wenn Sie Procmail dann erneut testen wollen ndern Sie den Namen dieser Datei wieder in procmailrc Procmail steht Ihnen dann sofort wieder zur Verf gung 11 4 1 Konfiguration von Procmail Die Konfigurationsdateien von Procmail insbesondere die Benutzerdatei procmailrc enthalten wichtige Umgebungsvariablen Diese Variablen geben Procmail an welche Mitteilungen sortiert wer den sollen und wie mit den Mitteilungen verfahren werden soll die nicht mit den Recipes berein stimmen usw Diese Umgebungsvariablen erscheinen normalerweise am Anfang der procmailrc Datei und zwar im folgenden Format lt env variable gt lt value gt In diesem Beispiel ist lt env variable gt der Name der Variablen und der lt value gt Bereich defi niert sie Viele Umgebungsvariablen werden von den meisten Procmail Benutzern nicht verwendet und vie le der wichtigsten Umgebungsvariablen sind bereits standardm ig eingestellt Sie werden meistens folgende Variablen verwenden DEFAULT Stellt die Standard Mailbox ein i
265. en Betriebssystemeintrag mit spezifischen Befehlen fiir die Partitionstabelle dieses Systems Anmerkung Der Standardwert ist als Nummer angegeben die sich auf die erste title Zeile bezieht auf die GRUB st t Wenn Sie windows als Standard festlegen m chten ndern Sie default 0 iN de fault 1 Kapitel 2 Bootloader 19 Die Konfiguration einer GRUB Meniikonfigurationsdatei fiir das Starten mehrerer Betriebssysteme bersteigt den Umfang dieses Kapitels F r eine Liste zus tzlicher Ressources sehen Sie Abschnitt 2 11 2 8 LILO LILO ist das Akronym f r L nux LOader und wurde w hrend vieler Jahre verwendet um Linux auf x86 Systemen zu starten Obwohl GRUB jetzt der Standardbootloader ist bevorzugen manche Per sonen LILO da sie mit dem Programm vertraut sind Andere wiederum verwenden ihn weil GRUB m glicherweise beim Starten gewisser Hardware Probleme bereitet 2 8 1 LILO und der x86 Bootprozess In diesem Abschnitt wird die spezifische Rolle von LILO beim Booten eines x86 Systems ausf hrlich beschrieben Detaillierte Informationen zum gesamten Bootprozess finden Sie unter Abschnitt 1 2 LILO wird fast genauso wie GRUB in den Speicher geladen mit dem Unterschied dass er nur ein zweistufiger Loader ist 1 Der Stage 1 oder prim re Bootloader wird vom BIOS aus dem MBR in den Speicher gele sen Der prim re Bootloader nimmt weniger als 512 Bytes Plattenplatz im MBR in Anspruch Seine einzige Aufgabe ist das L
266. en Clients des 192 168 0 x Netzwerks alle Services benutzen mit der Ausnahme von FTP ALL EXCEPT vsftpd 192 168 0 Anmerkung Aus organisatorischen Gr nden ist es normalerweise besser ExcEPT Operatoren sparsam zu ver wenden und statt dessen die Erweiterungen der Regel in die andere Zugriffskontrolldatei einzuf gen Dadurch k nnen alle Administratoren schnell die gew nschten Dateien durchsuchen um zu sehen welche Host Rechner Zugriff und welche keinen Zugriff auf bestimmte Dienste haben sollen ohne mehrere Except Operatoren durchsuchen zu m ssen 15 2 2 Portmap und TCP Wrappers Verwenden Sie keine Hostnamen beim Erzeugen von Zugriffskontrollregeln f r portmap da dessen Implementation von TCP Wrappers Host Look Ups nicht unterst tzt Aus diesem Grund verwen den Sie ausschlie lich das Schl sselwort ALL wenn Sie Hosts in hosts allow oder hosts deny angeben Au erdem werden nderungen der Host Zugriffskontrollisten die portmap betreffen nicht sofort wirksam sein Da der Betrieb von weit verbreiteten Diensten wie NIS und NFS von portmap abh ngt bedenken Sie zuerst diese Einschr nkungen 15 2 3 Option Felder Zus tzlich zu den grundlegenden Regeln welche Zugriff gew hren oder ablehnen unterst tzt die Red Hat Linux Implementation von TCP Wrappers Erweiterungen zu der Zugriffskontrollsprache durch Option Felder Durch Verwendung der Option Felder innerhalb einer Hosts Zugriffsregel k n nen Administrator
267. en Dritten der die Informationen die zwischen den beiden Systemen ausgetauscht werden kopiert Der Dritte kann dabei die In formationen abfangen und aufbewahren oder sie auch ndern und an den eigentlichen Empf nger weiterleiten Dieser m gliche Angriff kann durch die Verwendung eines Packet Sniffers einem gew hnlichen Netzwerk Dienstprogramm gemountet werden Imitation eines bestimmten Hosts Mit dieser Strategie ist ein drittes System so konfiguriert dass es vorgibt der eigentliche Empf nger einer bertragung zu sein Ist sie erfolgreich bemerkt das Benutzersystem nicht dass es mit dem falschen Host kommuniziert Dieser m gliche Angriff kann anhand von Techniken die unter dem Namen DNS Poisoning oder IP Spoofing bekannt sind gemounted werden Bei beiden Methoden werden m glicherweise wichtige Informationen abgefangen Wenn dies aus unlauteren Gr nden erfolgt k nnen die Ergebnisse katastrophal sein Wenn SSH f r Fernanmeldungen ber eine Shell und f r das Kopieren von Dateien verwendet wird k nnen diese Sicherheitsrisiken erheblich gemindert werden Das ist darauf zur ckzuf hren dass der SSH Client und Server digitale Unterschriften verwenden um gegenseitig ihre Identit t zu pr fen Au erdem sind alle Mitteilungen zwischen Client und Server verschl sselt Dabei nutzen auch Versu che sich als das eine oder andere System auszugeben nichts da der Schl ssel hierf r nur dem lokalen und dem remote Syste
268. en Sie einen Hostprincipal f r die Workstation auf dem KDC hinzu Die Instanz ist in diesem Fall der Hostname der Workstation Sie k nnen die Option randkey f r den kadmin Befehl addprinc verwenden um den Principal zu erstellen und ihm einen zuf llig ausgew hlten Schl ssel zuzuweisen addprinc randkey host blah example com Nachdem der Principal erstellt ist K nnen Sie die Schl ssel f r die Workstation extrahieren indem Sie kadmin auf der Workstation selbst ausf hren und den Befehl ktadd in kadmin verwenden ktadd k etc krb5 keytab host blah example com 4 Sollten Sie andere kerberisierten Netzwerk Services benutzen wollen m ssen diese gestartet werden Folgend ist eine Liste der gebr uchlicheren kerberisierten Services und Anleitungen zum Einschalten dieser e rsh und rlogin Um die kerberisierten Versionen von rsh und rlogin zu verwenden m ssen Sie klogin eklogin und kshell aktivieren Telnet Um den kerberisierten Befehl telnet verwenden zu k nnen m ssen Sie krb5 telnet aktivieren FTP Zum Bereitstellen von FTP Zugriff m ssen Sie einen Schl ssel f r einen Principal mit einem root von ftp erstellen und extrahieren Dabei muss die Instanz auf den Hostnamen des FTP Servers festgelegt sein Aktivieren Sie dann gssftp IMAP Der IMAP Server im imap Paket enthalten verwendet die GSS API Authentifizierung unter Verwendung von Kerberos 5 wenn es den richtigen Key in etc krb5 keytab findet D
269. en das Laden anderer Betriebssysteme in den Speicher verantwortlich 2 1 Bootloader und Systemarchitektur Jede Rechnerarchitektur die unter Red Hat Linux ausgef hrt werden kann verwendet unterschied liche Bootloader Die Alpha Architektur benutzt beispielsweise den aboot Bootloader w hrend die Itanium Architektur den ELILO Bootloader verwendet In diesem Kapitel werden Befehle und Konfigurationsoptionen der beiden Bootloader besprochen die mit Red Hat Linux f r x86 Architekturen geliefert werden GRUB und LILO 2 2 GRUB GNU GRand Unified Bootloader oder GRUB ist ein Programm mit dem der Benutzer das Betriebs system oder den Kernel ausw hlen kann das bzw der beim Systemstart geladen werden soll Deswei teren kann der Benutzer Argumente an den Kernel bergeben 2 2 1 GRUB und der x86 Bootprozess In diesem Abschnitt wird die spezifische Rolle von GRUB beim Booten eines x86 Systems ausf hr lich beschrieben Detaillierte Informationen zum gesamten Bootprozess finden Sie unter Abschnitt 1 2 GRUB ladt sich selbst in folgenden Phasen in den Speicher a Der Stage 1 oder prim re Bootloader wird vom BIOS in den Speicher vom MBR gelesen Der prim re Bootloader nimmt weniger als 512 Bytes Plattenplatz im MBR in Anspruch Seine einzige Aufgabe ist das Laden des Stage 1 5 oder Stage 2 Bootloaders 2 Der Stage 1 5 Bootloader wird nur dann vom Stage 1 Bootloader in den Speicher eingelesen wenn dies notwendig ist F r m
270. en eine Reihe von Tasks erledigen wie dem ndern des Log Verhaltens Zusam menfassen der Zugriffskontrolle und dem Ausf hren von Shell Befehlen 15 2 3 1 Logging Option Felder erlauben es Administratoren die Log Einstellungen und den Schwierigkeitsgrad f r eine Regel einfach zu ndern indem die severity Anweisung verwendet wird Im folgenden Beispiel werden Verbindungen zum SSH Daemon von jedem Host in der example com Domain zu der Default Log authpriv geschrieben da kein Wert angegeben ist und dies mit einer Priorit t von emerg sshd example com severity emerg Es ist auch m glich eine Log mit der severit y Option anzugeben Das folgende Beispiel loggt alle Hosts aus der example com Domain welche versuchen zu einem SSH service zu verbinden zu der local0 Log mit einer Priorit t von alert sshd example com severity local0 alert Kapitel 15 TCP Wrappers und xinetd 225 i Anmerkung In der Praxis wird dieses Beispiel nicht arbeiten solange der Syslog Daemon syslogd nicht dazu konfiguriert ist Log Meldungen zu 10ca10 zu schreiben Sehen Sie die syslog conf man Seite f r Informationen zum Konfigurieren von benutzerdefinierten Logs 15 2 3 2 Zugriffskontrolle Option Felder erlauben es dem Administratoren Hosts explizit anzunehmen oder abzulehnen indem sie die allow oder deny Anweisung als letzte Option hinzuf gen Die folgenden Regeln zum Beispiel erlauben SSH Verbindungen von client 1 example com
271. en enthalten k nnen werden von den meisten Nameservern nur weni ge verwendet Die folgenden zone Direktiven sind sehr allgemeine Beispiele die auf Master Slave Nameservern verwendet werden k nnen Nachfolgend finden Sie ein Beispiel f r eine zone Anweisung f r den prim ren Nameserver der example com 192 168 0 1 hostet zone example com IN type master file example com zone allow update none Diese zone Direktive benennt die Zone example com stellt als type master ein und weist den named Service an die Datei var named example com zone zu lesen und weist named an Ak tualisierungen durch andere Hosts nicht zuzulassen 184 Kapitel 12 Berkeley Internet Name Domain BIND Eine zone Anweisung eines Slave Servers fiir example com unterscheidet sich etwas vom vorhe rigen Beispiel Fiir einen Slave Server wird der Typ auf slave festgelegt An die Stelle der Zeile allow update tritt eine Anweisung die named die IP Adresse des Master Servers mitteilt Die zone Anweisung eines Slave Servers f r example com k nnte folgenderma en aussehen zone example com type slave file example com zone masters 192 168 0 1 Diese zone Anweisung weist named auf dem Slave Server an bei dem Master Server mit der IP 192 168 0 1 nach Informationen f r die Zone example com zu suchen Die Informationen die der Slave Server vom Master Server erh lt werden in der Datei var named example com zone gespeichert
272. en oder wichtige Informationen auf Ihre Konsole zu schreiben Dieses Feature ist sehr sinnvoll wenn Sie einen Development Kernel benutzen oder Systemeinfrieren beobachten Da sie jedoch f r unbewachte Konsolen ein Sicherheitsrisiko darstellt wird dies standardm ig unter Red Hat Linux ausgeschaltet Weitere Informationen zum System Request Key finden Sie unter usr src linux 2 4 Documentation sysrq txt Einige Konfigurations Dateien in proc sys enthalten mehr als einen Wert Um neue Werte in sol chen Dateien zu speichern miissen Sie ein Leerzeichen zwischen jeden Wert setzen den Sie iiberge ben Sehen Sie die Anwendung mit dem Befehl echo hier echo 4 2 45 gt proc sys kernel acct Kapitel 5 Das proc Dateisystem 69 i Anmerkung Konfigurations nderungen die Sie mit echo vornehmen gehen automatisch verloren wenn das Sys tem neu gestartet wird Um Ihre Konfigurations Anderungen nach dem Booten wirksam werden zu lassen lesen Sie bitte Abschnitt 5 4 Das Verzeichnis proc sys enth lt verschiedene Unterverzeichnisse die verschiedene Bereiche des laufenden Kernel kontrollieren 5 3 9 1 proc sys dev Dieses Verzeichnis bietet Optionen f r bestimmte Ger te im System an Viele Systeme haben minde stens zwei Verzeichnisse cdrom und raid aber benutzerdefinierte Kernel k nnen andere Verzeich nisse haben wie z B parport das es erm glicht den parallelen Port zwischen mehreren Treibern zu teilen Das cdrom Verzeichn
273. en zum Konfigurieren von Services f r einen bestimmten Runlevel sehen Sie das Kapitel Zugriffskontrolle von Services im Red Hat Linux Handbuch benutzerdefinierter Konfiguration 96 Kapitel 7 Das X Window System 7 4 2 1 x s Konfiguration Das etc rc d init d xfs Skript startet den xfs Server In der Datei etc X11 fs config k nnen verschiedene Optionen konfiguriert werden Die Folgende ist eine Liste der h ufiger verwendeten Optionen alternate servers Stellt eine Liste alternativer Font Server ein die verwendet werden k n nen wenn dieser Server nicht verf gbar ist Die einzelnen Font Server sind durch Kommas zu trennen catalogue Eine geordnete Liste mit zu verwendenden Font Pfaden mit Font Dateien Dabei muss nach jedem Font Pfad und bevor ein neuer Font Pfad gestartet werden kann ein Komma gesetzt werden Sie k nnen die Zeichenkette unscaled unmittelbar nach dem Font Pfad verwenden um die nicht nicht skalierten Fonts dieses Pfades zuerst zu laden Anschlie end k nnen Sie den gesamten Pfad erneut angeben um andere skalierte Fonts zu laden e client limit Stellt die Anzahl an Clients ein die dieser Server verwaltet bevor er weitere Bearbeitungsvorg nge verweigert Der Standardwert lautet 10 e clone self Gibt an ob der Font Server eine neue Version von sich selbst klont wenn client limit erreicht ist Standardm ig ist diese Option auf on eingestellt e default point size Stellt die st
274. ende Tools zur Authentifizerung von Benutzern Kontrolle des Netzwerkszugriffs sicheren Kommunikataion ber das Netzwerk und Erkennung von Angreifern Weitere Informationen zur Sicherung eines Red Hat Linux Systems finden Sie im Red Hat Linux Security Guide Inhaltsverzeichnis 14 Pluggable Authentication Modules PAM 15 TCP Wrappers und xinetd 16 iptables 17 Kerberos 18 SSH Protokoll 19 Tripwire O redhat Kapitel 14 Pluggable Authentication Modules PAM Programme die Benutzern Zugriff zu einem System gew hren berpr fen die Identit t der Benutzer durch einen Prozess der Authentifizierung genannt wird Historisch haben alle diese Programme ihren eigenen Weg die Authentifizierung durchzuf hren Unter Red Hat Linux sind viele dieser Programme daf r konfiguriert einen zentralisierten Authentifizierungsprozess zu benutzen der Pluggable Authen tication Modules PAM genannt wird PAM benutzt eine auswechselbare modulare Architektur welche dem System Administrator einen hohen Grad an Flexibilit t beim Einstellen der Authentifizierungsregeln des Systems bereit stellt Es ist kaum notwendig die Standard PAM Konfigurationsdateien f r eine Applikation welche PAM verwendet zu ndern Hin und wieder kann es allerdings notwendig werden eine PAM Konfigurati onsdatei zu ndern Da eine falsche Einstellung in der PAM Konfigurationsdatei die Systemsicherheit kompromitieren kann sollten Sie mit der Struktur der K
275. enden wie z B pop3 oder imap um auf diesem Server nach Mails zu suchen timeout lt seconds gt Konfiguriert Fetchmail so dass es nicht weiter ausgefiihrt wird wenn der Server fiir eine bestimmte Zeit inaktiv ist Wenn dieser Wert nicht eingestellt wird wird von ein Standard von 300 Sekunden ausgegangen 11 3 2 4 Benutzeroptionen Benutzeroptionen k nnen in eine eigenen Zeile unterhalb einer Serveroption geschrieben werden In beiden F llen folgt die Benutzeroption der user Option nachstehend definiert e fetchall Weist Fetchmail an alle Mitteilungen in der Warteschlange herunterzuladen ein schlie lich der Mitteilungen die bereits angezeigt wurden Standardm ig ruft Fetchmail nur neue Mitteilungen ab fetchlimit lt Nummer gt Erlaubt nur das Abrufen einer bestimmten Anzahl von Mitteilungen bevor es angehalten wird e flush Weist Fetchmail an alle bereits gelesenen Mitteilungen in der Warteschlange zu l schen bevor neue Mitteilungen abgerufen werden e limit lt max number bytes gt Erm glicht es Ihnen festzulegen dass nur Mitteilungen bis zu einer bestimmten Gr e abgefragt werden Diese Option ist f r langsam arbeitende Netzwerk Links vorteilhaft wenn umfangreiche Mitteilungen zu viel Zeit beim Herunterladen in Anspruch nehmen w rden password lt Passwort gt Gibt das Passwort an das vom Benutzer benutzt wird e preconnect lt command gt Weist Fetchmail an den Bef
276. enden Stellen gefunden werden e usr share doc initscripts lt version gt sysconfig txt Ein verst ndlicher Leitfaden zu verf gbaren Optionen f r Netzwerk Konfigurationsdateien einschlie lich IPv6 Optionen die in diesem Kapitel nicht behandelt werden e usr share doc iproute lt version gt ip cref ps Diese Postscript Datei enth lt eine Vielzahl an Informationen zu ip die u a zur Bearbeitung von Routing Tabellen verwendet werden k nnen Werfen Sie einen Blick auf diese Datei mit ghostview oder kghostview redhat Kapitel 9 Network File System NFS Mit NFS Network File System k nnen Hosts Partitionen auf einem Remote System mounten und verwenden als w ren sie ein lokales Dateisystem Dadurch k nnen Dateien an einem zentralen Ort organisiert werden w hrend entsprechend berechtigte Benutzer kontinuierlichen Zugriff auf sie ha ben Zur Zeit werden zwei Versionen von NFS verwendet Die Version 2 von NFS NFSv2 die seit meh reren Jahren verwendet wird wird umfassend von verschiedenen Betriebssystemen unterst tzt Die Version 3 von NFS NFSv3 verf gt ber mehr Features einschlie lich einer variablen Dateigr e und einem besseren Fehlerreport Red Hat Linux unterst tzt beide Versionen und verwendet NFSv3 standardm ig f r die Verbindung mit einem Server der es ebenfalls unterst tzt Dieses Kapitel betrachtet die Version 2 von NFS obwohl viele Konzepte auch f r die Version 3 gelten Weiterhin stehen
277. endet Identifier Gibt einen eindeutigen Namen f r diesen InputDevice Abschnitt an Dieser Eintrag ist notwendig Driver Gibt XFree86 den Namen des Treibers an der f r die Verwendung des Ger ts zu laden ist Option Gibt Ger te bezogene Optionen an F r eine Maus enthalten diese Optionen Folgende Protokoll Gibt das von der Maus verwendete Protokoll an wie IMPS 2 Device Gibt den Ort des physischen Ger ts an Emulate3Buttons Gibt an ob eine Zwei Tasten Maus eine dritte Taste wenn beide Tasten gleichzeitig gedr ckt werden emulieren soll Sehen Sie die XF86Config man Seiten f r eine Liste der g ltigen Optionen Der Abschnitt InputDevice enth lt einige Kommentare die dem Benuzter das Konfigurieren wei terer Optionen erm glicht Kapitel 7 Das X Window System 91 7 3 1 7 Monitor Abschnitt Jeder Monit or Abschnitt konfiguriert einen Typ von Monitor der vom System verwendet wird Min destens ein Monitor Abschnitt muss vorhanden sein zus tzliche k nnen bestehen einen f r jeden vom Rechner verwendeten Typ von Monitor Der beste Weg einen Monitor einzurichten ist beim Konfigurieren von X w hrend des Installations prozesses oder durch Verwendung von X Konfigurationstool Fiir weiteres zur Verwendung von X Konfigurationstool sehen Sie da Kapitel Audio Video und Multimedia im Red Hat Linux Handbuch Erster Schritte Das folgende Beispiel zeigt einen typischen Monit or Abschnitt
278. enesnnennenen 19 9 Aktualisieren der Tripwire Konfigurationsdatei 19 10 Hinweis zum Tripwire Datei Speicherplatz 19 11 Zus tzliche Ressourcen IV Anhang A Allgemeine Parameter und Module uunesessensesennsennnnennenensennsennnennnnnsennnnennnaan A 1 Spezifizieren der Modulparameter A 2 CD ROM Modulparameter A 3 SCSI Parameter A 4 Ethernet Parameter Stich WOrtverZeicHnis lt csecsecisesssseosssssscsossenssesssbanssacsocssthees saceossossecdvasessensegsesssadseuecseasocssaessenscsesteaess Colophon EE EE eee redhat Einf hrung Willkommen im Red Hat Linux Referenzhandbuch Das Red Hat Linux Referenzhandbuch enth lt n tzliche Informationen ber Ihr Red Hat Linux System F r grundlegende Konzepte wie z B die Struktur des Red Hat Linux Dateisystems bis hin zu den Details wie z B die Systemsicherheits und Authentifizierungskontrolle hoffen wir dass dieses Buch zu einem wertvollen Nachschlagewerk f r Sie wird Wenn Sie ein wenig mehr ber die Funktionsweise Ihres Red Hat Linux Systems erfahren m chten ist dieser Leitfaden genau das Richtige f r Sie Es werden unter anderem folgende Themen behandelt e Struktur des Dateisystems Boot Prozess Das X Window System Sicherheits Tools Netzwerkleistungen 1 Anderungen an diesem Handbuch Dieses Handbuch wurde zur besseren Ubersicht neu angeordnet und mit den neuesten Merkmalen von Red Hat Linux 9 aktualisiert Zu den nder
279. ensgebung f r Dateisysteme bei GRUB wie folgt aus lt type of device gt lt bios device number gt lt partition number gt Klammern und Kommata sind wichtige Elemente in den Konventionen der Ger tebezeichnungen Der lt Ger tetyp gt gibt an ob eine Festplatte hd oder Diskette fd angegeben wurde Die lt BIOS Ger tenummer gt ist die Nummer des Ger ts gem dem System BIOS die mit 0 be ginnt Die prim re IDE Festplatte ist mit 0 die sekund re IDE Festplatte mit 1 nummeriert Diese Anordnung entspricht ungef hr der Art in der der Linux Kernel die Ger te nach Buchstaben anord net wobei sich a in hda auf 0 b in hab auf 1 usw bezieht f Anmerkung Das Nummeriersystem von GRUB f r Ger te beginnt bei o und nicht bei 1 Fehler bei der Unterschei dung geh ren zu den h ufigsten Fehlern die von neuen GRUB Benutzern begangen werden Die lt Partitionsnummer gt bezieht sich auf die Nummer einer spezifischen Partition auf einem Plattenger t Wie die lt BIOS Ger tenummer gt beginnt die Nummerierung der Partitionen bei 0 W hrend die meisten Partitionen mit Nummern bezeichnet werden werden sie durch Buchstaben wie a oder c angegeben wenn Ihr System BSD Partitionen verwendet Bei GRUB gelten die folgenden Regeln f r die Bezeichnung von Ger ten und Partitionen Unabh ngig davon ob es sich bei den Festplatten um IDE oder SCSI Festplatten handelt beginnen alle Festplatten mit ha Disketten dagegen beginnen mit
280. enste zu haben die portmap verwenden Der Befehl rpcinfo zeigt jeden RPC basierten Dienst mit Port Nummer RPC Programmnummer Version und dem Typ des IP Protokolls TCP oder UDP an Sie k nnen rpcinfo p verwenden um sicherzustellen dass die richtigen NFS RPC basierten Dien ste f r portmap aktiviert sind program vers proto port Kapitel 9 Network File System NFS 113 00000 2 tcp 111 portmapper 00000 2 udp 111 portmapper 00024 1 udp 024 status 00024 1 tcp 024 status 00011 1 udp 819 rquotad 00011 2 udp 819 rquotad 00005 1 udp 027 mountd 00005 1 tcp 106 mountd 00005 2 udp 027 mountd 00005 2 tcp 106 mountd 00005 3 udp 027 mountd 00005 3 tcp 106 mountd 00003 2 udp 2049 nfs 00003 3 udp 2049 nfs 00021 1 udp 028 nlockmgr 00021 3 udp 028 nlockmgr 00021 4 udp 028 nlockmgr Die Option p pr ft den Portmapper auf einem bestimmten Host bzw schl gt standardm ig localhost vor wenn kein spezieller Host aufgef hrt ist Auf der rpcinfo man Seite stehen weitere Optionen zur Verf gung Im oben aufgef hrten Output werden NFS Dienste angezeigt die ausgef hrt werden Wenn einer der NFS Dienste nicht korrekt startet kann portmap die RPC Anfragen von Clients f r diesen Dienst nicht dem richtigen Port zuordnen In vielen F llen f hrt das Neustarten von NFS als Root sbin service nfs restart dazu dass der Dienst korrekt in portmap registriert werden und arbeiten kann 9 2 NFS Server Konfigurationsdateien Das Konf
281. enthalten Informationen zu jedem im System laufenden Prozess 5 1 1 Anzeigen virtueller Dateien Mit cat more oder less k nnen Sie die Dateien in proc mit ihrem enormen Informationsgehalt ber das System direkt auslesen Wenn Sie z B wissen m chten welche Art von CPU ein Computer hat geben Sie den Befehl cat proc cpuinfo ein und es erscheint in etwa Folgendes processor 0 vendor_id AuthenticAMD cpu family 5 model 9 model name AMD K6 tm 3D Processor stepping 1 cpu MHz 400 919 cache size 256 KB fdiv_bug no hlt_bug no f00f_bug no coma_bug no fpu yes fpu_exception yes cpuid level 1 46 Kapitel 5 Das proc Dateisystem wp yes flags fpu vme de pse tsc msr mce cx8 pge mmx syscall 3dnow k6_mtrr bogomips 799 53 Bei der Anzeige unterschiedlicher virtueller Dateien im Dateisystem proc werden Sie feststellen dass einige Informationen leicht verst ndlich sind andere wiederum nicht lesbar sind Aus diesem Grund gibt es Dienstprogramme mit deren Hilfe Daten aus virtuellen Dateien lesbar angezeigt wer den Beispiele f r diese Applikationen sind lspci apm free und top f Anmerkung Einige virtuelle Dateien im proc k nnen nur vom root gelesen werden 5 1 2 ndern virtueller Dateien Im Allgemeinen sind die meisten virtuellen Dateien im Verzeichnis proc schreibgsch tzt Einige k nnen jedoch dazu verwendet werden Anderungen der Kernel Einstellungen vorzunehmen Das gilt
282. enutzer und Rescue Modus sehen Sie Kapitel Rescue Modus im Red Hat Linux Handbuch benutzerdefinierter Konfiguration Es ist m glich den Default Runlevel zur Bootzeit zu ndern indem Sie die Argumente ndern die der Bootloader dem Kernel bergibt Weitere Informationen zum Andern der Runlevel zur Bootzeit finden Sie unter Abschnitt 2 10 1 4 2 Runlevel Utilities Einer der besten Wege die Runlevels zu konfigurieren ist die Verwendung eines Jnitscript Utility Diese Tools erleichtern den Task die Dateien in der SysV init Verzeichnishierarchie zu warten und nimmt es den Systemadministratoren ab die gro e Anzahl von symbolischen Links in den Unterver zeichnissen von etc rc d direkt ndern zu m ssen Red Hat Linux stellt drei dieser Utilities zur Verf gung sbin chkconfig Das sbin chkconfig Utility stellt ein einfaches Befehlszeilentool f r die Pflege der etc rc d init d Verzeichnishierarchie zur Verf gung sbin ntsysv Das ncurses basierte sbin ntsysv Utility stellt eine interaktive textbasierte Ober fl che zur Verf gung was einige benutzerfreundlicher finden als die Befehlszeilenoberfl che von chkconfig Services Konfigurationstool Das graphische Services Konfigurationstool redhat config services Programm ist ein flexibles GTK2 basiertes Utility zum Konfigurieren der Runlevels Im Kapitel Kontrolle des Zugriffs auf die Dienste im Red Hat Linux Handbuch benutzerdefinierter Konfiguration finden
283. equired lib security pam_unix so Die erste Zeile ist ein Kommentar was durch das Hash Zeichen am Anfang der Zeile erkenntlich ist Die Zeilen zwei bis vier stellen drei Module in den Stack f r die Authentifizierung bei der Anmeldung auth required lib security pam_securetty so Wenn der Benutzer sich als Root anzumelden versucht stellt dieses Modul sicher dass das Terminal an dem er sich anmeldet in der Datei etc securetty aufgef hrt ist falls solch eine Datei existiert auth required lib security pam_unix so shadow nullok Dieses Modul fragt den Benutzer nach einem Passwort und berpr ft dieses Passwort anhand der in etc passwd und falls vorhanden in etc shadow gespeicherten Informationen Das Modul pam_unix so erkennt die in etc shadow gespeicherten Shadow Passw rter und verwendet sie zu Authentifizierung von Benutzern Im Abschnitt 6 5 finden Sie weitere Informationen ber Shadow Passw rter Das Argument nullok weist das Modul pam_unix so an ein leeres Passwort zuzulassen auth required lib security pam_nologin so Das ist der letzte Schritt der Authentifizierung Die Zeile pr ft ob die Datei etc nologin existiert Falls nologin existiert und der Benutzer nicht als Root angemeldet ist schl gt die Authentifizierung fehl Kapitel 14 Pluggable Authentication Modules PAM 215 i Anmerkung In diesem Beispiel werden alle drei auth Module berpr ft auch wenn schon beim ersten auth Modul Fehler auftrete
284. er et c named conf Datei vorhanden sein Das folgende Beispiel einer cont rols Anweisung erm glicht es Ihnen rndc Befehle vom lokalen Host auszuf hren controls inet 127 0 0 1 allow localhost keys lt key name gt l Diese Anweisung weist named an am standardm igen TCP Port 953 nach Loopback Adressen zu suchen und l sst rndc Befehle zu die vom lokalen Host ausgef hrt werden wenn der richtige Schl s sel angegeben wird Der lt key name gt bezieht sich auf die key Direktive die sich auch in der etc named conf Datei befindet Im n chsten Beispiel wird eine key Anweisung veranschaulicht key lt key name gt algorithm hmac md5 secret lt key value gt Kapitel 12 Berkeley Internet Name Domain BIND 191 k In diesem Beispiel ist lt key value gt ein HMAC MD5 Schl ssel Mit dem nachfolgenden Befehl k nnen Sie Ihre eigenen HMAC MDS Schliissel erstellen dnssec keygen a hmac md5 b lt bit length gt n HOST lt key file name gt Es empfiehlt sich einen Schl ssel mit einer Gr e von mindestens 256 Bit zu erstellen Der aktuelle Schl ssel sollte im lt key value gt Bereich unter lt key file name gt gespeichert sein O senna Da etc named conf von jedem gelesen werden kann ist es angeraten die key Anweisung in eine separate Datei auszulagern welche nur von root gelesen werden kann und eine include Anweisung zu verwenden um diese Datei einzubinden wie im folgenden Beispiel inclu
285. er te auf diesem System Jeder IDE Kanal wird von einem seperaten Verzeichnis wie z B proc ide ide0 und proc ide idel repr sen tiert Zus tzlich gibt es eine drivers Datei die die Versionsnummer der verschiedenen in diesem IDE Kanal verwendeten Treiber darstellt ide cdrom version 4 59 ide floppy version 0 97 ide disk version 1 10 Viele Chips tze bieten eine Informationsdatei in diesem Verzeichnis an welche zus tzliche Daten betreffend der Festplatten die ber die Kan le angebunden sind ausgibt Zum Beispiel gibt ein ge nerischer Intel PIIX4 Ultra 33 Chipsatz eine Datei proc ide piix aus die Ihnen zeigt ob DMA oder UDMA f r Ger te an den IDE Kan len aktiviert sind 64 Kapitel 5 Das proc Dateisystem Intel PIIX4 Ultra 33 Chipset nn Primary Channel Secondary Channel enabled enabled Senso sennn drive s drivel drivel lt lt drivel DMA enabled yes no yes no UDMA enabled yes no no no UDMA enabled 2 X X X UDMA DMA PIO Im Verzeichnis eines IDE Kanals wie z B ideo f r den ersten Kanal finden Sie noch mehr Informa tionen Die Datei channe1 zeigt die Kanalnummer an wohingegen die Datei mode1 den Bustyp am Kanal anzeigt z B pci 5 3 5 1 Das Ger te Verzeichnis In jedem IDE Kanal Verzeichnis befindet sich ein Ger te Verzeichnis Der Name des Ger te Verzeichnisses entspricht dem Laufwerksbuchstaben im dev Verzeichnis So ist z B das
286. er Zone an Folgend ist eine Liste der giiltigen Optionen forward Weist den Nameserver an alle Anfragen zu Informationen ber die Zone an andere Nameserver weiterzuleiten hint Ein spezieller Zonen Typ mit dem auf die Root Nameserver verwiesen wird die ver wendet werden um Abfragen zu l sen wenn eine Zone ansonsten unbekannt ist Sie brauchen neben der Standarddatei etc named conf keine zus tzliche Hinweisdatei konfigurieren master Bezeichnet den Nameserver der f r diese Zone ma geblich ist Wenn die Konfigu rationsdateien f r diese Zone auf Ihrem System sind sollte der master Typ eingestellt werden e slave Bezeichnet den Nameserver der f r diese Zone der Slave Server ist und der named mitteilt die Zonen Konfigurationsdateien f r diese Zone von der IP Adresse des Master Nameservers abzufragen zone statistics Weist named an die Statistiken ber diese Zone aufzubewahren und diese entweder in der Standard Datei var named named stats oder an einer Stelle abzulegen die mit der statistics file Option in der server Anweisung sofern vorhanden daf r ein gerichtet wurde Sehen Sie Abschnitt 12 2 2 f r mehr Information ber das server Statement 12 2 1 5 Beispiele von zone Statements Die meisten nderungen in der etc named conf Datei eines Master oder Slave Nameservers betreffen das Hinzuf gen Modifizieren oder L schen von zone Direktiven Obwohl diese zone Anweisungen mehrere Option
287. er auf der Grundlage seines Sicherheitsmodells unterst tzen m chte und der Client kann festlegen in welcher Reihenfolge er die verschiedenen ver f gbaren Authentifizierungsmethoden verwendet Dank der Sicherheit der SSH Transportschicht sind auch scheinbar unsichere Authentifizierungsmethoden wie Host und Passwort basierte Authentifi zierung sicher 18 3 3 Verbindungskan le Nach der erfolgreichen Authentifizierung ber die SSH Transportschicht werden mehrere Kan le channels unter Verwendung von Multiplexing ge ffnet Jeder der Kan le bearbeitet die Mitteilun gen f r eine andere Terminal oder weitergeleitete X11 Sitzung Sowohl Clients als auch Server k nnen einen neuen Kanal erstellen wobei jedem Kanal an jedem Ende eine unterschiedliche Nummer zugewiesen wird Wenn eine Seite einen neuen Kanal ffnen m chte wird die Nummer der entsprechenden Seite des Kanals mit der Anforderung bermittelt Diese Information wird von der anderen Seite gespeichert und verwendet um eine bestimmte Mittei lung an diesen Kanal weiterzuleiten Ziel ist zu vermeiden dass sich verschiedene Arten Sessionen beeinflussen und die Kan le geschlossen werden k nnen ohne die prim re SSH Verbindung zwischen den beiden Systemen zu unterbrechen Kan le unterst tzen auch die Datenflusskontrolle was es ihnen erm glicht Daten geordnet zu senden und zu empfangen Auf diese Weise werden Daten erst dann ber den Kanal gesendet wenn der Host Rechne
288. er automatisch die Hardware erkennen oder Sie m ssen die Einstellungen im Modulquellcode manuell ndern und neu kompilieren Hardware Modul Parameter ATAPI IDE CD ROM hdXx cdrom Laufwerke Aztech CD268 01A Orchid aztcd o azted I O_Port CD 3110 Okano Wearnes CDD110 Conrad TXC CyCDROM CRS520 CyCDROM CRS540 nicht IDE Sony CDU 31A CD ROM cdu3la o cdu3la 1 0_Port IRO ODER cdu3la_port Basisadresse cdu3la_irg IRQ Philips LMS CD ROM cm206 I O_Port IRQ Laufwerk 206 mit cm260 Hostadapterkarte Goldstar R420 CD ROM ISP16 MAD16 oder ispl6 I O_Port IRQ DMA Mozart Soundkarte Laufwerkt yp ODER CD ROM Schnittstelle OPTi isp16_cdrom_base I O_Port 82C928 und OPTi 82C929 mit isp16_cdrom_irq IRO Sanyo Panasonic Sony oder isp16_cdrom_dma DMA Mitsumi Laufwerken ispl6_cdrom_type Laufwerktyp Mitsumi CD ROM Standard Mitsumi CD ROM mcdx o medx I O_Port_1 IRQ_1 Experimentalversion I O_Port_N IRQ_N Anhang A Allgemeine Parameter und Module 283 Hardware Modul Parameter Optics storage 8000 AT optcd o Dolphin Laufwerk Lasermate CR328A Parallel Port IDE CD ROM pedo SB Pro 16 kompatibel sbpcd I O_Port Sanyo CDR H94A sjcd o sjcd I O_Port ODER sjcd_base I O_Port Sony CDU 535 amp 531 einige sonycd535 0 sonycd535 I 0_Port Procomm Laufwerke Tabelle A 1 Hardware Parameter Nachfolgend einige Beispiele zur Verwendung dieser Module Konfiguration ATAPI CD ROM Jumpereinstellung als Maste
289. er root f r den Principal sollte imap sein e CVS CVS s kerberisierter gserver verwendet einen Principal mit cvs als root Andern falls stimmt er mit pserver berein 254 Kapitel 17 Kerberos F r detaillierte Informationen zum Aktivieren von Services sehen Sie das Kapitel Zugriffskon trolle f r Dienste im Red Hat Linux Handbuch benutzerdefinierter Konfiguration 17 7 Zus tzliche Ressourcen Weitere Informationen zu Kerberos finden Sie in folgenden Ressourcen 17 7 1 Installierte Dokumentation e usr share doc krb5 server lt version number gt Die Kerberos V5 Installation Guide und die Kerberos V5 System Administrator s Guide in den Formaten PostScript und HTML Das krb5 server Paket muss installiert sein e usr share doc krb5 workstation lt version number gt Die Kerberos V5 UNIX User s Guide in den Formaten PostScript und HTML Das krb5 workstation Paket muss installiert sein 17 7 2 Hilfreiche Webseiten http web mit edu kerberos www Kerberos The Network Authentication Protocol Webseite vom MIT http www nrl navy mil CCS people kenh kerberos fag html Die Seite mit den am h ufigsten gestellten Fragen zu Kerberos Frequently Asked Questions FAQ ftp athena dist mit edu pub kerberos doc usenix PS Die PostScript Version von Kerberos An Authentication Service for Open Network Systems von Jennifer G Steiner Clifford Neuman und Jeffrey I Schiller Dieses Dokument ist die Or
290. erden 10 5 28 Allow Allow gibt an welcher Anforderer auf ein bestimmtes Verzeichnis zugreifen darf Der Anforde rer kann sein all ein Dom nenname eine IP Adresse ein Teil einer IP Adresse ein Netzwerk Netzmasken Paar usw Ihr Document Root Verzeichnis ist so konfiguriert dass durch Allow Anfor derungen von all d h allen Anforderern erlaubt sind 10 5 29 Deny Deny funktioniert genauso wie Allow wobei angegeben wird wem der Zugriff nicht gestattet ist In Ihrer Document Root sind standardm ig keine Deny Anweisungen enthalten 10 5 30 UserDir UserDir ist der Name des Unterverzeichnisses innerhalb eines Home Verzeichnisses jedes Benut zers wo private HTML Seiten abgelegt werden k nnen die vom Web Server bereitgestellt werden sollen Die Standardeinstellung f r das Unterverzeichnis ist public_html Zum Beispiel k nnte der Server die folgende Anforderung erhalten http example com username foo html Der Server sucht daraufhin die Datei home username public_html foo html Im obigen Beispiel ist home username das Home Verzeichnis des Benutzers Beachten Sie bit te dass der Standardpfad zu den Home Verzeichnissen von Benutzern auf Ihrem System abweichen kann berpr fen Sie ob die Zugriffsberechtigungen f r die Home Verzeichnisse der Benutzer richtig ein gestellt sind Die richtige Einstellung ist 0755 F r die public_html Verzeichnisse der Benutzer m ssen die read r und execute x Bits einge
291. erden die grundlegenden Phasen des Bootprozesses f r ein x86 System beschrieben 1 Das System BIOS pr ft das System und startet den ersten Bootloader auf dem MBR der prim ren Festplatte 2 Der Bootloader der ersten Phase wird in den Arbeitsspeicher geladen und startet den Bootloader der zweiten Phase von der boot Partition 3 Der Bootloader der zweiten Phase l dt den Kernel in den Arbeitsspeicher welcher wiederum seinerseits alle erforderlichen Module l dt und die root Partition als schreibgesch tzt mountet 4 Der Kernel bergibt die Steuerung des Bootprozesses an das Programm sbin init 5 Das Programm sbin init l dt alle Dienste und Tools des Arbeitsplatzes und mountet alle in etc fstab genannten Partitionen 6 Dem Benutzer wird eine Anmeldeaufforderung f r das gerade gestartete Linux System angezeigt Da das Konfigurieren des Bootprozesses h ufiger ist als die individuelle Gestaltung des Herunterfah rens wird im restlichen Kapitel die Funktionsweise des Bootprozesses sowie die individuelle Anpas sung an Ihre Bed rfnisse detailliert behandelt 1 2 Der Bootprozess im Detail Der wirkliche Beginn des Bootprozesses h ngt von der verwendeten Hardware Plattform ab Sobald jedoch der Kernel vom System gefunden und geladen wurde ist der standardm ige Bootprozess auf allen Architekturen identisch Dieses Kapitel bezieht sich auf eine x86 Architektur 1 2 1 Das BIOS Wenn ein x86 Computer gestartet wird sucht
292. erfordern sichere HTTP bertragungen mehr Zeit als nicht verschl sselte bertragungen da w hrend der sicheren Transaktionen erheblich mehr Informationen ausgetauscht werden Die Verwendung Ihres Secure Servers f r unverschl sselten Web Datenverkehr ist daher nicht zu empfehlen Wichtig Verwenden Sie keinen namensbasierten virtuellen Host in Verbindung mit einem Secure Web Server da der SSL Handshake stattfindet bevor die HTTP Anforderung den entsprechenden namensbasierten virtuellen Host identifiziert Namensbasierte virtuelle Hosts arbeiten nur mit normalen Web Servern Kapitel 10 Apache 153 Die Konfigurationsanweisungen f r Ihren Secure Server sind in der Datei etc httpd conf d ssl conf innerhalb von VirtualHost Tags untergebracht Standardm ig verwenden sowohl der sichere als auch der normale Web Server dieselbe Documen tRoot Es wird empfohlen dass der Secure Web Server eine andere DocumentRoot verwendet Um zu verhindern dass der normale Web Server weiterhin Verbindungen akzeptiert kommentieren Sie die Zeile in httpd conf aus welche Listen 80 enth lt Stellen Sie dieser wie folgt ein Hash Symbol voran Listen 80 F r weitere Informationen zum Konfigurieren eines SSL Web Server sehen Sie das Kapitel Konfigu ration von Apache HTTP Secure Server im Red Hat Linux Handbuch benutzerdefinierter Konfigura tion F r fortgeschrittene Konfigurationshinweise sehen Sie die Dokumentation der Apache Software Foundation
293. erste IDE Laufwerk in ide0 hda f Anmerkung F r jedes dieser Ger te Verzeichnisse gibt es einen symbolischen Link zum proc ide Verzeichnis Jedes Ger te Verzeichnis enth lt eine Sammlung von Informationen und Statistiken Der Inhalt dieser Verzeichnisse ver ndert sich je nach angesprochenem Ger t Einige der wichtigen Dateien die bei verschiedenen Ger ten vorhanden sind umfassen unter anderem cache Der Ger te Cache capacity Die Kapazit t des Ger tes in 512 Byte Bl cken e driver Treiber und Treiberversion die benutzt wird um das Ger t anzusprechen geomet ry Physische und logische Geometrie des Ger tes media Der Ger te Typ wie zum Beispiel disk model Modellname oder Nummer des Ger tes settings Eine Liste von aktuellen Parametern des Ger tes Diese Datei enth lt normalerweise einige wissenswerte technische Informationen Eine beispielhafte settings Datei f r eine Stan dard IDE Festplatte sieht so aus name value min max mode bios_cyl 784 0 65535 rw bios_head 255 0 255 rw bios_sect 63 0 63 rw breada_readahead 4 0 127 rw bswap 0 0 1 r current_speed 66 0 69 rw file_readahead 0 0 2097151 rw ide_scsi 0 0 1 rw Kapitel 5 Das proc Dateisystem 65 init_speed 66 0 69 rw io_32bit 0 0 3 rw keepsettings 0 0 rw lun 0 0 rw max_kb_per_request 64 1 27 rw multcount 8 0 8 rw nicel 1 0 rw nowerr 0 0 rw number 0 0 3 rw pio_mode write only 0 255 w slow 0 0 rw unmaskirq
294. erstellen Sie einfach eine Datei mit dem Namen etc sysconfig apm scripts apmcontinue die am Ende des Skripts aufgerufen wird Sie k nnen das Skript auch mittels der Bearbeitung von etc sysconfig apmd steuern cbq Dieses Verzeichnis enth lt die Konfigurationsdateien f r das Class Based Queuing im Rahmen der Verwaltung der Daten bertragungsrate von Netzwerk Schnittstellen networking Dieses Verzeichnis wird f r das Red Hat Network Administration Tool ver wendet und sollte nicht manuell bearbeitet werden Weitere Informationen zur Konfiguration von Schnittstellen mit dem Red Hat Network Administration Tool finden Sie im Kapitel Netzw erkkonfiguration im Red Hat Linux Handbuch benutzerdefinierter Konfiguration network scripts Dieses Verzeichnis enth lt die folgenden netzwerkrelevanten Konfigura tionsdateien Netzwerk Konfigurationsdateien f r jede einzelne konfigurierte Schnittstelle wie z B ifcfg eth0 f r die eth0 Ethernet Schnittstelle Skripts zur Aktivierung und Deaktivierung von Netzwerk Schnittstellen wie z B i fup und if down Skripts zur Aktivierung und Deaktivierung von ISDN Schnittstellen wie z B ifup isdn und ifdown isdn Verschiedene Skripte zu gemeinsam genutzten Netzwerk Funktionen die nicht unmittelbar be rarbeitet werden sollten Weitere Informationen zum Verzeichnis network scripts finden Sie unter Kapitel 8 rhn Dieses Verzeichnis enth lt die Konfigurationsdateien
295. ert Initio INI IX00U UW initio o SCSI Hostadapter AMI MegaRAID 418 428 438 megaraid o 466 762 NCR SCSI Controller mit ncr53c8xx o ner53c8xx Optionil Wert1 810 810A 815 Option2 Wert2 ODER 825 825 A 860 875 876 895 ner53c8xx Optionl Wert1 Chipsatzen option2 Wert2 Pro Audio Spectrum Studio 16 oe 286 Anhang A Allgemeine Parameter und Module hardware _ od __ Prete _ PCI 22201 BIDE RAID IOMEGA PPA3 paralleler ppa o SCSI Anschlussadapter Perceptive Solutions PSI 240I psi240i o ree gee o o ooo 1280 m o Qlogic 2x00 S 2x00 fqia2x00 0 sd o QLogic Fast SCSI FASXXX qlogicfas o ISA VLB PCMCIA Logie SR QLogic ISP1020 Intelligent qlogicisp o SCSI Karten IQ PCI IQ PCI 10 IQ PCI D Qlogic ISPIOOSCSISBUS atosietio S Future Domain TMC 885 seagate o controller_type 2 TMC 950 Seagate ST 01 02 base_address Basisadresse Future Domain TMC 8xx irg IRO Karten mit dem sym53c416 0 sym53c416 PORTBASIS IRQ sym53c416 Chipsatz ODER sym53c416 i0 PORTBASTS irq IRO Trantor T128 T128F T228 a ae SCSI Hostadapter a S UlraStor 14 24F und 34F uitrastoro L wp7000seie um Tabelle A 3 SCSI Parameter Nachfolgend einige Beispiele zur Verwendung dieser Module Konfiguration Adaptec AHA1522 an Port 330 IRQ 11 SCSI ahal52x 0x330 11 7 ID7 Adaptec AHA1542 an Port 330 bases 0x330 Future Domain TMC 800 an CA000 IRQ 10 controller_type 2 base_address 0xca000 irq 10 Tabell
296. erzeichen in der Datei sein es sei denn sie werden in Kommentarzeilen verwendet So bedeuten zum Beispiel die folgenden beiden Zeilen nicht das gleiche home bob example com rw home bob example com rw 116 Kapitel 9 Network File System NFS Die erste Zeile erlaubt nur Benutzern von bob example com den Zugriff im Read Write Modus auf das Verzeichnis home Die zweite Zeile erlaubt Benutzern von bob example com das Verzeichnis im schreibgesch tzten Modus zu mounten der Standard alle anderen k nnen es im Read Write Modus mounten 9 3 NFS Client Konfigurationsdateien Jedes NFS Share das von einem Server erm glicht wird kann auf verschiedene Weise gemountet werden Das Share kann nat rlich auch manuell mit dem Befehl mount gemountet werden um das exportierte Dateisystem an einem bestimmten Mount Punkt zu erhalten Dazu ist es jedoch erfor derlich dass der Root bei jedem Neustart den Befehl mount eingeben mu Zwei Methoden NFS Mounts zu konfigurieren sind das Modifizieren von etc fstab oder das Verwenden des autofs Dienstes 9 3 1 etc fstab Das Einf gen einer korrekt formatierten Zeile in die Datei etc fstab hat den gleichen Effekt wie das manuelle Mounten des exportierten Dateisystems Die etc fstab Datei wird w hrend des Systemstarts von dem Skript etc rc d init d netfs gelesen und die darin enthaltenen NFS Shares werden gemountet Zum Beispiel sieht die Zeile etc fstab zum Mounten eines NFS Expor
297. eter und Module 289 Hardware Parameter Intel i82557 182558 PCI eeprol00 0 EtherExpressPro Treiber Intel EtherExpress 16 eexpress o eexpress I O_Port IRQ ODER eexpress 182586 io I O_Port irg IRO options 0x10 10base T half duplex 0x20 10base T full duplex 0x100 100base T half duplex 0x200 100baseT full duplex SMC EtherPower II 9432 epic100 0 PCI 83c170 175 EPIC Serie Racal Interlan ES3210 es3210 0 EISA ICL EtherTeam 161 32 ethl6i o ethl6i 1 0_Port IRO ODER ethl6i EISA ioaddr I O_Port IRQ IRO EtherWORKS 3 DE203 ewrk3 0 ewrk I O_Port IRQ ODER ewrk DE204 und DE205 io I O_Port irg IRO A Packet Engines GNIC II hamachi o Gigabit HP PCLAN plus hp plus 1 0_Port IRQ ODER hp plus io I O_Port irg IRO HP LAN Ethernet hp o hp I O_Port IRO ODER hp io I O_Port irg IRO 100VG AnyLan hp100 1 0_Port Name ODER hp100 Netzwerkadapter HP hp100_port I O_Port J2585B J2585A J2970 hp100_name Name J2973 J2573 Compex ReadyLink ENET100 VG4 FreedomLine 100 VG IBM Token Ring 16 4 ibmtr o ibmtr I O_Port ODER io I O_Port Shared Memory IBM Token Ring 16 4 AT1500 HP J2405A die lance o meisten NE2100 clone Mylex LNESSOEISA ins o y O NatSemi DP83815 Fast natsemi o Ethernet NE1000 NE2000 ne o ne I O_Port IRO ODER ne nicht pci io I O_Port irg IRO 290 Anhang A Allgemeine Parameter und Module Hardware Modul sid Parameter PCI NE2000 Karten ne2k pci o RealTEk RTL 8029 Winbond 89C940 Compex
298. etern die zur Festlegung des Erscheinungsbilds der vom Server erstellten Verzeichnisse verwendet werden k nnen Zu diesen Parametern geh ren IconHeight und IconWidth durch die der Server angewiesen wird die HTML Tags HEIGHT und WIDTH f r die Symbole in vom Server erstellten Web Seiten zu verwenden sowie IconsAre Links durch die die Symbole zusammen mit dem Dateinamen als Teil des HTML Ankers f r den Link verwendet werden k nnen 10 5 47 AddIconByEncoding Diese Anweisung bestimmt die Symbole die in vom Server erstellten Verzeichnislisten f r Datei en mit MIME Encoding angezeigt werden Zum Beispiel verwendet der Web Server in vom Server erstellten Verzeichnislisten standardm ig f r MIME codierte x compress und x gzip Dateien das Symbol compressed gif Kapitel 10 Apache 145 10 5 48 AddIconByType In dieser Anweisung werden Symbole angegeben die in vom Server erstellten Verzeichnislisten fiir Dateien mit MIME Types angezeigt werden Ihr Server ist zum Beispiel so konfiguriert dass in vom Server erstellten Verzeichnislisten f r Dateien mit dem Mime Type text das Symbol text gif angezeigt wird 10 5 49 AddIcon AddIcon gibt an welche Symbole in vom Server erstellten Verzeichnislisten f r bestimmte Dateity pen bzw f r Dateien mit bestimmten Erweiterungen anzuzeigen sind Zum Beispiel ist Ihr Web Server so konfiguriert dass das Symbol binary gif f r Dateien mit der Erweiterung bin oder exe ver wendet wird 10 5
299. ev ev ev ev t2 ev rootfs bdev proc sockfs tmpfs shm pipefs ramfs iso9660 noq ex noq noq ev t3 ev ev devpts autofs binfmt_misc Die erste Spalte zeigt an ob die Dateisysteme auf einem Block Ger t liegen wenn in der ersten Spalte nodev steht bedeutet das dass Sie nicht auf ein Block Ger t gemountet sind Die zweite Spalte zeigt die Namen des unterst tzten Dateisystems an Der mount Befehl durchsucht die hier aufgelisteten Dateisysteme wenn eines nicht als Argument angegeben wurde 5 2 9 proc interrupts Diese Datei zeigt die Anzahl von Interrupts pro IRQ auf der x86 Architektur an Eine typische proc interrupts Datei hnelt dem Folgenden 0 13 2 8 10 12 14 15 NMI ERR CPUO 80448 174 410 60 1314 5195 940 412 0 1 964 330 121 422 0 0 XT PIC timer XT PIC keyboard XT PIC cascade XT PIC rtc XT PIC eth0 XT PIC XT PIC ideO XT PIC idel PS 2 Mouse Bei einer Multi Prozessor Maschine sieht dies etwas anders aus NMI CPUO 1366814704 5 11184 8450043 10 128 0 0 323 1 294 432 23 0 CPU1 0 340 0 1 5793 0 15940594 11120093 10722 22 XT PIC IO APIC edge XT PIC IO APIC edge IO APIC edge XT PIC IO APIC level IO APIC level IO APIC level IO APIC level timer keyboard cascade rtc PS 2 Mouse fpu Intel EtherExpress Pro 10 100 Ethernet megaraid aic7xxx aic7xxx Kapitel 5 Das proc
300. ev vc 0 dev vc 0 4 0 system vtmaster dev ptmx dev ptmx 5 2 system dev console dev console 5 1 system console dev tty dev tty 5 0 system dev tty unknown dev vc d 4 1 63 console Die Datei proc tty driver serial listet die Nutzungs Statistik und den Status jedes der seriel len TTY Ger te auf Damit TTY Ger te hnlich wie Netzwerk Ger te benutzt werden k nnen stellt der Kernel line disci pline f r das Ger t ein Das erlaubt dem Treiber einen bestimmten Headertyp mit jedem Datenblock der ber das Ger t geht zu transferieren dieser Header macht das Paket zu einem Paket in einem 76 Kapitel 5 Das proc Dateisystem Stream SLIP und PPP sind allgemein bekannte Line Disciplines und werden vor allem benutzt um Systeme ber eine serielle Verbindung zu koppeln Registrierte Line Disciplines werden in der Datei 1discs gespeichert detaillierte Informationen fin den Sie im Verzeichnis ldisc 5 4 Benutzen von sysct1 Der Befehl sbin sysct1 wird zum Betrachten Setzen und Automatisieren von Kerneleinstellun gen im Verzeichnis proc sys verwendet Um einen schnellen berblick ber alle konfigurierbaren Einstellungen im Verzeichnis proc sys zu bekommen geben Sie den Befehl sbin sysct1 a als root ein Dies gibt eine lange umfassen de Liste aus ein kleiner Teil dieser Liste k nnte z B so aussehen net ipv4 route min_delay 2 kernel sysrq 0 kernel sem 250 32000 32 128 Das ist im Prinzip diesselbe Informatio
301. example com gt lt Location gt Auch hier muss lt example com gt entsprechend ersetzt werden 148 Kapitel 10 Apache 10 5 64 ProxyRequests Um Apache HTTP Server als einen Proxy Server konfigurieren entfernen Sie die Kommentarsymbo le aus der lt IfModule mod_proxy c gt Zeile um das mod_proxy Modul zu laden und setzen Sie die ProxyRequests Anweisung auf On 10 5 65 Proxy Die Tags lt Proxy gt und lt Proxy gt bestimmen einen Container welcher eine Gruppe von Konfi gurationsanweisungen umschlie t die nur auf den Proxy Server angewandt werden sollen Viele auf ein Verzeichnis anzuwendende Anweisungen k nnen in lt Proxy gt Tags eingeschlossen werden 10 5 66 ProxyVia Der Befehl ProxyVia legt f r einen HTTP Via Header fest ob dieser zusammen mit Anforderungen oder Antworten gesendet wird die ber den Apache Proxy Server laufen Wenn der ProxyVia auf On eingestellt ist enth lt der Via Header den Host Namen f r Full Host Namen und die Apache HTTP Server Version alle Via Header werden unver ndert weitergegeben wenn auf off und die Via Header werden entfernt bei Einstellung auf Block 10 5 67 Cache Anweisungen Eine Reihe von auskommentierten Cache Anweisungen sind in der Standardkonfigurationsdatei von Apache HTTP Server enthalten Wenn Sie die Proxy Server Funktion nutzen und auch den Proxy Cache aktivieren m chten sollten Sie die Kommentar Symbole am Anfang der Zeile entfernen Die folgende S
302. f r man Seiten Gro e Pakete die zahlreiche Unterpakete umfassen die jeweils verschiedene Aufgaben erf llen wer den in opt positioniert so dass das gro e Paket eine standardm ige Organisation erh lt Das sample Paket kann auf diese Weise verschiedene Tools in eigenen Unterverzeichnissen besitzen beispielsweise opt sample tool1 und opt sample to012 die wiederum ihre eigenen Ver zeichnisse wie bin oder man u aufweisen 3 2 1 6 Das proc Verzeichnis Das proc Verzeichnis enth lt spezielle Dateien die entweder Informationen zum Kernel schicken oder sie vom Kernel erhalten Aufgrund der gro en Anzahl verf gbarer Daten in proc und der vielen Verwendungsm glichkeiten dieses Verzeichnisses im Zusammenhang mit dem Kernel wurde diesem Thema ein ganzes Kapitel gewidmet Weitere Informationen hierzu finden Sie unter Kapitel 5 3 2 1 7 Das sbin Verzeichnis Das sbin Verzeichnis enth lt die ausf hrbaren Dateien die nur vom root Benutzer ausgef hrt werden k nnen Die ausf hrbaren Dateien in sbin dienen ausschlie lich dem Booten und Mounten von usr sowie den Wiederherstellungsvorg ngen innerhalb des Systems FHS bedeutet sbin enth lt typischerweise Dateien die zum Booten des Systems unerl sslich sind sowie Bin rdatei en in bin Jede nach dem Mounten von usr verwendete ausf hrbare Datei sofern keine Probleme auftreten sollte in usr sbin abgelegt werden Rein lokale Systemverwaltungs Bin
303. f Eingabe welche die neuen Eintr ge enth lt e slapcat Entnimmt Eintr ge aus einem LDAP Verzeichnis im Standardformat Berkeley DB und speichert diese in einer LDIF Datei Der Befehl usr sbin slapcat 1 ldif Ausgabe gibt zum Beispiel eine LDIF Datei 1dif Ausgabe aus welche die Eintr ge aus dem LDAP Verzeichnis enth lt slapindex Indiziert das slapd Verzeichnis auf Grundlage des aktuellen Inhalts neu slappasswd Generiert einen verschl sselten Wert eines Benutzerpasswortes zur Verwendung mit dem ldapmodify oder rootpw Wert in der slapd Konfigurationsdatei etc openldap slapd conf F hren Sie usr sbin slappasswd aus um das Passwort zu erstellen A Warnung Stellen Sie sicher dass slapd mit Hilfe von usr sbin service slapd stop angehalten wird bevor Sie slapadd slapcat Oder slapindex verwenden Andernfalls riskieren Sie die Integrit t des LDAP Verzeichnis 200 Kapitel 13 Lightweight Directory Access Protocol LDAP Weitere Informationen zur Verwendung dieser Utilities finden Sie auf den jeweiligen man Seiten Das openldap client s Paket installiert Tools zum Hinzuf gen ndern und L schen von Eintr gen eines LDAP Verzeichnisses in usr bin Diese Tools beinhalten Folgendes ldapmodify ndert Eintr ge in einem LDAP Verzeichnis durch Eingaben aus einer Datei oder von der Standardeingabe ldapadd F gt durch Annehmen von Eingaben ber eine Datei oder der Standardeingabe Ein t
304. f in die Datei etc httpd conf d php conf verschoben Damit diese Datei geladen wird m ssen Sie die Anweisung Include conf d conf wie in Abschnitt 10 2 1 3 beschrieben in Ihrer Datei httpd conf haben PHP ist jetzt als Filter implementiert und deshalb anders aktiviert werden Weitere Informationen zu Filtern finden Sie unter Abschnitt 10 2 4 In Apache HTTP Server 1 3 wurde PHP anhand folgender Anweisungen implementiert AddType application x httpd php php AddType application x httpd php source phps Verwenden Sie dagegen in Apache HTTP Server 2 0 folgende Anweisungen lt Files php gt SetOutputFilter PHP 132 Kapitel 10 Apache SetInputFilter PHP lt Files gt In PHP 4 2 0 und sp teren Versionen haben sich die standardm igen vordefinierten Variablen die im globalen Scope verf gbar waren ge ndert Individuelle Input und Servervariablen werden nicht mehr standardm ig direkt in das globale Scope gesetzt Diese nderung kann dazu f hren dass Skripts nicht mehr funktionieren Sie k nnen zum alten Verhalten zur ckkehren indem Sie in der Datei etc php ini register_globals auf On setzen Weitere Informationen zu diesem Thema finden Sie im folgenden URL Darin enthalten sind Einzel heiten zu den nderungen im globalen Scope http www php net release_4_1_0 php 10 3 Nach der Installation Nach der Installation des httpd Pakets finden Sie die Dokumentation zu Ihrem Apache HTTP Server Server folgenderma en
305. fig html logformat 10 2 2 3 Index Erstellung f r Verzeichnisse Die veraltete Anweisung FancyIndexing wurde entfernt Die gleiche Funktionalit t ist ber Fan cyIndexing Option in der Anweisung IndexOptions verf gbar Die neue Option VersionSort f r die IndexOpt ions Anweisung f hrt dazu dass Dateien mit Ver sionsnummern auf nat rliche Weise sortiert werden so dass httpd 2 0 6 tar in einer Verzeichnis Indexseite vor httpd 2 0 36 tar erscheinen w rde Die Standardwerte f r die Anweisungen ReadmeName und HeaderName haben sich ge ndert und zwar von README und HEADER in README htm1 und HEADER html Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_autoindex html indexoptions http httpd apache org docs 2 0 mod mod_autoindex html readmename http httpd apache org docs 2 0 mod mod_autoindex html headername Kapitel 10 Apache 127 10 2 2 4 Inhaltsverhandlung Die Anweisung CacheNegot iatedDocs kann jetzt die Argumente on oder off haben Existierende F lle von CacheNegotiatedDocs sollten durch CacheNegot iatedDocs on ersetzt werden Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_negotiation html cachenegotiateddocs 10 2 2 5 Fehlerdokumente Um eine hart kodierte Meldung mit der ErrorDocument Anwei
306. g danach iiberpriift ob sich die E Mail Adresse der Mailing Liste in den Zeilen From CC oder To befindet Sehen Sie die zahlreichen Procmail Online Ressourcen Abschnitt 11 6 fiir genauere Beschreibungen und kompliziertere Recipes 11 4 2 6 Spam Filters Da es von Sendmail Postfix oder Fetchmail aufgerufen wird wenn eine neue E Mail eintrifft kann Procmail als m chtiges Tool gegen Spam verwendet werden Dies trifft vor allem zu wenn Procmail zusammen mit SpamAssassin verwendet wird Zusammen k nnen diese beiden Applikationen Spam E Mails schnell erkennen und diese Aussortieren oder Vernichten SpamAssassin verwendet Header Analysis Text Analysis Blacklists und eine Spam Tracking Da tenbank um Spam richtig zu identifizieren und entsprechend zu markieren Der einfachste Weg fiir einen lokalen Benutzer SpamAssassin zu verwenden ist die folgende Zeile im oberen Bereich der Datei procmailrc einzuf gen INCLUDERC etc mail spamassassin spamassassin default rc Die Datei etc mail spamassassin spamassassin default rc enth lt eine einfache Procmail Regel die SpamAssassin f r alle eingehenden E Mails aktiviert Wird eine E Mail als Spam erkannt wird diese im Header entsprechend markiert und dem Titel der E Mail wird Folgendes vorangestellt ke EAE GPAME REA Dem Body der Nachricht wird dies in den Abschnitten vorangestellt die dazu gefiihrt haben dass diese E Mail als Spam klassifiziert wurde Um als Spam markierte E Ma
307. g zwischen dem Client und diesem Server bestanden hatte ist der Server Schl ssel dem Client unbekannt und es wird keine Verbindung herge stellt OpenSSH umgeht dieses Problem indem es den Host Schl ssel des Servers akzeptiert nach dem der Benutzer benachrichtigt wurde und pr t dass dieser den neuen Host Schl ssel akzeptieren wird Bei den nachfolgenden Verbindungen wird dieser Schl ssel mit der gespeicherten Version des Clients verglichen und auf diese Weise sichergestellt dass der Client tats chlich mit dem gew nsch ten Server kommuniziert Sollte der Host Schl ssel in Zukunft nicht mehr passen muss der Benutzer die gespeicherte Version des Client entfernen bevor eine Verbindung zustande kommen kann Orcrtung Die von OpenSSH verwendete Kontrolle des Host Schl ssels ist nicht perfekt Ein Hacker k nnte sich zum Beispiel bei der ersten Verbindung als Server ausgeben da der lokale Rechner zu diesem Zeitpunkt den gew nschten Server von einem unerlaubten Zugriff noch nicht unterscheiden kann Um das zu vermeiden sollten Sie die Integrit t eines neuen SSH Servers verifizieren indem Sie sich vor dem ersten Kontakt oder nachdem sich der Host Schl ssel ge ndert hat mit dem Server Administrator in Verbindung setzen Das SSH Protokoll wurde konzipiert um mit fast allen Algorithmen oder Formaten f r allgemeine Schl ssel verwendet werden zu k nnen Nachdem ein erster Schl sselaustausch zwei Werte erstellt 258 Kapitel 18 SSH Pro
308. gen an dev null weitergeleitet und dort gel scht O aenn Vergewissern Sie sich bei jeder Regel dass sie richtig funktioniert bevor Mitteilungen an dev null weitergeleitet werden wo sie definitiv und endg ltig gel scht werden Wenn Ihre Recipe Bedingungen versehentlich eine korrekte Mitteilung empfangen werden Sie nicht wissen dass Sie diese Mitteilung erhalten haben es sei denn der Absender benachrichtigt Sie Es ist besser wenn sich die Aktionen des Recipes auf eine spezielle Mailbox richten die Sie von Zeit zu Zeit berpr fen k nnen und nach false positives oder Mitteilungen suchen die versehentlich 172 Kapitel 11 E Mail mit den Bedingungen verglichen wurden Wenn Sie feststellen dass versehentlich keine Mitteilun gen berpr ft wurden k nnen Sie die Mailbox l schen und die Aktion Mitteilungen an dev null weiterzuleiten wieder aktivieren Procmail wird prim r als Filter von E Mails benutzt der als solcher diese automatisch an die richtige Stelle leitet und Sie die E Mails nicht manuell sortieren m ssen Das folgende Recipe greift sich die E Mails heraus die von einer bestimmten Mailing Liste gesendet wurden und legt sie im richtigen Ordner ab 20 From CC To tux lug tuxlug Jede Mitteilung die von der tux lug domain com Mailing List verschickt wurde wird automa tisch f r Ihren E Mail Client in der Mailbox tuxlug abgelegt Bitte beachten Sie dass die Bedingung in diesem Beispiel die Mitteilun
309. genau diesen Bootoptionen gestartet werden soll label linux Benennt die Betriebssystemoption im LILO Bildschirm In diesem Fall handelt es sich auch um den Namen auf den die Zeile default verweist e initrd boot initrd 2 4 0 0 43 6 img Verweist auf das initiale RAM Disk Image das zum Zeitpunkt des Bootens verwendet wird um die Ger te wirklich zu initialisieren und zu starten die das Booten des Kernels erm glichen Die initiale RAM Disk ist eine Sammlung von rech nerspezifischen Treibern die zum Betreiben von SCSI Karten Festplatten oder anderer Ger te ben tigt wird die zum Laden des Kernels erforderlich sind Versuchen Sie niemals initiale RAM Disks auf mehreren Rechnern gemeinsam zu nutzen read only Gibt an dass die root Partition siehe die Zeile root unten schreibgeschiitzt ist und w hrend des Bootprozesses nicht ge ndert werden kann root dev hda5 Weist LILO an welche Plattenpartition als root Partition verwendet werden soll 22 Kapitel 2 Bootloader 2 10 Andern von Runleveln zum Zeitpunkt des Bootens Unter Red Hat Linux k nnen Sie den Standard Runlevel zum Zeitpunkt des Bootens ndern Wenn Sie LILO verwenden greifen Sie auf den Prompt boot zu indem Sie die Tasten Strg X driicken Geben Sie anschlieBend Folgendes ein linux lt runlevel number gt Ersetzen Sie in diesem Befehl lt Runlevel Nummer gt entweder durch die Nummer des Runlevels in dem Sie booten m chten 1 bis 5
310. gesendet und von dieser Zone kontrolliert wurde IN MX lt preference value gt lt email server name gt In diesem Beispiel erm glicht lt preference value gt die E Mail Server der Reihenfolge nach zu nummerieren auf denen Sie f r dieses Namespace bestimmte E Mails empfangen m ch ten indem Sie einigen E Mail Systemen den Vorrang vor anderen geben Der mX Resource Record mit dem niedrigsten lt preference value gt wird den anderen vorgezogen Sie k nnen meh reren E Mail Servern denselben Wert zuweisen um den E Mail Verkehr zwischen den Servern zu verteilen Der lt email server name gt kann ein Hostname oder ein FQDN sein IN MX 10 mail example com IN MX 20 mail2 example com In diesem Beispiel wird der erste mail example com E Mail Server vor dem mail2 example com E Mail Server bevorzugt wenn eine E Mail f r die Domain example com ankommt NS Name Server Record der die ma geblichen Name Server f r eine bestimmte Zone anzeigt Beispiel f r einen NS Record IN NS lt nameserver name gt Der lt nameserver name gt sollte ein FQDN sein Anschlie end werden zwei Nameserver als ma geblich f r die Domain aufgelistet Es ist nicht so wichtig ob diese Namenserver Slave oder Master Nameserver sind da beide bereits ma gebend sind IN NS dnsl example com IN NS dns2 example com PTR PoinTeR Record verweist auf einen anderen Teil des Namespace PTR Records werden prim r f r eine umgekehrte Namensaufl su
311. gilt stattdessen die Anweisung Timeout KeepAliveTimeout ist per Default auf 15 Sekunden einge stellt 10 5 9 MinspareServers Und MaxSpareServers Der Apache HTTP Server Server passt sich dynamisch an die erkannte Last an indem je nach Da tenverkehr eine geeignete Anzahl von Reserve Serverprozessen aufrechterhalten werden Der Server pr ft die Anzahl von Servern die auf eine Anforderung warten und beendet einige davon wenn mehr als von MaxSpareServers angegeben vorhanden sind bzw erzeugt einige neue wenn weniger als in MinSpareServers angegeben vorhanden sind Die Standardeinstellung des Servers f r MinSpareServers ist 5 Die Standardeinstellung des Ser vers f r MaxSpareServers ist 20 Diese Standardeinstellungen sind f r die meisten Situationen 136 Kapitel 10 Apache geeignet MinSpareServers sollte nicht auf eine zu gro e Zahl eingestellt werden weil dadurch selbst bei geringem Datenverkehr die Belastung des Servers hoch ist 10 5 10 StartServers StartServers bestimmt wie viele Serverprozesse beim Start erzeugt werden Da der Web Server je nach Datenverkehrsaufkommen Serverprozesse dynamisch beendet bzw erzeugt muss dieser Para meter nicht ver ndert werden Der Web Server ist so konfiguriert dass beim Start acht Serverprozesse erzeugt werden 10 5 11 MaxClients MaxClients gibt eine Obergrenze f r die Gesamtzahl von Serverprozessen bzw Clients an die gleichzeitig ausgef hrt werden k nnen Der Hauptgrund f r
312. gramms mit die aufgerufen werden Der Client kontaktiert portmap auf dem Server mit einer bestimmten RPC Programmnummer portmap leitet dann den Client zur richtigen Port Nummer um damit er mit dem gew nschten Dienst kommunizieren kann Da RPC basierte Dienste f r die Verbindungen mit ankommenden Client Anfragen von portmap ab h ngig sind muss portmap verf gbar sein bevor einer dieser Dienste gestartet wird Wenn portmap aus irgendeinem Grund unerwartet abgebrochen wird starten Sie portmap und alle Dienste die beim Start ausgef hrt wurden neu Der portmap Dienst kann zusammen mit den Hosts Zugriffsdateien von TCP Wrappers etc hosts allow und etc hosts deny verwendet werden um zu steuern welche Remote Systeme RPC basierte Dienste auf dem Server verwenden d rfen Unter Kapitel 15 finden Sie weitere Informationen Die Regeln f r die Zugriffssteuerung f r portmap gelten f r alle RPC basierten Dienste Alternativ k nnen Sie auch jeden der NFS RPC Daemonen einzeln bestimmen auf den sich eine bestimmte Regel f r die Zugriffssteuerung beziehen soll Die man Seiten f r rpc mountd und rpc statd enthalten Informationen ber die genaue Syntax dieser Regeln 9 1 1 1 Troubleshooting NFS mit portmap Da portmap die Koordination zwischen RPC Diensten und den Port Nummern bernimmt die f r die Kommunikation mit den Diensten verwendet werden ist es beim L sen von Problemen sehr hilf reich eine bersicht ber die aktuellen RPC Di
313. gt eine der folgenden ist yes ndern Sie etc resolv conf wenn die DNS Anweisung gesetzt ist Verwenden Sie DCHP dann ist yes Standard e no ndern Sie etc resolv conf nicht SRCADDR lt Adresse gt wobei lt Adresse gt die angegebene Ausgangs IP Adresse f r ausge hende Pakete ist USERCTL lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann yes Nicht root d rfen dieses Ger t kontrollieren no Nicht root d rfen dieses Ger t nicht kontrollieren 8 2 2 Schnittstellen f r den Verbindungsaufbau Wenn Sie ber einen Dialup Account mit dem Internet verbinden brauchen Sie eine Konfigurations datei f r diese Schnittstelle PPP Schnittstellendateien haben das Format ifcfg ppp lt x gt wobei lt X gt eine eindeutige einer spezifischen Schnittstelle entsprechende Nummer ist Die Konfigurationsdatei der PPP Schnittstelle wird automatisch erzeugt wenn Sie wvdial Netzwerk Verwaltungstool oder Kppp verwenden um einen Dialup Account zu erzeugen Das Red Hat Linux Handbuch Erster Schritte enth lt Anweisungen f r die Verwendung dieser GUI basierten Dialup Verbindungstools Sie k nnen diese Datei aber auch manuell erstellen und bearbeiten Folgend ist eine typische ifcfg ppp0 Datei DEVICE ppp0 NAME test WVDIALSECT test 106 Kapitel 8 Netzwerk Schnittstellen MODEMPORT dev modem LINESPEED 115200 PAPNAME test USERCTL t rue ONBOOT no PERSIST no DEFROUTE yes PEERDNS yes DEMAN
314. gt In formationen ber diesen ab Der Nameserver wird versuchen mit Hilfe einer Resolver Bibliothek den FQDN zu l sen Diese Bibliothek kann die vom Host angeforderten Informationen oder Daten ber den Namen aus einer fr heren Abfrage enthalten Wenn der Nameserver die Antwort nicht in seiner Resolver Bibliothek findet wird er andere Nameserver die sogenannten Root Nameserver verwen den um festzulegen welche Nameserver f r diesen FQDN autorisiert sind Mit dieser Information wird anschlie end bei den autorisierten Nameservern dieser Name abgefragt um die IP Adresse fest zustellen Bei einem Reverse Lookup wird die gleiche Prozedur durchgef hrt allerdings mit dem Unterschied dass hier eine unbekannte IP Adresse und nicht ein Name abgefragt wird 12 1 1 Nameserver Zonen Im Internet kann ein FQDN eines Hosts in verschiedene Bereiche eingeteilt werden Diese Bereiche werden in einer Hierarchie hnlich wie bei einem Baum mit Hauptstamm prim ren Abzweigungen sekund ren Abzweigungen usw angeordnet Betrachten Sie den folgenden FQDN 178 Kapitel 12 Berkeley Internet Name Domain BIND bob sales example com Wenn Sie sehen m chten wie ein FODN aufgel st wurde um eine IP Adresse fiir ein bestimmtes System zu finden m ssen Sie den Namen von rechts nach links lesen Jede Ebene der Hierarchie ist durch Punkte voneinander getrennt In diesem Beispiel bestimmt com die Top Level Domain f r diesen FQDN Der domain Name ist eine
315. guration entfernt ServerType Der Apache HTTP Server kann nur als ServerType standalone gestartet wer den womit diese Anweisung keine Bedeutung mehr hat AccessConfig und ResourceConfig Diese Anweisungen wurden herausgenommen da sie die gleiche Funktion wie die Include Anweisung haben Haben Sie AccessConfig und Re sourceConfig Anweisungen gesetzt dann miissen sie diese durch Include Anweisungen erset zen Um sicherzustellen dass die Dateien in der Reihenfolge gelesen werden die von den lteren Anwei sungen vorgesehen war sollten Sie Include Anweisungen an das Ende von httpd conf setzen Dabei sollte die Anweisung die ResourceConfig entspricht vor der Anweisung liegen die Ac cessConfig entspricht Haben Sie mit Standardwerten gearbeitet m ssen Sie diese ausdr cklich als conf srm conf und conf access conf mit aufnehmen 10 2 2 Hauptserver Konfiguration Der Abschnitt zur Hauptserver Konfiguration der Konfigurationsdatei richtet den Hauptserver ein der auf alle Anfragen antwortet die nicht ber eine lt VirtualHost gt Definition gehandhabt werden Die Werte hier liefern auch Standardwerte f r alle definierten lt VirtualHost gt Container In den Anweisungen dieses Abschnitts gibt es kaum Unterschiede zwischen Apache HTTP Server 1 3 und Version 2 0 Wenn Ihre Hauptserver Konfiguration sehr stark benutzerdefiniert ist ist es vielleicht einfacher f r Sie wenn Sie Ihre bereits existierende Konfiguration an Apache
316. guriert um auf eine auto home Datei zu verweisen die genaue Angaben enthalten wie das Verzeichnis home via NFS zu mounten ist Der Benutzer erh lt Zugriff auf pers nliche Da ten und Konfigurationsdateien im Verzeichnis home indem er sich irgendwo im internen Netzwerk anmeldet In diesem Fall w rde die Datei auto master wie folgt aussehen home etc auto home Der home Mount Punkt wird auf dem lokalen System eingestellt und mit der Datei etc auto home konfiguriert fstype nfs soft intr rsize 8192 wsize 8192 nosuid server example com home Diese Zeile gibt an dass jeder Versuch eines Benutzers im lokalen home Verzeichnis aufgrund des Sternchens auf irgendein Verzeichnis zuzugreifen einen NFS Mount auf dem server example com System innerhalb des exportierten Dateisystems zur Folge hat Die Mount Optionen geben an dass bei jedem NFS Mount des home Verzeichnisses bestimmte Einstellungen verwendet werden Weitere Informationen ber Mount Optionen einschlie lich der in diesem Beispiel verwendeten finden Sie unter Abschnitt 9 3 3 9 3 3 Allgemeine NFS Mount Optionen Neben dem Mounten eines Dateisystems auf einem Remote Host via NFS k nnen eine Anzahl ver schiedener Optionen zum Zeitpunkt des Mountens festgelegt werden Diese Optionen k nnen ge 118 Kapitel 9 Network File System NFS meinsam mit den manuellen mount Befehlen etc fstab Einstellungen autofs und anderen Mount Methoden verwendet werden Im
317. h sollten au er KDC keine anderen Services ausgef hrt werden Wenn Sie Kerberos mit einem GUI Utility verwalten m chten sollten Sie auch das gnome kerberos Paket installieren Es enth lt krb5 ein GUI Tool zum Verwalten von Tickets 3 Bearbeiten Sie die Konfigurationsdateien etc krb5 conf und var kerberos krb5kdc kdc conf um den Realm Namen sowie die Dom ne Realm Zuordnungen anzugeben Ein einfacher Realm kann durch das Ersetzen von Instanzen von BEISPIEL COM und Beispiel com durch Ihren Dom nennamen erstellt werden beachten Sie die Gro und Kleinschreibung sowie durch ndern des KDC von Kerberos Beispiel com in den Namen des Kerberos Servers Hierbei gilt dass alle Realm Namen gro und alle DNS Hostnamen und Dom nennamen klein geschrieben werden Weitere Informationen zum Format dieser Dateien finden Sie auf den jeweiligen man Seiten 4 Erstellen Sie die Datenbank mit Hilfe des Dienstprogramms kdb5_util von einem Shell Prompt 252 Kapitel 17 Kerberos usr kerberos sbin kdb5_util create s Der Befehl create erstellt die Datenbank die zum Speichern der Schliissel fiir den Kerberos Realm verwendet wird Der Switch s erzwingt die Erstellung einer stash Datei in der der Master Server Schliissel gespeichert wird Ist keine stash Datei vorhanden von der der Schliis sel gelesen werden kann fordert der Kerberos Server krb5kdc die Benutzer bei jedem Start zur Eingabe des Passwortes des Master Servers auf wodu
318. h dem Herunterladen e 1 lt max number bytes gt Weist Fetchmail an keine Mitteilungen herunterzuladen die eine bestimmte Gr e berschreiten und diese stattdessen auf dem Remote E Mail Server zu belassen e quit Beendet den Fetchmail Daemon Prozess Weitere Befehle und fetchmailrc Optionen finden Sie auf der fetchmail man Seite 11 4 Mail Delivery Agents Red Hat Linux enth lt zwei prim re MDAs Procmail und mail Beide dieser Applikationen werden als lokale Zustellungsagenten Delivery Agents bezeichnet und beide verschieben E Mails von der Spool Datei des MTA in die Mailbox des jeweiligen Benutzers Procmail bietet allerdings ein robustes Filter System Dieser Abschnitt behandelt lediglich Procmail F r Informationen zu mail sehen Sie dessen man Seite Procmail filtert und stellt E Mails zu sobald diese in die Spool Datei auf dem localhost eingehen Es ist sehr umfangreich nimmt nur wenige System Ressourcen in Anspruch und ist weitverbreitet Proc mail kann eine kritische Rolle in der Zustellung von E Mails bernehemen die von E Mail Client Applikationen gelesen werden Procmail kann auf verschiedene Weise aufgerufen werden Procmail kann so konfiguriert werden dass wenn ein MTA eine neue EMail in Ihrer Spool Datei ablegt Procmail diese filtert am f r den E Mail Client entsprechend konfigurierten Ort ablegt und beendet Ihr E Mail Client kann aber auch so konfiguriert werden dass Procmail immer dann ge
319. h dem fetchmail Befehl verwendet werden k nnen wichtige Infor mationen fiir Sie enthalten e configdump Zeigt jede m gliche Option an die auf den Informationen von fetchmailrc und Fetchmail Standards beruhen Mit dieser Option kann kein Benutzer E Mails abrufen e s F hrt Fetchmail im Silent Modus aus und verhindert dass au er Fehlermeldungen sonst keine Mitteilungen angezeigt werden nachdem der fetchmail Befehl ausgef hrt wurde e v F hrt Fetchmail im Verbose Modus aus die gesamte Kommunikation zwischen Fetchmail und den Remote E Mail Servern wird angezeigt e v Veranlasst Fetchmail detaillierte Informationen der Version anzuzeigen listet allgemeine Optionen auf und zeigt Einstellungen an die von jedem Benutzer verwendet werden einschlie lich des E Mail Protokolls und der Authentifizierungsmethode Bei dieser Option k nnen von keinem Benutzer E Mails abgerufen werden 11 3 2 7 Spezielle Optionen Diese Optionen sind gelegentlich hilfreich wenn Standards die in der fet chmailrc Datei gefun den wurden aufgehoben wurden e a Weist Fetchmail an alle neuen oder bereits gesehenen Mitteilungen vom Remote E Mail Server herunterzuladen Standardm ig l dt Fetchmail nur neue Nachrichten e k Veranlasst Fetchmail die Mitteilungen auf dem Remote E Mail Server zu belassen nachdem sie heruntergeladen worden sind Diese Option bergeht das Standardverhalten des L schens von Mitteilungen nac
320. handelt Dies ist n tzlich wenn Regeln welche eine gro e Anzahl von Hosts angeben n tig sind Das folgende Beispiel nimmt Bezug auf TCP Wrappers zur Datei etc telnet hosts f r alle Telnet Verbindungen in telnetd etc telnet hosts Andere weniger verwendete Patterns werden auch von TCP Wrappers angenommen Sehen Sie die man 5 Seite von hosts_access f r mehr Information Warnung Seien Sie sehr vorsichtig beim Erzeugen von Regeln welche eine Namensaufl sung erfordern wie Host oder Domain Names Ein Angreifer k nnte verschiedene Tricks verwenden um Regeln zu umgehen die sie durch Namen spezifizieren Au erdem wenn Ihr System selektiven Zugriff nach Host und Domain Namensinformationen gew hrt k nnte bei einer Unterbrechung des DNS Dienstes auch autorisierten Benutzern der Zugriff auf Netzwerkdienste verweigert werden Es ist am besten IP Adressen zu verwenden wenn immer dies m glich ist 15 2 1 3 Operatoren Die Zugriffskontrollregeln kennen zur Zeit einen Operator EXCEPT Dieser kann sowohl in der Daemon als auch in der Client List einer Regel verwendet werden Der EXCEPT Operator erlaubt spezifische Ausnahmen in einer Regel Im folgenden Beispiel der Datei hosts allow ist es allen example com Hosts erlaubt zu verbinden mit der Ausnahme von cracker example com ALL example com EXCEPT cracker example com 224 Kapitel 15 TCP Wrappers und xinetd In einem anderen Beispiel der Datei hosts allow k nn
321. he Konfigurationsanweisung 137 ifdown 108 IfModule Apache Konfigurationsanweisung 141 ifup 108 Include Apache Konfigurationsanweisung 136 IndexIgnore Apache Konfigurationsanweisung 145 IndexOptions Apache Konfigurationsanweisung 144 init Befehl 4 Siehe auch Bootprozess auf Runlevel zugreifen 8 Konfigurationsdateien etc inittab 7 Rolle im Bootprozess 4 Siehe auch Bootprozess Runlevels Verzeichnisse fiir 7 297 SysV init Definition von 7 Initscript Utilities 9 Siehe auch Services ipchains Siehe iptables iptables Chains Ziel 235 Grundlagen der Paket Filterung 235 Optionen 237 Auflistung 244 Befehle 238 Parameter 239 Struktur 238 Tabellen 237 Ziel 243 Protokolle ICMP 242 TCP 240 UDP 241 Regelliste 235 Regeln speichern 245 Tabellen 235 Vergleich mit ipchains 236 Zus tzliche Informationsquellen 245 hilfreiche Websites 245 Installierte Dokumentation 245 berblick 235 bereinstimmungsoptionen 240 Module 242 K KDE 86 Siehe auch XFree86 KeepAlive Apache Konfigurationsanweisung 135 KeepAliveTimeout Apache Konfigurationsanweisung 135 Kerberos Client einrichten 253 Definition von 247 Funktionsweise 249 Key Distribution Center KDC 249 Nachteile von 247 Server einrichten 251 Terminologie 248 Ticket Granting Service TGS 249 Ticket Granting Ticket TGT 249 und PAM 251 Vorteile von 247 zus tzliche Ressourcen 254 hilfreiche Webseiten 2
322. he org docs 2 0 mod mod_rewrite html 10 5 46 IndexOptions IndexOptions bestimmt das Erscheinungsbild der vom Server erstellten Verzeichnislisten durch das Hinzuf gen von Symbolen Dateibeschreibungen usw Wenn Options Indexes aktiviert ist siehe Abschnitt 10 5 25 kann Ihr Web Server eine Verzeichnisliste erstellen wenn er eine HTTP Anforderung wie die Folgende empf ngt Als Erstes sucht Ihr Web Server in diesem Verzeichnis nach einer Datei aus der Liste die nach der Anweisung DirectoryIndex angegeben ist z B index html Wenn er keine der Dateien finden kann wird Apache HTTP Server eine HTML Verzeichnisliste der in dem Verzeichnis enthaltenen Unterverzeichnisse und Dateien erstellt Mit bestimmten Anweisungen k nnen Sie in IndexOptions das Erscheinungsbild dieser Verzeichnisliste anpassen In der Standardkonfiguration ist FancyIndexing aktiviert Wenn FancyIndexing aktiviert ist wer den durch Klicken auf die berschrift der Spalte in der Verzeichnisliste die Eintr ge entsprechend dieser Spalte sortiert Ein weiterer Klick auf dieselbe berschrift schaltet von aufsteigender zu ab steigender Reihenfolge um und umgekehrt FancyIndexing zeigt au erdem je nach Dateiendung verschiedene Symbole f r verschiedene Dateien an Bei Verwendung der Anweisung AddDescription und aktiviertem FancyIndexing wird in der vom Server erstellten Verzeichnisliste eine kurze Dateibeschreibung angegeben IndexOptions hat eine Reihe von weiteren Param
323. hentifizierung Weitere Informationen hierzu finden Sie unter Kapitel 17 RPOP POP3 mit RPOP Authentifizierung Verwendet f r jeden Benutzer eine Identifizierung hnlich der eines Passworts um Anfragen von POP zu authentifizieren Diese ID ist jedoch nicht verschl sselt so dass RPOP nicht sicherer als das Standard POP ist F r zus tzliche Sicherheit ist es m glich Secure Socket Layer SSL Verschl sselung f r die Client Authentifizierung und den Datentransfer zu verwenden Dies kann durch den ipop3s Service oder das usr sbin stunnel Programm aktiviert werden Sehen Sie Abschnitt 11 5 1 f r weitere Infor mationen 11 1 2 2 IMAP Der standardm ige IMAP Server in Red Hat Linux ist usr sbin imapd und wird mit dem imap Paket installiert Bei der Verwendung von IMAP verbleiben die E Mail Nachrichten auf dem Server Kapitel 11 E Mail 157 wo der Benutzer diese lesen oder l schen kann IMAP erlaubt den Client Applikationen auch Mail boxen zur Speicherung der E Mails auf dem Server zu erstellen umzunennen oder zu l schen IMAP ist vor allem f r Benutzer n tzlich die ihre E Mails von verschiedenen Rechnern aus abru fen Auch Benutzer die nur mit geringer bertragungsrate Verbindungen zum Internet oder zu einem privaten Netzwerk herstellen k nnen verwenden oft IMAP da hier als erstes nur der E Mail Header angezeigt wird was Bandbreite spart bis die eigentlichen E Mails ge ffnet werden Der Benutzer hat auch die
324. hilft es uns wenn Sie uns den genauen Abschnitt und die Textstelle angeben nur so k nnen wir die Stelle finden und korrigieren 7 Melden Sie sich f r den Support an Wenn Sie eine offizielle Version von Red Hat Linux 9 erworben haben k nnen Sie die Vorteile als Kunde von Red Hat nutzen Sie k nnen einige oder andere der folgenden Vorteile nutzen je nachdem welches der Red Hat Linux Produkte Sie erworben haben e Red Hat Support Sie erhalten vom Red Hat Inc Support Team Hilfe bei der Installation Red Hat Network Einfaches Update Ihrer Pakete Sie erhalten auf Ihr System abgestimmte Sicherheits Meldungen Unter http rhn redhat com finden Sie weitere Details Under the Brim The Official Red Hat E Newsletter Sie erhalten monatlich die neuesten Mittei lungen und Produktinformationen direkt von Red Hat Melden Sie sich unter http www redhat com apps activate Ihre Produkt ID finden Sie auf der schwarz rot wei en Karte in Ihrer Red Hat Linux Box Weitere Informationen ber den technischen Support f r das Red Hat Linux finden Sie im Technischen Support anfordern des Red Hat Linux Installationshandbuch Viel Gl ck und vielen Dank dass Sie sich f r Red Hat Linux entschieden haben Das Red Hat Dokumentationsteam Einf hrung I System Um das System effektiv zu verwalten ist es entscheidend seine Komponenten zu kennen und zu verstehen wie diese zusammenh ngen Dieser Teil behandelt viele wichtige
325. hlie end m ssen Sie eine neue unterzeichnete etc tripwire tw pol Datei und eine aktualisierte Datenbankdatei aufgrund dieser Policy Information erstellen Angenommen etc tripwire twpol txt ist die bearbeitete Policy Datei verwenden Sie folgenden Befehl usr sbin twadmin create polfile S site key etc tripwire twpol txt Sie werden nun aufgefordert den Site Schl ssel einzugeben Anschlie end wird die twpol txt Da tei verschl sselt und unterzeichnet Es ist sehr wichtig dass Sie die Tripwire Datenbank aktualisieren nachdem eine neue etc tripwire tw pol Datei erstellt wurde Die zuverl ssigste Methode ist Ihre derzeitige Tripwire zu l schen und mithilfe der Policy Datei eine neue Datenbank zu generieren Geben Sie den folgenden Befehl ein wenn Ihre Tripwire Datenbankdatei den Namen wilbur domain com twd tr gt rm var lib tripwire bob domain com twd Geben Sie anschlie end den Befehl ein um eine neue Datenbank anhand der aktualisierten Policy Datei zu erstellen usr sbin tripwire init Um sicherzustellen dass die Datenbank korrekt ge ndert wurde sollten Sie die erste Integrit tspr fung starten und den Inhalt des generierten Berichts kontrollieren Unter Abschnitt 19 5 und Abschnitt 19 6 1 finden Sie mehr zur Durchf hrung dieser Aufgaben 274 Kapitel 19 Tripwire 19 8 1 Tripwire und E Mail Sie k nnen Tripwire so konfigurieren dass es eine E Mail an ein oder mehrere Accounts versendet wenn eine bestim
326. hnsd gt init d rhnsd S99local gt rc local S99mdmonitor gt init d mdmonitor Wie Sie sehen befindet sich keines der Skripte die die Dienste starten und beenden im Verzeich nis ete rc d rc5 d Vielmehr sind alle Dateien in etc rc d rc5 d symbolische Links die auf Skripte im etc rc d init d Verzeichnis zeigen Symbolische Links werden in allen rc Verzeichnissen verwendet so dass die Runlevel durch Erstellen ndern und L schen der symboli schen Links neu konfiguriert werden k nnen ohne dass die aktuellen Skripte davon betroffen werden auf die sie verweisen Der Name jedes symbolischen Links beginnt entweder mit einem K oder einem S Die K Links sind Prozesse die auf diesem Runlevel entfernt werden w hrend die Links gestartet werden die mit einem S beginnen Zuerst beendet der Befehl init alle symbolischen K Links im Verzeichnis mit Hilfe des Befehls etc rc d init d lt Befehl gt stop wobei lt Befehl gt der zu beendende Prozess ist Anschlie end werden alle symbolischen s Links mit Hilfe von etc rc d init d lt Befehl gt start gestartet Tipp Wenn das System den Bootvorgang beendet hat k nnen Sie sich als root anmelden und diesel ben Skripte zum Starten und Beenden der Dienste ausf hren So beendet zum Beispiel der Befehl etc re d init d httpd stop den Apache Web Server Alle symbolischen Links sind nummeriert um die Startreihenfolge festzulegen Sie k nnen die Rei henfolge ndern in
327. htig beim Verwenden von TCP Wrapper Zugriffskontrollen zusammen mit xinetd Zugriffskontrollen Eine Fehlkonfiguration kann h chst unerw nschte Folgen nach sich ziehen 15 4 3 3 Bindungs und Umleitungs Optionen Die Dienstkonfigurationsdateien f r xinetd unterst tzen auch die Bindung des Dienstes an eine besondere IP Adresse und Umleitung der eingehenden Anfragen f r diesen Dienst an andere IP Adressen Hostnamen oder Ports Die Bindung wird von der bind Option in den Dienstkonfigurationsdateien kontrolliert und verkn pft den Dienst mit einer IP Adresse auf dem System Nach der Konfiguration l sst die bind Option nur Anfragen f r die richtige IP Adresse zum Zugriff auf den Dienst zu So kann jeder Dienst je nach Bedarf mit verschiedenen Netzwerkschnittstellen gebunden werden Dies ist besonders n tzlich bei Systemen mit mehreren Netzwerkadaptern oder mehreren IP Adressen Sie k nnen beispielsweise Telnet zum Abh ren von Schnittstellen konfigurieren die mit einem priva ten Netzwerk und nicht mit dem Internet verbunden sind Die Option redirect akzeptiert eine IP Adresse oder einen Hostnamen gefolgt von einer Port Nummer Sie konfiguriert den Service alle alle Anfragen f r diesen Dienst an eine bestimmte Adresse und Portnummer weiterzuleiten Diese Eigenschaft kann verwendet werden um auf eine andere Port Nummer auf demselben System zu verweisen die Anfrage an eine andere IP Adresse auf demselben Rechner weiterzuleiten die Anfrag
328. http httpd apache org docs 2 0 mod core html servername 10 2 1 2 Server Pool Gr eneinstellung Die Verantwortung der Handhabung von Annahmen und Versenden von Kind Prozessen wurde in Apache HTTP Server 2 0 in einer Modulgruppe mit dem Namen Multi Processing Modules MPMs zusammengefasst Im Gegensatz zu anderen Modulen kann nur ein Modul der MPM Gruppe von Apache HTTP Server geladen werden da ein MPM Modul f r grundlegende Anfragebearbeitung und Anfrageverteilung zust ndig ist Drei MPM Module werden mit der Version 2 0 ausgeliefert prefork worker und perchild Das Originalverhalten von Apache HTTP Server 1 3 wurde auf das prefork MPM bertragen Der zeit ist nur das prefork MPM auf Red Hat Linux verf gbar obwohl weitere MPSs f r die Zukunft vorgesehen sind Das prefork MPM akzeptiert die gleichen Anweisungen wie Apache HTTP Server 1 3 Folgende Anweisungen k nnen direkt migriert werden StartServers e MinSpareServers e MaxSpareServers e MaxClients e MaxRequestsPerChild Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mpm html 10 2 1 3 Support f r Dynamic Shared Objects DSO Viele nderungen sind hier notwendig und es empfiehlt sich f r jeden der versucht eine Apache HTTP Server 1 3 Konfiguration an eine Apache HTTP Server 2 0 Konfiguration anzupassen im Ge gensatz zur Migration Ihrer nderungen in di
329. i AA da abn o sa ake sgeatias dahdoesban ad peaaalineviasienigniss iii 5 Kopieren und Einf gen von Text mit X 6 1 Wir brauchen Ihre R ckmeldung 7 Melden Sie sich f r den Support an I System 1 Boot Init und Shutdown 1 1 Der Bootprozess 1 2 Der Bootprozess im Detai 1 3 Ausf hren von zus tzlichen Programmen zum Zeitpunkt des Bootens 1 4 SysV Unit R nleyels east EER RE EES 7 1 5 Herunterfahren ers AE EAE Hass Ben 9 23 Installation von GRUB 2 4 GRUB Terminologie 2 5 GRUB Oberfl chen 2 6 GRUB Befehle 2 7 Men konfigurationsdatei von GRUB es 2 8 EIE On ern AR un SERIE RER 2 9 Optionen m ete ritocco seinoria eii RE EAA 2 10 ndern von Runleveln zum Zeitpunkt des Bootens a 2 11 Zus tzliche Ressourcen u u 000m sn sastscaseasndeczesaasssasecevasvaveesava geese 3 Strukturdes Dateisy stems a sen nennen 3 1 Warum eine gemeinsame Struktur Bs 3 2 bersicht ber den Dateisystem Hierarchiestandard FHS 25 3 3 Spezielle D teispeicherstellen 2 n u a 30 4 Das Verzeichnis sysconfig nneeeeenne ore 4 1 Dateien im Verzeichnis etc sysconfig 4 2 Verzeichnisse im Verzeichnis etc sysconfig 4 3 Zus tzliche Ressourcen 5 Das proc Dateisystem 5 1 Ein virtuelles Dateisystem 5 2 Top Level Dateien in procDateisystem ueeneesssennenenenesennenenenennenennenn 46 5 3 Verzeichnisse in proc x 34 Benutzen Von SySC
330. i an etc tripwire HOSTNAME local key ist der Standardwert Kapitel 19 Tripwire 267 hoe Wenn Sie die Konfigurationsdatei bearbeiten und eine der o g Variablen nicht definieren ist die Kon figurationsdatei ung ltig In diesem Fall erscheint bei Eingabe des Befehls t ripwire eine Fehlermel dung ausgegeben und die Datei verlassen Der Rest der Konfigurationsvariablen in der Beispieldatei etc tripwire twcfg txt sind fakul tativ Dazu geh ren folgende EDITOR gibt den von Tripwire aufgerufenen Texteditor an Standardwert ist bin vi LATEPROMPTING wenn auf true gesetzt konfiguriert diese Variable Tripwire so dass Tripwire so lange wie m glich wartet bevor sie den Benutzer nach einem Passwort fragt und reduziert dabei den Zeitraum w hren dem sich das Passwort im Speicher befindet auf ein Minimum Standardwert ist false LOOSEDIRECTORYCHECKING wenn auf true gesetzt konfiguriert diese Variable Tripwire so dass eine Meldung ausgegeben wird wenn sich eine Datei in einem beobachteten Verzeichnis n dert und nicht die nderung f r das Verzeichnis selbst zu melden Dies begrenzt berladungen in Tripwire Berichten Der Standardwert ist false SYSLOGREPORTING wenn auf true gesetzt konfiguriert diese Variable Tripwire so dass Trip wire ber die Benutzer Einrichtung Informationen an den Syslog Daemon meldet Die Log Ebene ist auf notice gesetzt Weitere Informationen erhalten Sie auf den man Seite
331. icy Dateien im etc tripwire Verzeichnis an Ihre indi viduellen Erfordernisse angepasst werden k nnen e Lesen Sie auch die man Seiten f r tripwire twadmin und twprint Hier wird der Gebrauch dieser Dienstprogramme erl utert Kapitel 19 Tripwire 277 19 11 2 Hilfreiche Websites http www tripwire org Die Homepage des Tripwire Open Source Projekts Hier finden Sie die aktuellsten Neuigkeiten ber die Anwendung sowie eine hilfreiche FAQ Liste http sourceforge net project showfiles php group_id 3130 Diese stellen ein Link her zur neuesten offiziellen Tripwire Projektdokumentation 278 Kapitel 19 Tripwire IV Anhang Inhaltsverzeichnis A Allgemeine Parameter und Module I redhat Anhang A Allgemeine Parameter und Module Dieser Anhang soll einige der m glichen Parameter erkl ren die f r bestimmte h ufig verwendete Hardware Ger tetreiber welche unter Red Hat Linux Kernel Module genannt werden zur Verf gung stehen In den meisten F llen sind diese zus tzlichen Parameter nicht notwendig da der Kernel das Ger t bereits ohne sie verwenden kann Es k nnte jedoch vorkommen dass zus tzliche Modul Parameter notwendig sind damit ein Ger t richtig arbeitet oder wenn Sie die Standardparameter f r das Ger t berschreiben m chten W hrend der Installation verwendet Red Hat Linux eine eingeschr nkte Teilmenge von Ger tetreibern um eine robuste Installationsumgebung zu erzeugen Obwohl das Inst
332. idende Fehler Es kommt h ufig vor dass Anf nger bei der Bearbeitung der Konfigurationsdateien von BIND Fehler machen oder bei der Verwendung von named zun chst Schwierigkeiten haben Viele der nachfolgend beschriebenen Probleme k nnen Sie aber vermeiden wenn Sie Folgendes beachten Erh hen Sie die Seriennummer wenn Sie eine Zone Datei bearbeiten Wenn die Seriennummer nicht erh ht wird hat Ihr Master Name Server zwar die korrekten neuen Informationen Ihr Slave Name Server wird jedoch nie ber diese nderungen oder den Versuch informiert die Daten in der Zone zu aktualisieren Die Seriennummer stimmt mit der des Master Servers berein auch wenn sich die Daten f r die Zone von denen des Master Name Servers voll kommen unterscheiden Achten Sie darauf dass Sie geschweifte Klammern und Strichpunkte in der etc named conf Datei richtig verwenden Ein ausgelassener Strichpunkt oder eine nicht geschlossene geschweifte Klammer kann dazu f h ren dass named nicht startet Denken Sie daran in den Zone Dateien nach jedem FQDN Punkte zu setzen und sie beim Hostnamen wegzulassen Der Punkt bedeutet dass der angegebene Name komplett ist Wird er weggelassen platziert named den Namen der Zone oder des SORIGIN Werts hinter den Namen um ihn zu vervollst ndigen Wenn Ihre Firewall Verbindungen von Ihrem named zu anderen Nameservern blockiert m ssen Sie m glicherweise die Konfigurationsdatei bearbeiten Standardm
333. ie Linux Kernel Releasenummer auf Diese Datei kann nur durch Neu ber setzung und Neukompilierung des Kernels ver ndert werden ostype Zeigt den Typ des Betriebssystems an Diese Datei zeigt normalerweise Linux an dieser Wert kann nur durch ndern der Kernel Quellen und Neukompilieren ge ndert werden overflowgid und overflowuid Definiert die feste Gruppen und Benutzer ID die f r Sys temaufrufe bei Architekturen die nur 16 bit Gruppen und Benutzer IDs unterst tzen benutzt wer den panic Definiert die Anzahl von Sekunden um die der Kernel den Neustart verschiebt wenn ein Kernel Panik auftritt Dieser Wert steht normal auf 0 was einen automatischen Neustart nach einer Kernel Panik deaktiviert printk Diese Datei kontrolliert eine Vielzahl von Einstellungen zum Anzeigen und Loggen von Fehlermitteilungen Jede Fehlermeldung vom Kernel hat einen loglevel der die Wichtigkeit der Mitteilung wiedergibt Die Loglevel Werte teilen sich wie folgt auf 0 Ein Kernel Notfall Das System ist nicht benutzbar 1 Kernel Alarm es m ssen sofort Gegenma nahmen eingeleitet werden 2 Der Kernel ist in kritischem Zustand 3 Allgemeiner Kernel Fehler 4 Allgemeine Kernel Warnung 5 Kernel Mitteilung zu einem normalen jedoch ernstzunehmendem Zustand 6 Kernel Informations Mitteilung 7 Kernel Debugging Mitteilung Vier Werte finden sich in der Datei printk 6417 J
334. ie SSL Anweisungen in der installierten Form v llig ausreichend Seien Sie Sie sehr vorsichtig wenn Sie Ver nderungen an Ihren SSL Anweisungen vornehmen da eine Falscheinstellung zu Sicherheitsl cken f hren kann 10 6 Standard Module Apache HTTP Server wird mit einer Reihe von Modulen vertrieben Standardm ig werden folgende Module mit dem httpd Packet auf Red Hat Linux installiert und aktiviert mod_access mod_auth mod_auth_anon mod_auth_dbm mod_auth_digest mod_include mod_log_config mod_env mod_mime_magic mod_cern_meta mod_expires mod_headers mod_usertrack mod_unique_id mod_setenvif mod_mime mod_dav mod_status mod_autoindex mod_asis mod_info mod_cgi mod_dav_fs mod_vhost_alias mod_negotiation mod_dir mod_imap mod_actions mod_speling mod_userdir mod_alias mod_rewrite mod_proxy mod_proxy_ftp mod_proxy_http mod_proxy_connect Kapitel 10 Apache 151 Folgende Module sind zus tzlich verf gbar wenn Sie weitere Pakete installieren mod_auth_mysql mod_auth_pgsql mod_perl mod_python mod_ssl php squirrelmail 10 7 Module hinzuf gen Apache HTTP Server unterst tzt Dynamically Shared Objects DSOs oder Module welche einfach zur Laufzeit wenn ben tigt geladen werden k nnen Das Apache Project stellt eine vollst ndige DSO Dokumentation unter http httpd apache org docs 2 0 dso html zur Verf gung Nach der Installation des Pakets http manual steht Ihnen auch weitere Dokumentation zu DSOs unter h
335. ie z B XF8 6Config abgelegt Im etc skel Verzeichnis werden Benutzerdateien Gerippe abgelegt Wenn ein neuer Benutzer hin zukommt dienen sie dazu ein Home Verzeichnis anzulegen 3 2 1 3 Das 1ib Verzeichnis Das 1ib Verzeichnis sollte nur die Bibliotheken enthalten die f r das Ausf hren der Bin rda teien von bin und sbin gebraucht werden Diese gemeinsam genutzten Bibliotheks Images sind insbesondere f r das Booten des Systems und das Ausf hren von Befehlen innerhalb des root Dateisystems von Bedeutung 3 2 1 4 Das mnt Verzeichnis Das mnt Verzeichnis ist f r vor bergehend gemountete Dateisysteme wie CD ROMs und Disket ten 3 2 1 5 Das opt Verzeichnis Das opt Verzeichnis stellt einen Bereich f r die Speicherung von gro en und statischen Software Paketen zur Verf gung F r Pakete deren Dateien nicht ber das ganze Dateiystem verteilt abgelegt werden sollen stellt opt ein logisches und berschaubares organisatorisches System unter dem Verzeichnis dieses Pa kets zur Verf gung F r den Systemadministrator bedeutet dies eine einfache Art und Weise die Rolle jeder Datei innerhalb eines bestimmten Pakets zu bestimmen Kapitel 3 Struktur des Dateisystems 27 Wenn z B ein besimmtes Softwarepaket das in opt abgelegt ist sample hei t dann k nnen alle zugeh rigen Dateien in Verzeichnisse innerhalb opt sample abgelegt werden z B opt sample bin f r Bin rdateien und opt sample man
336. iebssystemen auskennen Einige der Konzepte dieser Betriebssysteme k nnen m glicherweise nicht direkt auf Linux bertragen werden Eine einf hrende Befehlsiibersicht mit Beispielen Dies ist unter Umst nden der wichtigste Punkt bei Ihrer Suche nach einer geeigneten Linux Dokumentation Die grundlegende Philoso phie hinter Linux besteht darin da die Kombination von kleineren Befehlen mit eingeschr nktem Funktionsumfang der Verwendung einiger weniger gro er aber damit auch komplizierteren Be fehle vorzuziehen ist Wenn Sie sich nicht anhand der Beispiele mit dem von Linux vertretenen Ansatz f r das Erledigen von Aufgaben vertraut machen k nnen liegt dies m glicherweise daran da Sie von der Vielzahl der auf Ihrem Red Hat Linux System zur Verf gung stehenden Befehle schier berw ltigt werden Denken Sie aber bitte immer daran da Sie sich nicht an alle Ihnen zur Verf gung stehenden Linux Befehle erinnern m ssen Es gibt verschiedene Techniken um herauszufinden welche Art von Dokumentation Ihren Anforderungen vermutlich am besten gerecht wird Sie sollten also lediglich ganz grob dar ber Bescheid wissen wie Linux funktioniert und wie Sie den Zugang zu dem Tool finden das Ihnen genaue Anweisungen dazu gibt wie Sie den Befehl ausf hren m ssen Das Red Hat Linux Installationshandbuch ist eine hervorragende Informationsquelle und hilft Ihnen dabei Ihr Red Hat Linux System erfolgreich zu installieren und grundlegend
337. iel weitergeleitet werden k nnen R Ersetzt eine Regel in einer bestimmten Chain Sie m ssen eine Regelnummer nach dem Namen der Chain verwenden um die Regel zu ersetzen Die erste Regel einer Chain bezieht sich auf die Regelziffer 1 X Entfernt eine benutzerdefinierte Chain Das Entfernen einer integrierten Chain f r eine Tabelle ist nicht zugelassen Z Stellt Byte und Paketz hler in allen Chains f r eine bestimmte Tabelle auf Null 16 3 4 Parameter Sobald gewisse iptables Befehle spezifiziert worden sind einschlie lich derer zum Hinzuf gen Anh ngen Entfernen Einf gen oder Ersetzen innerhalb einer bestimmten Chain m ssen Sie Para meter definieren um mit der Erstellung einer Paketfilterungsregel beginnen zu k nnen c Setzt die Z hler f r eine bestimmte Regel zur ck Dieser Parameter akzeptiert die PKTS und BYTES Optionen zur Spezifizierung der zur ckzusetzenden Z hler d Stellt Ziel Hostnamen IP Adresse oder Netzwerk eines Pakets ein das mit der Regel bere instimmt Wenn das Paket mit einem Netzwerk bereinstimmt sind die folgenden Formate f r IP Adressen Netmasks unterst tzt N N N N M M M M Wobei N N N N der Bereich der IP Adresse und M M M M die Net mask ist N N N N M Wobei N N N N der Bereich der IP Adresse und M die Netmask ist f Wendet diese Regel nur auf fragmentierte Pakete an Durch Verwendung der Option nach diesem Parameter werde
338. iele zur Verwendung dieser Module Konfiguration NE2000 ISA Karte an IO 300 und IRQ 11 ne 0x300 11 ether 0x300 11 eth0 Wavelan Karte an IO 390 Auto Detect f r IRQ wavelan 0 0x390 0x4321 und Verwendung von NWID zu 0x4321 ether 0 0x390 0x4321 eth0 Tabelle A 6 Konfigurationsbeispiele f r Ethernet Parameter A 4 1 Verwendung mehrerer Ethernet Karten Sie k nnen auf einem Rechner mehrere Ethernet Karten benutzen Wenn die Karten jeweils mit un terschiedlichen Treibern arbeiten z B einen 3c509 und einen DE425 m ssen Sie lediglich alias und ggf options Zeilen f r jede Karte der etc modules conf Datei hinzuf gen Weitere In formationen finden Sie im Kapitel Kernelmodule im Red Hat Linux Handbuch benutzerdefinierter Konfiguration Wenn zwei Ethernet Karten denselben Treiber verwenden z B zwei 3c509 Karten oder einen 3c595 und einen 3c905 m ssen Sie den beiden Karten entweder in der Optionszeile des Treibers Adressen zuweisen bei ISA Karten oder Sie f gen einfach f r jede Karte eine alias Zeile hinzu bei PCI Karten Weitere Informationen zur Verwendung mehrerer Ethernet Karten finden Sie unter Linux Ethernet HOWTO unter der URL http www redhat com mirrors LDP HOWTO Ethernet HOWTO html 292 Anhang A Allgemeine Parameter und Module Stichwortverzeichnis Symbols fetchmailrc 163 Allgemeine Optionen 164 Benutzeroptionen 165 Serveroptionen 164 procmailrc 167 dev Verzeichnis 26 etc Verzeichn
339. ierung verwendet Geben Sie am KDC Terminal den folgenden kadmin 1local Befehl ein um den ersten Princi pal zu erstellen usr kerberos sbin kadmin local q addprinc username admin Starten Sie Kerberos mit Hilfe der folgenden Befehle sbin service krb5kde start sbin service kadmin start sbin service krb524 start F gen Sie Principals f r Ihre Benutzer mit Hilfe des Befehls addprinc mit kadmin hinzu kadmin und kadmin local auf dem Master KDC sind die Befehlszeilenschnittstellen zum KDC Insofern stehen viele Befehle nach dem Starten des kadmin Programms zur Verf gung Weitere Informationen finden Sie auf der man Seite zu kadmin berpr fen Sie ob der Server Tickets ausgibt F hren Sie zuerst kinit aus um ein Ticket zu erhalten und speichern Sie es in einer Credential Cache Datei Zeigen Sie dann mit klist eine Referenzenliste im Cache an und verwenden Sie kdestroy um den Cache sowie die enthaltenen Referenzen zu zerst ren i Anmerkung Standardm ig versucht kinit Sie mit Hilfe des Anmeldenamens des Kontos zu authen tifizieren das Sie zur ersten Anmeldung am System verwendeten nicht am Kerberos Server Entspricht der Systembenutzername keinem Principal in der Kerberos Datenbank erhalten Kapitel 17 Kerberos 253 Sie eine Fehlermeldung Geben Sie in diesem Fall kinit den Namen Ihres Principal als Argu ment auf der Befehlszeile an kinit Principal Wenn Sie oben genannte Schritte ausgef hrt haben
340. ieviel Bytes emp fangen und gesendet hat die Paketanzahl Fehleranzahl und verlorene Pakete an e dev_mcast Zeigt die verschiedenen Layer2 Multicast Gruppen an auf denen ein Ger t zuh rt e igmp Listet die von diesem System zusammengefassten IP Adressen auf e ip_fwchains Wenn ipchains verwendet werden zeigt diese virtuelle Datei alle aktuellen Regeln an e ip_fwnames Wenn ipchains verwendet wird listet diese virtuelle Datei alle Namen der Firewall Ketten auf ip_masquerade Zeigt eine Tabelle mit Maskierungs Informationen unter ipchains an 66 Kapitel 5 Das proc Dateisystem ip _mr_cache Liste des Multicasting Routing Cache e ip_mr_vif Liste der virtuellen Schnittstellen zum Multicasting netstat Enth lt eine umfangreiche und detaillierte Sammlung von Netzwerk Statistiken mit TCP Timeouts gesendeten und empfangenen SYN Cookies und vielem mehr psched Liste der globalen Paket Scheduler Parametern raw Liste der Raw Ger t Statistiken route Zeigt die Kernel Routing Tabelle an e rt_cache Zeigt den aktuellen Routing Cache snmp Eine Liste von Simple Network Management Protocol SNMP Daten verschiedener Netzwerk Protokolle sockstat Liefert Statistiken zum Socket tcp Enth lt detaillierte Informationen zum TCP Socket tr_rif Die Token Ring RIF Routing Tabelle e udp Enth lt detaillierte Informationen zum UDP Socket unix L
341. iginalbeschreibung zu Kerberos http web mit edu kerberos www dialogue html Designing an Authentication System a Dia logue in Four Scenes 1988 von Bill Bryant verfasst 1997 von Theodore Ts o berarbeitet Das Dokument enth lt ein Gespr ch zwischen zwei Entwicklern die ber die Schaffung eines Authen tifizierungssystems in der Art von Kerberos nachdenken Dank seines Gespr chscharakters und dadurch dass zun chst die Grundlagen diskutiert werden eignet sich dieses Dokument besonders f r Benutzer die noch nicht mit Kerberos vertraut sind http www ornl gov jar HowToKerb html How to Kerberize your site ist eine gute Referenz zur Kerberisierung eines Netzwerks http www networkcomputing com netdesign kerb1 html Kerberos Network Design Manual gibt eine ausf hrliche bersicht ber Kerberos gy redhat Kapitel 18 SSH Protokoll SSH erlaubt es Benutzern sich als Remote in Host Systeme anzumelden Im Gegensatz zu FTP oder Telnet verschliisselt SSH die Anmeldung Auf diese Weise wird das Sicherheitsrisiko fiir Ihr System und das Remote System reduziert und Eindringlinge k nnen keine Passw rter im Klartext erkennen SSH wurde als Ersatz f r ltere weniger sichere Terminalanwendungen die zum Anmelden in Remote Hosts wie telnet oder rsh verwendet werden entwickelt Das Programm scp ersetzt ltere Programme wie rep die zum Kopieren von Dateien zwischen Hosts verwendet wurden Da diese lteren Progra
342. igt damit die Benutzer dem Serveradministrator ein Problem per E Mail melden k nnen ServerAdmin ist standardm ig auf root localhost gesetzt Meistens ist es am g nstigsten ServerAdmin auf webmaster example com einzustellen Richten Sie dann in etc aliases einen Alias webmaster ein der auf den f r den Web Server Verantwort lichen zeigt F hren Sie schlie lich usr bin newaliases aus um den neuen Alias hinzuzuf gen 10 5 21 ServerName Mit ServerName k nnen Sie einen Rechnernamen und eine Port Nummer die mit der Anweisung Listen bereinstimmt f r Ihren Server angeben Der Servername kann sich vom wirklichen Namen Ihres Host unterscheiden Zum Beispiel k nnen Sie so den Namen www example com angeben aber der Hostname des Servers ist tats chlich foo example com Beachten Sie dass ServerName einen g ltigen Domain Name Service DNS Namen enthalten muss den Sie auch tats chlich verwenden d rfen also nicht einfach etwas ausdenken Folgend ist ein Beispiel einer ServerName Anweisung ServerName www example com 80 Wenn Sie in ServerName einen Servernamen angeben muss die entsprechende Zuordnung von IP Adresse und Servername in Ihrer etc hosts Datei enthalten sein 10 5 22 UseCanonicalName Wenn UseCanonicalName auf on eingestellt ist konfiguriert diese Anweisung Apache HTTP Server sich selbst mit den in ServerName und Port angegebenen Werten zu referenzieren Wenn UseCa nonicalName auf off eingestellt wi
343. igurieren eines Systems zur gemeinsamen Nutzung von Dateien und Verzeichnisse mithil fe von NFS ist einfach Jedes Dateisystem das via NFS an Remote Benutzer exportiert wurde sowie die Zugriffsrechte f r diese Dateisysteme werden in der Datei etc exports abgelegt Diese Datei wird mit dem Befehl export fs gelesen Dadurch erhalten rpc mountdund rpc nfsd die notwen digen Informationen die ben tigt werden um das Remote Mounting eines Dateisystems durch einen autorisierten Host zuzulassen Mit dem Befehl exportfs k nnen Sie Verzeichnisse exportieren ohne die verschiedenen NFS Dienste neu starten zu m ssen Wenn export fs die korrekten Optionen erh lt wird das zu exportie rende Dateisystem in var lib nfs xtab gespeichert Da rpc mountd sich f r das Festlegen der Privilegien f r den Zugriff auf ein Dateisystem auf die Datei xtab bezieht werden nderungen an der Liste der exportierten Dateisysteme sofort wirksam Bei der Verwendung des Befehls export fs stehen verschiedene Optionen zur Verf gung e r Alle in etc exports aufgelistete Verzeichnisse werden exportiert und in etc lib nfs xtab wird eine neue Exportliste erstellt Durch diese Option wird die Exportliste einschlie lich aller nderungen die in etc exports vorgenommen wurden aktualisiert e a Alle Verzeichnisse werden exportiert oder nicht exportiert je nachdem welche anderen Op tionen in exportfs gew hlt wurden e o Optionen Erm glicht dem Benutzer
344. ils abzulegen kann eine Regel hnlich der Folgenden verwendet wer den 0 Hw AX Spam Status Yes spam Diese Regel legt alle als Spam markierten E Mails in eine Mailbox mit dem Namen spam Kapitel 11 E Mail 173 Da SpamAssassin ein Perl Skript ist kann es auf berf llten Servern notwending werden den bin ren SpamAssassin Daemon spamd und die Client Applikation spamc zu verwenden Ein solches Kon figurieren von SpamAssassin erfordert allerdings Root Zugriff zum Host Um den spamd Daemon zu starten geben Sie folgenden Befehl als root ein sbin service spamassassin start Damit der SpamAssassin Daemon zur Bootzeit gestarten wird miissen Sie mit einem Initscript Utility wie Services Konfigurationstool redhat config services den Service spamassassin ent sprechend einrichten Sehen Sie Abschnitt 1 4 2 fiir weitere Informationen zu Initscript Utilities Um Procmail fiir die Verwendung der SpamAssassin Client Applikation anstelle des Perl Skripts ein zurichten f gen Sie die folgende Zeile im oberen Bereich der Datei procmailrc hinzu oder f r eine System weite Konfiguration in die Datei etc procmailrc INCLUDERC etc mail spamassassin spamassassin spamc rc 11 5 Mail User Agents Unter Red Hat Linux gibt es eine vielzahl von Mail Programmen Es gibt graphische E Mail Clients mit Unmengen an Funktionalit t wie Mozilla Mail oder Ximian Evolution als auch Text basierte E Mail Programme wie mutt und pine
345. iner symmetrischen Kodierung ver schl sselt Der Client authentifiziert sich gegen ber dem Server Der Remote Client kann nun sicher mit dem Remote Host ber die verschl sselte Verbindung kom munizieren 18 3 1 Transportschicht Die wichtigste Aufgabe der Transportschicht ist es die sichere und verschl sselte Kommunikation zwischen zwei Rechnern bei und nach der Authentifizierung zu gew hrleisten Die Transportschicht verwaltet zu diesem Zweck die Verschl sselung und Entschl sselung der Daten und pr ft ob der Server der korrekte Rechner ist Dar ber hinaus sorgt sie daf r dass die Datenpakete w hrend des gesamten bertragungsflusses gesch tzt sind Weiterhin kann diese Schicht die Daten komprimieren und damit die bertragungsgeschwindigkeit erheblich erh hen Sobald ein Client ber ein SSH Protokoll mit einem Server in Verbindung tritt erfolgen verschiedene wichtige Vorg nge die dazu dienen dass die beiden Systeme die Transportschicht korrekt aufbauen Austausch der Schl ssel Zu verwendenden Algorithmus f r den ffentlichen Schl ssel bestimmen Zu verwendenden Algorithmus f r die symmetrische Verschl sselung bestimmen Zu verwendenden Algorithmus f r die Authentifizierung der Mitteilungen bestimmen Zu verwendenden Hash Algorithmus bestimmen Beim Austausch der Schl ssel identifiziert sich der Server gegen ber dem Client mithilfe eines ein deutigen Host Schl ssel Wenn nie zuvor eine Verbindun
346. ingeschlossener Text wird von named ignoriert 12 3 Zone Dateien Zone Dateien sind im named Arbeitsverzeichnis gespeichert und enthalten Informationen ber einen bestimmten Namespace Die Standarddatei ist var named Jede Zone Datei ist gem der Daten der ile Option in der zone Direktive benannt Normalerweise bezieht sich der Name auf die ent sprechende Domain und identifiziert die Datei als Datei die Zone Daten enth lt wie z B exam ple com zone Jede Zone Datei kann Direktiven und Resource Records enthalten Direktiven weisen den Name Server an bestimmte Aktionen auszuf hren oder spezielle Einstellungen f r die Zone zu verwenden Resource Records legen die Parameter der Zone fest Diese ordnen bestimmten Systemen innerhalb des Namespaces der Zone eine Identit t zu Anweisungen sind optional aber Resource Records sind notwendig um dieser Zone den Name Service zur Verf gung zu stellen Alle Direktiven und Resource Records sollten in einer eigenen Zeile stehen Kommentare k nnen in Zone Dateien nach dem Semikolon platziert werden 12 3 1 Zone Dateien Direktiven Anweisungen werden durch das vorangestellte Dollarzeichen identifiziert das vor dem Namen der Anweisung blicherweise im oberen Teil der Zone Datei steht Folgende Anweisungen werden am h ufigsten verwendet 186 Kapitel 12 Berkeley Internet Name Domain BIND e SINCLUDE Weist named an in diese Zone Datei an Stelle der Anweisung eine andere Z
347. inrichten m ssen finden Sie Detailinformationen zum Festlegen der Beziehungen zwischen den Master und Slave Servern im Kerberos 5 Installation Guide im Verzeichnis usr share doc krb5 server lt Versionsnummer gt F hren Sie diese Schritte aus um einen Kerberos Server zu konfigurieren 1 Stellen Sie sicher dass die Zeitsynchronisierung und DNS auf dem Server funktionieren ehe Sie Kerberos 5 installieren Schenken Sie der Zeitsynchronisierung zwischen dem Kerberos Server und seinen verschiedenen Clients besondere Aufmerksamkeit berschreitet die Zeitdifferenz zwischen der Server und den Clientuhren f nf Minuten der Standardwert kann in Kerberos 5 konfiguriert werden sind die Kerberos Clients nicht in der Lage sich am Server anzumelden Diese Zeitsynchronisierung ist notwendig um Angreifer davon abzuhalten ein altes Kerberos Ticket zu verwenden um sich als g ltigen Benutzer auszugeben Selbst wenn Sie Kerberos nicht verwenden sollten Sie ein NTP kompatibles Client Server Netzwerk einrichten Red Hat Linux umfasst das leicht zu installierende ntp Paket Sehen Sie usr share doc ntp lt version number gt index htmf r Details zum Einrichten eines NTP Servers und http www eecis udel edu ntp f r zus tzliche Informationen zu NTP 2 Installieren Sie auf dem daf r abgestellten Rechner auf dem KDC ausgef hrt wird die Pakete krb5 libs krb5 server und krb5 workstation Dieser Rechner muss extrem sicher sein wenn m glic
348. ions nderungen wirksam werden zu lassen muss der Administrator den xinetd Service neu starten Unten ein Beispiel einer etc xinetd conf Datei defaults instances 60 log_type SYSLOG authpriv log_on_success HOST PID log_on_failure HOST cps 25 30 includedir etc xinetd d Diese Zeilen kontrollieren verschiedene Aspekte von xinetd e instances Bestimmt die H chstzahl der Anfragen die xinetd gleichzeitig bearbeiten kann e log_type Weist xinetd an die Protokolldatei authpriv die Log Eintr ge in die Datei var log secure zu verwenden Das Hinzuf gen einer Direktive wie FILE var log xinetdlog w rde eine benutzerdefinierte Log Datei mit dem Namen xinetdlog im Verzeichnis var log erstellen e log_on_success Konfiguriert xinetd zum Protokollieren wenn die Verbindung erfolgreich ist Standardm ig werden die Remote Host IP Adresse und die ID des Servers der die Anfrage verarbeitet aufgezeichnet log_on_failure Konfiguriert xinetd zum Protokollieren wenn die Verbindung fehlschl gt oder nicht zugelassen ist e cps Konfiguriert xinetd f r einen bestimmten Dienst nicht mehr als 25 Verbindungen pro Sekunde zuzulassen Wenn diese Grenze erreicht wird wird der Dienst f r 30 Sekunden zur ckge zogen e includedir etc xinetd d Enth lt Optionen der servicespezifischen Konfigurationsdateien im Verzeichnis etc xinetd d Weitere Informationen zu diesem Verzeichnis finden Sie unter Abs
349. ipes oft als den schwierigsten Teil im Umgang mit Procmail Bei einigen Erweiterungen ist das verst ndlich wenn die Mitteilungen z B anhand von re gul ren Ausdr cken regular expressions mit den Recipes verglichen werden Dies ist ein besonderes Format das die Bedingungen f r einen Matching String festlegt Regul re Ausdr cke sind jedoch weder schwer zu erstellen noch schwer zu verstehen Ungeachtet der regul ren Ausdr cke ist auf grund der Art und Weise wie die Procmail Recipes geschrieben sind einfach herauszufinden wie sie funktionieren Eine vollst ndige Beschreibung des regul ren Umfangs w rde den Rahmen dieses Kapitels spren gen Die Struktur der Procmail Recipes ist viel wichtiger Im Internet finden Sie unter anderem unter http www iki fi era procmail links html hilfreiche Beispiele f r Procmail Recipes Die korrekte Ver wendung und Anpassung der regul ren Ausdr cke die Sie in diesen Beispielen finden h ngt vom Verst ndnis der Struktur der Procmail Recipes ab In der grep man Seite finden Sie einf hrende In formationen ber die grundlegenden Regeln der regul ren Ausdr cke Ein Procmail Recipe sieht wie folgt aus 0 lt flags gt lt lockfile name gt Kapitel 11 E Mail 169 lt special condition character gt lt condition 1 gt lt special condition character gt lt condition 2 gt lt special condition character gt lt condition N gt lt special action character gt lt action to perform gt
350. ipwire RPM dem etc cron daily Verzeichnis ein Shell Skript mit dem Namen tripwire check hinzu Dieses f hrt automatisch ein Mal t glich eine Integrit tspr fung durch Sie k nnen jedoch durch Eingabe des folgenden Befehls jederzeit eine Tripwire Integrit tspr fung durchf hren usr sbin tripwire check Bei der Integrit tspr fung vergleicht Tripwire den aktuellen Stand der Dateisystem Objekte mit den in der Datenbank gespeicherten Eigenschaften Eventuelle Differenzen werden ausgedruckt und in var lib tripwire report wird eine verschl sselte Kopie des Berichtes erstellt Sie k nnen den Bericht anhand des Befehls twprint wie in Abschnitt 19 6 1 angegeben anzeigen W nschen Sie dass Ihnen eine E Mail zugestellt wird wenn bestimmte Arten von Differenzen bei der Integrit tspr fung ermittelt wurden kann dies in der Policy Datei konfiguriert werden Hinweise dazu wie dieses Merkmal eingerichtet und getestet werden kann finden Sie in Abschnitt 19 8 1 270 Kapitel 19 Tripwire 19 6 Untersuchen von Tripwire Berichten Der Befehl usr sbin twprint wird dazu verwendet verschliisselte Tripwire Berichte und Daten banken anzuzeigen 19 6 1 Anzeige von Tripwire Berichten Der Befehl twprint m r zeigt den Inhalt eines Tripwire Berichts in Klartext an Weisen Sie twprint an welcher Bericht angezeigt werden soll Ein twprint Befehl f r das Drucken von Tripwire Berichten sieht hnlich wie folgt aus usr sbin twprint m r
351. ird Eine typische Ausgabe dieser Datei sieht wie folgt aus 2 10 60 Die ersten und letzten Werte setzen den minimalen und maximalen Prozentsatz des Speichers der als Pufferspeicher verwendet wird Der mittlere Wert setzt den Prozentsatz von Systemspeicher der als Puffer verwendet wird ab dem das Memory Management anf ngt Puffer mehr als andere Speichertypen zu l schen um Speichermangel auszugleichen kswapd Stellt verschiedene Werte in Zusammenhang mit dem Kernel Swap Daemon ein kswapd Diese Datei hat drei Werte 512 32 8 Der erste Wert setzt die maximale Anzahl von Seiten die kswapd in einem Versuch zu l schen versucht Je gr er diese Zahl desto schneller kann der Kernel auf freie Seiten zur ckgreifen Der zweite Wert setzt die minimale Anzahl von Versuchen die kswapd versucht eine Seite zu l schen Der dritte Wert setzt die Anzahl von Seiten die kswapd in einem Versuch zu schreiben versucht Ein richtiges Einstellen des letzten Wertes kann die Systemleistung auf Kosten einer Menge Swap Platzes erh hen indem der Kernel Seiten in gro en Bl cken schreibt und dabei die Anzahl der Plattenzugriffe verringert max_map_count Konfiguriert die maximale Anzahl von Speicher Map Bereichen die ein Prozess haben darf In den meisten F llen ist ein Standardwert von 65536 angemessen overcommit_memory wenn dies auf den Standardwert von 0 gesetzt ist sch tzt der Kernel einen verf gbaren Speicherumfang und l sst A
352. is 26 etc exports 114 etc fstab 116 etc named conf Siehe BIND etc pam conf 211 Siehe auch PAM etc pam d 211 Siehe auch PAM etc sysconfig Siehe sysconfig Verzeichnis etc sysconfig Verzeichnis 30 initrd Verzeichnis 30 lib Verzeichnis 26 lib security 211 Siehe auch PAM mnt Verzeichnis 26 opt Verzeichnis 26 proc proc cpuinfo 47 Anzeigen von Dateien 45 apm 47 cmdline 47 dma 49 proc Dateisystem eingefiihrt 45 proc Verzeichnis 27 procDateiname proc sys Verzeichnis proc sys vm Verzeichnis 74 procDateisystem proc bus Verzeichnis 62 proc devices Blockger te 48 proc driver Verzeichnis 63 proc execdomains 49 proc fs Verzeichnis 63 proc ide Verzeichnis 63 Ger te Verzeichnisse 64 proc iomem 51 proc ioports 51 proc irg Verzeichnis 65 proc kcore 53 proc kmsg 53 proc ksyms 53 proc loadavg 53 proc locks 54 proc mdstat 54 proc meminfo 55 proc misc 56 proc modules 56 proc mounts 56 proc mtrr 57 proc net Verzeichnis 65 proc partitions 57 Iproc pei Anzeige mitlspci 57 proc scsi Verzeichnis 66 proc self Verzeichnis 62 proc slabinfo 58 proc stat 59 proc swaps 59 proc sys Verzeichnis proc sys fs Verzeichnis 70 proc sysVerzeichnis 68 proc sys dev Verzeichnis 69 proc sysvipe Verzeichnis 75 proc tty Verzeichnis 75 proc uptime 59 proc version 60 proc fb 49 proc file systems 50 p
353. is enth lt eine Datei namens info die einige wichtige CD ROM Parameter ausgibt CD ROM information Id cdrom c 3 12 2000 10 18 drive name hdc drive speed 32 drive of slots 1 Can close tray 1 Can open tray 1 Can lock tray 1 Can change speed 1 Can select disk 0 Can read multisession 1 Can read MCN 1 Reports media changed 1 Can play audio 1 Can write CD R 0 Can write CD RW 0 Can read DVD 0 Can write DVD R 0 Can write DVD RAM 0 Diese Datei kann benutzt werden um die F higkeiten einer unbekannten CD ROM herauszufinden Wenn mehrere Laufwerke vorhanden sind hat jedes Ger t seine eigene Informationsspalte Verschiedene Dateien in proc sys dev cdrom wie z B autoclose und checkmedia k nnen benutzt werden um das CD ROM Laufwerk einzustellen Mit dem Befehl echo k nnen Sie ein Fea ture aktivieren oder deaktivieren Wenn RAID Unterst tzung in den Kernel integriert wurde ist ein Verzeichnis proc sys dev raid mit mindestens zwei Dateien vorhanden speed_limit_min und speed_limit_max Diese Einstellungen legen die Beschleunigung eines RAID Ger t f r besonders T O intensive Aufgaben wie z B beim Synchronisieren von Festplatten fest 70 Kapitel 5 Das proc Dateisystem 5 3 9 2 proc sys fs Dieses Verzeichnis enth lt eine Liste von Optionen und Informationen zu verschiedenen Einstellungen des Dateisystem inklusive Quoten Datei Handles Inoden und dentry Informationen Das Verzeichnis
354. istet die UNIX Domain Sockets auf die zur Zeit benutzt werden e wireless Zeigt Informationen zu Wireless Interfaces 5 3 8 proc scsi Dieses Verzeichnis ist analog zum Verzeichnis proc ide kann aber nur f r verbundene SCSI Ger te verwendet werden Die wichtigste Datei hier ist proc scsi scsi welche eine Liste mit allen erkannten SCSI Ger ten enth lt Aus dieser Auflistung k nnen Sie den Typ des Ger tes den Modell Namen den Hersteller und die SCSI Kanal ID Daten abrufen Wenn ein System zum Beispiel ein SCSI CD ROM ein Bandlaufwerk Festplatten und einen RAID Controller beinhaltet k nnte die Datei hnlich wie in diesem Beispiel aussehen Attached devices Host scsil Channel 00 Id 05 Lun 00 Vendor NEC Model CD ROM DRIVE 466 Rev 1 06 Type CD ROM ANSI SCSI revision 02 Host scsil Channel 00 Id 06 Lun 00 Vendor ARCHIVE Model Python 04106 XXX Rev 7350 Type Sequential Access ANSI SCSI revision 02 Host scsi2 Channel 00 Id 06 Lun 00 Vendor DELL Model 1x6 U2W SCSI BP Rev 5 35 Type Processor ANSI SCSI revision 02 Host scsi2 Channel 02 Id 00 Lun 00 Vendor MegaRAID Model LDO RAIDS 34556R Rev 1 01 Type Direct Access ANSI SCSI revision 02 Jeder SCSI Treiber der vom System benutzt wird hat ein eigenes Verzeichnis in proc scsi wel ches spezifische Dateien f r jeden Controller enth lt F r unser Beispiel oben gibt es also die Ver zeichnisse aic7xxx und megaraid da
355. it PATH_INFO zu akzeptieren Folgend ist ein Beispiel dieser Anweisung AcceptPathInfo on Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod core html acceptpathinfo http httpd apache org docs 2 0 handler html http httpd apache org docs 2 0 filter html 10 2 4 1 Das Modul mod_ss1 Die Konfiguration f r mod_ssl wurde von httpd conf in die Datei etc httpd conf d ssl conf verschoben Damit diese Datei geladen wird und dass folglich mod_ss1 funktioniert m ssen Sie die Anweisung Include conf d conf wie in Abschnitt 10 2 1 3 beschrieben in Ihrer Datei httpd conf haben ServerName Anweisungen in virtuellen Hosts von SSL m ssen die Port Nummer ausdr cklich an geben Folgendes ist ein Beispiel einer Apache HTTP Server 1 3 Anweisung lt VirtualHost _default_ 443 gt General setup for the virtual host ServerName ssl example name lt VirtualHost gt Verwenden Sie folgende Struktur um diese Einstellung nach Apache HTTP Server 2 0 zu migrieren lt VirtualHost _default_ 443 gt General setup for the virtual host ServerName ssl host name 443 lt VirtualHost gt Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website Kapitel 10 Apache 129 http httpd apache org docs 2 0 mod mod_ssl html http httpd apache org docs 2 0 vhosts 10 2 4 2 Das M
356. it d ups K74ypserv gt K74ypxfrd gt K84bgpd gt K84ospf6d gt K84ospfd gt K84ripd gt K84ripngd gt K85zebra gt K90isicom gt K92ipvsadm gt K95firstboot SOOmicrocode_ctl gt init d kudzu so5kudzu x init d ypserv init d ypxfrd init d bgpd init d ospf6d init d ospfd init d ripd init d ripngd init d zebra init d isicom init d ipvsadm gt init d firstboot init d microcode_ctl 6 Kapitel 1 Boot Init und Shutdown S08ip6tables gt init d ip6tables S0O8ipchains gt init d ipchains SO8iptables gt init d iptables S09isdn gt init d isdn S10network gt init d network S12syslog gt init d syslog S13portmap gt init d portmap S 14nfslock gt init d nfslock Sl7keytable gt init d keytable S20random gt init d random S24pcmcia gt init d pcmcia S25netfs gt init d netfs S26apmd gt init d apmd S28autofs gt init d autofs S44acpid gt init d acpid S55sshd gt init d sshd S56rawdevices gt init d rawdevices S56xinetd gt init d xinetd S80sendmail gt init d sendmail S80spamassassin gt init d spamassassin S84privoxy gt init d privoxy S85gpm gt init d gpm S90canna gt init d canna S90crond gt init d crond S90cups gt init d cups S90xfs gt init d xfs S95anacron gt init d anacron S95atd gt init d atd S97r
357. it dem XFree86 Server verwendet wird Es muss zumindest zwei InputDevice Eintr ge geben Einer f r die Standardmaus und einer f r die Standardtastatur Die Optionen CorePointer und CoreKeyboard weisen darauf hin dass es sich um prim re Maus und Tastatur handelt Option lt option name gt Ein optionaler Eintrag der weitere Parameter f r diesen Abschnitt angibt Jede der hier aufgef hrten Optionen berschreibt die Optionen im Abschnitt ServerFlags Ersetzen Sie lt option name gt hier mit einer der in den XF86Config man Seiten aufgelisteten Optionen Es ist m glich mehr als einen ServerLayout Abschnitt anzugeben Der Server wird jedoch nur den ersten einlesen au er es wird eine anderer ServerLayout Abschnitt als Befehlszeilenargument angegeben 7 3 1 4 Files Der Files Abschnitt legt f r XFree86 Server wichtige Pfade wie zum Beispiel den Fontpfad fest Das folgende Beispiel zeigt einen typischen Files Abschnitt Section Files RgbPath usr X11R6 1ib X11 rgb FontPath unix 7100 EndSection Folgende Eintr ge sind die in einem Files Abschnitt am h ufigsten verwendeten RgbPath Gibt den Speicherort der RGB Farbdatenbank an Diese Datenbank definiert alle in XFree86 g ltigen Farbnamen und bindet diese deren entsprechenden RGB Werten FontPath Gibt an wo der XFree86 Server verbinden muss um Fonts vom xfs Font Server zu erhalten Standardm ig ist FontPath unix 7100 Auf diese Weise wird der
358. it dem iptables Befehl erstellt wurden werden nur im RAM gespeichert Wenn das System nach Erstellung der iptables Regeln neu gestartet wird gehen diese verloren Wenn Sie m chten dass Netzfilterregeln bei jedem Booten Ihres Systems erneut wirksam werden m ssen Sie sich als root anmelden und folgendes eingeben sbin service iptables save Dadurch wird das iptables Init Skript angewiesen das aktuelle sbin iptables save Programm auszuf hren und die aktuelle iptables Konfiguration in die etc sysconfig iptables Datei geschrieben Diese Datei sollte nur von root gelesen werden k nnen Beim n chsten Systemstart wendet das iptables Init Skript die in etc sysconfig iptables gespeicherten Regeln durch die Verwendung des sbin iptables restore Befehls erneut an Es ist grunds tzlich empfehlenswert eine neue iptables Regel immer erst zu testen bevor sie in die etc sysconfig iptables Datei eingef gt wird Sie k nnen die iptables Regeln aber auch von der Dateiversion eines anderen Systems in diese Datei kopieren wodurch sie in kurzer Zeit ganze S tze von iptables Regeln an verschiedene Rechner verteilen k nnen Bicon Wenn Sie die etc sysconfig iptables Datei an andere Rechner verteilen m ssen Sie sbin service iptables restart eingeben damit die neuen Regeln wirksam werden 16 5 Zus tzliche Informationsquellen Zus tzliche Informationen zur Paketfilterung mit iptables finden Sie in den weiter unten aufgef hr ten Quellen
359. itel 3 Struktur des Dateisystems 29 Nachfolgend einige der Verzeichnisse die Unterverzeichnisse von var sein sollten var account arpwatch cache crash db empty ftp gdm kerberos lib local lock log mail gt spool mail mailman named nis opt preserve run spool anacron at cron fax lpd mail mqueue news rwho samba slrnpull squid up2date uucp uucppublic vbox voice tmp l tux www l yp Systemprotokolldateien wie z B messages und lastlog werden im var log Verzeichnis ab gelegt Das var lib rpm Verzeichnis enth lt auch die RPM Systemdatenbanken Sperrdateien werden in var lock abgelegt wobei es sich hier normalerweise um spezifische Verzeichnisse f r die Programme handelt das diese Dateien benutzt Das var spoo1 Verzeichnis hat Unterver zeichnisse in denen verschiedene Datendateien speichern k nnen 30 Kapitel 3 Struktur des Dateisystems 3 2 2 usr local in Red Hat Linux In Red Hat Linux unterscheidet sich der Verwendungszweck f r usr local ganz leicht von den durch FHS definierten Verwendungszwecken Laut FHS soll in usr local Software abgelegt wer den die bei Aktualisierungen der System Software gesch tzt werden soll Das Aktualisieren von Red Hat Linux mit dem rpm Befehl und der grafischen Paketverwaltungstool Applikatio
360. itt zur globalen Umgebung der Konfigurationsdatei enth lt Anweisungen die sich insge samt auf die Funktionsweise von Apache HTTP Server auswirken wie die Anzahl konkurrierender Anfragen die abgefertigt werden und die Speicherpl tze der verschiedenen verwendeten Dateien Bei diesem Abschnitt ist im Vergleich zu den anderen eine gro e Anzahl an nderungen notwendig Es empfiehlt sich deshalb dass dieser Abschnitt seine Basis in der Apache HTTP Server 2 0 Konfigura tionsdatei hat und Sie Ihre alten Einstellungen dorthin migrieren 10 2 1 1 Auswahl der zu verkn pfenden Schnittstellen und Ports Die Anweisungen BindAddress und Port existieren nicht mehr ihre Funktionen wurde durch eine flexiblere Listen Anweisung ersetzt Wenn Sie in Ihrer 1 3 Version die Konfigurationsdatei auf Port 80 gesetzt haben sollten Sie diese auf Listen 80 um ndern Hatten Sie Port auf einen Wert gesetzt der ungleich 80 ist dann m ssen Sie auch die Port Nummer an den Inhalt Ihrer ServerName Anweisung anh ngen Folgendes ist ein Beispiel einer Apache HTTP Server 1 3 Anweisung Port 123 ServerName www example com 124 Kapitel 10 Apache Verwenden Sie folgende Struktur um diese Einstellung nach Apache HTTP Server 2 0 zu migrieren Listen 123 ServerName www example com 123 Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website e http httpd apache org docs 2 0 mod mpm_common html listen e
361. ium sind eingetragene Warenzeichen der Intel Corporation Itanium und Celeron sind Warenzeichen der Intel Corporation AMD AMD Athlon AMD Duron und AMD K6 sind Warenzeichen von Advanced Micro Devices Inc Netscape ist ein eingetragenes Warenzeichen der Netscape Communications Corporation in den USA und anderen L ndern Windows ist ein eingetragenes Warenzeichen der Microsoft Corporation SSH und Secure Shell sind Warenzeichen der SSH Communications Security Inc FireWire ist ein Warenzeichen der Apple Computer Corporation Alle weiteren hier genannten Rechte an Warenzeichen sowie Copyrights liegen bei den jeweiligen Eigent mern Der GPG Code des security redhat com Schl ssels lautet CA 20 86 86 2B D6 9D FC 65 F6 EC C4 21 91 80 CD DB 42 A6 0E Inhaltsverzeichnis Einf hrung susenssesnsnenenenenssnensnenssnsnenenenennenenenenenunensnensnnensnenensnnenenensnensenensnensnnensnensnenssnsnsnssennenensnene i 1 nderungen an diesem Handbuch ccsscssesssessessesssssssesessscssessscsscsussscesecsessscsuesuecsecsesaseeseess i 2 So finden Sie die geeignete Dokumentation 2 1 Dokumentation f r Linux Einsteiger esensennensenensennnensnnnennn ii 2 2 F r erfahrene Linux Benutzet ccceeceeceesseseeseeceeeseeecseceeneceeeesenecaeeeeneeneneeneeeas iv 2 3 Dokumentation f r Linux Gurus 3 Dokumentk nventionen susiuensrsiennneukenintshinsibeiune EUERE ASTA SE 4 Net wenden der Maus mrena a
362. kete verwendet wie mod_ssl mod_perl und php Der Server wird angewiesen anhand der Anweisung Include conf d conf in der Apache HTTP Server Konfigurationsdatei etc httpd conf httpd conf Konfigurationsdateien aus diesem Speicherplatz zu laden BB wicntic Es ist sehr wichtig dass diese Zeile beim Migrieren einer bestehenden Konfiguration eingef gt wird Die Programme ab und logresolve wurden verschoben Diese Dienstprogramme wurden vom Verzeichnis usr sbin in das Verzeichnis usr bin umgelagert Dies hat zur Folge dass Skripts mit absoluten Pfaden f r diese Bin rdateien scheitern Der Befehl dbmmanage wurde ersetzt Der Befehl dbmmanage wurde durch htdbm ersetzt Weitere Informationen erhalten Sie unter Abschnitt 10 2 4 4 Die Konfigurationsdatei logrotate wurde umbenannt Die Konfigurationsdatei logrotate wurde von etc logrotate d apache umbenannt in etc logrotate d httpd Kapitel 10 Apache 123 Der n chste Abschnitt zeigt wie eine Apache HTTP Server 1 3 Konfiguration in das neue Format 2 0 migriert werden kann 10 2 Migrieren von Apache HTTP Server 1 3 Konfigurationsdateien Wurde Ihr Server von Red Hat Linux 7 3 oder fr her aktualisiert auf der Apache HTTP Server bereits installiert war dann wird die neue Stock Konfigurationsdatei f r das Apache HTTP Server 2 0 Paket als etc httpd conf httpd conf rpmnew installiert und Ihre Originalversion 1 3 httpd conf beibehalten Es liegt nat rlich ganz bei Ih
363. kontrollieren e sport Setzt den Ursprungsport des Pakets unter Verwendung der selben Optionen wie dport Sie k nnen auch source port verwenden um diese bereinstimmungsoption zu spez ifizieren e syn Kontrolliert alle TCP Pakete die eine Kommunikation initialisieren sollen allgemein SYN Pakete genannt auf bereinstimmung mit dieser Regel Alle Pakete die einen Daten Payload enthalten werden nicht bearbeitet Wird ein Ausrufezeichen als Flag hinter die syn Option gesetzt werden alle Nicht SYN Pakete kontrolliert tcp flags Erm glicht die Verwendung von TCP Paketen mit bestimmten Bits oder Flags damit sie einer Regel entsprechen Die bereinstimmungsoption tcp flags akzeptiert nach stehend zwei Parameter die Flags f r bestimmte Bits in einer Liste mit Kommatrennung sind Der erste Parameter ist eine Maske die die zu untersuchenden Flags des Pakets bestimmt Der zweite Parameter bezieht sich auf die Flags die im Paket gesetzt werden m ssen um eine bereinstim mung zu erhalten M gliche Flags sind AC FIN PSH RST SY URG ALL NONE Eine iptables Regel die p tcp tcp flags ACK FIN SYN SYN enth lt berpr ft bei spielsweise nur TCP Pakete in denen das SYN Flag aktiviert und die ACK und FIN Flags deak tiviert sind Wie bei vielen anderen Optionen auch wird die Auswirkung der berpr fungsoptionen durch Ein f gen eines Ausrufezeichens hinter tcp f
364. ktur dessen Konfigurationsdateien und der Art und Weise wie dieser lokal und auch remote verwaltet werden kann Anweisungen f r die Konfiguration von BIND unter Verwendung des graphischen Bind Konfigura tionstool finden Sie im Kapitel BIND Konfiguration im Red Hat Linux Handbuch benutzerdefinierter Konfiguration A warung Wenn Sie das Bind Konfigurationstool verwenden sollten Sie die BIND Konfigurationsdateien nicht manuell bearbeiten da alle manuell vorgenommenen Anderungen vom Bind Konfigurations tool berschrieben werden 12 1 Einf hrung in den DNS Wenn Hosts auf einem Netzwerk zu einem anderen ber deren Hostnamen auch fully qualified domain name FQDN genannt verbinden wird DNS verwendet um die IP Adressen der Rechner ber deren Hostnamen zu bestimmen Die Verwendung von DNS und FQDN sind auch f r Systemadministratoren vorteilhaft Dank dieser Namen verf gen Administratoren ber die Flexibilit t IP Adressen f r einzelne Rechner zu ndern ohne namenbasierte Abfragen der Rechner ausf hren zu m ssen Umgekehrt k nnen die Administra toren festlegen welche Rechner eine namenbasierte Abfrage in einer f r die Benutzer transparenten Weise handhaben DNS wird im Allgemeinen mit Hilfe zentralisierter Server implementiert die f r einige Domains authorisiert sind und sich auf andere DNS Server f r andere Domains beziehen Eine Client Applikation verbindet blicherweise ber den Port 53 mit dem Nameserver und fra
365. l Zeigt wie eine POP E Mail mit Hilfe von SSH und Port Forwarding empfangen wird so dass Ihre E Mail Passw rter und die Mitteilungen sicher bermittelt werden http www sendmail net Neuigkeiten Interviews und Artikel zu Sendmail unter anderem auch ein detaillierterer berblick ber die vielen m glichen Optionen http www sendmail org Vollst ndige technische Analyse der Sendmail Features und Kongu rationsbeispiele http tuxedo org esr fetchmail Die Homepage f r Fetchmail mit einem Online Handbuch und gr ndliche Behandlung h ufig gestellter Fragen FAQ http www procmail org Die Homepage fiir Procmail mit Links zu ausgesuchten Mailing Listen fiir Procmail sowie verschiedene FAQ Dokumente http www ling helsinki fi users reriksso procmail mini faq html Ausgezeichnete Procmail FAQ mit Tips f r Probleml sungen und Details zum Sperren von Dateien und zur Verwendung von Wildcard Zeichen http www uwasa fi ts info proctips html Dutzende von Tipps die die Verwendung von Proc mail unter verschiedenen Umst nden erheblich vereinfachen wie man die procmailrc Dateien testet und wie das Scoring bei Procmail funktioniert mit dem festgelegt wird ob eine bestimmte Ma nahme ergriffen werden soll http www spamassassin org Die offizielle Seite des SpamAssassin Projekts 11 6 3 Literatur zum Thema Sendmail von Bryan Costales in Zusammenarbeit mit Eric Allman et
366. laggebend ist die oberste Organisationsstufe da der Zugriff auf die darunterliegenden Verzeichnisse eingeschr nkt werden kann bzw sich unter Umst nden Si cherheitsprobleme ergeben wenn diese Stufe nicht organisiert bzw oder eine allgemein nutzbare Struktur hat Eine Struktur hat jedoch nur als Standardstruktur einen Sinn denn konkurrierende Strukturen k nnen mehr Probleme bereiten als l sen Aus diesem Grund hat sich Red Hat f r die am meisten verbreitete Dateisystemstruktur entschieden und diese auch nur insofern erweitert als damit innerhalb von Red Hat Linux verwendete Dateien angepasst wurden 3 2 bersicht ber den Dateisystem Hierarchiestandard FHS Red Hat ist an das Filesystem Hierarchy Standard FHS dem Dateisystem Hierarchiestandard ge bunden Dabei handelt es sich um ein gemeinsam mit anderen Institutionen erarbeitetes Dokument in dem die Namen und Speicherstellen vieler Dateien und Verzeichnisse festgelegt sind Das aktuelle FHS Dokument ist die ma gebende Referenz f r alle FHS konformen Dateisystem wo bei der Standard jedoch viele Bereiche undefiniert oder erweiterbar l sst In diesem Abschnitt geben wir Ihnen einen berblick ber diesen Standard und eine Beschreibung jener Bereiche des Dateisy stems die vom Standard nicht erfasst werden Den vollst ndigen Standard finden Sie unter http www pathname com fhs Die Erf llung dieses Standards setzt einiges voraus aber die beiden wichtigsten Aspekte sind
367. laghan Addison Wesley Publishing Company Vergleicht NFS mit anderen Netzwerk Dateisystemen und zeigt wie die NFS Kommunikation zustande kommt redhat Kapitel 10 Apache Apache HTTP Server ist ein von der Apache Software Foundation http www apache org entwickelter Open Source Web Server welcher herausragende Stabilit t bietet und kommerziellen Web Servern in nichts nachsteht Apache HTTP Server Version 2 0 wie auch eine Reihe von Server Modulen welche zur Steigerung dessen Funktionalit t entwickelt wurden sind in Red Hat Linux inbegriffen Die mit Apache HTTP Server installierte Standardkonfigurationsdatei ist in den meisten Situatio nen unver ndert einsetzbar Dieses Kapitel zeigt wie die Apache HTTP Server Konfigurationsdatei etc httpd conf httpd conf f r Situationen angepasst werden kann die eine benutzerdefi nierte Konfiguration erfordern oder in denen eine Konfigurationsdatei vom lteren Apache HTTP Server 1 3 Format konvertiert werden muss wamung Wenn Sie vorhaben das graphische HTTP Konfigurationstool redhat config httpd zu verwen den editieren Sie nicht die Apache HTTP Server Konfigurationsdatei da das HTTP Konfigurations tool diese Datei jedes Mal neu erstellt wenn sie verwendet wird Weitere Informationen zum HTTP Konfigurationstool finden Sie im Kapitel Apache HTTP Server Konfiguration im Red Hat Linux Handbuch benutzerdefinierter Konfiguration 10 1 Apache HTTP Server 2 0 Es gibt
368. lags umgekehrt so dass f r deren berpr fung die Flags des zweiten Parameters nicht in Reihenfolge gesetzt werden m ssen e tep option Versucht mit Hilfe von TCP spezifischen Optionen zu berpr fen die inner halb eines bestimmten Pakets aktiviert werden k nnen Diese bereinstimmungsoption kann eben falls mit dem Ausrufezeichen umgekehrt werden 16 3 5 2 UDP Protokoll F r das UDP Protokoll stehen folgende bereinstimmungsoptionen zur Verf gung p udp dport Spezifiziert den Zielport des UDP Pakets unter Verwendung von Dienstnamen Portnummer oder einer Reihe von Portnummern Die destination port bereinstimmungsoption kann an Stelle von dport benutzt werden 242 Kapitel 16 iptables Vgl hierzu die dport bereinstimmungsoption in Abschnitt 16 3 5 1 f r die verschiedenen Ver wendungsmethoden dieser Option sport Bestimmt den Ursprungsport des UDP Pakets unter Verwendung von Dienstnamen Portnummer oder einer Reihe von Portnummern Die source port bereinstimmungsfunktion kann an Stelle von sport verwendet werden Vgl hierzu die dport bereinstimmungsfunktion in Abschnitt 16 3 5 1 f r die vielen unter schiedlichen Verwendungsm glichkeiten dieser Option 16 3 5 3 ICMP Protokoll Diese Match Optionen sind f r das Internet Control Message Protocol ICMP p icmp verf gbar icmp type Bestimmt den Namen oder die Nummer des ICMP Typs der mit der Regel bereinstimmen
369. lche Paketart es ist Die mei sten Pakete sind dazu bestimmt Daten zu transportieren eine Protokolle verwenden Pakete jedoch auf ganz besondere Weise Das Transmission Control Protocol TCP verwendet z B ein SYN Paket das keine Daten enth lt um eine Kommunikation zwischen zwei Systemen zu starten Der Linux Kernel enth lt die integrierte F higkeit Pakete zu filtern und erm glicht einigen von ih nen den Zugang zum System w hrend anderen dieser verwehrt wird Der Netzfilter des 2 4 Kernels enth lt integrierte Tabellen oder Regellisten Dabei handelt es sich um folgende e filter Die Standardtabelle zum Verwalten von Netzwerkpaketen e nat Mithilfe dieser Tabelle werden Pakete ge ndert die eine neue Verbindung herstellen e mangle Diese Tabelle wird f r spezielle Arten der Paket nderung verwendet Alle diese Tabellen verf gen ber eine Gruppe integrierter Chains Ketten die den Aktionen entspre chen die vom Netzfilter f r das Paket durchgef hrt werden Die f r die filter Tabelle integrierten Chains sind folgende 236 Kapitel 16 iptables INPUT Gilt f r ber eine Netzwerkschnittstelle empfangene Pakete OUTPUT Gilt f r Pakete die ber dieselbe Netzwerkschnittstelle versendet werden die die Pakete empfing FORWARD Gilt f r Pakete die auf einer Netzwerkschnittstelle empfangen aber ber eine andere versendet werden Die f r die nat Tabelle integrierten Chains sind folgende
370. lesis AT1700 at1700 0 ac1700 1 0_Port IRO ODER at1700 io I O_Port irq IRO 288 Anhang A Allgemeine Parameter und Module Hardware Modul sid Parameter Broadcom BCM5700 bem5700 0 10 100 1000 Ethernet Adapter Crystal cs89x0 0 SemiconductorCS89 02 0 EtherWORKS DE425 a de4x5 1 0_Port ODER de4x5 TP COAX FISA DE434 io I O_Port de4x5 args ethx fdx TP PCI DE435 450 autosense MEDIENZEICHENFOLGE TP COAX AUI PCI DE500 10 100 PCI Kingston LinkSys SMC8432 SMC9332 Znyx31 45 und Znyx346 10 100 Karten mit DC21040 no SROM DC21041 A DC21140 A DC21142 DC21143 Chipsatzen D Link DE 600 Ethernet de600 0 Pocket Adapter D Link DE 620 Ethernet de620 0 Pocket Adapter DIGITAL DEPCA amp 4 depca I1 O_Port IRQ ODER depca EtherWORKS DEPCA io I O_Port irg IRO DE100 DE101 DE200 Turbo DE201Turbo DE202 Turbo TP BNC DE210 DE422 EISA Digi Intl RightSwitch dgrs o SE X EISA und PCI Davicom dmfe o DM9102 A DM9132 DM9801 Fast Ethernet Intel Ether e100_speed_duplex X Express 100 Treiber Wenn X 0 automatisches Finden Geschwindigkeit und Duplex 1 10Mbps half duplex 2 10Mbps full duplex ra 100Mbps half duplex 100Mbps full duplex Intel EtherExpress 1000 e1000 0 Gigabit Cabletron E2100 7 e2100 1 0_Port IRQ Mit ODER e2100 io I O_Port irq IRQ mem Mit Intel EtherExpress Pro10 eepro o eepro I O_Port IRQ ODER eepro io I O_Port irq IRQ Anhang A Allgemeine Param
371. lgemeinen OpenSSH Pakete openssh den OpenSSH Server openssh server und Client openssh clients Pakete Weitere Informationen ber die Installation und den Gebrauch von OpenSSH finden Sie im Kapitel OpenSSH des Red Hat Linux Handbuchs benutzerdefinierter Konfiguration Bitte beachten Sie dass die OpenSSH Pakete das OpenSSL Paket openss1 erfordern OpenSSL installiert verschiedene wichtige kryptographische Bibliotheken die OpenSSH bei der Erstellung mit verschl sselten Meldungen unterst tzt Eine gro e Anzahl an Client und Serverprogrammen k nnen das SSH Protokoll verwenden ein schlie lich vieler Open Source und kostenlos erh ltlicher Anwendungen Verschiedenste SSH Client Versionen stehen f r fast alle der heute gebr uchlichsten Betriebssysteme zur Verf gung 1 X11 bezieht sich auf das X11R6 Anzeigesystem das gew hnlich als X bezeichnet wird Red Hat Linux enth lt XFree86 ein sehr gebr uchliches Open Source X Window System auf der Grundlage von X11R6 256 Kapitel 18 SSH Protokoll 18 1 1 Wozu dient SSH Skrupellosen Computerbenutzern stehen eine Reihe von Tools zur Verf gung um die Netzwerkkom munikation zu st ren abzufangen und umzuleiten und um auf diese Weise Zugriff auf Ihr System zu erhalten Diese Gefahren k nnen generell wie folgt klassifiziert werden Abfangen von Mitteilungen zwischen zwei Systemen In diesem Fall gibt es irgendwo im Netzw erk zwischen den miteinander kommunizierenden Systemen ein
372. liche Ressourcen 10 Apacher As RA 121 10 1 Apache HTTP Server 2 0 121 10 2 Migrieren von Apache HTTP Server 1 3 Konfigurationsdateien 123 10 3 10 4 10 5 10 6 10 7 12 Berkeley Internet Name Domain BIND 12 1 12 2 12 3 12 4 12 5 12 6 12 7 13 Lightweight Directory Access Protocol LDAP 13 1 13 2 13 3 13 4 13 5 13 6 13 7 13 8 13 9 Nach der Installation Starten und Anhalten von httpd Konfigurationsanweisungen in httpd conf uesenessnenenenenenenennnennenenenannn 133 Standard Mod tle rasire i nsii ae E NE AE EE R Module hinzuf gen Mirtual HOS8 nannte an E RE nen 151 Zus tzlicheRess urcen u u n seen In germse un 153 E Mail Protokolle E Mail Programm Kategorien Mail Transport Agents 158 Mail Delivery Agents Ma il User Agents ee anna ana Dan 173 Zus tzliche Informationsquellen essessseseesensennnennsennnennennnennnnen 175 Einf hrung in den DNS a nenne tenternhennesesneanket teen Jete named COAT uineet li nee stehe Zone Dateien Die Verwendung von rndc Erweiterte Funktionen von BIND Allgemein zu vermeidende Fehler Zus tzliche Ressourcen Warum LDAP neenn LDAP Terminologie i OpenLDAP Daemons and Utilities ueneessessesenenesnenenenenennnennnenenn nn OpenLDAP Konfigurationsdateien
373. liste zur Verf gung gestellt werden die GRUB Block f r Block angibt an welcher Stelle der Partition sich die Datei befindet Da eine Datei aus mehreren Blocks tzen bestehen kann werden die Blocklisten auf eine ganz bestimmte Art und Weise geschrie ben Jeder Teilabschnitt einer Datei wird durch einen Offset an Bl cken gefolgt von einer Anzahl an Bl cken beschrieben und die Abschnitte werden in Reihenfolge und durch Kommas getrennt aufge listet Folgend ist ein Beispiel einer Blockliste 0 50 100 25 200 1 Diese Blockliste weist GRUB an eine Datei zu verwenden die mit dem ersten Block auf der Partition beginnt und die Bl cke 0 bis 49 99 bis 124 und 199 verwendet Blocklisten schreiben zu k nnen ist dann sehr n tzlich wenn GRUB zum Laden von Betriebssyste men verwendet wird die das verkettete Laden benutzen wie z B Microsoft Windows Sie k nnen den Offset an Bl cken weglassen wenn Sie bei Block 0 starten Beispiel die Kettenlade Datei auf der ersten Partition der ersten Festplatte w rde somit folgenden Namen besitzen hd0 0 1 Im Folgenden wird der Befehl chainloader mit einer hnlichen Blocklisten Bezeichnung in der GRUB Befehlszeile gezeigt nachdem Sie als root das korrekte Ger t und Partition eingestellt haben chainloader 1 2 4 3 root Dateisystem von GRUB Der Begriff root Dateisystem bei GRUB mag verwirren Dabei ist zu beachten dass das root Dateisystem von GRUB nichts mit dem root Dateisystem von Linu
374. llt ist k nnen Benutzer wenn nichts anderes angegeben wird diese Schnittstelle nicht starten oder beenden Um den Benutzern dies zu erm glichen erstellen Sie einen Clone durch Kopieren von ifcfg eth0 in ifcfg eth0 user und f gen Sie folgende Zeile hinzu USERCTL yes Wenn ein Benutzer mit dem Befehl ifup eth0 user die eth0 Schnittstelle startet werden die Kon figurationsoptionen von ifcfg eth0 und ifcfg eth0 user kombiniert Dies ist zwar nur ein sehr einfaches Beispiel diese Methode kann ber f r viele verschiedene Optionen und Schnittstellen ver wendet werden Der einfachste Weg zur Erstellung von Alias und Clone Schnittstellen Konfigurationsdateien ist die Verwendung des grafischen Netzwerk Verwaltungstool Weitere Informationen zur Verwendung die ses Tools finden Sie im Kapitel Netzwerk Konfiguration im Red Hat Linux Handbuch benutzerdefi nierter Konfiguration 8 3 Schnittstellen Kontrollskripts Die Schnittstellen Kontrollskripts aktivieren und deaktivieren Systemschnittstellen Die zwei wichtig sten Schnittstellen Kontroll Skripts sind sbin ifdown und sbin ifup die verschiedene andere Kontrollskripte aus dem etc sysconfig network scripts Verzeichnis verwenden ifdown und ifup sind symbolische Links zu den Skripte im sbin Verzeichnis Wenn eines der beiden Skripte aufgerufen wird verlangen sie dass ein Schnittstellenwert angegeben wird wie z B ifup eth0 Determining IP information for eth0 done An dieser S
375. lt die berpr fung der bereinstimmung des Pakets mit Regeln in der aktuellen Chain an Wenn das Paket mit einem RETURN Ziel mit einer Regel in einer Chain bereinstimmt die von einer anderen Chain aufgerufen wurde wird das Paket an die erste Chain zur ckgesendet damit die berpr fung wieder dort aufgenommen werden kann wo sie unterbrochen wurde Wenn die RETURN Regel in einer integrierten Chain verwendet wird und das Paket nicht zu seiner vorherigen Chain zur ckkehren kann entscheidet das Standardziel f r die aktuelle Chain welche Ma nahme getroffen wird Zus tzlich zu diesen Standardzielen k nnen auch noch verschiedene andere Ziele mit Erweiterungen verwendet werden sogenannte Zielmodulen Weitere Informationen zu bereinstimmungsoptionsmo dulen finden Sie unter Abschnitt 16 3 5 4 Es gibt viele erweiterte Zielmodule von denen sich die meisten auf bestimmte Tabellen oder Situa tionen beziehen Einige der bekanntesten Zielmodule die standardm ig in Red Hat Linux enthalten sind 244 Kapitel 16 iptables LOG Protokolliert alle Pakete die dieser Regel entsprechen Da die Pakete vom Kernel pro tokolliert werden bestimmt die etc syslog conf Datei wo diese Protokolldateien geschrieben werden Standardm ig werden sie in der var log messages Datei abgelegt Nach dem LOG Ziel k nnen verschiedene Optionen verwendet werden um die Art des Protokolls zu bestimmen log level Bestimmt die Priorit tsstufe ei
376. m ig die Kopfzeile der Mitteilung und sucht nach Matching Bedingungen e h Verwendet standardm ig die Kopfzeile bei einer Aktion e w Weist Procmail an auf einen bestimmten Filter oder Programm zu warten der das meldet ob die vorangegangene Aktion erfolgreich war bevor die Mitteilung gefiltert wird Wenn Sie Program failure Programmfehler Meldungen ignorieren m chten die erscheinen wenn ein Filter oder eine Aktion nicht erfolgreich war verwenden Sie stattdessen die w Option Zus tzliche Flags finden Sie in der procmailrc man Seite 11 4 2 3 Festlegen einer lokalen Sperrdatei Sperrdateien sind f r Procmail sehr hilfeich um sicherzustellen dass zur gleichen Zeit nicht mehr als ein Proze versucht eine bestimmte Mitteilung zu ndern Sie k nnen eine lokale Sperrdatei festlegen indem Sie nach jedem Flag in der ersten Zeile eines Recipes einen Doppelpunkt setzen Dadurch wird eine Sperrdatei erstellt die auf dem Namen der Zieldatei und den Einstellungen der allgemeinen LOCKEXT Umgebungsvariablen basiert Alternativ k nnen Sie auch festlegen dass der Name der lokalen Sperrdatei mit diesem Recipe nach dem Doppelpunkt verwendet wird 11 4 2 4 Besondere Bedingungen und Aktionen Bestimmte Zeichen die vor den Procmail Recipe Bedingungen und Aktionen verwendet werden n dern die Art wie diese interpretiert werden Die folgenden Zeichen k nnen nach dem Zeichen am Anfang einer Zeile mit den Recipe B
377. m ssen Sie die existierenden LDAP Ver zeichnisse mithilfe des folgenden Befehls in eine LDIF Datei exportieren ldbmcat n gt lt ldif_file gt Geben Sie im obigen Befehl als lt 1dif_file gt den Namen der Ausgabedatei ein Geben Sie an schlie end den folgenden Befehl ein um die Datei in OpenLDAP zu importieren 2 0 slapadd 1 lt ldif_file gt BB wicntic Sie m ssen root sein um usr sbin slapadd zu verwenden Der Verzeichnis Server wird jedoch als Benutzer 1dap ausgef hrt Der Verzeichnis Server ist deshalb nicht in der Lage Dateien welche von slapadd erzeugt wurden zu ndern Um dieses Problem zu beheben geben Sie den folgenden Befehl ein nachdem Sie s1apadd beendet haben chown R ldap var lib ldap 13 9 Zusatzliche Ressourcen Es sind weitere LDAP betreffende Informationen erh ltlich Konsultieren Sie bitte diese Quellen insbesondere die OpenLDAP Website und das LDAP HOWTO ehe Sie LDAP auf Ihrem System konfigurieren 13 9 1 Installierte Dokumentationen e LDAP man Seiten Die 1dap man Seite ist sehr gut geeignet um eine Einf hrung in LDAP zu erhalten Man Seiten gibt es auch fiir die verschiedenen LDAP Daemonen und Dienstprogramme e usr share docs openldap lt Versionsnummer gt Enth lt allgemeine README Dokument und sonstige Informationen 13 9 2 Hilfreiche Websites http www openldap org Homepage des OpenLDAP Projekts Auf dieser Website finden Sie u erst viele Informationen
378. m Fehlerprotokoll dargestellt werden Lo gLevel kann die Werte mit steigendem Grade an Detaillierung emerg alert crit error warn notice info oder debug haben Der Default Wert f r LogLevel ist warn 10 5 40 LogFormat Die LogFormat Anweisung legt das Format f r die Meldungen in den Log Dateien des Web Servers fest Welches LogFormat verwendet wird h ngt von den Einstellungen in der CustomLog Anweisung ab siehe Abschnitt 10 5 41 Die Folgenden sind die Formatierungsoptionen f r den Fall dass die CustomLog Anweisung auf combined gesetzt ist sh Der Name oder die IP Adresse des Remote Hosts Listet die Remote IP Adresse des anfragenden Clients Wenn HostnameLookups auf on gesetzt ist wird der Hostname des Client gespeichert ausser dieser ist nicht ber DNS verf gbar 1 rfc931 Wird nicht verwendet An dieser Stelle wird in der Protokolldatei eingetragen u Authentifizierter Benutzer Wenn eine Authentifizierung erforderlich war hat der Benutzer diesen Namen angegeben Nor malerweise nicht verwendet An dieser Stelle wird eingetragen st Datum Listet das Datum und die Uhrzeit der Anforderung r Request String Listet den Request String wie vom Browser oder Client bernommen Kapitel 10 Apache 143 s Status Listet den HTTP Status Code welcher vom Client Host z r ckgegeben wurde b Bytes Listet die Gr e des Dokuments 3 Referer i Verweisende Webseite Listet die URL
379. m bekannt ist 18 2 SSH Protokoll Versionen Das SSH Protokoll erlaubt jedem Client und Server Programm welches zu den Spezifikationen des Protokolls gebaut wurde sicher zu kommunizieren und austauschbar verwendet werden zu k nnen Zur Zeit gibt es zwei Versionen von SSH SSH Version 1 verwendet verschiedenste patentierte Ver schl sselungsalgorithmen einige dieser Patente sind allerdings abgelaufen hat allerdings ein Sicher heitsrisikio welches unter Umst nden erlaubt Daten in den Datenfluss einzuf gen Die OpenSSH Suite unter Red Hat Linux verwendet SSH Version 2 bei Default unterst tzt allerdings Version 1 BB wicntic Es ist empfohlen nur SSH Version 2 kompatible Server und Clients zu verwenden sofern dies m glich ist 2 DNS Poisoning erfolgt wenn ein Eindringling einen DNS Server knackt und Client Systeme auf einen b swillig vervielf ltigten Host zu lenken 3 IP Spoofing erfolgt wenn ein Eindringling Netzwerk Pakete versendet die irrt mlicherweise von einem vertrauensw rdigen Host auf dem Netzwerk erscheinen Kapitel 18 SSH Protokoll 257 18 3 Die Abfolge der Vorgange einer SSH Verbindung Die folgende Abfolge von Vorg ngen tragen zu einer unversehrten SSH Kommunikation zwischen zwei Hosts bei Zun chst wird eine sichere Transportschicht geschaffen die dem Client System anzeigt dass es mit dem korrekten Server in Verbindung steht Die Transportschicht zwischen den beiden Rechnern ist mit e
380. m o g Zustand bis Sie ein Software RAID erstellt haben oder md existiert Dann k nnen Sie proc mdstat anzeigen um sich ein Bild davon zu machen was gerade mit Ihren max RAID Ger ten passiert Die folgende proc mdstat Datei zeigt ein System mit dem Ger t md0 das als RAID 1 Ger t konfiguriert ist und zur Zeit die Platten neu synchronisiert Personalities linear raidl read_ahead 1024 sectors md0 active raidl sda2 1 sdb2 0 9940 blocks 2 2 UU resync 1 finish 12 3min algorithm 2 3 3 UUU unused devices lt none gt Kapitel 5 Das proc Dateisystem 55 5 2 19 proc meminfo Dies ist eine der eher haufig benutzten Dateien im Verzeichnis proc da sie viele wertvolle Informa tionen tiber die RAM Auslastung des Systems ausgibt Die folgende virtuelle Datei proc meminfo stammt von einem System mit 256MB Ram und 384MB Swap Space total used free shared buffers cached Mem 261709824 253407232 8302592 0 120745984 48689152 Swap 402997248 8192 402989056 MemTotal 255576 kB MemF ree 8108 kB MemShared 0 kB Buffers 117916 kB Cached 47548 kB Active 135300 kB Inact_dirty 29276 kB Inact_clean 888 kB Inact_target 0 kB HighTotal 0 kB HighFree 0 kB LowTotal 255576 kB LowF ree 8108 kB SwapTotal 393552 kB SwapFree 393544 kB Viele der hier ausgegebenen Informationen werden von den Befehlen free top und ps verwendet Die Ausgabe von free ist sogar im Aufbau und Inhalt ahnlich wie proc
381. meistens entsprechend eines Services in der Datei etc services file e socket_type Setzt den Netzwerk Sockettyp auf stream wait Bestimmt ob ein Service Single Threaded yes oder Multi Threaded no ist user Bestimmt die User ID unter der der Prozess abl uft e server Bestimmt die auszuf hrende Bin rdatei log_on_success Bestimmt die Protokoll Parameter f r Log_on_success zus tzlich zu den in xinetd conf eingestellten log_on_failure Bestimmt die Protokoll Parameter f r Log_on_failure zus tzlich zu den in xinetd conf eingestellten nice Bestimmt den Server Priority Level e disable Bestimmt ob der Service aktiv oder inaktiv ist Kapitel 15 TCP Wrappers und xinetd 229 15 4 3 Andern von xineta Konfigurationsdateien Es gibt eine gro e Anzahl an Direktiven fiir xinetd gesch tzte Dienste Dieser Abschnitt beschreibt einige der h ufig verwendeten Optionen 15 4 3 1 Protokoll Optionen Die folgenden Protokoll Optionen stehen f r etc xinetd conf und die servicespezifischen Kon figurationsdateien im Verzeichnis etc xinetd d zur Verf gung Hier eine Liste der h ufig verwendeten Protokoll Optionen ATTEMPT Protokolliert einen fehlgeschlagenen Versuch log_on_failure DURATION Protokolliert die Zeitdauer der Dienstnutzung seitens eines Remote Systems log_on_success EXIT protokolliert das Beenden oder das Endsignal des Dienstes Log_on_success
382. mme Passw rter zwischen dem Client und dem Server nicht verschl sseln sollten Sie m glichst vermeiden sie zu verwenden Die Verwendung von sicheren Methoden zum Anmelden verringert das Sicherheitsrisiko Ihres Systems und des Systems in dem Sie sich anmelden 18 1 SSH Merkmale SSH oder Secure SHell ist ein Protokoll f r die Erstellung einer sicheren Verbindung zwischen zwei Systemen die eine Client Server Architektur verwenden Das SSH Protokoll liefert folgende Schutzm glichkeiten Nach einer ersten Verbindung pr ft der Client ob er sich auch in der Folge mit dem gleichen Server verbindet Der Client bertr gt die Authentifizierungsinformationen in verschl sselter Form an den Server unter Verwendung von 128 Bit Verschl sselung Alle w hrend der Verbindung gesendeten und empfangenen Daten sind mit der 128 Bit Verschliisselung so komplex verschl sselt dass es u erst schwierig ist abgefangene bertragungen zu entschl sseln und zu lesen Der Client kann X11 Applikationen vom Server weiterleiten Diese Technik X11 forwarding genannt gew hrleistet die sichere Verwendung grafischer Applikationen ber ein Netzwerk Das das SSH Protokoll alles verschl sselt k nnen damit unsichere Protokolle verschl sselt werden Mit port forwarding kann ein SSH Server zum Verschl sseln unsicherer Protokolle z B POP ver wendet werden und die Sicherheit des Systems und der Daten erh hen Red Hat Linux enth lt die al
383. mte Art der Policy verletzt wurde Dazu ben tigen Sie die Policy Regel die ber wacht werden soll und den Namen der Person die die E Mail bekommen soll wenn gegen diese Regeln versto en wird Beachten Sie dass es in gro en Systemen mit mehreren Administratoren je nach Art der Differenzen mehrere Personengruppen geben kann die zu benachrichtigen sind Nachdem Sie festgelegt haben wer zu benachrichtigen ist und welche Regelverst e gemeldet werden sollen bearbeiten Sie die Datei etc tripwire twpol txt und f gen Sie dann eine emailto Zeile in den Abschnitt der Anweisungen jeder einzelnen Regel hinzu Geben Sie hierzu ein Komma nach der severity Zeile ein und setzen Sie emailto auf die nachfolgende Zeile gefolgt von einer oder mehreren E Mail Adressen Es kann mehr als eine E Mail Adresse angegeben werden wenn diese durch ein Semikolon getrennt werden Wenn zum Beispiel zwei Administratoren hier Johnray und Bob benachrichtigt werden sollen wenn ein Netzwerkprogramm ge ndert wurde dann ndern Sie die Anweisung der entsprechenden Regel in der Policy Datei wie folgt rulename Networking Programs severity SIG_HI emailto johnray domain com bob domain com Folgen Sie nach Anderung der Policy Datei den Anweisungen in Abschnitt 19 8 um eine aktualisierte verschliisselte und unterzeichnete Kopie der Tripwire Policy Datei zu erstellen 19 8 1 1 Senden von Probe E Mails Geben Sie den folgenden Befehl ein um die
384. n In den meisten F llen wird LDAP jedoch einfach als virtuelles Telefonbuch verwendet mit dem Be nutzer auf auf Kontaktinformationen f r andere Benutzer zugreifen k nnen LDAP geht allerdings ber ein herk mmliches Telefonbuch hinaus da es seine Verzeichnisse auf andere LDAP Server welt weit bertragen und somit globalen Zugriff auf Informationen zur Verf gung stellen kann Momentan wird LDAP allerdings in der Regel eher in Einzelorganisationen wie Universit ten Regierungsabtei lungen und Privatunternehmen verwendet LDAP ist ein Client Server System Der Server kann eine Vielfalt an Datenbanken zum Speichern eines Verzeichnisses verwenden wobei jede f r schnelle und umfangreiche Lesevorg nge optimiert ist Wenn eine LDAP Clientanwendung eine Verbindung mit einem LDAP Server herstellt kann sie entweder ein Verzeichnis abfragen oder Informationen hochladen Im Fall einer Abfrage antwortet der Server entweder auf die Abfrage oder wenn er nicht lokal antworten kann verweist er den Anfrage Upstream an einen bergeordneten LDAP Server weiter der die Antwort bernimmt Versucht die Clientanwendung Informationen in ein LDAP Verzeichnis zu laden pr ft der Server ob der Benutzer zum Ausf hren der nderung berechtigt ist und f gt dann die Informationen hinzu bzw aktualisiert sie In diesem Kapitel wird die Konfiguration und Verwendung von OpenLDAP 2 0 einer Open Source Implementierung des LDAPv2 und LDAPv3 Protokolls behandelt
385. n Wenn das System in den Runlevel 5 bootet bestimmt das Skript prefdm den bevorzugten Display Manager f r die Benutzer Authentifizierung Hierzu wird die Datei etc sysconfig desktop verwendet Sehen Sie die Datei usr share doc initscripts lt version number gt sysconfig txt wobei lt version number gt die Versionsnummer des initscripts Pakets ist f r eine Liste der f r diese Datei verf gbaren Optionen Jeder Display Manager verwendet die Datei etc X11 xdm Xsetup_0 um den Anmeldebildschirm einzurichten Sobald sich der Benutzer am System anmeldet wird das Skript etc X11 xdm GiveConsole ausgef hrt um dem Benutzer die Konsole als Eigentum zuzuweisen Dann wird das Skript etc X11 xdm Xsession ausgef hrt um viele der Aufgaben auszuf hren die in der Regel vom Skript xinitrc beim Start von X in Runlevel 3 ausgef hrt werden Dazu geh ren u a das Festlegen der System und Benutzerressourcen oder das Ausf hren der Skripte im Verzeichnis etc X11 xinit xinitre d Der Benutzer kann mithilfe des gdm oder kdm Display Managers angeben welche Desktop Umgebung bei der Authentifizierung verwendet werden sollen Die Display Manager k nnen im Men Sitzung ausgew hlt werden Ist die Desktop Umgebung nicht im Display Manager angegeben pr ft das Skript etc X11 xdm Xsession die Dateien xsession und Xclients im Home Verzeichnis um zu entscheiden welche Desktop Umgebung geladen werden soll Als letzte M glichkeit wird die Datei e
386. n berfordert sein Bevor Sie sich mit diesen Fortgeschrittenen Themen auseinandersetzen ist es sicher eine gute Idee einen Schritt zur ckzugehen um zun chst einmal gen gend Informationen ber die Funktionsweise von Linux zu sammeln Ihr erstes Ziel sollte es zun chst sein sich die notwendige Dokumentation zu beschaffen Die Wich tigkeit dieses Schritts kann gar nicht oft genug betont werden Ohne die erforderlichen Informationen k nnen Sie Ihr Red Hat Linux System n mlich auch nicht nach Ihren W nschen einrichten Sie sollten sich die folgende Linux Dokumentation beschaffen Ein kurzer berblick ber die Entwicklung von Linux Viele Aspekte von Linux lassen sich durch die historische Entwicklung dieses Betriebssystems besser verstehen Es gibt sogar so etwas wie eine Linux Kultur die wiederum eng mit dieser Geschichte den Anspr chen und Erfordernissen zusammenh ngt Wenn Sie sich zumindest ein bi chen mit der Entstehungsgeschichte von Linux auskennen werden Sie im voraus herausfinden wie Sie viele Ihrer potentiellen Probleme l sen k nnen bevor sie berhaupt auftreten Eine Erkl rung der Funktionsweise von Linux Auch wenn es sicherlich nicht n tig ist sich mit den exotischsten Fragestellungen hinsichtlich des Linux Kernels auseinanderzusetzen ist doch ein grundlegendes Verst ndnis der Funktionsweise von Linux sehr hilfreich Diese Kenntnisse sind vor allem dann wichtig wenn Sie sich bereits mit anderen Betr
387. n Der Grund daf r ist wenn ein Benutzer wei weshalb seine Authentifizierung abgelehnt wurde ist es f r ihn einfacher diese zu umgehen account required lib security pam_unix so Dieses Modul bernimmt jegliche Pr fung des Benutzeraccounts Wenn z B Shadow Passw rter ak tiviert worden sind berpr ft das Modul pam_unix so ob der Account abgelaufen ist oder ob der Benutzer keine Passwort nderung vorgenommen hat und die Nachfrist f r eine Anderung abgelaufen ist password required lib security pam_cracklib so retry 3 Ist ein Passwort abgelaufen fordert die Passwort Komponente des pam_cracklib so Moduls zur Eingabe eines neuen Passworts auf Zus tzlich wird das neue Passwort getestet um festzustellen ob es einfach durch ein W rterbuch basiertes Programm zum Erkennen von Passw rtern erkannt werden kann Schl gt der Test einmal fehl hat der Benutzer aufgrund des Arguments ret ry 3 zwei weitere M glichkeiten ein besseres Passwort zu erstellen password required lib security pam_unix so shadow nullok use_authtok Diese Zeile legt fest dass bei einer nderung des Benutzer Passworts durch das Programm die password Komponente des pam_unix so Moduls verwendet wird Das passiert nur wenn der Teil auth des pam_unix so Moduls bestimmt dass das Passwort ge ndert werden muss Das Argument shadow teilt dem Modul mit beim Updaten eines Benutzer Passworts ein Shadow Passwort zu erstellen Das Argument nullok weist das Modul
388. n Sie zeigen von links nach rechts verschiedene Aspekte des benutzten Speichers 1 Gesamte Programmgr e in Kilobyte 2 Gr e der Speicherteile in Kilobyte 3 Anzahl der gemeinsam verwendeten Seiten 4 Anzahl der Seiten mit Programmcode 5 Anzahl der Seiten mit Stack Daten 6 Anzahl der Library Seiten 7 Anzahl der unsauberen Seiten status Bietet den Status des Prozesses in einer lesbareren Form als stat oder statm an Eine Beispielausgabe bei sshd sieht hnlich wie folgt aus Name sshd State S sleeping Tgid 797 Pid 797 PPid 1 TracerPid 0 Vid 0000 62 Kapitel 5 Das proc Dateisystem Gid 0000 FDSize 32 Groups VmSize 3072 kB VmLck 0 kB VmRSS 840 kB VmData 104 kB VmStk 12 kB VmExe 300 kB VmLib 2528 kB SigPnd 0000000000000000 SigBlk 0000000000000000 SigIgn 8000000000001000 SigCgt 0000000000014005 CapInh 0000000000000000 CapPrm 00000000fffffeff CapEff 00000000fffffeff Die Informationen in dieser Ausgabe enthalten den Prozessnamen die ID den Status wie z B S sleeping oder R running Benutzer Gruppe die den Prozess ausf hren und detailierte Daten bez glich der Speicherauslastung 5 3 1 1 proc self Das Verzeichnis proc selfistein Link zum zur Zeit laufenden Prozess Das erlaubt einem Prozess sich selbst zu beobachten ohne die eigene Prozess ID zu kennen In einer Shell Umgebung hat eine Auflistung des Verzeichnises proc self den gleichen Inhalt wie
389. n der PnP Versionsnummer und der Produkt Versionsnummer an gezeigt Wenn das Ger t aktiv und konfiguriert ist zeigt die Datei auch den Port und die IRQs der Karte an Zus tzlich zeigt die Karte auch die bevorzugten und m glichen preferred und accep table Werte fiir verschiedene Parameter an Das Ziel hierbei ist PnP Karten perfekt einzustellen und Konflikte fiir IRQ und Ports zu vermeiden 5 2 13 proc kcore Diese Datei repr sentiert den physischen Speicher des Systems und wir im core Dateiformat abge speichert Im Gegensatz zu den meisten proc Dateien zeigt kcore seine Gr e an Dieser Wert wird in Bytes angezeigt und entspricht der Gr e des physischen Speichers RAM plus 4KB Der Inhalt dieser Datei ist so konzipiert dass er nur von einem Debugger wie gdb untersucht werden kann und ansonsten nicht lesbar ist y C ffnen Sie die virtuelle Datei proc kcore nicht Die Inhalte der Datei werden als Textausgabe unlesbar auf dem Bildschirm angezeigt Wenn Sie diese Datei unbeabsichtigt ffnen dr cken Sie Strg C um den Prozess zu stoppen und kehren Sie mit reset zum Befehlszeilenprompt zur ck 5 2 14 proc kmsg In dieser Datei befinden sich Mitteilungen die vom Kernel erstellt wurden Diese Mitteilungen werden dann von anderen Programmen wie z B sbin kloga hier abgerufen 5 2 15 proc ksyms Diese Datei enth lt die vom Kernel exportierten Symbol Definitionen die von den Modul Programmen benutzt werden
390. n die Sie auch s hen wenn Sie jede Datei einzeln betrachteten Der einzige Unterschied ist der Ort der Datei Die Datei proc sys net ipv4 route min_delay wird durch net ipv4 route min_delay angesprochen die Schr gstriche im Verzeichnis werden durch Punkte ersetzt und der Teil proc sys als allgemeiner Teil weggelassen Der Befehl sysct1 kann anstelle von echo f r das Zuweisen von Werten zu schreibbaren Dateien im Verzeichnis proc sys verwendet werden Statt diesen Befehl zu verwenden echo 1 gt proc sys kernel sysrq k nnen Sie den Befehl sysct 1 verwenden sysctl w kernel sysrq 1 kernel sysrq 1 Auch wenn das schnelle Setzen von Werten wie bei diesem in proc sys niitzlich zum Testen ist funktioniert das nicht gut auf einem Produktionssystem weil alle Einstellungen aus proc sys bei einem Neustart verloren gehen Um permanente Einstellungen zu sichern fiigen Sie diese zu der Datei etc sysctl conf hinzu Jedes Mal wenn das System gestartet wird wird das Skript etc rc d rc sysinit von init aufgerufen Dieses Skript enth lt einen Befehl um sysct1 auszuf hren und verwendet etc sysctl conf zur Vorgabe der Werte die an den Kernel gegegeben wurden Alle Werte die zu etc sysctl conf hinzugef hrt wurden werden nach jedem Neustart aktiviert 5 5 Zus tzliche Ressourcen Nachstehend finden Sie zus tzliche Quellenangaben f r Informationen ber das Dateisystem proc 5 5 1 Installierte Dokumentation Das meiste a
391. n ist es in der Lage ein schnelles Recovery nach einem unbefugten Eindringen in das System zu erm glichen indem es die Anzahl der wiederherzustellenden Dateien klein h lt Diese Eigenschaften machen Tripwire ein aus gezeichnetes Tool f r Systemadministratoren zum berwachen von unbefugten Zugriffen und zum Ermittlen vom Grad des Schadens an den Servern Tripwire vergleicht die Dateien und Verzeichnisse mit einer Datenbank aus Speicherpl tzen ge n derten Daten sowie anderen Informationen Die Datenbank enth t Baselines wobei es sich um Mo mentaufnahmen bestimmter Dateien und Verzeichnisse handelt Der Inhalt der Baseline Datenbank sollte erstellt werden bevor das System das Risiko eines unberechtigten Zugriffs l uft Nachdem die Baseline Datenbank erstellt wurde vergleicht Tripwire dann das aktuelle System mit der Datenbank und liefert einen Bericht aller nderungen Zus tze oder L schvorg nge Obwohl Tripwire ein sehr gesch tztes Tool f r die Pr fung der Sicherheit von Red Hat Linux ist wird Tripwire nicht von Red Hat Inc unterst tzt F r weitere Informationen zu Tripwire die Tripwire Projekt Webseite unter http www tripwire com ist ein guter Platz zum Starten 19 1 Der Gebrauch von Tripwire Das folgende Flussdiagramm zeigt wie Tripwire funktioniert 264 Kapitel 19 Tripwire 1 7 pee mead erent le Gone Da 1L al en rA oa Pr i ae Laue IS 4 ate ng hen nur song d F Anheben ein
392. n Sie entweder die Originaldateien durch Backup Kopieren ersetzen und das Programm neu starten oder das Be triebssystem vollkommen neu installieren 6 Waren die Dateiver nderungen g tig pr fen und aktualisieren Sie die Tripwire Datenbankdatei Waren die nderungen an berwachten Dateien beabsichtigt bearbeiten Sie die Tripwire Datenbankdatei so dass sie diese nderungen in zuk nftigen Berichten ignoriert Weitere Informationen finden Sie unter Abschnitt 19 7 7 Scheitert die Policy Datei bei der Pr fung aktualisieren Sie die Tripwire Policy Datei Um die die Liste der von Tripwire gepr ften Dateien oder die Art und Weise ndern m chten wie Integrit tsverletzungen behandelt werden aktualisieren Sie die Policy Datei etc tripwire twpol txt erstellen eine unterzeichnete Kopie etc tripwire tw pol und aktualisieren Sie die Tripwire Datenbank Weitere Informationen finden Sie unter Abschnitt 19 8 In den entsprechenden Abschnitten dieses Kapitels finden Sie detaillierte Anweisungen f r die Aus f hrung dieser Schritte 19 2 Installation von Tripwire RPM Die einfachste Art Tripwire zu installieren ist bei der Installation von Red Hat Linux 9 die Tripwire RPM zu w hlen Sollten Sie Red Hat Linux 9 bereits installiert haben k nnen Sie rpm oder Paketver waltungstool redhat config packages verwenden um Tripwire RPM von den Red Hat Linux 9 CD ROMs aus zu installieren Wenn Sie sich nicht sicher sind ob Tripwire inst
393. n den Dokumenten des usr share doc stunnel lt version number gt Verzeichnisses nach lesen 11 6 Zus tzliche Informationsquellen Die Folgende ist eine Liste zus tzlicher Dokumentation zu E Mail Applikationen 11 6 1 Installierte Dokumentation Informationen ber das Konfigurieren von Sendmail sind in den Paketen sendmail und sendmail cf enthalten usr share doc sendmail README cf Enth lt Informationen ber m4 die Dateispeich erstellen von Sendmail unterst tzte Mailer und den Zugang zu erweiterten Features uvm usr share doc sendmail README Enth lt Informationen ber die Verzeichnisstruktur von Sendmail den IDENT Protokoll Support sowie Einzelheiten zu den Zugriffsrechten f r die Verzeichnisse und die Probleme im Zusammenhang der falschen Konfiguration dieser Zugriffs rechte Zus tzlich enthalten die sendmail und aliases man Seiten n tzliche Informationen zu den verschiedenen Sendmail Optionen und zur richtigen Konfiguration der Sendmail etc mail aliases Datei e usr share doc fetchmail lt Versionsnummer gt Enth lt in der FEATURES Datei eine komplette Liste der Features von Fetchmail sowie ein einf hrendes FAQ Dokument usr share doc procmail lt Versionsnummer gt Enth lt eine README Datei die einen berblick ber Procmail gibt eine FEATURES Datei die alle Programmfeatures erkl rt und eine FAQ Datei mit Antworten zu den g ngigen Fragen zur Konfiguration Um zu verstehen wi
394. n der Mitteilungen die mit keinem einzigen Recipe bereinstimmen abgelegt werden Der standardm ige DEFAULT Wert und ORGMAIL stimmen berein INCLUDERC Bestimmt zus tzliche rc Dateien die weitere Recipes enthalten die mit Mitteilun gen verglichen werden m ssen Dadurch k nnen Sie die Liste der Recipes fpr Procmail in ver schiedene Dateien aufteilen die unterschiedliche Aufgaben bernehmen wie z B das Blockieren von Junkmail und die Verwaltung von E Mail Listen die dann mit kommentierenden Zeilen in der Benutzerdatei procmailrc ein oder ausgeschaltet werden k nnen Zwei Zeilen in einer procmailrc Benutzerdatei sehen z B wie folgt aus MAILDIR HOME Msgs 168 Kapitel 11 E Mail INCLUDERC MAILDIR lists rc INCLUDERC MAILDIR spam rc Wenn der Benutzer das Filtern seiner E Mails ausschalten will die Junkmail Kontrolle aber wei terhin aktiviert bleiben soll kann er diese Option in der ersten INCLUDERC Zeile ganz einfach mit dem Zeichen auskommentieren LOCKSLEEP Bestimmt die Zeitspanne in Sekunden innerhalb derer Procmail versucht eine bestimmte Sperrdatei zu verwenden Standardm ig sind 8 Sekunden eingestellt LOCKTIMEOUT Stellt die Zeit ein die nach der letzten Modifizierung einer Sperrdatei vergeht bis Procmail davon ausgeht dass sie alt ist und gel scht werden kann Standardm ig sind 1024 Sekunden eingestellt LOGFILE Der Pfad und die Datei die alle Informationen ber
395. n eine Kerberos Passwortdatenbank kann lang wierig sein da es zum Durchfiihren dieser Aufgabe keine automatisierten Mechanismen gibt Fiir detailliertere Informationen sehen Sie Frage Nummer 2 23 in den Kerberos FAQ Online unter http www nrl navy mil CCS people kenh kerberos faq html Kerberos ist nur teilweise mit dem Pluggable Authentication Modules System PAM System kom patibel das die meisten Server unter Red Hat Linux verwenden Weitere Informationen hierzu siehe Abschnitt 17 4 Damit eine Anwendung Kerberos verwenden kann m ssen ihre Quellen so modifiziert werden dass die geeigneten Aufrufe an die Kerberos Bibliotheken gesendet werden k nnen Bei einigen Anwendungen kann dies aufgrund der Gr e wie auch der H ufigkeit mit der die krb Bibliotheken aufgerufen werden m ssen recht problematisch sein F r andere Anwendungen wiederum muss die Art und Weise ge ndert werden in der Server und Clients miteinander kommunizieren Auch dies kann unter Umst nden einen zu gro en Aufwand bedeuten Hierbei stellen die Closed Source Anwendungen ohne standardm igen Kerberos Support den problematischsten Teil dar Kerberos nimmt an dass Sie sichere Hosts auf einem unsicheren Netzwerk verwenden Seine wichtigste Aufgabe ist es zu vermeiden dass Passw rter im Klartext ber das Netzwerk versendet werden Wenn jedoch noch ein anderer als der richtige Benutzer Zugriff auf den Host hat welcher die Tickets zur Authentifizierung au
396. n folgenden zwei Orten e etc named conf Die Konfigurationsdatei f r den named Daemon Kapitel 12 Berkeley Internet Name Domain BIND 179 e var named directory Das named Arbeitsverzeichnis welches Zone Statistiken und Cache Dateien enth lt Die n chsten zwei Abschnitte behandeln die BIND Konfigurationsdateien in mehr Detail 12 2 etc named conf Die etc named conf Datei ist eine Ansammlung von Direktiven die in verschachtelte geschweif te Klammern platzierte Optionen verwenden Administratoren m ssen vorsichtig beim Bearbei ten der Datei named conf sein und jegliche syntaktische Fehler veremeiden da auch die kleinsten Fehler den Service named vom Starten abhalten k nnen Warnung Bearbeiten Sie die Datei etc named conf oder andere Dateien aus dem var named Verzeichnis nicht manuell wenn Sie mit dem Bind Konfigurationstool arbeiten Alle manuell vorgenommenen nderungen an diese Dateien werden berschrieben wenn Bind Konfigurationstool das n chste Mal verwendet wird Eine typische named conf Datei ist hnlich wie folgt gegliedert lt statement 1 gt lt statement l name gt lt statement 1l class gt lt option 1 gt lt option 2 gt lt option N gt lt statement 2 gt lt statement 2 name gt lt statement 2 class gt lt option 1 gt lt option 2 gt lt option N gt lt statement N gt lt statement N name gt lt statement N class gt lt
397. n gew hrleistet einige Sicherheit im Hinblick auf das berschreiben Deshalb ist es nicht n tig die Dateien dadurch zu sch tzen dass Sie sie im usr local Verzeichnis ablegen Stattdessen empfehlen wir Ihnen f r lokal auf Ihrem Rechner verwendete Software auf usr local zur ckzugreifen Wenn zum Beispiel das Verzeichnis usr als eine Read Only Nur Lesen NFS Share von einem Remote Host gemountet wird ist es immernoch m glich ein Programm oder Paket unter usr local zu installieren 3 3 Spezielle Dateispeicherstellen Red Hat Linux erweitert die FHS Struktur ein wenig um Platz f r spezielle Dateien zu schaffen Die meisten Dateien die zum Red Hat Package Manager RPM geh ren werden im Verzeichnis var lib rpm hinterlegt Weitere Informationen ber RPM finden Sie im Kapitel Paketverwaltung mit RPM im Red Hat Linux Handbuch benutzerdefinierter Konfiguration Das var spool up2date Verzeichnis enth lt Dateien die vom Red Hat Update Agent verwen det werden einschlie lich RPM Header Informationen f r das System Hier k nnen Sie auch RPMs die Sie w hrend des Updates Ihres Systems heruntergeladen haben zwischenspeichern Weitere Infor mationen zum Red Hat Network finden Sie auf der Red Hat Network Website unter Eingabe folgenden URLs https rhn redhat com Eine weitere Red Hat Linux spezifische Speicherstelle ist das etc sysconfig Verzeichnis In diesem Verzeichnis wird eine ganze Reihe unterschiedlicher Konfigu
398. n guter Dokumentation zu proc ist wahrscheinlich schon auf Ihrem System installiert e usr src linux 2 4 Documentation filesystems proc txt Enth lt bestimmte je doch eingeschr nkte Dokumentation zu den Aspekten von proc Kapitel 5 Das proc Dateisystem 77 e usr src linux 2 4 Documentation sysrq txt Ein berblick ber die System Re quest Key Optionen e usr src linux 2 4 Documentation sysct1 Ein Verzeichnis dass eine Vielzahl von Tips zu sysctl enth lt inklusive Optionen die den Kernel angehen kernel txt zu den Dateisystemen fs txt und zum virtuellen Speicher vm txt e usr src linux 2 4 Documentation networking ip sysct1l txt Ein Blick auf ver schiedene IP Netzwerk Optionen usr src linux 2 4 Die vielleicht wichtigste Informationsquelle zu proc ist der Linux Kernel Sourcecode Wenn Sie das RPM Paket kernel source installiert haben finden Sie diesen im Verzeichnis usr src linux 2 4 5 5 2 Hilfreiche Websites http www linuxhq com Diese Seite wartet eine komplette Datenbank mit Quellcode Patches und Dokumentation f r verschiedene Versionen des Linux Kernels 78 Kapitel 5 Das proc Dateisystem redhat Kapitel 6 Benutzer und Gruppen Die Benutzer und Gruppen Kontrolle ist eine grundlegendes Element der Red Hat Linux Systemadministration Benutzer k nnen sowohl Personen sein d h Accounts die an einen bestimmten Benutzer gebunden sind als auch Accounts
399. n jeder dieser Kategorien arbeiten zusammen um es Red Hat Linux zu erm glichen auf die verschiedenen Netzwerkger te zur ckzugreifen Dieses Kapitel besch ftigt sich mit den Verbindungen zwischen diesen Dateien und ihrer Verwen dungsweise 8 1 Netzwerk Konfigurationsdateien Bevor wir die Schnittstellen Konfigurationsdateien an sich nochmals untersuchen fiihren wir die von Red Hat Linux zur Netzwerk Konfiguration verwendeten Prim r Konfigurationsdateien einzeln auf Das Verst ndnis der Rolle die diese Dateien bei der Einrichtung des Netzwerk Stack spielen kann beim benutzerdefinieren eines Red Hat Linux Systems n tzlich sein Folgende sind prim re Netzwerk Konfigurationsdateien e etc hosts Hauptzweck dieser Datei ist es Host Namen zu l sen die nicht anderweitig gel st werden k nnen Sie kann auch zur L sung von Host Namen auf kleineren Netzwerken ohne DNS Server verwendet werden Unabh ngig davon an welchem Netzwerk der Computer angeschlossen ist sollte diese Datei eine Zeile enthalten die die IP Adresse des Loopback Ger tes 127 0 0 1 als localhost localdomain angibt Weitere Informationen finden Sie unter den Hosts im Hand buch e etc resolv conf diese Datei gibt die IP Adressen von DNS Servern und die Suchdom ne an Wenn nicht anders konfiguriert ist diese Datei voll von Initialisierungs Skripts Weitere Infor mationen zu dieser Datei finden Sie auf den man Seiten von resolv conf e etc sysconfig
400. n nur unfragmentierte Parameter abgefangen 240 Kapitel 16 iptables i Setzt die Schnittstelle des Eingangsnetzwerks z B eth0 oder ppp0 die f r eine bestimmte Regel benutzt werden soll Mit iptables sollte dieser zus tzliche Parameter nur mit INPUT und FORWARD Chains in Verbindung mit der filter Tabelle und der PREROUTING Chain mit den nat und mangle Tabellen verwendet werden Dieser Parameter unterst tzt auch folgende spezielle Optionen Weist diesen Parameter an keine entsprechenden bereinstimmungen zu suchen bzw jede spezifizierte Schnittstelle von dieser Regel auszuschlie en Ein Platzhalterzeichen das verwendet wird um alle Schnittstellen zu kontrollieren die einer bestimmten Zeichenkette entsprechen Der i eth Parameter w rde diese Regel z B f r alle Ethnernet Schnittstellen Ihres Systems anwenden aber alle anderen Schnittstellen wie z B pppo auslassen Wenn der i Parameter ohne Spezifizierung einer Schnittstelle verwendet wird ist jede Schnitt stelle von dieser Regel betroffen e j Weist iptables an ein bestimmtes Ziel zu bergehen wenn ein Paket einer bestimmten Regel entspricht G ltige Ziele die nach der Option verwendet werden k nnen sind unter an derem die Standardoptionen ACCEPT DROP QUEUE und RETURN sowie erweiterte Optionen die ber Module verf gbar sind die standardm ig mit mit dem Red Hat Linux iptablesRPM Paket geladen werden wie z B unter anderem
401. n richtigen Runlevels startet wozu Sie ein Initscript Utility wie Services Konfigurationstool redhat config services verwenden k nnen Sehen Sie Abschnitt 1 4 2 f r weitere Information zu Initscript Utilities Alternativ k nnen Sie auch den Befehl stunnel als SSL Verschl sselungs Wrapper auf die imapd und pop3d Daemons anwenden Das stunnel Programm verwendet externe OpenSSL Biblitotheken die in Red Hat Linux enthalten sind f r eine leistungsf hige Verschl sselung und zum Schutz Ihrer Verbindungen Sie k nnen ein SSL Zertifikat bei der CA beantragen oder ein eigensigniertes erstellen Um ein eigensigniertes Zertifikat zu erstellen wechseln Sie in das Verzeichnis usr share ssl certs und geben den folgenden Befehl als root ein make stunnel pem Auch hier beantworten Sie alle Fragen um diesen Vorgang abzuschliessen Nachdem das Zertifikat generiert wurde ist es m glich den Befehl stunnel zu verwenden um den imapd Mail Daemon zu starten Benutzen Sie dazu folgenden Befehl usr sbin stunnel d 993 1 usr sbin imapd imapd Nach Ausf hren dieses Befehls k nnen Sie einen IMAP E Mail Client ffnen und mit Ihrem E Mail Server der die SSL Verschl sselung verwendet verbinden Um pop3d mit dem Befehl stunnel zu starten geben Sie folgenden Befehl ein usr sbin stunnel d 993 1 usr sbin pop3d pop3d Kapitel 11 E Mail 175 Weitere Informationen zur Verwendung von stunnel k nnen Sie in der stunnel man Seite oder i
402. n schreiben async Erm glicht dem Server in einer bestimmten Situation Daten auf die Platte zu schreiben Diese Option ist in dem Fall uninteressant wenn der Host nur schreibgesch tzt auf Daten zugreifen kann Wenn jedoch ein Host ein Dateisystem im Read Write Modus ndert k nnen im Fall eines Absturzes des Servers Daten verloren gehen Bei der Option sync werden alle Dateien auf der Platte gesichert bevor der Schreibschutz Modus aufgehoben wird Dadurch k nnte die Leistung verlangsamt werden e wdelay Weist den NFS Server an das Schreiben auf einer Platte zu verz gern wenn das Aufheben des Schreibschutz Modus bevorsteht Dies kann die Leistung verbessern indem die An zahl der einzelnen Schreibbefehle f r die Platte verringert wird Mit der Option no_wdelay kann diese Funktion deaktiviert werden die nur funktioniert wenn Sie die Option sync verwenden Kapitel 9 Network File System NFS 115 e root_squash Nimmt Root Benutzern welche Remote verbunden sind deren Root Rechte indem diese die nobody Userid erhalten Auf diese Weise wird die Kontrolle des Remote Roots auf den niedrigsten lokalen Benutzer reduziert was verhindert dass der Remote Benutzer auf dem lokalen System als Root agiert Alternativ k nnen Sie mit der Option no_root_squash das Sqashing des Roots deaktivieren Um jeden Remote Benutzer einschlie lich Root zu squashen verwenden Sie die Option all_squash Um die Benutzer und Gruppen IDs festzul
403. n sich auf die minmale und die maximale Anzahl von Seitentabellen Zus tzliche Informationen hierzu finden Sie in usr src linux 2 4 Documentation sysctl vm txt 5 3 10 proc sysvipc Dieses Verzeichnis enth lt Informationen ber die System V IPC Ressourcen Die Dateien in die sem Verzeichnis h ngen mit den System V IPC Aufrufen zusammen msg Semaphores sem und gemeinsam benutzter Speicher shm 5 3 11 proc tty Dieses Verzeichnis enth lt Informationen ber die verf gbaren und zur Zeit benutzten TTY Ger te im System Fr her teletype device genannt werden heute alle Buchstaben orientierten Daten Terminals als TTY Ger te bezeichnet Unter Linux gibt es drei verschiedene Arten von TTY Ger ten Serielle Ger te werden mit seriellen Verbindungen benutzt wie z B mit Modems oder seriellen Kabeln Virtuelle Terminals erzeugen die normalen Konsolenverbindungen wie die virtuellen Konsolen die verf gbar sind wenn Sie Alt lt F key gt auf einer Systemkonsole dr cken Pseudo Terminals erzeugen eine zwei Wege Kommu nikation die von einigen h herrangigen Applikationen wie z B XFree86 verwendet werden Die Datei drivers enth lt eine Liste der TTY Ger te die zur Zeit benutzt werden serial dev cua 5 64 127 serial callout serial dev ttyS 4 64 127 serial pty_slave dev pts 136 0 255 pty slave pty_master dev ptm 128 0 255 pty master pty_slave dev ttyp 3 0 255 pty slave pty_master dev pty 2 0 255 pty master d
404. n syslogd Der Standardwert ist false MAILNOVIOLATIONS wenn auf true gesetzt konfiguriert diese Variable Tripwire so dass Trip wire in regelm igen Abst nden einen Bericht per E Mail sendet unabh ngig davon ob Verletzun gen aufgetreten sind oder nicht Standardwert ist true EMAILREPORTLEVEL gibt die Detail Ebene f r gemailte Berichte an G ltige Werte f r diese Variable sind 0 bis 4 Standardwert ist 3 REPORTLEVEL gibt die Detailebene f r Berichte an die vom twprint Befehl erzeugt wurden Dieser Wert kann auf der Befehlszeile missachtet werden ist aber standardm ig auf 3 gesetzt MAILMETHOD gibt an welches Mail Protokoll Tripwire verwenden sollte G tige Werte sind SMTP und SENDMAIL Standardwert ist SENDMAIL MAILPROGRAM gibt an welches Mail Programm Tripwire verwenden sollte Standardwert ist usr sbin sendmail oi t Nach Bearbeitung der Beispiel Konfigurationsdatei m ssen Sie die Beispiel Policydatei konfigurie ren Warnung Aus Sicherheitsgrf nden sollten Sie s mtliche Kopien der reinen Textdatei etc tripwire twcfg txt entweder l schen oder in einem sicheren Speicherplatz hinterlegen nachdem Sie das Installations Skript ausgef hrt oder eine unterzeichnete Konfigurationsdatei neu generiert haben Alternativ hierzu k nnen Sie die Berechtigungen ndern so dass sie nicht auf der ganzen Welt lesbar ist 268 Kapitel 19 Tripwire 19 3 2 etc tripwire twpol txt be
405. n von Ihrem System verwendeten Prozessor Eine typische Aus gabe sieht zum Beispiel wie folgt aus processor 0 vendor_id AuthenticAMD 48 Kapitel 5 Das proc Dateisystem cpu family sD model 2 9 model name AMD K6 tm 3D Processor stepping vl cpu MHz 400 919 cache size 256 KB fdiv_bug no hlt_bug no 00f_bug no coma_bug no fpu yes fpu_exception yes cpuid level ras wp yes flags fpu vme de pse tsc msr mce cx8 pge mmx syscall 3dnow k6_mtrr bogomips 2799533 processor Gibt jedem Prozessor eine ID Nummer Wenn Ihr System nur ber einen Prozessor verf gt wird nur 0 angezeigt cpu family Zeigt Ihnen den Prozessortyp an den Ihr System benutzt Basiert Ihr Rechner auf Intel stellen Sie die Zahl einfach vor 86 um den Wert zu berechnen Das ist besonders dann n tzlich wenn Sie die Architektur eines lteren Systems 586 486 oder 386 herausfinden m chten Da einige RPM Pakete f r jede dieser speziellen Architekturen kompiliert werden hilft Ihnen dieser Wert bei der Entscheidung welches Packet zu installieren ist model name Zeigt den Namen und den Projektnamen des Prozessors an cpu MHz Zeigt die genaue Geschwindigkeit des Prozessors in Megahertz an cache size Zeigt die Menge von verf gbarem Level 2 Cache des Prozessors an flags Gibt eine Anzahl von Eigenschaften des Prozessors aus wie zum Beispiel eine Floating Point Unit FPU oder die Verarbeit
406. n wird l scht dieser Befehl jede Regel jeder Chain h Liefert eine Liste mit Befehlsstrukturen sowie eine kurze Zusammenfassung der Befehlspa rameter und Optionen I F gt eine Regel an einem bestimmten Punkt in eine Chain ein welcher ein ganzzahliger Wert ist Wenn kein Wert angegeben ist setzt iptables den Befehl an den Anfang der Regelliste O senu Achten Sie darauf welche Option a oder 1 Sie beim Hinzuf gen von Regeln verwenden Die Reihenfolge der Regeln kann sehr wichtig sein wenn Sie bestimmen ob ein bestimmtes Paket dieser oder jeder Regel entsprechen soll L Listet alle Regeln in der nach dem Befehl spezifizierten Chain auf Um alle Regeln in allen Chains in der Standardtabelle filter aufzulisten spezifizieren Sie nicht eine Chain oder eine Tabelle Ansonsten sollte folgende Satzstruktur verwendet werden um die Regeln in einer spezifis chen Chain in einer bestimmten Tabelle aufzulisten iptables L lt chain name gt t lt table name gt Leistungsstarke Optionen f r den L Befehl die Regelziffern liefern und ausf hrlichere Regelbe schreibungen erm glichen sind unter anderem in Abschnitt 16 3 7 beschrieben N Erstellt eine neue Chain mit benutzerdefiniertem Namen P Setzt die standardm ige Policy f r eine bestimmte Chain damit bei der Durchquerung von Paketen durch eine Chain die Pakete wie bei ACCEPT oder DROP ohne bereinstimmung mit einer Regel an ein bestimmtes Z
407. nderungen die seit LDAPv2 am Protokoll vorgenommen wurden sollen zur Sicherheit von LDAP beitragen IPv6 Support OpenLDAP unterst tzt die n chste Generation des Internetprotokolls Version 6 LDAP Over IPC OpenLDAP kann innerhalb eines bestimmten Systems mit Hilfe von IPC In terprocess Communication kommunizieren Das Umgehen der Kommunikation iiber ein Netzwerk erhoht die Sicherheit Aktualisierte C API Verbessert die Art und Weise in welcher Programmierer zu LDAP Verzeichnis Servern verbinden und mit diesen arbeiten LDIF v1 Support OpenLDAP 2 0 ist mit LDAP Data Interchange Format LDIF Version 1 voll kompatibel Verbesserter Stand Alone LDAP Server OpenLDAP enth lt jetzt ein aktualisiertes Zugriffss teuerungssystem Thread Pooling bessere Tools und vieles mehr 13 2 LDAP Terminologie Jede Diskussion des LDAP erfordert ein grundlegendes Verst ndnis einiger LDAP spezifischen Be griffe Eintrag Ein Eintrag Entry stellt in einem LDAP Verzeichnis eine Einheit dar Ein Eintrag wird durch seinen eindeutigen Namen Distinguished Name DN identifiziert Attribute Attribute sind direkt mit dem Eintrag zusammenh ngende Informationen Eine Organ isation k nnte zum Beispiel ein LDAP Eintrag sein Mit dieser Organisation verkn pfte Attribute k nnen zum Beispiel die Faxnummer die Adresse usw sein Auch Mitarbeiter k nnen Eintr ge in einem LDAP Verzeichnis sein bliche Attribute f
408. ne vollst ndige Liste von Eigenschaften und eine FAQ Liste http www macsecurity org resources xinetd tutorial shtml Eine ausf hrliche Anleitung mit Beispielen in der viele M glichkeiten beschrieben werden standardm ige xinetd Konfigurationsdateien f r bestimmte Sicherheitszwecke anzupassen 15 5 3 B cher zum Thema e Red Hat Linux Security Guide Red Hat Inc Bietet einen berblick ber Workstation Server und Netzwerksicherheit mit speziellen Vorschl gen zu TCP Wrapper und xinetd e Hacking Linux Exposed von Brian Hatch James Lee und George Kurtz Osbourne McGraw Hill Eine exzellente Ressource f r Sicherheit und Informationen TCP Wrapper und xinetd 234 Kapitel 15 TCP Wrappers und xinetd gy redhat Kapitel 16 iptables Red Hat Linux wird mit erweiterten Tools fiir die Paket Filterung geliefert den Prozess zur Kon trolle von Netzwerkpaketen mit Zugang zu durch und aus dem Netzwerkstack des Kernels Die Kernelversionen vor 2 4 konnten Pakete mit ipchains manipulieren und verwendeten Regellisten f r jedes Paket in jeder Phase des Filterungsprozesses Die Einf hrung des 2 4 Kernels hat iptables mit sich gebracht auch netfilter genannt die den ipchains hnlich sind deren Wirkungsbereich und Kontrollm glichkeiten bei der Filterung aber erweitern In diesem Kapitel werden die Grundlagen der Paketfilterung beschrieben wobei die Unterschiede zwischen ipchains und iptables definiert und die vers
409. nem bestimmten Zweck f r neue Benutzer schwierig sein Der beste Weg um bei der Erstellung von Procmail Recipe Bedingungen Erfahrungen zu sammeln ist das Verst ndnis f r regul re Ausdr cke sowie das Anschauen der Beispiele die von anderen erstellt wurden Die folgenden sehr einfachen Beispiele demonstrieren dei Struktur der Procmail Recipes und bilden die Grundlage f r kompliziertere Konstruktionen Wie im folgenden Beispiel gezeigt enthalten die meisten einfachen Recipes keine Bedingungen 0 new mail spool Die erste Zeile startet das Recipe und legt fest dass eine lokale Sperrdatei erstellt werden muss ohne den Namen dabei festzulegen Procmail verwendet den Namen der Zieldatei und die LOCKEXT Option zur Benennung der Datei Es sind keine Bedingungen festgelegt so dass jede Mitteilung mit diesem Recipe bereinstimmt und in der Spooldatei new mail spool abgelegt wird die sich in dem Verzeichnis befindet das von der Umgebungsvariablen MAILDIR festgelegt wird Ein E Mail Client kann die Nachrichten in dieser Datei dann ansehen Dieses einfache Recipe kann bis zum Ende aller rc Dateien gehen um Mitteilungen zu einer stan dardm igen Location zu leiten Bei einem komplizierteren Beispiel k nnen Mitteilungen von einer bestimmten Adresse entnommen und entfernt werden wie aus folgendem Beispiel hervorgeht 0 From spammer domain com dev null In diesem Beispiel werden alle von spammer domain com verschickten Mitteilun
410. nen ob Sie die neue Konfigurationsdatei verwenden m chten und Ihre alten Einstellungen dorthin migrieren oder die vorhandene Datei als Basis verwenden und sie entsprechend anpassen einige Bereiche der Datei haben sich jedoch mehr als andere ver ndert des halb ist ein gemischtes Vorgehen normalerweise die beste L sung Die Stock Konfigurationsdateien sowohl f r Version 1 3 als auch f r Version 2 0 werden in drei Abschnitte unterteilt Ziel dieses Leit fadens ist es den hoffentlich einfachsten Weg aufzuzeigen Handelt es sich bei etc httpd conf httpd conf um eine modifizierte Version der Standard Red Hat Linux Version und Sie haben eine Kopie des Originals gespeichert dann ist es vielleicht am einfachsten wenn Sie den Befehl diff aufrufen wie in folgendem Beispiel gezeigt diff u httpd conf orig httpd conf less Dieser Befehl hebt die von Ihnen durchgef hrten nderungen hervor Besitzen Sie keine Kopie der Originaldatei entnehmen Sie sie anhand der Befehle rpm2cpio und cpio einem RPM Paket wie in folgendem Beispiel gezeigt rpm2cpio apache lt version number gt i386 rpm cpio i make lt version number gt ist hierbei mit der Versionsnummer des apache Pakets zu ersetzen Es ist hilfreich zu wissen dass Apache HTTP Server ber einen Testmodus zur Pr fung Ihrer Konfi gurations auf Fehler verf gt Der Zugriff erfolgt ber folgenden Befehl apachectl configtest 10 2 1 Konfiguration der globalen Umgebung Der Abschn
411. nen weiteren Optionensatz erfordert erf llt ist Wenn Sie iptables h eingeben erhalten Sie eine vollst ndige Liste der iptables Befehlsstrukturen 16 3 3 Befehle Mit Befehlen wird iptables angewiesen einen bestimmten Vorgang auszuf hren Nur ein einziger Befehl pro iptables Befehlszeichenkette ist zugelassen Mit Ausnahme des Hilfebefehls sind alle Befehle in Gro buchstaben geschrieben Die iptables Befehle sind A H ngt die iptables Regel an das Ende der spezifizierten Chain an Dies ist der Befehl mit dem eine Regel einfach hinzugef gt wird wenn die Reihenfolge der Regeln in der Chain nicht ausschlaggebend ist C Kontrolliert eine bestimmte Regel bevor sie zur benutzerdefinierten Chain hinzugef gt wird Dieser Befehl kann Ihnen dabei helfen komplizierte iptables Regeln zu erstellen indem er Sie jeweils durch Aufforderungen dazu bringt zus tzliche Parameter und Optionen einzugeben D Entfernt eine Regel in einer bestimmten Chain nach ihrer Ziffer z B 5 f r die 5 Regel einer Chain Sie k nnen ebenfalls die gesamte Regel eingeben woraufhin iptables dann die entsprechende Regel aus der Chain mit der die Regel bereinstimmt entfernt E Benennt eine benutzerdefinierte Chain um Dies hat allerdings keine Auswirkung auf die Tabellenstruktur Kapitel 16 iptables 239 F L scht die gew hlte Chain woraufhin effektiv jede Regel in der Chain entfernt wird Wenn keine Chain angegebe
412. nes Protokolliervorgangs Auf der syslog conf man Seite finden Sie eine Liste der Priorit tsstufen e log ip options Alle in den Kopfzeilen eines IP Pakets enthaltenen Optionen werden protokolliert e log prefix F gt beim Schreiben einer Protokollzeile eine Zeichenkette vor der Pro tokollzeile ein Es werden bis zu 29 Zeichen nach der 1log prefix Option akzeptiert Dies ist auch beim Schreiben von syslog Filtern im Zusammenhang mit der Paketprotokollierung sehr n tzlich e log tcp options Alle in den Kopfzeilen eines TCP Pakets enthaltenen Optionen wer den protokolliert e log tcp sequence Schreibt die TCP Sequenznummer f r das Paket in der Protokoll datei REJECT Sendet ein Fehlerpaket an das System zur ck das das Paket gesendet hat und l sst dieses dann aus DROP Mit dem REJECT Ziel kann die reject with lt Typ gt Option verwendet werden um meh rere Details zusammen mit dem Fehlerpaket zu senden Die Meldung port unreachable ist die standardm ige lt type gt Fehlermeldung wobei lt type gt die Art der Zur ckweisung angibt die angezeigt wird wenn keine andere Option angewandt wurde Eine vollst ndige Liste der ver wendbaren lt type gt Optionen finden Sie auf der iptables man Seite Andere Zielerweiterungen die f r die Maskierung unter Verwendung der nat Tabelle oder f r Pake t nderung mithilfe der mangle Tabelle n tzlich sind finden Sie auf der iptables man Seite
413. network gibt Routing und Host Informationen f r alle Netzwerk Schnittstellen an Weitere Informationen zu dieser Datei und dar ber welche Anweisungen sie akzeptiert finden Sie unter Abschnitt 4 1 23 e etc sysconfig network scripts ifcfg lt interface name gt f r jede Netzwerk Schnittstelle eines Red Hat Linux Systems gibt es ein entsprechendes Schnittstellen Konfigurationsskript Jede dieser Dateien liefert Informationen die f r eine besondere Netzwerk Schnittstelle spezifisch sind Unter Abschnitt 8 2 finden Sie weitere Informationen zur Art der Datei und welche Anweisungen sie akzeptiert 104 Kapitel 8 Netzwerk Schnittstellen Orcrtung D as Verzeichnis etc sysconfig networking wird vom Netzwerk Verwaltungstool redhat config network verwendet und sein Inhalt sollte nicht manuell bearbeitet werden Weitere Informationen zur Konfiguration von Netzwerk Schnittstellen anhand von Netzwerk Verwaltungstool finden Sie im Kapitel Netzwerk Konfiguration im Red Hat Linux Handbuch benutzerdefinierter Konfiguration 8 2 Schnittstellen Konfigurationsdateien Schnittstellen Konfigurationsdateien steuern die Software Schnittstellen der einzelnen Netzwerkschnittstellenger te Wenn das System bootet verwendet es diese Dateien um zu erfahren welche Schnittstellen automatisch gestartet werden und wie diese zu konfigurieren sind Diese Dateien hei en normalerweise ifcfg lt Ger t gt wobei lt Ger t gt sich auf den Namen des Ger t
414. nfragen scheitern die eindeutig ung ltig sind Da bei der Speicherzuordnung eher ein heuristischer als ein genauer Algorithmus verwendet wird kann es manchmal zu einer berlastung des Systems kommen Wenn overcommit_memory auf 1 gesetzt ist erh ht sich die Wahrscheinlichkeit einer System berlastung Das gleiche gilt f r die Durchf hrung von speicherintensiven Aufgaben wie die die von einigen wissenschaftlichen Softwareprogrammen verwendet werden Kapitel 5 Das proc Dateisystem 75 Fiir Kunden die ein geringeres Risiko einer Systemiiberladung eingehen wollen wurden folgende zwei Optionen hinzugef gt Setzt man overcommit_memory auf 2 schl gt dies fehl wenn eine Speicheranfrage mehr als die H lfte des physischen RAM plus Swap ausmacht Beim Setzen auf 3 scheitert dies wenn eine Speicheranfrage gr er ist als Swap alleine fassen kann pagecache Stellt die Menge von Speicher ein die vom Seiten Cache verwendet wird Die Werte in pagecache sind Prozents tze und funktionieren hnlich wie in buf fe rmem um die min imale und maximale Anzahl von verf gbarem Seiten Cache zu erzwingen e page cluster Stellt die Anzahl von Seiten die auf einmal gelesen werden sollen ein Der Standardwert 4 der sich eigentlich auf 16 Seiten bezieht reicht f r die meisten Systeme aus pagetable_cache Stellt die Anzahl von Seiten ein die auf Pro Prozessor Basis zwischenge speichert werden ein Der erste und zweite Wert beziehe
415. ng verwendet da sie IP Adressen zu einem bestimmten Namen verweisen Unter Abschnitt 12 3 4 finden Sie weitere Beispiele zur Verwendung von PTR Records SOA Start Of Authority Record gibt wichtige ma gebliche Informationen ber den Namespace an den Name Server Nach den Direktiven festgelegt ist ein SOA Resource Record der erste Resource Record in einer Zone Datei Das folgende Beispiel zeigt die Basisstruktur eines SOA Record IN SOA lt primary name server gt lt hostmaster email gt lt serial number gt lt time to refresh gt lt time to retry gt lt time to expire gt lt minimum TTL gt Das Symbol richtet die SORIGIN Anweisung oder den Namen der Zone falls die SORIGIN Direktive nicht eingestellt ist als Namespace ein das von diesem SOA Resource Record eingestellt wurde Als lt primary Nameserver gt wird der erste f r diese Domain ma gebliche Name Server verwendet und die E Mail der ber diesen Namespace zu kontaktierenden Person wird durch die lt hostmaster email gt ersetzt Die lt serial number gt wird bei jeder nderung der Zone Datei erh ht so dass named er kennt dass diese Zone neu geladen werden kann Die lt time to refresh gt teilt den Slave Servern mit wie lange sie warten m ssen bevor sie beim Master Nameserver anfragen ob alle nderungen f r die Zone durchgef hrt wurden Der Wert der lt serial number gt wird vom 188 Kapitel 12 Berkeley Internet Name Domain BIND Slav
416. ngestellt werden ob auf Ihrem Server mehr als eine Anfrage pro Verbin dung zugelassen ist in anderen Worten werden wiederholte Verbindungen gesichert KeepAlive kann verwendet werden um zu verhindern dass ein einzelner Client zu viele der Serverressourcen verbraucht Die Standardeinstellung f r Keepalive ist off Ist Keepalive auf on eingestellt und der Ver kehr auf dem Server nimmt sp rbar zu kann der Server schnell die H chstanzahl von untergeord neten Prozessen erreichen In dieser Situation l sst die Leistung des Servers deutlich nach Wenn Keepalive aktiviert ist ist es ratsam die Option KeepAliveTimeout niedrig einzustellen sie he Abschnitt 10 5 8 f r weitere Informationen zur KeepAliveTimeout Anweisung und die Datei var log httpd error_log auf dem Server zu berwachen Dieses Protokoll erstellt einen Be richt wenn dem Server keine untergeordneten Prozesse zur Verf gung stehen 10 5 7 MaxKeepAliveRequests Diese Anweisung gibt an wie viele Anforderungen pro wiederholter Verbindung maximal erlaubt sind Das Apache Projekt empfiehlt einen hohen Wert Dadurch wird die Leistung des Servers verbes sert Die Standardeinstellung f r MaxKeepAliveRequests ist 100 eine f r die meisten Situationen geeignete Einstellung 10 5 8 KeepAliveTimeout KeepAliveTimeout gibt in Sekunden an wie lange der Server wartet nachdem eine Anforderung bearbeitet wurde Danach wird die Verbindung getrennt Nach dem Empfang einer Anforderung
417. ngle ist ein Ger t das mit einem herk mmlichen seriellen Port verbunden ist um per Infrarot zu kommunizieren Diese wird standardm ig auskommentiert da Notebooks mit echten Infrarot Ports viel h ufiger vorkommen als Computer mit angef gten Don gles DISCOVERY lt Wert gt wobei lt Wert gt einer der folgenden booleschen Werte ist yes Startet irattach im Discovery Modus d h dieser Befehl sucht aktiv nach anderen Infrarot Ger ten Dieser Befehl muss aktiviert werden damit der Rechner aktiv nach einer Infrarot Verbindung suchen kann d h nach dem Peer der die Verbindung nicht einleitet no Startet irattach nicht im Discovery Modus 4 1 18 etc sysconfig keyboard Die Datei etc sysconfig keyboard steuert das Tastatur Verhalten Folgende Werte k nnen ver wendet werden KEYBOARDTYPE sun pc Wird nur bei Spark Prozessoren verwendet sun gibt an dass eine Sun Tastatur an dev kbd angeschlossen ist und pc steht f r die Verbindung einer PS 2 Tastatur mit einem PS 2 Port KEYTABLE lt Datei gt wobei lt Datei gt der Name der keytable Datei ist Beispiel KEYTABLE us Die Dateien die als keytables verwendet werden k nnen beginnen unter lib kbd keymaps i386 und verzweigen von dort aus in verschiedene Tastatur Layouts die alle mit lt Datei gt kmap gz gekennzeichnet sind Die erste Datei die unter lib kbd keymaps i386 mit der KEYTABLE Einstellung bereinstimmt wird verwendet 38 Kapitel 4
418. ngs sche mata Wenn sich ein Benutzer an einem Netzwerkserver authentifiziert muss er einen Benutzerna men und Passwort f r jeden Dienst angeben der Authentifizierung erfordert Ungl cklicherweise erfolgt die bertragung von Authentifizierungsinformationen bei vielen Diensten im Klartext Damit ein solches Schemata sicher ist muss das Netzwerk vor Zugriff von Au en gesch tzt werden und alle Computer und Benutzer auf dem Netwerk m ssen sicher sein Auch wenn dies der Fall sein sollte ist das Netzwerk erst einmal mit dem Internet verbunden kann dessen Sicherheit nicht l nger angenommen werden Jeder Hacker der Zugriff auf das Netzwerk und einen Paket Analysierer Packet Sniffer hat kann auf diese Weise versendete Passw rter knacken was Benutzeraccounts und die Integrit t der gesamten Sicherheitsinfrastruktur komprimitiert Prim res Ziel von Kerberos ist es die bertragung der Authentifizierungsinformationen ber das Netzwerk zu beseitigen Die richtige Verwendung von Kerberos vermindert sp rbar die Gefahr die Packet Sniffer andernfalls f r das Netzwerk bedeuten 17 1 1 Nachteile von Kerberos Dank Kerberos wird eine Bedrohung die ganz allgemein f r die Sicherheit im Netzwerk besteht ausgeschaltet Allerdings kann sich die Implementierung aus folgenden Gr nden schwierig gestalten Das Migrieren von Benutzerpassw rtern von einer standardm igen UNIX Passwortdatenbank wie zum Beispiel etc passwd oder etc shadow i
419. nicht anzeigen m chten nachdem die se curetty Pr fung fehlgeschlagen ist k nnen Sie das pam_securetty so Modul von required in requisite ndern 14 5 Module erstellen Es k nnen jederzeit neue PAM Module hinzugef gt werden PAM kompatible Anwendungen k nnen dann so angepasst werden dass diese Module verwendet werden k nnen Falls Sie z B ber ein Re chensystem f r Einmal Passw rter verf gen und festlegen k nnen dass es von einem PAM Modul unterst tzt werden soll sind PAM kompatible Programme in der Lage das neue Modul zu verwen den und mit dem neuen Rechensystem f r Einmal Passw rter zu arbeiten ohne dass es neu kompiliert oder anderweitig modifiziert werden m sste Das ist sehr n tzlich da Sie dadurch sehr schnell Au thentifizierungsmethoden mit verschiedenen Programmen vermischen und vergleichen sowie testen k nnen ohne die Programme neu zu kompilieren Dokumentationen ber das Schreiben von Modulen finden Sie im Verzeichnis usr share doc pam lt version number gt wobei lt version number gt die Versionsnummer von PAM ist Kapitel 14 Pluggable Authentication Modules PAM 217 14 6 PAM und Besitzrechte von Geraten Red Hat Linux erlaubt es dem ersten Benutzer mithilfe des PAM Moduls pam_console so sich in der Konsole des Computers anzumelden das Bearbeiten von Ger ten und das Ausf hren von Tasks die normalerweise f r Root Benutzer reserviert sind 14 6 1 Besitzrechte von Ger ten Wenn sich
420. nutzer die einen lteren Kernel verwenden der standardm ig diese Funktion nicht enth lt ist der Daemon im Paket n fs utils enthalten rpc statd Implementiert das Network Status Monitor NSM RPC Protokoll Es liefert die reeboot Meldung wenn ein NFS Server neu gestartet wird der nicht korrekt beendet wurde rpc rquotad Ein RPC Server der Remote Benutzern Informationen ber die Benutzerquote liefert F r den NFS Dienst sind nicht alle diese Programme notwendig Die einzigen Dienste die aktiviert sein m ssen sind rpc mountd rpc nfsd und portmap Die anderen Daemonen bieten zus tzli che Funktionen sie sollten nur verwendet werden wenn die Serverumgebung dies erfordert Die Version 2 von NFS verwendet das User Datagram Protocol UDP um Netzwerk Verbindung ohne Status zwischen dem Client und dem Server herzustellen Die Version 3 von NFS kann UDP oder TCP verwenden wenn sie ber ein IP ausgef hrt wird Die UDP Verbindung minimiert den Netzwerkverkehr da der NFS Server dem Client ein Cookie schickt nachdem dieser f r den Zugriff auf die gemeinsamen Dateien autorisiert worden ist Dieses Cookie ist ein zuf lliger Wert der im Server gespeichert ist und mit allen RPC Anfragen vom Client zum Server bermittelt wird Der 112 Kapitel 9 Network File System NFS NFS Server kann ohne Auswirkung auf die Clients neu gestartet werden das Cookie beleibt dabei intakt NFS f hrt Authentifizierungen nur dann du
421. nutzers id_rsa Der private RSA Schl ssel welcher von ssh f r Version 2 des SSH Protokolls verwen det wird id_rsa pub Der ffentliche RSA Schl ssel welcher von ssh f r Version 2 des SSH Protokolls verwendet wird identity Der private RSA Schl ssel welcher von ssh f r Version 1 des SSH Protokolls ver wendet wird e identity pub Der ffentliche RSA Schl ssel welcher von ssh f r Version 1 des SSH Protokolls verwendet wird known_hosts In dieser Datei k nnen die DSA Host Schl ssel der Server gespeichert werden mit denen sich der Benutzer ber SSH anmeldet Diese Datei ist sehr wichtig um festzustellen ob der SSH Client mit dem richtigen SSH Server verbunden ist 260 Kapitel 18 SSH Protokoll PURE Wenn der Host Schl ssel eines SSH Servers ge ndert wurde wird der Client den Benutzer darauf hinweisen dass die Verbindung nicht fortgesetzt werden kann bevor nicht der Host Schl ssel aus der Datei known_hosts gel scht wurde Dies kann mit einem Texteditor geschehen Bevor dies geschieht sollten Sie sich allerdings zuerst mit dem System Administrator des SSH Servers in Verbindung setzen um sicherzustellen dass der Server nicht kompromitiert wurde Auf den man Seiten von ssh und sshd finden Sie weitere Informationen ber die verschiedenen Anweisungen in den SSH Konfigurationsdateien 18 5 Mehr als eine Secure Shell Eine sichere Befehlszeilenschnittstelle stellt nur eine der vielen Ar
422. oder durch das Wort single oder emergency Falls Sie GRUB verwenden f hren Sie diese Schritte aus W hlen Sie auf dem grafischen GRUB Bootloader Bildschirm das Red Hat Linux Bootlabel aus und dr cken Sie zur Bearbeitung e Gehen Sie mit der Pfeiltaste zur Kernelzeile hinunter und dr cken zur Bearbeitung e Geben Sie am Prompt die Nummer des Runlevels auf dem Sie booten m chten 1 bis 5 das Wort single oder emergency ein und dr cken Sie dann die Enter Taste e Sie kehren nun zum GRUB Bildschirm mit den Kernel Informationen zur ck Dr cken Sie die b Taste um das System zu starten Weitere Informationen zu Runleveln finden Sie unter Abschnitt 1 4 1 2 11 Zus tzliche Ressourcen Dieses Kapitel stellt lediglich eine Einf hrung in GRUB und LILO dar Weitere Informationen ber die Funktionsweise von GRUB und LILO finden Sie in folgenden Ressourcen 2 11 1 Installierte Dokumentation e usr share doc grub lt version number gt Dieses Verzeichnis enth lt wertvolle Infor mationen ber die Verwendung und Konfiguration von GRUB lt version number gt im Pfad zu dieser Datei entspricht der Version des installierten GRUB Pakets Die Info Seite von GRUB auf die mit Hilfe des Befehls info grub zugegriffen werden kann enth lt eine Einf hrung ein Referenzhandbuch f r Benutzer ein Referenzhandbuch f r Program mierer sowie ein FAQ Dokument zu GRUB und seiner Verwendung usr share doc lilo lt ver
423. odul mod_proxy Zugriffskontrollbefehle fiir den Proxy befinden sich jetzt in einem lt Proxy gt Block anstatt in einem lt Directory proxy gt Die Cache Funktionalit t der alten Datei mod_proxy wurde in folgende drei Module aufgeteilt s m d cache e mod_disk_cache e mod_file_cache Diese verwenden normalerweise die gleichen oder hnliche Anweisungen wie die lteren Versionen des mod_proxy Moduls Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_proxy html 10 2 4 3 Das Modul mod_include Das Modul mod_include ist jetzt als Filter implementiert und wird deshalb anders aktiviert Weitere Informationen zu Filtern finden Sie in Abschnitt 10 2 4 Folgendes ist ein Beispiel einer Apache HTTP Server 1 3 Anweisung AddType text html shtml AddHandler server parsed shtml Verwenden Sie folgende Struktur um diese Einstellung nach Apache HTTP Server 2 0 zu migrieren AddType text html shtml AddOutputFilter INCLUDES shtml Beachten Sie bitte dass die Anweisung Options Includes wie bisher f r den lt Directory gt Container oder in einer htaccess Datei verlangt wird Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod mod_include html 10 2 4 4 Die Module mod_auth_dbm und mod_auth_db Apache HTTP Server 1 3 un
424. odule name gt mit dem Namen des Moduls und lt path to module so gt mit dem Pfad zum DSO 10 8 Virtual Hosts Apache HTTP Server bietet die M glichkeit zur Verwendung von virtuellen Hosts um verschiedene Server f r verschiedene IP Adressen verschiedene Rechnernamen oder verschiedene Ports auf dem selben Server zu benutzen Eine vollst ndige Anleitung zur Verwendung virtueller Hosts finden Sie unter http httpd apache org docs 2 0 vhosts 10 8 1 Einrichten von virtuellen Hosts Um einen namensbasierten virtuellen Host einzurichten ist es am besten den entsprechenden Con tainer in httpd conf als Grundlage zu nehmen Hier die Beispielszeilen fiir den virtuellen Host 152 Kapitel 10 Apache NameVirtualHost lt VirtualHost gt ServerAdmin webmaster dummy host example com DocumentRoot www docs dummy host example com ServerName dummy host example com ErrorLog logs dummy host example com error_log CustomLog logs dummy host example com access_log common lt VirtualHost gt Um namensbasiertes virtuelles Hosting zu erm glichen entfernen Sie das Hash Symbol am An fang der NameVirtualHost Zeile und ersetzen Sie den Stern mit der IP Adresse des entspre chenden Rechners Als n chstes konfigurieren Sie einen virtuellen Host indem Sie das Kommentarsymbol aus den lt VirtualHost gt Zeilen entfernen In der ffnenden lt virtualHost gt Zeile ersetzen Sie den Stern mit der IP Adres
425. ohl grafisch sein wie Mozilla Mail oder auch eine sehr einfache text basierte Schnittstelle haben wie mutt oder pine 11 3 Mail Transport Agents Red Hat Linux enth lt zwei prim re MTAs Sendmail und Postfix Sendmail ist als Default MTA konfiguriert Es ist allerdings recht einfach den Default MTA auf Postfix umzustellen Sr Informationen dar ber wie Sie den standardm igen MTA von Sendmail auf Postfix umschalten k n nen finden Sie im Kapitel Konfiguration des Mail Transport Agent MTA im Red Hat Linux Handbuch benutzerdefinierter Konfiguration Red Hat Linux enth lt zus tzlich einen weiteren speziellen MTA Fetchmail welcher dazu verwendet wird E Mails von einem Remote MTA zu einem lokalen MTA zu bermitteln Dieser Abschnitt behandelt Sendmail und Fetchmail 11 3 1 Sendmail Die Hauptaufgabe von Sendmail wie anderen MTAs besteht darin unter Verwendung des SMTP Protokolls E Mails sicher zwischen Rechnern zu bertragen Sendmail ist sehr gut zu konfigurieren und Sie k nnen fast jeden Schritt beim Versenden einer E Mail verfolgen einschlie lich des hierzu verwendeten Protokolls Viele Systemadministratoren w hlen Sendmail als deren MTA wegen seiner Funktionalit t und Skalierbarkeit Kapitel 11 E Mail 159 11 3 1 1 Ziele und Einschrankungen Es ist wichtig zu wissen was mit Sendmail m glich oder nicht m glich ist Da die heutigen mo nolitischen Applikationen vielf ltige Aufgaben erf llen gehen Sie n
426. on lt seconds gt Weist Fetchmail an automatisch den Daemon Modus zu verwenden der im Hintergrund in festgelegten Intervallen Mails abruft postmaster Weist Fetchmail einen lokalen Benutzer zu der bei Problemen mit der Zustellung benachrichtigt wird syslog Gibt die Log Datei f r Fehler und Status Meldungen an Standardm ig ist dies var log maillog 11 3 2 3 Serveroptionen Schreiben Sie die Serveroptionen nach einer poll oder skip Aktion in eine eigene Zeile in der Datei fetchmailrc auth lt auth type gt Bezeichnet den Typ der Authentifizierung Standardm ig wird die passwordAuthentifizierung benutzt aber einige Protokolle unterst tzen andere Authentifizierungstypen unter anderem kerberos_v5 kerberos_v4 und ssh Bei Verwendung der any Authentifizierung wird Fetchmail zun chst versuchen ohne Passwort zu arbeiten danach nach Methoden die ein Passwort ben tigen suchen und schlie lich Ihr volles Passwort zur Authentifizierung an den Server schicken e interval lt number gt Weist Fetchmail an mit diesem Server regelm ig nach einer fest gelegten Zeit lt Nummer gt auf allen Servern nach Mails zu suchen Diese Option wird bei Servern verwendet auf denen Sie selten Mitteilungen erhalten port lt Port Nummer gt Ubergeht die Standard Portnummer f r ein bestimmtes Protokoll Kapitel 11 E Mail 165 proto lt protocol gt Weist Fetchmail an ein bestimmtes Protokoll zu verw
427. on HighTotal k nnen von Kernel zu Kernel anders sein 56 Kapitel 5 Das proc Dateisystem LowTotal und LowFree Die Gesamtmenge und der freie Speicher die direkt in den Kernel bereich gemappt werden Die Werte von LowTot al k nnen von Kernel zu Kernel anders sein SwapTotal Die gesamte verf gbare Swapgr e in Kilobyte SwapFree Die Gesamtmenge von freiem Swapspeicher in Kilobyte 5 2 20 proc misc Diese Datei listet verschiedene Treiber auf die im Major Ger t mit der Nummer 10 aufgef hrt sind 135 rte 1 psaux 134 apm_bios Die erste Spalte zeigt die Minor Nummer des Ger ts an und die zweite Spalte zeigt den benutzten Treiber an 5 2 21 proc modules Diese Datei zeigt eine Liste aller Module an die im Kernel geladen wurden Ihr Inhalt h ngt von der Konfiguration und vom System ab die Organisation sollte aber hnlich sein wie in dieser Ausgabe von proc modules ide cd 27008 0 autoclean cdrom 28960 0 autoclean ide cd soundcore 4100 0 autoclean agpgart 31072 0 unused binfmt_misc 5956 1 iscsi 32672 0 unused scsi_mod 94424 1 iscsi autofs 10628 0 autoclean unused tulip 48608 al ext3 60352 2 jbd 39192 2 ext3 Die erste Spalte enth lt den Namen des Moduls Die zweite Spalte zeigt die Speichergr e des Mo duls in Byte an Die dritte Spalte zeigt an ob das Modul zur Zeit geladen 1 oder nicht geladen 0 ist Die letzte Spalte zeigt an ob sich das Modul automatis
428. on Modules PAM 14 3 Format der PAM Konfigurationsdatei Jede PAM Konfigurationsdatei enth lt eine Gruppe von Anweisungen welche wie folgt formattiert sind lt module interface gt lt control flag gt lt module path gt lt module arguments gt Jedes dieser Elemente ist in den folgenden Abschnitten erkl rt 14 3 1 Modul Schnittstellen Es gibt vier Typen von Modul Schnittstellen welche den unterschiedlichen Aspekten des Authentifi zierungsprozesses entsprechen auth Diese Module werden zur Authentifizierung des Benutzers benutzt zum Beispiel durch Erfragen und berpr fen des Passworts und dem Einstellen von Berechtigungsmerkmalen wie z B Mitgliedschaft in einer Gruppe oder Kerberos Tickets account Diese Module stellen sicher dass der Zugriff erlaubt ist Zum Beispiel k nnen sie pr fen ob der Account abgelaufen ist oder ob der Benutzer zur Anmeldung um diese Uhrzeit zugelassen ist password Diese Module werden zur Einstellung des Passworts verwendet session Diese Module werden nachdem der Benutzer authentifiziert wurde dazu verwendet seine Session zu verwalten Das Modul kann auch zus tzliche f r den Zugriff ben tigte Tasks durchf hren wie beispielsweise das Mounten des Home Verzeichnisses des Benutzers oder die Aktivierung seiner Mailbox f Anmerkung Ein einzelnes Modul kann jeglichen oder alle der 0 g Modul Schnittstellen ansprechen Zum Beispiel pam_unix so besitzt Komponen
429. one Datei einzuf gen Dadurch k nnen zus tzliche Einstellungen der Zone getrennt von der Haupt Zone Datei gespeichert werden SORIGIN Stellt den Domain Name so ein dass er an alle ungeeigneten Records angef gt wird Wie z B die die ausschlie lich den Host festlegen Eine Zone Datei kann z B folgende Zeile enthalten SORIGIN example com Jetzt w rde an alle Namen die in Resource Records verwendet werden und nicht mit einem Punkt enden example com angeh ngt Anmerkung Die Verwendung der sortcin Direktive ist nicht erforderlich wenn der Name der Zone in etc named conf mit dem Wert bereinstimmt den Sie soR GIn zuweisen w rden Standardm ig wird der Name der Zone als Wert der soRIGIn Anweisung verwendet STTL Legt den Standard Time to Live TTL Wert f r die Zone fest Dieser Wert legt f r die Name Server in Sekunden fest wie lange das Resource Record f r die Zone g ltig ist Ein Resource Record kann einen eigenen TTL Wert besitzen der den Wert dieser Anweisung f r die Zone berschreibt Wird dieser Wert erh ht k nnen die Remote Name Server die Zone Informationen l nger verar beiten Dadurch werden zwar die Abfragen f r diese Zone reduziert es vergr ert sich jedoch der Zeitraum bis man von den nderungen der Resource Records profitieren kann 12 3 2 Resource Records der Zone Datei Die Hauptkomponente einer Zone Datei ist deren Resource Records Es gibt viele Typen von Resource R
430. onfigurationsdateien von PAM vertraut sein bevor Sie eventuelle nderungen vornehmen weitere Informationen finden Sie unter Abschnitt 14 3 14 1 Vorteile von PAM PAM bietet die folgenden Vorteile Ein gemeinsames Authentifikationsschema das f r viele verschiedene Anwendungen verwendet werden kann Gro e Flexibilit t und Kontrolle der Authentifizierung f r Administratoren und Entwickler von Anwendungen Anwendungsentwickler m ssen ihr Programm nicht speziell f r die Verwendung bestimmter Au thentifikationsschemata entwickeln Sie k nnen sich statt dessen auf die Details ihres Programms konzentrieren 14 2 PAM Konfigurationsdateien Die PAM Konfigurationsdateien sind im Verzeichnis etc pam d enthalten In fr heren Versio nen von PAM wurde die Datei etc pam conf verwendet die aber k nftig nicht mehr verwendet wird Die Datei pam conf wird nur eingelesen wenn das Verzeichnis etc pam d nicht existiert 14 2 1 PAM Servicedateien F r Applikationen oder Services welche PAM verwenden besteht eine Datei im Verzeichnis etc pam d Jede dieser Dateien ist nach dem Service benannt f r welchen diese den Zugriff kontrolliert Es ist dem PAM verwendenden Programm berlassen seinen Servicenamen zu bestimmen und die ent sprechende PAM Konfigurationsdatei im Verzeichnis etc pam d abzulegen Das Login Program zum Beispiel bestimmt seinen Servicenamen als etc pam d login 212 Kapitel 14 Pluggable Authenticati
431. onsdateien die direkt die Ker nelfunktion beeinflussen Einige der wichtigsten Dateien sind unter anderem e acct Kontrolliert die Aufhebung von Prozess Accounting basierend auf der Prozentzahl des verf gbaren freien Speichers der auf dem Dateisystem das den Log enth lt verf gbar ist Dieser Log sieht gew hnlich so aus 4 2 30 Der zweite Wert setzt den Schwellenwert des freien Speichers wenn das Logging unterbrochen werden soll der erste Wert hingegen zeigt den Wert an wann das Logging wieder aufgenommen werden soll Der dritte Wert zeigt das Intervall in Sekunden in dem der Kernel das Dateisystem abfragt um zu entscheiden ob das Logging wieder aufgenommen oder unterbrochen werden soll cap bound Kontrolliert die Capability Bounding Einstellungen Diese bieten eine Liste von M glichkeiten die jeder Prozess auf dem System benutzten kann Wenn eine M glichkeit hier nicht aufgelistet ist dann kann kein Prozess egal mit welchen Privilegien diese benutzen Dies macht das System dadurch dass bestimmte Dinge nicht ausgef hrt werden k nnen sicherer wenigstens nach einem bestimmten Punkt im Boot Prozess nicht Eine Liste g ltiger Werte f r diese virtuelle Datei finden Sie unter usr sre linux 2 4 include linux capability h Weitere Informationen zum Capability Bonding finden Sie unter http lwn net 1999 1202 kernel php3 Kapitel 5 Das proc Dateisystem 71 e ctrl alt del Stellt ein ob die Tastenkombination
432. ootdn cn root dc example dc com Wenn Sie vorhaben dass LDAP Verzeichnis bers Netzwerk zu verwalten ndern Sie die root pw Zeile indem Sie den Standardwert mit einem verschliisselten Passwort ersetzen Um ein verschliis seltes Passwort zu erzeugen geben Sie den folgenden Befehl ein slappasswd Sie werden dazu aufgefordert ein Passwort einzugeben und durch eine zweite Eingabe zu best tigen Danach gibt das Programm das verschl sselte Passwort am Terminal aus Als n chstes kopieren Sie das neu erzeugte verschl sselte Passwort in die Datei etc openldap slapd conf in eine der rootpw Zeilen und entfernen Sie das Hash Symbol Nach Abschluss sollte die root pw Zeile etwa wie folgt aussehen rootpw SSHA vv2y i6V6esazriv70xSSnNAJE18bb2u AB warung LDAP Passw rter einschlie lich der in etc openldap slapd conf angegebenen rootpw Direktive werden als Klartext ber das Netzwerk gesendet es sei denn Sie aktivieren die TLS Verschl sselung F r zus tzliche Sicherheit sollte die rootpw Direktive nur verwendet werden wenn die Anfangs konfiguration und Auff llung des LDAP Verzeichnisses ber ein Netzwerk erfolgt Nach Vervoll st ndigen der Aufgabe ist es das Beste die rootpw Direktive auszukommentieren indem ihr ein Gatterzeichen vorangestellt wird Wenn Sie das Befehlszeilentool usr bin slapadd verwenden um das LDAP Verzeichnis lokal aufzuf llen m ssen Sie die root pw Direktive nicht verwenden 20
433. ot boot b Weist LILO an die angegebene Datei als neuen Bootsektor zu instal lieren Normalerweise sollten hier keine nderungen vorgenommen werden Wenn die install Zeile fehlt geht LILO davon aus dass boot boot b standardm ig zu verwenden ist prompt Weist LILO an alle Verweise in der message Zeile anzuzeigen Es wird davon abger aten die prompt Zeile zu entfernen Wenn Sie dies dennoch tun k nnen Sie nach wie vor einen Prompt aufrufen indem Sie die Umschalt Taste gedr ckt halten w hrend der Rechner hochf hrt timeout 50 Legt den Zeitraum fest den LILO auf Benutzereingaben wartet ehe er mit dem Starten des default Zeileneintrags fortf hrt Dies wird in Zehntelsekunden gemessen 50 ist der Standardwert message boot message Verweist auf den Bildschirm von LILO auf dem Sie das zu star tende Betriebssystem bzw den Kernel ausw hlen 1ba32 Beschreibt LILO die Festplattengeometrie Ein anderer blicher Eintrag ist linear Sie sollten diese Zeile nicht ndern es sei denn Sie verf gen ber die notwendigen Kenntnisse Ansonsten k nnten Sie Ihr System in einen nicht mehr startf higen Status versetzen e default linux Verweist auf das Betriebssystem das LILO standardm ig aus den unterhalb dieser Zeile genannten Optionen starten soll Der Name linux bezieht sich auf die untere Zeile label in allen Bootoptionen e image boot vmlinuz 2 4 0 0 43 6 Gibt den Linux Kernel an der mit
434. p Daemon zu bertragen Der dhcpd Daemon implementiert das Dynamic Host Configuration Protocol DHCP und das Internet Bootstrap Protocol BOOTP DHCP und BOOTP weisen Rechnern auf dem Netzwerk Hostnamen zu Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf den man Seiten von dhcpd 4 1 8 etc sysconfig firstboot Ab Red Hat Linux 8 0 ruft das Programm sbin init beim Erststart des Systems das Skript etc rc d init d firstboot auf Dieses Skript ruft seinerseits Setup Agent auf Diese Applikation erm glicht dem Benutzer das Installieren weiterer Anwendungen und Dokumentation vor dem Abschluss des Initialstarts Die Datei etc sysconfig firstboot weist den Setup Agent einfach an nicht ausgef hrt zu werden Wenn diese Applikation beim n chsten Systemstart ausf hren m chten m ssen Sie einfach nur etc sysconfig firstboot entfernen und chkconfig level 5 firstboot on aus f hren 4 1 9 etc sysconfig gpm Die Datei etc sysconfig gpm wird verwendet um beim Booten Argumente an den gpm Daemon zu bertragen Der gpm Daemon ist der Maus Server mit dem die Geschwindigkeit der Maus erh ht und die M glichkeit des Kopierens mit der mittleren Maus Taste geschaffen werden kann Weitere Informationen zu den Parametern die Sie in dieser Datei benutzen k nnen erhalten Sie auf den man Seiten von gpm Standardm ig sind die Einstellungen f r die Maus dev mouse 4 1 10 etc sysconfig harddisks
435. p www iit edu gawojar ldap zur Verf gung steht Die meisten anderen LDAP Clients greifen auf die Verzeichnisse im Lesemodus zu und verwenden sie zum Verweisen und nicht Andern auf unternehmensweite Informationen Beispiele fiir diese An wendungen sind Mozilla basierte Web Browser Sendmail Balsa Pine Evolution Gnome Meeting 13 4 OpenLDAP Konfigurationsdateien Die Konfigurationsdateien von OpenLDAP werden im Verzeichnis etc openldap installiert Im Folgenden werden die wichtigsten Verzeichnisse und Dateien kurz vorgestellt etc openldap ldap conf Dies ist die Konfigurationsdatei f r alle Client anwendungen die die OpenLDAP Bibliotheken verwenden Darunter befinden sich unter anderem Sendmail Pine Balsa Evolution und Gnome Meeting etc openldap schema Verzeichnis Dieses Unterverzeichnis enth lt das vom slapd Daemon verwendete Schema Weitere Informationen zu diesem Verzeichnis finden Sie unter Abschnitt 13 5 etc openldap slapd conf Dies ist die Konfigurationsdatei f r den slapd Daemon Weit ere Informationen zu dieser Datei finden Sie unter Abschnitt 13 6 1 f Anmerkung Wenn das nss_1dap Paket installiert ist erstellt es die Datei etc 1dap conf Diese Datei wird von den PAM und NSS Modulen verwendet die vom nss_idap Paket bereitgestellt werden Weitere Informationen zu dieser Konfigurationsdatei finden Sie unter Abschnitt 13 7 13 5 Das Verzeichnis etc openldap schema Das etc openld
436. peichersegmenten f r das ganze System ein Dieser Wert hat den Standardwert 4096 e sysrq Aktiviert den System Request Key wenn dieser Wert nicht auf das standardm ige 0 gesetzt ist Einzelheiten zum System Request Key finden Sie unter Abschnitt 5 3 9 threads max Stellt die maximale Anzahl von Threads die vom Kernel genutzt werden k nnen ein Standardwert 4095 e version Zeigt Datum und Zeit der letzten Kernel Kompilierung an Das erste Feld in dieser Datei wie z B 3 zeigt an wie oft ein Kernel aus den Quellen neukompiliert wurde Das Verzeichnis random speichert eine Anzahl von Werten die zum Erzeugen von Zufallszahlen im Kernel verwendet werden 5 3 9 4 proc sys net Dieses Verzeichnis enth lt Unterverzeichnisse ber verschiedene Netzwerk Themen Verschiedene Konfigurationen zur Kernel Kompilierung erzeugen hier verschiedene Verzeichnisse wie z B appletalk ethernet ipv4 ipx und ipv6 In diesen Verzeichnissen k nnen Sie verschiedene Netzwerk Einstellungen f r diese Konfiguration am laufenden System ndern Aufgrund den vielf ltigen Netzwerk Optionen die in Linux verwendet werden k nnen werden wir nur die wichtigsten Verzeichnisse in proc sys net vorstellen Das Verzeichnis proc sys net core enth lt eine Vielzahl von Einstellungen die die Interaktion zwischen Kernel und Netzwerkschichten beeinflussen Die wichtigsten Dateien sind hier e message_burst Die Anzahl Zehntelsekunden die ben
437. ppelte Anf hrungszeichen setzen damit diese g ltig ist 10 5 62 BrowserMatch Die Anweisung BrowserMatch erm glicht es Ihrem Server Umgebungsvariablen zu definieren und auf Grundlage des User Agent HTTP Header Felds gibt den Browser des Clients an in geeigneter Weise zu reagieren Standardm ig verwendet Ihr Web Server BrowserMatch um keine Verbin dungen mit Browsern zuzulassen die Probleme bereiten und zum Deaktivieren von Keepalives und HTTP Header L schbefehlen f r Browser von denen bekannt ist dass sie Probleme mit diesen Ak tionen haben 10 5 63 Location Die Tags lt Location gt und lt Location gt erm glichen die Angabe von Zugangsberechtigungen auf URL Basis Wenn Sie zulassen m chten dass Benutzer von Ihrer Domain aus Serverstatusberichte einsehen k n nen sollten Sie f r den n chsten Abschnitt mit Anweisungen die Kommentare entfernen lt Location server status gt SetHandler server status Order deny allow Deny from all Allow from lt example com gt lt Location gt Dabei muss lt example com gt durch den Namen Ihrer Second Level Domain ersetzt werden Wenn Sie Serverkonfigurationsberichte einschlie lich installierter Module und Konfigurationsanwei sungen f r Anforderungen aus Ihrer Dom ne bereitstellen m chten m ssen f r die folgenden Zeilen die Kommentare entfernt werden lt Location server info gt SetHandler server info Order deny allow Deny from all Allow from lt
438. r Gibt einen eindeutigen Namen eines Monitor Abschnitts an Dieser Eintrag ist notwendig DefaultDepth Gibt die Farbtiefe in Bits an Im vorangegangenen Beispiel ist 16 was mehrere tausende von Farben erm glicht der Default Wert Mehrere DefaultDepth Eintr ge sind zul s sig aber einer muss mindestens vorhanden sein e SubSection Display Gibt die Bildschirmmodi an die bei einer spezifischen Farbtiefe zur Verf gung stehen Ein Screen Abschnitt kann mehrere Display Unterabschnitte haben es muss allerdings zumindest einer f r die in DefaultDepth angegebene Farbtiefe bestehen Option lt option name gt Ein optionaler Eintrag der weitere Parameter f r diesen Abschnitt angibt Ersetzen Sie lt option name gt mit einer g ltigen in den man Seiten zu XF86Config aufgelisteten Option 7 3 1 10 DRI Beim optionalen DRI Abschnitt Direct Rendering Infrastructure DRI handelt es sich um eine Schnittstelle die es 3D Software Applikationen erm glicht die 3D Hardwarebeschleunigung moderner und unterst tzter Grafikhardware zu nutzen Dar ber hinaus verbessert DRI die Leistung der 2D Hardwarebeschleunigung wenn Treiber verwendet werden die f r den Gebrauch von DRI mit 2D Vorg ngen erweitert wurden Dieser Abschnitt wird ignoriert es sei denn DRI wird im Module Abschnitt aktiviert Das folgende Beispiel zeigt einen typischen DRI Abschnitt Section DRI Group 0 Mode 0666 94 Kapitel 7 Das X Window System
439. r hdc cdrom im zweiten IDE Kanal nicht IDE Mitsumi CD ROM an Port 340 IRQ mcd 0x340 11 11 Drei nicht IDE Mitsumi CD ROM Laufwerke mcdx 0x300 5 0x304 10 0x320 11 mit experimentellem Treiber I O Ports 300 304 und 320 mit IRQs 5 10 und 11 Sony CDU 31 oder 33 an Port 340 kein IRQ cdu3 1 0x340 0 ODER cdu31_port 0x340 cdu31a_irq 0 Aztech CD ROM an Port 220 aztcd 0x220 Panasonic hnliche CD ROM an einer sbpcd 0x230 SoundBlaster Schnittstelle an Port 230 Phillips LMS cm206 und cm260 an I O 340 und cm206 0x340 11 IRQ 11 Goldstar R420 an I O 300 gscd 0x300 Mitsumi Laufwerk an einer isp16 0x330 11 0 Mitsumi MAD 16 Soundkarte an I O 330 und IRQ 1 DMA Erkennung Sony CDU 531 an I O 320 sonycd535 0x320 Tabelle A 2 Konfigurationsbeispiele f r Hardware Parameter i Anmerkung Die meisten neueren Soundblaster Karten verf gen ber IDE Schnittstellen F r diese Karten sind keine sbpca Parameter notwendig Verwenden Sie nur nax Parameter wobei x f r den entsprechen den Buchstaben des Laufwerks steht 284 Anhang A Allgemeine Parameter und Module A 3 SCSI Parameter Hardware Modul Parameter Adaptec 28xx R9xx 39x aicen 3ware Storage Controller swsw Jooo NCR53c810 820 720 53c7 8xx 0 NCR53c700 710 700 66 AM53 79C974 AM53C974 0 PC SCSD Treiber Die meisten Buslogic jetzt BusLogic o Mylex Karten mit BT Teilenummer MCRS3c406a basiertes SCSI__ ucesseaoeao Adaptec AACRAD au
440. r ge zum Verzeichnis hinzu 1dapadd ist nichts anderes als ein harter Link zu ldapmodify a ldapsearch Sucht mit Hilfe eines Shell Prompts im LDAP Verzeichnis nach Eintr gen ldapdelete L scht Eintr ge aus einem LDAP Verzeichnis durch Annehmen von Eingaben des Benutzers am Terminal oder ber eine Datei Alle Utilities Ldapsearch ausgenommen sind einfacher durch Verweisen auf eine Datei mit den vorzunehmenden nderungen zu verwenden als durch Eingabe eines Befehls f r jeden Eintrag der in einem LDAP Verzeichnis ge ndert werden soll Das Format solcher Dateien wird auf der man Seite der jeweiligen Applikation skizziert 13 3 1 NSS PAM and LDAP Neben den OpenLDAP Paketen enth lt Red Hat Linux das Paket nss_1dap welches die M glichkeit LDAP in Linux und andere UNIX Umgebungen zu integrieren optimiert Das Paket nss_1dap stellt folgende Module zur Verf gung lib libnss_ldap lt glibc version gt so e lib security pam_ldap so Die 1ibnss_ldap lt glibc version gt so Module erm glichen Applikationen Benutzer Grup pen Hosts und sonstige Informationen mit Hilfe eines LDAP Verzeichnisses ber die Schnittstelle Nameservice Switch NSS zu suchen NSS erlaubt Applikationen eine Authetifizierung unter Ver wendung von LDAP in Verbindung mit dem Name Service Network Information Service NIS und Klartext Authentifizierungsdateien Das Modul pam_ldap erm glicht PAM f higen Applikationen Benutzer mit Hilfe
441. r Architektur Dabei wird ein X Server Prozess gestartet mit dem sich X Client Prozesse ber ein Netzwerk oder eine lokale Verbindung verkn pfen k nnen Der Serverprozess verwaltet die Kommunikation mit der Hardware wie zum Beispiel mit der Grafikkarte dem Monitor der Tastatur und der Maus Der X Client existiert im Benutzerbereich und erstellt eine graphische Benutzerschnittstelle graphical user interface GUI f r den Benutzer und gibt Anfragen an den X Server weiter 7 1 Der XFree86 Server Red Hat Linux 9 verwendet XFree86 Version 4 x als Basis X Window System welches viele Cutting Edge XFree86 Technologien beinhaltet Dazu geh ren 3D Hardwarebeschleunigung XRender Erweiterung f r anti aliased Fonts ein modulares Treiber basiertes Design und Unterst tzung f r moderne Video Hardware und Eingabeger te EB wicntic Red Hat Linux stellt keine Serverpakete von XFree86 Version 3 mehr zur Verf gung Ehe Sie auf die letzte Version von Red Hat Linux aktualisieren stellen Sie sicher dass Ihre Grafikkarte mit der Version 4 von XFree86 kompatibel ist berpr fen Sie dies auf der Red Hat HCL Hardwarekompati bilitatsliste unter dem URL http hardware redhat com Das X Window System befindet sich haupts chlich an zwei Speicherorten im Dateisystem usr X11R6 Ein Verzeichnis mit X Client Bin rdateien bestimmten Headerdateien Bibliotheken man Seiten und weiterer X Dokumentation etc X11 Enth lt alle Konfigurationsda
442. r Berichtdatei Achten Sie darauf beim Aktualisieren der Datenbank den neuesten Bericht zu verwenden Verwenden Sie folgenden Befehl um die Tripwire Datenbank zu aktualisieren wobei Name der Name der neuesten Berichtdatei ist usr sbin tripwire update twrfile var lib tripwire report lt name gt twr Tripwire zeigt die gew nschte Berichtdatei mithilfe des standardm igen Texteditors der in der Trip wire Konfigurationsdatei in der Zeile EDITOR angegeben ist an An dieser Stelle k nnen Sie Dateien deselektieren die in der Tripwire Datenbank nicht aktualisiert werden sollen Achten Sie dabei darauf das nur berechtigte Differenzen in dieser Datenbank aufgenommen werden EB wicntic Wichtig ist dass Sie nur autorisierte Integrit tsdifferenzen in der Datenbank ndern Alle der Tripwire Datenbank vorgelegten Aktualisierungen sind mit einem x vor dem Dateinamen gekennzeichnet hnlich wie im folgenden Beispiel Added x usr sbin longrun Modified x usr sbin x usr sbin cpgarrayd M chten Sie ausdr cklich ausschlie en dass eine g ltige Differenz der Tripwire Datenbank aufge nommen wird entfernen Sie das x Um Dateien im standardm igen Texteditor vi zu bearbeiten geben Sie i ein und dr cken Enter um den Eingabemodus einzugeben und nehmen Sie die notwendigen nderungen vor Wenn Sie fertig sind dr cken Sie den Schl ssel Esc geben Sie wq ein und dr cken Sie Enter Kapitel 19 Tripwi
443. r Informationen geben Sie Folgendes ein sbin lspci vb 5 2 26 proc slabinfo Diese Datei gibt Ihnen Informationen ber die Speicherbenutzung im slab Level Linux Kernel ber 2 2 benutzen slab pools um Speicher ber der Page Ebene zu verwalten Oft benutzte Objekte haben dabei eigene Slab Pools Es folgt ein Ausschnitt einer typischen virtuellen Datei proc slabinfo slabinfo version 1 1 kmem_cache 64 68 112 2 2 1 nfs_write_data 0 0 384 0 0 pi nfs_read_data 0 160 384 0 16 1 nfs_page 0 200 96 0 5 1 ip_fib_hash 10 113 32 1 1 1 journal_head 51 7020 48 2 90 1 revoke_table 2 253 12 1 T 1 revoke_record 0 0 32 0 0 1 clip_arp_cache 0 0 128 0 0 1 ip_mrt_cache 0 0 96 0 0 1 Kapitel 5 Das proc Dateisystem 59 Die Werte in dieser Datei stehen in folgender Reihenfolge Cache Name Anzahl der aktiven Objek te Anzahl der Gesamtobjekte Gr e des Objekts Anzahl der Aktiven slabs Bl cke des Objekts Gesamtanzahl der slabs des Objekkts und Anzahl der Seiten per slab Beachten Sie bitte dass active in diesem Fall bedeutet dass ein Objekt in Verwendung ist 5 2 27 proc stat Diese Datei enth lt diverse Statistiken ber das System seit dem letzten Neustart Der Inhalt von proc stat welcher auch sehr lang sein kann f ngt hnlich wie unser Beispiel an cpu 1139111 3689 234449 84378914 cpu0 1139111 3689 234449 84378914 page 2675248 8567956 swap 10022 19226 intr 93326523 85756163 174412 0 3 3 0 6 0 1 0 428620 0 60330
444. r Mitarbeiter sind u a Telefonnummern und E Mail Adressen Bestimmte Attribute sind obligatorisch w hrend andere Attribute optional sind In einer Objektklasse Objectclass ist festgelegt welche Attribute pro Eintrag obligatorisch und welche optional sind Die Objektklassendefinitionen sind in verschiedenen Schemadateien im Verzeichnis etc openldap schema abgelegt F r mehr Information zu LDAP Schemata siehe Abschnitt 13 5 LDIF Das LDAP Datenaustauschformat LDAP Data Interchange Format LDIF ist ein ASCII Textformat f r LDAP Eintr ge Dateien die Daten von einem LDAP Server importieren oder auf einen LDAP Server exportieren m ssen im LDIF Format vorliegen Ein LDIF Eintrag sieht zum Beispiel folgenderma en aus lt id gt dn lt distinguished name gt lt attrtype gt lt attrvalue gt lt attrtype gt lt attrvalue gt lt attrtype gt lt attrvalue gt Ein Eintrag kann so viele der lt attrtype gt lt attrvalue gt Paare haben wie erforderlich Eine leere Zeile markiert das Ende eines Eintrags O senu Alle der lt attrtype gt und lt attrvalue gt Paare m ssen in einer entsprechenden Schemadatei definiert sein um diese Informationen verwenden zu k nnen Kapitel 13 Lightweight Directory Access Protocol LDAP 199 Alle Angaben innerhalb der spitzen Klammern lt und gt sind Variablen und k nnen mit Aus nahme von lt ID gt beim Erstellen eines neuen LDAP Eintrags festgelegt werden Die lt ID
445. r Options entsprechend den restriktiven Parametern f r das root Verzeichnis lediglich FollowSymLinks angegeben Es sind keine Funktionen aktiviert au er dass der Server im root Verzeichnis symbolischen Links folgen darf In Ihrem Verzeichnis DocumentRoot ist Options standardm ig so konfiguriert dass Indexes Includes und FollowSymLinks enthalten sind Indexes erlaubt dem Server eine Verzeichnisliste f r ein Verzeichnis zu erstellen wenn kein DirectoryIndex z B index html angegeben wird Includes bedeutet dass server seitige Includes erlaubt sind FollowSymLinks erlaubt dem Server in diesem Verzeichnis symbolischen Links zu folgen Anmerkung Options Statements aus dem Konfigurationsabschnitt des Hauptservers m ssen zu jedem einzelnen VirtualHost Container bertragen werden Sehen Sie Abschnitt 10 5 69 f r zus tzliche Informatio nen zu virtualHost Containers 140 Kapitel 10 Apache 10 5 26 AllowOverride Die Anweisung AllowOverride bestimmt ob Options durch Deklarationen in einer htaccess Datei berschrieben werden k nnen Standardm ig sind sowohl das root Verzeichnis als auch Do cumentRootso konfiguriert dass ein berschreiben durch htaccess nicht m glich ist 10 5 27 Order Die Anweisung Order bestimmt die Reihenfolge in der die Anweisungen allow und deny ausge wertet werden Der Server ist so konfiguriert dass f r Ihr Allow Anweisungen vor den Deny Anwei sungen f r Ihr DocumentRoot ausgewertet w
446. r den Monitor zu verwenden sind Modeline Dient der optionalen Angabe der Grafikmodi des Monitors bei besonderen Aufl sun gen mit bestimmten Horizontal und Vertikalfrequenzen Sehen Sie die man Seiten zu xF86Config f r eine genauere Beschreibung der Modeline Eintr ge Option lt option name gt Ein optionaler Eintrag der weitere Parameter f r diesen Abschnitt angibt Ersetzen Sie lt option name gt mit einer g ltigen in den man Seiten zu XF86Config aufgelisteten Option 92 Kapitel 7 Das X Window System 7 3 1 8 Device Jeder Device Abschnitt konfiguriert eine Grafikkarte fiir das System Ein Device Abschnitt muss vorhanden sein Weitere k nnen bestehen einer f r jede auf dem Rechner installierte Grafikkarte Der beste Weg eine Grafikkarte einzurichten ist beim Konfigurieren von X w hrend des Installations prozesses oder durch Verwendung von X Konfigurationstool F r weiteres zur Verwendung von X Konfigurationstool sehen Sie da Kapitel Audio Video und Multimedia im Red Hat Linux Handbuch Erster Schritte Das folgende Beispiel zeigt einen typischen Device Abschnitt f r eine Grafikkarte Section Device Identifier Videocard0 Driver mga VendorName Videocard vendor BoardName Matrox Millennium G200 VideoRam 8192 Option dpms EndSection Die folgenden Eintr ge sind h ufig in einem Device Abschnitt verwendet Identifier Ein eindeutiger Name f r diesen Device Abschnitt Dies ist ein not
447. r die Meldung erh lt dass der Kanal empfangsbereit ist Der Client und Server bertragen automatisch die Eigenschaften jedes Kanals je nachdem welche Art von Dienst der Client abruft und wie der Benutzer mit dem Netzwerk verbunden ist Dadurch ergibt sich eine gr ere Flexibilit t bei der Handhabung der verschiedenen Arten von Remote Verbindungen ohne die Basis Infrastruktur des Protokolls ndern zu m ssen 4 Eine Multiplex Verbindung besteht aus verschiedenen Signalen die ber ein gemeinsam genutztes Medi um gesendet werden Mit SSH werden verschiedene Kan le ber eine gemeinsame verschl sselte Verbindung gesendet Kapitel 18 SSH Protokoll 259 18 4 OpenSSH Konfigurationsdateien OpenSSH verf gt ber zwei verschiedene Arten von Konfigurationsdateien eine f r Clientprogram me ssh scp sftp und eine andere f r den Server Daemon sshd Die SSH Konfigurationsinformationen f r das gesamte System sind im Verzeichnis etc ssh ge speichert moduli Hier sind Diffie Hellmann Gruppen f r den Austausch des Diffie Hellmann Schl s sels enthalten Wenn der Austausch dieser Schl ssel zu Beginn einer SSH Sitzung erfolgt wird ein gemeinsam genutzter geheimer Wert erstellt der von keiner Seite allein erstellt werden kann Dieser Wert wird zur Host Authentifizierung verwendet ssh_config Hierbei handelt es sich um eine Datei f r die Konfiguration des SSH Clients Wenn einem Benutzer eine eigene Konfigurationsd
448. rationsinformationen gespei chert Viele Skripts die beim Booten ausgefiihrt werden greifen auf die Dateien in diesem Verzeichnis zur ck Siehe hierzu Kapitel 4 f r weitere Informationen ber den Inhalt dieses Verzeichnisses und die Bedeutung die diese Dateien f r den Bootprozess haben Schlie lich soll auch das initrd Verzeichnis nicht unerw hnt bleiben Es ist zwar leer wird aber w hrend des Boot Prozesses als kritischer Mount Punkt verwendet y rain Entfernen Sie unter gar keinen Umst nden das initrd Verzeichnis Wenn Sie dieses Verzeichnis l schen kann Ihr System nicht starten und der Kernel gibt eine gravierende Fehlermeldung redhat Kapitel 4 Das Verzeichnis sysconfig Das Verzeichnis etc sysconfig ist der Ort an dem sich eine Anzahl von Konfigurationsdateien f r Red Hat Linux befindet Dieses Kapitel spricht einige der Dateien im Verzeichnis etc sysconfig deren Funktionen und deren Inhalt an Die Information in diesem Kapitel erhebt keinen Anspruch auf Vollst ndigkeit da viele der Dateien eine Reihe von Optionen haben die nur in sehr spezifischen F llen verwendet wer den 4 1 Dateien im Verzeichnis etc sysconfig Folgende Dateien befinden sich normalerweise in etc sysconfig amd apmd arpwatch authconfig cipe e clock desktop e dhcpd e firstboot gpm e harddisks e hwconf e il8n identd e init e ipchains e iptables e irda e keyboard e kudzu
449. rch wenn ein Client versucht ein Remote Dateisystem zu mounten Der NFS Server verwendet zuerst TCP Wrapper um den Zugriff einzuschr nken Die TCP Wrapper lesen die Dateien etc hosts allowund etc hosts deny um festzulegen ob einem bestimmten Host der Zugriff auf den NFS Server erlaubt oder verwehrt wird Weitere Informationen zum Konfigurieren der Zugriffssteuerung mit TCP Wrapper finden Sie unter Kapitel 15 Erh lt der Client die Berechtigung die TCP Wrapper zu passieren verweist der NFS Server auf die Konfigurationsdatei etc exports um festzulegen ob der Client ber ausreichende Privilegien zum Mounten der exportierten Dateisysteme verf gt Ist der Zugriff gew hrt werden alle Datei und Ver zeichnisvorg nge mit Hilfe von RPC zum Server gesendet y Die NFS Mount Privilegien werden speziell f r einen Client und nicht f r einen Benutzer gew hrt Auf exportierte Dateisysteme kann von allen Benutzern auf dem Remote Rechner zugegriffen werden Sie m ssen beim Konfigurieren der Datei etc exports besonders vorsichtig sein wenn Sie die Lese Schreibberechtigung rw f r das exportierte Dateisystem setzen 9 1 1 NFS und portmap NFS ben tigt Remote Procedure Calls RPC um zu funktionieren portmap wird ben tigt um die RPC Anfragen den korrekten Dienste zuzuordnen portmap wird von den RPC Prozessen benach richtigt wenn sie starten Des Weiteren teilen die Anfragen die berwachte Port Nummer sowie die Nummern des RPS Pro
450. rch der Schliissel erneut generiert werden kann Bearbeiten Sie die Datei var kerberos krb5kdc kadm5 acl Diese Datei wird von kad mind zum Ermitteln der Principals mit Zugriff auf die Kerberos Datenbank sowie deren Zu griffslevel verwendet Die meisten Organisationen kommen mit einer einzigen Zeile aus admin EXAMPLE COM Die meisten Benutzer werden in der Datenbank durch einen einzelnen Principal dargestellt mit einer NULL oder leeren Instanz wie zum Beispiel joe EXAMPLE COM Mit dieser Konfi guration k nnen Benutzer mit einem zweiten Principal mit einer admin Instanz zum Beispiel Joe admin EXAMPLE COM kompletten Zugriff auf die Kerberos Datenbank des Realm er halten Sobald kadmind auf dem Server gestartet ist k nnen alle Benutzer auf die Dienste zugreifen indem sie auf einem beliebigen Client oder Server im Realm kadmin ausf hren Allerdings k nnen nur die in der Datei kadm5 acl genannten Benutzer die Datenbank ndern das eigene Passwort ausgenommen i gt Anmerkung Das kadmin Utility kommuniziert mit dem kadmind Server ber das Netzwerk wobei Kerberos f r die Authentifizierung verwendet wird Sie m ssen nat rlich den ersten Principal erstellen ehe Sie eine Verbindung mit dem Server ber das Netzwerk herstellen k nnen um ihn zu verwalten Erstellen Sie den ersten Principal mit dem Befehl kadmin local der speziell f r den Gebrauch auf demselben Host wie KDC entworfen ist und Kerberos nicht zur Authentifiz
451. rd verwendet der Server stattdessen den Wert der in der Anfor derung des Clients enthalten ist um sich selbst zu referenzieren UseCanonicalName ist standardm ig auf off gesetzt 10 5 23 DocumentRoot DocumentRoot ist das Verzeichnis das die meisten HTML Dateien enth lt die der Server auf An forderung bertr gt Der Standardeintrag f r Document Root ist sowohl f r den unverschl sselten als auch f r den Secure Web Server var www html Zum Beispiel k nnte der Server eine Anforderung f r folgendes Dokument empfangen http example com foo html Der Server sucht die folgende Datei im Standardverzeichnis var www html foo html Wenn Sie den Eintrag in DocumentRoot ndern m chten dass dieser nicht vom sicheren und vom unverschl sselten Web Server gemeinsam benutzt wird finden Sie in Abschnitt 10 8 entsprechende Informationen Kapitel 10 Apache 139 10 5 24 Directory Die Tags lt Directory path to directory gt und lt Directory gt werden verwendet um eine Gruppe von Konfigurationsanweisungen zu umschlie en die sich nur auf dieses Verzeichnis und alle seine Unterverzeichnisse beziehen sollen Alle Anweisungen die auf ein Verzeichnis anwendbar sind k nnen innerhalb der lt Directory gt Tags verwendet werden In der Standardeinstellung werden f r das root Verzeichnis mit den Anweisungen Options siehe Abschnitt 10 5 25 und AllowOverride siehe Abschnitt 10 5 26 sehr restriktive Parameter vor gegeben Bei
452. rd eine Swap Datei benutzt 5 2 29 proc uptime Diese Datei enth lt Informationen dar ber wie lange das System seit dem letzten Neustart l uft Die Ausgabe von proc uptime ist relativ gering 350735 47 234388 90 60 Kapitel 5 Das proc Dateisystem Die erste Zahl zeigt die Sekundenzahl an die das System bereits l uft Die zweite Zahl zeigt die Sekunden an wielange die Maschine idle im Leerlauf war 5 2 30 proc version Diese Datei zeigt die Version des Linux Kernels und des gcc an und au erdem die Version von Red Hat Linux die auf dem System installiert ist Linux version 2 4 20 0 40 user foo redhat com gcc version 3 2 1 20021125 Red Hat Linux 8 0 3 2 1 1 1 Tue Dec 3 20 50 18 EST 2002 Diese Information wird f r eine Vielzahl von Zwecken benutzt unter anderem um Versionsdaten am Login Prompt auszugeben 5 3 Verzeichnisse in proc Allgemeine Informationsgruppen bez glich des Kernels werden in Verzeichnisse und Unterverzeich nisse in proc sortiert 5 3 1 Prozess Verzeichnisse Jedes proc Verzeichnis enth lt einige Verzeichnisse mit numerischen Namen Eine Liste mit solchen f ngt hnlich dieser Liste an dr xr xr x 3 root root 0 Feb 13 01 28 1 dr xr xr x 3 root root 0 Feb 13 01 28 1010 dr xr xr x 3 xfs xfs 0 Feb 13 01 28 1087 dr xr xr x 3 daemon daemon 0 Feb 13 01 28 1123 dr xr xr x 3 root root 0 Feb 13 01 28 11307 dr xr xr x 3 apache apache 0 Feb 13 01 28 13660 dr xr xr x 3 rpc rpc 0 Feb 13 01 28
453. re 273 Nachdem der Editor geschlossen wurde geben Sie Ihr lokales Passwort ein Daraufhin wird die Da tenbank neu erstellt und unterzeichnet Nachdem eine neue Tripwire Datenbank geschrieben wurde erscheinen die neu autorisierten Integri t tsdifferenzen nicht mehr als Warnmeldungen 19 8 Aktualisieren der Tripwire Policy Datei Wenn Sie die Dateien die Tripwire in der Datenbank aufzeichnet ndern m chten oder die E Mail Konfiguration oder die Kriterien nach denen die Differenzen angezeigt werden dann m ssen Sie die Tripwire Policy Datei bearbeiten F hren Sie zun chst alle notwendigen nderungen am Beispiel der Policy Datei etc tripwire twpol txt aus Haben Sie diese Datei gel scht was der Fall sein sollte wann immer Sie mit der Konfiguration von Tripwire fertig sind k nnen Sie sie durch Eingabe des folgenden Befehls neu generieren twadmin print polfile gt etc tripwire twpol txt Eine g ngige nderung an dieser Policy Datei ist das Auskommentieren s mtlicher Dateien die nicht in Ihrem System existieren um zu vermeiden dass der Fehler Datei nicht gefunden in den Trip wire Berichten angezeigt wird Wenn in Ihrem System beispielsweise die Datei etc smb conf nicht existiert dann k nnen Sie Tripwire anweisen durch Auskommentieren der entsprechenden Zei le in twpol txt mit dem Zeichen wie in folgendem Beispiel angegeben nicht nach dieser Datei zu suchen etc smb conf gt SEC_CONFIG Ansc
454. re in der Konfigurationsdatei von XFree86 Server angegeben werden m ssen Die XFree86 Server und damit zusammenh ngende Konfigurationsdateien sind im Verzeichnis etc X11 abgelegt Die Konfigurationsdatei f r XFree86 Server ist etc X11 XF86Config Wenn Red Hat Linux installiert ist werden die Konfigurationsdateien f r XFree86 mithilfe der w hrend der Installation gesammelten Informationen erstellt 7 3 1 XF86Config Auch wenn Sie etc X11 XF86Config kaum manuell bearbeiten m ssen ist es sinnvoll deren einzelnen Bereiche und optionalen Parameter zu kennen Dies ist vor allem w hrend der Fehlersuche vorteilhaft 7 3 1 1 Die Struktur Die Datei etc X11 XF86Config besteht aus zahlreichen Abschnitten welche einen jeweils spezi fischen Teil der System Hardware ansprechen Jeder Abschnitt beginnt mit einer Section lt Sektionsname gt Zeile und endet mit einer EndSection Zeile Innerhalb jedes einzelnen Abschnitts befinden sich verschiedene Zeilen mit einem Optionsnamen und mindestens einem Optionswert der auch in Anf hrungszeichen angegeben sein kann 88 Kapitel 7 Das X Window System Mit einem Hash Symbol beginnende Zeilen werden vom XFree86 Server nicht gelesen und stellen Kommentare fiir den Benutzer dar Einige der Optionen in etc X11 XF86Config akzeptieren boolesche Werte was die gegebene Funktion entweder ein oder aus schaltet Verwendbare boolesche Werte sind 1 on true oder yes Schaltet die Option
455. rer Satz an elektronischen Berechtigungsnachweisen die die Identit t eines Client f r einen bestimmten Dienst verifizieren Ticket Granting Service TGS Ein Server der Benutzern der Reihe nach Tickets f r den Zugriff auf den gew nschten Service ausgibt TGS wird blicherweise auf demselben Host wie KDC ausgef hrt Ticket Granting Ticket TGT Ein spezielles Ticket das es dem Client erm glicht zus tzliche Tickets zu erhalten ohne diese beim KDC anfordern zu m ssen Unencrypted Password Ein im Klartext lesbares Passwort 17 3 Funktionsweise von Kerberos Kerberos unterscheidet sich von anderen Authentifizierungsmethoden Die Authentifizierung erfolgt nicht von jedem Benutzer zu jedem Netzwerk Service anstelle verwendet Kerberos die symmetrische Verschl sselung und einen vertrauensw rdigen Dritten das so genannte Key Distribution Center oder KDC um Benutzer auf einem Netzwerk f r mehrere Dienste zu authentifizieren Nach der Authentifizierung speichert Kerberos ein f r diese Sitzung spezifisches Ticket auf dem Rechner des 250 Kapitel 17 Kerberos Benutzers Kerberisierte Dienste suchen dieses Ticket bevor sie den Benutzer zur Authentifizierung mittels eines Passwortes auffordern Wenn sich ein Benutzer in einem kerberisierten Netzwerk an seiner Workstation anmeldet wird sein Principal fiir die Anforderung eines Ticket Granting Ticket TGT an den KDC gesendet Diese An forderung kann entweder vom Anmeldeprogramm
456. riffsregeln benutzt werden um Gruppen von Client Hosts genauer anzugeben Folgend ist eine Liste der am haufigsten akzeptierten Patterns fiir einen Eintrag in der Client Liste Ein mit einem Punkt beginnender Hostname Ein Punkt am Anfang eines Hostnamens be wirkt dass fiir alle Host Rechner die in diesem Hostnamen enden die Regel angewandt wird Das folgende Beispiel wird auf jeden Host in der example com Domain angewendet ALL example com Eine mit einem Punkt endende IP Adresse Ein Punkt am Ende einer IP Adresse bewirkt dass auf alle Hosts deren IP Adresse dementsprechend beginnt die Regel angewendet wird Das folgende Beispiel trifft auf alle Hosts im 192 168 x x Netzwerk zu ALL 192 168 IP Adresse Netmask Paar Netmask Ausdr cke k nnen auch als ein Pattern verwendet werden um den Zugriff zu einer bestimmten Gruppe von IP Adressen zu regeln Das folgende Beispiel trifft auf alle Hosts mit einer Adresse zwischen 192 168 0 0 und 192 168 1 255 zu ALL 192 168 0 0 255 255 254 0 Ein Stern Sterne k nnen f r komplette Gruppen von Hostnamen oder IP Adressen verwendet werden solange diese nicht in einer Client Liste verwendet werden welche bereits andere Patterns verwendet Das folgende Beispiel trifft auf alle Hosts in der example com Domain zu ALL example com Der Slash oder Schr gstrich Wenn die Client Liste mit einem Schr gstrich beginnt wird diese als Dateiname be
457. ripwire Datenbank Sie k nnen auch twprint verwenden um die gesamte Datenbank oder Informationen ber bestimmte Dateien der Tripwire Datenbank anzuzeigen Dieser Befehl ist besonders n tzlich wenn Sie kontrol lieren m chten wie viele Informationen Tripwire ber Ihr System speichert Geben Sie den folgenden Befehl ein um die gesamte Tripwire Datenbank anzuzeigen usr sbin twprint m d print dbfile less Dieser Befehl ruft eine gro e Menge Informationen ab wobei die beiden ersten Zeilen etwa wie folgt aussehen Tripwire R 2 3 0 Database Database generated by root Database generated on Tue Jan 9 13 56 42 2001 Database last updated on Tue Jan 9 16 19 34 2001 Host name some host com Host IP address 10 0 0 1 Host ID None Policy file used etc tripwire tw pol Configuration file used etc tripwire tw cfg Database file used var lib tripwire some host com twd Command line used usr sbin tripwire init Section Unix File System Mode UID Size Modify Time drwxr xr x root 0 XXX XXXXXXXXXXXXXXXXX bin drwxr xr x root 0 4096 Mon Jan 8 08 20 45 2001 bin arch rwxr xr x root 0 2844 Tue Dec 12 05 51 35 2000 bin ash rwxr xr x root 0 64860 Thu Dec 7 22 35 05 2000 bin ash static rwxr xr x root 0 405576 Thu Dec 7 22 35 05 2000 Um die Informationen ber eine bestimmte Datei anzuzeigen die Tripwire berpr ft beispielsweise etc hosts geben Sie dagegen den folgenden Befehl ein u
458. rmat lt number gt lt Zeit gt angegeben wird Mit limit 5 hour wird z B nur f nf Mal st ndlich nach einer bereinstimmung mit einer Regel gesucht Wenn keine Anzahl und Zeitarbeiter angegeben sind wird der Standardwert 3 hour angenom men limit burst Setzt eine Grenze f r die Anzahl von Paketen deren bereinstimmung mit einer Regel gleichzeitig gepr ft 1imit Option verwendet werden Man kann au erdem einen maximalen Grenzwert setzen Wenn keine Zahl festgelegt wird k nnen anfangs nur f nf Pakete in bereinstimmung mit der Regel berpr ft werden state Modul Dieses Modul welches die state bereinstimmungsoptionen definiert kann ein Paket auf die nachfolgenden bestimmten Verbindungszust nde berpr fen ESTABLISHED Das bereinstimmende Paket wird anderen Paketen in einer bestimmten Verbindung zugeordnet Kapitel 16 iptables 243 INVALID Das bereinstimmende Paket kann nicht mit einer bekannten Verbindung verkn pft werden NEW Das bereinstimmende Paket stellt entweder eine neue Verbindung her oder ist Teil einer Zwei Weg Verbindung die vorher nicht gesehen wurde RELATED Ein bereinstimmendes Paket stellt eine neue Verbindung her die auf irgendeine Weise mit einer bestehenden Verbindung zusammenh ngt Die Verbindungsstatus k nnen untereinander miteinander verbunden werden indem sie durch Kommata voneinander getrennt werden wie z B in m state state INVAL
459. rn k nnen 11 3 1 2 Die standardm ige Installation von Sendmail Die ausf hrbare Sendmail Datei ist usr sbin sendmail Die lange und detaillierte Konfigurationsdatei von Sendmail ist etc mail sendmail cf Sie soll ten die sendmail cf Datei nicht direkt bearbeiten Um nderungen an der Konfiguration von Send mail vorzunehmen bearbeiten Sie stattdessen die etc mail sendmail mc Datei sichern Sie das Original etc mail sendmail cf und benutzen Sie dann den m4 Makroprozessor um eine neue etc sendmail cf zu erstellen Weiter Informationen zur Konfiguration von Sendmail finden Sie im Abschnitt 11 3 1 3 Im etc mail Verzeichnis sind verschiedene Sendmail Konfigurationsdateien installiert unter an derem access Legt fest welche Systeme Sendmail f r die Weitergabe von E Mails verwenden kann domaintable Erlaubt Ihnen das Mapping von Domain Names local host names Die Datei die alle Alias Namen f r den Host enth lt mailertable Bestimmt die Anweisungen die das Routing f r bestimmte Domain aufheben e virtusertable Erlaubt Ihnen die Domain spezifische Vergabe von Alias Namen wodurch mehrere virtuelle Domains auf einem Rechner gehostet werden k nnen Einige der Konfigurationsdateien in etc mail wie z B access domaintable mailertable und virtusertable m ssen Ihre Informationen eigentlich in Datenbanken speichern bevor Send mail die nderungen der Konfiguration verwenden kann Um alle an den
460. roc interrupts 50 proc sys Verzeichnis proc sys kernel Verzeichnis 70 Prozesse Verzeichnisse 60 sys Verzeichnis net Verzeichnis 72 Unterverzeichnisse in 60 zus tzliche Ressourcen 76 hilfreiche Websites 77 installierte Dokumentation 76 procVerzeichnis Siehe proc Dateisystem sbin Verzeichnis 27 ustr Verzeichnis 27 Jusr local Verzeichnis 30 Jusr local Verzeichnis directory 28 var Verzeichnis 28 var lib rpm Verzeichnis 30 var spool up2date Verzeichnis 30 294 A aboot 3 11 AccessFileName Apache Konfigurationsanweisung 141 Action Apache Konfigurationsanweisung 146 AddDescription Apache Konfigurationsanweisung 145 AddEncoding Apache Konfigurationsanweisung 146 AddHandler Apache Konfigurationsanweisung 146 AddIcon Apache Konfigurationsanweisung 145 AddIconByEncoding Apache Konfigurationsanweisung 144 AddIconByType Apache Konfigurationsanweisung 145 AddLanguage Apache Konfigurationsanweisung 146 AddType Apache Konfigurationsanweisung 146 Alias Apache Konfigurationsanweisung 143 Allgemeines Format der Log Dateien 143 Allow Apache Konfigurationsanweisung 140 AllowOverride Apache Konfigurationsanweisung 140 Anhalten 9 Siehe auch Herunterfahren Apache Siehe Apache HTTP Server Apache HTTP Server Anhalten 132 Ausf hren ohne Sicherheit 151 Einf hrung 121 Konfiguration 133 Log Dateien 133 neu laden 132 neu starten 132 Problembehebung 133 Server Statusberichte 147
461. rsion gt smp f r den SMP Kernel und Red Hat Linux lt Kernelversion gt f r den Einzelprozessor angezeigt Treten beim SMP Kernel Probleme auf w hlen Sie einen nicht SMP Kernel beim Neustart aus Nachdem der Bootloader der 2 Phase den zu bootenden Kernel ermittelt hat sucht er die entsprechende Bin rdatei des Kernel im boot Verzeichnis Die eigentliche Bin rdatei ist die Datei boot vmlinuz 2 4 x xx die den Einstellungen des Bootloaders entspricht Informationen zum ndern von Befehlszeilenargumenten im Kernel finden Sie unter Kapitel 2 In formationen zum ndern des Runlevels am GRUB oder LILO Prompt finden Sie unter Abschnitt 2 10 Anschlie end legt der Bootloader das entsprechende Image der initialen RAM Disk initrd im Speicher ab initrd wird vom Kernel zum Laden der nicht kompilierten Treiber verwendet die zum Starten des Systems erforderlich sind Dies ist besonders wichtig wenn Sie SCSI Festplatten haben oder das ext3 Dateisystem verwenden A Warnung Entfernen Sie auf gar keinen Fall das initrd Verzeichnis aus dem Dateisystem Wenn dieses Verzeichnis entfernt wird kann das System nicht starten und der Kernel meldet einen gravierenden Fehler Sobald der Kernel und das initrd Image in den Speicher geladen sind bergibt der Bootloader die Steuerung des Bootprozesses an den Kernel F r einen detaillierteren berblick des GRUB und des LILO Bootloaders sehen Sie Kapitel 2 1 2 2 1 Bootloader f r an
462. ruppiert und k nnen bei Bedarf einfach abgerufen werden Die g ngigste Netzwerkfunktionsdatei ist etc sysconfig network scripts network functions Diese Datei enth lt eine Vielzahl von allgemeinen IPv4 Funktionen die f r viele Schnittstellenkontrollskripts hilfreich sind Hierzu geh rt das Kontaktieren laufender Programme die Informationen zu den nderungen des Schnittstellenstatus ben tigen das Einrichten von Host Namen die Suche eines Gateway Ger tes das Pr fen ob ein bestimmtes Ger t ausgefallen ist oder nicht und das Hinzuf gen einer Standard Route Da die Funktionen die f r die IPv6 Schnittstellen ben tigt werden sich von denen f r IPv4 Schnittstellen unterscheiden gibt es eine network functions ipv6 Datei in der speziell diese Informationen enthalten sind Der IPv6 Support muss im Kernel aktiviert sein um ber dieses Protokoll kommunizieren zu k nnen In der Datei network functions ist eine Funktion enthalten die berpr ft ob Ipv6 Support vorhanden ist In dieser Datei finden Sie au erdem auch noch Funktionen die statische IPv6 Routs konfigurieren und l schen Tunnel erstellen und entfernen 110 Kapitel 8 Netzwerk Schnittstellen IPvC Adressen einer Schnittstelle hinzufiigen oder sie von dort entfernen und Dateien zum Testen ob auf der Schnittstelle eine IPv6 Adresse existiert 8 5 Zusatzliche Ressourcen Die folgenden Resssourcen enthalten mehr Informationen zu Netzwerk Skripten und k nnen an den Folg
463. rver geladen wurde Wenn ein Ausrufezeichen vor dem Modul namen steht werden die Anweisungen nur verarbeitet wenn das Modul im ersten lt I fModule gt Tag nicht geladen ist F r weitere Informationen zu Apache HTTP Server Modulen sehen Sie Abschnitt 10 7 142 Kapitel 10 Apache 10 5 37 HostnameLookups HostnameLookups kann auf on off oder double eingestellt werden Wenn Sie HostnameLookups erlauben durch Einstellung auf on wird vom Server die IP Adresse fiir jede Verbindung die ein Dokument von Ihrem Web Server anfordert automatisch aufgel st Die Aufl sung der IP Adresse bedeutet dass Ihr Server mindestens eine Verbindung zum DNS herstellt um den zu einer IP Adresse geh renden Host Namen zu bestimmen Wenn Sie HostnameLookups auf double einstellen stellt Ihr Server einen doppelt umgekehrten DNS aus was diesen zus tzlich belastet Um Server Ressourcen zu sparen sollten Sie die Einstellung f r HostnameLookups auf off belassen werden Wenn Host Namen in den Protokolldateien des Servers notwendig sind verwenden Sie eines der vie len Analyse Tools f r Protokolldateien mit denen die DNS Lookups wirkungsvoller und stapelweise erfolgen wenn Sie Ihre Protokolldatein rotieren 10 5 38 ErrorLog ErrorLog bestimmt die Datei in der Server Fehler protokolliert werden Diese Anweisung ist stan dardm ig auf var log httpd error_log gesetzt 10 5 39 LogLevel LogLevel legt fest wie ausf hrlich die Fehlermeldungen i
464. rwalten eines NFS Servers kann eine Herausforderung sein Es gibt viele Optionen einschlie lich solcher die nicht in diesem Kapitel beschrieben wurden um NFS Dateisysteme zu exportieren oder zu mounten Weitere Informationen dar ber finden Sie in den angegebenen Quellen 9 5 1 Installierte Dokumentation usr share doc nfs utils lt Versionsnummer gt lt version number gt steht hierbei f r die Versionsnummer des NFS Pakets Beschreibt wie NFS in Linux implementiert ist gibt einen kurzen berblick ber die verschiedenen NFS Konfigurationen einschlie lich deren Auswirkungen auf die bertragungen von Dateien man mount Enth lt einen umfassenden berblick ber die Mount Optionen f r NFS Server und Client Konfigurationen 120 Kapitel 9 Network File System NFS man fstab Bietet Details ber das Format der Datei etc fstab die beim Booten des Sys tems Dateisysteme mountet man nfs Liefert Details ber den Export von NFS spezifischen Dateisystemen und Mount Optionen man exports Zeigt allgemeine Optionen die w hrend des Exportierens von NFS Dateisystemenin der Datei etc exports verwendet werden 9 5 2 Zus tzliche Literatur Managing NFS and NIS von Hal Stern Mike Eisler und Ricardo Labiaga O Reilly amp Associates Ein hervorragendes Referenzhandbuch f r die vielen verschiedenen NFS Exporte und die zur Verf gung stehenden Mount Optionen NFS Illustrated von Brent Cal
465. rwendet werden BOOTUP lt Wert gt wobei lt Wert gt einer der folgenden Werte ist 36 Kapitel 4 Das Verzeichnis sysconfig BOOTUP color stellt die standardm ige Bildschirmdarstellung beim Systemstart dar wobei der Erfolg oder Misserfolg von Ger ten und Diensten beim Booten in verschiedenen Farben angezeigt wird BOOTUP verbose erzeugt ein Display im herk mmlichen Stil Dieses Display liefert mehr In formationen als blo e Mitteilungen ber Erfolg oder Misserfolg Alle anderen Werte erzeugen ein neues Display aber ohne ANSI Formatierung RES_COL lt Wert gt wobei lt Wert gt die Spaltennummer des Bildschirms ist in der Status Kennungen beginnen Standardeinstellung ist 60 MOVE_TO_COL lt Wert gt wobei lt Wert gt den Cursor zu dem Wert in der Zeile RES_COL f hrt was ber den Befehl echo en geschieht SETCOLOR_SUCCESS lt Wert gt wobei lt Wert gt die Farbe f r die Anzeige von erfolgreichen Vorg ngen ist Dies geschieht ber den Befehl echo en wobei die Farbe auf gr n gesetzt wird SETCOLOR_FAILURE lt Wert gt wobei lt Wert gt die Farbe f r die Anzeige von nicht erfolgreichen Vorg ngen bestimmt Dies geschieht ber den Befehl echo en wobei die Farbe rot eingestellt wird SETCOLOR_WARNING lt Wert gt wobei lt Wert gt die Farbe f r die Anzeige von Warnungen bes timmt Dies geschieht ber den Befehl echo en wobei die Farbe gelb eingestellt wird SETCOLOR_NOR
466. s bezieht das von der Konfigurationsdatei gesteuert wird 8 2 1 Ethernet Schnittstellen Zu den am meisten verwendeten Schnittstellendateien geh rt auch ifcfg eth0 mit der die erste Ethernet Netzwerk Schnittstellen Karte im System auch N C genannt gesteuert wird In einem Sy stem mit mehreren NICs gibt es entsprechend mehrere ifcfg eth lt x gt Dateien wobei lt X gt eine eindeutige Nummer ist je nach der entsprechenden Schnittstelle Da jedes Ger t ber eine eigene Konfigurationsdatei verf gt k nnen Sie die Funktionalit t jeder einzelnen Schnittstelle steuern Nachfolgend eine Muster ifcfg eth0 f r ein System mit einer festen IP Adresse DEVICE eth0 BOOTPROTO none ONBOOT yes NETWORK 10 0 1 0 NETMASK 255 255 255 0 IPADDR 10 0 1 27 USERCTL no Die in einer Schnittstellen Konfigurationsdatei ben tigten Werte k nnen sich auf der Grundlage von anderen Werten ndern Die ifcfg eth0 Datei f r eine Schnittstelle mit DHCP sieht beispielsweise etwas anders aus weil die IP Information vom DHCP Server zur Verf gung gestellt wird DEVICE eth0 BOOTPROTO dhcp ONBOOT yes Sie werden wahrscheinlich meistens ein GUI Dienstprogramm wie z B Netzwerk Verwaltungstool redhat config network verwenden um in den verschiedenen Schnittstellen Konfigurationsdateien Anderungen vorzunehmen Anleitungen zur Verwendung dieses Tools finden Sie im Red Hat Linux Handbuch benutzerdefinierter Konfiguration Sie k nnen die Konfigurationsdatei f
467. s q oUEUE eingestellt Die q Option wird fiir Sendmail nicht eingestellt wenn etc sysconfig sendmail vorhanden ist und QUEUE leer oder nicht definiert ist 4 1 33 etc sysconfig soundcard Die Datei etc sysconfig soundcard wird von sndconfig erstellt und sollte nicht ver ndert werden Diese Datei dient einzig und allein der Bestimmung des Karteneintrags der im Menii stan dardm ig ge ffnet werden soll wenn sndconfig beim n chsten Mal ausgef hrt wird Informatio nen zur Konfiguration der Soundkarte finden Sie in der Datei etc modules conf Folgende Werte k nnen enthalten sein e CARDTYPE lt Wert gt wobei lt Wert gt z B auf SB16 f r eine Soundblaster 16 Soundkarte eingestellt ist 4 1 34 etc sysconfig spamassassin Die Datei etc sysconfig spamassassin wird verwendet um Argumente zum spamd Daemon eine daemonisierte Version von Spamassassin zur Bootzeit zu bergeben Spamassassin ist ein Email Spam Filter F r eine Liste der verf gbaren Optionen sehen Sie die man Seiten von spamd Standardm ig wird spamd f r den Daemon Mode konfiguriert zum Erzeugen von Benuzter Pr ferenzen und zum automatischen Erzeugen von Referenzlisten Weitere Informationen zu Spamassassin finden Sie unter Abschnitt 11 4 2 6 4 1 35 etc sysconfig squid Die Datei etc sysconfig squid wird verwendet um beim Booten Argumente an den squid Daemon zu bertragen Der squid Daemon ist ein Proxy Caching Server f r Web Client Applika
468. s des entspre chenden Servers Setzen Sie den ServerName auf einen g ltigen DNS Namen welcher dem Rechner zugewiesen ist und stellen Sie die anderen Anweisungen nach Ihren Anforderungen ein Der lt VirtualHost gt Container ist im h chsten Grade Ihren jeweiligen Anforderungen anpassbar und akzeptiert nahezu jede Anweisung verf gbar in der Haupt Server Konfiguration Sr Wenn Sie einen virtuellen Host einrichten und dieser an einem Port auf Anforderungen warten soll der nicht der Standardport ist m ssen Sie f r diesen Port einen virtuellen Host einrichten und eine entsprechende Listen Anweisung in der Datei etc httpd conf http conf einf gen Um einen neu erstellten virtuellen Host zu aktivieren laden oder starten Sie den Apache HTTP Server neu Informationen dazu erhalten Sie unter Abschnitt 10 4 Vollst ndige Informationen zum Erstellen und Konfigurieren von namensbasierten und IP Adressen basierten virtuellen Hosts finden Sie im Web unter http httpd apache org docs 2 0 vhosts 10 8 2 Der virtuelle Host des Secure Web Servers Standardm ig ist Apache HTTP Server sowohl als normaler Server als auch als Secure Server kon figuriert Beide Server verwenden dieselbe IP Adresse und denselben Host Namen warten jedoch an verschiedenen Ports auf Anforderungen 80 und 443 Mit dieser Konfiguration kann sowohl unver schl sselte als auch verschl sselte Kommunikation gleichzeitig ablaufen Wie Ihnen wahrscheinlich bekannt ist
469. s userl here In diesem Beispiel sind allgemeine Optionen eingestellt Der Benutzer verschickt E Mails als letzten Ausweg postmaster Option und alle E Mail Fehler werden statt zum Absender zum Postmaster geschickt bouncEmail Option Die set Aktion teilt Fetchmail mit dass diese Zeile eine allgemei ne Option enth lt Weiterhin sind zwei E Mail Server festgelegt Einer verwendet zum berpr fen POP3 der andere sucht ein funktionierendes Protokoll Zwei Benutzer werden mit der zweiten Ser veroption berpr ft es werden jedoch alle gefundenen E Mails f r alle Benutzer an die Mail Spool des ersten Benutzers geschickt Daraus ergibt sich die M glichkeit mehrere Mailboxen die in ei ner einzigen E Mail Client Inbox erscheinen auf mehreren Servern zu kontrollieren Jede spezifische Benutzerinformation beginnt mit der user Aktion f Anmerkung Benutzer m ssen ihr Passwort nicht in der Datei fetchmailrc angeben Ein Auslassen des Ab schnitts with password lt password gt hat zur Folge das Fetchmail beim Starten nach dem Pass wort fragt Fetchmail enth lt viele verschiedene allgemeine Server und lokale Optionen Viele dieser Optionen werden selten oder in ganz bestimmten Situationen verwendet Die fetchmail man Seite erkl rt jede dieser Optionen im Detail Die h ufigsten sind hier aufgef hrt 11 3 2 2 Allgemeine Optionen Jede allgemeine Option sollte nach einer set Aktion in einer einzelnen Zeile platziert werden daem
470. sammen mit der Partitionstabelle Nach dem Laden pr ft das BIOS das jeweilige Programm auf dem MBR 1 2 2 Der Bootloader In diesem Abschnitt wird der Bootprozess f r die x86 Plattform betrachtet Je nach Systemarchitektur kann der Bootprozess leicht variieren Unter Abschnitt 1 2 2 1 finden Sie einen kurzen berblick ber die Prozesse f r Systeme die keine x86 sind Unter Red Hat Linux stehen zwei Bootloader zur Verf gung GRUB oder LILO GRUB ist der Default Bootloader LILO ist allerdings verf gbar f r alle die diesen entweder ben tigen oder vorziehen F r weitere Informationen zum Konfigurieren von GRUB oder LILO siehe Kapitel 2 Die Linux Bootloader f r x86 Plattformen werden in mindestens zwei Phasen unterteilt Die erste Phase ist ein kleiner bin rer Rechnercode auf dem MBR Seine einzige Aufgabe besteht im Suchen des Bootloaders der zweiten Phase und dem Laden des ersten Teils in den Arbeitsspeicher GRUB ist der neuere Bootloader und hat den Vorteil dass er ext2 und ext3 Partitionen lesen kann und seine Konfigurationsdatei boot grub grub conf zur Bootzeit laden kann Sehen Sie Abschnitt 2 7 f r Informationen zum Bearbeiten dieser Datei Unter LILO verwendet der Bootloader der 2 Phase die Informationen auf dem MBR um zu ermitteln welche Bootoptionen dem Benutzer zur Verf gung stehen Dies bedeutet dass Sie bei jeder Konfi gurations nderung oder manuellen Kernelaktualisierung den Befehl sbin lilo v v au
471. samtregel damit die Regel g ltig ist 16 3 1 Tabellen Eine leistungsstarke Eigenschaft von iptables ist die M glichkeit der Verwendung mehrerer Ta bellen mit denen entschieden wird wie mit einem speziellen Paket verfahren werden soll Dank der erweiterbaren Struktur von iptables k nnen bestimmte Tabellen erstellt und im Verzeichnis etc modules lt Kernel Version gt kernel net ipv4 netfilter abgelegt werden um bestimmte Ziele zu erreichen lt Kernel Version gt _ steht hierbei f r die Version des Kernel Die Standardtabelle filter enth lt die standardm ig integrierten INPUT OUTPUT und FORWARD Chains Dies ist vergleichbar mit den standardm igen Chains die mit ipchains verwendet werden iptables enth lt jedoch standardm ig auch zwei zus tzliche Tabellen die spezifische Vorg nge zum Filtern von Paketen ausf hren Mit der nat Tabelle k nnen die in Paketen 238 Kapitel 16 iptables aufgezeichneten Ursprungs und Zieladressen ver ndert werden und mit der mangle Tabelle k nnen Pakete in sehr spezieller Weise ver ndert werden Jede Tabelle enth lt standardm ige Chains die gem dem Tabellenzweck n tige Aufgaben ausf h ren Sie k nnen aber in jeder Tabelle auf einfache Art und Weise auch neue Chains erstellen 16 3 2 Struktur Viele iptables Befehle haben folgende Struktur iptables t lt table name gt lt command gt lt chain name gt lt parameter 1 gt lt option 1 gt lt parameter n gt lt
472. schlagenen B cher sind sicher eine wertvolle Informationsquelle f r die allgemeinen Grundkenntnisse ber das Red Hat Linux System Detailliertere Informationen ber die in diesem Handbuch beprochenen Themen finden Sie in den entsprechend spezifischen B chern deren Titel in einigen Kapiteln dieses Handbuch f r Sie aufgelistet wurden meist im Weitere Informationsquellen Bereich 2 2 F r erfahrene Linux Benutzer Wenn Sie bereits andere Linux Produkte verwendet haben sind Ihnen vermutlich die am g ngigsten Befehle l ngst gel ufig M glicherweise haben Sie ein eigenes Linux System installiert und sogar Software aus dem Internet heruntergeladen und installiert Nach der Installation von Linux k nnen Konfigurationsfragen allerdings auch f r Sie sehr verwirrend sein Das Red Hat Linux Handbuch benutzerdefinierter Konfiguration wird Ihnen die verschiedenen Kon figurationsoptionen Ihres Red Hat Linux Systems erl utern mit denen Sie bestimmte Ziele erreichen k nnen Nutzen Sie dieses Handbuch dazu sich mit den verschiedenen Konfigurationsoptionen und ihrer Umsetzung vertraut zu machen Einf hrung v Wenn Sie Software installieren die nicht im Red Hat Linux Handbuch benutzerdefinierter Konfigu ration enthalten ist hilft es oft sich anzusehen wie andere Benutzer unter hnlichen Umst nden vorgegangen sind Die HOWTO Dokumente vom Linux Documentation Project stehen Ihnen unter http www redhat com mirrors LDP HOWTO HOWTO INDEX how
473. se miteinander verkn pft und kombiniert werden k nnen Common Gateway Interface CGI Skripte sind zum Beispiel in der Lage Server parsed HTML Dokumente zu erzeugen die dann 128 Kapitel 10 Apache von mod_include verarbeitet werden k nnen Dies er ffnet eine enorme Anzahl von M glichkeiten in Bezug darauf wie Module zum Erreichen eines bestimmten Ziels kombiniert werden k nnen Das funktioniert so dass jede Anfrage direkt von einem handler Modul bedient wird gefolgt von null oder mehr filter Modulen In Apache HTTP Server 1 3 zum Beispiel w rde ein PHP Skript ganz von einem PHP Modul ge handhabt werden In Apache HTTP Server 2 0 wird die Anfrage zun chst vom Kernmodul das statische Dateien bedient gehandhabt und wird dann vom PHP Modul gefiltert Die genaue Verwendung und alle anderen diesbez glichen neuen Eigenschaften von Apache HTTP Server 2 0 w rden den Rahmen dieses Dokumentes sprengen die nderung hat jedoch Auswirkun gen wenn Sie PATH_INFO verwendet haben Darin enthalten sind Pfad Informationen die dem ech ten Dateinamen angeh ngt werden in einem Dokument das von einem jetzt als Filter implemen tierten Modul gehandhabt wird Das Kernmodul das die Anfrage anfangs gehandhabt hat versteht PATH_INFO standardm ig nicht und wird 404 Not Found Fehler ausgeben bei Anfragen die der artige Informationen enthalten Sie k nnen die Anweisung AcceptPathInfo verwenden um das Kernmodul dazu zu zwingen Anfragen m
474. sf hren m ssen um die entsprechenden Informationen auf den MBR zu schreiben Detaillierte Informationen hierzu finden Sie unter Abschnitt 2 8 Sr Wenn Sie ein Upgrade des Kernel mit Hilfe des Red Hat Update Agent durchf hren wird die Kon figurationsdatei des Bootloader automatisch aktualisiert Weitere Informationen zu RHN finden Sie unter folgendem URL https rhn redhat com Wenn der Bootloader der 2 Phase in den Arbeitsspeicher geladen ist wird dem Benutzer der grafische Anfangsbildschirm von Red Hat Linux mit den verschiedenen Betriebssystemen oder Kernel ange zeigt die gestartet werden sollen Auf diesem Bildschirm kann ein Benutzer die Pfeiltasten benutzen um ein Betriebssystem auszuw hlen und dann die Enter Taste dr cken um dieses zu booten Sollte keine Taste gedr ckt werden wird der Bootloader nach einiger Zeit das standardm ig ausgew hlte Betriebsystem booten 1 GRUB liest ext3 Dateisysteme als ext2 unabh ngig von der Journal Datei Sehen Sie das Kapitel Das ext3 Dateisystem im Red Hat Linux Handbuch benutzerdefinierter Konfiguration f r mehr Informationen zum ext3 Dateisystem Kapitel 1 Boot Init und Shutdown 3 Anmerkung Wenn SMP Kernel Support Symmetric Multi Processor installiert ist stehen Ihnen beim Erststart des Systems mehrere Optionen zur Verf gung Unter LILO wird linux f r den SMP Kernel und linux up f r den Einzelprozessor angezeigt Unter GRUB wird Red Hat Linux lt Kernelve
475. sfer Agent MTA bertr gt E Mails zwischen SMTP verwendenden Hosts Eine E Mail kann unter Umst nden ber mehrere MTA s auf dem Weg zu ihrem Bestimmungsort laufen Obwohl die bermittlung von Mitteilungen zwischen Rechnern recht unkompliziert erscheint ist der gesamte Prozess in dessen Verlauf ein bestimmter MTA eine Mitteilung akzeptieren kann oder soll um diese dann an einen Remote Rechner zu bermitteln ziemlich kompliziert Aufgrund der Spams Problematik ist die Verwendung eines bestimmten MTA s aufgrund dessen Konfiguration ode aufgrund des Netzwerkzgriffs des Systems auf dem er ausgef hrt wird normalerweise beschr nkt Viele der moderneren E Mail Client Programme k nnen zum Versenden von E Mails als MTA agie ren Dieser Vorgang sollte aber nicht mit den Prozessen eines reinen MTA s verwechselt werden Der einzige Grund f r E Mail Clients die F higkeit E Mails zu versenden wie ein MTA zu besitzen ist der dass der Host der Applikation keinen eigenen MTA hat Dies trifft vor allem f r E Mail Clients auf nicht Unix basierten Betriebssystemen zu Diese Client Programme senden jedoch lediglich aus gehende E Mails an einen MTA f r den sie authentifiziert sind und stellen diese nicht direkt an den E Mail Server des Empf ngers zu Da Red Hat Linux zwei MTAs Sendmail und Postfix enth lt wird es von E Mail Client Programmen oft nicht erfordert als MTA zu agieren Red Hat Linux enth lt auch einen speziellen MTA Fetchmail
476. sftpd example com 222 Kapitel 15 TCP Wrappers und xinetd Diese Regel leitet TCP Wrappers dazu an fiir Verbindungen zum FTP Daemon vsftpd von jedem Host in der example com Domain Ausschau zu halten Sollte diese Regel in hosts allow auf treten wird die Verbindung angenommen Sollte diese Regel in hosts deny vorkommen wird die Verbindung abgelehnt Folgendes Beispiel einer Hosts Zugriffsregel ist komplizierter und verwendet zwei Option Felder sshd example com spawn bin echo bin date access denied gt gt var log sshd log deny Beachten Sie dass in diesem Beispiel jedem der Option Felder ein Backslash voransteht Die Verwendung eines Backslash beugt einem Ausfallen auf Grund einer zu langen Zeile vor A wamung Sollte die letzte Zeile einer Hosts Zugriffsdatei keine Leerzeile sein eine Leerzeile enth lt lediglich ein Newline Zeichen und wurde durch Dr cken der Enter Taste erzeugt wird die letzte Regel in der Datei nicht richtig abgearbeitet und ein Fehler wird entweder nach var log messages oder var log secure geschrieben Dies ist auch der Fall f r Regelzeilen welche auf mehrere Zeilen aufgeteilt werden ohne den Backslash zu benutzen Das folgende Beispiel zeigt den wichtigsten Teil einer Log Meldung f r eine durch genannte Gr nde fehlerhafte Regel warning etc hosts allow line 20 missing newline or line too long Diese Beispielregel sagt dass wenn ein Verbindungsversuch zum SSH Daemon
477. sion number gt Dieses Verzeichnis enth lt viele Informa tionen ber die Verwendung und Konfiguration von LILO Besondere Aufmerksamkeit verdient das Unterverzeichnis doc mit der informativen Postscriptdatei User_Guide ps lt version number gt im Pfad zu dieser Datei entspricht der Version des installierten LILO Pakets 2 11 2 Hilfreiche Websites http www gnu org software grub Die Homepage des GNU GRUB Projekts Hier sind Infor mationen ber die Entwicklung von GRUB und ein FAQ Dokument enthalten http www uruk org orig grub Die urspr ngliche GRUB Dokumentation bevor das Projekt zur weiteren Entwicklung an die Free Software Foundation bergeben wurde http www redhat com mirrors LDP HOWTO mini Multiboot with GRUB html Behandelt ver schiedene Verwendungen fiir GRUB einschlie lich das Booten von nicht Linux Betriebssystemen Kapitel 2 Bootloader 23 http www linuxgazette com issue64 kohli html Eine Einf hrung ber die Konfiguration von GRUB auf einem System und ein berblick der Befehlszeilenoptionen von GRUB http www tldp org HOWTO min LILO html In diesem mini HOWTO werden die verschiedenen Verwendungsweisen von LILO besprochen u a das Booten von nicht Linux Betriebssystemen 24 Kapitel 2 Bootloader redhat Kapitel 3 Struktur des Dateisystems 3 1 Warum eine gemeinsame Struktur Die Struktur des Dateisystems ist die niedrigste organisatorische Stufe eines Be
478. siv Beachten Sie bitte dass IXFR nur zur Verf gung steht wenn Sie f r nderungen der Master Zonen Records dynamisch updaten Wenn Sie Zone Dateien manuell bearbeiten um nderungen durchzu f hren verwenden Sie AXFR Weitere Informationen ber das dynamische Updaten finden Sie im BIND 9 Administrator Reference Manual Unter Abschnitt 12 7 1 finden Sie mehr Informationen 12 5 2 Mehrere Ansichten Mit der view Anweisung in named conf erm glicht Ihnen BIND die Antworten eines Name Servers auf Abfragen benutzerspezifisch zu konfigurieren Dies ist vor allem dann n tzlich wenn Sie nicht m chten dass externe Clients einen bestimmten DNS Dienst ausf hren oder bestimmte Informationen sehen k nnen w hrend Sie dies auf dem lokalen Netzwerk internen Clients erm glichen Die view Anweisung verwendet die match clients Option um IP Adressen oder ganze Netzwer ke zu vergleichen und diesen spezielle Optionen und Zone Daten zu geben 12 5 3 Sicherheit BIND unterst tzt eine Reihe verschiedener Methoden um das Updaten von Zonen auf Master oder Slave Nameservern zu sch tzen DNSSEC Abk rzung f r DNS SECurity Dieses Feature ist f r Zonen die mit einem Zonen schl ssel kryptographisch signiert werden bestimmt Auf diese Weise kann sichergestellt werden dass die Informationen ber eine spezielle Zone von einem Nameserver stammen der mit einem bestimmten privaten Schl ssel signiert wurde und der Empf nger ber d
479. sprechende Men option bearbeitet und der Fehler gem der Angabe von GRUB korrigiert werden kann Schl gt die Korrektur fehl meldet GRUB den Fehler und die Men oberfl che wird neu geladen 2 6 GRUB Befehle GRUB bietet eine Reihe n tzlicher Befehle auf seiner Befehlszeilenoberfl che Nach dem Namen einiger dieser Befehle k nnen Optionen eingegeben werden Diese Optionen sind vom Befehl und anderen Optionen auf derselben Zeile durch Leerzeichen zu trennen In der folgenden Liste sind die n tzlichsten Befehle aufgef hrt boot Bootet das Betriebssystem oder den Kettenloader das der zuvor angegeben und geladen wurde chainloader lt Dateiname gt L dt die angegebene Datei als Kettenloader Um die Datei im ersten Sektor der angegebenen Partition zu erfassen verwenden Sie 1 als Name der Datei displaymem Zeigt den derzeitigen Speicherbedarf entsprechend den Informationen des BIOS an Dies ist besonders zum Ermitteln des RAM eines Systems vor dem Booten n tzlich initrd lt Dateiname gt Erm glicht die Angabe einer initialen RAM Disk die beim Booten verwendet wird Eine initrd ist erforderlich wenn der Kernel bestimmte Module zum ordnungs gem en Starten ben tigt Dies ist zum Beispiel dann der Fall wenn die root Partition mit dem Dateisystem ext3 formatiert wurde e install lt Stage 1 gt lt Installationsdiskette gt lt Stage 2 gt p lt Konfigurationsdatei gt Installiert GRUB in den System
480. sprechenden Be fehl auszuf hren Gelegentlich enth lt ein Befehl W rter die eigentlich auf eine andere Weise dargestellt werden w rden beispielsweise Dateinamen In einem solchen Fall werden sie als Teil des Befehls betrachtet und der gesamte Satz wird als Befehl dargestellt Beispiel Verwenden Sie den Befehl cat testfile um den Inhalt einer Datei mit dem Namen test file in einem aktuellen Verzeichnis anzeigen zu lassen Dateiname Datei und Verzeichnisnamen sowie die Namen von Pfaden und RPM Paketen werden auf diese Weise dargestellt was bedeutet dass eine bestimmte Datei oder ein bestimmtes Verzeichnis mit diesem Namen in Ihrem Red Hat Linux System vorhanden ist Beispiele Die Datei bashrc in Ihrem Home Verzeichnis enth lt Bash Shell Definitionen und Aliase f r Ihren Gebrauch Die Datei etc fstab enth lt Informationen ber verschiedene Systemger te und Dateisyste me Installieren Sie den webalizer RPM wenn Sie ein Analyseprogramm f r eine Webserver Protokolldatei verwenden m chten Applikation Diese Darstellungsart weist darauf hin dass es sich bei diesem Programm um eine Endbenutzer Anwendung handelt im Gegensatz zur System Software Beispiel Verwenden Sie Mozilla um im Web zu browsen vi Einf hrung Taste Die Tasten der Tastatur werden auf diese Weise dargestellt Beispiel Um die Tab Vervollst ndigung zu verwenden geben Sie einen Buchstaben ein und dr cken Sie anschlie end die Taste Tab
481. sr sbin twprint m d print dbfile etc hosts Es erscheint in etwa Folgendes Object name etc hosts Property Value Object Type Regular File Device Number 773 272 Kapitel 19 Tripwire Inode Number 216991 Mode SEW r r Num Links T UID root 0 GID root 0 In den twprint man Seiten finden Sie weitere Optionen 19 7 Aktualisieren der Tripwire Datenbank Wenn Sie eine Integrit tspr fung ausf hren und Tripwire Differenzen ermittelt m ssen Sie zun chst bestimmen ob diese Differenzen tats chlich Verletzungen der Sicherheit darstellen oder ob es sich dabei eventuell um berechtigte nderungen handelt Wenn Sie k rzlich eine Anwendung installiert oder kritische Systemdateien bearbeitet haben dann weist Tripwire korrekt auf Differenzen bei der Integrit tspr fung hin In diesem Fall sollten Sie Ihre Tripwire Datenbank aktualisieren so dass diese nderungen nicht mehr als Differenzen angezeigt werden Wurden jedoch unberechtigte nderungen an Dateien vorgenommen die ebenfalls Differenzen generieren dann m ssen Sie die urspr ngliche Datei wiederherstellen wozu Sie eine Sicherheitskopie ben tigen das Programm neu installieren oder im Ernstfall das Betriebssystem vollkommen neu installieren m ssen Um Ihre Tripwire dahingehend zu aktualisieren dass sie g ltige Policy Differenzen akzeptiert ver gleicht Tripwire zun chst eine Berichtdatei mit der Datenbank und integriert sie daraufhin mit g ltigen Differenzen aus de
482. sstellt Key Distribution Center KDC genannt besteht die Gefahr dass das gesamte Kerberos Authentifizierungssystem komprimitiert wird 248 Kapitel 17 Kerberos Bei Kerberos handelt es sich um eine Alles oder Nichts L sung Wenn Sie sich f r den Einsatz von Kerberos im Netzwerk entscheiden m ssen Sie sich die Passw rter merken die an einen Dienst bertragen werden der Kerberos nicht zur Authentifizierung verwendet Gleichzeitig besteht die Gefahr dass die Passw rter von Packet Sniffern erfasst werden D h es ergibt sich f r Ihr Netzw erk keinerlei Vorteil aus der Verwendung von Kerberos Wenn Sie Ihr Netzwerk durch Kerberos sichern m chten m ssen Sie entweder alle Anwendungen die Passw rter im Klartext versenden kerberisieren oder Sie m ssen ganz auf die Verwendung dieser Anwendungen in Ihrem Netzwerk verzichten 17 2 Kerberos Terminologie Wie jedes andere System verf gt Kerberos ber seine eigene Terminologie zur Definition verschiede ner Aspekte des Dienstes Ehe die Funktionsweise des Dienstes erl utert wird sollten Sie mit folgen den Begriffen vertraut sein ciphertext Verschl sselte Daten Client Ein Objekt im Netzwerk ein Benutzer ein Host oder eine Anwendung das von Kerberos ein Ticket erhalten kann Credential Cache oder Ticket Datei Eine Datei die die Schl ssel zum Verschl sseln der Kommunikation zwischen einem Benutzer und verschiedenen Netzwerkdiensten enth lt Kerberos 5
483. st die Verwendung des Kernel basierten Dienstprogramms automount das NFS Dateisysteme automatisch mountet und unmountet und dabei Ressourcen schont Das autofs Skript in etc rc d init d wird mithilfe der prim ren Konfigurationsdatei etc auto master zur Kontrolle von automount verwendet Da automount ber die Befehlszeile festgelegt werden kann ist es einfacher die Mount Punkte Hostnamen exportierte Kapitel 9 Network File System NFS 117 Verzeichnisse und Optionen in einer Reihe von Dateien festzulegen als all diese Angaben von Hand einzugeben Wenn autofs als Dienst ausgefiihrt wird der auf bestimmten Runlevel starten und stoppen kann k nnen die Mount Konfigurationen in den verschiedenen Dateien automatisch implementiert werden Die Konfigurationsdateien auto fs sind in einem bergeordneten untergeordneten Verh ltnis ange ordnet Die wichtigste Konfigurationsdatei etc auto master verweist auf Mount Punkte in Ih rem System die mit einem bestimmten Zuordnungstyp verlinkt sind die z B andere Konfigurations dateien Programme NIS Maps oder weniger bekannte Methoden zum Mounten sind Die Datei au to master enth lt Zeilen die auf diese Mount Punkte verweisen und wie folgt aussehen lt mount point gt lt map type gt Das lt Mount Punkt gt Element in dieser Zeile zeigt an wo das Ger t oder das exportierte Datei system in Ihrem lokalen Dateisystem gemountet werden soll lt Zuordnungstyp gt bezieht sich auf die Ar
484. st ein TCP wrapped Super Service der den Zugriff auf eine Anzahl belieb ter Netzwerkservices wie FTP IMAP und Telnet bereitstellt Er bietet au erdem servicespezifische Konfigurationsoptionen zur Zugriffskontrolle erweitertes Logging Umleitungen und Ressourcen Einsatzkontrolle Wenn sich ein Client Host mit einem von xinetd berwachten Netzwerkservice zu verbinden ver sucht erh lt der Super Service die Anfrage und pr ft die TCP Wrapper Zugriffsrechte Wird der Kapitel 15 TCP Wrappers und xinetd 227 Zugang gew hrt berpr ft xinetd dass die Verbindung auch entsprechend seinen Regeln f r die sen Service erlaubt ist und dass der Service nicht mehr als die zugewiesenen Ressourcen verbraucht bzw jegliche Regeln einh lt Daraufhin wird eine Instanz des angeforderten Services ge ffnet und die berwachung der Verbindung bergeben Sobald die Verbindung besteht h lt sich xinetd aus der Kommunikation zwischen Client Host und Server raus 15 4 xinetd Konfigurationsdateien Die Konfigurationsdateien f r xinetd sind folgende e etc xinetd conf Die globale xinetd Konfigurationsdatei e etc xinetd d Verzeichnis Das Verzeichnis das alle servicespezifischen Dateien enth lt 15 4 1 Die etc xinetd conf Datei Die Datei etc xinetd conf enth lt allgemeine Konfigurationseinstellungen die jeden Service unter Kontrolle von xinetd betreffen Bei jedem Start des xinetd Service wird diese Datei gelesen um also Konfigurat
485. startet wird wenn Mitteilungen eingegangen sind und diese Mitteilungen jeweils in die korrekte Mailbox geleitet werden H ufig wird Procmail Kapitel 11 E Mail 167 durch die procmailrc Datei im Homeverzeichnis des Benutzers aufgerufen wenn MTA eine neue E Mail erh lt Procmail ist von Anweisungen bestimmter recipes oder auch Regeln abh ngig die Mitteilungen mit dem Programm vergleichen Wenn eine Mitteilung mit den Erfordernissen bereinstimmt wird die E Mail in einer bestimmten Datei abgelegt gel scht oder anderweitig bearbeitet Wenn Procmail startet liest es die E Mail und unterteilt sie in Hauptinformationen und Kopfzeilen Informationen Danach sucht Procmail standardm ig im ganzen System nach der etc procmailrc Datei und den rc Dateien im etc procmailrcs Verzeichnis nach Umgebungsvariablen und Recipes Anschlie end sucht Procmail nach einer procmailrc Datei im Homeverzeichnis des Benutzers um Regeln zu finden die f r diesen Benutzer speziell bestimmt sind Viele Benutzer erstellen auch eigene zus tzliche rc Dateien f r Procmail die sich auf ihre procmailrc Datei beziehen Diese k nnen schnell ein bzw ausgeschaltet werden wenn beim Filtern von Mails Probleme auftreten Standardm ig gibt es keine systemweiten rc Dateien im etc Verzeichnis und auch keine Benutzer procmailrc Dateien Wenn Sie Procmail das erste Mal benutzen m ssen Sie eine procmailrc Datei mit speziellen Umgebungsvariablen und Recipes erstell
486. stellt sein 0755 ist ebenfalls ausreichend Dateien die im public_htm1 Verzeichnis der Benutzer zum Abruf angeboten werden m ssen mindestens die Berechtigung 0644 haben 10 5 31 DirectoryIndex Der DirectoryIndex ist die Standardseite die vom Server geliefert wird wenn ein Benutzer durch Y gt Angabe von am Ende eines Verzeichnisnamens einen Index eines Verzeichnisses anfordert Kapitel 10 Apache 141 Wenn ein Benutzer zum Beispiel die Seite http example this_directory anfordert wird entweder die DirectoryIndex Seite falls vorhanden oder eine vom Server erstellte Verzeichnis liste angezeigt Die Standardeinstellung fiir den DirectoryIndex ist index html und die in dex html var Type Map Der Server sucht nach diesen Dateien und gibt die Datei aus die zu erst gefunden wird Wenn keine dieser Dateien gefunden wird und Options Indexes fiir dieses Verzeichnis aktiviert ist erstellt und bertr gt der Server eine Liste im HTML Format die die Unter verzeichnisse und Dateien im Verzeichnis enth lt 10 5 32 AccessFileName AccessFileName bestimmt die Datei die vom Server zur Speicherung von Zugriffskontrollinforma tionen in jedem Verzeichnis verwendet werden soll Standardm ig ist dies htaccess Unmittelbar nach der Anweisung AccessFileName wird durch eine Reihe von Files Tags die Zu gangskontrolle zu allen Dateien geregelt die mit ht beginnen Diese Anweisungen verwehren aus Sicherheitsgr nden den Zugriff auf all
487. stemhardware und allen derzeit laufenden Prozessen Au erdem k nnen einige Dateien des Baumverzeichnisses proc von Benutzern und Anwendungen so ge ndert werden dass sich die Kernelkonfiguration ndert 5 1 Ein virtuelles Dateisystem Unter Linux werden alle Daten in Dateien gespeichert Die meisten Benutzer kennen die beiden Grundarten von Dateien Text und Bin r Das proc Verzeichnis enth lt allerdings eine andere Da teiart die Virtuelle Datei genannt wird Aus diesem Grund spricht man bei proc oft von einem Virtuellen Dateisystem Diese virtuellen Dateien haben einige interessante Besonderheiten Die meisten werden mit einer Dateigr e von 0 Bytes aufgelistet wenn man die Datei allerdings ffnet zeigt sie oft einiges an Informationen Au erdem spiegeln die meisten Zeit und Datumseinstellungen der virtuellen Dateien die aktuelle Zeit und das aktuelle Datum wieder was bedeutet dass sie sich st ndig ndern Virtuelle Dateien wie proc interrupts proc meminfo proc mounts und proc partitions bieten einen aktuellen Einblick in die Systemumgebung Andere wie proc file systems und das Verzeichnis proc sys bieten Informationen zur System Konfiguration und zu Schnittstellen Um eine bessere Strukturierung zu erreichen sind Dateien mit hnlichen Informationen in virtuelle Verzeichnisse und Unter Verzeichnisse einsortiert Zum Beispiel proc ide enth lt Informationen zu allen physischen IDE Ger ten Prozessverzeichnisse
488. ster Capable Latency 64 Prefetchable 32 bit memory at 0xe4000000 Oxe7ffffff Bus 0 device 1 function 0 PCI bridge Intel Corporation 440BX ZX 82443BX ZX AGP bridge rev 3 Master Capable Latency 64 Min Gnt 128 Bus 0 device 4 function 0 ISA bridge Intel Corporation 82371AB PIIX4 ISA rev 2 58 Kapitel 5 Das proc Dateisystem Bus 0 device 4 function 1 IDE interface Intel Corporation 82371AB PIIX4 IDE rev 1 Master Capable Latency 32 I O at 0xd800 0xd80f Bus 0 device 4 function 2 USB Controller Intel Corporation 82371AB PIIX4 USB rev 1 IRQ 5 Master Capable Latency 32 I O at 0xd400 0xd41f Bus 0 device 4 function 3 Bridge Intel Corporation 82371AB PIIX4 ACPI rev 2 IRQ 9 Bus 0 device 9 unction 0 Ethernet controller Lite On Communications Inc LNE1OOTX rev 33 IRO 5 Master Capable Latency 32 I O at 0xd000 0xd0ff Non prefetchable 32 bit memory at 0xe3000000 0Oxe30000ff Bus 0 device 12 function 0 VGA compatible controller S3 Inc ViRGE DX or GX rev 1 IRQ 11 Master Capable Latency 32 Min Gnt 4 Max Lat 255 Non prefetchable 32 bit memory at 0xdc000000 Oxdfffffff Diese Ausgabe zeigt eine Liste aller PCI Ger te an sortiert nach Bus Ger t und Funktion Au er Namen und Version eines Ger tes gibt Ihnen diese Liste auch detaillierte IRQ Informationen so dass ein Administrator Konflikten schnell beikommen kann Tipp F r eine besser lesbare Version diese
489. stimmen welche Information zum MBR geschrieben werden sollen A wamung Wenn Sie vorhaben etc lilo conf zu bearbeiten sollten Sie unbedingt eine Sicherungskopie der Datei anlegen ehe Sie die Anderungen vornehmen Stellen Sie auBerdem sicher dass Sie ber eine funktionierende Bootdiskette verf gen um bei Problemen das System starten und den MBR ndern zu k nnen Weitere Informationen zum Erstellen einer Bootdiskette finden Sie unter den man Seiten ZU mkbootdisk Die Datei etc lilo conf wird vom Befehl sbin lilo verwendet um festzulegen welches Betriebssystem oder welcher Kernel gestartet wird wie auch um den eigenen Installationsort zu er mitteln Die Datei etc lilo conf k nnte beispielsweise so aussehen boot dev hda map boot map install boot boot b prompt timeout 50 message boot message lba32 default linux image boot vmlinuz 2 4 0 0 43 6 label linux Kapitel 2 Bootloader 21 initrd boot initrd 2 4 0 0 43 6 img read only root dev hda5 other dev hdal label dos Im obigen Beispiel ist ein System dargestellt das zum Booten zweier Betriebssysteme konfiguriert ist Red Hat Linux und DOS Einige Zeilen dieser Datei werden im Folgenden etwas n her betrachtet boot dev hda Weist LILO an sich selbst auf der ersten Festplatte des ersten IDE Controllers zu installieren map boot map Sucht die Zuordnungsdatei Normalerweise sollten hier keine nderungen vorgenommen werden install bo
490. sung zu verwenden sollte die Mel dung von einem Paar doppelter Anf hrungszeichen umschlossen sein anstatt dass nur ein doppel tes Anf hrungszeichen der Meldung vorangestellt werden wie in Apache HTTP Server 1 3 verlangt Verwenden Sie folgende Struktur um eine ErrorDocument Einstellung nach Apache HTTP Server 2 0 zu migrieren ErrorDocument 404 The document was not found Beachten Sie dass in der 0 g Beispiel Anweisung ErrorDocument doppelte Anf hrungszeichen angeh ngt wurden Weitere Informationen zu diesem Thema finden Sie in folgender Dokumentation der Apache Software Foundation Website http httpd apache org docs 2 0 mod core html errordocument 10 2 3 Konfiguration des virtuellen Host Der Inhalt aller lt VirtualHost gt Sektionen sollte auf die gleiche Weise wie der Hauptserver Abschnitt migriert werden wie in Abschnitt 10 2 2 beschrieben Bicon Bitte beachten Sie dass die SSL TLS Konfiguration des virtuellen Host aus der Hauptserver Konfigurationsdatei genommen und in etc httpd conf d ssl conf verschoben wurde Weitere Informationen zu diesem Thema finden Sie im Kapitel Konfiguration von Apache HTTP Secure Server im Red Hat Linux Handbuch benutzerdefinierter Konfiguration und in der Online Dokumentation unter http httpd apache org docs 2 0 vhosts 10 2 4 Module und Apache HTTP Server 2 0 In Apache HTTP Server 2 0 wurde das Modulsystem so ge ndert dass Module auf neue und in teressante Wei
491. t einer der folgenden Werte ist yes Ein UPS Ger t wird an Ihr System angeschlossen no Ein UPS Ger t wird nicht an Ihr System angeschlossen MODEL lt Wert gt wobei lt Wert gt einer der folgenden Werte oder auf NONE gesetzt sein muss wenn an Ihrem System kein UPS Ger t angeschlossen ist apcsmart Ein APC Smart UPSTM oder ein hnliches Ger t fentonups Ein Fenton UPS Gerit e optiups Ein OPTI UPSTM Ger t bestups Ein Best Power UPS Gerit genericups Ein generisches Marken UPS Ger t ups trust425 625 Ein Trust M UPS Ger t DEVICE lt Wert gt wobei lt Wert gt festlegt an welcher Stelle das UPS Ger t angeschlossen wird z B dev ttyso OPTIONS lt Wert gt wobei lt Wert gt ein Sonderbefehl ist der an das UPS Ger t bertragen wer den muss 4 1 38 etc sysconfig vncservers Die Datei etc sysconfig keyboard konfiguriert wie der Virtual Network Computing VNC Server gestartet wird Bei VNC handelt es sich um ein System zur Remote Anzeige mit der Sie eine Bildschirmumgebung nicht nur auf dem zugeh rigen Rechner anzeigen k nnen sondern auch ber verschiedene Netzwerke von LAN bis Internet und dabei eine Vielfalt von Rechnerarchitekturen verwenden k nnen Folgende Werte k nnen enthalten sein VNCSERVERS lt Wert gt wobei lt Wert gt z B wie folgt eingestellt wird 1 frea Dies zeigt an dass ein VNC Server f r den Benutzer Fred auf
492. t wie der Mount Punkt gemountet wird blicherweise wird zum automatischen Mounten von NFS Exporten eine Datei als Zuordnungstyp f r einen bestimmten Mount Punkt verwendet Die Zu ordnungsdatei wird normalerweise wie folgt bezeichnet auto lt Mount Punkt gt wobei lt Mount Punkt gt der in auto master bezeichnete Mount Punkt ist der folgende Zeilen enth lt lt directory gt lt mount options gt lt host gt lt exported file system gt lt Verzeichnis gt bezieht sich auf das Verzeichnis im Mount Punkt wo das exportierte Dateisystem gemountet werden soll In lt Host gt lt exportiertes Dateisystem gt wird der Standardbefehl mount der Host der das Dateisystem exportiert sowie das exportierte Dateisystem eingegeben Zum Festlegen bestimmter Optionen die beim Mounten des exportierten Dateisystems verwendet werden plazieren Sie diese Optionen durch Komma voneinander getrennt in den Teil lt Mount Optionen gt F r NFS Mounts die den Befehl autofs verwenden sollten Sie die Option fstype nfs im Teil lt Mount Opt ionen gt angeben Da die autofs Konfigurationsdateien f r eine Anzahl verschiedener Mounts und viele Arten von Ge r ten und Dateisystemen verwendet werden k nnen sind sie f r die Erstellung von NFS Mount sehr hilfreich Einige Organisationen speichern zum Beispiel das Benutzerverzeichnis home mithilfe eines NFS Shares auf einem zentralen Server Anschlie end wird die Datei auto master auf jeder Workstation konfi
493. t zu verwenden Die standardm ige keytab Datei ist etc krb5 keytab wobei usr kerberos sbin kadmind der einzige bekannte Service ist der eine andere Datei verwendet er verwendet var kerberos krb5kdc kadm5 keytab kinit Der Befehl kinit erlaubt einem Principal welcher bereits angemeldet ist das anf ngliche Ticket Granting Ticket TGT zu erhalten und im Cache abzulegen F r mehr zur Verwendung des Befehls kinit sehen Sie dessen man Seite Principal Ein eindeutiger Name f r einen Benutzer oder Service der sich mit Hilfe von Kerberos au thentifizieren kann Der Name eines Principal hat das Format root instance REALM Bei einem typischen Benutzer entspricht root der Login ID w hrend instance optional ist Wenn der Principal ber eine Instanz verf gt ist diese von root durch einen Schr gstrich getrennt Bei leerem String handelt es sich zwar um eine g ltige Instanz die sich von der Standard instance NULL unterscheidet allerdings kann deren Verwendung zu Verwirrung f hren Alle Principals innerhalb eines Realms verf gen ber deren eigenen Schl ssel welcher sich entweder aus deren Passwort ableitet oder bei Services nach dem Zufallsprinzip erzeugt wird Realm Ein Netzwerk das Kerberos verwendet und aus einem oder einigen Servern auch als KDCs bezeichnet sowie einer potenziell sehr gro en Zahl von Clients besteht Service Ein Programm auf das ber das Netzwerk zugegriffen wird Ticket Ein tempor
494. t RPMS tripwire rpm Im Verzeichnis usr share doc tripwire lt version number gt finden Sie Anmerkungen zur Release und README Dateien f r Tripwire Diese Dokumente enthalten wichtige Informationen zu Standard Policydateien und anderen Themen 19 3 Tripwire benutzerdefinieren Nachdem Sie Tripwire RPM installiert haben m ssen Sie folgende Schritte zur Initialisierung der Software durchf hren 19 3 1 etc tripwire twcfg txt bearbeiten Obwohl es nicht von Ihnen verlangt wird diese Beispiel Tripwire Konfigurationsdatei zu bearbeiten k nnte es in Ihrer Situation notwendig sein Sie m chten vielleicht den Speicherplatz der Tripwire Dateien ndern E Mail Einstellungen benutzerdefinieren oder die Detailebene f r Berichte benutzer definieren Untenstehend befindet sich eine Liste von erforderlichen benutzerkonfigurierbaren Variablen in der etc tripwire twcfg txt Datei POLFILE gibt den Speicherplatz der Policy Datei an etc tripwire tw pol ist der Stan dardwert DBFILE gibt den Speicherplatz der Datenbank Datei an var lib tripwire HOSTNAME twdist der Standardwert REPORTFILE gibt den Speicherplatz der Berichtdateien an Standardm ig ist dieser Wert auf var lib tripwire report HOSTNAME DATE twr gesetzt e SITEKEYFILE gibt den Speicherplatz der Site Schliisseldatei an etc tripwire site key ist der Standardwert LOCALKEYFILE gibt den Speicherplatz der lokalen Schl sseldate
495. t eine Liste von registrierten ISA Direct Memory Access DMA Kan len die verwendet werden Eine Beispieldatei von proc dma sieht wie folgt aus 4 cascade 5 2 6 proc execdomains Diese Datei zeigt die Execution Domains die gegenw rtig vom Linux Kernel unterst tzt werden und die jeweilige Anzahl unterst tzter Personalities Pers nlichkeiten an 0 0 Linux kernel Betrachten Sie Execution Domains als Pers nlichkeit eines bestimmten Betriebssystems Da ande re Bin r Formate wie Solaris UnixWare oder FreeBSD mit Linux verwendet werden k nnen kann ein Programmierer die Art ver ndern wie das Betriebssystem bestimmte Systemaufrufe dieser Bi n rformate behandelt in dem er die Personality eines Tasks ndert Bis auf die Execution Domain PER_LINUX k nnen unterschiedliche Personalities als dynamisch ladbare Module implementiert werden 5 2 7 proc fb Diese Datei enth lt eine Liste von Framebuffer Ger ten inklusive der Framebuffer Ger tenummer und dem zust ndigen Treiber Eine typische Ausgabe von proc fb f r ein System mit einem Framebuffer Ger t sieht wie folgt oder hnlich aus 0 VESA VGA 50 5 2 8 proc filesystems Kapitel 5 Das proc Dateisystem Diese Datei zeigt eine Liste von Dateisystemen an die zur Zeit vom Kernel unterstiitzt werden Eine Beispielausgabe mit einem generischen proc filesystems sieht hnlich wie folgendes aus noa noq noq noq noq noq noq ox noa ev ev ev
496. t ion gt Direktiven mit einer g ltigen Option Die folgenden sind h ufig benutzte Optionen e allow query Legt fest welche Hosts diesen Nameserver abfragen d rfen Standardm ig sind alle Hosts dazu berechtigt Mit Hilfe einer Access Controll List einer Sammlung von IP Adressen oder Netzwerken kann festgelegt werden dass nur bestimmte Hosts den Nameserver abfragen d r fen e allow recursion Ahnelt der Option allow query mit der Ausnahme dass sie sich auf rekursive Abfragen bezieht Standardm ig k nnen alle Hosts rekursive Abfragen auf dem Name server durchf hren e blackhole Gibt an welchen Hosts es nicht erlaubt is Anfragen an den Server zu stellen e directory ndert das named Arbeitsverzeichnis so dass es sich von dem Default var named unterscheidet e forward Kontrolliert das Verhalten beim Weiterleiten einer forwarders Direktive Die folgenden Optionen werden angenommen e first Gibt an dass Nameserver die in der forwarders Option festgelegt sind zuerst nach Informationen abgefragt werden sollten anschlie end keine Informationen vorhanden sein ver sucht named die Aufl sung selbst durchzuf hren only Gibt an dass named nicht versucht die Aufl sung selbst durchzuf hren wenn die for warders Direktive nicht erfolgreich war e forwarders Legt eine Liste von Nameservern fest bei denen Abfragen f r Aufl sungen weit ergeleitet werden e listen on Legt die
497. t wurden 8 2 4 Alias und Clone Dateien Zwei weniger verwendete Arten von Schnittstellen Konfigurationsdateien im etc sysconfig network scripts Verzeichnis sind Alias und Clone Dateien Die Namen von Alias Schnittstellen Konfigurationsdateien haben Namen im Format von ifcfg lt wenn Name gt lt Alias Wert gt und erlaubt es einem Alias auf eine Schnittstelle zu verweisen Eine ifcfg eth0 0 Datei kann z B so konfiguriert werden dass sie DEVICE eth0 0 und eine sta tische IP Adresse 10 0 0 2 spezifieren kann und somit als Alias einer bereits konfigurierten Ethernet Schnittstelle dienen kann um ihre IP Informationen ber DHCP in ifcfg eth0 zu empfangen An dieser Stelle ist das eth0 Ger t mit einer dynamischen IP Adresse verkn pft kann aber jederzeit ber die feste 10 0 0 2 IP Adresse auf das System zur ckgreifen Bei der Namensgebung einer Schnittstellen Konfigurationsdatei sollten folgende Konventionen ein gehalten werden ifcfg lt wenn Name gt lt Clone Name gt W hrend mit einer Alias Datei auf eine 108 Kapitel 8 Netzwerk Schnittstellen bereits bestehende Schnittstellen Konfigurationsdatei zuriickgegriffen werden kann wird eine Clone Datei zum Festlegen zus tzlicher Optionen w hrend der Spezifizierung einer Schnittstelle verwendet Die standardm ige DHCP Ethernet Schnittstelle mit dem Namen etno kann deshalb wie folgt oder hnlich aussehen DEVICE eth0 ONBOOT yes BOOTPROTO dhcp Da USERCTL auf no eingeste
498. tandardeinstellungen f r Ihre Cache Anweisungen sollten f r die meisten Konfigura tionen ausreichen CacheRoot Bestimmt den Namen des Verzeichnisses in dem die zwischengespeicherten Dateien abgelegt werden Der Standard CacheRoot ist das Verzeichnis var httpd proxy CacheSize Bestimmt wie viel Speicherplatz in KB f r den Cache zur Verf gung gestellt wird Der Standardwert f r CacheSize ist 5 KB CacheGcInterval Legt eine Anzahl von Stunden fest nach der im Cache enthaltene Dateien gel scht werden Die Standardeinstellung f r CacheGcInterval ist 4 Stunden CacheMaxExpire Im Cache gespeicherte HTML Dokumente werden fiir eine maximale An zahl von Stunden im Cache gehalten ohne Neuladen vom Ursprungsserver Der Standardwert ist 24 Stunden e CacheLastModifiedFactor Betrifft die Erzeugung eines Ablaufdatums expiration f r ein Dokument das vom Ursprungsserver nicht mit einem eigenen Ablaufdatum versehen wurde Der Standard CacheLastModifiedFactor ist auf 0 1 eingestellt d h das Ablaufdatum f r solche Dokumente entspricht einem Zehntel der Zeit die vergangen ist seitdem das Dokument zuletzt ge ndert wurde CacheDefaultExpire Die Ablaufzeit f r ein Dokument in Stunden das ber ein Protokoll empfangen wurde das keine Ablaufzeiten unterst tzt Die Standardeinstellung ist 1 Stunde NoCache Gibt Hosts an deren Inhalt nicht zwischengespeichert werden soll Kapitel 10 Apache 149
499. tc X11 xinit Xclients verwendet um eine Desktop Umgebung oder einen Window Manager zu w hlen der auf die gleiche Weise wie in Runlevel 3 benutzt wird Wenn der Benutzer eine X Sitzung in der Standardanzeige beendet 0 und sich abmeldet wird das Skript etc X11 xdm TakeConsole ausgef hrt und weist dem root die Konsole neu zu Der urspr ngliche Display Manager der nach der Anmeldung weiter ausgef hrt wurde bernimmt die Steuerung und erzeugt einen neuen Display Manager Auf diese Weise wird der XFree86 Server neu gestartet ein neuer Anmeldebildschirm angezeigt und der gesamte Prozess neu gestartet Wenn sich der Benutzer aus X Runlevel 5 abmeldet wird dieser sich wieder im Display Manager befinden F r weitere Informationen dar ber wie Display Manger die Benutzerauthentifizierung steuern sehen Sie die Datei usr share doc gdm lt version number gt README wobei lt version number gt die Versionsnummer des installierten gdm Pakets ist und die xdm man Seiten 7 6 Zus tzliche Ressourcen ber den XFree86 Server die damit verbundenen Clients und die entsprechenden Desktop Umgebungen sowie Window Manager ist noch lange nicht alles gesagt F r erfahrene Benutzer k nnen daher die zus tzlichen Ressourcen von gro em Nutzen sein Kapitel 7 Das X Window System 99 7 6 1 Installierte Dokumentation usr X11R6 1ib X11 doc README Beschreibt kurz die XFree86 Architektur und wie Ein steiger zus tzliche Informationen ber
500. tc sysconfig network scripts Verzeichnis 44 Siehe auch Netzwerk etc sysconfig networking Verzeichnis 44 etc sysconfig ntpd 40 etc sysconfig pemcia 40 etc sysconfig radvd 40 etc sysconfig rawdevices 40 etc sysconfig redhat config users 41 etc sysconfig redhat logviewer 41 etc sysconfig thn Verzeichnis 44 etc sysconfig samba 41 etc sysconfig sendmail 41 etc sysconfig soundcard 42 etc sysconfig squid 42 etc sysconfig tux 42 etc sysconfig ups 42 etc sysconfig vneservers 43 etc sysconfig xinetd 43 Dateien in 31 Verzeichnisse in 44 Zus tzliche Ressourcen 44 Installierte Dokumentation 44 sysconfigVerzeichnis etc sysconfig network scripts Verzeichnis 103 sysctl Konfigurieren mit etc sysctl conf 76 Pr fen proc sys 76 SysReq Siehe System Request Key SysRq Siehe System Request Key System Request Key aktivieren 68 SysV init Siehe init Befehl T TCP Wrappers Definition von 219 Einf hrung 219 Konfigurationsdateien etc hosts allow 219 220 etc hosts deny 219 220 Expansionen 225 Formatierungsregeln in 221 Hosts Zugriffsdateien 220 Log Option 224 Operatoren 223 Option Felder 224 Optionen der Zugriffskontrolle 225 Patterns 223 Shell Befehl Option 225 spawn Option 225 twist Option 225 Wildcards 222 Vorteile 220 TCP Wrapper 226 Siehe auch xinetd Zus tzliche Ressourcen 232 B cher zum Thema 233 installierte Dokumentation 232 n tzliche Websi
501. teien f r die verschiedenen Komponenten des X Window Systems Hierzu geh ren Konfigurationsdateien f r den X Server den lteren X Font Server xfs X Display Manager und zahlreiche weitere grundlegende Komponenten Es ist wichtig zu beachten dass die Konfigurationsdatei fiir die neuere Fontconfig basierte Font Architektur etc fonts fonts conf ist was die Datei etc X11 XftConfig berfl ssig macht F r weitere Informationen zur Konfiguration und zum Hinzuf gen von Fonts sehen Sie Abschnitt 7 4 86 Kapitel 7 Das X Window System Da der XFree86 Server eine Reihe von fortgeschrittenen Tasks auf einer Vielzahl an Hardware durch f hrt ben tigt dieser eine detaillierte Konfiguration Das Red Hat Linux Installationsprogramm instal liert und automatisch konfiguriert XFree86 solange die XFree86 Pakete zur Installation ausgew hlt sind Wenn sich allerdings der Monitor oder die Grafikkarte ndert muss XFree86 neu konfiguriert werden Am besten verwenden Sie hierzu X Konfigurationstool redhat config xfree86 Wenn Sie X Konfigurationstool in einer aktiven X Sitzung starten m chten wechseln Sie zur Schalt fl che des Hauptmen s im Panel gt Systemtools gt Anzeigen Wenn Sie X Konfigurationstool w hrend einer X Sitzung verwendet haben m ssen Sie sich von der aktuellen X Sitzung abmelden und erneut anmelden damit die nderungen wirksam werden F r weitere Informationen zur Ver wendung von X Konfigurationstool sehen Sie das
502. telle werden etc sysconfig network scripts network functions und etc rc d init d functions dazu verwendet eine ganze Reihe von Aufgaben zu erf llen Weitere Informationen finden Sie unter Abschnitt 8 4 Nachdem sichergestellt ist dass eine Schnittstelle angegeben wurde und dass der Benutzer der diese Anfrage ausf hrt die Berechtigung zur Steuerung der Schnittstelle hat wird das richtige Skript f r diesen Schnittstellenger tetyp aufgerufen Zu den g ngigsten Schnittstellen Kontrollskripten geh ren die folgenden e ifup aliases Konfiguriert die IP Aliase der Schnittstellen Konfigurationsdateien wennn einer Schnittstelle mehr als eine IP Adresse zugeordnet ist e ifdown cipcb und ifup cipcb Werden zum Starten und Beenden von Crypto IP Encapsu lation CIPE Verbindungen verwendet e ifdown ipv6 und ifup ipv6 Enthalten IPv6 hnliche Funktionen die Umgebungsvariablen in verschiedenen Schnittstellen Konfigurationsdateien und etc sysconfig network verwen den e ifup ipx Wird zum Starten einer IPX Schnittstelle verwendet Kapitel 8 Netzwerk Schnittstellen 109 e ifup plip Wird zum Starten einer PLIP Schnittstelle verwendet e ifup plusb Wird zum Starten einer USB Schnittstelle f r Netzwerkverbindungen verwendet e ifdown post und ifup post Enthalten Befehle die nach dem Starten oder Beenden einer Schnittstelle ausgef hrt werden m ssen e ifdown ppp und ifup ppp Werden zum Starten oder Beenden
503. ten die alle vier Modularten ansprechen In einer PAM Konfigurationsdatei wird als Erstes die Modul Schnittstelle bestimmt Eine solche typi sche Zeile in einer Konfiguration k nnte wie folgt aussehen auth required lib security pam_unix so Dies weist PAM an die auth Schnittstelle des pam_unix so Moduls zu verwenden 14 3 1 1 Module stapeln Anweisungen der Modul Schnittstellen k nnen gestapelt werden so dass mehrere Module zu einem Zweck verwendet werden k nnen Deshalb ist die Reihenfolge in der die Module aufgelistet werden f r den Authentifikationsprozess sehr wichtig Das Stapeln macht es dem Administrator einfacher zu erkennen dass bereits einige Voraussetzungen erf llt sind bevor die Benutzerauthentifizierung stattgefunden hat Zum Beispiel verwendet rlogin in der Regel f nf gestapelte auth Module wie in der PAM Konfigurations datei zu sehen auth required lib security pam_nologin so auth required lib security pam_securetty so auth required lib security pam_env so auth sufficient lib security pam_rhosts_auth so auth required lib security pam_stack so service system auth Kapitel 14 Pluggable Authentication Modules PAM 213 Bevor rlogin ausgefiihrt wird stellt PAM fest dass die etc nologin Dateien nicht existieren dass sie auch nicht versuchen sich aus der Ferne iiber eine unverschliisselte Netzwerkverbindung als Root anzumelden und dass alle Umgebungsvariablen geladen werden k nnen Wenn die rhosts
504. ten und Weisen dar wie SSH verwendet werden kann Mit einer angemessenen Bandbreite k nnen X11 Sitzungen ber einen SSH Kanal verwaltet werden Mithilfe von TCP IP Forwarding k nnen bisher unsichere Port Verbindungen zwischen Systemen auf spezifische SSH Kan le gemappt werden 18 5 1 X11 Forwarding Eine X11 Sitzung ber eine bestehende SSH Verbindung zu ffnen ist so einfach wie das Ausf h ren eines X Programms w hrend Sie bereits einen X Client auf Ihrem Host ausf hren Wird ein X Programm von einem Secure Shell Prompt ausgef hrt erstellen der SSH Client und Server einen neuen verschl sselten Kanal in der aktuellen SSH Verbindung und die Daten des X Programms wer den ber diesen Kanal auf Ihren Client Rechner gesendet Sie k nnen sich sicherlich vorstellen wie n tzlich X11 Forwarding sein kann Sie k nnen hiermit zum Beispiel eine sichere interaktive Sitzung mithilfe von up2date auf dem Server erstellen Verbinden Sie sich hierzu ber ssh mit dem Server und geben Sie Folgendes ein up2date amp Sie werden nun aufgefordert das root Passwort f r den Server einzugeben Anschlie end erscheint Red Hat Update Agent und Sie k nnen Ihre Pakete auf dem Server aktualisieren als ob Sie direkt vor Ihrem Rechner sitzen w rden 18 5 2 Port Forwarding Mit SSH k nnen Sie unsichere TCP IP Protokolle via Port Forwarding sichern Bei dieser Technik wird der SSH Server zu einer verschl sselten Verbindung zum SSH Client B
505. ter diese Services manuell starten oder anhalten m sste Die folgenden Runlevels sind in Red Hat Linux standardm ig definiert 0 Anhalten 1 Einzelbenutzer Textmodus e 2 Nicht belegt benutzerspezifisch 3 Vollst ndiger Mehrbenutzer Textmodus e 4 Nicht belegt benutzerspezifisch 5 Vollst ndiger Mehrbenutzer graphischer Modus mit einem X basierten Anmeldebildschirm e 6 Neu booten Im allgemeinen arbeitet Red Hat Linux auf Runlevel 3 oder Runlevel 5 und zwar jeweils im voll st ndigen Mehrbenutzermodus Die Runlevels 2 und 4 k nnen vom Benutzer definiert werden da diese ja nicht verwendet werden Der Standard Runlevel wird in etc inittab bestimmt Um f r Ihr System den Standard Runlevel herauszufinden m ssen Sie eine Zeile suchen die der unten angegebenen etc inittab hnelt id 5 initdefault Der standardm ige Runlevel im obigen Beispiel ist f nf wie die Nummer hinter dem Doppelpunkt angibt Um diesen zu ndern bearbeiten Sie etc inittab als root Kapitel 1 Boot Init und Shutdown 9 AB wrarnung Seien Sie beim Bearbeiten von etc inittab vorsichtig Einfache Schreibfehler k nnen dazu f h ren dass das System nicht mehr booten kann Sollte dies vorkommen verwenden Sie entweder eine Bootdiskette treten Sie in den Einzelbenutzermodus ein oder geben Sie Rescue Modus ein um Ihren Computer zu booten und die Datei zu reparieren F r mehr Information zu Einzelb
506. terst tzte zwei Authentifizierungsmodule mod_auth_db und mod_auth_dbm die jeweils Berkely Datenbanken und DBM Datenbanken verwendeten Diese Module wurden in Apache HTTP Server 2 0 in ein einziges Modul mit dem Namen mod_auth_dbm zusammengefasst das auf mehrere verschiedene Datenbankformate zugreifen kann Um von mod_auth_db aus Version 1 3 zu migrieren m ssen die Konfigurationsdateien angepasst werden indem AuthDBUserFile und AuthDBGroupFile durch die entsprechenden aus mod_auth_dbm ersetzt werden AuthDBMUserFile und AuthDBMGroupFile Sie m ssen au erdem die Anweisung AuthDBMType DB hinzuf gen um den Typ der Datenbankdatei anzugeben der verwendet wird 130 Kapitel 10 Apache Folgendes ist ein Beispiel f r eine mod_auth_db Konfiguration in Apache HTTP Server 1 3 lt Location private gt AuthType Basic AuthName My Private Files AuthDBUserFile var www authdb require valid user lt Location gt Verwenden Sie folgende Struktur um diese Einstellung zu Apache HTTP Server 2 0 zu migrieren lt Location private gt AuthType Basic AuthName My Private Files AuthDBMUserFile var www authdb AuthDBMType DB require valid user lt Location gt Bitte beachten Sie dass die Anweisung AuthDBMUserFile auch in htaccess Dateien verwendet werden kann Das dbmmanage Perl Skript das zur Bearbeitung von Benutzernamen und Passwort Datenbanken verwendet wurde wurde in Apache HTTP Server 2 0 durch htdbm ersetzt Das Programm htdbm
507. terungen er fahren Sie unter http www rtr com fpsupport 10 4 Starten und Anhalten von httpd Die httpd RPM installiert das etc rc d init d httpd Skript auf das Sie mittels des Befehls sbin service zugreifen k nnen Geben Sie den folgenden Befehl als root ein um den Server zu starten sbin service httpd start Geben Sie den folgenden Befehl als root ein um den Server anzuhalten Kapitel 10 Apache 133 sbin service httpd stop Die Option restart ist ein abk rzender Befehl zum Anhalten und dann Neustarten von Apache HTTP Server Geben Sie den folgenden Befehl als root ein um den Server neu zu starten sbin service httpd restart f Anmerkung Wenn Sie Apache HTTP Server als Secure Server ausf hren werden Sie aufgefordert bei jedem Verwenden der Option start oder restart Ihr Passwort einzugeben Auch wenn Sie nderungen in Ihrer Datei httpd conf vorgenommen haben ist es nicht n tig dass Sie den Server anhalten und neu starten Zu diesem Zweck k nnen Sie die Option reload verwenden Um die Server Konfigurationsdatei neu zu laden geben Sie folgenden Befehl als root ein sbin service httpd reload Anmerkung Wenn Sie Apache HTTP Server als Secure Server ausf hren brauchen Sie Ihr Passwort nicht anzugeben wenn Sie die Option reload verwenden Standardm ig wird der httpd Service beim Booten des Rechners nicht automatisch gestartet Sie m ssen den httpd Service konfigurieren um beim Booten st
508. tes 233 Timeout Apache Konfigurationsanweisung 135 Treiber Siehe Kernelmodule Tripwire Anwendungen tripwire 275 tripwire check 269 twadmin 273 274 275 twinstall sh 275 twprint 270 271 275 Berichte anzeigen 270 Definition von 275 erstellen 269 Datenbank aktualisieren 272 Definition von 275 Initialisieren von 269 E Mail Funktionen 274 Test 274 Einf hrung 263 Flussdiagramm von 263 Installation von Initialisieren der Tripwire Datenbank 269 Installation von RPM 265 Konfiguration benutzerdefinieren 266 Passwort Einstellung 268 tripwire init command 269 twinstall sh script 268 Integrit tspr fung tripwire check command 269 Konfigurationsdateien 275 Aktualisieren 274 Berichtdateien 275 275 Datenbank Datei 275 275 Schl sseldateien 275 tw cfg 275 275 tw pol 275 275 twefg txt 275 twpol txt 275 unterzeichnen von 274 ndern 266 Policy Datei aktualisieren 273 ndern 268 zus tzliche Ressourcen 276 installierte Dokumentation 276 n tzliche Websites 277 twm 86 Siehe auch XFree86 TypesConfig Apache Konfigurationsanweisung 141 U Unverschl sselte Web Server deaktivieren 153 UseCanonicalName Apache Konfigurationsanweisung 138 User Apache Konfigurationsanweisung 137 UserDir Apache Konfigurationsanweisung 140 users private HTML Verzeichnisse 140 304 Vv Verzeichnisse dev 26 etc 26 lib 26 mnt 26 opt 26 proc 27 sbin 27 Jusr 27
509. tionen Weitere Informationen zum Konfigurieren eines squid Proxy Servers erhalten Sie indem Sie mit einem Webbrowser das Verzeichnis usr share doc squid lt Version gt ffnen ersetzen Sie lt Version gt durch die auf Ihrem System installierte squid Versionsnummer Standardm ig ist in dieser Datei der squid Topstart im Daemon Modus und die Zeitspanne innerhalb der es sich schlie t festgelegt 4 1 36 etc sysconfig tux etc sysconfig tux ist die Konfigurationsdatei f r den Red Hat Content Accelerator fr her TUX den Kernel basierten Web Server Weitere Informationen zum Konfigurieren von Red Hat Content Accelerator erhalten Sie wenn Sie mit einem Web Browser usr share doc tux lt Version gt tux index html ffnen ersetzen Sie gt lt Version gt mit der bereits auf Ihrem System installierten TUX Versionsnummer Die f r diese Datei verf gbaren Parameter sind unter usr share doc tux lt Version gt tux parameters html aufgef hrt 4 1 37 etc sysconfig ups Die Datei etc sysconfig ups wird verwendet um Informationen ber jegliche Ger te mit kon tinuierlicher Stromversorgung UPS zu bestimmen die mit Ihrem Systm verbunden sind Ein UPS kann in einem Red Hat Linux System sehr n tzlich sein da das System mit seiner Hilfe auch im Falle einer Stromunterbrechung korrekt heruntergefahren werden kann Folgende Werte k nnen verwendet werden Kapitel 4 Das Verzeichnis sysconfig 43 e SERVER lt Wert gt wobei lt Wert g
510. tokoll hat einen Hash Wert f r den Austausch und einen gemeinsam genutzten geheimen Wert berechnen die beiden Systeme sofort neue Schl ssel und Algorithmen um die Authentifizierung und die in der Folge ber die Verbindung gesendeten Daten zu sch tzen Nachdem eine bestimmte Datenmenge mithilfe eines vorgegebenen Schl ssels und Algorithmus ber tragen wurde die genaue Menge h ngt von der SSH Implementation ab erfolgt ein weiterer Schl s selaustausch der wiederum einen neuen Hash Wert und einen neuen gemeinsam genutzten geheimen Wert generiert Auch wenn eine unbefugte Person diese beiden Werte ermitteln sollte m sste sie diese Information bei jedem neuen Schl sselaustausch ermitteln um die Verbindung zu berwachen 18 3 2 Authentifizierung Nachdem die Transportschicht einen sicheren Kanal geschaffen hat in dem die Informationen zwi schen den beiden Systemen bertragen werden teilt der Server dem Client die verschiedenen unter st tzten Authentifizierungsmethoden mit beispielsweise eine private verschl sselte Signatur oder die Eingabe eines Passworts Der Client wird anschlie end versuchen sich anhand einer der unterst tz ten Methoden gegen ber dem Server zu identifizieren SSH Server und Clients k nnen konfiguriert werden um verschiedene Arten der Authentifizierung zu erm glichen Diese Methode bietet daher jeder Seite das ideale Ma an Kontrolle Der Server kann entscheiden welche Verschl sselungsmethoden
511. tos html zur Verf gung und do kumentieren ganz bestimmte Linux Aspekte vom Low Level Kernel ber esoterische Ver nderun gen bis zum Einsatz von Linux f r einen Amateur Radiosender 2 3 Dokumentation f r Linux Gurus Wenn Sie bereits seit mehreren Jahren Red Hat Linux benutzen wissen Sie wahrscheinlich l ngst da der beste Weg zum Verst ndnis eines spezifischen Programms das Lesen seines Quellcodes und oder der Konfigurationsverzeichnisse ist Ein gro er Vorteil Red Hat Linux ist da der Quellcode von allen Benutzern gelesen werden kann Nat rlich ist nicht jeder ein Programmierer und Sie k nnen mit dem Quellcode daher vielleicht wenig anfangen Wenn Sie jedoch nur ein wenig Erfahrungen und Kenntnisse haben und wissen wie man ihn lesen kann finden Sie im Quellcode die Antwort auf alle Ihre Fragen 3 Dokumentkonventionen Beim Lesen dieses Handbuchs werden Sie feststellen dass bestimmte W rter in verschiedenen Fonts Schriftbildern Gr en usw dargestellt sind Diese Unterscheidung folgt einer bestimmten Ordnung bestimmte W rter werden auf die gleiche Weise dargestellt um darauf hinzuweisen dass sie zu einer bestimmten Kategorie geh ren Dazu geh ren Befehl Linux Befehle sowie Befehle anderer Betriebssysteme sofern verwendet werden auf diese Weise dargestellt Diese Darstellungsart weist darauf hin dass Sie das Wort oder den Satz in die Befehlszeile eingeben und die Enter Taste dr cken k nnen um den ent
512. triebssystems Die Art und Weise mit der ein Betriebssystem mit seinen Benutzern seinen Anwendungen und seinem Sicherheitskonzept interagiert h ngt davon ab wie es die Dateien in einem prim ren Speicherelement meist ein Festplattenlaufwerk speichert Es ist aus mehreren Gr nden sehr wichtig dass Benutzern und Programmen ein gemeinsamer Leitfaden zur Verf gung steht aus dem hervorgeht wo Dateien gelesen und geschrieben werden k nnen Ein Dateisystem kann aus der Sicht zweier verschiedener Dateikategorien betrachtet werden Gemeinsam genutzte und nicht gemeinsam genutzte Dateien Variable und statische Dateien Gemeinsam genutzte Dateien sind Dateien auf die verschiedene Hosts zugreifen k nnen w hrend nicht gemeinsam genutzte Dateien anderen Hosts nicht zur Verf gung stehen Variable Dateien k n nen jederzeit ohne Einwirken ge ndert werden statische Dateien wie schreibgesch tzte Dokumen tationen oder Bin rdateien bleiben ohne direkten oder indirekten Eingriff des Systemadministrators unver ndert Diese Betrachtungsweise hilft beim Verst ndnis der Zugriffsoptionen zusammen die f r das entspre chende Verzeichnis gew hlt wurde Die Art wie das Betriebssystem und seine Benutzer die Dateien verwenden bestimmt somit auch das Verzeichnis in dem sie abgelegt werden Und ob dieses Ver zeichnis schreibgesch tzt gemountet wird mit Schreib und Lesezugriff und welche Zugriffsrechte f r seine Dateien erteilt werden Aussch
513. ts welche versuchen auf FTP Services von der example com Domain aus zuzugreifen eine Nachricht mit Hilfe des echo Befehls gesendet vsftpd example com twist bin echo 421 Bad hacker go away F r mehr Informationen zur Verwendung von Shell Befehl Optionen sehen Sie die hosts_options man Seite 15 2 3 4 Expansionen Expansionen welche im Zusammenhang mit spawn und twist Anweisungen verwendet werden liefern Informationen ber den Client Server und die betreffenden Prozesse Folgend ist eine Liste der verf gbaren Expansionen 226 Kapitel 15 TCP Wrappers und xinetd e a Die IP Adresse des Clients A Die IP Adresse des Servers e c Verschiedene Client Informationen wie zum Beispiel der Benutzer und Hostname oder der Benutzername und die IP Adresse d Der Name des Daemon Prozesses h Der Hostname des Clients oder IP Adresse wenn der Hostname nicht verf gbar ist H Der Hostname des Servers oder IP Adresse wenn der Hostname nicht verf gbar ist n Der Hostname des Clients Wenn dieser nicht verf gbar ist wird unknown ausgegeben Wenn der Hostname und die Hostadresse des Clients nicht tibereinstimmen paranoid ausgegeben N Der Hostname des Servers Wenn dieser nicht verf gbar ist wird unknown ausgegeben Wenn der Hostname und die Hostadresse des Servers nicht iibereinstimmen paranoid ausgegeben p Die ID des Daemonprozesses e s Verschiedene
514. ts wie folgt aus lt server gt lt path of dir gt lt local mnt point gt nfs lt options gt 0 0 lt Server Host gt bezieht sich auf den Hostnamen die IP Adresse oder den kompletten Domain Name des Servers der das Dateisystem exportiert lt Pfad zum gemeinsam genutzten Verzeichnis gt gibt dem Server an was gemountet wer den soll lt lokaler Mount Punkt gt legt fest wo das exportierte Verzeichnis im lokalen Dateisystem ge mountet werden soll Dieser Mount Punkt muss vorhanden sein bevor etc fstab gelesen wird oder das Mounten fehlschl gt Die Option nfs gibt den Typ des gemounteten Dateisystems an Der lt optionen gt Bereich gibt die Mount Optionen f r das Dateisystem an Wenn zum Beispiel rw suid angegeben wird wird das exportierte Dateisystem im Read Write Modus gemountet und die Benutzer sowie die Gruppen ID von dem verwendeten Server eingestellt Beachten Sie dass keine Klammern verwendet werden Weitere Mount Optionen finden Sie unter Abschnitt 9 3 3 9 3 2 autofs Ein Nachteil bei der Verwendung von etc fstab ist dass ungeachtet dessen wie wenig Sie dieses gemountete Dateisystem verwenden Ihr System Ressourcen zur Verf gung stellen mu damit der Mount an dieser Stelle verbleibt Bei einem oder zwei Mounts ist das kein Problem wenn Ihr System jedoch zur gleichen Zeit Mounts von Dutzenden Systemen warten mu kann die Leistungsf hig keit des Systems darunter leiden Eine Alternative zu etc stab i
515. tstelle ist Die MTU bezieht sich auf die gr tm gliche Zahl von Daten in Bytes die ein Frame bertragen kann die Header Information nicht mitgez hlt Bei einigen Dial up Situationen hat die Einstellung dieses Werts auf 576 zur Folge dass weniger Pakete ausgelassen werden DROP und die Durchl ssigkeit f r Verbindungen leicht erh ht wird NAME lt Name gt wobei lt Name gt sich auf den Oberbegriff der Konfigurationssammlung f r Dialup Verbindungen bezieht e PAPNAME lt Name gt wobei lt Name gt f r den Benutzernamen steht der w hrend der nderung des Password Authentication Protocol PAP vergeben wurde und Ihnen die Verbindung zu einem Remote System erm glicht PEERDNS lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann yes ndern Sie diese Dateieintr ge von etc resolv conf in Ihrem System um die DNS Server zu verwenden die vom Remote System nach der Herstellung der Verbindung zur Verf gung gestellt werden no Die etc resolv conf Datei wird nicht ge ndert Kapitel 8 Netzwerk Schnittstellen 107 e PERSIST lt Antwort gt wobei lt Antwort gt Folgendes bedeuten kann yes Diese Schnittstelle sollte st ndig aktiviert sein auch wenn nach einem Abbruch das Modem deaktiviert wird no Diese Schnittstelle sollte nicht st ndig aktiv sein REMIP lt Adresse gt wobei lt Adresse gt die IP Adresse des Remote Systems ist Wird blicher weise nicht festgelegt
516. ttp localhost manual mod bereit Damit Apache HTTP Server DSO verwenden kann muss dies in einer LoadModule Anweisung in etc httpd conf httpd conf angegeben werden Sollte das Modul durch ein eigenes Paket zur Verf gung gestellt werden muss diese Zeile in der Konfigurationsdatei dieses Moduls enthalten sein Diese Konfigurationsdatei ist im Verzeichnis etc httpd conf d zu finden Sehen Sie Abschnitt 10 5 15 f r Weiteres zur LoadModule Anweisung Wenn Sie Module aus http conf hinzuf gen oder l schen m ssen Sie Apache HTTP Server neu laden oder starten wie in Abschnitt 10 4 beschrieben Wenn Sie ein neues Modul erzeugen wollen m ssen Sie das Paket httpd devel installieren weil es die Include Dateien die Header Dateien und die APache eXtenSion usr sbin apxs enth lt welches die Include und Header Dateien verwendet um die DSOs zu kompilieren Wenn Sie ein eigenes Modul geschrieben haben sollten Sie usr sbin apxs f r das Kompilieren Ihrer sich ausserhalb des Apache Quellbaums befindlichen Modulquellen verwenden Weitere Infor mationen zur Verwendung von usr sbin apxs finden Sie in der Apache Dokumentation unter http httpd apache org docs 2 0 dso html und der man Seite zu apxs Speichern Sie Ihr Modul nach dem Kompilieren im Verzeichnis usr lib httpd F gen Sie dann der Datei httpd conf eine LoadModule Zeile hinzu welche folgenden Aufbau hat LoadModule lt module name gt lt path to module so gt Ersetzen Sie lt m
517. twendig ssh L 1100 mail example com 110 other example com In diesem Beispiel leiten Sie Ihre POP Anforderung von Port 1100 Ihres Rechners ber die SSH Verbindung auf Port 22 an den ssh Server weiter Anschlie end verbindet sich other domain com mit Port 110 auf mail domain com so dass Sie neue E Mails abrufen k nnen Beachten Sie dass bei Verwendung dieser Methode nur die Verbindung zwischen Ihrem System und dem other domain com SSH Server sicher ist Dies kann sehr n tzlich sein wenn Sie Informationen sicher ber Netzwerk Firewalls bertragen m chten Wenn die Firewall so konfiguriert ist dass SSH Kommunikationen ber den Standardport 22 erfolgen die bertragung ber andere Ports jedoch gesperrt ist ist eine Verbindung zwischen zwei Rechnern mit gesperrten Ports weiterhin m glich indem die Meldungen ber eine festgesetzte SSH Verbindung zwischen diesen Rechnern bermittelt werden f Anmerkung Die Verwendung von Port Forwarding f r das Weiterleiten von Verbindungen erm glicht es jedem Be nutzer des Client Servers sich mit dem Dienst zu verbinden an den Sie Verbindungen weiterleiten Dies ist besonders dann gef hrlich wenn Ihr Client System auf irgendeine Art und Weise besch digt ist System Administratoren k nnen diese Funktion auf dem Server deaktivieren indem sie in der Al lowTcpForwarding Zeile noin etc ssh sshd_config eingeben und den sshd Dienst neu starten 18 6 Anfordern von SSH f r Fernverbindung
518. uchs benutzerdefinierter Konfiguration fiir allgemeine An ii Einf hrung weisungen or zur benutzerdefinierten Einstellung durchlesen Das Red Hat Linux Referenzhandbuch enth lt Informationen zu fortgeschrittenen Themen die vielleicht nicht jeden Benutzer betreffen was jedoch davon abh ngt wie Sie Ihr Red Hat Linux System benutzen HTML und PDF Versionen aller Red Hat Linux Handb cher sind online erh ltlich unter http www redhat com docs f Anmerkung Auch wenn dieses Handbuch die bis heute aktuellsten Informationen enth lt sollten Sie zus tzlich auch die Red Hat Linux Release Notes lesen die auch Informationen enthalten die eventuell erst nach der Beendigung dieser Dokumentation zur Verf gung standen Die Release Notes finden Sie auf der Red Hat Linux CD 1 und Online unter http www redhat com docs manuals linux 2 So finden Sie die geeignete Dokumentation Es ist wichtig da Sie sich die Dokumentation beschaffen die f r Ihren Kenntnisstand in Sachen Li nux geeignet ist Andernfalls k nnten Sie sich schnell berfordert f hlen oder nicht an die Informatio nen gelangen mit deren Hilfe Sie Ihre Probleme l sen k nnen Das Red Hat Linux Referenzhandbuch besch ftigt sich mit den eher technischen Aspekten und Optionen Ihres Red Hat Linux Systems Die ser Abschnitt wird Ihnen dabei helfen zu entscheiden ob Sie dieses Handbuch als Informationsquelle benutzen wollen oder ob Sie andere Handb cher einschlie lich
519. um ladbare Module dynamisch zu verlinken und einzubinden e003def4 speedo_debug eepro100 e003b04c eeprol00_init eepro100 e00390c0 st_template st e002104c RDINDOOR megaraid e00210a4 callDone megaraid e00226cc megaraid_detect megaraid Der erste Spalte listet die Speicheradresse f r die Kernelfunktion auf die zweite Spalte bezieht sich auf den Namen der Funktion und die letzte Spalte zeigt den Namen des geladenen Moduls an 5 2 16 proc loadavg Diese Datei bietet eine bersicht ber die durchschnittliche Auslastung der Prozessoren ber Zeit und liefert au erdem zus tzliche Informationen die vom uptime und anderen Befehlen benutzt werden Eine beispielhafte proc loadavg Datei finden Sie hier 0 20 0 18 0 12 1 80 11206 54 Kapitel 5 Das proc Dateisystem Die ersten drei Spalten messen die CPU Ausnutzung der letzten 1 5 und 10 Minuten Die vierte Spalte zeigt die Anzahl der zur Zeit laufenden Prozesse und die Gesamtanzahl der Prozesse an Die letzte Spalte zeigt die letzte Prozess ID die verwendet wurde 5 2 17 proc locks Diese Datei zeigt die Dateien die zur Zeit vom Kernel gelockt gesperrt sind an Der Inhalt dieser Datei enth lt interne Debugging Daten des Kernels und kann stark variieren je nach Benutzungsgrad des Systems Eine Beispiel proc locks Datei eines Systems mit leichter Belastung finden Sie hier 1 FLOCK ADVISORY WRITE 807 03 05 308731 0 EOF c2a260c0 c025aa48 c2a26120 2 POSIX ADVISORY WRIT
520. ung von MMX Befehlen 5 2 4 proc devices Diese Datei zeigt die Zeichen und Block Ger te an die zur Zeit im Kernel konfiguriert sind Ger te deren Module nicht im Kernel geladen sind werden nicht ber cksichtigt Eine Beispiel Ausgabe dieser virtuellen Datei finden Sie hier Character devices 1 mem pty ttyp ttyS cua Owe Wh 7 vcs 10 misc 14 sound 29 fb 36 netlink 128 ptm 129 ptm 136 pts 137 pts 162 raw Kapitel 5 Das proc Dateisystem 49 254 iscsictl Block devices 1 ramdisk 2 fd 3 ided 9 md 22 idel Die Ausgabe von proc devices enth lt die Major Number und den Namen eines Ger tes und ist in zwei gr ere Sektionen aufgeteilt Character devices und Block devices Zeichen Ger te Character Devices sind bis auf zwei wichtige Unterschiede sehr hnlich zu Block Ger ten 1 Block Ger te haben einen Puffer der das Ordnen von Zugriffen vor der Ausf hrung zul sst Das erm glicht zum Beispiel bei Festplatten oder anderen Speicherger ten eine effizientere Spe icherung Zeichen Ger te ben tigen diese Pufferung nicht 2 Block Ger te k nnen Informationen in Datenbl cken einer bestimmten Gr e senden und emp fangen Diese Gr e kann je nach Ger t konfiguriert werden Zeichen Ger te senden Daten ohne eine vorkonfigurierte Gr e zu beachten Zus tzliche Informationen ber Ger te finden Sie in usr sre linux 2 4 Documentation devices txt 5 2 5 proc dma Diese Datei enth l
521. ungen geh ren u a Aktualisierung des Kapitels Das X Window System Das X Window System wurde komplett umgeschrieben und f r eine bessere Klarheit neu organ isiert Weiterhin wurden Anleitungen zur Font Konfiguration hinzugef gt Ein neues Kapitel sysconfig wurde hinzugef gt Der Abschnitt sysconfig des Kapitels Boot Init und Shutdown wurde erweitert und in ein eigenes Kapitel ausgelagert Das Kapitel TCP Wrappers und xinetd wurde aktualisiert Das aktualisierte Kapitel TCP Wrappers und xinetd wurde komplett umgestellt um die Klarheit zu erh hen Das Kapitel Benutzer und Gruppen wurde aktualisiert Das Kapitel Benutzer und Gruppen wurde aktualisiert neu organisiert und bietet eine verbesserte Klarheit Das Kapitel Netzwerkschnittstellen wurde aktualisiert Das Kapitel Netzwerkschnittstellen wurde umgeschrieben und neu organisiert Das Kapitel Apache HTTP Server wurde aktualisiert Es steht nun ein Leitfaden zur Migration von Version 1 3 nach Version 2 0 von Apache HTTP Server zur Verf gung Au erdem wurde die Liste der Serverkonfigurations Optionen auf den neuesten Stand gebracht Ein besonderer Dank geht an Gary Benson und Joe Orton f r ihre harte Arbeit am Apache HTTP Server Migrationsleitfaden Bevor Sie dieses Handbuch lesen sollten Sie den Inhalt des Red Hat Linux Installationshandbuchs ber Installationsfragen und des Red Hat Linux Handbuchs Erster Schritte ber grundlegende Linux Konzepte sowie des Red Hat Linux Handb
522. ungen und Platzhalter f r die Informationen die f r die Einrichtung eines virtuellen Hosts ben tigt w rden Weitere Informationen ber virtuelle Hosts finden Sie in Abschnitt 10 8 f Anmerkung Alle virtuellen Hostumgebungen von SSL wurden in die Datei etc httpd conf d ssl conf ver schoben 10 5 70 SSL Konfigurationsanweisungen Die SSL Anweisungen in der Datei etc httpd conf d ss1l conf k nnen so konfiguriert wer den dass sichere Web Kommunikationen mit SSL und TLS m glich sind 10 5 70 1 SetEnvIf Die Apache Konfigurationsanweisung SetEnvIf kann dazu verwendet werden um Umgebungs variablen zu setzen die auf Header Informationen der Anfrage basieren In der mitgelieferten Da tei httpd conf wird zur Deaktivierung von HTTP Keepalive verwendet und erm glicht SSL das Schlie en der Verbindung ohne dass ein Close Notify Alarm vom Client Browser gesendet wird Diese Einstellung ist f r bestimmte Browser erforderlich die die SSL Verbindung nicht zuverl ssig beenden F r weitere Informationen zu SSL Anweisungen geben Sie die folgende Adresse in einem Web Browser an 150 Kapitel 10 Apache http localhost manual mod mod_ssl html http httpd apache org docs 2 0 mod mod_ssl html Informationen ber das Einrichten eines Apache HTTP Secure Server finden Sie im Kapitel Apache HTTP Secure Server Configuration im Red Hat Linux Handbuch benutzerdefinierter Konfiguration f Anmerkung In den meisten F llen sind d
523. usgef hrt wenn sich die Aussage falsch ergibt Die Bedingung in den Tags lt IfDefine gt ist eine Parameterbezeichnung z B HAVE_PERL Wenn der Parameter definiert ist d h er wurde beim Start des Servers als Argument des Startbefehls ange geben ist die Aussage wahr In diesem Fall ist die Bedingung wahr wenn Ihr Web Server gestartet ist und die Anweisungen in den Tags I fDefine werden ausgef hrt Standardm ig umschlie en die Tags lt IfDefine HAVE_SSL gt die virtuellen Rechnertags f r den Secure Server lt IfDefine HAVE_SSL gt Tags umschlie en au erdem auch die Anweisungen Load Module und AddModule f r das ss1_module 10 5 18 User Die Anweisung User definiert die Benutzer ID die vom Server zur Beantwortung von Anforderungen verwendet wird Die User Einstellung bestimmt die Zugriffsrechte des Servers Alle Dateien auf die dieser Benutzer nicht zugreifen darf sind f r die Besucher Ihrer Website ebenfalls nicht zug nglich Die Standardeinstellung f r User ist apache Anmerkung Aus Sicherheitsgr nden kann Apache HTTP Server nicht als root ausgef hrt werden 10 5 19 Group Gibt den Gruppennamen des Apache HTTP Server Prozesses an Die Standardeinstellung f r Group ist apache 138 Kapitel 10 Apache 10 5 20 ServerAdmin ServerAdmin sollte auf die E Mail Adresse Ihres Web Server Administrators eingestellt sein Diese E Mail Adresse wird in Fehlermeldungen auf vom Server erstellten Web Seiten angeze
524. utzer auf dem Netzwerk gegen einen nicht kerberisierten Service authentifiziert und ein Passwort als Klartext gesendet wird Von der Verwendung von nicht kerberisierten Services wird daher abgeraten Diese Services umfas sen Telnet und FTP Andere sichere Protokolle wie zum Beispiel SSH oder SSL Secured Services k nnen dagegen verwendet werden Dies ist selbstverst ndlich nur ein grober berblick ber die typische Funktionsweise der Kerberos Authentifizierung in einem Netzwerk Weiterf hrende Informationen zur Kerberos Authentifizierung finden Sie unter Abschnitt 17 7 f Anmerkung Kerberos ben tigt verschiedene Netzwerk Services um fehlerfrei zu arbeiten Zun chst ist f r Ker beros eine Zeitsynchronisierung zwischen den Rechnern im Netzwerk erforderlich F r das Netzwerk sollte daher ein Programm zur Zeitsynchronisierung wie zum Beispiel ntpa eingerichtet werden F r weiterf hrende Informationen zum Konfigurieren von ntpa und zum Einrichten von NTP Network Time Protocol Servern sehen Sie usr share doc ntp lt version number gt index htm Da Kerberos zum Teil auch auf den Domain Name Service DNS angewiesen ist m ssen Sie sich au erdem vergewissern dass die DNS Eintr ge und Hosts im Netzwerk richtig eingerichtet sind Sehen Sie die Kerberos V5 System Administrator s Guide welche unter usr share doc krb5 server lt version number gt in den Formaten PostScript und HTML zur Verf gung steht f r mehr Information Kapit
525. vel Konfigurationstool redhat config securitylevel gew hlt wurden Benutzer sollten diese Datei nicht manuell bearbeiten F r mehr Informationen zu Sicherheitslevel Konfigurationstool lesen Sie das Kapitel Basiskonfiguration der Firewall im Red Hat Linux Handbuch benutzerdefinierter Konfiguration 4 1 29 etc sysconfig redhat config users Die Datei etc sysconfig clock ist die Konfigurationsdatei f r die grafische Applikation redhat config users Unter Red Hat Linux wird diese Datei dazu verwendet um Systembenutzer wie root Daemon oder Ip herauszufiltern Diese Datei kann ber das Pull Down Men Einstellungen gt Systembenutzer und Gruppen filtern in der Anwendung redhat config users berabeitet werden Die Bearbeitung sollte nicht manuell erfolgen Weitere Informationen zur Verwendung dieser An wendung finden Sie im Kapitel Benutzer und Gruppen Konfiguration des Red Hat Linux Handbuchs benutzerdefinierter Konfiguration 4 1 30 etc sysconfig redhat logviewer Die Datei etc sysconfig netdump ist die Konfigurationsdatei f r die grafische interaktive An wendung zum Anzeigen von Protokollen redhat logviewer Diese Datei wird ber das Pull Down Men Bearbeiten gt Einstellungen in redhat logviewer bearbeitet Die Bearbeitung sollte nicht manuell erfolgen Weitere Informationen zum Verwenden der Anwendung finden Sie im Kapitel Pro tokolldateien des Red Hat Linux Handbuchs benutzerdefinierter Konfiguration 4 1 31 etc sysconfig
526. wendet um eine Gruppierung von FQDNs IP Adressen oder solchen Namen zu ber cksichtigen die mit einer bestimmten Buchstabenkette bereinstimmen Seien Sie jedoch im Umgang mit Wildcards im Zusammenhang mit FQDNs vorsichtig da sie eine gro e Genauigkeit verlangen So erlaubt die Verwendung von example com als Wildcard zum Beispiel sales example com den Zugriff auf das exportierte Dateisystem aber nicht bob sales example com Um beide M glichkeiten zu erfassen wie auch sam corp example com muss die Option wie folgt aussehen example com example com IP networks Erlaubt das Matching von Hosts auf der Basis ihrer IP Adressen in einem gro en Netzwerk 192 168 0 0 28 l t zum Beispiel die ersten 16 IP Adressen von 192 168 0 0 bis 192 168 0 15 zu um auf das exoprtierte Dateisystem zuzugreifen aber nicht 192 168 0 16 und h her netgroups L sst einen NIS Netgroup Namen zu der wie folgt geschrieben wird lt Gruppenname gt Dadurch bernimmt der NIS Server die Kontrolle f r den Zugriff auf diese exportierten Dateisysteme und Benutzer k nnen ohne Auswirkung auf etc exports zu einer NFS Gruppe hinzugef gt oder aus einer solchen entfernt werden A Warnung Es ist sehr wichtig wie die Datei etc exports formatiert ist besonders im Bezug auf Leerzeichen Denken Sie daran exportierte Dateisystem immer getrennt von Hosts aufzuf hren und Hosts durch Leerzeichen voneinander trennen Es sollten jedoch keine weiteren Le
527. wendiger Eintrag Driver Gibt an welchen Treiber der XFree86 Server laden muss um die Grafikkarte verwenden zu k nnen Eine Liste von Treibern kann in der Datei usr X11R6 1ib X11 Cards gefunden werden welche mit dem Paket hwdata installiert wird VendorName Gibt optional den Hersteller der Grafikkarte an BoardName Gibt optional den Namen der Grafikkarte an VideoRam Der RAM Speicher optional der Grafikkarte in Kilobytes Diese Einstellung ist normalerweise nicht notwendig da der XFree86 Server gew hnlich die Grafikkarte automatisch auf den verf gbaren Speicher pr ft Es gibt jedoch Grafikkarten die XFree86 nicht automatisch erkennen kann weswegen Ihnen diese Option die M glichkeit bietet manuell den Grafik RAM anzugeben BusID Gibt optional den Bus an in dem sich die Grafikkarte befindet Diese Option ist nur bei Systemen mit mehreren Karten notwendig e Screen Ein optionaler Eintrag der angibt welchen Anschluss der Grafikkarte dieser Device Abschnitt konfiguriert Diese Option ist nur bei Grafikkarten mit mehr als einem Anschluss n t zlich Wenn mehrere Monitore an eine Grafikkarte angeschlossen sind dann m ssen auch verschiedene Device Abschnitte mit einem jeweils unterschiedlichen Screen Wert zur Verf gung stehen Der Wert eines Screen Eintrags ist eine ganzzahlige Nummer Der erste Anschluss hat den Wert 0 und f r jeden weiteren Anschluss wird diese Zahl um eins erh ht
528. x gemeinsam hat Das root Dateisystem von GRUB ist die root Partition f r ein bestimmtes Ger t GRUB verwendet diese Angabe u a um das Ger t zu mounten und Dateien von diesem Ger t zu laden Nachdem GRUB die root Partition geladen hat die unter Red Hat Linux der boot Partition ent spricht und den Linux Kernel enth lt kann der Befehl kernel mit dem Speicherort der Kerneldatei Kapitel 2 Bootloader 15 als Option ausgef hrt werden Sobald der Linux Kernel bootet stellt er ein eigenes root Dateisystem ein Das urspr ngliche root Dateisystem von GRUB und die Mounts sind bereits vergessen Sie dienten lediglich dem Booten der Kerneldatei Weitere Informationen zu den Befehlen root und kernel finden Sie unter Abschnitt 2 6 2 5 GRUB Oberflachen GRUB bietet drei Oberfl chen welche unterschiedliche Stufen an Funktionalit t bieten Jede einzelne Oberfl che erm glicht das Booten des Linux Kernels und anderen Betriebssystemen Dabei handelt es sich um folgende Schnittstellen Menioberfl che Wurde GRUB vom Red Hat Linux Installationsprogramm automatisch konfiguriert wird diese Oberfl che standardm ig angezeigt Sie besitzt ein Men mit Betriebssystemen oder Kerneln die mit ihren eigenen Bootbefehlen vorkonfiguriert als Liste nach Namen geordnet angezeigt werden Anhand der Pfeiltasten k nnen Sie eine andere Option als die Standardauswahl w hlen Dr cken Sie die Enter Taste um diese Option zu booten Es kann auch eine
529. zer ist keine Zugriffskontrolle m glich mit Ausnahme der Berechtigungen f r Dateien und Verzeichnisse Mit anderen Worten wenn Sie ein Dateisystem via NFS auf einen Remote Host exportieren haben Sie die Berechtigung zum Mounten dieses Dateisystems Weiterhin erlauben Sie jedem Benutzer Kapitel 9 Network File System NFS 119 der Zugriff auf diesen Host hat Ihr Dateisystem zu verwenden Die dadurch entstehenden Risiken k nnen kontrolliert werden z B wenn nur im schreibgesch tzten Modus gemountet werden kann oder Benutzer zu einer allgemeinen Benutzer und Gruppen ID zusammengefasst werden Diese L sungen k nnen jedoch auch Auswirkungen auf die urspr nglich beabsichtige Art des Mountens haben Wenn eine nicht berechtigte Person die Kontrolle ber den DNS Server erlangt der vom System zum Exportieren des NFS Dateisystems verwendet wird kann das System dem ein bestimmter Hostname zugeordnet ist oder der komplette Domain Name auf einen nicht autorisierten Computer hinweisen An diesem Punkt ist dieser nicht autorisierte Computer das System das das NFS Share mounten kann bis zu dem Zeitpunkt an dem die Informationen ber den Benutzernamen oder das Passwort zur zus tzlichen Sicherheit der NFS Mounts ge ndert werden F r NIS Server bestehen die gleichen Risiken wenn NIS Netzgruppen verwendet werden um bestimmten Hosts das Mounten eines NFS Shares erlauben Wenn in etc exports IP Adressen verwendet werden ist das Risiko geringer
530. zu konfigurieren Das Red Hat Linux Handbuch Erster Schritte behandelt auch die Entwicklungsgeschichte von Linux die die wichtigsten Systembefehle GNOME KDE RPM und informiert auch ber viele andere grundle gende Themen Sie sollten also mit diesen beiden B chern beginnen Ihr Grundlagenwissen ber Red Hat Linux dann vertiefen Fr her oder sp ter werden Ihnen auch kompliziertere Konzepte sinnvoll erscheinen weil Sie die Grundgedanken dahinter bereits verstanden haben Au er den Red Hat Linux Handb chern stehen Ihnen auch viele andere hervorragende Dokumentati onsquellen zur Verf gung die sofern sie nicht gratis sind auch nicht viel kosten 2 1 1 Einf hrung in Linux Webseiten http www redhat com Auf der Red Hat Website finden Sie Links zum Linux Documentation Project LDP den Online Versionen der Red Hat Linux Handb cher den FAQs h ufig gestellte iv Einf hrung Fragen der Datenbank f r die Suche nach einer Linux Benutzergruppe in Ihrer N he und einer weiteren Datenbank mit Wissenswertem zu Linux u v m http www linuxheadquarters com Auf der Linux Headquarters Website finden Sie leicht ver st ndliche schrittweise Anweisungen zu einer Vielzahl von Linux Tasks 2 1 2 Einf hrung in die Linux Newsgroups Sie k nnen an den Newsgroups teilnehmen indem Sie den Diskussionen anderer Benutzer folgen die versuchen Probleme zu l sen oder indem Sie selbst aktiv Fragen stellen oder beantworten Er
Download Pdf Manuals
Related Search