SuSE Linux Office Server
Contents
1. Gateway leer DNS Konfiguration Ausgew hlt ist DNS deaktivieren Erweiterte Einstellungen Nach dem Neustart sollten die gerade installierten Protokolle bzw Dienste zur Verfiigung stehen Falls Sie Zugriff auf ein privates Anwenderverzeichnis erhal ten m chten m ssen Sie noch einige Einstellungen vornehmen Doppelklicken Sie dazu wieder in der Systemsteuerung auf Netzwerk und stellen Sie zuerst einmal sicher dass die Prim re Netzwerkanmel dung auf Client f r Microsoft Netzwerke steht w hlen Sie danach die Registerkarte Identifikation aus Hier m ssen Sie noch einige Angaben machen Computername und Beschreibung sind letztendlich egal bei ers terem muss lediglich darauf geachtet werden dass der Name aus nicht mehr als 15 Zeichen bestehen und keine Leerzeichen enthalten darf SUSE Linux Office Server SMOPUIM JOLUN suelo JOP pun JOAJOSSIl4 sep UOILLIN LUOM 29 30 Hinweis Wichtig ist die zu konfigurierende Arbeitsgruppe die standardm fig auf OFFICE eingestellt ist Verwenden Server und Client unter schiedliche Arbeitsgruppennamen kann kein einfacher Zugriff auf den Server erfolgen Hinweis Ist der SuSE Linux Office Server auf Domain konfiguriert m ssen Sie un ter der Registerkarte Zugriffssteuerung von Zugriffssteuerung auf Frei gabeebene auf Zugriffssteuerung auf Benutzerebene umschalten und un ter Benutzer und Gruppenlist2. 63 64 Weitere Informationen Dokumentation zum Paket bind8 file usr share doc packages bind8 html index html Eine Beispielkonfiguration finden Sie unter usr share doc packages bind8 sample config Die Manual Page von named man 8 named in der die einschl gigen RFCs genannt werden sowie besonders die Manual Page von named conf man 5 named conf DHCP Das so genannte Dynamic Host Configuration Protocol dient dazu Einstel lungen in einem Netzwerk zentral von einem Server aus zu vergeben statt die se dezentral an einzelnen Arbeitsplatzrechnern zu konfigurieren Ein mit DHCP konfigurierter Client verfiigt selbst nicht tiber statische Adressen sondern konfi guriert sich selbststandig nach den Vorgaben des DHCP Servers Dabei ist es sowohl m glich jeden Client anhand der Hardware Adresse seiner Netzwerkkarte zu identifizieren und st ndig mit denselben Einstellungen zu ver sorgen als auch Adressen aus einem daf r bestimmten Pool dynamisch an je den interessierten Rechner zu vergeben In diesem Fall wird sich der DHCP Server bem hen jedem Client bei jeder Anforderung auch ber l ngere Zeitr u me hinweg dieselbe Adresse zuzuweisen dies funktioniert nat rlich nicht wenn es mehr Rechner im Netz als Adressen gibt Ein Systemadministrator kann somit gleich in zweierlei Hinsicht von DHCP pro fitieren Einerseits ist es m glich selbst umfangreiche nderungen der Netzwerk Adressen
3. SUSE Linux Office Server SUDSHSSUSNDAUSA 4S Ueleg 79 80 Der Bootvorgang Verhindern Sie dass mit einer Diskette oder einer CD ROM gebootet werden kann indem Sie die Laufwerke ausbauen oder Sie ein BIOS Passwort setzen und im BIOS ausschlie lich das Booten von Festplatte erlauben Linux Systeme starten gew hnlicherweise mit einem Boot loader der es erlaubt zus tzliche Optionen an den zu startenden Kernel weiterzugeben Solche Optio nen sind im hohem Ma e sicherheitskritisch weil der Kernel ja nicht nur mit root Rechten l uft sondern die root Rechte von Anfang an vergibt Verhindern Sie dass jemand solche Optionen verwendet w hrend Ihr Rechner startet indem Sie die Optionen restricted und password irgendein_passwort in etc lilo conf verwenden Vergessen Sie nicht das Kommando 1ilo auszuf hren wenn Sie die Datei etc lilo conf ver ndert haben und achten Sie auf die Aus gaben des Programms Wenn Sie das Passwort vergessen m ssen Sie das BIOS Passwort kennen und von CD booten um den Eintrag in etc lilo conf aus einem Rettungssystem heraus zu lesen Zugriffsrechte Es gilt das Prinzip immer mit den niedrigst m glichen Privilegien fiir die jewei lige Aufgabe zu arbeiten Es ist definitiv nicht n tig seine emails als root zu lesen und zu schreiben Wenn das Mailprogramm MUA Mail User Agent mit dem Sie arbeiten einen Fehler hat dann wirkt sich dieser Fehler mit genau den Rech ten aus
4. erde ro root_squash ro Datei 1 Die Datei etc exports Die Datei etc exports wird von mountd und nfsd gelesen Wird also ei ne Anderung daran vorgenommen so miissen mountd und nfsd neu gestartet werden damit diese Anderung berticksichtigt wird Erreicht wird dies am ein fachsten mit dem Befehl erde rcnfsserver restart File und Print Service Sicherheit Firewall Ihr Server ist mittels eines einfach zu handhabenden Paketfilters vor Angriffen aus dem Internet gesch tzt Die Personal Firewall arbeitet praktisch wartungs frei und ist nach einem einzigen Konfigurationsschritt bereits einsatzbereit Im aktiven Zustand ffnet sie f r das interne Netz Verbindungen ins Internet l sst aber im Gegenzug keinen Verbindungsaufbau von au erhalb zu Da der SuSE Linux Office Server als reiner File Druckserver in einem privaten Netz konzipiert ist und keinerlei Services FTP HTTP etc im Internet anbietet ist er mit dieser L sung einfach aber sehr wirkungsvoll gesch tzt Ist Personal Firewall aktiviert werden alle Datenpakete abgelehnt die zu einer der drei folgenden Gruppen geh ren a UDP Pakete versuchte TCP Anfragen von au erhalb ICMP Redirect Subtypes mittels ICMP Redirects k nnte Ihr Rechner dazu gebracht werden seine Routingtabelle zu ndern Personal Firewall wird nur tiber eine einzige Variable konfiguriert die in der Da tei etc rc config d security rc config festgehalten wird Die
5. 100 Support 107 Kostenloser Installations Support o ooooo o ooo 107 Weitere Hinweise 2s boda Se 22600 03 Bush en 108 Kostenloser Installations Support bei der Server Installation per E Mail 109 Erweiterter Support bei der Office Server Installation 110 Support bei Fragen zur Samba und Netzwerkkonfiguration 111 Feedback Zu Sie 02 ee AS a ea Cae hie 111 Inhaltsverzeichnis Die Installation des SuSE Linux Office Server Auf den folgenden Seiten wird die Installation des SuSE Linux Office Servers mit YaST2 erkl rt Systemstart von CD ROM 2 0 ooo ooo oo 2 BegribungsbildschirM ooo 2 YaST2 bernimmt die Arbeit 3 Sprachauswahl 3 oa ead 52 42 Ze ua ey es 4 Mauszeiger so socne e a 22 ea aa ar man 4 Tastatur und Uhrzeit ociosos essa 5 Partition ausw hlen coc AR Ne ie ER AN 5 Logical Volume Manager LVM o o 9 Kryptofilesystem einrichten 13 Bootmanager f r den Systemstalt 13 Passwort f r den Systemadministrator 14 Administrator Account anlegen 15 IS MEE 16 Vorbereiten der Festplatte 16 Installation der Software Pakete 16 Bildschirm Einstellungen 17 Netzwerkkarte 19 Netzwerkkonfiguration initialisieren 20 Netzwerk Management o ooo oo 22 Status der Vorkonfigurierung 2
6. Der erste Fall in der Liste ist der realischtiste von allen Bei einer Bank miissen Sie einem Angestellten beweisen dass Ihnen der Zugriff auf Ihre Konten gestattet ist indem Sie mit Ihrer Unterschrift einer PIN oder mit einem Passwort beweisen dass Sie derjenige sind f r den Sie sich ausgeben In manchen F llen die mit Computern Betriebssystemen und Netzwerken vielleicht weniger zu tun haben w re es m glich durch das geschickte Erw hnen von bruchst ckhaften Kennt nissen von Gegebenheiten unterschiedlichster Art oder durch geschickte Rheto rik das Vertrauen eines Tr gers von Wissen zu erschleichen so dass dieser schritt weise mehr und mehr Information weitergibt wom glich ohne dass das Opfer dies bemerkt Manche Menschen sind so unvorsichtig mit ihren u erungen und unbewusst mit ihren Antworten dass auch die Antworten die sie f r nicht beant wortet halten genug Information enthalten um Fragen immer pr ziser zu stel len weil wie in einem Mosaik immer mehr Details bekannt werden Nein der Herr Meier ist im Urlaub und kommt erst in drei Wochen wieder Und im brigen ist er nicht mein Chef zumal er im vierten Stock sitzt und ich im dritten Man nennt dies in Hackerkreisen Social Engineering Gegen diese Art von Angriff hilft nur Aufkl rung und ein bewusster Umgang mit Information und Sprache Einbr chen auf Rechnersystemem geht oft eine Art Social Engineering Angriff etwa auf das Empfangspersonal Dienstleiste
7. Memory Test boot options linux F2 Text mode F3 VGA 640x480 F4 SVGA 800x600 Abbildung 1 1 Der Startbildschirm von SuSE Linux Systemstart von CD ROM Andere Optionen zur Installation Wenn Sie vor Ablauf der Wartezeit eine Taste dr cken ist der automatische Start unterbrochen und Sie k nnen in Ruhe andere Optionen w hlen Diese ben tigen Sie wenn es bei der Standard Einstellung Probleme mit der graphischen Darstel lung gibt Da erst nach einigen Dialogen und expliziter R ckfrage das eigentliche Installieren auf die Festplatte gestartet wird k nnen Sie bei Problemen jederzeit abbrechen und nach erneutem Booten andere Optionen w hlen Anderen Grafikmodus f r YaST2 Mit den Funktionstasten k nnen Sie den VGA 640x480 Grafikmodus w hlen der mit jeder Grafikkarte funktionieren sollte Im Notfall steht Ihnen auch der Textmodus zur Verf gung Im Text Modus von YaST2 springen Sie innerhalb eines Bildschirms mit der Tab Taste von Men punkt zu Men punkt und innerhalb eines Men s erfolgt die Aus wahl mit den Tasten T und Q und mit der Taste 1 wechseln Sie zum n chsten Bildschirm Andere Installationsoptionen Mit den Tasten T und Q k nnen Sie die anderen Systeme w hlen Wenn Sie Manual Installation w hlen haben Sie mehr Eingriffsm glich keiten insbesonders bei der Auswahl der zu installierenden Ger tetreiber Allerdings werden keine Treiber automatisch geladen Dies ist i d R nur f
8. ge vergehen so dass update Pakete vorhanden sind Nat rlich setzt dies voraus dass der Administrator die Security updates auch in seine Systeme einspielt Tipps und Tricks Allgemeine Hinweise Information F r einen effizienten Umgang mit dem Bereich Sicherheit ist es n tig mit den Entwicklungen Schritt zu halten und auf dem Laufen den zu sein was die neuesten Sicherheitsprobleme angeht Ein sehr guter Schutz gegen Fehler aller Art ist das schnellstm gliche Einspielen von update Paketen die von einem Security Announcement angek ndigt werden Die SuSE security announcements werden ber eine Mailingliste verbreitet in die Sie sich den Links unter http www suse de security folgend eintragen k n nen suse security announce suse de ist die erste Informationsquelle f r update Pakete die vom Security Team mit neuen Informationen beliefert wird Die Mailingliste suse security suse de ist ein lehrreiches Diskussionsfo rum f r den Bereich Sicherheit Sie k nnen sich auf der gleichen URL wie f r suse security announce suse de f r die Liste anmelden Eine der bekanntesten Sicherheitsmailinglisten der Welt ist die Liste bugt raq securityfocus com Die Lekt re dieser Liste bei durchschnittlich 15 20 Pos tings am Tag kann mit gutem Gewissen empfohlen werden Mehr Information finden Sie auf http www securityfocus com Einige Grundregeln die zu kennen n tzlich sein kann sind nachstehend aufge f hrt Vermeiden Sie es
9. Abbildung 5 2 YaST2 Modemkonfiguration Modem Einrichten eines Printservers Wie richtet man einen Printserver ein Welche Dinge muf man beachten Diese und andere Fragen beantwortet das vorliegende Kapitel O SJ9AJSSJULI SOUl USLYOUUIF 56 Die Problematik der GDI Drucker Am Markt befinden sich zahlreiche Drucker die mit der Beschriftung for Win dows versehen sind eine andere h ufige Bezeichnung ist GDI Drucker Der artige Ger te lassen sich oftmals gar nicht oder sind nur eingeschr nkt unter Li nux benutzen sehen Sie bitte in der Hardwaredatenbank unter http cdb suse de nach oder fragen Sie Ihren H ndler Bei reinen GDI Druckern verzichtet der Hersteller auf ein Standardprotokoll und spricht den Drucker direkt mit den Steuerimpulsen des speziellen Modells an Es muss jedoch gesagt werden dass es Drucker gibt die zus tzlich zum GDI Modus eine richtige Druckersprache verstehen Drucker einrichten Sie k nnen mit YaST2 lokale und Netzwerkdrucker hinzuf gen und einrichten Klicken Sie dazu im Startfenster auf Drucker YaST2 l dt nun die n tigen Ein stellungen f r die Druckerkonfiguration Abb 6 1 Druckerkonfigurationste Pruckerkonfigurationstool initialisieren Sie k nnen die Druckereinstellungen f r exenta el Druckerdatenbank laden k nnen sowohl lokale Makros laden als auch Netzwerkdrucker gt Umgebung pr fen einrichten A Aktuelle Einstel
10. Geometrie die das BIOS erkannt hat Diese Geometrie findet LILO sp ter beim Systemstart vor und muss mit ihr arbeiten Siehe das BIOS Setup eventuell auch das des SCSI Hostadapters falls vorhanden Beeinflussbar durch das BIOS Setup Bei Inkonsistenzen ist f r die Entscheidung Wo anpassen oft der Weg des ge ringsten Widerstandes die beste Methode Zur Problembeseitigung sind also folgende Daten zu erheben etc lilo conf Ausgabe des Befehls fdisk 1 Partitionierung oben genannte Logdateien Einstellungen des BIOS und des SCSI BIOS zu Ihren Festplatten Probleme mit LILO Die 1024 Zylinder Grenze i Hinweis Seit kurzer Zeit sind BIOS Versionen verf gbar die es erlauben Betriebs systeme oberhalb der 1024 Zylinder Grenze zu starten Die aktuell Versi on von LILO kann diese BIOS Erweiterung nutzen YaST und YaST2 wird Sie bei der LILO Konfiguration entsprechend ber die M glichkeiten Ihres BIOS informieren Sollte Ihr BIOS nicht ber diese Erweiterung verf gen sollten Sie hier unbedingt weiterlesen Hinweis e Wie schon mehrfach betont muss die gesamte LILO Startmaschinerie d h alle Daten die LILO zum Starten ben tigt mit BIOS Routinen allein zug nglich sein Welche Festplatten Bereiche demnach daf r in Frage kommen wir nennen das im Folgenden kurz zul ssiger Bereich haben wir dort bereits ausgef hrt Welche M glichkeiten l sst diese Einschr nkung nun offen Eigentlich noch
11. Inhalte oder bestimmte in HTML eingebettete Skriptsprachen JavaScript VBscript k nnen aber weder von Squid noch von SquidGuard in irgend einer Weise gefiltert zensiert oder gesperrt werden Finetuning Mit etwas Erfahrung k nnen Sie die Leistungsf higkeit Ihres Proxies noch verbessern indem Sie die gew nschte Cachegr e und die Speicher kapazit t Ihres Systems aufeinander abstimmen Auch durch die Verwen dung mehrerer Caches wird Ihr System entlastet da es dann mit anderen Caches Objekte austauschen kann Proxy Server Squid Weitere Informationen zu Squid Besuchen Sie die Homepage von Squid http www squid cache org Hier finden Sie den Squid User Guide und eine sehr umfangreiche Sammlung von FAOs zu Squid Unter anderem finden sich hier Informationen zu den Themen Verwendung mehrerer Caches Optimierung des Caches Aufstellen von ACLs und Aufbau der Konfigurationsdatei hierzu besonders empfehlens wert http squid visolve com squid24s1 contents htmmitausf hr lichen Erkl rungen zu den einzelnen Konfigurationsoptionen Informationen zur Verwendung eines Cache Managers finden Sie unter http www squid cache org Doc FAQ FAQ 9 html In diesem Zusammenhang auch interessant die Webseite von Calamaris einem Perl Skript das Cache Berichte in HTML oder ASCII Format erzeugen kann http Calamaris Cord de Sollten Sie Informationen ber SquidGuard ben tigen h lt die Homepage des Projek
12. Partition verschl sseln Partitionierung Passwort sus EI e se san Index Personal Firewall 222222220 48 69 Portmapper netten 67 Prntsevie han a 66 Proxy Server NEEN EEN siehe Squid R TA WITT iia ii ia TCHISSERVER nenne Real Audio it aio Rechnername reiserfs Rescue Diskette Rescue System Rettungssystem benutzen uk 100 Root Passwort S Samba eege Ate 58 Sicherheits ner ine 69 75 Bootvorgang 80 Buffer Overflow 84 Denial of Service siehe Sicherheit DoS DNS Poisoning 0665 85 EDOS ua na 84 AD ti eaters ee 87 Lokale Sicherheit 78 Man in the middle 85 Netzwerksicherheit 82 PASE WO en 79 RPM Signierungen 87 setgid A setuid Spoofing SuSE Fingerprint ooooocccoooooo 88 SUSE PGP Key 0 e see e eee 88 SuSE Schliissel 222 88 Ek CEET 86 s Viren sauer 82 o ehe nee 86 X Window 0 cece eee eee eee 83 Zugriffsrechte rsrsrs rirerire 80 SLOS ADSI a a ee 50 Arbeitsplatzkonfiguration f r Linux 38 Begr ung EN 2 Drucker einen 56 EE 48 Installation unser seen 1 Internet Zugang 47 ER EIERE 51 Linux Clients ooooooocccncccoco 38 EILVM nd Modem EINIS sad ayn O Partitionierung 05 7 8 Samba ansehen eins 39 Serverkonf
13. Reihenfolge ndern Nachfolgend die Schritte zum Starten des Rettungssystems 1 Legen Sie die SuSE Bootdiskette boot disk bzw die erste CD Ihres SuSE Linux in das CD ROM Laufwerk ein und schalten Sie Ihr System ein 2 Sie k nnen entweder das System durchbooten lassen oder Sie w hlen Ma nual Installation aus und k nnen dann falls notwendig bei den boot options Parameter angeben Im Folgenden ist es m glich festzulegen wel che Kernel Module geladen werden sollen 3 Nehmen Sie im linuxrc die erforderlichen Einstellungen f r die Sprache den Bildschirm und die Tastatur vor 4 W hlen Sie im Hauptmen den Punkt Installation System starten 5 Wenn Sie mit der Bootdiskette gestartet haben legen Sie nun die Installations CD oder die Diskette rescue mit dem komprimierten Abbild des Ret tungssystems ein 6 W hlen Sie im Men Installation System starten den Punkt Rettungssys tem starten und geben Sie dann das gew nschte Quellmedium an Im Anschluss ein paar Hinweise zu den Auswahlm glichkeiten SUSE Linux Office Server Bunqeueqie ye4 99 100 CD ROM Beim Laden des Rettungssystems wird der Pfad cdrom ex portiert Eine Installation ist so von dieser CD aus m glich Hinweis Sie m ssen die notwendigen Werte noch in SuSEconfig eintra gen Hinweis Netzwerk NFS Um das rescue System via NFS aus dem Netz zu la den ist es erforderlich
14. dd if cdrom disks bootdisk of dev fd0 bs 8k In der LIESMICH bzw der README Datei im disks Verzeichnis erfahren Sie welcher Kernel was kann diese Dateien k nnen Sie mit more oder less lesen Falls Sie spezielle Unterst tzung ben tigen ist anstelle von boot disk ein anderes Diskettenimage zu verwenden bei Problemen kann als Fallback Kernel k_i386 eingesetzt werden Probleme mit LILO Einige Richtlinien Zu Beginn ein paar einfache Richtlinien mit denen die meisten LILO Probleme von vorneherein vermieden werden k nnen entnommen dem LILO Benutzerhandbuch Keine Panik Wenn etwas nicht geht versuchen Sie erst den Fehler und die Ursache zu finden berpr fen Sie die Diagnose und beginnen Sie erst dann mit Ma nahmen zur Fehlerbehebung Halten Sie stets eine aktuelle und erprobte Bootdiskette bereit SuSE Linux enth lt eigenst ndiges Rettungssystem siehe Abschnitt Das SuSE Rettungssystem auf Seite 99 mit dem Sie an alle Linux Partit wieder herankommen Mit enthalten ist gen gend Werkzeug um die allermeisten Probleme mit unzug nglich gewordenen Festplatten zu l sen Lesen Sie die Dokumentation Vor allem dann wenn das System nicht tut was es Ihrer Meinung nach tun sollte Vor jedem Aufruf des Map Installers sbin 1ilo berpr fen Sie sorg f ltig die Konfigurationsdatei etc lilo conf Rufen Sie sbin 1ilo jedes Mal auf wenn irgendein Bestandteil der LILO Startmaschinerie oder d
15. den Alle Dienste die mit OK gekennzeichnet sind werden zuk nftig nach Wahl auf Weiter gestartet Dies gilt nicht f r das Internet Gateway Dieses m ssen Sie im installierten Sys tem konfigurieren Weitere Informationen finden Sie hierzu im Kapitel Internet Zugang f r Clients auf Seite 47 Netzwerk Management Abschluss der Installation Nachdem die SuSE Linux Office Server Grundkonfiguration beendet wurde f hrt das Linux System in den endg ltigen Betriebszustand hoch Auf dem Bildschirm erscheinen dabei wieder zahlreiche Meldungen Zum Abschluss der Installation muss SuSEconfig das installierte SuSE Linux System initialisieren Falls w hrend der Installation Fehler augetreten sind k nnen Sie diese im Proto koll der Installation einsehen Achtung Nachdem Sie die Installation abgeschlossen haben sind s mtliche Server dienste aktiv Falls Sie andere Rechner besitzen die genau dieselben Diens te anbieten kann es zu St rungen in Ihrem Netzwerk f hren Achtung _ Grafisches Login Der SuSE Linux Office Server ist nun installiert und Sie k nnen sich zum ers ten Mal an Ihrem System anmelden Auf Ihrem Monitor erscheint nun das grafi sche Login Geben Sie bei Benutzername den Loginnamen des Administrator Accounts ein den Sie in Abschnitt Administrator Account anlegen auf Seite 15 an gelegt haben M Achtung Aus Sicherheitsgr nden raten wir davon ab die grafische Umge bung
16. es sei angesichts der intakten Superblock Kopie alles in Ordnung Manual Page von e2fsck E2FSCK 8 E2FSCK 8 NAME e2fsck check a Linux second extended file system SYNOPSIS e2fsck pacnyrdfvstFSV b superblock B block size l L bad_blocks_file C fd j external journal device DESCRIPTION e2fsck is used to check a Linux second extended file sys tem e2fs E2fsck also supports ext2 filesystems coun taining a journal which are also sometimes known as ext3 filesystems device is the special file corresponding to the device e g dev hdcl OPTIONS a This option does the same thing as the p option It is provided for backwards compatibility only it is suggested that people use p option whenever possible b superblock Instead of using the normal superblock use an alternative superblock specified by superblock This option is normally used when the primary superblock has been corrupted The location of the backup superblock is dependent on the filesystem s blocksize For filesystems with 1k blocksizes a backup superblock can be found at block 8193 for filesystems with 2k blocksizes at block 16384 and for Ak blocksizes at block 32768 Additional backup superblocks can be determined by using the mke2fs program using the n option to print out where the superblocks were created The b option to mke2fs which specifies blocksize of the filesystem must be specified in order for th
17. nderung von Parti tionen Angenommen Sie haben nicht mehr geniigend Speicher auf einer Ihrer SuSE Linux Office Server JOAIOS SOWO XNUN ASNS SEP UODIOISU SIG Festplattenpartitionen z B auf home Mit LVM k nnen Sie dieses Problem ein fach l sen indem Sie der Partition neue Speichereinheiten zuweisen entweder von der gleichen Platte oder von anderen Platten auf Ihrem System Weitere Informationen ber die Konfiguration des Logical Volume Manager LVM finden Sie im offiziellen LVM Howto unter http www suse de en support oracle docs lvm_whitepaper pdf oder unter usr share doc howto en html LVM HOWTO html Konfiguration von LVM mit YaST2 Unter YaST2 k nnen Sie die Konfiguration von LVM starten indem Sie wahrend der Startphase der Festplattenvorbereitung siehe Abbildung 1 5 auf Seite 7 Be nutzerdefinierte Partitionierung mit LVM wahlen LVM Partitionierung Zuerst erscheint folgender Dialog siehe Abb 1 8 Hier k nnen Sie die Partitio nierung Ihrer Festplatte ndern Legen Sie je nach Bedarf Partitionen oder Volu mes an Aufteilung der 1 Schritt LYM Setup Partitionierer Festplatte n Dieser Dialog ist f r Kenner gedacht Wenn Ihnen der Begriff Partition nichts sagt sollten Sie die automatische Installation bevorzugen Klicken Sie in diesem Fall bitte jetzt auf Zur ck Bitte beachten Sie dass keine Anderungen an Ihren Festplatten vorgenommen werden solange Sie nich
18. oder der Internet Domain bei Anschluss an das Internet welche standardm ig OFFICE heisst Durch diese Belegung wird auch die NI Dom ne gesetzt Tipp M chten Sie die NI Dom ne ndern starten Sie im sp ter installierten System YaST2 und w hlen das Samba Modul an welches sich unter Netz werk Erweitert befindet ndern Sie dies jedoch nur wenn es unbedingt erforderlich ist Tipp Die lokale Domain dient der Identifizierung der Rechner bei Verwendung des TCP IP Protokolls und wird an die am lokalen Netz angeschlossenen Clients au tomatisch weitergereicht Tipp Wenn Sie keine Domain bei Ihren anderen Computern definiert haben k nnen sie den Eintrag Domainname unangetastet lassen Unter Host namen k nnen Sie Ihrem Server einen beliebigen Namen geben Tipp Die Internet Domain dient der Identifizierung eines Netzwerks im Internet und m sste registriert werden Da es sich hier aber um ein lokales von aussen Dank der Firewall nicht zug ngliches Netzwerk handelt ist die Internet Domain hier ohne Belang Wenn dieser Server Ihr erster Computer im Netzwerk ist brauchen Sie die vorge schlagene IP Adresse und Netzwerkmaske nicht zu ver ndern Andernfalls star ten Sie auf einem Windows Client eine DOS Shell und geben ipconfig ein Der SuSE Linux Office Server JOAIOS SOWO XNUI ASNS SEP UODIOISU SIG 21 22 Befehl zeigt Ihnen die IP Adresse Ihres Clients an W
19. ohne dass Sie sich darum k mmern m ssten sind folgende Caching von Webseiten Alle Clients aus dem internen Netz k nnen vom Caching der angeforderten Webseiten profitieren Zugangsbeschr nkung auf das eigene Netz die Konfiguration des Squid ist so ausgelegt dass nur lokale Clients Zugang zu seinen Diensten haben Cache Management Mittels des Programms Cache Manager k nnen bei gleichzeitig eingerichtetem Webserver Apache auf Ihrem Server jederzeit aktuelle Statistiken dar ber angefordert werden in welcher Gr enord nung Squid Speicher zum Caching ben tigt Sie k nnen diese Grundfunktionalit ten nat rlich noch um manch andere n tzli che Funktion erg nzen Dazu ver ndern Sie die Konfigurationsdatei etc squid conf entsprechend N tzliche Erweiterungen waren z B Verfeinerte Zugangsregeln zum Internet mittels ACLs engl Access Control Lists k nnen Sie den Internetzugriff f r bestimmte Benutzergruppen beispiels weise auf bestimmte Tageszeiten beschr nken Hier ein Beispiel acl meinesurfer srcdomain meine domain com acl lehrer src 192 168 1 0 255 255 255 0 acl studenten src 192 168 7 0 192 168 9 0 255 255 255 0 SUSE Linux Office Server noyoseB uassiny SIP Jeu SIsUSIPYIOMZION 71 acl mittags time MTWHF 12 00 15 00 http_access allow localhost http_access allow lehrer http_access allow studenten mittags http_access deny all Datei 2 Ausschnitt aus einer squid conf mit Zuga
20. setzen Sie bitte der Reihe nach die Geraten amen engl devices Ihrer Festplatten ein z B hda Dateisysteme reparieren Beschadigte Dateisysteme sind ein besonders ernster Anlass fiir den Griff zum Rettungssystem Dies kann z B nach einem unsauberen Shutdown wie bei Strom ausfall oder einem Systemabsturz vorkommen Dateisysteme lassen sich grund s tzlich nicht im laufenden Betrieb reparieren Bei schwereren Sch den l sst sich unter Umst nden nicht einmal das Root Dateisystem mehr mounten und der Systemstart endet in einer kernel panic Da bleibt nur der Weg die Reparatur von au en unter einem Rettungssystem zu versuchen Im SuSE Linux Rettungssystem sind die Utilities e2fsck und dumpe2fs zur Dia gnose enthalten Damit beheben Sie die meisten Probleme Und da auch im Not fall oft die Manual Page von e2fsck nicht mehr zug nglich ist ist sie im An hang A auf der n chsten Seite ausgedruckt Beispiel Wenn sich ein Dateisystem wegen eines ungiiltigen Superblocks nicht mehr mounten l sst wird das Programm e2fsck vermutlich zun chst ebenfalls schei tern Die L sung ist die im Dateisystem alle 8192 Bl cke 8193 16385 angelegt und gepflegten Superblock Backups zu verwenden Dies leistet z B der Befehl SuSE Linux Office Server Bungsyaqlejuay 101 erde e2fsck f b 8193 dev Defekte Partition Die Option f erzwingt den Dateisystem Check und kommt damit dem m gli chen Irrtum von e2fsck zuvor
21. Bei der Einrichtung Ihres Internetzugangs ber Modem oder ISDN werden Sie in der YaST2 Maske Verbindungsparameter beziehungsweise Parameter f r ei ne ISDN Verbindung gefragt ob die Firewall aktiviert werden soll W hlen Sie diese Option an kommt dies einem Eintrag masq Interface Name in die Datei etc rc config d security rc config gleich Per Masquerading werden alle Netzwerkpakete die von internen Clients fiir das Internet bestimmt sind nicht mit der Netzwerkadresse ihres Ursprungs versehen sondern erscheinen nach au en hin so als k men sie von dem im Internet bekannten Netzwerkin terface Ihres Servers So wird zum einen das interne Netz zus tzlich dadurch gesch tzt dass die einzelnen Clients nur lokal bekannt sind zum anderen wird so Adressraum fiir Internetadressen eingespart Sollten Sie die Firewall nicht ak tivieren ist der Netzwerkverkehr tiber Ihre Internetanbindung vollig ungefiltert gleichbedeutend mit einem no in der Konfigurationsdatei Proxy Server Squid In den folgenden Abschnitten wird erl utert wie das Caching von Webseiten mit Hilfe eines Proxy Servers funktioniert und welchen Nutzen Squid fiir Ihr Sys tem hat Squid ist der am weitesten verbreitete Proxy Cache fiir Linux UNIX Plattformen Was ist ein Proxy Cache Squid fungiert als Proxy Cache Es verh lt sich wie ein Makler der Anfragen von Clients erh lt in diesem Fall Web Browser und an den zust ndigen Server Provider weiterle
22. Geben Sie dann das ISDN Protokoll an und schlie en Sie mit Weiter ab In der nachfolgenden Maske be stimmen Sie Ihr Land und Ihren Provider Bei den hier aufgelisteten Anbietern handelt es sich um Call by Call Provider SUSE Linux Office Server SLUSIID JNJ BUP NZ ISUJS1U 51 52 Achtung Bei dial on demand d h W hlautomatik steht auf automatisch ist nur ein Provider ausw hlbar Achtung y Wenn Sie Ihren Provider in der Liste nicht finden dann finden Sie hinter Neu eine Eingabemaske ISP Parameter mit deren Hilfe Sie einem Provider konfi gurieren k nnen Bei ISDN Typ ist ISDN SyncPPP der Standard Bei Name fiir die Verbindung geben Sie den Namen des Providers ein z B T Online und dann dessen Telefonnummer Die Telefonnummer darf keinerlei Trennungen wie Komma oder Leerzeichen enthalten Geben Sie au erdem den Benutzernamen und das Passwort ein das Sie von Ihrem Provider erhalten haben Hinweis Da sich Providerdaten relativ schnell ndern kann es vorkommen dass die in YaST gespeicherten Daten inzwischen ung ltig sind Probieren Sie einfach verschiedene der angegebenen Provider aus Hinweis Weiter geht es mit den Parametern f r eine ISDN Verbindung Hier erfordern folgende Situationen unterschiedliche Angaben f r die Eigene Telefonnummer 1 Die ISDN Karte ist direkt am NTBA Telefondose der Telekom angeschlos sen Es gibt ein
23. Leserechten exportiert root_squash Diese Option bewirkt dass der Benutzer root des an gegebenen Rechners keine f r root typischen Son derrechte auf diesem Dateisystem hat Erreicht wird dies indem Zugriffe mit der User ID 0 auf die User ID 65534 2 umgesetzt werden Diese User ID sollte dem Benutzer nobody zugewiesen werden Vorgabe Tabelle 7 2 Fortsetzung auf der n chsten Seite SUSE Linux Office Server 67 68 no_root_squash link_relative link_absolute map_identity map_daemon Rootzugriffe nicht umsetzen Rootrechte bleiben also erhalten Umsetzen von absoluten symbolischen Links solche die mit beginnen in eine entsprechende Folge von Diese Option ist nur dann sinnvoll wenn das gesamte Dateisystem eines Rechners gemountet wird Vorgabe Symbolische Links bleiben unver ndert Auf dem Client werden die gleichen User IDs wie auf dem Server verwendet Vorgabe Client und Server haben keine bereinstimmenden User IDs Durch diese Option wird der nfsd angewie sen eine Umsetztabelle fiir die User IDs zu erstellen Voraussetzung dafiir ist jedoch die Aktivierung des Daemons ugidd Tabelle 7 2 Zugriffsrechte fiir exportierte Verzeichnisse Die export s Datei kann beispielsweise aussehen wie Datei 1 etc exports home usr x11 usr lib texmf home ftp End of exports sonne rw venus rw sonne ro venus ro sonne ro venus rw
24. Manuela Piotrowski Thomas Schraitle Satz KIEX Dieses Buch ist auf 100 chlorfrei gebleichtem Papier gedruckt Willkommen Der SuSE Linux Office Server ist ein ideale Werkzeug fiir kleine Firmennetzwer ke die fiir den Betrieb ohne eigenen Systemadministrator konzipiert sind Dieser Server bietet Ihnen f r Ihre Clients Internet und Intranet aus einem Guss Fileser ver Printserver Internet Gateway mit Proxy und Firewall Der SuSE Linux Office Server l sst sich relativ einfach installieren und im laufen den Betrieb unkompliziert betreuen Sollten Sie spezielle ber die vorkonfigurierten Einstellungen hinausgehende Anforderungen haben unterst tzt Sie unser professioneller Support Der im Vergleich zu anderen Produkten robuste SuSE Linux Office Server verf gt ber lange Release Zyklen Er kombiniert die erwiesene Stabilit t eines Linuxsys tems mit permanenter Aktualit t Sie k nnen Online Updates jederzeit automa tisch einspielen Zudem schont er auch Ihre finanziellen Ressourcen SuSE hat den SuSE Linux Office Server konzipiert um Ihnen zu helfen im kri tischen Bereich Netzwerk Produktivit t und Profitabilit t Ihres Unternehmens abzusichern damit Sie sich aufs Wesentliche konzentrieren k nnen Ihr SuSE Team Inhaltsverzeichnis 1 Die Installation des SuSE Linux Office Server Systemstart von CD ROM o o o oooooooo ooo o Besru ungebildschirm lt se ss arar a ae ee ii Andere Optionen zur Insta
25. Name Service DNS verwaltet Namen und IP Adresse Ihrer lokalen Rechner und holt Namensinformationen aus dem ge samten Internet Konfiguration der Netzwerkinterfaces Die Vergabe von IP Adressen f r Ihre internen Clients wird Ihnen abgenommen per DHCP engl Dynamic Host Configuration Protocol Verwaltung und Verteilung von Systemdateien Wichtige Benutzerdaten k n nen in einer zentralen Datenbank verwaltet und gewartet werden Der Ex port erfolgt ber NIS engl Network Information System Domain Name Service DNS sorgt daf r dass Sie sich keine IP Adressen merken m ssen Mit Hilfe von DNS kann eine IP Adresse einem oder sogar mehreren Namen zugeordnet werden umgekehrt aber auch eine Name einer IP Adresse Unter Linux kann diese Um wandlung blicherweise von einer speziellen Software namens bind erledigt werden Der Rechner der diese Umwandlung dann erledigt nennt sich Nameserver Dabei bilden die Namen wieder ein hierarchisches System in dem die einzel nen Namensbestandteile durch Punkte getrennt sind Die Namenshierarchie ist unabh ngig von der oben beschriebenen Hierarchie der IP Adressen Schauen wir uns einmal einen vollst ndigen Namen an laurent suse de Rechnername Domain Ein vollst ndiger Name fully qualified domain name kurz FODN besteht aus einem Rechnernamen und einem Domainteil Dabei wird der Domainteil aus einem frei w hlbaren Anteil im obigen Beispiel suse und der so genannten
26. Pakete Zum Abschluss der Installation der Software Pakete wird LILO installiert und da nach wird ein Linux Basissystem gestartet Auf dem Bildschirm erscheinen dabei wieder zahlreiche Meldungen Hinweis Je nach Einstellung die Sie f r die Installation von LILO gew hlt haben k nnen Sie aufgefordert werden eine Diskette einzulegen um die Boot diskette zu erstellen Beachten Sie bitte dass dabei alle auf dem Datentr ger befindlichen Daten gel scht werden Hinweis al Bildschirm Einstellungen Falls der angeschlossene Monitor nicht automatisch erkannt wurde k nnen Sie das Modell aus der angezeigten Liste ausw hlen vgl Abbildung 1 15 auf der n chsten Seite Einige technische Daten des ausgew hlten Modells horizontale HSync und ver tikale VSync Ablenkfrequenz werden im unteren Teil des Bildschirms einge blendet Falls das gew nschte Modell nicht in der Liste verf gbar ist k nnen Sie die Daten manuell in die Eingabefelder eingeben oder vordefinierte Einstel lungen Vesa Modi w hlen Bitte entnehmen Sie die entsprechenden Werte dem Handbuch zu Ihrem Monitor W Achtung SuSE Linux Office Server 191198 SOWO XNUI ASNS s p UOULDIDISUL SY Bitte geben Sie den Angaben zum Monitor festlegen Hersteller und das Hersteller Modell Ihres Monitors an Falls Sie Ihren Bildschirm hier nicht Kein X11 LCD VESA finden geben Sie bitte en See VESA an die meisten Monitore sind
27. Sie aus dem Men Start gt Systemeigenschaften Rufen Sie die Kategorie Netzwerk und Internetver bindung auf danach Netzwerkverbindungen 5 Rufen Sie im Men Erweitert gt Netzwerk Identifikation auf 6 W hlen Sie den Reiter Computername und dort den Button ndern an siehe Abb 2 2 auf der n chsten Seite 7 Ein Fenster ffnet sich Im Feld Computername k nnen Sie einen belie bigen Namen vergeben unter Domain tragen Sie die NT Dom ne stan dardm ig ist dies OFFICE ein SUSE Linux Office Server SMOPUIM JOLUN suelo JOP pun JOAJOSSII4 sep UOLLOUNBYUoy Systemeigenschaften PR Si ystemwiederherstellung Automatische Updates Remote Allgemein eo Lomputemame Hardware Erweitert lt g Folgende Informationen werden zur Erkennung des Computers im P Netzwerk verwendet Computerbeschreibung Rechner Platz1 Zum Beispiel Spielcomputer oder Heikes Computer Computemame RECHNER1 Arbeitsgruppe OFFICE Klicken Sie auf Netzwerkkennung um sich einer Netzwerkkennung Dom ne anzuschlie en und ein lokales Benutzerkonto zu erstellen Klicken Sie auf ndern um diesen Computer Anke umzubenennen oder sich einer Dom ne anzuschlie en Abbildung 2 2 Systemeigenschaften bei Windows XP Der Test kann beginnen Um einen ersten Funktionstest durchf hren zu k nnen gehen Sie wie folgt vor 1 Starten Sie Ihren Rechn
28. Top Level Domain TLD gebildet Aus historischen Gr nden ist die Zuteilung der TLDs etwas verwirrend So werden in den USA dreibuchstabige TLDs verwendet anderswo immer die aus zwei Buchstaben bestehenden ISO L nderbezeichnungen In der Tabelle 7 1 auf der n chsten Seite sind verschiedene TLDs ohne Anspruch auf Vollst ndigkeit auf gef hrt um Ihnen einen ersten Eindruck zu geben Grunafunktionen com engl Commercial Firmen in den USA edu engl Educational Schulen Universit ten und andere nichtkom merzielle Bildungseinrichtungen der USA gov engl Government Staatliche Einrichtungen und Regierungsstellen der USA org engl Organizational Nichtkommerzielle Organisationen der USA de Rechner in Deutschland at Rechner in sterreich Tabelle 7 1 Verschiedene Top Level Domains Wie Sie sehen erhalten die Rechner in Deutschland blicherweise de Rechner in Osterreich at und Rechner in der Schweiz die TLD ch An der Spitze der Hierarchie befinden sich die so genannten Root Nameserver Diese Root Nameserver verwalten die Top Level Domains Die Root Nameserver werden vom Network Information Center kurz NIC verwaltet Der Root Nameserver kennt jeweils die fiir eine Top Level Domain zust ndigen Nameserver Im Falle der deutschen Top level domain de ist das DE NIC fiir die Domains zust ndig die mit der TLD de aufh ren Mehr Informationen zum DE NIC erhalten Sie auf der Website http www denic de
29. Ueleg 89 Fehlerbehebung Falls Sie Probleme besitzen kann Ihnen das Kapitel vielleicht die n tigen Hinter grundinformationen geben Bootdiskette erstellen 92 Probleme mit LILO dica war a RT er a a 94 Das SUSE Rethunessystem 22 23 pe oror heated aa 99 Bungsysqusiys 92 Bootdiskette erstellen Bootdiskette unter DOS erstellen Voraussetzung Sie brauchen eine formatierte 3 5 Zoll HD Diskette und ein 3 5 Zoll Disketten Laufwerk das auch bootf hig sein muss Falls Sie unter Windows arbeiten Star ten Sie setup nicht in der MS DOS Box sondern im MS DOS Modus Zusatzinfo Auf der CD 1 im Verzeichnis disks sind einige Diskettenabbilder Images ent halten Solch ein Image kann mit geeigneten Hilfsprogrammen auf eine Diskette kopiert werden die Diskette nennt sich dann Bootdiskette Auf diesen Diskettenimages sind au erdem noch der Loader Syslinux und das Programm linuxrc drauf Syslinux erlaubt es Ihnen w hrend des Bootvorganges den gew nschten Kernel auszuw hlen und bei Bedarf Parameter ber die ver wendete Hardware zu bergeben Das Programm linuxrc unterst tzt Sie beim Laden der Kernelmodule speziell f r Ihre Hardware und startet schlie lich die Installation Die mitgelieferte SuSE Bootdiskette k nnen Sie im Normalfall als Bootdiskette einsetzen Nur bei exotischer Hardware die vom modularisierten Kernel dieser Diskette nicht unterst tzt wird oder wenn Sie sich ein Disket
30. absicht lich freigegeben haben legacy Problem Offene ports mit socket Zustand LISTEN finden Sie mit dem Programm net stat Als Optionen bietet sich an netstat apodernetstat anp zu verwenden Mit der p Option k nnen Sie gleich sehen welcher Prozess mit welchem Namen den Port be legt Vergleichen Sie die Ergebnisse die Sie haben mit einem vollst ndigen Ports can Ihres Rechners von au en Das Programm nmap ist daf r hervorragend geeignet Es klopft jeden einzelnen Port ab und kann anhand der Antwort Ihres Rechners Schl sse ber einen hinter dem Port wartenden Dienst zie hen Scannen Sie niemals einen Recher ohne das direkte Einverst ndnis des Administrators denn dies k nnte als aggressiver Akt aufgefasst werden Denken Sie daran dass Sie nicht nur TCP Ports scannen sollten sondern auf jeden Fall auch UDP Ports Optionen sS und sU a Zur zuverl ssigen Integrit tspr fung der Dateien in Ihrem System sollten Sie tripwire benutzen und die Datenbank verschl sseln um sie gegen manipulative Zugriffe zu sch tzen Dar ber hinaus brauchen Sie auf je den Fall ein backup dieser Datenbank au erhalb der Maschine auf einem eigenen Datentr ger der nicht ber einen Rechner mit einem Netzwerk verbunden ist u Seien Sie vorsichtig beim Installieren von Fremdsoftware Es gab schon F l le wo ein Angreifer tar Archive einer Sicherheitssoftware mit einem troja nischen Pferd versehen hat Zum Gl ck wurde dies schnell bemerkt W
31. als root zu arbeiten entsprechend dem Prinzip die ge ringst n tigen Privilegien f r eine Aufgabe zu benutzen Das verringert die Chancen f r ein Kukuksei oder einen Virus und berdies f r Fehler Ihrer seits Benutzen Sie nach M glichkeit immer verschl sselte Verbindungen um Arbeiten remote auszuf hren ssh secure shell ist Standard vermeiden Sietelnet ftp rsh und rlogin Benutzen Sie keine Authentifizierungsmethoden die alleine auf der IP Adresse aufgebaut sind Tipps und Tricks Allgemeine Hinweise Halten Sie Ihre wichtigsten Pakete f r den Netzwerkbereich immer auf dem neuesten Stand und abonnieren Sie die Mailinglisten f r announce ments der jeweiligen Software z B Beispiel bind sendmail ssh Das selbe gilt f r Software die nur lokale Sicherheitsrelevanz hat Optimieren Sie die Zugriffsrechte auf sicherheitskritische Dateien im Sys tem indem Sie die etc permissions Datei Ihrer Wahl an Ihre Bed rf nisse anpassen Ein setuid Programm welches kein setuid bit mehr hat mag zwar nicht mehr wirklich seine Aufgabe erledigen k nnen aber es ist in der Regel kein Sicherheitsproblem mehr Mit einer hnlichen Vorgehens weise k nnen Sie auf welt schreibbare Dateien und Verzeichnisse losgehen Deaktivieren Sie jegliche Netzwerkdienste die Sie auf Ihrem Server nicht zwingend brauchen Das macht Ihr System sicherer und es verhindert dass Ihre Benutzer sich an einen Dienst gew hnen den Sie nie
32. cklicherweise gibt er hier eine einfache und sehr kom fortable L sung die Verkn pfung von Netzlaufwerken des Servers mit Lauf werksbuchstaben Wahlen Sie unter Windows 9x ME im Windows Explorer den Punkt Extras gt Netzlaufwerk verbinden an Im nun erscheinenden Fenster haben Sie die M g lichkeit das unter Pfad zu spezifizierende Verzeichnis mit einem Laufwerks buchstaben zu verkn pfen Wenn Sie beispielsweise serverl public mit E verbinden steht Ihnen der Inhalt des ffentlichen Verzeichnisses des SuSE Linux Office Server als virtuelles Laufwerk E zur Verf gung Bitte beachten Sie dass diese Verkn pfung mit dem Herunterfahren des Rechners entfernt wird und somit beim n chsten Start des Windows Systems nicht mehr zur Verf gung steht W nschen Sie dass diese Laufwerks Verkn pfung auch beim n chsten Systemstart wieder funktioniert aktivieren Sie bitte den Punkt Verbindung beim Start wiederherstellen Arbeitsplatzkonfiguration f r Windows XP Standardkonfiguration Die Einrichtung von Windows XP f r den Dateiserver Dienst des SuSE Linux Of fice Server unterscheidet sich prinzipiell nicht wesentlich von der Konfiguration die wir im vorangegangen Kapitel f r Windows 9x ME beschrieben haben Na t rlich kann auch Windows XP nicht ohne funktionierende Netzwerkkarte auf SUSE Linux Office Server SMOPUIM JOLUN sjual O JOP pun JSAJOSEII4 sep UOILLIN L UOY 31 den SuSE L
33. dass Sie den Treiber f r Ihre Netzwerkkarte zuvor geladen haben Netzwerk FTP Um das rescue System via FTP aus dem Netz zu la den ist es erforderlich dass Sie den Treiber f r Ihre Netzwerkkarte parat haben Festplatte Laden Sie das rescue System von der Festplatte aus Diskette Das rescue System kann auch von Diskette gestartet werden vor allem wenn der Rechner ber wenig Arbeitsspeicher verf gt Welches Medium Sie auch gew hlt haben das Rettungssystem wird dekompri miert und als neues Root Dateisystem in eine RAM Disk geladen gemountet und gestartet Es ist damit betriebsbereit Das Rettungssystem benutzen Das Rettungssystem stellt Ihnen unter Alt FI bis Alt F3 mindestens drei vir tuelle Konsolen zur Verf gung an denen Sie sich als Benutzer root ohne Pass wort einloggen k nnen Mit kommen Sie zur Systemkonsole mit den Meldungen von Kernel und syslog In dem Verzeichnis bin finden Sie die Shell und Utilities z B mount Wichtige Datei und Netz Utilities z B zum berpr fen und Reparieren von Dateisyste men e2fsck liegen im Verzeichnis sbin Des Weiteren finden Sie in diesem Verzeichnis auch die wichtigsten Binaries f r die Systemverwaltung wie fdisk mkfs mkswap init shutdown sowie f r den Netzwerkbetrieb ifconfig route und netstat Als Editor ist der vi unter usr bin verf gbar hier sind auch weitere Tools grep find less etc wie auch das Prog
34. die Anfrage ein VORNAME Honigtau NAME Dr Bunsenbrenner FIRMA Muppetshow Laboratorium STRASSE Sesamstr 4711 LZ 00815 RT Timbuktu LAND Deutschland REGCODE XXXXXX EMAIL bunsen nowhere de o TO Liebes SuSE Support Teanm ich habe hier in meinem Muppet Laboratorium ein kleines Problem Nach der Installation des SuSE Linux Office Server kommt nach dem Booten des Kernels die Fehlermeldung Unable to open an initial console E Ich habe einen Pentium 400 mit 128 MB RAM und eine 8 GB IDI Festplatte Was mache ich falsch Mit freundlichen Gruessen auch von meinem Assistenten Beeker Ihr Dr Honigtau Bunsenbrenner lt bunsen nowhere de gt SuSE Linux Office Server 109 110 habe ich ein Problem mit Lilo Hier ist der wichtige Teil meiner etc lilo conf schnipp Linux bootable partition config begins image boot vmlinuz root dev sda2 label linux 2 0 36 Linux bootable partition config ends Sie erreichen den Installationssupport Via Daten Bearbeitung E Mail support suse de ganzw chig WWW Formular E Mail Online Webformular ganzwochig Fax Fax Nummer 0421 526 2350 ganzw chig siehe http support suse de de services anfrage onlineform html Erweiterter Support bei der Office Server Installatio Auch bei Fragen und Problemen die ber den Rahmen des kostenlosen Installa tionssupports hinaus gehen lassen wir si
35. die Sie zum Zeitpunkt des Aktivwerdens des Angriffs hatten Hier geht es also auch um Schadensminimierung Die einzelnen Rechte der weit ber 200 000 Dateien einer SuSE Distribution sind sorgf ltig vergeben Der Administrator eines Systems sollte zus tzliche Software oder andere Dateien nur unter gr tm glicher Sorgfalt installieren und beson ders gut auf die vergebenen Rechte der Dateien achten Erfahrene und sicher heitsbewusste Admins verwenden bei dem Kommando 1s stets die Option 1 f r eine ausf hrliche Liste der Dateien mitsamt den Zugriffsrechten so dass sie eventuell falsch gesetzte Dateirechte gleich erkennen k nnen Es sei bemerkt dass ein falsch gesetztes Attribut durchaus nicht nur bedeuten kann dass Dateien berschrieben oder gel scht werden k nnten sondern dass die ausgetauschten Dateien ja auch von root ausgef hrt oder im Fall von Konfigurationsdateien von Programmen als root benutzt werden k nnten Damit w rde ein Angrei fer seine Rechte betr chtlich ausweiten k nnen Man nennt solche Angriffe dann Kukukseier weil das Programm das Ei von einem fremden Benutzer Vogel ausgef hrt ausgebr tet wird hnlich wie der Kukuk seine Eier von fremden V geln ausbr ten l sst SuSE Systeme verf gen ber die Dateien permissions permissions easy permissions secure und permissions paranoidim Verzeichnis etc In diesen Dateien werden besondere Rechte wie etwa welt schreibbare Verzeichnis se oder setuser ID bits
36. edy a Gow g Standardkenhguration eu 2er 2er is aa a Erweiterte Konfiguration o use nn Expertenk nfisifation 23 oe ea en an Arbeitsplatzkonfiguration allgemein Arbeitsplatzkonfiguration f r Windows 9x ME Standardkonfiguration A scsi aa ara Erweiterte Einstellungen cocs 2 a p a bao ea ee Arbeitsplatzkonfiguration f r Windows XP Standardkontigiiration Ae 0 2 ah a a a Erweiterte Konhiguration EE EELER E AA RE ada OG eae he ads Fehlerbehebung d e al lo daha ee A ae ea Konfiguration von Fileserver und Arbeitsplatz unter Linux Intra Net Das ffentliche Verzeichnis public_html Zugriff auf das ffentliche Verzeichnis o Globale Webseiten im Intra Net En nn Inhaltsverzeichnis 25 26 26 26 27 27 28 28 29 31 31 33 34 35 37 38 38 39 5 Internet Zugang f r Clients 47 Grundlagen einer Internetverbindung 48 Das Internet a1 war a Sel A A hs 48 Die IP Adresse 2 2 4434 de hae be ahnen 48 Hinweise zu allen Arten des Internetzugangs 48 Internetverbindung und lokales Netzwerk 49 T DSL und ADSL in Deutschland 2 o o ese Ge ee ee rr 50 ISDN o se Soho hee bea ete tee be Eee eS ee ees 51 Modem oc bedi owe ch bh oN bbe be bee ee edhe eds 53 6 Einrichten eines Printservers 55 Die Problematik der GDI Drucker 2 0 56 Drucker eintichtea A A 20 8 het eee GA E 5
37. ein Na me eines Benutzers z B David sein Geben Sie die ben tigten Daten ein und best tigen Sie mit Weiter 5 berpr fen Sie Ihre Einstellungen und wenn Sie zufrieden damit sind kli cken Sie auf Weiter 6 Dieser Schritt ben tigt der Name einer Arbeitsgruppe Geben Sie diesen unter Arbeitsgruppenname ein und w hlen Sie Weiter Za Uberpriifen Sie die Informationen die Ihnen nun angezeigt werden Sind Sie zufrieden dann w hlen Sie Weiter ansonsten Zur ck 8 Ihr Computer wird dann die Konfiguration speichern Ein Fenster ffnet sich Der Vorgang wurde fast abgeschlossen und fragt Sie wie Sie weiter verfahren m chten es werden Ihnen vier M glichkeiten angeboten Win dows XP kann Ihnen zus tzlich eine Installationsdiskette erstellen die Sie benutzen zu k nnen um andere Microsoft Produkte im Netzwerk zu in stallieren Mit SuSE Linux Office Server ist dies nicht erforderlich aktivie ren Sie den vierten Punkt Nur den Assistenten fertig stellen und w hlen Sie Weiter 9 Wahlen Sie Fertig stellen Arbeitsplatzkonfiguration fur Windows XP Erweiterte Konfiguration Mit den folgenden Schritten wird Ihr Windows Client an einem PDC angemeldet 1 Melden Sie sich unter Windows XP als Administrator an 2 Jeder Windows XP Client mu ein einziges Mal am PDC angemeldet werden 3 In Windows XP hat Microsoft die Netzwerkfunktionen von Windows NT 4 und 2000 be
38. exe CD 1 Verzeichnis dosutils rawrite zum Schreiben der Dis kette am DOS Prompt einsetzen Auf der CD 1 im Verzeichnis disks liegen die Standard Diskettenimages le sen Sie dort bitte die Dateien README bzw LIESMICH Das Image boot disk ist die Vorlage fiir die Standarddiskette Die eigentlichen Kernel sind im Verzeichnis suse images zu finden ohne Endung lesen Sie auch dort bitte README bzw LIESMICH Wenn Sie die Standarddiskette ben tigen wird gehen Sie folgendermafen vor es wird vorausgesetzt dass Sie sich im Hauptverzeichnis der CD befinden Q gt dosutils rawrite rawrite disks bootdisk Falls Sie eine spezielle Unterstiitzung ist anstelle von boot disk ein anderes Dis kettenimage zu verwenden bei Problemen kann als Fallback Kernel k_i386 ein gesetzt werden Bootdiskette unter Unix erstellen Voraussetzung Sie k nnen auf ein Unix Linux System mit einem funktionst chtigen CD ROM Laufwerk zurtickgreifen Sie brauchen eine gepr fte Diskette formatiert Gehen Sie so vor um Bootdisketten zu erstellen 1 Falls Sie die Disketten noch formatieren mtissen erde fdformat dev fd0u1440 2 Mounten Sie die erste CD Disk 1 z B nach cdrom erde mount tiso9660 dev cdrom cdrom 3 Wechseln Sie in das Verzeichnis disks auf der CD SuSE Linux Office Server Bunqeueqis ye4 93 94 erde cd cdrom disks Erstellen Sie die Bootdiskette mit erde
39. for e2fsck If this option is used twice additional timing statistics are printed on a pass by pass basis v Verbose mode V Print version information and exit y Assume an answer of Yes to all questions allows e2fsck to be used non interactively EXIT CODE The exit code returned by e2fsck is the sum of the follow ing conditions 0 No errors 1 File system errors corrected 2 File system errors corrected system should be rebooted if file system was mounted 4 File system errors left uncorrected 8 Operational error 16 Usage or syntax error 128 Shared library error SIGNALS The following signals have the following effect when sent to e2fsck SIGUSR1 This signal causes e2fsck to start displaying a completion bar See discussion of the C option SIGUSR2 This signal causes e2fsck to stop displaying a com pletion bar REPORTING BUGS Almost any piece of software will have bugs If you man age to find a filesystem which causes e2fsck to crash or which e2fsck is unable to repair please report it to the author Please include as much information as possible in your bug report Ideally include a complete transcript of the e2fsck run so I can see exactly what error messages are Das SuSE Rettungssystem AUTHOR displayed If you have a writeable filesystem where the transcript can be stored the script 1 program is a handy way to save the output of e2fsck to a file It is a
40. jeden Zugriff die Verbindung erneut aufgebaut werden mu T DSL oder ADSL werden nach der Konfiguration automatisch als Standard zur Interneteinwahl festgelegt Sie k nnen Ihren DSL Internetzugang mit kinternet bequem steuern Wenn Sie noch andere Internetzug nge haben und diese auch nutzen m chten z B ISDN k nnen Sie in kinternet ausw hlen mit welchem Provider Sie ins Internet m chten Zus tzlich k nnen Sie in den Konfigurationsmasken zu T DSL und ADSL durch Anklicken des Buttons Firewall aktivieren festlegen ob Sie die Personal Fire wall aktivieren m chten Damit wird Ihr Rechner bei der Einwahl gegen Verbin dungen von au en gesperrt und damit vor Angriffen gesch tzt T DSL und ADSL in Deutschland Wenn Sie Dial on demand aktivieren dann wird z B nach der Eingabe einer ex ternen URL im Browser oder beim Senden und Abholen von E Mail die Internet Verbindung automatisch aufgebaut Nur wenn Sie eine so genannte Flatrate Pau schaltarif fiir den Internetzugang haben ist Dial on demand empfehlenswert Mit Beenden schlie en Sie den Vorgang ab u Hinweis Wenn Sie keine Flatrate haben sollten Sie Dial on demand nicht verwen den weil sonst durch Prozesse die im Hintergrund ablaufen z B zum regelm igen Abholen von E Mail eine h ufige Einwahl in das Internet stattfindet und das kann teuer werden Hinweis Um Dial on demand nutzen zu k nnen m ssen Sie bei Einze
41. nicht schauen Sie noch mals im Abschnitt Erweiterte Konfiguration auf Seite 33 nach und folgen den Einstellungen Ist Ihre Registry wie in Abschnitt Erweiterte Konfiguration auf Seite 33 kor rekt angepasst gehen Sie wie folgt vor 1 Melden Sie sich in Ihrem Windows XP Client als Administrator an 7 Beim n chsten Start mu in der Login Maske die Arbeitsgruppe OFFIC Wahlen Sie Start gt Systemeigenschaften Rufen Sie Netzwerk und Internetverbindungen gt Netzwerkverbindungen auf Im Menii Erweitert w hlen Sie den Punkt Netzwerk Identifikation aus Klicken Sie auf den Button Andern und geben im Feld Arbeitsgrup pe eine andere Arbeitsgruppe ein z B xxxx Ein Dialogfenster erscheint welches Sie mit OK best tigen m ssen Starten Sie Ihren Computer neu Wiederholen Sie nach dem Start die Schritte 1 bis 4 geben jedoch im Feld Arbeitsgruppe Ihre richtige Arbeitsgruppe ein standardm ig ist dies OFFICE Starten Sie Ihren Computer neu Fl ausgew hlt sein SuSE Linux Office Server SMOPUIM Jeun SLUSI D JOP pun JOAJOSSII4 sep UOLLOUNBYUoy 35 Konfiguration von Fileserver und Arbeitsplatz unter Linux In diesem Kapitel zeigen wir Ihnen wie Sie von Linux Clients aus auf einen Dateiserver engl Fileserver zugreifen k nnen Es wird beschrieben wie Sie Ihre Linux Clients konfigurieren mtissen um ein Verzeichnis auf dem Fileserver
42. r Experten sinnvoll Unter Rettungssystem steht ein Rettungssystem zur Verf gung mit dem Sie Ihren Rechner sicher starten k nnen falls Probleme auf Ihren System auftreten Mehr Informationen zum Rettungssystem erhalten sie im Kapi tel A auf Seite 99 Mit Memory Test kann ein sehr lang andauernder Speichertest gestartet werden der Speicherfehler wesentlich sicherer finden kann als der BIOS Speichertest beim Booten Wenn Sie nun dr cken dann wird das gew hlte System gestartet YaST2 bernimmt die Arbeit Jetzt beginnt die eigentliche Installation von SuSE Linux mit dem Installations programm YaST2 Abbildung 1 2 auf der n chsten Seite zeigt die erste Bildschir mansicht In dieser Phase wird die vorhandene Hardware Ihres Rechners ber pr ft und f r die Installation vorbereitet Eine Leiste in der Mitte des Bildschirms zeigt Ihnen den Fortschritt an SUSE Linux Office Server JOAIOS SOWO XNUN ISNS SEP UOUDIUDlISU SIG Alle Bildschirmansichten von YoST2 folgen einem einheitlichen Schema Sie ent halten im linken Bildteil einen Hilfetext der Sie zum aktuellen Installationsab schnitt informiert Alle Eingabefelder Auswahllisten und Buttons der YaST2 Bildschirme k nnen Sie sowohl mit der Maus als auch mit der Tastatur steuern verschiebt den Fokus und aktiviert ein Knopf dicke Umrandung Feld usw ist quivalent einem Mausklick In manchen Elementen k nnen Sie auch die Cursortasten verwenden Dies
43. wird auch erzielt wenn ana loge Eintr ge in der zentralen httpd conf vorgenommen werden Entweder man spezifiziert einzelne gt Directory lt Eintr ge oder es wird kategorisch eine Zugangsbeschr nkung vorgenommen Controls who can get stuff from this server Order deny allow Deny from all Allow from slcs de Diese Ma nahme hat die gleiche Auswirkung als w rden Sie die oberste Verzeichnisebene des Webservers die DocumentRoot mit al len ihren Unterverzeichnissen via htaccess sch tzen Dieser kleine Einblick ist nur eine Einf hrung in das Prinzip des Verzeich nisschutzes Es gibt noch eine gro e Anzahl beliebig komplizierter Schutz mechanismen die ein Administrator einsetzen kann um unliebsamen Be such abzusch tteln So lassen sich zum Beispiel auch bestimmte Regionen eines Servers nur von autorisierten Benutzern mit Passwort betreten Weitere Informationen zu Apache Mehr ber Apache erfahren Sie auf der Website des Projekts unter http httpd apache org Hier finden Sie sehr ausf hrliche Informationen zur au genblicklichen Entwicklung FAQs Tutorials und eine sehr gute Erl uterung zur Konfiguration Apache Sollten Sie an zus tzlichen Modulen fiir Ihren Webserver interessiert sein ware http modules apache org ein guter Anfang F r wirklich tiefgreifende Fragen und h here Anforderungen sind inzwischen mehrere B cher erschienen wobei hier vor allem das im O Reilly Verlag erschie nene Ap
44. 1 Der kostenlose Support bezieht sich nur auf die Erstinstallation 2 Die Unterst tzung der Hardware durch SuSE Linux ist nat rlich jeweils Voraussetzung daf r dass wir entsprechenden Support leisten k nnen 3 Es gibt keine garantierten Reaktionszeiten auf Mail Anfragen 4 Um den Support in Anspruch nehmen zu k nnen m ssen Sie sich mit Ih rem Support Key zun chst registrieren Am besten gleich unter https support suse de de register oder telefonisch unter 0421 526 2310 5 Der Support Key wird personalisiert erfasst und ist nicht bertragbar 6 Zeitraum des Installationssupports Der Installationssupport f r den Su SE Linux Office Server erstreckt sich ber einen Zeitraum von 60 Tagen ab dem Registrierdatum maximal jedoch bis 60 Tage nach Erscheinen der Nachfolge Version Weitere Hinweise Kostenloser Installations Support bei der Server Installation per E Mail Bitte geben Sie bei E Mail Anfragen an den Support immer Ihren Support Key den Sie auf der CD Hiille finden mit an Hoddns Schreiben Sie wie unten aufgezeigt eine E Mail direkt an die Adresse support suse de Beachten Sie die Gro und Kleinschreibung bei den Kundendaten Nur so kann Ihre E Mail automatisch verarbeitet werden Lassen Sie Felder wie FIRMA bitte leer falls Sie sie nicht ben tigen Verwenden Sie keine unn tigen Attachments Visitenkarten im X VCARD Format und f gen Sie ggf Konfigura tionsdateien im ASCII Format direkt in
45. 2 Abschluss der Installation 23 Gralisches Logia a RE RS ae rr 23 JOAIOS SOWO XNUI ASNS s p UOULDIDISUL SJ Systemstart von CD ROM Zum Starten der Installation schalten Sie bitte Ihren Rechner ein und legen Sie die erste CD des SuSE Linux Office Server in das Laufwerk ein Ihr System muss von CD bootbar sein Ist dies nicht der Fall m ssen Sie m glicherweise die Ein stellungen Ihres BIOS ndern oder falls SCSI Systeme verwendet werden die Boot Sequenz Ihres SCSI Controllers Bitte ziehen Sie fiir solche F lle die Doku mentation des Herstellers zu Rate Wenn Ihr System nicht von CD booten kann m ssen Sie eine Bootdiskette zum Starten des Installationsvorgangs erstellen Weitere Informationen dar ber fin den Sie im Abschnitt Bootdiskette erstellen auf Seite 92 Begr ungsbildschirm Ein Bildschirm wie in Abbildung 1 1 zeigt Ihnen dass Ihr SuSE Linux Office Ser ver startbereit ist Bei der Standard Einstellung Installation startet nach einigen Sekunden Wartezeit das graphische Installationsprogramm YaST2 automatisch im SVGA 800x600 Grafikmodus Nach Ablauf der Wartezeit wird ein minimales Linux System in den Hauptspei cher des Rechners geladen Unter diesem Linux System l uft der weitere Instal lationsvorgang ab Zum Abschluss des Ladevorgangs wird YaST2 gestartet und nach wenigen Sekunden erscheint dessen grafische Oberfl che THE LINUX EXPERTS Installation Manual Installation Rescue System
46. 6 SAMBA u bts MS oe AOR A RR oe ee Go ee OM AE Ae 58 Leistinssunlang coca oe Wa a ana SR a oe 58 7 Netzwerkdienste Hinter die Kulissen geschaut 61 Grundiunktionen u 2 Ar ee eee ee na ia ee ha 62 Domain Name Service o e 000 eee 62 DHCP anto era aca is a ca ae sn 64 A Ge er a ee ee 65 File und PrintService cca hc ete Be eh eS Sea eee gaan 66 NES verteilte Dateisysteme 2 0 0 eee ee ee 66 Sicherheit bbe AR Ba a4 we owas bbe he be baa dS 69 Firewall 6 ese de a eee A 69 Proy Server Squid a eS ee ae ES SE ae ek 70 Der Webserver Apache 22 sa bs oe wee ES oe OS anal 73 8 Sicherheit ist Vertrauenssache 75 Grundlagen 62446 Peedi 2 282 bbe dt ai 76 Lokale Sicherheit und Netzwerksicherheit 76 Lokale Sicherheit osos Awe e Shee See A wee 78 Netzwerksicherheit 2 52 i 2 2 nor a eR ee 82 Tipps und Tricks Allgemeine Hinweise ooo 86 Zentrale Meldung von neuen Sicherheitsproblemen 88 SuSE Linux Office Server __ vll viii A Fehlerbehebung 91 Bootdiskette erstellen EEN ee eee 92 Bootdiskette unter DOS erstellen 92 Bootdiskette unter Unix erstellen o 93 Probleme mit LILO gt 2 2 20 a Br ae ee ae 94 Fehlerdiagnose LILO Start Meldungen 2 2 2 2 2 2 95 Die 1024 Zylinder Grenze e su 25 2 e ENN 97 Das SuSE Rett ngssystem aii 24 44 bee a ed 3 99 Das Rettungssystem benutzen ooo ooo
47. ADDONICS DUO mit diesem Standard MICROSCAN kompatibel ALPHA MICROSCAN 17 Sie k nnen auch eine ALT Diskette mit ALTIMA MICROSCAN 17X a ann sum Horizontalfrequenz Vertikalfrequenz benutzen um die min max min max technischen Daten 30 l64 kHz 50 120 Hz Ihres Monitors zu alce Treiberdiskette Normalerweise hen Sie kei brauchen Sie keine Ama Installation abbrechen Weiter Abbildung 1 15 Ausw hlen des Monitor Modells Wenn Sie zu hohe Werte insbesondere bei der Horizontalfrequenz eintra gen kann Ihr Monitor besch digt werden gute Monitore schalten bei zu hohen Werten automatisch ab Achtung Es empfielt sich bei der Vertikalfrequenz keine zu hohen Werte zuzulassen auch wenn dies der Monitor erm glicht denn ab 90 Hz ist das Bild sicher flimmer frei aber bei Vertikalfrequenzen am Grenzbereich des Monitors wird das Bild un scharf Alternativ k nnen Sie auch eine Treiberdiskette verwenden Dazu klicken Sie auf Treiberdiskette Legen Sie die Diskette in das Laufwerk ein und best tigen Sie mit OK Falls keine Datei gefunden werden konnte oder die Diskette nicht lesbar ist erhalten Sie einen entsprechenden Hinweis Bei erfolgreichem Einlesen erscheinen die Monitordaten dann in der Auswahlliste In der folgenden Bildschirmansicht siehe Abb 1 16 auf der n chsten Seite k n nen Sie festlegen ob SuSE Linux zuk nftig im Textmodus oder mit einer Gra phischen Oberfl c
48. Ao 101 Fete group simo E ges 65 ete httpd httpd conf 43 44 etc init d nfsserver ooooooooooomom 67 ete init d portmap eee eee 67 Jete inittar ncaa Zeie winnie EN dacs 101 Jetc passwd 6 c eee 65 101 ER 65 ete squid conf ooooccccccoocccconnos gt 71 72 o seanns e E aA E EONA T iaoi 9 Shared ae 9 26 1024 Zylinder LILO Probleme 97 3D Beschleunigung 18 A Administrator Account ooooccocccccncccc 15 ADSL una seen 50 Anwenderverzeichnisse 0o oooooooco o 26 Apache 42 Arbeitsgruppe 0 6 c cece asides 26 Arbeitsplatzkonfiguration LUN er 38 Windows 9x ME 2 2222 28 Windows allgemein 27 Windows XP ans 31 Automatische Einwahl 49 B BIND ic Busen 63 Bootdiskette Erzeugen mit dd 93 Erzeugen mit rawrite 93 Erzeugen mit Setup 92 POOR seen ne euren 102 SMOWCD A 2 von Disketten 92 Bootmanager see e eee eee e eens 13 C Cala Matisse 73 Check anne see 102 A cca au on TNSEIRETRNGEN 102 D Dateiserver Zugriff Windows 9x ME 2 2 28 Windows XD 31 Dateisystem exportieren 6 eee eee ee eee 67 SON hou cease A 9 importieren ooccooccccccccncccnnos 66 EIER eau SSES EAE EISEN 9 RI Lei KETTEN 22 62 64 Dial on demand 49 51 Diskette Formatieren san nennen 93 DNS een
49. E devisdat 1 156 0 MB Linux native Festplattenpartitione devisystem opt fopt system 596 0 MB verwendet werden dev system tmp fusr system 3 0 GB k nnen Auf Logical dev systemivar Nar system 496 0 MB Dateisysteme angelegt werden sie k nnen alsSwap und f r Datenbanken verwendet werden usw Legen Sie hier die Logical Volume Manager Logical Volumes Logical volumes normale dev sda2 swap 156 0 MB Linux swap Volumes k nnen als Raw Partitionen Y Alle Mountpunkte anzeigen nicht nur die aktuelle Volume Grup Ba Zur ck Installation abbrechen Abbildung 1 10 YaST2 Umgang mit Logical Volumes Wenn Sie mehrere Volume Gruppen angelegt haben k nnen Sie zwischen diesen in der Auswahlliste oben links hin und herschalten 8 Achtung Bitte denken Sie daran vor dem Einsatz von LVM bzw vor der Neukonfi guration von Volumes eine Datensicherung vorzunehmen d h Sie sollten nie ohne Backup arbeiten Achtung Logical Volume Manager LVM Kryptofilesystem einrichten W hrend der Partitionierung in YOST2 haben Sie die M glichkeit eine Partiti on komplett zu verschltisseln Ein Kryptodateisystem macht also nur dann Sinn wenn der Rechner ausgeschaltet ist wie z B dies bei Laptops der Fall ist Beachten Sie bitte W hrend die Partition en eingebunden gemountet ist sind sind die Daten unverschl sselt und f r jeden sichtbar Wird die Einbindung je doch gel st sind die Daten siche
50. E Linux Office Server JOAIOS SOWO XNUI ASNS sap UOULDIDISUL SIG 19 20 Bite W hlen Sie die Netzwerkkonfiguration initialisieren Karte aus die Sie als Hauptkarte f r den SuSE Linux Conectivity Server verwenden wollen cf a Netzwerkkarte f r Server Konfiguration w hlen Die Karte wird eingerichtet und zur Verwendung zur verf gung gestellt Verf gbare Karten Weiterhin wird es 6 o Digital Equipment Corporation Ihnen m glich sein DECchip 21142743 zus tzliche Karten O Nicht erkannte Karte verwenden einzurichten oder falls vorhanden Netzwerk Einstellungen zu ndern wenn die Installation beendet ist Dazu ist es erforderlich Netzwerk vom Control Center aus blas Zuruck Abbrechen Abbildung 1 18 Netzwerkkarte w hlen unter Linux bereitgestellt Tipp Falls Sie mehr als eine Netzwerkkarte haben befindet sich diese erste Netzwerkkarte normalerweise im oberen Slot des Rechners bei Desktop Computern i d R links au en Tipp Wurde die Netzwerkkarte nicht automatisch durch YaST2 erkannt k nnen Sie sie immer noch manuell konfigurieren indem Sie auf Nicht erkannte Karte ver wenden falls vorhanden klicken YaST2 erlaubt Ihnen die manuelle Eingabe des Treibernamens oder Kernel Moduls der f r Ihre Netzwerkkarte ben tigt wird Durch Klicken auf Auswahl von Liste erhalten Sie die M glichkeit einen Trei ber aus einer Liste zu w hlen Ne
51. Modul unter Netzwerk Basis gt T DSL bzw ADSL Alternativ k nnen Sie im Office Server Assistenten siehe Piktogramm auf dem Desktop mit dem Namen SLOS die T DSL bzw ADSL Piktogramme anklicken und danach Netzwerkkonfiguration aufrufen Wahlen Sie in der Netzwerkkonfiguration den Schaltknopf Hinzufiigen aus YaST2 zeigt Ihnen die erkannten Netzwerkkarten an Wahlen Sie Ih re Netzwerkkarte aus Ein Dialog ffnet sich aus dem Sie den Men punkt Konfiguration der statischen Adresse aufrufen und geben Sie eine IP Adresse aus einem nicht vorhandenen Netz ein Vorschlag 192 168 22 1 Netz maske 255 255 255 0 Nameserver und Routingeintr ge brauchen nicht ver ndert zu werden Schlie en Sie den Dialog mit Beenden ab 2 Als n chsten Schritt konfigurieren Sie den DSL Zugang welchen im nach folgenden Text beschrieben ist F r Ihre DSL Konfiguration ben tigen Sie folgende Daten Anschlusskennung T Online Nummer f r T DSL Mitbenutzerkennung und Ihr pers nliches Kenn wort Entnehmen Sie die Informationen Ihrem T DSL Anmeldeschreiben Das ADSL Modul ist nur f r den PPPoE ADSL Zugang geeignet der in Deutschland normalerweise verwendet wird Der Standard f r die Ethernetkarte ist eth1 All gemein empfiehlt es sich bei mehr als 5 Personen den Timeout deutlich h her als 60 Sekunden z B auf 360 Sekunden einzustellen Der allgemeine Zugriff be schleunigt sich merklich da nicht mehr f r
52. NUX message mnt LINUX message optional prompt timeout 100 Warten am Prompt 10 s vga normal End LILO global section Linux bootable partition config begins image mnt LINUX Erster_Kernel default root dev Ihr_Root_Device Root Partition hierher label linux Linux bootable partition config ends Systemabschnitte f r weitere Kernel hier Ende Linux DOS bootable partition config begins other dev hdal MSDOS Systemlaufwerk Probleme mit LILO label dos loader mnt LINUX chain b table dev hda DOS bootable partition config ends Datei 4 1ilo cfg f r fremde Partition gt LILO mit dieser 1ilo cfg installieren erde sbin lilo C mnt LINUX lilo cfg Danach sollte LILO funktionieren Booten Sie MS DOS und schiitzen Sie die LILO Dateien so gut es geht gegen Schreibzugriffe Zur Erin nerung jeder solche setzt LILO aufser Funktion Zumindest geben Sie allen Dateien in X LINUX wo X das eben unter mnt gemountete MS DOS Laufwerk ist die DOS Attribute System und Versteckt Abschlie end m chten wir zum selben Thema noch verweisen auf die zwei HOW TOs LILO gz und Large Disk gzin usr share doc howto en mini Das SuSE Rettungssystem Das Rettungssystem wird von der SuSE Bootdiskette bzw der bootbaren CD 1 Ihres SuSE Linux gestartet Die Voraussetzung ist dass das Disketten bzw CD ROM Laufwerk bootf hig ist n tigenfalls m ssen Sie im CMOS Setup die Boot
53. Rechner zu sein genauer gesagt Er gibt sich auf allen angeschlossenen Microsoft Rechnern als Windows NT 4 2 Server aus Leistungsumfang Mit Hilfe von Samba kann ein Linux Rechner viele Dienste aus der Microsoft Welt anbieten Dazu z hlen unter anderem Fileserver Printserver Primary Domain Controller Primary WINS Server Windows 95 98 Authentifizierung Auf dem Samba Server unter Linux gibt es hierf r zwei Daemonen hinter grundaktive Prozesse smbd verwaltet die Ressourcen File Print und Browserdienste und ist fiir die Benutzerauthentifizierung sowie den Datenaustausch ber SMB zu st ndig nmbd ist f r die Namensaufl sung ber von den Windows Clients ausge hende NetBIOS und WINS Namensanfragen zustandig Samba Als Sambaclient d h als Linux Maschine die auf einen Windows Rechner zu greifen m chte nutzt ein Linux Client folgende Programme smbclient erm glicht den Zugang zu Windows Dateisystemen smbtar dient der Speicherung von SMB Shares auf Unix Bandlaufwerke nmblookup Namensaufl sung der NetBIOS Namen smbpasswd Verwaltung der SMB Benutzerpassw rter smbstatus Auskunft ber offene SMB Verbindungen Alle diese Programme sind Teile der Samba Suite und arbeiten mehr oder weniger im Hintergrund f r Sie Weitere Informationen Mittlerweile gibt es zahlreiche B cher und Webseiten die sich mit dem The ma Samba befassen aber auch auf Ihrem System sind eine F lle n
54. Reparaturvorschlag f r das Problem anbieten DoS Denial of Service Ziel dieser Art von Angriff ist das Einstellen des Dienstes oder gleich des gan zen Systems Dies kann auf verschiedenste Arten passieren Durch Uberlastung durch Besch ftigung mit unsinnigen Paketen oder durch Ausnutzen von Remo te Buffer Overflows die nicht direkt zum Ausf hren von Programmen auf der remote Seite ausbeutbar sind Der Zweck eines DoS mag meistens darin begriindet sein dass der Dienst einfach nicht mehr verfiigbar ist Dass ein Dienst fehlt kann aber weitere Konsequenzen Lokale Sicherheit und Netzwerksicherheit haben Siehe man in the middle sniffing tcp connection hijacking spoofing und DNS poisoning man in the middle sniffing tcp connection hijacking spoofing Ganz allgemein gilt Ein Angriff vom Netzwerk bei der der Angreifer eine Posi tion zwischen zwei Kommunikationspartnern einnimmt nennt sich man in the middle attack Sie haben in der Regel eines gemeinsam Das Opfer merkt nichts davon Viele Varianten sind denkbar Der Angreifer nimmt die Verbindung entge gen und stellt damit das Opfer nichts merkt selbst eine Verbindung zum Ziel her Das Opfer hat also ohne es zu wissen eine Netzwerkverbindung zum falschen Rechner ge ffnet weil dieser sich als das Ziel ausgibt Der einfachste man in the middle attack ist ein sniffer Er belauscht einfach nur die Netzverbindungen die an ihm vortiber gef hr
55. SuSE SuSE Linux Office Server 1 Auflage 2002 Copyright O Dieses Werk ist geistiges Eigentum der SuSE Linux AG Es darf als Ganzes oder in Ausziigen kopiert werden vorausgesetzt dass sich dieser Co pyrightvermerk auf jeder Kopie befindet Alle in diesem Buch enthaltenen Informationen wurden mit gr ter Sorgfalt zusammen gestellt Dennoch k nnen fehlerhafte Angaben nicht v llig ausgeschlossen werden Die SuSE Linux AG die Autoren und die bersetzer haften nicht f r eventuelle Fehler und deren Folgen Die in diesem Buch verwendeten Soft und Hardwarebezeichnungen sind in vielen F llen auch eingetragene Warenzeichen sie werden ohne Gew hrleistung der freien Verwend barkeit benutzt Die SuSE Linux AG richtet sich im Wesentlichen nach den Schreibweisen der Hersteller Die Wiedergabe von Waren und Handelsnamen usw in diesem Buch auch ohne besondere Kennzeichnung berechtigt nicht zu der Annahme dass solche Namen im Sinne der Warenzeichen und Markenschutz Gesetzgebung als frei zu betrachten sind Hinweise und Kommentare richten Sie ggf an documentation suse de Autoren Roman Drahtmiiller Michael Hager Roland Haidl Jana J ger Jordi Jaen Pallares Karine Nguyen Edith Parzefall Peter Reinhart Marc R hrschneck Thomas Schraitle Martin Sommer Redaktion Antje Faber Dennis Geider Roland Haidl Jana Jaeger Edith Parzefall Peter Reinhart Marc R hrschneck Thomas Schraitle Martin Sommer Rebecca Walter Layout
56. ache The Definitive Guide von Ben und Peter Laurie zu nennen w re Mit ApacheWeek http www apacheweek org existiert ein w chentlicher Newsletter der ber die neuesten Entwicklungen des Projekts informiert SUSE Linux Office Server JSN PAU 45 Internet Zugang fur Clients Wenn Sie f r Ihre Rechner eine Internetanbindung bereitstellen m chten dann k nnen Sie in diesem Kapitel die n tigen Hilfestellungen dar ber enthalten Grundlagen einer Internetverbindung 48 Hinweise zu allen Arten des Internetzugangs 48 Internetverbindung und lokales Netzwerk 49 T DSL und ADSL in Deutschland 50 DDN ne ae ee y Peas ad Zu 51 SLUSIID JNJ Dupf rz Le eu 48 Grundlagen einer Internetverbindung Das Internet Alle Rechner im Internet bilden ein einziges gro es Netzwerk in dem unter schiedliche Betriebssysteme auf unterschiedlicher Hardware laufen Damit den noch beliebige Rechner miteinander kommunizieren k nnen muss ein allgemei nes verbindliches Kommunikationsprotokoll verwendet werden ber das die unterschiedlichen Betriebssysteme unabh ngig von der jeweiligen Hardware ih re Daten austauschen k nnen Das leistet das Internet Protocol IP zusammen mit dem Transmission Control Protocol TCP dem User Datagram Protocol UDP und dem Internet Control Message Protocol ICMP Diese Protokolle bilden die gemeinsame Sprache aller Rechner im Internet und die Kur
57. achtet worden Viren ben tigen zur Ausbreitung einen Wirt ohne den sie nicht berlebensf hig sind Dieser Wirt ist ein Programm oder ein wichtiger Speicherbereich f r das System etwa der Master Boot Record und er muss f r den Programmcode des Virus beschreibbar sein Linux hat aufgrund seiner Multi User F higkeiten die M glichkeit den Schreibzugriff auf Dateien einzuschr nken also insbesondere Systemdateien Wenn Sie als root arbeiten erh hen Sie also die Wahrscheinlich keit dass Ihr System von solch einem Virus infiziert wird Ber cksichtigen Sie aber die Regel der geringst m glichen Privilegien dann sollten Sie eher Schwie rigkeiten haben sich einen Virus unter Linux einzufangen Dar ber hinaus soll ten Sie nie leichtfertig ein Programm ausf hren das Sie vom Internet bezogen ha ben und dessen genaue Herkunft Sie nicht kennen SuSE rpm Pakete sind kryp tographisch signiert und tragen mit dieser digitalen Unterschrift das Markenzei chen der Sorgfalt beim Bau der Pakete bei SuSE Viren sind klassische Symptome daf r dass auch ein hochsicheres System unsicher wird wenn der Administrator oder auch der Benutzer ein mangelndes Sicherheitsbewusstsein hat Viren sind nicht mit W rmern zu verwechseln die Ph nomene auch der Netz werksicherheit sind und keinen Wirt brauchen um sich zu verbreiten Netzwerksicherheit Bei der lokalen Sicherheit war es die Aufgabe die Benutzer in einem Rechner voneinander zu trennen insbesond
58. ahlen Sie diese IP Adresse aus und geben es im Feld IP Adresse ein wobei Sie die letzte Ziffer ndern z B wenn 10 10 0 4 auf Ihrem Client angezeigt wird w hlen Sie z B 10 10 0 64 Bei der Wahl auf Weiter speichert der SuSE Linux Office Server alle Ihre Einstel lungen Beachten Sie dass es danach keine M glichkeit gibt wieder mit Zur ck zu den vorherigem Schritt zu gelangen Netzwerk Management Als Netzwerk Management wird hier DHCP bezeichnet YaST2 berpr ft ob sich in Ihrem Netzwerk ein DHCP Server befindet Es empfiehlt sich diesen Service zu nutzen da er normalerweise immer ben tigt wird d h YaST2 gibt Ihnen einen Vorschlag den Sie folgen k nnen Wenn bereits ein DHCP Server in Ihrem Netz vorhanden ist sollten Sie Do not start anw hlen normalerweise wird dies YaST2 bereits vorselektieren Falls YaST2 kein DHCP Server gefunden hat sollten Sie einen Server durch YaST2 einrichten lassen Ein DHCP Server wird ben tigt damit Ihre Clients a IP Adresse Routing Informationen und Informationen zum Nameserver erhalten k nnen Dadurch vereinfacht sich der Anschlu eines neuen Clients ans Netzwerk er mu nur noch den DHCP Server angeben Nach allen Einstellungen wird die Installation abgeschlossen Status der Vorkonfigurierung Nachdem Sie den Rechner eingerichtet haben wird Ihnen in diesem Fenster die Liste aller Dienste angezeigt die automatisch f r diesen Server konfiguriert wur
59. als Benutzer root zu starten siehe Kapitel Passwort f r den Systemadministrator auf Seite 14 Es ist ratsam sich nur in absolut notwen digen F llen als root anzumelden Achtung BW Nach dem erfolgreichen Login startet Ihre Desktopumgebung Ihr Administrator Account beinhaltet schon verschiedene Icons die Sie auf Ihrem Desktop finden k nnen Wenn Administrationsarbeiten anfallen klicken Sie auf das Icon YaST Ein Fens ter ffnet sich in dem Sie das root Passwort eingeben m ssen Nachdem YaST2 gestartet wurde k nnen Sie Ihre Konfigurationsaufgaben erledigen Sollten Sie weitere Benutzer fiir Ihr Netzwerk ben tigen k nnen Sie in Abschnitt Er weiterte Konfiguration auf Seite 26 weitere Erkl rungen finden SuSE Linux Office Server JOAIOS SOWO XNUN ASNS s p UOUDIDlISU SIG 23 Konfiguration des Fileserver und der Clients unter Windows In diesem Kapitel zeigen wir Ihnen wie Sie von Windows Clients aus auf einen Fileserver zugreifen k nnen Es wird beschrieben wie Sie diese konfigurieren m ssen um ein Verzeichnis auf dem Fileserver f r mehrere Benutzer zug nglich zu machen Serverkonfigurati n A oe 24 ie she 26 Arbeitsplatzkonfiguration allgemein 27 Arbeitsplatzkonfiguration fiir Windows 9x ME 28 Arbeitsplatzkonfiguration f r Windows XP 31 NO SMOPUIM JOJLUN SLUSI D JOP pun mesej sep UOLLOINBYUoy 26 Serverkonfiguration Standardkonfiguration Nac
60. ass kein Benutzer die Rechte eines anderen Benutzen annehmen kann Dies gilt allgemein im speziellen ist nat rlich besonders der root Account gemeint der im System die Allmacht hat Wenn ein Benutzer root wird kann er sich ohne Passwort zu jedem lokalen Benutzer ma chen und berdies jede lokale Datei lesen Die Liste der M glichkeiten ein System anzugreifen wenn man bereits Zugriff auf lokale Ressourcen mit einer Kommandozeile hat ist recht lang Passw rter Ihr Linux System speichert die Passw rter die Sie vergeben haben nicht etwa im Klartext ab und vergleicht ein eingegebenes Passwort mit dem was gespeichert ist Bei einem Diebstahl der Datei in der die Passw rter stehen w ren dann ja alle Accounts auf Ihrem System kompromittiert Stattdessen verschl sselt das System Ihr Passwort und jedes Mal wenn Sie ein Passwort eingegeben haben wird die ses verschl sselt und das Ergebnis verglichen mit dem was als verschl sseltes Passwort abgespeichert ist Dies macht nat rlich nur dann Sinn wenn man aus dem verschl sselten Passwort nicht das Klartextpasswort errechnen kann Dies ist der Fall Man nennt solche Algorithmen Fallt ralgorithmen weil sie nur in eine Richtung funktionieren Ein Angreifer der das verschl sselte Passwort in seinen Besitz gebracht hat kann also nicht einfach zur ckrechnen und das Pass wort sehen sondern er muss alle m glichen Buchstabenkombinationen f r ein Passwort durchprobieren bis er da
61. coccooo 19 Samba EEN Eed dE 39 E RT EE 50 Verschl sselung 13
62. d Rechneruhr eingestellt auf k nnen Sie zwischen Lokalzeit und GMT w hlen Ihre Auswahl h ngt von der Einstellung der Uhr im BIOS Ihres Rechners ab Sollte diese auf GMT stehen bernimmt SuSE Linux automatisch die Umstellung von Sommer auf Winterzeit und umgekehrt Im n chsten Schritt w hlen Sie das gew nschte Tastaturlayout aus In der Regel entspricht es der gew hlten Sprache In der anderen Spalte w hlen Sie die richti ge Zeitzone Um die Tastaturbelegung zu pr fen aktivieren Sie das Testfeld und dr cken Sie im Testfeld Y und und Umlaute wie A oder und Sonderzei chen wie und Q Partition ausw hlen Nun w hlen Sie die Partition Sie haben die folgenden M glichkeiten Ihre Fest platte zu formatieren SUSE Linux Office Server JOAIOS SOWO XNUI ASNS s p UOULDIDISUL SIG Wahlen Sie bitte das Grundeinstellungen Tastaturlayout das Tastaturlayout Zeitzone wahrend der Installation und im Europa Deutschland laufenden System Deutsch Schweiz Europa Danemark benutzt wird EuropevEstland Wahlen Sie dann die OM Europa Finland passende Zeitzone Itallenisch Europa Frankreich Wahlen Sie das Land Japanisch Europa Gibraltar oder die Region wo Norwegisch Europa Griechenland Sie sich befinden Polnisch Europa Grosbritannien Wahlen Sie entweder Portugiesisch Europa irland Ortszeit oder GMT f r Portugiesisch Brasilien Europafltalien Ihre Rechneruhr Russisch Eu
63. das Programm l uft dann nicht mit der Berechtigung des Eigent mers des Prozesses der es gestartet hat sondern mit der Berechti gung des Eigent mers der Datei und das ist in der Regel root von Dateien Lokale Sicherheit und Netzwerksicherheit festgelegt F r den Administrator steht die Datei etc permissions local zur Verf gung in der er seine eigenen nderungen festhalten kann Die Varia ble PERMISSION_SECURITY aus der Datei etc rc config legt fest welche der Dateien von den Konfigurationsprogrammen von SuSE f r die Vergabe der Rechte benutzt werden soll Diese Auswahl k nnen Sie auch komfortabel unter dem Men punkt Sicherheit Security von YaST2 treffen Mehr zu diesem The ma erfahren Sie direkt aus der Datei etc permissions und der manual page des Kommandos chmod man chmod file race conditions Ein Programm will eine Datei in einem Verzeichnis anlegen das f r jedermann schreibbar ist wie tmp Es berpr ft ob die Datei bereits existiert und erzeugt die Datei wenn sie noch nicht vorhanden war Zwischen dem berpr fen der Existenz und dem Anlegen der Datei vergeht aber eine kurze Zeit in der ein An greifer einen symbolischen Link anlegen kann ein Zeiger auf eine andere Datei Das Programm verfolgt dann diesen symbolischen Link und berschreibt dabei die Zieldatei mit seinen Privilegien Dies ist ein Rennen engl race weil f r den Angreifer nur eine kurze Zeit bleibt in der er den symlink an
64. dhcpd leases bergabe Optionen an die DHCP Clients man dhcp options NIS Sobald mehrere Unix Systeme in einem Netzwerk auf gemeinsame Ressourcen zugreifen wollen muss sichergestellt sein dass z B Benutzer und Gruppenken nungen auf allen Rechnern miteinander harmonieren Das Netzwerk soll f r den Anwender transparent sein Egal an welchem Rechner er arbeitet er findet immer die gleiche Umgebung vor M glich wird dies durch die Dienste NIS und NFS NES dient der Verteilung von Dateisystemen im Netz und wird in Abschnitt 7 auf der n chsten Seite beschrieben NIS engl Network Information Service kann als Datenbankdienst verstanden werden der den Zugriff auf Informationen wichtiger Systemdateien netzwerkweit er m glicht Die wichtigsten Einsatzfelder findet NIS bei der Verteilung folgender Dateien etc passwd auch wenn diese Datei aus historischen Gr nden Passwort im Namen tr gt werden hier nur Daten ber Login Benutzernummer Grup penzugeh rigkeit engl Group ID Homeverzeichnis und Standardshell ei nes Benutzers verwaltet etc shadow hier befinden sich die Benutzerpassw rter in verschl sselter Form Au erdem ist in dieser Datei festgehalten wie viele Tage ein Passwort g l tig ist etc group ist eine Auflistung aller netzweit vorhandenen Gruppen samt Group ID und optional auch Angabe der zugeh rigen Benutzer Der Vorteil dieser zentralistischen L sung Fast alle systemwichti
65. e superblock locations that are printed out to be accurate If an alternative superblock is specified and the filesystem is not opened read only e2fsck will make sure that the primary superblock is updated appropriately upon completion of the filesystem 102 Das SuSE Rettungssystem check B blocksize Normally e2fsck will search for the superblock at various different block sizes in an attempt to find the appropriate block size This search can be fooled in some cases This option forces e2fsck to only try locating the superblock at a particular blocksize If the superblock is not found e2fsck will terminate with a fatal error EC This option causes e2fsck to run the badblocks 8 program to find any blocks which are bad on the filesystem and then marks them as bad by adding them to the bad block inode Bungsysqusiys G This option causes e2fsck to write completion information to the specified file descriptor so that the progress of the filesystem check can be monitored This option is typically used by pro grams which are running e2fsck If the file descriptor specified is 0 e2fsck will print a com pletion bar as it goes about its business This requires that e2fsck is running on a video console or terminal d Print debugging output useless unless you are debugging e2fsck SE Force checking even if the file system seems clean F Flush the filesystem device s buffer caches before beginning Only really
66. e Tastenkombinationen sind besonders hilfreich wenn Ihre Maus nicht automatisch erkannt wurde Nach dem Bildschirm zur Sprachauswahl erhalten Sie die M glichkeit Ihre Maus manuell zu konfigurie ren YasT2 Initialisierung System berpr fen CCOO 42 Abbildung 1 2 Die Hardwareanalyse Sprachauswahl SuSE Linux und YaST2 stellen sich auf die von Ihnen gew nschte Sprache ein Bei der deutschen Version von SuSE Linux ist Deutsch voreingestellt Andere Spra chen k nnen individuell ausgew hlt werden Falls die Maus noch nicht funktioniert dr cken Sie bitte so oft die Tab Taste bis der Button Weiter voraktiviert ist und anschlie end die CJ Taste Mauszeiger Sollte YaST2 die Maus nicht automatisch erkennen k nnen erscheint die in Ab bildung 1 3 auf der nachsten Seite gezeigte Bildschirmmaske Verwenden Sie zur Auswahl des Maustyps die Tasten 1 und Q Falls Sie eine Dokumentation zu Ihrer Maus besitzen finden Sie dort eine Beschreibung des Maustyps Die ersten Sprachauswahl drei Maustypen in der Liste sind die g ngigsten die Sie deshalb zuerst auspro bieren sollten wenn Sie den Maustyp nicht kennen Insbesondere serielle M use anderer Hersteller sind normalerweise kompatibel zur Microsoft Maus YaST2 konnte den Konfiguration der Maus Typ Ihrer Maus nicht Bitte w hlen Sie Ihren Maustyp von der Liste identifizieren Bitte j i PS 2 Maus Aux Schnittstel
67. e beziehen von den bei der Installation ein gestellten Domainnamen eintragen Der Domainname ergibt sich aus der Netzwerkkonfiguration Standard ist of fice Damit Ihr Windows Client korrekt funktionieren kann ben tigt er eine NT Dom ne diese ist standardm ig auf OF FICE eingestellt Unter Windows tragen Sie im Men Client f r Microsoft Netzwerke gt Eigenschaften gt NT Dom ne die entsprechendne NT Dom ne ein Die NT Dom ne ergibt sich aus der Samba Konfiguration Wenn Ihr SuSE Linux Office Server als Domain Controller konfiguriert wur de dies ist der voreingestellte Standard erfolgt die gesamte Benutzerver waltung auf diesem Server Jeder angelegte Benutzer ist dann auch den Windows Clients bekannt Ein erster Test Nachdem der Rechner neu gestartet worden ist wird Windows Sie nach einem Benutzernamen und Kennwort fragen Melden Sie sich hier als Benutzer mit den selben Daten an die Sie im Benutzermodul von YaST2 festgelegt haben Klicken Sie nach dem Hochfahren die Netzwerkumgebung an Sp testens nach ein paar Sekunden sollte hier Ihr SuSE Linux Office Server unter dem bei der Installation konfigurierten Namen sichtbar werden Wenn Sie auf den entspre chenden Namen klicken sollte sich ein Fenster ffnen in dem sich Ihr privates Verzeichnis das auch Ihren Namen tr gt sowie der allgemein verf gbare Sha red Data Bereich auftauchen Tipp Sollte die Anmeldung oder der Tes
68. e nicht im Regen stehen Hierf r bieten wir ihnen wie gehabt unseren bew hrten Basic Level Support f r Privatkunden an Durch den Erwerb eines Callpacks bearbeiten wir nahezu alle Anfragen die innerhalb eines Zeitrahmens von 30 Minuten liegen Legen Sie hingegen Wert auf eine m glichst zeitgenaue Abrechnung m chten wir Ihnen unsere kostenpflichte Telefon Hotline Deutschland 1 86 EUR Minute sterreich 1 80 EUR Minute Schweiz 3 13 sFr Minute ans Herz legen Ihr Vorteil Sie bezahlen wirklich nur fiir die Zeit die wir fiir die L sung ihrer Anfrage t ts chlich gebraucht haben 0190 862 801 0190 862 802 0190 862 804 0190 862 807 Internet Modem ISDN DSL Cable Modem Externe Peripherie Drucker Grafische Oberfl che X11 Grafikkarten Maus Tastatur 3D TV Out Einfache Administration und LAN Netzwerkdienste Benutzerverwaltung Rechte kleine Netzwerke Ohne Einrichtung des Windows Netzwerks Dar berhinaus k nnen Sie von unserem umfangreichen Support Service f r Ge schaftskunden profitieren Das Dienstleistungsspektrum erstreckt sich tiber die M glichkeit der L sung einzelner Anfragen bis hin zum Abschlu von laufzeit oder projektabh ngigen Vertr gen Erweiterter Support bei der Office Server Installation Support bei Fragen zur Samba und Netzwerk konfiguration Bei Fragen zur Samba und Netzwerkkonfiguration k nnen Sie das Supportan gebot unserer Professional Services in Anspruch nehmen das sowohl fii
69. e so genannte MSN das ist eine der Telefonnummern ohne Vorwahl eingeben die man von der Telekom f r diesen Anschluss bekommen hat 2 Die ISDN Karte ist an einer Telefonanlage angeschlossen a Das Protokoll der Telefonanlage f r die internen Anschl sse ist bei kleinen Telefonanlagen normalerweise Euro ISDN EDSS1 Diese Te lefonanlagen haben einen internen SO Bus und in der Telefonanlage sind MSNs gespeichert Die Werte sind vom Hersteller abh ngig und finden sich in der Dokumentation der Telefonanlage Irgendeine der gem Telefonanlage m glichen MSNs sollte funktionieren sofern f r diese MSN der Zugriff nach au en freigeschaltet ist Zur Not funktio niert eventuell auch eine einzelne Null b Bei gro en Telefonanlagen ist das Protokoll f r die internen An schl sse normalerweise 1TR6 Die MSN hei t hier EAZ und ist b licherweise die Durchwahl F r die Linux Konfiguration ist norma lerweise nur die letzte Ziffer der EAZ einzutragen Eventuell funktio niert auch hier nur eine einzelne Null Im Folgenden entscheiden Sie sich f r einen W hlmodus Manuell Automa tisch oder Aus W hlen Sie am besten Manuell dann k nnen Sie sich sp ter bequem per kinternet in das Internet einw hlen Durch einen Klick auf das ISDN Steckersymbol in der Kontrollleiste unten rechts w hlen Sie sich ins Internet ein Durch einen weiteren Klick beenden Sie die Verbindung Al
70. ei im Brow ser formatiert Insofern k nnen Sie sich Ihre eigene Homepage aufbauen die von jedem Benut zer im Netzwerk abgerufen werden kann Globale Webseiten im Intra Net M chten Sie eine firmenweite Seite innerhalb Ihres Intra Nets ver ffentlichen dann legen Sie Ihre HIML Seiten im Verzeichnis usr local httpd htdocs ab Damit die Seite allen Benutzern zur Verf gung steht m ssen Sie Apache dem Webserver mitteilen das Verzeichnis neu einzulesen Geben Sie hierzu als Benut zer root den Befehl rcapache reload ein Apache Der Webserver Apache ist ein Prestigeprojekt der Open Source Szene Ungef hr 60 aller Webserver auf der ganzen Welt laufen damit Geboren wurde der Apache urspr nglich als Notbehelf als Erweiterung des NSCD 1 3 Webservers um wichtige Verbesserungen und Bugfixes Daher auch sein Name A patchy server der sich vor allem auf seine Patchworkstruktur bezieht nicht auf den nordamerikanischen Indianerstamm Das ffentliche Verzeichnis public_html Apache als Intra Netserver Der folgende Abschnitt wird Ihnen komprimiert darstellen wie der auf Ihrem System laufende Apache im Prinzip konfiguriert sein muss um Ihnen als Intra Netserver zu dienen Bitte haben Sie dafiir Verst ndnis dass an dieser Stelle kei ne komplette Er rterung seiner Konfigurationsm glichkeiten und Zusatzmodule erfolgen kann Hierzu sei auf die Informationsquellen auf Seite 44 verwiesen Um aus einem frisch instal
71. eine ganze Menge wenn man bedenkt dass nur die Startmaschinerie betroffen ist Es gibt kein Gesetz nach dem diese in der Linux Rootpartition liegen m sste ja es ist im Notfall sogar m glich wenn auch nicht ganz ungef hrlich Dateien der Startmaschinerie auf Partitionen fremder Betriebssysteme unterzubringen wenn nur Linux Lese und Schreibzugriff auf deren Dateisysteme hat P Achtung Sie m ssen sich nur davor h ten den LILO Bootsektor in eine fremde Parti tion zu installieren weil damit in der Regel deren Dateisystem besch digt wird Achtung cal Die sauberste L sung besteht auf jeden Fall darin bei der Linux Instal lation eine prim re Linux Partition ganz innerhalb des zul ssigen Bereichs anzulegen und die LILO Daten einschlie lich des LILO Bootsektors dort unterzubringen Bei der Installation mit YOST wird dafiir eine eigene Partition boot vor gesehen die lediglich gro genug ist um die folgenden Dateien aufzuneh men gt boot b map message gt die Linux Kernel die LILO booten soll Es gen gen also wenige Megabytes Das ganze brige System unterliegt hinsichtlich der Lokation auf der den Festplatte n keiner Einschr nkung wenn der Kernel erst einmal l uft hat er uneingeschr nkten Zugriff auf alle Festplatten im System SuSE Linux Office Server Bunqeueqie ye4 97 98 Aber was tun wenn fiir so eine Partition kein Platz mehr ist Wenn Sie nicht umpartitionieren
72. einen 62 Domain Name Service siehe DNS Drucken SEN EE Nee siehe SLCS Drucker Drucker GDI Drucker euren 56 Lexmark use 56 Windows only 56 Dynamic Host Configuration Protocol 64 E e2fsck Manual Page 0 eee 102 Erstinstallation Bootdiskette mit Unix erstellen 93 Bootdisketten 92 EK Z ee 9 F Fileserver ac ukt Vanesa seta es 25 37 Fileservice oo oooooocorcocroroncnc coo 66 Firewalle Seege 48 69 IHR EE 71 114 G Gateway inicia 20 GDI Drucker uv anna 56 LEE een O 71 l Le SE 69 Internet Zugang ocoocooocccoccoooccacooo 47 Internetverbindung ooooocccccccococcooo 48 ISDN zus sn siehe YaST2 ISDN J Java Script 72 Journaling Filesystem 9 K AA A 52 Kryptofilesystem 0 cece cence 13 L LILO Probleme 94 1024 Zylinder 97 Diagnose 95 Startmeldungen 95 Logical Volume Manager 9 lokales Netzwerk 49 TVM susanne EE 9 M MBR riada apra 14 Modem 0cocccccccccccoo siehe YaST2 Modem MOUNE TEE 66 rue Eat 67 N Nameserver BIND Network File System Network Information Service 65 Netzwerk ses 49 NES risotto des 66 NES CIENT ains aan 66 INFS Server en 66 67 Ned 67 A eared nie cisions Cowie wate 63 NIG cias aaa 39 62 65 Notfallsystem 99 RE ROT 21 P Paket DINO EE pam_auth
73. eise Ihre Tastatur belauschen Achtung Buffer Overflows und Format String Bugs Nicht direkt klassifizierbar in lokal und remote gilt das im Abschnitt Lokale Si cherheit ber Buffer Overflows und Format String Bugs Gesagte quivalent f r Netzwerksicherheit Wie auch bei den lokalen Varianten dieser Programmier fehler f hren Buffer Overflows bei Netzwerkdiensten meistens zu root Rechten Sollte dies nicht der Fall sein dann k nnte sich der Angreifer zumindest Zugang zu einem unpriviligierten lokalen Account verschaffen mit dem er dann weitere lokale Sicherheitsprobleme ausnutzen kann falls diese vorhanden sind ber das Netzwerk ausbeutbare Buffer Overflows und Format String Bugs sind wohl die h ufigsten Varianten von remote Angriffen berhaupt Auf Sicherheits mailinglisten werden so genannte exploits herumgereicht d h Programme die die frisch gefundenen L cken ausnutzen Auch jemand der nicht die genau en Details der L cke kennt kann damit die L cke ausnutzen Im Laufe der Jahre hat sich herausgestellt dass die freie Verf gbarkeit von exploitcodes generell die Sicherheit von Betriebssystemen erh ht hat was sicherlich daran liegt dass Betriebssystemhersteller dazu gezwungen waren die Probleme in ihrer Software zu beseitigen Da bei freier Software der Source Code f r jedermann erh ltlich ist kann jemand der eine L cke mitsamt exploitcode findet auch gleichzeitig noch einen
74. engl LInux LOader vorgenommen wird Hierzu muss festgelegt werden an welcher Stelle im System der Bootmanager installiert wird bzw ob ein anderes Bootkonzept verwendet werden soll Im Normalfall ist der SuSE Linux Office Server das einzige System auf Ihrem Rechner in diesem Fall installieren Sie am einfachsten LILO im Startsektor MBR der ersten Festplatte M chten Sie LILO auf einem anderen Medium installieren m ssen Sie Andere Konfiguration w hlen dann zeigt Ihnen YaST2 die erweiter ten M glichkeiten an siehe Abb 1 11 auf der n chsten Seite Sie brauchen dies allerdings nur wenn Sie genau wissen was Sie tun YasT2 bietet Ihnen vier M glichkeiten zur Auswahl an SUSE Linux Office Server JOAIOS SOWO XNUN ISNS SEP UOUDIDlISU SIG Andere Systemkonfiguration LILO der Linux LOader kann an mehreren Stellen installiert werden Im MBR dem Master Boot Record Diese Variante wird empfohlen wenn SuSE Linux das einzige Betriebssystem auf Ihrem Computer ist oder wenn Sie genau wissen dass LILO alle anderen Betriebssysteme auf Ihrem Rechner starten Auf C im MBR der ersten Festplatte Bootdiskette erstellen Nicht mit LILO booten anderer Bootmanager erforderlich in andere Partition dev sda Bootparameter O Die Option linear verwenden kann Der bisherige MBR sollte vorsichtshalber gesichert werden Il gt Zur ck Installation abb
75. enn Sie ein bin res Paket installieren sollten Sie sicher sein woher das Paket kommt SuSE rpm Pakete werden gpg signiert ausgeliefert Der Schl ssel den wir zum Signieren verwenden ist ID 9C800ACA 2000 10 19 SuSE Package Signing Key lt build suse de gt Key fingerprint 79C1 79B2 E1C8 20C1 890F 9994 A84E DAE8 9C80 VACA SUSE Linux Office Server SUYIDSSUSNDILISA 4S HSYISUYIIS 87 88 Das Kommando rpm checksig paket rpm zeigt an ob die Priifsum me und die Signatur des nicht installierten Pakets stimmen Sie finden den Schliissel auf der ersten CD einer SuSE Linux Distribution ab Version 7 1 und auf den meisten Keyservern der Welt berpr fen Sie regelm ig Ihr Backup der Daten und des Systems Ohne eine zuverl ssige Aussage ber die Funktion des Backups ist das Backup unter Umst nden wertlos a berwachen Sie Ihre Logfiles Nach M glichkeit sollten Sie sich ein klei nes Script schreiben welches Ihre Logfiles nach ungew hnlichen Eintr gen absucht Diese Aufgabe ist alles andere als trivial denn nur Sie wissen was ungew hnlich ist und was nicht Verwenden Sie tcp_wrapper um den Zugriff auf die einzelnen Dienste Ihres Rechners auf die IP Adressen einzuschr nken denen der Zugriff auf einen bestimmten Dienst explizit gestattet ist N here Information zu den tcp_wrappern finden Sie in der manual page von tcpd 8 und hosts_ access man tcpd man hosts_access Als zus tzlichen Schutz
76. er die ge w nschte Information an ein Opfer weitergibt das danach fragt Um einem DNS Server solche falschen Informationen glaubhaft zuschieben zu k nnen muss der Angreifer normalerweise einige Pakete des Servers bekommen und analysieren Weil viele Server ein Vertrauensverh ltnis zu anderen Rechnern aufgrund ihrer IP Adresse oder ihres hostnamens konfiguriert haben kann ein solcher Angriff trotz eines geh rigen Aufwands recht schnell Fr chte tragen Voraussetzung ist allerdings eine gute Kenntnis der Vertrauensstruktur zwischen diesen Rechnern Ein zeitlich genau abgestimmter DoS gegen einen DNS Server dessen Daten ge f lscht werden sollen ist aus Sicht des Angreifers meistens nicht vermeidbar Abhilfe schafft wieder eine kryptographisch verschl sselte Verbindung die die Identit t des Ziels der Verbindung verifizieren kann SUSE Linux Office Server SUDSHSSUSNDAUUSA 4S HSYISUYIIS 85 86 W rmer W rmer werden h ufig mit Viren gleichgesetzt Es gibt aber einen markanten Un terschied Ein Wurm muss keinerlei Wirtsprogramm infizieren und er ist darauf spezialisiert sich m glichst schnell im Netzwerk zu verbreiten Bekannte W r mer wie Ramen Lion oder Adore nutzen wohlbekannte Sicherheitsl cken von Serverprogrammen wie bind8 oder 1prNG Man kann sich relativ einfach ge gen W rmer sch tzen weil zwischen dem Zeitpunkt des Bekanntwerdens der ausgenutzten L cken bis zum Auftauchen des Wurms normalerweise einige Ta
77. er neu 2 Nach dem Start dr cken Sie Strg Entf und sie gelangen zum Windowsanmeld Dialog 3 Klicken Sie auf den Button Optionen gt gt das Fenster vergr ert sich und zeigt Ihnen einige erweiterte M glichkeiten an 4 W hlen Sie die Arbeitsgruppe OFFICE im Feld Anmelden an aus siehe Abb 2 3 auf der n chsten Seite 5 Melden Sie sich mit dem Benutzernamen und Passwort an in unserem Bei spiel mit tux Sollten Sie noch keine Benutzer angelegt haben holen Sie dies bitte umgehend nach siehe Abschnitt Erweiterte Konfiguration auf Sei te 26 und und melden Sie sich anschlie end auf dem Windows XP Rechner mit den entsprechenden Daten an berpr fen Sie die Netzverbindung wie folgt Rufen Sie Start gt Mein Compu ter auf Es ffnet sich ein Fenster Unter Netzlaufwerke sollten Sie einen ent sprechenden Eintrag sehen Arbeitsplatzkonfiguration f r Windows XP Windows Anmeldung Copyright 1985 2001 Microsoft Corporation Benutzername Kennwort Anmelden an OFFICE ber das DF Netzwerk anmelden Lin Abbrechen Herunterfahren Optionen lt lt Abbildung 2 3 Windowsanmeldung Fehleroehebung Erhalten Sie die Fehlermeldung Mehrfache Verbindungen sind nicht erlaubt Multiple connections are not allowed berpr fen Sie die folgenden Punkte Ist Ihre Registry korrekt angepasst worden Wenn
78. ere den Benutzer root Im Gegensatz dazu soll bei der Netzwerksicherheit das ganze System gegen Angriffe vom Netzwerk geschtitzt werden Obwohl man beim klassischen Einloggen eine Benutzerken nung und ein Passwort eingeben muss ist Benutzerauthentifizierung eher Ge genstand von lokaler Sicherheit Speziell beim Einloggen ber eine Netzwerk verbindung trennen sich die Sicherheitsaspekte auf in das was bis zur erfolgten Lokale Sicherheit und Netzwerksicherheit Authentifizierung passiert Netzwerksicherheit und in das was danach folgt lo kal X Window X11 Authentifizierung Wie bereits erw hnt ist Netzwerktransparenz eine grundlegende Eigenschaft ei nes Unix Systems Bei X11 dem Windowing System von Unix Systemen gilt dies besonders eindriicklich Sie k nnen sich ohne Weiteres auf einem entfernten Rech ner einloggen und dort ein Programm starten welches dann tiber das Netzwerk auf Ihrem Rechner angezeigt wird Das Protokoll welches zwischen der X Applikation und dem X Server der lokale Prozess der die Fenster auf der Grafikkarte zur An zeige bringt zur Kommunikation verwendet wird ist recht sparsam was Netz werkbandbreiten angeht Das ist durch die in den 80er Jahren als das System entworfen wurde zur Verf gung stehenden Bandbreiten bedingt Wenn nun ein X Client ber das Netzwerk bei unserem X Server angezeigt werden soll dann muss der Server die Ressource die er verwaltet das Display ge gen unberechtigte Z
79. ernetverbindung Folgendes wird von der Personal Firewall gefiltert Alle TCP Verbindungsanfragen Die Sicherheit beruht darauf dass die Per sonal Firewall immer das erste ankommende TCP Paket ablehnt das einen korrekten TCP Verbindungsaufbau verhindert Diejenigen TCP Pakete die nicht zu einer bestehenden TCP Verbindung geh ren und keine TCP Verbindungsanfiagen sind werden n mlich unabh ngig von den Filterregeln der Personal Fire wall verworfen elle Alle UDP Pakete bis auf Pakete von Port 53 von einem der konfigurier ten Nameserver normalerweise nur der Nameserver des Providers der normalerweise beim Aufbau der Internet Verbindung automatisch konfi guriert wird vgl hierzu Internetverbindung und lokales Netzwerk auf Seite 49 SLUSIID nj Bup n a Einige eher seltene ICMP Pakete Alle Filterregeln gelten nur f r das die konfigurierte n Interface s Beimanchen Diensten kann es zu Nebenwirkungen kommen Dazu z hlen IRC CTCP FTP nur der PORT Modus passives FTP was von den blichen Browsern verwendet wird funktioniert printer services real audio real video cucme napster icq und wenige andere Automatische Einwahl Dial on Demand Wenn Sie in den YaST2 Modulen Dial on demand oder Automatische Einwahl aktivieren dann wird z B nach der Eingabe einer externen URL im Browser oder beim Senden und Abholen von E Mail die Internet Verbindung automatisch auf gebaut Nur wenn Sie e
80. exportiert wird als NFS Server bezeichnet Auf einem NFS Server m ssen die folgenden Netzwerkserver gestartet werden RPC Portmapper portmap RPC Mount Daemon rpc mountd RPC NFS Daemon rpc nfsd Diese werden beim Hochfahren des Systems von den Skripten etc init d portmap und etc init d nfsserver gestartet Neben dem Start dieser Daemonen muss noch festgelegt werden welche Datei systeme an welche Rechner exportiert werden sollen Dies geschieht in der Datei etc exports Je Verzeichnis das exportiert werden soll wird eine Zeile ben tigt in der steht welche Rechner wie darauf zugreifen d rfen Alle Unterverzeichnisse eines ex portierten Verzeichnisses werden automatisch ebenfalls exportiert Die berech tigten Rechner werden tiblicherweise mit ihren Namen inklusive Domainname angegeben es ist aber auch m glich mit den Jokerzeichen und zu ar beiten die die aus der bash bekannte Funktion haben Wird kein Rechnername angegeben so hat jeder Rechner die Erlaubnis auf dieses Verzeichnis mit den angegebenen Rechten zuzugreifen nodyoseB UAssI NY SIP Jeu SIsUSIPYIOMZION Die Rechte mit denen das Verzeichnis exportiert wird werden in einer von Klam mern umgebenen Liste nach dem Rechnernamen angegeben Die wichtigsten Op tionen fiir die Zugriffsrechte sind in der folgenden Tabelle beschrieben ro Dateisystem wird nur mit Leserechten exportiert Vorgabe rw Dateisystem wird mit Schreib und
81. fe auf Ihren Server mitgeloggt ErrorLog var log httpd error_log hier werden Fehlermeldun gen archiviert 3 Sollen einzelne Verzeichnisse oder gar alle Inhalte des Servers vor unbe fugtem Betreten geschiitzt werden bieten sich mehrere einfache Schutz mechanismen an Den expliziten Schutz einzelner Verzeichnisse tiber htaccess Jedes Verzeichnis das Sie schiitzen wollen erhalt eine eigene htaccess Datei in der sinngem die folgenden Zeilen zu lesen sein werden SuSE Linux Office Server JON PAU 44 order deny allow deny from all allow from serverl Das Verzeichnis und alle Unterverzeichnisse in dem diese Datei liegt ist jetzt vor externen Zugriffen gesch tzt und erlaubt nur noch die Auslieferung an Rechner aus der internen Domain server1 Eben sogut k nnten Sie wenn durch eine Firewall die Verbindung ins rest liche Internet voll und ganz dicht ist dieses Verfahren verwenden um einzelne Hosts aus der server1 Domain auszusperren Damit die neuangelegte htaccess Datei auch beim Start des Apachen ge lesen wird muss in der etc httpd httpd conf folgende Option aktiviert sein This controls which options the htaccess files in directories can override Can also be All or any combination of Options FileInfo AuthConfig and Limit Se ode de e AllowOverride All Ist diese Option nicht aktiviert werden s mtliche ht access Eintrage ignoriert Derselbe Effekt wie mit htaccess
82. fiir mehrere Benutzer zug nglich zu machen Serverkonfiguration f r Linux 38 Arbeitsplatzkonfiguration 2 2 22 2 000 38 SAMBA ee re ee EE ELS 39 xnun JOLUN z o dsiequy pun messi UOA UOH DINBLUOy 38 Serverkonfiguration fur Linux Nach der Installation ist Ihr Fileserver so konfiguriert dass Sie nichts mehr ein stellen mtissen Der Server stellt allen Anwendern einen gemeinsamer Ordner shared zur Ver f gung sowie den gesch tzten privaten Bereich unter home M chten Sie ei ne genauere Kontrolle ber bestimmte M glichkeiten des Dateiservers erhalten k nnen Sie die weiteren Einstellungen ber das YaST2 Modul NFS Server vor nehmen Arbeitsplatzkonfiguration Nachdem wir uns vorher mit der Einrichtung von diversen Windows Clients be fasst haben m chten wir Ihnen nun zeigen wie Sie einen SuSE Linux Rechner als Client Ihres SuSE Linux Office Server verwenden k nnen Dateiserver Einstellungen Im Vergleich zu den angesprochenen Windows L sungen l sst sich ein SuSE Linux System sehr einfach f r den Zugriff auf Ihren SuSE Linux Office Server konfigurieren Rufen Sie dazu bitte im YaST2 Kontrollzentrum unter Netzwerk Erweitert den Punkt NFS Client auf In dem nun erscheinenden Dialogfenster haben Sie die M glichkeit Verzeichnisse Ihres SuSE Linux Office Servers in das Dateisys tem des Client Systems zu integrieren siehe Abb 3 1 Konfiguration des NFS Clien
83. fl Zur ck Installation abbrechen Abbildung 1 13 Auflistung der vorgenommenen Einstellungen Achtung Alle Daten auf den Partitionen die Sie f r SuSE Linux gew hlt haben werden jetzt unwiderruflich gel scht Haben Sie die gesamte Festplatte ge w hlt werden auch alle darauf befindlichen Betriebssysteme gel scht Achtung al Vorbereiten der Festplatte YasT2 beginnt mit der Arbeit legt die gew hlten Partitionen an und formatiert sie Je nach Systemausstattung kann das einige Zeit in Anspruch nehmen Installation der Software Pakete Nachdem die Festplatte vorbereitet wurde werden die Software Pakete des Linux Systems von CD kopiert und installiert Auf dem Bildschirm wird der Fortschritt Jetzt geht s los der anfallenden Arbeiten angezeigt siehe Abb 1 14 Je nach Systemausstattung kann dies einige Zeit in Anspruch nehmen The selected software 137 Software Pakete werden installiert will be installed And if you re feeling bored watching this screen take the time to browse through appendix F of the manuak this appendix aaa_dir SUSE Linux Verzeichnisstruktur tries to answer TITTLE 69 Frequently Askea 2 Pakete abgearbeitet Questions FAQ 12 Don t hesitate to have a look at the SuSE Suppen Benutzter Plattenplatz Database OTI 9 http sdb suse de if you want to know more about the software coming with SuSE Linux Abbildung 1 14 Installation der
84. gehalten werden oder sich woanders befinden Die spezielle Eigenschaft dass mehrere Benutzer an oder auf einem System arbei ten f hrt zu der Notwendigkeit dass diese Benutzer und ihre Daten auch von einander getrennt werden k nnen Da in diesem Zusammenhang verschiedenar tigste und nicht zuletzt auch emotionale Aspekte zum Tragen kommen verlangt das Thema Sicherheit und Schutz von Privatsph re eine besonders sorgf ltige Zuwendung Den Begriff Datensicherheit gibt es schon aus der Zeit als Computer nicht mit einander vernetzt waren Es war schon damals vorrangig wichtig dass die Daten bei einem Verlust oder einem Defekt der Datentr ger im Allgemeinen Festplat ten weiterhin verf gbar blieben auch wenn solche Defekte wom glich den vor bergehenden Ausfall einer gr eren Infrastruktur zur Folge hatten Auch wenn sich dieses Kapitel des SuSE Handbuchs in der Hauptsache mit der Vertraulich keit der Daten und dem Schutz der Privatsph re der Benutzer besch ftigt sei betont dass ein umfassendes Sicherheitskonzept als integralen Bestandteil im mer ein regelm iges funktionierendes und berpr ftes Backup beinhaltet Oh ne dieses Backup der Daten wird es nicht nur im Fall eines Hardware Defekts schwierig sein weiterhin auf die Daten zuzugreifen sondern insbesondere auch dann wenn nur der Verdacht besteht dass jemand sich unbefugterweise an den Daten zu schaffen gemacht hat Lokale Sicherheit und Netzwerksicherheit Es e
85. gen Daten m s sen nur an einer einzigen Stelle im Netz gewartet werden M gliche nderungen sprechen sich mittels NIS von allein herum ohne dass sie auf jedem Rechner ein zeln aktualisiert werden m ssten SUSE Linux Office Server noyoseB uassiny SIP Jeu SIsUSIPYIOMZION 65 66 Weitere Informationen zu NIS Neben den Informationen die Sie auf Ihrem eigenen System unter usr share doc packages ypbind finden oder den Manpages steht Ihnen das Linux NIS YP NYS NIS HOWTO unter http www linuxdoc org HOWTO NIS HOWTO index html zur Verfiigung File und Print Service Zentrale Aufgabe Ihres Servers ist die Verwaltung von Dateien bzw Verzeichnis sen und Druckauftr gen unabh ngig vom Betriebssystem der angeschlossenen Clients Linux Clients werden ber NFS das Network File System zentral mit Dateien und Verzeichnissen versorgt Druckauftr ge k nnen vom angeschlosse nen Netzwerkdrucker bearbeitet werden Die Windows Clients stehen ber Samba mit Ihrem Linux Server in Verbindung um Dateisysteme Shares zu mounten und den angeschlossenen Netzwerk drucker zu nutzen NFS verteilte Dateisysteme Wie bereits in Abschnitt NIS auf der vorherigen Seite erw hnt dient NFS ne ben NIS dazu ein Netzwerk f r Anwender transparent zu machen Durch NFS ist es m glich Dateisysteme im Netz zu verteilen Unabh ngig davon an wel chem Rechner im Netz ein Anwender arbeitet kann er so stets die
86. gleiche Umge bung vorfinden Die Nutzer Ihres Servers k nnen so per NFS an einem beliebigen Linux Client in Ihrem Netz Zugang zu ihrem pers nlichen Homeverzeichnis ha ben ohne dass dieses physikalisch auf der entsprechenden Maschine vorhanden sein m sste Wie NIS ist auch NFS ein asymmetrischer Dienst Es gibt NFS Server und NFS Clients Allerdings kann ein Rechner beides sein d h er kann gleichzeitig Datei systeme dem Netz zur Verf gung stellen exportieren und Dateisysteme an derer Rechner mounten importieren Im Regelfall jedoch benutzt man daf r Server mit gro er Festplattenkapazit t deren Dateisysteme von Clients gemoun tet werden Importieren von Dateisystemen Dateisysteme von einem NFS Server zu importieren ist sehr einfach Einzige Vor aussetzung ist dass der RPC Portmapper gestartet wurde was nach der Installa tion des Servers automatisch der Fall ist Ist diese Voraussetzung erf llt k nnen fremde Dateisysteme sofern sie von den entsprechenden Maschinen exportiert werden analog zu lokalen Platten mit dem Befehl mount in das Dateisystem ein gebunden werden Die Syntax ist wie folgt mount t nfs Rechner Remote Pfad Lokaler Pfad File und Print Service Sollen also z B die Benutzerverzeichnisse vom Rechner sonne importiert werden so kann dies mit folgendem Befehl erreicht werden erde mount t nfs sonne home home Exportieren von Dateisystemen Ein Rechner der Dateisysteme
87. gramm xauth gibt dem Benutzer das Werkzeug die Datei Xauthority zu untersuchen Wenn Sie Xauthority aus Ihrem home Verzeichnis l schen oder umbenennen dann k nnen Sie keine weiteren Fenster von neuen X Clients mehr ffnen N heres ber Sicherheitsaspekte von X Window erfahren Siein der Manpage von Xsecurity man Xsecurity ssh secure shell kann ber eine vollst ndig verschl sselte Netzverbindung f r einen Benutzer transparent also nicht direkt sichtbar die Verbindung zu einem X Server weiterleiten Man spricht von X11 forwarding Dabei wird auf der Server Seite ein X Server simuliert und bei der Shell auf der remote Seite die SUSE Linux Office Server SUYIPSSUSNDILISA 4S HSYISUYIIS 83 84 DISPLAY Variable gesetzt Der Client ffnet zum Anzeigen dann eine Verbin dung zum sshd secure shell daemon das serverseitige Programm der dann die Verbindung an den richtigen realen X Server durchschleust Wenn Sie X Clients ber das Netzwerk anzeigen lassen m ssen dann sollten Sie ssh einmal genau er unter die Lupe nehmen Die Manpage von ssh gibt weitere Auskiinfte ber diese Funktionalitat 8 Achtung Wenn Sie den Rechner auf dem Sie sich einloggen nicht als sicher betrach ten dann sollten Sie auch keine X Window Verbindungen weiterleiten las sen Mit eingeschaltetem X11 forwarding k nnten sich auch Angreifer ber Ihre ssh Verbindung mit Ihrem X Server authentifiziert verbinden und beispielsw
88. hdem Sie erfolgreich die Installation abgeschlossen haben ist Ihr Fileserver bereits so konfiguriert dass er ein Verzeichnis shared besitzt das von Ihren Anwendern benutzt werden kann Bevor Sie dies testen k nnen mu Ihr Windows Client konfiguriert sein Wie dies geht erfahren Sie im Abschnitt Arbeitsplatzkon figuration allgemein auf der n chsten Seite Sind Ihre Arbeitsplatzrechner korrekt eingerichtet starten Sie unter Windows den Dateimanager und w hlen Netz werk gt Gesamtes Netzwerk Jetzt sollten Sie ein leeres Verzeichnis shared sehen in dem Sie Dateien hineinkopieren und von anderen Clients bearbeitet werden k nnen Erhalten Sie eine Fehlermeldung konsultieren Sie das Kapitel Fehlerbehebung auf Seite 91 Der Vorteil des Verzeichnisses shared ist dass Sie keine weiteren Einstellung en vornehmen m ssen Jeder kann innerhalb dieses Verzeichnisses lesen schrei ben und l schen Dies ist aber auch der gravierendste Nachteil M chten Sie dies verhindern m ssen Sie private Verzeichnisse einrichten Diese sind anwender bezogen und stehen unter der Regie eines Benutzers Sie werden im n chsten Abschnitt beschrieben Erweiterte Konfiguration Ben tigen Sie zus tzlich zu dem shared Verzeichnis auch private Anwender verzeichnisse gehen Sie folgenderma en dazu vor 1 Sie ben tigen eine zentrale Windowsbenutzerverwaltung PDC Standard m ig ist der SuSE Linux Office Server als PDC vorkonfiguriert
89. he betrieben werden soll Im Falle des SuSE Linux Office Ser vers wird der Betrieb von einer grafischen Oberfl che aus Gr nden der Benut zerfreundlichkeit empfohlen Wenn Sie auf ndern klicken haben Sie die M glichkeit Einstellungen zur gra fischen Oberfl che vorzunehmen siehe Abb 1 17 auf der n chsten Seite 8 Hinweis Falls 3D acceleration angezeigt wird klicken Sie bitte unbedingt auf An dern und schalten diese ab da diese zu Problemen f hren kann und auf einem Server nicht ben tigt wird Hinweis Sie k nnen die Bildschirmaufl sung und Farbtiefe f r den Grafikmodus einstel len Auch die Bildwiederholfrequenz kann festgelegt werden Durch einen Klick Bildschirm Einstellungen Bitte sehen Sie sich Bildschirm Einstellung die vorgeschlagenen Einstellungen f r das X Window System an Falls gew nscht k nnen Sie diese Nur Textmodus keine grafische Oberfl che Einstellungen Andern El Grafische Oberfl che Zum berspringen der 7 x 1024x768 16 bit 65535 colors Window Konfiguration 82 Hz w hlen Sie Nur 3D acceleration Textmodus Sie Monitor liyama Vision Master Pro 450 k nnen dann zu einem sp teren Zeitpunkt Saxoder Sax starten wenn Sie Grafische Oberfl che w hlen werden die vorgeschlagenen Mr 7 Einstellungen getestet EI Zur ck DEEN Abbildung 1 16 Einstellungen zum Bildschirm Bitte sehen Sie s
90. hem Aufwand wiederherstellen Bewahren Sie das Passwort nicht an Stellen auf die Dritten zuganglich sind Aus Griinden der Systemsicherheit empfehlen wir sich nicht als Root an zumelden Benutzen Sie hierzu den Administrator Account siehe Ab schnitt Administrator Account anlegen auf dieser Seite Achtung A Administrator Account anlegen Nachdem Sie das Passwort f r Root vergeben haben m ssen Sie in diesem Schritt Ihren Administrator Account erstellen Mit diesem erledigen Sie Ihre t glichen Arbeiten Geben Sie sich dazu einen einpr gsamen Loginnamen der z B Ihr Vor oder Nachname sein k nnte Verwenden Sie jedoch keine Umlaute oder Leerzei chen Im Anschluss daran best tigen Sie zweimal Ihr Passwort Verwenden Sie f r Ihr Passwort eine Kombination aus kleinen und gro en Buch staben sowie Ziffern Benutzen Sie diesen Account um sich sp ter am System anzumelden Der Administrator Account enth lt im Unterschied zu einem normalen Benut zerkonto verschiedenartige Anpassungen um die Administrierbarkeit des SuSE Linux Office Servers zu vereinfachen SUSE Linux Office Server JOAIOS SOWO XNUI ASNS s p UOULDIDISUL SIG Jetzt geht s los Im folgenden Dialog siehe Abb 1 13 werden die von Ihnen vorgenommenen Einstellungen nochmals aufgef hrt Sie k nnen hier auch die Installation abbre chen SuSE Linux wird dann beendet Ihr System bleibt unver ndert Anderun gen k nnen Sie vornehmen indem Sie so
91. hmen hin aus 1 Die LILO Daten unterhalb der 1024 Zylinder Grenze installieren falls noch nicht geschehen Das bezieht sich auf die ben tigten Linux Kernel den Inhalt des Verzeichnisses boot und auch den Bootsektor der den LILO Startcode aufnehmen soll 2 LILO neu installieren mit dem Befehl 1i1o als root Ein informatives Log liefert 1i1o wenn Sie die Gespr chigkeit engl ver bosity erh hen und Logdateien anlegen lassen Das geht wie folgt erde lilo v v v gt boot lilo log 2 gt boot lilo logerr In boot lilo logerr sollte bei einer korrekten Bootkonfiguration gar nichts stehen In boot 1ilo 1log k nnen Sie u a genau nachlesen wie LILO sich die Lokationen seiner Dateien merkt welche BIOS Ger tenumme LILO f r die betroffenen Festplatten verwendet und mehr 3 Konsistenz der Festplattengeometrie Informationen pr fen Tats chlich sind dazu bis zu vier Stellen von Belang a Geometrie die LILO verwendet Siehe die oben genannte Logdatei Be einflussbar durch die Angabe disk in lilo conf b Geometrie die der Linux Kernel erkannt hat Siehe die Boot Meldungen var log boot msg oder die Ausgabe des Befehls dmesg Beein flussbar durch Kernelparameter in Grenzen c Geometrie die der Partitionstabelle zu Grunde liegt Siehe die Ausgab von fdisk 1 Beeinflussbar durch fdisk Expertenbefehle Sehr ge f hrlich f r die Daten Vollbackup vorher dringend empfohlen Wirk lich nur f r Experten d
92. ich Bildschirmeinstellung Details die vorgeschlagenen Einstellungen f r das Aufl sung en EE a LBE amp ACME SpaceBlaster 4D k nnen Sie diese Earben X Server Einstellungen 16 Bit 16 K Farben z SE 4 0 SpaceBlaster ndern d Monitor Zum berspringen der 7 Bildwiederholfrequenz Hz Hypervision SyncMax Ill 2 75 Window Konfiguration wahlen Sie Nur Textmodus Sie 3D Beschleunigung k nnen dann zu aktivieren einem sp teren Zeitpunkt Sax oder Sax starten Wenn Sie Grafische Oberfl che wahlen ngaben zum Monitor festlege werden die vorgeschlagenen 2 z Einstellungen getestet 5 zur ck Installation abbrechen Abbildung 1 17 Einstellungen zur grafischen Oberfl che ndern auf Test wird die gew hlte Aufl sung getestet Das Installationsprogramm in formiert Sie dass der Bildschirm nun umgeschaltet wird Falls Sie kein ruhiges Bild erhalten brechen Sie den Test bitte umgehend durch Dr cken von der Taste Edad Netzwerkkarte Zur Netzwerkkonfiguration muss man als ersten Schritt die Netzwerkkarte des Servers konfigurieren die an das interne Netzwerk angeschlossen wird YaST2 er kennt automatisch alle Netzwerkkarten in Ihrem System und zeigt Ihnen eine Liste an siehe Abb 1 18 auf der n chsten Seite Die Karte die Sie jetzt ausw hlen verbindet Sie mit Ihrem lokalen Netz Alle Ser verdienste werden nur ber diesen Anschluss eth0 ist die erste Netzwerkkarte SUS
93. ichts zu ndern wenn Sie die Standardwerte bernommen haben Nach der Installation l uft der SuSE Linux Office Server als prim rer NT Dom nenserver primary domain controller kurz PDC unter der NT Dom ne OFFICE M chten Sie dennoch Werte ndern so bestimmen Sie zuerst die Grundkonfigu ration des Samba Servers W hlen Sie hier ob der Server als Workgroup Server oder als prim rer Domain Controller fungieren soll Geben Sie dann den passenden Namen f r die Workgroup oder Domain ein Die beschreibende Zeichenkette erleichtert die Identifikation des Servers beim Brow sen durch das Netzwerk Abschnitt Samba auf Seite 58 liefert Ihnen weitere Details Weiterf hrende Infor mationen k nnen Sie im Samba Buch nachlesen siehe http www susepress de de katalog 3_935922_15_9 index html ISBN 3 935922 15 9 SUSE Linux Office Server xnun JOLUN zojdsyegqy PUN JanJasa l4 UOA UOH DINBLUOy 39 40 Samba Grundkonfiguration des Samba Servers W hlen Sie bitte ob der File und Druckserver f r Windows Clients seine Dienste als zus tzlicher Server einer Arbeitsgruppe Workgroup oder als prim rer Dom nen Controller PDC bereitstellen soll L uft in Ihrem Netzwerk bereits ein PDC ist Arbeitsgruppe D die richtige Einstellung Dann legen Sie bitte den Namen der a Arbeitsgruppe oder Y II lr Samba Grundkonfiguration Art des Servers 6 Arbeitsgruppe Dom ne
94. ie LILO Konfigurationsdatei etc lilo conf ge ndert worden ist Aufmerksamkeit ist bei gro en oder bei mehreren Festplatten geboten Be r cksichtigen Sie die 1024 Zylinder Grenze Probieren Sie es ohne und mit Option linear meist besser ohne Probleme mit LILO Fehlerdiagnose LILO Start Meldungen Hier wiederholen wir im Wesentlichen in Ubersetzung einen Abschnitt aus der LILO Beschreibung von Werner Almesberger Der LILO Systemstart Code besteht aus zwei Teilen der ersten Stufe in einem Boot sektor und der zweiten Stufe in boot boot b Bei der Installation von LILO wird eine Map Datei erzeugt standardm ig boot map in der LILO die n tigen Zeiger Sektoradressen auf die Betriebssysteme Linux Kernel usw findet die er starten soll Wenn LILO geladen wird zeigt er das Wort LILO an Jeder Buchstabe entspricht der Vollendung einer spezifischen Phase Wenn LILO nicht starten kann bilden die bereits ausgegebenen Buchstaben einen genaueren Hinweis darauf in wel chem Stadium ein Problem aufgetreten ist nichts Kein Teil von LILO wurde geladen Entweder LILO ist gar nicht instal liert oder es wurde nicht die Partition mit dem LILO Bootsektor gestartet L error Die erste Stufe wurde geladen und gestartet aber sie konnte die zweite Stufe boot boot b nicht laden Dies weist blicherweise auf einen physikalischen Fehler des Boot Datentr gers oder eine fehlerhaf te Platte
95. ier angeben Das Feld Optionen kann getrost ignoriert werden hier konnen Experten falls notig Feineinstellun gen vornehmen Nachdem Sie Ihre Einstellungen abgeschlossen haben best ti gen Sie mit Beenden Ihre Eingaben und bejahen ebenfalls die Frage ob diese nun gespeichert werden sollen Die Datenverzeichnisse Ihres SuSE Linux Office Servers sind nun unter den im Kontrollzentrum konfigurierten Mountpunkten eingebunden NIS Konfiguration Nach der Einrichtung von NFS ist es empfehlenswert auch NIS zu aktivieren NIS das oftmals auch als Yellow Pages YP bezeichnet wird sorgt daf r dass Logins also Benutzernamen und dazu geh rige Passw rter des Servers auf je dem Linux Client innerhalb Ihres Netzwerkes ebenfalls zur Verf gung stehen M chten Sie auf private Dateibereiche Ihres Servers wie z B die Homeverzeich nisse zugreifen f hrt an der Einrichtung von NIS kein Weg vorbei schlie lich sollen ja nur Befugte Zugriff auf diesen privaten Bereich erhalten Um NIS zu aktivieren w hlen Sie im Kontrollzentrum unter der Kategorie Netz werk Erweitert das Modul NIS Client aus Aktivieren Sie NIS verwenden und geben Sie bei NIS Domain die bei der Installation eingestellte Domain z B tux net an Die IP Adresse des NIS Servers ist in aller Regel 192 168 0 1 Best tigen Sie auch hier Ihre Einstellungen mit Beenden Fertig Samba Normalerweise brauchen Sie hier n
96. igem Aufwand auch anders Netzwerke vereinfachen den Zugriff auf Daten mit zum Teil komplexen Kom munikationsprotokollen Das mag paradox klingen muss aber so sein Wenn Sie v llig ortsunabh ngig sein wollen und einen Rechner fernsteuern oder Da ten von ihm beziehen wollen dann brauchen Sie abstrakte modulare Modelle deren Ebenen weitgehend voneinander unabh ngig sind Im t glichen Umgang mit Computern begegnen Sie st ndig solchen Modellen Modularit t ist wenn Ihr Textverarbeitungsprogramm nicht wissen muss welche Art von Festplatte Sie haben und Ihr E Mail Programm sollte sich nicht darum k mmern m ssen ob Sie nun ein Modem oder eine Ethernet Karte haben Teile Ihres Betriebssystems in unserem Fall Linux stellen Ihnen die Funktionalit t mittels einer definierten Schnittstelle zur Verf gung und k mmern sich um die Details So kann einer seits ein Textverarbeitungsprogramm oder ein Mail User Agent MUA auch auf einem Rechner mit g nzlich unterschiedlicher Hardware funktionieren und an dererseits sorgt diese Modularit t daf r dass Sie dies prinzipiell von jedem Ort der Welt aus tun k nnen Aus der Sicht der Daten bedeutet dies f r eine Datei und den Zugriff darauf dass es keinen Unterschied macht ob Sie die Datei auf der Kommandozeile ff nen oder ob dies ein Webserver macht etwa Apache und die Datei ber ein Netzwerk auf einem Browser dargestellt wird In beiden F llen hat ein Benut zer die Datei mit seiner je
97. iguration fiir Linux 38 Serverkonfiguration fiir Windows 26 sr ED anna 50 SMB nennen a 58 Sguid id da 70 Na nee 71 SWA A isa 27 T T DSL sidra eii 50 REI D WEE 62 U UDP seat 69 UGTA nee een 68 V Ka EE 72 Verschl sselung siehe Kryptofilesystem KREE 82 W W hlmodus ooooooococnccnnonnnnnnocrnrr oo 52 EE 71 Webserver un anstatt 42 Windows 9x Dateiserver Zugriff 28 DNS nn anni 29 Einstellungen 29 Gateway cn 29 HTTPS Protokoll 31 Installation TCP IP 28 Laufwerke verkn pfen 31 NT Dom ne 0 00 eee eee 30 S IER ann 26 SWAT ir ae aba ii 27 LOSE eii 30 WINS ageet eben age 29 Windows XP Anmeldung aseti aeiae aiii 34 Arbeitsgruppe 34 Dateiserver Zugriff oooooooooo 31 Fehlerbehebung 35 Registy usa 33 RequireSignOrSeal 33 Sicherheitsfunktion 33 TO anne 34 Y YaST2 Administrator Account 15 SNE a een re 50 Bildschirmeinstellungen 17 Domainname 21 Drucker siehe SLCS Drucker Gateway 6 cece eee cece eee eee 20 Hostname ieira 0 06 eee e eee eee ee 21 Internet Zugang 47 A tet anes St Kryptofilesystem 13 STO ii Pa ais 13 Logical Volume Manager 9 SEVM EE 9 Modem nun 53 Netzwerkkarte ooommcoc
98. ine so genannte Flatrate Pauschaltarif fiir den Internet zugang haben ist Dial on demand empfehlenswert Denn durch Prozesse die im Hintergrund ablaufen z B zum regelm igen Abholen von E Mail erfolgt eine h ufige Einwahl in das Internet und das erh ht die Telefonkosten Internetverbindung und lokales Netzwerk Bei jeder Internetverbindung besteht eine ganz normale TCP IP Verbindung zwi schen dem lokalen Rechner und einem Rechner beim Internetprovider Als Name server wird normalerweise der DNS Server des Internetproviders automatisch konfiguriert und das Netzwerk wird gleichflls automatisch so konfiguriert dass die Verbindung zum Internetprovider f r alle TCP IP Daten verwendet wird die nicht f r den lokalen Rechner bestimmt sind Das ist korrekt denn norma lerweise ist der lokale Rechner kein DNS Server und normalerweise hat der lo kale Rechner keine anderen Netzwerkverbindungen so dass alle nicht lokalen TCP IP Daten den Internetzugang betreffen SUSE Linux Office Server 49 50 Daher sind Netzwerkprobleme mit der TCP IP Verbindung zum Internetpro vider in der Regel ausgeschlossen wenn es lokal nur einen Rechner gibt Aus nahmen gibt es wenn z B eine Firewall so konfiguriert wurde dass keine Daten bertragen werden k nnen T DSL und ADSL in Deutschland Um T DSL bzw ADSL zu konfigurieren gehen Sie wie folgt vor 1 Konfigurieren Sie zuerst Ihre Netzwerkkarte Starten Sie das entsprechende YaST2
99. inux Office Server zugreifen und selbstverst ndlich ist auch Micro softs Betriebssystem auf bestimmte Protokolle und Einstellungen angewiesen Tipp Bitte beachten Sie dass Sie unter Windows XP entweder als Administra tor oder als ein der Gruppe Administratoren angeh render Benutzer angemeldet sein miissen um Einstellungen an der Netzwerkkonfigurati on vornehmen zu k nnen Beim ersten Anmelden ben tigen Sie den Roo taccount und das Rootpassword vom Server Tipp Die folgenden Schritte werden ben tigt nachdem Sie Windows XP installiert ha ben und Sie nun sich mit dem SuSE Linux Office Server verbinden m chten 1 Nach dem Start von Windows XP w hlen Sie im Men Start Einstel lung gt Systemsteuerung den Eintrag Netzwerkverbindung aus 2 Im n chsten Schritt w hlen Sie Netzwerkaufgaben und klicken auf Ein Heim oder ein kleines Firmennetzwerk einrichten Es ffnet sich ein Netzwerkinstall Assistent Best tigen Sie mit Weiter 3 Sie sehen nun drei m gliche Auswahlm glichkeiten W hlen Sie Diesen Computer stellt eine Internetverbindung ber einen anderes Computer Netz werk oder lokales Gateway her Best tigen Sie mit Weiter 4 Windows XP m chte nun Informationen dar ber haben wie Sie Ihren Com puter benutzen Des Weiteren wird ein Name ben tigt Dies kann eine Be schreibung der Funktionalit t Office Rezeption usw oder einfach
100. itet Wenn die angeforderten Objekte beim Vermittler ankom men beh lt er eine Kopie davon in einem Festplatten Cache Der Vorteil zeigt sich wenn mehrere Clients dasselbe Objekt anfordern Sie k n nen nun direkt aus dem Festplatten Cache bedient werden also wesentlich schnel ler als aus dem Internet Dies spart gleichzeitig Systembandbreite Proxy Server Squid Tipp Squid bietet ein gro es Spektrum an Features z B die Festlegung von Hierarchien f r die Proxy Server zum Verteilen der Systemlast Aufstel len fester Zugriffsregeln an alle Clients die auf den Proxy zugreifen wol len Erteilen oder Verweigern von Zugriffsrechten auf bestimmte Websei ten mit Hilfe anderer Applikationen oder die Ausgabe von Statistiken der meistbesuchten Webseiten wie z B das Surfverhalten der Benutzer u v m Tipp Squid ist kein generischer Proxy Normalerweise vermittelt er nur zwischen HTTP Verbindungen Au erdem unterst tzt er die Protokolle FTP Gopher SSL und WAIS jedoch keine anderen Internet Protokolle wie Real Audio News oder Videokonferenzen Squid greift auf das UDP Protokoll nur zur Unterst tzung der Kommunikation zwischen verschiedenen Caches zur ck Aus diesem Grund werden auch andere Multimedia Programme nicht unterst tzt Squid und der SuSE Linux Office Server Squid l uft bereits beim ersten Start Ihres Systems ohne dass von Ihrer Seite eine Aktion erforderlich w re Die Grundfunktionen die er bereitstellt
101. l des ISDN Protokolls 6 Euro ISDN EDSS1 O pe O Standleitung Onn r ck Abbildung 5 1 YaST2 ISDN Konfiguration M glichkeit die Einwahl ber ein Modem zu realisieren Abb 5 2 Auf die Kon figuration soll hier nicht n her eingegangen werden Sie ist gr tenteils intuitiv und geschieht analog den Einstellungen der ISDN Konfiguration im Abschnitt ISDN auf Seite 51 Nur im Men Details finden Sie Einstellungen zur Baudrate und Initialisierungs Strings f r das Modem wo Sie nderungen vornehmen k nnen wenn Sie sich damit auskennen Im Allgemeinen ist dies jedoch nicht n tig Hier sollten Sie nur dann nderungen vornehmen wenn Ihr Modem nicht automa tisch erkannt wurde und f r die Daten bertragung speziell eingestellt werden muss Dies ist vor allem bei so genannten ISDN Terminaladaptern der Fall Bitte geben Sie alle Werte f r die Modemkonfiguration ein Der Modemname ist eine willk rliche Zeichenkette zur Identifikation Ihres Modems Wenn Sie an einer Telefonanlage h ngen m ssen Sie wahrscheinlich eine Vorwahl zur Amtsholung eingeben Dies ist oft 0 Das Feld Ger t gibt an an welchem Port Ihr Modem angeschlossen ist dev tty50 dewittyS1 Modemparameter Ger t devimodem zl Modemname Amtsholung modemo wahlmodus Spezielle Einstellungen 6 Tonwahl DB Lautsprecher an Impulswahl DE wahlton abwarten Abbrechen
102. le e Microsoft Maus an erster serieller Schnittstelle ttyS0 COMI Maus an Ihrem Microsoft Maus an zweiter serieller Schnittstelle ttyS1 COM 1 Rechner Microsoft Intellimouse 3 Tasten und Rad ttyS0 COM1 angeschlossen ist Microsoft Intellimouse 3 Tasten und Rad ttyS1 COM2 und w hlen Sie den Mouse Systems serielle Maus ttyS0 COM1 richtigen Typ aus Mouse Systems serielle Maus ttyS1 COM2 Benutzen Sie bitte die Mouse Man Protokoll serielle Logitech Maus ttyS0 COM1 Pfeiltasten um eine Mouse Man Protokoll serielle Logitech Maus ttyS1 COM2 Maus auszuw hlen Alte serielle Logitech Maus Serie 9 ttyS0 COM1 Sollte sich der Alte serielle Logitech Maus Serie 9 ttyS1 COM2 Auswahlbalken nicht Logitech Busmaus Y bewegen dr cken Sie bitte zun chst die Raf Tab Taste eventuell mehrfach bis sich der Auswahlbalken bewegt w hlen Sie den Zur ck Installation abbrechen Abbildung 1 3 Ausw hlen des Maustyps Best tigen Sie den gew nschten Maustyp entweder durch Dr cken der Tasten kombination Alt oder von Tab und anschlie ender Best tigung mit 2 Testen Sie ob Ihre Maus funktioniert Falls sich der Zeiger nicht bewegt w hlen Sie einen anderen Maustyp und wiederholen Sie den Versuch Tastatur und Uhrzeit Im darauf folgenden Schritt siehe Abb 1 4 auf der n chsten Seite erfolgt die Auswahl des Tastaturlayouts und der Zeitzone Im Fel
103. legen kann Dieses Rennen besteht also immer dann wenn der Vorgang von berpr fen und Anle gen einer Datei nicht atomisch also unteilbar ist Wenn das Rennen stattfindet dann kann es von einem Angreifer auch gewonnen werden das ist eine Frage der Wahrscheinlichkeit buffer overflows format string bugs signed unsigned bugs Wann immer ein Programm Daten verarbeitet die in beliebiger Form unter Ein fluss eines Benutzers stehen oder standen ist besondere Vorsicht geboten Diese Vorsicht gilt in der Hauptsache f r den Programmierer der Anwendung Er muss sicherstellen dass die Daten durch das Programm richtig interpretiert werden dass die Daten zu keinem Zeitpunkt in Speicherbereiche geschrieben werden die eigentlich zu klein sind und dass er die Daten in konsistenter Art und Wei se durch sein eigenes Programm und die daf r definierten Schnittstellen weiter reicht Ein Buffer Overflow passiert dann wenn beim Beschreiben eines Pufferspeicher bereichs nicht darauf geachtet wird wie gro der Puffer eigentlich ist Es k nnte sein dass die Daten die vom Benutzer kamen etwas mehr Platz verlangen als im Puffer zur Verf gung steht Durch dieses berschreiben des Puffers ber sei ne Grenze hinaus ist es unter manchen Umst nden m glich dass ein Programm aufgrund der Daten die er eigentlich nur verarbeiten soll Programmsequenzen ausf hrt die unter dem Einfluss des Users und nicht des Programmierers stehen Dies ist ein schwere
104. lierten Apache einen kraftvollen Intra Netserver zu machen sind im einzelnen folgende Schritte notwendig 1 Welche Inhalte wollen Sie pr sentieren Das Verzeichnis in dem Apache standardm ig den zu pr sentierenden Inhalt erwartet ist usr local httpd htdocs Hier legen Sie alle Da teien ab die Apache am Ende darstellen soll und zwar mit Leserechten f r andere Benutzer rw r r 1 ich meine_gruppe 0 Mar 2010 14 26 meine_datei Verzeichnisse werden dementsprechend so angelegt dass Sie selber lesend schreibend und ausf hrend zugreifen k nnen Ihre Gruppe und der Rest der Welt h chstens lesend und ausf hrend Ihre eigene pers nliche Start seite erwartet der SuSE Apache als index html Sollten Sie keine eigene Startseite unter diesem Namen verwenden greift Apache auf eine eigene Default Starteite zu 2 Jetzt werden die grundlegendsten Eintr ge als root in der etc httpd httpd conf vorgenommen Zu nennen sind hier ServerRoot usr local httpd hier liegt der Dateibaum unter dem alle Apache relevanten Dateien platziert sind ServerAdmin die E Mail Adresse des Administrators sollte eine Seite auf dem neuen Server nicht anzeigbar sein wird unter anderem diese Adresse weitergegeben ServerName voll g ltiger Name des Servers DocumentRoot die DocumentRoot Variable ist usr local httpd htdocs wie in Schritt 1 angegeben CustomLog var log httpd access_log hier werden standard m ig die Zugrif
105. llation YasT2 bernimmt die Arbeit inca Be ce Gea na ne Sprachauswahl o a s aea sia sa En ne na an AA a en a a E a ey Tastaturund Uhrzeit 25 242 2er 24 war se Haar DE a Partition ausw hlen o 2 2 4 040465 bbe de na bee bee eng Partitionen w hlen san 200 na Has we ae Anmerkungen zur erweiterten Partitionierung Logical Volume Manager LVM o o ooo ooo o Konfiguration von LVM mit YaST2 2 2 2202 o LVM Partitiomerung s ca sioe dbo st a on LVM Einrichten von Physical Volumes Logical VOlUMES 2 ca arg Da Ca a e ee ae e A Kryptofilesystem einrichten Bootmanager f r den Systemstart o ooo o Passwort f r den Systemadministrator Administrator Account anlegen o J tzt geht glossa a ii a a A eee Vorbereiten der Festplatte vu daa a Se la Installation der Software Pakete o ernennen Bildschirm Einstellungen o V 0 4 OD oF FF WwW WN H a vi Netzwerkkarte c ng 62 8G aaa rana a a a Netzwerkkonfiguration initialisieren o Internet Gatewar e x u sk eS an anne pe bee Host und Domainname Netzwerk Mariagement e zur A a ae Status der Vorkonhesurlerung i ao E 244 es aa as Abschluss der Installation o o Grafische Logit 2 ra PEO A a al Konfiguration des Fileserver und der Clients unter Windows Serverkontig ura tod caro os ro ea
106. ller SuSE Update RPMs Einspielen von SuSE Bugfixes und Security Updates mittels YOU oder ma nuell Bootkonfiguration mit LILO im MBR der ersten Platte oder auf Floppy ohne Anderungen am BIOS Mapping Installation von einem lokal angeschlossenen ATAPI SCSI CD oder DVD ROM Installation auf die 1 oder 2 Festplatte in einem reinem IDE oder SCSI System inkl Analyse von Resourcen Konflikten Joddns 108 M Hinweis Einrichten eines Internetzugangs mit unterst tzter PCI ISDN Karte oder externem seriellen Modem oder DSL ber unterst tzte PCI Netzwerkkar te nur PPPoE Einbindung einer Standard Tastatur und einer Standard Maus ohne Wheel Konfiguration der Grafikkarte bei einem von YaST2 erkannten Monitor oh ne 3D mit Hilfe von YaST2 Wir versuchen Ihnen so schnell und pr zise wie m glich zu helfen Eine gezielte Fragestellung reduziert dabei erheblich den Aufwand und Zeitbe darf Hinweis l Deshalb sollten Sie im Vorfeld folgende Punkte kl ren und bevor Sie zum H rer greifen nachstehende Informationen unbedingt bereithalten Um welches Programm Version handelt es sich Bei welchem Vorgang tritt das Problem auf Was genau ist das Problem Versuchen Sie die Fehlerbeschreibung als kon krete Wenn Dann Aussage zu formulieren z B wenn man die Schaltfl che xy anklickt dann a Auf welcher Hardware arbeiten Sie Grafikkarte Monitor Drucker ISDN Karte etc Weitere Hinweise
107. lplatzsystemen auf jeden Fall DNS Nameserver konfigurieren Die meisten Provider unterst tzen heute dynamische DNS Vergabe d h bei jedem Verbindungsaufbau wird eine andere IP Adresse der Nameserver bergeben Dennoch muss in Ihrem Einzel platzsystem in diesem Dialog ein Platzhalter f r einen DNS Server eingetragen werden Gut geeignet ist z B 192 168 22 99 Falls Sie den Nameserver nicht dynamisch zugewiesen bekommen oder Probleme auftreten m ssen Sie hier die IP Adressen der Nameserver Ihres Providers eintragen M Hinweis Dial on demand besitzt drei Stati Abgeschaltet Eingeschaltet und Ab gebaut es funktioniert nur wenn dies auf Abgebaut eingestellt wurde Nach dem Konfigurieren von KInternet ist der Status auf Abgeschal tet Mit Kinternet oder unter der URL http serverl office internet k nnen Sie den Status ndern Bei Problemen hilft es die Dial on Demand Verbindung per Hand nochmals einschalten Hinweis ISDN Wenn Ihre ISDN Karte automatisch erkannt wurde erscheint ein Dialog in dem Sie die Auswahl des ISDN Protokolls treffen Hierbei gilt Euro ISDN EDSS1 als Standard vgl weiter unten Fall 1 und 2a Bei 1TR6 handelt es sich um ein Protokoll f r ltere bzw gro e Telefonanlagen vgl unten Fall 2b F r die USA gilt NIT Falls die automatische Erkennung fehlschl gt w hlen Sie zun chst die richtige ISDN Karte aus siehe Abb 5 1 auf Seite 54
108. ls eine Volume Gruppe k nnen Sie diese nun anlegen Jede Volume hinzuf gen Volume entfernen Zur ck Installation abbrechen Abbildung 1 9 YaST2 berblick ber die Partitionen Markieren Sie die zu bearbeitende Volume Gruppe in der Auswahlbox links oben Mit den Buttons rechts oben k nnen Sie Volume Gruppen Hinzuf gen oder Entfernen Jedoch k nnen Sie nur Volume Gruppen entfernen denen keine Par titionen zugeordnet sind Eine Partition die einer Volume Gruppe zugeordnet ist wird auch als Physical Volume Abkz PV bezeichnet SUSE Linux Office Server JOAIOS SOWO XNUN ASNS s p UONPIIOISU SIG 12 Um eine bisher nicht zugewiesene Partition zur gewiinschten Volume Gruppe hinzuzufiigen mtissen Sie zun chst die Partition ausw hlen und dann auf den Button Volume hinzufiigen unterhalb der Auswahlliste klicken Sie k nnen den Dialog erst verlassen wenn Sie jeder Volume Gruppe mindestens ein Physical Volume zugewiesen haben Logical Volumes In diesem Dialog k nnen Sie Logical Volumes hinzuf gen bearbeiten oder l schen siehe Abb 1 10 Klicken Sie auf Hinzuf gen wenn Sie ein Logical Vo lume anlegen m chten Geben Sie f r das Volume eine Gr e ein Format z B reiserFS oder ext2 und einen Mountpunkt in Ihrem Dateisystem an tem gt Logical Volumes zum Speichern Ihrer Daten Volume Group Tee an suste 4 1 GB 4224 Femen fast berall Vol Grp Gr e E
109. lso useful to send the output of dumpe2fs 8 If a specific inode or inodes seems to be giving e2fsck trou ble try running the debugfs 8 command and send the out put of the stat lu command run on the relevant inode s If the inode is a directory the debugfs dump command will allow you to extract the contents of the directory inode which can sent to me after being first run through uuen code 1 Always include the full version string which e2fsck dis plays when it is run so I know which version you are run ning This version of e2fsck was written by Theodore Ts o lt tytso mit edu gt SEE ALSO mke2fs 8 tune2fs 8 dumpe2fs 8 debugfs 8 E2fsprogs version 1 23 August 2001 3 SuSE Linux Office Server Bungsysqusiys 105 Support Das Support Konzept fiir den SuSE Linux Office Server besteht aus mehreren Bausteinen 1 Kostenloser Installations Support fiir die grundlegende Server Installation 2 Erweiterter Installations Support f r die Server Installation 3 Support fiir die Windows Netzwerkeinrichtung Kostenloser Installations Support Sollten Sie weder in der Dokumentation noch in der Supportdatenbank fiindig geworden sein so k nnen Sie Ihre Anfragen auch direkt an uns richten Im Rah men des kostenlosen Installations Supportes geben wir Ihnen Antworten auf Fra gen im Bereich Installation auf einem Rechner mit mindestens 64 MB RAM und 2 GB frei em Plattenplatz Kernel Upgrades offizie
110. lungen laden Automatische Druckererkennung Umgebung pr fen OTT 80 Abbildung 6 1 YaST2 Initialisieren des Druckerkonfigurationstools Danach wird eine Liste der bisher an Ihrem Rechner oder in Ihrem Netzwerk angeschlossenen bzw verf gbaren Drucker angezeigt Klicken Sie nun auf Hin zuf gen k nnen Sie w hlen ob Sie einen lokalen Drucker einen Drucker aus dem Linux Netzwerk oder aus einem anderen Netzwerk Novell oder Samba installieren m chten Abb 6 2 auf der n chsten Seite W hlen Sie die gew nsch te Kategorie und klicken Sie auf weiter Wollen Sie einen Drucker der in Ihr Netzwerk eingebunden ist einrichten m s sen Sie einen Druckserver eintragen Mit Klick auf den Doppelpfeil neben dem Die Problematik der GDI Drucker Eingabefeld erhalten Sie eine Liste der verf gbaren Rechner und Druckernamen Wenn Sie einen Druckserver bzw Netzwerkdrucker benutzen wollen der nicht in der Liste steht miissen Sie seinen Namen bzw seine IP Adresse kennen Haben Sie einen Drucker ausgew hlt oder eingetragen k nnen Sie mit Test berpr fen ob es sich berhaupt um einen Drucker bzw Druckserver handelt und ob dieser auch erreichbar ist Wurde der Druckserver ordnungsgem gefunden fordert Sie YaST2 im darauf folgenden Fenster auf einen Namen anzugeben wurde kein Druckerserver gefunden erscheint eine entsprechende Fehlermeldung Paralleller USB Druckeran
111. me Gruppe Die Physical Extent Size oft abgektirzt mit PE Gr e gibt die maximale Gr e eines Physical und Logical Volumes in die ser Volume Gruppe an Dieser Wert lieg normalerweise bei 4 Megabytes Somit ergibt sich eine maximale Gr e von 256 Gigabytes f r ein Physical und Logical Volume Sie sollten also nur die Physical Extent Size z B auf 8 16 oder 32 Mega bytes erh hen wenn Sie Logical Volumes mit mehr als 256 Gigabytes ben tigen Im folgenden Dialog werden alle Linux LVM oder Linux eigenen Partitions typen aufgelistet Falls eine Partition bereits einer Volume Gruppe zugewiesen wurde erscheint der Name der Volume Gruppe Nicht zugewiesene Partitionen tragen das Label Logical Volume Manager Einrichtung der Physical Yolum Gruppe entfernen Der Volume Gruppe Partitionen hinzuf gen sog Physical Volumes Die Volume Gruppe bildet den Storage Pool aus dem Platz f r Ihre Logical Volumes virtuellen Partitionen entsprechend entnommen wird Normalerweise wird nicht mehr als eine Volume Gruppe Volume Group Gr e 8 2 GB Gruppe hinzuf gen Gr e Typ Volume Gruppe VdevisdaS 1 0 GB Linux LVM system vdevisda6 1 0 GB Linux LYM system Vdev sda 2 0 GB Linux LYM system Vdev sda8 2 0 GB Linux LYM system dev sda9 2 1 GB Linux LVM _ system deed 2 1 GB Linux native gt ben tigt Brauchen Sie aus speziellen Gr nden dennoch mehr a
112. mehr Informationen zum Top Level Do main NIC k nnen Sie unter http www internic net nachschlagen Damit auch Ihr Rechner einen Namen in eine IP Adresse aufl sen kann muss ihm mindestens ein Nameserver mit einer IP Adresse bekannt gemacht werden Die Konfiguration eines Nameservers k nnen Sie komfortabel mit Hilfe von YaST2 erledigen Falls Sie eine Einwahl tiber Modem vornehmen so kann es sein dass Sie keinen Nameserver manuell konfigurieren m ssen Das zur Einwahl verwen dete Protokoll liefert die Adresse des Nameservers w hrend der Einwahl mit Betrieb des Nameservers BIND Der Nameserver BINDS8 ist f r Ihren Server bereits soweit vorkonfiguriert dass man ihn problemlos sofort nach der Installation starten kann Mit dem von Haus aus mitgelieferten Konfigurationsdateien kennt Ihr Name server schon alle Rechner im lokalen Netz Er kann jedem Rechner im gesamten Netz mitteilen wie die IP Adresse oder der volle Name seines Kollegen hei t Nachdem Sie bei der Installation die IP Adresse des Nameservers Ihres Provi ders in YaST2 Maske Konfiguration des Hostnamens amp Nameservers eingetragen haben ist Ihr Nameserver auch in der Lage die brigen Adressen des restlichen Internets z gig aufzul sen Dass Ihr Nameserver funktioniert merken Sie daran dass Sie mit dem Programm host sowohl externe als auch interne Adressen aufl sen k nnen SUSE Linux Office Server ndyoseB uassiny SIP Jeu SIsUSIPYIOMZION
113. n Geometrie hin LI Die zweite Stufe von LILO wurde geladen konnte aber nicht gestartet werden Dies kann verursacht werden durch eine fehlerhafte Platten Geometrie oder durch Verschieben von boot boot b ohne Neuinstallation von LILO LIL Die zweite Stufe von LILO wurde gestartet konnte aber die n tigen Da ten Zeiger usw nicht aus der Map Datei laden Dies wird typischerweise verursacht durch einen physikalischen Fehler des Boot Datentr gers oder eine fehlerhafte Platten Geometrie LIL Die zweite Stufe von LILO wurde an eine falsche Speicheradresse ge laden Dies wird typischerweise verursacht durch einen subtilen Fehler in der Platten Geometrie oder durch Verschieben von boot boot b ohne Neuinstallation von LILO LIL Die Daten in der Map Datei sind ung ltig Dies wird typischerweise verursacht durch einen Fehler in der Platten Geometrie oder durch Ver schieben von boot boot b ohne Neuinstallation von LILO LILO Alle Teile von LILO wurden erfolgreich geladen Fehlerursache beseitigen Die h ufigsten Ursachen f r Geometriefehler sind nicht physikalische Defekte oder ung ltige Partitionstabellen sondern Fehler bei der Installation von LILO vor al lem die Missachtung der 1024 Zylinder Grenze s den Abschnitt Die 1024 Zylinder Grenze auf Seite 97 SUSE Linux Office Server Bunqeueqie ye4 In den meisten F llen l uft die Abhilfe auf die folgenden drei Ma na
114. ngsbeschr nkung Mit dieser Einstellung kann die Benutzergruppe lehrer jederzeit unein geschrankt auf das Internet zugreifen die Benutzergruppe studenten nur um die Mittagszeit und alle anderen Benutzer tiberhaupt nicht Internetzugang nur fiir authentifizierte Benutzer Wollen Sie den Internetzu gang fiir Ihre Benutzer nur nach vorheriger Authentifizierung zulassen sollten Sie ein Authentifizierungsprogramm beispielsweise pam_auth ein binden das jeden Benutzer nach seinem Login und Passwort fragt authenticate_program usr sbin pam_auth acl password proxy_auth REQUIRED http_access allow password http_access deny all Datei 3 Proxy Authentifizierung in squid conf Zus tzlich muss jetzt noch eine ACL aufgestellt werden damit nur Clients mit g ltigem Login surfen diirfen Alternativ kann auch das REQUIRED durch eine Liste von erlaubten Benutzernamen ersetzt werden Identit tsabfrage Die entsprechende Software vorausgesetzt k nnen Sie Squid auch so konfigurieren dass er per Ident Abfrage die Identit t des jeweils surfenden Benutzers abfragt Unter Linux k nnen Sie hierzu das Programm pident verwenden fiir Windows Clients bekommen Sie die entsprechende Software frei ber das Internet Sperrung unerw nschter URLs Uber geschickt aufgestellt ACLs und in Ver bindung mit Proxy Authentifizierung k nnen Sie mit einem separaten Pro gramm z B SquidGuard unerw nschte URLs f r bestimmte Benutzer sper ren
115. nierung umfasst 3 prim re Partitionen eine Boot Partition f r den Linux Kernel ca 20 MB im Startzylinder der Festplatte eine Swap Partition zugeschnitten auf den Umfang Ihres RAM und eine oder Root Parti tion f r alle System und Benutzerdateien die den restlichen Festplattenspeicher belegen Partition ausw hlen m Hinweis Es werden keine nderungen an Ihrer Festplatte vorgenommen bis Sie nicht alle Installationseinstellungen konfiguriert und in einem speziellen Dialogfenster mit Ja best tigt haben Sie k nnen w hrend der Installa tion mit YaST2 jederzeit zu vorherigen Konfigurationsfenstern zur ckge hen und Einstellungen ndern mit Zur ck Alle erkannten Festplatten in Ihrem System werden hier angezeigt Bitte w hlen Sie die Platte auf der SUSE Linux installiert werden soll Unter bestimmten Umst nden werden nicht alle Platten in Ihrem System erkannt Wenn Sie SuSE Linux auf einer nicht erkannten Platte installieren m chten benutzen Sie bitte das traditionelle YaST textorientiert welches im Handbuch beschrieben ist F r Experten gibt es Hinweis Festplatte vorbereiten Schritt 1 Bitte w hlen Sie eine Festplatte O 4 1 SCSI 8 51 GB dewsda IBM DDRS 39130D O 2 2 SCSI 2 01 GB dewsdb IBM DORS 32160 Oz 3 SCSI 2 11 GB dewsde SEAGATE ST32272N O Erweiterte Einstellungen manuelle Aufteilung Partitionierung Benu
116. nzu geh rigkeit beschriftet ist k nnen Sie weitere Gruppen hinzuf gen Diese erm glichen dem Benutzer weitere Zugriffsrechte Wenn der neue Benut zer Zugriff auf das Modem haben soll muss f r ihn dialout und uucp engl unix to unix copy program eingetragen sein 3 Konfigurieren Sie Ihre Windows Clients Schlagen Sie hierzu die folgen den Abschnitte zur Arbeitsplatzkonfiguration von Windows 9x ME oder Windows XP nach Expertenkonfiguration Feineinstellungen k nnen Sie mit SWAT konfigurieren welcher standardm ig Port 901 berpr ft Sie haben dazu folgende Zugriffsm glichkeiten Am SuSE Linux Office Server Auf dem Desktop Ihres Administrator Accounts befindet sich ein Piktogramm mit dem Namen SWAT 8 Hinweis Mit SWAT k nnen Sie auch Benutzer anlegen Beachten Sie jedoch dass diese Benutzer nur unter Samba verfiigbar sind nicht jedoch als normale Linux User M chten Sie gew hrleisten dass Benut zer sowohl in Samba als auch tiber NIS YP verfiigbar sind legen Sie neue Benutzer stets mit YaST2 an Hinweis _ Vom Client Starten Sie einen Webbrowser und geben als Adresse http serverl office 901 ein Identifizieren Sie sich als Benutzer root mit dem entsprechenden Root Passwort Arbeitsplatzkonfiguration allgemein Bevor wir auf den nachfolgenden Seiten Ihre Arbeitsplatze Schritt fiir Schritt fiir die Nutzung der Fileserver und Internetfunktionen des SuSE Linux Office Ser vers einrichten s
117. oder der Konfiguration komfortabel in der Konfigurationsdatei des DHCP Servers zentral vorzunehmen ohne dass eine Vielzahl von Clients einzeln konfiguriert werden m ssen Andererseits k nnen vor allem neue Rechner sehr einfach ins Netzwerk integriert werden indem sie aus dem Adress Pool eine IP Nummer zugewiesen bekommen Auch f r Laptops die regelm ig in verschie denen Netzen betrieben werden ist die M glichkeit von einem DHCP Server jeweils passende Netzwerkeinstellungen zu beziehen sicherlich interessant Neben IP Adresse und Netzmaske werden der Rechner und Domain Name der zu verwendende Gateway und Nameserver Adressen dem Client mitgeteilt Im brigen k nnen auch etliche andere Parameter zentral konfiguriert werden z B ein Timeserver ber dem die jeweils aktuelle Uhrzeit abrufbar ist oder ein Printserver Schlie lich k nnen ber das DHCP Protokoll auch ganze Clients diskless cli ents ohne Festplatte ihr Betriebssystem und alle Konfigurationsdateien ber das Netz beziehen Allerdings ist das ein Kapitel f r sich Grunafunktionen Weitere Informationen Zus tzliche Informationen za DHCP finden Sie auf den Webseiten des Internet Software Consortiums unter http www isc org products DHCP Hinweise die in konkreten Situationen Rat bieten finden Sie auf den entspre chenden Manpages Allgemeines zum DHCP Server Daemon man dhcpd Informationen zu seiner Konfiguration man dhcpd conf und man
118. oft auf Zurtick klicken bis Sie wieder zu dem Dialog der ge ndert werden soll gelangen Wenn Sie jedoch auf Weiter klicken folgt eine Sicherheitsabfrage Antworten Sie mit Ja installieren be ginnt die Installation Um die Installationseinstellungen f r einen sp teren Abruf zu sichern klicken Sie auf Einstellungen auf Diskette speichern YaST2 hat jetzt alle notwendigen Informationen Bitte berpr fen Sie die Daten genau bevor Sie weitermachen Sie ben tigen Ihren Benutzernamen Ihr Passwort und ganz besonders das Root Passwort um im installierten System arbeiten zu k nnen Vergessen Sie diese Informationen nie Und bitte schreiben Sie diese Informationen auch Best tigung Ihrer Einstellungen f r die Installation Ihr Benutzername ist tux Linux wird auf der Festplatte installiert 2 SCSI 8 54 GB dewsdb IBM DNES 309170 XEW Partition 1 dev sdb1 l schen war Linux swap Partition 2 dev sdb2 l schen war Linux native Partition 3 dev sdb3 l schen war Linux native Partition 1 dev sdb5 als boot ext2fs anlegen Partition 2 dev sdb6 als swap swap anlegen Partition 3 dev sdb7 als ext2fs anlegen 1309 MB Software wird installiert Der Linux Bootmanager wird nur in die Partition dev sda geschriebe Wenn Sie weiter w hlen wird die Installation begonnen nicht auf einen Zettel der am Monitor klebt dies ist eine der Au
119. prim r TUX NET Server Beschreibung Beschreibung in der Netzwerkumgebung gd Zur ck Abbrechen Abbildung 3 2 Samba Grundkonfiguration Intra Net Dieses Kapitel beschreibt wie Sie Informationen in Ihrem Intra Net ablegen und publizieren k nnen Des Weiteren erhalten Sie einen kleinen Einblick in den Webser ver Apache Das ffentliche Verzeichnis public_html 42 Zugriff auf das ffentliche Verzeichnis 42 Globale Webseiten im Intra Net 42 Apache 2 o s bad bag Sela ek Be ae See ee 4ON PAU 42 Das ffentliche Verzeichnis public_html Jeder Benutzer besitzt auf dem SuSE Linux Office Server ein Verzeichnis na mens public_html Wenn Sie anderen Benutzern Dateien zur Verf gung stellen m chten kopieren oder verschieben Sie Ihre Dokumente am besten in dieses Ver zeichnis Sie k nnen z B Ihre eigene Homepage in diesem Verzeichnis erstellen Zugriff auf das ffentliche Verzeichnis Um ein Verzeichnis eines anderen Benutzers anzuzeigen starten Sie einen Brow ser und geben als Adresse z B einhttp serverl office tux serverl office ist der Standardwert den Sie ggf durch Ihre eigene Benennung ersetzen m ssen tux der Benutzer von dem das Verzeichnis public_html angezeigt werden soll Sind in diesem Verzeichnis Dateien enthalten werden diese im Browser ange zeigt Existiert dagegen eine Datei index html wird diese HTML Dat
120. r W hlen Sie Ihr Modell aus Zu jedem Drucker er halten Sie ber der Info Button Informationen ber die Unterst tzung durch Li nux und wo Sie im Falle von GDI Druckern eventuell Linuxtreiber erhalten Die Einbindung von lokalen Druckern an einer seriellen oder einer USB Schnittstelle l uft analog SUSE Linux Office Server SIOAIOSLUL See USJYINUIJ 57 58 Samba Mit dem Programmpaket Samba kann ein beliebiger Unix Rechner zu einem leis tungsf higen File und Printserver fiir DOS Windows und OS 2 Rechner aus gebaut werden Das von Samba benutzte SMB Protokoll ist urspriinglich eine Entwicklung von Microsoft und wurde auf Initiative von IBM der Offentlichkeit zug nglich ge macht Uber SMB k nnen auch Rechner anderer Betriebssysteme mit Rechnern in einem Microsoft Domain Netz Kontakt kommunizieren Samba setzt SMB auf das TCP IP Protokoll auf d h auf allen Clients im Samba Netz muss TCP IP installiert sein Linux kann egal ob es sich um Filesharing oder Printsharing handelt sowohl die Client als auch die Server Rolle bernehmen ber Samba k nnen Windows Rechner auf einen Linux Fileserver zugreifen und dort Dateien speichern und le sen Linux Rechner k nnen dagegen auch von Windows Servern zur Verf gung gestellte Dateisysteme Shares mounten und darauf lesend und schreibend zugreifen Der Vorzug dieser L sung Der Linux Server gibt f r alle diese Netzwerkzugriffe vor selbst ein Windows
121. r Fehler insbesondere wenn das Programm mit besonderen Rechten Siehe Zugriffsrechte oben abl uft Format String Bugs funktionieren etwas anders verwenden aber wieder user input um das Programm von seinem eigentlichen Weg abzubringen SUSE Linux Office Server QUODSSUBNDILS A 4S HSYISUYIIS 81 82 Diese Programmierfehler werden normalerweise bei Programmen ausgebeutet engl exploit die mit gehobenen Privilegien ausgefiihrt werden also setuid und setgid Programme Sie k nnen sich und Ihr System also vor solchen Fehlern sch t zen indem Sie die besonderen Ausf hrungsrechte von den Programmen entfer nen Auch hier gilt wieder das Prinzip der geringst m glichen Privilegien Siehe Abschnitt ber Zugriffsrechte Da bei Buffer Overflows und Format String Bugs Fehler bei der Behandlung von Benutzerdaten sind sind sie nicht notwendigerweise nur ausbeutbar wenn man bereits Zugriff auf ein lokales login hat Viele der bekannt gewordenen Fehler k nnen ber eine Netzwerkverbindung ausgenutzt werden Deswegen sind Buffer Overflows und Format String Bugs nicht direkt auf den lokalen Rechner oder das Netzwerk klassifizierbar Viren Entgegen andersartiger Verlautbarungen gibt es Viren f r Linux Die bekannten Viren sind von ihren Autoren als Proof of Concept geschrieben worden als Beweis dass die Technik funktioniert Allerdings ist noch keiner dieser Viren in freier Wildbahn beob
122. r Pri vatkunden als auch fiir Gesch ftskunden preislich attraktive Supportleistungen bereitstellt Sie k nnen sich auf unserer Homepage unter http www suse de de services support private basic html f r unsere Privatkunden und http www suse de de services support business index html f r unsere Gesch ftskunden ber unsere Angebote informieren Wenn Sie ein pers nliches Gespr ch bevorzugen stehen wir Ihnen gerne unter der Telefon nummer 0421 526 23 30 zur Verf gung Feedback Wir sind Ihnen immer f r Hinweise und Problembeschreibungen dankbar und helfen auch gerne weiter wenn das Problem grundlegender Natur ist oder wir bereits eine L sung daf r haben Aufjeden Fall erm glicht uns Ihr Feedback das Problem in sp teren Versionen zu beseitigen bzw die Information anderen SuSE Linux Anwendern z B via WWW zur Verf gung zu stellen Zum anderen sind wir bem ht ein SuSE Linux System aufzubauen das den W nschen unser Kunden m glichst nahe kommt Deshalb haben wir f r Kritik an der CD und am Buch sowie f r Anregungen zu k nftigen Projekten immer ein offenes Ohr Wir denken dies ist der beste Weg Fehlentwicklungen fr hzeitig zu erkennen und den hohen Qualit tsstandard von Linux zu erhalten Sie k n nen uns Ihr Feedback jederzeit via Webfrontend siehe http www suse de cgi bin feedback cgi schicken SUSE Linux Office Server Hoddns 111 Index Symbole EE 9 EECHER ae 67 68 OCC TB
123. r gesch tzt Selbst bei Diebstahl der Festplatte bzw des Laptops besteht ohne Passwort keine M glichkeit die Daten zu ent schl sseln Um eine Partition zu verschl sseln geben Sie im Dialogfenster zum Anlegen von Partitionen Start und Endzylinder bzw als Ende die gew nschte Gr e der Par tition wie unter dem Feld vorgeschlagen Den Mountpunkt auf dem Sie Ihre ver schl sselte Partition erreichen wollen k nnen Sie frei w hlen Klicken Sie nun rechts den Punkt Dateisystem verschl sseln an und geben Sie OK Im n chsten Dialogfenster werden Sie nun nach dem Passwort gefragt das Sie zur Best tigung zweimal eingeben m ssen Es muss mindestens 5 Zeichen lang sein und sollte eine Kombination aus gro en und kleinen Buchstaben sowie Zah len darstellen 8 Achtung Seien Sie hier besonders vorsichtig bei der Passworteingabe Dieses Pass wort ist sp ter nicht mehr ver nderbar Wenn Sie es vergessen sind Ihre Daten unwiederbringlich verloren Achtung _ Ist dies geschehen erscheint die neue Partition jetzt in der Partitionierungstabel le wobei in der Spalte F nun der Eintrag CF f r Kryptofilesystem erscheint Bootmanager fur den Systemstart Nachdem Sie die Festplatte nach Ihren W nschen eingerichtet haben wird in diesem Schritt der so genannte Bootmanager konfiguriert Damit Linux sp ter berhaupt starten kann ist ein Bootmechanismus n tig welcher durch das Programm LILO
124. r in der Firma oder auch Familien mitglieder voraus der erst viel sp ter bemerkt wird Jemand der unbefugt Zugriff auf Daten erlangen will k nnte auch die her k mmliche traditionellste Methode benutzen denn die Hardware selbst ist ein Angriffspunkt Der Rechner muss gegen Entnahme Austausch und Sabotage von Teilen und Gesamteinheit und dem Backup der Daten sicher verstaut sein da zu kann auch eine eventuell vorhandene Netzwerkleitung oder ein Stromkabel geh ren Der Startvorgang muss abgesichert sein denn allgemein bekannte Tas tenkombinationen k nnen den Rechner zu speziellen Reaktionen bringen Dage gen hilft das Setzen von BIOS und Bootloaderpassw rtern Serielle Schnittstellen mit seriellen Terminals sind heute zwar immer noch ver breitet gebr uchlich werden aber kaum noch an neuen Arbeitspl tzen instal liert In Bezug auf die Art des Zugriffs ist ein serielles Terminal ein Sonderfall Es ist keine Netzwerkschnittstelle da kein Netzwerkprotokoll zur Kommunikation zwischen den Systemeinheiten verwendet wird Ein simples Kabel oder eine In SUSE Linux Office Server SUDSHSSUSNDAUUSA 4S HSYISUYIIS 77 78 frarotschnittstelle wird als Ubertragungsmedium fiir einfache Zeichen verwen det Das Kabel selbst ist dabei der einfachste Angriffspunkt Man muss nur einen alten Drucker daran anschliefen und kann die Kommunikation aufzeichnen Was mit einem Drucker m glich ist geht selbstverst ndlich mit belieb
125. ramm telnet zu finden Zugriff auf das normale System Zum Mounten Ihres SuSE Linux Systems auf der Platte ist der Mountpoint mnt gedacht Sie k nnen f r eigene Zwecke weitere Verzeichnisse erzeugen und als Mountpoints verwenden Nehmen wir als Beispiel einmal an Ihr normales System setzt sich laut etc fstab wie in der Beispieldatei 5 beschrieben zusammen Das SUSE Rettungssystem dev sdb5 swap swap defaults 0 0 dev sdb3 ext2 defaults 1 1 dev sdb6 usr ext2 defaults 1 Datei 5 Beispiel etc fstab Achtung Beachten Sie im folgendem Abschnitt die Reihenfolge in welcher die ein zelnen Ger te zu mounten sind Achtung _ Um Zugriff auf Ihr gesamtes System zu haben mounten Sie es Schritt fiir Schritt unter mnt mit den folgenden Befehlen erde mount dev sdb3 mnt erde mount dev sdb6 mnt usr Nun haben Sie Zugriff auf Ihr ganzes System und k nnen z B Fehler in Konfigu rationsdateien wie etc fstab etc passwd etc inittab beheben Die Konfigurationsdateien befinden sich statt im Verzeichnis et c jetzt im Verzeich nis mnt etc Um selbst komplett verloren gegangene Partitionen mit dem Programm fdisk ein fach wieder durch Neu Anlegen zur ckzugewinnen wenn bekannt war wo die Partitionen vorher auf der Festplatte lagen sollten Sie sich einen Ausdruck Hardcopy von dem Verzeichnis etc fstab und dem Output des Befehls erde fdisk 1 dev disk machen Anstelle der Variablen disk
126. rechen Abbildung 1 11 LILO Andere Startkonfiguration Auf C im MBR der ersten Festplatte Wenn SuSE Linux als alleiniges Betriebs system installiert werden soll geh rt LILO auf jeden Fall in den MBR engl Master Boot Record LILO im MBR kann auch als Bootmanager f r mehrere Betriebssysteme fun gieren W hlen Sie diese M glichkeit aber nur dann wenn Sie sich sicher sind dass Ihre bereits installierten Systeme von LILO gebootet werden k n nen in der Regel ist dies bei Windows 9x ME der Fall Sind Sie im Zweifel entscheiden Sie sich f r die M glichkeit Bootdiskette erstellen Bootdiskette erstellen Falls Ihr Rechner mit mehreren Betriebssystemen lau fen soll k nnen Sie f r SuSE Linux eine Bootdiskette zu erstellen So bleibt der bisherige Bootmechanismus v llig unver ndert und SuSE Linux kann jederzeit von dieser Diskette gestartet werden LILO nicht installieren anderer Bootmanager Hiermit k nnen Sie weiterhin Ihren eigenen Bootmanager benutzen Am MBR Master Boot Record wird nichts ge ndert LILO wird in der Partition boot eingerichtet Allerdings m ssen Sie in diesem Fall selbstst ndig den vorhandenen Bootmanager neu konfigurieren In andere Partition W hlen Sie diese M glichkeit wenn Sie eine abweichen de Partition angeben wollen oder m ssen vgl den vorangegangen Punkt Die verbleibenden Felder werden nur in ganz bestimmte F llen ben tigt im Z
127. rnommen Leider wurden damit auch einige erweiterte Si cherheitsfunktion aktiviert die es so in Windows 9x ME nocht nicht gab Ungl cklicherweise h lt Microsoft diese Erweiterungen geheim so dass Samba damit nicht umgehen kann Um diese erweiterten Sicherheitsfunktionen abzuschalten m ssen Sie die Registry ndern Hierzu gibt es zwei M glichkeiten a Starten Sie den Explorer und geben als Adresse rechnername ein ersetzen Sie die Variable rechnername durch den richtigen Namen standardm ig ist dieser Wert auf server1 gesetzt ffnen Sie das Verzeichnis Shared Volume und klicken Sie auf die Registry Datei xpkpdc reg Sie ndert die Einstellungen so dass Sie sich zuk nftig auf dem SuSE Linux Office Server anmelden k nnen Damit ist die nderung der Registry abgeschlossen b Ist das Verzeichnis momentan nicht verf gbar oder m chten Sie die Einstellungen manuell vornehmen gehen Sie wie folgt vor i Starten Sie den Registry Editor durch Eingabe von regedit in der Eingabeaufforderung ii W hlen Sie im Men Edit gt Suchen und geben Sie im Feld Suchen nach die Zeichenfolge RequireSignOrSeal ein iii Nachdem der Suchvorgang den gew nschten Eintrag gefunden hat w hlen Sie DisplayType Mit der rechten Maustaste ffnen Sie das Kontextmen und rufen Modify auf iv ndern Sie den Wert von 1 nach 0 v Beenden Sie den Registry Editor 4 Nach dem Neustart von Windows XP w hlen
128. ropalJugoslawien i i Spanisch uropa Kroatien Ul elle auf Schwerlisch M Jr Betriebssysteme wie Tastatur Test Rechneruhr eingestellt auf z B Microsoft Ortszeit 3 Windows installiert sind verwenden Ortszeit 2 Zur ck Installation abbrechen Rechner auf denen Abbildung 1 4 Auswihlen des Tastaturlayouts und der Zeitzone u Sie berlassen YaST2 die Partitionierung Es empfiehlt sich den kompletten Festplattenplatz fiir den Server vorzuse hen Im Normalfall wird der SuSE Linux Office Server das einzige System auf dem Rechner sein und auf einer einzigen Festplatte installiert werden In diesem Fall w hlen Sie am einfachsten die Festplatte und dann Gesam te Festplatte Dann wird YaST2 eine sinnvolle Partitionierung anlegen wo bei alle evtl noch vorhandenen Daten auf der Festplatte verloren gehen so dass der gesamte Plattenplatz dem SuSE Linux Office Server zur Verfiigung steht Die Abschnitte tiber Partitionen anlegen LVM und Kryptofilesystem brauchen Sie dann nicht zu lesen Sie m chten die Partitionen individuell anlegen In diesem Fall lesen Sie weiter in Abschnitt Partitionen w hlen auf der n chs ten Seite Sie m chten den SuSE Linux Office Server mit LVM betreiben Lesen Sie im Abschnitt Logical Volume Manager LVM auf Seite 9 weiter a Sie m chten ein Kryptofilesystem einrichten Beachten Sie die Hinweise im Abschnitt Kryptofilesystem einrichten auf Sei te 13 Die Standardpartitio
129. rscheint bei n chterner Betrachtung logisch dass der Zugriff auf die Daten eines Rechners nur dann m glich ist wenn die Daten berhaupt erst zur Verf gung gestellt werden Wenn die Daten nicht einfach in einem Safe sicher geparkt werden sollen dann geschieht der Zugriff auf unterschiedlichen Wegen Jemand bedient einen Rechner und telefoniert mit dem Nutzer der Daten direkt an der Console eines Rechners physikalischer Zugriff a ber eine serielle Schnittstelle oder a ber ein Netzwerk Grundlagen Alle diese F lle sollten eines gemeinsam haben Sie sollten sich als Benutzer au thentifizieren m ssen bevor Sie Zugriff auf die Ressourcen oder Daten bekom men oder anders gesagt Sie sollten einen Nachweis tiber eine Identit t erbracht haben der der Zugriff auf die angeforderten Ressourcen Daten oder Kapazit ten durch eine Zugriffsregel gestattet ist Ein Webserver mag da anders gear tet sein aber Sie wollen sicherlich nicht dass der Webserver Ihre pers nlichen Daten an Dritte preisgibt Eine SuSE Linux Installation lie e sich mit wenigen Handgriffen dazu bringen Sie nach dem Systemstart direkt und ohne Passwort mit Ihrer Arbeitsoberfl che zu konfrontieren aber dieser Ansatz erscheint meis tens unangemessen Schlie lich dehnen Sie durch das Einloggen Ihre Identit t und Ihr Handeln auf den Rechner aus den Sie steuern wollen Sie w rden nur in Ausnahmef llen wollen dass jemand anders dies in Ihrem Namen tut
130. schluss Serieller Port Z Drucker am lokalen 7 Druckertyp w hlen Port Lokale Drucker Warteschlangean Drucker am Parallel Port den entfernten LPD O Drucker am USB Anschluss weiterleiten O Drucker am seriellen Anschluss zu druckende sita LPD Protokoll Netzwerkdruck werden direkt an den entfernten Drucker O Druckauftr ge an einen entfernten LPD weiterleiten geschickt Prefilter Warteschlange f r eine LPD Warteschlange Vorfilter Warteschlai Anderer Netzwerkdruck f r eine O 7 Samba Windows Drucker LPD Warteschlange EE TET Dateien werden auf dem lokalen Rechner vorbereitet und Originaldaten werden an den Drucker des entfernten Host Abbrechen Abbildung 6 2 YaST2 Ausw hlen des Druckertyps Die Einbindung eines Druckers aus einem Samba oder einem Novell Netzwerk funktioniert analog Sie mtissen wieder einen Druckserver angeben oder aus der Liste ausw hlen Der Unterschied zum Linux Netzwerk besteht in der Nutzer kennung die Sie in diesem Fall kennen und eingeben m ssen Wollen Sie einen lokalen Drucker an Ihrem Parallelport anschlie en w hlen Sie nach Hinzuf gen den Punkt Drucker am Parallel Port und klicken Sie auf Weiter Jetzt w hlen Sie den Parallelport Anschluss Mit Test k nnen Sie ber pr fen ob der Drucker ordnungsgem angeschlossen ist War der Test erfolgreich erhalten Sie im n chsten Fenster eine Liste zur Zeit im Handel erh ltlicher Drucke
131. sjenige findet welches verschl sselt so aus sieht wie ihres Sie k nnen sich leicht ausrechnen dass dies bei acht Buchstaben pro Passwort betr chtlich viele sind Mit ein Argument f r die Sicherheit dieser Methode in dem 70er Jahren war dass der verwendete Algorithmus recht langsam ist und Zeit im Sekundenbereich f r das verschl sseln von einem Passwort brauchte Heutige PCs schaffen ohne wei teres mehrere hunderttausend bis Millionen Verschl sselungen pro Sekunde was nach zwei Dingen verlangt Die verschl sselten Passw rter d rfen nicht f r jeden Benutzer sichtbar sein etc shadow ist f r einen normalen Benutzer nicht les bar und die Passw rter d rfen nicht leicht zu erraten sein f r den Fall dass die verschl sselten Passw rter wegen eines Fehlers eben doch sichtbar werden Ein Passwort wie Phantasie umzuschreiben in Ph nt s13 hilft nicht viel Solche Vertauschungsregeln sind leichtes Brot f r Knackprogramme die W rterb cher zum Raten benutzen Besser sind Kombinationen von Buchstaben die kein be kanntes Wort bilden und nur f r Sie eine pers nliche Bedeutung haben aber nicht so wie die Zahlenkombination Ihres Reisekoffers etwa die Anfangsbuch staben der W rter eines Satzes Beispiel Ein Buchtitel Der Name der Rose von Umberto Eco birgt ein gutes Passwort DndRvUE9 Ein Passwort wie Bierjun ge oder Jasmin76 w rde schon jemand erraten k nnen der Sie oberfl chlich gut kennt
132. t sowie Client f r Microsoft Netzwerke und best tigen Sie Ihre Eingabe mit OK TCP IP ist unter Protokolle beim Hersteller Microsoft gelistet Bitte beachten Sie dass hierzu in aller Regel eine Windows CD ben tigt wird und nach erfolgreicher Installation meist ein Neustart des Systems erforderlich ist Weitere Einstellungen sind nicht n tig diese werden durch DHCP automatisch vom Server bernommen Nach der Konfiguration der Identifikations Daten ist ein Neustart von Windows erforderlich Falls durch besondere Einstellungen am System diese Daten nicht automatisch von Windows bernommen werden k nnen stellen Sie bitte sicher dass f r den WINS DNS Server und den Gateway die IP Nummer desServers eingetragen ist Standardm ig wird hier 192 168 0 1 vorgeschlagen Sie k nnen die Einstellungen berpr fen in dem Sie auf dem Desktop des Windows Clients ber dem Piktogramm Netzwerkumgebung ein Kontextmen ffnen rechte Maustaste und den Punkt Eigenschaften anw hlen Dabei sollten fol gende Einstellungen angezeigt werden IP Adresse Eintrag sollte auf IP Adresse automatisch beziehen stehen Arbeitsplatzkonfiguration f r Windows 9x ME Netzwerk El Client f r Microsoft Netzwerke if Realtek RTL8139 4 PCI Fast Ethernet Adapter Abbildung 2 1 Netzwerkkonfiguration unter Windows 9x ME WINS Konfiguration Ausgew hlt ist DHCP fiir WINS Aufl sung verwenden
133. t sp ter das Anlegen L schen Bearbeiten Zur cksetzen Installieren ausdr cklich Installation abbrechen _weiter_ 9 1110 8 5 G8B IBM DDRS 33130D 0 19 156 8 MB Linux native 39 156 8 MB Linux swap 1110 8 2 GB Extended 170 1 0 GB Linux LYM 301 1 0 GB Linux LVM 563 2 0 GB Linux LVM 825 2 0 GB Linux LYM 1110 2 1 GB Linux LVM 262 2 0 GB IBM DORS 32160 63 502 0 MB DOS 274 2 1 GB SEAGATE ST32272N 2 1 GAR Li j M Abbildung 1 8 YaST2 LVM Partitionierer Nach einem Klick auf Anlegen k nnen Sie in der folgenden Maske den LVM Typ wahlen indem Sie auf Nicht formatieren klicken und dann als Dateisystem ID 0x8e Linux LVM w hlen Die LVM Partitionen m ssen zu diesem Zeit punkt nicht partitioniert werden Ignorieren Sie also die Warnung die beim Klick auf Weiter erscheint Beachten Sie auch dass Sie noch keinen Mountpunkt an geben miissen Dies wird sp ter geschehen Logical Volume Manager LVM Hinweis Unter YaST2 muss sich mindestens das Root oder Dateisystem auf ei ner normalen Partition befinden z B auf einer ext2 oder reiserFS Partition Hinweis LVM Einrichten von Physical Volumes Dieser Dialog behandelt die LVM Volume Gruppen Abkz VG Falls noch keine Volume Gruppe in Ihrem System vorhanden ist werden Sie durch ein Pop up Fenster aufgefordert eine anzulegen System bezeichnet den vorgeschlage nen Namen fiir die Volu
134. t werden sniffing enlg schn ffeln Komplexer wird es wenn der Angreifer in der Mitte versucht eine etablierte bestehende Verbin dung zu bernehmen entf hren engl hijacking Daf r muss der Angreifer die Pakete die an ihm vorbeigef hrt werden eine Weile lang analysiert haben damit er die richtigen TCP Sequenznummern der TCP Verbindung vorhersagen kann Wenn er dann die Rolle des Ziels der Verbindung bernimmt merkt das das Opfer weil auf der Seite des Opfers die Verbindung als ung ltig terminiert wird Der Angreifer profitiert dabei insbesondere bei Protokollen die nicht kryp tographisch gegen hijacking gesichert sind und bei denen zu Beginn der Ver bindung einen Authentifizierung stattfindet Spoofing nennt sich das Verschi cken von Paketen mit modifizierten Absenderdaten also haupts chlich der IP Adresse Die meisten aktiven Angriffsvarianten verlangen das Verschicken von gef lschten Paketen was unter Unix Linux brigens nur der Superuser root darf Viele der Angriffsm glichkeiten kommen in Kombination mit einem DoS vor Gibt es eine M glichkeit einen Rechner schlagartig vom Netzwerk zu trennen wenn auch nur f r kurze Zeit dann wirkt sich das f rderlich auf einen aktiven Angriff aus weil keine St rungen mehr erwartet werden m ssen DNS poisoning Der Angreifer versucht mit gef lschten gespooften DNS Antwortpaketen den cache eines DNS Servers zu vergiften engl poisoning so dass dies
135. tellen Sie bitte sicher dass in jedem Rechner eine Netzwerkkarte SuSE Linux Office Server SMOPUIM JOJLUN SLUSI D JOP PUN JSAJOSSIl4 sep UOLLOUNBYUoy 28 eingebaut und ber geeignete Kabel mit dem Server verbunden ist Nichts ist frustrierender als stundenlang in Programmen nach Fehlerquellen zu suchen um dann festzustellen dass das Netzwerkkabel nicht richtig steckte Tipp Viele Netzwerkkarten signalisieren durch eine Leuchtdiode dass sie ord nungsgem mit dem Netzwerk verbunden sind Tipp Arbeitsplatzkonfiguration f r Windows 9x ME Standardkonfiguration Nachdem die Netzwerkkarte dem Rechner nun bekannt sein m sste stellen wir als n chstes sicher dass alle Softwarekomponenten vorhanden sind damit Ihr Windows System berhaupt in der Lage ist auf den Server zuzugreifen W hlen Sie hierzu in der Systemsteuerung den Punkt Netzwerk aus Es erscheint ein Fenster mit drei Registerkarten und einer bersicht der installierten Netzwerk Komponenten siehe Abb 2 1 auf der n chsten Seite In dieser Liste m ssen neben der im Rechner installierten Netzwerkkarte zumin destens der Client f r Microsoft Netzwerke und das TCP IP Protokoll auf tauchen Bei vielen Rechnern sind diese Komponenten bereits vorhanden falls nicht m ssen Sie sie nachinstallieren W hlen Sie hierzu Hinzuf gen und dop pelklicken Sie auf Client selektieren Sie im nun erscheinenden Fenster Micro sof
136. ten Image aus den Internet von z B ftp ftp suse com downloaden m ssen Sie eine eigene Bootdiskette erzeugen wie es hier beschrieben wird Mit Setup Schritt f r Schritt Gehen Sie so vor um eine Bootdiskette zu erzeugen 1 Starten Sie Setup direkt von der CD 1 2 W hlen Sie die Option Floppy und dr cken Sie 1 dann Boot und wie der 1 3 Jetzt m ssen Sie sich eine Diskette mit einem passenden Kernel aussuchen der z B Ihren SCSI Adapter unterst tzt Setup zeigt Ihnen die wichtigsten Daten zu den Kernel an Wenn Sie weitere Informationen brauchen k nnen Sie in der Datei disks readme dos nachsehen Merken Sie sich wie Ihr Kernel hei t Sie brauchen den Namen sp ter nochmal Dann dr cken Sie en 4 Jetzt wird die Diskette geschrieben Legen Sie eine DOS formatierte Dis kette in das 3 5 Zoll Laufwerk und suchen Sie sich die Diskette aus die Sie erstellen wollen Bootdiskette erstellen K mmern Sie sich nur um die Bootdiskette Root wird bei SuSE Linux nicht mehr ben tigt Setzen Sie den Cursor auf Boot und dr cken Sie 3 Setup will best tigt haben dass eine Diskette eingelegt ist Dr cken Sie jetzt 1 Die Diskette wird geschrieben Wenn die Diskette fertig ist dr cken Sie W hlen Sie die Option Fertig um den Bildschirm und Setup zu ver lassen Mit rawrite Alternativ k nnen Sie auch das unter Umst nden langsamere DOS Programm rawrite
137. tenzylindern an Entscheiden Sie sich f r ein Format Sie k nnen zwischen ext2 oder rei serFS w hlen Entscheiden Sie sich f r reiserFS wenn Sie die Vorteile eines Journaling Filesystems nutzen wollen Bestimmen Sie einen Mountpunkt f r die einzelnen Partitionen Der Mount punkt ist das Verzeichnis in Ihrem Dateisystem in dem Sie die Partition mounten oder einh ngen Dies ist m glicherweise dann n tzlich wenn Sie die Verzeichnisse home opt usw in getrennten Partitionen unter bringen m chten u Hinweis SuSE Linux Office Server verwendet ein gemeinsames Verzeichnis zum Exportieren gemeinsamer Daten f r Samba NFS und netatalk nach allen Netzwerk Clients im System Falls Sie eine separate Par tition f r dieses gemeinsame Verzeichnis verwenden wollen geben Sie bitte shared als Mountpunkt an Hinweis ch Logical Volume Manager LVM Der Logical Volume Manager LVM verfiigt eine logische Ebene zwischen dem physikalischen Medium d h Ihrer Festplatte und dem Dateisystem das Ihre Daten enth lt Das Prinzip besteht darin physikalische Platten in eine Art Speichereinheiten aufzuteilen Speichereinheiten von verschiedenen Laufwerken k nnen zu einem Logical Volume zusammengefasst werden von wo sie Partitionen zugewiesen werden k nnen Zus tzlich k nnen je nach Speicherbedarf Einheiten zu Partitio nen hinzugef gt oder davon entfernt werden LVM erm glicht w hrend des Rechnerbetriebs die Gr en
138. ternativ k nnen Sie in der Shell den Befehl aufrufen usr sbin isdnctrl dial ipppo zur Einwahl und mit usr sbin isdnctrl hangup ipppo legen Sie wieder auf Hinweis Vorsicht mit dem W hlmodus Automatisch vgl Hinweis zu Dial on demand auf S 51 Hinweis Ferner k nnen Sie einstellen nach wie vielen Sekunden Leerlauf die Verbin dung automatisch getrennt werden soll 60 Sekunden sind hier ein guter Wert In diesem Zusammenhang steht auch ChargeHUP welches bei Aktivierung be wirkt dass dieses automatische Auflegen erst vor der n chsten zu zahlenden Ge b hreneinheit erfolgt Diese Option funktioniert jedoch nicht mit jedem Provider Es empfiehlt sich dringend den Punkt ISDN System beim Booten initialisieren anzuw hlen damit die ben tigten Treiber geladen werden Dadurch wird noch keine Internet Verbindung aufgebaut Zudem haben Sie die M glichkeit eine Firewall zu aktivieren Damit lehnt Ihr Rechner Verbindungsanfragen von au en ab wobei Sie aber das Netzwerk weiterhin wie gewohnt benutzen k nnen Beachten Sie dass es zwei unterschiedliche Firewall Pakete gibt Die SuSEfirewall und die Personal Firewall Die Personal Firewall ist im Gegensatz zur SuSEfirewall nicht konfigurierbar einzig der Name des Netzwerkinterface ippp0 eth0 usw auf welchem ankommende Pakete abgewiesen werden sollen kann an gegeben werden Unter IP Einstellungen sollten Sie die von YaST2
139. tionieren Ihrer Festplatte w re z B Aufteilung der Festplatte vorbereiten Expertenmodus Festplatte n Dieser Dialog ist f r Ger t Anfang Ende ops F Typ Kenner gedacht dev sda 0 1113 8 5 GB IBM DNES 309170W Wenn Ihnen der dev sda1 0 1113 8 5GB FAT32 Begriff Partition dewsdb 0 1113 8 5 GB IBM DNES 309170 XEW nichts sagt sollten dewsdb1 0 16 133 3MB Linux swap Sie die automatische dewsdb2 17 599 4468 Linux native Installation dev sdb3 600 1114 3 9GB Linux native bevorzugen Klicken Sie in diesem Fall bitte jetzt auf Zurtick Bitte beachten Sie dass keine Anderungen an Ihren Festplatten vorgenommen m gt werden solange Sie nicht sp ter das Bearbeiten Zur cksetzen Installieren SEHR Installation abbrechen Weiter Abbildung 1 7 Auswiihlen der Partitionen Partition ausw hlen 2 GByte swap das 2 fache der RAM Gr e max 1 GByte home Verzeichnisse der Benutzer besitzen unterhalb von home ihr eigenes Verzeichnis Pro Benutzer ca 2 GByte shared Allgemeines Verzeichnis ist f r alle zug nglich Falls Sie das home Verzeichnis sp ter vergr fern m chten k nnen Sie dies mit LVM dynamisch tun siehe Abschnitt Logical Volume Manager LVM auf dieser Seite Sie m ssen die Parameter fiir die einzelnen Partitionen in Ihrem System manuell festlegen Legen Sie die Gr e jeder einzelnen Partition fest Geben Sie sie entweder direkt in MBytes oder in Festplat
140. ts Die Tabelle enth lt alle NFS Eintr ge die in der server Entferntes Dateisystem Mountpunkt Optionen Datei etc fstab sics shared shared defaults eingetragen werden Mit Sics home home defaults den Buttons Hinzuf gen Bearbeiten und L schen k nnen Sie die Konfiguration ndern Best tigen Sie diese nderungen bitte mit dem Button Weiter wollen Sie sie verwerfen verwenden Sie bitte den Button Zur ck Weitere Informationen sind der Manual Page zu fstab man fstab zu Hinzuf gen entnehmen ne Zur ck Abbrechen Abbildung 3 1 YaST2 Modul zur Konfiguration von NFS Standardm ig stehen die Verzeichnisse home unter dem alle privaten Home verzeichnisse der SuSE Linux Office Server Benutzer angelegt sind sowie sowie shared der allgemeine Dateibereich auf den jeder Zugriff hat zum Export per NES zur Verf gung Serverkonfiguration f r Linux Um nun diese beiden Verzeichnisse einzubinden w hlen Sie Neu und tragen Sie als Rechnername des NFS Servers die IP Adresse Ihres SuSE Linux Office Server ein in der Regel ist dies 192 168 0 1 Als Entferntes Dateisystem ge ben Sie home bzw shared an Werden home und shared auf dem Client Rechner nicht anderweitig ben tigt empfiehlt es sich diese als Mountpunkte un ter Mountpunkt lokal einzutragen Selbstverst ndlich k nnen Sie auch jedes andere auf dem Client vorhandene Verzeichnis h
141. ts eine F lle n tzlicher Dinge f r Sie bereit Generelle Informationen unter http www squidguard org Beispielkonfigurationen und Erl uterungen unter http www squidguard org config Des Weiteren gibt es Mailinglisten f r Squid unter squid users squid cache org Das Archiv dazu befindet sich unter http www squid cache org mail archive squid users Der Webserver Apache Weitere Informationen zum Webserver Apache erhalten Sie im Abschnitt auf Seite SuSE Linux Office Server JNOYOSEB uassiny SIP Jeu SIsUSIPYIOMZION 73 Sicherheit ist Vertrauenssache In diesem Kapitel werden wir Ihnen einige Grundlagen zeigen und die lokale Sicherheit von Netzwerken betrachten Einige Tipps und Tricks zum Thema Si cherheit finden Sie auch hier Grundlagen oca 220 4 a Baar e A 76 Lokale Sicherheit und Netzwerksicherheit 76 Tipps und Tricks Allgemeine Hinweise 86 Zentrale Meldung von neuen Sicherheitsproblemen 88 SYIDSSUSNDILISA ISI Ueleg 76 Grundlagen Eines der grundlegendsten Leistungsmerkmale eines Linux Unix Systems ist der Anspruch dass mehrere Benutzer engl multi user mehrere Aufgaben zur glei chen Zeit auf demselben Rechner engl multi tasking ausf hren k nnen Wir er warten von dem Betriebssystem dass es netzwerktransparent ist so dass wir gar nicht merken ob die Daten oder Applikationen mit denen wir arbeiten lokal auf dem Rechner vor uns vor
142. tt 2 auf Ihrer Festplatte SuSE Linux installiert werden soll Sie k nnen entweder die gesamte Festplatte eine oder mehrere der angezeigten Partitionen oder freie Bereiche aussuchen Der ausgewahlte Platz muss zusammenhangend sein Sie m ssen Ihre Auswahl mit der h chsten Partitionsnummer beginnen Sie k nnen keine Partitionen aus der Mitte heraus r Installiere auf 2 SCSI 8 54 GB dev sdb IBM DNES 309170 XEW Wahlen Sie die Partitionen aus die gel scht werden k nnen um f r SuSE Linux Platz zu schaffen Gesamte Festplatte DM 1 133 34 MB Linux swap dev sdb1 D 2 4 47 GB Linux native dewsdb2 DN 3 3 34 GB Linux native dev sdb3 Zur ck Installation abbrechen Abbildung 1 6 Wahl der Partitionen fiir die Installation von SuSE Linux werden Sie aufgefordert eine andere Auswahl zu treffen Die Installation von SuSE Linux Office Server ben tigt etwa 800 MB Festplattenplatz Anmerkungen zur erweiterten Partitionierung Bitte w hlen Sie diese Option nur wenn Sie mit Begriffen wie Partition Mount punkt oder Dateisystem vertraut sind Die Standardpartitionierung unter YaST2 wurde bereits f r Ihre Systemanforderungen konfiguriert Gehen Sie jedoch trotz dem besonders sorgf ltig bei der Partitionierung Ihres Systems vor In dieser Maske k nnen Sie Partitionen in Ihrem System Anlegen Bearbeiten oder L schen siehe Abb 1 7 Ein Vorschlag zum Par
143. tzerdefinierte Partitionierung mit LVM f r Experten Zur ck Installation abbrechen Abbildung 1 5 Wahl der Festplatte fiir die Installation von SuSE Linux Partitionen wahlen Nachdem Sie die Festplatte gew hlt haben auf der SuSE Linux installiert werden soll wird YaST2 alle auf der gew hlten Festplatte befindlichen Partitionen anzei gen siehe Abb 1 6 auf der n chsten Seite Sie entscheiden ob Sie f r SuSE Linux Office Server die Gesamte Festplatte verwenden oder Partitionen l schen m ch ten um Platz f r das SuSE Linux System zu schaffen Folgen Sie den Hilfetexten von YaST2 um mehr ber die Wahl der Partitionen zu erfahren M chten Sie weiteres ber die Partionierung erfahren lesen Sie im n chsten Ab schnitt weiter siehe Anmerkungen zur erweiterten Partitionierung auf der n chsten Seite andernfalls im Abschnitt Bootmanager f r den Systemstart auf Seite 13 Achtung Alle Daten auf der f r die Installation gew hlten Partition gehen verloren Genauso verlieren Sie alle Festplattendaten wenn Sie den Men punkt Ge samte Festplatte verwenden w hlen Achtung _ W hrend des Installationsvorgangs berpr ft YaST2 ob sich genug Platz auf der Festplatte f r die Installation von SuSE Linux befindet Ist dies nicht der Fall SUSE Linux Office Server JOAIOS SOWO XNUI ASNS s p UOULDIDISUL SIG Bitte wahlen Sie wo Festplatte vorbereiten Schri
144. tzlicher und interessanter Informationen zum Thema Samba vorhanden schauen Sie un ter usr share doc packages samba Sie werden dort eine Flut von In formationen finden Unter anderem liegt unter usr share doc packages samba htmldocs using_samba die vollst ndige Version des Using Samba Buchs von Robert Eckstein David Collier Brown und Peter Kelly Aber auch die Webseiten des Samba Projekts haben einiges zu bieten http de samba org samba samba html ist der offizielle Mirror der Sam baseiten Im Unterverzeichnis http de samba org samba docs liegt ein berblick ber die wichtigsten aktuellen Informationsquellen inklusive Man pages zum Thema SUSE Linux Office Server SIOAIOSLUL See USJYD1UIF 59 Netzwerkdienste Hinter die Kulissen geschaut Dieses Kapitel soll Ihnen einige weitere Informationen tiber die Netzwerkdienste vermitteln die im Verborgenen fiir Sie arbeiten deren Funktion aber unverzicht bar fiir das Funktionieren Ihres gesamten Netzes ist Grundfunktionen ss lt e 40 2 0 ea a ee 62 File und Print Service u 0 2 2208 isa 66 Sicherheit so hed Kan EE Da Daa eo a 69 Proxy Server Sguid sait aot gonde ee rc Ag 70 Der Webserver Apache aat oa ee ee E dr 73 N inoyosaB u ssiny SIP JOJUIH SIsUSIPYIOMZION 62 Grundfunktionen Dieser Abschnitt geht kurz auf die elementarsten Dienste ein die Sie zum Arbei ten im Netz ben tigen Namensaufl sung Der Domain
145. tzugriff auf den Server nicht funktio nieren liegt wahrscheinlich ein Netzwerk oder Passwortproblem vor Zur Anderungen Ihres Passworts steht neben dem Benutzermodul von YaST2 am Server unter https serverl office change_password ein Web Frontend zur Verfiigung dass Sie auch von einem Client Rechner aus ausf hren k nnen Ersetzen Sie ggf die Host und Domainnamen ser verl office durch ihren richtigen Wert Tipp Arbeitsplatzkonfiguration f r Windows 9x ME Uber die URL https serverl office change_password eingeben gibt es folgendes zu sagen 1 Beachten Sie dass ltere Clients Windows 95 oft keine Unterst tzung f r das https Protokoll bieten d h Sie k nnen dann nicht auf diese Seite zu greifen 2 Bei der ersten Verbindung wird der Benutzer darauf aufmerksam gemacht dass dieser Rechner noch unbekamnt ist Normalerweise fragen die Browser dann ob man diesen Rechner oder Schl ssel akzeptieren m chte Diese Vorgehen h ngt sehr stark vom Browser ab Verwenden Sie eine fr he Version von Windows 95 die noch keine bertragung von verschl sselten Passw rtern an Samba unterst tzt so m ssen Sie zuerst von ftp ftp microsoft com softlib mslfiles vrdrupd exe ein Upda te herunterladen und installieren damit die Anmeldung mit verschliisselten Pass wortern funktionieren kann Laufwerke verkn pfen Nat rlich w re es recht kompliziert alle Dateien irgendwo tief in der Netzwerkum gebung abzulegen aber gl
146. tzwerkkonfiguration initialisieren Internet Gateway Hier m ssen Sie angeben ob Sie Ihren Server als Internet Gateway benutzen m chten oder nicht W hlen Sie This server will probably be configured as in ternet gateway wenn kein Internet Gateway oder Router in Ihrem Netzwerk vorhanden ist u Sie einen existierenden Gateway Router ersetzen m chten Sie nicht geplant haben je einen Gateway einzusetzen Netzwerkkonfiguration initialisieren Falls diese Optionen f r Sie nicht zutreffen z B weil Sie schon einen Internet Gateway Router besitzen w hlen Sie There is already an internet gateway or router Host und Domainname Nachdem Sie den Internet Gateway eingerichtet haben gelangen Sie zur Kon figuration des Host und Domainnamens f r Ihren Server Der Name besteht aus dem eigentlichen Rechnernamen engl hostname und dem Domainnamen Erlaubte Zeichen sind Buchstaben Ziffern und das Zeichen Der Domainna me setzt sich aus mehreren solchen Teilen zusammen die durch Punkte getrennt sind Rechnername ist der Name den der Rechner im Netzwerk haben soll voreinge stellt ist server1 Der Name sollte nicht mehr als acht Zeichen umfassen und darf im lokalen Netzwerk noch nicht vergeben worden sein Die hier gew hlte Domain ist eine Bezeichnung f r das lokale Netzwerk und mit dem Wert of fice vorbelegt Zus tzlich gibt es eine NT Dom ne Diese ist unab h ngig von der normalen Domain
147. ugriffe sch tzen Konkret hei t das hier dass das Client Programm Rechte bekommen muss Bei X Window geschieht dies auf zwei ver schiedene Arten Host basierte und cookie basierte Zugriffskontrolle Erstere ba siert auf der IP Adresse des Rechners auf dem das Client Programm laufen soll und wird mit dem Programm xhost kontrolliert Das Programm xhost tr gt eine IP Adresse eines legitimen Client in eine Mini Datenbank im X Server ein Eine Authentifizierung einzig und allein auf einer IP Adresse aufzubauen gilt je doch nicht gerade als sicher Es k nnte noch ein zweiter Benutzer auf dem Rech ner mit dem Client Programm aktiv sein und dieser h tte dann genau wie je mand der die IP Adresse stiehlt Zugriff auf den X Server Deswegen soll hier auch nicht n her auf diese Methoden eingegangen werden Die Manpage des xhost Kommandos gibt mehr Aufschluss ber die Funktionsweise und enth lt ebenfalls die Warnung Bei cookie basierter Zugriffskontrolle wird eine Zeichenkette die nur der X Server und der legitim eingeloggte Benutzer kennen als einem Passwort hnli ches Ausweismittel verwendet Dieses cookie das englische Wort cookie be deutet Keks und meint hier die chinesischen fortune cookies die einen Spruch enthalten wird in der Datei Xauthority im home Verzeichnis des Benutzers beim login abgespeichert und steht somit jedem X Window Client der ein Fens ter beim X Server zur Anzeige bringen will zur Verf gung Das Pro
148. und Sie brauchen nichts zu ndern 8 Achtung Ist ein anderer PDC in Ihrem Netzwerk bereits vorhanden m ssen Sie den SuSE Linux Office Server anders konfigurieren Starten Sie dazu das YaST2 Kontrollzentrum und rufen Sie das Samba Modul auf Im Feld Art des Servers stellen Sie von Dom ne auf Arbeits gruppe um Vergessen Sie nicht einen geeigneten Namen einzuge ben Achtung 2 Richten Sie auf dem SuSE Linux Office Server die potentiellen Benutzer ein die auf dem Server Ihre privaten Verzeichnisse besitzen k nnen Wahlen Sie auf Ihrem Desktop das Piktogramm Benutzerverwaltung an und geben Sie das Root Passwort ein Serverkonfiguration Sie k nnen bequem einen neuen Benutzer anlegen in dem Sie auf die Schalt fl che Hinzuf gen anklicken und die entsprechenden Eingabefelder aus f llen schlie en Sie die Eingabe mit Anlegen ab Der neue Benutzer darf sich nun mit seinem Login Namen in unserem Beispiel tux und Pass wort auf dem Server anmelden Bevor Sie den Benutzer anlegen k nnen Sie unter Details speziellere Ein stellungen vornehmen an denen Sie nichts ver ndern sollten wenn Sie sich nicht auskennen Dort befindet sich eine Liste an Standardgruppen aus der Sie den Home Verzeichnis Pfad der hier ver ndert werden kann ebenso die Benutzerkennung ID und eine Auswahlliste f r Login Shells ausw hlen k nnen Im Eingabefeld welches mit Zus tzliche Gruppe
149. useful for doing e2fsck time trials j external journal Set the pathname where the external journal for this filesystem can be found 1 filename Add the blocks listed in the file specified by filename to the list of bad blocks The format of this file is the same as the one generated by the badblocks 8 program L filename Set the bad blocks list to be the list of blocks specified by filename This option is the same as the l1 option except the bad blocks list is cleared before the blocks listed in the file are added to the bad blocks list n Open the filesystem read only and assume an answer of Moi to all questions Allows e2fsck to be used non interactively Note if the c 1 or L options are specified in addition to the n option then the filesystem will be opened read write to permit the bad blocks list to be updated However SUSE Linux Office Server 103 104 no other changes will be made to the filesystem p Automatically repair preen the file system without any questions r This option does nothing at all it is provided only for backwards compatibility s This option will byte swap the filesystem so that it is using the normalized standard byte order which is i386 or little endian If the filesys tem is already in the standard byte order e2fsck will take no action 8 This option will byte swap the filesystem regard less of its current byte order HE Print timing statistics
150. vorgeschlagenen Adressen ein fach bernehmen Die Punkte Dynamische IP Adressenvergabe und Dynami sche DNS Vergabe sorgen daf r dass w hrend der Verbindung die vom Provi der zugewiesene IP Adresse und der Name Server bermittelt werden was im Normalfall n tig ist Unter R ckruf Einstellungen sollte R ckruf nicht konfigu riert angew hlt sein Die anderen M glichkeiten sind zumindest bei privatem Gebrauch nicht relevant Mit Weiter bzw Beenden schlie en Sie die Konfiguration ab Modem Normalerweise sind Firmen heute ber DSL ISDN oder eine Standleitung mit dem Internet verbunden Trotzdem besteht beim SuSE Linux Office Server die SUSE Linux Office Server SLUSIID JNJ BUP NzZ ISUJIS1U 53 54 Bitte w hlen Sie eine ISDN Karte aus der Liste Sie k nnen dem Kernelmodul einige zusatzliche Werte bergeben IO Adresse IRQ und MemBase sind Eigenschaften der Kartenhardware die normalerweise bei neueren Karten korrekt erkannt werden sollten Falls Sie eine ltere Karte haben entnehmen Sie weitere Informationen bitte Ihrem technischen Handbuch oder kontaktieren Sie ihren x Low Level Konfiguration f r ISDN r Wahlen Sie die ISDN Karte IO Adresse PORT Acer P10 0x220 AsKey PCI Voice W6692 Interrupt IR Askey PCI CCD HFC 5 EEE AsKey PCI W6692 AsusCom ISA IPAC m f Dp ISDN Modul Optionen nur in besonderen F llen notwendig r Auswah
151. wei felsfall verwenden Sie bitte die YaST2 Onlinehilfe Passwort f r den Systemadministrator Der Benutzer root ist der Name f r den Superuser den Systemverwalter Er kann das System ver ndern Programme einspielen Benutzer anlegen sowie Passwort fur den Systemadministrator neue Hardware hinzufiigen und einrichten Wenn jemand sein Passwort verges sen hat oder Programme nicht mehr laufen hat der Administrator die M glich keit zu helfen Das Passwort muss zur Uberpriifung zweimal eingegeben werden siehe Abb 1 12 Merken Sie sich das Passwort fiir den Benutzernamen root besonders gut Neben den normalen Passwort f r den Systemadministrator root Benutzern des Systems die z B Texte schreiben Bilder herstellen oder das Internet mit einem Webbrowser erkunden wollen gibt es auf Gehen Sie das Passwort f r root ein jedem System den Benutzer root Der Benutzer root tritt en a immer dann in Aktion Passwort zur berpr fung wiederholen wenn Administrator Aufgaben zu erledigen sind Anders formuliert Melden Sie sich als root immer dann und nur dann an wenn Sie als System Administrator 4 tie werden miisse Bitte vergessen Sie nicht was Sie hier eingeben kasten Zur ck Installation abbrechen Weiter Abbildung 1 12 Passwort f r den Benutzer root angeben y Achtung Sollten Sie das root Passwort einmal vergessen k nnen Sie Ihr System nur mit erheblic
152. weiligen Berechtigung ge ffnet und davon gelesen Es geht noch weiter Sie h tten sich auch ber ein Netzwerk etwa mit einem telnet Programm oder viel besser mit einem secure shell Programm ssh das den Netzverkehr vollst ndig verschl sselt einloggen k nnen und die Datei le sen k nnen Dennoch m ssten Sie dabei mehrere H rden berspringen Erst ein mal m ssten Sie sich ber das Netzwerk mit dem Rechner zu verbinden und sich authentifizieren Ihre Identit t nachweisen und dann h tten noch die Zugriffs rechte der Datei Ihre Handlungsm glichkeiten eingeschr nkt Da das ffnen einer Datei auf einem Rechner anderen Zugriffsbeschr nkungen unterliegt als das ffnen einer Netzwerkverbindung zu einem Dienst auf ei nem Rechner ist es n tig zwischen lokaler Sicherheit und Netzwerksicherheit zu unterscheiden Die Trennlinie sie da markiert wo Daten in Pakete verschn rt werden m ssen um verschickt und zur Anwendung zu gelangen Lokale Sicherheit Wie bereits erw hnt beginnt lokale Sicherheit mit den physikalischen Gegeben heiten in denen der Rechner aufgestellt ist Wir gehen davon aus dass Sie Ihren Rechner so aufgebaut haben dass das Ma an Sicherheit Ihrem Anspruch und Ihren Anforderungen gen gt Versetzen Sie sich in die Lage eines Angreifers So Lokale Sicherheit und Netzwerksicherheit lange wir noch von Lokaler Sicherheit sprechen ist es die Aufgabe die ein zelnen Benutzer voneinander zu trennen so d
153. wollen oder k nnen und auch ein Upgrade auf SCSI oder ein modernes BIOS nicht in Frage kommt gibt es doch noch zwei behelfsm ige M glichkeiten An Stelle von LILO auf der Platte eine Bootdiskette oder wenn Sie MS DOS betreiben loadlin verwenden um Linux zu booten u Die LILO Startmaschinerie auf einer Nicht Linux Partition unterbringen die ganz im zul ssigen Bereich liegt und auf die Linux schreiben kann z B ein FAT VFAT DOS Laufwerk Nat rlich k nnen wir den LILO Bootsektor nicht auch dorthin schreiben So bleiben daf r nur brig der Anfang ei ner erweiterten Partition auf der ersten Platte sofern vor Zylinder 1024 oder der MBR Nehmen wir an die betreffende Partition ist unter mnt ge mountet LILO soll in den MBR etwa dev hda und soll zus tzlich DOS von dev hdal booten Dann ist das Vorgehen wie folgt gt Neues Verzeichnis z B mnt LINUX anlegen und die eben schon genannten LILO Dateien aus boot dorthin kopieren boot b map message sowie die Chain Loader f r Ihre anderen Betriebssysteme i Allg chain b und die Linux Kernel die LILO booten soll gt Legen Sie eine mnt LINUX lilo cfg an in der alle Pfade nach mnt LINUX verweisen Datei 4 LILO Konfigurations Datei Fremdverzeichnis Start LILO global Section boot dev hda Installationsziel backup mnt LINUX hda xxxx backup alter MBR install mnt LINUX boot b Nat rlich sind LILO und map mnt LINUX map Map Datei in mnt LI
154. zbezeichnung ist TCP IP Die IP Adresse Jeder Rechner im Internet hat eine Identifikationsnummer die so genannte IP Adresse und nur ber diese Nummer kann er via TCP IP angesprochen werden Normalerweise hat ein Rechner auch einen Klartextnamen mit dem er in An wendungsprogrammen bezeichnet wird Um die IP Adresse zu einem Klartext namen zu bekommen gibt es das Domain Name System DNS Dies ist ein spe zieller Dienst den so genannte Nameserver bereitstellen Ein Rechner bzw ein Programm das einen Dienst bereitstellt hei t Server hier z B DNS Server ein Rechner oder Programm das einen Dienst beansprucht hei t Client Hinweise zu allen Arten des Internetzugangs Personal Firewall Die Personal Firewall ist insbesondere daf r gedacht ohne gro en Konfigurations aufwand zu verhindern dass Rechner aus dem Internet eine Verbindung zu Ih rem eigenen Rechner aufbauen k nnen Gleichzeitig werden jedoch Verbindun gen von Ihrem eigenen Rechner aus zu Rechnern im Internet zugelassen Somit ist die Personal Firewall f r die blichen Anforderungen gut geeignet und an sich ausreichend Konfigurierbar ist einzig der Name des Netzwerkinterfaces ppp0 ipppo eth0 in der Datei etc rc config d security rc config auf welchem insbesondere Anfragen zum Aufbau einer Verbindung abgewiesen werden Dies erledigt YaST2 f r Sie wenn Sie in den entsprechenden Dialogen den Punkt Firewall aktivieren anw hlen Grundlagen einer Int
155. zu dem tcpd tcp_wrapper k nnten Sie die SuSEFirewall verwenden Wenn Sie gar keine Dienste auf Ihrem Rech ner zur Verfiigung stellen wollen dann verwenden Sie am besten die SuSEpersonal firewall Die Konfiguration beschrankt sich auf den Na men des Netzwerkinterface auf welchem hereinkommende Verbindun gen abgelehnt werden sollen N here Informationen finden Sie in der Datei sbin SuSEpersonal firewall und in etc rc config d security rc config Legen Sie Ihr Sicherheitsdenken redundant aus Eine Meldung die zwei mal eintrifft ist besser als eine die Sie nie sehen Dies gilt genauso fiir Ge sprache mit Kollegen Zentrale Meldung von neuen Sicherheitspro blemen Wenn Sie ein Sicherheitsproblem finden bitte tiberpriifen Sie die zur Verf gung stehenden update Pakete dann wenden Sie sich bitte vertrauensvoll an die E Mail Adresse security suse de Bitte f gen Sie eine genaue Beschreibung des Problems bei zusammen mit den Versionsnummern der verwendeten Pa kete Wir werden uns bem hen Ihnen so schnell wie m glich zu antworten Eine PGP Verschl sselung Ihrer E Mail ist erw nscht Unser PGP Key ist ID 3D25D3D9 1999 03 06 SuSE Security Team lt security suse de gt Key fingerprii 73 5F 2E 99 DF DB 94 C4 8F 5A A3 AE AF 22 F2 D5 Der Schl ssel liegt auch unter http www suse de security zum Down Zentrale Meldung von neuen Sicherheitsproblemen load bereit SuSE Linux Office Server SYIDSSUSINDILISA ISI
156. zu konfigurierende Variable heifst REJECT_ALL_INCOMING_CONNECTIONS Sobald hierfiir eine sinnvolle Konfigurationsoption gewahlt wurde startet die Fi rewall nach Abschluss der Konfigurationsarbeiten und Neustart des Netzwerkes automatisch Folgende Einstellungen sind m glich no Wird no gesetzt oder bleibt dieses Feld leer wird Personal Fire wall nicht aktiv Alle eingehenden Verbindungen werden angenom men Es findet keine Filterung statt yes Personal Firewall wirkt auf alle Interfaces au er lo das Loop backinterface localhost So werden auch Verbindungen geblockt die aus dem eigenen Netz stammen Die einzigen Pakete die ange nommen werden sind solche die an localhost gerichtet sind iface Hier werden explizit und durch Leerzeichen getrennt diejeni gen Interfaces angegeben auf denen eingehende Verbindungen ge blockt werden sollen Tabelle 7 3 Fortsetzung auf der n chsten Seite SUSE Linux Office Server noyoseB uassiny SIO Jeu SIsUSIPYIOMZION 69 70 masq Pakete die den Rechner erreichen aber nicht ftir eines seiner Inter faces bestimmt sind werden vor der Weiterleitung entsprechend maskiert Hier wird der Name des Interfaces angegeben tiber das Pakete maskiert nach au en gelangen und an dem alle eingehen den Verbindungen abgelehnt werden sollen Interface Name und masq sind durch Leerzeichen voneinander zu trennen Tabelle 7 3 Konfiguration der Personal Firewall
Download Pdf Manuals
Related Search