Unix / Linux-Aufbaukurs

Transkript

1 Unix / Linux-Aufbaukurs Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de Juni 2010 Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 1/97

2 An wen richtet sich der Kurs? Der Kurs richtet sich an die Hörerinnen und Hörer des Linux / Unix-Grundkurses und an alle, die ein Linux / Unix-System bereits grundlegend bedienen können. Es werden Kenntnisse vermittelt, die notwendig sind, um erste Schritte in der Server-Administration zu machen. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 2/97

3 Literatur Unix / Linux-Aufbaukurs Skript und Dokumentation zum Kurs Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de Regionales Rechenzentrum für Niedersachsen / Leibniz Universität Hannover Mai 2008 Handbuch des RRZN Unix - Einführung Mark Heisterkamp, Unix / Linux-Aufbaukurs, 19. Mai 2008 Seite 1/55 UNIX Eine Einführung in die Benutzung 16., Februar 2007 unveränderte Auflage RRZN, Schloßwender Straße 5, Hannover RRZN-Handbücher werden im Rahmen einer Kooperation von über 170 staatlichen Hochschulen (Universitäten, Fachhochschulen) in Deutschland, Österreich und in der Schweiz nur an deren Mitglieder vertrieben und dürfen auch nur von diesen benutzt werden. Das RRZN hat diese Zusammenarbeit 1982 initiiert und seither koordiniert. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 3/97

4 Ablauf Zunächst wird eine Minimalinstallation aus dem Netz mit einem Debian-Lenny-System durchgeführt. Auf den so eingerichteten Rechnern werden alle Aufgaben des Kurses bearbeitet. Jeder Teil des Kurses wird praktisch umgesetzt. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 4/97

5 Debian-Lenny-Installation... Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 5/97

6 Software-Installation Die zentralen Tools zur Installtion von Softwarepaketen sind: apt-get <install purge remove> <Paketname> oder aptitude <install purge remove> <Paketname> Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 6/97

7 Paketdatenbank aktualisieren Zunächst muss die Paketdatenbank aktualisiert werden. Es werden die Server, die in /etc/apt/sources.list eingetragen sind, abgefragt: apt-get update oder aptitude update LUH-FTP-Server: deb ftp://ftp.rrzn.uni-hannover.de/debian/debian/ lenny main deb-src ftp://ftp.rrzn.uni-hannover.de/debian/debian/ lenny main deb lenny/updates main contrib deb-src lenny/updates main contrib Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 7/97

8 Software-Update Alle installierten Pakete können mit den folgenden Befehlen aktualisiert werden: apt-get upgrade oder aptitude upgrade Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 8/97

9 Verfügbare Pakete durchsuchen Mittels apt-cache search <Suchzeichenkette> oder aptitude search <Suchzeichenkette> kann die Paketdatenbank nach Paketen durchsucht werden, deren Name bzw. Kurzbescheibung die gesuchte Zeichenkette enthält. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 9/97

10 Paketbeschreibungen Das Kommando aptitude show <Paketname> zeigt eine ausführliche Paketbeschreibung an. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 10/97

11 Welche Pakete sind installiert? Mittels dpkg -l werden alle installierten Pakete aufgelistet und mittels dpkg -L <Paketname> werden die in einem Paket enthaltenen Dateien angezeigt. Das Paket muss auf dem System installiert sein. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 11/97

12 Händische Paketinstallation Das Kommando dpkg -i <Paketdatei> installiert die Datei namens Paketdatei. Die Paketdatei muss ein sog. Debian-Paket sein, zu erkennen an der Endung.deb. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 12/97

13 if-then-else-fi Syntax: if <Kondition> then... else... fi Als Kondition wird meistens das test-kommando genutzt: test <Operand1> <Operator> <Operand2> Kurzschreibweise: [<Operand1> <Operator> <Operand2>] Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 13/97

14 test-optionen -d wahr, wenn Verzeichnis -f wahr, wenn reguläre Datei -s wahr, wenn Datei und größer Null -x wahr, wenn Datei und ausführbar <Zeichenkette> wahr, wenn nicht leer <z1> = <z2> wahr, wenn Zeichenkette <z1> gleich der Zeichenkette <z2> ist <z1>!= <z2>... Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 14/97

15 if-then-beispiele #!/bin/bash if [ $PRINTER ] then echo $PRINTER else echo "\$PRINTER ist nicht gesetzt." fi #!/bin/bash if [! -d $1 ] then echo "$1 existiert nicht!" fi Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 15/97

16 Klammern bei Konditionen der Bash Vergleiche kann man durch doppelte Klammern ausführen: Für Textvergleiche: if [[ $foo == "bar"]] Für arithmetische Vergleiche: if (( 10 < 9 )) Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 16/97

17 Texteingabe read ZEILE Beispiel: echo -n "Ihre Eingabe: " read ZEILE echo $ZEILE Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 17/97

18 Zeilenweise einlesen while <list>;do <commands>;done Beispiel (lese FILE zeilenweise und gebe den Inhalt aus): cat <FILE> while read LINE do echo $LINE done Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 18/97

19 Runlevel Linux kann in verschiedene Runlevel starten/wechseln, die unterschiedliche Bootabläufe repräsentieren: Runlevel 0 Shutdown 1 Single-User 2-5 Multiuser (2 ist Standard) 6 Reboot Diese Runlevel werden durch entsprechende Start-/Stop-Skripten im Verzeichnis /etc/rc<runlevel>.d/ erreicht. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 19/97

20 Start-/Stop-Skripte In den entsprechenden Runlevel-Verzeichnissen werden die Skripte entsprechend ihrer Nummerierung nacheinander abgearbeitet. Die Skripte die mit einem S beginnen, sind Startskripte (beim Starten des Runlevels). K beginnen, sind Stopskripte (beim Verlassen des Runlevels). Alle Start-/Stop-Skripte sind symbolische Links auf echte Skripte, die in /etc/init.d/ gesammelt sind. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 20/97

21 Dienste in /etc/init.d Normalerweise wird bei der Installation für jeden Dienst des Rechners automatisch ein Skript in /etc/init.d angelegt und in den entsprechenden Runleveln verlinkt. Ändert man die Konfiguration eines solchen Dienstes, muss er ggf. neu gestartet werden: /etc/init.d/<dienst> <start stop restart status> Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 21/97

22 Eigene Dienste Man kann eigene Skripte, z.b. für IPTables, in /etc/init.d hinterlegen. Möchte man diesen Dienst immer automatisch in allen Runleveln starten, erreict man das durch den Befehl: update-rc.d <Dienst> defaults Für einen bestimmten Runlevel erreicht man das durch: update-rc.d <Dienst> start NN <Runlevel>. stop NN <Runlevel> Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 22/97

23 Anwendungen und ihre Ports FTP (Port 21) 21 FTP- Datenpaket 51 FTP (Port 51) SSH (Port 22) 22 SSH- Datenpaket 35 SSH (Port 35) HTTP (Port 80) 80 HTTP- Datenpaket 99 HTTP (Port 99) Rechner an: an: Rechner Ein Datenpaket enthält Absenderadresse, Empfängeradresse und den Port der Anwendung am Zielrechner. Gewisse Standardports sind bestimmten Anwendungen zugeordnet, können aber dennoch frei gewählt werden. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 23/97

24 Paketfilter IPTables Mittels Regeln wird der Verlauf eines TCP/IP-Datenpaketes beeinflusst. Dabei kann eine Datenpaket verworfen (DROP), zurückgewiesen (REJECT) oder angenommen (ACCEPT) werden. Ein Paket durchläuft normalerweise eine von drei möglichen Ketten: FORWARD INPUT OUTPUT Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 24/97

25 IPTables FORWARD netfilter (iptables) INPUT localhost OUTPUT Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 25/97

26 IPTables-Regeln Eine IPTables-Regel hat den allgemeinen Aufbau: iptables [-t Tabelle] -A <Kette> <Regel> wobei drei Tabellen zur Verfügung stehen: filter (Standard) mangle nat Über entsprechende Abkürzungen werden dann die Regeln aufgebaut. Wird eine Regel eingegeben, so wird sie sofort wirksam. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 26/97

27 Regelbeispiel Das folgende Beispiel für einen Satz Filterregeln sollte als Quasi-Standard am RRZN gelten, sobald ein Server aufgesetzt wird noch bevor er endgültig ans Netz geht: iptables -L iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A INPUT -s i lo -j ACCEPT iptables -A INPUT -m state state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp dport 22 -j ACCEPT iptables -A INPUT -s / \ -p tcp dport 22 -j ACCEPT Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 27/97

28 Speichern und Laden von Filterregeln Mittels iptables-save > <DATEI> und iptables-restore < <DATEI> können aktuelle Regeln in DATEI gespeichert werden bzw. daraus gelesen werden. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 28/97

29 Network Address Translation (NAT) prerouting postrouting localhost OUTPUT Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 29/97

30 Masquerading (SNAT) Die Befehle, die notwendig sind, um Masquerading zu aktivieren, lauten: echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 30/97

31 Netzwerkeinrichtung Jeder Rechner in einem Netz erhält eine eindeutige Adresse, die sogenannte IP-Adresse (Internet-Protocol-Adresse). Diese Adresse wird vom sogenannten DNS-Server (Domain-Name-Service) aufgelöst und einem Namen zugeordnet. Über diesen Namen kann im Netz auf den Rechner zugegriffen werden. Tatsächlich wird bei jeder Netzwerkanfrage gerufen: Wer hat IP ? Der Rechner (server225h.rrzn.uni-hannover.de) antwortet mit Ich! Und zwar mit der MAC-Adresse 00:18:51:D2:B3:A3! Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 31/97

32 Netwerkeinrichtung Die MAC-Adresse ist einer Netzwerkkarte fest zugeordnet (steht meist auf der Karte selbst) und sollte weltweit eindeutig sein. Sie kann gefälscht werden. Ab jetzt werden alle Datenpakete von den aktiven Netzkomponenten eines Netzwerkes an die Ports gelenkt, an denen MAC- und IP-Adresse übereinstimmen. In Netzwerken ohne solche aktiven Netzkomponenten (Switches etc.) greift ein Rechner einfach jedes vorbeifliegende Datenpaket ab, das seine MAC-Adresse trägt. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 32/97

33 Routing Jeder Rechner im Netz muss eine Route kennen, über die er seine Datenpakete verteilen kann. Diese Routing-Adresse ist sein Tor zur Außenwelt außerhalb seines lokalen Netzes. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 33/97

34 Netzmaske Die Netzmaske ist ein Bitmuster, das den lokalen Bereich von IP-Adressen definiert, den ein Rechner direkt zu erreichen versucht (ohne Gateway/Router): alle IP-Adressen der letzten Stelle sind frei (nicht gesetzt) und gehören zum lokalen Netz. Die CIDR-Notation zählt die festgelegten, führenden Bits: 3 8 = 24 Es handelt sich umeine sog. 24-er Netzmaske: /24 Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 34/97

35 Netzwerkdaten Welche Daten sind also notwendig, damit ein Rechner im Netzwerk genutzt werden kann? 1 IP-Adresse (inklusive Netzmaske) XXX.XXX.XXX.XXX 2 DNS-Server-Adresse 3 Routing-Informationen (Gateway-Adresse) Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 35/97

36 IP-Adresse eintragen Der Befehl ifconfig <INTERFACE> <IP> [netmask <MASKE>] up down stellt das angegebene Interface auf die IP-Adresse ein und aktiviert oder deaktiviert es (up oder down). Die Interfaces für Ethernet werden unter Unix von Null durchnummeriert und lauten eth0, eth1, eth2... Wird ifconfig ohne Argumente aufgerufen, so werden alle Informationen zu den angeschlossenen Netzwerkgeräten angezeigt. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 36/97

37 DNS-Server eintragen In der Datei /etc/resolv.conf werden alle Nameserver und die Suchreihenfolge für Rechnernamen angegeben. Die Suchreihenfolge vereinfacht die Namenseingabe von Rechnern. nameserver nameserver search uni-hannover.de search rrzn.uni-hannover.de Eine Änderung in dieser Datei zeigt sofort Wirkung. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 37/97

38 Route einrichten Der Befehl route add default gw <GATEWAY> richtet die Route zum Standard-Gateway ein. Oft ist eine falsche Route der Grund für ein nicht funktionierendes Netzwerk. Die Routing-Einträge kann man sich mit dem Kommando route -n anzeigen lasen. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 38/97

39 Nameservice abfragen Die Kommandos dig -x <IP> oder host <IP NAME> oder nslookup <IP NAME> zeigen (sofern vorhanden) den korrespondierenden Namen bzw. die korrespondierende Netzwerkadresse an. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 39/97

40 Geräteverwaltung Unter Unix werden alle Geräte (Devices) durch einen entsprechenden Eintrag im Geräteverzeichnis /dev repräsentiert. /dev/hda steht beispielsweise für harddisc a also die erste Festplatte. Geräte, die beim Start des Systems fest eingebunden werden müssen und durch ein eigenes Verzeichnis repräsentiert werden (das sind vor allem alle Speichergeräte), werden in der Datei /etc/fstab definiert. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 40/97

41 /etc/fstab Jede Zeile der Datei fstab beschreibt ein Gerät. Die Syntax einer solchen Zeile hat die folgende Struktur: Blockdevice Mountpoint Dateisystem Mountoptionen Dump Check- Reihenfolge /dev/hda1 / ext3 defaults,errors=remount-ro 0 1 /dev/hdc /media/cdrom iso9660 ro,user,noauto 0 0 Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 41/97

42 Dateisysteme Einige Dateisysteme: ext2 Extended Filesystem 2 ext3 Extended Filesystem 3 Logfile-basiert reiserfs Reiser Filesystem Logfile-basiert iso9660 Daten-CD-ROM vfat Virtual File Allocation Table, 32Bit, Windows NFS Network Filesystem... Es gibt eine Vielzahl weiterer Dateisysteme. Einen guten Überblick erhält man in der Manpage des mount-befehls. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 42/97

43 Der Mount-Befehl Mit dem Befehl mount -t <FS-TYPE> <DEVICE> <MOUNTPOINT> kann ein Gerät händisch in das laufende System eingehängt werden. Dieser Befehl ist in der Regel root vorbehalten. Einträge in /etc/fstab, die bei den Mountoptionen user stehen haben, können auch von normalen Nutzern ausgeführt werden. Bei Geräten, die in /etc/fstab aufgeführt sind, reicht die Angabe des Gerätes selbst. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 43/97

44 Benutzerverwaltung Da Unix ein Betriebssystem ist, das auf Netzwerknutzung und dementsprechend auch auf Multitasking ausgerichtet ist, gibt es die Möglichkeit, mit mehreren verschiedenen Benutzern auf das System zuzugreifen. Jeder Benutzer erhält einen eindeutigen Namen. Jeder Benutzer erhält ein geheimes Paswort (nicht mal root kann das Passwort lesen). Jedem Benutzer wird eine eindeutige Nummer zugeordnet. Die Benutzer werden über diese Nummern und Namen vom System verwaltet. Jeder Benutzer erhält ein Home-Verzeichnis. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 44/97

45 Besondere Benutzer Im Grunde gibt es nur einen besonderen Benutzer, den Benutzer root mit der ID 0. Weist man einem Benutzer diese Nummer zu, so erhält er alle Rechte am System. Es können durchaus mehrere Benutzer root-rechte besitzen. Dieser Benutzer gehört üblicherweise der Gruppe root an. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 45/97

46 Benutzer anlegen Das anlegen eines neuen Nutzer geschieht mit dem Befehl adduser [--home DIR] [--uid ID] <USERNAME> Der Inhalt des /etc/skel-verzeichnisses wird als Standard für das neue Homevverzeichnis des Users kopiert. Ein Passwort muss noch festgelegt werden. Mit dem Befehl useradd könen darüberhinaus auch die Defaultwerte für die Erzeugung neuer Benutzer verändert werden. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 46/97

47 Passwort-Vergabe Root kann nun mit dem Befehl passwd <USERNAME> ein neues Passwort für diesen User vergeben. Das Passwort wird verschlüsselt abgelegt in /etc/passwd bzw. in /etc/shadow. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 47/97

48 Benutzer löschen Mit dem Befehl deluser [--remove-home] [--home DIR] [--remove-all-files] <USERNAME> wird der Nutzer mit dem Namen USERNAME gelöscht. Die Option --remove-all-files entfernt sämtliche Dateien und Verzeichnisse im System, die dem Nutzer gehören. Die Option --remove-home löscht nur das korrespondierende Homeverzeichnis und ggf. alle Spool-Dateien (Druckdateien). Die Option --home besagt, dass der Nutzer erst gelöscht wird, falls das angegebene Homeverzeichnis tatsächlich dem Nutzer zugeordnet ist. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 48/97

49 Gruppen Benutzer werden unter Unix in Gruppen eingeteilt, die bestimmte Eigenschaften und damit auch bestimmte Zugriffsrechte besitzen. So könnte man beispielsweise Gruppen einrichten, die in bestimmten Verzeichnissen (in denen beispielsweise Software installiert wird) Schreibrechte besitzen. Auch Gruppen weerden durchnummeriert (referenziert durch die sogenannte GroupID (GID)). Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 49/97

50 Gruppen anlegen Der Befehl groupadd [-g GID] <GROUPNAME> legt die Gruppe GROUPNAME auf dem System an. Die Nummern 0-99 sind üblicherweise für System-Gruppen reserviert. Die Eigenschaften einer GRuppe verändern kann man mit dem Befehl groupmod [-g GID] [-n GROUPNAME] <GROUP> wobei die Option -n den neuen Gruppennamen einleitet und -g die neue GID. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 50/97

51 Gruppen löschen delgroup [--only-if-empty] <GROUPNAME> löscht die Gruppe GROUPNAME. Die Option only-if-empty verhindert das Löschen solange noch Mitglieder der Gruppe existieren. Übrigens auch der Befehl deluser --group <GROUPNAME> löscht die angegebene Gruppe. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 51/97

52 Benutzer einer Gruppe hinzufügen Mit dem Kommando adduser <USER> <GROUP> wird ein Nutzer der Gruppe GROUP hinzugefügt. Ebenso kann ein Nutzer auch von einer GRuppe entfernt werden: deluser <USER> <GROUP> Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 52/97

53 ScureCopy SCP Mit dem Kommando scp [Optionen] <Quelle> <Ziel> können Dateien und Verzeichnisse verschlüsselt über das Netzwerk übertragen werden. Quelle und Ziel können der üblichen ssh-syntax entsprechen: scp datei.txt D.h. kopiere die Datei datei.txt im aktuellen Verzeichnis auf dem lokalen Rechner verschlüsselt über das Netz zum Rechner mac225h unter dem Benutzer mheiste in das /tmp-verzeichnis. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 53/97

54 SSH SSH steht für Secure-Shell und ermöglicht die verschlüsselte Verbindung zwischen zwei Rechnern im Netz. Ein Benutzeraccount auf dem Fremdsystem ist notwendig. Die Syntax lautet: ssh [OPTIONS] mit den Optionen: -l <USER> -p <PORT>, um einen anderen Port als 22 für ssh zu nutzen -L <LOCALPORT>:<HOST>:<ZIELPORT>, um einen lokalen Port an einen Zielport einer Zieladresse weiterzuleiten (für Tunneling). -X, um auch X-Anwendungen zu nutzen Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 54/97

55 Konfigurationsdateien Die Konfigurationsdateien für SSH liegen im etc-verzeichnis und heißen ssh_config und sshd_config, wobei Erstere die Klientenkonfiguration und Zweitere die Serverkonfiguration enthält. Sollte trotz der Option -X beim Aufruf von ssh eine X-Anwendung nicht aufrufbar sein (kein Display o. ä.), so muss serverseitig in sshd_config X11Forwarding no entweder auf yes gesetzt oder mit einem # kommentiert werden. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 55/97

56 Wichtige Optionen in sshd_config Port 22 Protocol 2 PermitRootLogin no StrictModes yes Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 56/97

57 Public Key Authentifizierung Es gibt die Möglichkeit, eine Verbindung so zu definieren, dass keine Authetifizierung mehr per Nutzername und Passwort notwendig ist. 1 Lokal: ssh-keygen -t dsa 2 Kopieren des Schlüssels auf den Server: scp $HOME/.ssh/id_dsa.pub user@server: 3 Login auf den Server: ssh user@server 4 Auf dem Server: mkdir.ssh und chmod 700.ssh, falls.ssh noch nicht existiert mv id_dsa.pub.ssh/authorized_keys Oder ggf, wenn es bereits andere Keys gibt: cat id_dsa.pub».ssh/authorized_keys rm id_dsa.pub Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 57/97

58 Public Key Authentifizierung II Binden eines Public-Keys an eine bestimmte IP-Adresse: from= foo.bar.de ssh-dss [...key...] Ohne die Option PasswordAuthentication no in sshd_config nicht sinnvoll. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 58/97

59 Public Key Authentifizierung III Nur ein bestimmtes Kommando zulassen: command= foo.bar.de ssh-dss [...key...] wobei das Kommando mit allen Optionen genau bekannt sein muss. Das übergebene Kommando wird in der Umgebungsvariablen SSH_ORIGINAL_COMMAND gespeichert. Diese Option wird oft mit der from=... -Option zusammen, getrennt durch ein Komma, genutzt. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 59/97

60 Daten- und Systemsicherung, Archivierung Warum ein Backup von Daten notwendig ist, muss niemandem erklärt werden. Dennoch werden Backups noch immer zu selten gemacht. Gerade Unix / Linux bringen schon mit Bordmitteln realisierbare leistungsfähige zustande: Sicherung über das Netz (mehrfach, verschiedene Medien) effiziente Kompressionssoftware mittels Cronjobs kann das Backup automatisiert werden klare Trennung von System- und Nutzerdaten inkrementelles Sichern mit TAR Netzwerkboot, um komplette Systeme (System- und Nutzerdaten) zu sichern Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 60/97

61 Daten- und Systemsicherung, Archivierung Es gibt drei unterschiedliche Bereiche: Datensicherung Datenarchivierung Systemsicherung Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 61/97

62 Datensicherung (Backup) unverzichtbarer Service für den Nutzer wird im Allgemeinen vom Nutzer als verzichtbar eingestuft viele Nutzer sind erfahrungsresistent kurzfristiger Service inkrementelles Backup mit Gedächtnis ist wünschenswert Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 62/97

63 lokale Backup-Medien CD, DVD Nicht zur Archivierung, aber als kurzfristiges Backup gut geeignet. Nur sehr begrenzte Speicherkapazität. USB-Stick Einfache Speicherung, sehr begrenze Kapzität, ansonsten siehe CD und DVD. Band Teure und seltene Geräte, zur Archivierung geeignet, sehr langsam aber relativ hohe Kapazität. 2. Festplatte Schnell, hohe Kapazität, aber keine räumliche Trennung von Original und Backup möglich (gilt nicht für externe Platten). Notebook Schnell, hohe Kapazität, teuer und unhandlich. Diskette Höchst unzuverlässiges Medium, viel zu wenig Kapazität. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 63/97

64 Backup im Netz - Schicken Sie einfach wichtige Daten regelmäßig als Anhang per an sich selbst. Vorteile: einfach zuverlässig hohe Verfügbarkeit hohe Datensicherheit Nachteile: Anhänge vielleicht zu groß? gute Netzanbindung erforderlich begrenzte Kapazität der Mailbox kein Automatismus Eigenverantwortlichleit Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 64/97

65 Backup im Netz - Unix-Tools Sichern Sie Daten mit Unix-Tools auf im Netz erreichbare Rechner. Vorteile: Eigenverantwortlichkeit hohe Zuverlässigkeit mit Bordmitteln machbar Verschlüsselung Nachteile: Eigenverantwortlichkeit Finde ich taugliche Zielrechner? gute Unix-Kenntnisse erforderlich Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 65/97

66 Backup im Netz - Unix-Tools Einige Tools: ssh (mit Public-Key-Authentifizierung zur Automatisierung) ftp (mit.netrc zur Automatisierung) netcat (nc) tar rsync scp cp Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 66/97

67 Beispiele ftp:> put tar cf - <Quelle> archiv.tar und ftp:> get test.tar tar xf - -C <Ziel> cat archiv.tar ssh <ID>@<Host> tar xf - -C <Ziel> Zielrechner (Host): nc -l -p <Port> > archiv.tar Quellrechner: tar cf - <Quelle> nc -w 2 <Host> <Port> rsync -av -e ssh <Quelle> <ID>@<Host>:<Ziel> Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 67/97

68 Backup im Netz - Netzlaufwerke Sichern Sie Ihre Daten per Copy & Paste auf einem Fileserver (Samba, Novell, NFS... ). Vorteile: Nachteile: hohe Geschwindigkeit hohe Kapazität hohe Datensicherheit Eigenverantwortlichkeit unverschlüsselt Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 68/97

69 Backup im Netz - Backupservices Nehmen Sie an einem Backupservice eines Dienstleisters teil. Vorteile: automatisiert zuverlässig ggf. einfache Bedienung für die meisten Betriebssysteme erhältlich hohe Geschwindigkeit inkrementell Nachteile: Aufgabe der Eigenverantwortlichkeit gute Netzanbindung erforderlich Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 69/97

70 Inkrementelle Backups Ein inkrementellese Backup sichert nur die geänderten Daten, um so das Backup-Medium nicht zu schnell zu überfüllen. Außerdem ist das inkrementelle Backup sehr viel schneller als ein Vollbackup. In der Regel werden zu gegebenen Zeitpunkten Vollbackups erzeugt und bis zum nächsten Vollbackup ausschließlich inkrementelle Sicherungemn. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 70/97

71 Hardlinks vs. Softlinks Links sind Verweise auf Dateien (Verknüpfungen). Sie werden angelegt mit dem Kommando: ln [-s] <Ziel> <Link> wobei -s einen symbolischen (Soft-)Link erzeugt. Ohne diese Option wird ein harter Link angelegt. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 71/97

72 Softlink Ein Softlink ist der Verweis auf eine Datei. Existiert die Originaldatei nicht mehr, zeigt der Links ins Leere. Ein Softlink kann an dem Attribut l und daran erkannt werden, dass immer automatisch alle Rechte gesetzt sind. Außerdem zeigt ein Pfeil an, wohin der Link zeigt. lrwxr-xr-x 1 mheiste mheiste 7 May 21 06:53 test -> test.pl Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 72/97

73 Hardlink Ein Hardlink ist nicht von der Originaldatei zu unterscheiden. Erst wenn der letzte Link gelöscht ist, ist auch dad Original gelöscht. Ein Hardlink ist lediglich ein weiterer Eintrag im Dateiverzeichnis der lokalen Platte. Dort verweisen dann mehrere Namen/Einträge auf denselben Bereich (Inode) der Festplatte. Die Anzahl der Verlinkungen wird in der zweiten Spalte der ls -l-ausgabe angezeigt: 1 ls -l -rwxr r 1 mheiste mheiste 299 May 15 14:00 test.pl 2 ln test.pl test 3 ls -l -rwxr r 2 mheiste mheiste 299 May 15 14:00 test -rwxr r 2 mheiste mheiste 299 May 15 14:00 test.pl Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 73/97

74 Inkrementelles Backup mit rsync rsync gleicht Verzeichnisse ab und bringt sie auf denselben Stand. Dabei ist rsync in der Lage, Hardlinks aufzulösen und das neuere geänderte Original einzufügen, den Rest aber als Hardlink zu belassen. Vorgehen: 1 Verschiebe bisherige Backups weiter (Nummerierung). 2 Mache Hardlink-Kopie des letzten Backups. 3 Gleiche die Hardlink-Kopie mit dem aktuellen Verzeichnis per rsync ab. Ergebnis: Im letzten Backup ist alles wieder ein Hardlink, bis auf die geänderten Daten. Eine Datei, die in allen Backups vorhanden ist, aber nie geändert wurde, ist physikalisch auch nur einmal vorhanden. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 74/97

75 rsync-optionen rsync [Optionen] <Quelle> <Ziel> -v viel Rückmeldung -a archive-mode, d.h. rekursiv, Rechte beibehalten --delete Dateien im Ziel ggf. löschen --delete-excluded auch ausgenommene Datein im Ziel löschen --exclude Datei/Verzechnis nicht berücksichtigen --exclude-from= Angabe einer Datei mit allen Excludes zeilenweise link-dest=dir Hardlinks nach DIR für ungeänderte Dateien. Excludes sind immer relativ zur Quelle anzugeben. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 75/97

76 Datenarchivierung nicht zum kurzfristigen Wiederherstellen von Daten nur zur Archivierung langfristig ggf. teuer ggf. sehr aufwendig langsam große Kapazität notwendig Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 76/97

77 Medien Band (mit Roboter in großen Netzen) CD, DVD asterix.rrzn.uni-hannover.de Alle Medien müssen regelmäßig umkopiert werden, um Datenverlust vorzubeugen und die Kompatibilität (Lesbarkeit) der Formate und Medien über einen langen Zeitraum zu gewährleisteni. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 77/97

78 Systemsicherung (Systemrecovery) das System wird gesichert Separation in Nutzer- und Systemdaten schnelles Recovery handhabbare Bootmedien mit Bordmitteln unter Linux machbar Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 78/97

79 Methoden Platten klonen: dd tar-archive: dd sfdisk tar chroot grub-install Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 79/97

80 Klonen mit dd booten mit Knoppix o. Ä. Netzwerk initialisieren Plattenressource einhängen (NFS, netcat, ssh... ) dd if=/dev/<systemplatte> of=<plattenressource> Das erzeugte Image ist eine 1:1-Kopie der Systemplatte. Mittels dd if=<plattenressource> of=/dev/<neue_systemplatte> kann der System-Klon aufgesetzt werden. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 80/97

81 FTP Um Daten über das Netz einfach und schnell, aber unverschlüsselt zu übertragen, kann man FTP wählen. Die Syntax ist schon aus dem Unix-Grundkurs bekannt: ftp [HOSTNAME] Man braucht hier einen Nutzer-Account auf dem Zielrechner und der Zielrechner muss darüber hinaus einen FTP-Server betreiben. Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 81/97

82 Verschlüsseltes FTP Es gibt unter das sogenannte sftp, das auf SSH aufsetzt und einen verschlüsselten Datentransfer erlaubt. Die Syntax ist ähnlich der klassischen FTP-Syntax: sftp Der Zielhost braucht keinen FTP-Server, aber sehr wohl einen SSH-Server, was in der Unix-Welt quasi Standard ist. SFTP lässt sich natürlich tunneln: 1 ssh -L <LOCALPORT>:<ZIELHOST>:<ZIELPORT> \ <USER>@<TUNNELHOST> 2 sftp -oport=<localport> <USERID>@localhost Mark Heisterkamp, Unix / Linux-Aufbaukurs, 22. Juni 2010 Seite 82/97