So werden Sie ein Linux-Guru Deutsche Ausgabe Linux Schnellkurs für Administratoren O Reilly Tom Adelstein & Bill Lubanovic Deutsche Übersetzung von Andreas Bildstein
First Inhalt Einleitung................................................... IX 1 Anforderungen an einen Linux-Systemadministrator................... 1 Über dieses Buch............................................ 2 Wie können wir helfen?....................................... 2 Wo sollen Sie beginnen?....................................... 3 Brauchen Sie ein Buch?........................................ 3 Wer braucht Sie?............................................. 4 Was Systemmanager über Linux wissen sollten..................... 8 Was kommt als Nächstes?..................................... 9 2 Einrichten eines Linux-Multifunktionsservers......................... 11 Serveranforderungen......................................... 13 Debian installieren........................................... 13 Aus der Ferne anmelden....................................... 16 Das Netzwerk konfigurieren.................................... 17 Die Standard-Debian-Pakete ändern............................. 19 Quotas einrichten............................................. 21 Domainnamensdienste bereitstellen.............................. 23 Eine relationale Datenbank hinzufügen: MySQL.................... 26 Mail sicher mit Postfix, POP3 und IMAP konfigurieren.............. 28 Apache zum Laufen bringen.................................... 39 FTP-Dienste mit ProFTPD hinzufügen............................ 40 Zusammenfassen Ihrer Webstatistiken mit Webalizer................ 42 Synchronisierung der Systemuhr................................ 42 Installation von Perl-Modulen, die von SpamAssassin benötigt werden... 42 Was kommt als Nächstes?..................................... 43 V
3 Das Domain Name System....................................... 45 DNS-Grundlagen............................................ 45 Der Einstieg in BIND......................................... 47 Einrichten eines DNS-Servers................................... 49 Konfiguration eines autoritativen DNS-Servers..................... 52 Bearbeiten der Konfigurationsdateien............................ 59 BIND-Tools................................................ 74 Troubleshooting unter BIND................................... 78 Was kommt als Nächstes?..................................... 85 Links 4 Eine erste internetfähige Umgebung............................... 87 ISPConfig installieren......................................... 88 Einen Server und Benutzer mit ISPConfig einrichten................. 98 Absicherung eines Linux-Webservers............................ 111 Was kommt als Nächstes?..................................... 117 5 Mail....................................................... 119 Schlüsselbegriffe bei E-Mail-Diensten............................ 120 Postfix, Sendmail und andere MTAs............................. 120 Der Postfix-SMTP-Mailserver auf Debian......................... 123 Authentifizierung und Verschlüsselung hinzufügen.................. 130 POP3- und IMAP-Mail Delivery Agents konfigurieren............... 139 E-Mail-Client-Konfiguration................................... 140 Was kommt als Nächstes?..................................... 141 6 Apache administrieren......................................... 143 Statische und dynamische Dateien............................... 144 Eine einfache LAMP-Installation................................ 145 Installation................................................. 145 Apache-Konfigurationsdateien.................................. 149 Protokolldateien............................................. 164 SSL/TLS-Verschlüsselung...................................... 167 suexec-unterstützung....................................... 168 Benchmarking............................................... 168 Installation und Administration von Drupal....................... 170 Troubleshooting............................................. 175 Weiterer Lesestoff............................................ 179 7 Lastverteilte Cluster........................................... 181 Lastverteilung und Hochverfügbarkeit............................ 182 Ohne LB und HA skalieren.................................... 189 Weiterer Lesestoff............................................ 190 VI Inhalt
Rechts 8 Lokale Netzwerkdienste........................................ 191 Verteilte Dateisysteme........................................ 192 Einführung in Samba......................................... 193 Konfiguration des Netzwerks................................... 194 DHCP..................................................... 197 Gateway-Dienste............................................ 203 Druckdienste............................................... 211 Benutzerverwaltung.......................................... 217 9 Virtualisierung im modernen Unternehmen.......................... 227 Warum Virtualisierung so beliebt ist............................. 228 Hochleistungsrechner......................................... 230 Installation von Xen auf Fedora 7................................ 233 VMware installieren.......................................... 238 Virtualisierung: ein vorüberziehender Modetrend?.................. 245 10 Skripten.................................................... 247 bash-einstieg............................................... 248 Hilfreiche Komponenten für bash-skripten........................ 255 Skriptsprachen-Duell......................................... 265 Weiterer Lesestoff............................................ 274 11 Daten sichern................................................ 275 Sichern von Benutzerdaten auf einen Server mit rsync................ 276 tar-archive................................................. 281 Speichern von Dateien auf optischen Medien...................... 286 Mit Amanda auf Band sichern und archivieren..................... 293 Sichern von MySQL-Daten..................................... 296 Anhang: Beispiele für bash-skripten............................... 301 Index...................................................... 319 Inhalt VII
First Kapitel 4 KAPITEL 4 Hier Mini IVZ eingeben! Eine erste internetfähige Umgebung Erstellen auf den Arbeitsseiten (siehe Muster) Abstand untere Tabellenlinie zu Textanfang 1,8 cm -> also: manuell auf den Arbeitsseiten ziehen!!! Eine der großartigsten Eigenschaften von Linux ist seine Flexibilität. Kommerzielle Unternehmen wie beispielsweise Cisco haben Linux unter sehr einfachen Oberflächen versteckt, um deren Linksys-Router und andere Produkte benutzerfreundlich zu gestalten. Auch wir können das so machen. ISPConfig (http://ispconfig.org), ein benutzerfreundliches Linux-Projekt unter einer freien Softwarelizenz (BSD), ermöglicht uns, aus einer einzigen herunterladbaren Anwendung heraus einen vielseitigen, einsatzfähigen Internetserver zusammenzustellen. Sobald wir die Anwendung installiert haben, besitzen wir ein Werkzeug, mit dessen Unterstützung wir einen Server konfigurieren und auf einfache Art und Weise pflegen können. Mit diesem Server können wir dann Websites verwalten, Domain-Namensdienste bereitstellen, E-Mail- und File-Transfers durchführen sowie Benutzer, Administratoren und andere Personen hinzufügen, die zur Durchführung verschiedener administrativer Aufgaben auf das System zugreifen können. Ach so, haben wir denn schon erwähnt, dass wir all diese administrativen Aufgaben über eine grafische Benutzeroberfläche vornehmen können? Wir haben ISPConfig in erster deshalb gewählt, weil wir damit unter Linux leistungsfähige Serveranwendungen bereitstellen können, ohne dadurch irgendwelche Leistungsmerkmale oder Flexibilität opfern zu müssen. Des Weiteren: ISPConfig setzt Standard-Daemons ein, die mit den Linux-Distributionen mitgeliefert werden. Wir werden Apache für die Websites, Postfix für E-Mail, ProFTPD für FTP, BIND für DNS und MySQL als Backend-Datenbank einsetzen. Die Installation von ISPConfig konfiguriert die verschiedenen Serverkomponenten automatisch. Die in ISPConfig enthaltenen Pakete arbeiten mit den meisten verfügbaren Linux-Distributionen zusammen. Die Standardpakete der Distributionen können verwendet werden. This is the Title of the Book, ematter Edition 87
Für jede enthaltene Komponente kann im Internet Unterstützung gefunden werden. Das ISPConfig-Team bietet für die gesamte Anwendung Onlineunterstützung an. Wenn Sie dieses Kapitel durcharbeiten, sollten Sie eine gute Vorstellung davon bekommen, was alles benötigt wird, um die von einem Server bereitgestellten Dienste einzurichten und zum Laufen zu bringen. Sie werden dann auch beurteilen können, ob Sie bei Ihren Anforderungen an Stelle einer Kommandozeile eine grafische administrative Verwaltungsoberfläche einsetzen können. ISPConfig selbst stellt keine Kommandozeilenschnittstelle zur Verfügung. Stattdessen können Sie damit Server über eine webbasierte Administrationsoberfläche oder auch ein Panel verwalten, was später in diesem Kapitel beschrieben wird. Am Anfang dieses Kapitels müssen Sie allerdings ein paar Kommandozeilenaufgaben erledigen, wenn Sie ISPConfig einrichten, damit ISPConfig danach alles Weitere installieren kann. In späteren Abschnitten werden wir uns aber vollständig auf diese grafische Benutzeroberfläche konzentrieren. Die Verwaltungsoberfläche der Webanwendung ISPConfig vereinfacht zwar die Ausführung vieler administrativer Aufgaben unter Linux, es ist aber auch wichtig, dass Sie wissen, wie die Standard-Utilities der Kommandozeile eingesetzt werden müssen, um das gleiche Ergebnis zu erreichen. Wir werden diese Punkte in späteren Kapiteln behandeln. Sie sind nicht an ISPConfig gebunden. Wenn Sie sich dazu entscheiden, ohne ISPConfig zu arbeiten, werden Sie auch dafür das notwendige Know-how haben. ISPConfig installieren ISPConfig stammt von der Firma Projektfarm GmbH. Till Brehm und Falko Timme haben die Anwendung entwickelt, die sie ursprünglich auf http://42go.de als proprietäres System vertrieben haben. Jetzt können Sie sich die Anwendung von http:// sourceforge.net/projects/ispconfig herunterladen. Das Projekt konfiguriert diese Dienste: httpd (virtuelle Hosts, Domain- und IP-basiert) FTP BIND POP3-Auto-Responder MySQL-Client-Datenbanken Webalizer-Statistiken Festplatten-Quotas Mail-Quotas Links 88 Kapitel 4: Eine erste internetfähige Umgebung
Rechts Datentransferbeschränkungen IP-Adressen SSL SSI Shell-Zugriff Mailscanner (Antivirus) Firewall Systemanforderungen Als dieses Buch geschrieben wurde, gehörten zu den Systemanforderungen: Betriebssystem Linux (Kernel 2.4 oder neuer mit der glibc6-bibliothek). Die folgenden Distributionen werden unterstützt: CentOS 4.1 bis 5.0 Debian Version 3.0, 3.1, 4.0 Fedora Core 1 bis 6, Fedora 7 Mandrake Linux ab Version 8.1 bis 10.2 Mandriva 2006, 2007 und 2007 Spring Red Hat Linux ab Version 7.3 bis 9.0 SUSE Linux ab Version 7.2 bis 10.2 Ubuntu 5.04, 5.10, 6.06, 6.10 und 7.04 Linux-Pakete Die Projekt-Maintainer führen auch die speziellen Bestandteile der Linux-Distribution auf, die auf Ihrem System installiert sein müssen, bevor Sie ISPConfig installieren können. Hierzu gehören: Apache-Webserver ab Version 1.3.12 oder ab Version 2.0.40 BIND 8 oder 9 iptables oder ipchains MySQL-Datenbank OpenSSL und mod_ssl für die Erstellung virtueller Hosts mit SSL PHP 4.0.5 oder neuer als Apache-Modul POP3/IMAP-Daemon, der entweder das traditionelle Unix-Mailbox-Format unterstützt (zum Beispiel gnu-pop3d, qpopper, ipop3d, popa3d oder vm-pop3d) oder aber das maildir-format (zum Beispiel Courier-Imap, Dovecot) Procmail ISPConfig installieren 89
ProFTP als Standalone-Version oder vsftpd als inetd/xinetd/standalone- Version quota-paket Sendmail oder Postfix Wichtig für Sie zu wissen ist, dass diese Server und Pakete bereits so, wie in Kapitel 2 beschrieben, auf Ihrem System installiert sein müssen, bevor Sie ISP- Config installieren. ISPConfig bringt diese Dienste nicht mit, erwartet aber, dass sie bereits auf Ihrem System vorhanden sind. Der Vorteil dieses Ansatzes liegt darin, dass Sie die Standardpakete Ihrer Distribution einsetzen und später auch so aktualisieren können, wie Sie Ihr System sonst auch mit Hilfe der Tools Ihrer Distribution aktualisieren würden. Damit diese Dienste mit IPSConfig zusammenarbeiten, müssen Sie sie nicht aus den Quellen heraus kompilieren die Standardpakete genügen. ISPConfig richtet zwei Verzeichnisse ein, die wiederum die Dateien und Unterverzeichnisse enthalten, aus denen die Anwendung zusammengestellt wird: /root/ispconfig und /home/admispconfig. Sie können ISPConfig deinstallieren und auf einen standardmäßigen, textbasierten Server zurückstellen, wenn Sie /root/ispconfig/uninstall ausführen; eventuell möchten das einige Leser machen, nachdem sie eine Zeit lang mit diesem Buch gearbeitet haben. Links Spezielle ISPConfig-Daemons Zusätzlich zur Verwaltung der von Ihnen bereits auf Ihrem System installierten Anwendungen pflegt ISPConfig auch seine eigenen Versionen von einigen Anwendungen, die es selbst benötigt. Sie finden die Quellen hierfür im Verzeichnis install_ ispconfig/compile_aps des Pakets. Diese redundanten Dienste sind deshalb vorhanden, damit Sie weiterhin ISPConfig verwalten können, auch wenn die normalen Dienste (zum Beispiel Ihr öffentlicher Apache-Webserver) ausfallen. Mit ISPConfig können Sie sowohl die öffentlichen als auch die internen Server mit Hilfe nicht standardisierter Ports für den internen Server laufen lassen. Der interne Apache-Server von ISPConfig lauscht beispielsweise auf Port 81 und nicht auf Port 80, der normalerweise vom Webserver der Distribution verwendet wird, der die öffentlich zugänglichen Websites hostet. Das Ganze zum Laufen bringen Wie viele andere Linux- und Unix-Pakete auch, wird ISPConfig als Ansammlung von Dateien bereitgestellt, die mit dem tar-utility zusammengefasst werden. Das Ergebnis daraus wird häufig als Tarball bezeichnet. Wenn Sie auf den Download- Link auf http://sourceforge.net/projects/ispconfig klicken, werden Sie auf eine der 90 Kapitel 4: Eine erste internetfähige Umgebung
Rechts Mirror-Sites von SourceForge weitergeleitet. Eine typische Site, die ISPConfig enthält, ist http://superb-west.dl.sourceforge.net/sourceforge/ispconfig/ispconfig-2.2.13. tar.gz. Für das Herunterladen der Datei können Sie auch einfach auf den Download-Link klicken, da die Datei aber ziemlich groß ist, ist es vielleicht hilfreich, wenn Sie die URL in den wget-befehl auf Ihrem Terminalfenster kopieren. Der Vorteil beim Einsatz von wget liegt darin, dass Sie Ihren Download auf einfache Weise wieder aufnehmen können, wenn irgendetwas den Vorgang unterbricht. Wenn Sie den Befehl mit der Option -c abschicken, können Sie den Download wieder aufnehmen anstatt von vorn beginnen zu müssen: Wird der Download unterbrochen, führen Sie einfach den wget-befehl noch einmal so wie vorher aus, und er wird dort weitermachen, wo er vorher aufgehört hatte. In diesem Kapitel gehen wir davon aus, dass Sie auf Ihrem System in einem Verzeichnis arbeiten, das /root heißt. Sie können sich den ISPConfig-Tarball mit folgendem Befehl herunterladen (in einer Zeile, ersetzen Sie dabei die URL mit der aktuellsten Version auf der SourceForge-Website): # wget -c http://superb-west.dl.sourceforge.net/sourceforge/ispconfig/ispconfig-2. 2.13.tar.gz Ihr Terminal wird in etwa die folgenden Meldungen ausgeben: --16:20:48-- http://superb-west.dl.sourceforge.net/sourceforge/ispconfig/ ISPConfig-2.2.13.tar.gz => `ISPConfig-2.2.13.tar.gz' Auflösen des Hostnamen superb-west.dl.sourceforge.net... 209.160.59.253 Verbindungsaufbau zu superb-west.dl.sourceforge.net 209.160.59.253 :80... verbunden. HTTP Anforderung gesendet, warte auf Antwort... 200 OK Länge: 35.078.079 (33M) [application/x-gzip] 24% [========> ] 8,533,049 252.80K/s ETA 01:32 Entpacken Sie das ISPConfig-Archiv mit diesem Befehl: # tar xvfz ISPConfig*.tar.gz wodurch ein Unterverzeichnis mit dem Namen install_ispconfig erstellt wird. Wechseln Sie jetzt in das Verzeichnis /root/install_ispconfig. Überprüfen Sie die Datei dist. txt und sehen Sie dort nach, ob die hier angegebenen Werte zu Ihrem Linux-Server passen. Für Debian 4.0 sehen die Werte in dist.txt in etwa so aus: dist_init_scripts=/etc/init.d ## dist_runlevel=/etc ## # debian40 # debian40 Die Datei enthält 19 weitere Werte für Debian, die wir hier nicht aufführen werden. Solange Sie nicht besonderen Fertigkeiten in der Linux-Administration besitzen oder mit ISPConfig besonders vertraut sind, sollten Sie es bei den Standardwerten belassen. Diese müssten funktionieren, solange Sie eine der unterstützten Distribu- ISPConfig installieren 91
tionen einsetzen, die weiter vorne in diesem Kapitel aufgeführt wurden. Sachkundige Administratoren können allerdings Werte ändern, sofern das Format der Datei beibehalten wird. Damit das Installationsprogramm den von ISPConfig benötigten internen Apache- Webserver kompilieren und installieren kann, müssen vor dem Starten der Installation zuerst noch zwei Pakete nachinstalliert werden, die in Kapitel 2 nicht installiert wurden. Installieren Sie diese Pakete mit folgendem Befehl nach: # apt-get install flex g++ Nach der Eingabe dieses Befehls werden die Pakete vom System installiert und konfiguriert. Jetzt sind wir für die Installation von ISPConfig gerüstet. Starten Sie jetzt die Installation. Führen Sie vom root-prompt den Installationsbefehl./setup aus. Das Installationsskript beginnt dann damit, Apache mit PHP 5 zu kompilieren, der auf Port 81 laufen wird. Als Erstes werden Sie allerdings gebeten, Ihre Sprache auszuwählen: server2:~/install_ispconfig #./setup Debian 4.0 Neuinstallation eines ISPConfig-Systems. / Installation of a new ISPConfig system. / Installation d'ispconfig sur un nouveau systeme. Whlen Sie Ihre Sprache (deutsch/englisch/spanisch/franzsisch/italienisch/ niederlndisch/polnisch/ schwedisch): / Please choose your language (German/English/Spanish/French/Italian/ Dutch/Polish/Swedish): / Merci de choisir votre langue (Allemand/Anglais/Espagnol/ Francais/Italien/Nerlandais/Polonais/Sudois): 1) de 2) en 3) es 4) fr 5) it 6) nl 7) pl 8) se Ihre Wahl: / Your Choice: / Votre Choix: Sie sehen daraufhin eine Warnmeldung: Bei der Installation auf Systemen, auf denen bereits Einstellungen vorgenommen wurden, werden einige System-Dateien ersetzt. Dies kann zum Verlust von Eintrgen in httpd.conf, named.conf sowie in der Sendmail-Konfiguration fhren. Wollen Sie mit der Installation fortfahren? [y/n] y An dieser Stelle zeigt das System Ihnen eine Lizenzvereinbarung, die Sie lesen und akzeptieren sollten: Akzeptieren Sie die Lizenz? [y/n] y Das Installationsprogramm wird Ihnen jetzt weitere Fragen über Ihre Systemkonfiguration stellen (beispielsweise welcher MTA, FTP-Server, Webserver, welche Protokolle usw. verwendet werden sollen). Da Sie diese Pakete bereits auf Ihrem Links 92 Kapitel 4: Eine erste internetfähige Umgebung
Rechts System installiert haben, sollten Sie auch in der Lage sein, alle Fragen beantworten zu können. Am Anfang der Installation wird das Skript Sie fragen, in welchem Modus Sie die Installation gern durchführen möchten. Wählen Sie hier den Expertenmodus aus: 1) standard 2) expert Ihre Wahl: 2 Im Expertenmodus haben Sie zusätzliche Auswahlmöglichkeiten, für die ISPConfig im Standardmodus Standardwerte vergibt. Wenn Sie zur Eingabe eines Standardverzeichnisses aufgefordert werden, können Sie sich ein beliebiges Verzeichnis auswählen, stellen Sie dabei aber sicher, dass sich das Verzeichnis auf einer Partition befindet, die genügend Speicherplatz für die Websites zur Verfügung stellt, die Sie hosten möchten. Wenn Sie mit ISPConfig auch Quotas konfigurieren möchten, sollten Sie des Weiteren sicherstellen, dass Quotas für diese Partition so, wie in Kapitel 2 beschrieben, auch aktiviert wurden. Wollen Sie suexec für Websites aktivieren, die Perl/CGI-Skripten ausführen dürfen, sollte sich das Verzeichnis innerhalb des Document-Root von suexec befinden. Bei Debian und Fedora/Red Hat liegt das Standard-Document-Root von suexec unter /var/www, wohingegen es sich bei SUSE unter /srv/www befindet. Wenn Sie suexec aktivieren, ist das Document-Root auch eine gute Wahl für das Verzeichnis, in dem ISPConfig abgelegt werden soll: ########## WEB SERVER ########## Checke, ob Programm httpd installiert ist... /usr/bin/httpd OK berprfe die Syntax der httpd.conf... Syntax OK Die Syntax ist ok! Web-Root: /var/www Ist das korrekt? [y/n] y Bei suexec handelt es sich um eine Sicherheitserweiterung auf einem Webserver, bei dem CGI-Skripten im Besitz von bestimmten Benutzern sein müssen, die diese auch ausführen können müssen. An dieser Stelle beginnt die Installation mit dem Kompilieren des Apache-Servers, der für die Darstellung der ISPConfig-Webschnittstelle auf Port 81 verwendet wird. Wenn der Build des ISPConfig-Apache fertig ist, sehen Sie, dass ein angepasstes SSL-Zertifikat zusammengestellt wird. Das Installationsprogramm bittet Sie, mehrere Werte anzugeben. Sie können hier die Standardwerte übernehmen oder auch ihre eigenen Werte eingeben. Der Eingabebildschirm wird in etwa folgendermaßen aussehen: ISPConfig installieren 93
SSL Certificate Generation Utility (mkcert.sh) Copyright (c) 1998-2000 Ralf S. Engelschall, All Rights Reserved. Generating custom certificate signed by own CA [CUSTOM] STEP 0: Decide the signature algorithm used for certificates The generated X.509 certificates can contain either RSA or DSA based ingredients. Select the one you want to use. Signature Algorithm ((R)SA or (D)SA) [R]: STEP 1: Generating RSA private key for CA (1024 bit) [ca.key] 1698765 semi-random bytes loaded Generating RSA private key, 1024 bit long modulus...++++++...++++++ e is 65537 (0x10001) STEP 2: Generating X.509 certificate signing request for CA [ca.csr] You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. 1. Country Name (2 letter code) [XY]: 2. State or Province Name (full name) [Snake Desert]: 3. Locality Name (e.g, city) [Snake Town]: 4. Organization Name (e.g, company) [Snake Oil, Ltd]: 5. Organizational Unit Name (e.g, section) [Certificate Authority]: 6. Common Name (eg, CA name) [Snake Oil CA]: 7. Email Address (e.g, name@fqdn) [ca@snakeoil.dom]: 8. Certificate Validity (days) [365]: STEP 3: Generating X.509 certificate for CA signed by itself [ca.crt] Certificate Version (1 or 3) [3]: Signature ok subject=/c=xy/st=snake Desert/L=Snake Town/O=Snake Oil, Ltd/OU=Certificate Authority/CN=Snake Oil CA/emailAddress=ca@snakeoil.dom Getting Private key Verify: matching certificate & key modulus Verify: matching certificate signature../conf/ssl.crt/ca.crt: /C=XY/ST=Snake Desert/L=Snake Town/O=Snake Oil, Ltd/ OU=Certificate Authority/CN=Snake Oil CA/emailAddress=ca@snakeoil.dom error 18 at 0 depth lookup:self signed certificate OK STEP 4: Generating RSA private key for SERVER (1024 bit) [server.key] 1698765 semi-random bytes loaded Generating RSA private key, 1024 bit long modulus...++++++...++++++ e is 65537 (0x10001) Links 94 Kapitel 4: Eine erste internetfähige Umgebung
Rechts STEP 5: Generating X.509 certificate signing request for SERVER [server.csr] You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. 1. Country Name (2 letter code) [XY]: 2. State or Province Name (full name) [Snake Desert]: 3. Locality Name (eg, city) [Snake Town]: 4. Organization Name (eg, company) [Snake Oil, Ltd]: 5. Organizational Unit Name (eg, section) [Webserver Team]: 6. Common Name (eg, FQDN) [www.snakeoil.dom]: 7. Email Address (eg, name@fqdn) [www@snakeoil.dom]: 8. Certificate Validity (days) [365]: STEP 6: Generating X.509 certificate signed by own CA [server.crt] Certificate Version (1 or 3) [3]: Signature ok subject=/c=xy/st=snake Desert/L=Snake Town/O=Snake Oil, Ltd/OU=Webserver Team/ CN=www.snakeoil.dom/emailAddress=www@snakeoil.dom Getting CA Private Key Verify: matching certificate signature../conf/ssl.crt/server.crt: OK Bei der Erstellung des Zertifikats werden Sie in Schritt 7 und 8 gefragt, ob Sie die entsprechenden Schlüssel jetzt verschlüsseln möchten: STEP 7: Enrypting RSA private key of CA with a pass phrase for security [ca.key] The contents of the ca.key file (the generated private key) has to be kept secret. So we strongly recommend you to encrypt the server.key file with a Triple-DES cipher and a Pass Phrase. Encrypt the private key now? [Y/n]: n writing RSA key Enter PEM pass phrase: Verifying - Enter PEM pass phrase: Fine, you're using an encrypted private key. STEP 8: Enrypting RSA private key of SERVER with a pass phrase for security [server.key] The contents of the server.key file (the generated private key) has to be kept secret. So we strongly recommend you to encrypt the server.key file with a Triple-DES cipher and a Pass Phrase. Encrypt the private key now? (Y/n): n What email address or URL should be used in the suspected-spam report text for users who want more information on your filter installation? (In particular, ISPs should change this to a local Postmaster contact) default text: [the administrator of that system] Beantworten Sie diese Fragen mit n. Ansonsten werden Sie jedes Mal nach einem Passwort gefragt, wenn Sie das ISPConfig-System neu starten möchten, was bedeutet, dass es nicht ohne Interaktion mit einer Person neu gestartet werden kann. ISPConfig installieren 95
Schlägt die Kompilierung fehl, wird die Konfiguration beendet, und alle kompilierten Dateien werden entfernt. Die Fehlermeldung, die Sie erhalten, sollte eigentlich auf den Grund für den Fehler verweisen. In den meisten Fällen fehlen Header- Dateien für ein Paket. Was auch immer der Grund sein mag: Sehen Sie sich noch einmal die Konfiguration Ihres Servers an und lösen Sie das Problem. Wenn das Verzeichnis install_ispconfig trotz des Fehlers nicht gelöscht wurde, löschen Sie es manuell. Entpacken Sie dann die ISPConfig-Quellen erneut, gehen Sie wieder in das Verzeichnis install_ispconfig und führen Sie./setup aus. Nachdem irgendwelche Fehler aufgetreten sind, können Sie ISPConfig nicht zweimal aus dem gleichen install_ispconfig-verzeichnis heraus installieren. Ähnlich verhält es sich, wenn benötigte Pakete nicht vorhanden sind. Die Installationsroutine wird dann beendet. Installieren Sie das fehlende Paket, löschen Sie das Verzeichnis install_ispconfig, entpacken Sie ISPConfig erneut und starten Sie noch einmal von vorne. Das Installationsskript überprüft die Syntax Ihrer vorhandenen Apache-Konfigurationsdateien. Ein Fehler wird dazu führen, dass die Installation von ISPConfig gestoppt wird. Wenn alle Rahmenbedingungen erfüllt sind, müssen Sie während der Installation noch ein paar Werte angeben. Hierzu gehören: Wie heisst der MySQL-Server? localhost Wie heisst der MySQL-User? root Wie heisst das MySQL-Passwort? Ihr MySQL-Passwort Vergeben Sie einen Namen fr die ISPConfig-Datenbank (z.b. db_ispconfig): db_ ispconfig Geben Sie die IP-Adresse des ISPConfig-Webs an (z.b. 192.168.0.1): 70.253.158.45 Geben Sie den Host-Namen an (z.b. www): www Geben Sie die Domain an (z.b. xyz.de): centralsoft.org Als Nächstes fragt Sie das Konfigurationsprogramm, welches Protokoll Sie verwenden möchten. Wählen Sie Punkt 2, HTTP: Bitte waehlen Sie aus, ueber welches Protokoll (http oder https (SSL- Verschluesselung)) Ihr ISPConfig-System erreichbar sein soll: 1) HTTPS 2) HTTP Ihre Wahl: 2 Sie können jetzt zusehen, wie das System die letzten Skripten ausführt und einige Dienste neu startet: Connected successfully to MySQL server no crontab for root Neustart einiger Dienste... Stopping Postfix Mail Transport Agent: postfix. Starting Postfix Mail Transport Agent: postfix. Stopping ftp server: proftpd. Starting ftp server: proftpd. Links 96 Kapitel 4: Eine erste internetfähige Umgebung
Rechts Starting ISPConfig system... /root/ispconfig/httpd/bin/apachectl startssl: httpd started ISPConfig system is now up and running! Die Entwickler beenden das Installationsskript mit: Herzlichen Glueckwunsch! Ihr ISPConfig-System ist jetzt installiert. Falls Sie Quota nachinstalliert haben, fuehren Sie noch die in der Installationsanleitung beschriebenen Schritte durch. Ansonsten ist Ihr System jetzt ohne Reboot einsatzbereit. Bitte gehen Sie mit Ihrem Browser auf http://www.centralsoft.org:81 und loggen sich ein: Benutzername: admin Passwort: admin An dieser Stelle können Sie jetzt die IP-Adresse oder den Domainnamen Ihres Servers gefolgt von :81 in Ihrem Browser eingeben, um auf das Anmeldefenster von ISPConfig zugreifen zu können. Verzeichnisstruktur von ISPConfig Wie bereits erwähnt, hat das von ISPConfig eingerichtete Hauptverzeichnis den Namen ispconfig, und es befindet sich unterhalb des Verzeichnisses, in dem Sie den Build durchgeführt haben (in diesem Kapitel ist das /root). Sie werden auch noch ein weiteres Verzeichnis mit dem Namen admispconfig in /home vorfinden. Jedes Verzeichnis enthält die Dateien, die für die unabhängige Ausführung von ISPConfig benötigt werden. Lassen Sie uns zuerst einen Blick auf das Verzeichnis /root/ispconfig werfen: -rwxr-xr-x 1 root root 34866 2007-04-26 12:28 cronolog -rwxr-xr-x 1 root root 9673 2007-04-26 12:28 cronosplit drwxr-xr-x 12 root root 4096 2007-04-26 09:55 httpd drwxr-xr-x 12 root root 4096 2007-04-26 12:28 isp drwxr-xr-x 6 root root 4096 2007-04-26 09:50 openssl drwxr-xr-x 6 root root 4096 2007-04-26 10:00 php drwxr-xr-x 4 root root 4096 2007-04-26 12:28 scripts drwxr-xr-x 4 root root 4096 2007-04-26 12:28 standard_cgis drwxr-xr-x 2 root root 4096 2007-04-26 12:28 sv -rwx------ 1 root root 9389 2007-04-26 12:28 uninstall Dieses Verzeichnis von ISPConfig enthält die Konfigurationsdateien von Apache, PHP und OpenSSL sowie die Vorlagen für alle möglichen Konfigurationsdateien (für Apache, Postfix, Sendmail, BIND, procmail-rezepte usw.). ISPConfig schreibt mit diesen Vorlagen die Konfigurationsdateien für die Dienste, die es konfiguriert. Sie finden hier auch eine ganze Menge PHP-Klassen, die die Funktionen zum Schreiben der Systemkonfigurationsdateien zur Verfügung stellen. Kurz gesagt, in /root/ispconfig befindet sich das Backend von ISPConfig. ISPConfig installieren 97
Unter dem Verzeichnis /home/admispconfig sehen Sie eine Reihe weiterer Verzeichnisse: -rwxr-xr-x 1 admispconfig admispconfig 24 2007-04-26 12:28.forward drwxr-xr-x 8 admispconfig admispconfig 4096 2007-04-26 13:53 ispconfig drwxr-xr-x 2 admispconfig admispconfig 4096 2007-04-26 12:28 mailstats -rwxr-xr-x 1 admispconfig admispconfig 176 2007-04-26 12:28.procmailrc Diese Verzeichnisse enthalten das ISPConfig-Frontend das heißt dessen Webschnittstelle sowie einige Tools, wie zum Beispiel SpamAssassin (http:// spamassassin.apache.org) und ClamAV (http://www.clamav.net). Sie können diese Tools über ISPConfig konfigurieren, um sich gegen Spam und Viren zu schützen. Links Einen Server und Benutzer mit ISPConfig einrichten Das Einrichten einer Website ist einer der ersten Schritte in Richtung eines vollständig einsatzfähigen Internetservers. Dieser Abschnitt wird Sie durch alle notwendigen Schritte führen. Wenn Sie sich jetzt wundern, warum wir Sie nicht einfach bitten, auf die Website von ISPConfig zu gehen und sich dort die Handbücher durchzulesen, sollten Sie Folgendes bedenken: Die Entwickler von ISPConfig haben ihre Benutzerdokumentation für ISPs geschrieben, die Kunden-Websites hosten. Wenn es das ist, was Sie mit dem Einsatz von ISPConfig vorhaben, empfehlen wir Ihnen, sich die Handbücher auf http://ispconfig.org durchzulesen. Ansonsten gehen wir davon aus, dass Sie Ihren Server mit einem einzigen Systemadministrator einsetzen möchten, der seine eigenen sicheren Websites, Mailund FTP-Dienste verwaltet. Bei ISPConfig ist es erforderlich, dass Sie einen Kunden einrichten, der ein oder mehrere Internet-Domains besitzt. In unserem Beispiel werden wir einen einzelnen Kunden anlegen (einen der Autoren dieses Buchs), der vier Domains besitzt: centralsoft.org linuxnewswire.org opensourcetoday.org tadelstein.com Wenn Sie einen Blick auf die Verzeichnisinhalte in /var/www werfen, werden Sie erkennen, wie ISPConfig Domains einrichtet: $ ls -a apache2-default sharedip web2 web4 webalizer www.opensourcetoday.org localhost web1 web3 www.centralsoft.org www.linuxnewswire.org www.tadelstein.com 98 Kapitel 4: Eine erste internetfähige Umgebung
Rechts Vergleichen Sie diese Verzeichnisauflistung mit der Liste der Websites in Abbildung 4-1. Zu jeder Website gehört ein Verzeichnis. Die www-verzeichnisse, deren Namen die Domains anzeigen (zum Beispiel www.opensourcetoday.org), sind symbolische Links auf das, was das System als web1, web2 und so weiter kennt. Abbildung 4-1: Die Verwaltungsschnittstelle ISP Manager In Abbildung 4-2 können Sie die Liste mit den Domains besser erkennen. Beachten Sie in Abbildung 4-2, dass je eine Domain für jedes Verzeichnis in der Auflistung auf der Kommandozeile angezeigt wird. Abbildung 4-2: Domainliste im ISP Manager Einen Server und Benutzer mit ISPConfig einrichten 99
Kunden und Websites hinzufügen Damit Sie den Kunden und die Domains konfigurieren können, müssen Sie sich zuerst an der ISPConfig-Oberfläche anmelden. Geben Sie in Ihrem Browser die IP- Adresse Ihres Servers ein, dem dann der Port für ISPConfig folgt, :81 in unserem Fall wäre das http://70.253.158.45:81 (verwenden Sie https://, wenn Sie während der Installation HTTPS als ISPConfig-Protokoll gewählt haben). Am Anmeldefenster (siehe Abbildung 4-3) geben Sie die User-ID admin und das Passwort admin ein. Links Abbildung 4-3: ISPConfig-Anmeldefenster Ändern Sie dann sofort das Passwort auf eines ab, das nur Ihnen bekannt ist. Zur Änderung des Passworts wählen Sie aus der Menüleiste»Tools«aus und klicken auf das Symbol für das Passwort (Abbildung 4-4). Abbildung 4-4: Das Menü Tools Das Dialogfenster»Passwort ändern«, das in Abbildung 4-5 gezeigt wird, erscheint, und Sie können das Formular ausfüllen. 100 Kapitel 4: Eine erste internetfähige Umgebung
Rechts Abbildung 4-5: ISPConfig-Formular für das Ändern des Passworts Melden Sie sich ab und dann wieder mit dem neuen Passwort an. Bevor Sie eine Website einrichten können, müssen Sie einen Eigentümer für die Site bestimmen. Wählen Sie aus der Menüleiste»ISP Manager«aus. Sie sehen dann ein Navigationsmenü, das dem in Abbildung 4-6 ähnlich ist. Abbildung 4-6: Das Menü ISP Manager, bei dem ein Kunde und eine Domain hinzugefügt wurden Lassen Sie uns jetzt einen Blick darauf werfen, wie wir den Kunden tadelstein und die Website linhelp angelegt haben. Klicken Sie im»isp Manager«-Menü auf»kunde neu«. Sie sehen jetzt ein Eingabefenster, das dem in Abbildung 4-7 ähnelt. Geben Sie die entsprechenden Informationen für den Kunden ein. Abbildung 4-8 zeigt, wie wir das Formular ausgefüllt haben. Beachten Sie, dass wir Linhelp.org als Firmennamen verwendet haben. Auf der linken Seite des Navigationsmenüs sehen Sie jetzt stellvertretend für eine Person ein neues Icon, neben dem der Name des Kunden steht. Jetzt können Sie auch eine Website einrichten. Wählen Sie einfach aus der Menüleiste»Web neu«aus, und Sie sehen das Eingabefenster aus Abbildung 4-9. Einen Server und Benutzer mit ISPConfig einrichten 101
Links Abbildung 4-7: Das Formular mit den Kundeninformationen Abbildung 4-8: Das ausgefüllte Formular für den administrativen Kunden 102 Kapitel 4: Eine erste internetfähige Umgebung