<![CDATA[
<body bgcolor="#000000">
<table width="100%" bgcolor="#444400" border="0" cellspacing="5" cellpadding="1">
<tr>
<td width="70" valign="middle" align="center">
<font color="#FF0000">Wichtig</font>
</td><td bgcolor="#FFFFAA">
<font color="#000000">Irgendwo, in einer parallelen Realität,
wurde diese Seite fertiggestellt und auf den aktuellen Stand
gebracht. Leider versuchst
du aber gerade, sie vom falschen Universum aus aufzurufen.<br />
Deshalb siehst du hier einen unvollständigen und nicht gut
geprüften Text — bitte genieße ihn deshalb
mit Vorsicht.</font></td></tr></table>
<table width="100%" bgcolor="#444400" border="0" cellspacing="5" cellpadding="1">
<tr>
<td width="70" valign="middle" align="center">
<font color="#FF0000"></font>
</td><td bgcolor="#FFFFAA">
<font color="#000000">
Im Klartext: die Texte in dieser Datei sind nicht auf einem
aktuellen Stand - sie können also, zumindest für unser
Netz, nur als Hinweis dienen, wo man tiefer graben sollte...</font></td></tr></table>
<h2 align="center"><a name="Dienste"></a>Dienste</h2>
<h2 align="center"><a name="Apache"></a>Apache und PHP</h2>
<P>Apache/PHP brauchen unbedingt die pakete x-libs (x), expat und sablot
(beide sgml). Ansonsten verwenden wir die Standardkonfiguration, die um einige
virtuelle Server ergänzt wurde.</P>
<h2 align="center"><a name="Drucker"></a>Drucker</h2>
<P>Der Standard-Unix-Druckdienst ist bei uns eingerichtet, die
<a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/printer/printcap" target="_blank">Konfiguationsdatei printcap</a>
enthält folgende Drucker:</P>
<table WIDTH="91%" BORDER="0" >
<tr >
<td >lpbuero (lp)</td>
<td >Büro-Drucker (PS-fähig) (zugangsbeschränkt auf Gruppe
lpbuero)</td>
</tr>
<tr >
<td >lpicaf1</td>
<td >Internetcafé-Drucker</td>
</tr>
<tr >
<td >lpicaf2</td>
<td >Internetcafé-Drucker mit autoaccept (siehe
Internetcafe)(zugangsbeschränkt
auf Gruppe lpbuero)</td>
</tr>
<tr >
<td >fax</td>
<td >Büro-Drucker-Alias mit Zugriffsrechten für Gruppe
uucp</td>
</tr>
</table>
<P>Der Druckmechanismus des Internetcafé ist im Kapitel <a href="docu--Dienste.html" target="_top">Dienste</a>
ausführlich beschrieben</P>
<h2 align="center"><a name="Hylafax"></a>Hylafax</h2>
<P>Installiert ist der Fax-Server Hylafax sowie ein Mail-to-Fax-Gateway.Wichtig
ist , dass unser Dr. Neuhaus Smarty-Faxmodem nur mit einem <a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/hylafax/config.modem" target="_blank">speziellen
Treiber</a> unterstützt wird. Ferner verwenden wir ein
<a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/hylafax/faxrcvd" target="_blank">modifiziertes Empfangs-Script</a>, dass die Faxe auf
den Postscript-Drucker ausgibt, anstelle sie auf dem Server zu archivieren.</P>
<h2 align="center"><a name="log"></a>Log: Syslog und Logrotate</h2>
<P>Syslog ist einer der Dienste, bei denen wir aus der Reihe tanzen und
nicht das Standard-Programm verwenden. Wir verwenden stattdessen syslog-ng, ein
erweitertes Paket, dass vor allem deutlich bessere Filter-Funktionen bietet. </P>
<P> Das Programm ist so konfiguriert, dass es im Extern-Netz (DMZ) sowie im
Büro-Netz (primär-Interface) auf Nachrichten hört und diese unter
<font class="tag_path">/var/log</font> in einem Unterverzeichnis mit dem Rechnernamen und einer Datei für
den Dienst ablegt. Folgende Dateien verwenden wir zur Zeit:</P>
<table WIDTH="75%" BORDER="0" >
<tr >
<td >mail</td>
<td >Mail-Dienste (postfix, amavis, fetchmail)</td>
</tr>
<tr >
<td >bind</td>
<td >DNS-Server</td>
</tr>
<tr >
<td >proxy</td>
<td >Proxy-Dienste (teils Squid, Proxy-Suite, Delegated)</td>
</tr>
<tr >
<td >dhcp</td>
<td >DHCP-Server</td>
</tr>
<tr >
<td >rpc</td>
<td >RPC, NFS etc.</td>
</tr>
<tr >
<td >cron</td>
<td >Cron-Meldungen</td>
</tr>
<tr >
<td >fax</td>
<td >HylaFax</td>
</tr>
<tr >
<td >printer</td>
<td >Druckerangelegenheiten</td>
</tr>
<tr >
<td >kernel</td>
<td >Kernel-Meldungen</td>
</tr>
<tr >
<td >packetfilter</td>
<td >Paketfilter-Logs</td>
</tr>
<tr >
<td >ssh</td>
<td >SSH-Server</td>
</tr>
<tr >
<td >dsl</td>
<td >DSL-Daten</td>
</tr>
<tr >
<td >isdn</td>
<td >ISDN-Infos</td>
</tr>
<tr >
<td >samba</td>
<td >SMB-Server (Windows-Netz-Server)</td>
</tr>
<tr >
<td >rinetd</td>
<td >Verbindungsweiterleitung (für SSH-Externzugriff)</td>
</tr>
<tr >
<td >incoming_calls</td>
<td >Eingehende Telefonanrufe auf der ISDN-Karte</td>
</tr>
<tr >
<td >sonstiges</td>
<td >Alles, was nicht in die anderen Dateien past.</td>
</tr>
</table>
<P>Daneben haben wir noch Unterverzeichnisse für Dienste, die kein
Syslog verwenden, angelegt. Hierbei sind "Monsterdienste" wie Apache
oder Squid in eigenen Unterverzeichnissen untergebracht, Programme, die nur
eine Datei beanspruchen, hingegen unter "services". Alle
Logs werden auch auf Console 10 ausgegeben, was keinem Rechner zugeordnet
werden kann, wird in der Datei /var/log/messages abgelegt. Diese
gesamellten Einstellungen werden in der Datei <a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/syslog/syslog-ng.conf" target="_blank">/etc/syslog-ng/syslog-ng.conf</a> abgelegt.</P>
<P>Besonderes Feature ist noch, dass immer, wenn eine bestimmte Meldung
durch das DSL erzeugt wird, der DNS-Server reloaded wird. Damit kann, jedesmal,
wenn die Internetverbindung neu aufgebaut wird, dafür gesorgt werden, dass
die Daten über die Root-Server aktualisiert werden, um eventuelle
Probleme durch die Flatrate-Zwangstrennung zu verhindern. In der Konfigurationsdatei
wird dies durch folgende Zeilen erreicht:</P>
<table width="100%" bgcolor="#070707" border="0" cellspacing="5" cellpadding="1">
<tr>
<td width="70" valign="middle" align="center">
<font color="#FF0000">Code</font>
</td><td bgcolor="#AAAAAA"><font color="#000000" style="font-family:Courier,monospace;font-size:8pt;white-space:nowrap;">
<br />
001 destination bind_reload {<br />
002 program ("<a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/syslog/bindreload.pl" target="_blank">/usr/local/scripts/bindreload.pl&</a>quot;);<br />
003 };<br />
004 <br />
005 filter dsl_bind_reload {<br />
006 program ("^ppp") and match ("Local IP address changed");<br />
007 };<br />
008 <br />
009 log {<br />
010 source (gateway);<br />
011 filter (dsl_bind_reload);<br />
012 destination (bind_reload);<br />
013 };<br />
014 </font></td></tr></table>
<P>Die entsprechende, eine Zeile lange, Meldung wird an ein Programm
weitergegeben, dass vom Standard-Input jeweils eine Zeile liest und danach den Server neu
Startet. Es handelt sich hierbei um ein kleines, in Perl geschriebenes,
<a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/syslog/bindreload.pl" target="_blank">Script</a>.</P>
<P>Für die Dienste, die in chroot-Umgebungen laufen, ist es nötig
weitere log-Sockets einzurichten, so dass unsere localhost-Quelle
folgendermaßen aussieht:</P>
<table width="100%" bgcolor="#070707" border="0" cellspacing="5" cellpadding="1">
<tr>
<td width="70" valign="middle" align="center">
<font color="#FF0000">Code</font>
</td><td bgcolor="#AAAAAA"><font color="#000000" style="font-family:Courier,monospace;font-size:8pt;white-space:nowrap;">
<br />
001 <br />
002 source localhost {<br />
003 # internal syslog messages<br />
004 internal ();<br />
005 # usual path for messages from local processes<br />
006 unix-stream("/dev/log");<br />
007 # messages from localhost<br />
008 udp(ip(127.0.0.1) port (514));<br />
009 # Kernel messages<br />
010 file ("/proc/kmsg");<br />
011 };<br />
012 </font></td></tr></table>
<P>Um nicht neben Syslog noch das Programm klogd laufen lassen zu müssen,
lassen wir syslog die entsprechenden Daten aus der Datei <font class="tag_path">/proc/kmsg</font>
auslesen. Hierzu muss nur bei der Quellendefinition in der Konfigurationsdatei
eine Zeile eingefügt werden:</P>
<table width="100%" bgcolor="#070707" border="0" cellspacing="5" cellpadding="1">
<tr>
<td width="70" valign="middle" align="center">
<font color="#FF0000">Code</font>
</td><td bgcolor="#AAAAAA"><font color="#000000" style="font-family:Courier,monospace;font-size:8pt;white-space:nowrap;">
<br />
001 <br />
002 source localhost {<br />
003 ...<br />
004 # Kernel messages <br />
005 file ("/proc/kmsg");<br />
006 };<br />
007 </font></td></tr></table>
<P>Das nicht mehr verwendete klogd-Paket haben wir vom System eliminiert
— da jedoch die Paketverwaltung über Konflikte meckert, haben wir ein
<a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/dummy-packages/klogd-dummy_0.0-1_i386.deb" target="_blank">Dummy-Paket</a> erstellt,
das vorgibt, klogd zu enthalten.</P>
<P>Etliche Megabytes kommen zusammen, wenn die Logdateien nicht
regelmäßig geleert werden. Wir verschieben wöchentlich die alten Dateien in ein
Unterverzeichis old, in sie durchschnittlich noch 12 Wochen überdauern. Diese stupide
Aufgabe wird automatisch über das Programm logrotate erledigt. Dieses wird
über eine <a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/syslog/logrotate.conf" target="_blank">Konfigurationsdatei</a>
gesteuert und täglich per cron aufgerufen.</P>
<h2 align="center"><a name="mails"></a>Mail-Server</h2>
<P>Der Mailserver "postfix", der auf unserem Server läft, schickt alle
ausgehenden Mails per SMTP direkt an die Zielserver. Bei der Einrichtung haben wir die
Standard-Verzeichnisse gewählt, wie sie auch im Kapitel Dienste beschrieben sind. Die
Installation von Postfix wird dort auch beschrieben, so dass hier nur ein kurzer
Ausblick auf unsere Konfiguration gegeben wird. Die transport-agents aus der Datei
master.cf, die wir nicht brauchen, haben wir auskommentiert: uucp, cyrus, ifmail,
bstmp.</P>
<P>Die <a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/mail/postfix-configs.tar.gz" target="_blank">Konfigurationsdateien</a>
sind komplett neu erstellt.</P>
<P>Die Aliases haben wir auf drei Dateien geteilt, um unseren User-Verwaltungs-Scripten
die Arbeit zu erleichtern. Die system-nahen aliases, die von den Scripten nicht
bearbeitet werden sollen, liegen in /etc/aliases.system, die von den Scripten
erstellten in /etc/aliases.users. Die System-Aliases müssen einmal eingerichtet
werden. Wir haben hierbei alle Aliases auf root versammelt und dann root auf
die Admins verteilt. Die dritte Datei enthält die Adressen der Mailinglistenverwaltung
und der Mailinglisten.</P>
<P>Zum Empfangen der Mails direkt über unseren Server wäre eine
Standleitung nötig. Da wir diese nicht haben, wurden Alternativen gesucht. UUCP
fiel aus, da unser Provider es nicht anbietet. Insofern musste der
umständliche Weg über mehrere POP-Postfächer gewählt werden. Diese
werden über das Programm fetchmail abgeholt. Neben der rc-Datei (wir
verwenden hierfür die Debian-Originaldatei), die es beim Systemstart startet,
benötigt fetchmail noch eine Konfigurationsdatei. Diese wird komplett durch die
Benutzerverwaltung erstellt.</P>
<P>Der Mailserver prüft alle Mails über den Virenscanner amavis.
In AMaViS haben wir noch über ein Patch einen MIME-Typencheck
integriert.
Die Meldungen wurden auch über Patches verändert und es wurde
ein Patch integriert, dass einen Received-Header unter Postfix einfügt.
Konfiguriert wird der Scanner über die zentrale Datei <a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/mail/amavisd.conf" target="_blank">/etc/mail/amavisd.conf</a>,
da wir den Quellcode entsprechend geändert haben (einfach nach <font class="tag_path">/etc/amavisd.conf</font>
suchen und den Wert ändern).</P>
<h2 align="center"><a name="mirror"></a>Mirroring</h2>
<P>Das Mirroring hat serverseitig kaum Anforderungen. Es braucht nur die
NFS-Freigabe des Verzeichnisses <font class="tag_path">/mirror</font>, da von dort das Client-System
gebootet wird und die Archive dort erstellt werden. Die Konfiguration erfolgt am
Server durch das Bearbeiten der Dateien unter <font class="tag_path">/mirror/etc</font>, das aber
normalerweise über die Weboberfläche geschehen sollte. Die Struktur ist im
Kapitel <a href="docu--Dienste.html" target="_top">Dienste</a> ausführlich beschrieben.</P>
<h2 align="center"><a name="nfs"></a>NFS-Server</h2>
<P>Als NFS-Server dient der übliche User-Space-Dämon. Wir hatten
immer wieder Probleme, dass sätlicher (!) Zugriff immer wieder verweigert
wurde. Der User-Space-Daemon lässt sich feiner einstellen (z.B. Listen-Port,
Protokoll), deshalb verwenden wir diese Version. Im Widerspruch zu der man-Page hat
wurden die Zugriffe von den Ports, die die Clients nutzen, erst erlaubt, als wir
"secure" als Parameter für jede Freigabe angegeben haben. Desweiteren hatten
wir Probleme, mehrere Clients pro Zeile anzugeben, so dass wir für jede
Angabe eine eigene Zeile verwendet haben</P>
<h2 align="center"><a name="proxy"></a>Proxy-Dienste (Application Level Gateways)</h2>
<P>Wie schon beim Paketfilter beschrieben, gibt es eine Nezt-Policy, bei der
quasi sämtlicher Traffic über Proxys geleitet wird (SAFE). Neben Squid
haben wir noch einen Proxy für FTP und einen Proxy für POP3 in
Betrieb. SMTP kann über unseren Mailserver verwendet werden. Proxys in
chroot-Umgebungen erfordern noch, dass dem Syslog-Daemon angegeben wird, dass im
dev-Unterverzeichnis des cages ein log-Socket angelegt wird.</P>
<P> Für POP3 kommt delegate zum Einsatz, der auf Port 112 gebunden ist
und über eine DNAT-Regel angsprochen wird, die sämtlichen Traffic,
der als Zielport 110 hat, auf diesen Proxy leitet. Dieser delegate läuft
in einem Chroot-Cage, dass neben den Daten, die delegate beim Kompilieren in
seinem Home-Verzeichnis ablegt, noch einige Libraries enthalten muss. Die
Einstellungen des Programms werden im <a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/proxy/delegate" target="_blank">Init-Script</a>
über die Kommandozeile übergeben.</P>
<P>Der Proxy für FTP kommt aus der SuSE Proxy Suite und arbeitet in
Verbindung mit einer DNAT-Regel für Port 21 für die Clients völlig
transparent.
Hierzu sind noch einige Einstellungen in der <a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/proxy/ftp-proxy.conf" target="_blank">Konfigurationsdatei</a>
nötig. Auch der FTP-Proxy läuft in einer chroot-Umgebung, in die
über den Standard-Befehl chroot gewechselt wird (nicht über die Angabe in
Konfigurationsdatei). Das Verzeichnis wird also im <a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/proxy/proxy-suite" target="_blank">Start-Shutdown-Script</a>
angegeben</P>
<h2 align="center"><a name="ssh"></a>SSH</h2>
<P>Wir verwenden zwei verschiedene Konfigurationen für unsere
selbstkompilierte SSH. Eine Konfiguration dient für die erste Instanz des Daemons, die
die internen Netze versorgt. Hier können sich alle normalen Benutzer mit
Protokoll Version 2 anmelden. Die zweite Konfiguration, die wir für den
Prozess, der das externe Interface versorgt, verwenden, ist etwas restriktiver:
hier können sich nur Benutzer der Gruppe <B>admin</B> anmelden</P>
<h2 align="center"><a name="squid"></a>Squid und SquidGuard</h2>
<P>Der Internetzugang für die Clients wird zum Teil über IP
Masquerading ermöglicht. Wenngleich dies auch das Gateway komplett übernehmen
könnte, macht auch der Server erde NAT, da dadurch auch bei einem Eindringen ins
Gateway das lokale Netz verborgen bleibt. Die Dienste, die der Server hierbei
durchlässt, sind bei der Firewall-Konzeption genannt. Desweiteren ist ein Proxy
installiert, der einerseits den Download der Internet-Files beschleunigen kann und
andererseits über einen redirector die Möglichkeit bietet, den Verkehr zu
filtern und so den Zugriff auf Hardcore-Seiten etc. zu sperren. Wir verwenden
Squid in Kombination mit SquidGuard als Redirector. Die Blacklists für
Squidguards setzen sich aus den vorgeschlagenen und einer eigenen über die
Sperrseitenverwaltung erstellten zusammen.</P>
<UL>
<LI><a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/squid.conf" target="_blank">Squid-Konfigurationsdatei</a></LI>
<LI><a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/squidguard.conf" target="_blank">SquidGuard-Konfigurationsdatei</a></LI>
</UL>
<h2 align="center"><a name="usv"></a>USV-Steuerungssoftware</h2>
<P>Nachdem die Software früher immer mit Pointer-Fehlern abgestürzt ist,
hat APC endlich ein Programm herausgebracht, das startet. Wenn die Batterie der
USV zur Neige geht, wird der Server automatisch heruntergefahren. Ist
das Stromnetz wieder funktionfähig, werden die Rechner automatisch wieder
hochgefahren</P>
<h2 align="center"><a name="konf"></a>Konfiguration über den Browser (Webmin)</h2>
<P>Eine einfache Alternative zur Konsolen-Administration ist die Konfiguration
über einen Browser. Wir verwenden hierzu Webmin, das auf Port 1999 hört.
Webmin muss in das Verzeichnis entpackt werden, in dem es später residieren
soll. Dort ruft man dann das setup-Programm auf und macht die Grundeinstellung.
Bei uns liegt Webmin im Verzeichnis <font class="tag_path">/usr/local/webmin</font> - die Einstellungen waren
folgende:</P>
<table width="100%" bgcolor="#070707" border="0" cellspacing="5" cellpadding="1">
<tr>
<td width="70" valign="middle" align="center">
<font color="#FF0000">Code</font>
</td><td bgcolor="#AAAAAA"><font color="#000000" style="font-family:Courier,monospace;font-size:8pt;white-space:nowrap;">
<br />
001 <br />
002 config file dir = /usr/local/etc/webmin<br />
003 log file dir = /var/log/erde/webmin<br />
004 port = 1999<br />
005 ssl = y<br />
006 start at boot time = y <br />
007 </font></td></tr></table>
<P>Wir haben neben den Standardmodulen noch das Modul <a HREF="http://www.cevc-topp.de/fli4l/" TARGET="_blank" >IMonC</a>
sowie ein Modul für die Netzbedienung (für jedes Netz eine Kopie)
installiert. Unter Dienste findet sich eine Beschreibung, wie das Netzmodul
konfiguriert wird.</P>
XInetD (POP3, Zeitsyncronisation)
<P>Wir verwenden nicht das Standard-Programm inetd, sondern
xinetd, da dieser sehr viel mehr Konfigurationsmöglichkeiten bietet.
Insbesondere war wichtig, dass man ihn ein oder mehrere bestimmte Interfaces binden
kann.</P>
<a NAME="firewall" ></a>Firewall
<P><a HREF="../_bigfiles/server/firewall.html" TARGET="_blank" >
Die Paketfilter-Beschreibung findet ihr hier</a></P>
<h2 align="center"><a name="benutzer"></a>Benutzerverwaltung</h2>
<P>Wir verwenden ein
<a HREF="http://technik.juz-kirchheim.de/projects/useradm/" TARGET="_blank" >selbstgeschriebenes Script</a>,
dass die Benutzer erstellt, aktualisiert sowie löscht. Es kümmert sich um Unix-Benutzer, Webmin,
Samba sowie die Mail-Aliases und -Verteiler.
Eine kurze Anleitung findet sich unter dem Link oben.</P>
<a NAME="sonstiges" ></a>Sonstiges...
<P>Nach der Installation des Grundsystems und dem Aufräumen der
Verzeichnisse sind noch einige kleine Anpassungen notwendig.</P>
<UL>
<LI>So muss unter anderem der UDMA-Modus der Festplatten eingeschaltet werden.</LI>
<LI>Sinnvoll ist auch die Anpassung der Startfiles einiger Programme wie pine
und joe. Bei Pine müssen SMTP-Server und Drucker angepasst werden,
Joe sollte mit dem Dateityp "*.pl" vertraut gemacht werden, damit
hier autoident automatisch aktiviert und wordwrap deaktiviert wird.</LI>
<LI>Der Daemon cron muss regelmäßig einige Befehle
ausführen, die alle in der Datei crontab aufgelistet sind. Achtung: Diese Datei
sollte nie per Hand editiert werden, sondern nur durch einen Aufruf von
<font class="tag_command"> crontab -e </font> geändert werden. Unsere jetzige <a class="tag_dllink_intern" href="/documentation/files/Server/Dienste/crontab" target="_blank">crontab</a></LI>
<LI>In der Datei <font class="tag_path">/etc/init.d/bootmisc</font> haben wir die Ausgabe auf die Datei
<font class="tag_path">/var/log/erde/kernel.bootmsg</font> umgelenkt.</LI>
</UL>
<p align="right" class="tag_author"><font size="-1" class="tag_author"><i>
(bc)+(js)
</i><br />last update: 11.12.2005 22:54</font></p>
</body>
]]>