für <pass>). Das Root-File-System muss und darf als einziges FS Pass 1 erhalten; andere FS können dagegen 2, 3, 4 ... oder 0 erhalten. Mit 0 lässt sich die automatische Prü-

74

Erste Schritte

1 2 fung durch fsck deaktivieren. Bei schwerer wiegenden Problemen wird fsck jedoch unabhängig von einem Pass-0-Eintrag dennoch gestartet. Möglicherweise wird das System dann auf einem Root-Login zur manuellen Fehlerbeseitigung bestehen und den Startvorgang unterbrechen. Weitere Hinweise zum Umgang mit dieser Problematik finden Sie in Abschnitt 4.13, Festplatte prüfen.

debian:~# cat /etc/fstab # /etc/fstab: static file # # <mp> /dev/hda9 / ext2 /dev/hda6 none swap proc /proc proc /dev/hda7 /tmp ext3 /dev/hda5 /var ext3 /dev/hda4 /usr ext3 /dev/hda8 /mail ext2 /dev/hda3 /home ext3 /dev/fd0 /fdisk auto /dev/cdrom /cdrom iso9660

3 4 5

system information.

6 defaults sw rw,nodev,nouser,noexec,nosuid rw,nosuid,nodev,noexec,nouser rw,nodev,nouser,exec,suid rw,nodev,nouser,exec,suid rw,nodev,nouser,noexec,nosuid rw,nodev,nouser,noexec,nosuid nouser,noauto ro,nouser,noauto

0 1 0 0 0 0 0 0 0 2 0 2 0 3 0 3 0 0 0 0

7 8 9 10 11

Nähere Informationen zu den einzelnen Optionen finden Sie in Tabelle 2.13. Beachten Sie, dass in unserem Beispiel die Ausführung von suExec (siehe Abschnitt 3.3, Apache) innerhalb von /home über die Optionen nosuid und noexec unterbunden wird. Falls Sie suExec nutzen möchten, ist die Partition, in der Skripte mit suExec eine andere User-ID erhalten sollen, unbedingt mit rw, exec, suid zu mounten.

12 13 14

Generell gilt: Lediglich die Root-Partition sollte ohne nodev gemountet werden. Die Option user hat auf einem Server nichts zu suchen, da kein User CDROM oder Floppy mounten muss. Schließlich wird bis auf den Admin beziehungsweise den Support des Dienstleisters niemand eine Floppy oder CDROM einlegen können. Darüber hinaus empfiehlt es sich, errors=remount-ro auf /usr sowie unter Debian und SUSE ebenfalls auf /etc und /var anzuwenden. Für /tmp empfiehlt sich dagegen errors=continue. Besonders vorsichtige Administratoren mounten die /usr-Partition lediglich read-only (ro). Um neue Software zu installieren oder Sicherheits-Updates einzuspielen, müssen Sie /usr jedoch im rw-Modus remounten. Das funktioniert glücklicherweise mit mount -o remount rw /mountpoint auch im laufenden Betrieb. Falls Sie die Root-Partition von read-only auf read-write remounten möchten, müssen Sie zusätzlich die Option -n übergeben, da mount sonst

Wichtige Systemprogramme in der Übersicht

75

vor dem Remounten auf /etc/mstab schreibenden Zugriff nehmen möchte, was aufgrund des read-only-Status des Mediums zwangsweise fehlschlagen wird. In /etc/fstab definierte Geräte können über den Mountpoint bequem mit mount/mountpoint eingebunden werden. Root kann auch ohne entsprechende /etc/fstab-Einträge beliebig Devices einhängen. Dies geschieht ganz einfach über mount /dev/devicename /foo/mountpoint. Falls das FS von /dev/devicename nicht korrekt erkannt werden sollte, können Sie es über die Option -t zusätzlich angeben. Möchten Sie von den Voreinstellungen abweichen, können Sie die gewünschten Mount-Optionen von Tabelle 2.12 nach Angabe von -o auflisten. Um ein FS auszuhängen können Sie umount /mountpoint verwenden. Mount-Option

Bedeutung

rw | ro

Read-write (les- und schreibbar) | read-only (nur lesbar).

errors=[opt] (Linux)

opt steuert Verhalten im Fehlerfall. Mit continue wird das FS lediglich als fehlerhaft markiert, aber der Mount-Vorgang fortgesetzt. Remount-ro mountet ein als fehlerhaft erkanntes FS im read-onlyModus, und über panic lässt sich ein sofortiger Halt des Systems erzwingen. Beachten Sie, dass fsck-Prüfungen in den Startskripten Ihres Systems continue übergehen und das Filesystem »selbstständig« ro- für eine fsck-Prüfung mounten können.

[no]suid

Ignoriert (nosuid) oder erlaubt Nutzung des suid-Bits.

[no]exec

Gestattet oder verbietet (noexec) die Ausführung von Programmen in der jeweiligen Partition.

[no]dev

Gestattet oder verbietet die Nutzung von Gerätedateien.

[no]auto

Legt fest, ob das FS beim Systemstart automatisch eingebunden werden soll (auto) oder nicht (noauto). Selbstverständlich ist auto auf jedes FS, das direkt mit dem System zusammenhängt, anzuwenden. Deshalb wird diese Option auch in der Voreinstellung verwendet.

[no]user

Erlaubt oder verbietet es unprivilegierten Accounts, das angegebene FS zu (u)mounten.

usrquota,grpquota

Mountet das FS mit Quota-Support. Usrquota, grpquota kann kombiniert angegeben werden.

defaults (Linux)

rw, suid, dev, exec, auto, nouser und async.

Voreinstellungen in OpenBSD

Ob rw, ro oder sw, ist immer anzugeben. Wenn keine weiteren Optionen übergeben werden, mountet OpenBSD das ffs mit: dev,suid,exec,auto und nouser.

sw | pri=42 (Linux)

Das Swap FS ist mit der Option sw (unter Linux ebenfalls als pri=42) zu mounten.

Tabelle 2.12 Die wichtigsten Mount-Optionen für /etc/fstab

76

Erste Schritte

1 2 2.3.9

Das UNIX-Rechtesystem (chmod, chown, chgrp)

3

Unter UNIX stehen für jede Datei drei Zugriffsmodelle zur Verfügung: User (Eigentümer), Group und Others. Für jede Gruppe können Lese-, Schreib- und Ausführrechte einzeln gesetzt werden. Hierzu können Sie den alphabetischen oder oktalen Modus verwenden:

4 5

chmod u=rwx,g=x,o= foo chmod 710 foo

6

Beide Methoden würden die Zugriffsrechte von foo auf Lese-, Schreib- und Ausführbarkeit für den Eigentümer sowie Ausführrechte für die Gruppe setzen. Alle anderen User, die der Gruppe nicht angehören, die der Datei zugewiesen ist, können foo weder lesen noch schreiben oder ausführen. Da der oktale Modus wesentlich schneller zu schreiben ist, lohnt es sich, die notwendigen Zahlenkürzel zu lernen.

7 8 9

Weil sich hinter dem oktalen Modus ein schlüssiges System verbirgt, ist dies einfacher, als es auf den ersten Blick scheinen mag. Um das Ausführrecht mit dem Leserecht zu kombinieren, müssen einfach die Werte 1 (Ausführrecht) und 4 (Leserecht) addiert werden. Dieses Prinzip setzt sich konsequent fort, so dass Sie lediglich die Oktalwerte für Ausführrecht (1), Schreibrecht (2), Leserecht (4), Sticky-Bit (1), Set-GID (2) und Set-UID(4) kennen müssen, um sämtliche Zugriffsmodi definieren zu können.

10 11 12 13

Die Syntax des Oktal-Modus lautet: chmod [x]ugo foo. [x] Steht für die Zusatzoption, u für User, g für Group und o für Others.

14 Bedeutung

Oktal

Alphabetisch

Ausführbar

1

x

Schreibbar

2

w

Lesbar

4

r

Ausführ- und schreibbar

3

xw

Ausführ- und lesbar

5

rx

Schreib- und lesbar

6

rw

Ausführ-, les- und schreibbar

7

rwx

Zusatzoptionen

Oktal

Alphanumerisch

Sticky-Bit

1

o+t

Tabelle 2.13 Alle chmod-Optionen im oktalen und alphanumerischen Modus in der Übersicht

Wichtige Systemprogramme in der Übersicht

77

Bedeutung

Oktal

Alphabetisch

SGID

2

g+s

SUID

4

u+s

Sticky und SGID

3

o+t,g+s

Sticky und SUID

5

o+t,u+s

Sticky, SUID und SGID

7

o+t,u+s,g+s

Tabelle 2.13 Alle chmod-Optionen im oktalen und alphanumerischen Modus in der Übersicht (Forts.)

Die Rechte einer Datei können über ls -l /foo ausgegeben werden. Ein t am Ende steht für ein gesetztes Sticky-Bit:

linbook:~ # ls -lds /tmp drwxrwxrwt 38 root root

4096 May 31 16:15 /tmp

Beachten Sie, dass es sich um ein kleines t und kein großes T handelt. Ein großes T würde darauf hinweisen, dass zwar das Sticky-Bit gesetzt ist, aber die Gruppe Others kein Ausführrecht besitzt. Beachten Sie, dass das Sticky-Bit nur sinnvoll ist, wenn Others Schreibrecht besitzt (siehe den folgenden Abschnitt Das Sticky-Bit). Das Gleiche gilt auch für SUID oder SGID. Ist das Bit richtig gesetzt, wird ein kleines »s« ausgegeben. Falls jedoch »S« großgeschrieben dargestellt wird, fehlt das Ausführrecht beim Eigentümer (SUID) beziehungsweise bei der Gruppe (SGID):

linbook:~ # chmod 2740 unsinn ; ls -l unsinn -rwxr-S--1 root root 4 Dec 13 19:16 unsinn linbook:~ # chmod g+x unsinn ; ls -l unsinn -rwxr-s--1 root root 4 Dec 13 19:16 unsinn Beachten Sie, dass der alphabetische Modus sehr gut geeignet ist, um einzelne Rechte hinzuzufügen (g+x) oder zu entziehen (g-x). Das Sticky-Bit Mit dem Sticky-Bit kann das Modell der Zugriffsrechte innerhalb eines Ordners und seiner Unterverzeichnisse zu einem Sondermodus geändert werden, in dem es – völlig unabhängig von den tatsächlich gesetzten Zugriffsrechten – lediglich dem Eigentümer gestattet ist, Dateien zu löschen. Allerdings ist das Auslesen und Ändern von bestehenden Dateien bei lasch gesetzten Zugriffsrechten dennoch möglich:

78

Erste Schritte

1 2 user@linbook:/tmp> ls -l beispiel.sticky -rw-rw-rw- 1 root root 5 Mai 31 16:52 beispiel.sticky user@linbook:/tmp> rm beispiel.sticky rm: Entfernen (unlink) von "beispiel.sticky" nicht möglich:\ Die Operation ist nicht erlaubt user@linbook:/tmp> echo "Test" > beispiel.sticky user@linbook:/tmp> cat beispiel.sticky Test

3 4 5 6

Vielleicht fragen Sie sich, wofür das Sticky-Bit überhaupt gut sein soll, wenn Dateien einfach von jedermann geändert werden können. Nun, dies trifft nur bei fehlerhaften Zugriffsrechten zu:

7 8

user@linbook:/tmp> su root -c "chmod 644 beispiel.sticky" Password: user@linbook:/tmp> cat beispiel.sticky Test user@linbook:/tmp> echo "bla" > beispiel.sticky bash: beispiel.sticky: Permission denied

9 10 11

Das /tmp-Verzeichnis ist das beste Beispiel für ein sinnvolles Sticky-Bit: Temporäre Dateien sollten von jedem Account angelegt werden dürfen. Durch das Sticky-Bit ist es möglich, Others-Schreibrechte auf einen Ordner zu erteilen, ohne dass jedermann die Möglichkeit erhält, Dateien nach Belieben zu löschen. Dies ist äußerst kritisch, da es allen ermöglicht, eine bestehende Konfigurationsdatei durch eine andere zu ersetzen. Hat der User Leserechte, kann er die Datei über einen Zwischenschritt sogar nach Belieben ändern:

12 13 14

linbook:~ # mkdir /nonsticky ; chmod 777 /nonsticky linbook:~ # echo "test" > /nonsticky/rootfile && su - user user@linbook:~> cd /nonsticky/ user@linbook:/nonsticky> ls -l rootfile -rw-r--r-1 root root 5 Mai 31 17:04 rootfile user@linbook:/nonsticky> echo "changed" > rootfile bash: rootfile: Permission denied user@linbook:/nonsticky> chmod 666 rootfile chmod: Beim Setzen der Zugriffsrechte für "rootfile": \ Die Operation ist nicht erlaubt user@linbook:/nonsticky> cat rootfile > roottmp user@linbook:/nonsticky> rm rootfile rm: schreibgeschützte Datei "rootfile" entfernen? yes user@linbook:/nonsticky> mv roottmp rootfile ; ls –l

Wichtige Systemprogramme in der Übersicht

79

insgesamt 4 -rw-r--r--

1 user users

5 Mai 31 17:05 rootfile

Lokale Nutzer könnten somit einen erfolgreichen Angriff starten, wenn rootfile eine bedeutende Konfigurationsdatei wäre. Sobald user das Ziel seiner Bemühungen erreicht hat, könnte er rootfile löschen und so seine Spuren obendrein verwischen. SGID- und SUID-Bit Über das SGID- beziehungsweise SUID-Bit werden Programmaufrufe nicht mit der GID oder UID des aufrufenden Nutzers, sondern mit der des Eigentümers beziehungsweise der Gruppe der Datei ausgeführt. Damit dies klappt, ist es natürlich notwendig, dass die Datei auch vom Eigentümer beziehungsweise der Gruppe ausführbar ist. Weiterhin gilt es zu beachten, dass SGID- oder SUID-Bit-Programme ein gewisses Sicherheitsrisiko bergen: Einem lokalen Angreifer könnte es beispielsweise über einen Buffer-Overflow gelingen, dem Programm beliebige Kommandos zur Ausführung zu übergeben. Deshalb sollten Sie es möglichst vermeiden, SUID- oder GID-Bits auf Root zu setzen. Weitere Informationen hierzu finden Sie in Abschnitt 5.6.3, Zugriffsrechte. Ändern von Eigentümer und Gruppe einer Datei Das Ändern des Eigentümers kann nur mit Root-Rechten erfolgen. Gehört ein Nutzer mehreren Gruppen an, kann er jedoch die Gruppe, die einer Datei zugewiesen ist, ändern:

chgrp groupname foo weist die Gruppe groupname der Datei foo zu. Wer ein Verzeichnis mit sämtlichen Unterverzeichnissen und allen enthaltenen Dateien einer anderen Gruppe zuweisen möchte, muss chgrp mit der zusätzlichen Option -R (rekursiv) aufrufen: chgrp -R groupname /foodir. Die Änderung des Eigentümers kann durch Root im gleichen Stil durchgeführt werden. chown username foo setzt den Eigentümer der Datei foo auf username. Um sämtliche Dateien eines Verzeichnisses dem Nutzer username zu überschreiben, ist ebenfalls die Option -R (rekursiv) zu übergeben: chown -R

username /foodir.

80

Erste Schritte

1 2 2.3.10 User-Verwaltung (useradd, userdel, usermod, groupadd, groupdel)

3

Die User-Verwaltung findet über die Dateien /etc/passwd und /etc/shadow statt. Die Datei /etc/passwd enthält unter anderem Angaben zu UID und GID (der Hauptgruppe), in /etc/groups sind alle Gruppen aufgeführt. Wurden einem Nutzer Untergruppen zugewiesen, so ist der User-Name in /etc/groups hinter den ihm zugewiesenen Untergruppen aufgeführt. Da /etc/passwd für jedermann lesbar sein muss, wurden die Passwörter in die Datei /etc/shadow ausgelagert.

4 5 6

Die Dreiteilung der Nutzerverwaltung erschwert die manuelle Bearbeitung der Konfigurationsdateien. Glücklicherweise stehen zur User- und Gruppenverwaltung gelungene Administrations-Tools bereit. Deshalb müssen Sie sich nicht näher mit der Formatierung und dem Aufbau von /etc/passwd, /etc/shadow und /etc/groups auseinander setzen.

7 8 9

Anlegen eines neuen Accounts (useradd, passwd, chpasswd)

10

Useradd -m -p * foo genügt, um den Nutzer foo mitsamt seinem Home-Verzeichnis anzulegen, -p * setzt ein ungültiges Passwort in /etc/shadow. Solange der Account kein gültiges Passwort erhalten hat, ist ein Login mit diesem Nutzernamen nicht möglich. Falls Sie diese Option vergessen, wäre – je nach /etc/ssh/sshd.conf (PermitEmptyPasswords)- und /etc/login.defs (PASS_MIN_ LEN)-Konfiguration – ein Login über schlichtes Drücken der Entertaste möglich!

11 12 13

Falls Sie versehentlich useradd ohne -p * aufrufen und ein Passwort gar nicht erwünscht ist, da es sich beispielsweise um einen System-Account handelt, müssen Sie den Account aus Sicherheitsgründen nicht löschen. Sie können /etc/shadow ebenfalls manuell editieren und foo:!: durch foo:*: ersetzen. Da die Wildcard als verschlüsseltes Passwort betrachtet wird, es aber nicht möglich ist, diesen Wert durch Eingabe irgendeiner Kombination zu erreichen, ist ein Login somit nicht möglich. Noch schneller als die manuelle Bearbeitung von /etc/shadow geht es übrigens mit echo "foo:*" | chpasswd -e. Option

Bedeutung

-m

Legt automatisch ein Home-Verzeichnis für den Nutzer im Verzeichnis /home ab und überschreibt es.

-p *

Setzt ein ungültiges Passwort, um Login über schlichtes Drücken der Return-Taste auszuschließen. Unbedingt verwenden!

14

Tabelle 2.14 Wissenswerte Optionen zum Befehl useradd

Wichtige Systemprogramme in der Übersicht

81

Option

Bedeutung

-g foo

Teilt dem anzulegenden Account die Hauptgruppe foo anstelle der Standardgruppe zu (meist users).

-G foo1,foo2

Weist dem anzulegenden Account die Untergruppen foo1 und foo2 zusätzlich zur Hauptgruppe zu.

-s /bin/shell

Definiert /bin/shell als Standard-Shell für den neuen Account. Falls es sich lediglich um einen systeminternen Account handelt oder ein Login ohnehin nicht erlaubt wird, sollten Sie als Shell /bin/false verwenden.

-u x

Verwendet als UID den numerischen Wert x.

-d /homedir

Legt als Heimatverzeichnis /homedir fest.

Tabelle 2.14 Wissenswerte Optionen zum Befehl useradd (Forts.)

Das Nutzerpasswort ist über passwd [username] zu definieren. Wird username nicht angegeben, kann das Passwort des eigenen Accounts geändert werden. Somit dürfen und sollten Nutzer ihr Passwort nach dem ersten Login selbst ändern. Lediglich Root ist es gestattet, das Passwort aller Accounts zu ändern. Falls Sie das Anlegen von Nutzer-Accounts automatisieren möchten, können Sie auf echo "username:passwortname" | chpasswd zurückgreifen. Ändern eines bestehenden Accounts (usermod) Über usermod ist es Root gestattet, die Daten eines Accounts nachträglich anzupassen. Die Syntax lautet usermod [optionen] username. Die Optionen sind mit denen von useradd identisch. Über die zusätzliche Option -l ist es darüber hinaus möglich, den Nutzernamen zu ändern:

usermod –l neuerUsername –s /bin/false alterusername Löschen eines bestehenden Accounts (userdel) Mit userdel username wird der Account username gelöscht. Allerdings bleiben seine Dateien weiterhin erhalten. Mit der zusätzlichen Option -r werden neben dem Home-Verzeichnis auch die Mail-Daten gelöscht. Achten Sie darauf, dass username somit sämtliche E-Mails vor der Anwendung von -r abholt. Weiterhin sollten Sie find /* -u UID ausführen, um sämtliche Dateien des Nutzers, die außerhalb seines Home- oder Mail-Verzeichnisses gespeichert wurden, zu lokalisieren und gegebenenfalls zu löschen.

2.3.11 sudo Sollen einem Account Root-Rechte lediglich zur Nutzung einzelner Befehle eingeräumt werden, ist es keine gute Idee, gleich das Root-Password offen zu legen

82

Erste Schritte

1 2 oder einen weiteren UID-0-Account anzulegen. Besser ist es, auf das sudo-Paket zuzugreifen, über das unprivilegierte Benutzer zur Ausführung bestimmter Befehle in die Root-Rolle schlüpfen dürfen.

3 4

Allerdings gab es in der Vergangenheit immer wieder Sicherheitslücken in sudo, die einen Missbrauch (vollständige Root-Rechte) ermöglichten. Weiterhin ist es in der Regel auf einem Webserver nicht notwendig, anderen Root-Rechte für einzelne Befehle einzuräumen. Deshalb sollten Sie nach Möglichkeit auf sudo verzichten.

5 6

Die Installation von sudo ist dank der für Ihr System bereits vorbereiteten Pakete völlig unproblematisch. Um einem Account Root-Rechte für bestimmte Befehle zu gewähren, ist /etc/sudoers wie folgt zu editieren:

7 8

username ALL=/pfad/programm1,/pfad/programm2

9

Beachten Sie, dass der vollständige Pfad zum Programm anzugeben ist (siehe whereis programmname). Das ALL vor =programmliste erlaubt den Aufruf von sudo generell. Alternativ könnten Sie explizit $HOSTNAME des Servers verwenden. Um Befehle einzuschränken, können Sie eine Liste der erlaubten Optionen übergeben:

10 11

foo ALL=/usr/sbin/rcapache status,/usr/sbin/rcapache restart

12

foo könnte jetzt den Status des Apache-Webservers überprüfen und dürfte sogar einen Restart nach Änderungen an der Konfigurationsdatei vornehmen. Dennoch ist ihm ein Stoppen des Webservers untersagt:

13 14

foo@linbook:~> sudo /usr/sbin/rcapache stop Sorry, user foo is not allowed to execute \ '/usr/sbin/rcapache stop' as root on linbook. foo@linbook:~> sudo /usr/sbin/rcapache restart Shutting down httpd done Starting httpd [ PERL PHP4 ]

2.4

Shell-Crashkurs

Ob Sie Ihren Server nun remote über SSH oder direkt über eine lokale Konsole administrieren; die Befehlseingabe und Ausführung erfolgt stets über die Shell. Interessant ist, dass Sie weder in Linux noch unter BSD an eine feste Shell gebunden sind. Die Shell ist selbst ein Programm, das durch einfachen Aufruf gestartet und genutzt werden kann:

linux:/# /bin/tcsh linux:/# echo $shell

Shell-Crashkurs

83

/bin/tcsh linux:/# exit exit linux:/# echo $SHELL /bin/bash Mit einem Wechsel der Shell verändert sich häufig auch die Ausgabe vor dem Cursor-Prompt. In unserem Beispiel wird von /bin/tcsh der Hostname (Linux) unterstrichen ausgegeben. Die Standard-Shell, die nach einem Benutzer-Login aufgerufen wird, kann darüber hinaus von Root flexibel festgelegt werden (siehe usermod in Abschnitt 2.3.10, User-Verwaltung (useradd, userdel, usermod, groupadd, groupdel)). Zwischen den einzelnen Shells gibt es massive Unterschiede, die in der Regel erst in umfangreichen Shell-Skripten und Features (wie zum Beispiel der Suche nach Befehlszeilenmuster vorangegangener Anweisungen) deutlich werden.

2.4.1

Automatische Dateinamenerweiterung

Eines der meistgenutzten Shell-Features ist die automatische Dateinamenerweiterung. Geben Sie einmal shu gefolgt von der Taste (ÿ__) ein, und schon ergänzt die Shell das Wort shu zum Befehl shutdown. Dies funktioniert sowohl mit Verzeichnissen oder herkömmlichen Dateien als auch mit Systembefehlen. Falls zu einem Muster mehrere Ergänzungsmöglichkeiten vorhanden sind, wird das Muster, soweit möglich, ergänzt. Nach einem Doppelklick auf die Taste (ÿ__) werden die Auswahlmöglichkeiten angezeigt:

linux:/# linux:/# linux:/# killme1

touch killme1 killme2 rm /k-(TAB)-(TAB) rm /killme killme2

Allerdings arbeitet die Textergänzung unter Verwendung eines deutschen Tastatur-Layouts in der OpenBSD-3.6-Standard-Shell csh nicht korrekt. Sie sollten deshalb überlegen, die ksh zu verwenden oder die Bash zu installieren und mit usermod (wie in Abschnitt 2.3.10, User-Verwaltung (useradd, userdel, usermod, groupadd, groupdel), beschrieben) als Standard-Shell festzulegen. Die folgenden Beispiele beziehen sich ebenfalls auf die Linux-Standard-Shell Bash.

2.4.2

Befehlshistorie

In der Praxis ist die Befehlshistorie ebenso unverzichtbar wie die Erweiterung der Dateinamen. Drücken Sie auf die Cursor-Pfeiltaste nach oben beziehungsweise nach unten, um durch die interne Liste der zuvor eingegebenen Befehle

84

Erste Schritte

1 2 zu browsen. Mit dieser Methode können Tippfehler ohne langwierige Neueingabe bequem korrigiert und umfangreichere Befehlsfolgen schnell erneut aufgerufen werden.

3 4

Es wird häufig vorkommen, dass Sie längere Zeit mit der Shell arbeiten und demzufolge sehr viele Befehle in der History-Datei landen. Häufig wäre es schneller, die Befehlszeile nochmals einzugeben, als sie über die History-Funktion herauszusuchen. Ich spreche von wäre, weil die Shell es gestattet, Befehlszeilen über einen Suchbegriff herauszufiltern.

5 6

Drücken Sie hierzu (Strg) + (R) und geben Sie den Suchbegriff ein. Um beispielsweise durch sämtliche Befehlszeilen zur Erstellung von Tar-Archiven zu browsen, müssen Sie (Strg) + (R) drücken und tar eingeben. Danach können Sie durch wiederholte Eingabe von (Strg) + (R) durch sämtliche Befehlszeilen blättern, die tar enthalten.

7 8 9

(reverse-i-search)'tar': tar -cjf outbox_archiv.tar.bz2 \ outbox && echo "outbox archiviert" & 2.4.3

10

Cursor-Befehle

11

Wer längere Befehlsfolgen in eine einzelne Zeile übernimmt, wird neben der History-Funktion zudem von den Cursor-Befehlen profitieren. Tabelle 2.15 verrät sämtliche Tastenkürzel, um die Position des Cursors zu steuern, einzelne Wörter zu vertauschen oder gar zu löschen. Die bash-Manpage verrät weitere nützliche Kniffe, die in der Praxis jedoch eher selten benötigt werden.

12 13 14

Kürzel

Beschreibung

(Strg) + (E)

Cursor ans Zeilenende.

(Strg) + (A)

Cursor an den Zeilenanfang.

(Alt) + (B)

Cursor ein Wort zurück.

(Alt) + (F)

Cursor ein Wort vor.

(Alt) + (T)

Vertauscht die ersten beiden Wörter vor der aktuellen Cursor-Position.

(Alt) + (D)

Löscht alle Ziffern ab Cursor-Position bis zum Wortende. Steht der Cursor vor dem Wortanfang, wird das nächste Wort vollständig entfernt. Alternativ könnte der Cursor auf dem ersten Buchstaben stehen.

(Esc) + (æ___)

Entfernt sämtliche Zeichen ab Cursorposition bis zum nächsten Wortanfang. Steht der Cursor vor einem Wortende, aber auf einem Leerzeichen, werden sämtliche Leerzeichen sowie das erste vor dem Cursor stehende Wort gelöscht.

Tabelle 2.15 Tastenkürzel für Cursor-Befehle in der Übersicht

Shell-Crashkurs

85

Kürzel

Beschreibung

(Strg) + (K)

Löscht alle eingegebenen Zeichen ab Cursorposition bis zum Zeilenende.

(Strg) + (U)

Löscht sämtliche Zeichen vom Zeilenanfang bis zur Cursorposition.

(Strg) + (C)

Verwirft die gesamte Eingabe.

(Strg) + (D)

Löscht Zeichen vor der Cursor-Position.

Tabelle 2.15 Tastenkürzel für Cursor-Befehle in der Übersicht (Forts.)

2.4.4 Umleitung von Ein- und Ausgabe Ein Großteil der berüchtigten Flexibilität von UNIX-Shells liegt in der variablen Ein- und Ausgabebehandlung begründet. So können Sie die Standardeingabe (stdin = 0) beispielsweise anstatt sie über die Tastatur einzugeben aus einer Datei auslesen und einem Programm direkt übergeben. Oder, anders herum, die Ausgabe eines Programms (stdout = 1 und stderr = 2) in eine Datei umleiten, anstatt dieses auf dem Bildschirm auszugeben. Spielen Sie folgende Beispiele nach:

user@linbook:~/test> test user@linbook:~/test> user@linbook:~/test> user@linbook:~/test> test Anhängen user@linbook:~/test> user@linbook:~/test> Überschreiben

echo "test" echo "test" > testdatei echo "Anhängen" >> testdatei cat testdatei

echo "Überschreiben" > testdatei cat testdatei

Beachten Sie, dass durch > foo die Bildschirmausgabe in die Datei foo umgeleitet wird. Falls foo noch nicht existiert, wird die Datei angelegt. Falls foo bereits existieren sollte, wird der alte Inhalt der Datei durch den neuen ersetzt. Um den alten Inhalt beizubehalten und foo lediglich um weitere Zeilen zu ergänzen, ist >> foo zu verwenden. Die Standard-Fehlerausgabe stderr können Sie mit 2> beziehungsweise 2>> abfangen:

user@linbook:~/test> unsinn 2> errormeldung user@linbook:~/test> blödsinn 2>> errormeldung user@linbook:~/test> cat errormeldung

86

Erste Schritte

1 2 bash: unsinn: command not found bash: blödsinn: command not found

3

Möchten Sie neben stdout auch stderr umleiten, könnten Sie zu 2>> errormeldung 1>> errormeldung greifen. Allerdings geht es mit einem kleinen Trick auch einfacher:

4 5

user@linbook:~/test> echo "blödsinn" >> errormeldung 2>&1 user@linbook:~/test> cat errormeldung bash: unsinn: command not found bash: blödsinn: command not found blödsinn

6 7

Über 2>&1 wird stderr an stdout geleitet. Unsere Fehlermeldung wird demnach anstelle von stderr auf stdout ausgegeben. Da stdout jedoch in die Datei Errormeldung geleitet wird, erscheinen weder Fehler noch Standardausgaben auf dem Bildschirm, sondern alle Ausgaben werden in Errormeldung gesichert. Natürlich ist es mit 1>&2 oder >&2 möglich, stdout an stderr zu leiten: echo

8 9 10

"blödsinn" 2>> errormeldung >&2. Selbstverständlich ist neben dem schreibenden Zugriff auch eine lesende Umleitung mit < möglich. Allerdings wird diese Umleitung nicht von allen Programmen unterstützt:

11 12

user@linbook:~/test> more < errormeldung bash: unsinn: command not found bash: blödsinn: command not found blödsinn user@linbook:~/test> echo < errormeldung

13 14

user@linbook:~/test> Da die Shell auch in der Lage ist, durch Substitution Befehle vor Ausführung des eigentlichen Kommandos zu interpretieren, ist dieses Verhalten nicht weiter problematisch, sondern kann ganz einfach umgangen werden:

> echo 'more < rechenaufgabe'" = "'bc < rechenaufgabe' 5+8 = 13 Zunächst werden die beiden in Backquotes verschachtelten Befehle ausgeführt. Drücken Sie dazu die Shift-Taste zusammen mit der Taste rechts neben dem ß, um den Gravis zu erhalten. Danach wird das Ergebnis über einen simplen Echo-Befehl auf stdout ausgegeben. Lassen Sie sich von dieser kleinen Spielerei nicht täuschen. Die Kommandosubstitution ist äußerst leistungsfähig. Viele administrative Aufgaben lassen sich erst durch sie vernünftig lösen.

Shell-Crashkurs

87

Über die so genannte Pipe ist es zudem möglich, Ausgaben nicht in Dateien, sondern direkt an beliebige Programme zu übergeben:

user@linbook:~/test> echo 5+8 | bc 13 2.4.5

Ausführung als Hintergrundprozess

Die Ausführung aufwändiger Befehle, wie das Erstellen eines Tar-Archivs, kann die aktuelle Shell durchaus für mehrere Minuten blockieren. Um in der Zwischenzeit ohne erneuten Login weiterarbeiten zu können, ist es möglich, Befehle über ein abschließendes & als Hintergrundprozess zu starten:

user@linbook:~/test> tar -czf testdatei.tgz testdatei & macvampi@linbook:~/test> tar -czf archiv.tgz errormeldung & [1] 5719 macvampi@linbook:~/test> ps -x | grep tgz 5719 pts/10 R 0:00 tar -czf archiv.tgz errormeldung macvampi@linbook:~/test> [1]+ Done tar -czf archiv.tgz errormeldung Beachten Sie, dass beim Start eines Hintergrundprozesses die Nummer des von Ihnen gestarteten Hintergrundprozesses [1] zusammen mit der PID 5719 des Prozesses ausgegeben wird. Sobald der Prozess abgeschlossen wurde, wird die interne Hintergrundprozessnummer, zusammen mit der Meldung done und dem aufgerufenen Befehl, ausgegeben.

2.4.6 Befehlsverknüpfungen Sie können mehrere Befehle, durch ein Semikolon getrennt, in einer einzelnen Zeile notieren:

user@linbook:~/test> fetchmail; mutt In unserem Beispiel wird nach Ausführung des Befehls fetchmail das Programm mutt gestartet. Beachten Sie, dass der zweite Befehlsaufruf auch dann ausgeführt wird, wenn der erste fehlschlägt:

> tar -xf bla; echo "echo wird auf jeden Fall ausgeführt" tar: bla: Cannot open: Datei oder Verzeichnis nicht gefunden tar: Error is not recoverable: exiting now echo wird auf jeden Fall ausgeführt Sie können die Ausführung der folgenden Befehle aber vom Status der vorangegangenen Befehle abhängig machen. Mit dem doppelten & werden nachfol-

88

Erste Schritte

1 2 gende Befehle nur ausgeführt, wenn der vorangegangene Befehl erfolgreich abgeschlossen wurde. Eine doppelte Pipe bewirkt das Gegenteil: Befehle werden nur ausgeführt, wenn der vorangegangene Befehl fehlgeschlagen ist:

3 4

user@linbook:~/test> tar -xf bla 2> /dev/null || echo \ "Fehler: Datei nicht gefunden" Fehler: Datei nicht gefunden user@linbook:~/test> tar -cf bla.tar errormeldung && echo \ "Archiv konnte erzeugt werden" Archiv konnte erzeugt werden user@linbook:~/test> tar -cf bla.tar errormeldu && echo \ "Archiv konnte erzeugt werden" tar: errormeldu: Cannot stat: Datei oder Verzeichnis \ nicht gefunden tar: Fehler beim Beenden, verursacht durch \ vorhergehende Fehler. user@linbook:~/test> tar -xf bla.tar 2> /dev/null || echo \ "Fehler: Datei nicht gefunden" user@linbook:~/test>

5 6 7 8 9 10 11

Wer eine Programmiersprache erlernt hat, wird sich unweigerlich an If-ThenElse-Bedingungen erinnert fühlen. Tatsächlich ist die Shell weit mehr als eine flexible Schnittstelle zwischen Benutzereingabe und Systemausgabe. Es stehen neben Schleifen auch Bedingungen und mathematische Funktionen bereit. Shell-Befehle können in eine Datei geschrieben und – wie in einer anderen Skriptsprache – bei Dateiaufruf direkt von der Shell interpretiert werden. Wie dies im Detail funktioniert, erfahren Sie in Abschnitt 4.7.1, Einführung in die Shell-Programmierung.

2.4.7

12 13 14

Setzen von Umgebungsvariablen

Umgebungsvariablen stehen in der Shell unmittelbar zur Verfügung, um beispielsweise bei Eingabe eines Befehls automatisch das richtige Programm aufzurufen (der Pfad wird also automatisch um den richtigen Wert von $PATH erweitert). Unter OpenBSD sind in der Voreinstellung jedoch wichtige Standardbefehlsverzeichnisse nicht in $PATH enthalten, und wenn Sie unter Linux eigene Programme kompilieren, kann es sich als sinnvoll erweisen, $PATH um die Verzeichnisse der selbst kompilierten Binärdateien zu erweitern.

Shell-Crashkurs

89

Für eine temporäre Erweiterung von $PATH genügt:

user@linbook:~> PATH='echo $PATH:/bin/bla:/bin/blub' user@linbook:~> echo $PATH /usr/bin:/bin:/usr/sbin:/bin/bla:/bin/blub Beachten Sie, dass die einzelnen Pfadangaben über einen Doppelpunkt zu trennen sind. Möchten Sie den Wert von $PATH dauerhaft ändern, ist die Datei ~/.profile entsprechend anzupassen. Tipp In ~/.profile können Sie beliebige Umgebungsvariablen definieren und so beispielsweise die von Tomcat benötigte Variable $JAVA_HOME setzen.

2.4.8 Definition von Aliasen für Befehle Wie Umgebungsvariablen können auch Aliase für Befehle in ~/.profile definiert werden. Das Schöne ist, dass Sie mit Aliasen auch komplexere Vorgänge zusammenfassen oder einfach anstelle des gefährlichen shutdown -r now (hoffentlich verwenden Sie hier nie versehentlich die Option -h!) eine beliebige andere Bezeichnung wie beispielsweise Neustart verwenden können:

alias Neustart='shutdown -r now' Sie können den Alias temporär (direkt in der Konsole) oder in ~/.profile dauerhaft festlegen.

2.5

Der Bootloader

Jedes Betriebssystem benötigt einen Bootloader, der beispielsweise den Kernel lädt und das Root-Filesystem initialisiert. Die Linux-Bootloader lilo und grub sind darüber hinaus in der Lage, sich über das Bootable-Flag der Festplattenpartition hinwegzusetzen (bei Installation im Master-Boot-Record) und können neben Linux zudem Windows oder OpenBSD booten. Der OpenBSD-Bootloader boot ist dagegen lediglich in der Lage, das RootDevice und den Kernel des zu bootenden OpenBSD-Systems zu ändern. Wenn Sie neben OpenBSD auch Windows betreiben möchten, müssen Sie das Bootable-Flag der Festplatte mit fdisk auf die Windows-Partition setzen. In Win 95, 98 und ME steht fdisk.exe über die Eingabeaufforderung bereit, um das Bootable-Flag unter Windows wieder auf die OpenBSD-Partition zurückzusetzen. Wer eine andere Windows-Version nutzt, sollte einen Blick auf den Ranish-Partition-Manager werfen (http://www.ranish.com/part/), der über eine Boot-

90

Erste Schritte

1 2 Diskette sehr schnell die Änderung des Bootable-Flags ermöglicht und auf der CD zum Buch (windows/partbeta.zip) enthalten ist.

3

2.5.1

4

LILO – Generic Bootloader for Linux

Die Konfigurationsdatei lilo.conf des Linux-Loaders finden Sie im Verzeichnis /etc Ihrer Distribution. Um neben Linux, Windows oder OpenBSD booten zu können, müssen Sie lediglich die entsprechende Partition als other angeben und ein Label definieren:

5 6

other=/dev/hda1 label="Windows(hda1)" other=/dev/hda2 label="OpenBSD(hda2)"

7

Lilo übernimmt das Booten einer other-Partition nicht selbst, sondern initialisiert den auf der Partition installierten Bootloader, der dann das eigentliche Booten des jeweiligen Systems übernimmt. Die Konfiguration zum Start eines Linux-Systems ist etwas komplexer, da hier neben Root-Device auch Kernel und gegebenenfalls initrd zusätzlich anzugeben sind:

9

8

10 11

root = /dev/hda5 ... image=/vmlinuz label="Woody(2.2.20)" image=/usr/src/linux-2.6.10/arch/i386/boot/bzImage label="Woody(MyKern)"

12 13 14

Beachten Sie, dass als Image der kompilierte Kernel als Pfadangabe des aktuellen Systems anzugeben ist. Weiterhin wurde /dev/hda5 als globale Variable für das zu bootende Linux-System festgelegt. Dieser Wert ist für das Booten einer »anderen« Linux-Installation natürlich zu überschreiben:

image = /suse/boot/vmlinuz label = SUSE initrd = /suse/boot/initrd ... Als Root-Device ist zwingend /dev/devicename zu verwenden. Damit KernelImage und initrd korrekt von Lilo eingebunden werden können, muss das FS der »anderen« Linux-Installation entsprechend eingehängt sein. Dies ist jedoch schnell vergessen. Glücklicherweise macht Sie Lilo beim Schreiben des neuen MBR auf Probleme sofort aufmerksam:

Der Bootloader

91

debian:/# lilo Added Woody(2.2.20) * Added Woody(MyKern) Added Windows(hda1) Added OpenBSD(hda2) Fatal: open /suse/boot/vmlinuz

No such file or directory

Das Sternchen hinter Woody(2.2.20) symbolisiert, dass dieses System als Default gestartet wird, sobald der Countdown (timeout) abgelaufen ist und am Bootprompt kein anderes System ausgewählt wurde. Da Sie beim Start Ihres Servers kaum Gelegenheit haben werden, am Bootprompt irgendetwas auszuwählen, sollten Sie nicht nur das Default-System auf die gewünschte LinuxInstallation (und Kernel-Version) setzen, sondern auch den Timeout erheblich verkürzen:

prompt timeout=20 default="Woody(MyKern)" Der Timeout wird in Dezisekunden angegeben. Das heißt, bei 20 Dezisekunden werden lediglich zwei Sekunden (20*0.1) bis zum Start des Default-Systems gewartet. Denken Sie daran, dass Änderungen innerhalb von /etc/lilo.conf erst beim nächsten Aufruf von Lilo in den MBR geschrieben und erst dann aktiv werden. Tipp Haben Sie ein Rettungssystem oder eine andere Linux-Installation gestartet, dann können Sie den Default am besten umstellen, indem Sie die »ursprüngliche« Linux-Partition mounten und chroot /mountpoint aufrufen. Nun ist /etc/lilo.conf zu editieren und Lilo aufzurufen. Vergessen Sie nicht, vor dem shutdown -r now den Chroot-Käfig mit exit zu verlassen!

2.5.2

Boot (OpenBSD) und Bootable-Flag (fdisk)

Falls Sie den Linux-Bootloader Lilo nicht nutzen, um OpenBSD zu starten, müssen Sie die OpenBSD-Partition mit dem Bootable-Flag in fdisk kennzeichnen:

# fdisk -e wd0 Enter 'help' for information fdisk: 1> p #: id ... [ start: size ] ----------------------------------------------------0: ... [ 63: 1606437 ] Win95 FAT32L

92

Erste Schritte

1 2 1: ... [ 9639000: 6426000 ] OpenBSD *2: ... [ 1606500: 8032500 ] unused 3: ... [ 16065000: 43969905 ] Extended LBA fdisk: 1> f 1 Partition 1 marked active. fdisk:*1> p #: id ... [ start: size ] ----------------------------------------------------0: ... [ 63: 1606437 ] Win95 FAT32L *1: ... [ 9639000: 6426000 ] OpenBSD 2: ... [ 1606500: 8032500 ] unused 3: ... [ 16065000: 43969905 ] Extended LBA fdisk:*1> q Writing current MBR to disk.

3 4 5 6 7 8 9

Beim nächsten Neustart wird von der mit Sternchen markierten OpenBSD-Partition gebootet. Hierzu wird Boot gestartet, das wiederum zunächst wd0a mountet und die Konfigurationsdatei /etc/boot.conf ausliest. In dieser wiederum können Sie die zu nutzende Root-Partition von wd0a auf eine beliebige andere Partition umstellen:

10 11

# cat /etc/boot.conf set device wd0d set image = /bsd set timeout = 2

12

Über Device wird die Root-Partition des zu startenden Systems angegeben. Falls Sie neben wd0a beispielsweise eine weitere OpenBSD-Installation unter wd0d aufgesetzt haben, wird diese über device wd0d gestartet. Beachten Sie, dass der Pfad zum Kernel-Image vom definierten Root-Device (/wd0d in unserem Beispiel) aus betrachtet anzugeben ist. Der Wert Timeout bestimmt die Wartezeit, die bis zum automatischen Booten verstreichen darf. Sie können die Werte mit set option wert ebenfalls direkt am Bootprompt eingeben. Die gleichzeitige Definition von device, image und timeout ist nicht möglich. Sie müssen für jeden Wert einen neuen Set-Befehl eingeben.

14

13

Hinweis: Falls Sie auf das in wd0a ursprünglich installierte OpenBSD erneut zurückgreifen möchten, müssen Sie die boot.conf von wd0a ändern. Wie eingangs erwähnt, wird vom OpenBSD-Bootloader immer wd0a gemountet, um /etc/boot.conf auszulesen. Das heißt, die /etc/boot.conf von /wd0d kann nicht berücksichtigt werden. Mounten Sie wd0a gegebenenfalls, um die Datei anpassen zu können:

Der Bootloader

93

# mkdir /wd0a # mount /dev/wd0a /wd0a # vi /wd0a/etc/boot.conf

2.6

Netzwerkeinstellungen und Konfiguration

Zunächst sollten Sie prüfen, ob Ihre Netzwerkkarte vom installierten Betriebssystem unterstützt wird (siehe Abschnitt 1.4.4, Hardware-Unterstützung). In einem OpenBSD-System wird die Netzwerkkarte bereits bei der Installation eingebunden. Falls dies hier nicht möglich ist, werden Sie die Karte auch nachträglich nicht initialisieren können und sich zunächst nach kompatibler Hardware umsehen müssen. Um den Server ans Internet anzubinden, sind im Wesentlichen drei Schritte notwendig: 1. Initialisierung der Netzwerkkarte, 2. Konfiguration des Routers und 3. Konfiguration eines Nameservers. Sämtliche Einstellungen lassen sich ohne Neustart vornehmen oder im laufenden Betrieb ändern. Sobald notwendige Konfigurationen erfolgreich abgeschlossen wurden, können Sie die einzelnen Schritte über ein eigenes Startskript in den Startprozess des Servers integrieren. Sie können zudem die systemspezifische Konfiguration Ihres Systems entsprechend anpassen. In Tabelle 2.16 finden Sie eine Übersicht über die für ein lokales Netz reservierten IP-Adressen mit zugehörigen Subnet-Masks. Lokale IP-Adressen werden übrigens im Internet nicht geroutet, weshalb Paketfilterregeln, die Ports für lokale Adressen öffnen, recht effektiv sind. Beachten Sie, dass lediglich Rechner, die im selben IP-Adressbereich liegen, ohne zusätzliches Routing direkt kommunizieren können. Das bedeutet, dass der Rechner 192.168.0.1 zwar direkt mit 192.168.0.255 kommunizieren kann, nicht aber mit 192.168.1.35 oder 10.0.0.3. IP-Adresse

Subnetmask

192.168.[0–255].[0–255]

255.255.255.0

172.[16–31].[0–255].[0–255]

255.255.0.0

10.[0–255] .[0–255] .[0–255]

255.0.0.0

Tabelle 2.16 Für lokale Netzwerke reservierte IP-Adressen werden im Internet nicht geroutet.

94

Erste Schritte

1 2 2.6.1

sipcalc macht die Bestimmung von IP-Adressen einfach

3

Die Ermittlung der Subnetmask oder von IPV6-Adressen ist zugegebenermaßen nicht trivial. Doch sipcalc nimmt Ihnen die Arbeit ab. Das Tool finden Sie auf der CD zum Buch sowie unter http://www.routemeister.net/projects/sipcalc/download.html. Die Installation ist mit ./configure && make && make install schnell erledigt und die Bedienung ebenso einfach:

4 5

debian:~/sipcalc-1.1.2# sipcalc 213.221.110.143 -[ipv4 : 213.221.110.143] - 0 [CIDR] Host address Host address (decimal) Host address (hex) Network address Network mask Network mask (bits) Network mask (hex) Broadcast address Cisco wildcard Addresses in network Network range

6 7

-

213.221.110.143 3588058767 D5DD6E8F 213.221.110.143 255.255.255.255 32 FFFFFFFF 213.221.110.143 0.0.0.0 1 213.221.110.143 - 213.221.110.143

8 9 10 11 12 13

Sipcalc bietet weitere Ausgabeformen, eine Liste aller Funktionen kann wie üblich mit der Option --help ausgegeben werden.

14 2.6.2

Konfiguration eines Netzwerk-Interfaces unter Linux

Wer unter Linux einen Standard-Kernel verwendet, wird zunächst mit modprobe treibername den Treiber der Netzwerkkarte laden müssen. Wurde ein Kernel selbst kompiliert und der Treiber statisch eingebunden, ist dieser Schritt weder notwendig noch möglich, da der Treiber bereits in den Kernel integriert ist. Tatsächlich generiert make modules modules_install lediglich als Module (M) gekennzeichnete Kernel-Erweiterungen. Statische Treiber werden also nicht als Modul erzeugt, um gesondert geladen werden zu können. Damit modprobe treibername nicht bei jedem Neustart zu übergeben ist, können Sie den Treibernamen unter SUSE direkt als eigene Zeile in /etc/modules.conf eintragen:

alias eth0 natsemi

Netzwerkeinstellungen und Konfiguration

95

Unter Debian ist /etc/modutils/aliases entsprechend zu editieren und der Befehl update-modules aufzurufen. Ifconfig Mit dem Laden des Treibers der Netzwerkkarte oder seiner direkten Integration als statische Kernel-Erweiterung ist es natürlich noch nicht getan: Nun müssen Sie das Netzwerk-Interface mit ifconfig initialisieren:

ifconfig eth0 192.168.0.81 up Wer mehr als eine Netzwerkkarte hat und die entsprechenden Treiber geladen hat, kann danach ifconfig eth1 192.168.0.34 up für die zweite Netzwerkkarte nutzen. Natürlich können Sie genauso problemlos eine dritte oder vierte Netzwerkkarte initialisieren. Hierbei kann ebenfalls der gleiche Kartentyp zum Einsatz kommen (es genügt, wenn der Treiber einmal geladen wurde). Möchten Sie einer Netzwerkkarte mehr als eine IP-Adresse zuweisen, ist nach dem Device-Namen :nr zu verwenden. Das heißt eth0:1 für die zweite IP-Adresse von eth0 oder eth0:2 für die dritte und so weiter. Ob die Initialisierung des/der Netzwerk-Interfaces funktioniert hat, können Sie ebenfalls mit ifconfig überprüfen:

linux:~ # ifconfig | grep in eth0 Link encap:Ethernet HWaddr 00:02:E3:22:A7:B0 inet addr:192.168.0.81 Bcast:192.168.0.255 \ Mask:255.255.255.0 inet6 addr: fe80::202:e3ff:fe22:a7b0/10 Scope:Link eth0:1 Link encap:Ethernet HWaddr 00:02:E3:22:A7:B0 inet addr:192.168.0.109 Bcast:192.168.0.255 \ Mask:255.255.255.0 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host lo ist das Loopback-Device, das gänzlich ohne Netzwerkkarte arbeitet und lediglich für die interne Prozesskommunikation zuständig ist. Beachten Sie, dass Broadcast- und Netmask-Adresse von ifconfig automatisch anhand der IPAdresse bestimmt wurden. Falls Sie sich bei der IP-Adresse eines Interfaces vertippt haben sollten, ist das Interface mit ifconfig eth0 down zu deaktivieren, bevor es erneut mit der richtigen Adresse initialisiert werden kann.

96

Erste Schritte

1 2 Um ifconfig nicht bei jedem Systemstart ausführen zu müssen oder über ein manuelles Startskript abzusetzen, finden Sie in den nächsten Abschnitten kurze Hinweise zu speziellen Konfigurationsdateien Ihrer Distribution.

3 4

Interface-Einstellungen unter Debian

5

Editieren Sie die Datei /etc/network/interfaces:

auto lo eth0 iface lo inet loopback iface eth0 inet static address 192.168.0.34 netmask 255.255.255.0 gateway 192.168.0.1

6 7 8

Beachten Sie, dass Address, Netmask und Gateway (siehe Gateway über route festlegen) jeweils in einer eigenen Zeile stehen müssen und nicht zusammen mit dem iface-Eintrag eine einzelne Zeile bilden dürfen. Weiterhin ist eth0 in die Auto-Zeile aufzunehmen, um bei einem Start- beziehungsweise Stopp-Prozess von /etc/init.d/networks berücksichtigt zu werden. Um zu testen, ob die Anpassungen korrekt arbeiten, ist selbstverständlich kein Neustart des Servers, sondern lediglich ein /etc/init.d/networks stop && /etc/init.d/networks start && ifconfig notwendig.

9 10 11 12

Interface-Einstellungen unter SUSE

13

Sie finden unter SUSE im Verzeichnis /etc/sysconfig/network die Datei ifcfg.template, die als ifcfg-eth0 zu speichern und anzupassen ist. Im Normalfall sollte bereits für jede Netzwerkkarte eine entsprechende ifcg-eth-Datei angelegt worden sein, die Sie jedoch auch nachträglich anpassen können.

14

Möchten Sie einem Netzwerk-Interface via Sysconfig eine zweite IP-Adresse zuweisen, können Sie die bestehende Datei, zum Beispiel ifcfg-eth0 als ifcfgeth0:1, duplizieren. In der neuen Datei ist Device (zum Beispiel DEVICE=eth0:1) und IPADDR entsprechend anzupassen. Nach einem rcnetwork restart können Sie über ifconfig prüfen, ob die zweite IP-Adresse wunschgemäß eingerichtet wurde. Gateway über route festlegen Ein Webserver ist zwangsläufig an einen Gateway (oder Router) angebunden, da der Server nicht als Einziger direkt am Backbone hängt. In einem LAN ist der Einsatz eines Routers ebenfalls notwendig, um sämtlichen Rechnern einen Zugang zum WWW über eine einzige Internetanbindung bereitzustellen. Mit

Netzwerkeinstellungen und Konfiguration

97

route add default gw 192.168.0.1 wird die IP-Adresse 192.168.0.1 als Router festgelegt. Falls dennoch keine Verbindung zum Internet hergestellt werden kann, ist wahrscheinlich ein anderer Gateway bereits als Default festgelegt (Ausgabe von route gekürzt um Flags, Metric ...):

linux:/ # route Kernel IP routing table Destination Gateway 192.168.0.0 * default 192.168.0.4 default 192.168.0.1

Genmask 255.255.255.0 0.0.0.0 0.0.0.0

In diesem Fall könnte der Gateway 192.168.0.1 nicht angesprochen werden, da lediglich der erste Eintrag (192.168.0.4) verwendet würde. Mit route del default gw 192.168.0.4 könnte der unsinnige Eintrag gelöscht werden. Um nicht bei jedem Neustart des Betriebssystems den route-Befehl erneut absetzen zu müssen, können Sie unter SUSE die Zeile

default 192.168.0.1 - in /etc/sysconfig/network/routes eintragen beziehungsweise einen vorhandenen Eintrag entsprechend anpassen. Sie können die Änderungen mit /etc/init.d/network restart testen. Die Gateway-Konfiguration ist in Debian mit den Interface-Einstellungen zusammengelegt worden. Die erste in /etc/network/interfaces eingetragene Gateway-Adresse wird als default gw verwendet (siehe Interface-Einstellungen unter Debian).

2.6.3

Konfiguration eines Netzwerk-Interfaces unter OpenBSD

Die Netzwerkkarten werden über /etc/hostname.* von /etc/netstart beim Systemstart initialisiert. Um IP-Adresse und Netmask der Netzwerkkarte zu ändern, müssen Sie deshalb /etc/hostname.interfacename editieren und danach sh /etc/netstart aufrufen.

# cat /etc/hostname.sis0 inet 192.168.0.34 255.255.255.0 NONE Ob die Netzwerkkarte korrekt initialisiert wurde, können Sie mit ifconfig interfacename überprüfen:

98

Erste Schritte

1 2 # ifconfig sis0 sis0: flags=8843 mtu 1500 address: 00:02:e3:22:a7:b0 media: Ethernet autoselect (100baseTX full-duplex) status: active inet 192.168.0.34 netmask 0xffffff00 \ broadcast 192.168.0.255 inet6 fe80::202:e3ff:fe22:a7b0%sis0 \ prefixlen 64 scopeid 0x1

3 4 5 6 7

Möchten Sie einer Netzwerkkarte mehr als eine IP-Adresse zuweisen, können Sie dies über Aliase in /etc/hostname.interfacename erledigen:

8

# echo "inet alias 192.168.0.32 255.255.255.0" \ >> /etc/hostname.sis0 # sh /etc/netstart && ifconfig sis0 ... inet 192.168.0.34 netmask 0xffffff00 broadcast 192.168.0.255 inet 192.168.0.32 netmask 0xffffff00 broadcast 192.168.0.255

9 10 11

Gateway über route festlegen Überprüfen Sie mit route show, ob bereits ein Gateway gesetzt ist. Falls sich die IP-Adresse des Gateways geändert hat oder wenn Sie sich bei der Definition des Gateways während der Installation von OpenBSD vertippt haben, können Sie den Eintrag mit route delete löschen und mit add neu anlegen:

12

# route show Routing tables

14

13

Internet: Destination Gateway Flags default 192.168.0.36 UG ^C # route delete default 192.168.0.36 delete net default: gateway 192.168.0.36 # route add default 192.168.0.1 add net default: gateway 192.168.0.1 Damit der richtige Default-Gateway beim nächsten Start von OpenBSD automatisch eingestellt wird, ist er in /etc/mygate entsprechend anzupassen:

# cat /etc/mygate 192.168.0.1

Netzwerkeinstellungen und Konfiguration

99

2.6.4 Konfiguration eines Nameservers (unter Linux und OpenBSD) In UNIX-Systemen werden die in der Datei /etc/resolv.conf festgelegten Nameserver angesprochen, um einen Domain-Namen in eine IP-Adresse aufzulösen. Falls die Datei in Ihrem System nicht existieren sollte, können Sie /etc/resolv.conf einfach selbst anlegen. Der Inhalt sollte wie folgt aussehen:

nameserver 192.168.0.25 nameserver 192.168.0.1 Sie können bis zu drei Nameserver angeben. Falls der erste die gewünschte Adresse nicht auflösen kann, wird die Domain an den nächsten zur Auflösung gereicht. Dies ist vor allem in einem Unternehmen mit Intranet interessant, da so neben dem firmeneigenen Nameserver (der lediglich für interne Adressen wie buchhaltung.firma eingerichtet werden könnte) auch der des Zugangsproviders angesprochen werden kann. Hinweis Bei jeder aufzulösenden Domain sieht das System in /etc/resolv.conf nach, welche Nameserver bereitstehen. Änderungen an /etc/resolv.conf werden somit direkt verfügbar, ohne irgendeinen Dienst oder den gesamten Server neu starten zu müssen.

2.7

Manuelles Installieren (Kompilieren) von Programmen

Bevor Sie zur Installation eines im Quelltext bezogenen Programms schreiten, sollten Sie das Programmpaket zunächst in das Verzeichnis eines unprivilegierten Nutzers (beispielsweise /home/user/install) verschieben und mit su - user in die Haut dieses Users schlüpfen. In der Regel werden Sie das Programm als (komprimiertes) tar-Archiv bezogen haben und es zunächst mit dem richtigen Befehl (siehe Tabelle 2.16) entpacken müssen. Name

Befehl

Paket.tar.gz | paket.tgz

tar -xzf Paket.tar.gz | tar –xzf Paket.tgz

Paket.tar.bz2

tar -xjf Paket.tar.bz2

Paket.tar

tar -xf Paket.tar

Tabelle 2.17 Optionen zum Entpacken eines tar-Achivs. Weitere Informationen zu tar finden Sie im Abschnitt 4.8.6, Vollbackup mit tar.

100

Erste Schritte

1 2 Werfen Sie einen Blick auf ./configure --help | less. Falls die Anfrage mit »No such file or directory« quittiert wird, sollten Sie es mit

3

./config -–help | less

4

erneut versuchen. Manche Programmierer sehen keine Notwendigkeit darin, ein ./config[ure]-Skript für das von make aufgerufene Makefile vorzuschalten. In der Regel genügt dann

5

make ; su root –c "make install"

6

um das Programm zu installieren. Dennoch kann es nicht schaden, zuvor einen Blick auf das Makefile zu riskieren.

7

Manche Programme, wie beispielsweise der Apache-Webserver, erschlagen den Anwender mit einer Fülle von Installationsoptionen. Glücklicherweise müssen Sie ausschließlich die Optionen übernehmen, deren Auswirkung Sie erzielen möchten. Ein Beispiel: In der Voreinstellung von Apache wird mod_cgi eingebunden. Möchten Sie auf CGI verzichten, ist die in der Ausgabe ./configure --help aufgeführte Option --disable-cgi zu verwenden.

8 9 10 11

In der Regel werden Sie sich jedoch zunächst eingehender mit dem Programm beschäftigen müssen, es also in Betrieb nehmen und Erfahrungen sammeln, bevor Sie einzelne Optionen über ./configure übergeben oder manuelle Änderungen direkt im Makefile vornehmen können.

2.7.1

12 13

Sollen Installationspfade angepasst werden?

14

Eine Stilfrage ist die Änderung von Installationspfaden. Üblicherweise werden selbst kompilierte Programme nach Aufruf von make install in das Verzeichnis /usr/local/bin oder /usr/local/sbin installiert. Die Konfigurationsdateien befinden sich anstelle von /etc meist im Verzeichnis /usr/local/etc. Durch die Anpassung der Installationspfade an Ihr System stellen Sie einerseits ein einheitliches »Layout« sicher. Auf der anderen Seite bietet die Trennung zwischen installierten Systempaketen und selbst kompilierten Programmen den Vorteil, beispielsweise neben der »offiziellen« Paketinstallation des Webservers Ihres Systems einen eigenen Apache kompilieren zu können. Diesen können Sie in Ruhe austesten und konfigurieren. Bei größeren Problemen kann unmittelbar auf die ursprüngliche Installation zurückgegriffen werden, da Konfigurations- und Programmdateien an anderen Orten als die der »eigenen« Installation abgelegt sind. In meinen Augen überwiegt dieser Vorteil die teils verwirrende Situation, zwei »identische« Programmversionen im selben System »zu betreiben«. Dies kann zu ärgerlichen

Manuelles Installieren (Kompilieren) von Programmen

101

Situationen führen, wie beispielsweise »weshalb werden die Änderungen in /etc/programm_config nicht berücksichtigt« oder dem versehentlichen Start der »offiziellen« anstelle der »eigenen« Programmversion. Andererseits wissen Sie ja jetzt, dass selbst kompilierte Programme ihre Konfigurationsdateien in der Regel in /usr/local/etc ablegen. Sie können dies im Zweifelsfall mit grep überprüfen:

$ cd /home/user/install/programmsource && grep etc Makefile sysconfdir = ${prefix}/etc $ grep ^prefix Makefile prefix = /usr/local Ob ein Programm tatsächlich mit ./configure && make && su -c "make install" root kompiliert werden kann, hängt noch von einem weiteren Faktor ab: den Abhängigkeiten. Tatsächlich enthalten die wenigsten Programmpakete alle benötigten Systembibliotheken. Häufig werden nur Standardbibliotheken eingebunden, die bereits in einer minimalen Server-Installation vorhanden sind. Deshalb werden Sie in der Regel nicht mit Fehlermeldungen konfrontiert. Früher oder später werden Sie dennoch auf eine fehlende Bibliothek stoßen. Falls eine Suche innerhalb der zu Ihrem System verfügbaren Pakete das gesuchte Puzzleteil nicht zu Tage fördert und Sie zudem entsprechende Entwicklungspakete (-devel-Paket) bereits eingespielt haben, sollten Sie sich im READ- oder INSTALLATION-File des Tarballs nach Informationen zu den benötigten Programmen oder Bibliotheken umsehen. Häufig finden sich auf der jeweiligen Projekt-Website hilfreiche Informationen zu den Installationsvoraussetzungen. In der Regel ist der Bezug fehlender Komponenten jedoch einfacher, als die Fehlermeldungen von ./configure oder make erwarten lassen. Ein Beispiel für fehlende dependencies (PHP mit zlib):

checking for ZLIB support... yes checking if the location of \ ZLIB install directory is defined... no configure: error: Cannot find libz debian:/home/download/# apt-get install zlib* Reading Package Lists... Done Building Dependency Tree... Done ... The following NEW packages will be installed: ldso libc5 libc5-altdev libcompress-zlib-perl libnkf-ruby \ libruby libzlib-ruby zlib-bin zlib1 zlib1-altdev \

102

Erste Schritte

1 2 zlib1g-dev zlibc ... 0 packages upgraded, 12 newly installed, \ 0 to remove and 0 not upgraded. Need to get 2593kB/2613kB of archives. \ After unpacking 9642kB will be used. Do you want to continue? [Y/n] n Abort. debian:/home/download/# apt-get install zlib1g-dev

3 4 5 6 7

Erläuterung: In der Regel werden zur manuellen Kompilierung stets die Developer-Pakete (dev) benötigt. Da apt zum Suchwort zlib jedoch ganze zwölf Pakete findet, wurde die Installation abgebrochen und lediglich zlib1g-dev bezogen. Tatsächlich war dies das einzige Paket, das zur Kompilierung von PHP mit der zlib auf meinem Debian-Basissystem fehlte.

2.7.2

8 9

Sicherheitsaspekte

10

Überprüfen Sie nach der Programminstallation unbedingt die Zugriffsrechte der Dateien. Häufig werden insbesondere für die Konfigurationsdateien zu lasche Zugriffsrechte gesetzt. Ein globales Readable mag dem Open-SourceGedanken gerecht werden, ist aber aus Sicherheitsgründen zu vermeiden. Im Normalfall benötigt lediglich der User, mit dem das Programm letztlich ausgeführt wird, Zugriff auf die Konfigurationsdateien.

11 12 13

Weiterhin sollten Sie sich angewöhnen, für jedes installierte Programm, das nicht zwingend mit Root-Rechten laufen muss, einen unprivilegierten NutzerAccount anzulegen und das Programm über su nutzeraccount -c "/usr/local/bin/programmname" zu starten.

2.7.3

14

Überprüfen der Vertrauenswürdigkeit von Programmpaketen

In der Vergangenheit ist es Angreifern gelungen, in vermeintlich vertrauenswürdige Software-Pakete eine Backdoor einzuschmuggeln – sogar OpenSSH war hiervon bereits betroffen. Dummerweise werden Sie jedoch nicht am Einspielen von Sicherheits-Updates oder an einer gelegentlichen manuellen Tarball-Installation vorbeikommen. Die Wahrscheinlichkeit, dass ein Angreifer Ihren Server über eine noch nicht geschlossene Sicherheitslücke knackt, ist deutlich größer, als dass Sie durch Einspielen eines Updates eine Backdoor öffnen.

Manuelles Installieren (Kompilieren) von Programmen

103

Glücklicherweise werden zu den meisten Programmen und Sicherheits-Patches gleich mehrere Downloadserver betrieben. Über die so genannten Prüfsummendateien (meist mit md5sum erzeugt) können Sie die Integrität eines Downloads verifizieren. Hierzu sollten Sie mindestens zwei Prüfsummendateien von alternativen FTP-Servern zu dem zu installierenden Paket (die Versionsnummer muss natürlich identisch sein) beziehen. Danach sind zunächst die Prüfsummendateien zu vergleichen, und bei Übereinstimmung können Sie die Originaldatei überprüfen. Ein Angreifer hätte somit alle drei von Ihnen genutzten Server knacken müssen, um die Änderungen am Code verbergen zu können. In der Praxis sind die folgenden Schritte durchzuführen:

user@debian:~$ wget http://www.apache.org/dist\ /httpd/httpd-2.0.46.tar.gz.md5 user@debian:~$ wget ftp://ftp.apache.de/mirrors\ /dev.apache.org/dist/httpd/httpd-2.0.46.tar.gz.md5 user@debian:~$ diff httpd-2.0.46.tar.gz.md5 \ httpd-2.0.46.tar.gz.md5.1 Stimmen die Dateien überein, wird von diff keine Ausgabe erzeugt:

user@debian:~$ cat httpd-2.0.46.tar.gz.md5 \ httpd-2.0.46.tar.gz.md5.1 MD5(httpd-2.0.46.tar.gz)= ff682f82f0808eb01df60824d959ebe8 MD5(httpd-2.0.46.tar.gz)= ff682f82f0808eb01df60824d959ebe8 Nun gilt es, die eigentliche Datei zu beziehen, die md5sum zu bilden sowie mit unseren zuvor bezogenen md5sum-Dateien zu vergleichen:

user@debian:~$ wget http://ftp.leo.org/pub/comp/general\ /infosys/www/daemons/apache/dist/httpd/httpd-2.0.46.tar.gz user@debian:~$ md5sum httpd-2.0.46.tar.gz | cut \ -d " " -f1 > md5sum.tmp user@debian:~$ cut -d " " -f2 < httpd-2.0.46.tar.gz.md5 \ > orig.md5sum user@debian:~$ diff md5sum.tmp orig.md5sum In diesem Beispiel konnte die Integrität von httpd-2.0.46.tar.gz erfolgreich bestätigt werden. Sie werden feststellen, dass dies eigentlich immer der Fall ist. Es bedarf großer Disziplin, die Prüfsummen für jede einzelne Datei zu beziehen. Leider steht der Mehraufwand in keinem Verhältnis zum (sichtbaren) Nutzen, weshalb viele Administratoren einfach aus Bequemlichkeit auf einen Prüf-

104

Erste Schritte

1 2 summenvergleich verzichten. Ganz egal, was andere auch behaupten mögen, für Ihren Webserver ist jeder Aufwand, der die Sicherheit erhöht, Arbeit wert. Verzichten Sie deshalb nicht darauf, Prüfsummen zu vergleichen!

3 4

Leider ist es trotz Prüfsummenvergleich möglich, dass durch direkten Angriff auf das CVS-Repository eines Open-Source-Projektes (in der Regel arbeiten mehrere Entwickler über das Internet an ein und demselben Code) unbemerkt eine Backdoor eingeschmuggelt wird. Wenn Sie sehr vorsichtig sein wollen und es sich nicht um ein Sicherheits-Update handelt, sollten Sie deshalb eine Woche abwarten, bevor Sie das bereits bezogene Programm installieren. Falls tatsächlich bösartiger Code in der Datei enthalten sein sollte, so wird dies in der Regel innerhalb von zwei bis vier Tagen nach Veröffentlichung bemerkt und publiziert werden.

2.7.4

5 6 7 8

Deinstallation

9

Die saubere Deinstallation eines selbst kompilierten Programms kann eine aufwändige Angelegenheit sein. Zunächst sollten Sie in das src-Verzeichnis /home/user/install/paketname wechseln und hoffen, dass ein make uninstall sämtliche Programmpakete deinstalliert.

10 11

Falls Sie Pech haben, wird make uninstall nicht funktionieren. In diesem Fall ist die erneute Kompilierung des Programms notwendig. Dies mag sich paradox anhören, aber durch ein erneutes su root -c "make install > /root/install.out" können Sie in der Protokolldatei install.out sämtliche installierten Dateien auflisten. Danach ist install.out in einem Editor zu bearbeiten. Dabei sollten Sie darauf achten, lediglich Programmdateien zu löschen und nicht etwa ein Verzeichnis, das auch andere Dateien enthält (wie beispielsweise /usr/local/bin). Am besten ignorieren Sie sämtliche mkinstalldirs-Zeilen, wenn Sie nicht sicher sind, dass in diesem Verzeichnis keine programmfremden Dateien abgelegt wurden.

12 13 14

Beispielsweise sollten Sie die Zeilen

/bin/sh ./mkinstalldirs /usr/local/bin /usr/bin/install -c pen /usr/local/bin/pen /usr/bin/install -c mergelogs /usr/local/bin/mergelogs ... /bin/sh ./mkinstalldirs /usr/local/man/man1 /usr/bin/install -c -m 644 ./pen.1 \ /usr/local/man/man1/pen.1 /usr/bin/install -c -m 644 ./mergelogs.1 \

Manuelles Installieren (Kompilieren) von Programmen

105

/usr/local/man/man1/mergelogs.1 ... zur sauberen Deinstallation wie folgt anpassen:

/usr/local/bin/pen /usr/local/bin/mergelogs ... /usr/local/man/man1/pen.1 /usr/local/man/man1/mergelogs.1 ... Sobald die Vorbereitungen abgeschlossen sind, können Sie mit rm 'cat /root/install.out' alle Dateien wunschgemäß entfernen.

2.8

Startskripte

Beim Start des Betriebssystems gilt es, nicht nur elementare Systembestandteile zu initialisieren, sondern auch grundlegende Serversoftware wie SSH-, Weboder Mailserver automatisch zu starten. Da sich Linux am Startprozess von System V orientiert, bestehen erhebliche Unterschiede zwischen den Startskripten von Linux und OpenBSD.

2.8.1

Linux

Durch die Bemühungen der Linux-Standard-Base ist der Startprozess der verschiedenen Linux-Distributionen so gut wie auf einen gemeinsamen Nenner gebracht worden. So bestehen zwischen Debian und SUSE lediglich kleinere Unterschiede hinsichtlich der vorbereiteten Templates zur Erstellung eigener Startskripte und Tools wie insmod. Diese sollen dabei helfen, Runlevel-Links schneller und bequemer zu erstellen. Tatsächlich brauchen Sie sich keine Gedanken um ein formschönes Startskript zu machen, das einheitlich formatiert und in grüner Farbe über den erfolgreichen Start eines Dienstes informiert. Immerhin werden Sie kaum vor Ort sein, um über einen Monitor den Startvorgang überwachen zu können. Das Verzeichnis /etc/init.d/ dient einheitlich zur Ablage von Skripten, die über /etc/init.d/scriptname [start||stop] den Programmstart mit den Standardoptionen für Logfile-Verzeichnis, User-Namen und andere übernehmen oder das saubere Beenden eines Daemons beim Shutdown des Servers sicherstellen.

106

Erste Schritte

1 2 Falls im Tarball des selbst kompilierten Programms kein passendes init.d-Startskript mitgeliefert wurde, können Sie ein eigenes Startskript erstellen:

3

#!/bin/sh case "$1" in start) echo -n "Starte Programmname" /pfad/programm –optionen ;; stop) echo -n "Stoppe Programmname" killall programmname ;; *) echo "Fehler: /etc/init.d/scriptname [start||stop]" esac;

4 5 6 7 8

Passen Sie die Programmaufrufe Ihren Wünschen entsprechend an und speichern Sie das Skript im Verzeichnis /etc/init.d/ mit den Rechten 755. Weitere Informationen zur Programmierung von Shell-Skripten finden Sie in Abschnitt 4.7.1, Einführung in die Shell-Programmierung.

9 10

Bevor Sie das fertige Startskript aktivieren, sollten Sie die Funktionstüchtigkeit mit /etc/init.d/scriptname start sowie /etc/init.d/scriptname stop überprüfen. Funktioniert alles reibungslos, können Sie sich der Erstellung von Start- und Stopplinks zuwenden.

11 12

Damit Sie die Startlinks im richtigen Runlevel anlegen, sollten Sie mit runlevel in Erfahrung bringen, in welchem Runlevel Ihr Server-System arbeitet:

13

debian:~# runlevel N 2

14

Werfen Sie einen Blick in das Verzeichnis der Start- und Stopplinks des Runlevels N 2:

debian:~# ls -l /etc/rc2.d/ total 0 lrwxrwxrwx 1 root root 18 May 22 S10sysklogd -> ../init.d/sysklogd lrwxrwxrwx 1 root root 15 May 22 S11klogd -> ../init.d/klogd ... lrwxrwxrwx 1 root root 13 May 22 S20ssh -> ../init.d/ssh ...

2003 \ 2003 \

2003 \

Startskripte

107

lrwxrwxrwx

1 root root 14 May 22 S89cron -> ../init.d/cron

2003 \

In den Runlevels wird lediglich mit »ordinären Softlinks« auf das jeweilige Startskript des aufzurufenden Programms verwiesen. Beachten Sie, dass die Reihenfolge des Linkaufrufs über den Dateinamen festgelegt wird; S10sysklogd wird somit vor S89cron aufgerufen. Beachten Sie außerdem, dass S20ssh gestartet wird. Richten Sie die Reihenfolge nach der Wichtigkeit des Dienstes. Die Paketfilter-Konfiguration sollte beispielsweise direkt nach den Netzwerkeinstellungen initialisiert werden. Daemons wie Logsurfer können dagegen durchaus zuletzt gestartet werden. Da die Stopplinks in umgekehrter Reihenfolge aufgerufen werden (zunächst werden die Links mit der höchsten Knr verfolgt), können Sie die Stopplinks mit derselben Nummer wie die Startlinks setzen:

debian:~# cd /etc/rc2.d/ debian:/etc/rc2.d# ln -s ../init.d/scriptname S92programm debian:/etc/rc2.d# ln -s ../init.d/scriptname K92programm debian:/etc/rc2.d# ls -l ./*92* lrwxrwxrwx 1 root root 19 Mai 31 17:05 \ ./K92programm -> ../init.d/scriptname lrwxrwxrwx 1 root root 19 Mai 31 17:05 \ ./S92programm -> ../init.d/scriptname 2.8.2

OpenBSD

Die Steuerung für den automatischen Start der offiziellen OpenBSD-Pakete ist sehr bequem über /etc/rc.conf zu erledigen:

httpd_flags=NO # for normal use: "" (or "-DSSL" \ after reading ssl(8)) Um den Apache-Webserver bei jedem Neustart automatisch zu aktivieren, müssen Sie lediglich NO durch "" ersetzen. Die empfohlenen Startoptionen stehen in der Regel direkt nach dem Kommentarzeichen. Auch die Aktivierung eigener Programme ist im Handumdrehen erledigt. Fügen Sie einfach am Ende des gewünschten Startbefehls /etc/rc.local ein. Mit grundlegenden Kenntnissen in der Shell-Programmierung (siehe Abschnitt 4.7.1) können Sie natürlich ebenfalls /etc/rc.conf nutzen, um Startvariablen für das »neue« Programm festzulegen, und den Startbefehl in /etc/rc.local lediglich dann ausführen, wenn flags nicht auf NO sitzen sowie hier angegebene Parameter beim Programmstart übergeben werden.

108

Erste Schritte

1 2

2.9

Der eigene Kernel

3

Für einen Webserver empfiehlt es sich, nicht nur einen unveränderten Original-Kernel zu verwenden, sondern diesen ausschließlich mit den tatsächlich benötigten Features zu kompilieren. Auf multimediale Gimmicks wie Grafik und Sound können Sie ebenso gut verzichten wie auf die Unterstützung sämtlicher Netzwerkkarten oder Infrarot. Weiterhin sollte der Kernel für Ihren Prozessor optimiert werden.

4 5 6

2.9.1

Linux

7

Die offiziellen Kernel-Quellen finden Sie unter http://www.kernel.org. In Ihrer Linux-Distribution sollten ebenfalls mehrere Kernel-Varianten enthalten sein, die jedoch vom Distributor mit mehr oder weniger sinnvollen Anpassungen (patches) versehen worden sind.

8 9

Der aktuelle 2.6er-Kernel ist aufgrund seines überarbeiteten Schedulers, besserer Speicherverwaltung, UML oder ACL der 2.4er-Entwicklungslinie vorzuziehen. In fast allen Praxistests erledigt der Kernel 2.6 gegenüber dem 2.4er die gleichen Aufgaben deutlich schneller. Lediglich bei der Auslieferung von statischen HTML-Seiten kann der 2.4er mithalten und je nach Dateisystem und Features den Kernel 2.6 sogar überholen. Für den 2.4er spricht, dass einige Erweiterungen noch nicht in den offiziellen Kernel-Quellcode eingeflossen sind – wie beispielsweise linux-vserver (siehe Kapitel 6, Linux-VServer).

10 11 12 13

In beiden Fällen ist es glücklicherweise mit make menuconfig (einzugeben im entsprechenden Quellverzeichnis – also dem entpackten Tar-Archiv) möglich, die gewünschten make-Optionen bequem auszuwählen. Im Folgenden möchte ich lediglich auf empfehlenswerte Abweichungen von den Standardeinstellungen eingehen. Es ist jedoch sinnvoll, selbst in den Optionen zu stöbern. Zu den meisten Punkten können Sie über die Taste (?) interessante und wissenswerte Informationen abrufen.

14

Um eine Option zu aktivieren, als Modul zu kompilieren oder zu deaktivieren, genügt ein Klick auf die Taste (____). Nicht jede Komponente kann als Modul oder fester Kernel-Bestandteil kompiliert werden. Einerseits empfiehlt sich eine Kompilierung als Modul (M), um den eigentlichen Kernel klein zu halten. Andererseits sollten Sie wesentliche Bestandteile wie Paketfilter oder DeviceSupport grundsätzlich statisch (*) einkompilieren.

Der eigene Kernel

109

Abbildung 2.5 make menuconfig vereinfacht die Auswahl der richtigen ./configure-Optionen erheblich.

Kompilierung von 2.4.29 왘 Loadable module support

Die Möglichkeit, Module nachträglich in den Kernel zu laden, ist beispielsweise nützlich, um eine Boot-Diskette zu erstellen – selbst wenn Sie in Ihren Kernel nur das Notwendigste einkompilieren, wird dies durchaus den Rahmen einer Boot-Diskette sprengen. Für Ihren Webserver sollten Sie lieber ausschließlich statische Module verwenden und enable loadable module support deaktiveren! Dies erhöht die Sicherheit ungemein, da es Angreifern nicht möglich ist, durch Hinzuladen von Kernel-Modulen Unheil anzurichten. Prominentes Beispiel für eine solchen Exploit ist der Ptrace-Bug (siehe Abschnitt 5.6.5, Informationen zu /proc, insmod und dem Ptrace-Bug). 왘 Processor-Typ and Features

Über den ersten Punkt Processor Family kann der Kernel auf einen bestimmten Prozessor optimiert werden. Obwohl ein Athlon-Prozessor ebenfalls mit einem für Intel kompilierten Kernel arbeitet, ist es für eine optimale Performance nötig, den Prozessor-Typ des eigenen Systems (nicht des Testsystems, sondern des Server-Systems) auszuwählen. Die Option Symmetric multi-processing support ist in der Voreinstellung aktiviert. Falls Sie kein Multiprozessorsystem Ihr Eigen nennen, können Sie diese Option getrost deaktivieren.

110

Erste Schritte

1 2 왘 General Setup

3

BSD Process Accounting ist in der Voreinstellung nicht aktiviert, obwohl es grundsätzlich eine gute Idee ist, was auch die Hilfe zu dieser Option unterstreicht. Deshalb sollten Sie BSD Process Accounting nachträglich aktivieren.

4

Die Option Systrace support ist nur verfügbar, wenn der Systrace-Patch eingespielt wurde. Weitere Informationen zu Systrace finden Sie im Abschnitt 5.4, Systrace.

5 6

왘 Block-Devices

Loopback device support ist häufig eine sinnvolle Idee (siehe losetup in Abschnitt 4.14, Das Rettungssystem). Falls Sie nicht sicher sind, ob Sie Loopback-Devices benötigen, können Sie den Support als Modul kompilieren.

7 8

Der für das CD-ROM-Notfallsystem interessante RAM disk Support steht hier ebenfalls mit seiner Unteroption Initial RAM disk (initrd) support (bei statischer Einbindung von RAM disk) zur Verfügung. Allerdings ist RAM disk Support für den Kernel des Serversystems selbst nicht notwendig. Der Kernel für das CD-ROM-System kann ein anderer sein (siehe Abschnitt 4.14, Das Rettungssystem).

9 10

왘 Networking-Options

11

Network packet filtering sollte generell aktiviert werden, um Paketfilterregeln mit iptables erstellen zu können. Zudem sollte TCP syncookie support für einen Webserver aktiviert werden.

12

왘 Networking-Options/Netfilter-Configuration

13

Connection tracking und IP tables support sollten statisch in den Kernel eingebunden werden. Um die Firewall-Regeln aus Abschnitt 5.3, Der Paketfilter, vollständig nachvollziehen und selbst umsetzen zu können, müssen weiterhin die Unterpunkte

14

왘 Multiple port match support, 왘 Connection state match support, 왘 Packet filtering, 왘 REJECT target support und 왘 LOG target support

ebenfalls als statische Komponenten ausgewählt werden. 왘 SCSI support

Wer keine hochwertige SCSI-Festplatte oder ein SCSI-Raid-System in seinem Server vorweisen kann, kann auf den SCSI-Support verzichten.

Der eigene Kernel

111

왘 Network device support

Wie der Name vermuten lässt, finden Sie hier unter anderem Treiber für 10-, 100- und 1000-Mbit-Ethernetkarten. Damit etwas mehr Übersicht in die Auswahllisten kommt, wurden die einzelnen Treiber in verschiedene Abschnitte aufgeteilt. Herkömmliche Treiber finden Sie unter Ethernet (10 or 100 Mbit) nach Auswahl von EISA, VLB, PCI and on board controllers. Falls in Ihrem Server eine andere Netzwerkkarte als in Ihrem Testserver verwendet wird, ist es aus Sicherheitsgründen besser, beide Treiber fest einzukompilieren und auf das dynamische Einbinden von Modulen zu verzichten. 왘 Character-Devices

Auf einem Server-System sollte kein grafisches Betriebssystem laufen, selbst dann nicht, wenn ein bekannter Großkonzern aus Redmond das anders sieht. Da wir unseren Server bereits ohne ein X-Window-System installiert haben, das für eine grafische Oberfläche benötigt wird, können Sie zudem auf /dev/agpgart (AGP Support) und Direct Rendering Manager (XFree86 DRI support) verzichten. 왘 File-Systems

Hier finden sich wichtige Punkte wie die Quota (siehe Abschnitt 4.6, Speicherplatz mit Quotas beschränken), Support oder Unterstützung verschiedener Filesysteme. Ich empfehle Ihnen, neben ext3 journalling file system support auch second extended fs support (bekannt als ext2) statisch in den Kernel aufzunehmen. Weitere Informationen hierzu finden Sie in diesem Kapitel unter 2.1.2, Das richtige Filesystem). 왘 Der virtual memory file system support wird häufig nicht benötigt. Werfen

Sie ruhig einen Blick in die ausführliche Hilfe zu diesem Punkt, bevor Sie sich entscheiden, virtual memory file system support beizubehalten oder zu deaktivieren. Selbstverständlich sollten Sie ebenfalls in /etc/fstab und /etc/mtab einen entsprechenden Mount-Eintrag Ihrer Distribution auskommentieren, um nicht etwa mit einer erschreckenden, aber harmlosen Fehlermeldung wie »Falscher Dateisystemtyp ... oder Superblock ist beschädigt ...« konfrontiert zu werden. 왘 Network File Systems 왘 In der Regel werden und sollten Sie auf einem Webserver keinen Fileser-

ver betreiben. Deshalb sollten Sie NFS file system support und NFS server support nicht benötigen und deaktivieren. 왘 Sound

Ein richtiger Server hat keine Soundkarte. Selbst wenn Sie einen herkömmlichen Tower mit Onboard-Sound beim Rechenzentrum abstellen, ist es nicht sinnvoll, sound card support aktiviert zu lassen.

112

Erste Schritte

1 2 Sind die Kernel-Einstellungen für unseren Webserver optimiert, können Sie das Menü über exit verlassen und die Einstellungen speichern. Nun gilt es, den Kernel mit

3 4

make dep clean bzImage modules modules_install zu kompilieren (dep bzImage) sowie die benötigten Module (modules modules_install) zu erstellen. Der Vorgang wird selbst auf einem leistungsstarken, aktuellen Rechnersystem mehrere Minuten beanspruchen. Auf einem älteren System müssen Sie eher mit 30 Minuten oder gar ein bis zwei Stunden rechnen.

5 6 7

Um den neuen Kernel aktivieren zu können, müssen Sie das System mit dem neuen Kernel booten. Welche Schritte hierzu erforderlich sind, wird nach dem Abschnitt zur Konfiguration von Kernel 2.6.10 beschrieben.

8 9

Kompilierung von 2.6.10 왘 General Setup

10

BSD Process Accounting ist in der Voreinstellung nicht aktiviert, obwohl es grundsätzlich eine gute Idee ist, was auch die Hilfe zu dieser Option unterstreicht. Deshalb sollten Sie BSD Process Accounting nachträglich aktivieren.

11

Die Option Systrace support ist nur verfügbar, wenn der Systrace-Patch eingespielt wurde. Weitere Informationen zu Systrace finden Sie im Abschnitt 5.4, Systrace.

12 13

왘 Loadable module support

Die Möglichkeit, Module nachträglich in den Kernel zu laden, ist beispielsweise nützlich, um eine Boot-Diskette zu erstellen – selbst wenn Sie in Ihren Kernel nur das Notwendigste einkompilieren, wird dies durchaus den Rahmen einer Boot-Diskette sprengen.

14

왘 Für Ihren Webserver sollten Sie lieber ausschließlich statische Module

verwenden und enable loadable module support deaktiveren! Dies erhöht die Sicherheit ungemein, da es Angreifern nicht möglich ist, durch Hinzuladen von Kernel-Modulen Unheil anzurichten. Prominentes Beispiel für einen solchen Exploit ist der Ptrace-Bug (siehe Abschnitt 5.6.5, Informationen zu /proc, insmod und dem Ptrace-Bug (Linux)). 왘 Processor-Typ and Features

Über den ersten Punkt Processor Family kann der Kernel auf einen bestimmten Prozessor optimiert werden. Obwohl ein Athlon-Prozessor ebenfalls mit einem für Intel kompilierten Kernel arbeitet, ist es für eine optimale Performance nötig, den Prozessor-Typ des eigenen Systems (nicht des Testsystems, sondern des Server-Systems) auszuwählen.

Der eigene Kernel

113

Die Option Symmetric multi-processing support wird zur Unterstüzung von Multiprozessorsystemen benötigt. Falls Ihr Computer nur mit einem Prozessor ausgestattet ist, kann diese Option deaktiviert bleiben. 왘 PowerManagement options (ACPI, APM)

Wahrscheinlich geht es Ihnen wie mir und Sie möchten keine experimentellen Code-Schnipsel in das Herz Ihres Linux-Kernels aufnehmen. Sie können den Punkt Software Suspend (EXPERIMENTAL) beruhigt deaktiveren – ein Webserver sollte ohnehin nie in den Ruhezustand versetzt werden. Auch der Punkt Sleep States (EXPERIMENTAL), der unter ACPI Support versteckt wurde, darf wie IBM Thinkpad Laptop Extras deaktiviert werden. 왘 Device Drivers/Block devices

Loopback device support ist häufig sinnvoll (siehe losetup in Abschnitt 4.14, Das Rettungssystem). Der für das CD-ROM-Notfallsystem interessante RAM disk Support steht hier ebenfalls mit seiner Unteroption Initial RAM disk (initrd) support (bei statischer Einbindung von RAM disk) zur Verfügung. Allerdings ist RAM disk Support für den Kernel des Serversystems selbst nicht notwendig. Der Kernel für das CD-ROM-System kann ein anderer sein (siehe Abschnitt 4.14, Das Rettungssystem). 왘 Device Drivers/SCSI device support

Wer keine hochwertige SCSI-Festplatte oder ein SCSI-Raid-System in seinem Server vorweisen kann, kann auf den SCSI-Support verzichten. 왘 Device Drivers/IEEE 1394 (FireWire) support

Mit größter Wahrscheinlichkeit werden Sie keine FireWire-Geräte an Ihren Server anschließen und somit alle vorselektierten Features deaktivieren wollen. 왘 Device Drivers/Networking support

Den richtigen Treiber für Ihre Netzwerk-Karte sollten Sie unter Ethernet (10 or 100 Mbit) beziehungsweise Ethernet (1000 Mbit) finden. Beachten Sie, dass die meisten Treiber unter dem Menüpunkt EISA, VLB, PCI and on board controllers versteckt sind. Deaktivieren Sie alle vorselektierten Treiber bis auf die Treiber der Netzwerkkarten Ihres Servers beziehungsweise Ihres lokalen Testsystems. Plip, PPP und SLIP benötigen Sie wahrscheinlich nicht, diese können deaktiviert werden. 왘 Device Drivers/Networking support/Networking options

Ich empfehle die Aktivierung von TCP syncookie support für einen Webserver. Network packet filtering sollte generell aktiviert werden, um Paketfilterregeln mit iptables erstellen zu können.

114

Erste Schritte

1 2 왘 File-Systems

3

Hier finden sich wichtige Punkte wie die Quota (siehe Abschnitt 4.6, Speicherplatz mit Quotas beschränken), Support oder Unterstützung verschiedener Filesysteme. Ich empfehle Ihnen, neben ext3 journalling file system support auch second extended fs support (bekannt als ext2) statisch in den Kernel aufzunehmen. Auch die seit Kernel 2.6 verfügbaren Zusatzoptionen ACL (Access Control Lists) und Security Labels, die in den Unterpunkten extended attributes zu ext2, ext3 und auch reiserFS versteckt wurden, sind eine Überlegung wert. Weitere Informationen hierzu finden Sie in diesem Kapitel unter 2.1.2, Das richtige Filesystem).

4 5 6 7

왘 File-Systems/Network File Systems

In der Regel werden und sollten Sie auf einem Webserver keinen Fileserver betreiben. Deshalb benötigen Sie NFS file system support und NFS server support nicht und können sie deaktivieren.

8 9

Sind die Kernel-Einstellungen für unseren Webserver optimiert, können Sie das Menü über exit verlassen und die Einstellungen speichern. Nun gilt es, die Kompilierung des Kernels mit make anzustoßen. Nachdem der Vorgang durchlaufen ist, was auch auf aktuellen Systemen einige Zeit beanspruchen wird, sollten Sie Zeilen wie:

10 11 12

Root device is (3, 2) Boot sector 512 bytes. Setup is 2352 bytes. System is 1848 kB Kernel: arch/i386/boot/bzImage is ready

13 14

sehen können. Wurden keine Fehlermeldungen ausgegeben, dann können Sie den Kernel wie im folgenden Abschnitt beschrieben aktivieren. System mit neuem Kernel booten Sobald die Prozedur durchlaufen ist, finden Sie den fertigen Kernel als arch/i386/boot/bzImage im Verzeichnis der Kernel-Quellen linux-2.4.29 beziehungsweise linux-2.6.10. In Lilo ist der vollständige Pfad zum bzImage des neuen Kernels unter image= einzutragen und mit label="Mein Kernel" ein griffiger Name für das eigene Kernel-Image zu vergeben. Werfen Sie einen Blick in das Boot-Verzeichnis Ihrer Distribution. Hier sollte eine System.map-Datei zum bereits verwendeten Kernel mit Namen: System.map-Kernel-Version stehen. An diese Stelle sollten Sie auch die System.map des Kernel-Quellverzeichnisses mit entsprechend angepassten Dateinamen kopieren. Da uname -r die Bezeichnung des Kernels ausgibt, mit dem

Der eigene Kernel

115

das System gebootet wurde, können Sie beim Kompilieren einer neuen KernelVersion oder nach Nutzung von Patches den Befehl uname nicht verwenden, um den Namen Ihres neuen Kernels herauszufinden. In diesem Fall gilt es einen Blick in die Datei bsetup.s (liegt im gleichen Verzeichnis, in dem bzImage erzeugt wurde) zu werfen:

debian:/usr/src/linux-2.4.29 # grep \ kernel_version arch/i386/boot/bsetup.s .word kernel_version # pointing to kernel \ version string kernel_version: .ascii "2.4.29" Sie müssen nur noch die Kernel-Versionsbezeichnung (in unserem Beispiel 2.4.29) an die Bezeichnung »System.map-« hängen. In unserem Beispiel ist als Mapname somit System.map-2.4.29 zu verwenden. Der cp-Befehl lautet folglich: cp System.map /boot/System.map-2.4.29 Beachten Sie, dass die Kernel-Versionsbezeichnung nach dem Einspielen von Patches wie linux-vserver oder systrace oder bei Nutzung eines speziellen Kernel-Archivs von einer simplen Versionsbezeichnung abweichen kann und deshalb über grep kontrolliert werden sollte! Ist das System mit dem neuen Kernel nach Aufruf von lilo und einem Neustart korrekt gestartet, dann können Sie ihn als Default-Kernel festlegen (siehe Abschnitt 2.5.1, LILO – Generic Bootloader for Linux) Weitere Informationen zu Lilo finden Sie auch im Abschnitt 2.5.1, LILO – Generic Bootloader for Linux.

2.9.2

OpenBSD

Um einen eigenen Kernel kompilieren zu können, müssen Sie zunächst die Kernel-Quellen über einen Mirror beziehen. Im Verzeichnis /pub/OpenBSD/3.6/ sollten Sie die Dateien src.tar.gz und sys.tar.gz finden, die beide benötigt werden und auch auf der CD zum Buch zu finden sind. Die Pakete sind in das Verzeichnis /usr/src zu entpacken. Danach können Sie in das neue Verzeichnis /usr/src/sys/arch/i386/conf wechseln und cp GENERIC foo aufrufen, um die Anpassungen nicht direkt an der ursprünglichen Konfigurationsdatei vornehmen zu müssen. Anstelle des Löschens nicht gewünschter Konfigurationsoptionen sollten Sie die Zeile durch ein Kommentarzeichen deaktivieren, um so bei einer späteren

116

Erste Schritte

1 2 Neukompilierung versehentlich deaktivierte Optionen wieder problemlos aktivieren zu können.

3

Insbesondere die Konfigurationsoptionen zu PCMCIA und dem CardBus-Support können neben nicht benötigten Treibern zu Netzwerkkarten, Controllern, Joysticks, jeglicher Unterstützung für Audio und andere für einen Webserver unnütze Bestandteile getrost deaktiviert werden.

4 5

Sobald die Anpassungsarbeiten abgeschlossen sind, können Sie config foo aufrufen. Eventuell weist Sie config auf Einstellungen hin, die im Zusammenhang mit der Deaktivierung einzelner Optionen ebenfalls auskommentiert werden müssen oder die für Ihre Konfiguration benötigt werden und wieder zu aktivieren sind.

6 7 8

# config foo foo:278: wdc* at pcmcia? is orphaned (nothing matching \ pcmcia? declared) *** Stop.

9 10

In diesem Fall könnte die Zeile

wdc*

11

at pcmcia? function ?

ebenfalls auskommentiert werden, damit config wunschgemäß durchläuft:

12

# config foo Don't forget to run "make depend" Kernel options have changed -- you must run "make clean"

13 14

Wechseln Sie nun ins Verzeichnis ../compile/foo und rufen Sie make clean depend && make auf. Auch hier könnten unerwartete Komplikationen auftreten, wenn einzelne Bestandteile unerwartet Abhängigkeiten zu auskommentierten Einträgen aufweisen, die von config im Vorfeld nicht erkannt wurden:

if_sis.o: Undefined symbol '_mii_phy_reset' \ referenced from text segment i82365.o: Undefined symbol '_pcmcia_card_attach' \ referenced from text segment Aus den Beispielzeilen können Sie entnehmen, dass das Interface sis (meine Netzwerkkarte) auf mii-phy-Geräteinformationen zugreifen muss. Weiterhin habe ich irgendwo das Auskommentieren einer PCMCIA-Zeile übersehen. Letzteres lässt sich recht einfach korrigieren. Die Frage nach dem von sis benötigtem mii-Modul lässt sich dagegen nicht so einfach beantworten. Wenn Sie sich nicht sicher sind und im Web ebenfalls keine Informationen finden können, hilft lediglich die Aktivierung aller mii-Einträge weiter.

Der eigene Kernel

117

Die Änderungen sind wiederum über config foo vor dem erneuten make clean depend && make zu aktivieren. Falls alles funktioniert hat, finden Sie am Ende des Kompilierungsprozesses anstelle einer Fehlermeldung die Zeilen:

text data 2228224 77824

bss 237896

dec hex 2543944 26d148

Vergleichen Sie die Kernel-Größe Ihres angepassten Kernels mit dem des Standardsystems, um die sicherlich deutlichverringerte Kernel-Größe bewundern zu können:

# ls -l bsd -rwxr-xr-x 1 root # ls -l /bsd -rw-r--r-- 1 root

wsrc wheel

2523456 Jun 4515116 Oct

1 20:11 bsd 5

2002 /bsd

Allerdings können Sie noch immer nicht mit Sicherheit beurteilen, ob der Kernel das System sauber booten wird und darüber hinaus sämtliche Hardware (insbesondere Netzwerkkarte) korrekt eingebunden werden kann. Deshalb sollten Sie den alten Kernel nicht einfach durch den neuen ersetzen, sondern den neuen unter anderem Namen nach / verschieben:

# cp /sys/arch/i386/compile/foo/bsd /meinkernel Zur endgültigen Überprüfung bietet sich ein Rebooten an. Geben Sie am Bootprompt vor dem Laden des eigentlichen Systems set image /meinkernel ein und klicken Sie zweimal auf Return. Nun startet das System mit Ihrem »eigenen« Kernel. Falls alles wunschgemäß funktioniert hat und die Hardware erkannt wurde, können Sie die Zeile set image /meinkernel in /etc/boot.conf eintragen, um zukünftig bei jedem Start den »neuen« Kernel automatisch zu berücksichtigen. Siehe Abschnitt 2.5.2, Boot (OpenBSD) und Bootable-Flag (fdisk).

118

Erste Schritte

1 2

3 Wichtige Serverdienste

3 4 5

3.1

OpenSSH.................................................................. 121

3.2

Domain Name Server System ................................... 129

3.3

Apache ..................................................................... 139

3.4

Tomcat ..................................................................... 189

3.5

MySQL oder PostgreSQL? ........................................ 197

3.6

MySQL ..................................................................... 199

3.7

PostgreSQL .............................................................. 208

3.8

Die Komponenten eines Mailservers........................ 222

3.9

Postfix ...................................................................... 223

3.10 Courier-IMAP ........................................................... 255 3.11 Das Webinterface SquirrelMail ................................ 258 3.12 Der FTP-Server ProFTPD .......................................... 259

6 7 8

1

Einführung

2

Erste Schritte

3

Wichtige Serverdienste

4

Verwaltung und Administration

5

Server absichern

6

Linux-Vserver

7

Der eigene Server

8

Bürokratisches

1 2

3

Wichtige Serverdienste

3

Denn jede Sache, die gegeben nicht verliert, während sie besessen und nicht gegeben wird, wird niemals besessen, auf welche Weise sie besessen werden soll. (Aurelius Augustinus)

4 5 6

3.1

OpenSSH 7

Der Secure-Shell-Server ist der wohl wichtigste Dienst auf einem Webserver. Über ihn wird die Administration erledigt. Fällt der Dienst aus, lässt sich der Webserver nicht mehr von außerhalb steuern. Selbstverständlich ist der SSHDaemon begehrtes Angriffsziel von BlackHats und deshalb unbedingt mit den neuesten Sicherheits-Updates zu pflegen.

8 9

OpenSSH zählt unter OpenBSD, SUSE und Debian wie selbstverständlich zum Grundsystem. Unter SUSE und Debian kann OpenSSH, das übrigens vom OpenBSD-Team entwickelt wird, auch nachträglich über yast beziehungsweise dselect installiert oder entfernt werden.

10 11 12

Da in einer Telnet-Kommunikation neben den eigentlichen Verbindungsdaten auch das Passwort im Klartext übertragen wird, ist Telnet aus Sicherheitsgründen keine Alternative zu SSH. Ein Telnet-Server hat auf Ihrem Webserver nichts verloren und ist gegebenenfalls zu deinstallieren.

13 14

3.1.1

Konfiguration

Der sshd wird über /etc/ssh/sshd_conf konfiguriert. Die Standard-Einstellungen Ihres Systems sind in der Regel anzupassen. Damit der SSH-Server lediglich das sicherere Protokoll 2 verwendet, ist gegebenenfalls die »1« aus der Zeile Protocol zu entfernen. Login nur bestimmten Nutzern oder Gruppen erlauben Root-Logins sollten auf keinen Fall erlaubt sein. Dies würde Angreifern das Erraten Ihres Passwortes über eine Brute-Force-Attacke gestatten. Die Zeile PermitRootLogin no sperrt den root-Account für Logins. Nach dem Login als User können Sie gegebenenfalls su- verwenden, um root-Rechte zu erlangen. Noch besser ist es, lediglich ausgewählten Usern Zugriff über SSH zu gestatten. Sie können eine Nutzerliste über die Zeile AllowUsers festlegen. Die einzelnen

OpenSSH

121

Einträge sind mit einer Leertaste zu trennen. Es ist sogar möglich, den Zugriff eines Nutzers auf eine bestimmte IP-Adresse zu beschränken:

AllowUsers [email protected] ichbins Diese Zeile würde einen root-Login lediglich bei einer Verbindungsanfrage von 12.34.56.78 erlauben. Der Nutzer ichbins darf sich jedoch von jedem beliebigen Rechner aus einloggen. Sollen mehrere Nutzer SSH-Zugriff erhalten, bietet es sich an, mit »AllowGroups« zu arbeiten:

AllowGroups login [email protected] Diese Zeile erlaubt allen Usern der Gruppe Login, sich über SSH einzuloggen. Nutzer der Gruppe root können sich ausschließlich über den Rechner 12.34.56.78 einloggen. Rhosts deaktivieren Üblicherweise ignoriert SSH das unsichere Rhost-Protokoll. Dies ist sehr empfehlenswert und sollte in Ihrer Konfigurationsdatei entsprechend voreingestellt sein. Prüfen Sie daher, ob die Zeilen

RhostsAuthentication no IgnoreRhosts yes RhostsRSAAuthentication no in Ihrer Konfigurationsdatei enthalten sind, und ergänzen Sie die Datei gegebenenfalls. Authentifizierung Der Zugriff auf SSH kann neben einem Passwort auch über Schlüsselaustausch erfolgen (siehe den folgenden Abschnitt, PubkeyAuthentication). Es ist empfehlenswert, die Passwortübergabe generell zu aktivieren, um im Notfall von jedem x-beliebigen Rechner mit SSH-Client auf den Server zugreifen zu können:

PasswordAuthentication yes PermitEmptyPasswords no Aus Gründen der Sicherheit sollte immer ein Passwort vergeben sein. Dennoch wird dies bei der Erstellung eines Accounts schnell vergessen. Damit durch eine derartige Schusseligkeit nicht auch noch ein direkter Login in das System erfolgen kann, sollte auf einem existierenden Passwort bestanden und leere Passwörter mit »PermitEmptyPasswords no« ignoriert werden.

122

Wichtige Serverdienste

1 2 PubkeyAuthentication

3

Neben der Authentifizierung durch Passworteingabe kennt OpenSSH die »PubkeyAuthentication«. Insbesondere für Automatismen (zum Beispiel für ein regelmäßiges Backup) ist dies sehr nützlich. Obwohl die RSA- und DSA-Schlüssel sicherer sind als die Übertragung eines Passwortes, sind RSA- und DSA-Keys dennoch mit Vorsicht zu genießen: Wird der Arbeitsrechner mit den Schlüsseln geknackt, stehen dem Angreifer gleichzeitig die entsprechenden ServerAccounts offen.

4 5 6

Wer keinen besonders abgesicherten Server für die brisante Automationsaufgabe verwenden kann, auf dem beispielsweise lediglich für Backups ein SSHDaemon installiert ist und weder Mail- noch Webserver oder andere laufen, sollte es unbedingt vermeiden, Keys für den root-Account zu nutzen. Weisen Sie den zu übertragenden Daten einen unprivilegierten Account zu (oder erteilen Sie seiner Gruppe Leserecht), und verwenden Sie für das automatisierte Backup den unprivilegierten Account.

7 8 9 10

Um PubkeyAuthentication zu aktivieren, sind die folgenden Zeilen in die /etc/sshd/sshd_config aufzunehmen:

11

PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys

12

Mit ssh-keygen erzeugte Schlüssel ermöglichen den passwortlosen Login. Wie bereits erläutert, sollten Sie aus Sicherheitsgründen lediglich für unprivilegierte Accounts einen Key erzeugen. Unter UNIX-Derivaten rufen Sie dazu nach dem Wechsel zum gewünschten Nutzer-Account (der später die Verbindung zum Server aufbauen können soll) den Befehl ssh-keygen -t dsa auf. Die zu erzeugenden Schlüssel (id_dsa und id_dsa_pub) sind im Verzeichnis ~/.ssh abzulegen (Voreinstellung bestätigen). Bei der Frage nach der Passphrase ist lediglich (2 x) Return zu drücken.

13 14

Übertragen Sie id_dsa_pub auf den Server in das Home-Verzeichnis des Accounts, zu dem ein automatischer Login ermöglicht werden soll: scp .ssh/id_dsa.pub [email protected]: und loggen Sie sich auf dem Server mit dem Namen des Accounts und dem entsprechendem Passwort ein. Danach können Sie cat id_dsa.pub >> .ssh/authorized_keys ausführen. Falls das Verzeichnis .ssh noch nicht existieren sollte, können Sie es einfach selbst anlegen. Aus Sicherheitsgründen sollten Sie unbedingt darauf achten, dass die Zugriffsrechte des .ssh-Verzeichnisses auf 700 und die der authorized_keys-Datei auf 600 eingestellt sind und dem entsprechendem User gehören.

OpenSSH

123

Hinweis Leider sind Schlüssel, die mit ssh-keygen des OpenSSH-Pakets beziehungsweise dem kommerziellen SSH erzeugt wurden, nicht miteinander kompatibel. Das heißt, Sie müssen auf dem Client dieselbe SSH-Variante wie auf dem Server einsetzen (lediglich die Versionsnummer darf – in begrenztem Rahmen – abweichen). Falls Sie sich trotz korrekter Rechte von .ssh und authorized_keys nicht ohne Passwort einloggen können, sollten Sie daher auf dem Client dieselbe OpenSSH-Version wie auf dem Server installieren.

3.1.2

Betrieb

Um unseren Webserver mit SSH zu administrieren, benötigen Sie auf Ihrem Arbeitsrechner einen SSH-Client, der über das Protokoll 2 kommunizieren kann. Unter Linux, BSD und Mac OS X zählt ein SSH-Client bereits zum Lieferumfang und ein simples ssh [email protected] stellt eine SSH-Verbindung mit dem User nutzername zum Server servername.de her. Nach Eingabe des richtigen Passworts steht Ihnen eine Shell auf servername.de zur Verfügung. Vor Eingabe des Nutzernamens und Passworts prüft der SSH-Client den ServerKey. Sprechen Sie einen neuen Server an, ist der Key über die Eingabe von Yes einmalig zu bestätigen. SSH-Keys ändern sich lediglich dann, wenn Sie auf dem Server einen neuen HostKey erzeugen. Falls sich ein Angreifer zwischen SSH-Server und Client klinkt (»Man in the middle attack« genannt), ändert sich der Server Key und der Client macht Sie darauf aufmerksam. Fahren Sie dann auf keinen Fall mit der Eingabe des Nutzernamens und des Passworts fort, sonst hat der Angreifer gewonnen und Ihre Zugangsdaten abgefangen. In der Konfigurationsdatei des SSH-Clients /etc/ssh/ssh_config können Sie mit der Zeile

StrictHostKeyChecking yes ein versehentliches Bestätigen der Sicherheitsmeldung verhindern. Der SSHClient bricht den Vorgang automatisch ab, wenn der Server Key nicht mit dem gespeicherten Key übereinstimmt. Falls sich der Key tatsächlich geändert hat, sind die entsprechenden Zeilen (siehe IP-Adresse/Serverdomain) aus der Datei ~/.ssh/known_hosts zu entfernen.

124

Wichtige Serverdienste

1 2 scp (Secure Copy)

3

Secure Copy ermöglicht das Kopieren einzelner Dateien oder ganzer Verzeichnisse über eine sichere SSH-Verbindung. Mit:

4

scp ~/files.tgz [email protected]:~/Backup/ wird die Datei files.tgz vom Home-Verzeichnis des lokalen Rechners in den Ordner Backup des Users username auf dem Server hostname.de kopiert. Weitere Hinweise zu scp finden Sie in der gleichnamigen Manpage.

5

sftp (Secure-FTP)

7

6

Obwohl es SSH-Clients für Windows und Linux gibt, mit denen scp so komfortabel wie in einem Datei-Browser genutzt werden kann, wurde Secure Copy dennoch für das Kopieren einzelner Dateien oder Verzeichnisse ausgelegt. Wer scp als sichere Alternative zu FTP nutzen möchte, sollte deshalb lieber zu sftp greifen. In aktuellen OpenSSH-Versionen zählt sftp nicht nur zum Lieferumfang, es wird sogar in der Voreinstellung aktiviert:

Subsystem

sftp

8 9 10

/usr/local/libexec/sftp-server

11

Falls Sie diese Zeile am Ende Ihrer sshd_config finden, ist sftp unmittelbar einsatzbereit. Fehlt die Zeile, können Sie über whereis sftp-server den korrekten Verzeichnispfad herausfinden, um das Ende der Konfigurationsdatei mit der Subsystemzeile manuell zu ergänzen.

12 13

Für Linux sind neben gftp und der Konqueror-Erweiterung kio_fish auch grafische Clients vorhanden, die das SFTP-Protokoll unterstützen. Für einen Testlauf auf der Konsole genügt jedoch der Aufruf sftp [email protected].

14

Für Windows empfiehlt sich der SFTP-fähige FTP-Client FileZilla (SFTP über SiteManager aus dem File-Menü wählbar), der über http://sourceforge.net/projects/filezilla/ erhältlich und auf der CD zum Buch vertreten ist. Mac-User, die noch nicht auf OS X umgestiegen sind, müssen wohl oder übel mit einem kommerziellen Client wie Interarchy (http://www.interarchy.com) vorlieb nehmen. Putty und WinSCP2 für Windows Für Windows empfiehlt sich Putty als SSH-Client. Sie finden putty.exe im Windows-Verzeichnis der CD zum Buch sowie im Internet unter http://www.chiark.greenend.org.uk/~sgtatham/putty/. In der Voreinstellung ist die Schrift in Putty schlecht lesbar. Sie können Schriftart und -größe im Startfenster über Auswahl von Windows sowie den Unter-

OpenSSH

125

punkt Appearance an Ihre Wünsche anpassen. Auch die Schriftfarben lassen sich über Colours angenehmer gestalten. Speichern Sie Ihre Änderungen als Default-Settings (auf den ersten Abschnitt Session klicken) ab, um nicht bei jedem Start von Putty diese Schritte erneut vornehmen zu müssen. Wer scp über Windows nutzen möchte, wird an WinSCP2 großen Gefallen finden. Die Freeware ist auf der CD zum Buch sowie über http://winscp.vse.cz erhältlich.

Abbildung 3.1 Putty ist ein flexibel konfigurierbarer SSH-Client für Windows-Systeme.

3.1.3

User-Home-Verzeichnis chrooten

Leider stehen die Entwickler von OpenSSH einer offiziellen Integration von Chroot-Funktionen in den OpenSSH-Code kritisch gegenüber. Da jedoch einem mit SSH eingeloggten User sämtliche Informationen offen stehen, die worldreadable sein müssen, haben Sie die Wahl, lediglich vertrauenswürdigen Mitarbeitern einen SSH-Zugang anzubieten oder OpenSSH mit einem Chroot-Patch neu zu installieren. Falls Ihre Partner oder Mitarbeiter willens sind, scp oder sftp zu nutzen, ist der Sicherheitsgewinn den zusätzlichen Aufwand durchaus wert. Obwohl Sie die OpenSSH-Version Ihres Systems patchen könnten, empfehle ich Ihnen die zusätzliche Installation einer gepatchten neben der bereits genutzten Version.

126

Wichtige Serverdienste

1 2 So können Sie bei etwaigen Problemen jederzeit zur Standard-Version Ihrer Distribution zurückkehren.

3

Installation

4

Unter http://chrootssh.sourceforge.net finden Sie eine aktuelle OpenSSHVersion, die bereits den Chroot-Patch erhalten hat. Weiterhin sollten Sie die Quellen von OpenSSL (http://www.openssl.org) und Zlib (http://www.gzip.org/zlib/) vor der Installation der gepatchten OpenSSHVariante kompilieren. Beachten Sie, dass zur Installation von OpenSSL im ersten Schritt lediglich ./config anstelle des sonst üblichen ./configure aufzurufen ist.

5 6 7 8

Sobald die Installation von OpenSSH abgeschlossen ist, sollten Sie die Konfigurationsdatei /usr/local/etc/sshd_config (für die gepatchte OpenSSH-Version: /usr/local/sbin/sshd) entsprechend Ihren Wünschen anpassen. Im nächsten Schritt gilt es, den »alten« SSHD-Server zu beenden, ohne die aktuelle Verbindung auszuhebeln. Dies ist unkomplizierter, als es zunächst klingen mag. Die Hauptinstanz besitzt den ältesten Startzeitpunkt:

debGal:~# ps -aux | grep sshd root 192 0.0 0.7 6508 2000 ? root 484 0.0 0.7 6412 1972 ?

9 10 11

S 13:43 S 17:24

0:00 /usr/sbin/sshd 0:00 /usr/sbin/sshd

12

In unserem Beispiel würde der Befehl kill 192 den SSH-Server beenden, ohne die aktuelle Verbindung zu trennen.

13

Danach ist über /usr/local/sbin/sshd die gepatchte Version zu starten und zu testen, ob Sie eine zweite Verbindung aufbauen können. Loggen Sie sich auf keinen Fall vorher aus, da Ihr Server mangels korrekt arbeitendem SSH-Server nicht mehr von außen administrierbar sein könnte.

14

Beachten Sie, dass bei der Installation des OpenSSH-Servers ein neuer Key erzeugt wurde. Anhand der Warnmeldung erkennen Sie, dass der gepatchte und nicht der ursprüngliche SSH-Server Ihrer Distribution auf die Verbindungsanfrage antwortet. Hat der Login geklappt, können Sie in den Startskripten Ihres Systems den Aufruf des »alten« SSHDs durch /usr/local/sbin/sshd ersetzen. Einrichtung eines chrooted SSH-Accounts Damit die Chroot-Umgebung überhaupt nutzbar ist, gilt es, neben /bin/sh (der Chroot-Patch setzt diese Shell voraus) auch die wichtigsten Systembefehle wie

OpenSSH

127

ls, rm oder mkdir mitsamt den benötigten Bibliotheken zu kopieren. Welche Dateien benötigt werden, verrät ldd:

debGal:/lib# ldd /bin/sh libncurses.so.5 => /lib/libncurses.so.5 (0x40017000) libdl.so.2 => /lib/libdl.so.2 (0x40055000) libc.so.6 => /lib/libc.so.6 (0x40059000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) Die Ausgabe kann von Ihrem System abweichen. Für einen ersten Testversuch mit dem neuen Account chr sind folgende Befehle notwendig:

mkdir -p /home/chr/bin mkdir /home/chr/lib cp /bin/sh /bin/ls /home/chr/bin/ cp 'ldd /bin/ls | cut -d" " -f3' /home/chr/lib/ cp 'ldd /bin/sh | cut -d" " -f3' /home/chr/lib/ Nun können Sie über chroot /home/chr /bin/sh prüfen, ob Sie in das Verzeichnis chrooten können. Nach Eingabe von cd / && ls dürften lediglich die beiden Verzeichnisse /bin und /lib zu sehen sein. Sie können den Käfig über ein simples exit verlassen. Wenn Sie den Nutzer-Account chr erzeugen, sollten Sie als Home-Verzeichnis /home/chr/./home verwenden und das Verzeichnis /home/chr/home anlegen sowie dem Nutzer chr überschreiben. Erst das sinnlos wirkende /./ veranlasst die gepatchte Version Ihres OpenSSH-Servers, den bis zu dieser Stelle angegebenen Pfad als Chroot-Verzeichnis zu verwenden. Aus /home/chr/./home wird somit chroot /home/chr/. Nach dem Einloggen findet sich chr daher in seinem /home-Verzeichnis wieder, ohne auf die Ordner unterhalb von /home/chr zugreifen zu können. Damit OpenSSH die User-ID dem Account zuordnen kann (ist für einen Login zwingend notwendig), gilt es, abschließend die entsprechende Zeile aus der /etc/passwd-Datei zu übernehmen:

mkdir /home/chr/etc grep "chr" /etc/passwd > /home/chr/etc/passwd Die grundlegenden Vorbereitungen sind damit abgeschlossen. Loggen Sie sich über ssh testweise ein, um den Account und die korrekte Arbeitsweise des gepatchten OpenSSH zu überprüfen. Abschließend sollten Sie erwünschte Befehle wie mkdir, rmdir, mv, cp oder rm zusammen mit den benötigten Bibliotheken ins Nutzerverzeichnis von chr kopieren. Damit Sie diesen Vorgang nicht für jeden SSH-Account wiederholen müssen, bietet sich ein Shell-Skript an.

128

Wichtige Serverdienste

1 2 Alternativ wäre es auch möglich, ein Dummy-Verzeichnis anzulegen, das bereits die richtige Struktur und sämtliche Befehle enthält. Ist ein neuer SSHchroot-Zugang einzurichten, könnten Sie das Verzeichnis einfach kopieren und dem Nutzer übertragen.

3 4

Hinweis: Um sftp nutzen zu können, müssen Sie das sftp-server-Binary mit seinen Bibliotheken (siehe ldd /usr/lib/sftp-server) an die gleichnamigen Orte im Chroot-Käfig kopieren.

5 6

3.2

Domain Name Server System 7

Die Kommunikation zwischen einzelnen Rechnern erfolgt im Internet über IPAdressen. Lediglich durch Zahlenkombinationen wie 192.168.0.33 (eine lokale Adresse) wissen die Rechner, wohin einzelne Pakete geschickt werden sollen oder an welche Adresse eine Anfrage zu richten ist.

8 9

Da Menschen sich Namen in der Regel leichter merken können als Zahlen, wurde das DNS-System eingeführt. Nameserver speichern IP-Adressen dezentral ab und sind in der Lage, unzählige Anfragen nach der IP-Adresse einer Domain zeitnah zu beantworten.

10 11

Der Aufruf von http://www.wunschname.de führt daher zunächst zu einer Nachfrage beim voreingestellten DNS. In der Regel stellt jeder ISP einen DNS zur Verfügung und erklärt den Nutzern, wo dieser in den Windows-Einstellungen zu konfigurieren ist. Unter UNIX dient übrigens /etc/resolv.conf zur Konfiguration der vom System zu nutzenden Nameserver.

12 13 14

Erst wenn der Nameserver die Domain in eine IP-Adresse aufgelöst und diese dem Client mitgeteilt hat, startet der Client den eigentlichen Verbindungsaufbau über die IP-Adresse von http://www.wunschname.de. Da im Header jedoch auch der Domain-Name übergeben wird, ist es möglich, mehrere verschiedene Homepages mit ein und derselben IP-Adresse über unterschiedliche Domain-Adressen anzusprechen. Ein Ausfall des DNS-Systems wäre fatal, wenn die Struktur nicht dezentral angelegt wäre. Der Trick ist: DNS bei Internet-Zugangs-Providern speichern IPAdressen zwischen, um Anfragen schneller beantworten zu können. In regelmäßigen Abständen (meist alle zwei Tage oder einmal täglich) werden die Datenbestände bei einer erneuten Anfrage aktualisiert. Ist der für die Domain zuständige DNS nicht erreichbar, wird die Adresse nochmals aus dem »veralteten« Zwischenspeicher hervorgezaubert. Da ein Ausfall des Nameservers nicht ungewöhnlich ist, und es gleichzeitig sehr unwahrscheinlich ist, dass die IP-Adressen und Domains Ihres Servers

Domain Name Server System

129

allen wichtigen DNS bereits bekannt sind, bestehen Domain-Vergabestellen wie die DENIC (zuständig für .de-Domains) bei Domain-Registrierungen und -Änderungen auf zwei voneinander unabhängigen DNS-Servern. Die DNS dürfen noch nicht einmal im selben Subnetz liegen. Doch keine Sorge, bis Ihnen ein zweiter DNS-Server in einem »fremden« Subnetz zur Verfügung steht, können Sie zu günstigen Konditionen (manchmal sogar kostenlos) einen zweiten Nameserver bei Ihrem Domain-Dienstleister nutzen. Aufmerksame Leser werden sich an dieser Stelle fragen, woher DNS einzelner ISPs erfahren, welcher DNS für eine Domain zuständig ist. Sobald eine Domain registriert wird, leitet die Vergabestelle die entsprechenden Daten (DomainName und Nameserver1 sowie Nameserver2) an den Root-Nameserver für die jeweilige Domain weiter. Ist einem DNS eine Domain unbekannt, startet er eine Anfrage an einen der zuständigen Root-Nameserver. Als Antwort erhält er die für diese Domain zuständigen Nameserver zurück. Nun wird er aus den mitgeteilten DNS »zufällig« einen für seine erste Anfrage auswählen (ist dieser offline, wird der zweite ausprobiert). Eine aktuelle Liste der Root-Nameserver liegt jeder Bind-Installation bei und kann über less /var/named/root.hint eingesehen werden.

1.

Root-NS

2. Haupt-NS firma.de

Anfragender NS

3.

Nameserver entwicklung.firma.de

Abbildung 3.2 Durch die dezentrale Struktur des DNS können durchaus mehr als zwei Anfragen notwendig sein, um eine IP-Adresse zu ermitteln.

Hierbei gilt zu beachten, dass für eine Domain zuständige DNS nicht zwangsläufig alle Informationen bereithalten. Insbesondere Subdomains (forschung.universitaet-oberschlau.de), die auf Filialen oder ausgelagerte Abtei-

130

Wichtige Serverdienste

1 2 lungen einer großen Firma verweisen, werden manchmal über einen (oder mehrere) zusätzliche DNS verwaltet, wie Abbildung 3.2 verdeutlicht.

3

Häufig werden Subdomains lediglich genutzt, um auf andere Webseiten desselben Angebots als Einstiegsseite zu verweisen. So könnte »nachrichten.firma.de« auf die Seite mit aktuellen Nachrichten der Firma »firma.de« verweisen, »kontakt.firma.de« jedoch auf das Impressum. IP-Adresse und zuständige Nameserver können in beiden Fällen identisch sein. Wie der Apache anhand der Domain-Adresse dennoch »auf eine andere Startseite« verweist, wird in Abschnitt 3.3.3, Default Server und virtuelle Hosts, erläutert.

4 5 6 7

3.2.1

Grundkonfiguration

8

Um der grauen Theorie etwas Farbe zu verleihen, widmen wir uns einem kleinen, lokalen Nameserver, der in der Lage sein soll, die Rechner Ihres lokalen Netzwerks anhand von (Sub-)Domains aufzulösen.

9

Installieren Sie zunächst das Bind9-Paket Ihres UNIX-Derivats (falls noch nicht geschehen), und fügen Sie am Ende der Konfigurationsdatei /var/named/ named.conf (unter Debian /etc/bind/named.conf) folgende Zeilen ein:

10 11

zone "home.test" in { type master; file "db.home.test"; };

12 13

Nach dem nächsten Reload der Nameserver-Konfigurationsdatei weiß Bind, dass er für die Domain home.test als »master« zuständig ist. Die Informationen über die Domain home.test werden über die Datei db.home.test geladen. Letztere gilt es, im Verzeichnis /var/named/ mit folgenden Zeilen zu erstellen:

$TTL 2D @

IN SOA

@ @ *

IN NS IN A IN A

14

@

admin.localhost.test. ( 1999092901 ; serial 1D ; refresh 2H ; retry 1W ; expiry 1D ) ; Negative C-TTL home.test. 192.168.0.25 192.168.0.25

Domain Name Server System

131

$TTL 2D (Time to live) $TTL 2D legt die Time to live fest. Nach Ablauf dieser Zeit (im Beispiel zwei Tage) sind Nameserver angehalten, den Cache bei der nächsten Anfrage zu aktualisieren (die Nameserver-Informationen zur angefragten Domain neu zu beziehen). SOA (Start Of Authority) SOA-Record legt fest, in welchem Zuständigkeitsbereich die Toplevel-Domain liegt, und gibt die E-Mail-Adresse des zuständigen Administrators an (hier [email protected]). Beachten Sie, dass anstelle des @-Zeichens ein Punkt zu verwenden ist. Der erste Eintrag in der Klammer bezeichnet die Seriennummer. Verwenden Sie hier das Datum mit angehängter Versionsnummer im Format: YYYYMM DDNR. So steht 2003011203 für die dritte Änderung am 12. Januar 2003. Achtung: Bei einer Domain-Registrierung wird geprüft, ob die angegebenen Nameserver dieselbe Versionsnummer für die Domain verwenden. Slave-Nameserver (siehe Abschnitt 3.2.3, Bind im harten Server-Einsatz) verwenden das Refresh-Intervall zur Aktualisierung ihrer Zonendaten. Falls ein Refresh gerade nicht möglich ist, wartet der Slave das unter retry definierte Zeit-Intervall ab, bevor der nächste Versuch gestartet wird. Diese Prozedur wiederholt sich so lange, bis der Refresh erfolgreich durchgeführt werden konnte. Gelingt es dem Slave nicht, die Zonendaten neu zu beziehen, wird der Slave nach dem in expire definierten Zeitraum den Cache löschen und weitere Domain-Anfragen an diese Zone mit »nicht existent« beantworten. Negative caching time to live gibt den Zeitraum an, in dem von anfragenden Nameservern bei einem negativen Ergebnis ohne erneute Abfrage an den eigentlichen Nameserver die Domain-Anfrage mit unbekannt beantwortet wird. Wird eine Domain nicht gefunden, befragt der gleiche Nameserver den für diese Domain zuständigen Nameserver erst nach Ablauf der negativen CTTL erneut nach der gewünschten Domain. Innerhalb des Zeitraums beantwortet der Nameserver Domain-Anfragen »eigenmächtig« als unbekannt. Die zeitliche Problematik von Domain-Änderungen und -Umzügen wird durch die $TTL- und SOA-Intervalle deutlich. Da die Zeitwerte immer von der letzten Anfrage des fremden Nameservers abhängig sind, können durchaus mehrere Tage vergehen, bis sämtliche fremde cachende Nameserver die Domain-Informationen aktualisiert haben.

132

Wichtige Serverdienste

1 2 IN NS

3

IN NS legt den zuständigen Nameserver fest. Üblicherweise ist der Eintrag doppelt vorhanden, da meist zwei Nameserver die Daten einer Domain bereithalten.

4 5

IN A, Domainnamen, @ und * Das At-Zeichen steht als Kürzel für unsere Domain-Zone. Anstelle von @ könnten Sie also auch home.test. eingeben. Beachten Sie den abschließenden Punkt hinter der Toplevel-Domain test. Fehlt dieser, erweitert Bind den Eintrag zusätzlich um Domainname.Topleveldomain. Aus home.test würde die Subdomain home.test.home.test entstehen.

6 7 8

Dies erklärt auch die letzte Zeile * IN A 192.168.0.25. Sämtliche angefragten Subdomains werden mit der IP-Adresse 192.168.0.25 aufgelöst. Selbstverständlich könnten Sie Subdomains auch definieren:

@ buchhaltung *.buchhaltung.home.test. *

IN IN IN IN

A A A A

9

192.168.0.35 192.168.0.33 192.168.0.34 192.168.0.35

10 11

Der zweite Eintrag mappt buchhaltung.home.test auf die IP 192.168.0.33. Falls buchhaltung.home.test um eine weitere Subdomain erweitert wird, liefert der Nameserver die IP 192.168.0.34 als zuständigen Server aus. Für alle anderen Subdomains (und home.test) ist dank @ und * der Rechner mit der IP 192.168.0.35 zuständig.

12 13 14

Die Reihenfolge ist hierbei unbedingt zu beachten. Falls Sie das Sternchen an den Anfang von IN-A-Records stellen, wird der Server 192.168.0.35 für sämtliche Domains der Zone home.test zuständig.

3.2.2

Testlauf

Laden Sie zunächst über /etc/init.d/named reload die Zonendateien neu. Installieren Sie das Paket dnsutils (enthaltene Programme zählen zum OpenBSD-Grundsystem), und rufen Sie dig domainname auf, um den in /etc/resolv.conf eingetragenen Nameserver nach der Domain domainname zu befragen. Falls Sie einen anderen Nameserver unabhängig von der ResolverKonfiguration ansprechen möchten, können Sie das At-Zeichen verwenden:

user@linbook:~> dig @192.168.0.25 buchhaltung.home.test ; <<>> DiG 9.1.3 <<>> @192.168.0.25 buchhaltung.home.test ;; global options: printcmd

Domain Name Server System

133

;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5083 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1,\ ADDITIONAL: 1 ;; QUESTION SECTION: ;buchhaltung.home.test. IN A ;; ANSWER SECTION: buchhaltung.home.test. 172800 IN A 192.168.0.33 ;; AUTHORITY SECTION: home.test. 172800 IN NS home.test. ;; ADDITIONAL SECTION: home.test. 172800 IN A 192.168.0.25 ;; Query time: 7 msec ;; SERVER: 192.168.0.25#53(192.168.0.25) ;; WHEN: Sat Feb 8 19:20:52 2003 ;; MSG SIZE rcvd: 85 Die IP-Adresse des für buchhaltung.home.test zuständigen Servers finden Sie unter der Zeile ANSWER SECTION (192.168.0.33). Sämtliche zuständigen Nameserver werden im Abschnitt AUTHORITY SECTION gelistet. Über ADDITIONAL SECTION ist zu erkennen, dass die Haupt-Domain home.test über die IPAdresse 192.168.0.25 erreichbar ist und die Subdomain buchhaltung.home.test (IP 192.168.0.33) vermutlich auf einem anderen Rechner liegt.

3.2.3

Bind im harten Server-Einsatz

Im Wesentlichen unterscheidet sich der Umgang mit echten Domain-Adressen nicht von dem mit unseren lokalen Test-Domains. Indes gilt es, MX-Records für die zuständigen Mailserver zu erteilen und einige Sicherheitsvorkehrungen zu treffen, um den für seine Sicherheitsprobleme bekannten Bind abzusichern. Weiterhin gilt es, einen zweiten Nameserver aufzusetzen. Bind sollte auf Anfragen lediglich dann antworten, wenn die Domain in seinem Zuständigkeitsbereich liegt (so genannte Zonentransfers sind zu verbieten). Die MX-Records (Mail-Exchanger) Wie der Name schon sagt, werden über die MX-Records die zuständigen Mailserver einer Domain definiert. Anfragende Mailserver stellen die Nachricht dem mit höchster Priorität erreichbaren Server zu. Verwenden Sie mehr als einen Mailserver, ist es empfehlenswert, einen Rechner als Backup-Mailserver

134

Wichtige Serverdienste

1 2 zu konfigurieren, der Nachrichten selbst dann annimmt, wenn der eigentliche Mailserver nicht erreichbar ist.

3

Als besonderen Clou können Sie die bestehende Mailserver-Konfiguration einfach übernehmen. Postfix erkennt automatisch, wenn er nicht als Root-Mailserver für eine Domain zuständig ist, und leitet die Nachrichten an den Root-Mailserver weiter, sobald dieser erneut erreichbar ist.

4 5

Der Vorteil liegt auf der Hand: Sie sind nicht der Geduld oder den Fehlermeldungen des fremden Mailservers ausgeliefert, da bei einem Ausfall des HauptMailservers der Backup-Server zur Verfügung steht. Erweitern Sie die Zonendateien Ihrer Domain um folgende Zeilen:

6

@ @

8

IN IN

MX 10 MX 20

7

root.mailserver.de. secondmail.meinezweitdomain.de.

9

Die Reihenfolge spielt keine Rolle. Abfragende Mailserver verwenden immer den ersten erreichbaren Mailserver mit dem niedrigsten MX-Eintrag (in unserem Beispiel root.mailserver.de).

10

Sicherheitsvorkehrungen innerhalb named.conf

11

Üblicherweise sind im Abschnitt Options der named.conf-Datei bereits einige Grundeinstellungen enthalten. Vergleichen und ergänzen Sie Ihre Konfigurationen gegebenenfalls durch folgende Zeilen:

12 13

options { directory "/var/cache/bind"; version "Nameserver meiner Firma"; allow-transfer { none; }; allow-recursion { localhost; }; };

14

Falls der Abschnitt Options nicht in Ihrer named.conf-Datei vorhanden ist, können Sie die Zeilen am Anfang der Konfigurationsdatei einfügen. Die eingangs erwähnte Problematik der Rekursion wird mit allow-recursion { localhost; }; auf die lokalen Dienste des Servers beschränkt. Arbeiten Sie mit einem zweiten Slave-Nameserver, ist anstelle von none unter allow-transfer die IP-Adresse des Slave-Nameservers einzutragen. Erlauben Sie Zonentransfers lediglich zu Ihren Slave-Nameservern (mehrere IP-Adressen durch Semikolon trennbar), da sonst jedermann Zugriff auf die gesamten Zonendaten Ihres Nameservers erhält und nicht nur einzelne Domains abfragen kann.

Domain Name Server System

135

Bind chrooten Der Bind-Daemon benötigt lediglich Zugriff auf seine Konfigurations- und Zonendateien. Deshalb kann er recht einfach in einem Chroot-Käfig als unprivilegierter Nutzer betrieben werden. Prüfen Sie zunächst, mit welchem User Bind derzeit läuft (ps –aux | grep named). Falls noch kein unprivilegierter Account für Bind existiert, sollten Sie zunächst einen neuen anlegen. Danach sind die folgenden Befehle aufzurufen:

mkdir –p /home/bind/var/cache/bind mkdir /home/bind/var/run chown –r bind /home/bind/var/* mv /var/named /home/bind/var/named ln –s /home/bind/var/named /var/named Hinweis Unter Debian finden Sie die Konfigurationsdateien anstelle von /var/named unter /etc/bind. Selbstverständlich sind die Verzeichnisangaben entsprechend abzuändern. Bind9 wechselt erst nach dem Programmaufruf ins Chroot-Verzeichnis. Deshalb werden das Binary und die benötigten Bibliotheken nicht im späteren ChrootKäfig gebraucht, und Sie können Bind über /usr/sbin/named -t /home/bind -u bind starten. Ein Slave-Nameserver Wer zwei eigene Nameserver betreibt, hat die Möglichkeit, die Zonendateien über Shell-Skripte abzugleichen. Allerdings können sich Administratoren diese Arbeit sparen, indem der zweite Nameserver als Slave konfiguriert wird und die Zonendaten über Zonentransfers selbstständig vom Master-Nameserver bezieht. Damit dies möglich ist, müssen Sie im Master-Nameserver Zonentransfers für die IP-Adresse des Slave-Nameservers erlauben. Es sei an dieser Stelle nicht verschwiegen, dass hierdurch eine potentielle Missbrauchsmöglichkeit (zum Beispiel über Spoofing) entsteht. Andererseits ersparen Sie sich den doppelten Pflegeaufwand. Eine Automatisierung über ein Shell-Skript birgt ebenfalls Gefahren. Die Zeile allow-transfer { 192.168.0.2; }; im OptionsAbschnitt von named.conf des Master-Nameservers würde dem Slave-Nameserver (192.168.0.2) einen Zonentransfer gestatten.

136

Wichtige Serverdienste

1 2 Die Konfiguration des Slave-Nameservers geht ebenso schnell von der Hand. Auch hier gilt es, lediglich die named.conf anzupassen:

3

zone "home.test" in { type slave; file "/etc/bind/db.home.test"; masters { 192.168.0.25; }; };

4 5 6

Hinweis Damit die Zonendatei geschrieben werden kann, benötig der User, unter dem Bind läuft, selbstverständlich ebenfalls Zugriff auf das Konfigurationsverzeichnis (in unserem Beispiel einer Debian-Chroot-Installation ist /home/bind/etc/bind dem Nutzer named zu überschreiben).

7 8 9

Änderungen an den Zonendateien des Masters übernimmt der Slave nach Ablauf des als Refresh definierten Zeitintervalls im SOA-Record. Sollen die Änderungen unmittelbar übernommen werden, ist der Slave-Nameserver neu zu starten. Ein Reload genügt nicht, da lediglich bei einem Neustart die bestehenden Zonendaten anhand der Seriennummer auf Änderungen überprüft werden. Allerdings genügt ein Reload, damit der Slave die Daten einer neuen Zone beziehen kann.

3.2.4

10 11 12 13

Domains registrieren und KK-Anträge

Domain-Verwaltungsbetriebe wie DENIC, AFILIAS oder CORENIC erhalten Domain-Anträge in einem automatisierten Verfahren von Registraren. Auch wer kein offizieller DENIC-Partner ist, hat die Möglichkeit, bei der DENIC Domains registrieren zu lassen.

14

Allerdings sind die Gebühren für eine direkte Registrierung einer Hand voll Domains sehr hoch, weshalb kleinere Hoster Domains nicht selbst registrieren, sondern die Anträge über einen »offiziellen« Registrar an die DENIC leiten. Dies kann sich für Sie nachteilig auswirken, wenn der Dienstleister den zwischengeschalteten Registrar nicht vereinbarungsgemäß bezahlt oder gar Pleite geht. Obendrein kommt es nicht selten vor, dass Domains nicht über ein und denselben Registrar angemeldet sind, sondern verschiedene Firmen beauftragt werden. Da für die Verwaltung der Domain-Namen nicht die Vergabestelle zuständig ist, müssen Sie in so einem Fall für Ihre eigenen Domains KK-Anträge bei sämtlichen involvierten Registraren einreichen. Um sich diesen Papierkrieg zu

Domain Name Server System

137

ersparen, rate ich dringend, Domains nur bei »offiziellen« Registraren zu bestellen. Unter http://www.denic.de/doc/DENIC/mitglieder.shtml finden Sie eine Liste sämtlicher »offizieller« Registrare für .de Domains. Darunter sind viele Firmen, die gleichzeitig Hosting-Pakete und dedizierte Server anbieten. Unter anderen ist bei http://www.server-service.de, http://www.hostserver.de oder http://www.http.net auch eine Domain-Registrierung ohne HostingPaket möglich. Betreiben Sie lediglich einen Nameserver, gilt es, bei einer Zusammenarbeit mit einem »offiziellen« Registrar darauf zu achten, ob der Dienstleister Ihnen einen oder gar zwei Nameserver für die Domain zur Verfügung stellt. Meist ist dies alles andere als selbstverständlich und (wenn überhaupt) ausschließlich als kostenpflichtige zusätzliche Dienstleistung erhältlich. Verfahren Obwohl die technische Realisierung der Administrationsoberfläche zur Domain-Verwaltung bei den einzelnen Registraren abweichen wird, gibt es grundsätzliche Verfahrenspunkte, die Sie überall wiederfinden und die Sie kennen sollten. Beachten Sie außerdem Abschnitt 8.3, Rechtliche Hinweise und Verfahrensfragen zu Domain-Adressen. .de-, .com-, .net- und .org-Domains Um .de-Domains zu beantragen oder über einen KK-Antrag ändern zu können, benötigen Sie ein so genanntes Handle für sich selbst (tech-c1 und zone-c2) sowie den admin-c3. Das Handle ist (kostenlos) gesondert und mit den jeweiligen Kontaktinformationen zu beantragen. Sobald das Handle erstellt ist, können Sie es über seine Kennung bei der Beantragung neuer Domains oder KK-Anträgen einsetzen. .info und .biz Die Handhabung von Info-Domains kann insbesondere bei KK-Anträgen Geduld erfordern, da das Zusammenspiel zwischen Registraren und der AFILIAS bisher nicht reibungslos abläuft. Für Sie bedeutet dies, dass Anträge durchaus mehrfach abzusenden sind, bevor die Abwicklung ordnungsgemäß abgeschlossen ist. 1 Tech-c = Technischer Verwalter 2 Zone-c = Zonenverwalter der Nameserver 3 Admin-c = Domain-Eigner (Endkunde). Der Domain-Eigner kann alternativ eine andere Person oder Firma als Ansprechpartner festlegen.

138

Wichtige Serverdienste

1 2 Leider werden bei .info- und .biz-Domains Handles erst mit der Domain-Vergabe beziehungsweise der Übernahme bereitgestellt. Dies führt dazu, dass Sie bei jedem (erneuten) Absenden eines Domain-Antrags die Kontaktdaten vollständig ausfüllen müssen.

3 4

Ärgerlicherweise sind Domain-Übernahmen auch unnötig kompliziert: Nach der erfolgreichen »Domain-Übernahme« (Bestätigung: TRANSFER OF DOMAIN »xy« REQUESTED SUCCESSFULLY) ist zusätzlich ein Update auszuführen, um die Domain in den eigenen Zugriffsbereich zu überschreiben und die Nameserver-Einträge zu aktualisieren.

5 6 7

3.2.5

Wann lohnt sich der eigene Nameserver?

8

Der Betrieb eines eigenen Nameservers lohnt sich nicht. Verwenden Sie lieber die Nameserver Ihres Dienstleisters für Domain-Registrierungen. Erst wenn Ihnen zwei eigene Server in unterschiedlichen Subnetzen zur Verfügung stehen, wird der Einsatz eigener Nameserver interessant, da Sie nun einen automatisierten Datenabgleich über ein Shell-Skript oder einen Slave-Nameserver vornehmen können.

9 10 11

Häufig bieten Registrare auch E-Mail-Robots an, über die per E-Mail neue Domain-Zonen angelegt und bestehende geändert werden können. Sogar das Bestellen oder Löschen einer Domain ist möglich. Allerdings sollten Sie davon aus Sicherheitsgründen Abstand nehmen. Neben möglichem Missbrauch von Seiten Dritter wären Sie denkbaren Programmfehlern Ihrer AutomationsSkripte ausgeliefert. Auch wenn üblicherweise nicht mehr als zehn DomainBestellungen pro Tag erlaubt sind, ist ein amoklaufender Robot ärgerlich und kann neben zusätzlicher Arbeit zudem Kosten und einige peinliche Telefonate verursachen.

3.3

12 13 14

Apache

Der Apache Daemon ist durch seine Eigenschaft als Webserver wohl der bekannteste Server-Dienst. Obwohl die Version 2 schon seit gut zwei Jahren als stabil bezeichnet werden kann, bieten sowohl Debian als auch OpenBSD noch immer lediglich die Version 1.3.x mit den entsprechenden Zusatzerweiterungen an. Da PHP 4.3.1 und neuere Versionen neben mod CGI (für Perl/Python) bereits stabil mit dem Apache 2 zusammenarbeiten, ist es nur eine Frage der Zeit, bis alle wichtigen Module und kommerziellen Erweiterungen einwandfrei mit Apache 2 zusammenspielen und die Distributoren sich dazu entschließen, Apache 1.3.x nicht länger zu verwenden. Vermutlich wird dies bereits mit dem

Apache

139

Erscheinen einer der nächsten OpenBSD- und Debian-Versionen der Fall sein. Ich will deshalb zugunsten der Performance-, Flexibilitäts- und Stabilitätsverbesserungen auf Installation und Konfiguration von Apache 2 eingehen. Die Konfigurationshinweise zu PHP oder mod_cgi lassen sich zu großen Teilen direkt auf die Version 1.3.x übertragen. Ich werde auf Besonderheiten gegebenenfalls hinweisen, so dass dieser Abschnitt auch für Nutzer der Version 1.3.x Hilfestellungen und Konfigurationstipps enthält. Vorweg weise ich darauf hin, dass eine zuverlässige Traffic-Auswertung (mod_logio) und die leistungsstarken Ausgabefilter, die es ermöglichen, in PHP- oder CGI-Skripten gleichzeitig auch SSI einzusetzen, erst seit Version 2 verfügbar sind. Neben der eigentlichen Auslieferung von HTML-Seiten an den Browser eines Clients ist der Apache nahezu grenzenlos erweiterbar. So verwundert es kaum, dass dank Modulen für einen Proxyserver serverseitige ImageMaps, WebDAV, Integration eines FTP-Servers oder Cookies zur eindeutigen Nutzeridentifizierung (um Besucherverhalten und Wege durch die Homepage beobachten zu können) nicht nur ganze Bücher gefüllt werden können, sondern kritische Stimmen den aufgeblasenen Umfang des Quellcodes einer Apache-Installation bemängeln. Dies ist allerdings nur bedingt richtig, da der Apache modular angelegt ist und lediglich mit den tatsächlich gewünschten Erweiterungen kompiliert werden kann. Tatsächlich empfiehlt es sich, den Apache aus Performance- und Sicherheitsgründen möglichst klein zu halten. Wer einen Proxyserver benötigt, dem sei Squid wärmstens ans Herz gelegt. Übrigens ist ein Proxyserver nur bedingt geeignet, die Server-Last zu senken. Falls Sie Lastverteilung realisieren möchten, eignet sich ein echter Loadbalancer wie pen (siehe Abschnitt 4.11, Loadbalancing) besser als mod_proxy und auch besser als Squid. Auch für anonymous FTP bietet sich ein richtiger FTP-Server eher an als die Erweiterung des Apache-Webservers. Auf die eindeutige Nutzeridentifizierung und Verfolgung mit mod_usertrack möchte ich schon aus Datenschutzgründen nicht näher eingehen. Die Möglichkeiten von mod_usertrack sind nur dann legitim, wenn Nutzer dem zugestimmt haben und entsprechend informiert wurden sowie keine »ahnungslosen« Surfer vorbeischauen können, wie beispielsweise in einem durch Passwort geschützten Bereich. Der experimentelle Stand der höchst interessanten Cache-Module (mod_cache, file-cache, mem-cache, disk-cache) spricht leider noch immer gegen den Einsatz auf einem Internet-Server. Ähnliches gilt für den effektiven Kompressionsfilter mod_deflate (in Apache1.3.x: mod_gzip), mit dem sich einerseits Bandbreite spa-

140

Wichtige Serverdienste

1 2 ren lässt, andererseits jedoch bei Browsern, die mit den komprimierten Daten nichts anfangen können, »nur Müll auf dem Monitor« erscheint.

3

Leider gewährt auch der selektive Einsatz von mod_deflate nach Prüfung der Browser-Kennung keine Sicherheit (Browser-Kennung lässt sich in der Regel ändern), so dass Sie derzeit auf den Einsatz dieses Moduls verzichten müssen, um sicherzugehen, keine Besucher mit älteren oder noch nicht entsprechend ausgereiften Browsern auszusperren.

4 5 6

Wer trotz der aufgeführten Gründe eines der von mir nicht näher besprochenen Module einsetzen möchte, dem sei die offizielle Apache-Dokumentation ans Herz gelegt. Der direkte Link zu den Modulhinweisen lautet: http://httpd.apache.org/docs-2.0/mod/.

3.3.1

7 8

Installation

9

Apache 2.0.52 finden Sie auf der CD zum Buch (src/httpd-2.0.52). Ich empfehle aus Sicherheitsgründen jedoch unbedingt die Installation der unter http://www.apache.org/dyn/closer.cgi bereitgestellten stabilen und aktuellsten Version, die Sie im Verzeichnis httpd der Mirrors finden.

10 11

Dank des bereits angesprochenen Sammelsuriums an Erweiterungen fällt ./configure --help=short sehr umfangreich aus. In Tabelle 3.1 habe ich die wichtigsten Zusatzerweiterungen oder mögliche Ausgliederungskandidaten zusammengestellt. Diese Übersicht sollte Ihnen helfen, ./configure die richtigen Optionen zu übergeben.

12 13 14

Eine Besonderheit des modularen Konzepts von Apache ist es, dass Erweiterungen entweder statisch oder als dynamische Module kompiliert werden können. Letzteres empfiehlt sich immer dann, wenn einzelne Module starken Weiterentwicklungen sowie häufigen Sicherheits-Patches unterliegen. Solange Updates mit der von Ihnen genutzten Apache-Version zurechtkommen, ist es ausreichend, das betreffende Modul neu zu kompilieren. Das erneute Übersetzen des gesamten Webservers, um lediglich eine neue Version von mod_php einzuspielen, entfällt. Da statisch kompilierte Erweiterungen performanter sind als dynamisch geladene Module, ist es nicht empfehlenswert, sämtliche Zusatzerweiterungen als dynamische Module zu kompilieren. Falls Sie die Module auth, access, digest, ssl oder alias zum Zeitpunkt des Kompilierens nicht benötigen, empfiehlt es sich, diese Erweiterungen als dynamische Module zu kompilieren, um sie bei Bedarf ohne langwierige Neukompilierung sofort aktivieren zu können.

Apache

141

Beachten Sie, dass der Apache Module erst durch die ./configure-Option --enable-so dynamisch laden kann. In der Voreinstellung ist die Unterstützung zum Laden von externen Modulen deaktiviert. Minimalbeispiel für statische Webseiten Für eine minimale Apache-Installation, mit der lediglich statische Seiten angezeigt werden sollen, können Sie bedenkenlos die verbesserten Möglichkeiten des Multi-Threading-MPMs »worker« verwenden und sämtlichen »Ballast über Bord werfen«:

./configure --disable-access --disable-auth \ --disable-include --enable-logio --disable-env \ --disable-status --disable-asis -–disable-cgid \ --disable-imap --disable-negotiation \ --disable-actions --disable-userdir \ -–with-mpm=worker Vielleicht sind Sie etwas verblüfft über die Verwendung von -–disable-cgid anstelle von -–disable-cgi. Die Begründung ist recht einfach: Wird der MPM-Worker verwendet, nutzt ./configure das hierfür performantere mod_ cgid in der Voreinstellung. Praxisbeispiel In der Praxis werden Sie, um Seiten dynamisch erzeugen zu können, auf SSI und zumindest eine Skriptsprache kaum verzichten wollen. Aufgrund der guten Absicherungsmöglichkeiten und der hohen Performance von mod_php ziehe ich PHP 4 und mod_so der Kombination von mod_cgid und mod_suexec vor. Wer die volle Kontrolle über seinen Webserver besitzt und somit weder Mitarbeitern, Bekannten, Freunden noch Kunden in irgendeiner Form Rechte (zum Beispiel für einen FTP-Zugang) bereitstellt, der kann gerne aus dem Vollen schöpfen und mod_cgi ohne oder mit mod_suexec aktivieren. Wer über den Browser Passwörter versenden möchte, sollte nach Möglichkeit auch auf mod_access verzichten und stattdessen lieber zu mod_ssl und einer Skriptsprache greifen. Die Datenübertragung mit SSL bringt selbst bei inoffiziellen Zertifikaten Sicherheitsvorteile gegenüber der Digest-Authentifizierung. Allerdings müssen Sie bei selbst erstellten Zertifikaten unschöne Warnmeldungen in Kauf nehmen. Manche Browser verweigern sogar grundsätzlich die Akzeptanz von inoffiziellen und daher als »unsicher« betrachteten Zertifikaten. Eine verschlüsselte Kommunikation ist dann nicht möglich. Falls Sie am Ver-

142

Wichtige Serverdienste

1 2 zeichnisschutz von mod_auth nicht vorbeikommen, sollten Sie sich überlegen, ob Digest-Verschlüsselung verwendet werden kann.

3

Beispiel für SSL mit dynamischen Modulen (für mod_php):

4

./configure --enable-ssl --enable-logio \ --disable-asis --disable-cgi \ --disable-imap --disable-actions \ --disable-userdir --disable-negotiation \ --enable-access=shared --enable-auth=shared \ --enable-auth-digest=shared --enable-so

5 6 7

Konfiguration für Buchbeispiele

8

Um sämtliche der folgenden Buchhinweise nachbauen zu können und die wichtigsten und interessantesten Möglichkeiten von Apache kennen zu lernen, ist der Webserver wie folgt zu kompilieren:

9

./configure --enable-auth-digest=shared --disable-actions \ --enable-logio -–disable-asis --disable-imap \ --disable-userdir --enable-so --enable-ssl \ -–enable-cgi=shared --disable-negotiation \ --enable-suexec=shared \ --with-suexec-caller=www-data \ --with-suexec-docroot=/home \ --with-suexec-logfile=/var/log/suexec.log

10

Als Shared Module kompilierte Erweiterungen aktivieren

14

11 12 13

Haben Sie sich für die Erstellung eines dynamischen Moduls (= shared) entschieden, finden Sie im Ordner /usr/local/apache2/modules/ die von Apache bei Bedarf zu ladende Moduldatei. Die Einbindung erfolgt über die Zeile:

LoadModule actions_module \ /usr/local/apache2/modules/mod_actions.so Hinweis Vom eigentlichen Modulnamen (mod_actions) müssen Sie sich die Kennung mod_ und das Suffix .so weg- sowie die neue Endung _module hinzudenken. Deshalb heißt die Zeile nicht LoadModule mod_actions /pfad/zur/datei.so, sondern LoadModule actions_module /pfad/zur/ datei.so.

Apache

143

Zu übergebende Option

Wirkung

--disable-access

Deaktiviert hostbasierte Zugriffsbeschränkungen (nach IPAdressen).

--disable-auth

Deaktiviert nutzerbasierte Zugriffsbeschränkungen (nach Nutzernamen und Passwort).

--enable-auth-digest

Ermöglicht eine Digest-verschlüsselte Passwortübertragung nach RFC2617 für mod_auth. Leider wird Digest noch immer nicht von allen Browsern unterstützt: Mit Internet Explorer, Amaya, Opera und Netscape (erst seit Version 7.0) beziehungsweise Mozilla funktioniert alles wunderbar. Allerdings müssen Besucher mit exotischeren oder älteren Browser-Versionen »draußen bleiben«.

--enable-auth-dbm

Wenn mit sehr vielen differenzierten Zugriffsbeschränkungen auf Nutzerebene (mod_auth) gearbeitet werden muss, empfiehlt sich der Einsatz einer BerkelyDB- oder DBM-Datei, um den Zugriff zu beschleunigen. Aktivieren Sie auth-dbm ab 100 eigenständigen Nutzerkennungen.

--enable-ldap

Aktiviert den LDAP-Support von Apache.

--enable-auth-ldap

Erlaubt Benutzerauthentifizierung über LDAP.

--disable-include

Deaktiviert Server Side Includes (SSI).

--enable-ssl

Ermöglicht es, Daten mit Secure Socket Layer (SSL) verschlüsselt zu übertragen. Benötigt und verwendet die OpenSSLLibrary. Als Alternative kann »die SSL-Version von Apache« http://www.apache-ssl.org installiert werden. Debian verwendet »zwei« Apaches: den herkömmlichen und Apache-SSL. Der Vorteil liegt in der flexibleren Konfiguration und der gezielteren Aktivierung benötigter Module. Der Nachteil liegt in den zwei zu pflegenden Apache-Installationen und entsprechend »doppelt« vorhandene Konfigurationsdateien.

--enable-dav

Bindet das WebDAV-Protokoll ein.

--enable-dav-fs

Aktiviert WebDAV mitsamt Versionsverwaltung und einem »eigenen Filesystem«. Allerdings sind die Clients für WebDAV derzeit noch nicht wirklich ausgereift. Das Apache-Modul ist jedoch bereits für den harten Einsatz geeignet.

--enable-ext-filter

Ein zusätzlicher Ausgabefilter, über den auch externe (also Apache-fremde) Befehle und Programme aufgerufen werden können. Weitere Hinweise unter: http://httpd.apache.org/docs2.0/mod/mod_ext_filter.html.

Tabelle 3.1 Die wichtigsten ./configure-Optionen für Apache 2

144

Wichtige Serverdienste

1 2 Zu übergebende Option

Wirkung

--enable-logio

Aktiviert Logmöglichkeiten für die tatsächliche Anzahl der einund ausgehenden Bytes (inklusive Headergrößen). So wird es dank Apache 2 endlich möglich, Traffic zuverlässig auszuwerten.

3 4

--disable-env

Verhindert das Setzen und Ändern neuer Umgebungsvariablen. In der Regel ist es wenig sinnvoll, auf mod_env zu verzichten.

5

--enable-mime-magic

Aktiviert die automatische Dateitypenerkennung, die auch ohne schlüssiges Suffix anhand des Dateiinhalts versucht, den Typ zuzuweisen.

6 7

Sehr Performance-hungrig. Nur gezielt für einzelne virtuelle Hosts freigeben, wenn darauf nicht verzichtet werden kann. --enable-charset-lite

Unterstützung für spezielle ISO-Zeichensätze (zum Beispiel Chinesisch, Kyrillisch, Russisch etc.). Siehe auch http://httpd.apache.org/docs-2.0/mod/mod_charset_lite.html.

--disable-status

Deaktiviert über einen Browser erreichbare Server-Hinweise. Hierzu zählt die Anzahl von aktiven wie inaktiven Eltern- und Kindprozessen (inklusive CPU-Auslastung, Prozesszeiten und Traffic in Byte).

8 9 10

Im Normalfall werden Sie diese Informationen nicht über einen Browser abfragen wollen. Falls Sie mod_status nutzen möchten, sollten Sie einen lokalen Text-Browser wie lynx mit ssh zur Abfrage nutzen und die Ausgabe von mod_status auf die lokale IP-Adresse beschränken (siehe mod_access).

11

--disable-autoindex

Deaktiviert die optionale Erzeugung von Verzeichnis-Listings. Im Normalfall ist es hilfreich, Verzeichnis-Listings selektiv aktivieren zu können.

13

--disable-negotiation

Versucht zu Browser-Anfragen, für die keine eindeutig passende Datei existiert, eine Auswahlliste möglicher Dateien, die der Anfrage entsprechen, zu erzeugen.

12

14

Aus Performance-Gründen sollten Sie auf mod_negotiation lieber verzichten. Weitere Informationen finden Sie unter: http://httpd.apache.org/docs-2.0/content-negotiation. html. --disable-asis

Deaktiviert die Option, Dateien mit ihrem Header unverändert (as-is) zu versenden.

--enable-info

Ermöglicht es, eine Übersicht der aktuellen Apache-Konfiguration über den Browser einsehen zu können. Die Ausgabe von mod_info sollte – wenn überhaupt – lediglich für localhost mit mod_access zugänglich sein.

--enable-cgid

Deaktiviert die Ausführung von CGI-Programmen über einen zusätzlichen Daemon (performanter, wenn ein Multi-Threading-MPM verwendet wird).

Tabelle 3.1 Die wichtigsten ./configure-Optionen für Apache 2 (Forts.)

Apache

145

Zu übergebende Option

Wirkung

--disable-cgi

Aktiviert die direkte Ausführung von CGI-Programmen durch den Apache. Unter dem Standard-MPM Prefork ist mod_cgi performanter als mod_cgid.

--enable-suexec

Ermöglicht es, CGI-Programme mit den Rechten des Eigentümers auszuführen, und verhindert so, dass Perl-, Python- oder PHP-Skripte automatisch mit den Rechten und Möglichkeiten des Webservers ausgeführt werden müssen. Damit suExec aktiviert wird, sind mindestens zwei with-suExec-Optionen zusätzlich zu übergeben. Dies ist ohnehin notwendig, da Sie zumindest die Optionen caller und docrot für ein sinnvolles suExec-Setup angeben müssen. Eine Beschreibung zu allen suExec-Optionen finden Sie unter: http://httpd.apache.org/docs-2.0/suexec.html.

--with-suexec-caller

User-Name, unter dem Ihr Webserver später laufen wird. Aufruf von suExec wird nur ihm gestattet.

--with-suexec-docroot

Geben Sie hier den Pfad zu dem Ordner an, in dem später Ihre Gast-Accounts liegen werden. Lediglich innerhalb des suExecdocroot wird der suExec-Wrapper zum Einsatz kommen.

--with-suexec-logfile

Pfad und Name des suExec-Logfiles

--with-suexec-userdir

Falls Sie die userdir-Optionen von Apache nutzen möchten (siehe - -disable-userdir), ist hier der Name des Webverzeichnisses anzugeben (Voreinstellung ist public_html).

--disable-imap

Deaktiviert serverseitige Image-Maps.

--disable-actions

Auf die Möglichkeit, externe Programme auszuführen, wenn ein bestimmter MIME Type/Handler aufgerufen wird, kann in der Regel verzichtet werden.

--enable-speling

Ermöglicht die Korrektur von Tippfehlern in URLs. Leider performancehungrig und daher nur eingeschränkt empfehlenswert.

--disable-userdir

Gestattet mit http://domain.de/~nutzername/datei.html den Aufruf von Webseiten, die in einem Ordner wie public_ html im Home-Verzeichnis eines Nutzers liegen. Die Nutzung virtueller Hosts ist dank Subdomains und flexiblerer Konfigurationsmöglichkeiten häufig auch für lokale Accounts die elegantere Lösung. http://nutzername.domain.de/datei.html wirkt zudem ungleich professioneller.

--disable-alias

Deaktiviert die Nutzung von Aliasen. In der Beispielkonfiguration werden Aliase genutzt, um das Icon-Verzeichnis bequemer zu verknüpfen.

Tabelle 3.1 Die wichtigsten ./configure-Optionen für Apache 2 (Forts.)

146

Wichtige Serverdienste

1 2 Zu übergebende Option

Wirkung

--enable-rewrite

Aktiviert das beliebte und von vielen als »magisch« bezeichnete mod_rewrite. Ermöglicht es, URLs mit regulären Ausdrücken zu verändern. Im Normalfall kann auf dieses sehr performancehungrige Modul verzichtet werden.

3

--enable-so

Gestattet die optionale und dynamische Einbindung von externen zusätzlichen Modulen. Wird beispielsweise für mod_php benötigt.

--with-mpm=worker

Kompiliert Apache mit dem performanteren MPM-Worker anstelle von Prefork. Die Nutzung ist leider nicht uneingeschränkt empfehlenswert (siehe in diesem Kapitel den Abschnitt Optimierung der Performance).

--with-mpm=perchild

4 5 6 7

Leider ist dieses MPM für die derzeit aktuelle Version 2.0.46 als experimentell eingestuft und sollte noch nicht zum Einsatz kommen. Das MPM ist nicht nur ein Kompromiss zwischen Worker und Prefork: Perchild ermöglicht es, neben CGI-Skripten auch statische HTML-Seiten oder PHP-Skripte lediglich mit den Nutzerrechten der ID des VirtualHosts auszuführen.

8 9 10

Der auszuführende Nutzer wird innerhalb der VirtualHost-Sektionen mit den User- und Group-Direktiven festgelegt. Damit die Ausführung möglich ist, müssen die Dateien natürlich mit den passenden Zugriffsrechten versehen sein.

11

Tabelle 3.1 Die wichtigsten ./configure-Optionen für Apache 2 (Forts.)

3.3.2

12

Grundkonfiguration

13

Bevor wir uns interessanten Detailfunktionen zuwenden können, gilt es, zunächst die Grundeinstellungen vorzunehmen. Für einen schnellen Test empfiehlt sich die Datei apache2/conf/highperformance.conf, die nach kleineren Anpassungen auch mit den minimalsten Apache-Einstellungen sofort zusammenarbeitet.

14

왘 Passen Sie den User- und den Group-Account-Namen gegebenenfalls an Ihr

System an. Am besten erstellen Sie für den Apache gleich einen eigenen Useraccount und eine besondere Gruppe. Wurde Apache mit suExec-Unterstützung kompiliert, ist der suExec-caller zwingend als User zu verwenden. 왘 Entfernen Sie das Kommentarzeichen vor den beiden Directory-Abschnitten

unterhalb »If this was a real server ...«:

# order allow,deny # allow from all

Apache

147

왘 Überprüfen Sie, ob der Host-Name (/etc/hostname) auch korrekt über

/etc/hosts aufgelöst werden kann. Sonst beschwert sich Apache mit der Meldung »Could not determine the server's fully qualified domain name«. Gegebenenfalls ist /etc/hosts zu erweitern:

192.168.0.2 vollstaendige.domain hostname 왘 Nach dem Aufruf von

/usr/local/apache2/bin/httpd -f \ /usr/local/apache2/conf/highperformance.conf wird der httpd-Daemon starten, und Sie können die im Verzeichnis /usr/local/apache2/htdocs abgelegten Testseiten im Browser aufrufen: http://192.168.0.2/index.html.de. Hinweis Da mod_autoindex (noch) nicht zum Einsatz kommt, erhalten Sie bei Aufruf von http://192.168.0.2/ die Fehlermeldung »You don't have permission to access / on this server.« Globale Server-Einstellungen

ServerTokens Prod weist den Apache an, lediglich seinen Programmnamen im response header mitzusenden (Security by obscurity). In der Voreinstellung (wenn ServerToken als Full oder gar nicht definiert wurde), sendet der Apache neben seiner vollständigen Versionsangabe zudem Informationen zu den einkompilierten Modulen und zum genutzten Typ des Betriebssystems.

ServerName Name.domain:80 ermöglicht eine vom Host-Namen abweichende Server-Bezeichnung. Optional kann auch der Port angegeben werden. Dies ist interessant, wenn ServerSignature eingeschaltet wird.

ServerAdmin [email protected] Die Definition einer E-Mail-Adresse des zuständigen Server-Administrators ist bei Fehlermeldungen des Webservers und aktivierter ServerSignature nützlich.

ServerSignature [Off | On | eMail] ServerSignature Off unterbindet zusammen mit ServerTokens Prod die Kennzeichnung der Apache-Version vollständig. Andererseits ist die Option E-Mail sehr interessant, da der Apache dann in Verzeichnisübersichten (mod_autoin-

148

Wichtige Serverdienste

1 2 dex) und bei sämtlichen Fehlermeldungen nebst der Apache-Versionsnummer sowie dem Betriebssystemtyp zudem mit einem Hinweis auf die E-MailAdresse des zuständigen Administrators »unterschreibt« (siehe ServerAdmin). Wenn Sie ServerSignature auf On setzen, wird lediglich die Apache-Versionsnummer und der Typ des Betriebssystems ausgegeben.

3 4 5

listen 8080 listen 192.168.0.2:80

6

In der Voreinstellung lauscht der Apache auf dem Port 80 sämtlicher IP-Adressen und Netzwerk-Interfaces. Über die Listen-Direktive können Sie Apache 2 anweisen, nur noch Anfragen anzunehmen, die an eine bestimmte IP-Adresse gerichtet sind. Zusätzlich besteht die Möglichkeit, einen anderen Port festzulegen. Das ist notwendig, wenn zum Beispiel ein Loadbalancer neben dem Apache auf dem Server gleichzeitig laufen soll oder die Nutzung virtueller Server die Bindung des Apache an eine bestimmte IP-Adresse erfordert.

7 8 9

Beachten Sie, dass Mehrfachangaben erlaubt sind. Apache 2 würde in unserem Beispiel sämtliche Anfragen an Port 8080 sowie Anfragen an die IP-Adresse 192.168.0.2 auf Port 80 entgegennehmen.

10 11

Optimierung der Performance

12

Abgesehen von der Deaktivierung nicht benötigter Module und Funktionen können Sie über die Konfigurationsdatei weitere Optimierungen vornehmen. In der Voreinstellung wird Apache mit dem MPM-Prefork installiert. Leider sind noch nicht alle Apache-Erweiterungen für Worker geeignet. Deshalb wird für hohe Stabilität und Kompatibilität auf den Performance-Vorteil des MPMWorkers verzichtet.

13 14

Sicher ist Ihnen bereits aufgefallen, dass sich die Konfigurationsabschnitte zwischen Prefork und Worker innerhalb highperformance.conf massiv voneinander unterscheiden. Dies liegt grundsätzlich im anderen Konzept der beiden MPMs begründet. Vereinfacht ausgedrückt, startet der Apache bei Prefork für jede Anfrage einen neuen Fork, der die gewünschte Aufgabe erfüllt (Exec) und sich danach beendet. Worker arbeitet dagegen nur mit Threads und kommt gänzlich ohne das Erzeugen von Forks aus. Dies erklärt, wieso für Worker eine sehr hohe Anzahl laufender Threads benötigt wird. Nur so ist gewährleistet, dass alle Anfragen direkt entgegengenommen werden können. Leider ist es nicht möglich, eine Empfehlung für die optimalen Prozesseinstellungen zu erteilen, da sehr viel von Ihrem Server (genügend RAM- und CPULeistung neben schneller Festplatte) und den übrigen Gegebenheiten (statische oder dynamische Sites) abhängt.

Apache

149

Somit müssen Sie mit einem Tool wie Siege (siehe Abschnitt 4.9.2, Apache under Siege) experimentieren, um die für Ihren Server optimalen Werte zu finden. 왘 Unabhängig davon, dass der Server genügend physikalischen RAM besitzen

sollte (auf keinen Fall swappt) und unabhängig von der Optimierung von PHP- und CGI-Skripten, sollten Sie folgende Punkte beachten: 왘 Options FollowSymLinks steigert die Performance, da die Prüfung nach

SymLinks unterbleibt und Dateien direkt aufgerufen werden können. 왘 AllowOverride none unterbindet die aufwändige Suche nach .htaccess-

Dateien und verhindert gleichzeitig benutzerspezifische Änderungen. 왘 Die Angabe vollständiger Dateinamen (mit Suffix) wie beispielswiese

DirectoryIndex index.html index.php ist performanter als die Nutzung einer Wildcard wie DirectoryIndex index. Apache erkennt, dass auf das Suffix verzichtet wurde, und sucht nun nach index.*. 왘 mod_speling und mod_rewrite sind sehr ressourcenhungrig. In der Regel kön-

nen Sie ohne nennenswerte Unannehmlichkeiten auf beide verzichten. 왘 Generell sind, um die bestmögliche Performance zu erreichen, alle Erweite-

rungen statisch einzukompilieren und es sollte auf sämtliche nicht benötigten Module mit disable explizit verzichtet werden.

3.3.3

Default Server und virtuelle Hosts

Sobald die Grundeinstellungen vorgenommen worden sind, können Sie statische Seiten in /usr/local/apache2/htdocs/ nach Belieben ablegen und die Beispieldateien getrost ersetzen. Das Verzeichnis des Standard-Servers ist über die Zeile DocumentRoot/usr/local/apache2/htdocs übrigens frei definierbar. Selbstverständlich muss der Apache Leserechte für die dort abgelegten Daten besitzen, um die Dateien überhaupt öffnen zu können. 왘 Wer mit statischen Seiten auskommt, kann durch restriktive Rechtevergabe

ein deutliches Sicherheitsplus erlangen. Selbst wenn es einem Angreifer gelingen sollte, die Kontrolle über den Apache zu erhalten, wird er ohne jegliche Schreibrechte auf Dateien und Verzeichnisse nicht allzu großen Schaden anrichten können. Am effektivsten ist es, dem User die Gruppe des Webservers zuzuweisen und Verzeichnisse automatisch mit den Zugriffsrechten 750 und Dateien mit den Zugriffsrechten 740 zu versehen. Mit einem FTP-Server wie ProFTPD (siehe Abschnitt 3.12, Der FTP-Server ProfTPD) ist dies zum Beispiel recht einfach möglich. 왘 Der Default-Server wird derzeit bei jeder Kontaktaufnahme vom Apache

genutzt. Wird im Browser eine Domain aufgerufen, so bleibt die Domain-

150

Wichtige Serverdienste

1 2 Adresse selbst nach Auflösen in eine IP-Adresse im Header erhalten. Dies gestattet Ihnen, mit einem Apache-Server beliebig viele virtuelle Webserver zu betreiben, indem Sie in einem VirtualHost-Abschnitt einen entsprechenden DocumentRoot über den Domain-Namen (Server-Namen) festlegen. Über die optionale Direktive ServerAlias können Sie zusätzliche DomainNamen angeben, die ebenfalls von diesem VirtualHost beantwortet werden sollen. Sehr praktisch ist, dass innerhalb von ServerAlias mit Wildcards gearbeitet werden darf:

3 4 5 6

ServerName phantasiedomain.de ServerAlias *.phantasiedomain.de kunde.firma.de DocumentRoot /home/accountname/ftp/www

7 8 9

Am besten fügen Sie sämtliche VirtualHost-Abschnitte am Ende Ihrer ApacheKonfigurationsdatei ein. Beachten Sie, dass der erste VirtualHost den DocumentRoot des DefaultServers überschreibt, da die Wildcard schließlich auf sämtliche Anfragen (IP-Adresse:Port) passt. Sie müssen also den DefaultServer bei Nutzung mehrerer virtueller Hosts ebenfalls als VirtualHost definieren und diesen als Ersten nennen, wenn Sie nicht jedem VirtualHost eine eigene IPAdresse zuweisen und diese anstelle der Wildcard einsetzen können.

10 11 12

Der DocumentRoot steht für das Startverzeichnis. Bei Eingabe der Domain phantasiedomain.de landet der Besucher automatisch im Verzeichnis /home/accountname/ftp/www/.

13 14

Es ist sinnvoll, dem Nutzer accountname FTP-Zugriff auf /home/accountname/ftp/ zu gewähren und diesen Ordner gleichzeitig als sein Home-Verzeichnis festzulegen. accountname hat so die Möglichkeit, Daten, die über den Browser nicht zugänglich sein sollen (wie beispielsweise über Skripte inkludierte Zugangspasswörter oder von mod_auth angeforderte AuthUser- sowie AuthGroup-Dateien), abzulegen. Weiterhin bietet es sich an, mit Webalizer erzeugte Statistiken hier zu speichern, damit nicht gleich »das globale Internet« Zugriff auf die statistische Auswertung erlangt. Wenn Sie accountname keinen Zugriff auf /home/accountname, sondern lediglich auf /home/accountname/ftp gewähren, können Sie /home/accountname zum geordneten Ablegen noch nicht ausgewerteter Daten (wie zum Beispiel den Apache-Logfiles) effektiv verwenden.

Apache

151

3.3.4

Verzeichnis- und Datei-Optionen

Apache gestattet es, eine Vielzahl von Optionen global sowie in VirtualHost- oder Directory-Abschnitten verzeichnisbezogen festzulegen. Über Files ist es sogar möglich, Werte gezielt einzelnen Dateien zuzuordnen. In beiden Fällen werden zuvor definierte Optionen durch die neuen Werte überschrieben. Dies spart Arbeit und ermöglicht hohe Flexibilität, kann jedoch auch für Verwirrung sorgen. Um die Übersicht zu behalten, sollten Sie ein einheitliches Konzept bei der Vergabe von Direktiven verwenden. Sie könnten beispielsweise lediglich die Grundkonfiguration innerhalb von (also das Root-Verzeichnis Ihres Servers) definieren und alle spezifischen Einstellungen im entsprechenden - oder dem jeweiligen -Abschnitt vornehmen. Letzteres ist explizit für AllowOverride notwendig, da diese Direktive leider nicht innerhalb der -Abschnitte verwendet werden kann. DirectoryIndex suchmuster datei.name1 datei.name2 Verwendbar in Directory, VirtualHost, .htaccess (AllowOverride Indexes) Wenn im Browser lediglich ein Verzeichnis angefragt wird, wird über die Suchreihenfolge von DirectoryIndex nach einer passenden Startseite gefahndet. Das heißt, bei http://www.domain.de wird http://www.domain.de/suchmuster.* beziehungsweise http://www.domain.de/datei.name1 aufgerufen. Üblicherweise wird DirectoryIndex wie folgt genutzt:

DirectoryIndex index.html index.htm index.shtml index.shtm Aus Gründen der Performance sollten Sie immer vollständige Dateinamen eingeben (inklusive .suffix) und auf suchmuster (Apache erkennt, dass auf das Suffix verzichtet wurde, und sucht deshalb nach suchmuster.*) verzichten. Findet sich keine passende Datei, wird mit mod_autoindex (soweit aktiviert) eine Verzeichnisübersicht ausgegeben. Falls keine Startdatei gefunden werden konnte und mod_autoindex deaktiviert ist, konfrontiert Apache den Besucher mit einer Fehlermeldung (»Forbidden«). Alias | AliasMatch Global und in VirtualHost verwendbar Aliase können Sie sich als interne SymLinks des Apache vorstellen. Über AliasMatch können sogar reguläre Suchmuster angewandt werden. Selbstverständlich kostet dies mehr Performance als das Folgen von einfachen SymLinks, zudem wird mod_alias vorausgesetzt.

152

Wichtige Serverdienste

1 2 Um Dateianfragen an das Verzeichnis /bla (DocumentRoot) nach /home/bla (tatsächlicher System-Root) umzuleiten, genügt die Zeile:

3

Alias /bla /home/bla

4

Beachten Sie, dass am Ende des Verzeichnisnamens kein abschließender Schrägstrich folgen muss und Aliase nicht directory-spezifisch gesetzt werden können, da sie außerhalb von VirtualHosts global gelten müssen. Innerhalb von VirtualHosts können Aliase jedoch auf das Root-Verzeichnis und seine Unterordner beschränkt werden.

5 6

Wer auf AliasMatch nicht verzichten kann oder will, findet unter http://httpd.apache.org/docs-2.0/mod/mod_alias.html#aliasmatch ein Anwendungsbeispiel.

7

Options [+|-Direktive]

9

8

Verwendbar in Directory, Files, VirtualHost, .htaccess (AllowOverride Options)

10

Die Optionsdirektiven bieten umfangreiche Einstellungsmöglichkeiten und sollten deshalb nicht über .htaccess anpassbar sein. Die einzelnen Optionen können explizit deaktiviert (vorangestelltes Minuszeichen) oder aktiviert (vorangestelltes Pluszeichen) werden.

11 12

Options +ExecCGI

13

gestattet die Nutzung von CGI-Skripten. Benötigt mod_cgi beziehungsweise mod_cgid. Siehe auch Abschnitt 3.3.11, CGI für Perl, PHP, Python und Co.

14

Options [+FollowSymLinks | +SymLinksIfOwnerMatch] Apache folgt SymLinks generell oder lediglich, wenn der Eigentümer des SymLinks mit dem Eigentümer der Zieldatei übereinstimmt. Die Option -FollowSymLinks oder +SymLinksIfOwnerMatch ist aus Sicherheitsgründen empfehlenswert. Die Option +FollowSymLinks steigert die Server-Performance, ermöglicht aber Nutzern mit Zugang zum Server die theoretische Möglichkeit, via SymLinks an Dateien zu gelangen, die ihnen eigentlich (zum Beispiel. wegen chrooted FTP oder SSH) nicht zugänglich sind.

Options [+Includes | +IncludesNoExec] aktiviert SSI (ServerSideIncludes) – setzt mod_includes und den Abschnitt

AddType text/html .shtml # Nur ab Apache 2.0.x AddOutputFilter INCLUDES .shtml

Apache

153

# Alternative für Apache-Versionen ab 1.3.x AddHandler server-parsed .shtml innerhalb der Apache-Konfigurationsdatei voraus. Üblicherweise werden HTML-Dateien, die SSI-Befehle enthalten, mit dem Suffix .shtml benannt. Selbstverständlich können Sie Apache zudem einfach über AddOutputFilter INCLUDES .html anweisen, alle HTML- und/oder PHP-Dateien abschließend mit dem SSI-Output-Filter zu behandeln. Allerdings ist dies durch die zusätzlich benötigte Performance wenig empfehlenswert. Um die Nutzung von SSI nach außen dennoch zu verstecken, wäre es denkbar, sich auf .html oder .php für statische beziehungsweise dynamische PHP-Sites und auf .htm oder .php4 für statische beziehungsweise dynamische PHP-Seiten mit SSI zu einigen. Hinweis Erst seit Apache 2.0.x ist es dank OutputFilter möglich, PHP und SSI zu kombinieren. Über AddHandler funktioniert dieses Unterfangen leider nicht. Als weitere Aktivierungsmöglichkeit steht der XBitHack bereit. Die Direktive XBitHack [on | off | full] kann innerhalb von Directory, Virtual und .htaccess (Letzteres benötigt AllowOverrideOptions) gesetzt werden. XBitHack On aktiviert SSI bei ausführbaren Dateirechten auf den Eigentümer und bei einem als text/html spezifizierten Suffix. Mit XBitHack full wird das Ausführrecht auf die Gruppe erwartet. Das Suffix kann hier sogar beliebig ausfallen. Allerdings gilt es zu beachten, dass über ServerSideIncludes das Absetzen beliebiger Befehle mit den Rechten des Apache-Webservers ermöglicht wird. So kann beispielsweise mit die Datei /etc/passwd ausgelesen werden. Deshalb sollten Sie SSIs ausschließlich innerhalb der selbst genutzten Verzeichnisse aktivieren und Gast-Accounts lediglich +IncludesNoExec gewähren. Mit NoExec wird die Ausführung der Befehle unterbunden, die zweckentfremdet werden könnten. Weitere Informationen zum Thema ServerSideIncludes und Anwendungsbeispiele finden Sie unter: www.hacktik.com/linux/hilfe/ssikurs.php sowie httpd.apache.org/docs-2.0/howto/ssi.html.

Options +Indexes aktiviert die Erstellung von Verzeichnisübersichten, wenn ein Ordner in einem Browser aufgerufen wurde, in dem keine DirectoryIndex-Datei existiert.

154

Wichtige Serverdienste

1 2 Obwohl aus sicherheitstechnischen Gründen keine wirklichen Argumente gegen mod_autoindex vorzubringen sind, empfiehlt es sich, Indizes in der Voreinstellung zu deaktivieren. Doch kann es Benutzern erlaubt werden, Indizes über .htaccess (siehe auch AllowOverride) nach Bedarf zu aktivieren.

3 4

Options +MultiViews

5

aktiviert die als HTTP/1.1 spezifizierte »Content Negotiaton« des Apache. mod_ negotiation wird hierzu vorausgesetzt. Weitere Informationen unter http://httpd.apache.org/docs-2.0/content-negotiation.html.

6 7

Anpassen der automatisierten Verzeichnisdarstellung Verwendbar in Directory, VirtualHost und .htaccess (AllowOverride Indexes)

8

Wenn mod_autoindex installiert wurde, kann die automatische Erstellung einer Verzeichnisübersicht mit Options +Indexes aktiviert werden.

9

Doch mit diesem Schritt geht die eigentliche Arbeit erst los. Sie können und sollten die Anzeige von Dateien wie .htaccess im Verzeichnis-Listing unterbinden:

10 11

IndexIgnore .htaccess

12

Um Tipparbeit zu sparen, können Sie bei der Namensdefinition unerwünschter Files auch mit regulären Ausdrücken arbeiten und so die Ausklammerung sämtlicher über einen Punkt »versteckter« Files und aller Backup-Dateien (Endung üblicherweise mit ~) mit IndexIgnore .??* *~ ebenso einfach wie bequem erledigen.

13 14

Selbstverständlich kann .htaccess über die vollständige Angabe im URL weiterhin im Browser geöffnet werden. Im Abschnitt Konfigurationsbeispiel ist beschrieben, wie Sie die Anzeige einzelner Dateien verbieten können, ohne File in ein Verzeichnis unterhalb des DocumentRoot-Verzeichnisses verschieben zu müssen (Stichwort: »Deny from all« innerhalb eines Abschnitts). Um das Layout unserer Verzeichnisübersicht und die Funktionalität zu steigern, sollten Sie auf FancyIndexing zurückgreifen. Dann können Icons verwendet werden, und der Besucher hat die Möglichkeit, das Listing nach Namen, Änderungsdatum oder der Dateigröße zu sortieren:

IndexOptions FancyIndexing Unter /usr/local/apache2/icons wurden bereits hübsche Grafiken abgelegt. Die Einbindung erfolgt beispielsweise mit

Apache

155

AddIcon /usr/local/apache2/icons/layout.gif .html .pdf für sämtliche Dateien, die auf .html oder .pdf enden. Unbekannte Typen erhalten mit

DefaultIcon /usr/local/apache2/icons/unknown.gif ein Standard-Icon. Sie können viel Zeit und Arbeit sparen, indem Sie die AddIcons-Zeilen aus der Standard-Konfigurationsdatei /usr/local/apache2/conf/ httpd.conf übernehmen und gegebenenfalls an Ihre Wünsche anpassen. Hinweis: In httpd.conf wird Alias /icons /usr/local/apache2/icons vorausgesetzt. Sie können die Icons auch mit der IndexOption IconsAreLinks mit den jeweiligen Dateien verlinken und die Pixelbreite (IconWidth=pixel) sowie Pixelhöhe (IconHeight=pixel) anpassen. Um bei der Sortierung der Dateinamen Groß- und Kleinschreibung zu ignorieren, wäre IgnoreCase als IndexOption zu übergeben. Mit VersionSort beachtet Apache 2 sogar Versionsnummern, um eine vernünftige Sortierung von unterschiedlichen Programmversionen zu erstellen. Mit FoldersFirst werden, wie unter Windows üblich, zunächst die Dateiordner aufgelistet, bevor die eigentlichen Dateien angezeigt werden. In der Regel werden Sie auch die Option SuppressDescription übergeben wollen, um Apache anzuweisen, auf die Description-Spalte zu verzichten. Besagte Spalte wäre ansonsten für jede einzelne Datei mit

AddDescription "Die aktuellsten Infos" /www/news.html zu definieren, was zu einem erheblichen Arbeitsaufwand führt und in der Regel nur einen unwesentlichen Komfortgewinn für den Besucher bedeutet. Häufig ist eine sinnvolle Benennung von Verzeichnissen und Dateien mehr als ausreichend, um Besuchern das schnelle Auffinden gewünschter Informationen zu ermöglichen. AllowOverride [All | None | directive-type] Verwendbar in Directory Legt fest, ob Apache nach .htaccess-Dateien suchen soll, und welche Direktiven durch Benutzereingaben überschrieben werden dürfen (entweder alle oder explizite Angabe der gewünschten Direktiven).

AllowOverride None erhöht die Geschwindigkeit des Webservers, da nicht nach .htaccess-Dateien innerhalb sämtlicher Unterverzeichnisse des entsprechenden Directory-Abschnittes gesucht werden muss. AllowOverride All ist

156

Wichtige Serverdienste

1 2 mit Vorsicht zu genießen, da Benutzer so auch Optionen wie SSI oder CGI – möglicherweise gegen Ihren Wunsch – vollständig aktivieren können.

3

Sinnvoll ist es, AllowOverride generell nur bei Bedarf (auf Nachfrage des Benutzers) zu aktivieren und auf die tatsächlich benötigten Optionen zu beschränken. Tabelle 3.2 gibt einen Überblick der einzelnen Direktiven, und welche Werte innerhalb .htaccess durch sie überschrieben werden dürfen.

4 5 6

Option

Wirkung

Indexes

Aktivierung und Konfiguration der automatischen Verzeichnisdarstellung. Siehe Abschnitt 3.3.4, Verzeichnis- und Datei-Optionen.

7

Limit

Gestattet Zugriffskontrolle anhand der IP-Adresse. Siehe Abschnitt 3.3.5, Hostbasierter Zugriffsschutz.

8

AuthConfig Erlaubt benutzerspezifische Zugriffskontrolle. Siehe Abschnitt 3.3.6, User-spezifischer Zugriffsschutz.

9

FileInfo

Options

Ermöglicht neben der Anpassung von Fehlermeldungen (siehe Abschnitt 3.3.8, Anpassung von serverseitigen Fehlermeldungen) leider auch die Definition von AddOutputFilter, was von Nutzern durchaus böswillig missbraucht werden könnte. Deshalb sollten Sie auf die Freischaltung von FileInfo für GastAccounts verzichten.

10 11

Gestattet umfangreiche Änderungen wie FollowSymLinks oder die vollständige Aktivierung von SSI. Aus Sicherheitsgründen sollten Sie Gast-Accounts die Freischaltung von Options untersagen.

12 13

Tabelle 3.2 Vorsicht: Die Optionen von AllowOverride gestatten Gast-Accounts, umfangreiche Änderungen vorzunehmen.

14

Konfigurationsbeispiel Directory-Direktiven sollten oberhalb der VirtualHost-Abschnitte eingefügt werden. Es empfiehlt sich, innerhalb von (Abschnitt für sämtliche Verzeichnisse) die restriktivsten Bedingungen zu setzen, benötigte ZusatzFeatures lediglich auf einzelne Verzeichnisse anzuwenden und sie nicht pauschal freizugeben. Beachten Sie, dass AllowOverride nicht innerhalb der VirtualHost-Abschnitte definiert werden kann und explizit innerhalb eines Directory-Abschnitts genannt werden muss. Gegebenenfalls ist ein neuer Directory-Abschnitt für den DocumentRoot des gewünschten virtuellen Hosts zu erzeugen. Um sich Arbeit zu sparen, empfiehlt es sich, mit drei Grund-Directories zu arbeiten. Nämlich mit den besagten restriktiven Root-Einstellungen, einem Directory für sämtliche Gast-Accounts (Kunden, Mitarbeiter, Freunde ...) und

Apache

157

einem Abschnitt für eigene Dateien (und gegebenenfalls den weiteren Administratoren oder Ihrem Partner). Eine Beispielkonfiguration könnte so aussehen (Gast-Accounts im Verzeichnis /home; der eigene Abschnitt in /usr/local/apache2/httpd):

# Standard-Einstellungen Listen 80 ServerRoot /usr/local/apache2 DocumentRoot /usr/local/apache2/htdocs User indianer Group webserver MaxClients 150 StartServers 10 MinSpareServers 10 MaxSpareServers 20 MaxRequestsPerChild 0 ErrorLog logs/error_log TransferLog logs/access_log # Globale Optionen AllowOverride none DirectoryIndex index.html index.htm Options -Indexes +IncludesNoExec –FollowSymLinks IndexIgnore .??* *~ IndexOptions FancyIndexing IconsAreLinks IgnoreCase \ SuppressDescription VersionSort Order allow,deny Deny from all # Gastaccounts AllowOverride Indexes Limit AuthConfig # 1. VirtualHost = eigengenutzter; vertrauenswürdiger Bereich Options +FollowSymLinks +Includes ...

158

Wichtige Serverdienste

1 2 Im Abschnitt wurde durch hostbasierten Zugriffsschutz (siehe den folgenden Abschnitt) die Auslieferung der Dateien .htaccess, .basicpwd und .digestpwd über den Apache an einen Browser verhindert. Da nur die Auslieferung der Seiten verboten wird, beachtet der Apache benutzerspezifische Einstellungen von .htaccess weiterhin und ist natürlich auch in der Lage, die Passwortdateien zu nutzen. Die Sperrung von .basicpwd und .digestpwd ist natürlich lediglich als Beispiel zu verstehen, da der Dateiname von Passwortdateien frei wählbar ist.

3 4 5 6

Die Sperrung von Passwortdateien über einen -Abschnitt ist sinnvoll, wenn es Gast-Accounts nicht möglich ist, Passwortdateien außerhalb der über einen Browser erreichbaren Verzeichnisstruktur abzulegen. Ist AllowOverride Limit gesetzt, können Gäste den -Abschnitt über .htaccess-Dateien einfügen, ohne auf die Konfigurationsdatei des Webservers zugreifen zu müssen.

3.3.5

7 8 9

Hostbasierter Zugriffsschutz

Nutzbar in Directory, Files und .htaccess (AllowOverride Limit)

10

Für ein Intranet ist hostbasierter Zugriffsschutz mit mod_access im Handumdrehen zu realisieren. Sie können über

11

Order Deny,Allow Deny from all Allow from 192.168

12 13

innerhalb von Directory oder .htaccess (AllowOverride Limit vorausgesetzt), den Zugriff auf sämtliche lokale IP-Adressen, die mit 192.168 beginnen, begrenzen.

3.3.6

14

User-spezifischer Zugriffsschutz

Mit mod_auth können Sie den Zugriff auf Verzeichnisse durch User-Name- und Passwort-Abfragen sichern und nur für vertrauenswürdige Personen freischalten. Der Clou: Auch wenn Sie Verzeichnis- und File-Schutz auf mehrere Ordner beziehungsweise Dateien anwenden, wird nur eine Authentifizierung notwendig, da Browser die eingegebenen Zugangsdaten üblicherweise so lange im Arbeitsspeicher bereithalten, bis das Browser-Fenster geschlossen wird. Leider werden die Daten bei der Authentifizierung unverschlüsselt übertragen, so dass mod_auth nur eingeschränkt für unternehmenskritische Zwecke geeignet ist. Eine Verbesserung können Sie durch Installation von mod_auth_digest erzielen. Hier kann die Übertragung zwar noch immer abgehört werden. Allerdings wird zumindest das Passwort mit der Digest-Methode verschlüsselt, so

Apache

159

dass der Angreifer zunächst den Algorithmus der Digest-Verschlüsselung knacken müsste, um das Passwort nutzen zu können. Die Digest-Verschlüsselung wird jedoch nicht von allen Browsern unterstützt. Lediglich aktuelle Versionen von Internet Explorer, Opera und Netscape (erst seit Version 7.0) beziehungsweise Mozilla kommen mit der Digest-Authentifizierung zurecht. Deshalb sollten Sie dort, wo es wirklich darauf ankommt, lieber zu mod_ssl greifen (siehe den Abschnitt Secure Socket Layer). Trotz aller Gegenargumente wird mod_auth häufig im Web eingesetzt. Tatsächlich wünschen sich »Entscheider« bei manchen Inhalten den Schutz vor der breiten Masse, obwohl es kein Beinbruch wäre, wenn es einem Angreifer gelingen sollte, mod_auth zu überlisten. Als Beispiel mag ein Vereinsprotokoll über die letzte Weihnachtsfeier dienen, das eigentlich nur Mitgliedern vorbehalten sein soll. Falls ein Hacker auf das Dokument zugreifen sollte, wäre dies kaum als eine erfolgreiche Unternehmensspionage zu betrachten, die Kosten, Imageschaden oder einen Gewinnausfall verursacht. mod_auth im Einsatz Verwendbar in Directory, Files und .htaccess (AllowOverride AuthConfig) Um ein Verzeichnis abzusichern, genügen die Zeilen

AuthName secure AuthType Digest AuthDigestFile /home/accountname/ftp/secure/.digestpwd require user dummyaccount nocheiner Falls Sie auf hohe Kompatibilität Wert legen und es keine Rolle spielt, dass das Passwort im Klartext durch die Leitungen rauscht, sind die Zeilen Type und File anzupassen:

AuthType Basic AuthUserFile /home/accountname/ftp/secure/.basicpwd Beachten Sie, dass die Passwortdatei über AuthUserFile und nicht über AuthDigestFile anzugeben ist. Die Bezeichnung AuthName ist mehr als bloße Kosmetik für den Passwortdialog. Über AuthName erkennt der Browser, dass die gespeicherten Authentifizierungsdaten übereinstimmen, und erspart Nutzern die nochmalige Eingabe der User-Name- und Passwort-Kombination. Andererseits kann es erwünscht sein, dass der Dialog erzwungen wird. Hier sollten Sie dann darauf achten, einen anderen AuthName zu verwenden.

160

Wichtige Serverdienste

1 2 Unsere User dummyaccount und nocheiner müssen und sollten nicht als SystemAccounts vorhanden sein. Der Passwort-/User-Name-Abgleich erfolgt über die nach AuthUserFile angegebene Datei. Letztere muss über den Befehl

3 4

htpasswd -cb /home/accountname/ftp/secure/.basicpwd \ username password

5

für AuthType Basic beziehungsweise

6

htdigest -c /home/accountname/ftp/secure/.digestpwd \ realm username

7

für AuthType Digest angelegt werden. Wenn Sie htdigest für die DigestAuthentifizierung verwenden, ist zu beachten, dass als Realm der AuthName (secure in unserem Beispiel) zu verwenden ist.

8

Leider ist es derzeit lediglich mit htpasswd möglich, über die Option -b das Passwort direkt zu übergeben und die sonst übliche Eingabeaufforderung zu überspringen. Letzteres ist insbesondere dann praktisch, wenn der ausführende Nutzer keinen SSH- oder Telnet-Zugang besitzt und den Befehl über ein PHP- oder Perl-Skript ausführen muss.

9 10 11

Dennoch können Sie die Digest-Authentifizierung über eigene Skripte ohne Shell-Zugang managen. htdigest verwendet zur Passwortverschlüsselung den md5-Algorithmus. Das eigentliche Passwort setzt sich jedoch aus username:realm:password zusammen. Diese Kombination kann über echo an md5sum geschickt werden. Als Ergebnis erhalten Sie den von der DigestAuthentifizierung genutzten Wert, der wiederum automatisiert in Ihre Passwortdatei geschrieben werden kann: Sie finden das Beispielskript Digestpwd.sh auch auf der CD zum Buch.

12 13 14

#!/bin/sh username="user"; realm="secure"; pwd="geheim"; md5='echo -n "$username:$realm:$pwd" | md5sum' echo "$username:$realm:$md5" >> \ /home/accountname/ftp/secure/.digestpwd Listing 3.1 Beispielskript: Digestpwd.sh

Beachten Sie, dass der Apache weiterhin Schreibrecht auf das Verzeichnis besitzen muss, in dem unsere Passwortdatei abgelegt wird. Falls Sie suExec nutzen, genügt es allerdings, Apache Leserecht zu erteilen. Lediglich der Eigentümer des Skripts, mit dem die Passwortdatei angelegt beziehungsweise verwaltet

Apache

161

wird, benötigt in diesem Fall Schreibzugriff. Weiterhin sollte die Passwortdatei nicht in einem direkt über den Browser zugänglichen Webverzeichnis liegen, sondern wie in unserem Beispiel in einem secure-Verzeichnis. Dieses schaltet sozusagen die »unsicheren« Leserechte für den Apache auf »sichere« Art und Weise frei. Passwortänderungen eines bestehenden Accounts oder das Hinzufügen einer neuen User-Name-/Passwort-Kombination sind mit htpasswd im Handumdrehen erledigt:

htpasswd -b /home/accountname/ftp/secure/.basicpwd \ username password Beachten Sie, dass die Option -c hier wegzulassen ist. Sonst würde eine neue Datei erstellt werden und die neue User-Name-/Passwort-Kombination würde sämtliche bereits gespeicherten Account-Daten ersetzen. Htdigest arbeitet analog zu htpasswd, benötigt jedoch den bereits angesprochenen Realm. Da das Passwort nicht im Batch-Modus (Option –b) übergeben werden kann, hilft wiederum nur ein Shell-Skript weiter. Das Löschen eines Accounts ist nicht weiter schwierig: Entfernen Sie die entsprechende Zeile mit einem Texteditor wie vi einfach aus /home/accountname/ftp/secure/.htpasswds. Falls die manuelle Bearbeitung mangels SSH-/Telnet-Zugang nicht möglich sein sollte, können Sie zu sed greifen. Weitere Informationen hierzu finden Sie in Abschnitt 4.7, Automation. Zugriffsrechte gruppenbasiert erteilen Wer mit einem mehrstufigen Zugriffsmodell, vielen Usern sowie mehreren geschützten Verzeichnissen arbeiten muss, für den bedeutet die Gruppierung der Nutzer häufig eine deutliche Erleichterung der Administration. Sie können über die Zeile

AuthGroupFile /home/accountname/ftp/secure/.htgroups eine Gruppenliste einlesen, die im Format

admins: user1 user4 mitarbeiter: user2 user3 vorliegen muss. Der Gruppenname folgt vor der Auflistung der User-Namen und wird mit einem Doppelpunkt abgeschlossen. Die einzelnen User-Namen sind durch ein Leerzeichen zu trennen. Gruppen erhalten, wie einzelne User, ebenfalls über die Require-Direktive Zugriffsrechte auf geschützte Inhalte.

162

Wichtige Serverdienste

1 2 Selbstverständlich können Sie neben require user auch gleichzeitig mit require group arbeiten:

3

require group admins require user dummyaccount nocheiner

4

3.3.7

5

Secure Socket Layer

Die Konfigurationsoptionen für mod_ssl sind recht umfangreich. Glücklicherweise wird mit /usr/local/apache2/conf/ssl.conf eine ausführlich kommentierte Beispielkonfiguration mitgeliefert. Deren Zeilen sollten Sie, abgesehen vom einleitenden Tag und dem abschließenden Tag , in Ihre httpd.conf oberhalb der -Abschnitte aufnehmen.

6 7 8

Um mod_ssl nutzen zu können, benötigen Sie ein SSL-Zertifikat und den entsprechenden Schlüssel. In der Beispielkonfiguration finden Sie die Zeilen

9

SSLCertificateFile \ /usr/local/apache2/conf/ssl.crt/server.crt SSLCertificateKeyFile \ /usr/local/apache2/conf/ssl.key/server.key

10 11

die allerdings auf ein nicht existentes Verzeichnis verweisen. Bevor Sie ein offizielles und kostenpflichtiges Zertifikat beantragen, werden Sie die SSL-Funktionen des Apache sicher kennen lernen wollen. Um ein selbst ausgestelltes Testzertifikat anzufertigen, muss zunächst der Schlüssel (server.key) erzeugt werden, bevor Sie das Zertifikat erstellen können. Dies geschieht mit

12 13 14

openssl genrsa -out /usr/local/apache2/conf/server.key 2048 openssl req -new -x509 -key \ /usr/local/apache2/conf/server.key -out \ /usr/local/apache2/conf/server.pem -days 1095 Beim Erzeugen des Schlüssels haben wir absichtlich auf die Absicherung durch ein Passwort (zusätzliche Option -des3) verzichtet. Sonst müssten Sie bei jedem Apache-Neustart ein Passwort eingeben. Letzteres würde spätestens bei einem unerwartet notwendigen Reset durch den Dienstleister vor Ort dazu führen, dass beim Start des Apache mangels Passwort die SSL-Verschlüsselung nicht aktiviert werden kann. Achten Sie darauf, dass der Apache eine eigene Benutzergruppe hat und der KeyRoot der Gruppe des Apache angehört, und wenden Sie chmod 740 auf den Key an. Bevor das Zertifikat erstellt wird, werden Ihre Daten (Land, Firma, Abteilung, Name = Domain et cetera) abgefragt. Die Beantwortung ist insbesondere bei

Apache

163

offiziellen Zertifikaten sinnvoll, da es Besuchern so gestattet wird, zu überprüfen, von wem und für wen das Zertifikat ausgestellt wurde. Beachten Sie, dass die Namensfrage sich nicht auf Ihren Namen bezieht. Nach einem Neustart stehen über https:// die Inhalte von /usr/local/apache/htdocs verschlüsselt zur Verfügung. Abschließend möchte ich auf wichtige Konfigurationszeilen für die SSL-Variablenbehandlung hinweisen:

SSLOptions +StdEnvVars SSLOptions +StdEnvVars Beachten Sie, dass im Abschnitt die Suffixendungen von serverseitig ausgeführten Skripts stehen. Erweitern Sie die Liste gegebenenfalls um weitere von Ihnen genutzte Skript-Suffixe, wie beispielsweise php4?|php?. Den Pfad zu Ihrem cgi-bin-Verzeichnis, das innerhalb des virtuellen SSL-Hosts liegt, sollten Sie selbstverständlich an den von Ihnen genutzten Pfad anpassen oder bei Nichtnutzung auskommentieren. Falls Sie innerhalb des SSL-Servers lediglich mit statischen Seiten arbeiten, sollten Sie den gesamten Abschnitt ... auskommentieren. Nutzung mehrerer virtueller SSL-Server Sie können prinzipiell beliebig viele weitere VirtualHosts mit SSL-Verschlüsselung anlegen. Allerdings benötigen Sie für jeden virtuellen SSL-Server eine eigene IP-Adresse. Duplizieren Sie den VirtualHost-Abschnitt des SSL-Servers und ersetzen Sie _default_ in durch die IP-Adresse des jeweiligen virtuellen Servers. Die IP-Adresse muss sich über den DomainEintrag der Zeile

ServerName new.host.name:443 auflösen lassen. Soweit lediglich ein Testzertifikat eingesetzt wird, können Sie das bereits erzeugte ruhig doppelt verwenden. Bei Nutzung eines offiziellen Zertifikats kann dasselbe Zertifikat lediglich über eine entsprechende Subdomain und eine Wildcard-Zertifizierung genutzt werden. Ansonsten ist für jede Domain ein eigenes Zertifikat zu beantragen.

164

Wichtige Serverdienste

1 2 Bezug eines offiziellen Zertifikats

3

Es gibt viele Vergabestellen für SSL-Zertifikate. Um mehrere virtuelle SSL-Server mit ein und demselben Zertifikat über Subdomains betreiben zu können, müssen Sie darauf achten, ein Wildcard-Zertifikat zu erwerben.

4

Hierbei ist darauf zu achten, dass gängige Browser wie Internet Explorer, Mozilla oder Opera die Vergabestelle als vertrauenswürdig ansehen. In Mozilla können Sie eine Liste dieser Stellen über das Preferences-Menü (Privacy & Security – Certificates; Button »Manage Certifikates ...«; Reiter »Authorities«) abrufen.

5 6 7

Zu den bekanntesten Stellen zählen wohl http://www.Verisign.com und http://www.Thawte.com. Einen recht guten Ruf genießt der verhältnismäßig günstige Anbieter Comodo (http://www.instantssl.com). Sehr interessant ist auch der ähnlich günstige deutsche Anbieter Webspace-Forum.de, über den mir aber keine Erfahrungswerte vorliegen. Ein Telefonat4 vermittelte jedoch Kompetenz. So wies mich der Anbieter darauf hin, dass bei Wildcard-Domains vereinzelt mit Problemen zu rechnen sei. Der IE 6.0sp1 unter Windows2000 konnte laut Webspace-Forum beispielsweise mit hauseigenen Wildcard-SSLZertifikaten nichts anfangen.

8 9 10 11

Möglicherweise können Sie die nicht ganz billigen SSL-Zertifikate über Ihren Dienstleister »als Großabnehmer« günstiger als durch einen direkten Erwerb beziehen. Achten Sie bei der Bestellung auf die Laufzeit des Zertifikats. Häufig lohnt es sich, für längere Projekte ein dreijähriges Zertifikat zu beziehen.

12 13 14

Vorbereitungen für den Bezug eines offiziellen Zertifikats Um ein offizielles Zertifikat zu erhalten, ist in der Regel der Befehl

openssl req -new -key /pfad/zum/server.key -out cert.csr aufzurufen und die Datei cert.csr der Vergabestelle zu übermitteln. Sie sollten dann ein offizielles Zertifikat erhalten, das Sie jedoch nur mit dem zuvor erstellten server.key nutzen können. Achten Sie also unbedingt auf die Sicherung des offiziellen Zertifikats zusammen mit dem Key. Wenn Sie eine Datei verlieren, wird ein neuer und kostenpflichtiger Antrag bei der Vergabestelle notwendig.

4 Laut Anbieter werden Webspace-Forum-Zertifikate von allen aktuellen Browsern erkannt. Auch ältere Browser wie Netscape 4.0, Opera 5.0 und Internet Explorer 5.01 sollen Webspace-Forum-Zertifikate klaglos akzeptieren.

Apache

165

3.3.8

Anpassung von serverseitigen Fehlermeldungen

Für VirtualHost, Directory, Files und .htaccess (AllowOverride FileInfo) Professionelle Webangebote lassen Besucher selbst nach dem Aufruf falscher URLs oder bereits gelöschter Dateien nicht einfach mit einer Standard-Fehlermeldung hängen. Häufig wird eine alternative Startseite mit Links zu den wesentlichen Rubriken, einer übersichtlichen Auswahl von Themen-Highlights oder eine Suchfunktion angezeigt, um die gewünschten Informationen doch noch nachträglich entdecken zu können. Über die ErrorDocument-Direktive können Sie die Error-Codes der Tabelle 3.3 neben dem Pfad zum auszugebenden Dokument (ausgehend vom jeweiligen DocumentRoot) angeben. Eine vollständige Liste aller Client-Request- und Server-Errors bietet http://www.bignosebird.com/apache/a5.shtml. Anfragen, die an gelöschte beziehungsweise umbenannte Dokumente gerichtet sind oder lediglich einen Tippfehler enthalten, werden beispielsweise als Error404-Seiten ausgegeben und können über die Zeile

ErrorDocument 404 /.nicht_gefunden.html eine schickere Fehlermeldung mit einem an das CID der Site angepassten Design erhalten. Dies zeigt auch eine Möglichkeit auf, Gast-Accounts das Modifizieren von Fehlermeldungen zu gestatten, ohne das wenig empfehlenswerte AllowOverride FileInfo (mit dem gleichzeitig auch Ein- und Ausgabefilter definiert werden können) setzen zu müssen. Stellen Sie einfach die Standard-Fehlermeldungen im DocumentRoot zum Anpassen bereit. Dies ermöglicht auch unbedarfteren Nutzern (nicht jeder kennt die .htaccess-Direktiven und entsprechende ErrorCodes) ein bequemes Anpassen der Fehlerseiten, ohne die Sicherheit des Servers untergraben zu müssen. Code

Bedeutung

401

Authorization Required: zum Beispiel bei Abbruch (Cancel) des mod_auth-Passwort-Prompts.

403

Forbidden: zum Beispiel fehlendes Leserecht oder keine DirctoryIndex Seite und mod_autoindex deaktiviert.

404

Not found: Seite nicht gefunden.

Tabelle 3.3 Übersicht über die wichtigsten ErrorCodes

166

Wichtige Serverdienste

1 2 Code

Bedeutung

500

Internal Server Error: Sehr unangenehme Meldung, da hier häufig ein Konfigurationsfehler des Admins vorliegt. Fehler tritt zum Beispiel auf, wenn Digest als Authentifizierungsmethode genutzt wird, obwohl mod_auth_digest nicht installiert ist.

3 4

Es kann sich aber auch um fehlerhafte Zugriffsrechte von CGI-Skripten, das Vergessen der #!/pfad/zum/interpreter-Angabe oder die berühmte und häufig vergessene Leerzeile nach der Interpreter- beziehungsweise Header-Angabe (wenn verwendet) handeln.

5 6

Tabelle 3.3 Übersicht über die wichtigsten ErrorCodes (Forts.)

7 3.3.9

Logfile-Erstellung und -Auswertung

8

Verwendbar für Global und VirtualHost

9

Der Apache ist in der Lage, Logfiles für jeden VirtualHost und/oder den StandardHost getrennt zu erstellen. Hierbei können Sie das Logformat und damit die geloggten Daten selbst bestimmen.

10

LogFormat "%a %t %T \"%r\" %>s \"%{Referer}i\" \ \"%{User-Agent}i\" %I %O" mylog CustomLog logs/access_log mylog

11 12

In diesem Beispiel wurden IP-Adresse, Anforderungszeitpunkt, benötigte Antwortzeit, Methode und Datei, StatusCode, gesendete Bytes (ohne Header), die Seite, von der gelinkt wurde (zum Beispiel für Links von Suchmaschinen interessant) und der Browser des Besuchers als Loginformationen für »mylog« festgelegt.

13 14

Eine Übersicht über alle Kürzel finden Sie in Tabelle 3.4. Beachten Sie, dass das Filtern und Aufzeichnen von Verbindungsdaten nicht nur datenschutzrechtlich problematisch sein kann, sondern auch Ressourcen verbraucht. Zeichnen Sie deshalb nur wirklich benötigte Daten auf. Das eigentliche Logging erfolgt mit der Direktive CustomLog Dateiname Formatname, die im globalen Bereich lediglich den Standard-Server überwacht. VirtualHosts werden hier nicht ausgewertet. Die Direktive CustomLog ist somit auch in jeden VirtualHost-Abschnitt aufzunehmen. Zur Account-spezifischen Auswertung ist es sinnvoll, kein großes Logfile anzulegen (denselben Pfad und Dateinamen zu verwenden), sondern für alle virtuellen Hosts jedes Accounts eigene Logfiles anzulegen (CustomLog/home/ accountname/access_log mylog).

Apache

167

Kürzel

Wirkung

%a

IP-Adresse des anfragenden Rechners. Datenschutzrechtlich bedenklich.

%A

IP-Adresse, an die sich die Anfrage gerichtet hat. Interessant, wenn Ihr Server mit mehreren IP-Adressen arbeitet.

%B

Versandte Bytes ohne Header.

%b

Versandte Bytes ohne Header im CLF-Format (anstelle von 0 Bytes wird ein Strich »-« verwendet).

%{Foo}C

Loggt den Inhalt des übermittelten Cookies foo. Datenschutzrechtlich äußerst bedenklich.

%D

Benötigte Antwortzeit in Mikrosekunden.

%{Foo}e

Zeichnet den Inhalt der Umgebungsvariable foo auf.

%f

Angeforderter Dateiname – meist ist %r empfehlenswerter.

%h

Gibt bei aktivierten Lookups (HostnameLookups On – global und in Directory sowie VirtualHost verwendbar) sowie einer rekursiv auflösbaren IP-Adresse den Host-Namen des anfragenden Rechners aus (ansonsten wird die IP-Adresse gespeichert). Benötigt viel Performance und ist datenschutzrechtlich sehr bedenklich. Nutzen Sie lieber %a.

%H

Das gewünschte Kommunikationsprotokoll ist auch in %r enthalten.

%{Foo}i

Speichert die Headerline foo (vom anfragenden Rechner).

%l

Startet identd-Abfrage: Datenschutzrechtlich bedenklich und hinsichtlich der Performance unsinnig.

%m

Methode, mit der die Daten übermittelt/angefragt wurden; in %r ebenfalls enthalten.

%{Foo}n

Inhalt des externen Moduls foo.

%{Foo}o

Die Headerline foo (der Server-Antwort auf eine Anfrage).

%P

Prozess-ID, mit der die Anfrage beantwortet wurde.

%q

Loggt bei Get-Methoden an Skripte übergebene Variablen.

%r

Erste Anfragezeile (enthält Anfragemethode, Dateinamen und genutztes Protokoll).

%s

StatusCode, der in der Anfrage des Clients übermittelt wurde.

%>s

StatusCode, mit dem Apache die Anfrage beantwortet hat (gestattet Erkennung, ob und welcher Fehler aufgetreten ist).

%t

Zeitpunkt der Anfrage (Datum und Uhrzeit).

%T

Benötigte Antwortzeit in Sekunden.

Tabelle 3.4 Sämtliche Log-Optionen des Apache-Webservers. Beachten Sie, dass %I und %O mod_logio Apache 2 voraussetzen.

168

Wichtige Serverdienste

1 2 Kürzel

Wirkung

%u

Nutzername (wenn Login über mod_auth).

%U

Angeforderter URL (Querys werden abgeschnitten).

4

%v

Name des beantworteten Servers; interessant in MultiDomain-Umgebungen; verwendet ServerName.

5

%V

3

Name des antwortenden Servers (über UseCanonicalName On Global oder VirtualHost- beziehungsweise Directory-bezogen zu aktivieren). Nutzen Sie lieber %v. Weitere Informationen unter http://httpd.apache.org/docs2.0/mod/core.html#usecanonicalname.

%I

Tatsächliche Datengröße der eingehenden Anfrage (inklusive Header).

%O

Tatsächliche Byteanzahl der Serverantwort (inklusive Header).

6 7 8

Tabelle 3.4 Sämtliche Log-Optionen des Apache-Webservers. Beachten Sie, dass %I und %O mod_logio Apache 2 voraussetzen. (Forts.)

9

Hinweis: Die Direktiven ErrorLog Dateiname und TransferLog Dateiname kommen ohne CombinedLog aus, da sie Standard-Optionen enthalten, die nicht veränderbar sind. Im Gegensatz zu ErrorLog erfüllt die Voreinstellung von TransferLog (%h %l %u %t \"%r\" %>s %b) jedoch meist nicht die eigenen Bedürfnisse.

10 11 12

Logauswertung mit Webalizer

13

Webalizer ist ein beliebter LogAnalyzer und kann dank des Patchs von rexursive.com ebenfalls mit den aktuellen mod_logio-Informationen umgehen. Allerdings gilt der Patch als noch nicht abschließend getestet. Aber die Korrektheit lässt sich durch simples Zusammenzählen der entsprechenden Spalten in einem kleinen Skript überprüfen.

14

Damit Webalizer 2.01–10 Apache-Logfiles auswertet, muss weiterhin ein bestimmtes Format eingehalten werden. Leider sind die Informationen der Webalizer-Dokumentation in diesem Punkt nicht sehr ergiebig. Es wird lediglich auf die Standard-Formatierung hingewiesen:

LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \ \"%{User-agent}i\"" Tatsächlich kommt es bei einem Minimal-Log wie: LogFormat "%a %t \"%r\" %>s %b" mylog zu einer Arbeitsverweigerung und den unschönen Fehlermeldungen:

Apache

169

Warnung: Überlanges Benutzer-Feld abgeschnitten Überspringe ungültigen Eintrag. (1) ... Dennoch kann das Logfile an eigene Wünsche angepasst werden, wenn Sie darauf achten, zusätzliche Angaben am Ende des LogFormats anzuhängen. Weiterhin dürfen Sie %h durch %a sowie %s durch %>s ersetzen und auf %l und %u über den Platzhalter - verzichten. Der Abschnitt \"%{Referer}i\" \"%{Useragent}i\" kann zwar ersatzlos gestrichen werden, hält jedoch viele interessante Informationen bereit, die die Statistik von Webalizer bereichern. Wer mod_logio einsetzt und sich für die benötigte Antwortzeit einzelner Dokumente des Webservers interessiert, der könnte beispielsweise das folgende mit Webalizer kompatible LogFormat einsetzen:

LogFormat "%a - - %t \"%r\" %>s %b \"%{Referer}i\" \ \"%{User-agent}i\" %I %O %T" mylog Installation Webalizer 2.01–10 und den dazugehörigen Patch mod_logio finden Sie auf der CD zum Buch sowie unter http://www.webalizer.org beziehungsweise http://www.rexursive.com/software.html. Beachten Sie, dass die DeveloperPakete der PNG-, GD- und Zlib-Bibliotheken installiert sein müssen, um Webalizer kompilieren zu können (Debian: libpng-dev, libgd-dev, zlib1g-dev). Nach dem Entpacken der komprimierten Dateien ist der Patch einzuspielen sowie Webalizer zu installieren. Als sinnvolle ./configure-Option können Sie anstelle der englischen Beschriftungen der späteren Statistikdatei auch deutsche Texte wählen:

patch -p0 < webalizer-in-out.patch ./configure --with-language=german make && make install Anwendung Der Aufruf von Webalizer lässt sich als Cron-Job realisieren und mit den in Tabelle 3.5 aufgeführten Optionen verbinden. Empfehlenswert ist beispielsweise Folgendes:

webalizer -o /home/accountname/ftp/log/ \ /home/accountname/access_log \ -f -Y -C 0 -M 1 -R 50 -n account.domain

170

Wichtige Serverdienste

1 2 Webalizer erzeugt anhand des aktuellen Logfiles /host/accountname/access_log eine ausführliche Statistik, die über /home/accountname/ftp/log/index.html betrachtet werden kann. Für die Monatsübersicht werden bereits analysierte Zeiträume über webalizer.hist eingebunden. Die Datei wird beim ersten Aufruf von Webalizer erstellt oder erweitert und im Ausgabeverzeichnis abgelegt.

3 4 5

Hinweis: Falls Sie den Patch mod_logio eingespielt haben, kennt Webalizer die Werte KB D, KB In und KB Out. KB D ist der »alte Traffic-Wert«, der über %b von Apache geloggt wird und lediglich ausgehende KBytes ohne Header beinhaltet. KB In sind dagegen alle mit der Anfrage zusammenhängenden eingehenden und KB Out alle ausgehenden KBytes. Im Normalfall ist KB D völlig ausreichend, zumal viele Hoster die Unsitte nutzen, KBytes lediglich durch 1 000 anstatt durch 1 024 zu teilen (siehe Abschnitt 2.3.2, Dateigrößen und Zahlensysteme), um den Traffic in Megabyte zu erhalten. Durch diese großzügige Aufrundung wird das Fehlen eingehender Pakete sowie der vernachlässigte Header-Anteil der ausgehenden Pakete eher zu Gunsten als zu Ungunsten des Hosters »umgemünzt«.

6 7 8 9 10

Wer den effektiv entstandenen Traffic wirklich genau messen will, der kommt um eine gesonderte IP-Adresse für jeden zu messenden Zugang nicht herum. Nur so können geblockte oder ungültige Pakete neben DNS und Mail-Verkehr ebenfalls zuverlässig geloggt und auseinander gehalten werden. Weitere Informationen hierzu finden Sie in Abschnitt 4.5.1, Traffic-Analyse.

11 12 13 14

Abbildung 3.3 Webalizer-Statistiken bieten unter anderem durch nützliche Auslastungsgrafiken einen Überblick, zu welcher Tageszeit es stressig ist.

Apache

171

Option

Bedeutung

-n Foo

Der Domain-Name foo wird als Titelzusatz und zur Verknüpfung mit den Links zu abgerufenen Dateien verwendet.

-o Foo

Legt foo als das Ausgabeverzeichnis der von Webalizer erzeugten HTML-Seiten sowie Webalizer.hist fest. Letztere wird beim ersten Aufruf von Webalizer automatisch erstellt und bei jedem Webalizer-Aufruf benötigt, um bereits analysierte Monate in die Erstellung der Statistik einfließen lassen zu können.

-t Foo

Mit dieser Option können Sie foo als Seitenüberschrift anstelle von »AufrufStatistik für« verwenden.

-f

FoldSeqErr: In der Standard-Einstellung ignoriert Webalizer Logeinträge, die offensichtlich älteren Datums sind. Das heißt, dass der auf eine Logzeile folgende Eintrag nicht älter als der vorangegangene sein darf. Mit der Option -f verhindern Sie, dass Webalizer vermeintlich ältere Zeilen ignoriert. So wird die manuelle Kombination bereits rotierter Logfiles eines spezifischen Zeitraums für eine entsprechende Statistik stark vereinfacht, da Sie die Reihenfolge nicht mehr korrekt einhalten müssen. Selbst Einträge mit legitimer Zeitverschiebung (zum Beispiel durch Korrekturen der Systemzeit) werden so zuverlässig berücksichtigt.

-Y

Deaktiviert die Ausgabe der länderspezifischen Herkunftsstatistik. In der Regel sehr empfehlenswert, da die Erkennung unzuverlässig ist und somit lediglich unnötige Rechenleistung beansprucht.

-H

Webalizer verzichtet auf die Ausgabe der stündlichen Zugriffsinformationen (tabellarische Anzeige); siehe auch Option -G.

-G

Schaltet die Ausgabe der Grafik zur stündlichen Zugriffsstatistik ab, die jedoch nützlich ist, um Lastspitzen zu einzelnen Tageszeiten leicht erkennen zu können.

-a Foo

Gestattet das Ignorieren von Robots einiger Suchmaschinen, die sich mit der Kennung foo zu erkennnen geben.

-u Foo

Ignoriert den URL foo bei der Erstellung der Statistik.

-M [0–5]

In der Voreinstellung -M 0 werden alle verfügbaren Informationen über den User-Agenten ausgegeben (Beispiel: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.0) Gec). Empfehlenswert ist die Option -M 1. Hier werden lediglich die Browser-Version und das Betriebssystem ausgegeben, ohne in die Details abzusteigen (Beispiel: Mozilla/5.0 – Windows). Stufe 2 verzichtet auf das Betriebssystem, 3 reduziert die Versionsnummer auf zwei Stellen hinter dem Komma. 4 verwendet lediglich eine Stelle und 5 letztendlich nur noch die Versionsnummer vor dem Komma. Um Browser-Statistiken zu deaktivieren, verwenden Sie -A 0.

-A num

-A 0 deaktiviert die Ausgabe der browserspezifischen Zugriffstatistik. In der Voreinstellung wird -A 15 verwendet (Browser Top 15 erstellt).

Tabelle 3.5 Die wichtigsten Webalizer-Optionen in der Übersicht

172

Wichtige Serverdienste

1 2 Option

Bedeutung

-R num

-R 0 deaktiviert die Anzeige der Referer-Liste (Herkunftsites). Die Voreinstellung -R 30 ist in den Augen so mancher »Entscheider« etwas zu knapp bemessen.

-S num

-S 0 schaltet die Ausgabe der TopSites ab (Voreinstellung -S 10).

-U num

In der Standard-Einstellung werden die Top 30 der URLs ausgegeben.

-C num

Nutzen Sie -C 0, um die unzuverlässige Landesstatistik auszublenden.

-e num

Top 10 der Eingangsseiten.

-E num

Top 10 der Ausgangsseiten.

3 4 5 6 7

Tabelle 3.5 Die wichtigsten Webalizer-Optionen in der Übersicht (Forts.)

8

Beachten Sie, dass Webalizer einerseits historische Daten speichert, andererseits bereits ausgewertete Informationen des aktuell ausgewerteten Monats überschreibt. Lediglich Einträge eines vollständig analysierten und abgelaufenen Monats dürfen aus dem auszuwertenden Logfile »gestrichen werden«. Dies ist insofern problematisch, als Sie das Zugriffs-Log sicher nicht für immer und ewig aufbewahren wollen und regelmäßig rotieren möchten; siehe Abschnitt 4.2, Syslogd.

9 10 11 12

Um Manipulationen oder eine vollständige Löschung von accountname vor der Auswertung durch Webalizer zu verhindern, sollte im Gegensatz zur eigentlichen Statistik accountname keinen Zugriff auf die zur Auswertung genutzte access_log oder webalizer.hist erhalten. Dummerweise wird webalizer.hist jedoch in der Voreinstellung im Ausgabeverzeichnis der Statistiken abgelegt. Um dies zu ändern, müssen Sie die Zeile

13 14

HistoryName ../../webalizer.hist als Konfigurationsdatei /etc/webalizer.conf sichern und beim Webalizer-Aufruf mit -c /etc/webalizer.hist einbinden. Beachten Sie, dass ein relativer Pfad gewählt wurde, der die Datei webalizer.hist zwei Verzeichnisse unterhalb des Standard-Ausgabeordners ablegt. Durch diese Einstellungen ist gesichert, dass die Datei immer eine Stufe unterhalb des Home-Verzeichnisses des Nutzers landet und somit in unserem Beispiel anstelle von /home/accountname/ftp/log/webalizer.hist als /home/accountname/webalizer.hist gespeichert wird. Aus Datenschutzgründen müssen Sie bei aktivierter Aufzeichnung der IPAdressen von Besuchern das Logfile zuvor zu anonymisieren. Es spricht nichts dagegen, die Daten von accountname nach Anonymisierung und Auswertung eines vollständigen Monatszeitraums in den eigenen Zugriffsbereich zu kopieren oder zu verschieben.

Apache

173

Zusammenfassung: Das Logfile sollte zum Monatsersten rotiert und vor der Auswertung mit Webalizer anonymisiert werden. Weiterhin sind nach der Rotierung mit Shell-Skript die Einträge des aktuellen Monats in das neue Logfile zu übernehmen, bevor der Apache über kill -HUP angewiesen wird, das durch die Rotation gesperrte neue Logfile für weitere Logzeilen zu akzeptieren. Die Alternative wäre eine Logfile-Auswertung am Monatsersten um 0:00 Uhr, mit nachfolgender Rotierung kill -HUP und der Bereitschaft, die während der Analyse und bis zur Rotierung des Logs angefallenen Einträge unter den Tisch fallen zu lassen. Mir persönlich hat diese Idee nicht gut gefallen, so dass ich ein kleines ShellSkript geschrieben habe, um den doch recht umständlichen Prozess zu automatisieren und den einzelnen Accounts gleichzeitig das rotierte und anonymisierte Logfile in den Statistikordner zu verschieben.

#!/bin/sh # Aktueller Monat und Jahr tmpm='date +%b' tmpy='date +%Y' # Erstelle Verzeichnisliste – nur möglich, wenn in home # lediglich Ordner mit "Gast-Accounts" enthalten sind! kundendirs='ls /home/' ifs=" "; set -- $kundendirs while [ $1 ] do cd /home/$1/ mv access_log access_tmp # Übernehme Logzeilen des aktuellen Monats # in neue access_log grep "/$tmpm/$tmpy" access_tmp > access_log # Starte Apache neu, damit der Server das rotierte Logfile # für weitere Einträge akzeptiert kill -HUP 'pidof httpd' # Ignoriere laufenden Monat grep -v "/$tmpm/$tmpy" access_tmp > access_tmp2 # Anonymisiere "rotierte Datei" sed 's/\([[:digit:]]\{1,3\}\.[[:digit:]] \ \{1,3\}\.[[:digit:]]\{1,3\}\.\)[[:digit:]]\{1,3\} \ /\1000/' \ access_tmp2 > access_tmp rm access_tmp2

174

Wichtige Serverdienste

1 2 # Erzeuge Statistik /usr/local/bin/webalizer -o /home/$1/ftp/log/ \ /home/$1/access_tmp -c /etc/webalizer.conf \ -f -Y -C 0 -M 1 -R 50 -n $1.domain.de # Komprimiere und verschiebe access_tmp in ein # für $1 zugängliches Verzeichnis gzip access_tmp mv access_tmp.gz ftp/log/$tmpm$tmpy.gz shift done

3 4 5 6 7

Listing 3.2 Das Skript Auto-webalizer.sh

8

Das Skript Auto-webalizer.sh befindet sich auf der CD zum Buch und setzt voraus, dass im Ordner /home lediglich Heimatverzeichnisse der Gast-Accounts mit identischer Verzeichnisstruktur vorhanden sind.

9 10

Tipp Webalizer.hist lässt sich zudem nutzen, um den Traffic von GastAccounts in einem Report automatisiert an Ihre E-Mail-Adresse zu senden. Aus webalizer.hist kann die benötigte Bytezahl wesentlich bequemer entnommen werden als aus den eigentlichen Statistikdateien.

11 12

3.3.10 PHP 4/5

13

PHP unterstützt seit Version 4.3 offiziell Apache 2. Da die PHP-Unterstütztung des MPM-Workers noch auf wackeligen Füßen steht, sollten Sie sicherheitshalber das Standard-MPM Prefork einsetzen.

14

Wenn Sie für möglichst hohe Kompatibilität sorgen wollen, ist der Einsatz der neuesten PHP-4er-Version im Augenblick der noch jungen PHP-5er-Version vorzuziehen. Einige ältere Open-Source-PHP-Applikationen oder auch in PHP 3 beziehungsweise PHP 4 selbst geschriebene Programme werden nicht ohne Detailänderungen am Quellcode mit dem neuen PHP 5 korrekt zusammenarbeiten. Es ist eine Überlegung wert, PHP 4 und PHP 5 parallel auf einem Server-System laufen zu lassen. Hierzu ist eine der beiden PHP-Versionen über CGI einzubinden. Leider ist es nicht möglich, PHP 4 und PHP 5 gleichzeitig als ApacheModule zu betreiben. Bei der Installation des zweiten PHP Interpreters müssen Sie darauf achten, via --with-config-file-path ein anderes Verzeichnis für php.ini zu definieren.

Apache

175

Allerdings bringt der Betrieb von PHP als CGI Performance und Sicherheitsnachteile mit sich – wenn es nicht nur für eigene Testzwecke ist, würde ich empfehlen, PHP-5-Sites lieber über eine zweite, parallel betriebene ApacheInstallation auszuliefern, die lediglich auf Port 8080 lauscht. Auf diesem Port darf die erste Apache-Instanz natürlich nicht ebenfalls lauschen – was in vielen Konfigurationen in der Voreinstellung der Fall ist und entsprechend auskommentiert werden muss. Bei der Installation des »2. Apachen« müssten weiterhin sämtliche Installationspfade über ./configure-Optionen abgeändert werden. Alternativ könnten Sie auch zu der noch immer gepflegten Apache-1.3erVersion greifen, um sicher zu gehen, dass Sie nicht doch versehentlich beide Apache-Versionen mit identischem Konfigurationsverzeichnis oder ähnlich kritischen Überschneidungen aufsetzen. Die Installation der unter http://www.php.net/downloads.php erhältlichen Tarballs ist einfach:

./configure --with-mysql --disable-cgi --enable-safe-mode \ --enable-memory-limit --enable-magic-quotes \ --with-gettext --enable-calendar --with-gd \ --with-apxs2=/usr/local/apache2/bin/apxs\ --with-zlib make; make install Falls Sie PHP auch oder ausschließlich über CGI einsetzen möchten, ist auf --disable-cgi zu verzichten. Die Zeile --with-apxs2 sorgt für die Kompilierung des Apache-Moduls – verzichten Sie auf diese Option, wenn die PHP-Version nicht als Modul eingebunden werden soll. Gleichzeitig sollten Sie ./configure um die Option --enable-discard-path erweitern. Eine vollständige Liste aller ./configure-Optionen ist wie gewohnt über ./configure --help abrufbar. In Tabelle 3.6 finden Sie eine Beschreibung zu den wichtigsten Optionen. Beachten Sie, dass viele PHP-Programme Funktionen wie magic_qoutes, gettext, gd sowie calendar voraussetzen. Weitere Hinweise zu den einzelnen Optionen finden Sie unter http://de.php.net/manual/en/configure.php. Option

Bedeutung

--with-apxs=Foo

Kompiliert PHP als Modul für Apache 1.3. Anstelle von foo sind Pfad und Dateiname von apxs (also apxs ,-) des Apaches 1.3 anzugeben.

--with-apxs=Foo

Kompiliert PHP als Modul für Apache 1.3. Anstelle von Foo sind Pfad und Dateiname von apxs (also apxs ,-) von Apache 1.3 anzugeben.

Tabelle 3.6 Die wichtigsten Konfigurationsoptionen für PHP

176

Wichtige Serverdienste

1 2 Option

Bedeutung

--with-apxs2=Foo

Erstellt PHP als Modul für Apache 2.

--with-mysql

Mit MySQL-Support.

--with-pgsql

Mit PostgreSQL-Support.

--with-unixODBC

Aktiviert den ODBC-Support.

--with-mssql

Auch die Microsoft-SQL-Datenbank MS SQL kann von PHP direkt angesprochen werden. Diese Option ist auf einem Linux- oder BSD-System sinnvoll, wenn eine externe MS-SQL-Datenbank ferngesteuert werden soll.

--with-msql

Bindet Support für die mSQL-Datenbank ein.

--with-oracle

Oracle-oci7 Support.

--with-gd

Aktiviert Funktionen zur Bildbearbeitung mit PHP (gd-lib).

--enable-ftp

Aktiviert die FTP-Funktionen von PHP. Grundsätzlich sehr nützlich, bringt aber gewisse Unfeinheiten beim Aufsetzen von Paketfiltern mit sich. Nur verwenden, wenn tatsächlich benötigt.

3 4 5 6 7 8 9 10

--with-imap

IMAP-Support.

--with-imap-ssl

IMAP-SSL-Support.

--with-pear

Erleichtert das Einbinden von fertigen Pear-Klassen. Weitere Informationen unter http://pear.php.net.

12

--disable-cgi

Deaktiviert die Kompilierung des PHP-Binaries für CGISkripte.

13

--enable-discard-path

Nutzen Sie diese Option, um CGI-Skripte außerhalb der Homepage-Verzeichnisse ablegen zu können, ohne Gefahr zu laufen, dass .htaccess-Einstellungen untergraben werden.

14

11

--enable-force-cgi-redirect Verhindert, dass der Interpreter direkt über den Browser aufgerufen und genutzt werden kann. Allerdings sollte der PHP-Interpreter ohnehin außerhalb der Homepage-Verzeichnisse abgelegt werden, weshalb Sie diese Option in der Regel nicht nutzen müssen. --enable-fastcgi

Aktiviert die Unterstützung von fastcgi.

--enable-safe-mode

Aktiviert den Safe-Mode in der Voreinstellung. Verhindert u.a. die Ausführung von exec oder Systemcalls mit den Rechten des Webservers.

--enable-calendar

Die Kalenderfunktionen von PHP erleichtern die Programmierung von Funktionen für einen Terminplaner oder ähnliche Aufgaben.

Tabelle 3.6 Die wichtigsten Konfigurationsoptionen für PHP (Forts.)

Apache

177

Option

Bedeutung

--enable-magic-quotes

Magic Quotes sollten in der Voreinstellung aktiviert werden, da sie die Sicherheit erhöhen und die Übernahme von Benutzereingaben vereinfachen.

--enable-memory-limit

Begrenzt den von PHP-Skripten nutzbaren Arbeitsspeicher in der Voreinstellung auf 8 MB. Sehr sinnvoll, um Amok laufende Programme einzuschränken.

--with-gettext

Ein API für NLS (Native Language Support). Dienlich, um Oberflächen zu internationalisieren.

--with-zlib

Ermöglicht die Nutzung der zlib-Kompressionsbibliothek. Benötigt zlib >= 1.0.9.

--with-java=Foo

Java-Support: Anstelle von foo ist das JDK-Basisverzeichnis anzugeben.

--with-servlet=Foo

Aktiviert Servlet-Unterstützung. Foo = JSDK-Verzeichnis. Beachten Sie, dass die Java Extension als shared dl vorliegen muss.

--with-ldap

Aktiviert LDAP-Support.

--with-config-file-path=Foo Ändert den Pfad zur php.ini-Datei. Foo = absoluter Pfad Tabelle 3.6 Die wichtigsten Konfigurationsoptionen für PHP (Forts.)

Nach der Kompilierung müssen Sie über LoadModul das PHP-4-Modul einbinden und Apache über AddType mitteilen, welche Dateien mit dem PHP-Interpreter zu parsen sind:

LoadModule php4_module /usr/local/apache2/modules/libphp4.so AddType application/x-httpd-php .php .php3 .php4 Testlauf und Konfigurationsdetails Um die Konfigurationsoptionen und Funktionsfähigkeit von PHP innerhalb eines virtuellen oder Default-Servers zu testen, sollten die Skriptzeilen

als irgendwas.php gespeichert und im Browser aufgerufen werden. Beachten Sie, dass diese Datei sehr viel über PHP und Ihr System an sich verrät und deshalb nicht unbedingt »einfach so rumliegen« und für jedermann abrufbar sein sollte. Löschen Sie die Testdatei deshalb nach dem Aufruf wieder vom Server. Bei erneutem Bedarf ist der Dreizeiler schnell wieder eingegeben.

178

Wichtige Serverdienste

1 2 Ein im Internet erreichbarer Webserver mit mod_php ist selbst bei aktiviertem safe_mode, memory_limit und magic_quotes_gpc sehr kritisch zu betrachten. Obwohl Systembefehle über den safe_mode geblockt werden, kann mit PHP durch Funktionen wie fopen() auf Dateien lesend und schreibend zugegriffen werden, soweit dies der Nutzer darf, unter dem der Apache läuft.

3 4 5

Eine drastische Variante wäre es, die Voreinstellungen safe_mode zu verschärfen und Befehle wie fopen über disable_functions zu verbieten. Dies würde jedoch die Möglichkeiten bei der Programmierung von PHP-Skripten zu stark einschränken. Deshalb sollten Sie die Ausführung von PHP-Skripten in DocumentRoot Directory des Default- beziehungsweise VirtualHost einsperren.

6 7

... php_admin_flag safe_mode on php_admin_value open_basedir /home/accountname/ftp php_admin_value upload_tmp_dir /home/accountname/ftp/.tmp

8 9 10

Beachten Sie, dass PHP nicht auf das Verzeichnis /www, sondern mit open_ basedir auf das Unterverzeichnis /ftp beschränkt wurde. Dies ist sinnvoll, um so ebenfalls Skripte nutzen zu können, die Passwörter oder Ähnliches enthalten und außerhalb des über den Browser direkt erreichbaren Verzeichnisbaums abgelegt wurden.

11 12 13

Eine wichtige Funktion übernimmt auch php_admin_value beim Übertragen von Dateien via Browser. Ist der SafeMode aktiviert, ohne dass ein upload_ tmp_dir innerhalb des open_basedirs definiert wird, ist ein Dateiupload nicht möglich. Das Verzeichnis .tmp muss natürlich existieren und es müssen dem Webserver Schreibrechte darauf gewährt werden.

14

Falls Sie innerhalb Ihres eigenen VirtualHost auf die vollen Möglichkeiten von PHP zugreifen wollen, können Sie durchaus php_admin_flag safe_mode off verwenden, um den SafeMode zu deaktivieren, und auf open_basedir verzichten. Um die Sicherheit Ihres PHP-Webservers zu testen, sollten Sie folgende Zeilen speichern und im Browser aufrufen:

Prüfe ob safe_mode aktiviert ist

Prüfe ob Systemdateien beliebig \ ausgelesen werden können