Linux Serverkonfiguration - Bulme Lehrer - Login - BULME Graz ...

: 

H. Wolfger 

Höhere Technische 

BundesLehr und Versuchsanstalt 

BULME Graz – Gösting 

L i n u x 

Serverkonfiguration 

Linux fuer den Unterricht Serverkonfiguration.odt 2013-12-20 © WR 1/63

Inhaltsverzeichnis 

1) NFS Networking File System.............................................................................................................3 

2) FTP Server vsftpd................................................................................................................................7 

3) Domain Name Service (DNS)............................................................................................................13 

4) Webserver apache..............................................................................................................................18 

5) Software Updates...............................................................................................................................24 

6) Firewall mit iptables...........................................................................................................................26 

7) Mailserver sendmail...........................................................................................................................30 

8) Proxy squid........................................................................................................................................33 

9) Nameserver, Webserver, Mailserver und Proxy................................................................................37 

10) Dual Boot mit Windows und Linux.................................................................................................38 

11) Kernelkompilierung.........................................................................................................................40 

12) Der Bootvorgang..............................................................................................................................43 

13) Automatisierung von Aufgaben mit cron.........................................................................................46 

14) Übungen zur Bash mit sort, cut und uniq (ohne Programmierteil)..................................................49 

15) Weitere Übungen zur Bash (mit Programmierteil)..........................................................................51 

16) Download und Installation eines Programms..................................................................................58 

17) Grafische Benutzeroberfläche..........................................................................................................60 


1) NFS Networking File System 

Mit NFS ist es möglich, andere Dateisysteme, Partitionen oder Verzeichnisse anderer Hosts in 

das lokale System einzubinden. Anders formuliert können mehrere Rechner ein zentrales 

Verzeichnis auf dem NFS Server gemeinsam benutzen. Aus Gründen der Einfachheit wird für 

diese Übung die Firewall deaktiviert. 

Bildquelle: http://www.linuxuser.de/ausgabe/2005/11/044heimnetz/nfs.png 

Konfiguriert wird dies am Desktop mit 

Start/Administration/Servereinstellungen/NFS/Hinzufügen 

(systemconfignfs muss installiert sein) 

Will man nicht nur Leserechte, sondern auch Schreibrechte, muss bei Eigenschaften und 

Benutzerzugriff “Remoteroot Benutzer wie lokalen Rootbenutzer behandeln” angekreuzt 

werden. 

Die Zugriffsrechte werden in der Datei /etc/exports gespeichert und können auch direkt mit 

einem Editor verändert werden. 


Beispiel: pc15 will sein DVD Laufwerk für das Netz 192.168.0.0/16 zum Lesen freigeben, sowie 

das Verzeichnis /home für das Netz 172.16.25.0/24 zum Lesen und Schreiben. 

In der Datei /etc/exports des pc15 steht folgendes: 

# Datei /etc/exports des pc15 

/cdrom 

/home 

172.16.0.0/16(ro,insecure,sync) 

172.16.25.0/24(rw,sync,no_root_squash) 

Die Option no_root_squash wurde hinzugefügt, die dem remote Root Benutzer dieselben Rechte 

wie dem lokalen root gibt. Wenn jedoch keine weiteren Einstellungen getroffen werden, haben 

die Benutzer noch keine Schreiberlaubnis auf /home ! 

Am pc10 können mit den Befehlen 

 

mount t nfs 172.16.25.15:/cdrom /pc15cdrom 

mount t nfs 172.16.25.15:/home /pc15home 

die Verzeichnisse /cdrom und /home des pc15 unter dem Verzeichnissen /pc15cdrom und /pc15 

home angesprochen werden. 

Unmounten: 

umount /pc15cdrom 

umount /pc15cdrom 

Der Zugriff auf den anderen Rechner pc15 kann durch einen Eintrag in der Datei /etc/fstab des 

Rechners PC10 permanent gemacht werden: 

172.16.25.15:/home/franz /nfstest nfs defaults 0 0 

Werden die Einstellungen in der Datei /etc/exports mit der Hand geändert, ist nfs neu zu 

starten: 


systemctl restart nfs.service oder 

service nfs restart 

 

Kennen die Benutzer das Administratorpasswort nicht, muss das Passwort eines Benutzers 

angegeben werden, mit dem sich die anderen PC's anmelden können. In der Datei /etc/exports 

können folgende Optionen angegeben werden: 

root_squash 

no_root_squash 

all_squash 

no_all_squash 

Benutzer, die sich am entfernten PC als root mit nfs zugreifen, werden 

auf die UID nobody gesetzt, die nur Leserechte hat. (Voreinstellung) 

Benutzer, die sich am entfernten PC als root mit nfs zugreifen, werden 

auch am lokalen System als root behandelt. 

Wandelt alle UID's des entfernten Benutzers in anonyme UID um 

Wandelt die UID's des entfernten Benutzers nicht um, ein Benutzer 

franz am entfernten PC wird auch am lokalen PC als Benutzer franz 

identifiziert – falls er überhaupt angelegt ist. Dies ist die 

Voreinstellung. 

Die Datei /etc/exports könnte für den Fall, dass die Rootrechte nicht gewährt werden, aber alle 

lokal angelegten Benutzer auch von außen zugreifen dürfen, folgend aussehen. 

/datenfueralle 172.16.25.0/24(rw,sync,no_all_squash) 

 

Will man alle Benutzer auf eine lokale anonyme UID mappen, unabhängig davon, ob sie als root 

oder als lokaler Benutzer zugreifen, also alle Benutzer als anonyme Benutzer behandeln, kann 

dies leicht in der grafischen Benutzeroberfläche geschehen: in der Datei /etc/passwd ist der 

anonyme Benutzer nfsnobody eingetragen; dessen UID und GID sind nun anzugeben. Es kann 

aber auch die UID des Benutzers franz angegeben werden, dann werden alle Zugriffe so 

bewertet, als ob franz zugreifen würde. 

 


Anmerkung: Wird die Firewall nicht ausgeschaltet sind die ports 2049 und 111 sowie 

3 selbst definierte Ports in der Firewall freizugeben: 

Übungen: 

a) Geben Sie Ihr DVD Laufwerk für das Netz frei und versuchen Sie eine Datei auf der DVD 

Ihres Nachbarn auf ihren PC zu kopieren. 

b) Ihr Verzeichnis /home geben Sie zum Lesen und Schreiben nur für Ihren Nachbarn frei. 

Kopieren Sie eine Datei auf das freigegebene Verzeichnis /home Ihres Nachbarn. 

c) Editieren Sie den File /etc/fstab um das Verzeichnis /home Ihres Nachbarn über NFS 

permanent einzubinden. 

d) Ermöglichen Sie dem remote root auch einen lokalen root Zugriff. 

e) Behandeln Sie alle Benutzer gleich als anonyme Benutzer. 

f) Stellen Sie in der grafischen Benutzeroberfäche die Firewall ein und versuchen einen Ordner 

freizugeben. 

g) Stellen Sie beim Benutzerzugriff die UID des Benutzers franz ein. Warum kann dann eine 

Datei, die root gehört, vom gemounteten Verzeichnis des anderen PC gelöscht werden, jedoch 

kein Verzeichnis, das root gehört 


2) FTP Server vsftpd 

Das File Transfer Protocol (FTP) dient zur Dateiübertragung zwischen Hosts und basiert auf 

einer ClientServer Architektur. FTP verwendet einen Datenkanal, (Port 20), der für die reine 

Übertragung der Daten zuständig ist, und einen Steuerkanal, (Port 21), der für den Austausch 

der Befehle verwendet wird. 

In der Fedora Distribution wird der vsftpd Server mitgeliefert, der auf allen Unix ähnlichen 

Maschinen läuft, hohen Sicherheitsansprüchen genügt und einige komfortable 

Konfigurationsmerkmale bietet. (vsftpd ... very secure file transfer protocol daemon – daemon 

ist ein Hintergrundprozess). Der Server wird in der Datei /etc/vsftpd/vsftpd.conf konfiguriert. 

Start des Servers mit: systemctl restart vsftpd.service oder 

service vsftpd restart 

Die Standardeinstellungen in der Konfigurationsdatei erlauben anonymes wie auch 

benutzerbezogenes Login. Als FTP Client verwenden wir den mit der Fedora Distribution 

mitgelieferten lftp. 

lftp u franz 172.16.25.15 

lftp u franz,franz123 172.16.25.15 

lftp 172.16.25.15 

Benutzerbezogenes Anmelden 

Benutzerbezogenes Anmelden + Passwort 

anonymes Anmelden 

Anmerkung: Zum Testen empfiehlt sich das Setzen eines alias, zB: 

alias v=”lftp u franz,franz123 172.16.25.15” 

Bei anonymem Login landet der Benutzer im Verzeichnis /var/ftp 

Veränderung der Konfigurationseinstellungen in /etc/vsftpd/vsftpd.conf 

anonymous_enable=NO 

local_enable=NO 

write_enable=NO 

anon_upload_enable=YES 

Anonymes FTP ist nun nicht mehr erlaubt 

Lokales FTP (für angelegte Benutzer) verboten 

lokale Benutzer: die dürfen nun nicht uploaden 

Anonyme Benutzer dürfen uploaden 

Verzeichnis pub muss dem Benutzer ftp gehören !! 

chroot_list_enable=YES 

Erlaubnis, einen Listfile anzulegen 

chroot_local_user=YES 

lokaler Benutzer auf sein Verzeichnis beschränkt... 

chroot_list_file=/etc/vsftpd/vsftpd.chroot_list außer die im Listfile sind 

banner_file=/etc/vsftpd/banner_file 

dirmessage_enable=YES 

local_max_rate=30000 

Begrüßungsdatei 

Die Datei .message wird bei Verzeichniswechsel 

ausgegeben 

30000 Bytes/sec Transferrate 


userlist_enable=YES 

Benutzer im File user_list dürfen nicht einloggen 

user_config_dir=/etc/vsftpd/user_config Wenn der Benutzer franz sich anmeldet, wird für ihn 

die Konfiguration in der Datei /etc/vsftpd/user_config/franz 

eingestellt (Ausnahmen: banner_file usw.) 

 

Zur Automatisierung von Aufgaben können auch Batchfiles verwendet werden: 

lftp f batchfile 

In der Datei batchfile steht zB.: 

open u franz,franz123 172.16.25.10 

echo “ Beginn der Übertragung ...” 

put file1 

mput a* 

echo “ Übertragung beendet ...” 

exit 

Verschlüsselte Übertragung mit FTP: 

Soll eine verschlüsselte Übertragung mit TLS (Transaction Layer Security) ermöglicht werden, 

sind folgende Zeilen in vsftpd.conf hinzuzufügen: 

ssl_enable=YES 

force_local_logins_ssl=NO 

force_local_data_ssl=NO 

ssl_tlsv1=YES 

rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem 

ssl_sslv2=YES 

ssl_sslv3=YES 

Dadurch wird eine verschlüsselte Übertragung ermöglicht aber nicht erzwungen. 

Das Zertifikat wird in /etc/pki/tls/certs folgend erzeugt: 

cd /etc/pki/tls/certs 

make vsftpd.pem 

Damit wird ein rsa private key sowie ein self signed Zertifikat erzeugt 

sftp franz@172.16.25.15 

ermöglicht nun bereits verschlüsselten Transfer ohne Konfiguration. Dieser Client besitzt aber 

einen reduzierten Befehlssatz und wird daher selten verwendet. 

ncftp u franz 172.16.25.15 

ncftp ist ein ftp Client, der keine Verschlüsselung beherrscht, geht nun auch, ist aber nicht 

verschlüsselt 


lftp u franz 172.16.25.15 

Bei Verwendung des komfortablen lftp Clients kann eine verschlüsselte Übertragung auch 

erzwungen werden, indem in der Konfigurationsdatei /etc/lftp.conf folgende Anweisungen 

hinzugefügt werden: 

set ftp: sslforce YES 

set ftp: sslprotectdata YES 

Will man serverseitig nur verschlüsselte Passwörter und Datenübertragung erlauben, so sind 

die Anweisungen in vsftpd.conf 

force_local_logins_ssl=YES 

force_local_data_ssl=YES 

zu setzen, ncftp geht dann nicht mehr, sftp schon. 

Die Verwendung von TLS/SSL kann wegen der aufwändigen Verschlüssselung auch dem Client 

untersagt werden: 

set ftp:sslallow NO 

Eine Verifizierung der Übertragungsdaten kann durch die Option 

set xfer:verify yes 

in /etc/lftp.conf eingestellt werden. 

In der Datei ~/.lftp/rc (oder allgemein /etc/lftp.conf) können zusätzliche Clienteintsellungen 

vorgenommen werden: 

set ssl:verifycertificate no 

dient dazu, das Zertifikat nicht zu überprüfen 


Aktives und Passives FTP: 

Bildquelle: http://www.linuxhomenetworking.com/wiki/images/a/a7/Ftp.gif 

Beim aktiven FTP öffnet der Client auf dem Server den Port 21 und gibt auf diesem Port seine 

Befehle wie ls und get ab. Wenn der Client eine Datei übertragen will, öffnet der Server seinen 

Port 20 und überträgt die Datei auf einen hohen Port des Clients. In der einen Richtung wird 

also von einem hohen Port des Clients zu Port 21 des Servers übertragen, in der anderen 

Richtung von Port 20 des Servers zu einem hohen Port des Clients. 

Beim passiven FTP beginnt die Eröffnung gleich wie beim aktiven FTP: Es wird eine 

Verbindung client:hoherport zu server:port21 aufgebaut. Wenn jedoch der Client eine Datei 

wünscht, baut der Client von sich aus eine Verbindung client:hoherport zu Server:hoherport 

auf. 

Passives FTP ist für Firewalls leichter zu handhaben; da die Verbindung immer von Client 

ausgeht, wird sie auch als sicherer angesehen. 


Grafische FTP Clients: 

Es gibt auf dem Desktop viele grafische FTP Clients, unter KDE etwa Kasablanca oder KFTP 

Grabber 


Beispiele: 

1) Stellen Sie den Server so ein, dass anonymes ftp auf das Verzeichnis pub mit upload 

möglich ist 

2) Alle Benutzer sind chrooted, nur franz darf sich frei bewegen 

3) Maximale Transferrate ist bei 20 KB 

4) Erstellen Sie eine Begrüßungsdatei 

5) Wenn der anonyme Benutzer in das Verzeichnis pub/franz geht, soll er eine Information 

über den Inhalt dieses Verzeichnisses erhalten. 

6) Der Benutzer franz hat eine Transferrate von 200KB, alle anderen 20 KB 

Antworten zu den Beispielen 

zu 1) anonymous_enable=YES anonymes ftp erlaubt 

anon_upload_enable=YES 

upload erlaubt 

zu 2) 

zu 3) 

chroot_list_enable=YES 

chroot_local_user=YES 

chroot_list_file=/etc/vsftpd/vsftpd.chroot_list 

20000 Bytes/sec Transferrate 

local_max_rate=20000 

zu 4) banner_file=/etc/vsftpd/banner_file Eine der zwei Zeilen 

ftp_banner=Hallo am FTP Server..... 

Anmerkung: debug 3 in /etc/lftp.conf ! 

zu 5) 

dirmessage_enable=YES 

in /var/ftp/pub/franz eine Datei .message erstellen 

Weiter Feineinstellungen in man vsftpd.conf 


3) Domain Name Service (DNS) 

In einem kleinen Netz ohne Domain Name Service kann das Nameservice durch die Files 

/etc/hosts 

/etc/host.conf 

konfiguriert werden. 

In /etc/hosts stehen die IPAdressen und die Hostnamen: 

127.0.0.1 localhost.localdomain localhost 

172.16.25.1 pc1.graz.at pc1 

172.16.25.2 pc2.graz.at pc2 

In /etc/host.conf wird festgelegt, ob bei der Namensauflösung zuerst der DNS bind oder die Datei 

/etc/hosts befragt wird. 

order hosts,bind 

# Bei Namensauflösung zuerst /etc/hosts befragen 

Mit diesen Einstellungen sind pc1 und pc2 aber nur bei denjenigen PC's bekannt, die diese 

Dateien übernommen haben. 

Domain Name Server bind 

Das Domain Name Service ist der grundlegende Dienst des Internets, denn ohne eine 

Namensauflösung (Umsetzung des Namens in eine IP Adresse) wären Surfen und Mailen nicht 

möglich. Für einen Domain müssen aus Gründen der Ausfallsicherheit 2 Hosts das 

Nameservice bereitstellen. DNS ist ein streng hierarchischer Dienst. Es gibt weltweit einige 

Rootserver, die die Informationen über die Top Level Domains (TLD) wie zB. .at oder .com 

besitzen. Für jeden Top Level Domain gibt es mehrere Server, die die Informationen der Sub 

Level Domains (SLD) wie zB. bulme.at oder nic.at beinhalten. Erst der Nameserver für einen 

domain bulme.at enthält die Informationen über die jeweiligen Hosts innerhalb des Domains 

bulme.at. 

Die Namensauflösung www.bulme.at. geschieht also von rechts nach links: Zuerst wird der 


Rootserver (durch den Punkt am Ende des Namens bezeichnet) befragt, der die Anfrage an den 

zuständigen Nameserver für at weiterleitet, der wiederum eine Weiterleitung an den 

Nameserver der Bulme veranlasst; erst hier passiert die tatsächliche Auflösung des Hostnamens 

in eine IP Adresse. 

. 

Rootserver 

com 

at 

de 

TLD 

linux 

bulme 

SLD 

www 

proxy 

Host 

Hierarchische Auflösung eines Hostnamens in eine IP Adresse 

Start des Nameservers: 

systemctl (re)start named.service 

(service named (re)start) 

Die Konfigurationsfiles sind: 

1) /etc/resolv.conf 

2) /etc/named.conf und /etc/named.eigenezonen 

3) /var/named/graz.at.db 

4) /var/named/25.15.172.inaddr.arpa 

Überprüft wird das nameservice mit dem Tool nslookup oder mit dem neueren Tool dig. 

Aus Sicherheitsgründen kann der Nameserver auch in einem „Jail“ gestartet werden, aus dem 

ein etwaiger Angreifer bei der Kompromittierung des Servers nicht ausbrechen kann. Wird der 

Nameserver mit einem jail installiert, ist allen Pfadangaben (Ausnahme: /etc/resolv.conf) ein 

/var/named/chroot voranzustellen. Dies ist nun in Fedora 13 automatisch der Fall. 

1) /etc/resolv.conf 

# hier wird der nameserver definiert 

nameserver 172.16.25.15 

2) /etc/named.conf 

options { 

listenon port 53 { 127.0.0.1; 172.16.25.15; }; 

// .....ausgeschnitten ... 


include "/etc/pki/dnsseckeys//dlv/dlv.isc.org.conf"; 

include "/etc/named.eigenezonen"; 

// hinzugefügte Zeile 

Zur bereits bestehenden Datei named.conf fügen wir nur eine Zeile hinzu 

 

Datei /etc/named.eigenezonen 

}; 

zone "graz.at" IN { 

type master; 

file "graz.at.db"; 

allowupdate { none; }; 

Diese Datei erstellen wir mit dem Editor. 

3) Die Datei graz.at.db erstellen wir auch mit Hilfe einer vorgefertigten Zonendatei: 

cd /var/named 

cp named.localhost 

graz.at.db 

/var/named/graz.at.db 

(Zonefile für graz.at) 

$TTL 1D ; Time To Live 

@ IN SOA pc15.graz.at. root.pc15.graz.at. ( 

2010122001 ; Serial Number 

1D 

; Refresh time ein Tag 

1H 

; Retry time 1 Stunde 

1W 

; Expire time 1 Woche 

3H ) 

; Minimum 

NS @ 

A 127.0.0.1 

IN MX 10 pc15.graz.at.; Mailserver für graz.at 

pc15 IN A 172.16.25.15 

pc10 IN A 172.16.25.10 

www IN CNAME pc15 

mail IN CNAME pc10 

 

$TTL 

Serial Number 

Refresh time 

Retry 

Expire 

Minimum 

Time To Live: Einen Tag darf ein Cache diese Einträge zwischen 

speichern 

Der Secondary Nameserver überprüft anhand dieser Nummer ob seine 

Einträge noch aktuell sind. 

In diesem Zeitintervall wird vom secondary nameserver überprüft, ob 

sich die Serial Number des primary nameservers geändert hat 

In diesem Zeitintervall macht der secondary Refrehes 

Hat der secondary nameserver diese Zeit erfolglos versucht, den prima 

ry zu erreichen, wird diese Zone verworfen 

wurde durch $TTL ersetzt 


Die Dateien /var/named/na* werden nach /var/named/chroot/var/named kopiert: 

cp a /var/named/na* /var/named/chroot/var/named 

4) Viele Dienste verlangen ein sogenanntes reverse Nameservice, also die Ermittlung des Namens 

bei gegebener IP Adresse. Die für den Anfänger etwas kryptische Namensgebung benennt 

die Dateien auch “reverse”. 

Datei 25.15.172.inaddr.arpa 

; der reverse file fuer das Netz 172.16.25.0 

@ IN SOA pc15.graz.at. wolfger.pc15.graz.at. ( 

2012110601 ; Serial 

28800 ; Refresh 

14400 ; Retry 

3600000 ; Expire 

86400 ) ; Minimum 

;nameserver 

NS @ 

A 127.0.0.1 

1 IN PTR pc1.graz.at. 



Aus Sicherheitsgründen läuft der Nameserver nicht mit den Rechten des Administrators root, 

sondern wird unter dem Benutzer named gestartet. Beim Erstellen und Kopieren von Dateien 

ist daher darauf zu achten, dass diese der Gruppe named zugeordnet sind, damit der Benutzer 

named Leserechte auf diese Dateien besitzt. 

chgrp named /var/named/* 

chgrp named /etc/named.eigenezonen 

Sekundärer Nameserver: 

Auf dem Rechner des sekundären Nameservers kann die Konfigurationsdatei des primären 

Nameservers mit einigen Änderungen übernommen werden: 

zone "sinabelkirchen.at" { 

type slave; 

file "slaves/sinabelkirchen.at"; 

masters {172.16.25.10; }; 

}; 

Das Verzeichnis slaves ist bereits angelegt und hat auch die entsprechenden Rechte, sodass der 

master die Dateien in dieses Verzeichnis problemlos ablegen kann. 

Die Zonefiles des primary Nameservers werden automatisch auf den secondary transferiert, 


sobald auf dem secondary named gestartet wird. Der File sinabelkirchen.at braucht auf dem 

secondary nicht erstellt zu werden. Wird der primary zonefile verändert, muss die 

Serialnummer erhöht werden, um dem secondary nameserver die veränderten Zonefiles 

anzuzeigen. 

Zum Testen des Nameservers gibt es den Befehl 

oder das neuere Tool dig: 

nslookup www.graz.at 

dig www.bulme.at 

dig linux.at ns 

dig linux.at mx 

dig –x 172.16.12.8 

dig www.linux.de +trace 

dig www.linux.at +short 

Liefert IP Adresse 

Liefert Nameserver für domain linux.at 

Liefert Mailserver für linux.at 

Liefert Namen der IP Adresse 

Liefert Auflösungsmodus 

Kurze Antwort 

Bildquelle: www.osnets.de 


Übungen: 

1) Richten Sie als Übung einen zusätzlichen Domain für „Nachname.at“ als primären 

Nameserver ein. 

2) Arbeiten Sie zu zweit: Richten Sie einen sekundären Nameserver für die Domänen 

graz.at und bruck.at ein. Wann und unter welchen Umständen findet ein Zonetransfer 

vom primären zum sekundären Nameserver statt 

3) Schauen Sie auf www.nic.at ! Dort können Sie Ihren domain registrieren lassen 

Dokumentation: 

http://www.isc.org 

http://www.linuxhomenetworking.com 


4) Webserver apache 

Bildquelle: 

www.wiegmannlinux.com 

Der Apache Webserver ist der meistbenutzte Webserver im Internet; er ist sowohl unter Linux 

als auch unter Windows freie Software. 

Die Konfigurationsdatei liegt in /etc/httpd/conf/httpd.conf. Die wichtigsten Einstellungen sind: 

Port 80 

Apache horcht auf den Port 80, der Standardport für das HTTP 

ServerRoot 

/etc/httpd 

Dort befinden sich die Konfigurations, Log und Errordateien. 

ServerAdmin vorname.nachname@bulme.at 

EMail Adresse des Administrators des Webservers 

ServerName www.graz.at 

Der Name des Webservers; muss im DNS (Domain Name Service) eingetragen sein. 

DocumentRoot /home/httpd/html 

Hier befindet sich die Startwebseite des Servers 

DirectoryIndex 

index.html, index.php, index.pl, index.cgi 


Die Startseite des Webservers muss einen dieser Namen annehmen 

#UserDir 

disable 

UserDir 

public_html 

Im Verzeichnis /home/user/public_html kann jeder Benutzer seine Homepage ablegen. Sie ist 

dann unter ServerName/~username abrufbar. 

ErrorLog 

/var/log/httpd/wwwerror.log 

Logfile für eventuelle Fehlermitteilungen 

CustomLog 

/var/log/httpd/wwwaccess.log combined 

Logfile für die Zugriffe auf die Webseite 

Werden nun mehr als eine Webseite auf dem Server abgelegt, so können mit Hilfe der 

VirtualHost Anweisungen diese Seiten unter verschiedenen Namen aufgerufen werden. Diese 

Namen müssen natürlich auch im Nameservice aufscheinen. 

Ist der Server gestartet steht eine ausführliche Dokumentation auf dieser Webseite zur 

Verfügung: 

http://localhost/manual 

Das folgende Beispiel beschreibt eine virtuelle Konfiguration für den Server pc15.graz.at 

 

ServerAdmin franz@graz.at 

DocumentRoot /home/httpd/pc15 

DirectoryIndex index.html 

ServerName pc15.graz.at 

 

require all granted 

 

ErrorLog /var/log/httpd/pc15error.log 

CustomLog /var/log/httpd/pc15access.log common 

 

Die Startseite der virtuellen Webseite pc15.graz.at muss index.html heißen und muss im 

Verzeichnis /home/httpd/pc15 liegen. Dieses Verzeichnis wird mit „require all granted“ 

freigegeben. 

Benutzerbezogene Webseiten: Wird die Anweisung 

auskommentiert, und 

UserDir disable 

UserDir public_html 

gesetzt, so kann der Benutzer franz seine homepage unter /home/franz/public_html/index.html 

ablegen und ist unter www.graz.at/~franz erreichbar. Die Rechte müssen derart gesetzt sein, 


dass der User apache diese Seite lesen kann. 

Starten, Stoppen und Status des Webservers 

systemctl { start | stop | restart | status } httpd.service 

service httpd { start | stop | restart | status } 

Konfiguration des Virtual Host franz.graz.at mit einer Zugriffsbeschränkung: 

In diesem Beispiel müssen alle Benutzer ein Passwort eingeben, der Benutzer von Adresse 

172.16.25.15 hat jedoch ohne Passwort Zugriff. 

 


DocumentRoot /home/httpd/franz 

ServerName franz.graz.com 

ErrorLog /var/log/httpd/franzerror.log 

CustomLog /var/log/httpd/franzaccess.log common 

# Dieses Verzeichnis wird geschützt 

AuthName "Private Webseite" 

AuthType Basic 

# Plain Text Authentifizierung 

AuthBasicProvider file 

# Authentifizierung mit Passwortfile 

AuthUserFile /etc/httpd/passwd # Passwortfile 

 

# Eine der folgenden Bedingungen muss 

Require validuser # erfüllt sein 

Require ip 172.16.25.15 

 

 

 

Einige Require Directiven: 

Require all granted 

Require all denied 

Require franz 

Require not fritz 

Require ip xxxx 

Require not ip xxx 

Alle haben Zugriff 

Keiner hat Zugriff 

franz hat zugriff 

fritz hat keinen Zugriff 

ip hat Zugriff 

ip hat keinen Zugriff 

RequireAll 

RequireNone 

RequireAny 

Alle Bedingungen müssen erfüllt sein 

Wenn eine Bedingung richtig ist, gibt es keinen Zugriff 

(keine Bedingung darf zutreffen um Zugriff zu haben) 

mindestens eine Bedingung muss zutreffen um Zugriff 

zu haben 

Die Passwortdatei wird erzeugt mit 


htpasswd –cm /etc/httpd/htpasswd franz 

c create Passwortdatei 

m MD5 Verschlüsselung 

Passwort für den Benutzer franz hinzufügen: 

htpasswd –m /etc/httpd/htpasswd franz 

Neben der einfachen Authentifizierung, bei der die Passwörter unverschlüsselt zum Server gesendet 

werden, gibt es auch noch den Authentifizierungstyp htdigest, der die Passwörter verschlüsselt 

überträgt sowie eine auf einer Datenbank basierende Lösung. 

Beispiel für Authentifizierung Digest: 

AuthType Digest 

# Autentifizierungstyp ist nun verschlüsselt 

AuthName "test1" 

# AuthName ist der Realm Name beim Befehl htdigest 

AuthDigestFile /etc/httpd/passwddigest # AuthUserFile 

require validuser 

# Alle Benutzer in /etc/httpd/passwoerter/passwd dürfen 

Passwort hinzufügen: 

htdigest c /etc/httpd/passwddigest test1 franz 

Anmerkung: Im Verzeichnis /var/www/error befinden sich standardisierte Fehlermeldungen 

des Webservers. Ein Beispiel ist die Datei HTTP_NOT_FOUND.html.var, die ausgegeben wird, 

wenn der Webserver einen Link nicht finden kann. Diese HTML Seite kann editiert werden und 

die Art der Fehlermitteilung an die speziellen Bedürfnisse des Webmasters angepasst werden. 

Dazu muss in httpd.conf in der Zeile 

ErrorDocument 404 /error/HTTP_NOT_FOUND.html.var 

die Raute als Kommentarzeichen entfernt werden. Damit die Seite auch auf Deutsch angezeigt 

wird, muss in den Browsereinstellungen (Bearbeiten/Einstellungen/Allgemein/Sprachen) 

Deutsch als bevorzugte Sprache angegeben werden. 

Anmerkung: Eine Zugangsbeschränkung kann auch in einem Verzeichnis durch die Datei 

.htaccess stattfinden. Dazu muss in der Serverkonfiguration die Anweisung 

AllowOverride All 


stehen, die es dem Webserver erst ermöglicht die Datei .htaccess mit ihren 

Konfigurationsanweisungen zu lesen und auszuführen. 

Beispiel einer .htaccess Datei in einem Verzeichnis, die eine Passwortabfrage verlangt: 

(Hier muss man entweder von der richtigen Adresse 172.16.25.15 kommen oder ein Passwort 

eingeben) 

AuthType Basic 

AuthName „Authentifizierung“ 

AuthBasicProvider file 

AuthUserFile /etc/httpd/passwd 

 

Require validuser 

Require ip 172.16.25.15 

 

Da der Webserver jedes Verzeichnis nach einer Datei .htaccess durchsucht leidet die 

Performance. Auch aus Sicherheitsgründen wird davon abgeraten diese Datei zu verwenden, da 

durch die Konfiguration der .htaccess Datei seitens des Webseitenerstellers die Berechtigungen 

verändert werden können. Diese Art der Zugangskontrolle sollte nur verwendet werden, wenn 

man keinen Zugang zum zentralen Konfigurationsfile httpd.conf besitzt. 

Durch die Anweisung 

AllowOverride None 

wird der Webserver angewiesen, die Datei .htaccess zu ignorieren. 


Verschlüsselte Webseite mit VirtualHost 

Um eine verschlüsselte Kommunikation zu ermöglichen, werden das Zertifikat und der 

Schlüssel dem virtuellen Host bekannt gegeben. In Fedora werden diese bei der Installation 

automatisch generiert, sie befinden sich im Verzeichnis /etc/pki/tls/certs/localhost.crt und 

/etc/pki/tls/private/localhost.key 

NameVirtualHost *:443 

 


DocumentRoot /home/httpd/secure 

ServerName secure.graz.at 

SSLEngine on 

SSLCertificateFile /etc/pki/tls/certs/localhost.crt 

SSLCertificateKeyFile /etc/pki/tls/private/localhost.key 

ErrorLog /var/log/httpd/secureerror.log 

CustomLog /var/log/httpd/secureaccess.log common 

 

Es ist auch möglich, eigene Keys und Zertifikate für den Webserver zu erzeugen, sogenannte 


selbst unterschriebene Zertifikate: 

cd /etc/pki/tls 

make genkey 

make certreq 

make testcert 

erzeugt localhost.key 

erzeugt localhost.csr 

erzeugt localhost.crt 

Das Zertifikat und der Key sind dem virtuellen Host bekannt zu geben: 

Wenn die Seite mit https://secure.graz.at aufgerufen wird, muss die Gültigkeit des Zertifikats, 

bestätigt werden, denn der Browser kennt das selbst signierte Zertifikat selbstverständlich nicht 

an. 

Wenn das Passwort in den Schlüssel hineincodiert wird, braucht es beim Start des Webservers 

nicht mehr eingegeben werden: 

openssl rsa in localhost.key out localhost.key.new 

mv localhost.key.new localhost.key 

Will man automatisch von der unverschlüsselten auf die verschlüsselte Seite weitergeleitet 

werden, wird in der httpd.conf ein Redirect eingerichtet: 

 

Servername secure.graz.at 

Redirect / https://secure.graz.at:443 

 


5) Software Updates 

5.1 RedHat Packet Manager (RPM) 

Zum Installieren und Administrieren von Software werden neben TarArchiven sogenannte 

RPM Pakete verwendet, die sich in den letzten Jahren als Standard in der Linuxwelt etabliert 

haben. Sie enthalten neben den zu installierenden Dateien auch Hinweise auf eventuelle 

Paketabhängigkeiten. RPM verwaltet eine Datenbank aller installierten Pakete, sodass ein 

Überblick über alle Pakete leicht möglich ist. 

1) Installation eines Paketes, zB: der Editor joe 

cd /cdrom/RedHat/RPMS 

rpm i joe2.89.i386.rpm 

2) Welche Pakete gibt es 

cd /cdrom/RedHat/RPMS 

rpm qpli * > alle_pakete_auf_der_dvd 

3) Welche Pakete sind installiert 

rpm qa > kurzes_listing_aller_installierte_pakete 

rpm qali > langes_listing_aller_installierten_pakete 

4) Welche Dateien sind in einem Paket enthalten 

rpm qpl paketname 

5) Upgrade eines Paketes 

rpm Uvh paketname 

6) Deinstallation eines Paketes 

rpm e Paketname 

7) Welche Pakete benötigt man zur Installation des Paketes_1 

rpm qp requires Paketes1 


8) Zu welchem Paket gehört diese Datei 

rpm qf /usr/bin/joe 

9) Welches nichtinstallierte Paket stellt die Datei zur Verfügung 

Rpm q –whatprovides /etc/httpd/conf.d/ssl.conf 

Übung: Holen Sie sich den Editor jed von ftp.tugraz.at (oder ftp.tuwien.ac.at) und installieren 

Sie ihn. 


5.2 ) Updating mit yum 

Die Versionen von RedHat und Fedora können auch mit yum upgedatet werden. Der Vorteil gegenüber 

RPM ist das selbständige Handling von Paketabhängigkeiten. Zusätzlich wurde das 

Programm mit einer grafischen Benutzeroberfläche versehen. Die Pakete werden in yum in verschiedenen 

Repositories verwaltet, jedes Repository enthält entweder nur upgedatete Pakete 

oder nur die Sourcecodes der Pakete. 

Befehle: yum list Listet alle Pakete 

yum update squid 

Update des Paketes squid 

yum update 

komplettes Update 

yum checkupdate gibt’s Updates 

yum list updates 

listet alle Updates 

yum update cyrus* Geht auch ! 

yum install paket 

Installiert paket 

yum remove paket 

Entfernt Paket 

yum list available 

Listet alle verfügbaren Pakete 

yum search 

Sucht Pakete nach keyword ab 

yum provides */ssl.conf 

welches Paket liefert ssl.conf 

yum groupinstall KDEDesktop installiert KDE Desktop 

yum grouplist 

listet alle Gruppen auf 

Will man die Fragen während des Updates mit ja beantworten, kann das Paket mit 

installiert werden. 

yum y install paket 


6) Firewall mit iptables 

Mit einer Firewall können beliebige Serverdienste für eine Gruppe von Benutzern oder Hosts 

gewährt oder verweigert werden. Die Befehle von iptables steuern das Verhalten der 

Datenpakete, die am Host ankommen. Dabei wird das Paket von der Netzwerkkarte an den 

Kernel weitergereicht. 

http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables 

Abb: Weg eines Datenpaketes durch einen Router 

linke Seite: Datenpaket ist für den Router bestimmt 

rechte Seite: Datenpaket ist zum forward bestimmt 

Ausgehend von der Netzwerkkarte durchwandert ein Datenpaket eine Reihenfolge von Tabellen 


(mangle, nat, filter), wobei in diesen Tabellen ein Reihe von Ketten (PREROUTING, INPUT, 

FORWARD, POSTROUTING) vorgesehen sind. 

Ein Paket, das geforwarded wird, muss u.a. durch folgende Tabellen und Chains (in dieser 

Reihenfolge): 

Tabelle 

Chain 

nat 

Prerouting 

filter 

forward 

nat 

postrouting 

Ein Paket, das für den localhost, also den Router mit der Firewall bestimmt ist, muss u.a. 

durch 

Tabelle 

nat 

filter 

Chain 

Prerouting 

input 

Ein Paket, das vom localhost, also vom Router mit der Firewall kommt, muss u.a. durch 

Tabelle 

nat 

Chain 

Postrouting 

Gefiltert werden muss in der Tabelle filter, dort in den chains FORWARD und INPUT. 

Löschen der Regeln: 

/sbin/iptables t filter F 

/sbin/iptables t mangle F 

/sbin/iptables t nat F 

/sbin/iptables X 

# Lösche Regeln in der Tabelle filter 

# Lösche Regeln in der Tabelle mangle 

# Lösche Regeln in der Tabelle nat 

# Lösche eine selbstgebaute Chain 

Tabelle filter ist der Defaultwert, wenn keine Tabelle angegeben wird. 

Beispiel 1: Der PC wird komplett vom Netz abgeschnitten: 

/sbin/iptables t filter A INPUT s 0/0 j DROP 

Beispiel 2: Der FTP Transfer vom Netz 193.190.122/24 zum Netz 193.170.134/24 wird nicht 

durchgelassen 

/sbin/iptables A INPUT p tcp s 193.190.122.0/24 d 193.170.134.0/24 dport 21 j LOG logprefix="port 

not allowed: " 

/sbin/iptables A INPUT p tcp s 193.190.122.0/24 d 193.170.134.0/24 dport 21 j DROP 

A INPUT Append to Tabelle INPUT 

p tcp die Pakete sind mit Protokoll TCP 


s address die Pakete kommen von dieser Quelle 

d destination die Pakete gehen zu diese Adresse ... 

dport 21 

und sprechen dort den Port 21 (ftp) an 

j LOG Paket wird mitgeloggt 

logprefix “port not allowed” Beliebiger Text 

j DROP Paket wird weggeworfen 

Beispiel 3: Vom Intranet (172.16.0.0/16) darf die Mail (port 110) nur vom Server 

193.110.120.123 geholt werden, alle anderen Mailserver sind für das Intranet gesperrt. 

/sbin/iptables A INPUT p tcp s 172.16.0.0/16 d 193.110.120.123 dport 110 j ACCEPT 

/sbin/iptables A INPUT p tcp s 172.16.0.0/16 d 0/0 dport 110 j DROP 

Beispiel 4: Zulassen von einigen ports, alle anderen werden gesperrt 

remote_net=”0/0” 

server_net=”193.180.90.0/24” 

# hohe ports werden zugelassen 

/sbin/iptables A INPUT p udp s $remote_net d $server_net dport 1023:65535 j ACCEPT 

# ssh wird zugelassen 

/sbin/iptables A INPUT p tcp s $remote_net d $server_net dport 22 j ACCEPT 

# www wird zugelassen 


# dns wird zugelassen 


# Sonst wird alles geloggt und gedroppt 

/sbin/iptables A INPUT s $remote_net j LOG logprefix "Drop von remote: " 

/sbin/iptables A INPUT s $remote_net j DROP 

Beispiel 5: Alle Pakete, die ins Internet wollen, werden auf den am Router befindlichen 

Webserver umgeleitet 

/sbin/iptables t nat A PREROUTING p tcp s 172.16.0.0/16 d $remote_net dport 80 j LOG 

logprefix "Packet redirected " 

$IP t nat A PREROUTING p tcp s 172.16.0.0./16 d $remote_net dport 80 j REDIRECT toports 

80 

Beispiel 6: NAT ... Network Address Translation: Alle Pakete vom Intranet kommend werden 

mit der IP Adresse des Routers (193.80.99.12) versehen 

$IP t nat A POSTROUTING s 172.16.0.0./16 j SNAT to 193.80.99.12 


Übungen: (Nach jedem Punkt löschen Sie bitte die erstellte Regel) 

1.Sperren Sie jeden Zugang zu Ihrem PC 

2.Sperren Sie für ihren Nachbarn den ftp Zugang und den telnet Zugang. 

3.Sperren Sie für alle Hosts nur das anpingen auf Ihrem PC (protocol icmp) 

4.Ihr Nachbar darf nun nicht auf ihre Webseiten zugreifen (port 80) 

5.a) Die Ports 80 (www) und 3128 (proxy) sind für alle erlaubt 

b) Vom Netz 172.16.25.0/24 soll jeder Kontakt abgelehnt werden 

c) Für das Netz 172.16.26.0/24 soll nur das Mailservice benutzt werden können (Ports 25 und 

110) 

d) Host 172.16.27.13 hat jeden Zugang zu diesem Host 

6. In der Dateien /etc/hosts.trusted steht eine Liste von Netzen und Hosts, denen ein Zugang 

über FTP, http, mail und ssh gewährt ist. In der Datei /etc/hosts.banned stehen jeweils eine 

Liste von Netzen und Hosts denen jeder Zugang verwehrt wird. 

Das Format der Dateien ist dabei folgend: 

/etc/ipchains.hosts.trusted 

180.156.23.0/24 Mitarbeiter Müller 

94.23.45.120/32 Außendienstmitarbeiter 

100.20.0.0/16 Dynamischer Pool von Provider X1 

/etc/hosts.banned 

62.46.78.0/24 Netzattacke am 23022002 

64.19.62.23 wiederholter Portscan 

Erstellen Sie ein Bashscript, das diese Regeln implementiert 


7) Mailserver sendmail 

1) Allgemeines: 

Mailexchanger für graz.at 

MX1 

Mailexchanger für wien.at 

MX2 

PC1 

PC2 

Sendet der Benutzer franz@graz.at von PC1 eine Mail nach fritz@wien.at, so wird diese an 

den im Mailclient angegebenen SMTP Server (der Mailexchanger für den domain graz.at) 

gesendet. Dieser findet über das Nameservice heraus, welcher Server der Mailexchanger für den 

domain wien.at ist und sendet die Mail an MX2. Der Benutzer von PC2 kann nun mit einem 

Mailclient, in dem er als POP Server MX2 angibt, seine Mails von diesem Server herunterladen. 

Sendmail ist ein MTA (Mail Transport Agent), der die Mails zum Bestimmungsort sendet, wo er 

sie seinerseits wiederum an einen MDA (Mail Delivery Agent) weitergibt, der im Falle des MDA 

procmail die Mails dann lokal in /var/spool/mail ablegt. 

2) Konfiguration des Nameservices, domain graz.at, statische IP eintragen 

Mail Exchanger (MX) für den domain graz.at ist pc15.graz.at 

pc15.graz.at (FQDN = Full Qualified Domain Name) in /etc/hosts eintragen: 

172.16.25.15 pc15.graz.at pc15 

Der Hostname wird in /etc/hostname auf pc15.graz.at gesetzt: 

pc15.graz.at 

3) Mailclient konfigurieren: 

smtp: 

pop: 

username: 

pc15.graz.at 

pc15.graz.at 

franz 

Wird jetzt gesendet, gibt es natürlich noch eine Fehlermitteilung, da sendmail noch nicht 

installiert und konfiguriert ist. 

Am Terminal kann der Mailclient mutt verwendet werden, der am Server keine 

Einstellungen benötigt. 

4) Zum Senden und Empfangen von Mails müssen folgende Programme installiert sein: 

sendmail 

Zum Versenden der Mails (smtp server) 


dovecot 

Zum Abholen der Mails vom Server (pop/imap server) 

sendmail verwendet die Portnummer 25 (smtp), der Popserver die Portnummer 110 

Zur Kontrolle, ob die Ports offen sind: (d.h: die Server ansprechbar sind) 

telnet pc15.graz.at 25 

telnet pc15.graz.at 110 

Wird die Verbindung verweigert, sind die Programme noch nicht verwendbar. Eventuell liegt 

das an der Konfiguration von /etc/dovecot.conf, am sendmail oder am Nameservice. 

in /etc/dovecot/conf.d/10mail.conf geben wir an, wo die Mails sich befinden: 

default_mail_env = mbox:~/mail/:INBOX=/var/spool/mail/%u 

Die Rechte des Mailordners überprüfen: 

chmod 600 /var/mail/* 

Neustart 

systemctl restart dovecot.service 

5) Mit dem Programm mail kann zum Testen eine Mail verschickt werden mit 

mail –s testmail franz@graz.at < datei oder 

echo „hallo „ | mail s testmail franz@graz.at 


6) Erfolgreich versendete Mails befinden sich in /var/spool/mail/username am Server des 

Empfängers. 

6.1) Sendmail verwendet 2 Dateien, die bestimmen, wer Mails versenden bzw. empfangen 

darf: 

/etc/mail/access: Eine Liste von domains, die diesen SMPT Server verwenden dürfen. 

Die Zeile 

bulme.at 

RELAY 

erlaubt jedem Benutzer aus dem Domain bulme.at diesen Server als SMTP Server 

benützen. 

/etc/mail/localhostnames: 

graz.at 

Der eigene domain muss eingetragen werden, z.B.: 

6.2) Sendmail ist aus Sicherheitsgründen nicht sofort verfügbar: es muss der Eintrag 

in /etc/mail/sendmail.mc 

dnl # DAEMON OPTIONS(„Port=smtp, ADDR=127.0.0.1, Name=MTA“) 

auskommentiert werden und danach sendmail neu gestartet werden 

6.3) In die Datei /etc/aliases werden die Aliase der Emailadressen eingetragen: der 

Benutzer franz des Mailexchangers graz.at hat automatisch die Emailadresse 

franz@graz.at. Will er nun die Adresse franz.mueller@graz.at verwenden, so ist in der 

Datei /etc/aliases folgender Eintrag zu tätigen: 

franz.mueller: 

franz 

Verteilerlisten sind mit aliases leicht einzurichten: 

programmierer: franz@graz.at, fritz@wien.at 

Es können Emailadressen, die sich in einer Datei befinden, gesammelt angesprochen 

werden: 

mailingliste: 

:include /etc/mail/mailingliste 

7) Der Logfile /var/log/maillog enthält wertvolle Hinweise über Fehlkonfigurationen; bei 

Problemen führen die Fehlermitteilungen dieser Datei mit www.google.at zur 

Problemlösung. 

8) Will man eine Mail vom PC1 mit dem domain gruber.at zu einem anderen domain maier.at 

auf PC2 senden, muss PC1 in seinem nameservice den domain maier.at als slave eingetragen 

haben und in den domainfiles muss der eigene MX definiert sein. 

9 ) Verschlüsselung: 


Wird thunderbird konfiguriert, wird der Port 993 und imaps für den IMAPServer 

vorgeschlagen. Dies kann belassen werden, denn dies ist im IMAP/POP Server dovecot 

eingestellt: dieser beherrscht die Protokolle pop3,pop3s,imap und imaps. 

Beim SMTP Server sendmail muss die Verschlüsselung mit dem STARTTLS in der Datei 

/etc/mail/sendmail.mc eingestellt werden: 

define(`confCACERT_PATH', `/etc/pki/tls/certs')dnl 

define(`confCACERT', `/etc/pki/tls/certs/cabundle.crt')dnl 

define(`confSERVER_CERT', `/etc/pki/tls/certs/sendmail.pem')dnl 

define(`confSERVER_KEY', `/etc/pki/tls/certs/sendmail.pem')dnl 

Das Zertifikat und der private Schlüssel, enthalten in der Datei sendmail.pem, müssen erst 

erzeugt werden: 

cd /etc/pki/tls/certs 

make sendmail.pem 

Sodann der SMTP Server in den Konteneinstellungen des dovecot konfiguriert werden: 

10) Dokus: www.sendmail.org 


8) Proxy squid 

Ein Proxy (Stellvertreter) übernimmt die Anfrage eines Clients an einen Server an Stelle des 

Clients. 

Wichtige Funktionen eines Proxy sind: 

1) Er dient als Cache zwischen dem lokalen Netz und dem Internet 

2) Er kontrolliert das Surfverhalten der Benutzer 

3) Die Downloadgeschwindigkeit kann gleichmäßig verteilt werden 

4) Zugriff auf das Intranet von außen wird ermöglicht 

Ein oft verwendeter Proxy in Linux ist das Open Source Softwarepaket squid. Gestartet wird 

squid mit 

/etc/init.d/squid start 

Nach einer Änderung der Konfigurationsdatei wird nur mehr diese neu geladen: 

/etc/init.d/squid reload 

Die Konfigurationsdatei ist /etc/squid/squid.conf. Die DefaultEinstellungen verbieten jeden 

Zugriff auf den proxy. Für einen funktionsfähigen squid ist es ausreichend, einen Hostnamen zu 

anzugeben, einen nameserver und eine eigene Access control list (acl) wie in Beispiel 1a) zu 

definieren: 

dns_nameservers 172.16.25.15 

visible_hostname cerberus.graz.at 


Ausführliche Fehlermeldungen werden in /var/log/squid/cache.log geschrieben, die Zugriffe 

werden in /var/log/squid/access.log mitgeschrieben. 

Beispiel 1: Access Control Lists (acl) 

Access Control Listen bieten eine Vielzahl von Möglichkeiten den Datenfluss zwischen Internet 

und Intranet zu beeinflussen, hier einige Beispiele: 

Es dürfen nur bestimmte IP Adressen den Proxy verwenden 

Es dürfen Seiten oder IP Adressen nicht angesurft werden 

Es muss eine Identifizierung stattfinden 

Bestimmte Dateien dürfen nicht downgeloaded werden 

a) Definiere einige Netze, die den Proxy verwenden dürfen 

acl mynets src 192.168.0.0/24 172.16.25.0/24 

http_access allow mynets 

b) Diese Adressen dürfen den Proxy nicht verwenden 

acl liste1 src 172.16.25.1172.16.25.4 

http_access deny liste1 

c) Diese Zieladresse ist nicht erlaubt 

acl liste2 dst 172.16.25.7/255.255.255.255 


d) Liste der verbotenen Begriffe 

acl liste3 url_regex "/etc/squid/verb_begriffe.txt" 


e) MP3 Dateien dürfen nicht runtergeladen werden 

acl mp3 urlpath_regex \.mp3$ 

http_access deny mp3 

f) Authentifizierung 

# Die Passwortdatei /etc/squid/passwd wird von /etc/shadow genommen 

# Das Authentifizierungsprogramm heißt ncsa_auth 

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd 

auth_param basic realm Passworteingabe web server www.graz.at 


# Alle Benutzer müssen ein Passwort verwenden 

acl password proxy_auth REQUIRED 

http_access allow all password 

Werden mehrere ACL’s verwendet, so ist darauf zu achten, dass die Listen sequentiell 

abgearbeitet werden und die erste Übereinstimmung gilt. (First match) 

Daher sollte als letzte Regel der ACL's immer jeder Zugriff verweigert werden, 

http_access deny all 

Beispiel 2) Alle Benutzer müssen ein Passwort eingeben, Begriffe aus der Liste der 

verbotenen Begriffe sind gesperrt. 

# die acl password verlangt ein Passwort vom Benutzer 

acl password proxy_auth REQUIRED 

# Erlaubte Begriffe sind mit Passwort zu erreichen: es muss die acl liste0 und die acl password 

erfüllt werden 

acl liste0 url_regex "/etc/squid/erlaubte_begriffe.txt" 

http_access allow liste0 password 

# Liste der verbotenen Begriffe 

# Verbotene Begriffe sind auch mit Passwort unerreichbar 

acl liste1 url_regex "/etc/squid/verb_begriffe.txt" 


# Alle müssen ein Passwort eingeben 

http_access allow all password 

Beispiel 3 : delay pools für Hosts 

# PC 46 myacl1 delay pool 1 class 1 64000 Bytes bucket, dann 6000 Bytes/sec 

# PC 46 hat ein Guthaben von 64000 Bytes, anschließend hat er mit eine 

# downloadrate von 6000 Bytes/sec 

# 

# PC 45 myacl2 delaypool 2 class 1 64000 Bytes bucket, dann 64000 Bytes/sec 

# PC 45 kann immer mit 64000 Bytes/sec downloaden 

# 

acl myacl1 src 172.16.23.46 


acl myacl2 src 172.16.23.45 

delay_pools 2 

delay_class 1 1 


delay_access 1 allow myacl1 

delay_access 2 allow myacl2 

delay_parameters 1 6000/64000 

delay_parameters 2 64000/64000 

Beispiel 4: Delay pools für Netze 

: delay_class2, bezieht sich auf Netze und Hosts 

Gesamt 320000 Bytes fuers gesamte Netz 

# 64000 Bytes als Bucket fuer jeden Host 

# 6000 Bytes wenn die 64000 Bytes aufgebraucht sind 

# 

acl myacl src 172.16.23.45/255.255.255.0 

acl all src 0.0.0.0/0.0.0.0 

delay_pools 1 


delay_access 1 allow myacl 

delay_access 1 deny all 

delay_parameters 1 320000/300000 6000/64000 

# Erklärung der delay_parameter: 

#1 delay_pool Nummer 

#320000/300000 320000 Bytes/sec downloadrate, 300000 Bytes Guthaben 

#6000/64000 6000 Bytes/sec downloadrate, 64000 Bytes Guthaben 

Übungen: 

1) Port auf 3333 ändern und im Webbrowser ausprobieren 

2) www.bulme.at nicht in den Cache geben 

3) Zugriffsbeschränkung mit acls: 

Zugriff auf www.bulme.at von überall her erlaubt 

Zugriff auf schueler.bulme.at ist nur von einem Netz erlaubt 

Zugriff auf infoti.bulmeintern.ac.at ist nur einem Netz nicht erlaubt 

Zugriff auf infoncc.bulmeintern.ac.at ist nur mit Authentifizierung erlaubt 

Zugriff ins Internet ist nur mit delay pools erlaubt 

4) Anpassen der Fehlermitteilungen in /usr/share/squid/errors/English/ 

Dokus: 

squid.nlanr.net 

/usr/share/doc/squid*/FAQ 


9) Nameserver, Webserver, Mailserver und Proxy 

PC Zone Adresse 

1 wien.at 172.16.80.1/27 

2 prag.at 172.16.80.2/27 

3 oslo.at 172.16.80.33/27 

4 paris.at 172.16.80.34/27 

5 luanda.at 172.16.80.65/27 

6 maputo.at 172.16.80.66/27 

7 lima.at 172.16.80.97/27 

8 quito.at 172.16.80.98/27 

9 tokio.at 172.16.80.99/27 

10 sinabelkirchen.at 172.16.80.129/27 

11 stinaz.at 172.16.80.130/27 

12 gangtok.at 172.16.80.161/27 

13 dehli.at 172.16.80.162/27 

14 harare.at 172.16.80.193/27 

15 kapstadt.at 172.16.80.194/27 

16 trofaiach.at 172.16.80.225/27 

17 warschau.at 172.16.80.226/27 

18 peking.at 172.16.80.227/27 

Konfigurieren Sie das Nameservice für Ihre Zone, in der die Hosts www.stadt.at, 

nachname.stadt.at, ftp.stadt.at, mail.stadt.at und proxy.stadt.at erreichbar sein sollen. 

Der Webserver soll folgend konfiguriert werden 

a) Der Startfile für www.stadt.at soll in /home/httpd/stadt/www liegen und soll nur für Sie ohne 

Passwortabfrage erreichbar sein, alle anderen müssen ein Passwort vergeben 

b) Die Webseite nachname.stadt.at soll für alle erreichbar sein 

Der Mailserver soll mail.stadt.at heißen 

a) Die Benutzer peter und petra sollen die Mailadressen peter.huber@stadt.at und 

petra.maier@stadt.at erhalten 

b) Wie können Sie dem peter ihres Nachbarn eine Mail schicken 

c) Wie können Sie petra's Mails vom Nachbarserver abholen 

d) Ermöglichen Sie Ihrem Nachbar, der im gleichen Netz ist wie sie, dass er seine Mails 

über Ihren Mailserver versenden darf. 

Stellen Sie den Proxy folgend ein: 

a) Authentifizierung ist notwendig für Ihren Nachbar, Sie selbst dürfen ohne Passwort surfen 

b) Erstellen Sie je eine Liste von verbotenen Destinationen und verbotenen Begriffen 

c) Dateien mit gewissen Endungen (.mp3, wav usw.) dürfen nicht heruntergeladen werden 

d) Erstellen Sie ein Delaypool mit einer maximale Downloadgeschwindigkeit von 10 KB/s 


10) Dual Boot mit Windows und Linux (ohne grub2/Fedora17) 

Bei der Installation von Windows wird ohne Rückfrage der Windows Bootloader auf den MBR 

(Master Boot Record) der Festplatte geschrieben. Wird nun Linux zusätzlich installiert, besteht 

die Möglichkeit, den Bootloader von Windows zu belassen oder den Linux Bootloader zu installieren. 

Hier wird die 2. Möglichkeit beschrieben, den Linux Bootloader zu installieren, damit beide 

Systeme gebootet werden können. Windows befindet sich also bereits auf Partition 1 und Linux 

wird nun auf Partition 2 der Festplatte installiert. 

Die Datei /boot/grub/grub.conf ist die Konfigurationsdatei des Linux Bootloaders grub (Grand 

Unified Bootloader) und sieht bei einer Installation von Linux auf Partition 2 folgend aus: 

# Datei grub.conf default=0 

timeout=10 

splashimage=(hd0,1)/boot/grub/splash.xpm.gz 

hiddenmenu 

title Fedora Partition 2 

kernel /boot/vmlinuz2.6.151.2054_FC5 ro root=/dev/hda2 rhgb quiet 

initrd /boot/initrd2.6.151.2054_FC5.img 

# Ende grub.conf 

Anmerkungen: 

default=0 

Als default wird das erste System gebootet 

splashimage=(hd0,1)/boot/grub/splash.xpm.gz 

Das Bild des Bootloaders, (hd0,1) bezeichnet die 2. Partition auf Harddisk 1, 

es wird bei Null zu zählen begonnen 

timeout=10 

10 Sekunden wird gewartet bis gebootet wird 

hiddenmenu 

Das Bootmenu wird zuerst versteckt, durch Tastatureingabe erscheint es, diese Anweisung sollte 

besser auskommentiert werden 

title Fedora Partition 2 

Dieser Titel erscheint beim Bootmenu 

kernel .... 

Der Kernel befindet sich in /boot/vmlinuz2.6.151.2054_FC5 und zwar auf Partition 2 

(root=/dev/hda2) 

Hat man nun Windows auf Partition 1 installiert, (Windows soll immer auf einer primären 

Partition installiert werden), so muss die Bootloaderdatei grub.conf um folgende Zeilen ergänzt 

werden: 

Ergänzung von grub.conf 


title Windows Partition 1 

rootnoverify (hd0,0) 

chainloader +1 

Es ist kein weiterer Befehl mehr notwendig, beim nächsten Bootvorgang erscheint das Bootmenu. 

Anmerkung: Wenn weder der Windows noch der Linux Bootloader funktionieren, helfen folgende 

Kochbuchregeln. Wir nehmen an, dass Linux auf der Partition 1 installiert ist, aber nicht 

mehr bootbar ist: 

Mit der Fedora CD hochfahren und beim Bootprompt eingeben: 

linux rescue 

Nach den Einstellungen der Sprache, Tastatur und Netzkarte wird ein Fedorasystem unter 

/dev/hda1 gefunden, das auch unter /mnt/sysimage gemountet werden soll. 

Dann: 

chroot /mnt/sysimage 

grubinstall /dev/hda 

cd /boot/grub 

Datei grub.conf mit Editor erstellen, die Kernelnummern von 

vmlinuz sind in /boot ersichtlich 


11) Kernelkompilierung 

/* You are not expected to understand this */ 

[UNIX V6 kernel source code] 

Der Kernel ist der innerste Teil des Betriebssystems mit seinen grundlegenden Funktionen wie 

Speicherverwaltung, Prozessverwaltung, I/O Verwaltung sowie der Steuerung der Hardware. 

Der Kernel ist in der Programmiersprache C geschrieben und muss bei einer Neukonfiguration 

neu kompiliert werden. Jede Distribution liefert einen vorkompilierten Kernel mit, dessen 

Vorteil klar auf der Hand liegt: man braucht sich um eine Kernelkompilation nicht mehr zu 

kümmern. Will man jedoch einen Kernel besitzen, der speziell auf die Hard und 

Softwarebedürfnisse des eigenen Servers zugeschnitten ist oder Features installieren will, die 

im vorkompilierten Kernel nicht enthalten sind, kommt man um eine Neukompilierung des 

Kernel nicht herum. 

Es gibt stabile Kernelversionen, die als ausgereift gelten und von der Linuxgemeinde 

ausreichend getestet wurden; sie haben gerade Endnummern (2.2, 2.4, 2.6), während hingegen 

die ungeraden Nummern (2.3, 2.5, 2.7) als Entwicklerkernel gelten, denen man sich nur als 

Linuxfreak widmen sollte. 

Module sind Kernelkomponenten, die wahlweise fix in den Kernel integriert werden können, 

oder zu einem späteren Zeitpunkt, wenn sie benötigt werden, eingebunden, also geladen werden 

können. Ein Beispiel eines Moduls ist etwa der Treiber einer Netzwerkkarte. Wird nur diejenige 

Netzwerkkarte in den Kernel integriert, die sich gerade im PC befindet, muss bei einem 

Netzkartenwechsel der Kernel neu kompiliert werden. Deshalb werden die Treiber der gängigen 

Netzkartenhersteller als ladbare Module kompiliert, um eine Neukompilation des Kernels zu 

vermeiden. 

Module können mit den Befehlen 

lsmod, insmod, rmmod, modprobe 

verwaltet werden; sie werden aber bei Verwendung automatisch geladen. 

Eine Neuerstellung des Kernels erfordert bei Fedora 6 etwa 2GB an Speicherplatz. 

Zuerst werden einige Pakete installiert: 

yum install rpmbuild 

Rpmbuild Paket enthält einige Skripte und Programme zum Erstellen von RPMPaketen unter 

Verwendung des Red Hat Package Managers. (Der Baum /usr/src/redhat wird u.a. erstellt) 

yum install yumutils 

yumutils enthält u.a. den yumdownloader 

yum install rpmdevtools 

Damit kann der Kernel an einem beliebigen Ort zusammengebaut werden 

Nun wird im Homeverzeichnis des Benutzers der für die Kompilation benötigte 

Verzeichnisbaum erzeugt ... 

rpmdevsetuptree 


...und die Patches der Kernelsourcen dort installiert: 

rpm ivh kernel2.6.181.2798.fc6.src.rpm 

cd ~/rpmbuild/SPECS 

rpmbuild bp –target $(uname m) kernel2.6spec 

Wir gehen nun zum Sourcebaum des Kernels und kopieren eine vorgefertigte 

Konfigurationsdatei für den Kernel ins richtige Verzeichnis: 

cd ~/rpmbuild/BUILD/kernelversion/linuxversion/ 

cp configs/kernel2.6.18i686.config .config 

liefert 

uname r 

kernel2.6.181.2798.fc6 

Nun wird noch der Makefile editiert um den Namen des neuen Kernels zu erstellen. Statt 

EXTRAVERSION = prep 

schreiben wir 

EXTRAVERSION = 1.2798.fc6 

um einen korrekten Namen für den neu kompilierten Kernel zu haben. Alternativ kann auch 

EXTRAVERSION = mykernel 

geschrieben werden 

Hier wird die neue Kernelkonfigurationsdatei mit den alten Konfigurationseinstellungen 

erzeugt 

make oldconfig 

Installation der Kerneldevelopment Dateien, die zur Kompilation der Module benötigt werden: 

rpm ivh kerneldevel2.6.181.2798.fc6.i686.rpm oder 

yum install kerneldevel 

Auch der GNU CCompiler darf nicht fehlen: 

yum install gcc 

yum install ncursesdevel 

ist für “make menuconfig” notwendig 

yum install qtdevel 

yum install gccc++ 

sind für den Befehl “make xconfig” notwendig 

Unter Umständen sind auch einige benötigte Pakete wie make usw. nicht installiert. Diese 

müssen entweder mit dem RedHat Packet Manager oder mit yum nachinstalliert werden. Hier 

wird davon ausgegangen, dass alle benötigten Pakete bereits installiert sind. 

Wir gehen in das Verzeichnis, in dem sich der Makefile befindet: 

cd ~/rpmbuild/BUILD/kernelversion/linuxversion/ 

Die Datei .config wird nun gesichert. Sie enthält alle Einstellungen des Kernels, die bei der 


Konfiguration des Kernels geladen werden kann, alternativ kann auch eine andere Datei 

geladen werden. 

cp .config .configjjjmmdd 

sichere eventuell vorhandene alte Konfigdatei 

Die Auswahl der Kernelkomponenten erfolgt mit: 

make config 

make menuconfig 

make xconfig 

(altbacken) oder 

(besser) ncursesdevel installieren ! oder 

Geht nur mit qt, qtdevel und gccc++ Paketen 

make clean 

Löschen der Objectfiles 

make mrproper Lösche alle generierten Files (auch .config !) 

make 

Kernel und Module werden kompiliert 

Zielort 

make modules_install 

make install 

Die Module werden auf ihren 

verschoben (/lib/modules/KERNEL_VERSION) 

Der Kernel wird installiert 

Mit dem letzten Befehl wird der Kernel mit einigen anderen Dateien in das Verzeichnis /boot 

kopiert und der Bootloader /boot/grub/grub.conf so verändert, dass der neue Kernel das nächste 

Mal gebootet wird. 

Doku: 

http://fedora.redhat.com/docs/releasenotes/fc6/en_US/snKernel.html 

www.kernel.org 

www.howtoforge.com 


12) Der Bootvorgang 

Das Hochfahren des Rechners lässt sich in 2 Teile gliedern: 

1) Laden des Kernels 

2) Ausführen des Programmes /sbin/init 

zu 1) Laden des Kernels 

Für den ersten Teil ist der grub Bootloader zuständig. Die prinzipielle Vorgangsweise eines 

Bootloaders: Beim Hochfahren des Rechners wird nach dem Selbsttest ein kleines Programm 

ausgeführt, das sich im Bootsektor der Festplatte (MBR ... Master Boot Record) befindet. Dieses 

maximal 512 Byte große Programm hat nur die Aufgabe, ein größeres Programm, das Boot 

Hauptprogramm zu laden. Danach hat der Benutzer die Möglichkeit, verschiedene Kernel oder 

Betriebssysteme auszuwählen. Wenn die Kerneldatei, vmlinuz, gestartet wird, erscheint am 

Bildschirm die Zeile 

Loading linux ...... 

Zu 2) Ausführen des Programms /sbin/init 

Der Kernel startet als erstes Programm /sbin/init, wobei dem Bootloader einige Parameter, die 

der Benutzer angeben kann, mitgegeben werden können. (So kann durch die Eingabe linux 

single Linux im SingleUserMode gestartet werden, was besonders nützlich ist, wenn man das 

root Passwort vergessen hat) 

In Linux gibt es verschiedene Runlevel: 

Level 0 

Level 1 

Level 3 

Level 5 

Rechner wird niedergefahren 

Linux im SingleUserMode 

Multiuser Mode mit Netz 

Inklusive Grafik 

Mit dem Befehl /sbin/init 3 kann zum Runlevel 3 gewechselt werden 

Der Prozess init wird durch die Datei /etc/inittab gesteuert, die wesentlichen Befehle sind: 

a)Setzen des Default Runlevels 

id:5:initdefault: 

Das Default Runlevel ist also Level 5 

b) Systeminitialisierung 


si::sysinit:/etc/rc.d/rc.sysinit 

Mit diesem Befehl wird das System initialisiert: 

Der Hostname wird gesetzt, swap Partition eingebunden, Root Partition wird 

überprüft, alle anderen Partitionen gemountet, depmod wird ausgeführt, usw. 

c) Starten des jeweiligen Runlevels 

l0:0:wait:/etc/rc.d/rc 0 







Wird nun das Level 5 gestartet, so werden alle Programme, die sich in /etc/rc.d/rc5.d/ befinden, 

ausgeführt: Zuerst werden alle Programme die mit K beginnen zum Beenden eventuell laufender 

Prozesse ausgeführt, sodann werden alle Programme die mit S beginnen zum Starten der 

neuen Programme ausgeführt. 

Im Verzeichnis /etc/rc.d/rc5.d/ befinden sich nur Links auf das Verzeichnis /etc/rc.d/init.d/, in 

dem sich die tatsächlichen Programme befinden. 

Im Verzeichnis /etc/rc.d/rc5.d/ kann ein neuer Link kann mit 

ln s ../init.d/ipchains S85iptables 

gesetzt werden; mit diesem Befehl wird beim Wechsel in diesen Runlevel das 

Firewallprogramm ipchains gestartet. 

Dieser Link wird durch den folgenden Befehl gesetzt: 

chkconfig –level 135 iptables on/off 

Zum Abschluss wird noch das Programm 

/etc/rc.d/rc.local 

ausgeführt: hier können zusätzliche Skripts gestartet werden und Veränderungen durchgeführt 

werden. 

Anmerkungen und Übungen: 


Das Programm pstree widerspiegelt die zentrale Rolle des Prozess /sbin/init 

Erweitern Sie die Variable PATH indem Sie das Verzeichnis /home/franz/bin hinzufügen. 

Was machen Sie, wenn Sie beim Starten keine grafische Benutzeroberfäche wollen 

Starten Sie beim Hochfahren im Runlevel 3 den Nameserver, Webserver und den Proxy. 


13) Automatisierung von Aufgaben mit cron 

Mit dem Befehl crontab kann jeder Benutzer gewisse Aufgaben zu einem späteren Zeitpunkt 

ausführen lassen. Dies eignet sich besonders für backups oder Internettransfers, die in der Nacht 

durchgeführt werden können. 

Jeder User hat einen eigenen crontab, der sich in /var/spool/cron/user befindet 

1) export VISUAL=joe (Um den joe Editor zu verwenden) 

2) crontab -e Editiere den File /var/spool/cron/user 

Eingabe: 

00 * * * * rm /home/harald/test/a* 

Der Befehl wird durchgeführt wenn Minuten auf 00 zeigen, also jede Stunde. 

Syntax: 

Minute Stunden Monatstag Wochentag Monat Befehl 

* */2 * * * /usr/local/backup 

Diese Batchdatei wird alle 2 Stunden ausgeführt 

3) crontab -l listet die Eintraege auf 

Nach einer Änderung der Einträge ist das Programm crond neu zu starten: 

/etc/init.d/crond restart 

------------------------------------------------------------------------------------------------------------ 

Diese Aufgaben können auch unabhängig von einem bestimmten Benutzer durchgeführt werden: Der 

Prozess crond wird gesteuert von der Datei /etc/crontab, die folgende Dateien aufruft: 

/etc/cron.hourly 

/etc/cron.daily 

/etc/cron.weekly 

/etc/cron.monthly 

/etc/cron.d 

Diese Verzeichnisse enthalten Dateien, die von cron aufgerufen werden; die Files in cron.hourly eben 

stuendlich, die Files im cron.d zu der Zeit wie in den Files angegeben. 

Beispiel fuer /etc/cron.d/save-system 

# Am 15 jeden Monats wird vom Benutzer root um 4.00 Uhr ein Backup durchgeführt 

00 04 15 * * root /etc/backup 

Das Skript /etc/backup soll die Rechte 644 besitzen. 


Beispiel 1: Erstellen Sie mit Hilfe des Befehl ncftpput eine Sicherung des Verzeichnisses /etc auf dem 

PC Ihres Nachbarn. 

Mit einem tar-Befehl können Sie eine gesamte Systemsicherung durchführen: 

tar c /etc | ncftpput –c –u user –p passwort 172.16.25.10 system.tar 

Syntax von ncftpput: 

ncftpput –u user –ppasswort remote_host remote_dir local_file 

ncftpput –u franz –pfranz 172.16.25.6 / /etc/passwd 

Beispiel 2: Eine monatliche Systemsicherung auf eine andere Festplatte, zB: /dev/hdb1 

mount –t ext3 /dev/hdb1 /sicherung 

cd /sicherung && (cd / && tar cplf - .) | tar xpvf - 1> backup.log 2> backup.log.fehler 

umount /sicherung 

Anwendung von cron: Rotation der Logdateien 

Ein Beispiel für cronjobs besteht in der Verwaltung der Logdateien, die bei stark frequentierten 

Servern sehr groß werden können. 

Im Verzeichnis /etc/cron.daily gibts den File logrotate, der die Zeile 

/usr/sbin/logrotate /etc/logrotate.conf 

enthält, womit sichergestellt ist, dass das Programm logrotate jeden Tag aufgerufen wird. 

Das Programm logrotate wird durch /etc/logrotate.conf gesteuert, das standardmaessig einen Verweis 

auf das Verzeichnis /etc/logrotate.d/ enthaelt, in dem fast alle Logfiles rotiert werden. 

Zum Testen ist es wichtig zu wissen, dass der Aufruf 

/usr/sbin/logrotate -f /etc/logrotate.conf 

funktioniert (-f steht fuer force), jedoch der Aufruf 

/usr/sbin/logrotate -f -dv /etc/logrotate.conf 

nicht funktioniert (-dv steht fuer debug und verbose) !! 

Um nun die Logfiles in einer uebersichtlichen Art und Weise rotieren zu lassen, ist die Option 

notifempty 

wichtig, die zumindest die leeren Files nicht rotiert: ist bei /var/log/httpd/* wichtig, da dort viele leere 

Files sind. 

Die Files im Verzeichnis /var/log/squid/ werden im File /etc/logrotate.d/squid besser direkt 

angegeben: 


var/log/squid/access.log { 

ifempty 

mail harald 

} 

/var/log/squid/cache.log { 

ifempty 

mail harald 

} 

/var/log/squid/store.log { 

ifempty 

mail harald 

} 

Man kann auch mit 

/usr/sbin/squid -k rotate 

die squidfiles rotieren lassen. 

Files : /var/lib/logrotate.status 

/etc/cron.d/* 

/etc/cron.daily/* 

/etc/cron.hourly/* 

/etc/cron.weekly/* 

/etc/cron.monthly/* 

/etc/logrotate.conf 

/etc/logrotate.d/* 

/var/spool/cron/user 

/usr/sbin/logrotate /etc/logrotate.conf 

/usr/sbin/squid -k rotate 

Aufruf von logrotate 

Rotiere squid files 


14) Übungen zur Bash mit sort, cut und uniq (ohne Programmierteil) 

1) Holen Sie sich die Datei /home/franz/testfile.txt vom Lehrer PC 

2)Sortieren Sie diese Datei nach dem Geburtsdatum und geben Sie die Ausgabe auf test1.out 

aus 

3)Sortieren Sie diese Datei nach dem Geburtsdatum und geben Sie etwaige Fehlermeldungen 

auf test1.fehler aus 

4) Datei testfile.txt: Welche Schueler der 4ANH haben das Geburtsdatum 8001 

5) Datei testfile.txt: Wie erstellen Sie eine nach Nachnamen sortierte Liste der 4AEH 

6) Erstellen Sie ein alias "myip", das die IP Nummer ihres PC folgend ausgibt: 

Meine Ipnummer lautet: 172.16.23.209 

7) Datei /etc/passwd: Stellen Sie fest, wieviele Benutzer am System angelegt sind 

8: Datei /etc/passwd: Wieviele der angelegten Benutzer haben ein Homeverzeichnis in /home 

9) Datei /etc/passwd: Wieviele Benutzer haben eine Shell bash 

10) Erweitern Sie die Variable PATH, sodass auch Programme im Verzeichnis /home/franz/test1 

ausgeführt werden können, ohne den Pfad anzugeben. 

11) Existiert die Datei /etc/shadow geben Sie aus: 

Shadowpasswoerter eingerichtet 

andernfalls geben Sie aus: 

Bitte Shadowpasswoerter mit „pwconv“ einrichten 

12) Holen Sie sich vom LehrerPC /home/franz die Datei messages.log 

Wieviele Zeilen hat dieser File 

13) Listen Sie die letzten 10 Zeilen dieses Files am Bildschirm und leiten Sie die Ausgabe auf 

eine Datei um. 

14) Wieviele failed Logins gibt es 

15) Das Programm /sbin/fsck.ext3 (oder ext2) überprüft eine Partition auf Datenintegrität; 

verwenden sie es bei einer nicht gemounteten Partition die dieses Dateisystem besitzt. Dieses 

Programm muss beim Hochfahren manchmal ausgeführt werden, wenn eine Dateifehler 

entdeckt wurde. 

16) Erstellen Sie ein Filessystem auf einer leeren (!) Partition mit dem Befehl /sbin/mkfs.ext3 

Passen Sie bitte auf ! 

17) Mounten Sie eine andere Partition 

18) Lassen Sie sich den freien Speicherplatz auf den gemounteten Partitionen anzeigen 


19) Als root: Melden Sie sich als Benutzer franz an und wieder ab. 

20) Erstellen Sie ein alias namens mycp, das Ihre Diskette formatiertiert, mountet und alle 

Dateien, die mit a bis k beginnen und mit conf enden, auf die Diskette kopiert. 


15) Weitere Übungen zur Bash (mit Programmierteil) 

Beispiel 1: Man kopiere die ersten 10 Dateien des Verzeichnisses /usr/sbin auf das Verzeichnis 

/tmp. 

Beispiel 2: Beispiel 1 wird nun ausgebaut: das Verzeichnis, die Anzahl der Dateien, aber auch 

die genaue Dateiangabe (Etwa *.doc) sollen nun als Parameter variabel gehalten werden 

können. 

Beispiel 3 Stellen Sie fest, wieviele Benutzer am System angelegt sind 

Beispiel 4: Wieviele der angelegten Benutzer haben ein Homeverzeichnis in /home 

Beispiel 5: Setzen Sie die Zugriffsrechte des Verzeichnisses der homepage aller Benutzer auf 

750. 

Beispiel 6: Wird ein Schüler am Schülerserver angelegt, so wird auch automatisch eine Default – 

Homepage /home/username/public_html/index.shtml generiert, die 443 Bytes groß ist. Um nun 

im Laufe des Jahres festzustellen, ob ein Schüler eine eigene Homepage erstellt hat, schaut man 

auf diese Datei und überprüft ob sie noch immer 443 Bytes groß ist. Schreiben Sie ein Script, das 

eine Liste derjenigen Schüler ausgibt, die bereits eine Homepage erstellt haben. 

Beispiel 7: Erstellen Sie eine Liste aller Dateien von /var/log, die groesser als 100 KB sind. Verwenden 

Sie dazu uebungshalber die Befehle ls und cut 

Beispiel 8: Geben Sie folgenden Text aus: 

Zur Zeit sind 147234 Bytes von 255404 Bytes im RAM belegt 

12456 Bytes des Swap Bereiches sind belegt 

Beispiel 9: Erstellen Sie eine Liste aller Benutzer, deren uid ueber 500 liegt; verwenden Sie 

dazu die Datei /etc/passwd 

Ausgabe: fritz Fritz Maier 

franz 

Franz Mueller 

peter 

Peter Huber 

Beispiel 10: Vereinen Sie die letzten 3 Beispiele in eine Batchdatei und fuegen Sie dem Aufruf 

dieser Batchdatei einen Parameter an, der angibt, welcher der 3 Punkte durchgefuehrt 

werden soll. 

Beispiel 11: Erstellen Sie eine Batchdatei, die nach dem Befehl dsum die Anzahl der Dateien 

und die Gesamtgroesse der Dateien im Arbeitsverzeichnis angibt: 

Beispiel: Eingabe: dsum 

Ausgabe: 

34 Dateien, 234222 Bytes 


Beispiel 12: Schreiben Sie ein Script, das in einem als Parameter übergebenen Verzeichnis feststellt, 

wie viele Dateien und wie viele Verzeichnisse sich dort befinden: 

Eingabe: listfiles /home 

Ausgabe: 

Verzeichnis /home: 12 Verzeichnisse, 23 Dateien 


Lösungen zu den Bash Übungen 

#! /bin/bash 

echo" Uebung 146 IPNR " 

echo n ""Meine IP: "" ; /sbin/ifconfig eth0 | grep inet | cut c2437 

alias ipnr="echo n ""Meine IP: "" ; /sbin/ifconfig eth0 | grep inet | cut c2437" 

echo " Uebung 147a Shadow Datei Version 1 " 

[ e /etc/shadow ] && echo " Shadowdatei eingerichtet" 

[ e /etc/shadow ] || echo " Shadowdatei nicht eingerichtet" 

# oder 

echo " Shadow Datei Version 2 " 

if [ e /etc/shadow ] 

then 

echo " Shadowdatei eingerichtet" 

else 

echo " Shadowdatei nicht eingerichtet" 

fi 

echo " Uebung 147b Dateien groesser als 10000 Bytesls 

l /var/log > tempfile 

k=0 

for i in $(cut c3543,57 tempfile) 

do 

if [ $k eq 0 ] 

then 

k=1 

byte=$i 

else 

if [ $byte ge 10000 ] 

then 

echo "Datei groesser als 10000 Bytes:" $byte $i 

fi 

k=0 

fi 

done 

echo " Uebung 14 –7d User und Uids" 

for i in $(cut d":" f1,3 /etc/passwd) 

do 

uid=$(echo $i | cut d ":" f2) 

name=$(echo $i | cut d ":" f1) 

# echo $uid " " $name 

if [ $uid ge 500 ] 


then 

echo $uid $name 

fi 

done 

echo "Uebung 14 –8 dirsum " 

# Gibt nach dem Befehl ls ald die Anzahl der Dateien 

# sowie deren Gesamtspeicherplatz aus 

tempfile=/tmp/lt.$$ 

ls al color=tty $* 

ls al $* > $tempfile 

summe=0 

anz=0 

for i in $(cut $tempfile b 3342); do # Spalte 3341 herausgeschnitten 

# i=${i#*[^09,' ']*} # Regulaerer Ausdruck 

if [ i ]; then 

summe=$[$summe+$i] # Keine Leerzeichen !! 

anz=$[$anz+1] 

# Eckige Klammer: Ausdruck auswerten 

fi 

done 

kb=$[$summe/1024] 

mb=$[$kb/1024] 

echo $anz "Dateien, " $summe "Bytes, " $kb "KB, " $mb "MB" 

Uebung 14 9 

#!/bin/bash 

tempfile=/tmp/lt.$$ 

ls al $1 > $tempfile 

v=0 

f=0 

for i in $(cut $tempfile b 11) 

do 

echo "Wert von i= "$i 

if [ $i != "i" ] 

then 

if [ $i == "d" ] 

then 

v=$[$v+1] 

echo " Ist ein Verzeichnis v = " $v 

else 

f=$[$f+1] 

echo " Ist ein File f = " $f 

fi 

fi 


done 

echo $1": " $v "Verzeichnisse, " $f " Files" 

Lösungen zu Uebung 18 

Beispiel 1: 

# Kopiere die ersten 10 Files in einem Verzeichnis auf das Verzeichnis /tmp 

# 

j=0; 

# Filezähler 

for i in * ; do 

# Schleife über alle Dateien 

echo $i 

# Testausgabe der Dateien am 

Schirm 

echo "cp v" $i "/tmp" >> testscript.out 

# Kopierbefehl wird auf File 

kopiert 

j=$[$j+1] 

# Filezähler erhöht 

echo $j 

# Testausdruck 

test $j ge 10 && exit 1 # Abbruch, falls Filezähler > 10 

done 

Beispiel 6 

# Durchsuche alle Benutzerverzeichnisse: 

# Existiert dort kein public_html Verzeichnis, kopier eines hinein 

# Existiert eines, schau ob dort der index.shtml die Groesse zahl hat 

# Wenn ja ueberschreibe den index.shtml mit einem neuen, schoeneren 

# index.shtml 

anzuser=0 

# Zaehler fuer die Anzahl der 

Benutzer 

zahl=443 

# Groesse der gesuchten Datei 

for user in $(ls /home/); do 

# Suche alle Elemente von /home ab 

{ file=$(ls d /home/$user) 

echo $file 

if [ d $file ] # ist $file ein Directory 

then 

echo "Es geht um den Benutzer: " $user 

if grep $user /etc/passwd > /dev/null # Ist $user auch ein Benutzer 

then 

echo " Das ist ein echter Benutzer !" 

anzuser=$(($anzuser+1)) 

if [ e $file/public_html ] # existiert ein public Verzeichnis 

then 

tempfile=test.$$ 

echo "Benutzer hat ein public Verzeichnis" 

ls l $file/public_html/index.shtml | tee $tempfile 

for filesize in $(cut $tempfile b 3841); do 

echo " So gross ist der file" $filesize 

# Spalte 3841: filesize 


if [ $filesize eq $zahl ] # Hat Benutzer den default index.html 

then 

echo "Benutzer " $user " hat Standardseite !" # Ja er hat standard file 

cp vf index.shtml $file/public_html/ 

# copy index.shtmlauf 

Verzeichnis 

chown $user $file/public_html/index.shtml # Setze die Rechte 

chgrp users $file/public_html/index.shtml # Setze die Rechte der 

Gruppe 

else 

echo "Benutzer " $user " hat schon eine eigene homepage, bravo !" 

fi 

done 

else 

echo "Benutzer hat kein public Verzeichnis" # Benutzer hat kein Standardverzeichnis 

cp vf /etc/skel/.* $file # hidden files in /etc/skel kopieren 

cp rvf /etc/skel/* $file # rekursiv alles kopieren 

cp rvf /etc/skel/.kde $file 

# Wie kopier ich mehrere hidden 

dirs 

chown R $user $file # Rechte setzen 

chgrp R users $file # Rechte der Gruppe setzen 

fi 

else 

echo " Das ist kein echter Benutzer !" 

fi 

else 

echo " Das ist ein File, wird daher ausgelassen !!!" 

fi 

echo "" 

ende=2 

echo "ANZUSER: "$anzuser 

if [ $anzuser ge $ende ] 

then 

echo "Abfrage ist ok " 

exit 

#else 

# echo "Abfrage ist nicht ok !!!" 

# exit 

fi 

} 

done 


16) Download und Installation eines Programms 

1)Download 

Auf www.freshmeat.net kann nach freeware und shareware für Linux gesucht werden. 

Den Suchbegriff "html editor" eingeben und die Software von Coffee Cup auswählen 

und die für Linux freie Software runterladen. 

2) Entpacken 

tar xvfz CoffeeLinux.tar.gz 

entpackt das gezippte File in ein Verzeichnis dist 

3) Installieren 

Gehe in das Verzeichnis dist und 

4) Starten 

./Coffee 

./Coffee_install 

gesamte Webseite 

Titel der Kopfleiste 

Titel des Dokumentes 

Hier beginnt die Webseite 

Einige HTML Tags: 

Beispiel: Bestimmen der Textfarbe sowie des Hintergrundbildes 

 

 

Einfügen einer horizontalen Linie 

 

Zeilenumbruch 

Text groß geschrieben 

Text groß geschrieben 

anchor Text Anchor tagging pair 

Beispiele sind die Hyperlinks: 

Link auf eine E Mail Adresse: 

Link auf eine HTML Seite im gleichen Verzeichnis: (sogenannte relative URL's) 

:

 

Beispiel einer Webseite: 

 

 

 

 

 

Testseite Nr 1 : Webseitenerstellung 

 

 

 

 

 

17) Grafische Benutzeroberfläche 

TODO Liste 

Beispiele: 

Als root: 

Bringen Sie den Browser auf den Desktop 

Bringen Sie den Browser in das Hauptmenu 

Legen Sie 2 Benutzer lara und peter an, mit den Passwörtern lara und peter 

Melden Sie sich als Benutzer lara an und bringen Sie firefox in das 

persönliche Menu 

Konfiguration der Netzwerkkarte 

Persönlicher Ordner 

Openoffice 

Software installieren und Updates mit kyum, pirut usw 

PDF 

Firewall und SELinux 

Kontrollzentrum in KDE 

Dateien suchen 

NFS 

Multimedia 

k3b 

Nameserver 

Webserver 

Internet mit Firefox, Thunderbird, Evolution, kmail usw

Linux Serverkonfiguration - Bulme Lehrer - Login - BULME Graz ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?