Webmin kompakt - Brain-Media.de Brain-Media.de

BRAIN-MEDIA.DEPROFESSIONELLES LINUX- UND OPEN-SOURCE KNOW-HOWHolger ReiboldWebmin kompakt2., aktualisierte und erweiterte AuflageAlles, was Sie über die Systemadministrationmit Webmin wissen sollten

Holger ReiboldWebmin kompakt

2 Webmin kompaktAlle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Verlagsist es nicht gestattet, das Buch oder Teile daraus in irgendeiner Form durchFotokopien oder ein anderes Verfahren zu vervielfältigen oder zu verbreiten. Dasselbegilt auch für das Recht der öffentlichen Wiedergabe.Der Verlag macht darauf aufmerksam, dass die genannten Firmen- und Markennamensowie Produktbezeichnungen in der Regel marken-, patent- oder warenrechtlichemSchutz unterliegen.Verlag und Autor übernehmen keine Gewähr für die Funktionsfähigkeit beschriebenerVerfahren und Standards.© 2007 Brain-Media.deUmschlaggestaltung: Brain-Media.deSatz: Brain-Media.deCoverbild: TerestoDruck: CODISBN: 978-3-939316-10-7www.brain-media.de

3InhaltsverzeichnisVorwort .................................................................................................................. 131 Webmin – der Einstieg ................................................................................... 151.1 Installation .............................................................................................. 161.2 Erstes Log-in .......................................................................................... 251.3 Webmin-Kategorien ............................................................................... 271.4 Deinstallation ......................................................................................... 291.5 Sicherheit für den Webmin-Server ......................................................... 301.5.1 Zugriffsbeschränkung auf IP-Basis ................................................ 301.5.2 Zugriff per SSL .............................................................................. 312 Webmin-Module ............................................................................................ 352.1 Sprache anpassen .................................................................................... 352.2 Konfigurationsdateien sichern ................................................................ 372.2.1 Konfigurationsdateien wiederherstellen ......................................... 392.2.2 Modulkonfiguration ........................................................................ 402.3 Webmin-Konfiguration .......................................................................... 432.3.1 Anschluss und Adresse ................................................................... 432.3.2 Protokollierung ............................................................................... 452.3.3 Proxy-Server und Downloads ......................................................... 462.3.4 Benutzerschnittstelle....................................................................... 492.3.5 Webmin-Module ............................................................................ 502.3.6 Das Betriebssystem und seine Umgebung ...................................... 542.3.7 Sprache anpassen ............................................................................ 552.3.8 Indexseiten...................................................................................... 552.3.9 Webmin aktualisieren ..................................................................... 562.3.10 Authentifizierung ............................................................................ 592.3.11 Modulzuordnung und Kategorien ................................................... 632.3.12 Modultitel anpassen ........................................................................ 642.3.13 Webmin-Themes ............................................................................ 652.3.14 Vertraute Verweise ......................................................................... 67Webmin kompakt

4 Inhaltsverzeichnis2.3.15 Anonymer Modulzugriff ................................................................ 682.3.16 Dateisperrung ................................................................................. 692.3.17 Mobile Device Options ................................................................... 692.3.18 Erweiterte Optionen........................................................................ 692.3.19 SSL-Funktionen .............................................................................. 702.3.20 Zertifikatautorität ............................................................................ 702.3.21 Modulkonfiguration ........................................................................ 722.4 Webmin-Benutzer und -Gruppen ........................................................... 722.4.1 Neuen Benutzer anlegen ................................................................. 742.4.2 Modulberechtigungen ..................................................................... 762.4.3 Samba-Modulberechtigungen ......................................................... 782.5 Die Webmin-Ereignisanzeige ................................................................. 822.6 Webmin-Server ...................................................................................... 832.6.1 Neuen Server hinzufügen ............................................................... 842.7 Modulkonfiguration ................................................................................ 873 Benutzer und Gruppen.................................................................................... 893.1 Benutzerverwaltung ................................................................................ 903.2 Gruppe erstellen ..................................................................................... 943.3 Log-ins abrufen ...................................................................................... 953.4 Stapelverarbeitungsdatei exportieren ..................................................... 983.5 Modulkonfiguration .............................................................................. 1003.6 Systemkonfiguration ............................................................................ 1084 Boot-Konfiguration ...................................................................................... 1114.1 Grundlegendes über den Boot-Vorgang ............................................... 1124.2 Modulkonfiguration .............................................................................. 1145 Dateisystem-Back-up ................................................................................... 1155.1 Back-up-Optionen ................................................................................ 1175.2 Back-up-Zeitplan .................................................................................. 1185.3 Daten wiederherstellen ......................................................................... 1196 Festplatten-Quotas ........................................................................................ 123www.brain-media.de

57 Zeitsteuerung mit Cron und AT ................................................................... 1257.1 Neuen Cronjob erstellen ....................................................................... 1267.2 Modulkonfiguration .............................................................................. 1288 Zeitsteuerung mit AT-Befehlen .................................................................... 1319 Laufende Prozesse ........................................................................................ 1339.1 Prozessdetails ....................................................................................... 1359.2 Suche .................................................................................................... 1379.3 Prozess ausführen ................................................................................. 1379.4 Modulkonfiguration .............................................................................. 13710 Logfile-Rotation ....................................................................................... 13910.1 Logrotate einsetzen ............................................................................... 13910.2 Modulkonfiguration .............................................................................. 14411 Dateisysteme ............................................................................................ 14511.1 ext3-Dateisystem erstellen .................................................................... 14711.2 Windows-Dateisystem .......................................................................... 15011.3 Automounter ......................................................................................... 15111.4 Samba-Freigabe .................................................................................... 15211.5 Modulkonfiguration .............................................................................. 15312 PAM-Authentifizierung ............................................................................ 15512.1 PAM-Basics ......................................................................................... 15612.2 Modulkonfiguration .............................................................................. 15913 Umgang mit Passwörtern ......................................................................... 16114 Software-Pakete ....................................................................................... 16314.1 Umgang mit dem Paketmanager........................................................... 16414.2 Modulkonfiguration .............................................................................. 166Webmin kompakt

6 Inhaltsverzeichnis15 System-Protokolldateien .......................................................................... 16716 Systemstart ............................................................................................... 16916.1 Dienst bearbeiten .................................................................................. 17016.2 Modul-Konfiguration ........................................................................... 17617 Systemdokumentation .............................................................................. 17918 Apache-Webserver ................................................................................... 18118.1 Globale Apache-Einstellungen ............................................................. 18318.2 Virtuellen Server erzeugen ................................................................... 18918.3 Protokolleinstellungen .......................................................................... 19218.4 Fehlerbehandlung ................................................................................. 19518.5 Aliasse und Umleitungen ..................................................................... 19618.6 CGI-Konfiguration ............................................................................... 19818.7 Verzeichnisindizierung ......................................................................... 20018.8 Mehr Sicherheit dank SSL.................................................................... 20118.9 PHP-Konfiguration ............................................................................... 20318.10 Filter ................................................................................................. 20318.11 Sprachen und Zeichensätze .............................................................. 20518.12 Direktiven ......................................................................................... 20518.13 Typische Aktionen bei der Administration von virtuellen Servern .. 20718.14 Apache als Proxy-Server .................................................................. 21018.15 Die Apache-Modulkonfiguration ..................................................... 21219 BIND DNS-Server ................................................................................... 21519.1 Zonen erstellen ..................................................................................... 21619.2 Datensatztypen ..................................................................................... 22019.3 Slave-Zone erstellen ............................................................................. 22319.4 Globale BIND-Einstellungen ............................................................... 22619.5 DNS-Schlüssel...................................................................................... 229www.brain-media.de

719.6 Zonenstandards ..................................................................................... 22919.7 rndc ....................................................................................................... 23019.8 Konfigurationsdateien einsehen und bearbeiten ................................... 23119.9 Modulkonfiguration .............................................................................. 23220 DHCP-Server-Konfiguration .................................................................... 23520.1 DHCP-Server-Basics ............................................................................ 23620.2 Das Webmin-DHCP-Modul ................................................................. 23720.3 Subnetze editieren und hinzufügen ....................................................... 23820.4 Hosts und Hostgruppen erstellen .......................................................... 24320.5 Die Client-Einstellungen ...................................................................... 24420.6 Modulkonfiguration .............................................................................. 24621 Fetchmail-Konfiguration .......................................................................... 25121.1 Fetchmail-Modulkonfiguration ............................................................ 25422 Benutzer-E-Mails lesen über Postfix ........................................................ 25723 Mailinglisten mit Majordomo verwalten .................................................. 25923.1 Mailinglisten-Übersicht ........................................................................ 26023.2 Zugriffskontrolle .................................................................................. 26723.3 Übersichtsliste ...................................................................................... 26923.4 Majordomo-Optionen ........................................................................... 27023.5 Modulkonfiguration .............................................................................. 27024 Administration des MySQL-Servers ........................................................ 27324.1 Datenbanken editieren und erzeugen .................................................... 27524.2 Neue Datenbank erzeugen .................................................................... 27724.3 Daten sichten ........................................................................................ 28224.4 SQL-Kommandos ausführen ................................................................ 28224.5 Import von Daten in Datenbank ........................................................... 285Webmin kompakt

8 Inhaltsverzeichnis24.6 Globale MySQL-Einstellungen ............................................................ 28624.7 MySQL-Server-Konfiguration ............................................................. 29324.8 Systemvariablen ................................................................................... 29524.9 Datenbank-Back-up .............................................................................. 29624.10 Modul-Konfiguration ....................................................................... 29825 SSH-Server ............................................................................................... 29925.1 OpenSSH im Überblick ........................................................................ 30025.2 Netzwerkkonfiguration ......................................................................... 30225.3 Zugriffsbeschränkung ........................................................................... 30325.4 Authentifizierung .................................................................................. 30425.5 Exkurs: Zugriff im heterogenen Netzwerk ........................................... 30525.6 Client-Optionen .................................................................................... 30725.7 Sonstige Optionen ................................................................................ 31025.8 Schlüssel-Setup .................................................................................... 31125.9 Konfigurationsdateien editieren ........................................................... 31125.10 Modulkonfiguration .......................................................................... 31126 Samba-Administration .............................................................................. 31326.1 Erste Freigabe erstellen ........................................................................ 31526.2 Druckerfreigabe erstellen ..................................................................... 32026.3 Freigabeeinstellungen als Vorlagen ...................................................... 32126.4 Globale Samba-Konfiguration .............................................................. 32126.4.1 Unix-Einstellungen ....................................................................... 32226.4.2 Windows-Einstellungen ............................................................... 32226.4.3 Passwort-Einstellungen ................................................................ 32626.4.4 Windows-zu-Unix-Druckereinstellungen ..................................... 32726.4.5 Erweiterte Einstellungen .............................................................. 32826.4.6 Winbind-Optionen ........................................................................ 32926.4.7 Vorgaben für Freigaben ................................................................ 33026.4.8 Vorgaben für Druckerfreigaben .................................................... 33126.4.9 SWAT ........................................................................................... 334www.brain-media.de

926.5 Samba-Benutzer ................................................................................... 33726.5.1 Benutzer- und Gruppen-Synchronisation ..................................... 33926.5.2 Benutzer und Gruppen verwalten ................................................. 34026.6 Konfiguration des Samba-Moduls ........................................................ 34227 SpamAssassin-Administration ................................................................. 34527.1 Erlaubte und verbotene Adressen ......................................................... 34827.2 Spam-Klassifizierung ........................................................................... 34927.3 E-Mail-Modifikationen......................................................................... 35027.4 Verschiedene Benutzeroptionen ........................................................... 35027.4.1 Razor ............................................................................................ 35127.4.2 DCC-Einstellungen....................................................................... 35227.4.3 Pyzor ............................................................................................. 35327.5 Zusätzliche Tests einführen .................................................................. 35327.6 Weitere Optionen ................................................................................. 35427.7 Modulkonfiguration .............................................................................. 35528 Administration des Squid-Proxy-Servers ................................................. 35728.1 Anschlüsse und Netzwerk .................................................................... 35828.2 Andere Caches ...................................................................................... 36028.3 Speichernutzung ................................................................................... 36128.4 Protokollierung ..................................................................................... 36328.5 Cache-Einstellungen ............................................................................. 36528.6 Hilfsprogramme.................................................................................... 36728.7 Zugriffskontrolle .................................................................................. 36728.8 Administrative Einstellungen ............................................................... 37528.9 Authentifizierung .................................................................................. 37528.10 Delay Pools ...................................................................................... 37628.11 Header-Zugriffskontrolle .................................................................. 37828.12 Refresh-Regeln ................................................................................. 37828.13 Verschiedene Einstellungen ............................................................. 378Webmin kompakt

10 Inhaltsverzeichnis28.14 Port-Umleitung ................................................................................. 37928.15 Cache-Manager-Statistik .................................................................. 37928.16 Cache leeren und neue erstellen ....................................................... 38028.17 Modulkonfiguration .......................................................................... 38029 Netzwerkeinstellungen ............................................................................. 38329.1 Bandbreitenmessung ............................................................................ 38429.2 Erweiterte Internetdienste ..................................................................... 38529.3 VPN-Konfiguration .............................................................................. 38729.4 Kerberos-Konfiguration ....................................................................... 38829.5 Linux-Firewall ...................................................................................... 38829.6 Netzwerkkonfiguration ......................................................................... 39129.7 PPP-Konfiguration ............................................................................... 39329.8 PPTP-Konfiguration ............................................................................. 39329.9 SSL-Tunnel .......................................................................................... 39330 Hardware-Konfiguration .......................................................................... 39530.1 CD-Brenner .......................................................................................... 39530.2 Druckerverwaltung ............................................................................... 39730.3 Festplattenpartitionen ........................................................................... 39930.4 GRUB-Bootmanager ............................................................................ 40030.5 RAID-Geräte ........................................................................................ 40130.6 SMART-Festplattenstatus .................................................................... 40230.7 Systemzeit ............................................................................................ 40230.8 Voicemail-Server und LVM ................................................................. 40331 Cluster-Kategorie ..................................................................................... 40531.1 Benutzer-/Gruppenmanagement im Cluster ......................................... 40631.2 Kopierauftrag........................................................................................ 40931.3 Cron-Auftrag ........................................................................................ 410www.brain-media.de

1131.4 Kommandozeile.................................................................................... 41031.5 Passwort ändern .................................................................................... 41031.6 Software-Management ......................................................................... 41131.7 Usermin-Server verwalten .................................................................... 41231.8 Webmin-Server-Verwaltung ................................................................ 41231.9 Heartbeat-Monitor ................................................................................ 41331.10 Konfigurationsautomat ..................................................................... 41432 Sonstiges .................................................................................................. 41532.1 Dateimanager........................................................................................ 41532.2 Passwortgeschützte Web-Verzeichnisse ............................................... 41632.3 System- und Server-Status ................................................................... 41632.4 Die weiteren Funktionen ...................................................................... 417Index ..................................................................................................................... 419Webmin kompakt

12 Inhaltsverzeichniswww.brain-media.de

13VorwortWas die Open-Source-Gemeinde in den vergangenen Jahren an hervorragendenTools geschaffen hat, ist beispiellos. Rund um den Globus sind Millionen Entwicklerim Dienste der freien Software unterwegs. Nicht immer halten Projekte, was sieauf den ersten Blick versprechen. Eines der größten Probleme ist sicherlich, dassProjekte häufig kommen und genauso schnell auch wieder vom Erdboden (genauerin den digitalen Weiten des Internets) verschwinden. Eine lobenswerte Ausnahmestellt das Webmin-Projekt dar, das seit vielen Jahren kontinuierlich von JamieCameron gepflegt und peu à peu funktional erweitert wurde.Webmin ist ein Web-basiertes Werkzeug für die Systemadministration von UnixbasiertenSystemen. Es handelt sich um eines der beliebtesten Werkzeuge dieserArt. Es ist ein leichtgewichtiges Tool, das eine beeindruckende Funktionalitätbietet und zudem leicht erweiterbar ist. Viele Punkte sprechen für den Einsatz vonWebmin. So ist es beispielsweise in über zwanzig Sprachversionen verfügbar undwurde auf einer Vielzahl von Unix- und Linux-Systemen erfolgreich getestet.Und: Mithilfe von Webmin lassen sich nicht nur System- und HardwarespezifischeEinstellungen, sondern auch die Netzwerkkonfiguration oder spezielleServer wie beispielsweise Sendmail, Postfix, FTP-Server oder Squid-Einstellungenbearbeiten.Das vorliegende Buch führt Sie in die Arbeit mit Webmin 1.3.x ein. Es zeigt, wieSie das Administrationswerkzeug in Betrieb nehmen, wie Sie Webmin an IhreBedürfnisse anpassen und wie Sie damit die verschiedensten Server und Systemkomponentenmanagen. Es erhebt übrigens keinen Anspruch auf Vollständigkeit –das wäre auch vermessen, denn alleine Apache-Bücher füllen meterweise Regale.Ziel des Buches ist es, Sie mit dem Administrationswerkzeug vertraut zu machen,bis Sie sich selbst weitere Funktionen erarbeiten können. Es liegt in der Natur derSache, dass sich bei freien Projekten immer wieder Änderungen und Neuerungenergeben. Diesem Umstand versuche ich mit Ergänzungen und Aktualisierungenüber die Buch-Site (http://www.bomots.de/webmin/) Rechnung zu tragen.Bleibt mir nur, Ihnen viel Erfolg zu wünschen.Holger ReiboldWebmin kompakt

14 Vorwortwww.brain-media.de

151 Webmin – der EinstiegSicherheit wird vielfach unter einem viel zu einseitigen Blickwinkel betrachtet.Häufig beschränkt sich der Sicherheitsbegriff auf Dinge wie Schutz vor Viren,Angreifern und Ähnliches. Übersehen wird dabei oft, dass man den Begriff Sicherheitweiter fassen muss. Insbesondere die sichere Systemadministration wird vonvielen Anwendern stiefmütterlich behandelt. Dem wollen wir abhelfen und Ihnenzeigen, wie professionelle und vor allem sichere Systemadministration in der Praxisaussieht. Wir greifen dabei auf einen Klassiker zurück: Webmin.Webmin dürfte das wichtigste und weltweit am häufigsten eingesetzte Administrationswerkzeugfür Linux und Unix-ähnliche Betriebssysteme sein. Sie können mitjedem beliebigen Webbrowser von überall her die verschiedenen Server-Prozesseoder Daemonen administrieren, die auf Ihrem System laufen. Daher auch seineBezeichnung, die für Web-basierte Systemadministration steht.Eine der Besonderheiten: Der administrierende Benutzer benötigt selbst keinerleiAdmin-Rechte, sondern lediglich die Rechte für das Paket, das er administrierensoll. Diese Rechte werden vom Webmin-Administrator kontrolliert. Mit einer solchenKonfiguration kann man beispielsweise einem Webmin-User nur die Administrationeines DNS-Servers erlauben, wofür er auf der Shell-Ebene Root-Rechtebenötigen würde.Webmin ist in Perl programmiert und stark modularisiert. Es kann somit leicht denjeweiligen Bedürfnissen angepasst und erweitert werden. Über die Webmin-Website ist ein spezieller Add-on-Bereich verfügbar. Dort können Sie sich ein Bildvon den unzähligen Erweiterungen machen. Ein weiterer Punkt spricht fürWebmin: Im Unterschied zu anderen Verwaltungswerkzeugen, die für bestimmteLinux-Distributionen entwickelt wurden (z. B. YaST für Suse Linux), ist Webminfür alle Unix-artigen Systeme wie GNU/Linux, Solaris, FreeBSD, OpenBSD,NetBSD, AIX, HP-UX und sogar Mac OS X geeignet.Inzwischen gibt es auch eine Windows-Version für die Administration von Apache,MySQL etc. Allerdings befindet sich die Windows-Variante noch in einemexperimentellen Stadium. Voraussetzung ist lediglich eine Active-Perl-Installation.Webmin taugt in der Praxis nicht nur zu typischen administrativen Aufgaben, sonderneignet sich hervorragend für Lehrzwecke. Auszubildende können relativ gefahrlosin die Konfiguration von Servern wie Samba, Squid, DNS und dergleicheneingeführt werden, ohne sich gleich zu Beginn mit der oft komplizierten SyntaxWebmin kompakt

16 Webmin – der Einstiegder Konfigurationsdateien befassen zu müssen. Damit eignet sich Webmin geradeauch für angehende Administratoren.1.1 InstallationKommen wir zur Installation. Diese unterscheidet sich je nach Linux-Variante.Webmin steht in verschiedenen Varianten zum Download bereit:• RPM-Paket: Wenn Sie mit SuSE Linux, Red Hat oder einem anderengängigen Betriebssystem arbeiten, können Sie das Paket besonders einfachmit Ihrem Paketmanager installieren. Als Root können Sie dieses Paketmit folgendem Kommando installieren:rpm –U webmin-1.3.400-1.noarch.rpm• Tar.gz: Diese Variante lässt sich unter jedem Linux-System installieren.Die dafür notwendigen Schritte sind dennoch sehr überschaubar.• Solaris-Paket: Dieses Paket ist speziell für die Anforderungen einerSolaris-Installation konzipiert.• Debian: Bei Debian-basierenden Linux-Varianten bietet es sich an,Webmin mithilfe von apt zu installieren. Führen Sie dazu einfach folgendenBefehl aus:apt-get install webminNeben einer halbwegs aktuellen Perl-Installation benötigt Webmin übrigens sonstkeine weiteren Komponenten.Genauer wollen wir uns die Installation des tar.gz-Pakets anschauen. Diese funktioniertauf allen wichtigen Linux-Distributionen problemlos. Daher ist sie immerdann vorzuziehen, wenn Probleme bei anderen Wegen auftreten. Die Vorgehensweiseist recht einfach:Entpacken Sie zunächst das Archiv in einen Ordner Ihrer Wahl. Stellen Sie sicher,dass Sie als Root angemeldet sind. Falls nicht, wechseln Sie mittels su in die notwendigeBerechtigung.Als Nächstes starten Sie das Setup-Skript. Dazu führen Sie folgenden Befehl aus:./setup.shwww.brain-media.de

Installation 17Das Skript verlangt verschiedene Eingaben von Ihnen, mit denen Sie Ihre Webmin-Umgebung konfigurieren. Zunächst bestimmen Sie das Verzeichnis, in dem dieKonfigurationsdateien gespeichert sind. Das Skript schlägt folgendes Verzeichnisvor:/etc/webminWenn Sie diese Einstellung (das gilt übrigens auch für alle weiteren) beibehaltenwollen, bestätigen Sie einfach mit Enter.Als Nächstes können Sie das Logfile-Verzeichnis ändern. Das Installationsskriptschlägt /var/webmin vor. Durch die manuelle Eingabe können Sie die Vorgabewieder ändern.Die folgende Frage bezieht sich auf das Perl-Installationsverzeichnis. Webmin gibtstandardmäßig folgendes Verzeichnis vor:/usr/bin/perlPrüfen Sie, ob diese Angabe dem tatsächlichen Verzeichnis entspricht und nehmenSie gegebenenfalls die notwendigen Änderungen vor.Nachdem Sie die Vorgabe übernommen oder einen anderen Pfad angegeben haben,bestätigen Sie wieder mit einem Klick auf Return. Das Installationsskript führteinen Test der Perl-Installation aus und gibt im Idealfall folgende Erfolgsmeldungaus:Perl seems to be installed okAls Nächstes macht sich das Skript an die Identifikation der Linux-Variante undgibt den Entwickler und die Version aus.Mit dem nächsten Konfigurationsabschnitt konfigurieren Sie den Webmin-Webserver. Diese Einstellungen sind essenziell für eine funktionstüchtige Installation.Bestimmen Sie zunächst den Webserver-Port, der standardmäßig auf 10000gesetzt ist. Wenn Sie Webmin aus der Ferne nutzen, müssen Sie gegebenenfallseinen Firewall-Port freischalten.Im nächsten Schritt geben Sie unter Login name das Standard-Log-in an. Dieseslautet standardmäßig admin. Es folgt die Eingabe des Passworts, die Sie mit einerzweiten Eingabe wiederholen müssen.Webmin kompakt

18 Webmin – der EinstiegAls Nächstes prüft das Skript, ob die Perl-SSLeay-Bibliothek installiert ist. Ist dasnicht der Fall, ist SSL-Unterstützung leider nicht gegeben. In diesem Fall müssenSie die Installation der SSL-Komponente nachholen.Es folgt ein letzter interaktiver Dialog, über den Sie bestimmen, ob Webmin automatischbeim Systemstart gestartet werden soll. Falls Sie das wollen, beantwortenSie die Frage Start Webmin at boot time einfach mit y.Sind alle Fragen beantwortet, ist das Skript wieder an der Reihe und nimmt dienotwendigen Anpassungen und die Installation vor. Abschließend gibt Ihnen dasSkript eine URL aus, über die die Schnittstelle aufgerufen wird, beispielsweisehttp://localhost.localdomain:10000/.Sind alle Einstellungen korrekt und kann der Webmin-Server ordnungsgemäßgestartet werden, können Sie sich nun über den Log-in-Dialog anmelden. VerwendenSie dazu den oben definierten Benutzernamen samt Passwort.Der komplette Ablauf des Installationsskripts kann wie folgt aussehen:# ./setup.sh********************************************** Welcome to the Webmin setupscript, version 1.340**********************************************Webmin is a web-based interface that allows Unix-like operatingsystems and common Unix services to be easily administered.Installing Webmin in /root/Desktop/Download/webmin-1.340...*******************************************Webmin uses separate directories for configuration files andlog files. Unless you want to run multiple versions of Webminat the same time you can just accept the defaults.Config file directory [/etc/webmin]:Log file directory [/var/webmin]:*******************************************www.brain-media.de

Installation 19Webmin is written entirely in Perl. Please enter the fullpath to the Perl 5 interpreter on your system.Full path to perl (default /usr/bin/perl):Testing Perl ...Perl seems to be installed ok*******************************************Operating system name:Redhat LinuxOperating system version: Fedora 5*******************************************Webmin uses its own password protected web server to provideaccess to the administration programs. The setup script needsto know :- What port to run the web server on. There must not be anotherweb server already using this port.- The login name required to access the web server.- The password required to access the web server.- If the webserver should use SSL (if your system supportsit).- Whether to start webmin at boot time.Web server port (default 10000):Login name (default admin): adminLogin password:Password again:The Perl SSLeay library is not installed. SSL not available.Start Webmin at boot time (y/n): y********************************************Webmin kompakt

20 Webmin – der EinstiegCreating web server config files....doneCreating access control file....doneInserting path to perl into scripts....doneCreating start and stop scripts....doneCopying config files..acl adsl-client apache at backup-config bandwidth bind8bsdexports burner cfengine change-user cluster-copy clustercroncluster-passwd cluster-shell cluster-software clusteruseradmincluster-usermin cluster-webmin cpan cron customdfsadmin dhcpd dnsadmin dovecot exports fdisk fetchmail filefirewall format frox fsdump grub heartbeat hpuxexports htaccess-htpasswdidmapd inetd init inittab ipfilter ipfw ipsecjabber krb5 ldap-useradmin lilo logrotate lpadmin lvm mailboxesmailcap majordomo man mon mount mysql net nis openslppam pap passwd postfix postgresql ppp-client pptp-clientpptp-server procmail proc proftpd pserver qmailadmin quotaraid rbac samba sarg sendmail sentry servers sgiexports shellshorewall smart-status smf software spam squid sshd statusstunnel syslog syslog-ng telnet time tunnel updown useradminusermin vgetty webalizer webminlog webmin wuftpd xinetd zones..doneConfiguring Webmin to start at boot time..Created init script /etc/rc.d/init.d/webmin..doneCreating uninstall script /etc/webmin/uninstall.sh ..www.brain-media.de

Installation 21..doneChanging ownership and permissions ..Chowning /etc/webmin/aclChowning /etc/webmin/adsl-clientChowning /etc/webmin/apacheChowning /etc/webmin/atChowning /etc/webmin/backup-configChowning /etc/webmin/bandwidthChowning /etc/webmin/bind8Chowning /etc/webmin/bsdexportsChowning /etc/webmin/burnerChowning /etc/webmin/cfengineChowning /etc/webmin/change-userChowning /etc/webmin/cluster-copyChowning /etc/webmin/cluster-cronChowning /etc/webmin/cluster-passwdChowning /etc/webmin/cluster-shellChowning /etc/webmin/cluster-softwareChowning /etc/webmin/cluster-useradminChowning /etc/webmin/cluster-userminChowning /etc/webmin/cluster-webminChowning /etc/webmin/cpanChowning /etc/webmin/cronChowning /etc/webmin/customChowning /etc/webmin/dfsadminChowning /etc/webmin/dhcpdChowning /etc/webmin/dnsadminChowning /etc/webmin/dovecotChowning /etc/webmin/exportsWebmin kompakt

22 Webmin – der EinstiegChowning /etc/webmin/fdiskChowning /etc/webmin/fetchmailChowning /etc/webmin/fileChowning /etc/webmin/firewallChowning /etc/webmin/formatChowning /etc/webmin/froxChowning /etc/webmin/fsdumpChowning /etc/webmin/grubChowning /etc/webmin/heartbeatChowning /etc/webmin/hpuxexportsChowning /etc/webmin/htaccess-htpasswdChowning /etc/webmin/idmapdChowning /etc/webmin/inetdChowning /etc/webmin/initChowning /etc/webmin/inittabChowning /etc/webmin/ipfilterChowning /etc/webmin/ipfwChowning /etc/webmin/ipsecChowning /etc/webmin/jabberChowning /etc/webmin/krb5Chowning /etc/webmin/ldap-useradminChowning /etc/webmin/liloChowning /etc/webmin/logrotateChowning /etc/webmin/lpadminChowning /etc/webmin/lvmChowning /etc/webmin/mailboxesChowning /etc/webmin/mailcapChowning /etc/webmin/majordomoChowning /etc/webmin/manChowning /etc/webmin/monwww.brain-media.de

Installation 23Chowning /etc/webmin/mountChowning /etc/webmin/mysqlChowning /etc/webmin/netChowning /etc/webmin/nisChowning /etc/webmin/openslpChowning /etc/webmin/pamChowning /etc/webmin/papChowning /etc/webmin/passwdChowning /etc/webmin/postfixChowning /etc/webmin/postgresqlChowning /etc/webmin/ppp-clientChowning /etc/webmin/pptp-clientChowning /etc/webmin/pptp-serverChowning /etc/webmin/procmailChowning /etc/webmin/procChowning /etc/webmin/proftpdChowning /etc/webmin/pserverChowning /etc/webmin/qmailadminChowning /etc/webmin/quotaChowning /etc/webmin/raidChowning /etc/webmin/rbacChowning /etc/webmin/sambaChowning /etc/webmin/sargChowning /etc/webmin/sendmailChowning /etc/webmin/sentryChowning /etc/webmin/serversChowning /etc/webmin/sgiexportsChowning /etc/webmin/shellChowning /etc/webmin/shorewallChowning /etc/webmin/smart-statusWebmin kompakt

24 Webmin – der EinstiegChowning /etc/webmin/smfChowning /etc/webmin/softwareChowning /etc/webmin/spamChowning /etc/webmin/squidChowning /etc/webmin/sshdChowning /etc/webmin/statusChowning /etc/webmin/stunnelChowning /etc/webmin/syslogChowning /etc/webmin/syslog-ngChowning /etc/webmin/telnetChowning /etc/webmin/timeChowning /etc/webmin/tunnelChowning /etc/webmin/updownChowning /etc/webmin/useradminChowning /etc/webmin/userminChowning /etc/webmin/vgettyChowning /etc/webmin/webalizerChowning /etc/webmin/webminlogChowning /etc/webmin/webminChowning /etc/webmin/wuftpdChowning /etc/webmin/xinetdChowning /etc/webmin/zones..doneRunning postinstall scripts ....doneAttempting to start Webmin mini web server..Starting Webmin server in /webmin/webmin-1.270..donewww.brain-media.de

Erstes Log-in 25*******************************************Webmin has been installed and started successfully. Use yourweb browser to go tohttp://server:10000/and login with the name and password you entered previously.Nun können Sie sich das erste Mal über die Webmin-Schnittstelle einloggen. VerwendenSie als Benutzername admin und als Passwort ebenfalls admin.Herzlichen Glückwunsch! Webmin ist ordnungsgemäß installiert.Nun können Sie sich einloggen.1.2 Erstes Log-inNach dem Log-in präsentiert Ihnen Webmin seine typische Schnittstelle, die wiruns jetzt näher anschauen wollen. Die Schnittstelle weist folgende Komponentenauf:• Kopfzeile: Hier finden Sie das Webmin-Logo, einen Link zum Feedback-Formular und den Log-out-Verweis. Über das Webmin-Logo gelangen Sie übrigenszur Webmin-Homepage.Webmin kompakt

26 Webmin – der Einstieg• Hauptmenü: Es erlaubt den Zugriff auf die verschiedenen Konfigurationsbereiche,über die Sie auf folgende Kategorien zugreifen können:oooooooWebminSystemServersNetworkingHardwareClusterOthersStandardmäßig wird die Webmin-Kategorie geöffnet, über die Sie beispielsweiseWebmin konfigurieren.• Modul-Bereich: Unterhalb der Symbolleiste finden Sie die Einstellungen fürdie jeweilige Webmin-Kategorie. Man spricht auch von Webmin-Modulen. Sokönnen Sie beispielsweise über die Systemeinstellungen Benutzer und Gruppenverwalten oder unter den Netzwerkeinstellungen die Firewall konfigurieren.• Fußzeile: In der Fußzeile finden Sie schließlich die Versionsbezeichnung IhrerWebmin-Installation, den Rechnernamen und das verwendete Betriebssystem.www.brain-media.de

Webmin-Kategorien 271.3 Webmin-KategorienWenn Sie statt des Standard-Themes ein anderes verwenden, so kann es zum Teilerhebliche Unterschiede in der Präsentation der verschiedenen Komponenten geben.Wir verwenden im Folgenden das Standarddesign.Ein erster Blick auf die Webmin-Schnittstelle.Der Aufbau der verschiedenen Kategorien ist also weitgehend identisch. Das giltübrigens auch für die Webmin-Module, um Ihnen die Navigation und Orientierungin der Webmin-Umgebung zu vereinfachen.Wenn Sie ein Webmin-Modul wie beispielsweise das Modul Sicherung von Konfigurationsdateienöffnen, so erkennen Sie sofort den Aufbau. Unterhalb der Symbolleistewerden Ihnen – abhängig vom jeweiligen Modul – die folgenden dreiVerweise angeboten:• Help: Über diesen Link öffnen Sie ein Pop-up-Fenster, das Ihnen je nach Modulzusätzliche Informationen bietet.• Module Config: Sie werden es sich sicherlich schon gedacht haben: Überdiesen Verweis können Sie das Modul konfigurieren. Die hierüber verfügbarenEinstellungen sind natürlich in erster Linie vom jeweiligen Modul abhängig.• Search Docs: Dieser Link führt Sie zu weiteren Dokumenten, die Ihnen beider Arbeit mit Webmin dienlich sein können.Webmin kompakt

28 Webmin – der EinstiegEin typisches Webmin-Modul.Unterhalb dieser drei möglichen Links finden Sie die Einstellungen des jeweiligenMenüs. An dieser Stelle sei ausdrücklich nochmals darauf hingewiesen, dass dieVerfügbarkeit vom jeweiligen Modul abhängig ist. Beim Modul Sicherung vonKonfigurationsdateien steht beispielsweise nur der Link Module Config, beimModul Disk Quotas (Kategorie System) stehen alle drei Verweise zur Verfügung(siehe nachstehende Abbildung).Eine weitere Eigenschaft aller Webmin-Module: Alle besitzen den Verweis Returnto index, mit dem Sie zur Index-Seite des jeweiligen Moduls zurückkehren. BefindenSie sich in einer Modul-Konfiguration, so gelangen Sie zur zugehörigen Modulseitezurück.www.brain-media.de

Deinstallation 29Die Funktionen eines Moduls werden vom Modul bestimmt. Das ModulDisk Quotas stellt die Links Hilfe, Modulkonfiguration und Suche in Hilfezur Verfügung.1.4 DeinstallationNachdem Sie nun wissen, wie man Webmin installiert und sich das erste Mal einloggt,wollen wir uns nun noch kurz der Deinstallation widmen. Wenn Sie beispielsweiseeine ältere Version auf Ihrem Rechner betreiben, ist es womöglichsinnvoll, diese vor der Neuinstallation zu entfernen.Auch diese Aufgabe lässt sich dank eines speziellen Deinstallationsskripts rechteinfach bewältigen. Führen Sie als Root einfach folgenden Befehl aus:/etc/webmin/uninstall.shWomöglich müssen Sie den Pfad anpassen. Das Skript fragt sicherheitshalber nocheinmal nach, ob Sie Webmin tatsächlich deinstallieren wollen. Bei der Installationwerden alle Webmin-Skripte und auch die Webmin-Konfigurationsverzeichnissevon Ihrem System entfernt. Dabei gehen auch alle Webmin-spezifischen Einstellungen,die Sie mit Webmin geändert haben, beispielsweise IP-basierte Zugriffsbeschränkungenoder aber Webmin-Benutzer verloren. Änderungen an System- oderServer-Einstellungen, die Sie mit Webmin angepasst haben, bleiben natürlich erhalten.Webmin kompakt

30 Webmin – der Einstieg1.5 Sicherheit für den Webmin-ServerWenn Sie Ihr System schon sicher im Griff haben wollen, so sollten Sie zunächstdafür sorgen, dass auch Ihre Webmin-Installation ein größtmögliches Maß an Sicherheitaufweist. Mit zwei recht einfach durchzuführenden Schritten stellen Sieschon einmal sicher, dass Sie in einer sicheren Umgebung arbeiten. Dazu beschränkenwir den Zugriff auf den Webmin-Server auf bestimmte IP-Adressen undaktivieren den SSL-gesicherten Zugriff.1.5.1 Zugriffsbeschränkung auf IP-BasisWenn Sie Webmin in einer lokalen Umgebung einsetzen, in der lediglich eineHandvoll Anwender Zugriff auf das System hat, und diese allesamt als höchstvertrauenswürdig einzuschätzen sind, so sind Fragen der Zugriffsbeschränkungennicht relevant. Doch in der „glücklichen“ Lage ist man in der Regel nicht.Meist dürfte Ihr Server im lokalen, womöglich auch im globalen Netzwerk verfügbarsein. Am einfachsten lässt sich der Zugriff auf bestimmte IP-Adressen beschränken,die Ihr Webmin-System für administrative Aufgaben nutzen können.Einzige Voraussetzung: Der zugriffsberechtigte Rechner benötigt eine feste IP-Adresse bzw. muss zu einem bestimmten Subnetz gehören.Die Zugriffsbeschränkung auf IP-Adressen-Basis.www.brain-media.de

Sicherheit für den Webmin-Server 31Die Vorgehensweise:1 Klicken Sie in der Webmin-Kategorie auf das Modul Webmin Konfiguration.2 In der Webmin-Konfiguration finden Sie den Eintrag IP-Zugriffskontrolle. Imzugehörigen Formular hinterlegen Sie die berechtigten IP-Adressen.3 Aktivieren Sie die Option Zugriff nur von aufgelisteten Adressen erlauben undgeben Sie die IP-Adressen in das Eingabefeld ein. Einzelne Adressen sinddurch ein Komma zu trennen. Sie können auch ganze Subnetze zulassen. Sollenbeispielsweise die Systeme mit den IP-Adressen 192.168.0.1 bis192.168.0.255 Zugriff haben dürfen, so geben Sie einfach 192.168.1.0 ein. Siekönnen auch ganzen Domains Zugriff gewähren bzw. diesen unterbinden.Verwenden Sie dazu einfach das Sternchen nach dem Schema *.server.de.4 Nachdem Sie Ihre Einstellungen vorgenommen haben, klicken Sie auf Speichern,um die Konfiguration zu speichern.Nachdem Sie die Änderungen vorgenommen haben, ist nur noch ein Zugriff aufIhre Webmin-Installation über die registrierten Systeme möglich.1.5.2 Zugriff per SSLWird Ihr Webmin-Server in einem unsicheren Netzwerk betrieben, so sollten Siedie Verbindung zwischen dem Webmin-Webserver und dem Webbrowser per SSLsichern. Nur so können Sie sicherstellen, dass beispielsweise die Übermittlung derBenutzerkennung und des Passwortes nicht von Dritten mitgeschnitten wird.Sie können Webmin mit wenig Aufwand für das Zusammenspiel mit SSL aufrüsten.Wenn Sie die RPM-Varianten von Webmin verwenden, so erfolgt der Zugriffbereits standardmäßig per SSL, wenn auf dem Server die OpenSSL-Bibliothek unddas Net::SSLeay-Perl-Modul installiert sind. Ist das bei Ihnen nicht der Fall, müssenSie deren Installation nachholen.Die Vorgehensweise für den SSL-gesicherten Zugriff auf den Webmin-Server:1. Installieren Sie zunächst die OpenSSL-Komponenten. Diese liegenjeder aktuellen Linux-Distribution bei und sind besonders einfachüber den Paketmanager zu installieren. Stellen Sie in jedem Fall sicher,dass die Pakete openssl und openssl-devel installiert sind.2. Installieren Sie als Nächstes das Perl-Modul Net::SSLeay. Besonderseinfach ist die Installation über die Webmin-Kategorie Sonstiges.Dort finden Sie das Modul Perl-Module. Suchen Sie über CPAN-Webmin kompakt

32 Webmin – der EinstiegEingabefeld die SSL-Komponente und installieren Sie diese. Nachdem Download klicken Sie einfach auf Continue with install. DenRest erledigt Webmin automatisch.3. Nun muss die SSL-Verschlüsselung aufseiten von Webmin aktiviertwerden. Dazu wechseln Sie wieder zur Webmin-Konfiguration undöffnen das Modul SSL Encryption.Präsentiert sich Ihnen beim Öffnen der SSL-Encryption-Seite einähnliches Bild wie in dieser Abbildung, müssen Sie dieInstallation der SSL-Komponenten erst nachholen.Sind die notwendigen SSL-Komponenten installiert, können Sie über das ModulSSL-Encryption die notwendigen Einstellungen vornehmen. Dazu aktivieren Siezunächst den Schalter Enable SSL if available mit Yes und sichern die Einstellungenmit einem Klick auf Save.Wenn Sie das erste Mal mit dem Browser auf den Webmin-Server zugreifen, gibtdieser eine Warnung, dass das Zertifikat nicht korrekt sei. Diese Meldung könnenSie dieses Mal – ausnahmsweise – ignorieren. Später müssen Sie noch ein gültigesZertifikat anfordern. Dazu gleich mehr. In Zukunft wird immer eine sichere Verbindungzwischen Server und Client aufgebaut.www.brain-media.de

Sicherheit für den Webmin-Server 33Wechseln Sie nun wieder zum SSL-Encryption-Modul. Dort füllen Sie den zweitenTeil des Formulars aus. Konkret sind anzugeben:• Servername• E-Mail-Adresse• Abteilung• Organisation/Firma• Bundesland• LandLassen Sie dasFeld Write key to file frei und setzen Sie die Option Use new keyimmediately auf Yes. Klicken Sie dann auf den Button Create Now, um einen neuenSchlüssel und ein eigenes Zertifikat zu erstellen. Diese werden standardmäßignach /etc/webmin/miniverv.pem geschrieben und automatisch aktiviert. Beimnächsten Browser-Zugriff müssen Sie womöglich nochmals das Zertifikat bestätigen.Damit ist auch dieses Problem gelöst.Nun müssen wir nur noch das Problem lösen, dass wir bislang noch kein gültigesZertifikat für die Website besitzen. Das kann mithilfe von OpenSSL und einerZertifikat-Autorisierung erstellt werden. Einziger Haken: Die Dienstleistung einesregistrierten Ausstellers von Zertifikaten kostet Geld.Wenn Sie ein „echtes“ gültiges Zertifikat nutzen wollen, so führen Sie folgendeSchritte aus. Führen Sie auf der Shell folgende Befehl aus:openssl genrsa –outDieser Befehl erzeugt die Datei key.pem. Das ist Ihr privater Schlüssel. Dann führenSie folgenden Befehl aus:openssl req –new –key key.pem –out req.pem.Der voranstehende Befehl fragt nach einer Bezeichnung für Ihre Umgebung. Hiergeben Sie die URL Ihrer Site ein. Aus dieser Eingabe erzeugt die OpenSSL-Funktion die Datei req.pem. Dabei handelt es sich um eine Request-Anfrage.Schicken Sie die Datei req.pem an eine Autorisierungsstelle. Sie erhalten die Dateicert.pem zurück, die Sie dann nun noch in den SSL-Encryption-Einstellungen vonWebmin kompakt

34 Webmin – der EinstiegWebmin angeben müssen. Abschließend speichern Sie die Einstellungen mit einemKlick auf Save.Bis hierher haben Sie eine vollwertige Webmin-Installation erzeugt, die zudem einMindestmaß an Sicherheit für den Praxiseinsatz bietet. Nun können wir uns an dieeigentliche Arbeit mit dem Admin-Werkzeug machen.www.brain-media.de

Sprache anpassen 352 Webmin-ModuleZunächst befassen wir uns mit den Webmin-Modulen. Hier finden Sie WebminspezifischeFunktionen, mit denen Sie Ihre Umgebung an Ihre Bedürfnisse anpassenkönnen. Um Ihnen die Arbeit mit Webmin so einfach wie möglich zu machen,stellen wir zunächst die Sprachversion um. Dazu folgen Sie dem Link ChangeLanguage and Theme.Das Anpassen der Sprachversion.2.1 Sprache anpassenÜber das zugehörige Formular können Sie drei Einstellungen bearbeiten:• Webmin UI language. Dies ist die Sprache der Web-Schnittstelle. Wirwollen die Menüführung von der Standardsprache Englisch (Global language(English)) ins Deutsche umstellen. Dazu wählen Sie aus dem AuswahlmenüPersonal choice … den Eintrag German (DE).Webmin kompakt

36 Webmin-Module• Webmin UI theme: Über dieses Auswahlmenü können Sie das Designder Webmin-Schnittstelle ändern, das durch die Vorlage MSC.LinuxTheme bestimmt ist.• Webmin login password: Außerdem können Sie über das letzte Menüdas Passwort für ein Einloggen ändern.Webmin zeigt Ihre Änderungen an.Um die geänderte Einstellung zu übernehmen, klicken Sie auf Make Changes.Wenn Sie nun auf den Link Return to index klicken, landen Sie wieder in derWebmin-Modul-Übersicht und werden feststellen, dass die Menüführung nuneingedeutscht ist.Neben der Anpassung der Sprache und des Designs stehen Ihnen über dieWebmin-Kategorie folgende Funktionen zur Verfügung:• Sicherung von Konfigurationsdateien• Usermin-Konfiguration• Webmin-Benutzer• Webmin-Ereignisanzeige• Webmin-Konfiguration• Webmin-Serverwww.brain-media.de

Konfigurationsdateien sichern 37Im Folgenden schauen wir uns die einzelnen Funktionen genauer an.2.2 Konfigurationsdateien sichernEine Besonderheit des Webmin-Moduls ist zweifelsohne die Funktion für dasSichern unterschiedlichster Konfigurationsdateien. Das zugehörige Formular erlaubtIhnen drei Aktionen:• Das manuelle Sichern von bestimmten Konfigurationsdateien.• Das Zurückspielen von gesicherten Konfigurationsdateien.• Das Erstellen von zeitgesteuerten Sicherungsjobs.Die Back-up-Funktion des Webmin-Moduls.Die Handhabung der manuellen Sicherung ist recht einfach: Markieren Sie zunächstauf dem Register Backup now bzw. Sichert Konfigurationen jetzt die Modu-Webmin kompakt

38 Webmin-Modulele, die Sie sichern wollen. Um mehrere Module zu markieren, halten Sie die Strg-Taste gedrückt und markieren der Reihe nach die gewünschten Module. Sie könnenbeispielsweise die Konfiguration des Apache-Webservers, Benutzer undGruppen, die Boot-Konfiguration oder auch Ihre VPN-Konfiguration sichern.Als Nächstes bestimmen Sie das Sicherungsziel. Sie können die Konfigurationsdateienin einer lokalen Datei, auf einem FTP-Server, einem SSH-Server oder imBrowser sichern. Wichtig ist, dass Sie in das jeweilige Eingabefeld eine Bezeichnungder Datei eingeben. Es muss sich um ein TAR-Archiv handeln. Welche BezeichnungSie verwenden, bleibt natürlich Ihnen überlassen. In der Praxis hat essich bewährt, wenn Sie einen Zeit- und Datumsstempel sowie den Zweck und denAusführenden in der Bezeichnung berücksichtigen. Ein Beispiel:komplettsicherung01_06_06_sysadmin.tarSie können außerdem weitere Konfigurationsdateien in das Back-up einbinden. DieSicherungsfunktion kopiert standardmäßig alle Server-Konfigurationsdateien mit.Sie können über die gleichnamige Option auch alle Konfigurationsdateien für dieWebmin-Module sichern. Wenn Sie weitere Dateien einbinden wollen, so führenSie diese in dem Textfeld Andere ausgewählte Dateien samt Pfad auf.Gelingt die Sicherung in der angegebenen Datei, so gibt Webmin eine entsprechendeErfolgsmeldung der Sicherungskonfiguration aus. Diese kann beispielsweisewie folgt aussehen:Starte Backup der Modulkonfigurationsdateien nach/root/sicher/Sicherung1.tar ..... fertig. Das gesamte Backup beträgt 24 kB mit insgesamt 19Dateien.Wenn Sie sich für die Variante Download im Browser entscheiden, öffnet IhrBrowser den Öffnen-von-Dialog, über den Sie eine geeignete Anwendung für dasÖffnen des Archivs bzw. für das Speichern der Datei auswählen können.Den eigentlichen Sicherungsvorgang leiten Sie durch einen Klick auf Jetzt sichernein.www.brain-media.de

Konfigurationsdateien sichern 392.2.1 Konfigurationsdateien wiederherstellenÄhnlich einfach ist es, das Wiederherstellen von gesicherten Konfigurationsdateiendurchzuführen: Zunächst wählen Sie die Modulkonfigurationen aus, die Sie zurückschreibenwollen. Dann bestimmen Sie den Speicherort der Sicherung. Wichtigist, dass Sie die Option Änderungen anwenden aktivieren, damit diese greifenkönnen. Das Wiederherstellen leiten Sie durch einen Klick auf die SchaltflächeJetzt zurückschreiben ein. Auch hier zeigt Ihnen Webmin eine Erfolgs- bzw. eineMisserfolgsmeldung nach der Ausführung an.Das Wiederherstellen einer gesicherten Konfigurationsdatei.Wie bereits erwähnt, erlaubt das Sicherungsmodul auch die Durchführung vonzeitgesteuerten Back-ups. Oberhalb der beiden zuvor beschriebenen SicherungsundWiederherstellungsfunktionen ist Platz für eine Liste der eingerichteten Sicherung.Bei einer Erstinstallation zeigt Ihnen Webmin an, dass noch keine Sicherungenexistiert: Es wurden bisher keine zeitgesteuerten Back-ups eingerichtet.Um eine automatische Sicherung einzufügen, klicken Sie auf den Link Ein neueszeitgesteuertes Backup hinzufügen. In dem zugehörigen Formular bestimmen SieWebmin kompakt

40 Webmin-Modulezunächst die oben beschriebenen Sicherungseigenschaften. Zusätzlich stehen Ihnenzwei E-Mail-Funktionen und die zeitliche Steuerung zur Verfügung. In das EingabefeldSende eine E-Mail mit dem Ergebnis an geben Sie die E-Mail-Adresse an,an die die Details des Sicherungsvorgangs gesendet werden sollen. Sie könnenüber Wann soll die E-Mail versandt werden bestimmen, ob die Meldung immeroder nur beim Auftreten von Fehlern verwendet werden soll.Es folgt der umfangreiche Konfigurationsbereich für die stündliche, tägliche, wöchentlicheetc. Sicherung. Die Konfiguration ist wirklich kinderleicht. Mit einemKlick auf Erstellen speichern Sie die benutzerdefinierte Sicherung.Die Konfiguration der benutzerdefinierten Sicherung.Das Back-up-Modul erzeugt dann einen ersten Tabelleneintrag mit drei Informationen:Sicherungsziel, Webmin-Module und Informationen zur Zeitsteuerung.2.2.2 ModulkonfigurationDie Back-up-Modul-Konfiguration bietet lediglich zwei Einstellungen, die Sieanpassen können:• strftime der Backupziele?: Hier haben Sie die Wahl zwischen Ja undNein. Dazu gleich mehr.www.brain-media.de

Konfigurationsdateien sichern 41• From:-E-Mail-Adresse für E-Mails: Hier können Sie den Absender derE-Mails bestimmen, der die Konfigurationsdateien verschickt. Die Standardvorgabelautet webmin@hostname. Sie können im danebenliegendenEingabefeld benutzerdefinierte Adressen bestimmen.Die Modul-Konfiguration.Die PHP-Funktion strftime dient der Formatierung einer Zeit-/Datumsangabe nachden lokalen Einstellungen. Wenn Sie diese Option auf Yes setzen, so werden Codeswie %d, %m, %Y und %u für das Erstellen von Dateinamen verwendet. Der Vorteilist klar: Sie müssen sich nicht um die manuelle Bezeichnung kümmern, sondernüberlassen es Webmin. Sie können folgende Formatierungsstrings verwenden:• %a: abgekürzter Name des Wochentags• %A: ausgeschriebener Name des Wochentags• %b: abgekürzter Name des Monats• %B: ausgeschriebener Name des Monats• %c: wiedergabewerte für Datum und Zeit• %C: Jahrhundert (Jahr geteilt durch 100, gekürzt auf Integer, Wertebereich00 bis 99)• %d: Tag des Monats als Zahl (Bereich 01 bis 31)• %D: so wie %m/%d/%y• %e: Tag des Monats als Dezimalwert, einstelligen Werten wird ein Leerzeichenvorangestellt (Wertebereich ´ 1´ bis ´31´)• %g: wie %G, aber ohne JahrhundertWebmin kompakt

42 Webmin-Module• %G: das vierstellige Jahr entsprechend der ISO-Wochennummer (siehe%V)• %h: so wie %b• %H: Stunde als Zahl im 24-Stunden-Format (Bereich 00 bis 23)• %I: Stunde als Zahl im 12-Stunden-Format (Bereich 01 bis 12)• %j: Tag des Jahres als Zahl (Bereich 001 bis 366)• %m: Monat als Zahl (Bereich 01 bis 12)• %M: Minute als Dezimal-Wert• %n: neue ZeileFür weitere Details zu dieser Funktion sei auf PHP-Handbücher verwiesen.Die Funktionen der Webmin-Konfiguration.www.brain-media.de

Webmin-Konfiguration 432.3 Webmin-KonfigurationFür die Konfiguration Ihrer Webmin-Umgebung steht Ihnen das Webmin-Konfigurationsmodul zur Verfügung. Bei Webmin 1.340 finden Sie dort 22 Konfigurationsbereiche.In diesen Einstellungen können Sie beispielsweise den Port desWebmin-Servers ändern, neue Module installieren, die Schnittstelle anpassen undvieles mehr.Unterhalb der verschiedenen Icons finden Sie drei weitere Schaltflächen:• Starte Webmin beim Booten: Hier haben Sie die Wahl zwischen Ja undNein. Verwenden Sie die Option Ja, um Webmin bereits beim Booten zustarten. Wenn Webmin derzeit nicht für den Start beim Booten eingerichtetist und Sie diese Option aktivieren, wird ein neues Init-Script erstellt.• Webmin neu starten: Klicken Sie auf diesen Button, um Webmin neu zustarten. Dies ist meistens dann erforderlich, wenn Sie Ihre Version vonPerl auf eine höhere Version umstellen.• Betriebssysteminfo: Wenn Sie auf diesen Button klicken, werden derName und die Version Ihres Betriebssystems und die Version von Perl andie Webmin-Entwickler verschickt. Diese Daten werden laut Angaben derEntwickler streng anonym behandelt und beinhalten wertvolle Informationenfür welche Betriebssysteme die Webmin-Entwicklung primär fokussiertwerden sollte.Drei der Funktionen der Webmin-Konfiguration haben wir bereits kennengelernt:IP-Zugriffskontrolle, Sprache und SSL-Verschlüsselung. Widmen wir uns denanderen Anpassungsfunktionen.2.3.1 Anschluss und AdresseÜber den Verweis Anschluss und Adresse passen Sie die Bindung der IP-Adresseund den Port des Webmin-Webservers an.Webmin kompakt

44 Webmin-ModuleDie Konfiguration des Webmin-Webservers.Wenn Sie das Webmin-Installationsskript für die Installation und die Standardeinstellungenbeibehalten haben, hört Ihre Webmin-Installation auf den Port 10000 –und zwar auf allen IP-Adressen Ihres Systems. Oftmals ist es aber wünschenswert,dass Sie diese Einstellung anpassen, weil sich Ihr System beispielsweise hintereiner Firewall befindet. Wenn Ihr Webmin-System mit mehreren Netzwerkadapternausgestattet ist, können Sie Webmin auch so konfigurieren, dass es nur Verbindungenaus dem LAN entgegennimmt.Um die Bindung und den Port zu ändern, gehen Sie wie folgt vor:1. Soll das System nur über eine bestimmte IP-Adresse ansprechbar sein, sowählen Sie aus dem Auswahlmenü Binde an IP-Adresse die Option Nur dieseAdresse und geben in das darunterliegende Eingabefeld die Adresse ein.2. Sie können in dem darunterliegenden Feld eine weitere feste IP-Adresse bestimmen.3. Den Port bestimmen Sie über Horche auf Port … .4. Schließlich können Sie die Option Auf Broadcasts via UDP achten deaktivierenund den Hostnamen des Webmin-Servers manuell über das Eingabefeldanpassen.5. Wenn Sie Änderungen vornehmen, klicken Sie auf Speichern. Ihr Browserwird an die neue Adresse bzw. den neuen Port umgeleitet und Sie müssen sicherneut einloggen.www.brain-media.de

Webmin-Konfiguration 452.3.2 ProtokollierungÜber den Verweis Protokollierung greifen Sie auf die Logging-Funktionen vonWebmin zu. Sie können Webmin so konfigurieren, dass das System eine Protokolldateifür Seitenanfragen im Standard-CLF-Protokolldateiformat schreibt. Wenndie Protokollierung aktiviert ist, können Sie wählen, ob IP-Adressen oder Host-Namen aufgezeichnet werden sollen und wie oft die Protokolldatei gelöscht werdensoll. Wenn die Protokollierung aktiviert ist, schreibt Webmin das Protokoll in/var/webmin/miniserv.log.Bei aktiver Protokollierung kann Webmin auch ein detaillierteres Protokoll in derDatei /var/webmin/webmin.log speichern. Dieses Protokoll kann mit der Webmin-Ereignisanzeige betrachtet und analysiert werden, um die Aktivitäten allerWebmin-Benutzer zu beobachten.Die Konfiguration der Webmin-Protokollfunktion.Webmin kompakt

46 Webmin-ModuleDie Protokollierung ist standardmäßig aktiviert. Sie sollten sie nur in Ausnahmefällendeaktivieren. Darüber hinaus können Sie verschiedene Anpassungen vornehmen.Wenn Sie wollen, dass die Hostnamen der Clients anstelle deren IP-Adressen in die Protokolldateien geschrieben werden, aktivieren Sie die OptionAufgelöste Host-Namen protokollieren. Allerdings sollten Sie beachten, dass dasAuflösen unter Umständen längere Zeit dauert und in der Regel eigentlich nurmehr Probleme schafft, als es löst.Sind Sie an sehr detaillierten Aufzeichnungen interessiert, so aktivieren Sie dieOption Benutze ein kombiniertes Logformat. Dann werden auch Referrer und User-Agents der Browser aufgezeichnet. Diesen Schalter sollten Sie nur dann aktivieren,wenn die zusätzlichen Informationen tatsächlich für Sie von Interesse sind.Damit die Protokolldateien nicht zu fett werden, löscht Webmin seine Protokolldateienstandardmäßig alle 168 Stunden. Diesen Wert können Sie über das zugehörigeEingabefeld beliebig anpassen.Die Protokollfunktion erlaubt Ihnen die benutzerbezogene Aufzeichnung. Standardmäßigwerden die Aktionen aller Benutzer aufgezeichnet (Ereignisse allerBenutzer protokollieren). Wenn Sie die Aufzeichnung beschränken wollen, aktivierenSie die Option Nur Ereignisse dieses Benutzers und wählen Sie den Benutzeraus. Haben Sie noch keine weiteren Webmin-Benutzer eingerichtet, finden Sielediglich den Admin-Benutzer im Auswahlmenü vor.Ähnlich wie bei den Benutzern lässt sich die Protokollierung auf bestimmte Modulebeschränken. Lassen Sie sich dabei nicht von der Bezeichnung Nur Ereignissedieses Moduls irritieren, denn Sie können die Konfiguration mithilfe der Strg-Tasteauf mehrere Module anwenden (das gilt übrigens auch auf die Auswahl der Benutzer).Schließlich können Sie Dateiänderungen jedes Ereignisses protokollieren, alleÄnderungen an Dateien für späteres Rückgängigmachen aufzeichnen und die Dateiberechtigungfür Logdateien von der Standardeinstellung ändern.Sie können die Protokolldateien über die sogenannte Webmin-Ereignisanzeigeeinsehen, die ebenfalls über die Webmin-Kategorie verfügbar ist. Mit der Anzeigekönnen Sie gezielt Ereignisse auf dem Webmin-System anzeigen. So finden Siebeispielsweise schnell heraus, wer welche Änderungen vorgenommen hat (vorausgesetzt,es gibt mehrere Webmin-Administratoren).2.3.3 Proxy-Server und DownloadsEine Vielzahl von Webmin-Modulen ist dazu da, um Dateien per FTP, HTTP oderHTTPS auf das lokale System zu übertragen. Wenn Ihr Webmin-Host sich hinterwww.brain-media.de

Webmin-Konfiguration 47einer Firewall befindet, kann es sein, dass Sie einen Proxy-Server zum Zugriff aufWeb- und FTP-Seiten verwenden müssen. Einige Module, wie z. B. das ModulSoftware-Pakete, verwenden diese Proxiys, wenn Sie Dateien oder Programmeherunterladen.Die dafür notwendigen Einstellungen sind über das Modul Proxy-Server undDownload vorzunehmen. Wenn Sie einen Proxy-Server nutzen wollen, aktivierenSie zunächst den zugehörigen Schalter und geben dann in das danebenliegendeFeld dessen Adresse ein. Verwenden Sie dazu folgendes Schema:http://www.proxy_server.de:Port.Entsprechend gehen Sie bei einem FTP-Server vor. Sie können die Verwendungeines Proxy auch ausschließen. Außerdem können Sie eine Kennung für den Zugriffauf den Proxy-Server hinterlegen – sofern eine solche benötigt wird.Die Konfiguration der Proxy-Server.Auf dem Register Downloading finden Sie die Einstellungen für die Download-Sites. Was aber hat es damit auf sich? Diese sind dann von Bedeutung, wennWebmin eine Datei von einer SourceForge-URL herunterlädt. Für diesen Fall könnenSie über dieses Formular bestimmen, welcher Download-Mirror automatischgenutzt wird.Webmin kompakt

48 Webmin-ModuleDie Download-Einstellungen.Die Einstellungen für die Download-Sites im Einzelnen (die Webschnittstelle istleider nicht durchgängig deutschsprachig):• Standard OSDN-Spiegel für Downloads: Hier wählen Sie den Download-Serveraus. Alternativ können Sie einen eigenen Server angeben.• Cache downloaded files?: Hier legen Sie fest, ob Download-Dateien lokalzwischengespeichert werden. Standardmäßig ist das nicht der Fall.Wenn Sie einen Cache verwenden wollen, bestimmen Sie über das Auswahlmenüseine Größe. Das Einführen eines Caches macht eigentlich nurin Umgebungen Sinn, in denen häufig Dateien übertragen werden.• Maximum time to cache files: In diesem Eingabenfeld bestimmen Siedie maximale Dauer, die Dateien zwischengespeichert werden.• Do caching in modules: Schließlich können Sie festlegen, wo Dateiengecachet werden und wo nicht.Über die Schaltfläche Speichern übernehmen Sie die Einstellungen und gelangenwieder zur Webmin-Konfiguration zurück.www.brain-media.de

Webmin-Konfiguration 492.3.4 BenutzerschnittstelleÜber das Formular Benutzerschnittstelle können Sie die Optionen für die Benutzerschnittstellebearbeiten, die von allen Modulen verwendet werden sollen. JedeFarbe wird mit dem RGB-System definiert, wobei jeder Wert eine hexadezimaleZahl zwischen 00 und ff ist.Die Konfiguration der Benutzerschnittstelle.Im oberen Formularbereich können Sie beispielsweise die Farbe für den Seitenhintergrund,normalen Text, den Tabellenhintergrund, die Tabellenüberschrift und dieFarbe des Linktexts bestimmen.Im unteren Bereich finden Sie Einstellungen, mit denen Sie die Größe von verschiedenenPop-up-Fenstern bestimmen. So können Sie beispielsweise festlegen,wie groß (in Pixeln) die Datei- und Datumsauswahldialoge eingeblendet werden.Webmin kompakt

50 Webmin-Module2.3.5 Webmin-ModuleÜber den Link Webmin-Module steht Ihnen die Modulverwaltung zur Verfügung.Das zugehörige Formular dient in erster Linie dazu, neue Module zu installieren,Module zu klonen, zu löschen und zu exportieren.Module sind typischerweise WBM-Dateien, die über die Webmin-Website zumDownload bereitstehen. Über die Modulübersicht der Webmin-Homepage(http://webadminmodules.sourceforge.net) stehen weit über 300 Erweiterungenzum Download bereit. WBM-Dateien können eine oder auch mehrere Moduleenthalten. Diese Erweiterungen können auch als RPM-Pakete installiert werden.Die Installation eines neuen Moduls.Auf dem Register Install bietet Ihnen Webmin verschiedene Installationsarten an:• Von lokaler Datei: In diesem Eingabefeld bestimmen Sie den Speicherortdes Moduls. Über die Schaltfläche am rechten Ende steht Ihnen der Auswahldialogzur Verfügung, mit dem Sie die Moduldatei suchen können.www.brain-media.de

Webmin-Konfiguration 51• Von heraufgeladener Datei: Befindet sich die Datei ebenfalls auf demlokalen System und wird der Browser ausgeführt, so greifen Sie zu dieserOption.• Von FTP- oder HTTP-URL: Sie können das Modul auch von einemFTP- oder Webserver installieren. Hier geben Sie die URL des Modulsan.• Standardmodul von www.webmin.com: Dieser Link führt Sie zur Übersichtder Webmin-Standardmodule (www.webmin.com/standard.html).Folgen Sie diesem Link, wenn Sie ein Standardmodul aus der Webmin-Installation entfernt haben und es neu installieren wollen.• Drittanbietermodul von: Hier bestimmen Sie das Modul eines Drittanbieters.Sie können zudem die Option Modulabhängigkeiten beim Installieren ignorierenaktivieren. Das kann aber zur Folge haben, dass ein installiertes Modul womöglichnicht korrekt oder nur unzureichend funktioniert.Außerdem sollten Sie die Modulverwaltung dazu verwenden, um den Zugriff aufdas Modul zu definieren. Im Textfeld Gewähre Zugriff nur für Benutzer und Gruppengeben Sie durch Kommata getrennt die Benutzer an. Standardmäßig gewährtWebmin nur dem aktuell eingeloggten Benutzern Nutzungsrechte. Wenn Sie allenBenutzer die Nutzung erlauben wollen, aktivieren Sie die Option Gewähre allenWebmin-Benutzern Zugriff.Die Installation leiten Sie mit einem Klick auf Modul von Datei installieren ein.Webmin gibt je nachdem, ob das Modul bereits installiert ist oder nicht, eine Erfolgsmeldungaus. Ein Beispiel, wenn das Modul bereits vorhanden ist:Die folgenden Module wurden erfolgreich installiert und zu Ihrer Zugriffskontrolllistehinzugefügt:Bandbreitenmessung (Netzwerk-Traffic) in /opt/webmin-1.340/bandwidth (161 kB)HinweisDie Installation von Modulen können Sie auch auf Konsolenebene durchführen. Siefinden das Skript im Webmin-Root-Verzeichnis. Sie müssen bei der Ausführung dieModulbezeichnung als Parameter angeben. Das Skript trägt die Bezeichnunginstall-module.pl.Webmin kompakt

52 Webmin-ModuleGelegentlich ist es sinnvoll, dass man ein Webmin-Modul für weitere Konfigurationennutzen kann. So können Sie unterschiedliche Konfigurationen für verschiedeneAufgaben oder zu Testzwecken erzeugen.Das Klonen eines Moduls.Das alles ist mit der Klon-Funktion kein Problem. Wenn Sie mehr als eine Kopiedesselben Moduls mit unterschiedlichen Konfigurationen erstellen wollen, könnenSie mit der Modulverwaltung ein existierendes Modul klonen. Der Klon erhält eineneue Bezeichnung, eine eigene Modulkonfiguration und neue Zugriffskontrollen.Außerdem kann er für andere Benutzer verfügbar gemacht werden.Das Klonen ist einfach: Aus dem Auswahlmenü Zu klonendes Modul wählen Siedas zu doppelnde Modul aus, weisen diesem unter Name des geklonten Modulseine Bezeichnung zu. Unter Zuweisen zu Kategorie legen Sie fest, welcher Kategorieer zugeordnet werden soll. Außerdem können Sie die Konfiguration zurücksetzen,damit diese mit der Standardkonfiguration beginnt.Mit der Klonfunktion können Sie mit wenig Aufwand eine neue Mailserver-Konfiguration, unterschiedliche Gruppen und Benutzer mit verschiedenen Einstellungenetc. erzeugen. Wie Sie diese Funktionalität nutzen, bleibt Ihnen überlassen.Für das Testen von unterschiedlichen Konfigurationen eignet es sich hervorragend.www.brain-media.de

Webmin-Konfiguration 53Das Löschen von nicht benötigten Modulen.Sie können sich die Systemadministration und den Umgang mit Webmin deutlichvereinfachen, wenn Sie sich Modulen oder Klonen entledigen, zu denen entwederkeine Anwendung installiert ist oder die Sie nicht verwenden.Wichtig dabei: Wenn ein Modul mit Klonen gelöscht wird, werden die Kloneebenfalls entfernt. Wenn ein Modul entfernt wurde, muss es erst neu installiertwerden, bevor Sie es wieder benutzen können. Standardmäßig kann ein Modulnicht gelöscht werden, wenn andere Module davon abhängen.Die Handhabung der Löschfunktion ist einfach: Markieren Sie die nicht mehr benötigtenund klicken Sie auf die Schaltfläche Gewählte Module löschen. Die OptionIgnoriere Modulabhängigkeiten beim Löschen sollten Sie nicht aktivieren, dahier die Abhängigkeiten beim Entfernen unberücksichtigt bleiben und abhängigeModule in ihrer Funktionstüchtigkeit eingeschränkt werden können.Wenn Sie ein oder mehrere Module auf anderen Webmin-Systemen installierenwollen, so ist auch das kein Problem. Dazu verwenden Sie die Exportfunktion. Mitdieser können Sie installierte Module unter Benutzung des Exportformulars alswbm.gz exportieren. Dazu bestimmen Sie die Module, die Sie exportieren wollen.Außerdem legen Sie fest, ob die Datei im Browser heruntergeladen werden oderauf einen Server übertragen werden soll. Mit einem Klick auf Exportiere ausgewählteModule leiten Sie den Export ein.Webmin kompakt

54 Webmin-Module2.3.6 Das Betriebssystem und seine UmgebungDa sich Webmin – abhängig von dem von Ihnen verwendeten Betriebssystem –unterschiedlich verhält, sollten Sie die Betriebssystemeigenschaften auf ihre Korrektheitüberprüfen. Das Betriebssystem wird bei der Installation identifiziert.Sollte hier allerdings etwas nicht richtig funktioniert haben, müssen Sie selbstHand anlegen. Auch wenn Sie ein Update Ihrer Umgebung vornehmen, wird dasvon Webmin nicht mehr berücksichtigt oder gar korrigiert.Die Betriebssysteminformationen.Um diese Einstellungen zu prüfen, folgen Sie dem Link Betriebssystem und Betriebsumgebung.Dort werden das Betriebssystem und die Version angezeigt. Siekönnen außerdem den Suchpfad ändern, der von Webmin beim Ausführen vonProgrammen benutzt wird, und den Pfad der freigegebenen Bibliotheken anpassen,der an Programme gegeben wird.Was hat es aber mit dem Programmsuchpfad und den Umgebungsvariablen aufsich? Wenn Sie den Befehl ls ausführen, so wird durch die PATH-Umgebungsvariable bestimmt, in welchen Verzeichnissen die Ausführbaren gesuchtwerden. Auch Webmin nutzt diese Einstellungen. Mit dem Programmsuchpfadbestimmen Sie, welche Verzeichnisse genutzt werden.Ähnlich verhält es sich mit Bibliotheken. Standardmäßig definiert die UmgebungsvariableLD_LIBRARY_PATH, wo nach Bibliotheken gesucht werden soll. Wennwww.brain-media.de

Webmin-Konfiguration 55Sie weitere Verzeichnisse nutzen wollen, geben Sie diese in dem dafür vorgesehenenTextfeld an. Außerdem können Sie eigene Umgebungsvariablen einführen.2.3.7 Sprache anpassenDas Modul Sprache haben wir bereits kennengelernt. Hier können Sie die Spracheder Webmin-Schnittstelle anpassen. Meist vereinfacht sich der Einsatz, wenn Siedie Schnittstelle auf eine deutsche Sprachführung umschalten.2.3.8 IndexseitenSie können nicht nur die Sprache, sondern auch die allgemeine Darstellung derWebmin-Schnittstelle anpassen. Hierfür stehen Ihnen die Funktionen der Indexseitenoptionenzur Verfügung.Die Indexseitenoptionen.Mit Anzahl der Spalten legen Sie fest, wie viele Icons auf einer Indexseite nebeneinanderplatziert werden. Standardmäßig finden Sie vier Icons. Wenn Sie miteiner hohen Monitorauflösung arbeiten, können Sie den Wert gegebenenfalls höhersetzen.Webmin kompakt

56 Webmin-ModuleStandardmäßig werden die Module in Kategorien zusammengefasst, um die ganzeAdministration übersichtlich zu halten. Diese Standardeinstellung sollten Sie möglichstbeibehalten.Die weiteren Einstellungen:• Standard-Kategorie: Über das Auswahlmenü bestimmen Sie, welcheKategorie beim Einloggen standardmäßig geöffnet wird.• Zeige Version, Hostname und OS? Mit dieser Funktion können Sie dasEinblenden der Webmin-Version, des Hostnamens und des Betriebssystemsein- bzw. ausblenden.• Direkt zum Modul gehen, wenn Benutzer nur eines hat? Hat ein Benutzerlediglich Zugriff auf ein Modul, so wird dieses direkt geöffnet.• Nach der Anmeldung gehe immer zum Modul: Über dieses Auswahlmenülegen Sie das Standardmenü fest, das beim Einloggen geöffnet wird.2.3.9 Webmin aktualisierenDank der unermüdlichen Arbeit von Jamie Cameron wird Webmin kontinuierlichweiterentwickelt, weiter verbessert und mehr oder minder häufig aktualisiert. Überden Link Webmin aktualisieren können Sie die gesamte Webmin-Installation aufden neuesten Stand bringen.Für die Aktualisierung können Sie eine lokale Datei, eine hochgeladene Datei odereinfach die letzte Version von der Webmin-Homepage installieren. Wie bei einermanuellen Aktualisierung werden alle Einstellungen und Module Dritter beibehalten.Dazu stehen Ihnen vier Formularbereiche zur Verfügung. Der Erste trägt die BezeichnungWebmin aktualisieren. Hier bestimmen Sie die Installationsquelle. Siehaben dabei die Wahl zwischen folgenden Optionen:• Von lokaler Datei• Von heraufgeladener Datei• Von einer FTP- oder HTTP-URL• Letzte Version von www.webmin.comwww.brain-media.de

Webmin-Konfiguration 57Der Installationsdialog stellt Ihnen eine Handvoll weiterer Optionen zur Auswahl.Wichtig ist, dass Sie die Option Überprüfe die GnuPG-Signatur des zu installierendenPaketes? aktiviert lassen.Die Einstellungen für die Webmin-Aktualisierung.Bei der Aktualisierung Ihrer Webmin-Installation werden neue Module automatischeinem oder mehreren Benutzern zugeordnet und für die Nutzung freigegeben.Mit dem Formular Zuordnung neuer Module können Sie diese Einstellung ändernund neue Module bestimmten Benutzern zuordnen.Es folgen zwei weitere Formulare für die Konfiguration der Webmin-Aktualisierung. Das Formular Aktualisiere Module jetzt erlaubt Ihnen die ModuleIhrer Installation (also nicht Webmin selbst) auf den neuesten Stand zu bringen.Mit Modul-Update werden meist funktionale Schwächen oder Sicherheitslückengeschlossen. Dies wird die aktuell installierten Module abgleichen mit den verfügbarenUpdate-Modulen und diese optional herunterladen und installieren.Die Modul-Aktualisierung führen Sie am einfachsten durch, indem Sie die OptionAktualisiere von www.webmin.com aktivieren und dann auf die Schaltfläche AktualisiereModule klicken. Um den Rest kümmert sich Webmin. Dabei gibt Webminentsprechende Hinweise aus, welche Module erneuert werden und warum dieserforderlich ist:Webmin-Module werden aktualisiert ...Update notwendig für Modul mailboxes auf Version 1.340.Webmin kompakt

58 Webmin-ModuleLöst folgendes Problem: When a user is restricted to only asubset of mailboxes and the system has more than 200 users,no users appear on the module's main page.Update notwendig für Modul mysql auf Version 1.340.Löst folgendes Problem: When attempting to backup a MySQLdatabase as a non-root user, the following error appears:Access denied for user 'username'@'localhost' to database'mysql'Es kommt noch besser: Sie können die Aktualisierung automatisieren und vollständigWebmin überlassen. Dazu konfigurieren Sie das Formular AktualisiereWebmin nach Zeitplan. Auch wenn diese Automatisierung sehr nützlich ist, solltenSie diese Funktion mit Bedacht einsetzen, da sie Angreifern möglicherweise erlaubtIhr System zu übernehmen, wenn der Update-Server kompromittiert wurde.Die automatische Aktualisierung Ihrer Webmin-Installation.www.brain-media.de

Webmin-Konfiguration 59Damit Sie sich nicht weiter um die Aktualisierung kümmern müssen, aktivieren Siezunächst die Option Klicken Sie hier, um eine Aktualisierung mit CRON zu aktivieren.Als Quelle sollten Sie www.webmin.com beibehalten. Stellt Ihnen Ihr Provideroder ein Netzwerkadministrator einen speziellen Download-Service zur Verfügung,geben Sie die URL in dem Textfeld Aktualisiere aus anderer Quelle ein.Bestimmen Sie außerdem den Zeitpunkt und das Intervall für die Aktualisierung.Es empfiehlt sich außerdem, eine E-Mail-Adresse zu hinterlegen, an die ein Berichtdes Updates geschickt wird. Der Automatismus unterstützt auch den passwortgeschütztenZugriff auf den Update-Server. Geben Sie dazu einfach die Kennungunter Log-in und Passwort für Update-Server ein. Mit einem Klick auf dieSchaltfläche Speichern und anwenden ist die Aktualisierung nach Zeitplan fertigkonfiguriert. Über die Aktualisierungsfunktion können Sie außerdem einzelneModule aktualisieren.2.3.10 AuthentifizierungWebmin verfügt über eine Fülle an Funktionen, mit denen Sie die Authentifizierungsteuern können. Damit legen Sie beispielsweise fest, wie das System bei mehrerenmisslungenen Log-in-Versuchen reagiert, wie sich Benutzer einloggen undwie Passwörter geprüft werden.Sie können die Authentifizierungs-Einstellungen auch nutzen, um Passwort-Timeoutszu setzen. Solche Time-outs können den Webmin-Server vor sogenanntenBrute-Force-Attacken schützen, indem eine sich fortlaufend verlängernde Verzögerungnach einem fehlgeschlagenen Anmeldungsversuch eines Benutzers stattfindet.Generell gilt: Webmin zeichnet bei aktiver Authentifizierung alle Sitzungen allerWebmin-Benutzer auf, damit inaktive Benutzer automatisch abgemeldet werdenkönnen. Sie sollten außerdem beachten, dass das Aktivieren oder Deaktivieren derAuthentifizierung dazu führen kann, dass sich alle Benutzer neu anmelden müssen.Webmin kompakt

60 Webmin-ModuleFür die Authentifizierung gibt es unzählige Einstellungen.Die verfügbaren Einstellungen sind sehr umfangreich – und aus Sicht der Sicherheitnatürlich sehr wichtig. Daher schauen wir uns die einzelnen Optionen genaueran:• Passwort-Timeouts deaktivieren/aktivieren: Zunächst bietet Ihnen dasFormular das Aktivieren bzw. Deaktivieren an. Sie sollten die Standardeinstellung(aktiv) nur in Ausnahmefällen ändern.• Rechner mit x fehlgeschlagenen Anmeldeversuchen für y Sekundenblockieren: Mit dieser Konfiguration sperren Sie nach der angegebenenZahl an Fehlerversuchen den Zugang für diese Zeitspanne. Sie können dieStandardwerte 5 Versuche und 60 Sekunden herunter bzw. höher setzen,wenn Ihnen diese Konfiguration nicht streng genug ist. In der Regel genügtsie.www.brain-media.de

Webmin-Konfiguration 61• Blockierte Rechner, Anmelde- und Authentifizierungsfehler im syslogprotokollieren: Wenn Sie diese Option aktivieren, werden Authentifizierungsfelderin die zentrale Protokolldatei geschrieben. Sie sollten dieseOption aktiviert lassen, um möglichen Eindringversuchen von Unberechtigtenauf die Spur kommen zu können.• Authentifizierung deaktivieren/aktivieren: Als Nächstes können Sie dieAuthentifizierung ein- bzw. ausschalten. Ausschalten macht höchstens beilokalen Test-, nicht aber bei Produktivitätssystemen Sinn.• Automatische Abmeldung nach x Minuten Inaktivität: Um sicher zugehen, dass nicht inaktive Verbindungen zu einem späteren Zeitpunkt füreine Attacke genutzt werden, sollten Sie mit dieser Option für das Trenneninaktiver Verbindungen sorgen. Ein guter Wert ist sicherlich 10 Minuten.• "Kennung speichern" anbieten? NICHT EMPFOHLEN: Standardmäßigist diese Option aktiv und sorgt dafür, dass der Log-in-Dialog dieOption Anmeldung dauerhaft speichern anbietet. Die Log-in-Informationen werden auf Seiten des Browsers in einem Cookie gespeichert,um einen späteren Zugriff zu vereinfachen. Es empfiehlt sich, dieseOption zu deaktivieren, damit nicht Unberechtigte von Ihrem System ausUnfug mit dem Webmin-System treiben.• Zeige Hostnamen auf Anmeldebildschirm? Mit diesem Schalter legenSie fest, ob der Hostname beim Login-Dialog angezeigt wird oder nicht.Für einen potenziellen Angreifer ist es natürlich schwieriger, das Systemzu attackieren, wenn es dessen exakte Adresse bzw. dessen IP-Adressenicht kennt. Überall dort, wo Fremde auf den Server zugreifen können,sollten Sie diese Option ausschalten.• Zeige den echten Hostnamen anstelle eines Virtuellen Servernamensin der URL? Auch diese Option sollten Sie ausschalten, um möglichenAngreifern nicht mehr als unbedingt nötig Informationen zu liefern.• Speichere Ein- und Ausloggen in UTMP? Das Programm UTMP gibtAuskunft darüber, wer das System im Moment benutzt. Sie können dasEin- und Ausloggen in der zugehörigen Datei speichern. In der Regel istdas nicht erforderlich.• Keine zusätzliche Seite vor der Anmeldung anzeigen/ Eine zusätzlicheDatei vor der Anmeldung anzeigen: Mit dieser Option, sofern Sie sieaktivieren, können Sie eine weitere Seite vor der eigentlichen Anmeldunganzeigen lassen. Falls Sie das wollen, geben Sie in das zugehörige Textfeldden Pfad zur HTML-Datei an. Mit dieser Datei können Sie einen Be-Webmin kompakt

62 Webmin-Modulenutzer beispielsweise mit Zusatzinformationen oder besonderen Hinweisenversorgen, bevor er sich einloggen kann.• Benutzernamen und Passwort immer erfragen: Diese Option solltenSie aktiviert lassen, damit bei jedem Log-in-Vorgang Kennung und Passwortangegeben werden müssen.• Anmeldung ohne Passwort für passende Benutzer von localhost: Alternativkönnen Sie auch Benutzern von localhost den Zugang vereinfachen.• Benutze PAM für die Unix-Authentifizierung, wenn verfügbar: Siekönnen auf das PAM-System für die Authentifizierung zurückgreifen.Überall dort, wo PAM zum Einsatz kommt, sollte man das auch tun.• Benutze niemals PAM für die Unix-Authentifizierung: Mit diesemSchalter umgehen Sie permanent die Verwendung von PAM.• Wenn PAM nicht verfügbar oder abgeschaltet ist, lese Benutzer undPasswörter aus Datei/Spalte: Sollten Sie PAM nicht für die Authentifizierungnutzen oder der Sicherungsmechanismus deaktiviert sein, so bestimmenSie hier die Datei, in der die Benutzer und Passwörter hinterlegtsind. In der Regel ist das /etc/shadow.• Wenn Unix-Authentisierung benutzt wird ...: Hier legen Sie fest, wasmit Benutzern passiert, deren Passwort abgelaufen ist. Es empfiehlt sich,diese immer abzuweisen. Sie könnten auch zur Eingabe eines neuenPasswortes auffordern.• Externes Squid-ähnliches Authentifizierungs-Programm: Sie könnenauch ein externes Authenthifzierungsprogramm für das Log-in verwenden,beispielsweise Squid. Wenn Sie das wollen, geben Sie hier den Pfadan.• Benutze die Standard-Verschlüsselungsmethode/ MD5-Verschlüsselungsmethodefür Webmin-Passworte: Hier sollten Sie sich für die stärkereVerschlüsselungsvariante MD5 entscheiden.Mit einem Klick auf Speichern ändern Sie die Einstellungen für die Authentifizierung.Generell empfiehlt es sich, die Zugangsmechanismen lieber ein wenig engerzu schnüren, als zu weit.www.brain-media.de

Webmin-Konfiguration 632.3.11 Modulzuordnung und KategorienWenn Ihnen die von Webmin vorgegebene Modul- und Kategorienzuordnung nichtpasst: Kein Problem, denn Sie können die installierten Module jeder beliebigenKategorie zuweisen. Dazu wählen Sie aus der Modulliste den gewünschten Eintragund weisen diesem über das Auswahlmenü die gewünschte Kategorie zu.Dieses Formular erlaubt die Neuordnung der Modul-Kategorie-Zuordnung.Es kommt noch besser: Sie können eigene Kategorien erzeugen und in diesen dannIhre wichtigsten Module zusammenfassen. Dazu folgen Sie in der Webmin-Konfiguration dem Link Kategorien bearbeiten. Über dieses Formular können Sienicht nur vorhandene Kategorien bearbeiten, sondern auch neue einführen.Um eine neue Kategorie zu erstellen, weisen Sie dieser unter ID einen internenBezeichner und unter Angezeigte Beschreibung eine passende Bezeichnung zu. Miteinem Klick auf Kategorie speichern haben Sie eine Kategorie mehr.Webmin kompakt

64 Webmin-ModuleÜber dieses Formular lassen sich eigene Kategorien erstellen.Womöglich wundern Sie sich, dass diese Kategorie nicht direkt nach dem Speichernin der Kategorienliste zu finden ist. Sie müssen dieser neuen Kategorie überdas zuvor beschriebene Formular ein erstes Modul zuweisen. Erst dann taucht dieneue Kategorie auch in der Kategorieleiste auf.2.3.12 Modultitel anpassenSie können weitere Modul-spezifische Anpassungen vornehmen. Die Webmin-Konfiguration erlaubt nicht nur die Neuordnung von Modulen, sondern Sie könnenauch die Modulbezeichnungen nach Ihren Vorlieben gestalten.Dazu folgen Sie dem Verweis Modultitel. Im zugehörigen Formular können Sie biszu drei Modulbezeichnungen auf einmal ändern. Wählen Sie dazu in der SpalteModul das Modul aus und weisen Sie diesem unter Neuer Titel die gewünschteBezeichnung zu. Mit Speichern nehmen Sie die Änderungen vor.www.brain-media.de

Webmin-Konfiguration 652.3.13 Webmin-ThemesMit den sogenannten Webmin-Themes bestimmen Sie das Erscheinungsbild derWebmin-Benutzerschnittstelle. Dazu gehören Eigenschaften wie Symbole, Farben,Hintergrundbilder und das Seitenlayout. Themes sind ähnlich wie die ModuleErweiterungen der Webmin-Installation.Durch die Änderung des Themes erreichen Sie signifikante Änderungen derWebmin-Schnittstelle. Über die Funktion des Formulars Webmin-Themes könnenSie das Standarddesign ändern, ein anderes Theme installieren und auch einenExport ausführen.Das Auswahlmenü Aktuelles Theme stellt Ihnen vier Gestaltungsformen zur Auswahl:• Standard-Webmin-Theme: Hierbei handelt es sich um ein sehr einfachesTheme, das noch von den ersten Webmin-Versionen stammt.• Caldera-Theme: Dieses Theme verwendet Frames, um die Kategorienund die zugehörigen Funktionen voneinander zu trennen.• MSC.Linux Theme: Dies ist das Standard-Theme. Es empfiehlt sich, diesesbeizubehalten.• Blue Framed Theme: Mit Version 1.3x wurde dieser Theme-Typ eingeführt.Er präsentiert Ihnen in einer Explorer-ähnlichen Ansicht und einemdeutlich moderneren Design die Funktionen.Nicht mehr in Webmin 1.3x enthalten ist das Simple Theme, das für Geräte entwickeltwurde, die keine besonderen Darstellungsfähigkeiten aufweisen, beispielsweiseeinfache Notebooks, PDAs etc.Wenn Sie sich die alternativen Vorlagen einmal ansehen, so werden Sie feststellen,dass diese alle den Link Benutzer wechseln aufweisen. Dieser ist im aktuellenWebmin-Theme nicht mehr integriert.Webmin kompakt

66 Webmin-ModuleDie umfangreichen Einstellungen zur Theme-Verwendung in Webmin.Sie sind keineswegs auf die vier Themes angewiesen, die Ihnen Webmin zur Verfügungstellt. Sie können auch Themes von anderen verwenden. Über die Third-Party-Modules-Website (http://webmin.thirdpartymodules.com/) stehen zwanzigThemes zum Download bereit.Für die Installation von Dritt-Themes greifen Sie auf das zweite Formular zurück.Themes besitzen in der Regel die Dateierweiterung WBT und können von einerlokalen, einer hochgeladenen Datei oder von einer FTP- oder HTTP-URL installiertwerden. Das Webmin-Themes-Formular erlaubt außerdem das Löschen undExportieren von Themes.www.brain-media.de

Webmin-Konfiguration 67Das neue Theme Blue Framed Theme in Aktion.2.3.14 Vertraute VerweiseMit einem Sicherheitsproblem haben alle Web-basierten Administrationswerkzeugezu kämpfen: Mit einem Verweis wie dem Folgenden kann mit einem einzigenKlick ein Modul ausgeführt werden, das beispielsweise Dateien auf Ihrem Systemlöscht:HierklickenUm sich vor derlei bösen Überraschungen zu schützen, sollten Sie eine Freundeslistemit Sites erstellen, die Sie als vertrauenswürdig einschätzen. Mit der FunktionVertraute Verweise erstellen Sie diese Liste. Zunächst sollten Sie allerdings sicherstellen,dass die Überprüfung aktiviert ist.Webmin kompakt

68 Webmin-ModuleIn diesem Formular hinterlegen Sie die vertrauenswürdigen Websites.Stellen Sie außerdem sicher, dass die Option Links von unbekannten Websitesvertrauen deaktiviert ist. Standardmäßig ist das nicht der Fall.2.3.15 Anonymer ModulzugriffBereits beim Modul Authentifizierung haben wir verschiedene Möglichkeiten kennengelernt,wie man den Zugriff auf Webmin steuert. Die Administrationszentralebietet mit der Funktion Anonymer Modulzugriff eine weitere Besonderheit.Das zugehörige Formular erlaubt es Ihnen, Zugriffe auf ausgewählte Webmin-Module und Pfade zu gewähren, ohne dass sich die Benutzer anmelden müssen.Für jeden Modul-Pfad, den Sie freigeben wollen, müssen Sie den Namen desWebmin-Benutzers eingeben, dessen Rechte für den Zugriff auf die Module benutztwerden sollen.Sinn macht die Freigabe für anonyme Zugriffe beispielsweise für rein informativeModule, die keine Änderungen erlauben oder lediglich die Ausführung „harmloser“Befehle erlauben.Doch Vorsicht: Wenn Sie anonymen Zugriff gewähren, können eine unzureichendeIP-Zugriffskontrolle oder der Zugriff auf die falschen Module Angreifern dieÜbernahme des Systems ermöglichen. Seien Sie daher sehr vorsichtig beim Einsatzdieser Funktion.www.brain-media.de

Webmin-Konfiguration 692.3.16 DateisperrungEine weitere sicherheitsrelevante Einstellung trägt die Bezeichnung Dateisperrung.Webmin sperrt standardmäßig jede Datei, die sich in der Bearbeitung durch einenBenutzer befindet. So wird verhindert, dass sich zwei Benutzer gleichzeitig an dergleichen Datei zu schaffen machen.Mit dem Modul Dateisperrung können Sie diese Konfiguration bearbeiten undbeispielsweise die Sperrung komplett aufheben oder nur bestimmte Dateien/Verzeichnissesperren bzw. freigeben. Für Testzwecke kann eine Freigabedurchaus sinnvoll sein, in der Regel sollten Sie allerdings darauf verzichten.2.3.17 Mobile Device OptionsIn der aktuellen Version erlaubt Webmin auch die Konfiguration für mobile Geräte,die auf den Server zugreifen. Sie können das zu verwendende Theme vorgebenund die HTTP-Authentifizierung erzwingen.2.3.18 Erweiterte OptionenWebmin bietet Ihnen einige erweiterte und experimentelle Optionen an. Hier findenSie beispielsweise das Verzeichnis für temporäre Dateien. Standardmäßig sinddiese im Verzeichnis /tmp/.webmin abgelegt. Über das Textfeld können Sie diesändern.Entsprechend können Sie die temporären Verzeichnisse für die Module anpassen.Wählen Sie dazu einfach das Modul aus und bestimmen Sie das Verzeichnis. Dieerweiterten Einstellungen bieten Ihnen zwei weitere Anpassungsmöglichkeiten an:• Webmin-Funktionsbibliotheken vorladen? Hier können Sie das Vorladender Bibliotheken erzwingen, was gegebenenfalls zu einer etwasschnelleren Ausführung von Webmin führen kann.• Mache Passwort anderen Webmin-Programmen verfügbar? Außerdemkönnen Sie Ihr Passwort für andere Webmin-Installationen zugänglichmachen. In der Regel ist das nicht gewünscht. Beachten Sie, dass diesesFeature nicht funktioniert, wenn Sie die Session-Authentifizierungeingeschaltet haben.Webmin kompakt

70 Webmin-Module2.3.19 SSL-FunktionenDie beiden letzten Funktionen der Webmin-Konfiguration dienen der Konfigurationder SSL-Funktionalität. Über den Link SSL-Verschlüsselung muss zunächst dieInstallation der Net::SSLeay-Perl-Komponenten erfolgen. Am einfachsten lassenSie das Webmin mit einem Klick auf Herunterladen und installieren durchführen.Nachdem Download und der anschließenden Installation – oder der manuellenInstallation der Komponenten –, können Sie die SSL-Funktionalität aktivieren undeinen SSL-Schlüssel erzeugen (so wie es bereits im ersten Teil beschrieben wurde).Die Installation der SSL-Komponenten.2.3.20 ZertifikatautoritätSie können Webmin auch als Zertifikatautorität einrichten, damit sich Clients vondieser Stelle SSL-Zertifikate anfordern können. Die zugehörigen Funktionen sindüber den Link Zertifikatautorität verfügbar. Um diese Funktion allerdings nutzenzu können, müssen Sie erste die SSL-Unterstützung aktivieren.www.brain-media.de

Webmin-Konfiguration 71Um eine Autorität zu erstellen, müssen Sie ein CA-Zertifikat erzeugen. Dazu stehtIhnen ein einfaches Formular zur Verfügung, das Sie der Reihe nach mit folgendenDaten füttern:• Autoritätsname: Hier geben Sie den Namen des Anwenders an, der dasZertifikat erstellt, also beispielsweise Netzwerkadministrator.• E-Mail-Adresse: Hier hinterlegen Sie dessen E-Mail-Adresse.• Abteilung: Hier die Abteilung.• Organisation: Hier ist Platz für den Firmennamen oder eine vergleichbareInformation.• Bundesland: Das Formular will auch das Bundesland des Standorts wissen.• Ländercode: In dieses Feld geben Sie beispielsweise GER für Deutschlandein.• RSA-Schlüsselgrösse: Abschließend bestimmen Sie die Schlüsselgröße.Mit dem Standardwert 512 Bits sind Sie in der Regel gut bedient.Das Erstellen eines neuen CA-Zertifikats.Verfügen Sie bereits über eine CA im PEM-Format, so können Sie diese einfach indas untere Textfeld kopieren. Wenn Sie eine erste CA erstellt haben, stellt Ihnendieses Formular zusätzlich die Schaltfläche Zertifikatautorität herunterfahren zurVerfügung. Verwenden Sie diese Schaltfläche, damit Webmin keine existierendenWebmin kompakt

72 Webmin-ModuleZertifikate mehr akzeptiert oder neue ausstellt. In diesem Fall zwingen Sie Benutzer,sich stattdessen mit Benutzernamen und Kennwort anzumelden.2.3.21 ModulkonfigurationWie die meisten anderen Module verfügt auch das Webmin-Konfigurationsmenüüber eine Modulkonfiguration. Die Einstellungen für dieses Modul sind allerdingsrecht bescheiden:• URL der Standardmodul-Liste: Hier legen Sie fest, von welcher Quellesich Ihre Webmin-Installation die Liste der Standardmodule holt. BeimEinsatz im Unternehmen kann es durchaus sinnvoll sein, dass Sie eineneigenen Satz an Standardmodulen zusammenstellen und diese dann anderenWebmin-Anwendern zur Verfügung stellen.• URL der Drittanbieter-Webmin-Modulliste: Entsprechend kann auchdie Liste der Module von Drittanbietern definiert werden.• Zeige Aktualisierungszeiten als: Hier haben Sie die Wahl zwischen zweiAnzeigeformaten.• Hole Liste der Webmin-OSDN-Mirrorseiten? Standardmäßig holt sichdie Webmin-Installation die Liste der Webmin-Spiegel. Das erleichtertden Zugriff auf Updates etc.Die Konfiguration des Webmin-Konfigurationsmoduls.2.4 Webmin-Benutzer und -GruppenEs versteht sich von selbst, dass es für so ein komplexes Programm wie Webminam besten ist, spezielle Benutzer für unterschiedliche Aufgabenbereiche zu definie-www.brain-media.de

Webmin-Benutzer und -Gruppen 73ren. Dabei unterstützt Sie Webmin mit einer leistungsfähigen Benutzer- und Gruppenverwaltung.Schauen wir uns also an, wie man Benutzer erzeugt und diesenklare Grenzen setzt.Ein erster Blick auf die Webmin-Benutzerverwaltung.In der Webmin-Kategorie finden Sie den Eintrag Webmin-Benutzer, über den Siealle benutzerspezifischen Aufgaben erledigen, und die Webmin-Gruppe Remote-Admin. Standardmäßig kennt Ihre Webmin-Installation nur einen Benutzer, denAdministrator, der den Benutzernamen admin besitzt. Dieser hat, wie der Root-User, Vollzugriff auf das System und kann alle erdenklichen Funktionen nutzen.Auf Einzelplatzsystemen, die von keinen weiteren Benutzern genutzt werden, magdas genügen, doch in der Regel wollen oder müssen andere Anwender mit IhrerWebmin-Installation arbeiten.Dank der Webmin-Benutzerverwaltung können Sie administrative Aufgaben wunderbardelegieren, denn auch ein Remote-Zugriff auf die Webmin-Installation istnatürlich möglich. Da Sie diesen Hilfs-Administratoren nicht umfassende Admin-Rechte einräumen dürfen, sollten Sie sich mit der Webmin-Benutzerverwaltungauseinandersetzen.Hier einige Beispiele, was Sie alles mit der Benutzerverwaltung anfangen können:Webmin kompakt

74 Webmin-Module• Erzeugen eines Benutzers, der lediglich die Einstellungen von virtuellenApache-Servern konfigurieren kann.• Beschränken des Zugriffs für einen oder mehrere Benutzer auf eineMySQL-Datenbank.• Erlauben, dass Benutzer Druckjobs starten und löschen können, nicht aberZugriff auf die Druckereinstellungen haben.• Erlauben, dass ein Benutzer in eingeschränktem Rahmen neue Benutzererstellen kann.Sie sehen: Es gibt eine ganze Menge Dinge, die Sie mit der Benutzerverwaltungsehr fein steuern können. Nun liegt es an Ihnen, diese Möglichkeiten effektiv auszuschöpfen.Generell sollten Sie sehr vorsichtig bei der Vergabe von weitreichendenRechten sein, denn schnell sind die Restriktionen ausgehebelt.2.4.1 Neuen Benutzer anlegenWebmin unterscheidet zwischen der Benutzer- und der Gruppenverwaltung. In derBenutzerübersicht präsentiert Ihnen Webmin den bislang einzigen Benutzer admin.Um einen weiteren Benutzer zu erstellen, klicken Sie auf Neuen Benutzer anlegen.Ein Blick auf das zugehörige Formular zeigt Ihnen, warum Sie so flexibel bei derZuweisung von Benutzerrechten sind: Die Konfigurationsmöglichkeiten sind sehrumfangreich.Auf dem Formular weisen Sie dem neuen Benutzer zunächst einen Benutzernamenund ein Kennwort über die gleichnamigen Textfelder zu. Sind auf Ihrem Systembereits erste Gruppen (oder zumindest eine erste) erstellt, so finden Sie neben demBenutzernamensfeld die Gruppenauswahl. Sie können den neuen Benutzer alsogleich auch einer bestimmten Gruppe zuweisen.Bei der Vergabe des Passworts sollten Sie die Option Unix-Authentifizierung verwenden,wenn der neue Benutzer den gleichen Namen wie ein bereits existierenderSystembenutzer hat. In diesem Fall verwendet Webmin PAM bzw. die Datei/etc/shadow für die Authentifizierung. Wenn Sie verhindern wollen, dass sich einBenutzer einloggen kann, wählen Sie die Option Kein Passwort akzeptieren.www.brain-media.de

Webmin-Benutzer und -Gruppen 75Das Anlegen eines Webmin-Benutzers.Die weiteren Einstellungen:• SSL-Zertifikatsname: Hier weisen Sie dem neuen Benutzer einen Zertifikatsnamenzu, der in der Zertifikatverwaltung hinterlegt ist. Die Authentifizierungerfolgt dann auf Grundlage dieser Angabe.• Sprache: Über diesen Schalter können Sie dem Benutzer eine andere alsdie Standardsprachvariante zuweisen. Bevorzugt einer Ihrer Benutzer beispielsweisedie englische oder französische Variante, so weisen Sie diesemdie entsprechende Variante zu.• Module in Kategorien aufteilen? Sollen dem Benutzer die für ihn freigeschaltetenModule ebenfalls in der typischen Gruppierung präsentiertwerden, so behalten Sie die Konfiguration Standard bei.• Zeit für Inaktivitätsabmeldung: Mit dieser Konfiguration können Sieeinen Benutzer nach einer bestimmten Zeitspanne, in der keine Datenzwischen ihm und der Webmin-Installation übertragen werden,herauskicken. Dabei können Sie die Anzahl an Minuten definieren oderden oben definierten Standardwert verwenden.Webmin kompakt

76 Webmin-Module• Persönliches Design: Auch die Zuweisung eines der installierten Themesist hier möglich. Wenn Sie wissen, dass ein Benutzer beispielsweise miteinem PDA oder einem Subnotebook auf das System zugreift, so könnenSie ihm beispielsweise das „alte“ Webmin-Theme zuweisen.• IP-Zugriffskontrolle: Wenn Sie Webmin in einem lokalen Netzwerk betreibenoder die Zugreifenden über statische IP-Adressen verfügen, könnenSie über dieses Feld diesen den Zugriff gewähren bzw. verwehren.Standardmäßig erlaubt Webmin den Zugriff von allen Adressen.• Allowed days of the week: Diese wie auch die folgende Option ist leidernicht eingedeutscht. Hier können Sie den Zugriff auf bestimmte Wochentageund Zeiten beschränken. Mitarbeiter, die nur zu „normalen“ Bürozeitenmit dem System arbeiten, sollten Sie entsprechend konfigurieren, damitSie nicht am Wochenende Zugang zu dem System haben.• Module: Es folgt die umfangreiche Modulliste, in der Sie bestimmen,welche Module der neue Benutzer einsetzen darf. Die Module sind nachden bekannten Standardkategorien zusammengefasst.Am Fußende des Formulars finden Sie drei weitere nützliche Funktionen, mit denenSie dem neuen User beispielsweise durch einen einzigen Mausklick globaleRechte einräumen können. Sie speichern die Einstellungen mit einem Klick aufSpeichern.Das nachträgliche Bearbeiten der Benutzereinstellungen ist ebenfalls recht einfach:Öffnen Sie einfach die Konfiguration durch einen Klick auf den Benutzernamen.2.4.2 ModulberechtigungenWenn Sie sich die Beispiele für die Benutzereinstellungen in Erinnerung rufen, dieoben aufgeführt sind, so fragen Sie sich vermutlich, wie man nun die feinen Steuerungenvornimmt. Mit der Auswahl eines Moduls hat der neue Benutzer zunächsteinmal die gleichen Rechte wie der Admin. Also müssen Sie die zulässigen Berechtigungenpro Modul einschränken. Dies sollten Sie angehen, nachdem Sie denBenutzer erstellt, ihm Module zugewiesen und seinen Eintrag gespeichert haben.www.brain-media.de

Webmin-Benutzer und -Gruppen 77Die Modul-Zugriffskontrolle.Für jedes Modul steht Ihnen eine eigene Modul-Zugriffskontrolle zur Verfügung.Auf diese greifen Sie zu, indem Sie den Moduleintrag anklicken. In voranstehenderAbbildung sind beispielsweise die verfügbaren Einstellungen für das MySQL-Modul dargestellt.Im Fall des MySQL-Datenbankservers können Sie zunächst einmal festlegen, obder Benutzer die Moduleinstellungen bearbeiten darf. Als Nächstes können Sieeine Fülle weiterer Einstellungen bearbeiten. Dazu gehört beispielsweise, welcheDatenbanken der Benutzer verwalten und löschen darf. Sie können dem Benutzeraußerdem das Recht zuweisen, den Server anzuhalten oder zu starten bzw. Datenzu bearbeiten.Sie können weitere Berechtigungen definieren:• Darf neue Datenbanken anlegen?• Darf Rechte bearbeiten?• Anmelden an MySQL als Benutzername aus Modulkonfiguration• Erzeuge Datensicherung als Unix-Benutzer• Anlegen von Verzeichnis für DatensicherungenWebmin kompakt

78 Webmin-ModuleWelche Berechtigungen Sie dem neuen Benutzer zuweisen, ist natürlich maßgeblichvon dessen Aufgabenbereich und dessen Kenntnissen abhängig.Damit Sie einen Eindruck von den vielfältigen Funktionen bekommen, schauen wiruns noch exemplarisch zwei weitere Module und deren Berechtigungen an: Sambaund Netzwerkeinstellungen.2.4.3 Samba-ModulberechtigungenFür Samba steht Ihnen ein sehr umfangreiches Set an Anpassungen zur Verfügung.Als Erstes steht die Standardfrage an, ob Sie dem Benutzer die Modulkonfigurationerlauben wollen. Erst wenn Sie dies mit Ja beantworten, stehen Ihnen die weiterenEinstellungen zur Verfügung.Ein Ausschnitt aus den umfangreichen Samba-Einstellungen.Die Konfiguration des Samba-Moduls besitzt vier Bereiche für unterschiedlicheAspekte. Zunächst sind die allgemeinen Samba-Zugriffskontrolleinstellungen dran.Hier können Sie folgende Berechtigungen zuweisen bzw. unterbinden:• Verbindungen anzeigen• Verbindungen trennen• UNIX-Einstellungen verändernwww.brain-media.de

Webmin-Benutzer und -Gruppen 79• Windows-Einstellungen ändern• Authentifizierungseinstellungen ändern• Druckereinstellungen verändern• Erweiterte Einstellungen bearbeitenEs folgen drei weitere Bereiche:• Einstellungen für verschlüsselte Passwörter: Hier legen Sie beispielsweisefest, ob der Benutzer die SAMBA-Benutzerdatenbank anzeigen,Benutzer bearbeiten, konvertieren und synchronisieren darf.• Gruppen-Optionen: Entsprechend können Sie für den Benutzer festlegen,ob dieser Gruppen ansehen, betrachten oder editieren darf. Auch derZugriff auf Datei- und Druckerfreigaben kann hier definiert werden.• Freigabebezogene ACLs: Hier legen Sie für die verschiedenen Freigaben(global, homes, profiles, users etc.) Zugriffs- und Freigabeeinstellungenfest. Sie können in der Regel den Zugriff gewähren, das Bearbeiten erlaubenoder nur das Lesen der Daten bzw. Einstellungen zulassen.Generelles zu den BerechtigungenNicht ganz so einfach ist die Frage zu beantworten, wie man am besten mit derFülle an Einstellungen umgeht. Wenn Sie sich die Standardberechtigungen für dasSamba-Modul ansehen, stellen Sie fest, dass diese eine Vielzahl, um genau zu seindie meisten Einstellungen und Anpassungen zulässt.Von derart „großzügigen“ Einstellungen sollten Sie sich verabschieden – zumindest,wenn Sie Webmin in einer Produktionsumgebung einsetzen. Sie sollten zunächstalle jene Einstellungen bzw. Beschränkungen setzen, von denen Sie wissen, dassSie für den Benutzer nicht oder noch nicht benötigt werden. Berechtigungen, beidenen Sie unschlüssig sind, sollten sicherheitshalber deaktiviert werden.Schauen wir uns noch die Berechtigungen für die Netzwerkkonfiguration an. Diesestellt Ihnen rund vierzehn Einstellungen zur Verfügung. Über die Modulberechtigunglegen Sie beispielsweise fest, ob der Benutzer Netzwerkschnittstellen bearbeitendarf oder nicht, und falls ja, welche Schnittstelleneinstellungen editierbarsind. Über das Textfeld Interfaces except legen Sie fest, welche nicht bearbeitetwerden dürfen.Webmin kompakt

80 Webmin-ModuleDie Modul-Berechtigungen für die Netzwerkeinstellungen.Sie können den Benutzern außerdem die Anpassung der Host-Adressen, das Editierender Netzmaske und der MTU erlauben. Auch hier gilt: Seien Sie behutsam mitder Freigabe weitreichender Einstellungen.Das Anlegen einer Webmin-Gruppe ist fast noch einfacher: Klicken Sie dazu aufden Link Erzeuge eine neue Webmin-Gruppe. Im zugehörigen Dialog weisen Siedieser eine Bezeichnung und die Module zu. Wie Sie es von der Benutzerverwaltungkennen, können Sie der neuen Gruppe in einem Aufwasch alle Module zuweisenoder die Auswahl umkehren. Nachdem die erste Gruppe erzeugt wurde, könnenSie auch bei dieser die Modulberechtigungen bearbeiten.Die Benutzerverwaltung stellt Ihnen fünf weitere benutzerspezifische Funktionenzur Verfügung, die Ihnen die Benutzerverwaltung vereinfachen:• Konvertiere Unix- zu Webmin-Benutzern: Über dieses Formular machenSie bestehende Systembenutzer quasi per Knopfdruck zu Webmin-Benutzern. Einfacher geht es kaum. Sie können alle Unix-Benutzer, nurbestimmte User, Gruppen und Benutzer eines UID-Bereichs importieren.Wenn Sie eine Webmin-Gruppe erzeugt haben, können Sie die zu importierendenBenutzer gleich einer Gruppe zuweisen.• Konfiguriere Unix-Benutzer-Synchronisation: Mit den Funktionen diesesFormulars vereinfacht sich die zukünftige Benutzeradministrationdeutlich, denn Sie können Webmin- und Systembenutzer nach bestimm-www.brain-media.de

Webmin-Benutzer und -Gruppen 81ten Kriterien synchronisieren. Sie können insbesondere folgende Aktionenmiteinander kombinieren:oooEinen Webmin-Benutzer erzeugen, wenn ein Unix-Benutzer erzeugtwird.Den zugehörigen Webmin-Benutzer löschen, wenn ein Unix-Benutzer gelöscht wird.Das Passwort für neue Benutzer auf das UNIX-Passwort setzen.Außerdem können Sie neue Benutzer immer auch direkt einer Webmin-Gruppezuweisen:• Konfiguriere Unix-Benutzer-Authentifizierung: Hier können SieWebmin so konfigurieren, dass die Anmeldeversuche gegen die System-Benutzerliste und PAM abgeglichen werden. Dies kann nützlich sein,wenn Sie eine große Anzahl bestehender Unix-Benutzer haben, denen SieZugriff auf Webmin geben wollen. Auch bei diesem Formular können Siewieder Restriktionen setzen.• Zeige angemeldete Sitzungen: Über diesen Link gelangen Sie zur Listeder aktuell angemeldeten Benutzer. Hier werden Ihnen neben der Session-ID der Benutzername, die IP-Adresse und der Zeitpunkt der Anmeldungangezeigt. Außerdem können Sie die Ereignisse eines Benutzers abrufen.Ein Klick auf den Link Zeige Aufzeichnungen führt Sie zu der Übersichtder Aktionen, die der Benutzer durchgeführt hat (diese wird übrigens überdie Ereignisanzeige konfiguriert). Über die Sitzungsliste können Sie dieBenutzer auch dazu zwingen, sich neu anzumelden. Klicken Sie dazu einfachauf den Sitzungs-ID-Eintrag.• Setup RBAC: Die RBAC(Role Based Access Control)-Integration in dieWebmin-Software unterstützt die Verlagerung von ACLs auf bestimmteoder alle Module in eine RBAC-Datenbank. Ist RBAC aktiviert, werdendie zulässigen Benutzeraktionen durch RBAC und nicht mehr durchWebmin geregelt. Allerdings wird RBAC laut Webmin-Schnittstelle derzeitnur von der Solaris-Variante des Admin-Tools unterstützt.Webmin kompakt

82 Webmin-ModuleÜber den Link Zeige Aufzeichnungen gelangenSie zur Ereignisanzeige des jeweiligen Benutzers.2.5 Die Webmin-EreignisanzeigeEin wesentliches Element für die Überwachung Ihrer Webmin-Umgebung ist dieWebmin-Ereignisanzeige. Vorausgesetzt, die Protokollierung ist in der Webmin-Konfiguration aktiviert, können Sie nahezu jede Aktion auf Ihrem System protokollierenund zu einem späteren Zeitpunkt verfolgen. Was genau aufgezeichnetwird, bestimmen Sie in der Webmin-Konfiguration. Standardmäßig werden beispielsweisealle Ereignisse der Benutzer und der Module aufgezeichnet.Definition der Ereignisanzeige.www.brain-media.de

Webmin-Server 83Das Formular für die Ausgabe der Ereignisanzeige sieht standardmäßig die Ausgabealler Benutzeraktionen in jedem Modul vor. Mit dieser Konfiguration sind Siegut bedient. Problematisch ist hingegen die Konfiguration des Aufzeichnungszeitpunkts,denn sie ist nur für den aktuellen Tag konfiguriert.Wenn Sie die Ereignisse eines längeren Zeitraums betrachten wollen, so verwendenSie den Wert Zu jeder Zeit. Alternativ lässt sich die Anzeige auch auf einenbestimmten Zeitraum einschränken.Mit einem Klick auf die Schaltfläche Suche leiten Sie die Recherche ein. Die Protokolldatenstammen übrigens aus der Datei /var/webmin/webmin.log. Je nachLinux-Distribution oder Installationsvariante können Sie auch in einem anderenVerzeichnis zu finden sein, beispielsweise in /var/log/webmin.In der Ergebnisliste können Sie sich dann einen Eintrag genauer ansehen, indemSie diesen anklicken. In der Detailansicht zeigt Ihnen Webmin folgende Informationenan:• Beschreibung• Webmin-Modul• Besitzer• Sitzungs-ID• Client-IP- oder Hostname• Datum und UhrzeitFür die technisch interessierten Anwender ist sicherlich die Information Erzeugtvon Skript interessant. Hier führt die Anzeige das ausgeführte Webmin-Skript samtPfad (innerhalb der Webmin-Installation) auf.2.6 Webmin-ServerWenn Sie ein großes Netzwerk verwalten, das beispielsweise die Infrastruktur fürmehrere Abteilungen bereitstellt, so wisse Sie möglich bereits die Cluster-Bildungund zentrale Server-Administration zu schätzen. In der Webmin-Kategorie findenSie mit dem Eintrag Webmin-Server die passenden Funktionen.Das Modul Webmin-Server kann prinzipiell zwei Aufgaben abdecken, eine komplexeund eine weniger komplexe. Sie können damit eine Art Webmin-Server-Index erstellen, der alle in Ihrem Netzwerk betriebenen Webmin-Server aufführt.Webmin kompakt

84 Webmin-ModuleÜber diesen Index haben Sie auch Zugriff auf die verschiedenen Server. Dazumuss natürlich auf dem jeweiligen System ein Webmin-Server installiert sein undder Server muss ein spezifisches RPC-Protokoll unterstützen.Die Serverliste, die Sie mit der zentralen Webmin-Installation verwalten.2.6.1 Neuen Server hinzufügenUm einen neuen Server hinzuzufügen, führen Sie folgende Schritte aus:1. Klicken Sie auf den Link Neuen Server registrieren.2. In das Textfeld Hostname geben Sie die Server-Bezeichnung oderaber die zugehörige IP-Adresse ein.3. Geben Sie als Nächstes unter Port den Port des gewünschten Serversan. In der Regel horcht dieser auf 10000.4. Dann bestimmen Sie über das Auswahlmenü Server-Typ das Betriebssystem,das auf dem Rechner verwendet wird. Das Auswahlmenüstellt Ihnen alle relevanten Linux-Varianten zur Verfügung.www.brain-media.de

Webmin-Server 855. Server-zu-Server-Verbindungen sollten möglichst per SSL gesichertwerden. Dazu aktivieren Sie die Verwendung mit der gleichnamigenOption. Auch hierfür muss die Komponente Net::SSLeay installiertsein, da sonst kein gesicherter Verbindungsaufbau möglich ist.6. Dann geben Sie optional in das Feld Beschreibung eine aussagekräftigeKennung für den Server an. Benennen Sie ihn beispielsweisenach der Abteilung, dem Raum, in dem er aufgestellt ist, oder nachseinem Aufgabenbereich.7. Wenn Sie eine regelrechte Webmin-Server-Farm verwalten, so solltenSie diese in Gruppen einteilen. Das vereinfacht die Verwaltung. GebenSie gegebenenfalls eine Gruppenbezeichnung an.8. Das Feld Verbindung ist das wichtigste Feld des gesamten Formulars,denn es legt fest, wie der neue Server verwendet wird. Es legt fest, obder Server im Cluster- und im System-Modus verwendet wird. Siehaben die Wahl zwischen folgenden Optionen:• Normale Verbindung zum Server: Bei dieser Option könnenkeine RPC-Calls an den anderen Server übermittelt werden.Der Server-Eintrag stellt letztlich nicht mehr als einen „normalen“Link dar.• Anmelden über Webmin mit Benutzername Passwort: EntscheidenSie sich für diese Option, wenn Sie die RPC-Unterstützung von Webmin für den Zugriff nutzen wollen.Für den Zugriff sind Benutzername und Passwort erforderlich.Der Benutzer muss in der Regel root oder admin heißen,da andere Benutzer nicht RPC nutzen dürfen (außer, Siebesitzen entsprechende Rechte).• Anmelden beim Klicken auf Button: Verwenden Sie dieseOption, wenn ein Verbindungsaufbau per RPC nicht möglichist.9. Wenn Sie sich für die Option Anmelden beim Klicken auf Button entschiedenhaben, können Sie schließlich festlegen, ob Webmin dasneuere und schnellere RPC-Protokoll für die Verbindungsaufnahmeverwenden soll oder nicht. Behalten Sie am besten die StandardeinstellungEntscheide automatisch bei. In diesem Fall handeln die beidenWebmin-Server untereinander aus, wie Sie miteinander kommunizieren.Webmin kompakt

86 Webmin-Module10. Mit einem abschließenden Klick erzeugen Sie den neuen Server, denSie dann in der Server-Liste finden.Ein neuer Server wird in die Server-Liste eingetragen.Die Server-Verwaltung hat noch weitere interessante Funktionen zu bieten, die Sieunterhalb der Server-Liste finden. Mit einem Klick auf die Schaltfläche Broadcastfür Server macht sich Ihr Webmin-Server auf die automatische Suche nach weiterenWebmin-Servern in Ihrem lokalen Netzwerk. Das funktioniert aber erst abWebmin 0.75.Sie können auch gezielt nach Servern suchen, indem Sie das Netzwerksegmentangeben, in dem gesucht werden soll.Als Nächstes füttern Sie das Formular mit dem Benutzernamen und dem Passwortfür den Zugriff auf den Server. Außerdem können Sie einen Suchautomatismuseinführen, mit dem Ihr Netzwerk in regelmäßigen Abständen auf neue Server untersuchtwird. Dazu klicken Sie auf die Schaltfläche Automatically find servers undfüllen das nachfolgende Formular aus, in dem Sie beispielsweise das Netzwerkvorgeben, in dem gesucht werden soll.www.brain-media.de

Modulkonfiguration 872.7 ModulkonfigurationAuch das Modul Webmin-Server besitzt wieder eine eigene Modulkonfiguration. Inder legen Sie beispielsweise fest, ob die Adressen aufgelöst werden, in welcherForm die Server angezeigt werden (als Icons oder Tabelle) und in welcher Sortierungdie Server aufgeführt werden (IP-Adresse, erstellte Reihenfolge etc.). Siekönnen außerdem den Standard-Server-Typ und den Standard-RPC-Modus bestimmen.Damit haben Sie alle Webmin-spezifischen Funktionen kennengelernt. Sie wissen,wie Sie den Server an Ihre Bedürfnisse anpassen, Benutzer verwalten und wie Siedie Ereignisanzeige nutzen können. Damit sind Sie bestens gerüstet, um sich denSystemeinstellungen zu widmen.Webmin kompakt

88 Webmin-Modulewww.brain-media.de

893 Benutzer und GruppenDie Kategorie System ist so etwas wie die Systemsteuerung Ihres Linux-Systems.Hier steht Ihnen eine Vielzahl an Funktionen für die Konfiguration Ihrer Linux-Installation zur Verfügung. Sie reichen von der Benutzerverwaltung über die Backup-Funktionen,die PAM-Authentifizierung, die verschiedenen Sicherheitsdiensteund System-Protokolldateien. Sie sehen: Eine ganze Menge, meist sicherheitsrelevanteFunktionen für die Anpassung des Systems.Die System-Einstellungen im Überblick.In der Systemkategorie von Webmin 1.3x finden Sie zwanzig verschiedene Einstellungen,die es zu erforschen und zu nutzen gilt.Webmin kompakt

90 Benutzer und Gruppen3.1 BenutzerverwaltungBenutzer sind in der Regel Anwender, die sich per Benutzername und Passwort aufeinem System anmelden und auf bzw. mit diesem arbeiten. Benutzer können darüberhinaus weitere Eigenschaften besitzen, beispielsweise einen realen Namen,eine Gruppenzugehörigkeit oder auch ein „Verfallsdatum“.Als Linux-Anwender wissen Sie vermutlich, dass Ihr System über einige Standard-Accounts wie admin, mail, ftp etc. verfügt. Sicherlich kennen Sie auch den Benutzerroot mit seinen umfassenden Rechten. Vermutlich ist auch die Gruppenverwaltungnichts Neues für Sie.Die Benutzer- und Gruppeneinstellungen werden in der Regel im Verzeichnis /etcabgelegt. Konkret in /etc/passwd und /etc/shadow. Die Gruppeneinstellungen inder Datei /etc/group. Das Webmin-Modul Benutzer und Gruppen dient dem Editierendieser Dateien.Die typische Benutzerliste.www.brain-media.de

Benutzerverwaltung 91Problematisch wird die Sache allerdings, wenn Sie Ihre Benutzer und Gruppen mitNIS oder LDAP verwalten. In diesem Fall ist das Modul leider nicht zu gebrauchen.Mit dem Benutzer- und Gruppen-Modul können Sie alle relevanten Aktionen beider Benutzerverwaltung durchführen. Sie können neue Benutzer und Gruppenanlegen, bestehende bearbeiten und löschen. Wenn Sie auf das Modul zugreifen,listet es alle bestehenden Benutzer und Gruppen auf. Für jeden Eintrag können Sieverschiedene Einstellungen bearbeiten:1. Benutzerdetails2. Kennworteinstellungen3. Gruppenzugehörigkeit4. Speichern-EinstellungenDas Erstellen eines neuen Benutzers ist recht einfach. Führen Sie dazu einfachfolgende Befehle aus:1. Klicken Sie zunächst auf den Verweis Neuen Benutzer erstellen. In demzugehörigen Formular stehen im Wesentlichen die gleichen Funktionenwie beim Editieren eines Beitrags zur Verfügung.2. Unter Benutzerdetails bestimmen Sie den Benutzernamen, gegebenenfallsden tatsächlichen Namen (das empfiehlt sich, um Benutzer und realenAnwender besser zuordnen zu können).3. Dann legen Sie fest, welche Shell dem Benutzer zur Verfügung stehensoll. Standardmäßig ist das /bin/sh. Über das Textfeld Andere können Sieeinen alternativen Pfad angeben.4. Damit Linux die Benutzer klar voneinander unterscheiden kann, benötigendiese eindeutige Bezeichner. Hier haben Sie die Wahl, ob die User-ID, kurz UID automatisch bzw. errechnet werden soll oder ob Sie eine eigeneAngabe verwenden wollen. Im Fall der automatischen Zuweisungwird dem Benutzer eine ID zugewiesen, die auf den bestehenden basiert.Wenn Sie sich für die Option Errechnet entscheiden, wird die ID mittelseines Prüfsummenalgorithmus errechnet.5. Beachten Sie Folgendes: Root besitzt immer die UID Null. Wenn Sie einemanderen Benutzer ebenfalls die Null zuweisen, erhält er die gleichenRechte wie Root.Webmin kompakt

92 Benutzer und GruppenEin neuer Benutzer wird angelegt.6. Es folgen mit der Kennwort-Konfiguration die letzten Benutzerdetails. Siehaben die Wahl zwischen folgenden Optionen:• Kein Kennwort benötigt: In diesem Fall kann sich der Benutzer ohneAngabe eines Passworts einloggen. Diese Option sollten Sie höchstenszu Testzwecken verwenden.• Keine Anmeldung erlaubt: Mit diesem Schalter ist der Account gesperrtund der Benutzer kann sich nicht einloggen.• Klartextkennwort: Mit diesem Textfeld hinterlegen Sie das Passwortim Klartext, also unverschlüsselt.• Vorverschlüsseltes Kennwort: Hier geben Sie ein bereits verschlüsseltesPasswort ein, wie Sie es in der Datei /etc/shadow finden.In der Regel verwendet man die Option Klartextkennwort. Das genügtmeist. Unabhängig von der Passwortvariante können Sie einen Accountmit dem Schalter Login temporarily disabled deaktivieren, beispielsweiseum Wartungsarbeiten durchzuführen.7. Es folgen die Kennworteinstellungen. Hier legen Sie zunächst fest, wanndas Kennwort das letzte Mal durch Webmin oder durch das passwd-www.brain-media.de

Benutzerverwaltung 93Programm geändert wurde. Sie können unter Ablaufdatum einen Zeitpunktfestlegen, an dem das Passwort nicht mehr gültig ist. Der Einsatzdieser Funktion ist beispielsweise bei temporären Accounts für Praktikantenoder externe Kräfte sinnvoll.8. Die weiteren Kennworteinstellungen sprechen für sich: Mit Minimale undMaximale Anzahl an Tagen bestimmen Sie den Zeitraum, nach dem dasPasswort geändert werden muss. Sie sollten den Anwender außerdem vorAblauf des Passwortes warnen. Mit der Einstellung Inaktive Tage legenfest, wie viele Tage nach Ablauf des Werts Maximale Tage vergehen, bisder Account deaktiviert wird. Wenn Sie das Feld Inaktive Tage frei lassen,läuft der Account nie ab.9. Dann sind die Einstellungen für die Gruppenzugehörigkeiten dran, wodurchSie die primäre und gegebenenfalls die sekundäre Gruppe des neuenLinux-Anwenders bestimmen. Der neue Benutzer wird standardmäßigder Gruppe users hinzugefügt. Sie können aber auch mit dem TextfeldNeue Gruppe eine neue festlegen.10. Es folgen die Beim-Erstellen-Einstellungen. Standardmäßig wird für denneuen Benutzer mit Erstelle Stammverzeichnis ein Home-Verzeichnis erzeugt.11. Wenn Sie die Option Kopiere Dateien zu Stammverzeichnis wählen, sowerden in dessen Home-Verzeichnis beispielsweise Dateien wie .profileoder Desktop erzeugt.12. Soll der Benutzer auch andere Module nutzen können, so setzen Sie dieletzte Option Benutzer in anderen Modulen anlegen auf Ja.13. Sie speichern Einstellungen mit einem Klick auf Erstellen. Sie landen automatischin der Benutzerübersicht, in der Sie nun auch den neuen Eintragfinden.Das Editieren eines Benutzers ist wieder sehr einfach: Klicken Sie auf den gewünschtenBenutzereintrag und bearbeiten Sie die Einstellungen entsprechendIhren Wünschen.Ebenso einfach ist das Löschen. Markieren Sie nicht mehr benötigte Benutzer undklicken Sie am Ende der Benutzerliste auf die Schaltfläche Lösche ausgewählteBenutzer.Webmin kompakt

94 Benutzer und Gruppen3.2 Gruppe erstellenUnterhalb der Benutzerliste finden Sie die Gruppenverwaltung. Um eine neueGruppe zu erzeugen, gehen Sie wie folgt vor:1. Folgen Sie dem Link Neue Gruppe erstellen.2. Im Dialog Gruppe anlegen weisen Sie der Gruppe eine Bezeichnung zu.3. Auch hier kann die Gruppen-ID-Vergabe automatisch oder manuell erfolgen.4. Als Nächstes können Sie drei Kennworteinstellungen definieren (keinKennwort, vorverschlüsseltes Kennwort, Klartextkennwort).5. Über das Auswahlmenü Mitglieder weisen Sie der neuen Gruppe bereitsbei ihrer Entstehung die ersten Mitglieder zu.Eine neue Benutzergruppe entsteht mithilfe von Webmin.Der Dialog für das Erstellen bietet eine letzte Einstellung, die Sie bereits von derBenutzerverwaltung kennen: Sie können die Gruppe in allen Modulen einrichten.Mit einem abschließenden Klick auf Erstellen ist die erste Gruppe erzeugt. In derGruppenliste können Sie die Einträge ebenfalls wieder löschen und editieren.www.brain-media.de

Log-ins abrufen 953.3 Log-ins abrufenÜber die Benutzer- und Gruppenverwaltung können Sie weitere nützliche Aktionendurchführen. Am Fuße der Seite finden Sie die Schaltfläche Angemeldete Benutzer.Ein Klick auf sie zeigt die aktuell eingeloggten Linux-Benutzer. Mit einemweiteren Klick auf den Benutzernamen rufen Sie Details zum An- und Abmeldezeitpunktab.Wenn Sie sich für die Anmeldungen eines bestimmten Benutzers interessieren, sowählen Sie am Formularende über den Auswahldialog einen Benutzer aus undrufen mit einem Klick auf Zeige Anmeldungen für dessen Login-Vorgänge an.Dank Webmin können Sie auch Benutzer von Batch-Dateien erstellen.Ein weiteres Highlight: das Erstellen von Benutzern im Batchmodus. Folgen Siedazu dem Link Benutzerverwaltung über Skript. Auf der zugehörigen Seite könnenSie mehrere Benutzer auf einmal durch ein Skript anlegen, ändern oder löschen.Die Skriptdatei ist eine ASCII-basierte Datei, wobei jede Zeile in dieser Datei einedurchzuführende Aktion spezifiziert. Die möglichen Formate sind:create:username:passwd:uid:gid:realname:homedir:shell:min:max:warn:inactive:expireWebmin kompakt

96 Benutzer und Gruppenmodify:oldusername:username:passwd:uid:gid:realname:homedir:shell:min:max:warn:inactive:expiredelete: usernameDiese bedürfen natürlich der Erläuterung:• Mit den create-Zeilen weist Webmin automatisch eine User-ID zu, fallsdas UID-Feld nicht ausgefüllt wird. Ist das GID-Feld leer, erzeugtWebmin eine neue Gruppe mit dem gleichen Namen wie der angegebeneBenutzer.• Die Felder username, homedir und shell müssen immer ausgefüllt werden,alle anderen Angaben sind optional. Wenn Sie das passwd-Feld nichtausfüllen, wird dem Benutzer kein Passwort zugewiesen. Wenn Sie indiesem Feld nur ein x eintragen, wird das entsprechende Benutzerkontogesperrt. Ansonsten wird der Inhalt dieses Feldes als Klartextpasswort interpretiertund verschlüsselt.• In den modify-Zeilen bedeutet ein leerer Eintrag, dass das entsprechendeBenutzerattribut nicht verändert werden soll.Schauen wir uns noch ein Beispiel an, das zeigt, wie man diese Funktionen nutzt:create: holger:geheim:1001::HolgerReibold:/home/holger:/bin/bash::::::In diesem Beispiel wird der Benutzer holger mit dem Passwort geheim, der ID1001 und dem Realnamen Holger Reibold erstellt. Alle Eigenschaften wie Ablaufdatum(expire) etc., die Sie nicht verwenden, bleiben einfach leer. Daher auchmehrere Doppelpunkte am Ende der Beispielzeile.Für die Ausführung des Skripts gibt es mehrere Möglichkeiten: Sie können es aufden Server uploaden, es von einer Datei auf dem Server ausführen oder aber denCode in das dafür vorgesehene Textfeld eingeben. Die Ausführung des Skriptsstarten Sie mit einem Klick auf die Schaltfläche Skript ausführen.Die weiteren Optionen für die Ausführung einer Batch-Datei:www.brain-media.de

Log-ins abrufen 97• Benutzer in anderen Modulen bearbeiten? Diese Option kennen Siebereits von anderen Modulen und Webmin-Funktionen. Hier legen Siefest, ob der oder die neuen Benutzer auch für andere Webmin-Moduleeingetragen werden.• Nur aktualisieren, wenn Stapelverarbeitungsdatei komplett ist? DieseOption ist standardmäßig auf Nein gesetzt. Die Benutzerverwaltung wirdauch dann aktualisiert, wenn die Batch-Datei Lücken aufweist.• Erstelle Stammverzeichnis? Mit der Option Ja wird standardmäßig auchein Home-Verzeichnis für den bzw. die neuen Benutzer erzeugt.• Kopiere Dateien zu Stammverzeichnis? Hier legen Sie fest, ob die Dateienins Stammverzeichnis kopiert werden sollen.• Stammverzeichnis von geänderten Benutzern umbenennen? Mit derBatchdatei können Sie auch bestehende Benutzereinstellungen ändern.Falls Sie das tun, wird deren Home-Verzeichnis umbenannt.• User-ID von Dateien geänderter Benutzer anpassen? Mit der OptionJa wird die UID entsprechend den Einstellungen der Batch-Datei aktualisiert.• Gruppen-ID von Dateien geänderter Benutzer anpassen? Gleiches istmit der Gruppen-ID möglich.• Stammverzeichnis gelöschter Benutzer löschen? Mit der Batchdatei istauch das Löschen von Benutzern möglich. Standardmäßig werden beimLöschen von Benutzern auch deren Stammverzeichnisse vom System entfernt.• Passwörter sind bereits verschlüsselt? Wenn Sie bereits verschlüsseltePasswörter in der Batchdatei verwenden, so müssen Sie diesen Schalterauf Ja setzen.Die Optionen, die bei den Befehlen create, modify und delete verfügbar sind, kennenSie von der Erstellung von Benutzern über das Formular Neuen Benutzer anlegen.Sie müssen daher nicht weiter beschrieben werden. Für Details sei auf obigeBeschreibungen verwiesen. Wichtig ist lediglich die Zuordnung zu den jeweiligenFeldbezeichnungen:username: Benutzernamepasswd: Passwortuid: Benutzer-IDWebmin kompakt

98 Benutzer und Gruppengid: Gruppen-IDrealname: vollständiger Namehomedir: Home-Verzeichnisshell: Shellmin: minimale Anzahl von Tagenmax: maximale Anzahl von Tagenwarn: Warnung nach Tageninactive: inaktive Tageexpire: AblaufdatumLediglich für den Parameter oldusername gibt es kein Feld, da Sie einen Namendirekt im Benutzerformular ändern können.Der Export der Benutzerdaten in eine Webmin-Batchdatei.3.4 Stapelverarbeitungsdatei exportierenDamit Sie Benutzerdaten auf anderen Systemen schnell wieder verfügbar haben,können Sie die Benutzerdaten in einer Stapelverarbeitungsdatei exportieren unddiese dann auf einem Zweit- und/oder Drittrechner importieren. Das zugehörigeFormular erreichen Sie über den Link Stapelverarbeitungsdatei exportieren derBenutzerverwaltung.www.brain-media.de

Stapelverarbeitungsdatei exportieren 99Sie können mit dem Formular eine Stapelverarbeitungsdatei erzeugen, die einigeoder alle verfügbaren Benutzer Ihres Systems beinhaltet. Welche Daten exakt inder Exportdatei vorhanden sind, bestimmen Sie mit den verschiedenen Schaltern.Sie können beispielsweise Benutzer ausschließen, lediglich Benutzer einer Gruppeoder einen User-ID-Bereich bestimmen.Zunächst bestimmen Sie, ob der Export in eine Datei geschrieben oder im Browsergeöffnet werden soll. Über das Auswahlmenü Stapelverarbeitungsdateiformathaben Sie die Wahl zwischen folgenden Optionen:• Nur klassische passwd-Datei• BSD-master.passwd-Datei• Standard-passwd- und shadow-Datei• Unixware passwd-Datei• AIX-passwd- und security-Datei• OpenServer-passwd- und kurze shadow-Datei• MacOXS-NetInfo-DateiWenn Sie mit einem gängigen Linux-System wie SuSE Linux, Fedora oder Debianarbeiten, sollten Sie die Option Standard-passwd und shadow-Datei wählen, damitalle relevanten Benutzerdaten exportiert und gesichert bzw. auf einem zweitenSystem aufgespielt werden können.Ein typischer Export sieht wie folgt aus:create:root:$2a$05$Dx19m/6Z.Wn8VjerT7O5TOmHiaJtyMVpR5YB1ct5x6eCLdF9669V2:0:0:root:/root:/bin/bash:::::create:bin:*:1:1:bin:/bin:/bin/bash:::::create:daemon:*:2:2:Daemon:/sbin:/bin/bash:::::create:lp:*:4:7:Printing daemon:/var/spool/lpd:/bin/bash:::::create:mail:*:8:12:Mailer daemon:/var/spool/clientmqueue:/bin/false:::::create:games:*:12:100:Games account:/var/games:/bin/bash:::::create:wwwrun:*:30:8:WWW daemonapache:/var/lib/wwwrun:/bin/false:::::create:ftp:*:40:49:FTP account:/srv/ftp:/bin/bash:::::Webmin kompakt

100 Benutzer und GruppenDie Modulkonfiguration für die Benutzer- und Gruppenverwaltung.3.5 ModulkonfigurationSehr umfangreich fällt die Modulkonfiguration für das Modul Benutzer und Gruppenaus. Damit lassen sich neben einer Fülle an Standardvorgaben weitere nützlicheFunktionen realisieren.Mit zu den interessantesten Funktionen zählen die des Bereichs DurchzuführendeKommandos vor und nach Änderungen. Über die Textfelder Vor Änderungendurchführen und Nach Änderungen durchführen legen Sie fest, welche Aktionenvor bzw. nach der Änderung der Benutzereinstellung über das Webmin-Formularausgeführt werden. Dazu stellt Ihnen Webmin eine Fülle an Funktionen zur Verfügung.Was kann man nun mit diesen Kommandos in der Praxis Sinnvolles anstellen? Siekönnten beispielsweise eine E-Mail an einen bestimmten Account verschicken,dass ein neuer Account erzeugt wurde. Dazu würden Sie beispielsweise folgendeAnweisung verwenden:www.brain-media.de

Modulkonfiguration 101[ “$USERADMIN_ACTION“ = „CREATE_USER“ ] && echo “Fügt Benutzer$USERADMIN_USER ($USERADMIN_RAL)“ | mail –s “Neuer Benutzerhinzugefügt“ admin@server.deGenauso gut könnten Sie Daten in eine Datei schreiben oder ein Fax starten. IhrerKreativität sind keine Grenzen gesetzt – außer Ihren Perl-Kenntnissen, denn dieProgrammierung muss in Perl erfolgen. Nachstehende Tabelle fasst die Umgebungsvariablenzusammen, die in diesen beiden Feldern zum Einsatz kommen:UmgebungsvariableUSERADMIN_ACTIONUSERADMIN_USERUSERADMIN_UIDUSERADMIN_GIDUSERADMIN_REALUSERADMIN_SHELLUSERADMIN_HOMEUSERADMIN_PASSUSERADMIN_SECONDARYBeschreibungMit dieser Variablen bestimmen Sie, welche Aktionendurchgeführt werden. Mögliche Werte sind:CREATE_USERMODIFY_USERDELETE_USERCREATE_GROUPMODIFY_ GROUPDELETE_ GROUPBestimmt den Benutzernamen, der erzeugt, verändertoder gelöscht wird. Es wird nicht verwendet, wenn Gruppen-spezifischeAktionen durchgeführt werden.Bestimmt die Benutzer-ID des Users, der erzeugt, gelöschtoder bearbeitet wird.Gibt die Gruppen-ID des Benutzers an, der bearbeitetoder gelöscht wird.Bestimmt den vollständigen Namen des Users, der erzeugt,gelöscht oder bearbeitet wird.Bestimmt die Shell des Users, der erzeugt, gelöscht oderbearbeitet wird.Bestimmt das -ID des Users, der erzeugt, gelöscht oderbearbeitet wird.Gibt das Passwort des Benutzers in Plaintext an, wenneines verwendet wird.Hier wird eine Komma-separierte Liste weiterer Gruppenhinterlegt, der der Benutzer ebenfalls angehört.Webmin kompakt

102 Benutzer und GruppenUmgebungsvariableUSERADMIN_GROUPBeschreibungGibt den Namen der Gruppe an, der hinzugefügt, gelöschtoder editiert wird. Bei benutzerspezfischen Aktionenkommt diese Variable natürlich nicht zum Einsatz.Die Funktionen für das Ausführen von Kommandos vor bzw. nach dem Ändernvon Benutzer- bzw. Gruppeneinstellungen sind etwas für Fortgeschrittene undProfis, die sich dort nach Herzenslust austoben können.Es folgen die Home-Verzeichnis-Optionen, mit denen Sie eine Handvoll allgemeinerEigenschaften für das Heimatverzeichnis der Benutzer definieren. Die Einstellungenim Einzelnen:• Berechtigungen für neue Home-Verzeichnisse (oktal anzugeben): Hierbestimmen Sie die Linux-Berechtigung für neue Heimatverzeichnisse imOktal-Format. Der Standardwert lautet 0755.• Kopiere Dateien in neue Home-Verzeichnisse aus: Hier legen Sie fest,welche Dateien standardmäßig in das Home-Verzeichnis kopiert werdensollen. Die Standardkonfiguration sieht das Verzeichnis /etc/skel vor. Indiesem Linux-Systemverzeichnis finden Sie beispielsweise Dateien wie.profiles, die dann auch den neuen Benutzern zur Verfügung stehen.• "Root-Verzeichnis" für Home-Verzeichnisse: Hier legen Sie den Pfadzum Home-Verzeichnis eines neuen Benutzers fest. Dieser lautet standardmäßig/home und muss in der Regel nicht angepasst werden.• Einrichtungsart für Home-Verzeichnisse: Über dieses Auswahlmenülegen Sie fest, nach welchem Schema die Home-Verzeichnisse erstelltwerden. Standard ist /home/benutzername. Sie können aber auch andereSchemata nutzen, beispielsweise /home/primäre_gruppe/benutzername.Es folgen die Optionen für neue Benutzer. Hier legen Sie beispielsweise fest, nachwelchen Verfahren die Benutzer- oder Gruppen-ID bei der automatischen ID-Vergabe erstellt werden oder ob Benutzer- und Gruppennamen eine maximaleLänge aufweisen sollen. Die Einstellungen im Einzelnen:• Niedrigste User-ID für neue Benutzer: Wenn Sie mit Webmin einenneuen Benutzer einführen, so wird diesem eine ID zugewiesen, die höherals der hier angegebene Wert ist. Webmin gibt als Wert 1000 vor. Siekönnen aber natürlich auch bei 500 beginnen – eben so, wie es Ihnen ambesten passt.www.brain-media.de

Modulkonfiguration 103• Niedrigste Gruppen-ID für neue Benutzer: Entsprechend können Sieauch die niedrigste Gruppen-ID definieren.• User-ID-, Gruppen-ID-Eingabemethode: Hier legen Sie fest, nach welchemVerfahren die IDs eingegeben werden.• User-ID-, Gruppen-ID-Errechnungsmethode: Für die automatische Berechnungder ID legen Sie hier das Verfahren fest.• Eine Gruppe für neue Benutzer anlegen? Wenn Sie diese Option auf Jasetzen, wird mit jedem neuen Benutzer auch eine neue Gruppe erzeugt.Das macht in der Regel wenig Sinn. Behalten Sie daher die Vorgabe Neinbei.• Gleiche ID für Benutzer und Gruppe? Manche Administratoren mögenes, wenn man neuen Benutzern und neuen Gruppen die gleiche ID zuweist.Wenn Sie das ebenfalls mögen, setzen Sie diese Option auf Ja. Einenechten Sinn hat die Funktion nicht.• Passwortverschlüsselungsmethode: Hier legen Sie fest, mit welchemVerschlüsselungsverfahren das Passwort gesichert werden soll. Mit MD5oder Automatisch sind Sie gut bedient.• Überprüfe auf vorhandene Sendmail-Aliase? Wenn Sie diesen Schalterauf Ja setzen, so prüft Webmin die lokale Sendmail-Installation, ob einSendmail-Alias mit der gleichen Bezeichnung existiert. Das macht beiSendmail-Installationen Sinn, um zu verhindern, dass es Zustellproblemegibt.• Nur Dateien löschen, die dem Benutzer gehören? Wenn Sie diesenSchalter auf Ja setzen, so werden beim Löschen des Benutzers auch nurdie Dateien entfernt, die dem zu löschenden Benutzer gehören. Lagern indessen Home-Verzeichnis Dateien anderer Benutzer, so bleibt das Home-Verzeichnis samt diesen Dateien erhalten.• Maximale Länge von Benutzer- und Gruppennamen: Die Länge derBenutzer- und Gruppennamen ist standardmäßig unbegrenzt lang. Siesollten Sie aber durch einen Wert von 50 oder 100 beschränken.• Perl "RegExp" für die Überprüfung von Benutzernamen: Sie könnenfür die Überprüfung von Benutzernamen auch Perl-basierte reguläre Ausdrückenutzen. In der Regel ist das nicht erforderlich.• Build list of shells from: Hier legen Sie fest, auf welchen Informationendie Shell-Liste basiert. Sie können auf drei Quellen zurückgreifen: IntegrierteListe, bestehende Benutzer und die Datei /etc/shells.Webmin kompakt

104 Benutzer und Gruppen• Show secondary groups on user form? Standardmäßig ist auch die Ansichtsekundärer Benutzergruppen in der Benutzerverwaltung aktiviert.Dies können Sie mit No ändern.Neben den Optionen für neue Benutzer kennt Webmin noch den Standard für neueUser. Hier legen Sie insbesondere folgende Einstellungen fest, die bereits obenbeschrieben wurden (sie sollen daher hier nicht noch einmal wiederholt werden):• Primäre Gruppe für neue Benutzer• Sekundäre Gruppen für neue Benutzer• Shell für neue Benutzer• Minimale Tage für neue Benutzer• Maximale Tage für neue Benutzer• Passwort-Warnung für neue Benutzer• Inaktive Tage für neue Benutzer• Default expiry date for new users• Create and update in other modulesFür die Gestaltung der Benutzerkonfiguration sind hingegen die Anzeigeoptioneninteressant. Damit können Sie verschiedenste Anpassungen der Benutzerverwaltungvornehmen. Konkret die Folgenden:• Maximale Anzeigeanzahl von Benutzer und Gruppen: Hier legen Siedie maximale Anzahl an Benutzern fest, die über Web-Schnittstelle angezeigtwerden. In einem kleinen bis mittleren Netzwerk kommen Sie mitdem Standardwert 400 sicherlich aus.• Sortiere Benutzer und Gruppen nach: Die Modulkonfiguration erlaubtzudem die Anpassung der Sortierung. Standardmäßig werden sie nach derAnordnung in den Benutzer- bzw. Gruppendateien aufgeführt. Dort werdensie in der Reihenfolge ihrer Entstehung aufgeführt. Wenn Ihnen daszu unübersichtlich ist (und das ist es in der Regel), passen Sie die Anordnungan. Sie können folgende Sortierung verwenden:ooBenutzernameRealnamewww.brain-media.de

Modulkonfiguration 105ooooFamiliennameShellUID oder GIDVerzeichnisFür welche Reihenfolge Sie sich entscheiden, ist natürlich in erster Linievon Ihren Vorlieben abhängig. Die Sortierung nach der ID ist in jedemFall eine übersichtlichere als die nach dem Entstehungszeitpunkt.Ein Blick auf die Anzeige- und Passworteinstellungen.• Anzahl der vorangegangenen Anmeldungen, die angezeigt werden:Beim Abruf der Anmeldungen wird Ihnen je nach Systemnutzung einemehr oder minder lange Liste ausgegeben. Über dieses Feld können Siedie Anzahl der vorangegangenen Anmeldungen bestimmen. Wenn IhrSystem intensiv von Ihren Anwendern genutzt wird, sollten Sie die Anzahlauf einen praktikablen Wert von 100 setzen.Webmin kompakt

106 Benutzer und Gruppen• Show last login in user list? Sie können in der Benutzerverwaltung immerauch den letzten Log-in-Vorgang eines Benutzers anzeigen. WennSie das wollen, setzen Sie diese Option auf Yes.• Benutzer und Gruppen anzeigen: Die Benutzer und Gruppen werdenstandardmäßig in einer Tabelle aufgeführt, wobei ein Benutzer bzw. eineGruppe samt Eigenschaften in einer Zeile gelistet wird. Sie können dieAnsicht auch komprimieren, indem Sie von der Standardeinstellung AlleDetails zu Nur den Namen wechseln. Mit der Option Kategorisiert nachPrimärer Gruppe werden die Benutzer nach deren primärer Gruppe sortiertaufgeführt.• Plain-Text-Passworte verbergen? Wenn Sie diese Einstellung auf Jasetzen, werden die Plaintext-Passwörter nur noch als Sternchen dargestellt.Aktivieren Sie diese Option, wenn Sie befürchten, dass Ihnen Anwenderüber die Schulter schauen, um die Kennwörter Dritter auszuspionieren.• Ermittele Benutzer- und Gruppeninfo anhand von: Das Benutzermodulliest zwar relevante Benutzerdateien des Systems ein, um BenutzerundGruppeninformationen aufzunehmen, doch kann es immer wieder zuProblemen bei der Benutzeridentifizierung kommen, die beispielsweisevon Systemen wie NIS stammen. Sollten Sie ein solches Verhalten registrieren,so setzen Sie diese Option von der Standardkonfiguration Systemaufrufenauf Dateien.• Passworte für neue Benutzer generieren? Wenn Sie diese Option auf Jasetzen, erzeugt Webmin automatisch ein Passwort für neue Benutzer. ObSie die Passwortgenerierung Webmin überlassen oder ob Sie das Passwortselbst setzen, bleibt natürlich Ihnen überlassen.• Büro- und Telefondaten anzeigen? Sie können die Benutzerdaten, spezielldas Feld Vollständiger Name, um weitere Informationen wie die Telefonnummeretc. erweitern. Wenn Sie das wollen, setzen Sie diese Optionauf Ja. In diesem Fall stehen Ihnen drei weitere Felder zur Verfügung:oooBüroTelefon (Arbeit)Telefon (privat)• Erlaube das Löschen von Systembenutzern- und Gruppen? DieserSchalter steht standardmäßig auf Nein, damit die neuen Benutzer nichtwww.brain-media.de

Modulkonfiguration 107wichtige Systembenutzer- und Gruppen löschen können. Dabei sollte esauch bleiben.Es folgen eine Handvoll Passwort-Einstellungen:• Minimale Passwortlänge: Hier legen Sie fest, ob das Passwort eine maximaleLänge besitzen soll. Es empfiehlt sich, die Länge auf einen praktikablenWert von 10 oder 20 Zeichen zu setzen. Mehr ist in der Regelnicht erforderlich.• Wörterbuchpassworte verhindern (wenn möglich)? Auch diese Optionsollten Sie aktivieren, damit nicht „normale“ Wörter als Passwort verwendetwerden, die einfach von einem Passwort-Cracker geknackt werden.Wenn Sie die Option aktiviert haben, und dennoch einen Begriffverwenden, den Webmin kennt, gibt das Adminwerkzeug folgende Fehlermeldungbeim Erstellen eines neuen Benutzers aus:Fehler beim Speichern des Benutzers: Dieses Passwortwurde im Wörterbuch gefunden und wird abgewiesen.• Folgende "Regular Expression (Perl)" benutzen, um Passworte zuprüfen: Hier können Sie einen regulären Ausdruck angeben, den dasPasswort erfüllen muss, damit es von Webmin akzeptiert wird. Mit dieserFunktion können Sie beispielsweise die Verwendung von Sonderzeichenim Passwort erzwingen.Webmin kompakt

108 Benutzer und GruppenDen Abschluss der Modulkonfiguration bildet die Systemkonfiguration.• Passworte, die den Benutzernamen beinhalten, verhindern? Auch diesenSchalter sollten Sie auf Ja setzen, damit der Benutzername nicht imPasswort enthalten sein darf.• External password-checking program: Schließlich können Sie einenexternen Passwort-Checker einbinden. Wenn Sie das wollen, geben Siehier den Pfad zu dem Programm an.3.6 SystemkonfigurationDen Abschluss der Benutzer-und-Gruppen-Modulkonfiguration bildet die Systemkonfiguration.Hier legen Sie insbesondere die Pfade zu den relevanten BenutzerundPasswort-Dateien fest. Die Einstellungen im Einzelnen:• Passwort-Datei: Hier geben Sie den Pfad zur Passwortdatei an. Der Standardwertlautet /etc/passwd.• Gruppen-Datei: Entsprechend geben Sie hier die Gruppendatei an. Beieinem Standard-Linux-System ist das /etc/group.• Shadow-Passwort-Datei: Hier den Pfad zur Shadow-Datei, in dem diePasswörter hinterlegt sind. Meist /etc/shadow.• BSD-Master-Passwort-Datei: Wenn Sie mit BSD arbeiten, bestimmenSie hier den Pfad zu den Master-Passwort-Dateien.www.brain-media.de

Systemkonfiguration 109• Shadow-Gruppen-Datei: Hier den zur Gruppen-Shadow-Datei.• NetInfo Domain, die administriert werden soll: In diesem Feld könnenSie den Pfad zur NetInfo-Datei anpassen.• Replace password for locked accounts with: Hier geben Sie die Ersetzungdes Passworts gesperrter Accounts an.• Prepend to password for temporarily disabled accounts: Hier legenSie fest, was temporär deaktivierten Accounts vorangestellt wird.• Command to restart nscd: In diesem Feld bestimmen Sie den Befehl fürden Neustart von nscd. Der Standardeintrag lautet /etc/rc.d/nscd restart.Nscd (Name Service Cache Daemon) ist ein Prozess, der einen Cache fürverschiedene übliche Namensanfragen bereithält.Webmin kompakt

110 Benutzer und Gruppenwww.brain-media.de

1114 Boot-KonfigurationBei jedem Systemstart lädt der Rechner zunächst das BIOS, das dann verschiedeneSpeicher- und Hardware-Prüfungen durchführt, bis dann eine bestimmter Software-Blockin den sogenannten Master-Boot-Record (MBR) geladen wird. DerMBR enthält eine Partitionstabelle, die die Aufteilung des Datenträgers beschreibt,und einen Boot-Manager, ein Programm, das ein Betriebssystem auf einer derPartitionen startet. Es gibt heute eine Vielzahl von Boot-Managern. Unter Linuxkommen in der Regel LILO und GRUB zum Einsatz. Prinzipiell machen sie alledas Gleiche.Die Boot-Konfiguration.Webmin kompakt

112 Boot-Konfiguration4.1 Grundlegendes über den Boot-VorgangNachdem der Linux-Kernel geladen ist, mountet der Boot-Manager das Root-Dateisystem und führt das init-Programm aus. Init ist für den weiteren Boot-Prozess zuständig, liest dabei seine Konfiguration aus der Datei /etc/inittab undführt dann die dort definierten Skripts aus, die meist mit rc beginnen.Der Boot-Manager bzw. die inittab-Datei definiert außerdem sogenannte Runlevel.Beim Systemstart durchläuft ein System mehrere abgestufte Systemzustände, dieman als Runlevel bezeichnet. Jedem Runlevel sind bestimmte System-Dienstezugeordnet, die beim Booten als Prozesse in definierter Reihenfolge innerhalb desBetriebssystems gestartet werden. So werden Systemressourcen des Computersstufenweise in Betrieb genommen. Bei Beendigung des Betriebssystems(Shutdown) werden die Runlevel in umgekehrter Reihenfolge durchlaufen, dielaufenden Prozesse werden stufenweise beendet, bis der Computer ausgeschaltetwerden kann.Hier einige wichtige Runlevel für Linux. Unter anderen Betriebssystemen wiebeispielsweise Solaris sehen diese anders aus. Nachstehende Tabelle fasst dieRunlevel zusammen:RunlevelBeschreibung0 Shutdown. Dabei werden alle Netzverbindungen geschlossen, Dateipuffergeschrieben und Partitionen umounted.SSingle-User-Runlevel. Dies ist der niedrigste Systemzustand für Wartungsarbeiten,in dem ausschließlich Systemressourcen wie Festplattenoder Dateisysteme aktiv sind.1 Der Einzelnutzerbetrieb ohne Netzwerkunterstützung mit ausschließlichlokalen Ressourcen.2 Hier ist lokaler Mehrnutzerbetrieb ohne Netzwerkunterstützung mitausschließlich lokalen Ressourcen möglich. Allerdings gibt es Unterschiedezwischen den Linux-Distributionen. So wird bei Debian beispielsweisein Runlevel 2 auch das Netzwerk konfiguriert.3 Netzwerkbetrieb, über das Netzwerk erreichbare Ressourcen sindnutzbar, eine grafische Oberfläche steht nicht zur Verfügung. Firewallssollten aktiviert werden.6 Reboot. Bei diesem Level werden alle Netzverbindungen geschlossen,Dateipuffer geschrieben etc.Mithilfe des Moduls Boot-Konfiguration können Sie verschiedene Einstellungenbearbeiten.www.brain-media.de

Grundlegendes über den Boot-Vorgang 113Wenn Sie das erste Mal auf die Boot-Konfiguration zugreifen, so präsentiert IhnenWebmin eine umfangreiche Prozessliste samt ID, Status, Ausführungslevel(Runlevel), Aktion und zugehörigem Prozess. Diese Liste präsentiert die Daten derInitab-Datei.Um einen Prozess zu bearbeiten, klicken Sie auf die Prozess-ID. Es öffnet sich derDialog Prozeßdetails, in dem Sie den Status, den Runlevel, die Aktion und denProzessnamen ändern können.Das Bearbeiten eines Prozesses.Die Vergabe der ID ist bereits erfolgt. Über Aktiviert können Sie den Prozess beispielsweisedeaktivieren und ihm unter Ausführungs-Level einen anderen Levelzuweisen. Am interessantesten sind die Optionen, die Sie über das AuswahlmenüAktionen zuweisen können. Hier ist eine Vielzahl von Einstellungen auswählbar:• Neu starten• Warten• Einmal im Level• Immer, wenn A, B, C• Nach dem Systemstart• Während des Systemstarts• Beim Stromausfall• Beim Stromausfall ohne Warten• Stromversorgung ist wiederhergestelltWebmin kompakt

114 Boot-Konfiguration• Stromausfall• Strg-Alt-Entf• Spezielle Schlüsselkombination• Beim Booten, warten bis Beendigung• Beim Booten• Nichts tunMit einem Klick auf Speichern übernehmen Sie die Einstellungen. Sie landen dannwieder in der Init-Tabelle. In der Init-Konfiguration übernehmen Sie dann dieÄnderungen durch einen abschließenden Klick auf Init-Konfiguration anwenden.Diese führt den Befehl telinit q aus. Sie sollten sich allerdings bewusst sein, dassKonfigurationsfehler das System unbrauchbar machen können.Es gibt übrigens in der Webmin-Systemsteuerung ein zweites Modul, mit dem SieStart- und Stopp-Eigenschaften von Prozessen bestimmen. Dort ist auch das Bearbeitender Init-Skripts möglich.4.2 ModulkonfigurationDie Modulkonfiguration kennt lediglich zwei Anpassungen: Sie können den Pfadzur inittab-Datei und zum telinit-Kommando anpassen. Da Webmin diese Datenbei der Installation einliest, sind hier in der Regel keine Änderungen erforderlich.www.brain-media.de

Modulkonfiguration 1155 Dateisystem-Back-upUnter Linux gibt es wie bei anderen Betriebssystemen verschiedene Möglichkeiten,um Daten zu sichern und wiederherzustellen. Sie können beispielsweise Datenklonen oder mittels tar auf einem bestimmten Laufwerk sichern. Aber nur dumpkann auch wichtige Dateitypen wie symbolische Links und Eigenschaften wieACLs oder Dateiattribute sichern. Außerdem taugt dump fürs klassische Back-upund Restore. Das Tool unterstützt auch inkrementelle Back-ups, bei denen nur dieseit der letzten Sicherung geänderten Dateien gesichert werden.Die noch leere Sicherungsliste.Allerdings unterliegen die Funktionalitäten von dump auch gewissen Einschränkungen.So ist leider keine Komprimierung der zu sichernden Daten möglich. Dazumuss man wieder zu tar greifen. Außerdem gibt es Probleme beim Wiederherstellenvon Daten, die per NFS gemountet werden.Um Daten auf Ihrem System zu sichern, klicken Sie auf das Modul Dateisystem-Backup. Voranstehende Abbildung zeigt die einfache Schnittstelle, über die Sie dienoch zu erstellenden Sicherungen verwalten. Außerdem führen Sie hier die Wiederherstellungaus.Um eine erste Sicherung zu erstellen, wählen Sie zunächst das zu sichernde Verzeichnisaus und klicken dann auf die Schaltfläche Sicherung eines Verzeichnisseshinzufügen. Es empfiehlt sich, die Daten mittels tar auf der Zielpartition zu packen.Aktivieren Sie dazu die Option Im TAR-Format. Stellen Sie allerdings sicher, dasstar auch installiert ist und der Anwender über die notwendigen Rechte verfügt.Webmin kompakt

116 Dateisystem-Back-upDie Eigenschaften der Sicherung.In dem recht umfangreichen Formular für die Sicherungskonfiguration legen Siezunächst die sogenannten TAR-Dateisystemsicherungsdetails, dann die Back-up-Optionen und schließlich die zeitliche Steuerung fest.Unter TAR-Dateisystemsicherungsdetails finden Sie den zuvor ausgewählten Ordner,den Sie sichern wollen. Wenn Sie weitere Dateien oder Verzeichnisse in denSicherungsvorgang einbinden wollen, so müssen Sie diese in je einer neuen Reiheaufführen. Also beispielsweise wie folgt:• /home• /ordner1• /ordner2Mit Sichern nach bestimmen Sie, ob die Sicherung als Datei oder auf einem Bandlaufwerk(z. B. /dev/st0) gespeichert wird. Sie können die Daten auch auf einemRemote-Host sichern. Dieser muss allerdings das RSH-Protokoll für den Zugriffunterstützen, das meist aus Sicherheitsgründen deaktiviert ist.Wichtig ist immer, dass Sie den genauen Pfad bzw. den exakten Dateinamen angeben,also beispielsweise /tmp/sicher1.tar, da die Sicherungsfunktion sonst eineFehlermeldung ausgibt.www.brain-media.de

Back-up-Optionen 117Anstelle des Standards RSH für die Sicherung auf einem Remote-Rechner könnenSie auch SSH verwenden. Das funktioniert allerdings nur, wenn die SSH-Konfiguration des Root-Benutzers das passwortlose Log-in erlaubt. Wenn Sie SSHverwenden wollen, aktivieren Sie die gleichnamige Option.5.1 Back-up-OptionenEs folgen die recht umfangreichen Back-up-Optionen. Hier können Sie verschiedeneEinstellungen bearbeiten. Die Einstellungen sind allerdings optional. Zunächstsollen Sie einen aussagekräftigen Sicherungsnamen angeben, anhand dessenSie die Sicherung schnell zuordnen können. Dabei können Sie beispielsweise dieSystembezeichnung, das Verzeichnis und das Datum miteinander kombinieren.Unter Bandgröße können Sie dessen Kapazitäten automatisch ermitteln lassen odereinen Wert in KB angeben. Die Wertangabe ist nur dann sinnvoll, wenn die automatischeErkennung fehlschlägt oder Fehler produziert.Sie können das Archiv außerdem mit GZIP bzw. der Variante BZIP komprimieren.Wenn Sie die Daten auf klassischen Bandlaufwerken sichern, ist eine Komprimierungin der Regel nicht erforderlich, weil die Bandlaufwerke oft ein eigenes Verfahrennutzen.Wenn Sie ein Dateisystem wie EXT2 verwenden, dass nur relativ kleine Dateienzulässt, sollten Sie die Option Über mehrere Dateien verteilen? aktivieren. In diesemFall wird die Sicherung in mehrere Dateien mit der Bezeichnung wie sicher1,sicher2 etc. aufgeteilt.Standardmäßig ist auch das Verfolgen von symbolischen Links mit der OptionFolge symbolischen Links? deaktiviert. Wenn Sie die Option aktivieren, werdendie Links als Dateien mit in die Sicherung aufgenommen.Den Schalter Prompt for new tape if needed? sollten Sie in jedem Fall auf Ja belassen,damit dump bei der Sicherung ein neues Band anfordert, wenn eines beschriebenist.Wenn Sie die Option Remount with noatime option during backup? aktivieren,reduziert sich die Festplattenaktivität. In der Regel kann die Option allerdings auchausgeschaltet bleiben.Mit der Option Attempt test restore after backup to verify? können Sie außerdemeine Verifizierung des Back-ups durchführen. Auch das ist nicht zwingend erforderlich.Für Profis ist sicherlich auch die Funktion Extra Kommandozeilenparameterinteressant, mit der Sie die Ausführung von dump mit weiteren Schaltern steuernkönnen. Außerdem können Sie auch bei dieser Funktion Befehle vor bzw. nachWebmin kompakt

118 Dateisystem-Back-upder Sicherung ausführen. Die Ausgabe wird übrigens auch in den Sicherungsberichteingefügt.5.2 Back-up-ZeitplanEs folgen die Einstellungen für den Back-up-Zeitplan. Mit diesem können Sieeinen Cronjob erstellen, der die Sicherung zu einem bestimmten Zeitpunkt durchführt.Um die zeitgesteuerte Sicherung nutzen zu können, müssen Sie zuerst die OptionGeplante Sicherung aktiviert einschalten. Wählen Sie Aktiviert, zu den unten ausgewähltenZeiten, um über die darunterliegenden Schalter die Sicherungszeiten zubestimmen. Sie können die Sicherung beispielsweise täglich, wöchentlich oderauch einmal pro Monat durchführen.Wenn Sie die Zeitsteuerung nutzen, bietet sich der Einsatz einer weiteren Funktionan. In dem Eingabefeld E-Mail von geplanter Sicherung nach können Sie eine E-Mail-Adresse hinterlegen, an die der Sicherungsbericht verschickt wird. Außerdemkönnen Sie einen eigenen Betreff der E-Mail im gleichnamigen Feld angeben.Webmin verwendet standardmäßig den Betreff Dump of Verzeichnisname.Die Konfiguration der zeitgesteuerten Sicherung.www.brain-media.de

Daten wiederherstellen 119Abschließend können Sie mit einem Klick auf die Schaltfläche Erstellen lediglichdie Back-up-Konfiguration sichern. Wenn Sie gleichzeitig eine erste Sicherungerstellen wollen, klicken Sie auf Erstellen und jetzt sichern. Webmin gibt bei derDurchführung der Sicherung den Jetzt-sichern-Bericht aus, der beispielsweise wiefolgt aussieht:Sicherung von /home nach /tmp/sicher1.tar wird ausgeführt ..tar: Removing leading `/' from member names.. Sicherung komplett.Nachdem die Sicherung erfolgreich abgearbeitet wurde, finden Sie den ersten Eintragin der Sicherungsliste.5.3 Daten wiederherstellenÜber die Liste können Sie dann die Daten wiederherstellen, indem Sie sie markierenund dann auf die Schaltfläche Restore backup of filesystem klicken. Wenn Siebereits eine Sicherung ausgewählt haben, müssen Sie das Feld Von Datei oderGerät wiederherstellen nicht ausfüllen.Die Optionen für das Restore.Webmin kompakt

120 Dateisystem-Back-upSehr sorgfältig sollten Sie allerdings bei der Wahl des Wiederherstellungspfadessein, den Sie im Feld Wiederherstellen nach Verzeichnis bestimmen. Die Auswahlvereinfacht sich durch das Auswahlmenü am Ende des Eingabefelds.Ob Sie die Option Keine Dateien überschreiben bei der Standardkonfigurationbelassen, ist in der Regel abhängig von der Umgebung und dem Grund für dieWiederherstellung. Gleiches gilt für die Option Dateizugriffsrechte. In der Regelkönnen diese Einstellungen auf Nein belassen werden.Auch das Back-up- und Restore-Modul verfügt über eine eigene Modulkonfiguration,über die Sie verschiedene Anpassungen vornehmen können.Die Modulkonfiguration für die Back-up- und Restore-Funktion.Die Konfigurationsmöglichkeiten im Einzelnen:• strftime-Substitution der Backup-Ziele? Wenn Sie diese Option auf Jasetzen, so werden Platzhalter wie %d, %m, %Y und %u für die Definitiondes Back-ups verwendet. Diese werden dann durch den Tag, den Monatund das Jahr ersetzt, an dem die Sicherung erzeugt wurde. Der Einsatzdieser Funktion ist insbesondere dann sinnvoll, wenn Sie an einem Tagmehrere Sicherungen erstellen, da sie so besser auseinandergehalten werdenkönnen.• Sende E-Mail über SMTP-Server: Hier legen Sie fest, wie die Restore-Berichte verschickt werden.• Starte Backups im: Hier bestimmen Sie, ob der Wiederherstellungsvorgangim Vorder- oder Hintergrund durchgeführt wird.www.brain-media.de

Daten wiederherstellen 121• Neues Band anfordern, wenn das eingelegte voll ist? Bei dieser Optionsollte der Standard Ja beibehalten werden, wenn für die Sicherung einneues Band erforderlich ist.• Benutze immer TAR-Format für Backups? Sie können die Verwendungdes TAR-Formats auch deaktivieren. In der Regel macht das keinenSinn.• Sende Benachrichtigungs-E-Mail: Hier legen Sie fest, ob eine Bericht-E-Mail immer oder nur beim Auftreten von Fehlern versendet werdensoll. Behalten Sie die Standardeinstellung Immer bei. Zu viele Benachrichtigungensind immer noch besser als zu wenige.Die „einfache“ Zeitsteuerung.• Schedule selector format: Wenn Ihnen die Zeitsteuerung zu komplex ist,können Sie die vereinfachten Varianten aktivieren, indem Sie diese Optionauf simple setzen. In diesem Fall steht Ihnen ein einfaches Auswahlmenümit folgenden Einträgen zur Verfügung:oooooStündlichTäglich (um Mitternacht)Wöchentlich (Sonntags)Monatlich (am Ersten)Jährlich (am 1. Januar)Meist kommt man mit diesen Möglichkeiten auch aus.Webmin kompakt

122 Dateisystem-Back-upwww.brain-media.de

1236 Festplatten-QuotasAus Sicht der Systemsicherheit sind die sogenannten Disk-Quotas ein wichtigesHilfsmittel, um die Sicherheit des Systems zu festigen. Dabei handelt es sich umBegrenzungen des Speicherplatzes auf Festplatten, der für die einzelnen Benutzeroder Gruppen zur Verfügung steht.Bei der Verwendung von Quotas werden in der Regel zwei Grenzen definiert: dasSoftlimit (darf für kurze Zeit überschritten werden) und das Hardlimit (darf garnicht überschritten werden). Zusätzlich wird der Zeitraum festgelegt, für den dasSoftlimit überschritten werden darf.Die Verwendung dieser Funktion ist recht einfach. Öffnen Sie einfach das Modul,das Ihnen die aktiven Benutzer- und Gruppenbeschränkungen aufführt. Ist bereitsfür eine Partition eine Beschränkung gesetzt, so wird das in der Statusspalte entsprechendgekennzeichnet (inaktiv bzw. aktiv).Um die Werte für Hard- und Softlimit zu setzen, editieren Sie einfach den entsprechendenBenutzereintrag und geben die Werte in das dafür vorgesehene Formularein.Dank Webmin können Sie auch mehreren Benutzern die gleichen Quotas zuweisen.Dazu öffnen Sie die Einstellungen eines Benutzers, klicken auf Copy Quotasund bestimmen dann die Ziele:• Alle Benutzer• Ausgewählte Benutzer• Mitglieder bestimmter Gruppen• Mit einem abschließenden Klick auf Copy ist die Zuweisung perfekt.Auch das Quota-Modul verfügt über eine Modulkonfiguration. Mit dieser legen Siebeispielsweise die Anzahl der anzuzeigenden Benutzer und Gruppen fest, bestimmenderen Sortierung und bestimmen den E-Mail-Inhalt, der verschickt wird, wennder Speicherplatz eines Benutzers sich dem Grenzwert nähert.Webmin kompakt

124 Festplatten-QuotasDie Konfiguration des Quota-Moduls.www.brain-media.de

1257 Zeitsteuerung mit Cron und ATMithilfe von Webmin können Sie wiederkehrende Aufgaben per Zeitsteuerungautomatisiert ausführen. Dazu stehen Ihnen die beiden Module Geplante Aufträge(AT) und Geplante Aufträge (Cron) zur Verfügung, wobei die Cron-Variante diewichtigere ist.Bei der Cron-Variante ist der Cron-Daemon für die Jobsteuerung wiederkehrenderAufgaben zu einem bestimmten Zeitpunkt zuständig. Die auszuführenden Befehlewerden in einer benutzerdefinierten Tabelle, der sogenannten crontab, gespeichert.Mithilfe von Cronjobs können Sie eigentlich alles steuern, was Sie mit Ihrem Systemanfangen können. Es bietet sich an, beispielsweise temporäre Dateien regelmäßigzu löschen, die Systemzeit mit einem Zeitserver zu synchronisieren, Datenzu sichern etc.Die Cron-Tabelle wird in der Regel im Verzeichnis /var/spool/cron abgelegt. Allerdingskann es hier Unterschiede zwischen Linux-Distributionen geben. Fürjeden Benutzer wird eine eigene Datei/Tabelle angelegt. Außerdem finden Sie in/etc Aufträge, die bestimmten Paketen zugeordnet sind.Die Cronjob-Verwaltung.Auf die Cronjob-Verwaltung greifen Sie zu, wenn Sie in der Webmin-Systemverwaltung auf Geplante Aufträge (Cron) klicken. Es öffnet sich dieCronjob-Verwaltung, in der die anstehenden Aufträge samt ihren Eigenschaftenden verschiedenen Benutzern aufgeführt sind. In der Übersicht wird neben demStatus (aktiv/inaktiv) auch der zugehörige Befehl inklusive aller Optionen undParameter angezeigt. Die Übersicht erlaubt das Erstellen neuer Aufträge und dasBearbeiten bestehender.Webmin kompakt

126 Zeitsteuerung mit Cron und AT7.1 Neuen Cronjob erstellenUm einen neuen Cronjob zu erstellen, führen Sie folgende Schritte aus:1. Klicken Sie auf den Verweis Einen neuen Cron-Auftrag erstellen.2. Unter Auftrag-Details bestimmen Sie den Benutzer, dem der Auftragzugeordnet wird.3. Als Nächstes bestimmen Sie, ob der Auftrag direkt aktiviert werdensoll oder nicht.4. In das Eingabefeld Befehl geben Sie dann das eigentliche Kommandoein.Ein neuer Cronjob in der Entstehung.5. Mit dem Feld Eingabe an Befehl können Sie dem auszuführendenKommando erforderliche Parameter mit auf den Weg geben.6. Sie sollten außerdem eine Beschreibung im Feld Description hinterlegen,damit Sie beim späteren Zugriff auf das System erkennen, umwelche Aufgabe es sich im Einzelnen handelt.www.brain-media.de

Neuen Cronjob erstellen 1277. Legen Sie als Nächstes fest, wann der Auftrag immer ausgeführt werdensoll. Sie können diesen beispielsweise täglich oder wöchentlichausführen lassen oder aber den Zeitpunkt selbst bestimmen.8. Alternativ bestimmen Sie über die folgenden Auswahlfelder denZeitpunkt manuell.9. Ein weiteres Highlight: Über den Bereich Date range to execute könnenSie einen Zeitraum festlegen, in dem der Cronjob ausgeführtwird.10. Mit einem abschließenden Klick auf Erstellen speichern Sie den zeitgesteuertenAuftrag, den Sie dann in der Cronjob-Liste finden. In derListe können Sie dann über die neue Spalte Verschieben die Reihenfolgeanpassen.Die Konfiguration des Cron-Zugriffs.Über die Cronjob-Liste können Sie zudem die Zugriffsberechtigung ändern. Dazufolgen Sie dem Link Benutzerzugriff auf Cron-Aufträge kontrollieren. Hier könnenSie festlegen, welche Benutzer Aufträge anlegen und ausführen dürfen.Das zugehörige Formular erlaubt standardmäßig allen Benutzern das Erstellen vonCronjobs. Diese Einstellung sollten Sie in jedem Fall ändern, und nur Benutzernmit entsprechenden Fähigkeiten und Kenntnissen erlauben. Nur so schützen Siesich vor Angreifern, die durch einen Cronjob beispielsweise automatisch Ihren neuerstellten löschen oder auf ein anderes System kopieren.Das Löschen von Cronjobs ist ebenfalls recht einfach. Markieren Sie die Aufträge,die Sie nicht mehr benötigen, und klicken Sie dann auf die Schaltfläche Deleteselected jobs.Webmin kompakt

128 Zeitsteuerung mit Cron und ATDie Modulkonfiguration des Cronjob-Moduls.7.2 ModulkonfigurationRecht umfangreich fallen die Funktionen für die Modulkonfiguration aus. Sie bestehtaus zwei Teilen: den konfigurierbaren Einstellungen und der Systemkonfiguration.Die einen sind, wie Sie der Bezeichnung entnehmen können, anpassbar, dieanderen werden durch das Linux-System vorgegeben.Die konfigurierbaren Einstellungen im Einzelnen:• Maximale Kommandozeilenanzahl die angezeigt wird: Hier legen Siefest, wie viele Kommandozeilen maximal in der Übersicht angezeigt werden.Der Standardwert von 80 scheint etwas zu hoch. Weniger reicht sicherlichauch.• Zeige Prozess-Zeiten? Hier können Sie die Prozesszeiten aktivieren.• Show job comments? Wenn Sie den Kommentar zu dem Auftrag auch inder Job-Liste anzeigen wollen, setzen Sie diesen Schalter auf Yes.www.brain-media.de

Modulkonfiguration 129• Zeige den Status aller Aufträge an? Standardmäßig wird der Status derCronjobs in der Übersicht aufgeführt. Mit der Option Ja erlauben Sie auchdas Starten und Stoppen der Aufträge.• Finde Prozesse durch: Hier legen Sie fest, ob der Prozess durch dasKommando und Argumente oder nur durch das Kommando gefundenwird. Sie sollten die Standardeinstellung beibehalten.• Benutzernamen zusätzlich ermitteln beim Finden von Prozessen? Siekönnen auch das Finden des Benutzernamens beim Auffinden von Prozessenaktivieren. In der Regel kommt man auch ohne diese Informationaus.• Alle Unterprozesse zusätzlich zum Prozess selbst töten? Was diese rabiateEinstellung macht, ist leider nicht klar.In den Systemkonfigurationsinformationen finden Sie die Systemeinstellungen, dieWebmin Ihrem System entnimmt. Die Einstellungen im Überblick:• Crontab-Verzeichnis: Hier wird das Verzeichnis aufgeführt, in dem dieCronjob-Tabelle gespeichert ist. Sie sollten die Tabelle nicht manuell,sondern besser mit Webmin editieren. Der Wert lautet meist/var/spool/cron/tabs. Wie bereits erwähnt, wird für jeden Benutzer eineeigene Tabelle erstellt, die dann beispielsweise die Bezeichnung rootträgt.• Befehl zum Lesen der Cron-Aufträge eines Benutzers: Hier finden Sieden Befehl zum Einlesen der Cronjobs eines Benutzers. Der Standardwertlautet crontab -u USER –l. An dieser, wie auch den meisten weiteren Einstellungensollten Sie keine Änderungen vornehmen. Sie dienen mehr IhrerInformation als der Anpassung.• Befehl zum Bearbeiten der Cron-Aufträge eines Benutzers: Hier wirdentsprechend der Befehl für das Editieren von Aufträgen angezeigt. Dieserlautet standardmäßig crontab -u USER –e.• Befehl zum Akzeptieren eines Cron-Auftrags eines Benutzers aufstdin: Diese Option können Sie anpassen, indem Sie den Befehl für dieVerarbeitung von Benutzereingaben über die Standardeingabe akzeptieren.Das ist standardmäßig nicht vorgesehen.• Befehl zum Löschen eines Cron-Auftrages eines Benutzers: Hier findenSie den Befehl für das Löschen eines Cronjobs. Dieser lautet crontab-u USER –r.Webmin kompakt

130 Zeitsteuerung mit Cron und AT• Cron unterstützt Eingaben zu Cron-Aufträgen: Die Cronjob-Funktionalität ist so konfiguriert, dass sie standardmäßig auch Eingabenzu Aufträgen erlaubt.• Datei die erlaubte Benutzer enthält: Hier finden Sie den Pfad zu derDatei, die die Nutzer enthält, die Cronjobs erstellen dürfen. Bei SuSE 10.1lautet der Pfad beispielsweise /var/spool/cron/allow.• Datei die abgelehnte Benutzer enthält: Hier finden Sie den Pfad zu derDatei mit den abgelehnten Benutzern. Der Pfad kann beispielsweise/var/spool/cron/deny lauten.• Rechte ohne Allow- oder Deny-Dateien: Kommen weder die Allownochdie Deny-Datei zum Einsatz, so legen Sie über die drei folgendenSchalter fest, wer Zugriff hat. Sie haben die Wahl zwischen: Verweigerealle, Verweigere alle außer Root und Erlaube alle.• Unterstützt Vixie-Cron-Erweiterungen: Hier legen Sie fest, ob der Einsatzder Vixie-Cron-Erweiterungen zulässig ist. Diese erlauben beispielsweisedie Sicherung um Mitternacht oder die tägliche Sicherung. BehaltenSie diese Einstellung daher bei.• Pfad zur Vixie-Cron System Crontab-Datei: Hier führt die Modulkonfigurationden Pfad zu Vixie-Cron auf. Der lautet beispielsweise/etc/crontab.• Path to single user crontab file: Hier wird der Pfad zur Single-User-Crontab-Datei angezeigt.• Pfad zum Verzeichnis mit zusätzlichen Cron-Dateien: In diesem Textfeldfinden Sie den Pfad zu weiteren Cron-Dateien.• run-parts Befehl: In diesem Feld können Sie einen Run-parts-Befehl anCron übergeben. Der Run-parts-Befehl dient dazu, alle Skripte auszuführen,die sich in einem Verzeichnis befinden. Das hat den Vorteil, dassman mit einem Aufruf mehrere Skripte auf einmal erfassen kann. DieSyntax lautet runparts Verzeichnis.Die Einstellungen speichern Sie mit einem Klick auf Speichern, worauf Sie wiederin der Liste der Cronjobs landen.www.brain-media.de

1318 Zeitsteuerung mit AT-BefehlenNeben Cron können Sie für die zeitlichgesteuerte Ausführung bestimmter Aktionenauch zu AT greifen. Der Unterschied zu Cron: AT führt die Aktion lediglicheinmal aus – im Unterschied zu Cron, das für die sich wiederholende Ausführungkonzipiert ist.Die Funktionalität des AT-Formulars ist naturgemäßdeutlich einfacher als die des Cronjob-Formulars.Die Nutzung der AT-Steuerung, die übrigens nichts mit den AT-Modem-Befehlenzu tun hat, ist recht einfach. Zunächst legen Sie mit Ausführen als Benutzer denAnwender fest, der den Befehl ausführt. Es folgt die Definition des Ausführungszeitpunkts,des Ausführungsverzeichnisses und der auszuführenden Befehle. Imzweiten Bereich des Formulars legen Sie den oder die Benutzer fest, die die geplantenAufträge ausführen dürfen. Das war’s auch schon.Auch das AT-Modul besitzt eine Modulkonfiguration. Diese führt ähnlich wie dieCronjob-Modulkonfiguration die wichtigsten Eigenschaften des AT-Befehls auf.Webmin kompakt

132 Laufende Prozessewww.brain-media.de

1339 Laufende ProzesseFür den sicherheitsbewussten Administrator ist die Prozessverwaltung ein wichtigesHilfsmittel, um festzustellen, welche Prozesse auf dem System laufen, welcheBenutzer für welche Prozesse verantwortlich sind und wie es um die Speicherauslastungsteht. All das – und mehr – erfahren Sie im Webmin-Prozessmanager, denSie mit einem Klick auf Laufende Prozesse öffnen.Ein erster Blick auf den Prozessmanager.Jedes Programm, jeder Server und jeder Befehl, der auf Ihrem System ausgeführtwird, ist ein Prozess. Im Normalbetrieb sind auf Ihrem System nicht seltenDuzzende Prozesse aktiv. Bei einigen handelt es sich um Programme, mit denenWebmin kompakt

134 Laufende ProzesseSie interagieren, andere Prozesse laufen im Hintergrund, wieder andere führenSystem-Aufgaben durch.Bekanntlich besitzt ein Prozess eine Prozess-ID, gehört einem Benutzer und kannmehreren Gruppen zugeordnet sein. Die Gruppenzugehörigkeit bestimmt in ersterLinie die Privilegien, die ein Prozess besitzt.Wenn Sie den Prozessmanager öffnen, so stellen Sie fest, dass er Ihnen zunächsteine Vielzahl von Informationen präsentiert. Sie können die Ansicht über die Anzeigezeilesortieren, und zwar nach der PID, nach Benutzern, dem Speicher undder CPU-Auslastung. Außerdem steht Ihnen eine Suchfunktion zur Verfügung undSie können über den Link Ausführen gezielt Prozesse starten.Die Übersicht zeigt Ihnen außerdem die durchschnittliche CPU-Auslastung derletzten, der letzten fünf und der letzten fünfzehn Minuten in der Zeile CPU loadaverages an. Sie finden in der Übersicht außerdem den CPU-Typ des Systems.Wenn Sie die Sortierung beispielsweise nach der Prozess-ID ändern wollen, klickenSie unter Anzeige auf PID. In dieser Ansicht werden Ihnen vier Informationenangezeigt:• Prozess-ID• Besitzer• Zeitpunkt des Starts• BefehlWenn Sie die Benutzeransicht aktivieren, finden Sie eine etwas andere Reihenfolgevor:• Prozess-ID• CPU-Auslastung• Zeitpunkt des Starts• BefehldetailsIn der Speicheransicht werden Ihnen folgende Daten präsentiert:• Prozess-ID• Besitzer• Größewww.brain-media.de

Prozessdetails 135• BefehlsdetailsEin Problem stellt leider die Aktualität der Informationen dar. Diese scheinen nichtkontinuierlich aktualisiert zu werden. Auch eine manuelle Aktualisierung ist imProzessmanager nicht möglich. Damit schränkt sich der Einsatzbereich diesesWebmin-Moduls leider selbst stark ein. Sie können das leicht nachvollziehen,indem Sie auf eine Prozess-ID klicken. Bei vielen Prozesseinträgen wird als ProzessinformationDieser Prozess läuft nicht mehr ausgeben. Die Prozessliste entsprichtübrigens der Ausführung des Befehls ps x.9.1 ProzessdetailsGenerell rufen Sie Prozessdetails ab, indem Sie auf die Prozess-ID klicken. Sofernder Prozess noch aktiv ist, zeigt Ihnen Webmin immer das Feld Prozessinformationenund verschiedene Schaltflächen, mit denen Sie einen Prozess killen können an.Prozesse, die Unterprozesse erzeugen, werden in einem zweiten Bereich angezeigt.Die Prozessdetails von init.Den Prozessdetails können Sie den zugehörigen Befehl, die Prozess-ID, den Benutzer,die Größe, die Gruppenzugehörigkeit, die CPU-Beanspruchung, die Laufzeitund die Prozessgruppen-ID entnehmen.Webmin kompakt

136 Laufende ProzesseEine Besonderheit stellt das Auswahlmenü Nicelevel dar. Mit dem Nicelevel bestimmtman die Priorität eines Prozesses. Je höher dieser Level ist, desto eher lässtder Prozess anderen Prozessen den Vortritt. Ein Nicelevel von 20 stellt den„freundlichsten“ Prozess dar, bei dem fast immer andere Prozesse Vorrang haben.Ein Level von -20 bewirkt sehr unfreundliche Prozesse, die den Vorrang beanspruchen.Die negativen Level sollte man daher Systemprozessen und root belassen. Esmacht Sinn allen Benutzerprozessen einen positiven Nicelevel zu geben.Über das Auswahlmenü können Sie den Level des geöffneten Prozesses ändern.Dabei können Sie aus dem Wertebereich von -20 bis 20 schöpfen. Mit einem Klickauf Ändern speichern Sie die Einstellungen.Unterhalb der Prozessinformationen finden Sie sieben Schaltflächen, über die Sieverschiedene Prozess-spezifische Aktionen durchführen können:• Sende Signal: Mit diesem Kommando können Sie verschiedene Befehlean den Prozess senden. Mit HUB wird beispielsweise die Prozesskonfigurationneu eingelesen, mit STOP halten sie an, bis Sie sie mit CONT wiederfortsetzen.• Terminieren: Hiermit terminieren Sie den Prozess.• Killen: Dient dem „Abschießen“ des Prozesses.• Außer Kraft setzen: Mit einem Klick halten Sie den Prozess an.• Wiederaufnehmen: Hiermit führen Sie ihn wieder aus.• Prozess verfolgen: Hiermit öffnen Sie eine Java-basierte Prozessansicht,die zeigt, wann welche Aufrufe erfolgen und welche Rückgabe erfolgte.• Dateien und Verbindungen: Dieser Link zeigt Ihnen Informationen zuoffenen Dateien und Verbindungen, die mit dem Prozess zu tun haben.Der Prozessmanager zeigt auch Informationen zu offenen Dateien an.www.brain-media.de

Suche 1379.2 SucheEinen sehr guten Eindruck hinterlässt die Suchfunktion des Prozessmanagers. Mitdieser können Sie verschiedenste Suchkriterien für die Recherche verwenden. Sieöffnen sie Suche mit einem Klick auf den gleichnamigen Link.Die komfortable Suchfunktion des Prozessmanagers.Wie Sie voranstehender Abbildung entnehmen können, erlaubt das Suchformulardie Kombination der Kriterien Benutzer, Dateisystem, Datei, Port, Protokoll undIP-Adresse. Sie können außerdem eine beliebige Zeichenfolge und die CPU-Belastung eines Prozesses als Suchkriterium heranziehen.Das Suchergebnis wird in tabellarischer Form ausgegeben und erlaubt den direktenZugriff auf die gefundenen Prozesse.9.3 Prozess ausführenDer Prozessmanager stellt Ihnen eine weitere Funktion zur Verfügung: Über dasAusführen-Formular steht Ihnen eine recht überschaubare Funktion zur Verfügung,mit der Sie innerhalb von Webmin typische Aktionen wie die Ausgabe des Verzeichnisinhaltsoder auch die Prozessliste ausgeben können. Sie können dabei auchden ausführenden Benutzer und weitere Optionen definieren.9.4 ModulkonfigurationAuch der Prozessmanager verfügt über eine Modulkonfiguration. Deren Einstellungensind recht überschaubar. Sie können dort beispielsweise den Standardpro-Webmin kompakt

138 Laufende Prozessezesslistenstil anpassen. Konkret ist damit die Sortierreihenfolge anpassbar. Außerdemzeigt die Konfiguration das aktuelle Betriebssystem an.www.brain-media.de

Logrotate einsetzen 13910 Logfile-RotationÜber die Systemsteuerung von Webmin ist auch die Logfile-Rotation möglich.Dabei greift das Administrationswerkzeug auf logrotate zurück. Die auf IhremLinux-System installierten Daemons und Programme protokollieren standardmäßigje nach Konfiguration Hinweise und Fehler in einer oder auch mehreren Log-Dateien. Diese sind meist im Verzeichnis /var/log oder einem weiteren Unterverzeichniszu finden.Das Problem: Die Protokolldateien haben die Eigenschaft, immer weiter zu wachsen.Durch die zunehmende Größe werden sie unhandlich bei der Auswertung undirgendwann ist der Speicherplatz des Systems bzw. der jeweiligen Partition erschöpft.Einige Daemons wie beispielsweise Samba bieten intern die Möglichkeit,die Größe zu begrenzen, doch leider nicht alle. Da die Protokolldateien an unterschiedlichenSpeicherplätzen liegen und oft auch noch leicht unterschiedliche Syntaxverwenden, ist eine Lösung gefragt, die den Umgang mit den Protokolldateienvereinfacht.10.1 Logrotate einsetzenHier kommt Logrotate ins Spiel. Das bietet die Möglichkeit, den Umgang mitLogdateien u. a. bzgl. Anzahl der aufzubewahrenden Logdateien und Rotations-Rhythmus wie Zeit oder Größe zu konfigurieren. Die Logfile-Rotation funktionierthäufig nach folgendem Schema:1. Ältere Logdateien bzw. die Sequenz der Logdateien werden an einenanderen Speicherplatz kopiert, beispielsweise einen externen Netzwerkserver.2. Dann wird dem Prozess ein Signal gesendet, damit er die aktuell verwendeteLogdatei schließt und das Loggen kurzfristig unterbrichtoder Daten puffert.3. Als Nächstes werden die Daten der aktuellen Logdatei in eine neueDatei, z. B. logfile.1, übertragen.4. Dann löscht oder trunkiert man die aktuelle Logdatei.5. Nun kann der Prozess das Loggen wieder aufnehmen.Webmin kompakt

140 Logfile-Rotation6. Schließlich werden die Dateien aufgeräumt, komprimiert oder nichtmehr benötigte Dateien gelöscht.All das ist über das Logfile-Rotations-Modul von Webmin möglich. Beim Zugriffauf das Modul stellen Sie fest, dass es einen zweiten Reiter rechts oben besitzt.Dort werden das zugrunde liegende Programm und die Version angezeigt.Je nach Systemkonfiguration finden Sie bereits bei einer neuenLinux-Installation eine Fülle an Rotationsaufträgen.Neben der Logrotate-Version, die zum Einsatz kommt, zeigt Ihnen das Webmin-Modul alle bereits angelegten Rotationsaufträge an. Selbst bei einer Neuinstallationkönnen diese bereits recht umfangreich sein. Zu jedem Auftrag werden drei Informationenangezeigt:• die Protokolldatei samt Pfad• die Rotationsperiode• der Befehl, der nach der Rotation ausgeführt wirdwww.brain-media.de

Logrotate einsetzen 141Die Eigenschaften eines Rotationseintrags öffnen Sie durch einen Klick auf dieProtokolldateibezeichnung. Der zugehörige Dialog entspricht dem, den Sie beimErstellen eines neuen Auftrags erstellen. Um einen neuen Rotationsauftrag zu erstellen,folgen Sie einfach dem Link Neu zu rotierende Logdatei erstellen.Ein editierter Logrotationsauftrag.Schauen wir uns die verschiedenen Einstellungen an, die Sie beim Erstellen bzw.Editieren eines Rotationsauftrags nutzen können. Die Einstellungen im Einzelnen:• Logdateipfad: In diesem Eingabefeld geben Sie den Pfad zur Protokolldateian. Dieses lautet beim NTP-Dienst beispielsweise /var/log/ntp.Webmin kompakt

142 Logfile-Rotation• Rotationszeitplan: Hier legen Sie fest, wie oft die Rotation durchgeführtwird. Sie haben die Wahl zwischen folgenden Einstellungen:oooStandard (Wöchentlich)TäglichMonatlichFür welche Option Sie sich entscheiden, sollte von der Nutzung des Prozesses unddem Umfang der erzeugten Protokolldateien abhängig sein. Sie können beispielsweisedie Protokolldateien eines intensiv genutzten Apache-Webservers täglichund die des Zeitservers monatlich rotieren lassen.• Maximale Größe der Logdatei, bevor diese rotiert wird: Hier legen Siedie maximale Größe der Protokolldatei fest, bevor sie ausgetauscht wird.Sie können dabei eine Größenangabe in Kilo- oder Megabyte verwenden.Die entsprechenden Angaben könnten beispielsweise wie folgt aussehen:100k bzw. 100 M.• Anzahl an alten Logdateien, die aufbewahrt werden sollen: Hier legenSie fest, wie viele Protokolldateien aufbewahrt werden, bevor sie gelöschtoder per E-Mail verschickt werden. Wenn Sie den Wert Null verwenden,werden alte Versionen gelöscht anstatt rotiert. Webmin bietet Ihnen denStandardwert 4 an.• Komprimiere alte Logdateien? Mit diesem Schalter legen Sie fest, obdie alten Logdateien komprimiert werden sollen oder nicht. Für dieKomprimierung greift Webmin zu gzip. Bei sehr umfangreichen Protokolldateienempfiehlt es sich, die Komprimierung zu aktivieren.• Führe Komprimierung erst im nächsten Zyklus aus? Mit diesemSchalter können Sie die Komprimierung auf den nächsten Zyklus verschieben.In der Regel ist das nicht erforderlich.• Kürze Logdatei entsprechend? Sie können eine Protokolldatei kürzen.Auch das ist in der Regel nicht erforderlich.• Logdatei rotieren, auch wenn sie leer ist? Auch die Rotation einer leerenLogdatei ist möglich. In der Regel macht das keinen Sinn. Eine Rotationbeim Erreichen einer bestimmten Speicherplatzbelegung erscheintsinnvoller.• Ignoriere Logdatei, wenn sie nicht existiert? Sollte die Protokolldateinicht existieren, so kann logrotate diese ignorieren. Setzen Sie diese Einstellungauf Nein, damit gegebenenfalls eine Fehlermeldung ausgegebenwww.brain-media.de

Logrotate einsetzen 143wird, sollte die Protokolldatei nicht gefunden werden, weil beispielsweisedie Pfadangabe nicht korrekt ist.• Erzeuge eine neue Logdatei nach der Rotation? Hier legen Sie fest, obund wenn ja, mit welchen Rechten eine neue Logdatei nach der Rotationerzeugt wird. Behalten Sie die Einstellung Standard (Ja, mit bisherigenRechten) bei.• Speichere alte Logdateien in: Mit diesem Feld legen Sie fest, wo die rotiertenDateien gespeichert werden. Standardmäßig werden sie im gleichenVerzeichnis gespeichert. Sie sollten sie in ein anderes Verzeichnisverschieben. Wichtig ist allerdings, dass dieses das gleiche Dateisystemverwendet, wie das, auf dem sie erzeugt wurden.• Dateiendung für die rotierten Logdateien: Hier legen Sie fest, welcheDateierweiterung die rotierten Dateien erhalten. Wenn die Kompressionaktiviert ist, bekommen die Logdateien die Kompressionserweiterung (.gzbei gzip) nach der angegebenen Erweiterung.• Maile die Logdatei bevor sie gelöscht wird? Soll die Logdsatei vor demLöschen per E-Mail verschickt werden, so geben Sie hier die E-Mail-Adresse an. Standardmäßig wird sie nicht verschickt.• Logdatei, der per E-Mail versendet werden soll: Hier legen Sie fest,welche Protokolldateien verschickt werden sollen. Behalten Sie die StandardeinstellungStandard (Älteste, die danach gelöscht wird) bei.• Befehl, der vor der Rotation ausgeführt wird: Sie können Befehle vorder Rotation ausführen. Diese geben Sie in diesem Eingabefeld an. Siekönnten beispielsweise die Rechte bearbeiten.• Befehl, der nach dem Rotieren ausgeführt werden soll: Entsprechendkönnen Sie auch Befehle nach der Rotation ausführen. Auch hier sind insbesondereKommandos für das Bearbeiten der Zugriffsrechte zu nennen.Beim NTP-Prozess ist es beispielsweise chmod 644 /var/log/ntp.• Lasse die Skripte nur einmal für alle Dateien laufen? Schließlich könnenSie festlegen, ob die Kommandos für alle Dateien einmal ausgeführtwerden sollen. Hier ist Vorsicht geboten, damit Sie bei der Befehlsausführungnicht versehentlich Dateien löschen oder eine andere ungewollte Aktionausführen.Am Fuße des Formulars finden Sie zwei wichtige Schaltflächen: Über Speichernnehmen Sie die Änderungen vor, über Rotate Now erzwingen Sie eine direkte Rotation.Webmin kompakt

144 Logfile-RotationDie Rotationsübersicht erlaubt zwei weitere wichtige Aktionen: Über die SchaltflächeEditiere Zeitplan können Sie einen Cronjob für die Rotation einrichten.Dazu klicken Sie auf die Schaltfläche Editiere Zeitplan. Außerdem können Sieüber die Schaltfläche Force Log Rotation eine unmittelbare Rotation aller Protokolldateienerzwingen.10.2 ModulkonfigurationDie Modulkonfiguration für das Modul Logdatei-Rotation fällt recht bescheidenaus. Sie können insbesondere die Sortierung der Logdateien anpassen. Standardmäßigwerden sie nach der Reihenfolge in der Konfigurationsdatei aufgeführt. Siekönnen aber auch eine alphabetische Sortierung mit der Option Logdateinamewählen.Die Modulkonfiguration für den Logfile-Austausch.Außerdem zeigt Ihnen die Modulkonfiguration den Pfad zur logrotate-Konfigurationsdatei logrotate.conf und den Pfad zu logrotate.www.brain-media.de

14511 DateisystemeDateisysteme sind ein wesentliches Element eines jeden Betriebssystems, denn imDateisystem sind die Daten eines Computers in Form von Dateien gespeichert. DasDateisystem selbst ist ein Ordnungs- und Zugriffssystem für diese Daten. Zugriffsroutinenfür Dateisysteme sind Bestandteil des Betriebssystems. Meist wird auchdas Betriebssystem des Computers ebenfalls in einem Dateisystem gespeichert.Unter Linux werden Dateien in einer Baumhierarchie gespeichert, die dem root-Verzeichnis untergeordnet ist. Laufwerksbuchstaben wie man sie von Windowskennt, gibt es bei Linux nicht.Unter Linux wird mit dem Begriff Mountpoint der Ort in der Verzeichnisstrukturbezeichnet, an dem ein Datenträger eingehängt wird. Um dies zu erreichen, mussein Verzeichnis vorhanden sein, unter dem die Verzeichnisstruktur des entsprechendenDatenträgers, beispielsweise ein CD-ROM-Laufwerk, eingebunden wird.Danach kann über dieses Verzeichnis auf die CD-ROM zugegriffen werden.Die für das System wichtigen Datenträger bzw. Partitionen werden automatischbeim Systemstart gemountet und beim Herunterfahren wieder ungemountet. DieDateien, die durch einen Mountpoint eingebunden werden, bezeichnet man alsDateisystem.Nun unterstützt Linux alle relevanten Dateisysteme. Insbesondere das Hinzufügenneuer Mounts ist möglich. Mountpoints werden in der Datei fstab (FilesystemTable) angegeben, in der auch Eigenschaften wie Benutzerrechte, Schreibrechte,Leserechte etc. vordefiniert werden können. Sie finden die fstab-Datei in der Regelin /etc/fstab.Der Zugriff auf diese Informationen erfolgt über das Modul Lokale und Netzwerk-Dateisysteme. Wie Sie der Modulbezeichnung entnehmen können, erlaubt es nichtnur das Bearbeiten und Erstellen von lokalen Dateisystemen, sondern auch vonNetzwerkdateisystemen.Webmin kompakt

146 DateisystemeDie Übersicht der auf dem System vorhandenen Dateisysteme.Beim Zugriff auf das Dateisystemmodul präsentiert Ihnen dieses folgende Informationen:• Gemountet als: Hier wird die Bezeichnung des Dateisystems bzw. desvirtuellen Speichers angegeben.• Typ: Hier listet die Tabelle den Dateisystemtyp auf, also beispielsweiseReiser, Windows NT Filesystem etc.• Ort: Hier erfahren Sie, wo sich das Dateisystem befindet. Neben Partitionenauf Festplatten können auch wie bereits erwähnt Netzwerklaufwerkewie Samba-Shares aufgeführt werden.• Z.Z. benutzt? Zeigt an, ob das Dateisystem in Verwendung ist oder nicht.• Permanent? Zeigt an, ob das Dateisystem permanent aktiv oder deaktiviertist.Wenn Sie ein neues Dateisystem hinzufügen wollen, so bestimmen Sie zunächstaus dem mächtigen Auswahlmenü den gewünschten Typ. Die für das Erstellen undwww.brain-media.de

ext3-Dateisystem erstellen 147für die Konfiguration des jeweiligen Dateisystemtyps verfügbaren Einstellungensind naturgemäß unterschiedlich.Das Hinzufügen eines NFS-Dateisystems.Wir wollen uns daher das Erstellen von verschiedenen Dateisystemen etwas genaueransehen. Wenn Sie diese kennengelernt haben, sind Sie problemlos in derLage, einen der anderen Typen zu erstellen.11.1 ext3-Dateisystem erstellenBeginnen wir mit einen ext3-Dateisystem, das bei vielen Linux-Systemen als Standarddateisystemverwendet wird. Wählen Sie dazu den Eintrag New Linux NativeFilesystem (ext3) aus und klicken Sie auf die Schaltfläche Füge Mount hinzu.Die Einstellungen im Einzelnen (verschiedenen Einstellungen werden Sie bei anderenDateisystemtypen immer wieder begegnen):• New Linux Native Filesystem Mount-Details: Hier legen Sie allgemeineEigenschaften des neuen Systems fest.Webmin kompakt

148 Dateisysteme• Gemountet als: Hier legen Sie das Verzeichnis für das neue Dateisystemfest. Existiert es nicht, wird es erstellt.• Speichere Mount? Wenn Sie wollen, dass Ihr neues System beim nächstenSystemstart automatisch gemountet wird, aktivieren Sie die OptionSpeichern und Mounten beim Bootup.Das Anlegen eines neuen Dateisystems.• Jetzt mounten? Wenn Sie das Dateisystem direkt nutzen wollen, wählenSie die Option Mounten.• Überprüfe Dateisystem beim Bootup? Mit diesem Schalter legen Siefest, ob das Dateisystem mit fsck beim Booten überprüft werden soll –und zwar vor dem Mounten. Dazu aktivieren Sie die Option Überprüfezuerst. Mit der Option Überprüfe als zweites findet der Check nach demMounten statt.• New Linux Native Filesystem: Über dieses Auswahlmenü bestimmenSie die Festplatte bzw. ein anderes Gerät, auf dem die Partition erzeugtwerden soll.www.brain-media.de

ext3-Dateisystem erstellen 149Es folgen die erweiterten Mount-Einstellungen, mit denen Sie die allgemeinenMount-Optionen und die spezifischen ext2- bzw. ext3-Optionen anpassen können.Zuerst sind die allgemeinen Mount-Optionen dran:• Schreibgeschützt? Hier legen Sie fest, ob das Dateisystem schreibgeschütztist oder nicht. Dabei kommen die Mount-Optionen ro bzw. rwzum Einsatz.• Gepuffertes Schreiben auf dem Dateisystem? Hier bestimmen Sie, obder Input bzw. Output zum Dateisystem synchronisiert erfolgt oder nicht.Ein synchrones Mounten stellt eine gute Methode dar, die Zuverlässigkeitdes Systems zu erhöhen, kann aber auch negative Auswirkungen auf diePerformance haben. Die Mount-Option ist sync bzw. async.• Erlaube Gerätedateien? Hiermit legen Sie fest, ob auch Gerätedateien(dev) auf dem neuen Dateisystem gespeichert werden dürfen oder nicht.Die Mount-Option ist dev für das Aktivieren bzw. nodev für das Deaktivierender Gerätedateiunterstützung. Die Option nodev verhindert, dassDevice-Dateien als solche interpretiert werden. Die Option ist aus Sicherheitsgründeninsbesondere für CD-ROM-, DVD- und Diskettenlaufwerkesinnvoll.• Erlaube das Ausführen von Programmen? Mit dieser Option legen Siefest, ob die Ausführung von Programmen zulässig ist oder nicht. Die relevantenMount-Optionen sind exec bzw. noexec. Diese Optionen legenfest, ob auf dem Dateisystem befindliche Programme unter Linux ausgeführtwerden dürfen oder nicht. Bei den meisten Dateisystemen gilt standardmäßigdie Einstellung exec. Sicherheitsbewusste Administratorenvergeben für CD-ROM-, DVD- und Diskettenlaufwerke aber die Optionnoexec.• Verbiete Setuid-Programme? Hier legen Sie fest, dass SUID- undSGID-Bits nicht interpretiert werden. Die zugehörigen Mount-Optionensind suid und nosuid.• Erlaube Benutzern das Mounten des Dateisystems? Mit dieser Einstellunglegen Sie fest, wer das Dateisystem einhängen darf. Wenn Sie dieOption Ja verwenden, darf ein normaler Benutzer das Dateisystem einhängen.Ansonsten darf dies nur root. Wenn Sie Nein wählen, darf nurroot das Dateisystem einhängen. Die Mount-Optionen lauten user undnouser.Webmin kompakt

150 DateisystemeEs folgen die ext2/ext3-spezifischen Optionen. Dies sind:• Reservierte Blöcke in Dateisystemgröße einrechnen? Hiermit legen Siefest, ob die reservierten Blöcke verwendet werden dürfen oder nicht. Dieentsprechenden ext-Optionen sind resgid und resuid.• Aktion bei Fehler: Über dieses Auswahlmenü bestimmen Sie, wie beiFehlern vorzugehen ist. Sie können beispielsweise das Mounten weiterdurchführen oder in den Panikmodus wechseln.• Dateien erben übergeordnete GID? Hier legen Sie fest, ob die Dateiendie übergeordnete Gruppen-ID erben. In der Regel ist das nicht gewünscht.• Benutze Quoten? Hier bestimmen Sie, ob Sie Speicherplatzbeschränkungenfür Benutzer oder Gruppen verwenden wollen.• Reserviere Platz für Benutzer/Gruppe: Mit den beiden letzten Einstellungenbestimmen Sie, ob Sie Speicherplatz für bestimmte Benutzer oderGruppen reservieren wollen.11.2 Windows-DateisystemBefindet Sie auf Ihrem System eine Windows-Partition, so können Sie auch diesenDateisystemtyp mit Webmin mounten. Windows-Partitionen verwenden entwederdas vat- (Windows 95 und seine Nachfolger) oder das NTFS-Dateisystem (Windows2000, XP und deren Nachfolger). Linux unterstützt beide Typen. Dazu wählenSie einfach auf der Typenliste Windows Filesystem (vfat) oder Windows NTFilesystem (ntfs).Die Einstellungen für ein NTFS-Dateisystem.www.brain-media.de

Automounter 151Wenn Sie sich die Einstellungen für das NTFS-Dateisystem genauer ansehen,stellen Sie fest, dass diese weit weniger umfangreich ausfallen. Sie finden eigentlichnur zwei NTFS-spezifische Einstellungen:• Benutzerdateien gehören: Hier legen Sie fest, wem die Benutzerdatengehören.• Gruppendateien gehören: Und hier, wem die Gruppendateien gehören.11.3 AutomounterWenn Sie bereits mit Windows gearbeitet haben, kennen Sie vermutlich die Autostart-Funktion,die beim Einlegen einer neuen CD oder DVD den geeignetenPlayer oder das Installationsprogramm startet. Auch unter Linux steht Ihnen eineentsprechende Funktion zur Verfügung: der Automounter.Besitzt Ihr System keine entsprechende Konfiguration, so können Sie diese erzeugen.Mit Automounter können Sie sogar auf einen NFS-Server zugreifen.Das Anlegen eines Automounters.Das Anlegen eines Automounters ist ebenfalls recht einfach. Wählen Sie aus demAuswahlmenü den Typ New Automounter Filesystem (autofs). Bezeichnen Siedann das Dateisystem und weisen Sie ihm gegebenenfalls die AutoFS-spezifischenEinstellungen zu.Webmin kompakt

152 Dateisysteme11.4 Samba-FreigabeDas smbfs ist ein Windows-Protokoll, das den Zugriff auf Windows-Netzwerkfreigaben erlaubt. Wenn Sie in Ihrem Netzwerk Daten für Windows- undLinux-Clients zur Verfügung stellen wollen, so ist dies eine praktikable Lösung.Um ein smbfs-Dateisystem zu erstellen, wählen Sie zunächst den Typ WindowsNetworking Filesystem (smbfs) aus dem Auswahlmenü aus.Die Konfiguration des smb-Dateisystems.Unter Mount-Details bestimmen Sie zunächst die Bezeichnung und geben dannunter Servernamen den Namen des Servers bzw. dessen IP-Adresse ein, gefolgtvon dem Freigabenamen.Da der Zugriff auf eine Windows-Netzwerkfreigabe eigentlich durch eine Kennungund ein Passwort gesichert sein sollte, geben Sie unter den erweiterten Mount-Einstellungen den Anmeldenamen und das Passwort an.www.brain-media.de

Modulkonfiguration 15311.5 ModulkonfigurationAuch das Modul Lokale und Netzwerk-Dateisysteme besitzt eine Modulkonfiguration,in der Sie verschiedene Einstellungen bearbeiten bzw. einsehen können. WieSie es von anderen Modulkonfigurationen kennen, erlaubt diese die Anpassungverschiedener Einstellungen und präsentiert Ihnen verschiedene systemspezifischeKonfigurationen. Die konfigurierbaren Optionen:• Server, von dem Browser-Liste geholt werden soll: Hier legen Sie fest,von wo sich Webmin die Informationen zu Windows-Freigaben holt.• Benutze lange Dateisystem-Typen: Standardmäßig werden lange Dateisystemtypenverwendet.• Sortiere Dateisysteme nach: Hier legen Sie die Sortierung der Dateisystemefest. Sie haben die Wahl zwischen folgenden Optionen:oooEinhängepunktArtReihenfolge in Datei• Delete directory when un-mounting if under: Schließlich können Siedas Löschen des Verzeichnisses erzwingen.Die Konfiguration des Dateisystemmoduls.Webmin kompakt

154 DateisystemeUnter Systemkonfiguration erfahren Sie schließlich, wo die fstab-Datei zu findenist. Außerdem werden die Pfade zum smbclient und zu nmblookup aufgeführt.www.brain-media.de

15512 PAM-AuthentifizierungÜber Webmin ist auch die Steuerung der PAM-Authentifizierung möglich. Diezugehörigen Funktionen finden Sie hinter dem gleichnamigen Link in derWebmin-Systemsteuerung.PAM (Pluggable Authentication Modules) ist eine Softwarebibliothek, die eineallgemeine Programmierschnittstelle (API) für Authentisierungsdienste zur Verfügungstellt. Die Funktionsweise von PAM ist recht einfach: Statt die Einzelheitender Authentisierung in jeder Applikation neu zu formulieren, bietet die PAM-APIeinen standardisierten Dienst in Form von Modulen an.Die PAM-Übersicht.Webmin kompakt

156 PAM-AuthentifizierungIn einer Konfigurationsdatei kann der Systemadministrator die Authentisierungsmoduleeinzelnen Diensten zuordnen, ohne dafür die Software, die diese Diensterealisiert, neu kompilieren zu müssen. Damit vereinfacht sich die Zuweisung vonBerechtigungen natürlich erheblich – vorausgesetzt, man kann die Technik richtigeinsetzen.12.1 PAM-BasicsUm das PAM-Modul effektiv einsetzen zu können, muss man sich zumindest mitden Grundlagen von PAM ein wenig auseinandersetzen. PAM verwendet mehrereKonfigurationsdateien, die in der Regel im Verzeichnis /etc/pam.d/ liegen.Ein Beispiel für die PAM-Konfiguration des Cron-Daemons:## The PAM configuration file# for the cron daemon#auth sufficient pam_rootok.soauth include common-authaccount includepassword includesession includecommon-accountcommon-passwordcommon-sessionFür jedes Programm ist dort jeweils eine Konfigurationsdatei zu finden. DieseKonfigurationsdateien enthalten pro Zeile eine Anweisung bzw. einen Kommentaroder eine Leerzeile. Eine Anweisung besteht aus drei oder mehr Argumenten. Daserste Argument vom Typ type zeigt PAM, welche Art von Authentifikation für einModul vollzogen werden soll. Auch die Nutzung mehrerer Module der gleichenArt ist möglich. In einem solchen Fall muss der Benutzer alle Anforderungen derverschiedenen Module erfüllen.PAM kennt vier verschiedene Typen vom Typ type:• account: Spezifiziert, ob sich ein Benutzer einloggen darf.• auth: Prüft, ob ein Benutzer auch derjenige ist, für den er sich ausgibt.• password: Erlaubt dem Benutzer über diese Applikation sein Passwort zuändern.www.brain-media.de

PAM-Basics 157• session: Setzt dem Benutzer nach der Authentifizierung seine Umgebung.Das zweite Argument vom Typ control bestimmt, welche Aktion unternommenwird, wenn die Authentifizierung fehlschlägt. Hierfür gibt es folgende Möglichkeiten:• requisite: Ein Authentifizierungsfehler in diesem Modul führt zu direktenAbbruch der kompletten Authentifizierung.• required: Ein Authentifizierungsfehler in diesem Modul führt zu einemAbbruch der Authentifizierung, aber Module mit dem gleichen Typ könnennoch abgearbeitet werden.• sufficient: Ist die Authentifizierung mit diesem Modul erfolgreich, ist esdie Authentifizierung auch, selbst wenn ein vorheriges Modul nicht erfolgreichwar.• optional: Dieses Modul ist nur signifikant, wenn es das einzige Modul fürdiesen Dienst ist.Das dritte Argument bestimmt, welches Modul PAM verwenden soll und optional,wo dieses zu finden ist. Die meisten Konfigurationsanweisungen enthalten nur denNamen. In diesem Fall schaut PAM in dem vorgegebenen Konfigurationsverzeichnisnach. Ansonsten wird im vollqualifizierten Pfad nach dem Modul gesucht.PAM kann außerdem noch weitere Optionen für die jeweiligen Module verwenden.Wird beispielsweise die Option pam unix.so übergeben, so werden leerePasswörter akzeptiert.Beim Zugriff auf das PAM-Modul listet das Modul all jene Dienste auf, die bereitsfür das Zusammenspiel mit PAM konfiguriert sind. Wenn Sie einen neuen PAM-Dienst erstellen wollen, klicken Sie auf Add a new PAM service, geben den Servicenamenund eine Beschreibung an. Außerdem legen Sie fest, welche PAM-Module zum Einsatz kommen. Mit einem Klick auf Erstellen landen Sie in derRAM-Dienstliste, über die Sie den neuen Eintrag editieren können.Webmin kompakt

158 PAM-AuthentifizierungEin editierter PAM-Eintrag.Sie editieren einen Eintrag, indem Sie auf dessen Service-Bezeichnung klicken. Inder editierten Ansicht erkennen Sie sehr schön die Einstellungen für die vierSchritte Authentifizierung, Verifizierung, Session-Einstellungen und Passwortänderung.Jedem dieser Schritte können Sie nun PAM-Module zuweisen. In voranstehenderAbbildung ist beispielsweise der CUPS-Dienst editiert. Diesem ist bereits das Modulcommon-auth zugewiesen. Um Einstellung zu ändern, wählen Sie ein neuesModul aus der Auswahlliste aus und bestätigen mit Add Step for.Es öffnet sich ein weiterer Dialog, in dem Sie die Eigenschaften des Moduls bestimmen.In den Moduloptionen werden Ihnen drei Einstellungen angezeigt:• Über das Auswahlmenü Failure level bestimmen Sie eine der vier Aktionen,die beim Fehlschlagen der Authentifizierung durchgeführt werden.Die möglichen Aktionen (Required, Requisite, Sufficient und Optional)sind bereits oben beschrieben. Außerdem können Sie über das Feld Modulearguments weitere Schalter an das Modul übergeben. Für eine detaillierteBeschreibung sei auf die PAM-Dokumentation verwiesen, über dieSie in der PAM-Liste (Suche in der Hilfe) zugreifen.www.brain-media.de

Modulkonfiguration 159Die Eigenschaften des neuen PAM-Moduls.• Über die PAM-Moduloptionen können Sie diese aktuelle Konfigurationauch löschen. Dazu klicken Sie am rechten Rand auf die Schaltfläche Löschen.• Mit einem Klick auf Speichern landen Sie wieder im Editiermodus. WennSie in einem Schritt mehrere PAM-Module zugewiesen haben, können Siederen Reihenfolge über die Spalte Move verändern.Sollten Sie den PAM-Service nicht mehr benötigen, so öffnen Sie dessen Eigenschaftenund klicken auf die Schaltfläche Delete PAM Service am unteren Ende desFormulars.12.2 ModulkonfigurationDie Modulkonfiguration für das PAM-Modul liefert Ihnen verschiedene Informationenüber den Pfad des PAM-Konfigurationsverzeichnisses und die PAM-Bibliotheken. Außerdem können Sie die zu ignorierenden Dateien und die äquivalentenModule festlegen.Die PAM-Modulkonfiguration.Webmin kompakt

160 PAM-Authentifizierungwww.brain-media.de

16113 Umgang mit PasswörternÜber die Webmin-Systemverwaltung können Sie außerdem recht einfach das Benutzerpasswortändern. Webmin stellt Ihnen hierfür eine Schnittstelle zum Kommandopasswd zur Verfügung.Mit einem Klick auf Passwort ändern öffnet sich die Liste der bereits vorhandenenSystembenutzer. Um beispielsweise Root ein neues Passwort zuzuweisen, klickenSie auf den Root-Eintrag.Um dem Benutzer ein neues Passwort zuzuweisen, geben Sie es in das Passwortfeldein und wiederholen die Eingabe im Feld Neues Passwort (bestätigen). Damitdie Änderung auch in anderen Modulen greift, sollten Sie die Option Das Passwortauch in anderen Modulen ändern aktivieren.Das Ändern eines Benutzerpassworts.Die Modulkonfiguration erlaubt vier Anpassungen:• Maximalanzahl anzuzeigender Benutzer: Hier legen Sie fest, wie vieleBenutzer maximal in der Übersicht angezeigt werden. Der Standardwertlautet 200 und muss gegebenenfalls nach oben korrigiert werden.• Art der Benutzerauswahl: Das Passwort-ändern-Modul präsentiert dieBenutzer standardmäßig als Textfeld. Sie können diese aber auch über einWebmin kompakt

162 Umgang mit PasswörternAuswahlmenü auswählen, indem Sie sich für die Option Auswahlfeld entscheiden.• Sortiere Benutzer nach: Hier bestimmen Sie die Reihenfolge, in der dieBenutzer aufgeführt werden. Standardmäßig werden Sie in der Reihenfolgeangezeigt, in der Sie in der Benutzerdatei eingetragen sind. Sie könnendie Sortierung aber auch nach dem Benutzernamen ändern.• Befehl zur Passwort-Änderung: Hier legen Sie fest, ob die Änderung direktin die Systemdateien geschrieben wird oder ob Sie ein benutzerdefiniertesKommando bevorzugen.www.brain-media.de

16314 Software-PaketeEin Linux-System – unabhängig davon, ob Sie es als Server oder Workstationeinsetzen – lebt von Anwendungen. Diese werden durch Software-Pakete bereitgestellt,die mehr oder minder komplexe Aufgaben erledigen. Manche Anwendungensind abhängig von anderen und nur mit der Installation notwendiger Komponentenlauffähig. Alles in allem ist die Software-Verwaltung eine komplexe Sache.Für die Installation und Deinstallation von Programmen bieten sich mehrere Wegean. Sie können das manuell oder mithilfe eines Paketmanagers erledigen. DerWichtigste ist RPM (Red Hat Paket Manager). Dieses Installationskonzeptwurdevon Red Hat entwickelt und als Open-Source der Linux-Gemeinschaft zurVerfügung gestellt. Die RPM-Technik erlaubt es, Software zu installieren, zu deinstallieren,zu aktualisieren oder eine Installation zu prüfen.Die Webmin-Software-Verwaltung.Webmin kompakt

164 Software-PaketeWebmin stellt Ihnen über seine Webschnittstelle eine einfache Software-Verwaltung zur Verfügung, die auf den Funktionen des RPM-Managers basiert.14.1 Umgang mit dem PaketmanagerDer Paketmanager stellt Ihnen zunächst einmal die Suchfunktion zur Verfügung,mit der Sie prüfen können, ob ein bestimmtes Paket verfügbar ist. So können Sieschnell prüfen, ob eine gewünschte Anwendung oder Komponente bereits installiertist.Wird die Suche fündig, gibt sie Ihnen einen mehr oder minder umfangreichenBericht aus, dem Sie beispielsweise entnehmen können, welche Version installiertist und wann sie installiert wurde.Die Paketdetails, die von der Suche ausgegeben werden.Über die Schaltfläche Dateien auflisten können Sie außerdem die Paketdateienausgeben. Auch die Deinstallation des Pakets ist über die gleichnamige Schaltflächemöglich.Die Suchfunktion unterliegt allerdings einer erheblichen Einschränkung: Wird dieSuche nicht fündig, gibt Sie lediglich eine kurze Meldung aus, dass keine Paketegefunden werden konnten. Eine Installation ist nicht möglich – im Unterschied zuYaST und anderen Lösungen.www.brain-media.de

Umgang mit dem Paketmanager 165Neben der Suche finden Sie eine weitere nützliche Funktion: den Paketbaum(Package Tree). Mit diesem Baum können Sie durch die verschiedenen Paketästenavigieren.Der Paketbaum.Die Installation eines neuen Pakets ist recht einfach, solange es sich um ein RPM-Paket handelt. Unter Neues Paket installieren bestimmen Sie den Speicherort derRPM-Datei. Sie haben die Wahl zwischen:• lokaler Datei• heraufgeladener Datei• FTP- oder HTTP-Server• Suche in rpmfindWenn Sie die Datei ausgewählt haben, klicken Sie einfach auf Installieren.Webmin kompakt

166 Software-PaketeDie folgenden Installationsoptionen sind von Linux-Distribution zu Linux-Distribution unterschiedlich. In der Regel können Sie Abhängigkeiten ignorieren(was Sie aber nicht tun sollten), eine neuere Version durch eine ältere ersetzen undDateien überschreiben. Für welche Option Sie sich am besten entscheiden, mussim Einzelfall abgewägt werden.Die Dateiinformationen verraten Ihnen, zu welchem Paket ein Befehl gehört.Wenn Sie zwar einen Befehl eines Pakets kennen, nicht aber dessen Paketbezeichnung,so können Sie diese durch das Suchfeld Datei identifizieren herausfinden.Angenommen Sie wollen wissen, zu welchem Paket der Passwortbefehl passwdgehört, dann uchen Sie nach passwd. Das Ergebnis verrät Ihnen, dass der Befehl zuden pwutils gehört.14.2 ModulkonfigurationAuch das Software-Paket-Modul besitzt eine Modulkonfiguration, in der Sie zweiAnpassungen vornehmen können:• System-Paket-Managementsystem: Hier legen Sie fest, ob Sie RPModer ein anderes Paketmanagementsystem verwenden.• Update-System: Hier legen Sie fest, welches Update-System zum Einsatzkommen soll. Es empfiehlt sich, die Standardvorgabe Detectautomatically beizubehalten.www.brain-media.de

Modulkonfiguration 16715 System-ProtokolldateienFür den Systemadministrator sind die System-Protokolldateien eine der wichtigstenInformationsquellen, wenn er wissen will, wie es einem System so geht. Da inLinux-Systemen nahezu jede Aktion protokolliert werden kann, kann man (fast)immer nachvollziehen, was wann wo passiert oder eben schiefgelaufen ist.Logging wird gerade aus Sicherheitsgründen immer wichtiger, denn man kannbeispielsweise im Nachhinein erkennen, wann und wo im System ein Einbruchsversuchgelaufen ist.Einziges Problem: Der Standard-Syslog-Daemon unter Linux ist in vielerlei Hinsichtsehr eingeschränkt. Er wurde inzwischen durch die WeiterentwicklungSyslog-NG abgelöst. Inzwischen nutzen alle wichtigen Distributionen diese Variante.Dank Webmin haben Sie auch Zugriff aufdie von Syslog-NG produzierten Daten.Über das Webmin-Modul können Sie Syslog-NG entsprechend Ihren Anforderungenanpassen. Sie können Log-Sourcen erstellen, Filter und Ziele definieren. Diezugehörigen Protokolldateien finden Sie in der Regel im Verzeichnis /var/log. DieKonfigurationsdatei für Syslog-NG (syslog-ng.conf) ist unter /etc/syslog-ng zufinden.Über die Syslog-NG-Funktionen passen Sie nicht nur die Syslog-Einstellungen unddie zu protokollierenden Prozesse an, sondern Sie können die Protokolldateienauch einsehen.Webmin kompakt

168Bevor Sie sich mit den Protokolldateien auseinandersetzen, machen Sie sich ambesten zunächst an die Protokolloptionen. Überfliegen Sie die Standardeinstellungen,ob diese Ihren Vorstellungen entsprechen.Die Konfiguration der Protokollierung.Für den Anfang genügt es, wenn Sie die Standardeinstellungen beibehalten.www.brain-media.de

16916 SystemstartHinter dem Link System-Start und Stop verbergen sich die Anpassungsmöglichkeitenfür das Booten und das Herunterfahren Ihres Systems. Konkret geht es alsodarum, welche Anwendungen beim Systemstart in welchen Einstellungen geladenwerden.Die Einstellungen für das Booten und Herunterfahren Ihres Systems.Mit diesem Webmin-Modul können Sie die Skripts editieren und bearbeiten, diebeim Starten bzw. Herunterfahren Ihres Systems ausgeführt werden. Wenn Sie aufdas Modul zugreifen, listet es Ihnen eine Vielzahl von Aktionen auf, die bereits inden Systemstart eingebunden sind bzw. in diesen eingebunden werden können.Webmin kompakt

170 SystemstartNeben der Aktion führt das Formular den Status (ob die Aktion beim Systemstartebenfalls gestartet wird oder nicht) und eine Kurzinfo auf.16.1 Dienst bearbeitenSchauen wir uns genauer an, welche Funktionen dieses Modul zu bieten hat. DerEinfachheit halber schauen wir uns die Einstellungen eines Dienstes an, von demwir wissen bzw. vermuten, dass er beim Systemstart geladen wurde. Nehmen wirbeispielsweise das Drucksystem, das bei Standardsystemen immer installiert ist.Suchen Sie in der Aktionsliste einfach den Eintrag cups. In der Statusspalte solltedie Info Ja zu finden sein, die Ihnen anzeigt, dass das Drucksystem gestartet ist.Das Bearbeiten des CUPS-Dienstes.Der Editierdialog führt zunächst die Dienstbeschreibung und dann das eigentlicheSkript auf. Wichtig für die Ausführung ist der Schalter Start beim Systemstart. Hierlegen Sie fest, ob der Dienst nun automatisch gestartet wird oder nicht.Es folgen verschiedene nützliche Schaltflächen, über die Sie den Dienst steuernkönnen:• Speichern: Mit einem Klick übernehmen Sie Änderungen an dem Start-Skript.• Jetzt starten: Diese Schaltfläche erlaubt das manuelle Starten des Dienstes.www.brain-media.de

Dienst bearbeiten 171• Jetzt neu starten: Erlaubt das erneute Starten des Dienstes.• Zeige Status: Mit dieser Prüffunktion können Sie den Status des Druckdienstesabrufen. Der kann beispielsweise Running für Laufend ausgeben.• Jetzt stoppen: Mit einem Klick halten Sie den Dienst sofort an. DieseFunktion benötigen Sie beispielsweise, wenn Sie Änderungen an demStartskript durchführen wollen.• Löschen: Mit der letzten Schaltfläche können Sie schließlich den Dienstlöschen.Hier erfahren Sie, wie es um den Status des CUPS-Dienstes bestellt ist.Die Anpassung eines Start-Skripts ist sicherlich nichts für unbedarfte Anwender.Hier ist eine Menge Hintergrundwissen zum jeweiligen Dienst und zum Boot-Vorgang als solchem erforderlich.Damit Sie einen Eindruck bekommen, wie ein solches Skript aussehen kann, hierein Ausschnitt aus dem CUPS-Skript:# /etc/init.d/cupsd## and symbolic its link## /sbin/rccupsd## System startup script for the CUPS printer daemon#### BEGIN INIT INFO# Provides: cupsdWebmin kompakt

172 Systemstart# Required-Start: $local_fs $remote_fs $syslog# Required-Stop: $remote_fs $syslog# Should-Start: earlykdm hotplug named portmap ptalslpd printbill hplip# Should-Stop: portmap# Default-Start: 2 3 5# Default-Stop: 0 1 6# Description: Start CUPS printer daemon### END INIT INFO# Source SuSE config, only if exists with size greater zerotest -s /etc/rc.config && \. /etc/rc.config# Shell functions sourced from /etc/rc.status:# rc_check check and set local and overall rcstatus# rc_status check and set local and overall rcstatus# rc_status -v ditto but be verbose in local rcstatus# rc_status -v -r ditto and clear the local rc status# rc_failed set local and overall rc status tofailed# rc_failed set local and overall rc status to# rc_reset clear local rc status (overall remains)# rc_exit exit appropriate to overall rc statusCUPSD_BIN=/usr/sbin/cupsdtest -s /etc/rc.status && \www.brain-media.de

Dienst bearbeiten 173. /etc/rc.statustest -s /etc/sysconfig/cups && \. /etc/sysconfig/cupstest -x $CUPSD_BIN || exit 5# First reset status of this servicerc_reset# Return values acc. to LSB for all commands but status:# 0 - success# 1 - generic or unspecified error# 2 - invalid or excess argument(s)# 3 - unimplemented feature (e.g. "reload")# 4 - insufficient privilege# 5 - program is not installed# 6 - program is not configured# 7 - program is not running## Note that starting an already running service, stopping# or restarting a not-running service as well as the restart# with force-reload (in case signalling is not supported) are# considered a success.# change umask to avoid problems in wrong file permission of/etc/printcap# (SuSE buzilla #16567)umask 022case "$1" inWebmin kompakt

174 Systemstart……start)echo -n "Starting cupsd"Am Fuße der Dienstliste finden Sie weitere wichtige Funktionen.Am unteren Ende des Formulars finden Sie verschiedene weitere nützliche Funktionen,mit denen Sie insbesondere typische Aktionen auf mehrere Dienste anwendenkönnen. Konkret stehen Ihnen folgende Funktionen zur Verfügung:• Starte ausgewählte: Mit einem Klick auf diese Schaltfläche starten Sieall die Dienste, die Sie in der linken Spalte markiert haben.• Stoppe ausgewählte: Entsprechend können Sie alle markierten Dienstemit einem Klick anhalten.• Restart selected: Ein Klick führt einen Neustart der ausgewählten Dienstedurch. Der Einsatz dieser Funktion ist beispielsweise sinnvoll, wenn Siean mehreren Diensten Änderungen vorgenommen haben und deren Wirkungim Zusammenspiel testen wollen.www.brain-media.de

Dienst bearbeiten 175• Aktiviere ausgewählte zur Bootzeit: Mit einem Klick auf diese Schaltflächesorgen Sie dafür, dass die ausgewählten Dienste beim nächstenSystemstart ebenfalls gestartet werden. So können Sie den Boot-Vorgangeinfach um weitere Dienste erweitern.• Deaktiviere ausgewählte zur Bootzeit: Auch der umgekehrte Weg stehtIhnen offen. Wenn Sie markierte Dienste aus dem Boot-Vorgang herausnehmenwollen, markieren Sie die Dienste und klicken auf diese Schaltfläche.• Jetzt starten & zur Bootzeit aktivieren: Ein Klick startet die aktiviertenDienste und führt sie zudem beim nächsten Systemstart automatisch aus.• Jetzt stoppen & zur Bootzeit deaktivieren: Entsprechend können SieDienste manuell anhalten und für die Zukunft aus dem Boot-Vorgang herausnehmen.Das Formular für das Erstellen eines neuen Start- und Stopp-Dienstes.Über den Link Einen neuen Start- und Stop-Dienst erstellen können Sie die Standardlisteum weitere Dienste erweitern. Dazu folgen Sie dem Link und geben inWebmin kompakt

176 Systemstartdas zugehörige Formular der Reihe nach eine Bezeichnung, eine Beschreibungsowie die Start- und dann die Herunterfahren-Kommandos an. Schließlich bestimmenSie, ob der neue Dienst beim nächsten Systemstart gestartet werden soll odernicht.Es folgen drei weitere Funktionen:• Wechsle zum Runlevel: Mit dieser Funktion können Sie Ihr System vomaktuellen zum ausgewählten Runlevel umschalten. Die Funktion stoppt alleDienste im aktuellen Runlevel und startet danach alle Dienste des neuenRunlevels. Achtung: Es kann sein, dass Webmin nach der Ausführungnicht mehr zur Verfügung steht! Seien Sie daher vorsichtig bei Änderungendes Runlevels.• System neu starten: Klicken Sie auf diese Schaltfläche, um das Systemsofort neu zu starten. Alle im Moment eingeloggten Benutzer werden vomSystem getrennt und alle Dienste werden neu gestartet.• System herunterfahren: Ein Klick auf diese Schaltfläche fährt das Systemjetzt sofort herunter. Dabei werden alle Dienste gestoppt, alle Benutzergetrennt und das System abgeschaltet (vorausgesetzt, Ihre Hardwareunterstützt das).16.2 Modul-KonfigurationAuch das System-Start- und -Stopp-Modul verfügt über eine Modulkonfiguration,mit der Sie verschiedenste Anpassungen vornehmen können. Die Modulkonfigurationumfasst drei Bereiche mit jeweils mehr oder minder vielen Einstellungen:• Konfigurierbare Optionen: Hier finden Sie die Einstellungen, die überWebmin anpassbar sind. Sie können beispielsweise die Sortierreihenfolgeanpassen, und zwar alphabetisch und nach der Boot-Reihenfolge.• Systemkonfiguration: Hier finden Sie die Einstellungen für die BootundHerunterfahren-Konfiguration Ihres Linux-Systems. Konkret beispielsweisedie Kommandos für den Shutdown oder die Verzeichnisse, indenen die Init-Skripts liegen.• OSX system configuration: Hier können Sie verschiedene OSX-Einstellungen anpassen.www.brain-media.de

Modul-Konfiguration 177Die Modulkonfiguration.Webmin kompakt

178 Systemstartwww.brain-media.de

17917 SystemdokumentationMit dem letzten System-spezifischen Webmin-Modul können Sie Anpassungen derSystemdokumentation vornehmen. Konkret erlaubt Ihnen dieses Modul, die System-Handbücherso zu durchsuchen, als ob Sie den man-Befehl benutzen.Die Einstellungen für die Systemdokumentation.Die Handhabung der Funktion ist einfach: Geben Sie einfach den Befehl oder dieFunktion in das Suchfeld Suche nach ein, zu der Sie Informationen suchen. BestimmenSie mit den Schaltern Alle Worte bzw. Beliebige Worte, ob Sie nach einerexakten Übereinstimmung für den Befehlsnamen oder ein Wort in der Beschreibungsuchen. Dann bestimmen Sie, ob Titel oder Titel und Inhalt der Manpagesdurchsucht werden sollen, wählen den Handbuchbereich für die Suche und drückendie Suchen-Schaltfläche.Webmin kompakt

180 SystemdokumentationÜber Suche in können Sie neben den Manpages auch die Webmin-Hilfe, Paket-,KDE-, und Perl-Modul-Dokumentationen und sogar die Google-Suchmaschine fürIhre Recherche einbinden.Wenn Sie nach einer exakten Übereinstimmung suchen, wird die Handbuchseitefür den Befehl oder die Funktion angezeigt, wenn sie gefunden wird. Wenn Sienach einer Beschreibung suchen, wird Ihnen eine Liste der übereinstimmendenHandbücher angezeigt, damit Sie die anzuzeigenden Befehle/Funktionen auswählenkönnen.Sie sehen: Auch die weitere Informationssuche zu spezifischen Themen ist mitWebmin kein Problem.www.brain-media.de

18118 Apache-WebserverNeben der Systemkonfiguration taugt Webmin zur zentralen Steuerung wichtigerServer. Die zugehörige Funktion für die Konfiguration von über zwanzig gängigenServern ist über die Server-Kategorie zugänglich.Ein erster Blick auf die Server-Übersicht.Sie können mit Webmin beispielsweise den Apache-Webserver, den MySQL-Datenbankserver und auch den Samba-Server administrieren. Es liegt in der Naturder Sache, dass die Funktionalität der Webmin-Module sich nicht mit Spezialistenwie phpMyAdmin für die MySQL-Administration messen kann. Doch das ist inder Praxis meist auch nicht erforderlich. Die Webmin-Module beschränken sichauf zentrale Aufgaben, denen Sie sich im Admin-Alltag stellen müssen.Für Sie als sicherheitsbewussten Administrator ist in diesem Zusammenhang wichtig,dass Sie neben kritischen Systemen wie einem Apache-Webserver auchWebmin kompakt

182 Apache-WebserverSicherheitsspezialisten wie den SSH-Server, Spamassassin und den Squid-Proxy-Server verwalten können.Über den Apache-Server und seine Bedeutung für moderne IT-Infrastrukturenmuss man an dieser Stelle sicherlich nicht viele Worte verlieren. Er ist ein essenziellwichtiges Tool für nahezu jedes Netzwerk. Da er immer häufiger auch alsGrundlage von Business-Anwendungen wie Content-Managementsystemen, Online-Shops,CRM-Systemen und dergleichen mehr dient, kommt man als Adminkaum um den Server herum.Die Funktionen des Apache-Moduls.Mithilfe des Webmin-Moduls können Sie alle wichtigen Konfigurationen erstellenund bearbeiten. Selbst das Erstellen von virtuellen Servern und Benutzern/Gruppenist mit Webmin einfach durchzuführen.Das Webmin-Modul präsentiert Ihnen auf seiner Übersicht mehrere Register: Aufdem Register Global configuration erfolgt die allgemeine Apache-Server-Konfiguration, auf den Registern Existing virtual hosts und Create virtual hostverwalten und erstellen Sie virtuelle Server.In der Regel ist keine Modulanpassung bei Einsatz des Apache-Moduls erforderlich,denn Webmin liest meist die bestehenden Apache-Konfigurationen korrektein. Sollte noch kein Apache-Webserver installiert sein, weist Sie das Modul aufeine fehlerhafte Modulkonfiguration hin, die ihren Grund auch im Fehlen des Servershaben kann.Im Kopfbereich finden Sie neben der Modulkonfiguration zwei weitere Links, überdie Sie den Apache starten bzw. anhalten und die Apache-relevanten Dokumentedurchstöbern können.www.brain-media.de

Globale Apache-Einstellungen 183Die Funktionen des Apache-Moduls.18.1 Globale Apache-EinstellungenWidmen wir uns zunächst der Server-übergreifenden Konfiguration. Die globaleApache-Konfiguration umfasst zehn Konfigurationsbereiche. Über den Link Prozesseund Grenzwerte können Sie den Apache in seine Grenzen weisen. Hier könnenSie insbesondere die maximale Anzahl an Server-Prozessen definieren. BeiStandardinstallationen sind an den Voreinstellungen meist keine Anpassungenerforderlich.Wie Sie im weiteren Verlauf dieses Kapitels noch sehen werden, können Sie fürvirtuelle Server spezifischere Einstellungen vornehmen.Hinter dem Link Netzwerk und Adressen verbergen sich die NetzwerkeinstellungenIhres Apache-Systems. In dem zugehörigen Formular legen Sie fest, auf welcheAdressen und Ports Ihr Server lauscht – und auf welche nicht. Diese tragen Sieeinfach in das Adressenfeld samt zugehörigem Port ein.Sie können außerdem Adressen für die Namen der virtuellen Server und die maximalzulässige Anzahl an Requests pro Verbindung bestimmen. Die letztgenannteKonfiguration ist wichtig, um sich vor Attacken von außen zu schützen.Webmin kompakt

184 Apache-WebserverDie Netzwerkeinstellungen für Ihren Apache-Webserver.Hinter dem Link MIME-Typen sind die gleichnamigen Typen definiert. Sie definieren,um welche Art von Daten es sich handelt. Ein MIME-Typ besteht aus zweiTeilen: der Angabe eines Medientyps und der Angabe eines Subtyps. Beide Angabenwerden durch einen Schrägstrich voneinander getrennt (z. B. application/ghostviewoder image/jpeg). Es gibt folgende Medientypen:• text – für Text• image – für Grafiken• video – für Videomaterial• audio – für Audiodaten• application – für uninterpretierte binäre Daten, Mischformate oder Informationen,die von einem bestimmten Programm verarbeitet werden sollen• multipart – für mehrteilige Daten• message – für Nachrichten, beispielsweise message/rfc822• model – für Daten, die mehrdimensionale Strukturen repräsentierenwww.brain-media.de

Globale Apache-Einstellungen 185Die Konfiguration der MIME-Typen.Die Apache bekannten MIME-Typen samt den oben erwähnten Typinformationenfinden Sie in der globalen MIME-Typenliste. Wie Sie dem Formular entnehmenkönnen, werden die Einstellungen in der Datei /etc/apache2/mime.types verwaltet.Über den Link Einen neuen MIME-Typ hinzufügen können Sie durch Angabe derTypenbezeichnung und der Erweiterung die Liste erweitern.Die Benutzer- und Gruppeneinstellungen für Ihren Apache.Es folgt der Link Benutzer und Gruppe. Dessen Einstellungen sind ebenfalls rechteinfach. Hier können Sie den Benutzernamen und den Gruppennamen des Apache-Webmin kompakt

186 Apache-WebserverServers einsehen und ändern. Die Benutzer- und Gruppen-ID werden nicht angezeigt,können allerdings über das gleichnamige Eingabefeld geändert werden.Wenn Sie wissen wollen, welches die aktuellen IDs sind, wechseln Sie zur KategorieSystem und öffnen Sie das Modul Benutzer und Gruppen. Dort finden Sie dieSystembenutzer und -gruppen.Unter Verschiedenes können Sie eine Handvoll Anpassungen vornehmen. So könnenSie beispielsweise bestimmen, welche Informationen im Header enthaltensind. Standardmäßig sind im HTTP-Header die Apache-Version und das Betriebssystementhalten.In den meisten Fällen sind auch bei den Apache-übergreifenden CGI-Einstellungenkeine Änderungen vorzunehmen.Für die allgemeine Zugriffssteuerung ist die Konfiguration der Per-Directory-Einstellungsdateien wichtig. Durch zusätzliche Per-Directory-Einstellungen könnenSie diese in jedem Verzeichnis durch eine Datei (meist .htaccess) definieren.Diese Einstellungen betreffen alle Dateien in dem Verzeichnis und in allen Unterverzeichnissen,soweit sie nicht von einer anderen Optionsdatei überschriebenwerden. Es empfiehlt sich allerdings, die Beschränkungen für jeden virtuellenServer gesondert zu definieren.Über dieses Formular konfigurieren Sie installierte Module neu.www.brain-media.de

Globale Apache-Einstellungen 187Wichtig für die funktionale Erweiterung Ihrer Apache-Installation sind die Einstellungen,die sich hinter dem Link Installierte Module neu konfigurieren verbergen.Auf den zugehörigen Seiten zeigt Ihnen Webmin eine Liste mit allen von Webminunterstützten Apache-Modulen an. Die aktuell installierten werden durch eineHäkchen bzw. Kreuz markiert. Falls Sie dynamisch geladene Module benutzen,können Sie diese auswählen.Diese Funktion ist beispielsweise dann wichtig, wenn Sie den Apache-Webserverauch als Proxy-Server nutzen wollen. Dazu später mehr.Etwas für Apache-Kenner ist die Funktion Definierte Parameter bearbeiten. WennApache gestartet wird, können Parameter mit der Befehlzeilenoption -D an denServer übergeben werden. Weil diese Parameter die Direktiven beeinflussen, die inIhren Konfigurationsdateien vorkommen, muss Webmin wissen, welche Parameterdem Apache beim Start übergeben werden. Geben Sie die in Ihrem System benutztenParameter in das Textfeld ein, das Ihnen diese Funktion präsentiert.Das Apache-Modul erlaubt auch manuelle Eingriffein die Apache-Konfigurationsdateien.Webmin kompakt

188 Apache-WebserverSchließlich sieht die globale Apache-Konfiguration das Editieren der verschiedenenApache-Konfigurationsdateien vor. Folgen Sie dazu einfach dem Link BearbeiteKonfigurationsdateien und wählen Sie aus dem Auswahlmenü die Datei aus,die Sie einsehen und eventuell bearbeiten wollen. Das Auswahlmenü zeigt Ihnenden vollständigen Pfad zu den Dateien an. Änderungen übernehmen Sie mit einemKlick auf die Schaltfläche Speichern.So richtig interessant wird es eigentlich erst, wenn Sie sich dem Bereich VirtuelleServer widmen. Dort finden Sie bereits einen Eintrag: Standard-Server. Dieserdefiniert die Standardeinstellungen für alle anderen virtuellen Server und beantwortetalle unbehandelten Anfragen.Die Einstellungen für den virtuellen Standard-Server.Bevor wir uns den Einstellungen und dem Erstellen eines virtuellen Servers widmen,schauen wir uns noch kurz an, wo die Dateien zu finden sind bzw. abgelegtwerden, die über Ihren Apache publiziert werden.Bei einer Standardinstallation sind Ihre Inhalte über http://localhost bzw. überhttp://Hostname erreichbar. Der Standardport lautet 80 und muss im Browser nichtangegeben werden.Auf Ihrem Linux-System lagern die Seiten für den Standardserver beispielsweiseim Verzeichnis /srv/www/htdocs/. Den konkreten Pfad finden Sie in der Apache-www.brain-media.de

Virtuellen Server erzeugen 189Modulkonfiguration. Standardmäßig wird beim Zugriff auf den Server die Dateiindex.html geladen.Um Dateien auf dem Apache-Server zu publizieren, können Sie einen FTP-Clientoder auch Webmin verwenden. Der Einsatz von Webmin ist allerdings nur beimHochladen von einzelnen Seiten sinnvoll. Greifen Sie dazu zum Java-basiertenDateimanager, der in Webmin integriert ist. Sie finden diesen in der KategorieSonstiges.18.2 Virtuellen Server erzeugenDa die Einstellungen des bereits existierenden Standardservers und die eines neuenvirtuellen Servers prinzipiell identisch sind, erzeugen wir hier einen ersten neuenvirtuellen Server und schauen uns die wichtigsten Einstellungen an.Das Erstellen eines virtuellen Servers ist recht einfach. Sie finden im unteren Bereichdes Apache-Moduls das Formular zum Anlegen eines solchen. Hier nehmenSie eine Handvoll Einstellungen vor, die Sie dann im weiteren Verlauf verfeinernkönnen.Ein neuer virtueller Server entsteht.Webmin kompakt

190 Apache-WebserverZunächst stehen Ihnen verschiedene Einstellungen zur Behandlung von Verbindungenzum virtuellen Server zur Verfügung. Konkret legen Sie hier fest, ob essich um einen Namen- oder um einen Host-basierten Server handelt.Soll der virtuelle Server einem anderen Anwender gehören, so sollten Sie diesenzunächst in der Webmin-Benutzer- und Gruppenverwaltung erzeugen. ErzeugenSie dann ein Unterverzeichnis www in dessen Home-Verzeichnis.In der Regel können Sie den Standard-Port (80) beibehalten. Wenn Sie einen anderenPort verwenden wollen, müssen Sie diesen im Apache-Modul unter Netzwerkund Adresse zunächst eintragen.Für das Anlegen eines IP-basierten virtuellen Servers tragen Sie die IP-Adresse indas Feld Definierte Adresse ein. Im Falle eines namenbasierten Servers sind Siemit der Standardeinstellung Jede Adresse bereits richtig.Die beiden folgenden Optionen sollten Sie aktiviert lassen:• Füge den Namen einer virtuellen Serveradresse hinzu (wenn benötigt)• Lausche auf Adresse (wenn benötigt)Bei einem namenbasierten Server sollte die erste Option aktiviert bleiben. Im EingabefeldDokument-Root geben Sie das Wurzelverzeichnis für den virtuellen Serveran. Dies kann beispielsweise /home/username/www/ lauten.Als Nächstes ist der Servername dran. Sie können diesen selbst bestimmen oderaber auch durch den Webmin-Automatismus definieren lassen. Sie können übrigensauch mehrere Servernamen in das Formularfeld eingeben.Unter Hinzufügen eines Virtuellen Servers zu Datei bestimmen Sie, ob dessenEinstellungen in die Standard-Apache-Konfigurationsdatei hinzugefügt oder obeine neue Datei im Verzeichnis erzeugt wird, in dem die Konfigurationen für dieServer hinterlegt sind. Standardmäßig ist das /etc/apache/vhosts.d.Mithilfe des Formulars können Sie auch Server-Einstellungen einfach klonen.Dazu verwenden Sie das Auswahlmenü Kopiere Direktiven von und wählen einenEintrag eines bereits erzeugten virtuellen Servers aus.Mit einem abschließenden Klick auf Jetzt erzeugen wird der neue Server angelegt.Sie finden den neuen Eintrag anschließend in der Modulübersicht.www.brain-media.de

Virtuellen Server erzeugen 191Zwei neue virtuelle Server sind bereits mithilfe von Webmin erzeugt.Nachdem Sie den ersten virtuellen Server erzeugt haben, können Sie für dieseneine Vielzahl weiterer Anpassungen vornehmen. Einige dieser Einstellungen wiebeispielsweise den Port haben Sie selbst definiert. Alle anderen basieren auf denendes Standard-Servers.Um die Einstellungen eines Servers zu bearbeiten, klicken Sie einfach auf denzugehörigen Eintrag im Webmin-Apache-Modul. Ihnen stehen insgesamt sechzehnEinstellungen zur Verfügung, um die Detailkonfiguration vorzunehmen. Einigendieser Einstellungen sind wir bereits bei der globalen Apache-Konfiguration begegnet.Neben den allgemeinen Einstellungen für den virtuellen Server können Sie diebereits erwählten Per-Directory-Einstellungen vornehmen.Webmin kompakt

192 Apache-WebserverDie Funktionen für die Detailkonfiguration des virtuellen Servers.18.3 ProtokolleinstellungenStandardmäßig protokolliert der Apache jeden bearbeiteten Request in einem Standardformatin seinen Logfiles. Welche Ereignisse für Ihren virtuellen Server aufgezeichnetwerden, bestimmen Sie in den Protokolleinstellungen.In der Standardkonfiguration werden alle Protokollinformationen für virtuelleServer in eine Protokolldatei geschrieben. Wenn Sie allerdings viele Server zumanagen haben, so wird diese Protokolldatei schnell sehr groß und entsprechendunübersichtlich. Das Herauslesen relevanter Informationen über Engpässe oderandere Probleme wird somit immer schwieriger.Es empfiehlt sich daher, für die einzelnen virtuellen Server eigene Protokolldateienanzulegen. Sie sollten außerdem prüfen, welcher Fehlerlevel für die Protokollierungder richtige ist.www.brain-media.de

Protokolleinstellungen 193Die Konfiguration der Protokolle.Mit der ersten Einstellung Protokolliere Fehler nach bestimmen Sie, ob Sie dieStandardprotokollierung beibehalten, oder eine andere Variante nutzen wollen. Inder Regel ist es sinnvoll, für jeden Server eine eigene Protokolldatei zu erzeugen,die dann mit einem Spezialisten wie AWStats (http://www.awstats.org) ausgewertetwird.Sie können auch ein externes Programm verwenden. Dazu geben Sie die gewünschtenKommandos in das Eingabefeld Programm ein. Es folgt die Konfigurationdes zu protokollierenden Fehlerlevels. Sie haben hier die Wahl zwischen folgendenEinstellungen:• Notfälle – System ist unbrauchbar (emerg)• Es müssen sofort Maßnahmen ergriffen werden (alert)• Fehler (error)• Warnungen (warn)• Normale, aber signifikante Vorfälle (notice)• Informativ (info)• Debug-Level-Nachrichten (debug)Webmin kompakt

194 Apache-WebserverFür welchen Level Sie sich entscheiden, ist abhängig vom Einsatzbereich des virtuellenServers. Wenn Sie beispielsweise einen Online-Shop implementieren undsich noch in der Testphase befinden, kann es sinnvoll sein, dass Sie bis auf Weiteresden Level Debug-Level-Nachrichten verwenden.Im „normalen“ Server-Betrieb ist der Level Error meist ausreichend. Dabei wirdIhre Protokolldatei nicht mit unnötigen Informationen zugemüllt.Es folgt die Auswahl des Protokollformats. In der Apache-Konfiguration sindbereits verschiedene Standardformate wie common und combined definiert. In derRegel kommen Sie mit dem Standardformat gut aus.Unter Zugang zu den Protokolldateien können Sie schließlich das Format und dieDatei bestimmen. Auch hier kommen Sie meist mit den Standardeinstellungen aus.Die Dokumentoptionen für Ihren Server.Wenn Sie dem Link Dokumentoptionen folgen, so können Sie das Dokumenten-Root- und das Benutzerverzeichnis für den Server ändern. Standardmäßig ist derServer beispielsweise für jedermann zugänglich. Sie können den Zugriff aber auchgezielt beschränken, indem Sie entweder Benutzer ausschließen oder den Zugriffnur bestimmten Anwendern erlauben. Tragen Sie dazu die Benutzer in das zugehörigeFeld ein. Es muss sich dabei um System-Benutzer handeln.www.brain-media.de

Fehlerbehandlung 195Mindestens genauso interessant sind die Anpassungsmöglichkeiten, die Ihnen derBereich Verzeichnisoptionen bietet. Hier können Sie verschiedene sicherheitsrelevanteEinstellungen bearbeiten. So können Sie beispielsweise die Ausführung vonCGI-Programmen und Server-Side-Includes und das Erzeugen von Verzeichnis-Indizes aktivieren bzw. deaktivieren.Da standardmäßig alle Verzeichnisoptionen deaktiviert sind, ist Ihr virtueller Serverzumindest für derlei Gefahren nicht anfällig.Die Fehlerbehandlung erlaubt das Erstellen vonbenutzerdefinierten Fehlermeldungen.18.4 FehlerbehandlungVersucht ein Besucher des virtuellen Servers auf ein Dokument zuzugreifen, dasnicht existiert oder die Datei bzw. das Verzeichnis passwortgeschützt ist, so gibtder Apache-Webserver standardmäßig eine typische Fehlermeldung aus. Das siehtnicht immer sonderlich professionell aus.Um Ihren Benutzern ansprechendere Informationen beim Auftreten eines Fehlerspräsentieren zu können, folgen Sie dem Link Fehlerbehandlung. In dem einfachenFormular können Sie benutzerdefinierte Fehlermeldungen erstellen.Dazu geben Sie zunächst in der Spalte Fehlercode einen Apache-Fehlercode ein(beispielsweise 403, 403, 401 oder 500) und bestimmen dann in der Spalte Meldung,ob der Benutzer beim Auftreten des Fehlers zu einer anderen Seite (URL)geführt oder ob ihm eine kurze Hinweismeldung angezeigt wird. Die URL oder dieNachricht geben Sie in das Eingabefeld ein und speichern die Einstellungen miteinem Klick auf Speichern.Webmin kompakt

196 Apache-Webserver18.5 Aliasse und UmleitungenBei einer typischen Apache-Installation besteht eine direkte Beziehung zwischender URL, mit der ein Dokument oder eine Datei angefordert wird, und der Datei,die an den Browser des Benutzers zurückgegeben wird. Fordert ein Benutzer beispielsweiseim Browser folgenden http://www.testserver.de/bilder/testbild.gif an,so wird die Datei aus dem Verzeichnis /home/test/bilder/testbild.gif bezogen.Die Konfiguration der Aliasse und Umleitungen.Mithilfe der Funktion Aliase und Umleitungen können Sie diesen – und mehr –ändern. Die Einstellungen im Einzelnen:• Dokumentverzeichnis Aliase: In diesen Feldern bestimmen Sie dasMapping von Verzeichnis und Alias. Typische Paare könnten wie folgtaussehen:/error//icons//usr/share/apache2/error/usr/share/apache2/icons/www.brain-media.de

Aliasse und Umleitungen 197• Regulärer Ausdruck für den Dokumentenverzeichnis-Alias: Das Erzeugenvon Aliassen vereinfacht sich durch die Verwendung von regulärenAusdrücken. Hier ein Beispiel:^/manual(?:/(?:de|en|fr|ja|ko|ru))?(/.*)?$/usr/share/apache2/manual$1Umleitungen sind den Aliassen sehr ähnlich, allerdings erfüllen sie einen anderenZweck und haben eine andere Aufgabe. Konkret können Sie mit diesem Mechanismusbeispielsweise einen Benutzer von A nach B umleiten. Sie könnten beispielsweisealle Requests an http://www.testserver.de/webmin/ an die Adressehttp://www.webmin.com umleiten.In der Praxis wird bei der Umleitung ein 302-Status-Code an den Browser übermittelt,der den Benutzer über die Umleitung informiert. Ob dieser die Umleitungakzeptiert, ist natürlich dessen Entscheidung, denn schließlich könnte es sich auchum eine getarnte Attacke handeln, die den Anwender zu einer speziell präpariertenSite führt. Über das Aliasse- und Umleitungsformular können Sie vier Umleitungenaktivieren:• Standard-Umleitung• Verwendung eines regulären Ausdrucks für die Umleitung• Permanente Umleitung• Temporäre UmleitungTesten Sie in jedem Fall die Umleitung und Aliasse, bevor Sie diese der Allgemeinheitzugänglich machen, damit Sie auch den gewünschten Effekt erzielen.Webmin kompakt

198 Apache-WebserverWebmin erlaubt auch die Konfiguration der CGI-Umgebung.18.6 CGI-KonfigurationMithilfe der CGI-Schnittstelle lassen sich externe Anwendungen in den Apache-Webserver integrieren. Aus Sicht der Systemsicherheit ist das CGI immer problematisch,weil Schwachstellen für Angreifer beliebte Ziele sind. Außerdem ist dieAusführung von Anwendungen recht langsam. CGI-Skripts können in unterschiedlichenProgrammiersprachen entwickelt werden, beispielsweise in Perl.Die CGI-Skripts werden in der Regel im CGI-Verzeichnis abgelegt oder aber erhaltendie Dateierweiterung CGI, damit sie als Skripts erkannt und entsprechendbehandelt werden. Für welchen Weg Sie sich entscheiden, bleibt Ihnen überlassen.Der eine Anwender findet es bequemer, alle CGI-Skripts in einem Ordner zu verwalten.Ein anderer zieht es vor, Skripts in die jeweiligen Verzeichnisse zu packen,in denen auch die relevanten HTML-Dokumente und sonstigen Dateien lagern.Um Dateien mit der Erweiterung CGI als CGI-Skripts zu registrieren, gehen Siewie folgt vor:1. Öffnen Sie die Einstellungen des Standard-Servers.2. Wechseln Sie dann zu den Per-Directory-Einstellungen und öffnenSie das Verzeichnis, für das Sie die CGI-Einstellungen bearbeitenwww.brain-media.de

CGI-Konfiguration 199wollen. Auf die Per-Directory-Einstellungen kommen wir später nochzu sprechen.3. Wenn Sie ein neues Verzeichnis anlegen wollen, für das diese Einstellungengelten, wählen Sie im Feld Einstellungen anwenden auf …den Typ Verzeichnis, geben den Pfad an und klicken auf Speichern.4. Nachdem Sie zu dem gewünschten Verzeichnis gewechselt sind, klickenSie auf Dokumentoptionen und aktivieren die Option CGI-Programme ausführen.5. Speichern Sie die Änderung mit einem Klick auf Speichern. Nunweiß der Apache schon einmal, dass die CGI-Unterstützung aktiviertist.6. Nun wechseln Sie zu den MIME-Typ-Einstellungen. Im AuswahlmenüContent Handler wählen Sie den Eintrag cgi-script und geben indas Eingabefeld Erweiterungen cgi ein.7. Mit einem Klick auf Speichern weiß der Apache-Webserver jetzt,dass alle Dateien mit der Dateierweiterung cgi in diesem Verzeichnis(samt Unterverzeichnissen) CGI-Skripts sind. Wenn Sie wollen, dassdiese Einstellung Apache-weit greift, müssen Sie nur die höchsteVerzeichnisebene entsprechend konfigurieren.Die CGI-Konfiguration erlaubt Ihnen auch das Erstellen eines zentralen CGI-Verzeichnisses. Dazu führen Sie folgende Schritte aus:1. Öffnen Sie den Standard-Server und klicken Sie auf das Icon CGI-Programme.2. Unter CGI-Verzeichnis-Aliasse erzeugen Sie ein Mapping, das beispielsweisewie folgt aussieht:/cgi-bin//srv/www/cgi-bin/3. Sichern Sie die Konfiguration mit einem Klick auf Speichern. Siekönnen nun Ihre Skripts in den Ordner /cgi-bin legen, damit dieseApache-weit verfügbar sind.Webmin kompakt

200 Apache-Webserver18.7 VerzeichnisindizierungHinter dem Link Verzeichnisindizierung verbergen sich die sogenannten IndexOptions-Einstellungen.Diese bestimmen das Erscheinungsbild der vom Server erstelltenVerzeichnislisten durch das Hinzufügen von Symbolen und Dateibeschreibungenusw.Ist diese Funktion aktiviert, was standardmäßig der Fall ist, so kann Ihr Webservereine Verzeichnisliste erstellen, wenn er eine HTTP-Anforderung wie die folgendeempfängt:http://ihre _domain/Verzeichnis/Dabei sucht der Server in diesem Verzeichnis nach einer Datei aus der Liste, dienach der DirectoryIndex-Anweisung angegeben ist (z. B. index.html). Kann erkeine der Dateien finden, wird eine HTML-Verzeichnisliste der in dem Verzeichnisenthaltenen Unterverzeichnisse und Dateien erstellt. Mit bestimmten Anweisungen(z. B. mit IndexOptions) können Sie in httpd.conf das Erscheinungsbilddieser Verzeichnisliste anpassen.Die Konfiguration der Verzeichnisindizierung.www.brain-media.de

Mehr Sicherheit dank SSL 201In der Standardkonfiguration ist FancyIndexing aktiviert. Wenn FancyIndexingaktiviert ist, werden durch Klicken auf die Überschrift der Spalte in der Verzeichnislistedie Einträge entsprechend dieser Spalte sortiert. Ein weiterer Klick aufdieselbe Überschrift schaltet von aufsteigender zu absteigender Reihenfolge umund umgekehrt.IndexOptions hat eine Reihe von weiteren Parametern, die zur Festlegung des Erscheinungsbildsder vom Server erstellten Verzeichnisse verwendet werden können.Zu diesen Parametern gehören beispielsweise die Icon-Höhe und -Breite, dieAnsicht des Datums der letzten Änderung, das Einfügen von horizontalen Linienund dergleichen mehr.Sie können mit dem Formular außerdem festlegen, welches die Index-Dateien fürdie Server-Verzeichnisse sind (z. B. index.html oder index.php) und welche Iconsfür die unterschiedlichen Dateientypen verwendet werden und welches die Dateierweiterungensind.18.8 Mehr Sicherheit dank SSLWenn Sie auf Ihrem Webserver einen Online-Shop oder einen anderen wichtigenDienst bereitstellen, der erhöhten Schutz bei der Datenübermittlung zwischenClient und Server benötigt, sollten Sie die SSL-Unterstützung aktivieren.Die Konfiguration der SSL-Unterstützung des virtuellen Servers.Webmin kompakt

202 Apache-WebserverDie Verwendung der SSL-Funktionalität setzt zunächst einmal die Installation derOpenSSL-Komponenten voraus. Sollten diese nicht installiert sein, gibt Ihnen dieWebmin-Schnittstelle einen entsprechenden Hinweis aus. Am einfachsten holenSie die Installation mit einem Paketmanager nach.Außerdem muss das Apache-SSL-Modul installiert und über das Apache-Webmin-Modul (Installierte Module neu konfigurieren) aktiviert sein.Das Herzstück der SSL-Technik sind die Zertifikate, durch die sichergestellt ist,dass beide Seiten über einen sicheren Kommunikationskanal miteinander kommunizieren.Im Idealfall besitzen Sie bereits die erforderlichen Schlüssel. Falls nicht,sollten Sie sich bei Verisign & Co. welche besorgen. Ihr Provider kann Sie imZweifelsfall dabei unterstützen. Zu Testzwecken können Sie auch eigene Zertifikatemit openssl erzeugen. Die taugen aber natürlich nur zu Testzwecken.Wenn Sie das Zertifikat und den privaten Schlüssel besitzen, können Sie sich andie SSL-Konfiguration für Ihren Server machen.In der Praxis ist es am besten, wenn Sie für die Nutzung von SSL einen neuenvirtuellen Server erzeugen, der die Verbindungen auf dem SSL-Port 443 entgegennimmt.Der Vorteil dieser Vorgehensweise: Bestehende Virtuelle-Server-Konfigurationen sind von der SSL-Aktivierung nicht betroffen. Führen Sie folgendeSchritte aus:1. Wechseln Sie zunächst zur Apache-Modul-Seite und öffnen Sie dieEinstellungen Netzwerk und Adressen.2. Unter Lausche auf Adressen und Ports aktivieren Sie in der zweitenSpalte die Option all und geben unter Port 443 ein. Speichern Sie dieKonfiguration mit einem Klick auf den Button Speichern.3. Als Nächstes wechseln Sie wieder zur Apache-Hauptseite und erzeugenüber das Feld Einen neuen virtuellen Server anlegen einen neuenServer.4. Wichtig ist, dass Sie hier die Adressoption auf Jede Adresse und denPort auf 443 setzen.5. Unter Dokument-Root können Sie das Verzeichnis definieren, das derBenutzer beim SSL-Zugriff zu sehen bekommt.6. Im Feld Server-Name geben Sie die Bezeichnung des SSLgesichertenvirtuellen Servers an.7. Mit einem Klick auf Jetzt erzeugen wird der virtuelle Server angelegt,der automatisch in der Server-Liste aufgeführt wird.www.brain-media.de

PHP-Konfiguration 2038. Öffnen Sie als Nächstes den neuen Virtuellen-Server-Eintrag undgreifen Sie auf die SSL-Optionen zu.9. Setzen Sie dann den Schalter Aktiviere SSL? auf Ja. Damit weiß dervirtuelle Server, dass er alle Verbindungen als SSL-Verbindungenbehandelt.10. Im Feld Zertifikatdatei geben Sie den Pfad zur Datei pem.cert an.11. Dann ist das Feld Private Key-Datei dran. Hier geben Sie den Pfadzur Datei key.pem an.12. Hinterlegen Sie außerdem unter Password for SSL key Ihr Passwort.13. Die drei übrigen Einstellungen können Sie mit Standard beibehalten.14. Mit einem abschließenden Klick auf Speichern übernehmen Sie dieÄnderungen. Wird keine Fehlermeldung ausgegeben, dürfen Sie davonausgehen, dass die Konfiguration erfolgreich verlaufen ist. PrüfenSie dennoch mit einem Standard-Browser, ob die Konfiguration beimZugriff korrekt funktioniert.18.9 PHP-KonfigurationSie können für Ihre virtuellen Server auch einige PHP-Einstellungen bearbeiten.Konkret sind es vier Anpassungen:• PHP-Administrations-Einstellungen• PHP-Konfigurationswerte• PHP-Administrations-Flags• PHP-KonfigurationsflagsLeider ist nirgends vernünftig dokumentiert, welche Einstellungen hier Sinn machen.18.10 FilterMit dem Apache 2.0 wurde die sogenannte Filterfunktion eingeführt. Apache-Module können als Filter entwickelt und zur Filterung des ein- und ausgehendenDatenstroms des Servers eingesetzt werden.Webmin kompakt

204 Apache-WebserverMithilfe dieser Funktion kann beispielsweise die Ausgabe von CGI-Skripts durchden INCLUDES-Filter von mod_include bearbeitet werden und so Server-Side-Include-Anweisungen ausgeführt werden. Das Modul mod_ext_filter erlaubt externenProgrammen als Filter zu agieren, in der gleichen Weise wie CGI-Programmeals Eingabe dienen können.Die Filter-Konfiguration.Damit Sie diese Funktionalität nutzen können, muss das Apache-Modulmod_include installiert und aktiviert sein. Das Filterformular erlaubt Ihnen dieAktivierung von Eingangs- und Ausgangsfiltern sowie das Setzen von Includes-Erweiterungen.www.brain-media.de

Sprachen und Zeichensätze 205Ein Blick auf die Konfiguration der Zeichensätze.18.11 Sprachen und ZeichensätzeWebmin erlaubt Ihnen auch die Konfiguration von Sprachen und Zeichensätzen.Wenn Sie dem Link Sprachen folgen, können Sie sich ein Bild von der breitenZeichensatzunterstützung machen. Hier sind in der Regel keine Änderungen vorzunehmen.18.12 DirektivenSchließlich können Sie dem jeweiligen virtuellen Server entnehmen, welcheKommandos an ihn übergeben wurden und welche Befehle bzw. Aktionen er ausgeführthat. Klicken Sie dazu einfach auf den Link Zeige Direktiven.Webmin kompakt

206 Apache-WebserverWir sind bereits des Öfteren den Per-Directory-Einstellungen begegnet. Schauenwir uns kurz an, was es damit auf sich hat. Diese Einstellungen erlauben es Ihnen,für bestimmte Verzeichnisse unterschiedliche Einstellungen vorzunehmen.Die Per-Directory-Einstellungen erlauben dasgezielte Definieren von Ordneroptionen.Sie können diese Einstellung auf folgende Apache-Objekte anwenden:• Verzeichnis: Die Optionen gelten für das Verzeichnis inklusive aller Unterverzeichnisseund den darin enthaltenen Dateien.• Dateien: Die Einstellungen gelten für Dateien, deren Namen es zu spezifizierengilt. Mit dieser Funktion können Sie beispielsweise die .htaccess-Datei editieren.• Ort: Die Einstellungen gelten für Dateien und Verzeichnisse mit einembestimmten Pfad, beispielsweise www.testserver.de/pfad/.• Proxy: Schließlich können Sie den Apache-Server auch als Proxy-Serverkonfigurieren. Dazu später mehr.www.brain-media.de

Typische Aktionen bei der Administration von virtuellen Servern 207Wenn der Apache einen Request verarbeitet, so prüft er diese Optionen, ob sie fürdie Anforderung relevant sind. Dabei werden zunächst auch die Einstellungendurch die .htaccess und schließlich die Einstellungen für die virtuellen Server eingelesen.Konkret bedeutet das, dass Optionen, die für ein bestimmtes Verzeichnisgelten, die von höheren Verzeichnissen überschreiben.Um die Einstellungen für ein Verzeichnis zu definieren, gehen Sie wie folgt vor:1. Öffnen Sie den virtuellen Server, dessen Verzeichnisoptionen Siekonfigurieren wollen. Sollen die Einstellungen für alle virtuellen Servergelten, so öffnen Sie den Standard-Server. Sie können für jedesVerzeichnis des Servers eigene Einstellungen definieren.2. Scrollen Sie zu den Per-Directory-Einstellungen.3. In dem oben beschriebenen Auswahldialog wählen Sie dann aus, obSie ein Verzeichnis, eine Datei etc. erstellen wollen. Wenn Sie einenOrt erstellen, so achten Sie darauf, den relativen Pfad zum virtuellenServer zu verwenden, also beispielsweise /bilder oder /dokumente.Sie können auch Platzhalter verwenden. Dazu fügen Sie ein Sternchenein.4. Sie können außerdem einen regulären Ausdruck verwenden.5. Klicken Sie anschließend auf die Schaltfläche Erzeugen. Ihr neuesVerzeichnis wird augenblicklich in der Liste aufgeführt.6. Um nun die weiteren Einstellungen dieses neuen Verzeichnisses, derDatei oder des Ortes zu bearbeiten, klicken Sie auf den Eintrag undnehmen die oben beschriebenen Einstellungen vor.18.13 Typische Aktionen bei der Administrationvon virtuellen ServernSchauen wir uns noch einige typische Aktionen bei der Administration von virtuellenServern an. Konkret wollen wir uns anschauen, wie Sie• einen Passwortschutz für ein Verzeichnis einführen,• den Zugriff auf Grundlage der Client-Adressen bestimmen,• den Apache-Webserver als Proxy-Server konfigurieren.Webmin kompakt

208 Apache-WebserverWenn Sie die voranstehenden Abschnitte aufmerksam verfolgt haben, dürfen Sie –zumindest teilweise – ahnen, welche Aktionen erforderlich sind.Um den Zugriff auf bestimmte Verzeichnisse durch ein Passwort zu schützen,führen Sie folgende Schritte aus:1. Öffnen Sie in der Modul-Hauptseite den virtuellen Server, für den Sieden Passwortschutz einführen wollen.2. Öffnen Sie das Verzeichnis, für das der Schutz gelten soll, oder erzeugenSie ein neues.3. Öffnen Sie die Zugriffskontrolle, wählen Sie die Option Standard undhinterlegen Sie eine Beschreibung, beispielsweise Private Dateien.4. Unter Authentifizierungstyp wählen Sie Basic. Diese Variante genügtin der Regel, wenngleich die Variante Digest deutlich sicherer ist, allerdingsnicht von allen Browsern unterstützt wird.5. Unter Beschränke Zugriff über Anmeldung aktivieren Sie die OptionAlle gültigen Benutzer. Damit gewährt der Apache nur Benutzern Zugriff,die in der Benutzerdatei hinterlegt sind. Deren Pfad muss ebenfallsin diesem Formular noch angegeben werden. Sie können denZugriff auch auf bestimmte Benutzer und Gruppen beschränken. FallsSie das wollen, geben Sie im Eingabefeld Nur diese Benutzer bzw.Nur diese Gruppen die Benutzer- bzw. Gruppennamen an. MehrereEinträge sind durch Kommata voneinander zu trennen.Der Passwortschutz für ein Verzeichnis.www.brain-media.de

Typische Aktionen bei der Administration von virtuellen Servern 2096. Wenn Sie Benutzer- bzw. Gruppendateien verwenden wollen, somüssen Sie diese Dateien zunächst erzeugen. Deren Aufbau entsprichtder Datei /etc/shadow. Verwenden Sie folgendes Format:Benutzername: verschlüsseltes Passwort7. Wenn Sie nun einer Gruppe Benutzer zuordnen wollen, so müssenSie die Gruppen-Textdatei erzeugen. Sie muss folgendes Format besitzen:Gruppenname: Benutzername1 Benutzername2 etc.8. Klicken Sie anschließend auf die Schaltfläche Speichern, um die Einstellungenzu übernehmen.Sie können alternativ auch eine DBM-Datenbank für die Benutzer- und Gruppenverwaltungverwenden. Das macht aber eigentlich nur Sinn, wenn Sie ohnehin einesolche Datenbank nutzen.Kein Problem: Mithilfe von Webmin können Sie den Zugriff von Rechnernmit bestimmten IP-Adressen verhindern – oder aber gezielt zulassen.Der Apache-Webserver erlaubt zudem die Beschränkung des Zugriffs auf IP-Adressenbasis. So können Sie gezielt Ihr System vom Zugriff ausschließen. Das istnicht nur im Internet, sondern auch im Intranet sinnvoll, denn so können Sie beispielsweiseverhindern, dass Praktikanten auf unternehmenskritische Server zugreifenund womöglich Schäden verursachen.Webmin kompakt

210 Apache-WebserverDie Vorgehensweise ist wieder recht einfach:1. Öffnen Sie den virtuellen Server und das gewünschte Verzeichnis, fürdas Sie den Zugriff beschränken wollen.2. Wechseln Sie wieder zur Zugriffskontrolle.3. Unter Zugang einschränken steht Ihnen eine Tabelle zur Verfügung,über die Sie unterschiedlichen Netzwerksystemen den Zugriff gewährenbzw. unterbinden können.4. Um den Zugriff zu verbieten, wählen Sie aus dem Auswahlmenü Aktiondie Option Verweigern. Unter Bedingung wählen Sie Anfragevon IP und geben in das folgende Feld die IP-Adresse ein. Sie könnenweitere Bedingungen verwenden:5. Alle Anfragen: Mit dieser Option können Sie alle Anfragen zulassenbzw. unterbinden.6. Anfrage von Teil-IP: Mit dieser Option können Sie den Zugriff fürein Teilnetzwerk erlauben bzw. unterbinden. Verwenden Sie beispielsweisedie Eingabe 192.168.7. Anfrage von Netzwerk/Netzmaske: Mit dieser Option geben Sie dieNetzmaske an. Ein Beispiel: 192.168.1.0/255.255.255.08. Anfrage von Netzwerk/CIDR: Mit dieser Konfiguration können Sieein Subnetz gezielt ein- oder ausschließen. Ein Beispiel:192.168.1.0/259. Wenn Variable gesetzt ist: Mit der letzten Option können Sie schließlicheine Umgebungsvariable als Bedingung definieren. Denkbar istbeispielsweise die Angabe eines Header-Felds (Browser etc.).Sie sehen: Sie können die unterschiedlichen Kriterien miteinander kombinieren.Um den ersten Eintrag zu speichern, klicken Sie auf die gleichnamige Schaltfläche.Automatisch wird die Tabelle um ein weiteres Feld erweitert, in das Sie noch eineBedingung einführen können.18.14 Apache als Proxy-ServerIhr Apache kann auch als Proxy-Server agieren, der als Vermittlung die Verbindungsaufnahmevon Netzwerk-Clients über den Server zu anderen Netzen wie demInternet erlaubt. Diese Technik eignet sich hervorragend, um beispielsweise einwww.brain-media.de

Apache als Proxy-Server 211Firmennetzwerk über eine DSL-Verbindung ans Internet zu hängen. Ein weitererVorteil: Da lediglich ein System eine direkte Verbindung mit dem Internet hat,sind die anderen Rechner weniger leicht angreifbar.Sicher: Der Apache kann zwar als Proxy-Server genutzt werden, seine Funktionalitätkann sich aber in diesem Bereich nicht mit einem Spezialisten wie Squid messen.Zunächst muss das Proxy-Modul aktiviert werden.Für die Apache-Proxy-Konfiguration sind folgende Schritte erforderlich:1. Zunächst müssen Sie in der Apache-Modul-Konfiguration das Modulmod_proxy aktivieren. Klicken Sie dazu in der Apache-Übersicht aufInstalliere Modul neu konfigurieren und aktivieren Sie das Modul.2. Mit einem Klick auf Konfigurieren landen Sie wieder in der Apache-Übersicht.3. Nun öffnen Sie die Apache-Konfigurationsdateien mit einem Klickauf Bearbeite Konfigurationsdateien.4. Öffnen Sie die Datei httpd.conf und suchen Sie nach der ZeileLoadModule proxy_module. Sollten Sie keine entsprechende Zeilefinden, ist das Proxy-Modul vermutlich nicht installiert. In diesemFall müssen Sie zunächst die Installation nachholen.5. Entfernen Sie als Nächstes die Auskommentierung, also das #-Zeichen vor der entsprechenden Zeile.6. Klicken Sie anschließend auf Speichern, um die Änderung zu übernehmen.Webmin kompakt

212 Apache-Webserver7. Führen Sie dann einen Neustart des Servers aus, damit Änderungengreifen.8. Führen Sie dann eine erneuerte Modulkonfiguration durch, damit dieder Apache um die Proxy-Funktionalität erweitert wird.Nachdem Sie die Proxy-Funktion aktiviert haben, können Sie sich im nächstenSchritt mit deren Funktionen auseinandersetzen, die über Webmin zugänglich sind.Wenn Sie nun den virtuellen Server bearbeiten, den Sie als Proxy-Server aktivierthaben, so finden Sie dort ein neues Icon: Proxy.Wenn Sie dem Proxy-Link folgen, können Sie auf dem zugehörigen Formularzunächst die Proxy-Funktion aktivieren. Sie können außerdem das Cache-Verzeichnis und dessen Größe aktivieren.Selbst das Deaktivieren der Zwischenspeicherung für bestimmte Websites ist in derWebmin-Schnittstelle vorgesehen. Das ist beispielsweise bei Seiten sinnvoll, dieregelmäßig aktualisiert werden.Weitere Optionen, die Sie definieren können:• Die Verwendung von kaskadierenden Proxy-Servern kann aktiviert bzw.gesteuert werden.• Authentifizierung auf dem Proxy-Server durch Benutzername und Passwort.Das Apache-Proxy-Modul bietet damit die wichtigsten Proxy-Server-spezifischenFunktionen. Für den Einstieg in die Welt der Proxy-Server ist das sicherlich ausreichend.18.15 Die Apache-ModulkonfigurationAuch für das Apache-Modul steht Ihnen eine eigene Modulkonfiguration für dieAnpassung der Modulfunktionen zur Verfügung. Diese ist mit anderen Konfigurationenvergleichbar. Konkret präsentiert sie Ihnen drei Bereiche:• Konfigurierbare Optionen• Systemkonfigurationen• Apache-Variablenwww.brain-media.de

Die Apache-Modulkonfiguration 213Diese Einstellungen bezieht das Webmin-Modul natürlich aus den Apache-Konfigurationsdateien. Insbesondere an den Systemeinstellungen sollten Sie keineÄnderungen vornehmen, denn diese (beispielsweise das Apache-Wurzelverzeichnis oder die Kommandos für das Starten und Anhalten des Apache)sind durch das Betriebssystem vorgegeben.Die Konfiguration des Apache-Moduls.In den Konfigurationseinstellungen können Sie beispielsweise festlegen, ob dievirtuellen Server durch Icons oder als Liste in der Übersicht aufgeführt werden. Siekönnen auch die Sortierung ändern. Folgende Einstellungen stehen Ihnen zur Verfügung:• Reihenfolge in Konfigurationsdateien• Server-Name• IP-AdresseWebmin kompakt

214 Apache-WebserverSie können auch die Ansicht der Server beschränken. Mit dem Standardwert vonmaximal 100 dürften die meisten Leser auskommen.www.brain-media.de

21519 BIND DNS-ServerDer DNS-Server BIND (Berkeley Internet Name Domain) ist einer der wichtigstenDomain-Name-System-Server. Dank seiner weiten Verbreitung und der zeitnahenUmsetzung der aktuellen DNS-RFCs gilt BIND seit Jahren als DNS-Referenzsoftware.Das DNS-Server-Modul.Schon ein erster Blick auf die BIND-Modulseite lässt vermuten, dass der Umgangmit dem Server nicht ganz so einfach ist. Die korrekte Konfiguration ist aber fürviele Netzwerke lebenswichtig.Webmin kompakt

216 BIND DNS-ServerDie Konfiguration von BIND erfolgt über eine zentrale Konfigurationsdateinamed.conf. Pro Zone gibt es eine Zonendatei, deren Name gewöhnlich aus demZonennamen und der Dateierweiterung db gebildet wird. Die Konfigurationsdateinamed.conf weist mehrere Bereiche auf:• Globaler Bereich• Server-Liste• Zonen-ListeIm globalen Bereich werden Zugriffsberechtigungen, Krypto-Keys und Optionendefiniert. In der Serverliste sind Informationen über Partner-Server enthalten, beispielsweiseob ein Server inkrementellen Zonentransfer unterstützt. In der Zonen-Liste ist für jede Zone ein Eintrag enthalten, der den Namen der Zone, den Namendes Zonenfiles, den Zonen-Typ (Master oder Slave), Zugriffsberechtigungen sowieOptions enthält.19.1 Zonen erstellenBeim ersten Zugriff auf Vorgängerversionen von Webmin 1.3.x muss man nochfestlegen, ob der DNS-Server für die interne Verwendung, als Internet-Nameserverzum Einsatz kommt, und ob dieser sich eventuell die Rootserver-Daten aus demInternet herunterladen soll. Bei aktuellen Webmin-Versionen ist das zum Glücknicht mehr der Fall, wohl auch, weil die „richtige“ Entscheidung vielen Anwendernnicht leicht gefallen ist.Webmin 1.3.x präsentiert Ihnen beim Zugriff auf das BIND-Modul drei Bereiche:• die globalen Servereinstellungen• die existierenden DNS-Zonen• die Client-Ansicht – sofern vorhandenEine der wichtigsten Aufgaben beim Umgang mit einem DNS-Server ist das Erzeugenund Verwalten von Master-Zonen. Um eine solche zu erstellen, klicken Sieunter Existierende DNS-Zonen auf den Verweis Neue Master-Zone anlegen.Auf dem zugehörigen Formular legen Sie zunächst den Zonentyp fest. Sie habendie Wahl zwischen zwei Optionen:• Forward (Namen zu Adressen)www.brain-media.de

Zonen erstellen 217• Reverse (Adressen zu Namen)In der Regel benötigen Sie die Forward-Variante. Die Reverse-Variante ist für Sievon Interesse, wenn Sie IP-Adressen einen Namen zuordnen wollen.Eine neue Master-Zone in der Entstehung.Die weiteren Einstellungen, die Sie beim Erzeugen der neuen Master-Zone vornehmenmüssen:• Domainname/Netzwerk: Hier können Sie einen Domainnamen oderauch eine Netzwerkadresse wie beispielsweise 192.168.1 angeben.• Datensatzdatei: Hier geben Sie den Pfad zu der sogenannten Datensatzdatei(Record file) an. In dieser sind die Zonendaten gespeichert. In derRegel ist es sinnvoll, die Standardeinstellung Automatisch beizubehalten,um die Verwaltung BIND zu überlassen. Wenn Sie die Option deaktivierenund eine bereits existierende Datei angeben, so werden die bestehendenEinträge überschrieben.• Master-Server: Hier tragen Sie den Namen des Master-Servers ein. DasWebmin-Modul präsentiert Ihnen in der Regel einen ersten Eintrag. PrüfenSie, ob dieser mit Ihren Vorstellungen übereinstimmt.• E-Mail-Adresse: Hier tragen Sie die E-Mail-Adresse des Nameserver-Administrators ein.Webmin kompakt

218 BIND DNS-Server• Zonenvorlage benutzen: Sie können auch eine Zonenvorlage verwenden.Wenn Sie dies wollen, aktivieren Sie diese Option.• IP-Adresse für Vorlagendatensätze: In diesem Eingabefeld können Siedie IP-Adresse für Vorlagendatensätze hinterlegen.• Zeit aktualisieren: Über dieses Feld bestimmen Sie die Zeitspanne, nachder die Zeiteinstellung des Servers aktualisiert wird.• Wiederholungszeit übertragen: Hier legen Sie fest, welche Zeit zwischender Übertragung von Zonendaten zwischen Ihrem und einem zweitenServer vergeht, bevor ein erneuerter Datentransfer versucht wird.• Ablaufzeit: Hier legen Sie fest, wie lange Daten im Zwischenspeichergehalten werden.• Standard-Time-To-Live: Bestimmt den Standard-TTL-Wert der Daten.Um die neue Master-Zone zu erstellen, klicken Sie auf die Schaltfläche Erstellen.Sie landen automatisch in der Zonenansicht, in der Sie nun die verschiedenen Recordsbearbeiten und unterschiedliche Einstellungen vornehmen bzw. anpassenkönnen.Ihre erste Master-Zone ist erstellt.www.brain-media.de

Zonen erstellen 219Neben den in voranstehender Abbildung dargestellten Funktionen finden Sie beimÖffnen eines Master-Zone-Eintrags im unteren Bereich zwei weitere Schaltflächen:• Lösche Zone: Drücken Sie diese Schaltfläche, um die Zone aus IhremDNS-Server zu löschen. Beachten Sie, dass die zugehörigen Reverse-Adresseinträge in anderen Zonen auf diesem Server auch gelöscht werden.• Änderungen anwenden: Klicken Sie diesen Button, um die Änderungennur für diese Zone zu übernehmen. Dabei wird das Kommando rndcreload localhost ausgeführt. Dies wird nur funktionieren, wenn die Änderungenfür den gesamten Server mindestens einmal angewandt wurden,seitdem die Zone erzeugt wurde.Bei der von uns erstellten Master-Zone finden Sie sechzehn Datensätze, die sogenanntenRecords, die es mit den korrekten Zone-Daten zu füllen gilt: Adresse,Name-Server, Namens-Alias, Mail-Server, Host-Information, Text, SenderPermitted Form (SPF), Bekannter Dienst, Verantwortliche Person, Reverse-Adresse, Ortsangabe, Service-Adresse und Öffentlicher Schlüssel. Zu jedem dieserDatensätze wird die Anzahl der zugehörigen Einträge in Klammern angezeigt.Schauen wir uns zwei Einträge exemplarisch an.Der Datensatz Host-Information.Der Aufbau der Datensatzformulare ist weitgehend identisch. Im Datensatz Host-Information geben Sie beispielsweise den Hostnamen, eine Info zur Hardware undzum Betriebssystem an. Außerdem können Sie den TTL-Wert definieren.Ähnlich ist es beim Datensatz Verantwortliche Person, mit dem Sie Kontaktinformationendes Administrators hinterlegen. Hier hinterlegen Sie ebenfalls den Na-Webmin kompakt

220 BIND DNS-Servermen, die E-Mail-Adresse und gegebenenfalls den Textdatensatz, in dem beispielsweiseweitere Kontaktmöglichkeiten zu finden sind. Diese Daten sind für Betreiberanderer Nameserver wichtig, wenn Sie mit dem Server-Administrator in Kontakttreten wollen.Der Datensatz Verantwortliche Person.Die neuen Einträge werden mit einem Klick auf die Schaltfläche Erstellen erzeugt.19.2 DatensatztypenWebmin unterstützt nicht alle von BIND vorgesehenen Datensatztypen, aber zumindestdie wichtigsten. Die wichtigsten sind:• Adresse: Hier geben Sie den Namen und die IP-Adresse des Servers an.Sie können außerdem die Unterstützung für Reserve-Aktualisierungen aktivieren.• Name-Server: Dieses Formular erlaubt das Hinzufügen eines Nameserver-Datensatzes.Dabei müssen Sie den Zonennamen und den Nameserver-Namenangeben. Das Formular erlaubt außerdem das Löschen vonbestehenden Einträgen.• Namens-Alias: Über dieses Formular können Sie einen Alias für denNameserver definieren. Damit ist der Server dann unter einer anderen Bezeichnungerreichbar und selbst ebenfalls schwerer angreifbar.• Mail-Server (MX): Der Mailserver-Eintrag teilt Zustellsystemen wieSendmail und Qmail mit, welche Systeme für die Zustellung von E-Mailskontaktiert werden müssen. Der MX-Record ermöglicht es, unter einerDomain mehrere Mailserver zu betreiben. Außerdem erlaubt es die Einführungvon Prioritäten, die vorgeben, in welcher Reihenfolge die Mail-www.brain-media.de

Datensatztypen 221server eine bestimmte Domain kontaktieren sollen. Fällt einer dieser Serveraus, erhöht das die Wahrscheinlichkeit, dass eine E-Mail trotzdem andie Empfängerdomain zugestellt werden kann. Für primäre Mailserververwendet man meist den Wert 5, für Back-up-Relays eine 10.• Host-Information: Diesen Record haben Sie zuvor bereits kennengelernt.Hier können Sie beispielsweise das Betriebssystem Ihres Servers, also inunserem Fall Linux eingeben.• Text: Dieser Typ wird zwar eher selten verwendet, erlaubt Ihnen aber dasEinfügen von Zusatzinformationen zu Ihrer BIND-Installation.Sender Permitted Form verspricht mehr Schutz beim E-Mail-Versand.• Sender Permitted Form (SPF): SPF ist eine Technik, die das Fälschendes Absenders einer E-Mail auf SMTP-Ebene erschweren soll. Dazu wirdin der DNS-Zone einer Domäne ein sogenannter Resource Record vomTyp TXT oder SPF mit Informationen darüber hinterlegt, welche SystemeE-Mails für diese Domäne versenden dürfen. Anhand dieser Informationensoll der Empfangs-Server dann sowohl die MAIL-FROM-Identität alsauch die HELO-Identität des Senders nachprüfen. Absenderangaben imWebmin kompakt

222 BIND DNS-ServerE-Mail-Header werden nicht überprüft. Inzwischen trägt diese Funktioneine andere Bezeichnung: Sender Policy Framework, kurz SPF.• Bekannter Dienst: WKS-Records geben Auskunft über die Dienste, dieein Rechner im Netz für ein bestimmtes Protokoll (UDP oder TCP) anbietet.Die Liste der Dienste entstammt der Datei /etc/services. Pro Host undProtokoll sollte es nur einen WKS-Record geben.• Verantwortliche Person: Das RP-Record (Responsible Person Record)benennt eine Person oder eine Gruppe von Personen, die für einen Rechnerund seinen ordnungsgemäßen Betrieb verantwortlich sind. Dieser Datensatztypermöglicht es den Benutzern, bei einem Rechnerausfall Kontaktmit den Verantwortlichen aufzunehmen und die Ausfallzeiten zu minimieren.• Reverse-Adresse: Dieser Eintrag gibt an, welche Hosts E-Mails von dieserDomain senden dürfen. Hier geben Sie die Adresse und den Hostnamenan.• Ortsangabe: Mit den sogenannten LOC-Resource-Record (location) wirdeinem Namen eine präzise Positionsangabe zugeordnet. Über Längen-,Breiten- und Höhenangaben wird exakt ein geometrischer Ort bestimmt.Um auch räumlich ausgedehnte Ortsdefinitionen zu ermöglichen, kanndurch Angabe eines Radius um diesen Punkt eine virtuelle Kugel definiertwerden.• Service-Adresse: Über den Service-Address-Record, kurz SRV, könnenfür einen spezifischen Dienst ein oder mehrere Server angegeben werden.• Öffentlicher Schlüssel: Schließlich können Sie sogenannten KEY-Records erzeugen. KEY-Resource-Records dienen der Propagierung öffentlicherSchlüssel durch das DNS. Mit dieser Technik versucht man einzentrales Problem zu lösen: Wie macht ein User seinen öffentlichenSchlüssel bekannt? Dazu dient der Eintrag Öffentlicher Schlüssel. Der Besitzerdes Schlüssels legt diesen als KEY-RR auf einem öffentlich zugängigenDNS-Server ab. Jeder, der den Public Key dieses Users benötigt,sendet eine entsprechende DNS-Anfrage. Als Antwort erhält er dann denöffentlichen Schlüssel. Das Verfahren entspricht damit der Propagierungvon IP-Adressen.www.brain-media.de

Slave-Zone erstellen 223Das Formular für das Erstellen eines Öffentlichen-Schlüssel-Records.19.3 Slave-Zone erstellenMithilfe des Webmin-Moduls können Sie auch sogenannte Slave-Zonen erstellen.Eine Slave-Zone ist immer dann erforderlich, wenn der Nameserver offiziellerErsatzserver beim Ausfall eines primären Nameservers ist. Man bezeichnet ihnauch als Secondary Nameserver. Bei einer solchen Konfiguration muss der Master-Server und die Domain eingetragen werden.Bevor Sie dies tun können, muss der Primary-DNS-Server korrekt aufgesetzt wordensein und der Secondary-Nameserver muss zudem korrekt im Adressen-Menüeingetragen worden sein. Wenn nicht, erscheint eine Fehlermeldung in der Datei/var/log/messages. Auch für die Slave-Zone muss ein Reverse-Record eingetragenwerden.Webmin kompakt

224 BIND DNS-ServerDas Formular zum Erstellen einer Slave-Zone.Nachdem Sie eine Slave-Zone erstellt haben, können Sie dieser verschiedene Zone-Eigenschaftenzuordnen. Folgen Sie dazu dem Verweis Bearbeiten Zoneneinstellungen.In dem zugehörigen Formular können Sie folgende Einstellungen bearbeiten:• Master-Server: Hier finden Sie die IP-Adresse des Master-Servers, alsobeispielsweise 192.168.0.1 in einem lokalen Netzwerk. Sie können in dasEingabefeld weitere Server von Hand eintragen.• Server-Port: Hier finden Sie den Port für den Slave-Zonen-Server. DerStandard-Port ist 53. Sie können aber auch einen anderen Wert eintragen.• Maximale Transferzeit: Hier legen Sie fest, wie lange der Server maximalauf einen Datentransfer wartet. Die Angabe erfolgt in Minuten.• Datensatzdatei: Hier finden Sie den Pfad zum Record-File. Die Angabekönnte wie folgt aussehen: /var/lib/named/testnetz.hosts. Wenn Sie sichfür die Option Keine entscheiden, so werden die Datensätze, die von Master-Serverkommen, lediglich im Speicher gehalten.• Namen überprüfen? Hier legen Sie fest, ob Namen geprüft werden sollenoder nicht.• Slaves über Änderungen benachrichtigen? Hier legen Sie fest, ob derMaster den Slave-Server über Änderungen informiert.• Updates erlauben von …: In diesem Eingabefeld können Sie Systemeangeben, von denen der Slave-Server Updates beziehen darf.www.brain-media.de

Slave-Zone erstellen 225Die Zoneneinstellungen für eine Slave-Zone.• Transfers erlauben von …: Entsprechend können Sie festlegen, vonwelchen Servern Transfers akzeptiert werden.• Anfragen erlauben von …: Hier legen Sie fest, welches System Anfragenan den Slave stellen darf.• Auch Slaves benachrichtigen …: Schließlich können Sie Slaves bestimmen,die über Änderungen informiert werden.Mit dem BIND-Modul können Sie auch eine sogenannte Stub-Zone erstellen. FolgenSie dazu dem Link Neue Stub-Zone anlegen. Ein Stub ist ein Stummel, also nurein Teil einer offiziellen Domain. Man kann somit z. B. die Einträge für eine Filialedieser selbst überlassen. Diese setzt dann eine Stub-Zone auf und gibt den Nameserverder Zentrale als Master Server an. Alle Einträge werden dann regelmäßigauf dem Master-Server aktualisiert.Sie können zwei weitere Zonen erstellen:• Weiterleitungszone• DelegationszoneWebmin kompakt

226 BIND DNS-ServerDie Funktionen beim Erstellen einer solchen Zone entsprechen weitgehend denzuvor beschriebenen.19.4 Globale BIND-EinstellungenBislang haben wir uns lediglich mit dem Erstellen von Zonen befasst. Nun wollenwir uns noch mit den globalen BIND-Einstellungen befassen. Dazu gehören beispielsweisedie Protokollierung der BIND-Aktivitäten, die Konfiguration des Zugangs,das Weiterleiten und der Datentransfer und die DNS-Schlüssel.Schauen wir uns zunächst die Protokoll- und Fehlerfunktionen an. Ein zentralerBegriff in der Protokoll- und Fehlerfunktion ist der des Protokollierungskanals. Beieiner Standardinstallation präsentiert Ihnen das BIND-Modul vier vordefinierteKanäle, die durch eine eigene Bezeichnung, durch die Angabe, wo die Protokollierungerfolgt (Syslog, Standardausgabe etc.), und durch den minimalen Meldungslevelbestimmt sind.In der Protokollierungs- und Fehlerfunktion finden Sievordefinierte Protokollkanäle und können neue erstellen.www.brain-media.de

Globale BIND-Einstellungen 227Mit einem Klick auf Neuen Kanal hinzufügen wird die Seite um ein Formular erweitert,das das Erstellen eines neuen Protokollierungskanals erlaubt. Dabei müssenSie neben der Kanalbezeichnung folgende Angaben vornehmen:• Wo erfolgt die Protokollierung? Sie können beispielsweise eine neue Dateifür die Protokolldaten erzeugen oder diese in den Syslog schreiben.• Welches ist der minimale Meldungslevel? Hier haben Sie die Wahl zwischentypischen Leveln (critical, error, warning, notive, info, Debug-Level und Globaler Level).Außerdem können Sie festlegen, ob die Protokollierungskategorie und der Schweregradder Protokolldatei in der Log-Datei vermerkt werden sollen.Am Fuße des Protokolldialogs finden Sie die Funktion Protokollierungskategorien.Damit können Sie eigene Kategorien erstellen, um die verschiedenen Protokollkanälegruppieren zu können.BIND unterstützt die Zugriffssteuerung mithilfe von ACLs (Access Control Lists).So können Sie den Zugriff auf den Nameserver einschränken. Man unterscheidetzwischen folgenden Berechtigungen:• Notify• Query (Abfragen)• Transfer (komplette Zone transferieren)• Update (dynamische Änderungen an Zonen vornehmen)Die Handhabung der ACL-Funktion ist einfach: Geben Sie einfach in das FeldACL-Name die gewünschte Bezeichnung ein und legen Sie dann im danebenstehendenEingabefeld die IP-Adressen, Netzwerk und ACL-Dateien fest. Mit einemKlick auf Speichern ist der erste Zugriff definiert. Die Liste wird um eine weitereZeile erweitert und Sie können weitere Berechtigungen definieren.Sie können BIND so konfigurieren, dass dieser alle Anfragen an einen DNS-Serverweiterleitet. In diesem Fall wird Ihr BIND-Server zu einem DNS-Client. Sinnvollist das beispielsweise zur temporären oder permanenten Entlastung Ihres Servers.Webmin kompakt

228 BIND DNS-ServerHier bestimmen Sie, an welche Server die Datender DNS-Abfragen weitergeleitet werden.Auch die Konfiguration der globalen Weiterleitungs- und Transfereinstellungen istrecht einfach. Ihnen stehen folgende Einstellungen zur Verfügung:• Server, an die Anfragen weitergeleitet werden sollen: Hier geben Siedie IP-Adresse und eventuell den Port des Systems an, an das die Anfragenweitergeleitet werden. Sie können in den vordefinierten Feldern mehrerealternative Server angeben.• Direkter Lookup, wenn die Weiterleitung keinen Lookup machenkann? Gelingt Ihrem BIND-Server die Kontaktaufnahme zu einem angegebenenServer nicht, so kann dieser einen direkten Lookup durchführen.Das setzt natürlich voraus, dass Ihr System Lookups ausführen kann.• Maximale Zonentransferzeit: Hier bestimmen Sie, wie lange Ihr BIND-Server maximal auf die Übermittlung der Daten wartet. Der Standard ist120 Minuten.• Zonentransferformat: Hier legen Sie fest, ob verschiedene Transferformatezulässig sind.• Maximale Anzahl gleichzeitiger Zonentransfers: Schließlich könnenSie festlegen, wie viele Zonentransfers maximal gleichzeitig durchgeführtwerden können. Standardmäßig sind es zwei.www.brain-media.de

DNS-Schlüssel 22919.5 DNS-SchlüsselUm die Kommunikation zwischen DNS-Server und -Clients abzusichern, unterstütztBIND Schlüssel, die den Datentransfer verschlüsseln. Sie müssen lediglich indas zugehörige Formular die Schlüsselnummer, den Verschlüsselungsalgorithmusund die Phrase eingeben.Die Definition von Zonenstandards.19.6 ZonenstandardsIn den globalen BIND-Einstellungen können Sie auch sogenannten Zonenstandardsdefinieren. Dazu folgen Sie dem gleichnamigen Link. Das zugehörige Formularerlaubt die Definition von Standardeinstellungen für neue Master-Zonen. DieseEinstellungen gelten standardmäßig für alle neu erzeugten Master-Zonen, könnenaber in den jeweiligen Zonenkonfigurationen individuell angepasst werden.Webmin kompakt

230 BIND DNS-Server19.7 rndcBIND enthält das Utility rndc, mit dem Sie den named-Daemon über die Befehlszeilevom lokalen und von einem Remote-Host verwalten können.Um zu verhindern, dass nicht autorisierte Benutzer Zugriff auf den named-Daemonerlangen, verwendet BIND eine Authentifizierungsmethode, auf einem gemeinsamengeheimen Schlüssel basierend, um Hostsystemen den Zugriff zu gewähren.Das heißt, dass ein übereinstimmender Schlüssel in /etc/named.conf und der rndc-Konfigurationsdatei /etc/rndc.conf existieren muss.Über den Link RNDC einrichten können Sie BIND unter die Kontrolle des RNDC-Programmes stellen. So können einzelne Zonen aktualisiert werden, ohne einenganzen Neustart des BIND machen zu müssen. Dies ist beispielsweise sinnvoll,wenn Ihr BIND-Server auf einem schwachbrüstigen ausgeführt wird oder die Anzahlder verwalteten Zonen über 30 liegt. Um die Einrichtung von RNDC durchzuführen,klicken Sie auf die Schaltfläche Ja, RNDC einrichten.Anschließend können Sie sich an der Remote-Administration auf Konsolenebeneversuchen. Ein rndc-Befehl sieht wie folgt aus:rndc Wenn rndc auf einem korrekt konfigurierten lokalen Host ausgeführt wird, stehenIhnen folgende Befehle zur Verfügung:• halt: hält den named-Service sofort an.• querylog: protokolliert alle Abfragen, die von Clients auf diesem Name-Server durchgeführt wurden.• refresh: aktualisiert die Datenbank des Nameservers.• reload: weist den Nameserver an, die Zone-Dateien neu zu laden, aber allevorher verarbeiteten Antworten zu behalten.• stats: schreibt die aktuellen named-Statistiken in die Datei/var/named/named.stats.• stop: stoppt den Server vorsichtig und speichert dabei alle dynamischenUpdates und die vorhandenen Incremental-Zone-Transfers-Daten (IXFR)vor dem Beenden.www.brain-media.de

Konfigurationsdateien einsehen und bearbeiten 231Webmin erlaubt auch das Editieren der BIND-Konfigurationsdateien.19.8 Konfigurationsdateien einsehen und bearbeitenAuch beim BIND-Modul ist das Öffnen der BIND-Konfigurationsdateien möglich.Folgen Sie dazu dem Verweis Edit Config File, wählen Sie über das Auswahlmenüeine der beiden Konfigurationsdateien aus. Sie können mit Webmin die beidenfolgenden Dateien editieren:/etc/named.conf/etc/named.conf.includeWebmin kompakt

232 BIND DNS-ServerDie BIND-Modulkonfiguration fällt sehr umfangreich aus.19.9 ModulkonfigurationDie Modulkonfiguration für den BIND-Server stellt Ihnen eine Vielzahl an Konfigurationsmöglichkeitenzur Verfügung. Die Einstellungen sind in vier Bereichegruppiert:• BIND-Pfade: Hier finden Sie verschiedene Pfadangaben, die Webmin derBIND-Installation entnimmt. Sie können außerdem anpassen, welcherBenutzer und welche Gruppe BIND startet.• Anzeigeoptionen: Hier legen Sie beispielsweise fest, ob die Domänen alsIcons, als Liste oder hierarchisch aufgeführt werden. Sie können auch dieReihenfolge anpassen.• Zonendatei-Optionen: Mit diesen Einstellungen passen Sie die Zonendateian.www.brain-media.de

Modulkonfiguration 233• Systemkonfiguration: In diesem Bereich finden Sie die Pfade zu denBIND-Konfigurationsdateien und verschiedenen Hilfsprogrammen wiewhois, ndc und rndc. Diese Einstellungen müssen in der Regel nicht bearbeitetwerden.Mit dem BIND-Modul ist es recht einfach, ein so komplexes Werkzeug wie denDNS-Server zu konfigurieren. BIND-Profis wird das oft nicht genügen, den meistenAdmins sicherlich schon.Webmin kompakt

234 BIND DNS-Serverwww.brain-media.de

23520 DHCP-Server-KonfigurationMit dem DHCP-Server-Modul konfigurieren Sie den ISC DHCP-Server in der aufIhrem System installierten Version. Mithilfe von DHCP (Dynamic Host ConfigurationProtocol) können Sie Ihrem Netzwerk-Client eine IP-Adresse und weitererKonfigurationsparameter dynamisch zuweisen.Die Übersichtsseite des DHCP-Server-Moduls.Den meisten Lesern dürfte der Begriff DHCP geläufig sein. Es kommt insbesonderein lokalen Netzwerken und bei sehr großen Netzen zum Einsatz. Es wurde speziellfür zwei zentrale Einsatzbereiche entwickelt:Webmin kompakt

236 DHCP-Server-Konfiguration• Große Netzwerke mit häufig wechselnder Topologie, beispielsweise fürtypische Provider-Umgebungen.• Für Umgebungen, in denen Anwender eine einfache Netzwerkkonfigurationwünschen.Der entscheidende Vorteil von DHCP: Sie müssen nicht mehr alle Systeme desNetzwerks von Hand konfigurieren, sondern können die entsprechenden Vorgabenvom Administrator einmal in der Konfigurationsdatei des DHCP-Servers ändern.Auch für Rechner mit häufig wechselndem Standort (z. B. Notebooks) entfällt diefehleranfällige Konfiguration – der Rechner wird einfach ans Netzwerk gestecktund holt sich alle relevanten Parameter vom DHCP-Server. Man spricht dahergelegentlich auch von einem Plug’n’Play-Netzwerk.20.1 DHCP-Server-BasicsSchauen wir uns kurz an, was Sie über den DHCP-Server wissen sollten. Standardmäßigwartet der DHCP-Server auf UDP-Port 67 auf Client-Anfragen. Inseiner Konfigurationsdatei befinden sich Informationen über den zu vergebendenAdresspool sowie zusätzliche Angaben über netzwerkrelevante Parameter wie dieSubnetzmaske, die lokale DNS-Domäne oder das zu verwendende Gateway. DerServer kennt drei verschiedene Betriebsmodi: manuelle, automatische und dynamischeZuordnung.Die wichtigsten Eigenschaften der Modi:• Manuelle Zuordnung: In diesem Modus werden am DHCP-Server dieIP-Adressen bestimmten MAC-Adressen fest zugeordnet. Die Adressenwerden der MAC-Adresse auf unbestimmte Zeit zugeteilt. Der Nachteil:Sie können keine zusätzlichen Clients in das Netz einbinden, da die Adressenfest vergeben sind. Man verwendet diesen Modus vor allem dann,wenn der DHCP-Client beispielsweise Server-Dienste zur Verfügungstellt und daher unter einer festen IP-Adresse erreichbar sein soll. AuchPort-Weiterleitungen von einem Router an einen Client benötigen in derRegel eine feste IP-Adresse.• Automatische Zuordnung: Bei diesem Modus wird am DHCP-Serverein Bereich von IP-Adressen definiert. Wenn die Adresse aus diesem Bereicheinmal einem DHCP-Client zugeordnet wurde, dann gehört sie diesemfür eine unbestimmte Zeit. Ist der Adressbereich komplett vergeben,so können sich keine zusätzlichen Clients in das Netz einbinden.www.brain-media.de

Das Webmin-DHCP-Modul 237• Dynamische Zuordnung: Dieses Modul ist der automatischen Zuordnungsehr ähnlich, allerdings hat der DHCP-Server in seiner Konfigurationsdateieine Angabe, wie lange eine bestimmte IP-Adresse an einenClient vergeben werden darf, bevor der Client sich erneut beim Servermelden und eine Verlängerung beantragen muss. Meldet er sich nicht,wird die Adresse frei und kann an einen anderen (oder auch den gleichen)Rechner neu vergeben werden. Man bezeichnet diese Zeit auch als Lease-Time (Mietzeit).20.2 Das Webmin-DHCP-ModulMit dem Webmin-DHCP-Modul können Sie eine Vielzahl wichtiger DHCPspezifischerFunktionen vornehmen. Sie finden das DHCP-Servermodul wie alleanderen Servermodule auch in der Server-Kategorie. Über die Einstiegsseite könnenSie verschiedene Aktionen durchführen:• Einsehen und Einrichten von Subnetzen• Hosts und Hostgruppen erzeugen und anpassen• DNS-Zonen erstellen und bearbeiten• Client-Einstellungen bearbeiten• Server startenIst der DHCP-Server noch nicht auf Ihrem System installiert, so gibt auch diesesModul eine entsprechende Warnmeldung aus, dass der Server zunächst installiertwerden muss. Sollten Sie allerdings sicher sein, dass der Server konfiguriert ist, somüssen Sie gegebenenfalls die Modulkonfiguration anpassen.Wie Sie obiger Abbildung entnehmen können, kommt dieses Linux-System bereitsmit verschiedenen Beispielinstallationen daher. Dies variiert von System zu System.Beachten Sie, dass es im Bereich Hosts und Hostgruppen mit Assignment einespezifische Ordnungsfunktion gibt, die der Sortierung dient. Dabei werden Hostnamenvor Gruppen aufgeführt – und zwar in der Reihenfolge, in der Sie in derDHCP-Serverkonfigurationsdatei aufgeführt werden. Die Anpassung der Standardsortierungist über folgende Links möglich:• File structure• NameWebmin kompakt

238 DHCP-Server-Konfiguration• Hardware address• IP addressEine ähnliche Sortierung war für die Netzwerkliste in Vorgängerversionen auchverfügbar. Warum Jamie Cameron Sie in der aktuellen Version nicht mehr integriert,ist leider nicht bekannt.20.3 Subnetze editieren und hinzufügenSchauen wir uns zunächst die Funktion Subnetze editieren und hinzufügen an. Ineiner einfachen DHCP-Serverkonfiguration erzeugen Sie ein simples Subnetz miteinem mehr oder minder kleinen Adressbereich, den die Clients nutzen können.Um ein solches Subnetz zu erzeugen, folgen Sie dem Link Ein neues Subnetz hinzufügen.In dem zugehörigen Formular bestimmen Sie eine Vielzahl von Eigenschaften.Ein neues Subnetz in der Entstehung.www.brain-media.de

Subnetze editieren und hinzufügen 239Das Formular Subnet-Details verlangt folgende Eingaben bzw. Einstellungen vonIhnen (leider ist auch dieses Formular nicht durchgängig deutschsprachig):• Subnet description: Hier hinterlegen Sie eine Beschreibung für IhrSubnetz. Sie finden diese Bezeichnung in der Subnetzliste wieder undgreifen über die Liste auf die Einstellungen zu.• Netzwerkadresse: In diesem Feld hinterlegen Sie die Netzwerkadresse.Bei einem lokalen Netzwerk kann diese beispielsweise 192.168.1.0 lauten.• Netzmaske: In diesem Feld bestimmen Sie die Netzmaske. Bei einemNetzwerk mit obiger Adresse kann dies beispielsweise 255.255.255.0sein.• Adressbereiche: Mit diesen beiden Eingabefeldern bestimmen Sie denAdressbereich, der den Clients zugewiesen werden kann. Er kann beispielsweise192.168.0.10 bis 192.168.0.20 lauten. Wichtig bei der Wahldes Bereichs ist, dass Sie den Umfang ausreichend, aber nicht zu groß dimensionieren.Wenn Sie nur 10 oder 20 Clients anzubinden haben, benötigenSie auch keinen Bereich mit 100 oder gar 200 Adressen. Das Besonderean dieser Funktion: Sie können Ihrem Subnetz auch mehrere Adressbereichezuweisen. Dazu speichern Sie Ihr Subnetz zunächst und edierenes dann. Über den Link Add an address pool weisen Sie dann demSubnetz einen weiteren Adressenbereich zu.• Dynamisches BOOTP? Mit diesem Kontrollkästchen legen Sie fest, obSie dynamisches BOOTP verwenden wollen. Das ist eine Erweiterung desBOOTP-Protokolls, das dem DHCP-Server die Konfiguration vonBOOTP-Clients ohne die Verwendung einer expliziten, festen Adressenkonfigurationermöglicht. Diese Funktion vereinfacht die Administrationgroßer BOOTP-Netzwerke, mit denen die automatische Verteilung vonIP-Adressen (nahezu identisch mit der DHCP-Verwendung) ohne clientseitigeÄnderungen möglich ist.• Freigegebenes Netzwerk: Über dieses Auswahlmenü können Sie dasneue Subnetz einem anderen Netzwerk zuordnen.• Standardvergabezeit: Hier legen Sie fest, wie lange eine Adresse einemClient zugewiesen wird. Der Standard ist 600 Sekunden, also 10 Minuten.Nach Ablauf dieser Zeitspanne muss der Client die Adresse erneuern.• Boot-Dateiname: Wenn Sie in Ihrem Netzwerk Systeme ohne Festplatteverwenden, so können diese beim Booten die notwendigen Daten von einerBoot-Datei beziehen. In diesem Eingabenfeld bestimmen Sie den Dateinamensowie den Pfad.Webmin kompakt

240 DHCP-Server-Konfiguration• Maximale Vergabezeit: Hier bestimmen Sie die maximale Zuweisungsdauerder Adresse. Sie ist standardmäßig 7200 Sekunden. Eine Anpassungdieses Werts ist in der Regel nicht erforderlich.• Boot-Datei-Server: In diesem Feld legen Sie fest, vom welchem Serverfestplattenlose Geräte Ihre IP-Adresse beziehen. Sie können in großenUmgebungen diese Aufgabe auch auf einen anderen Server auslagern.Geben Sie dazu dessen Hostname oder dessen IP-Adresse an.• Vergabelänge für BOOTP-Clients: Hier legen Sie die Vergabelänge fürBOOTP-Clients in Sekunden an.• Vergabeende für BOOTP-Clients: Entsprechend können Sie das Endefür BOOTP-Clients definieren.• Dynamic DNS enabled? Für die Adresszuweisung können Sie außerdemdie Verwendung von dynamischen CNS aktivieren bzw. deaktivieren. Inder Regel können Sie die Standardeinstellung beibehalten.• Dynamic DNS domain name: In diesem Eingabenfeld können Sie denDNS-Domainnamen anpassen. Dieser kann beispielsweise server.de lauten.• Dynamic DNS reverse domain: Auch die Anpassung des Reverse-DNSist möglich.• Dynamic DNS hostname: Wollen Sie ein spezifisches DNS-System oderauch mehrere nutzen, so geben Sie hier den Hostnamen bzw. die IP-Adresse an. Bei Verwendung mehrerer Systeme trennen Sie die einzelnenEinträge durch ein Leerzeichen.• Allow unknown clients? Hier legen Sie fest, wie der DHCP-Server mitihm unbekannten Clients umgeht. Das Webmin-Modul sieht vier Einstellungenvor:ooooAllow – zulassenDeny – ablehnenIgnore – ignorierenStandard – Standardeinstellung• Client-Updates: Hier legen Sie fest, ob Clients ihre eigenen Einträge änderndürfen. Auch hier stehen Ihnen folgende Einstellungen zur Verfügung:www.brain-media.de

Subnetze editieren und hinzufügen 241ooooAllow – zulassenDeny – ablehnenIgnore – ignorierenStandard – StandardeinstellungAus sicherheitstechnischen Überlegungen heraus sollten Sie diese Fähigkeitdeaktivieren.• Server is authoritative for this subnet? Soll Ihr DHCP-Server der zentraleServer in Ihrem Netz sein, so setzen Sie diesen Schalter auf Ja.• Hosts directly in this subnet: Über dieses Auswahlmenü können SieHosts direkt dem Subnetz zuordnen.• Groups directly in this subnet: Auch Gruppen können Sie direkt demSubnetz zuordnen.Mit einem Klick auf Erstellen speichern Sie die Einstellungen des neuen Subnetzes.Wenn Sie Ihren ersten Subnetzeintrag nun editieren, finden Sie am Fuße desFormulars verschiedene weitere wichtige Funktionen. Dort können Sie insbesonderefolgende Aktionen durchführen:• die Client-Einstellungen bearbeiten• die Lease-Einstellungen einsehen• einen neuen Host bzw. eine Hostgruppe dem Subnetz zuordnen• einen neuen Adressenpool hinzufügenWebmin kompakt

242 DHCP-Server-KonfigurationDas Hinzufügen eines neuen Adresspools.Um dem Subnetz einen Adresspool hinzuzufügen, klicken Sie am unteren Formularendeauf den Verweis Add an address pool. Die Einstellungen des zugehörigenFormulars entsprechen weitestgehend den Funktionen beim Erstellen eines neuenSubnetzes. Auch hier legen Sie zunächst den Adressbereich fest.www.brain-media.de

Hosts und Hostgruppen erstellen 243Das Hinzufügen eines neuen Hosts.20.4 Hosts und Hostgruppen erstellenSowohl über die DHCP-Server-Einstiegsseite als auch über die Subnetzseite könnenSie Hosts und Hostgruppen erstellen. Zum Erstellen eines Hosts, der über denDHCP-Server mit einer IP-Adresse versorgt wird, klicken Sie im Bereich Hostsund Hostgruppen auf den Link Einen neuen Host hinzufügen.Auf dem Formular Host erstellen hinterlegen Sie zunächst eine Beschreibung undden Hostnamen. Als Nächstes ist die Zuweisung dran. Dabei können Sie die Vererbungsfunktionnutzen und dem Host beispielsweise die Eigenschaften eines Subnetzeszuordnen. In diesem Fall wählen Sie aus dem Auswahlmenü den EintragSubnet und bestimmen dann in dem zweiten Auswahlmenü das Netz, dessen Einstellungenfür den neuen Host übernommen werden sollen.Wenn Sie dem Host eine feste Adresse zuordnen wollen, hinterlegen Sie diese imEingabefeld Feste IP-Adresse. Mit einem Klick auf Erstellen ist der erste neueHost-Eintrag erzeugt.Webmin kompakt

244 DHCP-Server-KonfigurationDie Client-Einstellungen.20.5 Die Client-EinstellungenAuch das Bearbeiten der DHCP-Client-Einstellungen ist mithilfe von Webminmöglich. Dabei ist zwischen den allgemeinen und den Host-spezifischen Client-Einstellungen zu unterscheiden.Auf die Host-spezifischen Einstellungen greifen Sie zu, indem Sie einen Hostöffnen und dann am Fuße des Host-Formulars auf die entsprechende Schaltflächeklicken. Die allgemeinen Einstellungen einzusehen, wenn Sie über die DHCP-Server-Startseite auf die Schaltfläche Bearbeite Client-Einstellungen klicken.Funktional sind beide identisch, allerdings wirken sich die allgemeinen Einstellungenauf alle Subnetze, freigegebenen Netzwerke, Hosts und Hostgruppen aus.Interessant sind hier sicherlich die Konfigurationsmöglichkeiten für die verschiedenenServer. Sie können insbesondere folgende Server in die DHCP-Client-Konfiguration einbinden:• Zeit-Server• Protokoll-Server• Swap-Serverwww.brain-media.de

Die Client-Einstellungen 245• NIS-Server• Font-Server• XDM-Server• NTP-ServerDie Wahl der Netzwerkschnittstelle.Am Fuße der Einstiegsseite finden Sie verschiedene weitere Funktionen. Dortkönnen Sie beispielsweise den TSIG-Schlüssel bearbeiten. Mittels TSIG (TransactionSIGnatures) sind sichere Transaktionen möglich. Dabei kommen sogenannteTransaktionsschlüssel (Transaction Keys) und -signaturen (Transaction Signatures)zum Einsatz.Benötigt werden sichere Transaktionen bei der Kommunikation von Server zuServer und für dynamische Aktualisierungen der Zonendaten. Eine auf Schlüsselnbasierende Zugriffskontrolle bietet dafür eine weit größere Sicherheit als eine Kontrolle,die auf IP-Adressen basiert.Sie können außerdem die Konfigurationsdatei des DHCP-Servers einsehen undbearbeiten, die Netzwerkschnittstelle ändern, über die der Server ansprechbar ist,und die Liste der aktuell von Ihrem Server zugewiesenen dynamischen Adressen.Schließlich können Sie den Server über die entsprechende Schaltfläche starten,sofern Sie ihn noch nicht in Betrieb genommen haben.Webmin kompakt

246 DHCP-Server-KonfigurationDer integrierte Texteditor erlaubt direkte Eingriffein die DHCP-Konfigurationsdatei.20.6 ModulkonfigurationAuch das DHCP-Servermodul besitzt eine eigene Modulkonfiguration, auf die Siewie gewohnt über den Link im Kopfbereich des Servermoduls zugreifen. Wie Siees von anderen Modulkonfigurationen inzwischen kennen, präsentiert Ihnen daszugehörige Formular zwei Bereiche: anpassbare Einstellungen und Systemeinstellungen.www.brain-media.de

Modulkonfiguration 247Ein Blick auf die DHCP-Server-Modulkonfiguration.Für mögliche Anpassungen sind ohnehin fast ausnahmslos die konfigurierbarenOptionen interessant. Werfen wir daher einen Blick auf diese:• Sortiere Leases nach: Hier legen Sie die Sortierreihenfolge der Leasesfest. Sie haben die Wahl zwischen folgenden Einstellungen:oooReihenfolge in DateiIP-AdresseHostname• Zeige Sub-Netze und Hosts als: Hier legen Sie fest, ob die Subnetze undHosts als Icons oder als Liste angezeigt werden.• Icons in Reihe: Wenn Sie sich für die Darstellung durch Icons entscheiden,können Sie die Anzahl an Icons pro Reihe definieren.Webmin kompakt

248 DHCP-Server-Konfiguration• Zeige Leases-Zeiten in: Dieser Schalter erlaubt Ihnen die Anpassung derLeases-Zeiten. Sie können sich zwischen GMT und der Lokalzeit entscheiden.Die Verwendung von GMT macht insbesondere dann Sinn,wenn Sie Systeme in mehreren Zeitzonen verwalten. Da das vermutlicheher selten der Fall ist, können Sie den Schalter auch auf Lokalzeit setzen.• Show IP addresses for hosts? Hier legen Sie fest, ob die IP-Adressen derHosts angezeigt werden oder nicht. In der Regel kommen Sie gut ohnediese Information aus.• Show MAC addresses for hosts? Auch hier können Sie die Ansicht aktivierenbzw. deaktivieren. Meist wird die Zusatzinformation nicht benötigt.• Show group names as: Hier legen Sie fest, wie der Gruppenname angezeigtwird. Sie haben die Wahl zwischen folgenden Einstellungen:ooodomain-name optionName or member countDescriptionDie Option Name ist standardmäßig aktiviert und dürfte in den meistenFällen auch den Anforderungen genügen, denn dabei wird in der Gruppenübersichtdie Bezeichnung angezeigt, die Sie ihr zugewiesen haben.• Show other object descriptions instead of names? Anstelle des Objektnamenskönnen Sie auch die Objektbeschreibung anzeigen lassen. In derRegel bringt das keinen Informationsgewinn.• Maximum number of subnets and hosts to display: Schließlich könnenSie die Anzahl an Subnetzen und Hosts beschränken, die auf der Übersichtangezeigt werden.Im Bereich System configuration finden Sie die Einstellungen, die Webmin IhremDHCP-Server entnimmt. Hier sind in der Regel keine Änderungen erforderlich –außer Sie nehmen manuelle Eingriffe in die DHCP-Server-Konfiguration vor.www.brain-media.de

Modulkonfiguration 249Auf der Fetchmail-Übersichtsseite fügen Sie einen neuen Fetchmail-Serverhinzu und konfigurieren die regelmäßige Überprüfung.Webmin kompakt

250 DHCP-Server-Konfigurationwww.brain-media.de

25121 Fetchmail-KonfigurationMithilfe von Webmin ist auch die Administration eines Fetchmail-Servers möglich.Die dazugehörige Konfiguration ist ebenfalls in der Server-Kategorie verfügbar.Fetchmail dient dazu, E-Mails von POP-, IMAP-, ETRN-, oder ODMRfähigenMailservern abzurufen und leitet sie dann an (E)SMTP- oder LMTP-fähigeMailserver oder ein lokales Zustellprogramm weiter. In der Vergangenheit wurdeFetchmail allerdings häufig wegen seines Designs und der Sicherheitslücken kritisiert,trotzdem ist es auf Unix-artigen Systemen weit verbreitet und wird mit denmeisten Linux-Distributionen ausgeliefert.Für Fetchmail gibt es zwei Konfigurationsvarianten: die benutzerspezifische odersystemweite Variante. Die Konfiguration erfolgt über die Konfigurationsdateifetchmailrc, die sich bei der systemweiten Konfiguration im Home-Verzeichnisvon Root befindet. Falls sie noch nicht existiert, kann man die Datei von Handanlegen. Aber Vorsicht bei den Zugriffsrechten. Diese File darf nur von Root lesbarsein, weil darin die POP3-Passwörter in Klartext gespeichert werden.Das Hinzufügen eines neuen Servers für das Abrufen von E-Mails.Webmin kompakt

252 Fetchmail-KonfigurationDas Formular zum Hinzufügen eines Servers, der mithilfe von Fetchmail auf neueNachrichten überprüft wird, verlangt von Ihnen folgende Einstellungen:• E-Mailserver-Name: Hier geben Sie den Hostnamen bzw. die IP-Adressedes Servers an.• Abholung aktiviert? Mit diesem Schalter bestimmen Sie, ob Fetchmailden Server regelmäßig auf neue Nachrichten prüfen soll. Wenn Sie denSchalter auf Nein setzen, muss die Überprüfung manuell erfolgen.• E-Mailserver, der abgefragt werden soll: Hier können Sie einen alternativenE-Mail-Server angeben.• Protokoll: Über dieses Auswahlmenü bestimmen Sie den Server-Typ. Siehaben die Wahl zwischen folgenden Protokollen:oooooooPOP3POP2IMAPIMAP-K4IMAP-GSSAPOPKPOPSollten Sie nicht wissen, welches Protokoll auf dem abzurufenden Serververwendet wird, sollten Sie dessen Administrator konsultieren. Meistkommt POP3, seltener hingegen IMAP zum Einsatz.• E-Mailserver-Port: Hier können Sie den Port des abzurufenden Mailserverändern. In der Regel sollten Sie die Konfiguration Standard beibehalten,außer Sie wissen zuverlässig, dass der Zielserver einen anderen Portverwendet und welcher dies ist.• Authentisierungsmethode: Für den Zugriff auf den abzurufenden Serverist natürlich auch die Authentifizierungsmethode relevant, denn der Zugriffkann natürlich nur mit der korrekten Technik erfolgen, die der entfernteMailserver verlangt. Über dieses Auswahlmenü stehen Ihnen allegängigen Authentifizierungsmethoden zur Auswahl:oooPASSWORDKERBEROS_V5KERBEROS_V4www.brain-media.de

253oooooGSSAPICRAM-MD5OTPNTLMSSHDer Zugriff dürfte in den meisten Fällen über die Passwort-Variante erfolgen.• Prüfe Zustand: Mit diesem Schalter bestimmen Sie, ob Fetchmail denZustand des abzurufenden Servers prüfen soll oder nicht. Standardmäßigist die Option Prüfe immer aktiviert, damit Fetchmail immer weiß, inwelchem Status sich der Server befindet. Alternativ können Sie die beidenfolgenden Einstellungen verwenden:ooNur wenn die Schnittstelle aktiviert ist: Wenn Sie diese Optionwählen, versucht Fetchmail lediglich dann eine Verbindung aufzubauen,wenn die Netzwerkstelle verfügbar ist.mit Adresse / Netzmaske: In diesen Eingabefeldern bestimmenSie den Adressbereich, für den eine Verbindungsaufnahme versuchtwird.Im Bereich E-Mailserver-Benutzerdetails stehen Ihnen folgende Anpassungsmöglichkeitenzur Verfügung.• Benutzername auf E-Mailserver: In diesem Eingabefeld hinterlegen Sieden Benutzernamen, mit dem sich Fetchmail auf dem abzurufenden Serveranmeldet.• Paßwort auf E-Mailserver: In dieses Eingabefeld geben Sie das dazugehörigePasswort ein.• Lokaler Benutzer: In dieses Feld geben Sie den lokalen Benutzernamenein. Dabei kann es sich um einen Namen wie user_sowieso oder auch umdie E-Mail-Adresse handeln. Das ist abhängig von dem abzurufendenSystem. Sie können auch mehrere Benutzernamen einfügen und diesedurch Kommata trennen. Es gibt eine dritte Möglichkeit: Sie verwendendas Sternchen (*). In diesem Fall liefert Fetchmail alle E-Mails an die Benutzeraus, bei denen der Benutzername mit der Benutzerkennung der E-Mail-Adresse übereinstimmt.Webmin kompakt

254 Fetchmail-Konfiguration• Nachrichten auf dem Server belassen? Mit dieser Einstellung legen Siefest, ob die von Fetchmail angeforderten Nachrichten auch weiterhin aufdem Server verbleiben sollen oder nicht. In der Regel ist das nicht gewünscht.• Immer alle Nachrichten abholen? Hier legen Sie fest, ob immer alleNachrichten von dem Server abgerufen werden sollen. Das ist in der Regelebenfalls nicht erwünscht.• Verbinde mit SSL? Hier legen Sie fest, ob die Verbindungsaufnahmezwischen Fetchmail und dem Remote-Mailserver per SSL erfolgt. In derRegel ist auch das nicht der Fall. Aus Sicht der Sicherheit aber in jedemFall wünschenswert.• Befehl, der vor dem Verbindungsaufbau ausgeführt werden soll: Siekönnen dieses Eingabefeld nutzen, um vor dem Verbindungsaufbau einspezifisches Kommando auszuführen. Sie könnten beispielsweise einenSSH-Tunnel über den zugehörigen Konsolenbefehl aufbauen.• Befehl, der nach dem Verbindungsaufbau ausgeführt werden soll:Dieses Eingabefeld wird in der Regel dazu genutzt, den im voranstehendenFeld gestarteten Befehl bzw. um den zugehörigen Prozess zu beenden.Mit einem Klick auf Erstellen wird der neue Server in die Server-Liste aufgenommen.Dort können Sie dann auch alle Server mit einem Klick auf Alle Server prüfenauf neue Nachrichten checken.21.1 Fetchmail-ModulkonfigurationIm Kopfbereich der Fetchmail-Übersicht finden Sie auch bei diesem Modul dieFetchmail-Modulkonfiguration. Auch das zugehörige Formular präsentiert Ihnenwieder konfigurierbare Einstellungen und die Systemkonfiguration.Im Bereich Konfigurierbare Optionen finden Sie folgende Anpassungsmöglichkeiten:• Fetchmail Konfigurations-Datei bearbeiten: Wenn Sie die Standardeinstellung.fetchmailrc-Dateien aller Benutzer beibehalten, werden dieFetchmail-Konfigurationen aller Systembenutzer über die Webmin-Schnittstelle angezeigt und können geändert werden. Wenn Sie lediglicheine Konfigurationsdatei über die Admin-Schnittstelle zugänglich machenwollen, so geben Sie in das zweite Eingabefeld den zugehörigen Pfad ein.www.brain-media.de

Fetchmail-Modulkonfiguration 255• Zeige Benutzerliste an als: Hier legen Sie fest, in welchem Format dieBenutzerliste angezeigt wird. Sie haben die Wahl zwischen beiden folgendenselbsterklärenden Optionen:ooNur BenutzernamenBenutzernamen und Fetchmail-KonfigurationStandardmäßig ist die zweite Option aktiviert. In kleinen Umgebungenkann auch mal nur der Benutzername genügen.Die Modulkonfiguration des Fetchmail-Servers.• Maximum number of users to display: Mit diesem Schalter legen Siefest, wie viele Benutzer maximal angezeigt werden. Das sind standardmäßig400. Sie können den Wert aber natürlich auch auf unbegrenzt(Unlimited) hochsetzen.• Fetchmail-Daemon läuft als Benutzer: In diesem Textfeld erfolgt dieBenutzerzuweisung des Fetchmail-Daemons. Er gehört standardmäßigRoot.Webmin kompakt

256 Fetchmail-Konfiguration• E-Mail-Auslieferungs-Befehl: Mit der letzten anpassbaren Option bestimmenSie den Auslieferungsbefehl. Die Auslieferung erfolgt in der Regelper SMTP, Sie können aber beispielsweise auch ein benutzerdefiniertesSendmail-Kommando in das Eingabefeld eingeben.Im Bereich Systemkonfiguration stehen Ihnen lediglich vier Anpassungsmöglichkeitenzur Verfügung:• Pfad zum Fetchmail-Programm: Hier zeigt Ihnen das Webmin-Modulden Pfad zum Fetchmail-Programm an.• Pfad zur Fetchmail-Daemon PID-Datei: Und hier den Pfad zur PID-Datei.• Kommando um den Fetchmail-Daemon zu starten: Hier legen Sie fest,ob Fetchmail einfach gestartet oder ein benutzerdefiniertes Kommandoausgeführt werden soll.• Kommando um den Fetchmail-Daemon zu stoppen: Schließlich wirdstandardmäßig der Befehl fetchmail -q aufgerufen, um den Daemon zubeenden. Sie können in dem Eingabefeld alternativ einen anderen Befehldefinieren.www.brain-media.de

25722 Benutzer-E-Mails lesen über PostfixIn der Server-Kategorie finden Sie auch den Eintrag Benutzer-E-Mails lesen. Dahinterverbirgt sich der Zugriff auf einen auf Ihrem System installierten Postfix-Server. Postfix ist ein Mail-Transfer-Agent für Unix und Linux. Er wurde erschaffen,um eine kompatible Alternative zu Sendmail zu bieten. Bei der Entwicklungwurde insbesondere auf Sicherheitsaspekte geachtet. Postfix ist aber nicht nursicher, sondern auch schnell und vergleichsweise einfach zu administrieren.Die Übersichtsseite beim Zugriff auf den Postfix-Mailserver.Wenn Sie auf das Benutzer-Mail-Modul zugreifen, so präsentiert Ihnen die zugehörigeÜbersicht die verschiedenen Benutzer, für die auf Ihrem System Mailkonteneingerichtet sind. Das ist natürlich abhängig von den Berechtigungen, die Webminbesitzt bzw. mit welchen Berechtigungen der eingeloggte Webmin-Benutzer ausgestattetist.Um auf das Postfach eines Benutzers zuzugreifen, klicken Sie einfach auf denentsprechenden Link. Liegt für den Benutzer eine Nachricht vor, so wird diese inder Nachrichtenübersicht angezeigt.Sie können über die Schaltfläche Schreiben eine Mitteilung an beliebige Empfängerverfassen. Dazu geben Sie im zugehörigen Formular den Absender, den Betreffund gegebenenfalls die Priorität an.Webmin kompakt

258 Benutzer-E-Mails lesen über Postfixwww.brain-media.de

25923 Mailinglisten mit Majordomo verwaltenMajordomo ist der Klassiker unter den Mailinglisten-Managern. Wie viele andereServer, die Webmin verwalten kann, ist Majordomo ebenfalls Open-Source-Software. Der Manager arbeitet insbesondere mit Sendmail, aber auch mit anderenMail-Transfer-Agents wie Postfix zusammen.Da Majordomo nicht der GPL unterliegt, sondern eine eingeschränkte Open-Source-Lizenz besitzt, die eine Weiterentwicklung und Verbreitung durch Dritteerschwert, wird es seit 1997 nicht mehr weiterentwickelt und weist inzwischeneinige nicht geschlossene Sicherheitslücken auf.Da der Mailinglisten-Manager inzwischen nicht mehr weiterentwickelt wird, erscheinenviele Prozeduren heute nicht mehr zeitgemäß, beispielsweise das vorgeseheneVerfahren zum An- und Abmelden durch E-Mail-Kommandos. Zur komfortablerenBedienung wurden später Web-basierte Frontends erstellt. Das bekanntesteFrontend ist Majorcool. Auch über Webmin ist die Konfiguration des Toolsmöglich.Die Übersichtsseite beim ersten Zugriff aufden Mailinglisten-Manager Majordomo.Inzwischen sind viele Listenbetreiber auf das neuere und sicherere GNU-Programm Mailman (http://www.gnu.org/software/mailman/) umgestiegen. AuchWebmin kompakt

260 Mailinglisten mit Majordomo verwaltendieser Manager lässt sich über Webmin administrieren, und zwar über dasMailman-Modul for Webmin (http://sourceforge.net/projects/mailman-mod/).Voraussetzung für die Nutzung von Majordomo ist eine erfolgreiche Sendmail-Installation. Prüfen Sie daher zunächst, ob Sendmail auf Ihrem System installiertund konfiguriert ist. Auf Sendmail kommen wir später noch zu sprechen.Sind Sendmail und Majordomo auf Ihrem System installiert, müssen Sie zunächstdie E-Mail-Adresse des Besitzers in der Sendmail-Alias-Datei eintragen. Dazugeben Sie die gewünschte Adresse in das Eingabefeld ein und klicken dann auf dieSchaltfläche Einrichten von Aliasen.23.1 Mailinglisten-ÜbersichtSie landen automatisch in der Mailinglisten-Übersicht. Da Sie bislang noch keineListe erzeugt haben, müssen Sie über den Verweis Hinzufügen einer Mailinglisteerst eine einrichten. Sie landen auf dem Formular Details der neuen Liste, dasfolgende Eingaben von Ihnen verlangt:• Name der Liste: Zunächst müssen Sie der Liste eine Bezeichnung zuweisen.Über diese ist sie dann in der Übersicht aufruf- und editierbar.• Adresse des Listenverwalters: In diesem Eingabefeld geben Sie die E-Mail-Adresse des Listen-Administrators an.• Passwort des Verwalters: Und hier sein das Passwort des Listen-Administrators.• Beschreibung: In diesem Textfeld hinterlegen Sie eine kurze BeschreibungIhrer Liste.• Einleitende Mitteilung: Und hier hinterlegen Sie den Text, der jedemneuen Abonnenten gemailt wird. Dabei kann es sich um eine Einführungin die Liste, Forenregeln oder andere wichtige Informationen für neue Leserhandeln.• Fußzeile einer weitergeleiteten E-Mail: Sie können einer weitergeleitetenNachricht auch eine Fußzeile mit auf den Weg geben. Meist hinterlegtman hier die Informationen, die für das Abbestellen der Mailinglistewichtig sind.www.brain-media.de

Mailinglisten-Übersicht 261Die Details der neuen Mailingliste.• Moderierte Liste? Hier legen Sie fest, ob die neue Liste moderiert werdensoll oder nicht. Bei einer moderierten Liste werden erst alle Beiträgevom Moderator auf Ihre Inhalte und die Listen-Konformität geprüft. Erkann die Beiträge dann manuell freigeben oder löschen.• Adresse des Moderators: Wenn Sie einen Moderator haben, so muss dasSystem natürlich auch wissen, wer das ist. Übernimmt der Majordom-Administrator ebenfalls die Rolle des Moderators, so aktivieren Sie dieOption Identisch mit der Adresse des Verwalters. Andernfalls geben Siedie E-Mail-Adresse des Administrators in das Eingabefeld ein. An dieseAdresse wird dann immer eine Kopie des Forenbeitrags gemailt.• Mailingliste archivieren? Schließlich können Sie die Beiträge archivieren.Sie haben die Wahl zwischen folgenden Optionen:ooooNeinIn jährlicher DateiIn monatlicher DateiIn täglicher DateiWebmin kompakt

262 Mailinglisten mit Majordomo verwaltenStandardmäßig ist die Archivierung deaktiviert. Ob eine Archivierung, diebisweilen sehr speicherplatzintensiv wird, Sinn macht, muss im Einzelfallentschieden werden.Mit einem Klick auf Erstellen ist Ihre erste Mailingliste – zumindest das Grundgerüst– erstellt. Sie landen in der Bearbeiten-Übersicht, in der Sie dann beispielsweiseder Liste erste Mitglieder verpassen, die Zugriffskontrolle, Kopf- und Fußzeilendefinieren können. Auch das Löschen der Liste ist mit einem einzigen Klick aufdie Löschen-Schaltfläche möglich.Die Details der neuen Mailingliste.Wie Sie voranstehender Abbildung entnehmen können, ist über die Listen-Editierfunktion insbesondere das Bearbeiten von der Mitgliederliste möglich.www.brain-media.de

Mailinglisten-Übersicht 263Das Bearbeiten der Mailinglisten-Mitgliederliste.Um Mitglieder in die Mailingliste aufzunehmen, verwenden Sie das Textfeld. Dortgeben Sie die Liste der E-Mail-Adressen an, die die E-Mails erhalten sollen, die andiese Liste gesendet werden. Für jeden Eintrag verwenden Sie eine einzelne Zeile.Sie können vier weitere Aktionen durchführen:• Eine E-Mail-Adresse zu der Liste hinzufügen: Mit diesem Eingabefeldfügen Sie einzelne Benutzer der Liste hinzu.• Entferne E-Mail-Adresse aus der Liste: Diese Funktion erlaubt das Entfernenbestehender Listeneinträge.• Unixbenutzer mit der Liste synchronisieren? Die Benutzeradministrationvereinfacht sich womöglich, wenn Sie die bestehenden Systembenutzermit der Mitgliederliste abgleichen.• Domainname, der an den Usernamen angehängt wird: Im letzten Eingabefeldkönnen Sie den Domainnamen bestimmen, der den Benutzernamenangehängt wird. Das macht nur Sinn, wenn Sie im Benutzerfeld nurBenutzerkennungen anstelle von vollständigen E-Mail-Adressen verwenden.Webmin kompakt

264 Mailinglisten mit Majordomo verwaltenWenn Sie dem Link Mitteilungen und Beschreibungen folgen, finden Sie die Einleitungund Beschreibung, die Sie beim Erstellen der Liste hinterlegt haben. In demdazugehörigen Formular können Sie beide nachträglich ändern.Weitaus wichtiger sind die Funktionen, die sich hinter dem Icon Einschreibungund Moderation verbergen. Dort finden Sie verschiedene Einschreibungs- undModerationsregeln, die beispielsweise festlegen, wer sich an der Liste anmeldenund wer wem kündigen darf.Die Konfiguration der Einschreibungs- und Moderationsfunktionen.Die Einstellungen im Einzelnen:• Einschreibungsregeln: Diese Regeln sehen drei Optionen vor:ooooJeder darf sich selbst einschreiben.Jeder darf jeden einschreiben.Zustimmung des Verwalters wird benötigt.Aus sicherheitstechnischen Überlegungen heraus sollte die Zustimmungdes Verwalters für das Einschreiben erforderlich sein.www.brain-media.de

Mailinglisten-Übersicht 265• Kündigungsregeln: Auch hier haben Sie drei Optionen:ooooJeder kann sich selbst kündigen.Jeder kann jeden kündigen.Zustimmung des Verwalters wird benötigt.Empfehlenswert ist auch hier die letzte (und auch die erste) Option.• Wird eine Bestätigung der Einschreibung verlangt? Setzen Sie dieseOption auf Ja, damit eine Einschreibebestätigung erforderlich ist.• Soll die einleitende Mitteilung versandt werden? Mit diesem Schalterbestimmen Sie, ob bei der ersten E-Mail an den neuen Teilnehmer die einleitendeMitteilung gesendet werden soll oder nicht.• Nur die ursprüngliche E-Mail-Adresse zur Liste hinzufügen? Soll nurdie ursprüngliche E-Mail-Adresse der Liste hinzugefügt werden, behaltenSie die Standardeinstellung Ja bei.• Benachrichtigung an den Verwalter über Einschreibungen und Kündigungen?Standardmäßig erhält der Mailinglisten-Verwalter eine Benachrichtigung,dass sich ein Benutzer an- bzw. abgemeldet hat.• Weiterleitung der Einschreibungs-/Kündigungsanfrage an den Verwalter?In der Regel ist es außerdem gewünscht, dass Einschreibe- bzw.Kündigungsanfragen beim Verwalter landen. Behalten Sie in diesem Falldie Standardeinstellung Ja bei.• Passwort des Verwalters: In diesem Eingabefeld hinterlegen Sie dasPasswort des Mailinglisten-Verwalters.• Moderierte Liste? Soll sich ein Moderator um die Liste und Ihre Inhaltekümmern, schalten Sie hier auf Ja.• E-Mail-Adresse des Moderators? Als Moderator ist standardmäßig derVerwalter vorgesehen. Wenn Sie eine andere Person damit beauftragenwollen, geben Sie hier den Benutzernamen oder die E-Mail-Adresse an.• Moderationspasswort: Hier geben Sie das Passwort des Moderators an.• Die E-Mail-Adresse des Eigentümers: Hier die E-Mail-Adresse des Eigentümers.Webmin kompakt

266 Mailinglisten mit Majordomo verwalten• Die E-Mail-Adresse der Genehmigung: Und schließlich die E-Mail-Adresse für die Genehmigung von Forenanmeldungen.Die E-Mail-Optionen für Ihre erste Mailingliste.In den E-Mail-Optionen für Ihre Liste bestimmen Sie beispielsweise, ob einBetreffzusatz wie [Mailingliste-Sowieso] bei weitergeleiteten Nachrichten verwendetwird und wie groß Beiträge maximal sein dürfen. Die Einstellungen im Einzelnen:• "Reply-To:"-E-Mail-Adresse in der zurückgesandten E-Mail: WennSie die Standardeinstellung Nichts beibehalten, so wird ein Reply auf eineNachricht direkt an den Absender der Nachricht gesendet.• "Sender:"-E-Mail-Adresse in der E-Mail: Hier legen Sie den Absendervon an die Mitglieder der Liste weitergeleiteten E-Mails fest. Dieser lautetstandardmäßig owner-listname. Sie können natürlich jede andere Ihnenpassende Bezeichnung verwenden.• Hostname für die zurückgesandte E-Mail: In diesem Feld können Sieden Hostnamen für zurückgesandte Nachrichten bestimmen.• "Subject:"-Zusatz für zurückgesandte E-Mail: Hier den dazugehörigenBetreffzusatz.• Priorität der zurückgesandten E-Mail: In diesem Feld bestimmen Siedie Priorität zugesandter Nachrichten. Bulk ist in der Regel eine guteWahl.www.brain-media.de

Zugriffskontrolle 267• Entferne "Recieved:"-Kopfzeile der zurückgesandten E-Mail: Siekönnen auch die Received-Kopfzeile aus zurückgesandten E-Mails entfernen.Das ist in der Regel nicht gewünscht.• Maximal erlaubte Nachrichtengröße: Um Ihr System nicht von zu fettenMails lahmlegen zu lassen, sollten Sie die maximale Nachrichtengröße(in Bytes) bestimmen. Werte zwischen 40 und 100 tausend sind meistpraxistauglich.23.2 ZugriffskontrolleMajordomo stellt Ihnen eine Vielzahl an Funktionen zur Steuerung der Zugriffskontrollezur Verfügung. Sie können beispielsweise festlegen, wer Informationenüber eine Liste abrufen darf, wer Postings senden darf und vieles mehr.Für sechs wichtige Majordomo-Befehle stehen Ihnen drei Einstellungen zur Verfügung:get, index, info, intro, which und who. Für diese können Sie folgende Berechtigungenverteilen:• Jedermann• Mitglieder der Liste• NiemandDie Zugriffssteuerung auf die neue Liste.Webmin kompakt

268 Mailinglisten mit Majordomo verwaltenDie beiden folgenden Befehle beziehen sich auf das Archiv:• index : Mit dieser Anweisung erfährt man, ob undwelche Dateien es gibt.• get : Mit diesem Befehl können Sie eine bestimmteDatei anfordern.Die Befehle intro und info liefern der Außenwelt wichtige Informationen zur Liste:• intro: Das Intro informiert neue Listenteilnehmer.• info: Die Info soll Neugierigen mitteilen, wozu diese Liste gut ist undvielleicht auch, wie sie sich eintragen können.• Die beiden Kommandos which und who liefern zusätzliche Informationenüber die Liste:• which : Mit diesem Befehl können Sie herausfinden,wer wo alles eingetragen ist.• who: Mit diesem Kommando können Berechtigte abfragen, wer die Listeabonniert hat.Mit fünf weiteren Einstellungen können Sie festlegen, wer an die Liste schreibenkann, und welche Ausdrücke nicht im Nachrichtentext bzw. der Kopfzeile erscheinendürfen. Wichtig ist dabei, dass alle Ausdrücke (regexps) der Taboo-/ und derAdressen-Liste mit einem Schrägstrich (/) beginnen und enden müssen.In den Mailinglisten-Einstellungen können Sieauch die Kopf- und Fußzeilen bestimmen.www.brain-media.de

Übersichtsliste 269Die Mailinglisten-Konfiguration hat zwei weitere Anpassungsmöglichkeiten zubieten. Wenn Sie dem Link Kopf- und Fußzeilen folgen, landen Sie in einem einfachenFormular, über das Sie Kopf- und Fußzeile sowie optional zusätzliche SMTP-Headerzeilen definieren. Insbesondere das Feld für die Fußzeile sollten Sie nutzen,um die Teilnehmer darüber zu informieren, wie man die Liste abbestellt.Unter Diverse weitere Optionen können Sie beispielsweise den Debug-Modusaktivieren.23.3 ÜbersichtslisteDie meisten Leser werden – sofern Sie in der Vergangenheit Mailinglisten genutzthaben – sicherlich auch die sogenannten Übersichtslisten kennen. Sie werden häufigauch als Digest bezeichnet. In diesen Listen werden die Beiträge eines bestimmtenZeitraums zusammengefasst und in chronologischer Reihenfolge aufgeführt.Das Erstellen einer Übersichtsliste.Die Handhabung der Digest-Funktion ist einfach. Weisen Sie der Liste eine Bezeichnung,eine Mailingliste und einen Administrator zu. Hinterlegen Sie außerdemeine Beschreibung und eine Infomitteilung samt typischer Fußzeile.Webmin kompakt

270 Mailinglisten mit Majordomo verwaltenDie Zusammenstellung der Liste erfolgt mit den beiden letzten Optionen. Sie könnenfestlegen, nach wie vielen Tagen eine Nachrichtensammlung erstellt wird oderwie umfangreich (in Zeilen) die bisherigen Beiträge sein müssen.Zu jeder Liste stehen Ihnen wiederum spezifische Einstellungen zur Verfügung,die im Wesentlichen denen beim Erstellen einer Liste entsprechen.23.4 Majordomo-OptionenDie Majordomo-Übersichtsseite erlaubt auch die Bearbeitung der globalen Optionen,die auf alle Mailinglisten angewendet werden. Dazu gehören der Hostnamedes E-Mail-Servers, die E-Mail-Adresse des Systems, die des Eigentümers und derSendmail-Pfad. Änderungen sind hier in der Regel nicht erforderlich.Die globalen Majordomo-Optionen.23.5 ModulkonfigurationAuch für das Majordomo-Modul gibt es eine Modulkonfiguration, in der Siekonfigurierbare Einstellungen und die Systemkonfiguration finden. Sie können dieanpassbaren Funktionen beispielsweise nutzen, um die Sortierung der Listen in derÜbersicht anzupassen (Name oder erzeugte Reihenfolge).www.brain-media.de

Modulkonfiguration 271Die Modulkonfiguration.Webmin kompakt

272 Mailinglisten mit Majordomo verwaltenwww.brain-media.de

27324 Administration des MySQL-ServersDas Web in seiner heutigen Form wäre so ohne den Datenbankserver MySQLnicht denkbar. Auf Millionen dynamischer Websites kommt das relationale Datenbankverwaltungssystemzum Einsatz. Auch MySQL ist eine freie Software, dieunter der GPL steht. Die Datenbank kann aber auch mit einer kommerziellen Lizenzeingesetzt werden.MySQL ist eine sehr leistungsfähige Software mit einem beachtlichen Funktionsumfang.Das Datenbanksystem unterstützt beispielsweise die folgenden Funktionen:• Prepared Statements• updateable und insertable View• TriggerAuch ein Replikationssystem steht Ihnen zur Verfügung. Es ist für den Einsatz ineinem Computercluster ausgelegt. Dabei sind dem DBMS mehrere Datenbankenauf unterschiedlichen Rechner-Knoten zugeordnet.Das bevorzugte Einsatzgebiet von MySQL dürfte inzwischen die Datenspeicherungfür Web-Dienste sein. MySQL wird häufig in Verbindung mit dem WebserverApache und PHP eingesetzt. Diese Kombination wird entsprechend der Anfangsbuchstabender beteiligten Software als LAMP, MAMP bzw. WAMP (mittlerweileals XAMPP) bezeichnet.Zur Verwaltung von MySQL-Datenbanken kommen verschiedene mitgelieferteKommandozeilen-Clients (Kommandos mysql und mysqladmin) zum Einsatz. Diebeiden einzigen praktikablen grafischen Werkzeuge für Linux-Systeme sind dasPHP-basierte phpMyAdmin und eben Webmin.Ein erhebliches Problem beim Einsatz von MySQL stellt die problematische Nutzungdes Systems dar. Zwar gibt es mit phpMyAdmin einen leistungsfähigen Datenbankmanager,doch auch der ist nicht immer einfach in der Handhabung.Leider ist auch das Webmin-Modul nicht der Weisheit letzter Schluss. Sie könnenzwar alle wichtigen Datenbank-spezifischen Aktionen mit diesem Modul durchführen,doch früher oder später erweist es sich als zu wenig flexibel.Webmin kompakt

274 Administration des MySQL-ServersEin erster Blick auf das MySQL-Modul von Webmin.Über das Webmin-Modul können Sie Datenbanken erzeugen, Tabellen, Felder undEinträge editieren, unterschiedliche Berechtigungen definieren und verwalten,Datenbankverbindungen einsehen, die MySQL-Datenbank konfigurieren undSicherheitskopien Ihrer Daten erzeugen.Sollte Ihr Datenbankserver beim ersten Zugriff womöglich noch nicht laufen, müssenSie diesen erst in Gang setzen. Webmin gibt eine entsprechende Meldung aus,die Ihnen das Starten erlaubt.Starten Sie den Datenbankserver zuerst.www.brain-media.de

Datenbanken editieren und erzeugen 275Die MySQL-Übersicht präsentiert Ihnen eine dreigeteilte Schnittstelle. Im oberenBereich finden Sie die bereits auf dem Server eingerichteten Datenbanken. Hier istauch das Löschen und Erstellen von neuen Ablagen möglich. Darunter befindensich die verschiedenen globalen Einstellungen, mit denen Sie beispielsweise unterschiedlicheRechte steuern. Im unteren Bereich stehen Ihnen zwei Funktionen zurVerfügung, mit denen Sie den Server starten bzw. beenden und ein Back-up derDatenbank durchführen können.24.1 Datenbanken editieren und erzeugenDas Bearbeiten einer Datenbank ist einfach. Klicken Sie dazu einfach in der Übersichtauf die gewünschte Datenbankbezeichnung. Welches Bild sich Ihnen auf demfolgenden Formular präsentiert ist davon abhängig, welche Daten bereits in derAblage lagern. Bei einer typischen MySQL-Standardinstallation sollten Sie diebeiden folgenden Datenbanken vorfinden: tmp und mysql. Wir editieren die Datenbankmysql, um uns ein Bild von den weiteren Funktionen zu machen.Die Datenbank tmp besitzt noch keine Tabellen.Wenn Sie wie in diesem Beispiel die Datenbank tmp öffnen und diese besitzt nochkeine Tabelle, so zeigt Ihnen Webmin dies mit einem einfachen Dialog an. Siekönnen allerdings über die Bearbeitungsfunktionen eine neue Tabelle mit einerdefinierbaren Anzahl an Feldern erzeugen.Webmin kompakt

276 Administration des MySQL-ServersDie Datenbank mysql präsentiert Ihnen ein anderes Bild.Hier finden Sie bereits siebzehn Tabellen und drei Indizes.Wenn Sie die Datenbank mysql öffnen, präsentiert sich Ihnen ein anderes Bild.Diese ist bereits mit verschiedenen Tabellen gefüllt und verfügt zudem über dreiIndizes. Indizes sind meistens eine Spalte in einer Tabelle, nach der besondershäufig gesucht wird. Die Einträge in der Spalte werden als HASH-Index gespeichert.Damit beschleunigt sich die Suche erheblich. Insbesondere bei Verknüpfungenvon Tabellen wird MySQL dadurch erheblich schneller.Um nun auf die Daten in einer Tabelle zuzugreifen, klicken Sie auf den gewünschtenTabellennamen. Das zugehörige Formular präsentiert Ihnen die in der Tabelleerzeugten Felder samt aktuellen Einträgen. Um ein Feld zu bearbeiten, klicken Sieauf dessen Bezeichnung und passen die Einträge an.www.brain-media.de

Neue Datenbank erzeugen 277Eine editierte Tabelle.24.2 Neue Datenbank erzeugenErstellen wir also eine erste Datenbank, beispielsweise eine Adressdatenbank.Dazu wechseln Sie zur MySQL-Übersicht und folgen dem Link Erstelle eine neueDatenbank. In dem Formular Datenbank erstellen weisen Sie der neuen Ablagezunächst eine Bezeichnung zu und bestimmen den Zeichensatz (meist Standardoder ISO 8859-2).Dann bestimmen Sie die Feldnamen. Da wir eine Adressdatenbank erstellen wollen,verwenden wir hier die typischen Inhalte einer Adressdatenbank wie Name,Vorname, Adresse und Telefonnummer.Die Adressdatenbank in der Entstehung.Webmin kompakt

278 Administration des MySQL-ServersDann hinterlegen Sie die Feldnamen, die Sie beispielsweise mit Name, Vorname,Adresse und Telefon bezeichnen könnten. Sehr wichtig für die Funktionstüchtigkeitund die Performance Ihrer Datenbank ist die Wahl des Datentyps.Gerade bei größeren Datenmengen zahlt sich die korrekte Zuweisung des Datentypsdurch eine höhere Geschwindigkeit aus. Falsch eingesetzt können diese Zuordnungenaber auch zu Problemen führen, da jeder Typ nur limitierte Bereicheaufnehmen kann.Man unterscheidet zwischen folgenden Datentypen:• Numerische Typen• Datums- und Uhrzeit-Datentypen• Zeichenketten-DatentypenIn den drei nachfolgenden Tabellen finden Sie zu den verschiedenen Typen einigeBeispiele, die Ihnen helfen werden, den Datentyp korrekt zu setzen:Numerische DatentypenDatentyp Bedeutung BereichTINYINT sehr kleine Ganzzahl -128 bis 127SMALLINT kleine Ganzzahl -32768 bis 32767INT Ganzzahl -2147283648 bis2147283647FLOATFließkommazahlDatums- und Uhrzeit-DatentypenDatentyp Bedeutung BereichDATE Datum 1.1.1000 bis 31.12.9999,Format: YYYY-MM-DDDATETIMEDatum und UhrzeitTIME Uhrzeit Format hh:mm:ssYEAR Jahreszahl 1901 bis 21551.1.1000, 0:00:00 Uhr bis 31.12.9999,23:59:59,Format: YYYY-MM-DD hh:mm:sswww.brain-media.de

Neue Datenbank erzeugen 279Zeichenketten-DatentypenDatentyp Bedeutung LängeCHAR Zeichenkette mit festerGrößemax. 255 ZeichenVARCHARMEDIUMTEXT,MEDIUMBLOBZeichenkette mit variablerGrößemittelgroße Zeichenkettemax. 255 Zeichenmax. 16777215 ByteENUM Auflistung Auswahl nur eines FeldesSET Auflistung MehrfachauswahlDie weiteren Einstellungen können Sie vorerst ignorieren. Klicken Sie auf Erstellen,um die Datenbank zu erzeugen.AchtungIn der Praxis kann es vorkommen, dass das Erstellen der Felder über das Datenbank-erstellen-Formularnicht funktioniert. In diesem Fall erstellen Sie zuerst dieDatenbank ohne weitere Details. Editieren Sie dann im nächsten Schritt die Datenbankund erzeugen Sie die gewünschte Anzahl an Feldern.Angenommen, Sie haben zuerst die Datenbank erzeugt und wollen diese dann miteiner ersten Tabelle füllen, so editieren Sie zunächst die Datenbank und klickendann auf die Schaltfläche Erstelle eine neue Tabelle. Dabei können Sie gleich auchdie Anzahl an Feldern bestimmen. Im Dialog Tabelle erstellen bestimmen Sie denTabellennamen, kopieren gegebenenfalls bestehende Felder über das Auswahlmenüin die Tabelle und bestimmen den Tabellentyp.Webmin kompakt

280 Administration des MySQL-ServersDas Erstellen einer Tabelle.Das Formular stellt Ihnen fünf Tabellentypen zur Auswahl:• MyISAM: Dies ist der standardmäßig verwendete Typ. Es handelt sichum die für SQL optimierte MyISAM-Datenbankstruktur. Sie ist nicht mitdem Vorgänger ISAM kompatibel.• ISAM: Dies ist der MyISAM-Vorläufer und sollte in der Regel nichtverwendet werden.• HEAP: Dies ist die Datenstruktur für eine Tabelle, die nur im RAM abgelegtwird. Entsprechend sind die Zugriffe darauf deutlich schneller, als aufdie normale Datenbank.• Merge: Eine Merge-Tabelle ist eine Sammlung identischer MyISAM-Tabellen, die wie eine benutzt werden können.• Innodb: InnoDB stellt MySQL einen transaktionssicheren Tabellen-Handler mit Fähigkeiten für Commit, Rollback und Reparatur nach Absturzzur Verfügung.Im Formular für die Tabelleneinstellungen stehen Ihnen sechs weitere Konfigurationsmöglichkeitenzur Verfügung:• Typenbreite: Hier legen Sie fest, wie viele Zeichen in das Feld eingegebenwerden können. Eine Beschränkung ist schon deshalb sinnvoll, damitwww.brain-media.de

Neue Datenbank erzeugen 281nicht bestimmte Benutzer unsinnige und überlange Zeichenfolgen verwenden.• Primärschlüssel: In relationalen Datenbanken kommt das Schlüsselkonzeptzum Einsatz. Ein Schlüssel ist eine Menge von Attributen (also einesoder mehrere), die eine Datenzeile einer Tabelle eindeutig identifiziert.Ein Schlüsselkandidat ist ein Schlüssel mit minimaler Anzahl Attribute.Und ein Primärschlüssel ist ein beliebig ausgewählter Schlüsselkandidat,der zur eindeutigen Identifizierung jeder Zeile benutzt wird. Wenn Siedieses Kontrollkästchen aktivieren, wird das Feld Teil des Primärschlüsselsfür diese Tabelle.• Automatisch erhöhen: Diese Funktion kommt bei nummerischen Datentypenzum Einsatz. Sie können beispielsweise für IDs die automatischeErhöhung aktivieren, damit die ID von Eintrag zu Eintrag erhöht wird.• Erlaubt NULL: Hier legen Sie fest, ob auch die NULL ein zulässigerWert ist. Dabei bezeichnet NULL einen fehlenden unbekannten Wert,nicht aber einen leeren Eintrag.• Ohne Vorzeichen: Hier legen Sie fest, ob Sie Vorzeichen verwendenwollen oder nicht.• Standardwert: Schließlich können Sie auch einen Standardwert definieren.Sie können natürlich Felder nachträglich bearbeiten.Webmin kompakt

282 Administration des MySQL-ServersNachdem Sie Ihre Tabelle mit einem Klick auf Erstellen erzeugt haben, können Siedie Felder natürlich auch nachträglich bearbeiten. Dazu öffnen Sie die Tabelle undklicken auf den gewünschten Feldeintrag.24.3 Daten sichtenSie können mit Webmin nicht nur Datenbanken und Tabellen erzeugen, sondernauch die in der Datenbank gesicherten Daten sichten. Öffnen Sie dazu die gewünschteTabelle und klicken Sie auf die Schaltfläche Daten zeigen. Sollten nochkeine Daten in der Tabelle gespeichert sein, so gibt Webmin einfach folgendeMeldung aus: Diese Tabelle enthält keine Daten.Das können Sie unmittelbar ändern, indem Sie auf die Schaltfläche Neue Zeileklicken und das zugehörige Formular mit Daten füttern. Sie können allerdings nurdann Daten hinzufügen, wenn die Tabelle einen Primärschlüssel besitzt.Die Tabelle enthält noch keine Daten? Kein Problem, denn mitWebmin können Sie sie mit Informationen speisen.24.4 SQL-Kommandos ausführenWenn Sie womöglich phpMyAdmin kennen, so suchen Sie sicherlich auch dieMöglichkeit, SQL-Kommandos auszuführen. Auch das ist über die Webmin-Schnittstelle möglich. Dazu öffnen Sie die gewünschte Datenbank, in der Sie bei-www.brain-media.de

SQL-Kommandos ausführen 283spielsweise Daten suchen oder einfügen wollen und klicken auf die SchaltflächeSQL ausführen.Das Formular SQL ausführen erlaubt Ihnen neben der Ausführung von SQL-Befehlen noch zwei weitere Aktionen: Sie können SQL-Kommandos aus eineranzugebenen Datei ausführen und Daten aus einer Textdatei in die aktuelle Datenbankimportieren.Zur Ausführung von SQL-Kommandos geben Sie diese in das erste Eingabefeldein. Eines der wichtigsten SQL-Kommanods ist SELECT. Es startet eine Abfragein dem bestehenden Datenbestand. Die Syntax sieht wie folgt aus:SELECT [DISTINCT] AuswahllisteFROM QuelleWHERE Where-Klausel[GROUP BY (Group-by-Attribut)+[HAVING Having-Klausel]][ORDER BY (Sortierungsattribut [ASC|DESC])+]Zur Erläuterung: DISTINCT gibt an, dass aus der Ergebnisrelation gleicheErgebnistupel entfernt werden sollen. Die weiteren Bestandteile der Abfrage:• Auswahlliste bestimmt, welche Spalten der Quelle auszugeben sind.• Quelle gibt an, wo die Daten herkommen.• Where-Klausel bestimmt Bedingungen, unter denen die Daten ausgegebenwerden sollen.• Group-by-Attribut listet Attribute auf, deren Werte festlegen, welcheTupel zu Gruppen zusammengefasst werden sollen.• Having-Klausel ist wie die Where-Klausel, nur dass hier auf Aggregationsfunktionenzugegriffen wird.• Sortierungsattribut: Mit ORDER BY werden Attribute definiert, nach denendie Sortierung erfolgt.Ein einfaches Beispiel:SELECT * FROM AdressenWebmin kompakt

284 Administration des MySQL-ServersDiese SQL-Anweisung listet die Werte aller Spalten aus der Tabelle Adressen auf.Beim Umgang mit Datenbanken spielen auch die Manipulationsbefehle INSERT,UPDATE und DELETE eine wichtige Rolle. Deren Syntax sieht wie folgt aus:INSERT INTO Relation ['(' (Attribut)+ ')'] VALUES ('('(Konstanten)+')' )+INSERT INTO Relation ['(' (Attribut)+ ')'] SFW-BlockUPDATE Relation SET (Attribut=Ausdruck)+ WHERE Where-KlauselDELETE FROM Relation [WHERE Where-Klausel]Mit dem Kommando INSERT können explizit konstruierte Tupel oder die Ergebnisseeines Select-Blocks in eine Relation eingefügt werden. Für weitere Informationenzur Verwendung von SQL-Befehlen sei auf entsprechende Literatur verwiesen.Auch in der offiziellen MySQL-Dokumentation (http://dev.mysql.com/doc/)finden Sie viele Beispiele.Die Ausführung von SQL-Kommandos.www.brain-media.de

Import von Daten in Datenbank 285Sie können sich die Ausführung auch vereinfachen, wenn Sie bereits SQL-Kommandos vorbereitet und in einer Textdatei gespeichert haben.Das Formular für die Ausführung von SQL-Kommandoserlaubt auch den Import von Daten.24.5 Import von Daten in DatenbankIn der Praxis kommt es immer wieder vor, dass man bereits Daten besitzt, die ineine Datenbank integriert werden sollen. Der Import (und auch der Export) istleider nach wie vor eine problematische Angelegenheit bei MySQL. Immerhinkönnen Sie mit Webmin Daten aus einer Textdatei in Ihre Datenbank importieren.Wichtig dabei, damit der Import auch klappt: Diese Datei muss pro Zeile einenDatensatz enthalten und die Felder müssen durch Tabs getrennt sein.Der Import kann aus einer lokal gespeicherten oder aus einer hochgeladenen Dateierfolgen. In beiden Fällen bestimmen Sie zunächst den Pfad. Wollen Sie Daten ausanderen Datenbanken bzw. deren Tabellen importieren, die auf dem Server lagern,so bestimmen Sie über das Auswahlmenü die gewünschte Tabelle. Ihnen stehendrei Importoptionen zur Verfügung:• Vorhandene Daten vorher löschen? Hier entscheiden Sie, ob bereitsvorhandene Daten überschrieben werden sollen. Das ist in der Regel nichtgewünscht.• Doppelte Datensätze ignorieren? Hier bestimmen Sie, wie Sie mit doppeltvorhandenen Datensätzen umgehen.Webmin kompakt

286 Administration des MySQL-Servers• File format: Schließlich können Sie das Dateiformat der zu importierendenDaten bestimmen.Bevor Sie die Importfunktionen auf einem Produktivitätssystem nutzen, sollten Sieausreichend prüfen, ob der Import Ihrer Dateien korrekt funktioniert.24.6 Globale MySQL-EinstellungenKommen wir zu den globalen MySQL-Einstellungen, die sich im mittleren Bereichder MySQL-Übersicht finden. Diese Funktionen dienen wie bereits oben erwähntin erster Linie der Vergabe von Rechten.Die Konfiguration der Benutzerberechtigungen.Der Zugriff auf die MySQL-Datenbank erfolgt, die anonymen Nutzer einmal ausgenommen,über die Authentifizierung mit einer Kennung und dem dazugehörigenPasswort. Diese Authentifizierung ist insbesondere dann erforderlich, wenn dieBenutzer mit den Datenbanken arbeiten, also bearbeiten wollen.www.brain-media.de

Globale MySQL-Einstellungen 287Über das Benutzerberechtigungsformular können Sie exakt steuern, wer was mitIhren Daten anstellen darf. Bei einer Standardinstallation finden Sie bereits zweiUser eingerichtet:• Root• Anonymer BenutzerBeide haben Zugang zum System, auf dem Webmin ausgeführt wird – und zwareinmal auf das Loopback-Interface localhost und dann auf den Hostnamen.Das Anlegen eines neuen MySQL-Datenbankbenutzers.Um einen neuen Benutzer zu erstellen, folgen Sie dem Link Erstelle neuen Benutzer.Im Formular MySQL-Benutzerdetails bestimmen Sie zunächst den Benutzernamen,das Passwort und dann den Host. Im Auswahlmenü Berechtigungen stehenIhnen vielfältige Konfigurationsmöglichkeiten zur Verfügung. Konkret können Siefolgende Berechtigungen setzen:• Tabellendaten auswählen• Tabellendaten einfügen• Tabellendaten aktualisierenWebmin kompakt

288 Administration des MySQL-Servers• Tabellendaten löschen• Tabellen erstellen• Tabellen löschen• Berechtigungen neu laden• Datenbank herunterfahren• Prozesse verwalten• Dateioperationen• Indizes verwalten• Tabellen verändern• Datenbanken anzeigen• Superuser• Erzeuge temporäre Tabellen• Tabellen sperren• Ausführen• Slave-Replikation• Client-Replikation• Ansicht erstellen• Ansicht zeigen• Routine erzeugen• Routine bearbeiten• Benutzer erzeugenSie sehen: Sie können sehr vielfältige Berechtigungen verwenden. Um einem Benutzermehrere verschiedene Berechtigungen zuzuteilen, halten Sie die Strg-Tastegedrückt und markieren der Reihe nach die gewünschten Berechtigungen.Mit einem Klick auf Speichern wird der neue Benutzer in die Benutzerverwaltungaufgenommen. Dort finden Sie nun auch dessen Eintrag. Neben dem verschlüsseltenPasswort werden in der Benutzerübersicht auch die Berechtigungen aufgeführt.www.brain-media.de

Globale MySQL-Einstellungen 289In der Benutzerliste findet sich jetzt auch der neue MySQL-Usersamt verschlüsseltem Passwort und Berechtigungen.Sie können die Benutzerverwaltung auch vereinfachen, indem Sie die Synchronisationzwischen Unix-Benutzern, die unter Webmin angelegt werden, und MySQL-Benutzern aktivieren. Dabei können Sie drei selbsterklärende Schalter verwenden:• Neuen MySQL-Benutzer anlegen, wenn ein neuer Unix-Benutzer angelegtwird, mit den Berechtigungen ...• MySQL-Benutzer aktualisieren, wenn der entsprechende Unix-Benutzergeändert wird.• MySQL-Benutzer löschen, wenn der entsprechende Unix-Benutzer gelöschtwird.Diese drei Funktionen können Sie auch miteinander kombinieren.Webmin kompakt

290 Administration des MySQL-ServersDie Datenbankrechte.In den globalen Berechtigungen finden Sie weitere sicherheitsrelevante Einstellungen.So können Sie beispielsweise auch Benutzern Zugriff nur auf spezifischeDatenbanken gewähren. Hier verwenden Sie die Datenbankrechte.Beim ersten Zugriff auf die Datenbankrechte werden Ihnen die beiden Datenbankentest und test\ % samt den dazugehörigen Benutzern, Hosts und Rechten angezeigt.Und so gehen Sie in der Praxis vor:1. Stellen Sie zunächst sicher, dass der Benutzer bislang noch keine Berechtigungenauf der Benutzer-Seite erhalten hat.2. Dann wechseln Sie zu den Datenbankberechtigungen und klicken aufden Link Erstelle neue Datenbankrechte.3. In dem zugehörigen Formular bestimmen Sie die Datenbank, für diedie Berechtigung gelten soll, und geben den Benutzernamen an.4. Unter Hosts legen Sie fest, von welchen Rechnern der oben angegebeneBenutzer auf die Datenbank zugreifen kann. In der Regel könnenSie die Option beliebig wählen. Aus sicherheitstechnischen Überlegungenheraus kann es auch sinnvoll sein, den Zugriff nur von einembestimmten System zu gewähren.5. Wählen Sie unter Rechte wie oben beschrieben die gewünschten Berechtigungenaus und klicken Sie auf Speichern, um die Einstellungenwww.brain-media.de

Globale MySQL-Einstellungen 291zu übernehmen. Der neue Eintrag landet automatisch in der Datenbankrechteliste.Das Erstellen von spezifischen Datenbankrechten.In eine ähnliche Richtung gehen die Host-Rechte, auf die Sie über das gleichnamigeIcon in der MySQL-Übersicht zugreifen. Mit diesen Funktionen können Sieexakt steuern, über welche Rechte spezifische Clients verfügen. Da bei einer Standardinstallationeine solche Konfiguration noch nicht gesetzt ist, müssen Sie dieseerst definieren.Das Formular zum Erstellen von Host-Rechtenist denen anderer Rechtedialoge sehr ähnlich.Webmin kompakt

292 Administration des MySQL-ServersDas Erstellen von Host-Rechten ist sehr einfach. Bestimmen Sie zunächst die Datenbank,dann gegebenenfalls den Host und wählen Sie dann die Rechte aus. WieSie es von anderen Rechtevergaben kennen, landet die neue Konfiguration ist inder Host-Rechte-Liste – samt typischen Details.Ähnlich verläuft die Definition von Tabellenrechten. Da auch bei diesem Rechtetypbislang noch keine Rechtevergabe existiert, müssen Sie im ersten Schritt dieDatenbank auswählen, für die Sie eine Beschränkung einführen wollen. KlickenSie dann auf die Schaltfläche Füge neue Rechte zu Datenbank hinzu.Die Definition von Tabellenrechten.Das MySQL-Webmin-Modul präsentiert Ihnen das Formular, auf dem Sie dieTabelle auswählen und dann wieder den Benutzer und den Host bestimmen. MarkierenSie dann die gewünschten Tabellen- und Feldrechte und klicken Sie abschließendauf Speichern.Entsprechend funktioniert die Vergabe von Feldrechten über das Feldrechte-Iconder MySQL-Startseite.www.brain-media.de

MySQL-Server-Konfiguration 29324.7 MySQL-Server-KonfigurationMithilfe von Webmin können Sie auch die MySQL-Server-Konfiguration bearbeiten.Auf dem zugehörigen Formular können Sie beispielsweise den Server-Portund verschiedene Puffer konfigurieren.Die Konfiguration des MySQL-Servers fällt vergleichsweise bescheiden aus.Im oberen Bereich der MySQL-Konfiguration finden Sie folgende Einstellungen:• MySQL Server Port: Hier geben Sie den Port des Servers an. In der Regelist es Port 3306. Aber Sie können diesen natürlich beliebig anpassen.• MySQL server listening address: Hier legen Sie die Adresse fest, aufdie der Datenbankserver hört.• Skip locking of table files? Wenn Sie diesen Schalter auf Ja setzen, wirddas Sperren von Tabellendateien ausgelassen.• Allow big tables? Standardmäßig ist die Verwendung von sehr großenTabellen nicht zulässig.• MySQL Unix socket: Hier geben Sie den Pfad zur Linux-Socket-Konfiguration.Webmin kompakt

294 Administration des MySQL-Servers• Databases files directory: Auch Dateiverzeichnisse Ihres Servers könnenSie beliebig an Ihre Anforderungen anpassen.Es folgen verschiedene Einstellungen, mit denen Sie die Größe von unterschiedlichenZwischenspeichern definieren.• Key buffer size: Hier können Sie den Schlüsselpuffer bestimmen.• Maximum packet size: Hier die maximal zulässige Paketgröße.• Sort buffer size: Hier die Größe des Sortierungspuffers.• Network buffer size: Auch die Netzwerkpuffergröße lässt sich anpassen.• MyISAM sort buffer: Wenn Sie MyISAM nutzen, kann unter Umständeneine Anpassung des MyISAM-Puffers erforderlich sein.• Tables to cache: Was diese Funktion genau macht, ist leider nicht dokumentiert.• Maximum number of connections: Schließlich können Sie die maximalzulässige Anzahl an Verbindungen bestimmen, die zum Server aufgebautwerden dürfen.In der Regel müssen Sie an den Standardeinstellungen keine Änderungen vornehmen.Das wird erst dann erforderlich, wenn Engpässe oder andere Probleme auftreten.Das MySQL-Modul zeigt Ihnen auch dieaktuellen Datenbankverbindungen an.Als Server-Administrator will man natürlich auch gelegentlich wissen, wie vieleVerbindungen zu dem System aufgebaut werden. Auch diese Informationen kannwww.brain-media.de

Systemvariablen 295Ihnen das Webmin-MySQL-Modul liefern. Klicken Sie in der MySQL-Übersichteinfach auf Database Connections.Auf dem zugehörigen Formular werden Ihnen der Benutzer, der Client, die Datenbank,auf die der Zugriff erfolgt und der Modus angezeigt. Sie können unerwünschteVerbindungen auch beenden, indem Sie diese markieren und dann aufdie Schaltfläche Kill Selected Connections klicken.24.8 SystemvariablenDer MySQL-Datenbankserver verwendet eine Vielzahl von Systemvariablen, dieangeben, wie der Server konfiguriert ist. Für alle diese Variablen gibt es Vorgabewerte.Diese können beim Serverstart über Optionen auf der Befehlszeile oder auchüber das Webmin-Modul konfiguriert werden. Die meisten Variablen lassen sichzur Laufzeit des Servers dynamisch mithilfe der SET-Anweisung ändern. Doch dasbenötigen Sie als Webmin-Administrator nicht, denn Sie können die Einstellungen– wenn auch nicht alle – einfach editieren. Der Vorteil: Sie können den Betrieb desServers beeinflussen, ohne ihn beenden und neu starten zu müssen.Der MySQL-Server verwendet zwei Arten von Systemvariablen:• Globale Variablen beeinflussen den Gesamtbetrieb des Servers.• Sitzungsvariablen hingegen wirken sich auf seinen Betrieb bezogen aufjeweils individuelle Clientverbindungen aus.Eine gegebene Systemvariable kann sowohl einen globalen als auch einen sitzungsbezogenenWert haben. Beim Servers-tart setzt er alle globalen Variablen aufihre jeweiligen Standardwerte.Alle editierbaren Einstellungen besitzen ein Kontrollkästchen in der ersten Spalte.Um diese zu editieren, versehen Sie diese mit einem Häkchen und klicken am Fußedes Formulars auf Edit Selected.Webmin kompakt

296 Administration des MySQL-ServersDas Editieren der Umgebungsvariablen.Anschließend verwandeln sich die ausgewählten Einstellungen in Eingabefelder, indenen Sie der jeweiligen Konfiguration einen neuen Wert verpassen können.24.9 Datenbank-Back-upDatenbanken werden in der Regel nicht zum Selbstzweck erzeugt, sondern speichernoft unternehmenskritische Inhalte. Ob Sie nun in MySQL Ihre Adressenverwalten oder die Daten Ihres Online-Shops speichern, ist zweitrangig. Wichtigist, dass Sie einen Sicherungsmechanismus benötigen, mit dem Sie Ihre Daten ananderer Stelle sichern können.Auch für diese Anforderung ist im MySQL-Modul mit der Funktion Backup Databasegesorgt, die Sie am Fuße der MySQL-Übersicht finden.www.brain-media.de

Datenbank-Back-up 297Die Back-up-Optionen.Das Back-up-Formular erlaubt Ihnen die Sicherung aller Datenbanken als Dateien.Dazu bestimmen Sie zunächst ein Verzeichnis, in das die Daten geschrieben werden.Mit den folgenden Einstellungen können Sie die Durchführung der Sicherungexakt steuern.Sie können auch das Datenbankformat definieren, in dem Sie aus dem AuswahlmenüBackup Compatibility Format das für Ihren Einsatzbereich optimale Formatwählen.Um Speicherplatz auf dem Zielsystem zu sparen (insbesondere dann, wenn Siegroße Datenmengen zu sichern haben), sollten Sie die Komprimierung aktivieren.Über die Zeitsteuerung lassen sich Folge-Back-ups zudem automatisieren.Wenn Sie eine Sicherung erfolgreich durchführen, gibt Webmin eine entsprechendeErfolgsmeldung mit Details aus, denen Sie entnehmen können, welche Datenbankenwohin gesichert wurden.Damit kennen Sie alle wichtigen Funktionen des MySQL-Moduls. Werfen wirnoch einen Blick auf die Modul-Konfiguration.Webmin kompakt

298 Administration des MySQL-ServersDie MySQL-Modulkonfiguration.24.10 Modul-KonfigurationDie Modul-Konfiguration des MySQL-Moduls entspricht im Aufbau der der anderenModule. Auch hier finden Sie konfigurierbare Optionen und die Systemkonfiguration.Bei den konfigurierbaren Optionen können Sie beispielsweise das Log-inund Passwort des Datenbankadministrators ändern.www.brain-media.de

29925 SSH-ServerEiner jede Linux-Distribution liegt in der Regel auch der OpenSSH-Server bei.Dabei handelt es sich um eine freie Version der bekannten SSH-Verbindungssuite.Wofür benötigt man nun dieses Tool? Die Beantwortung der Frage ist recht einfach.Viele Benutzer verwenden Protokolle und/oder Dienste wie Telnet, rlogin,FT etc., bei denen allerdings das Passwort unverschlüsselt über das Internet übertragenwird.Schutz für diese Dienste bietet OpenSSH, denn er verschlüsselt die Passwörter unddie gesamte Verbindung, um das Mithören, das Entführen von Verbindungen undähnliche Angriffe zu verhindern. Außerdem bietet OpenSSH neben einer Unzahlsicherer Tunnel- und Authentifikationsmöglichkeiten die Unterstützung für alleSSH-Protokollversionen an.Die OpenSSH-Übersicht.Die OpenSSH-Suite ersetzt rlogin und telnet mit dem Programm ssh, rcp mit scpund ftp mit sftp. Außerdem sind der Server sshd und andere Werkzeuge wie sshadd,ssh-agent, ssh-keysign, ssh-keyscan, ssh-keygen und sftp-server enthalten.Webmin kompakt

300 SSH-Server25.1 OpenSSH im ÜberblickOpenSSH kann eine ganze Menge für Sie tun, wenn Sie die Sicherheit Ihrer Umgebungund insbesondere die Client-Anbindungen verbessern wollen. Die Highlightsder Lösung im Überblick:• Open-Source-Projekt: OpenSSH ist, wie man seiner Bezeichnung entnehmenkann, ein quelloffenes Projekt. Das ermutigt zur Wiederverwendungund weiteren Untersuchung des Quellcodes. Diese weitere Untersuchungstellt sicher, dass Fehler von jedem gefunden und korrigiert werdenkönnen. Und das führt letztlich zu sicherem Code.• Freie Lizenzpolitik: OpenSSH wird nicht von einer restriktiven Lizenzeingeschränkt. Es kann für jeglichen Zweck eingesetzt werden und dasschließt natürlich auch jegliche kommerzielle Nutzung ein.• Starke Verschlüsselung: OpenSSH unterstützt 3DES, Blowfish, AESund Arcfour an Verschlüsselungsalgorithmen. Sie sind patentfrei. DieTechniken im Einzelnen:oooooTriple DES ist ein sehr gut verstandener Chiffrieralgorithmus,der den Zahn der Zeit überstanden hat und eine starke Verschlüsselungbereitstellt.Blowfish ist ein schneller Blockchiffrierer, der von BruceSchneier entworfen wurde und der die schnellere Verschlüsselungerlaubt.AES ist der verbesserte Verschlüsselungsstandard des US FederalInformation Processing Standard (FIPS), der als Ersatz fürDES entwickelt wurde. Er ist eine Blockchiffre.Arcfour ist eine schnelle Stromchiffre. Er wird als kompatibel zuRC4 angesehen, einer proprietären Chiffre von RSA SecurityInc.Die Verschlüsselung beginnt vor der Authentifizierung und eswerden keine Passwörter oder andere Daten im Klartext übermittelt.Verschlüsselung wird auch benutzt, um sich gegen Spoofing-Attackenzu schützen.• X11-Weiterleitung: Dank der X11-Weiterleitung ist die Verschlüsselungvon X-Windows-Netzwerkverkehr möglich, also Netzwerkübertragung,auf eine Weise, die niemanden den Datenverkehr mitlesen oder bösartigeKommandos einschleusen lässt.www.brain-media.de

OpenSSH im Überblick 301• Port-Weiterleitung: Die Port-Weiterleitung ermöglicht das Weiterleitenvon TCP/IP-Verbindungen zu einer entfernten Maschine über ein verschlüsseltesProtokoll. Auf diese Weise können auch Standard-Internetapplikationen wie POP sicherer gemacht werden.• Starke Authentifizierung: OpenSSH verfügt über starke Authentifizierungsmechanismen,die gegen verschiedene Sicherheitsprobleme wie beispielsweiseIP- und DNS-Spoofing schützen.• Agent-Weiterleitung: Ein Authentifizierungsagent, der auf dem Clientoder auch auf einem Notebook ausgeführt wird, kann dazu verwendetwerden, den RSA- oder DSA-Authentifizierungsschlüssel des Anwendersbereitzuhalten. OpenSSH leitet die Verbindung automatisch an den Authentifizierungs-Agentüber jede Verbindung weiter, und es gibt keineNotwendigkeit, die RSA-Authentifizierungsschlüssel auf jedem Rechnerim Netzwerk zu haben.• Interoperabilität: Der OpenSSH-Server unterstützt auch die Vorgängerversionen.Damit ist sichergestellt, dass auch die Kommunikation mit denmeisten UNIX-, Windows- und anderen, kommerziellen SSH-Implementierungen funktioniert. OpenSSH bietet neben den SSH-Protokollversionen 1.3 und 1.5 auch die SSH-Protokollversion 2.0.• Datenkompression: Schließlich bietet OpenSSH Datenkompression vorder Verschlüsselung. Das beschleunigt insbesondere die Performance überlangsame Netzwerkverbindungen.Die Netzwerkkonfiguration für Ihren OpenSSH-Server.Webmin kompakt

302 SSH-Server25.2 NetzwerkkonfigurationDa Sie nun wissen, wozu der Server zu gebrauchen ist, stellt sich als Nächstes dieFrage, wo Sie bei dem Webmin-Modul beginnen sollen. Über das Modul könnenSie folgende Aktionen durchführen:• Den Server starten, sofern dieser noch nicht aktiv ist.• Die Netzwerkkonfiguration anpassen, damit der Server im Netzwerk ansprechbarist.• Den Zugriff auf den Server steuern.• Client-Optionen definieren• Schlüssel einrichten• Die Konfigurationsdatei manuell bearbeiten.Damit Ihr OpenSSH-Server im Netzwerk erreichbar ist, müssen Sie zunächst einmaldessen Netzwerkkonfiguration anpassen. Dazu folgen Sie dem Link Netzwerk.Dort geben Sie zunächst die Adresse des Servers an, auf die er hört, also ansprechbarist.Dann können Sie gegebenenfalls den Port anpassen. Unter Umständen macht esSinn, einen Nicht-Standard-Port zu verwenden, weil das System dann wenigerleicht angreifbar ist. Das setzt aber natürlich voraus, dass die Clients den Port kennen.Die weiteren Einstellungen:• Akzeptiere Protokolle: Stellen Sie hier sicher, dass die beiden ProtokolleSSH v1 und v2 aktiviert sind, damit Sie ein hohes Maß an Interoperabilitäthaben.• Verbindung trennen wenn Client abgestürzt ist? Die StandardeinstellungJa schützt Sie vor möglichen Attacken über eine bestehende SSH-Verbindung.• Wartezeit für Anmeldung: Hier legen Sie fest, wie lange der Server beider Anmeldung wartet. Passen Sie den Standardwert Unbegrenzt auf einenvernünftigen Wert an, beispielsweise 60 Sekunden.• TCP Weiterleitung erlauben? Hier legen Sie fest, ob Ihr Server auch dieTCP-Weiterleitung erlaubt. In der Regel ist das gewünscht. Diese Optionerscheint nur dann, wenn Ihr Server SSH v2 oder höher unterstützt.www.brain-media.de

Zugriffsbeschränkung 303• Verbindung auf weitergeleiteten Ports erlauben? Auch das Weiterleitenauf Ports sollte in der Regel zugelassen werden. Auch diese Option istnur dann verfügbar, wenn Sie einen OpenSSH-v2-Server verwenden.Klicken Sie auf Speichern, um mögliche Änderungen zu übernehmen.25.3 ZugriffsbeschränkungStandardmäßig kann sich jeder Linux-Benutzer auf Ihrem SSH-Server einloggen.Da Sie das sicherlich nicht wollen, sollten Sie Zugriffsbeschränkungsfunktionennutzen, um nur bestimmten Benutzern und Gruppen den Zugriff zu gewähren.Die Netzwerkkonfiguration für Ihren OpenSSH-Server.Die Zugriffssteuerungsoptionen für das Netzwerk und das Anmelden auf demSystem bestehen aus lediglich vier Eingabefeldern:• Erlaube nur Benutzern: In das Eingabefeld bzw. über die Schaltflächeam Ende des Feldes können Sie die gewünschten Benutzer eintragen bzw.auswählen. Mehrere Einträge sind dabei durch ein Leerzeichen zu trennen.Sie können auch die Platzhalter Sternchen (*) und Fragezeichen (?)verwenden.• Erlaube nur Mitgliedern der Gruppe: Entsprechend können Sie denZugriff auf bestimmte Gruppen beschränken.• Verbiete Benutzern: Über dieses Eingabefeld können Sie Benutzer explizitvor dem Zugriff ausschließen.• Verbiete Mitgliedern der Gruppen: Auch Gruppen können Sie den Zugriffverwehren.Webmin kompakt

304 SSH-ServerMit der Echtheitsbestätigung sorgen Sie fürnoch mehr Sicherheit beim Client-Zugriff.25.4 AuthentifizierungDer OpenSSH-Server, genauer alle SSH-Implementierungen, unterstützt verschiedeneAuthentifizierungsmechanismen, wie sich ein Client Zugang zu dem Serververschaffen kann. Sie können beispielsweise vorgeben, ob die Anmeldung als Rootmöglich ist und/oder ob ein leeres Passwort zulässig ist.All diese Einstellungen sind auf dem Formular Echtheitsbestätigung zusammengefasst.Dort können Sie folgende Einstellungen bearbeiten:• Erlaube Echtheitsbestätigung durch Passwort: Wenn Sie unterbindenwollen (was standardmäßig der Fall ist), dass sich Clients mit einemPasswort einloggen, so setzen Sie diesen Schalter auf Nein. In dieser Konfigurationist eine Authentifizierung nur mit einem gültigen Zertifikatmöglich.• Erlaube das Anmelden mit leerem Passwort? Die Anmeldung mit einemleeren Passwort sollte ebenfalls nicht möglich sein.• Erlaube Anmeldung als root? Auch die Anmeldung als Root können Sieunterbinden. Bei einem OpenSSH-Server, auf den globaler Zugriff möglichist, sollten Sie die Option Nur mit RSA-Echtheitsbestätigung aktivieren.• Erlaube RSA Echtheitsbestätigung? Setzen Sie diesen Schalter auf Ja,um die Verwendung von RSA-Zertifikaten zuzulassen.www.brain-media.de

Exkurs: Zugriff im heterogenen Netzwerk 305• Prüfe Berechtigungen auf Dateien der Schlüssel? Aus Sicherheitsgründensollten Sie auch diese Option aktivieren, damit eine Überprüfung derBerechtigungen erfolgt.• Anzeigen von /etc/motd beim Anmelden? In der Datei /etc/motd werdenKurzinformationen für die Nutzer angezeigt. Mit diesem Schalter könnenSie die Einblendung beim Einloggen auch deaktivieren, indem Sie sie aufNein setzen.• Ignoriere Datei known_hosts des Benutzers? Mit diesem Schalter könnenSie die Datei known_hosts ignorieren.• Meldungs Datei vor dem Anmelden: Sie können eine Datei definieren,deren Inhalt dem Client vor dem Anmelden angezeigt wird.• User authorized keys file (~/.ssh/authorized_keys): Hier legen Sie denPfad zu den Authentifizierungsschlüsseln fest.• Ignoriere .rhosts Datei? Auch die Datei rhosts kann bei der Authentifizierungnicht berücksichtigt werden. Das ist in der Regel nicht gewünscht.25.5 Exkurs: Zugriff im heterogenen NetzwerkIn modernen IT-Infrastrukturen kommen meist heterogene Netzwerke zum Einsatz.Um eine gesicherte Verbindung zu dem OpenSSH-Server aufbauen zu können,benötigen Sie einen entsprechenden SSH-Client. Bei Linux-Systemen ist der standardmäßigimmer dabei.Was aber tun, wenn auch Windows-Clients eine SSH-gesicherte Verbindung aufbauenwollen? Hier bietet sich der Einsatz von WinSCP (http://winscp.net/de/), derauch in einer deutschen Version verfügbar ist.Mit dem freien WinSCP ist es möglich, sich mit einem SSH-Server mit SFTP(SSH File Transfer Protocol) oder SCP (Secure Copy Protocol) zu verbinden.SFTP ist ein standardisierter Teil des SSH-2-Paketes. SCP ist ein standardisierterTeil des SSH-1-Paketes. Beide Protokolle können auch auf neueren SSH-Versionen zum Einsatz gebracht werden. WinSCP unterstützt SSH-1 und SSH-2.Mit WinSCP können Sie alle grundlegenden Operationen mit Dateien wie downloadenund uploaden erledigen. Das Programm kann Dateien und Ordner umbenennen,neue Ordner erstellen, Eigenschaften von Dateien und Ordnern ändernsowie symbolische Links und Verknüpfungen erstellen.Die wichtigsten Funktionen im Überblick:Webmin kompakt

306 SSH-Server• Stapelverarbeitung-Skripte und Kommandozeileneingabe• Verzeichnis-Synchronisation in mehreren halb- oder komplettautomatisiertenSchritten• Integrierter Text-Editor• Unterstützung für SSH-Passwort-, Tastatur-, Public-Key- und Kerberos-(GSS) Identifikation• Integration in Pageant (PuTTY Agent) für vollen Support von Public-Key-Identifikation• Windows-Explorer-ähnliche Oberfläche• Optionale Speicherung der Session-Informationen• Optionale Unterstützung von Standalone-Operationen unter Verwendungeiner Konfigurations-Datei anstelle eines RegistrierungsschlüsselsAuf der WinSCP-Website finden Sie eine umfangreiche Dokumentation, die allewichtigen Funktionen und typischen Aktionen mit dem Client beschreibt. Leiderist die Dokumentation überwiegend in englischer Sprache verfügbar. Der Clientselbst ist in einer mehrsprachigen Version verfügbar.Mit dem ebenfalls freien SSH-Client WinSCP wird der Zugriff auf denOpenSSH-Server auch von Windows-Clients aus einfach möglich.www.brain-media.de

Client-Optionen 30725.6 Client-OptionenAuch wenn das Webmin-SSH-Modul in erster Linie der Konfiguration des SSH-Servers dient, können Sie mit dem Tool dennoch auch verschiedene Vorgaben fürdie Kommunikation mit den Clients definieren. In den zugehörigen Einstellungenkönnen Sie beispielsweise den Port oder die Protokollversion anpassen.Beachten Sie dabei Folgendes: Die Einstellungen, die Sie hier vornehmen, geltenstandardmäßig für alle Benutzer Ihres Systems, können aber durch manuelle Eingriffein deren SSH-Konfigurationsdatei ~/.ssh/config überschrieben werden. DasModul erlaubt aber auch die Client-spezifische Konfiguration.Die Client-Optionen.Im Einzelfall machen sehr unterschiedliche Einstellungen Sinn. Daher wollen wiruns anschauen, wie man eigene Client-Konfigurationen erstellt. Um die Standardeinstellungeneinzusehen bzw. zu bearbeiten, folgen Sie dem Verweis Optionen fürClient-Rechner und klicken dort auf den Link Alle Rechner.Webmin kompakt

308 SSH-ServerWenn Sie eigene Client-Einstellungen definieren wollen, beispielsweise um mitspezifischen Funktionen zu spielen, klicken Sie auf Optionen für Client-Rechnerhinzufügen. Auf dem zugehörigen Formular können Sie folgende Einstellungenbearbeiten:• Optionen für Host: Hier bestimmen Sie, ob die Konfiguration für alleoder nur ausgewählte Rechner gelten soll. Dabei können Sie auch dasSternchen als Platzhalter verwenden. Tragen Sie beispielsweise*.server.de in das Eingabefeld ein, damit diese Konfiguration für alleHosts der Domain server.de gilt.• Anmelden als Benutzer: Hier legen Sie fest, ob sich der Client mit demaktuellen Log-in einloggen oder ob er ein anderes verwenden muss.• Verbindung trennen wenn Server abgestürzt ist? Setzen Sie diese Optionauf Ja, damit die Verbindung zwischen SSH-Server und -Client beendetwird, falls der Server abstürzen sollte. So schützen Sie sich vormöglichen Attacken, die etwa zum Serverabsturz geführt haben.• Echter Hostname zu dem verbunden werden soll: Mit diesem Schalterlegen Sie fest, ob der gleiche Name wie oben oder ein anderer für dieVerbindungsaufnahme verwendet werden soll.• Frage nach einem Passwort falls benötigt? Auch diesen Schalter solltenSie auf Ja setzen, damit bei der Verbindungsaufnahme das Passwort desClients abgefragt wird.• Port zu dem verbunden werden soll: Mit diesem Schalter legen Sie denPort fest, über den die Kommunikation laufen soll. Der Standardport ist22. Ein Ändern macht nur Sinn, wenn Sie auch die Clients entsprechendkonfigurieren.• Escape Zeichen: Der OpenSSH-Server geht standardmäßig davon aus,dass das Tilde-Zeichen (~) als Escape-Zeichen zu interpretieren ist, aufdas ein Befehl für den Server folgt. So bedeutet ~. beispielsweise, dass dieVerbindung beendet wird. In der Regel sollten Sie die Standardeinstellungbeibehalten.• Standard-SSH-Verkehr komprimmieren? Standardmäßig verwendender SSH-Server und der -Client eine Komprimierung der Daten, um derenTransport zu beschleunigen. Die Kehrseite der Medaille: Die Verarbeitungder komprimierten Daten kann negative Auswirkungen auf die Systemperformancehaben. Daher ist es ratsam, die Komprimierung aktiviertzu lassen, den Grad der Komprimierung aber nicht zu hoch zu setzen.www.brain-media.de

Client-Optionen 309Die optimale Komprimierungskonfiguration istnicht immer einfach zu finden.• Grad der Kompression: Über dieses Auswahlmenü bestimmen Sie denKomprimierungsgrad, der zwischen den Wert 1 für minimale und 9 fürmaximale Komprimierung eingestellt werden kann. Welches im Einzelfalldie optimale Konfiguration ist, lässt sich leider nicht allgemein sagen, dadies erheblich von den übermittelten Daten abhängig ist. Spielen Sie daherein wenig mit der Einstellung und haben Sie dabei immer auch dieCPU-Last im Blick.• Anzahl Versuche eine Verbindung herzustellen: Hier können Sie dieAnzahl an Verbindungsversuchen definieren. Setzen Sie den Wert nichtzu hoch oder behalten Sie die Standardeinstellung im Zweifelsfall bei.• Benutze privilegierten Quell Port? Wie bereits mehrfach erwähnt, wirdstandardmäßig der Port 22 für die Verbindungsaufnahmen zwischen SSH-Client und -Server verwendet. Da aber häufig Firewalls die Verwendungprivilegierter Ports unterbinden, kann es – abhängig von Ihrer Netzwerkkonfiguration– sinnvoll sein, diesen nicht zu verwenden.• Versuche RSH falls SSH fehlschlägt? Wenn Sie wollen, dass eine RSH-Verbindung versucht wird, wenn der SSH-Verbindungsaufbau nicht gelingt,so wählen Sie hier die Option Ja.• Nur RSH Verbindungen herstellen? Sie können den Client auch dazuzwingen, nur RSH-Verbindungen mit dem Server aufzubauen.• Host zur known_hosts Datei hinzufügen? Soll der Client in die Dateifür vertrauenswürdige Clients hinzugefügt werden, so setzen Sie diesenWebmin kompakt

310 SSH-ServerSchalter auf Ja. Diese Datei enthält pro Zeile einen Eintrag eines entferntenRechners.• Prüfe IP Adressen in known_hosts Datei? Noch mehr Sicherheit erzielenSie, indem Sie die IP-Adressen der bekannten Clients prüfen.• Versuche SSH Protokolle: Hier legen Sie fest, welche Protokolle für dieVerbindungsaufnahme zwischen Client und Server verwendet werden. Siekönnen beispielsweise SSH v1 oder SSH v2 vorgeben.• Lokale Ports, die an den Server weitergeleitet werden: Hier könnenSie einen lokalen Port angeben, an den entfernte SSH-Server übergebenwerden.• Server Ports: Und hier den Server-Port.Die sonstigen Optionen.25.7 Sonstige OptionenDas OpenSSH-Modul hat weitere Anpassungsmöglichkeiten. Über den Link SonstigeOptionen können Sie beispielsweise den Aufbau von X11-Verbindungen zudem Server unterbinden, die Protokollierung anpassen und die Schlüssellängedefinieren.www.brain-media.de

Schlüssel-Setup 311Das Einrichten des SSH-Schlüssels.25.8 Schlüssel-SetupÜber den Link User SSH Key Setup können Sie die Schlüsseleinrichtung für neueLinux-Benutzer konfigurieren. Der Vorteil dieser Funktion: Für neue Linux-Benutzer wird automatisch ein SSH-Schlüssel erzeugt und muss nicht erst manuellmit ssh-keygen generiert werden. Auf diesem Formular können Sie dies aktivierenund den Schlüsseltyp anpassen.Im Admin-Alltag bringt die automatische SSH-Schlüssel-Generierung Vor- undNachteile: Von Vorteil ist sicherlich, dass man sich das nachträgliche Anlegenspart. Nachteilig ist, dass auch für solche Benutzer Schlüssel existieren, die keinenSSH-Server-Zugriff benötigen. Und das wiederum ist mit zusätzlichen Sicherheitsrisikenverbunden.25.9 Konfigurationsdateien editierenÜber den Verweis Edit Config Files können Sie außerdem die beiden OpenSSH-Konfigurationsdateien /etc/ssh/sshd_config und /etc/ssh/ssh_config manuell anpassen.Diese Funktion kennen Sie bereits von anderen Modulen und Server-Konfigurationen.25.10 ModulkonfigurationAuch das OpenSSH-Server-Modul besitzt eine Modulkonfiguration. In dieser findenSie verschiedene Informationen zur Server-Konfiguration, beispielsweise denPfad zum SSHD-Programm, den zu den verschiedenen Konfigurationsdateien, dieWebmin kompakt

312 SSH-ServerKommandos zum Starten und Beenden des Servers sowie den Pfad zum Programmssh-keygen, mit dem die Schlüssel erzeugt werden. Änderungen sind hier in derRegel nicht erforderlich, denn die Einstellungen liest Webmin auf der bestehendenInstallation ein.Die Konfiguration des SSH-Server-Moduls.www.brain-media.de

31326 Samba-AdministrationIn heterogenen Netzwerken – und Sie sind ja eher die Regel, also die Ausnahme –ist es essenziell, dass man Dateiablagen plattformübergreifend nutzen kann. Hierfürbietet sich natürlich der Einsatz von Samba (http://www.samba.org) an, der dasServer-Message-Block-Protokoll (SMB) für Unix-Systeme verfügbar macht. DasSMB-Protokoll wird gelegentlich auch als CIFS (Common Internet File System),LanManager- oder NetBIOS-Protokoll bezeichnet.Mithilfe von Samba können Sie eine Vielzahl von typischen Windows-Server-Funktionen auf einem Linux-System abbilden. Der Vorteil: Samba gilt als stabilerund leistungsfähiger als Windows-Alternativen. Als Open-Source-Lösung ist Sambaaußerdem frei verfügbar.Auch der Reifegrad ist inzwischen derart hoch, dass man die Software bedenkenlosin jedes Produktionssystem integrieren kann. Einziges Manko – sofern man davonsprechen kann – ist, dass Samba das SMB-Protokoll nicht vollständig implementiert.Da Samba außerdem zum Lieferumfang (fast) einer jeden Linux-Distribution gehört,ist es schnell installiert und in Betrieb genommen.Der Samba-Server selbst besteht aus einer Reihe von einzelnen Modulen, die verschiedeneAufgaben von der grundlegenden Funktion bis hin zur Konfigurationund Dokumentation übernehmen.Verschiedene Aufgaben können auch durch andere Programme ersetzt werden,beispielsweise die Konfiguration von Samba über das Samba-eigene Modul SWAToder aber eben mit Webmin.Das Kernmodul von Samba ist der smbd-Daemon. Er stellt die Datei- und Druckdienstefür andere SMB-Clients bereit, also für „normale“ Windows- oder Linux-Clients in Ihrem Netzwerk.Webmin kompakt

314 Samba-AdministrationEin erster Blick auf die Samba-Schnittstelle,die Ihnen Webmin zur Verfügung stellt.Die Webmin-Schnittstelle präsentiert Ihnen einen dreigeteilten Dialog:• Im oberen Bereich werden die bereits existierenden Shares/Freigabensamt Pfad und Sicherheitsinformationen aufgeführt.• Im mittleren Bereich finden Sie die allgemeinen Konfigurationen desSamba-Systems.• Im unteren Bereich verwalten Sie die Benutzer.Außerdem finden Sie am Fuße der Samba-Übersicht den typischen Button zumStarten, Neustarten und Beenden des Servers.Womöglich spuckt die Schnittstelle eine Warnung wie die folgende aus:Warnung - Ihre Samba-Konfiguration in /etc/samba/smb.confbeinhaltet die config oder include Direktive. Dies kann dazuführen, daß Webmin die Datei /etc/samba/smb.conf falsch verändert.www.brain-media.de

Erste Freigabe erstellen 315In diesem Fall sollten Sie die Samba-Konfigurationsdatei gegebenenfalls anpassen.Kommentieren Sie die entsprechenden Zeilen in der Konfigurationsdatei, wenn Sienicht benötigt werden. Die include-Direktive versucht beispielsweise häufig, einenDHCP-Server einzubinden.26.1 Erste Freigabe erstellenÜber das Samba-Webmin-Modul ist es ein Leichtes, eine neue Datei- oder Druckerfreigabezu erstellen. Um eine erste Freigabe zu erzeugen, folgen Sie dem LinkNeue Dateifreigabe erstellen.Der Rest ist wieder einfach: Weisen Sie in dem zugehörigen Formular der Freigabeeine Bezeichnung zu. Alternativ können Sie auch das Home-Verzeichnis zur Freigabemachen.Eine neue Freigabe in der Entstehung.Im Eingabe- bzw. Auswahlfeld Directory to share geben Sie das gewünschte Verzeichnisan bzw. wählen Sie dasjeinige aus, welches Sie freigeben wollen.Dann legen Sie fest, ob das Verzeichnis automatisch erzeugt werden soll und werder Besitzer ist. Bestimmen Sie mit Verfügbar, ob das neue freigegebene Verzeichnisunmittelbar verfügbar sein soll und ob es von anderen Benutzern durchforstetwerden kann (Sichtbar). Schließlich können Sie einen ergänzenden Kommentarhinzufügen. Mit einem Klick auf Speichern erstellen Sie die neue Freigabe,die dann in der oben erwähnten Freigabeliste aufgeführt wird.Sicherlich fragen Sie sich nun, wie Sie denn als Nächstes die Eigenschaften wie dieZugriffsbeschränkungen, Dateiberechtigungen etc. definieren. Die BeantwortungWebmin kompakt

316 Samba-Administrationder Frage ist einfach: Editieren Sie die Freigabe durch einen Klick auf den zugehörigenListeneintrag.Eine editierte Freigabe.Wie Sie voranstehender Abbildung entnehmen können, präsentiert Ihnen der DialogFreigaben bearbeiten neben den zunächst hinterlegten Eigenschaften vier Freigabeeinstellungen:• Sicherheit und Zugriffskontrolle• Dateiberechtigungen• Dateinamen• Erweiterte EinstellungenAußerdem können Sie über die Schaltfläche Verbindungen anzeigen die aktuellenSessions einsehen. Auch das Löschen der Freigabe ist möglich.Schauen wir uns die einzelnen Funktionen für das Bearbeiten einer Freigabe genaueran. Zunächst die Einstellungen Sicherheit und Zugriffskontrolle.www.brain-media.de

Erste Freigabe erstellen 317Die sicherheitsrelevanten Einstellungen für eine Freigabe.Die Einstellungen für die Sicherheit und Zugriffskontrolle sind weitestgehendselbsterklärend. Zunächst legen Sie fest, ob die Freigabe auch schreibbar ist odernicht. Standardmäßig ist sie es nicht. Sie können die Freigabe auf für Gäste öffnen,indem Sie die Option Gastzugang definieren. Unter Unix-Gastbenutzer können Sieexplizit einen solchen definieren.Es folgen verschiedene Optionen, mit denen Sie explizit definieren, welchen Rechnern,Benutzern und Gruppen Sie den Zugriff erlauben wollen. Soweit verfügbarhelfen Ihnen dabei die Auswahlmenüs.Im unteren Formular bestimmen Sie mögliche Benutzer und Benutzergruppen,legen fest, welcher Benutzer bzw. welche Gruppe Lese- und wer Lese-/Schreibrechte besitzen soll. Die Auswahl erfolgt aus den bereits eingerichtetenBenutzern und Gruppen Ihres Linux-Systems.Webmin kompakt

318 Samba-AdministrationDie Dateiberechtigungen.Wenn Sie dem Verweis Dateiberechtigungen folgen, finden Sie einige wichtigeEinstellungen. Da das SMB von Haus aus keine Berechtigungen unterstützt, ist essinnvoll, diese mithilfe des Samba-Servers zu setzen. Die Einstellungen hierzufinden Sie auf dem Formular Dateiberechtigungen. Auch diese Einstellungen geltennur für die aktuelle Freigabe.Bestimmen Sie zunächst den typischen Datei- und dann den Verzeichnismodus.Geben Sie einfach in die beiden dafür vorgesehenen Eingabefelder den entsprechendenWert ein. Der Standardwert ist 755.Wenn Sie Verzeichnisse nicht anzeigen wollen, so geben Sie deren Bezeichnung indas Eingabefeld Nicht angezeigte Verzeichnisse ein. Entsprechend können SieLinux-Benutzer und -Gruppen für den Zugriff auswählen. Da Windows-Clientskeine symbolischen Links unterstützen, sollten Sie die Option Symbolischen Linksfolgen deaktivieren, denn das stellt ein gewisses Sicherheitsrisiko dar.Die Dateinamensumsetzungen.www.brain-media.de

Erste Freigabe erstellen 319Da Linux und Windows unterschiedliche Dateinamenkonventionen verwenden,stellt Ihnen Samba eine Funktion zur Verfügung, mit der Sie dies konfigurieren.Diese Funktionen waren insbesondere bei den Windows-95-Vorgängern wichtig,da diese beispielsweise keine langen Dateinamen unterstützten. Wenn Ihre Netzwerk-Clientsneueren Datums sind, müssen Sie sich hierum in der Regel nichtkümmern. Anders ist das, wenn auch DOS-Clients auf das Samba-System zugreifensollen.Auf dem Register Dateinamensumsetzungen können Sie beispielsweise die Unterscheidungzwischen Groß- und Kleinschreibung deaktivieren.Die erweiterten Einstellungen für die Freigabe.Schließlich können Sie für jede Freigabe eine Fülle von erweiterten Einstellungendefinieren. Dazu folgen Sie dem Verweis Erweiterte Einstellungen. Auf dem zugehörigenFormular können Sie beispielsweise die maximale Anzahl an Verbindungenbeschränken und die Ausführung von bestimmten Kommandos beim Verbindungsauf-und -abbau definieren.Webmin kompakt

320 Samba-Administration26.2 Druckerfreigabe erstellenKommen wir zum zweiten wichtigen Einsatzbereich: Dem Erstellen einer Druckerfreigabe,damit ein Netzwerkdrucker auch von anderen Netzwerk-Clients genutztwerden kann.Eine neue Druckerfreigabe entsteht.Geben Sie in dem Formular den Freigabenamen, den Drucker, das Spool-Verzeichnis und die Verfügbar- bzw. Sichtbarkeit im Netzwerk an. Mit einemKlick auf die Schaltfläche Erstellen ist der Netzwerkdrucker erstellt und Sie findenauch diesen in der Freigabeliste.Die Druckereinstellungen.www.brain-media.de

Freigabeeinstellungen als Vorlagen 321Nach dem Erstellen der Druckerfreigabe können Sie auch diese wieder editieren.Dort finden Sie neben den oben beschriebenen Einstellungen für Sicherheit undZugriffskontrolle noch die Druckereinstellungen. Diese erlauben Ihnen das Erzwingeneines PostScript-Druckers und die Verwendung spezifischer Druckbefehle.26.3 Freigabeeinstellungen als VorlagenEine weitere Besonderheit des Samba-Moduls ist die Funktion Freigabe kopieren.In dem einfachen Formular wählen Sie einfach die Freigabe samt den dazugehörigenEinstellungen aus, deren Einstellungen in der zu erstellenden Freigabe übernommenwerden sollen. Die Ausgangsfreigabe spielt also die Rolle einer Vorlage.Auf diesem Weg können Sie mit minimalem Aufwand eine neue Freigabe erstellen,die die Eigenschaften der Vorlage besitzt. Die neu erzeugte Vorlage könnenSie dann im nächsten Schritt anpassen.Bei der Kopierfunktion dient die Ausgangsfreigabe als Vorlage für die neue.26.4 Globale Samba-KonfigurationKommen wir zum mittleren Bereich, in dem Sie zehn Funktionen für die globaleKonfiguration des Samba-Servers finden. All diese Einstellungen wirken sich –wie die Bezeichnung schon erkennen lässt – auf das gesamte Samba-System aus.Webmin kompakt

322 Samba-AdministrationDie globalen Unix-Einstellungen des Samba-Systems.26.4.1 Unix-EinstellungenWenn Sie dem Link Unix-Einstellungen folgen, landen Sie auf einem recht umfangreichenFormular, auf dem Sie zunächst festlegen können, ob und falls ja nachwelcher Zeit eine inaktive Verbindung zum Server beendet wird. Standardmäßigist diese Option nicht aktiv. Sie sollten aber ein Beenden erzwingen, beispielsweisenach 5 Minuten, damit eine offene Verbindung nicht von Angreifern genutzt wird.Unter Netzwerkschnittstelle können Sie ein alternatives Interface und eine andereNetzwerkmaske verwenden. Eher für Profis sind die Anpassungen der Paketgrößeund die der Socket-Optionen gedacht.26.4.2 Windows-EinstellungenNeben den Unix- können Sie auch die Windows-Einstellungen anpassen. FolgenSie dazu dem gleichnamigen Link. In dem zugehörigen Dialog können Sie beispielsweiseden Arbeitsgruppennamen, den Servernamen und Protokoll-Levelanpassen.Die wichtigsten Einstellungen dieses Formulars:www.brain-media.de

Globale Samba-Konfiguration 323• Arbeitsgruppe: In diesem Eingabefeld können Sie den Arbeitsgruppennamenanpassen, um den Samba-Server beispielsweise in eine bestehendeNetzwerkumgebung einzubinden.• WINS Modus: Wenn in Ihrem Netzwerk ein WINS-Server verwendetwird. Falls das nicht der Fall ist, aktivieren Sie die Option Server emulieren,damit Windows-Clients Ihr System nutzen können, um Samba-Servernamen auflösen zu können.• Serverbeschreibung: Hier können Sie eine eigene Server-Beschreibunghinterlegen.• Servername: Hier geben Sie den Servernamen an, damit Ihr Samba-System im Netzwerk eindeutig identifizierbar ist.Die Windows-Einstellungen des Samba-Servers.• Standardfreigabe: Über dieses Auswahlmenü bestimmen Sie, ob undfalls ja welche Freigabe die Standardfreigabe sein soll. In der Standardkonfigurationist keine Freigabe als Standardfreigabe vorgesehen.• Folgende Freigaben immer anzeigen: Entsprechend können Sie überdieses Auswahlmenü festlegen, welche bereits erzeugten Freigaben immerWebmin kompakt

324 Samba-Administrationangezeigt werden. Achten Sie hier darauf, wirklich nur die Freigaben anzuzeigen,die auch tatsächlich von Dritten benötigt werden.• Maximale Festplattengrösse (aus Clientsicht): Legen Sie hier fest, wiedie maximale Festplattengröße für die Clients ausfällt. Es empfiehlt sich,den Wert Unbegrenzt nicht zu verwenden, sondern stattdessen eine angemesseneGröße zu definieren.• Master Browser?/ Master browser Priorität: Wenn Sie Ihren Samba-Server zum Master-Server machen wollen, der auch andere SMB-Serverund -Clients im Netzwerk listet, so müssen Sie zunächst die Option MasterBrowser aktivieren und dann im nächsten Schritt dessen Priorität definieren.Der Server mit der höchsten Priorität wird als Master – auch vonanderen Servern – behandelt. Um sich über Windows-9x-Systeme und derenNachfolger zu stellen, genügt der Standardwert 20. Wenn Sie eine höherePriorität als einen Windows-NT-Server besitzen wollen, müssen Siedie Priorität auf 65 setzen.• Protokolllevel: Über dieses Auswahlmenü bestimmen Sie den Protokolllevel.Sie haben die Wahl zwischen folgenden Optionen:oooooCORECOREPLUSLANMAN1LANMAN2NT1Dieses Auswahlmenü bedarf der Erläuterung. Da Samba auf eine beachtlicheEntwicklungsdauer zurückblicken kann, haben sich auch die Dialekteverändert, die das SMB-Protokoll verwendet. Das SMB-Protokoll wurdein der Vergangenheit immer wieder überarbeitet und/oder erweitert.Diese verschiedenen Versionen des Protokolls nennt man Dialekte. NachstehendeTabelle fasst die verschiedenen Versionen zusammen: Die aktuellsteVersion des SMB-Protokolls ist der CIFS-Dialekt, der von allenmodernen Windowsvarianten benutzt wird.www.brain-media.de

Globale Samba-Konfiguration 325Protokollname ID String VerwendetCore PC NETWORK PROGRAM 1.0 Erste ImplementierungCore Plus MICROSOFT NETWORKS 1.03LAN1.0LAN2.0ManagerManagerNT LAN Manager1.0Samba’s NT LM0.12Common InternetFileLANMAN1.0bessere SicherheitLM1.2X002NT LM 0.12 Windows NT 4.0SambaSambaSystem CIFS 1.0Windows 2000/XPDa die meisten neueren Dialekte auf den alten aufbauen, ist auch in derRegel Abwärtskompatibilität gewährleistet. Denn alle neueren Dialektemüssen auch die Funktionalität der Vorgänger beherrschen. Deshalb beherrschenSMB-Clients und Server auch verschiedene Dialekte. Um nunkorrekt kommunizieren zu können, müssen Sie sich als Erstes über einengemeinsamen Dialekt einigen.In der Regel ist es sinnvoll, die Standardeinstellung beizubehalten. Änderungenmachen nur dann Sinn, wenn Sie zuverlässig wissen, dass die zugreifendenClients das gewählte Protokoll auch verstehen.• Sicherheit: Wie wir später noch sehen werden, besitzt der Samba-Serverumfangreiche Funktionen zur Steuerung des Zugriffs. Sie können beispielsweiseden Zugriff auf Benutzer- und/oder Gruppenebene definieren.Samba erlaubt aber auch die Verwendung weiterer Zugriffsmechanismen.Diese sind über das Auswahlmenü Sicherheit verfügbar. Die möglichenOptionen sind:oooooFreigabeebeneBenutzerebenePasswort-ServerDomäneActive DirectoryWebmin kompakt

326 Samba-Administration• Password Server: Wenn Sie einen Passwort-Server für die Zugriffssteuerungverwenden wollen, geben Sie in diesem Eingabefeld die IP-Adressean.• Browselisten weitergeben an: Samba-Server verteilen Informationenüber Ihre Freigaben in sogenannten Browse-Listen im Netzwerk, damitandere Clients dies erkennen, einlesen und dann die angebotenen Freigabennutzen können. Mit dieser Funktion können Sie das Verteilen deaktivierenbzw. auf spezifische Systeme beschränken. Falls Sie eine Beschränkungder Weitergabe wollen, geben Sie in dem Feld IP Addressedie gewünschten Adressen ein.Die Passwort-Einstellungen des Samba-Servers.26.4.3 Passwort-EinstellungenAuf dem Formular Passwort-Einstellungen können Sie verschiedene PasswortspezifischeAnpassungen vornehmen. Hintergrund dieser Funktion: Das SMB-Protokoll erlaubt Benutzern das Ändern des Passworts, und zwar vom Client aus.In einem solchen Fall muss das Passwort aufseiten des Servers aktualisiert werden.Außerdem unterstützt das Webmin-Modul das Usernamen-Mapping, also das Umsetzenvon Linux- in Windows-Benutzernamen.www.brain-media.de

Globale Samba-Konfiguration 327Die Einstellungen im Einzelnen:• Verschlüsselte Passwörter verwenden? Da Windows-Versionen einverschlüsseltes Passwortformat verwenden, sollten Sie diese Option aufJa setzen bzw. die Standardeinstellung beibehalten.• Leere Passwörter erlauben? Auch hier sollten Sie die StandardeinstellungNein beibehalten, damit sich Benutzer nicht mit einem leeren PasswortZugriff auf den Samba-Server verschaffen – ein gefundenes Fressenfür Angreifer.• Programm zum Ändern des Passwortes: Hier können Sie ein alternativesProgramm nutzen, das zum Anpassen des Passworts verwendet werdensoll. Samba verwendet standardmäßig /bin/passwd.• Ändere Unix-Passwort ebenfalls? Wenn ein Client sein Passwort ändert,und Sie damit auch das Ändern des Systempassworts erlauben wollen, soaktivieren Sie die Option Ändere Unix-Passwort ebenfalls. Aus sicherheitstechnischenÜberlegungen heraus sollten Sie diese Funktion auchdeaktiviert lassen, um nicht möglichen Angreifern unnötige Angriffspunktezu liefern.• Aufforderung zur Passwortänderung: Hier können Sie bestimmteKommandos für die Passwortänderung einbinden.• Umsetzung der Benutzernamen: Schließlich können Sie die Umsetzungvon Client- und Systembenutzernamen definieren. Clients, die sich miteinem aufgeführten Benutzernamen anmelden, erhalten automatisch diemit dem verknüpften Linux-Benutzernamen verbundenen Rechte.26.4.4 Windows-zu-Unix-DruckereinstellungenEine Besonderheit von Samba ist, dass der Server nicht nur Datei-, sondern auchDruckdienste im heterogenen Netzwerk bereitstellen kann. Die hierfür relevantenEinstellungen finden Sie unter Windows-zu-Unix-Druckereinstellungen. Auf demzugehörigen Formular legen Sie beispielsweise fest, welches Drucksystem verwendetwerden soll.Webmin kompakt

328 Samba-AdministrationDie Drucker-Einstellungen.Die Einstellungen:• Unix Druckverfahren: Über dieses Auswahlmenü bestimmen Sie das zuverwendende Drucksystem. Welches Sie dabei idealerweise verwenden,ist auch von dem von Ihnen verwendeten Linux-/Unix-System abhängig.In der Regel sind Sie mit CUPS bestens bedient. CUPS können Sie übrigensauch mithilfe von Webmin konfigurieren.• Alle Drucker freigeben? Mit dieser Option können Sie dafür sorgen,dass alle angeschlossenen Drucker sichtbar sind und freigegeben werden.Wenn Sie dies nicht wollen, setzen Sie den Schalter auf Nein. Die Druckersind aber dennoch weiterhin über \\server_name\drucker_name vonden Clients aus nutzbar.• Druckerdefinitionsdatei: In einer Druckerdefinitionsdatei (eine ASCII-Datei) sind Variablen, Steuerzeichen für die Formatierung und Zeichendefinitionenenthalten. Sie dient dazu, den von Ihnen verwendeten Druckeranzupassen. Hier können Sie eine existierende Datei auswählen. WennSie mit CUPS arbeiten, ist die Datei cups die richtige.• Druckerstatus zwischenspeichern: Hier können Sie bestimmen, wielange der Druckerstatus zwischengespeichert wird. Standardmäßig sind es10 Sekunden. Bei sehr langsamen Druckvorgängen kann es sinnvoll sein,den Wert hochzusetzen.26.4.5 Erweiterte EinstellungenWenn Sie dem Verweis Erweiterte Einstellungen folgen, gelangen Sie zu sehrspezifischen Anpassungsmöglichkeiten, die meist nur für fortgeschrittene Anwenderinteressant sind.www.brain-media.de

Globale Samba-Konfiguration 329Zunächst können Sie den Debug-Level von null bis zehn verändern, wobei einhöherer Wert mehr Ausgaben bedeutet. Treten Probleme bei der Client-Anbindungoder bei der Server-Ausführung auf, ist es sinnvoll, den Level nach oben zu setzen.Die erweiterten Samba-Einstellungen.Eine weitere nützliche Einstellung: Sie können gezielt Verzeichnisse für den Zugriffsperren. Geben Sie deren Pfad in dem Verzeichnis an oder wählen Sie diesegezielt aus.26.4.6 Winbind-OptionenÜber das Webmin-Modul ist auch die Konfiguration von Winbind möglich.Winbind ist eine Komponente der Samba-Suite, die das Problem der einheitlichenAnmeldung löst. Winbind verwendet eine Unix-Implementierung der MS-RPC-Aufrufe, PAM (Pluggable Authentication Module) und NSS (Name ServiceSwitch), um Windows-NT-Domänenbenutzer auf Linux-Systemen als Linux-Benutzer erscheinen und arbeiten zu lassen.Webmin kompakt

330 Samba-AdministrationAuch die Winbind-Einstellungen lassen sich mithilfe von Webmin anpassen.Winbind stellt drei unterschiedliche Funktionen zur Verfügung:• die Authentifizierung der Benutzerbeglaubigung mithilfe von PAM• die Auflösung der Identität (mittels NSS)• Winbind verfügt über die Datenbank winbind_idmap.tdb, in der die Zuordnungenzwischen den Linux-UIDs/GIDs und den NT-SIDs hinterlegtsind. Diese Zuordnungen werden nur für Benutzer und Gruppen verwendet,die nicht über eine lokale UID/GID verfügen. Winbind sichert dieZusammengehörigkeit zwischen der UID/GID, die im idmap-uid/gid-Bereich zugeteilt wird, und der NT-SID.In den Winbind-Einstellungen können Sie beispielsweise die Verwendung vonWinbind für lokale Benutzer aktivieren bzw. deaktivieren oder die Auflistung derBenutzer verbieten. Die Standardeinstellungen sollten Sie nur ändern, wenn Siewissen, was Sie tun.26.4.7 Vorgaben für FreigabenWenn Sie dem Link Vorgaben für Freigaben folgen, gelangen Sie zu einem weiterennützlichen Konfigurationsbereich, über den Sie eine Fülle von Vorgaben fürIhre Freigaben definieren können, die dann von neu zu erstellenden Freigabenautomatisch berücksichtigt werden. So richtig neu sind die Einstellungen nicht, wieSie nachfolgendem Dialog entnehmen können.www.brain-media.de

Globale Samba-Konfiguration 331Die Freigabevorgaben.Die Handhabung der Vorgabenfunktion ist einfach: Wählen Sie das freizugebendeVerzeichnis aus, bestimmen Sie die Verfügbarkeit und hinterlegen Sie einenKommentar. Außerdem können Sie folgende Bereiche konfigurieren, die bereitszuvor besprochen wurden:• Sicherheit und Zugriffskontrolle• Dateiberechtigungen• Dateinamen• Erweiterte Einstellungen26.4.8 Vorgaben für DruckerfreigabenWas für Dateifreigaben möglich ist, funktioniert auch bei Druckerfreigaben: FolgenSie dem Verweis Vorgaben für Druckerfreigaben, um für Ihre Ausgabegerätespezifische Vorgaben zu definieren. Dabei bestimmen Sie den Drucker, das Spool-Verzeichnis und die Verfügbarkeit.Bei den Druckervorgaben stehen Ihnen entsprechend obiger Beschreibung zweiweitere Freigabeeinstellungen zur Verfügung:• Sicherheit und Zugriffskontrolle• DruckereinstellungenWebmin kompakt

332 Samba-Administration• Konfigurationsdatei editierenWenn Sie dem Link Edit Config File folgen, gelangen Sie zu einem Textfeld, indem die aktuelle Samba-Konfigurationsdatei angezeigt wird. Natürlich können Siehier manuelle Eingriffe vornehmen.Dabei handelt es sich um die Konfigurationsdatei /etc/smb.conf, die bestimmt,welche Ressourcen das System nach außen anbietet und welche Einschränkungenhierbei existieren. Diese Funktion ist insbesondere dann für Sie interessant, wennSie Anpassungen vornehmen wollen, die nicht über das Webmin-Modul zugänglichsind.Hier ein typisches Beispiel für die smb.conf. In dieser Beispielkonfiguration isteinem Remote-User der Zugriff auf sein Heimatverzeichnis auf dem Linux-Rechner und außerdem der Schreibzugriff auf ein temporäres Verzeichnis erlaubt:; /etc/smb.conf;; Wichtig: Der Server muss bei Änderungen; angehalten und anschließend neu gestartet; werden:; /etc/rc.d/init.d/smb stop; /etc/rc.d/init.d/smb start[global]; Entkommentieren, wenn Gästen der Zugriff; erlaubt werden soll.; guest account = nobodylog file = /var/log/samba-log.%mlock directory = /var/lock/sambashare modes = yes[homes]comment= Home Directorieswww.brain-media.de

Globale Samba-Konfiguration 333browseable = noread only = nocreate mode = 0750[tmp]comment = Temporary file spacepath = /tmpread only = nopublic = yesEine typische Samba-Konfigurationsdatei weist verschiedene Abschnitte auf, beispielsweisedie Folgenden:globalhomestmpprinterspublicJeder Abschnitt ist für die Steuerung eines Teilbereichs des Servers zuständig, z. B.für die Folgenden:• global: In diesem Abschnitt werden Variablen definiert, die Samba für dieZuteilung aller Ressourcen nutzt.• homes: Hier wird einem entfernten Benutzer der Zugriff auf sein und nursein Home-Verzeichnis auf dem Linux-Rechner ermöglicht. Diese Maschinemuss allerdings im lokalen Netz eingebunden sein. Voraussetzungist allerdings, dass der Windows-Benutzer eine Zugangsberechtigung fürdas Linux-System besitzt.• printers: In diesem Abschnitt werden die in der /etc/printcap spezifiziertenDrucker den Clients zur Verfügung gestellt.Für weitere Details zur Samba-Konfigurationsdatei sei auf die Samba-Websiteverwiesen. Dort finden Sie Details in Hülle und Fülle.Webmin kompakt

334 Samba-AdministrationEin Blick auf die typische Samba-Schnittstelle.26.4.9 SWATZum Lieferumfang von Samba gehört auch das Web-basierte KonfigurationswerkzeugSWAT (Samba Web Administration Tool). SWAT präsentiert Ihnen nachdem Log-in (am besten als root einloggen) eine einfache Schnittstelle, über die Siebeispielsweise im Menü Globals verschiedene grundlegende Einstellungen wie denArbeitsgruppennamen und auch sicherheitsrelevante Einstellungen bearbeitenkönnen.Eine Besonderheit von SWAT ist sicherlich der Wizard. Dabei handelt es sich umeinen Assistenten, der dem weniger kundigen Administrator die Konfiguration vonSamba so einfach wie möglich machen will.www.brain-media.de

Globale Samba-Konfiguration 335Der SWAT-Assistent unterstützt Sie beider Konfiguration des Samba-Systems.Über die Wizard-Seite können Sie einige Einstellungen der Samba-Konfigurationsdatei smb.conf in einem optimierten Format zurückschreiben. KlickenSie dazu auf die Schaltfläche Commit. Der Unterschied zwischen demRewrite-Button und dem Commit-Button besteht darin, dass Rewrite alle Änderungenignoriert und Commit sämtliche vorgenommenen Änderungen umsetzt.Das Editieren mithilfe von SWAT.Webmin kompakt

336 Samba-AdministrationMit einem Klick auf den Edit-Button öffnet sich ein einfaches Formular, über dasSie verschiedene grundlegende Parameter einer Basiskonfiguration bearbeitenkönnen. Auch drei sicherheitsrelevante Einstellungen können über den Dialogangepasst werden.Tipp: SWAT eindeutschenSie können SWAT so konfigurieren, dass das Tool seine Ausgaben in der Spracheerzeugt, die in Ihrem Webbrowser eingestellt ist. Diese Anweisung wird SWAT imAccept-Language-Header der HTTP-Anfrage übergeben. Standardmäßig präsentiertIhnen SWAT eine englischsprachige Schnittstelle. Um die Anpassungen vorzunehmen,führen Sie Folgendes aus:- Installieren Sie die passenden msg-Dateien aus dem Samba-source/po-Verzeichnis nach $LIBDIR.- Setzen Sie den korrekten Wert für display charset.- Stellen Sie gegebenenfalls die Sprache im Browser ein.Die Bezeichnung der msg-Datei entspricht der Sprach-ID des Browsers, also beispielsweiseen für Englisch und de für DeutschNeben der Auflistung der Datei- und Druckerfreigaben und den zuvor beschriebenenBesonderheiten hat SWAT noch drei weitere Funktionen zu bieten: Status,View und Password.Die Status-Seite erlaubt die Überwachung der Samba-Daemons, wobei die Haupt-Daemonen, aus denen der Samba-Server besteht, smbd, nmbd und winbindd sind.Alle drei Daemons können angehalten, gestartet und neu gestartet werden. Siekönnen die Status-Seite auch dazu verwenden, bestimmte smbd-Clientverbindungen zu unterbrechen und um Dateien freizugeben, die womöglichgesperrt sind.Auf der Seite View präsentiert Ihnen SWAT standardmäßig die wichtigsten Einträgeder Sambakonfigurationsdatei smb.conf. Mit einem Klick auf die SchaltflächeShow all werden alle Einträge gezeigt. Änderungen können Sie nicht vornehmen.Auf der Passwortseite können Sie die Passwörter von Windows-Benutzern erstellen,löschen sowie de- und reaktivieren Wenn der Benutzer als Nicht-Root-Benutzer angemeldet ist, muss er bei Änderungen von Passwörtern das alte undzweimal das neue Passwort eingeben. Ist er als root angemeldet, wird nur das neuePasswort benötigt.www.brain-media.de

Samba-Benutzer 337Diese Funktion wird häufig verwendet, um Benutzerpasswörter über mehrere Windows-Serverhinweg zu ändern.26.5 Samba-BenutzerWie bereits oben erwähnt, verwendet das SMB-Protokoll ein Passwortverschlüsselungsformat,das mit dem Standard-Linux/Unix-Format inkompatibel ist. Bis Windows95 stellt das kein Problem dar, da diese Systeme Ihr Passwort unverschlüsseltan den Samba-Server übermitteln – ähnlich wie bei Telnet oder FTP.Bei aktuellen Windows-Versionen ist das anders. Sie verwenden ein NTLMverschlüsseltesFormat. Das lässt sich zwar in der Windows-Registry abschalten,doch das hilft bei vielen Clients natürlich auch nicht weiter.Um nun allen Benutzern den Zugriff zu gewähren, müssen Sie zunächst in denPasswort-Einstellungen, die zuvor beschreiben wurden, sicherstellen, dass dieOption Verschlüsselte Passwörter verwenden? auf Ja gesetzt ist.Damit ist die Passwortliste von Samba aktiviert. Nun können Sie die bestehendenLinux-Benutzer zu Samba-Benutzern machen. Dazu folgen Sie dem Verweis Unix-Benutzer zu Samba-Benutzer konvertieren.Mit minimalem Aufwand sind Ihre Linux-Benutzer auch Samba-Benutzer.Das Formular Benutzer konvertieren erlaubt Ihnen, mit minimalem Aufwand UnixundSamba-Benutzer zu synchronisieren. Haben Sie Samba so konfiguriert, dassWebmin kompakt

338 Samba-Administrationder Server verschlüsselte Passwörter verwendet, verwaltet das System seine Benutzergetrennt vom Betriebssystem – das ist zuvor bereits angeklungen. Sie könnendie Liste der Benutzer, die nicht konvertiert werden sollen, explizit in dem Konvertierungsformularbestimmen. Geben Sie dazu den Benutzernamen, die UIDsund/oder den Gruppennamen mit einem vorgestellten @ in das erste Eingabefeldein. Sie können auch einen UID-Bereiche verwenden, beispielsweise 500-1000oder 500-.Das Formular bietet Ihnen vier weitere Funktionen für die Konvertierung an:• Vorhandene Samba Benutzer aus Unix Benutzern aktualisieren: DieseOption sorgt dafür, dass bestehende Samba-Benutzer aus Systembenutzernaktualisiert werden. Diese Option ist standardmäßig aktiviert.• Neue Samba Benutzer aus Systembenutzern erstellen: Diese Optionsorgt dafür, dass neue Samba-User aus dem Linux-Benutzereinträgen erstelltwerden.• Samba Benutzer löschen, die keine Unix Benutzer sind: Löscht Samba-User, die dem System unbekannt sind. Das ist in der Regel nicht gewollt,denn häufig führt man bei getrennten Benutzerlisten auch unterschiedlicheUser ein.• Passwort für neu erstellte Benutzer: Hier legen Sie fest, ob neue Benutzerkein Passwort besitzen, ob sie gesperrt werden oder ob sie ein festesPasswort verwenden müssen.Mit einem Klick auf die Schaltfläche Benutzer konvertieren leiten Sie die Konvertierungein. Webmin gibt Ihnen im Folgedialog die konvertierten Einträge an.Die Einstellungen für die Benutzer-Synchronisation.www.brain-media.de

Samba-Benutzer 33926.5.1 Benutzer- und Gruppen-SynchronisationDas Webmin-Modul stellt Ihnen verschiedene Funktionen zur Verfügung, mitdenen Sie Benutzer und Gruppen zwischen Ihrem Linux-System und Samba synchronisierenkönnen. Dazu verwenden Sie die beiden folgenden Funktionen:• Automatische Unix- und Samba-Benutzer-Synchronisation konfigurieren• Konfiguriere automatische Synchronisation (Unix- zu Samba-Gruppe)Werfen wir zunächst einen Blick auf die Funktion für den Benutzerabgleich. Mitdieser können Sie Webmin so konfigurieren, dass Änderungen von Systembenutzernautomatisch auf Samba-Benutzer angewendet werden. Das funktioniert jedochnur, wenn Sie das Webmin-Modul Benutzer und Gruppen verwenden, um Unix-Benutzer zu erstellen, zu ändern oder zu löschen.Standardmäßig sind die folgenden selbsterklärenden Optionen aktiviert:• Erstelle einen Samba-Benutzer, wenn ein Unix-Benutzer erstellt wird.• Modifiziere einen Samba-Benutzer, wenn der entsprechende Unix-Benutzer modifiziert wird.• Lösche einen Samba-Benutzer, wenn der entsprechende Unix Benutzergelöscht wird.Außerdem können Roaming-Profile gelöscht bzw. umbenannt werden, wenn SieLinux-Benutzer löschen bzw. umbenennen.Sehr ähnlich sind die Funktionen der Gruppensynchronisation, mit der Sie dafürsorgen, dass Änderungen an der Unix-Gruppenliste auch an die Samba-Gruppenliste weitergereicht werden. Auch hier gilt: Das klappt nur dann zuverlässig,wenn Sie ausschließlich das Webmin-Benutzer- und Gruppen-Modul verwenden.Sie können folgende Optionen verwenden:• Wird eine Samba-Gruppe erzeugt, so kann auch eine Unix-Gruppe erzeugtwerden Dabei können Sie die Art der neuen Gruppe (lokale Gruppe,Domaingruppe, NT-Builtin oder unbekannt) und die Rechte für neueGruppen (allerdings nur für lokale Gruppen) definieren.• Sie können dafür sorgen, dass sich die Samba-Gruppe ändert, wenn dieUnix-Gruppe modifiziert wird.Webmin kompakt

340 Samba-Administration• Der Abgleich kann dafür sorgen, dass eine Samba-Gruppe gelöscht wird,wenn Sie eine Unix-Gruppe entfernen.Die Konfiguration der Gruppen-Synchronisation.26.5.2 Benutzer und Gruppen verwaltenDas weitere Verwalten von Benutzern und Gruppen gestaltet sich ebenfalls rechteinfach. Folgen Sie dazu entweder dem Link Hinzufügen und Bearbeiten von Samba-Gruppenoder dem Link Samba-Benutzer und Passwörter bearbeiten.Nachdem Sie die ersten Benutzer konvertiert und damit für Samba nutzbar gemachthaben, wollen Sie möglicherweise deren Passwort ändern. Das Anpassenvon Benutzerpasswörtern geht nur von Benutzer zu Benutzer. Wechseln Sie dazuin die Benutzerverwaltung und klicken Sie den gewünschten Benutzereintrag an.Geben Sie in das Passwort-Feld die gewünschte Zeichenkombination ein. Sie könnendem Benutzer außerdem über Keinen Zugriff den Zugriff auf den Samba-Server verwehren.www.brain-media.de

Samba-Benutzer 341Die Gruppenverwaltung von Samba.Das Bearbeiten von Gruppeneinstellungen verläuft ähnlich. In der Gruppenverwaltungwerden alle bestehenden Gruppen samt Art und SID aufgeführt. Um einenEintrag zu bearbeiten, folgen Sie dem Gruppennamenlink.Das zugehörige Formular erlaubt das Bearbeiten der Gruppenart, der Unix-Gruppeund der Beschreibung. Über die Schaltfläche Löschen können Sie die Gruppe ausder Liste entfernen.Das Erstellen einer neuen Samba-Gruppe ist ebenfalls einfach: Folgen Sie in derGruppenliste dem Link Eine neue Samba-Gruppe hinzufügen. Im Formular Sambagruppen-Detailsbestimmen Sie folgende Eigenschaften:• Gruppenname• Gruppenart• Unixgruppe• Beschreibung• RechteWebmin kompakt

342 Samba-AdministrationDie Gruppenverwaltung von Samba.Eine letzte Funktion hat der Bereich Samba-Benutzer zu bieten: Binde an Domain.Mit dieser Funktion sorgen Sie für die Anbindung Ihres Samba-Servers an eineWindows-Domain. Zur Anbindung ist die Angabe des Benutzernamens, des Passwortsund die Angabe zur Domain notwendig. Die Domain-Angabe kann in derSamba-Konfiguration oder manuell hinterlegt werden. Die Anbindung erfolgt mitdem Kommando /usr/bin/net join -U benutzername. Gelingt die Anbindung, gibtder Folgedialog eine Erfolgsmeldung aus. Gelingt die Anbindung nicht, etwa weildas Passwort falsch ist, werden ebenfalls entsprechende Details ausgegeben, dieIhnen helfen, die korrekte Einstellung zu finden.26.6 Konfiguration des Samba-ModulsDas Samba-Modul geht davon aus, dass Sie Samba ordnungsgemäß installierthaben. In der Regel erkennt das Samba-Modul eine bestehende Installation korrektund kann diese problemlos nutzen. Wenn Sie allerdings eine benutzerdefinierteInstallation verwendet haben oder aus anderen Gründen Samba in ein Nicht-Standardverzeichnis installiert haben, so stimmen die Pfade nicht mehr und Siemüssen die Samba-Modulkonfiguration anpassen.www.brain-media.de

Konfiguration des Samba-Moduls 343Die Konfiguration des Samba-Moduls.Die Modulkonfiguration präsentiert Ihnen zwei Bereiche: Konfigurierbare Optionenund Systemkonfigurationen. Die beiden anpassbaren Einstellungen sind:• Liste der Unix-Benutzer, die nicht zur Samba Passwort-Liste hinzugefügtwerden: In dem Konvertierungsdialog für Benutzer (siehe oben).Die Standardvorgabenwerte für auszuschließende Benutzer entnimmt dasModul der Samba-Konfigurationsdatei. Hier können Sie weitere Vorgabendefinieren.• Sortiere Benutzer und Gruppen nach Name? Wenn Sie diese Konfigurationauf Ja setzen, werden die Benutzer- und Gruppennamen alphabetischsortiert. In der Standardkonfiguration Nein werden sie in der Reihenfolgeaufgeführt, in der sie hinzugefügt wurden.Im Bereich Systemkonfiguration listet die Modulkonfiguration die Pfade zu folgendenwichtigen Dateien auf:• Samba-Konfigurationsdatei• Samba-PasswortdateiWebmin kompakt

344 Samba-Administration• Vollständiger Pfad zu smbstatus• Vollständiger Pfad zu smbpasswd• Vollständiger Pfad zu smbd• Vollständiger Pfad zu nmbd• Vollständiger Pfad zu SWAT• Vollständiger Pfad zu smbgroupedit• Vollständiger Pfad zu pdbedit• Vollständiger Pfad zu netAußerdem können Sie den Befehl zum Start des Samba-Servers eingeben. Soll erbei jedem Systemstart hochgefahren werden, aktivieren Sie die Option Automatisch.Auch den Befehl zum Stoppen des Samba-Servers können Sie einsehen bzw.anpassen.www.brain-media.de

34527 SpamAssassin-AdministrationDer Platzhirsch unter den Mailfiltern ist zweifelsohne SpamAssassin(http://spamassassin.apache.org). Das Open-Source-Tool kommt millionenfachzum Einsatz und hat sich in der Vergangenheit bestens bewährt. Der Filter ist fürUnix-basierte Systeme konzipiert. Zur Identifikation von Spam nutztSpamAssassin verschiedene Methoden. Mithilfe der Header-Analyse versucht derFilter herauszufinden, ob der Sender eine Identität vortäuscht und ob eine Nachrichtvon einer gültigen Adresse stammt.SpamAssassin führt außerdem Textanalysen durch, um die Nachrichteninhalte auftypische Charakteristika von Werbemails zu untersuchen. Ergänzend dazu nutztSpamAssassin verschiedene Blacklists und greift auf die Spam-Tracking-Datenbank Vipuls Razor zurück. Identifiziert SpamAssassin eine Nachricht alsSpam, so wird sie entsprechend gekennzeichnet.Der in SpamAssassin integrierte Bayesscher-Filter berechnet auf Grundlage derEinteilung der bisher empfangenen E-Mails die statistische Wahrscheinlichkeit, obes sich bei einer neuen Nachricht um eine erwünschte oder unerwünschte E-Mailhandelt.Die Einstiegsseite des SpamAssassin-Moduls.Webmin kompakt

346 SpamAssassin-AdministrationDer Vorteil von SpamAssassin: Das Tool kommt mit geringem Konfigurationsaufwandaus. Als Administrator ist man nicht gezwungen, das System laufend zuaktualisieren oder mit Einzelheiten über Mailaccounts, Mailinglisten etc. zu füttern.Das bewerkstelligt der Filter quasi von alleine. GUI-verwöhnte Administratorenmüssen sich allerdings weitgehend mit der textbasierten Konfiguration anfreunden.Allerdings gibt es auch hier Abhilfe. Mit dem SpamAssassin ConfigurationGenerator (http://www.yrex.com/spam/spamconfig.php) und eben mit demSpamAssassin-Webmin-Modul (http://webmin.com/third.html) gibt es auch grafischeSchnittstellen für den Filter.Über die SpamAssassin-Übersichtsseite wird die Handhabung des Spam-Filtersfast zum Kinderspiel. Hier können Sie erlaubte und verbotene E-Mail-Adressenbestimmen, Spam klassifizieren, E-Mail-Modifikationen vornehmen und vielesmehr. Doch bevor Sie sich an die Konfiguration des Filters machen, müssen Siesich womöglich zuerst mit folgender Fehlermeldung herumschlagen:SpamAssassin scheint nicht in der globalen Konfigurationsdatei/etc/procmailrc aufgenommen zu sein. Solange ein BenutzerSpamAssassin nicht in seine persönliche Procmail-Konfigurationsdatei aufnimmt, wird jede Konfigurationsänderunghier keinerlei Wirkung zeigen.Da sich Procmail ebenfalls über Webmin konfigurieren lässt, ist das Problemschnell behoben. Damit SpamAssassin und Procmail zusammenspielen, müssenSie die Datei procmailrc um folgende Zeilen erweitern::0fw| /usr/local/bin/spamassassinDie Anpassung der Procmail-Konfigurationsdatei. Nach dem Speichernklappt das Zusammenspiel zwischen Filter und MDA (Mail Delivery Agent).www.brain-media.de

347Damit werden die Mails gefiltert und entsprechend den vom SpamAssassin definiertenRegeln als Spam gekennzeichnet. Wollen Sie die als Spam deklarierten E-Mails zusätzlich in einem speziellen E-Mail-Ordner sammeln, so fügen Sie unterden obigen Zeilen nach einer Leerzeile folgende Anweisungen ein::0:* ^X-Spam-Status: YesJUNKDamit werden Spam-Mails im Ordner JUNK gesammelt.Nach dem Speichern der angepassten Procmail-Einstellungen sollte die Fehlermeldungauf der SpamAssassin-Homepage verschwunden sein.In diesem Formular bestimmen Sie, welches die erlaubtenund welches die verbotenen E-Mail-Adressen sind.Webmin kompakt

348 SpamAssassin-Administration27.1 Erlaubte und verbotene AdressenWenn Sie dem Link Erlaubte und verbotene Absender-E-Mail-Adressen folgen,gelangen Sie zu einer umfangreichen Tabelle, die es Ihnen erlaubt, Absender- undEmpfänger-E-Mail-Adressen zu definieren, deren E-Mails immer oder niemals alsSpam erkannt werden sollen.Jede andere E-Mail wird durch SpamAssassin geprüft. Bei der Eingabe von E-Mail-Adressen können Sie auch Platzhalter wie *@absender.de oder auch*.spammer.de verwenden, damit E-Mails ganzer Domains spezifisch behandeltwerden.Das Formular stellt Ihnen sechs Felder für die Filterung zur Verfügung:• Absender-E-Mail-Adressen, die niemals als Spam gelten sollen.• Ausnahmen für Absender-E-Mail-Adressen, die niemals als Spam geltensollen.• Absender-E-Mail-Adressen, die niemals als Spam gelten sollen, basierendauf der Received-Domain. Hier geben Sie die Adresse und die Quell-Domäne an.• Absender-E-Mail-Adressen, die immer als Spam gelten sollen.• Ausnahmen für Absender-E-Mail-Adressen, die immer als Spam geltensollen.• To: oder Cc:-E-Mail-Adressen, an die wenig oder aller Spam ausgeliefertwerden soll.Bei Textfeldern verwenden Sie für jede Adresse eine neue Zeile. Achten Sie außerdemauf die korrekte Eingabe Ihrer Adressen, denn das Formular führt keineVerifizierung Ihrer Eingaben durch – auch nicht bei sinnvollen Zeichenfolgen.Um Daten beispielsweise aus einem E-Mail-Client oder einem anderen Filtersystemeinfacher nutzen zu können, finden Sie am Fuße des Formulars eine Importfunktion,die den Import von E-Mail-Adressen aus einer Datei im CVS-Formaterlaubt. Bestimmen Sie einfach die Datei und klicken Sie anschließend auf Importierejetzt.www.brain-media.de

Spam-Klassifizierung 34927.2 Spam-KlassifizierungSpamAssassin führt eine Vielzahl von Tests mit den Mails durch und untersuchtdie Nachrichten auf bekannte Kriterien. Hierbei werden auffällige Strukturen,typische Wortkombinationen aber auch externe Datenbanken mit einbezogen.Das Ergebnis der SpamAssassin-Prüfung ist eine Kennzahl. Diese kann positivoder negativ sein. Je höher sie ist, umso wahrscheinlicher handelt es sich bei dieserNachricht um Werbemüll.Typische Werte liegen zwischen -10,0 und 2,0 für reguläre E-Mails. Bei Nachrichtenmit einer Wertung von über 5,0 handelt es sich meist um Spam.Hier passen Sie die Klassifikation von Spam an.Im Klassifizierungsformular können Sie beispielsweise den Standardwert 5 nachoben bzw. unten anpassen, ab dem Mails als Spam behandelt werden. EntsprechendeAnpassungen sind für den Whitelist-Faktor und weitere Einstellungen möglich.In der Regel müssen Sie an diesen Vorgaben keine Anpassungen vornehmen,denn sie sind so gesetzt, dass sie typischen Anforderungen genügen.Nützlich sind sicherlich die beiden letzten Auswahlmenüs der Seite, über die Siedie Sprachen und Zeichensätze bestimmen können, die nicht als Spam identifiziertwerden.Webmin kompakt

350 SpamAssassin-Administration27.3 E-Mail-ModifikationenZuvor wurde erwähnt, dass SpamAssassin verschiedene Modifikationen an E-Mails vornehmen kann, beispielsweise die Erweiterung des Headers. Auf diesemFormular bestimmen Sie, welche Änderungen SpamAssassin an E-Mail-Headernund Testkörpern aller E-Mails vornimmt. Sie bestimmen auch die Änderungen, dieder Filter vornimmt, damit eine E-Mail als Spam klassifiziert werden kann.Die Konfiguration der E-Mail-Modifikation.In den Standardeinstellungen erweitert SpamAssassin als Werbemüll erkannte E-Mails um den Zusatz Junk bzw. Spam. Auch hier gilt: Änderungen sind meist nichterforderlich.Über das Feld Additional headers to add können Sie beispielsweise Spam-Mailsum ein Spam-Header-Feld erweitern und einen beliebigen Text einfügen.Das Formular zur E-Mail-Modifikation erlaubt außerdem das Anhängen einesBerichts, falls eine Nachricht den Schwellenwert überschritten hat. Verwenden Siedazu das Eingabefeld im unteren Formularbereich.27.4 Verschiedene BenutzeroptionenWenn Sie dem Link Verschiedene Benutzeroptionen folgen, gelangen Sie zu denEinstellungen der externen Spam-Identifizierungstools/-dienste Razor, DCC undwww.brain-media.de

Verschiedene Benutzeroptionen 351Pyzor, auf die der Filter bei seiner Analyse zurückgreift. Sie können außerdemmitteilen, ob er DNS-Lookups machen soll oder nicht.Die Benutzeroptionen dienen in erster Linieder Integration von Drittwerkzeugen.Zunächst können Sie bestimmen, ob SpamAssassin DNS-Lookups durchführendarf. In der Regel ist das nicht zwingend erforderlich, auch weil es den Filter verlangsamt.27.4.1 RazorDann bestimmen Sie die Zeitspanne (in Sekunden), die Razor(http://razor.sourceforge.net) auf Ergebnisse der Spam-Analyse warten soll. ZuWebmin kompakt

352 SpamAssassin-AdministrationRazor vielleicht einige Hintergrundinformationen. Razor heißt korrekt eigentlichVipuls Razor. Dabei handelt es sich um ein Prüfsummen-basiertes, verteiltes E-Mail-Spam-Erkennungs- und -Filter-Netzwerk.Razor basiert auf einem verteilten Spam-Katalog, der durch Rückmeldungen derBenutzer kontinuierlich aktualisiert wird. Die Erkennung erfolgt über statistischeund zufällige Signaturen. Die Benutzerrückmeldungen werden anhand eines rückgekoppeltenBewertungssystems gewichtet: Benutzer erhalten eine Reputation, diedie Zuverlässigkeit ihrer Rückmeldungen bewertet. Die Reputation wird anhandvon (übereinstimmenden) Rückmeldungen angepasst. Razor kann auch von E-Mail-Clients verwendet werden, wird aber insbesondere von SpamAssassin genutzt.Der Standardwert von 10 Sekunden für das Warten auf Razor ist in der Regel praxistauglich.27.4.2 DCC-EinstellungenEs folgen verschiedene DCC-Einstellungen. Bei DCC (Distributed ChecksumClearinghouse) handelt es sich nicht um ein Verfahren, das nicht nur Spam, sondernallgemein massenhaft versandte E-Mails erkennt. In einem DCC-Verbundermittelt die Anti-Spam-Software zu jeder eingehenden E-Mail eine spezielle Prüfsummeund sendet diese an einen Server (Clearinghouse). Dieser antwortet mit derAngabe, wie oft diese Mail-Prüfsumme bereits registriert wurde und erhöht gleichzeitigden entsprechenden Zähler. DCC-Server tauschen wiederum untereinanderentsprechend den Vorgaben ihrer Betreiber Daten über Bulk-Mails aus.Der anfragende DCC-Client (in unserem Fall SpamAssassin) erhält als Antwortein verlässliches Maß für die Zahl der teilnehmenden Mail-Server, bei denen dieselbeNachricht eingegangen ist. Eine E-Mail mit einem hohen bulk count ist entwederSpam oder eine Nachricht aus einer populären Mailing-Liste. Für Mailinglisten-Beiträgegibt es eine Freigabeliste (White List), um ihre Nachrichten zuidentifizieren. Für weitere Informationen zu DCC sei auf die Website von RhyoliteSoftware (http://www.rhyolite.com/anti-spam/dcc/) verwiesen.Im Rahmen eines Webmin-Beitrags können die DCC-spezifischen Einstellungennicht ausreichend behandelt werden. Behalten Sie daher die Standardeinstellungenbei bzw. prüfen Sie anhand der DCC-Dokumentation, ob andere Einstellungenmehr Schutz versprechen.www.brain-media.de

Zusätzliche Tests einführen 35327.4.3 PyzorDie Einstellungen für Pyzor sind denen von DCC sehr ähnlich. Auch hier könnenSie den Pfad, die Prüfsummenzahl und die Dauer, die das System auf Ergebnissewartet, anpassen.27.5 Zusätzliche Tests einführenEine Besonderheit der SpamAssassin-Funktion ist sicherlich, dass Sie selbst eigeneTests einführen können. Dazu folgen Sie dem Verweis E-Mail-Header- und Textkörpertests.Diese Tests können auf Inhalte des E-Mail-Headers, des Textkörpers,der URLs, die im Textkörper gefunden werden, angewendet werden oder vorhandeneTests kombinieren.Sie wollen eigene Tests einführen oder bestehende gezielt kombinieren?Kein Problem mit der Header- und Textkörpertestfunktion.Die Testfunktion bietet Ihnen einen einfachen und einen erweiterten Modus. Standardmäßigwird Ihnen der einfache Testmodus präsentiert, der die Einführung vondrei Tests vorsieht. Um in den erweiterten Modus zu schalten, klicken Sie aufSwitch to advanced mode.Webmin kompakt

354 SpamAssassin-AdministrationIm Eingabefeld Testname sollten Sie eine aussagekräftige Bezeichnung hinterlegen.Um einen E-Mail-Header-Test einzuführen, geben Sie nach der Testbezeichnungden Header an und wählen aus dem Prüfe-ob-Auswahlmenü eine der vierfolgenden Operatoren aus:• ist ähnlich• ist nicht ähnlich• Existiert• AuswertenIm Feld Regulärer Ausdruck können Sie einen solchen verwenden. Auch die Vorgabeeines Standardwerts ist möglich. Die Handhabung der weiteren Tests ist ähnlich.Klicken Sie auf Speichern, um Ihren Test zu sichern.Verschiedene privilegierte Optionen.27.6 Weitere OptionenSchließlich können Sie über das Formular Verschiedene privilegierte Optioneneinige globale Systemanpassungen vornehmen, beispielsweise den Pfad zurWhitelist, den zur Timing-Logdatei und den zur Razor-Konfigurationsdatei. Meistsind auch hier keine Änderungen erforderlich.www.brain-media.de

Modulkonfiguration 35527.7 ModulkonfigurationAuch für das SpamAssassin-Modul steht Ihnen eine Modulkonfiguration zur Verfügung.Die Konfigurationseinstellungen wie den Pfad zur SpamAssassin-Konfigurationsdatei, dem Pfad zum Filter, den zur Procmail-Konfigurationsdateibezieht das Modul aus der Systemeinstellung.Die Einstellungen der SpamAssassin-Modulkonfiguration.Webmin kompakt

356 SpamAssassin-Administrationwww.brain-media.de

35728 Administration des Squid-Proxy-ServersDer am häufigsten eingesetzte Proxy-Server der Linux-Gemeinde ist zweifelsohneSquid (http://www.squid.org). Der Server ist für seine gute Skalierbarkeit bekannt.Squid unterstützt die Netzwerkprotokolle HTTP/HTTPS, FTP über HTTP undGopher. Er eignet sich sowohl für sehr kleine Netze mit 5 bis 50 Benutzer, als auchfür sehr große Proxy-Server-Verbände mit mehreren hunderttausend Benutzern.Die Übersichtsseite des Squid-Proxy-Servers.Squid hat sich ebenfalls als transparenter Proxy bei ISPs bewährt. In dieser Funktionwerden alle Anfragen von Kunden über den Proxy geleitet, was zur spürbarenWebmin kompakt

358 Administration des Squid-Proxy-ServersBeschleunigung der Datenübertragung sowie zur Reduktion von Bandbreite desProviders führt.In der Praxis wird Squid häufig auch als Reverse-Proxy-Server zum Schutz und zurBeschleunigung von Webservern eingesetzt. Seit Version 2.6 läuft Squid auch alsHTTPS-Proxy. Damit wird die SSL-Verschlüsselung vom Webserver auf denProxy verlagert.Mithilfe einer zusätzlichen Redirector-Software kann Squid auch Filterfunktionenübernehmen. So können dann bestimmte Seiten oder Seiteninhalte ausgeblendetund Ersatzseiten oder Ersatzgrafiken angezeigt werden. Ein typischer Einsatzbereichhierfür ist das Filtern von Werbeinhalten oder aber zur Zensur. Für dieRedirector-Funktionalität wird das SquidGuard verwendet, das mit Squid ausgeliefertwird.Die weiteren Vorzüge von Proxy-Servern sind hinlänglich bekannt. Sie eignen sichhervorragend, um mehr oder minder große lokale Netzwerke an das Internet anzubinden.Dabei werden die lokalen Clients quasi hinter dem Proxy-Server versteckt.Auch der Squid-Proxy präsentiert Ihnen beim ersten Zugriff ebenfalls eine Fehlermeldung:Ihr Squid-Cache-Verzeichnis /var/cache/squid wurde noch nichtinitialisiert. Dies muss erledigt werden, bevor Squid gestartetwerden kann.Das Problem ist schnell gelöst: Unterhalb der Fehlermeldung finden Sie den ButtonInitialisiere Cache. Bestimmen Sie außerdem den Benutzer, in der Regel heißter squid. Nach der erfolgreichen Initialisierung sollte die Fehlermeldung verschwundensein und Sie können über die Schaltfläche Start Squid den Server hochfahren.Wie Sie obiger Abbildung entnehmen können, verfügt das Squid-Modul über vierzehnModuld, über die Sie das Verhalten des Proxy-Servers steuern. Außerdemfinden Sie am Fuße des Proxy-Servers die Schaltfläche zum Starten des Servers. Ister bereits gestartet, können Sie ihn auch anhalten oder Änderungen mit einemKlick auf Apply Configuration wirksam machen (ein Neustart ist also nicht erforderlich).28.1 Anschlüsse und NetzwerkStandardmäßig hört Squid auf den Port 3128/TCP. Da dies nicht unbedingt dergängigste Port ist, sollten Sie auf dem Formular Anschlüsse und Netzwerk eventuellwww.brain-media.de

Anschlüsse und Netzwerk 359die Port-Einstellungen (und weitere) anpassen. Gängige Ports für einen Proxy-Server sind beispielsweise 80 oder 8080. Um die Einstellungen zu ändern, gebenSie einfach in das Eingabefeld Proxy-Adressen und -Anschlüsse den gewünschtenWert ein. Passen Sie auch den SSL-Port an.Eine weitere wichtige Einstellung: Unter Host-Name/ IP-Adresse sollten Sie gegebenenfallsdie Option All in eine Spezifische ändern. Bei All nimmt Ihr System aufallen verfügbaren Schnittstellen Verbindungen entgegen. Entsprechend sollten Sieden SSL-Port anpassen.Das Formular Anschlüsse und Netzwerk.Squid nutzt beispielsweise das ICP-Protokoll, um mit anderen Proxy-Servern ineinem Cluster zu kommunizieren. Passen Sie auch hier gegebenenfalls den Anschlussan.Da Squid auch alle eingehenden UDP-Anfragen auf jedem beliebigen Interfaceannimmt, sollten Sie prüfen, ob eine Beschränkung auf eine bestimmte Schnittstellesinnvoll ist.Mit einem Klick auf Speichern übernehmen Sie die Änderungen. Damit Sie wirksamwerden, müssen Sie die oben erwähnte Apply-Configuration-Schaltflächebetätigen.Webmin kompakt

360 Administration des Squid-Proxy-Servers28.2 Andere CachesEine der wichtigsten Funktionen eines Proxy-Servers ist das Zwischenspeichernvon Inhalten, um diese für die angeschlossenen Clients verfügbar zu machen. Dasschont bekanntlich die Bandbreiten und sorgt in der Regel für eine deutlich höherePerformance aufseiten des Clients.Squid verwendet standardmäßig ein Cache-Verzeichnis (z. B. /var/squid/cache), indem die Daten zwischengespeichert werden. Wenn Ihr System über ausreichendRessourcen und mehrere Festplatten verfügt, macht es Sinn, weitere Caches zuerstellen. Das führt meist ebenfalls zu einem spürbaren Performancegewinn.Um einen neuen Cache hinzuzufügen, folgen Sie dem Verweis Andere Caches.Auf dem zugehörigen Dialog präsentiert Ihnen das Modul einige grundlegendeCache-Einstellungen, die für die neuen Caches gelten. Um einen neuen Cachehinzuzufügen, klicken Sie auf Einen anderen Cache hinzufügen.Das Hinzufügen eines neuen Caches.www.brain-media.de

Speichernutzung 361Geben Sie auf dem Formular Cache-Host erstellen zumindest die IP-Adresse bzw.den Hostnamen und den Port an. Außerdem sollten Sie bestimmen, um welchenCache-Typ es sich handelt. Sie haben die Wahl zwischen folgenden Typen:• übergeordneter• untergeordneter• multicastZwingend erforderlich ist außerdem die Angabe des ICP-Anschlusses, damit eineKommunikation zwischen den Proxys möglich ist.Mit der Typauswahl können Sie eine hierarchische Cache-Struktur aufbauen. Istfür den Zugriff auf den Proxy eine Anmeldung erforderlich, so bestimmen Sie denBenutzer und das Kennwort. Für die allgemeinen Cache-Einstellungen verwendenSie den gleichnamigen Link auf der Squid-Übersicht.28.3 SpeichernutzungAbhängig vom jeweiligen Einsatzbereich benötigt Ihr Proxy-Server mehr oderminder weitreichende Arbeits- und Festplattenspeicherkapazitäten. Es versteht sichvon selbst, dass bei kleinen Netzwerken deutlich weniger Ressourcen benötigtwerden, als beim Einsatz bei einem Internet Provider. Um den Server optimal andie jeweiligen Erfordernisse anpassen zu können, stellt Ihnen das Squid-Modul dieSpeichernutzungsfunktionen zur Verfügung.Die Einstellungen für die Speichernutzung.Webmin kompakt

362 Administration des Squid-Proxy-ServersDie Einstellungen im Einzelnen:• Speichernutzungsgrenzwert: Das Limit für die Speicherbelegung iststandardmäßig 8 MB. Dieser Wert begrenzt nicht die maximale Prozessgröße.Sie bestimmen hiermit den verfügbaren Speicher für folgende Objekte:oooIn-Transit-Objekte (Objekte, die gerade zwischen dem Proxy undeinem Client übermittelt werden)Hot Objects (die am häufigsten genutzten Seiten werden im Arbeitsspeichergehalten)Negative-Cached-Objekte (fehlgeschlagene Anfragen werden füreine bestimmte Zeit gecacht)Die Daten werden in Objekten zu je 4 KB-Blöcken gespeichert. DieserWert hat sich in der Vergangenheit als optimal erwiesen. Prinzipiell besitzenIn-Transit-Objekte die höchste Priorität. Wird zusätzlicher Speicherbenötigt, wird der Speicher für negative gechachte und Hot-Objekte freigegeben.• FQDN-Cache-Größe. Der Standardwert ist 1024. Hier bestimmen Sie diemaximale Anzahl an Fully-Qualified-Domain-Name-Cache-Einträgen.• Oberer Schwellenwert für Festplatte: Hiermit bestimmen Sie die oberenSchwellenwerte für die Speicherbelegung. Der Standardwert ist 95Prozent. Wird er erreicht, wird Platz geschaffen durch das Entfernen vonObjekten mit einer niedrigeren Priorität.• Unterer Schwellenwert für Festplatte: Hier bestimmen Sie den unterenSchwellenwert.• Maximale Größe zwischengespeicherter Objekte: Bestimmt die maximalzulässige Größe von Cache-Objekten. Sie beträgt standardmäßig4096 KB. Objekte, die diese Größe überschreiten, werden nie zwischengespeichert.• IP-Adressen-Cache-Größe: Bestimmt die maximale Anzahl an gespeichertenIP-Adressen. Der Standard ist 1024.• Oberer Schwellenwert für IP-Cache: Bestimmt den maximalen Wert anIP-Cache-Einträgen. Der Standard ist auch hier 95 Prozent.• Unterer Schwellenwert für IP-Cache: Bestimmt entsprechend den unterenWert. Standard: 90 Prozent.www.brain-media.de

Protokollierung 363• Disk bzw. Memory replacement policy: Hier bestimmen Sie, nach welcherPolicy die Festplatten bzw. Speicher bereinigt werden.Die Konfiguration der Protokollfunktionen.28.4 ProtokollierungSquid stellt Ihnen verschiedene Protokollierungsfunktionen zur Verfügung, dieIhnen immer dann, wenn etwas nicht rund zu laufen scheint, wichtige Informationenfür die Erkennung und Behebung eines Problems liefern.Die Protokollierungsfunktion erlaubt Ihnen folgende Anpassungen:• Zugriffskontrolldatei: Der Zugriff auf Squid wird mit System-ACL-Funktionen realisiert. In der Regel finden Sie die zugehörige Protokolldateiim Verzeichnis /var. In ihr werden die Client-Request- und Aktionenaufgezeichnet. Dabei wird für jeden HTTP- und ICP-Request ein Eintragerzeugt.• Debug-Protokolldatei: Auch diese Einstellung ist systemabhängig. Hierfinden Sie allgemeine Informationen über das Cache-Verhalten.Webmin kompakt

364 Administration des Squid-Proxy-Servers• Speicherprotokolldatei: Auch hier ist der Speicherort systemabhängig.In ihr werden die Aktionen des Speichermanagers aufgezeichnet. Dortfinden Sie beispielsweise Informationen darüber, welche Objekte und wielange sie gespeichert wurden.• Cache-Metadata-Datei: Der Standard ist swap.log in jedem Cache-Verzeichnis. Sie speichert Metadateien der Objekte, die von dem Proxyzwischengespeichert werden.• Benutze HTTPD-Protokollformat: Standardmäßig wird dieses Formatnicht verwendet, das von httpd-Programmen genutzt werden könnte.Vielmehr verwendet Squid ein natives Log-Format, das von den meistenLogfile-Analyzern unterstützt wird.• MIME Header protokollieren: Standardmäßig wird der MIME-Headerder HTTP-Transaktionen nicht protokolliert.• Benutzeragentprotokolldatei: Diese Option ist standardmäßig deaktiviert.Wenn Sie den Schalter aktivieren, erfolgt die Speicherung desHTTP-Headers User-Agent von Client-Anfragen in einer eigenen Protokolldatei(useragent.log).• PID-Datei: Auch diese Einstellung ist systemabhängig. In die Datei wirddie Prozess-ID geschrieben.• Führe RFC931-Ident-Lookups für ACLs aus: Hier können Sie verschiedeneKriterien für die Suche des Benutzers im ACL-System definieren.• RFC931-Ident-Timeout: Bestimmt die maximale Wartezeit auf eineAntwort auf einen IDENT-Request. Der Standard ist 30 Sekunden.• Vollen Hostnamen protokollieren: Standardmäßig wird auch der Hostnamenicht protokolliert.• Protokollierung der Netzmaske: Hier bestimmen Sie, ob auch dieNetzmaske protokolliert werden soll.• Debug-Einstellungen: Mit dieser Option bestimmen Sie den Umfang derProtokollierung. Dieser lässt sich über den Konfigurationsparameterdebug_options selektiv für die einzelnen Squid-Programmkomponenteneinstellen. Bei Problemen in einzelnen Programmkomponenten (z. B.Authentisierung) lässt sich der Debug-Level dieser Komponente erhöhenund durch die Auswertung der Protokolldatei cache.log lässt sich dasProblem eingrenzen. Die Standardkonfiguration ist ALL,1.www.brain-media.de

Cache-Einstellungen 365Die Protokolloptionen werden nach dem Muster Abschnitt, Level definiert.Das Schlüsselwort ALL bestimmt beispielsweise das Debugging für alleAbschnitte.• MIME-Header-Tabelle: Hier können Sie den Pfad zur MIME-Tabellevon Squid anpassen. In der Regel ist hier keine Änderung erforderlich.28.5 Cache-EinstellungenSehr umfangreich fallen die Cache-Einstellungen aus, die sich hinter dem gleichnamigenVerweis finden. Sie können diese Einstellungen beispielsweise nutzen,um zu verhindern, dass Squid mächtige Dateien zwischenspeichert und um verschiedeneTimeout-Werte zu optimieren.Ein Blick auf die umfangreichen Cache-Einstellungen.Webmin kompakt

366 Administration des Squid-Proxy-ServersZunächst bestimmen Sie den Pfad zu Ihrem Cache-Verzeichnis. Dieser ist standardmäßig/var/cache/squid/. Sie können es aber natürlich auch in jedes beliebigeandere Verzeichnis bzw. Laufwerk legen. Neben dem Typ können Sie auch dieGröße anpassen. Standardmäßig ist das Cache-Verzeichnis 100 MB groß.Mit den beiden Einstellungen Verz. der ersten Ebene und Verz. der zweiten Ebenebestimmen Sie die Anzahl der Unterverzeichnisse, die in dem Cache-Verzeichniserstellt und in die zwischenzuspeichernden Daten abgelegt werden. Der Standardwertfür die erste Ebene ist 16, der für die zweite 256.Schauen wir uns weitere wichtige Einstellungen an. Es folgt die Definition derdurchschnittlichen Objektgröße. Sie beträgt standardmäßig 13 KB – ein Wert, dersich in der Vergangenheit bewährt hat. Rechts daneben finden Sie die Anpassungsmöglichkeitfür die Anpassung der Objekte pro Verzeichnis. Der Standardwertist hier 50. Wenn Sie die Cache-Größe nach oben hin anpassen, kann es sinnvollsein, auch diesen Wert zu erhöhen.Die weiteren Cache-Einstellungen sind für den „normalen“ Betrieb optimiert undmüssen daher kaum verändert werden. Wenn Sie wissen wollen, welche Änderungengegebenenfalls Sinn machen, sollten Sie spezielle Squid-Literatur zurate ziehen.Die Einbindung von Hilfsprogrammen.www.brain-media.de

Hilfsprogramme 36728.6 HilfsprogrammeWenn Sie dem Verweis Hilfsprogramme folgen, landen Sie auf einem einfachenFormular, das die Einbindung von verschiedenen Drittprogrammen erlaubt. Interessantist hier sicherlich die Möglichkeit, das DNS-Hilfsprogramm anzupassen.Standardmäßig ist es dnsserver. Sie können auch ein alternatives Programm für dasLeeren des Caches (anstelle von inlinkd) einbinden. Standardmäßig werden außerdemmaximal fünf Redirect-Programme verwendet.28.7 ZugriffskontrolleFür die meisten Anwender sind die Zugriffskontrollfunktionen meist weit interessanter.Folgen Sie dazu dem gleichnamigen Link auf der Squid-Übersichtsseite.Dies ist die vielleicht mächtigste Funktion, die Squid zu bieten hat.Die mächstigste Zugriffskontrollfunktion des Squid-Moduls.Webmin kompakt

368 Administration des Squid-Proxy-ServersMithilfe der Access-Controll-Funktion können Sie exakt steuern, wer welche Aktionenauf Ihrem System ausführen darf. Neben den Zugriffskontrolllisten finden Sieauf obigem Formular noch die Möglichkeit, Proxy- und ICP-Beschränkungeneinzuführen.Die häufigste Verwendung der ACL-Funktion: das Blocken von unerwünschtenVerbindungen, die von außerhalb des eigenen Netzwerks kommen. In der Regeldient ein Proxy-Server auch als Schutz vor Attacken von außen.Ein Problem stellt die Verwendung des CONNECT-Proxy-Requests dar, der fürden Verbindungsaufbau zu jedem Port verwendet werden kann. Meist wird dieACL so konfiguriert, dass dieser Request lediglich an den Port 443 (den SSL-Port)übergeben wird.Was nun in der Praxis beim Einsatz einer ACL passiert, ist eigentlich recht einfach:Empfängt der Proxy-Server einen Request, so prüft er, ob und falls ja, welche ACLzu dem Request definiert wurde. Findet sich eine Regel, wie der Request zu behandelnist, wird diese Regel angewendet. Dabei sind zwei Aktionen möglich:Allow und Deny, also der Zugriff wird erlaubt oder verwehrt. Squid prüft auchICP-Requests, die von anderen Proxy-Servern stammen und kann auch für diesespezielle Aktionen zulassen und verhindern.In einer Standardinstallation kommt Squid bereits mit einem Satz an Standard-ACL- und Proxy-Beschränkungen daher. Aus Sicherheitsgründen werden alleRequests unterbunden. Um den Proxy-Server also nutzen zu können, müssen Sieerst einige Anpassungen vornehmen, konkret müssen Sie eigene Regeln definieren,die die gewünschten Aktionen bearbeiten.Damit konkret bestimmte Clients den Proxy-Server nutzen können, gehen Sie wiefolgt vor:1. Wählen Sie im Auswahlmenü Erstelle neue ACL den Eintrag Client-Adresse und klicken Sie dann auf den Erstellen-Button.2. Auf dem zugehörigen Formular weisen Sie der Regel eine Bezeichnungzu, beispielsweise MeineNetzwerkClients.3. In den beiden folgenden Eingabefeldern bestimmen Sie den Adressbereich,für den die Regel gelten soll. Die Eingabe könnte beispielsweise192.168.1.0 und 192.168.1.100 lauten. Geben Sie auch dieNetzwerkmaske an. In diesem Beispiel etwa 255.255.255.0.4. In das Feld Fehler-URL geben Sie die Adresse ein, an die ein Clientübergeben wird, wenn ein Fehler auftritt.www.brain-media.de

Zugriffskontrolle 3695. Standardmäßig wird die neue Regel in der Squid-Konfigurationsdateigespeichert. Wenn Sie stattdessen eine andere Datei vorziehen, gebenSie diese samt Pfad in dem Eingabefeld an.Eine neue ACL entsteht.6. Mit einem Klick auf Speichern übernehmen Sie die neue Regel. Nachdem Speichern Ihres ersten ACL-Eintrags finden Sie diesen in derACL-Liste.7. Da bislang lediglich eine ACL erstellt, ihr aber noch keine Aktion zugewiesenist, folgen Sie als Nächstes dem Verweis Füge Proxy-Beschränkung hinzu.8. Auf dem Formular Proxy-Regel erstellen wählen Sie zunächst dieAktion Gestatten aus und markieren dann in dem Auswahlfeld ÜbereinstimmendeACLs den oben erstellten EintragMeineNetzwerkClients.9. Klicken Sie dann auf Speichern. Nach dem Speichern landet die neueBeschränkung in der Beschränkungstabelle. Die Reihenfolge der Tabelleneinträgebestimmt deren Priorität. Daher sollten Sie Ihren neuenEintrag über den Eintrag Deny All führen, denn alle auf diesen folgendenEinträge werden unterbunden.Webmin kompakt

370 Administration des Squid-Proxy-Servers10. Wichtig ist, dass Sie anschließend auf den Verweis Änderungen anwendenim Kopfbereich des Squid-Moduls klicken, damit Ihre neuenEinstellungen auch greifen.Die Auswahl des ACL-Typs.Wir sind beim Erstellen des ersten ACL-Eintrags dem ACL-Typ begegnet. Wie Sievoranstehender Abbildung entnehmen können, kennt Squid eine Vielzahl solcherTypen. All diese Typen sind für unterschiedliche Aufgabenbereiche geeignet undweisen im Folgeformular spezifische Felder auf. Nachstehende Tabelle fasst diesewichtigsten Typen zusammen:Typ Kurzinfo FelderAnfragemethodeBrowser-Regexp.Für diesen Typ werden die http-Kommandos GET, POST, HEAD,CONNECT, PUT und DELETEherangezogen.Dieser Typ prüft den User-Agent-Header, der bei einem Request anden Proxy-Server übermittelt wird.Damit können Sie beispielsweisegezielt bestimmte Browser vomZugriff ausschließen.Das zugehörige Formularerlaubt die Aktivierungaller Kommandos.Erlaubt die Angabevon regulären Ausdrücken,beispielsweiseMozilla/4.www.brain-media.de

Zugriffskontrolle 371Typ Kurzinfo FelderClient-AdresseClient-HostnameClient-RegexpDatum und UhrzeitEthernet AddressDiesen Typ haben Sie zuvor kennengelernt.Er erlaubt es Ihnen,einen IP-Adressbereich zu definieren,der Zugriff auf den Server hat– oder auch nicht.Führt einen Reverse-DNS-Lockupder IP-Adresse des Clients durch.Der Einsatz dieses Typs ist sinnvoll,um Clients Zugriff auf dasNetzwerk zu gewähren.Dieser Typ entspricht weitgehenddem Vorstehenden, allerdings mitdem Unterschied, dass hier einregulärer Ausdruck für die Auswahlder Clients verwendet wird.Dieser Typ greift bei bestimmtenDaten bzw. Uhrzeiten. Der Einsatzdieses Filters macht beispielsweisedann Sinn, wenn Sie den Zugriffauf den Squid-Server auf bestimmteWochentage beschränken wollen,beispielsweise von Montag bisFreitag.Diese ACL bezieht sich auf eineoder auch mehrere MAC-Adressen.Ihr Einsatz ist beispielsweise dannsinnvoll, wenn sich zwischen demClient und Proxy-Server ein Routerbefindet. Setzt voraus, dass SieSquid mit der Option --enable-arpaclkompiliert haben.Die Verwendung diesesTyps wurde zuvorbeschrieben.Liste mit Domainsbzw. Hostnamen.In diesem Eingabefeldkönnen Sie PerltypischereguläreAusdrücke verwenden.Aktivieren Sieaußerdem die OptionIgnore case?, damitbei den Abfragen nichtzwischen Groß- undKleinschreibung unterschiedenwird.In dem zugehörigenFormular bestimmenSie die Tage und dieStunden, für die dieRegel gelten soll. Ummehrere Tage auszuwählen,halten Sie dieStrg-Taste gedrückt.Geben Sie außerdemdie Uhrzeit an, für diedie ACL gilt. Sie könnenStunden undMinuten definieren.Geben Sie in dasTextfeld die MAC-Adressen ein. EinBeispiel:08:00:20:ae:fd:7e.Verwenden Sie fürjede Adresse eineZeile.Webmin kompakt

372 Administration des Squid-Proxy-ServersDas Erstellen einer Datums-/Zeit-ACL mit genauerBeschränkung auf Tage und Uhrzeit.Typ Kurzinfo FelderExternal AuthRegexpExternal ProgrammExterne Auth.Dieser ACL-Typ erlaubt die Verwendungvon regulären Ausdrückenfür die Authentifizierung vonBenutzern auf dem System.Dieser Typ erlaubt Ihnen die Einbindungeines externen Programms.Wenn Sie diesen Typ verwenden,müssen sich Clients gegen dieBenutzerliste authentifizieren.Geben Sie in dasTextfeld den regulärenAusdruck ein. AktivierenSie am bestenauch hier die OptionIgnore case?Geben Sie das Programm,seine Klasseund eventuell weitereOptionen an.Aktivieren Sie auf demzugehörigen FormularAll users, damit sichalle Benutzer authentifizierenmüssen.www.brain-media.de

Zugriffskontrolle 373Typ Kurzinfo FelderMax User IPMaximale Anzahlan VerbindungenProxy-AnschlussProxy-IP-AdresseQuelle ALSNummerRFC931 UserRegexpRFC931-BenutzerReply MIME-TypeMit diesem Typ können Sie diemaximale Anzahl an IP-Adressenpro Benutzer definieren.Erlaubt Ihnen die Konfiguration dermaximalen Anzahl an gleichzeitigenAnfragen von Clients. Mit einempraktikablen Wert von 5 bis 10beschränken Sie die Server-Last.Mit dieser ACL können Sie denPort angeben, auf den der Proxy-Server horcht. Der Einsatz ist beiProxy-Servern sinnvoll, die mehrerePorts verwenden.Dieser ACL-Typ erlaubt Ihnen dieDefinition einer IP-Adresse, auf derder Squid-Proxy-Server Verbindungenakzeptiert.Dieser Typ ist fehlerhaft lokalisiert.Es müsste AS-Nummer lauten. Mitsolchen Nummern werden großeNetzwerke identifiziert. Zwei Beispiele:Web.de besitzt die NummerAS20796 und Freenet.de dieNummer AS5430. In der Regel istdieser Typ nicht für Sie relevant.Mit den in RPC931 definiertenFunktionen ist die Identifikationeines entfernten Benutzers beimZugriff auf den Proxy-Server möglich.Der Einsatz dieses ACL-Typsist sinnvoll, wenn Sie vertrauenswürdigenBenutzern den Zugrifferlauben wollen.Entsprechend voranstehendemTyp, allerdings werden die Benutzernamenfür die Authentifizierungverwendet.Dieser Typ erlaubt die Verwendungdes Reply-MIME-Typs für die Authentifizierung.Bestimmen Sie denWert.Geben Sie den gewünschtenWert an.Geben Sie den gewünschtenPort an.Geben Sie die IP-Adresse und dieNetzmaske an.In dem zugehörigenFormular bestimmenSie den AS-Zahlenwert.Geben Sie einen regulärenAusdruck für denBenutzer an.Geben Sie die Benutzernamenan.Geben Sie den Typan.Webmin kompakt

374 Administration des Squid-Proxy-ServersTyp Kurzinfo FelderRequest MIMETypeSNMP CommunityURL-AnschlussURL-Pfad-RegexpURL-ProtokollURL-RegexpWeb-Server-RegexpWeb-Server-AdresseAngabe des Adressbereichs.Webserver-Host-NameHier können Sie entsprechend denMIME-Typ angeben, der in einemClient-Request verwendet wird.Mit diesem ACL-Typ können SieSNMP-Agents beschränkten Zugriffauf den Squid-Proxy-Server gewähren.Das macht Sinn, um dieVerfügbarkeit des Systems überwachenzu können.Hier geben Sie den Port an. DieserTyp ist sinnvoll einsetzbar, umZugriffe auf nicht HTTP-Ports wie23 oder 25 zu steuern.Dieser ACL-Typ erlaubt die Steuerungauf bestimmte Pfade mithilfevon regulären Ausdrücken. Sinnvolleinsetzbar ist das beispielsweisezur Zugriffsbeschränkung auf dynamischerzeugte Inhalte.Mit diesem Typ können Sie dieNutzung von bestimmten Protokollenunterbinden. Sie können beispielsweiseden FTP-Zugriff verwehren.Mittels regulärer Ausdrücke könnenSie den Zugriff auf bestimmte Pfadeoder auch ganze Sites unterbinden.Mit diesem ACL-Typ können Sieden Zugriff mithilfe von regulärenAusdrücken verhindern.Geben Sie hier den IP-Adressbereich ein, für den Siebeispielsweise den Zugriff verwehrenwollen.Erlaubt die Angabe von Hostnamen,auf die der Zugriff möglichbzw. verhindert wird.Geben Sie den gewünschtenTyp an.Geben Sie den Community-Stringan.Geben Sie den bzw.die Ports an. MehrereEinträge sind durchein Leerzeichen zutrennen.Geben Sie den regulärenAusdruck für denPfad an.Bestimmen Sie dasbzw. die Protokolle.Geben Sie die gewünschtenAusdrückein dem Eingabefeldan.Geben Sie den regulärenAusdruck an.Geben Sie die Hostnamenbzw. Domainsan.www.brain-media.de

Administrative Einstellungen 37528.8 Administrative EinstellungenDie Squid-Konfiguration erlaubt Ihnen die Anpassung verschiedener administrativerEinstellungen. Dazu folgen Sie dem gleichnamigen Link. Die Einstellungendieses Formulars sind weitgehend selbsterklärend. Hier legen Sie beispielsweisefest, unter welcher Benutzerkennung Squid ausgeführt wird und welcher Gruppe erangehört. Sie können außerdem die E-Mail-Adresse des Cache-Managers, denHostnamen und die Bekanntmachung (Squid versendet automatisch Broadcast-Meldungen, um andere auf sich aufmerksam zu machen) anpassen.Die administrativen Einstellungen des Proxy-Servers.28.9 AuthentifizierungWie wir gesehen haben, ist es mithilfe der ACL-Funktionen recht einfach, denZugriff auf den Server und die Nutzung bestimmter Dienste auf IP-Adressen zubeschränken. Sie können aber auch die Authentifizierung von Clients gegenüberdem Proxy-Server einführen. So können Sie auch Benutzern den Zugriff gewähren,die nicht über eine feste, dann freizugebende IP-Adresse verfügen.Dabei sind unterschiedliche Szenarien denkbar, beispielsweise, dass die Authentifizierungüber den Browser erfolgt und der Benutzer seine Kennung und seinPasswort angibt.Squid kann für die Authentifizierung auf externe Programme zurückgreifen, wiesie beispielsweise von Webmin oder dem Betriebssystem bereitgestellt werden.Webmin kompakt

376 Administration des Squid-Proxy-ServersDie Einbindung externer Tools für die Authentifizierung gegenüber Squid.Die Einstellungen für ein externes Authentifizierungsprogramm verbergen sichhinter dem Verweis Authentication Programs. Das Formular bietet Ihnen die Authentifizierungüber Webmin oder über eine benutzerdefinierte Eingabe an. WennSie den Linux-Passwort-Mechanismus verwenden wollen, so geben Sie in dasEingabefeld beispielsweise /usr/etc/passwd ein. Dann haben alle dort eingetragenenBenutzer die Möglichkeit, sich Squid gegenüber zu authentifizieren. Wenn Siesich für den Webmin-Mechanismus entscheiden, greift Squid auf Ihre Webmin-Benutzer zurück.Ab Squid 2.5 ist außerdem die Nutzung von NTLM und Digest möglich. BestimmenSie dazu die entsprechenden Tools.28.10 Delay PoolsMit den sogenannten Delay-Pools stellt Ihnen Squid eine effektive Funktion zurBandbreitenbegrenzung für bestimmte Clients oder URL-Teile zur Verfügung. Mitdieser Funktion können Sie das System so konfigurieren, dass für alle relevantenAufgaben immer ausreichende Bandbreite verfügbar ist.Squid kennt drei verschiedene Arten von Delay-Pools:www.brain-media.de

Delay Pools 3771. Bei einem Pool der Klasse 1 wird die Download-Rate aller Verbindungenzusammengefasst und darf eine gewisse Bandbreite nichtüberschreiten. Mit dieser Konfiguration können Sie allen Nutzern einenmaximalen Rahmen zuweisen.2. Bei einem Pool der Klasse 2 kann zum einen wieder die gesamteBandbreite begrenzt werden und zum anderen die Bandbreite für einenmit einer ACL festgelegten Bereich oder Benutzer definiert werden.3. Bei einem Pool der Klasse 3 kann schließlich zusätzlich zu den beidenPools 1 und 2 noch eine Begrenzung für ein gesamtes Subnetzeingeführt werden.In der Standardkonfiguration ist eine maximale Nutzung von 50 Prozent der verfügbarenBandbreite vorgesehen.Das Erstellen eines ersten Delay-Pools.Um einen erstes Pool zu erstellen, folgen Sie dem Link Add a new delay pool.Bestimmen Sie die Pool-Klasse und definieren Sie die Begrenzungen. Mit einemKlick auf Erstellen ist die erste Bandbreitenbeschränkung erzeugt.Webmin kompakt

378 Administration des Squid-Proxy-Servers28.11 Header-ZugriffskontrolleDie Funktion des Verweises Header Access Control ist sehr einfacher Art. Hierkönnen Sie die HTTP-Header beschränken, die Squid von Clients an die Serverweitergibt.28.12 Refresh-RegelnÄhnlich simpel ist die Funktion Refresh-Regeln. Hier können Sie Regeln erstellen,die die Standard-Refresh-Zeit auf Grundlage von regulären Ausdrücken überschreiben.Mit dieser Funktion können Sie beispielsweise die Cache-Zeit für bestimmteWebsites oder Protokolle neu definieren – ohne dabei alle Squid-weitenEinstellungen ändern zu müssen.28.13 Verschiedene EinstellungenDie Funktionen, die sich hinter dem Verweis Verschiedene Einstellungen verbergen,sind nichts für Einsteiger. Hier können routinierte Squid-Administratoren anverschiedenen Schrauben drehen. Sie können beispielsweise den Pfad zu einerFehlermeldungstextdatei angeben oder verschiedene HTTP- und WCCP-Einstellungen bearbeiten.Die Port-Umleitung von Squid.www.brain-media.de

Port-Umleitung 37928.14 Port-UmleitungSquid kommt häufig als transparenter Proxy zum Einsatz, der Requests von Port 80verarbeitet. Für den Anwender ist die Verbindung über einen transparenten Proxynicht von einer direkten Verbindung über ein Gateway zu unterscheiden. Squidkann so konfiguriert werden, dass es als transparenter Proxy zum Einsatz kommt,aber im Zusammenspiel mit einer Firewall Requests an Port 3128 übergibt. Dazumüssen Sie zunächst die Linux-Firewall aktivieren und dann im zweiten Schritt diePort-Umleitung für die Clients aktivieren.28.15 Cache-Manager-StatistikDer Proxy-Server Squid kommt mit einem einfachen CGI-Programm cachemgr.cgidaher, das Ihnen statistische Informationen zu Ihren Cache-Daten liefert. Um aufdie Daten zuzugreifen, folgen Sie auf der Squid-Index-Seite dem Verweis Cache-Manager-Statistiken, wählen den Cache-Server aus (meist localhost) und loggensich ein. Bei einer neuen Installation können Sie die Felder Manager und Passwortmeist leer lassen.Der Logfile-Analyzer Calamaris ist bestens fürdie Auswertung von Squid-Dateien geeignet.Webmin kompakt

380 Administration des Squid-Proxy-ServersSquid-Protokolldateien auswertenIhrer Aufmerksamkeit ist sicherlich nicht entgangen, dass über die Webmin-Server-Übersicht auch SARG (Squid Analysis Report Generator) verfügbar ist. Dabei handeltes sich um einen Logfile-Analyzer, der die Protokolldateien des Proxy-Serversanalysiert und aufbereitet. Diese Daten helfen Ihnen, den Zustand des Proxy-Servers zu erkennen – und gegebenenfalls Maßnahmen für die Optimierung derKonfiguration zu ergreifen.Noch einen Tick besser ist Calamaris (http://calamaris.cord.de). Calamaris ist wieSARG ein Analyseprogramm für Logdateien, das auf die Analyse von Proxy-Servern spezialisiert ist.28.16 Cache leeren und neue erstellenÜber das letzte Icon auf der Squid-Übersicht können Sie schließlich den Zwischenspeicherleeren und einen neuen Cache erstellen. Dazu folgen Sie dem Link undklicken auf die gleichnamige Schaltfläche. Das Webmin-Modul zeigt das zugehörigeSquid-Kommando und mögliche Fehlermeldungen an.28.17 ModulkonfigurationAuch das Squid-Modul besitzt eine eigene Modulkonfiguration, über die Siekonfigurierbare und Systemeinstellungen einsehen und gegebenenfalls anpassenkönnen.www.brain-media.de

Modulkonfiguration 381Die Modulkonfiguration für das Squid-Modul.Auch bei der Squid-Modulkonfiguration finden Sie zwei Bereiche: zunächst diekonfigurierbaren und dann die Systemkonfigurationen. Die anpassbaren Einstellungensind insbesondere dann interessant, wenn Sie Calamaris für die Auswertungder Protokolldateien verwenden.Bestimmen Sie zunächst, ob alle Calamaris-Berichte erstellt werden und welchesFormat (HTML oder Text) die Berichte besitzen sollen. Außerdem können Sieweitere Kommandozeilenparameter an Calamaris übergeben. Alle weiteren Einstellungenkönnen Sie in der Regel guten Gewissens beibehalten.Webmin kompakt

382 Administration des Squid-Proxy-Serverswww.brain-media.de

38329 NetzwerkeinstellungenDas Hauptaugenmerk von Webmin liegt in der Administration der unterschiedlichstenServer. Wie Sie gesehen haben, können Sie nahezu alle wichtigen Serverin der Standardkonfiguration verwalten. Doch Webmin taugt für mehr. Auch zurBearbeitung der Netzwerkeinstellungen. Diesen wollen wir uns in diesem Kapitelwidmen. Um es vorwegzunehmen: Auch sie sehr umfangreich. Wollte man siedetailliert beschreiben, so könnte man hierfür ein eigenes Buch schreiben.Die Funktionen der Netzwerkkategorie.Das vorliegende Kapitel beschränkt sich auf die wesentlichen Funktionen. Wie Sienachstehender Abbildung entnehmen können, sind über die Netzwerkkategoriesiebzehn Bereiche konfigurierbar, angefangen beim ADSL-Client über die Firewallbis hin zum SSL-Tunnel.Webmin kompakt

384 NetzwerkeinstellungenWenn Ihr Linux-System über eine DSL-Verbindung mit dem Internet verfügt, sokönnen Sie über den Verweis ADSL-Client dessen Einstellungen bearbeiten.29.1 BandbreitenmessungMit dem Modul Bandbreitenmessung können Sie einen einfachen Bericht erzeugen,der Ihnen Auskunft darüber gibt, welche Datenmengen mit Ihrer Umgebungübertragen werden. Über das zugehörige Formular bestimmen Sie den Zeitraum,für den die Daten angezeigt werden sollen. Um den Bericht zu erzeugen, klickenSie auf Generiere Report. Die Berichtfunktion greift auf die Funktionen aufIPTables zurück.Die Bandbreitenauswertung präsentiert Ihnen den übertragenen Traffic.Die hier ausgegebenen Informationen sind nützliche Informationen, um sich einBild von dem bisherigen Datenauskommen machen zu können. Über das AuswahlmenüZeige Traffic können Sie bestimmen, für welche Komponenten dieAuswertung erstellt wird. Sie haben die Wahl zwischen vier Optionen:• Host• Protokoll• Interner Port• Externer Portwww.brain-media.de

Erweiterte Internetdienste 385In der Modulkonfiguration können Sie außerdem anpassen, welche Firewalldatenfür die Auswertung verwendet werden.29.2 Erweiterte InternetdiensteZur Steuerung und Überwachung von Netzwerkverbindungen kam bei Linux-Systemen inetd zum Einsatz. Wird der Daemon beispielsweise mit einer Anfragean Port x angesprochen, wird diese an das Programm tcpd weitergeleitet. tcpd entscheidetauf Basis der Regeln in den Dateien hosts.allow und hosts.deny, ob dieAnfrage zulässig ist. Ist dies der Fall, so wird der entsprechende Serverprozess,zum Beispiel ftpd, gestartet und die Anfrage bearbeitet.inetd ist in der Vergangenheit immer wieder durch Schwachstellen und Unzulänglichkeitenins Gerede gekommen und wird inzwischen von der erweiterten Variantexinetd abgelöst. Diese bietet weitreichendere Sicherheitsfunktionen, beispielsweise• die Zugriffssteuerung von TCP, UDP und RPC-Diensten,• die Zugriffsbeschränkung auf bestimmte Zeiten,• die Protokollierung von zulässigen, als auch von unzulässigen Anfragen,und• einen effizienten Schutz gegen Denial-of-Service-Angriffe.Seine Konfiguration erfolgt über die /etc/xinetd.conf – oder eben über Webmin.Wenn Sie dem Verweis Erweiterte Internetdienste (xinetd) folgen, präsentiert Ihnendas Modul eine Liste mit Services, die über das System prinzipiell verfügbarsind.In der Dienstübersicht werden Ihnen neben der Dienstbezeichnung folgende Informationenangezeigt: Typ, Port/Nummer, Protokoll, Benutzer, Serverprogrammund Status (ein-/ausgeschaltet). Die Einstellungen eines Dienstes öffnen Sie, indemSie auf die jeweilige Dienstbezeichnung klicken.Der Dialog zum Bearbeiten eines Internetdienstes präsentiert Ihnen drei Bereiche:Dienst-Netzwerkoptionen, Dienst-Programmoptionen und Dienst-Zugriffskontrolle.In den beiden erstgenannten Bereichen müssen Sie in der Regel keine Änderungenvornehmen. Weitaus interessanter sind die Funktionen der Zugriffskontrolle.Wenn Sie den Dienst nur für bestimmte Hosts freigeben wollen, aktivieren Sieunter Erlaube Zugriff von die Option Nur aufgelistete Hosts und geben in das darunterliegendeFeld die IP-Adressen der Hosts ein. Entsprechend gehen Sie vor,Webmin kompakt

386 Netzwerkeinstellungenwenn Sie bestimmte Systeme explizit aussperren wollen. Außerdem können Sie dieZugriffszeiten bestimmen. Diese müssen das Format Std.Std : MinMin - Std.Std :MinMin besitzen.Das Formular zum Bearbeiten eines Internetdienstes.Über die Dienstliste können Sie auch eigene Einträge erzeugen. Klicken Sie dazuauf Erzeuge einen neuen Internetdienst und füllen Sie das Dienstformular mit derDienstbezeichnung, der Adresse, dem Port etc. aus.Das Interessante an dieser Funktion: Am Fuße der Dienstliste finden Sie den ButtonStandardoptionen, über den Sie Ihre Vorgaben für alle Dienste definieren können.So können Sie beispielsweise bestimmten Hosts immer den Zugang verwehren.www.brain-media.de

VPN-Konfiguration 387In der xinetd-Modulkonfiguration finden Sie die Pfade zu den relevanten Dateien.Sie können über die Netzwerkkategorie übrigens auch den xinetd-Vorläufer inetdkonfigurieren. Verzichten Sie auf dessen Einsatz und verwenden Sie besser dieerweiterte Variante.29.3 VPN-KonfigurationÜber die Netzwerkkonfiguration lässt sich auch die OpenSwan-basierte VPN-Umgebung konfigurieren. Die VPN-Konfiguration erlaubt das Erstellen neuer unddas Bearbeiten bestehender Tunnel sowie das Bearbeiten der globalen Einstellungenund Richtlinien. Mit einer VPN-Lösung wie OpenSwan wird über das ansichunsichere Internet ein sicherer Verbindungskanal erzeugt, der von außen kaum zuknacken ist.Die umfangreichen VPN-Funktionen.Je nach Systemkonfiguration kommt Ihre VPN-Installation bereits mit verschiedenenvordefinierten Verbindungen daher. Wie Sie es von verschiedenen anderenServer-Modulen kennen, können Sie auch hier Vorgaben für alle VerbindungenWebmin kompakt

388 Netzwerkeinstellungendefinieren. Folgen Sie dazu dem Verweis Defaults for all connections. Um eineneue Verbindung zu definieren, klicken Sie auf Add a new IPsec VPN connection.Im Bereich Options and policies verwalten Sie insbesondere die öffentlichen undgeheimen Schlüssel sowie verschiedene Netzwerk-spezifische Einstellungen. DerenNutzung ist nur mit soliden OpenSwan-Kenntnissen möglich. Sie sollten sichdaher zunächst eingehend mit der Lösung auseinandersetzen.29.4 Kerberos-KonfigurationNichts für schwache Nerven ist die Handhabung von Kerberos. Das ist ein verteilterAuthentifizierungsdienst, der für offene und unsichere Computernetze entwickeltwurde. Der Dienst bietet Ihnen sichere und einheitliche Authentifizierung ineinem ungesicherten TCP/IP-Netzwerk auf sicheren Hostrechnern. Die Authentifizierungübernimmt eine vertrauenswürdige dritte Partei. Diese dritte Partei ist einbesonders geschützter Kerberos-5-Netzwerkdienst.Über die Kerberos-Konfiguration können Sie insbesondere die Einstellungen fürdie Protokolldateien und verschiedene allgemeine Einstellungen anpassen. Auchhier gilt: Wenn Sie sich für Kerberos interessieren, sollten Sie sich entsprechendeLiteratur zulegen. Das ist im Rahmen eines Buches wie dem vorliegenden leidernicht möglich. Dazu ist die Materie zu komplex.29.5 Linux-FirewallWenn Sie Ihr Webmin-System direkt mit dem Internet verbinden und dieses beispielsweiseals Gateway für das lokale Netzwerk dient, so sollten Sie sich unbedingtmit der Firewall-Funktion auseinandersetzen, denn sie hilft, Angreifer fernzuhalten.Seit Jahren verfügen Linux-Distributionen über mehrere Firewall-Lösungen. Aktuellfindet man im Kernel die IPTables-Implementierung, die als ausgesprochenrobust und solide gilt.In der IPTables-Terminologie spielen verschiedene Begriffe eine wichtige Rolle.Die Firewall besteht aus drei Objekten:• Tabellen (tables)• Ketten (chains)• Regeln (rules)www.brain-media.de

Linux-Firewall 389Die IPTables-Architektur gruppiert die Regeln für die Verarbeitung von Netzwerk-Paketen in drei Tabellen:• filter für Paketfilter• nat für Network Address Translation• mangle für PaketmanipulationenDiese Tabellen enthalten Ketten von Verarbeitungsregeln, die aus Mustern bestehen,die wiederum bestimmen, auf welche Pakete die Regel angewendet wird undZiele, die festlegen, was mit den Paketen passiert.Chains bestimmen also, wo geprüft wird, Pattern, welche Pakete betroffen sind undTargets, was mit diesen geschehen soll. Wichtig für das Verständnis des Systems:Die Filterregeln werden sequenziell bis zum ersten Treffer abgearbeitet.Die Konfiguration der Linux-Firewall.Das Linux-Firewall-Modul erlaubt Ihnen die Verwaltung von Regeln, Tabellen undKetten. Die Handhabung ist an sich recht einfach. Die Konfiguration kommt mitWebmin kompakt

390 Netzwerkeinstellungendrei vordefinierten Ketten daher, die sich um den eingehenden, den ausgehendenund den weitergeleiteten Traffic kümmern. Um eine neue Regel für eine dieserKetten zu erstellen, klicken Sie auf Add Rule. Natürlich können Sie auch eigeneKetten erstellen und diese dann mit Regeln füllen. Dazu geben Sie die gewünschteKettenbezeichnung im oberen Eingabefeld ein.Das Editieren einer Regel.Ein wesentliches Element von Regeln sind die durchzuführenden Aktionen. Siekönnen beispielsweise folgende Aktionen (Targets) definieren:• Accept: Das Paket wird akzeptiert.• Drop: Das Paket wird ohne Rückmeldung an den Sender verworfen.• Queue: Das Paket wird in eine Warteschlange im Userspace geschickt,sodass es von einem Benutzerprogramm bearbeitet werden kann.www.brain-media.de

Netzwerkkonfiguration 391Essenziell für die Effektivität der Firewall ist ein schlüssiges Konzept, wie Sie mitKetten, Tabellen und Regeln umgehen. Im Internet finden Sie ausreichend Materialfür die optimale Handhabung der Firewall-Funktionen.Hinweis:Nicht weiter eingehen können wir im Rahmen dieses Buchs auf die FunktionenNFS-Exporte und NIS-Client und -Server sowie die Shorewall-Firewall. Hier sei aufdie Buch-Site verwiesen.29.6 NetzwerkkonfigurationWie es sich für eine Netzwerkkategorie gehört, finden Sie dort auch eine Netzwerkkonfiguration.In selbiger finden Sie die Einstellungen für die Netzwerkschnittstellen,das Routing/Gateways, den DNS-Client sowie die Host-Adressen.Die Netzwerkkonfiguration von Webmin.Außerdem finden Sie auf der Netzwerkkonfigurationsübersicht den Button Konfigurationanwenden, mit dem Sie Ihre Änderungen übernehmen.Wenn Sie dem Verweis Netzwerkschnittstellen folgen, präsentiert Ihnen das zugehörigeFormular all die Schnittstellen, die aktuell aktiv sind und in einem zweitenBereich die, die beim Booten des Systems aktiviert werden. Zu jeder Schnittstellewerden die Bezeichnung, der Typ, die IP-Adresse, die Netzmaske und der Statusangezeigt.Webmin kompakt

392 NetzwerkeinstellungenDas Hinzufügen einer neuen Schnittstelle ist einfach: Folgen Sie einfach demgleichnamigen Link und bestimmen Sie die Parameter.Ähnlich einfach ist die Handhabung der Routing- und Gateway-Funktion. Hierpräsentiert Ihnen das Webmin-Modul die aktuellen Systemeinstellungen und erlaubtdas Bearbeiten und das Erzeugen neuer Routen.Die Routing- und Gateway-Konfiguration.Ähnlich einfach zu handhaben sind die Funktionen, die sich hinter den beidenLinks DNS-Client und Host-Adressen verbergen. Auf dem ersten können Sie verschiedeneClient-Optionen wie den Hostnamen und die Auflösungsreihenfolge, aufdem zweiten die IP-Adressen und Hostnamen des Systems bearbeiten.www.brain-media.de

PPP-Konfiguration 39329.7 PPP-KonfigurationAuch im DSL-Zeitalter dürfte es noch so manchen Anwender geben, der mit einemherkömmlichen Modem eine Internet-Verbindung herstellt. Über Webmin könnenSie die Einwahl und auch die Entgegennahme eines Anrufs konfigurieren. Dazusind die beiden Funktionen PPP Diaup Client und PPP Einwahl-Server relevant.Um die Verbindung zu einem Provider herzustellen, erzeugen Sie einen Telefonbucheintrag.Klicken Sie auf Add a new ISP Dialer Configuration und geben Sieim dazugehörigen Dialog die Standardinformationen wie Telefonnummer, Modem-Port, Log-in und Passwort an. Im unteren Bereich der Verbindungsübersicht könnenSie mit einem Klick auf Connect at boot with dafür sorgen, dass bei jedemSystemstart ein bestimmtes Profil angewählt wird.Wenn Ihr System als Einwahlrechner dienen soll, folgen Sie in der Netzwerkkonfigurationsübersichtdem Verweis PPP Einwahl-Server. Dort bestimmen Sie überSerial Port Configuration, welcher Port für die Einwahl verwendet werden darf.Damit sich Anwender von außen einwählen können, müssen Sie entsprechendeEinwahlkonten definieren. Außerdem können Sie die Anrufer-ID zur Identifizierungverwenden, wenn dieser von einem stationären Anschluss die Verbindungsaufnahmestartet.29.8 PPTP-KonfigurationDas Point-to-Point Tunneling Protocol (PPTP) ist ein weiteres Protokoll zum Aufbaueines Virtual Private Network (VPN). Es ermöglicht das Tunneling des PPPdurch ein IP-Netzwerk. Da es in der Windows-Welt eine feste Größe ist und war,wurde es auch für Linux implementiert. Über die beiden Links PPTP VPN Clientund PPTP VPN Server machen Sie Ihr System zu einem entsprechenden Clientbzw. Server.29.9 SSL-TunnelSchließlich ist über die Netzwerkkonfiguration die STunnel-Konfiguration verfügbar.STunnel (sprich: S-Tunnel) arbeitet typischerweise als SSL-Tunnel zwischeneinem Windows-Client und dem Server. Es ermöglicht auf einfache Weise verschlüsselteSitzungen. Mithilfe von STunnel lassen sich auch Clients wie z. B.Eudora oder Pegasus, die SSL nicht beherrschen, über verschlüsselte Verbindungenbetreiben.Webmin kompakt

394 Netzwerkeinstellungenwww.brain-media.de

CD-Brenner 39530 Hardware-KonfigurationWebmin taugt nicht nur zur Administration und Konfiguration verschiedensterServer und Netzwerkfunktionen, sondern auch zur Hardware-Konfiguration –wenngleich auch in überschaubarem Rahmen. Über die Hardware-Kategorie könnenSie beispielsweise Ihren CD-Brenner, den Drucker, die Festplatten und eventuellvorhandene RAID-Laufwerke konfigurieren.Die Hardware-spezifischen Einstellungen,die Sie über Webmin bearbeiten können.30.1 CD-BrennerEin Brenner gehört seit Langem zur Grundausstattung eines jeden Rechners. Überden Verweis CD-Brenner können Sie die sogenannten Brenn-Profile und einigeDateisystem- und Geräteoptionen bearbeiten. Hinter den Brenn-Profilen verbergensich typische Zusammenstellungen, die Sie auf ein Medium schreiben können. DieBrennfunktion unterstützt vier Profiltypen:• Einzelnes ISO-Image• Dateien und Verzeichnisse• Audio-Tracks• Kopiere CDWebmin kompakt

396 Hardware-KonfigurationDie Handhabung ist einfach: Bestimmen Sie den Typ und klicken Sie anschließendauf Neues Profil hinzufügen. Wenn Sie Audio-Daten auf CD schreiben wollen,muss das Tool mpg123 installiert sein. Beim Kopieren einer CD bestimmen SieQuell- und Ziellaufwerk und speichern das Profil bzw. speichern und brennen esdirekt. Auch das Brennen eines ISO-Images ist sehr einfach, denn dazu müssen Sielediglich eine Profilbezeichnung angeben und das Image auswählen.Am umfangreichsten sind die Funktionen für den Typ Dateien und Verzeichnisse.Weisen Sie dem Profil zunächst eine Bezeichnung zu und legen Sie dann fest,welche Dateien bzw. Verzeichnisse wo auf CD gesichert werden sollen. Wie Sie esvon K3b und anderer Brennsoftware kennen, können Sie den Schreibvorgang testenoder direkt durchführen.Nach dem Speichern eines Profils landet es in der Profilverwaltung. Das Schöne andieser: Sie können Profile einfach nochmals auf CD schreiben, auch wenn sichDaten in diesem geändert haben.Die Profiloptionen für den Typ Dateien und Verzeichnisse.Unterhalb der Profilfunktion können Sie die verschiedenen Dateisystemeinstellungenwie das Verfolgen von symbolischen Links aktivieren. Hier sind in der Regelkeine Anpassungen erforderlich. Wohl aber bei den Geräteoptionen. Hier wählenSie das zu verwendende Brennwerk aus und bestimmen die Schreibgeschwindig-www.brain-media.de

Druckerverwaltung 397keit. Da die Schreibgeschwindigkeit auf einfach eingestellt ist, sollten Sie diese aufden Wert hochsetzen, den Ihr Brenner unterstützt.30.2 DruckerverwaltungDie sicherlich wichtigste Hardware-spezifische Funktion ist die Druckerverwaltung.Dabei handelt es sich um Webmin-basierte Schnittstellen für das am meisteneingesetzte Drucksystem CUPS (Common Unix Printing System,http://www.cups.org). CUPS ist ein Drucksystem, genauer ein Daemon, der dasDrucken unter den verschiedenen UNIX-artigen Betriebssystemen ermöglicht. DasDrucksystem wurde von Easy Software Products (http://www.easysw.com) entwickeltund kann sowohl unter der GPL als auch unter proprietären Lizenzen verwendetwerden. Es ist der Nachfolger von älteren Drucksystemen, beispielsweisevon LPD.Die Installation eines Druckers.Webmin kompakt

398 Hardware-KonfigurationWelches Bild sich Ihnen beim ersten Zugriff auf das CUPS-Modul präsentiert, istabhängig von der jeweiligen Systemkonfiguration. Verfügt Ihr Linux-System bereitsüber einen Drucker, so finden Sie diesen in der Druckerverwaltung. Fallsnicht, können Sie einen ersten Drucker einrichten, indem Sie dem gleichnamigenLink folgen.Der Dialog Drucker installieren bzw. Drucker bearbeiten weist drei Bereiche auf:• Druckerkonfiguration: Hier hinterlegen Sie den Namen und eine Beschreibung.Außerdem können Sie festlegen, ob der Drucker Anfragenakzeptiert, ob er aktiviert wird und ob es sich um den Standarddrucker IhresSystems handeln soll.• Druckerziel: Hier bestimmen Sie, ob es sich um einen lokalen Anschluss,einen Netzwerkdrucker oder einen Windows-Drucker handelt. Gegebenenfallsgeben Sie die Netzwerkadresse und die Kennung samt Passwortan.• Druckertreiber: Im letzten Bereich bestimmen Sie den Treiber, der dasGerät ansteuert. In der Regel sind Sie mit dem CUPS-Treiber am bestenbedient. Hier finden Sie fast alle gängigen Modelle und können meistauch erweiterte Druckereinstellungen wie die Auflösung, den Speicheretc. definieren.Die Druckerverwaltung erlaubt außerdem das Anhalten bzw. Starten der Druckerwarteschlange.Halten Sie diese an, um beispielsweise temporär das Drucken übereinen Netzwerkdrucker zu stoppen.Die Druckerkonfiguration über die CUPS-eigene Schnittstelle.www.brain-media.de

Festplattenpartitionen 399Wenn Ihnen die Druckerkonfiguration über Webmin zu wenig flexibel ist, so könnenSie auch die CUPS-eigene Schnittstelle nutzen, auf die Sie mit einem Standard-Browserüber http://ip-adresse_des_systems:631 zugreifen. Über die Schnittstellesind alle wichtigen Druckkommandos, administrative Aufgaben und eineUnmenge an Anpassungsmöglichkeiten verfügbar.Die Modulkonfiguration für die Druckerverwaltung.Da Sie interessante Anpassungsmöglichkeiten bietet, werfen wir noch einen Blickauf die Modulkonfiguration. Sollten Sie ein alternatives Drucksystem anstelle vonCUPS verwenden wollen, so kann es vorkommen, dass dieses nicht korrekt von derDruckerverwaltung erkannt wird. In diesem Fall müssen Sie gegebenenfalls überdie Modulkonfiguration den Typ und den Treiber anpassen.30.3 FestplattenpartitionenIn der Hardware-Konfiguration findet sich auch der Partitionsmanager, der Ihnenbeim Zugriff einen Überblick zu verwendeten Festplatten und zu den eingerichtetenPartitionen bietet. Außerdem ist das Hinzufügen von primären und logischenPartitionen möglich.Webmin kompakt

400 Hardware-KonfigurationDer Partitionsmanager präsentiert Ihnen eineÜbersicht der eingerichteten Partitionen.Um die Details einer Partition abzurufen, klicken Sie auf die jeweilige Nummer.Wenn Sie eine primäre Partition hinzufügen wollen, klicken Sie auf den gleichnamigenLink, bezeichnen die Partition, bestimmen den Typ (z. B. Linux, NTFS oderFAT32) und weisen ihr eine bestimmte Größe zu. Fertig. Entsprechend gehen Siebei einer logischen Partition vor.Auch der Bootmanager GRUB lässt sichüber die Hardware-Kategorie nutzen.30.4 GRUB-BootmanagerIn der Hardware-Konfiguration finden Sie auch den Eintrag GRUB-Boot-Konfiguration. Damit ist die Konfiguration des Boot-Managers GRUB (GRandwww.brain-media.de

RAID-Geräte 401Unified Bootloader) möglich. Ein Bootmanager ist für das Starten des Rechnersverantwortlich. Er lädt insbesondere beim Startvorgang bestimmte Teile des Betriebssystems,meist einen Kernel.Für Linux gibt es verschiedene solcher Manager. Da GRUB deutlich flexibler istals der traditionelle Bootloader LILO (LInux-LOader) kommt er immer häufigerbei Linux-Distributionen zum Einsatz. Die GRUB-Übersicht präsentiert Ihnen – jenach Systemkonfiguration – die verfügbaren Boot-Optionen. In diesem Beispielsind es drei: SUSE Linux 10.1, Diskette und Failsafe-Variante.Die globalen Optionen für den Boot-Manager.Um eine neue Boot-Option zu stellen, klicken Sie auf den Verweis Eine neue Boot-Option hinzufügen. Zum Bearbeiten einer Option klicken Sie auf das jeweiligeIcon. Im Bearbeiten-Dialog können Sie erkennen, von welcher Partition das Betriebssystemgestartet wird, welches der Pfad zum Kernel ist und welche Kernel-Optionen verwendet werden. Außerdem können Sie den Passwortschutz für jedeBoot-Option aktivieren.In den globalen Boot-Optionen bestimmen Sie, welches System das Standardsystembeim Rechnerstart ist. Außerdem hinterlegen Sie hier das Boot-Passwort.30.5 RAID-GeräteMit RAID steht Ihnen eine spezielle Technik zur Verfügung, mit der Sie mehrerephysische Festplatten zu einem logischen Laufwerk zusammenfassen können, dasdann eine größere Speicherkapazität, eine höhere Datensicherheit bei Ausfall einzelnerFestplatten und/oder einen größeren Datendurchsatz als eine physische Plattehat. Über den Linux-RAID-Link können Sie entsprechend Geräte mit dem unter-Webmin kompakt

402 Hardware-Konfigurationschiedlichen RAID-Leveln erstellen. Webmin macht dabei Gebrauch von den ToolMADM. Die Funktion setzt voraus, dass Sie über freie Partitionen verfügen.30.6 SMART-FestplattenstatusEine weitere nützliche Informationsquelle für Ihre Festplatten ist das ToolSMART. Es kann den Status einer Festplatte samt unterschiedlichen Details zurGröße, Umdrehungszahl, Temperatur etc. liefern.Die SMARTsuite verrät Ihnen jede Menge Details zu Ihren Festplatten.30.7 SystemzeitÜber die Hardware-Kategorie können Sie auch die System- und Hardware-Zeitanpassen. Auch die Zeitzone können Sie ändern. Wenn Sie auf Ihrem System beispielsweiseeine Groupware-Lösung wie eGroupWare ausführen, sollten Sie einenZeitserver einbinden, von dem sich Ihr System kontinuierlich die Zeit holt.www.brain-media.de

Voicemail-Server und LVM 40330.8 Voicemail-Server und LVMSie können Ihren Rechner auch in einen Voicemail-Server verwandeln und dieLVM-Funktionalität über Webmin konfigurieren. Für den Aufbau eines digitalenAnrufbeantworters benötigen Sie das vgetty-Paket, das in der Regel erst nachinstalliertwerden muss.Ähnlich verhält es sich mit der LVM-Funktionalität. Auch hier müssen meist erstdie LVM-Tools installiert werden. LVM (Logical Volume Manager) dient dazu,Festplatten zu einem Pool zusammenzufassen, aus dem dynamisch Partitionen(Logical Volumes) angefordert werden können. Auf diesen Logical Volumes werdendie Dateisysteme angelegt.Das Erzeugen einer Laufwerksgruppe.Webmin kompakt

404 Hardware-Konfigurationwww.brain-media.de

40531 Cluster-KategorieMit Webmin lässt sich eine Vielzahl von Aktionen auf entfernten Rechnern durchführen.Für einen Administrator vereinfacht sich das Ganze natürlich erheblich,wenn er bestimmte Aufgaben nicht auf einem System, sondern an mehreren vornehmenkann – und zwar gleichzeitig. Genau für diesen Aufgabenbereich besitztWebmin die Kategorie Cluster.Mit dem „normalen“ Cluster-Begriff, der eine Rechnerfarm beschreibt, die dieKapazitäten der einzelnen Rechner bündelt, hat die Webmin-Cluster-Funktion ansich wenig zu tun. Webmin verwendet für die Steuerung ein eigenes Remote-Procedure-Call-Protokoll (RPC). Das Prinzip ist ansich recht einfach: Ein sogenannterMaster-Server kennt die Root-Passwörter der zu managenden Systeme,loggt sich automatisch ein und führt die gewünschten Aktionen aus. Es handeltsich um ein Webmin-spezifisches Protokoll, das meines Wissens nicht öffentlichdokumentiert ist.Die Funktionen der Cluster-Kategorie.Wofür kann man nun die Webmin-Cluster-Funktion konkret verwenden? Diesewahrlich berechtigte Frage beantwortet sich fast von alleine, wenn Sie einen Blickin die Cluster-Kategorie werfen. Sie können mit dieser Funktion beispielsweisezentral Benutzer und Gruppen verwalten, Aufträge starten, Passwörter ändern undsogar Software installieren. Sie sehen: Die Cluster-Funktion hält eine Vielzahlinteressanter Funktionen für Sie bereit.Webmin kompakt

406 Cluster-KategorieBevor Sie von Ihrem Webmin-System einen oder mehrere andere Rechner verwaltenkönnen, muss Ihre Installation diese kennen. Dazu wechseln Sie zunächst zumWebmin-Server-Index in der Webmin-Kategorie. Erzeugen Sie dort einen neuenServer-Eintrag und stellen Sie sicher, dass Sie dort den Benutzernamen und dasPasswort für die Anmeldung über Webmin angegeben haben. Achten Sie darauf,dass Sie auch tatsächlich einen Account angegeben haben, der administrativeRechte (meist als root oder admin) auf dem Remote-System besitzt. Nur so ist einEinloggen und anschließendes Bearbeiten der Einstellungen auf dem Remote-System möglich.Kehren Sie dann zur Cluster-Kategorie zurück. Als Nächstes können Sie sich beispielsweisean das Benutzermanagement oder die Software-Installation machen.Vielleicht sollte noch angemerkt werden, dass aufseiten der entfernten Systemeeine Webmin-Installation erforderlich ist. Leider können Sie mit der Cluster-Funktionalität keine Windows- oder Mac-Systeme verwalten – auch nicht, wenndort eine Webmin-Installation ausgeführt wird.Die Benutzer- und Gruppen-Verwaltung.31.1 Benutzer-/Gruppenmanagement im ClusterUm einen neuen Benutzer oder eine neue Benutzergruppe zu erzeugen, folgen Siedem Verweis Cluster – Benutzer und Gruppen. Das zugehörige Formular präsentiertIhnen die betreuten Server, stellt Ihnen eine Suchfunktion zur Verfügung underlaubt das Anlegen von Benutzern und Gruppen sowie das Synchronisieren.Beachten Sie, dass die Cluster-Benutzer- und -Gruppenfunktion voraussetzt, dassauf allen Systemen das gleiche Benutzerdateiformat verwendet wird. Da auf unter-www.brain-media.de

Benutzer-/Gruppenmanagement im Cluster 407schiedlichen Linux-Varianten auch verschiedene Passwortdateien verwendet werden,z. B. /etc/passwd, /etc/shadow etc., sollten Sie zunächst sicherstellen, dass alleSysteme ein einheitliches Format nutzen.Um einen neuen Benutzer anzulegen, gehen Sie wie folgt vor:1. Klicken Sie auf die Schaltfläche Benutzer hinzufügen. Es öffnet sichein umfangreiches Formular, auf dem Sie die Benutzerdetails, dieKennworteinstellungen, die Gruppenzugehörigkeit und weitere Optionendefinieren.2. Geben Sie unter Benutzerdetails den Benutzernamen an und sichernSie das Log-in durch ein Passwort – am besten mit der Option VorverschlüsseltesPasswort.3. Bestimmen Sie dann unter Kennworteinstellungen ein Ablaufdatumoder verwenden Sie eine maximale Anzahl an Tagen, die das Passwortgültig ist.Ein erster Cluster-Benutzer entsteht.Webmin kompakt

408 Cluster-Kategorie4. Im Bereich Gruppenzugehörigkeit weisen Sie den neuen Benutzerzumindest einer primären, eventuell auch weiteren sekundären Gruppezu.5. Im letzten Bereich unter Beim Erstellen können Sie außerdem dafürsorgen, dass ein Home-Verzeichnis erstellt wird, wenn es noch nichtexistiert. Standardmäßig werden auch die Dateien ins Stammverzeichniskopiert.6. Schließen Sie das Erstellen mit einem Klick auf Erstellen ab.Webmin gibt eine Statusmeldung bei der Durchführung der verschiedenenAktionen aus.Die Statusmeldung zum Erzeugen eines Cluster-Benutzers.Noch einfacher ist das Erstellen einer Gruppe. Klicken Sie in der Benutzer-/Gruppenübersicht auf die Schaltfläche Füge Gruppe hinzu. Geben Sie die Gruppenbezeichnung,das Kennwort, die ID und eventuell bereits erste Mitglieder an.Sie können die neue Gruppe auf allen Servern, auf solchen, die die Gruppe nochnicht besitzen und auf dem lokalen System einrichten.Die Gruppenfunktion stellt Ihnen über die Schaltfläche Synchronisieren eine flexibleFunktion zur Verfügung, über die Sie beispielsweise den Abgleich zwischenBenutzern und Gruppen auf den Systemen quasi per Knopfdruck durchführen können.www.brain-media.de

Kopierauftrag 409Der Abgleich von Benutzern und Gruppen über das Cluster hinweg.31.2 KopierauftragMit der Cluster-Funktion können Sie beliebige Dateien in Ihrem Rechner-Verbundverteilen. Folgen Sie dem Verweis Cluster – Dateien kopieren. Auf dem zugehörigenFormular erzeugen Sie einen neuen zeitgesteuerten Kopierauftrag. BestimmenSie die zu kopierenden Dateien und das Zielverzeichnis. Das Zielverzeichnis ist aufallen Servern identisch. Sie können dem Kopiervorgang außerdem Kommandosvor bzw. nach dessen Ausführung mit auf den Weg geben.Bestimmen Sie als Nächstes die Ziele. Sie können den Kopiervorgang auf alle undauf spezifische Gruppen anwenden.Den Kopiervorgang können Sie direkt oder aber auch per Zeitsteuerung zeitlichversetzt ausführen. Aktivieren Sie dazu unter Kopieren nach Zeitplan? die gewünschteOption. Wenn Sie sich für die Zeitsteuerung entscheiden, geben Sie imunteren Bereich den Zeitpunkt und eventuell die Wiederholung an. Um den Auftragzu speichern, klicken Sie auf Erstellen. Sie landen anschließend in der ListeWebmin kompakt

410 Cluster-Kategorieder Kopieraufträge, die über die Spalte Aktion die unmittelbare Ausführung erlaubt.31.3 Cron-AuftragDie Webmin-Cluster-Funktion erlaubt auch die Ausführung eines Cronjobs überdie zu verwaltenden Systeme hinweg. Auch bei dieser Funktion ist die Handhabungsimpel: Geben Sie an, wer den Auftrag ausführt, welcher Befehl ausgeführtund auf welche Systeme dieser angewendet werden soll. Auch hier können Siewieder den Zeitpunkt bestimmen.31.4 KommandozeileÜber den Verweis Kommandozeile ist auch die Ausführung von Befehlen auf Konsolenebenemöglich. Allerdings bietet die Funktion keine Interaktivität. Sie könnenlediglich Kommandos ausführen und die Ausgabe betrachten. Diese Funktionverfügt auch über eine History-Funktion, die die Wiederholung von Kommandosvereinfacht.31.5 Passwort ändernWie bereits erwähnt, erlaubt die Web-Cluster-Funktion auch das Ändern vonPasswörtern über die angeschlossenen Systeme hinweg. Folgen Sie dem VerweisCluster – Passwort ändern, wählen Sie den Benutzer aus und geben Sie im Folgedialogdas neue Passwort samt Bestätigung ein.Das Ändern des Passworts.www.brain-media.de

Software-Management 41131.6 Software-ManagementEine echte Arbeitserleichterung im ohnehin oft sehr stressigen Admin-Alltag ist dieSoftware-Managementfunktion der Cluster-Kategorie. Mit ihrer Hilfe können SieSoftware zentral installieren, ohne vor den entfernten Rechnern sitzen zu müssen.Einfacher geht es also kaum. Eine entsprechende Lösung in der Windows-Weltkostet richtig viel Geld. Bei Linux bekommen Sie sie wieder einmal zum Nulltarif.Die Software-Managementfunktion erlaubtdas zentrale Installieren von Paketen.Beim Zugriff auf einen Server, der sich in der Cluster-Verwaltung befindet, liestdie Managementkomponente zunächst von dem jeweiligen Rechner die installiertenPakete ein und präsentiert Ihnen deren Anzahl unterhalb des jeweiligen Rechner-Icons.Über die Schaltfläche Server vergleichen können Sie einen Vergleichder Software-Informationen durchführen. Die Vergleichsfunktion erlaubt die Auswahlder zu vergleichenden Server und die Beschränkung der Anzeige auf dieUnterschiede. Die Managementfunktion erlaubt außerdem die Suche nach Paketenauf den Rechnern.Webmin kompakt

412 Cluster-KategorieDie Handhabung der Installation entspricht ansonsten der Vorgehensweise, wie siein der System-Kategorie im Modul Software beschrieben ist.Der Paketvergleich zwischen mehreren Servern.31.7 Usermin-Server verwaltenDie Cluster-Funktion erlaubt auch die Verwaltung von bestehenden Usermin-Servern. Das setzt voraus, dass das Usermin-Modul installiert ist. Ist das der Fall,können Sie über die Usermin-Server-Verwaltung beispielsweise Module, Themes,Usermin-Benutzer und -Gruppen verwalten. Die Usermin-Server-Verwaltung stellteine gegenüber der Webmin-Server-Verwaltung abgespeckte Funktionalität zurVerfügung.31.8 Webmin-Server-VerwaltungVon Ihrem zentralen Webmin-Server aus können Sie auf den zu administrierendenServern eine Vielzahl an Anpassungen vornehmen. So können Sie beispielsweiseServer-übergreifend Themes installieren oder auch Benutzer einführen. Im Kopfbereichder Verwaltung präsentiert Ihnen die Cluster-Funktion alle bekanntenWebmin-Server.Darunter finden Sie die Einstellungen für die Konfiguration der Webmin-Benutzerund -Gruppen. Hier können Sie Benutzer sowie die ACLs für Benutzer und Gruppenbearbeiten. Über die entsprechenden Schaltflächen ist das Hinzufügen vonBenutzern und Gruppen möglich.www.brain-media.de

Heartbeat-Monitor 413Die zentrale Konfiguration der Webmin-Server-Einstellungen.Im Bereich Module und Designs ist die System-übergreifende Anpassung allerModule möglich. Wählen Sie dazu aus dem umfangreichen Auswahlmenü dasModul aus, dessen Eigenschaften Sie vorgeben wollen und klicken dann auf Modulbearbeiten. Passen Sie im Folgedialog beispielsweise die Installation, die Modulkonfigurationoder die ACL an.Unterhalb der Module- und Design-Einstellungen stehen Ihnen einfach zu handhabendeFunktionen für die Aktualisierung bzw. Erweiterung von Webmin zur Verfügung.31.9 Heartbeat-MonitorZwei weitere Funktionen hat die Cluster-Funktion noch zu bieten. Zum einen denHeartbeat-Monitor, zum anderen den so genannten Konfigurationsautomat. DerMonitor dient der Überwachung von Netzwerkverbindungen zwischen zwei odermehr Cluster-Knoten. Über deren Verbindung benachrichtigen sich die beidenClusternodes gegenseitig, ob ihr jeweiliges Gegenstück noch betriebsbereit ist undWebmin kompakt

414 Cluster-Kategorieseine Aufgaben noch erfüllen kann, also „am Leben“ ist. Daher auch der BegriffHeartbeat (Herzschlag). Um die Überwachung zu starten, klicken Sie auf dieSchaltfläche Start Heartbeat Monitor. Zuvor sollten Sie allerdings die Cluster-Ressourcen anmelden, damit der Monitor auch etwas zu überwachen hat.31.10 KonfigurationsautomatAls letzte Funktion hat die Cluster-Kategorie noch den Konfigurationsautomat zubieten. Dahinter verbergen sich die Funktionen der Cfengine, einer RichtlinienbasiertenComputer-Verwaltung. Sie stellt Ihnen eine automatisierte, gruppenrichtlinien-spezifischeKonfiguration und Wartung von Computern zur Verfügung.www.brain-media.de

Dateimanager 41532 SonstigesWir nähern uns mit großen Schritten den letzten Funktionen. In der KategorieSonstiges finden Sie all die Funktionen, die in den anderen Kategorien nichts zusuchen haben. Bei einer Standardinstallation sind es zehn Funktionen, die wir gegenSchluss noch im Schnelldurchlauf mitnehmen wollen.32.1 DateimanagerWenn Sie bei der Administration häufig mit Dateien hantieren müssen, so sind Siesicherlich für den Java-basierten Dateimanager dankbar, der Ihnen gerade auchbeim Remote-Zugriff die Durchführung typischer Dateiaktionen wie das Löschen,das Verschieben, das Kopieren etc. erlaubt.Der Java-basierte Datei-Manager.Da der Aufbau dem typischer Dateimanager entspricht, muss man zur Handhabungnicht unnötige Worte verlieren. Seine Funktionalität erklärt sich von selbst.Webmin kompakt

416 Sonstiges32.2 Passwortgeschützte Web-VerzeichnisseNeben dem Dateimanager dürfte die Funktion Passwort-geschützte Web-Verzeichnisse die zweitwichtigste sein. Sie erlaubt Ihnen, ohne mit dem Apachedirekt hantieren zu müssen, das Erstellen der Dateien .htaccess und .htpasswd, dieden Passwortschutz für ein Verzeichnis auf Ihrem Webserver erlauben. Im Formularzum Hinzufügen des Schutzes geben Sie den Pfad, die berechtigten Benutzersowie die Art des Passwortschutzes an.Die Konfiguration des Passwortschutzes für ein Web-Verzeichnis.32.3 System- und Server-StatusIn der Kategorie Sonstiges finden Sie auch die Statusfunktion, die Ihnen in einerübersichtlichen Tabelle anzeigt, welche Server aktuell aktiv sind. Ein Starten einesinaktiven Servers aus der Statusübersicht heraus ist leider nicht möglich.Sie können die Ansicht allerdings um alle auf Ihrem System verfügbaren Servererweitern. Wählen Sie dazu den Servertyp aus und klicken Sie auf die SchaltflächeFüge Überwachung hinzu.www.brain-media.de

Die weiteren Funktionen 417Der System- und Server-Status.32.4 Die weiteren FunktionenDie Kategorie Sonstiges hat noch einige weitere Funktionen zu bieten, die hierallerdings nicht weiter beschrieben werden. Alle weiteren Funktionen in Kürze:• HTTP-Tunnel-Konfiguration: Erlaubt die Konfiguration eines HTTP-Tunnels.• Eigene Befehle: Mithilfe der Funktion Eigene Befehle können Sie neueBefehle definieren. Die Kommandos werden von sh ausgeführt und könnendaher Shell-Metacharakter wie |, > und & beinhalten. Auch die Verwendungvon Parametern ist möglich, die von Ihnen vor der Ausführungabgefragt werden.• Kommandozeile: Erlaubt die Ausführung eines Kommandozeilenbefehls.Über die History-Funktion lassen sich Befehle bequem wiederholt ausführen.• PHP-Konfiguration: Zeigt Ihnen die Einstellung der PHP-Konfigurationan.• Perl-Module: Hier werden alle Perl-Module samt Kurzbeschreibung,Version und Installationsdatum aufgeführt.• SSH-/Telnet-Login: Eine weitere Java-basierte Funktion, die den SSHbzw.Telnet-Zugriff erlaubt.Webmin kompakt

418 Sonstiges• Upload und Download: Funktion, die das einfache Hoch- und Herunterladenvon Dateien auf den Server sowie den Download auf den PC erlaubt.www.brain-media.de

419IndexAACL ............................................. 79, 227ACL-Funktion ...................................368ACL-Typ ...........................................370Admin-Rechte ......................................15Alias...................................................196Anzeigeoptionen ................................104Apache ...............................................182Apache-Konfiguration .......................191Apache-Konfigurationsdateien ..........188Apache-Modul ...................................187Apache-Modulkonfiguration .............212Apache-Proxy-Konfiguration ............211Apache-Server-Konfiguration ...........182Apache-SSL-Modul ...........................202AT ......................................................131AT-Steuerung ....................................131Ausführungslevel ...............................113Authentifizierung ......................... 59, 375Authentifizierungsagent .....................301Authentifizierungstyp ........................208Automatische Abmeldung ...................61Automounter ......................................151BBack-up-Funktion ................................89Back-up-Konfiguration ......................119Back-up-Modul ..................................120Back-up-Optionen .............................117Bandbreitenmessung ..........................384Batch-Datei ..........................................96Bayesscher-Filter ...............................345Benutzer ...............................................51Benutzergruppen ................................317Benutzermanagement ........................406Benutzernamen .................................... 74Benutzer-Synchronisation ................... 80Benutzerverwaltung ............... 74, 94, 289Berechtigungen .................................... 79BIND ................................................. 215BIND-Modul ..................................... 225Blacklist ............................................. 345Boot-Konfiguration ........................... 111BOOTP .............................................. 239BOOTP-Client ................................... 240Boot-Vorgang .................................... 171Bootzeit ............................................. 175Browse-Liste ..................................... 326Brute-Force-Attacke ............................ 59CCache ................................................. 212Cache leeren ...................................... 380Cache-Einstellungen .......................... 365Cache-Manager-Statistik ................... 379Cache-Verzeichnis ..................... 360, 366Calamaris ........................................... 381CA-Zertifikat ....................................... 71CD-Brenner ....................................... 395CGI .................................................... 186CGI-Konfiguration ............................ 198CGI-Programm .......................... 195, 199CGI-Verzeichnis ................................ 198CIDR ................................................. 210Cluster ............................................... 405Cluster-Kategorie .............................. 405CRM-System ..................................... 182Cron-Auftrag ..................................... 410Cronjob ...................................... 127, 130crontab ............................................... 125Cron-Tabelle ...................................... 125CUPS ................................................. 397CUPS-Dienst ..................................... 170Webmin kompakt

420 IndexCUPS-Skript ......................................171DDateiberechtigung ..............................316Dateifreigabe .....................................315Dateimanager .....................................415Dateinamenkonventionen ..................319Dateisperrung ......................................69Dateisystem .......................................146Daten wiederherstellen ......................119Datenbank erzeugen...........................277Datenbank-Back-up ...........................296Datenbankberechtigungen .................290Datenbankverbindungen ....................274Datenbankverwaltungssystem ...........273Datenkompression .............................301Datensatztypen...................................220Datentypen .........................................278DCC ...................................................350DCC-Einstellungen ............................352Debug-Level-Nachrichten .................194Deinstallationsskript ............................29Delay-Pool .........................................376DHCP ................................................235DHCP-Client .....................................236DHCP-Server .....................................235DHCP-Servermodul ...........................246Digest-Funktion .................................269DNS-Schlüssel ...................................229Dokumenten-Root .............................194Druckerfreigabe ................. 315, 320, 331Druckerkonfiguration ........................398Druckertreiber ....................................398Druckerverwaltung ............................397Druckerziel ........................................398Druckjobs ............................................74Drucksystem ......................................170EEchtheitsbestätigung ..........................304Einschreibungsregeln .........................264E-Mail-Modifikationen ......................350Ereignisanzeige ................................... 83Ergebnisliste ........................................ 83ext3-Dateisystem ............................... 147FFancyIndexing ................................... 201Fehlerlevels ....................................... 193Festplattenpartition ............................ 399Fetchmail ........................................... 253Fetchmail-Konfiguration ........... 254, 255Fetchmail-Übersicht .......................... 254Filter .................................................. 203Freigabe ............................................. 314Freigabe erstellen .............................. 315Freigabeeinstellungen ........................ 321Freigabevorgaben .............................. 330GGoogle ............................................... 180GRUB ........................................ 111, 401GRUB-Bootmanager ......................... 400Gruppe anlegen.................................... 80Gruppenmanagement ......................... 406Gruppenverwaltung ....................... 74, 94HHardlimit ........................................... 123Hardware-Konfiguration ................... 395Header-Analyse ................................. 345Header-Zugriffskontrolle ................... 378Heartbeat-Monitor ............................. 413Herunterfahren................................... 169Herunterfahren-Kommando ............... 176Home-Verzeichnis-Optionen ............. 102Host-Rechte ....................................... 291htaccess ............................................. 206HTTP-Header .................................... 186www.brain-media.de

421IINCLUDES-Filter .............................204IndexOptions .....................................201Indexseitenoptionen .............................55inittab-Datei .......................................112InnoDB ..............................................280Internetdienste ...................................385IP-basierter virtueller Server ..............190IPTables .............................................388ISAM .................................................280JJetzt-sichern-Bericht ..........................119KKennworteinstellungen ........................92Kennwort-Konfiguration .....................92Kerberos-Konfiguration .....................388KEY-Resource-Record ......................222Klartextpasswort ..................................92Klon-Funktion .....................................52Konfigurationsautomat ......................414Konfigurationsdatei .............................39Kopierauftrag .....................................409Kündigungsregeln ..............................265LLAMP ................................................273LanManager .......................................313Laufende Prozesse .............................133Lease-Einstellung ..............................241LILO .......................................... 111, 401Linux-Firewall ...................................388Listenteilnehmer ................................268Logical Volume Manager ..................403Log-in-Dialog ......................................61LVM ..................................................403MMailingliste........................................ 263Mailman ............................................ 259Majorcool .......................................... 259Majordomo ........................................ 259man-Befehl ........................................ 179Manpage ............................................ 179Master-Boot-Record .......................... 111Master-Server .................................... 217Master-Zone ...................................... 216Master-Zone-Eintrag ......................... 219MBR .................................................. 111Medientyp.......................................... 184Merge ................................................ 280MIME-Typ ........................................ 184Mitgliederliste ................................... 262Moderationsregel ............................... 264Moderator .......................................... 261Modul klonen ...................................... 52Modulberechtigungen .......................... 76Modul-Konfiguration .......................... 40Modultitel ............................................ 64Modulübersicht .................................. 190Modulverwaltung ................................ 50Modulzugriff ....................................... 68Mountpoint ........................................ 145MX-Record ........................................ 220MyISAM ........................................... 280MySQL .............................................. 181MySQL-Benutzer .............................. 289MySQL-Einstellungen ....................... 286MySQL-Server-Konfiguration .......... 293MySQL-Systemvariablen .................. 295NNamenbasierter Server ...................... 190Nameserver ........................................ 223NetBIOS ............................................ 313Netzwerkeinstellungen ...................... 383Netzwerkkonfiguration ...................... 391NIS-Server ......................................... 245NTP-Server ........................................ 245Webmin kompakt

422 IndexOOpenSSH ...........................................299OpenSSH-Konfigurationsdateien ......311OpenSSH-Server ...............................301OpenSSL .............................................31OpenSSL-Komponente ......................202OpenSwan..........................................387Ortsangabe .........................................222OSDN ..................................................48PPAM ....................................................62PAM-Authentifizierung .......................89PAM-Konfiguration ...........................156Partitionsmanager ..............................399Passwort-Checker ..............................108Passwort-Einstellungen .............. 107, 326Passwortgeschützte Web-Verzeichnisse......................................................416Passwortschutz...................................208Passwort-Server .................................326PEM .....................................................71Per-Directory-Einstellung .......... 186, 199Perl-SSLeay-Bibliothek .......................18PHP-Einstellung ................................203phpMyAdmin ............................ 181, 273Port-Umleitung ..................................379Port-Weiterleitung ..................... 236, 301PPP-Konfiguration .............................393PPTP-Konfiguration ..........................393Primärschlüssel ..................................281Primary DNS Server ..........................223Procmail .............................................346Protokolldateien ........................... 89, 168Protokolleinstellungen .......................192Protokollierungskategorie ..................227Protokoll-Server.................................244Proxy-Request ...................................368Proxy-Server ................ 47, 187, 206, 210Prozessdetails ....................................135Prozess-ID, ........................................134Prozessverwaltung .............................133Pyzor .......................................... 351, 353RRAID-Geräte ..................................... 401Razor ................................................. 350RBAC .................................................. 81Redirector .......................................... 358Refresh-Regeln .................................. 378Replikationssystem ............................ 273Restore-Modul ................................... 120Reverse-Adresse ................................ 222rlogin ................................................. 299rndc .................................................... 230Roaming-Profil .................................. 339Rootserver ......................................... 216RPC ................................................... 405RPC-Protokoll ..................................... 84RPM ............................................ 50, 163RPM-Manager ................................... 164RP-Record ......................................... 222Runlevel .................................... 112, 176SSamba ................................................ 313Samba Web Administration Tool ...... 334Samba-Konfigurationsdatei ............... 332Samba-Modul ...................................... 78Samba-Modulberechtigung ................. 78Samba-Zugriffskontrolle ..................... 78Schlüsselgröße ..................................... 71SCP .................................................... 305Secondary Nameserver ...................... 223SELECT ............................................ 283Sender Permitted Form ...................... 221Sendmail ............................................ 270Server hinzufügen ................................ 84Server-Message-Block-Protokoll ...... 313Servername ........................................ 323Server-Prozess ..................................... 15Server-Side-Includes ......................... 195Server-Status ..................................... 416Server-zu-Server-Verbindungen .......... 85Session-Authentifizierung ................... 69Session-ID ........................................... 81Sessions einsehen .............................. 316www.brain-media.de

423SFTP ..................................................305Share ..................................................314Sicherheitsdienste ................................89Sitzungen .............................................81Slave-Zone .........................................223SMART-Festplattenstatus ..................402SMB...................................................313SMB-Client........................................313smbfs-Dateisystem .............................152SMTP-Headerzeile ............................269Softlimit .............................................123Software-Management .......................411SourceForge .........................................47Spam ..................................................345SpamAssassin-Modulkonfiguration ...355Spam-Filter ........................................346Spam-Klassifizierung ........................349SQL-Kommandos ausführen .............282Squid ..................................................211Squid-Hilfsprogramme ......................367Squid-Konfiguration ..........................375Squid-Modulkonfiguration ................380Squid-Protokollierungsfunktion .........363Squid-Zugriffskontrolle .....................367SSH ....................................................417SSH-Client ................................. 305, 309SSH-Schlüssel ...................................311SSL ........................................ 18, 70, 201SSL-Encryption-Modul .......................33SSL-Funktionalität ...............................70SSL-Port ............................................202SSL-Tunnel........................................393Standardfreigabe ................................323Standardmodule ...................................51Stapelverarbeitungsdatei ......................98strftime .................................................41STunnel .............................................393Suchfunktion ......................................137SWAT ................................................334Syslog-NG .........................................167System-Handbücher ...........................179Systemkonfiguration ..........................108System-Status ....................................416Systemzeit..........................................402TTabellenrechte ................................... 292TAR-Dateisystemsicherungsdetails ... 116telnet .................................................. 299Telnet................................................. 417Textanalyse ........................................ 345TSIG .................................................. 245TTL ................................................... 218Typenbezeichung ............................... 185Typenbreite ........................................ 280UUmleitung .......................................... 197Unix-Benutzer-Authentifizierung ........ 81Usermin-Server verwalten ................. 412VVerisign ............................................. 202Verzeichnisindizierung ...................... 200Vipuls Razor ...................................... 345virtueller Server ................................. 183Voicemail-Server ............................... 403Vorverschlüsseltes Kennwort .............. 92VPN-Konfiguration ........................... 387WWAMP .............................................. 273WBM-Datei ......................................... 50Webmin aktualisieren .......................... 56Webmin-Add-ons ................................ 15Webmin-Administrator ........................ 15Webmin-Aktualisierung ...................... 57Webmin-Benutzerschnittstelle ............. 49Webmin-Benutzerverwaltung .............. 73Webmin-Homepage. ............................ 25Webmin-Installation ...................... 16, 57Webmin-Installationsskript ........... 18, 44Webmin-Kategorie ........................ 26, 83Webmin kompakt

424 IndexWebmin-Konfiguration ............ 31, 64, 82Webmin-Konfigurationsverzeichnis ....29Webmin-Log-in ...................................25Webmin-Logo ......................................25Webmin-Modul ....................... 26, 27, 28Webmin-Modul-Übersicht ...................36Webmin-Port .......................................44Webmin-Protokollfunktion ..................45Webmin-Prozessmanager ..................133Webmin-Schnittstelle ..........................36Webmin-Server ....................................18Webmin-Server-Farm ..........................85Webmin-Server-Index .........................83Webmin-Server-Sicherheit ..................30Webmin-Server-Verwaltung ..............412Webmin-Themes .................................65Webmin-User ......................................15Webmin-Webserver ....................... 17, 43Weiterleitung .....................................228Wemin-Konfigurationsmodul ..............43Winbind .............................................329Windows-zu-Unix-Druckereinstellungen......................................................327WinSCP .............................................305WINS-Server .....................................323WKS-Record ..................................... 222XX11-Weiterleitung ............................. 300XAMPP ............................................. 273XDM-Server ...................................... 245ZZeichensatzunterstützung .................. 205Zeit-Server ......................................... 244Zertifikatautorität ................................. 70Zonenstandards .................................. 229Zonenvorlage ..................................... 218Zugriffskontrolle ......... 52, 210, 267, 316Zugriffskontrollliste ............................. 51Zugriffsroutine................................... 145Zugriffssteuerung .............................. 227Zwischenspeicher .............................. 294Zwischenspeicherung ........................ 212www.brain-media.de