Administration
Total Page:16
File Type:pdf, Size:1020Kb
KOMPAKT Mit DVD ADMINISTRATION Ein Sonderheft des Magazins für professionelle Informationstechnik, www.ix.de 3/2014 Auf der Heft-DVD Fertige VMs zum Open Source Ausprobieren: Debian mit Baculaˇ7, CentOS mit Icingaˇ2 und Icinga Webˇ2, UCS 3.2-2 (25 User) im Einsatz Software, Tools, Doku: FreeNAS 9.2.1.5, nützliche Administrations-Helferlein für Linux, MacˇOSˇX und Windows, Kerberos-Key- Systemkonfiguration: Management, Netz- Tools, RFCs u.ˇv.ˇa.ˇm. Backup mit Bacula 7 Do-it-yourself-NAS Sicherheit: Compliance-Management mit OpenSCAP SELinux und Grsecurity effektiv nutzen Netzwerk: Traffic-Analyse mit Wireshark WLAN mit RADIUS Monitoring: Nagios und Icinga 2 Logdatenanalyse Linux-AD-Integration: FreeIPA-Tutorial Kerberos – Tools und Tipps Cloud-Tutorial: Mit OpenStack zur eigenen Private Cloud EDITORIAL Cat-Content satt ach landläufiger Meinung soll beim sogenannten Cat- Ein aktuelles Beispiel hierfür ist OpenStack. Das ursprünglich N Content angeblich kein Sysadmin widerstehen können von der NASA und der amerikanischen Rackspace Inc. initiier- – egal ob Cat-5e oder lebende Miezekätzchen. Wäh- te Projekt hat sich mit mittlerweile rund 200 unterstützenden rend sich Letztere in diesem iX-Kompakt zu Administration Firmen zum Quasi-Standard für offene Cloud-Angebote ge- mit Open-Source-Tools als Aufmacherbilder tummeln, spie- mausert. Allein die Liste der Gold- und Platin-Mitglieder liest len Cat-x-Kabel als Transportmedium im Tagesgeschäft der sich wie das Who-is-Who der IT-Branche. Dabei setzen pro- IT eine tragende Rolle. Sie sind quasi die Nervenenden des duktseitig nicht nur die „üblichen Verdächtigen“ wie Red Hat, globalen Rückgrats Internet, über das Anwender und Anwen- SUSE oder Canonical auf OpenStack, auch HP und IBM haben dungen Daten austauschen. darauf basierende Cloud-Angebote im Portfolio. Apropos: Ein dreiteiliges Tutorial in diesem Heft zeigt Schritt für Schritt, Im Internet funktionierten von Anfang an große Teile der wie sich das aktuelle OpenStack „Icehouse“ im eigenen Um- In frastruktur mit Open-Source-Betriebssystemen und -Pro- feld einsetzen lässt. grammen – etwa Linux oder der Webserver Apache. In anderen Bereichen war freie Software zunächst überwiegend technik - Aber nicht nur bei den Infrastrukturkomponenten kann Open affinen und experimentierfreudigen Naturen vorbehalten. Source punkten, auch beim Administrieren und Steuern der zu- gehörigen Systeme existieren neben dem breiten Strauß kom- Doch inzwischen hat das dahinter stehende Entwicklungsmo- merzieller Pakete leistungsfähige freie Alternativen. Letztlich dell große Verbreitung und Akzeptanz gefunden. Selbst klas- kommen vor allem in komplexen Umgebungen die IT-Verant- sische IT-Unternehmen wie HP, IBM und Co. setzen für ihre wortlichen nicht ohne effiziente Werkzeuge für die Systemver- Angebote teilweise – Tendenz steigend – auf freie Kompo- waltung aus. Hier kann die Community ein vielfältiges Ange- nenten. Die wiederum müssen in vielen Bereichen den Leis- bot vorweisen. Gerade im Bereich Monitoring setzt man tungsvergleich mit ihren kommerziellen Gegenstücken nicht derzeit quasi die Standards dessen, was machbar ist. scheuen, laufen ihnen zum Teil sogar den Rang ab. Jedoch fordert die Komplexität der Anwendungen ihren Tribut: Die gängige Vorstellung, Open-Source-Software koste ja nichts, stimmt nur bedingt. Zwar fallen keine Lizenzkosten an, aber für einen wirkungsvollen Einsatz muss man entweder in das Know-how seiner Mitarbeiter investieren oder externes Wissen von Dienstleistern einkaufen. Der Gewinn, der in je- dem Fall bleibt, ist die Offenheit der eingesetzten Tools. ANDRÉ VON RAISON iX Kompakt 2014 – Open-Source-Administration 3 INHALT | IX KOMPAKT Eine Frage der richtigen Überwachung Wem seine IT am Herzen liegt, der kümmert sich nicht erst bei Fehlern um das Wohlbefinden der Systeme. Die Open-Source-Pakete Nagios und das daraus entstandene Icinga sind heute die verbreitetsten Anwendungen für das Monitoring. Wie man mit diesen und weiteren Tools seine Um - gebung automatisch erfasst sowie sie sicher im Auge behält ab Seite 81 Sicherheit Wiederverwendung Ältere Hardware mit FreeNAS weiternutzen 72 Betriebssystem-Security Softwareverteilung Grsecurity für das Härten von Linux-Systemen 8 Linux-Clients per m23 zentral verwalten 76 Compliance-Management Systemüberprüfungen mit OpenSCAP 16 Monitoring SELinux-Tutorial Mandatory Access Control auf Linux-Systemen 24, 28 Security Best Practises für sichere Monitoring-Systeme 82 Identitätsmanagement Inventarisierung Octopussy für die automatische Bestandserfassung 90 FreeIPA-Tutorial Werkzeuge Linux- und Windows-Welt mit dem freien Identity-Management-Framework verbinden 34, 40, 46 Systemüberwachung mit Icinga 2 96 Single Sign-on Linux-Tools Mehrfaktor-Authentifizierung durch Kerberos 52 Systemaktivität überwachen 105 Active-Directory-Tools Log-Management Kerberos-Keytab-Management mit msktutil 58 Ein integriertes Monitoring-System mit Logstash 106 Systemüberwachung Systemkonfiguration Mit Octopussy Logdateien zentral verwalten 112 AD-Integration Netzwerk Mit Linux via SSSD ins Active Directory 62 Backup DDoS-Abwehr Daten sichern mit Bacula 7 67 Offene DNS-Server als Waffe im DDoS-Angriff 118 4 iX Kompakt 2014 – Open-Source-Administration Wer ist wer Früher oder später stellt sich in gemischten Umgebungen die Frage, wie man die Benutzerverwaltung von unixoiden und Windows-Systemen unter einen Hut bekommt. Für das Themenfeld Identity- Management bietet die Open-Source-Community leistungsfähige Alternativen. ab Seite 33 Cloud und mehr Im Open-Source-Cloud-Umfeld hat sich das Projekt OpenStack mittlerweile zum De-facto-Standard ent - wickelt – die Zahl von über 200 unterstützenden Unter- nehmen spricht für sich. Ein Tutorial beschreibt Schritt für Schritt den Weg zur eigenen „Private Cloud“. Auf der Heft-DVD ab Seite 135 Software zum Heft: Bacula 7.0.3, FreeNAS 9.2.1.5, Kerberos-Tools (kstart 4.1, msktutil 0.5.1, realmd 0.14.5, SSSD 1.11.5.1), Logstash (Elasticsearch 1.1.1, Kibana 3.0.1, Redis 2.8.9), Octopussy 1.0.14, OpenSSL 1.0.1g (Windows), Administrations-Tools WinSCP 5.3.3, Wireshark 1.10.7, Netzproblemen per Wireshark Zenmap 6.46 auf die Spur kommen 120 Weitere Tools: 7-Zip, dd_rescue 1.40, Sicheres Linux dd_rhelp 0.1.2, EtherAPE 0.9.13, Iperf 2.0.5/3.0, Mandatory Access Control für IP-Pakete 124 liboping 1.6.2, Ncat 6.46, Ndisc6 0.7.1, Netperf 2.6.0, Nmap 6.46, Nping 0.6.46, OpenVPN 2.3.3, OpenVPN GUI 1.0.3, Zugriffskontrolle p7zip 9.20.1, Putty, tinc 1.0.24, Tunnelblick 3.1.7 Port-based 802.1x-Authentifizierung mit RADIUS 128 Dokumentation: M23-Handbuch, OpenLDAP Admin Guide, Wireshark User Guide, über 350 RFCs Virtualisierung und Cloud Fertige VMs zum Ausprobieren: •ˇDebian-Wheezy mit Baculaˇ7 OpenStack-Tutorial •ˇCentOS 6.5 mit Icingaˇ2 und Icinga Webˇ2 Grundstein für die eigene „Private Cloud“ 136, 142, 148 •ˇUnivention Corporate Server 3.2-2 (25 User) Linux-Container Hinweis für Käufer der digitalen Ausgaben Mit Docker Anwendungen virtualisieren 155 • PDF- und iPad-Version: In der iX-App finden Sie einen Button zum Open-Source-Tools Download des DVD-Images. MCollective und Rundeck für das zentrale • PDF-E-Book: Folgen Sie im Browser der unter „Alle Links“ angegebenen Administrieren virtueller Maschinen 159 URL zum DVD-Image. Alle Links: www.ix.de/ix1416004 Sonstiges Artikel mit Verweisen ins Web Editorial 3 Alle Links: www.ix.de/ix1416SSS enthalten am Ende einen Hinweis iX Impressum 6 darauf, dass diese Webadressen auf dem Server der abrufbar sind. Dazu gibt man den iX-Link in der URL-Zeile des Browsers ein. Dann Inserentenverzeichnis 6 kann man auch die längsten Links bequem mit einem Klick ansteuern. Alternativ steht oben rechts auf der iX-Homepage ein Eingabefeld Informationen zur UCS-Demo-Appliance 6 zur Verfügung. iX Kompakt 2014 – Open-Source-Administration 5 SERVICE | IMPRESSUM/INSERENTEN MAGAZIN FÜR PROFESSIONELLE INFORMATIONSTECHNIK Demo-Appliance mit iX Kompakt 3/2014 – Administration Univention Corporate Server Postfach 61 04 07, 30604 Hannover; Karl-Wiechert-Allee 10, 30625 Hannover Die Heft-DVD enthält eine vorinstallierte und -konfigurierte virtuelle Redaktion: Telefon: 05 11/53 52-387, Fax: 05 11/53 52-361, E-Mail: [email protected] Appliance mit dem Univention Corporate Server (UCS) in der Version 3.2-2. Sie umfasst eine bis 30.6.2015 gültige Lizenz für bis zu 25 Be- Chefredakteur: Jürgen Seeger (js) -386 nutzer für Testzwecke und den Einsatz im privaten, nicht kommer- Konzeption und redaktionelle Leitung: André von Raison (avr) -377, E-Mail: [email protected] ziellen Bereich. Mit der Appliance lassen sich komplexe Serverstruk- turen mit Master-, Slave- und Backup-Servern aufsetzen, Nutzer und Ständige Mitarbeiterin: Barbara Lange Gruppenberechtigungen anlegen sowie zusätzliche Enterprise-Apps Autoren dieser Ausgabe: Christoph Arnold, Christian Berendt, Peter Fetzer, installieren und verwalten. Oliver B. Fischer, Alexandros Gougousoudis, Safuat Hamdy, Peer Heinlein, Patrick Preuß, Mark Pröhl, André von Raison, Michael Riepe, Thorsten Scherf, Andreas Schmidt, Norbert Tretkowski, Tilman Wittenhorst, Erkan Yanar Die virtuelle Appliance ist auf „Bridge Mode“ eingestellt, sodass das Abbildungen © Can Stock Photo Inc.: Siberia (Titel, DVD, DVD-Hülle), fikmik (S.ˇ4, 33), UCS-System über das lokale Netzwerk erreichbar ist. Nach dem Ent- Kirill (S.ˇ4, 81), myrainjom01 (S.ˇ4), taden (S.ˇ4, 135), vladstar (S.ˇ7), cfoto (S.ˇ8), cynoclub packen des VMware-Images, Laden der vmx-Datei in den VMware (S.ˇ16, 72), ESIGHT (S.ˇ24), jgroup (S.ˇ28), andreykuzmin (S.ˇ34, 40, 46) 2002Lubava1981 (S.ˇ52), Player