ConfigWiki - Benutzerbeiträge [de]

Hauptseite

2026-04-10T17:25:07Z

Netbreaker:

'''[[:Category:Administration|Administration]]''' 

'''[[:Category:Anwendungen|Anwendungen]]''' 

'''[[Hardware|Hardware]]''' 

'''[[:Category:Programmierung|Programmierung]]''' 

'''[[:Category:ERP/CRM-Systeme|ERP/CRM-Systeme]]''' 

'''[[:Category:LDAP|LDAP]]''' 

'''[[:Category:Plattformen|Plattformen]]''' 

'''[[:Category:Datenbanken|Datenbanken]]''' 

'''[[:Category:Telekommunikation|Telekommunikation]]''' 

====[[Firefox]]====

===Domains/DNS===

* [[whois]]
* [[Domainregistrierung bei Dopoly]]
* [[DNS-Zonen einrichten]]
* [[Strato-DynDNS]]

===Drucksysteme===
* [[CUPS]]

===Fernwartung===

====[[SSH]]====

====[[RSSH]]====

====VNC====

====[[TeamViewer]]====

===Googleapplikationen===

====[[GoogleEarth]]====

===Hardware===

====[[Luefter]]====

===LDAP===
* [[LDAP]]-Grundlagen, Server- und Clientkonfiguration

====[[PAM-LDAP]]====
* LDAP als Authentication-Backend für PAM (login, ssh, ftp usw.)

====[[NSS-LDAP]]====
* LDAP als Informationsquelle für NSS

====SASL====
* SASL (Postfix, Cyrus)

====direkte LDAP-Authentifizierung====
* direktes LDAP_Auth bei Apache, Samba, FTP

====Webapplikationen====
* PHP-LDAP

====LDAP als Datenquelle für weitere Dienste====
* Adressbücher
* DNS

====Konfiguration====
[[ OLC ]]

====LDAP replizieren ====
[[ LDAP Replikation ]]

===Linux===

====Server-Installation====
[[Debian Lenny]] | [[Hetzner installimage]] | [[RAID+LVM]]

====Paketquellen====
* [[zusätzliche Quellen für Debian]]
* [[zusätzliche Quellen für Ubuntu]]
* [[GPG-Fehler]]

====Rettungssysteme====
* [[Arbeiten im Rescuesystem]]

====Netzwerkkonfiguration====
* [[Interfacekonfiguration im laufenden Betrieb]]
* [[zusätzliche IP-Adressen]]
* [[Bridging]]

====Firewallkonfiguration====
* [[ferm]]

====Backup====
* tar, dd (+netcat), [http://www.partimage.org/Main_Page partimage]
* rsync
* rsyncbackup [http://www.howtoforge.de/howto/regelmasige-backups-mit-rsyncbackup-auf-debian-etch/ HowtoForge]
* [[rsnapshot]]
* rdiff-backup
* [[backupninja]]
* [[automysqlbackup]]
* BackupPC: [http://www.pro-linux.de/artikel/2/1183/backuppc-als-backupserver-im-heimnetzwerk.html pro-linux-Beitrag] | [http://www.howtoforge.de/howto/sichern-von-linux-und-windows-systemen-mit-backuppc/ Howto deutsch]
* [http://www.amanda.org/ Amanda]
* [http://de.wikipedia.org/wiki/Bacula Bacula]
* [http://www.sysresccd.org/Hauptseite SystemRescueCD]
* [[Backup einer Linux-VM unter Windows]]

====Socks====
* [[SOCKS4-Server]]
* [[tsocks]]
* [[socksifizierte Clients]]

====Systemwartung====
* [[Festplattenaustausch (RAID)]]

====Grafische Oberfläche====
* [[Klassische Adressleiste im Gnome-Nautilus]]
* [[remote-X]]

===Mailserver===

====Postfix====

====Cyrus====

====[[MS Exchange]]====

====Sieve====

====Webmailer====

===[[:Category:Programmierung]]===
====[[:Category:BASH]]====

====IDEs====
* [[Eclipse]]

====[[Perl]]====

====[[PHP]]====

====[[XUL]]====

===Router===
* Ports: [http://www.iana.org/assignments/port-numbers offizielle IANA Port Nummern]

====[[FritzBox]]====

====LinkSys====

=====[[DD-WRT als Firmware]]=====

=====[[VPN-Firmware für Linksys WRT54GL]]=====

====[[ipCop]]====

====pfSense====

=====[[pfSense als load balancer (Multi-WAN Version 1.2.x)]]=====
=====[[pfSense mit DMZ und ADSL Modem an red ]]=====
=====[[diverse Probleme und Lösungen]]=====

====SmoothWall====

====DSL-Konfiguration====
* [[Vodafone]]

===Samba===
* PDC
* [[SMB-LDAP]]
* [[Windows7-Domain-Logons]]
* WebAdminInterface

===Security Systeme===

====Panda-Security====
* [[Panda-Security Partnerkonsole]]

====[[Sophos]]====

===Synchronisation===
* Framework für Kontakte, Aufgaben, Kalendereinträge:
** Serverbackends
** Protokolle (SyncML, *DAV, ...)
** Clients (Thunderbird, Webclient, verschiedene Handys)
** Gruppenfähigkeit?

* Akonadi
* OpenSync

===Thunderbird===
*[[Profile verwalten]]

===Verschlüsselung===

* SSH
* SSL
* HTTPS-Proxy
* [[OpenVPN]]
* GPG
* [[s-Protokolle]] [http|pop|imap]s
* [[X.509 Zertifikate]]

===Virtualisierung===

* [[Allgemeines]]
* [[KVM]]
* [[VirtualBox]]
* [[VMware]]
* [[VServer]]
* [[Xen]]

===Webapplikationen===

====CMS====
* [[TYPO3]]
* [[Joomla]]
* WordPress
* Drupal
* Django
* [http://www.pragmamx.org/ PragmaMX] (mal anschauen)

====Groupware====
* eGroupware

====Webshops====
* osCommerce
* xtCommerce
* JTL
* ITIS
* Magento

====Wikis====
* [[MediaWiki]]

===Webserver===
* [[apache]]
* Zugriffsstatistiken mit dem [[webalizer]]

===Windows===
* [[SBS2003 Recovery von NT-Backup]]
* [[SBS2008]]
* [[SBS2011]]
* [[Server 2008R2]]
* [[Windows 7/8]]
* [[Systemeinstellungen]]
* [[WebDAV]]
* [[Batch-Dateien]]
* [[DPMAdirekt]]
* [[Laufwerke ausblenden unter Windows 7]]
* [[MS Office 2007]]
* [[MS Visio 2002]]
* [[MS Outlook Allgemein]]
* [[Office Ressource Kit]]
* [[Servergespeicherte Profile]]
* [[Windows-Tools]]
* [[Netzwerkverbindungsprobleme unter win7]]
* [[ipconfig /release und ipconfig /renew und/oder einstellen einer festen IP schlagen fehl]]
* [[0x80070035 Netzlaufwerk / Freigabe]]
* [[ScanSnap Manager S500 / S510 / fi-510E0X2 / fi-510E0X2]]
* [[Symantec Backup Exec]]
* [[TK-Anlagen-Software]]
* [[Profil Umzug/Kopie/Vorlage für Win7]]
* [[Epoline / Umzug Server & Client in neues IP Netz]]
* [[DNS-Probleme beim SBS]]

===Zertifikate===
* [[Certificate Authority]] (CA)
* [[Erstellung einer eigenen hierachischen CA]] (selbst signiert)
* [[XCA]]

----

Hauptseite

2026-04-10T17:17:12Z

Netbreaker: /* Backup */

'''[[:Category:Administration|Administration]]''' 

'''[[:Category:Anwendungen|Anwendungen]]''' 

'''[[Hardware|Hardware]]''' 

'''[[:Category:Programmierung|Programmierung]]''' 

'''[[:Category:ERP/CRM-Systeme|ERP/CRM-Systeme]]''' 

'''[[:Category:LDAP|LDAP]]''' 

'''[[:Category:Plattformen|Plattformen]]''' 

'''[[:Category:Datenbanken|Datenbanken]]''' 

'''[[:Category:Telekommunikation|Telekommunikation]]''' 

====[[Firefox]]====

===Domains/DNS===

* [[whois]]
* [[Domainregistrierung bei Dopoly]]
* [[DNS-Zonen einrichten]]
* [[Strato-DynDNS]]

===Drucksysteme===
* [[CUPS]]

===Fernwartung===

====[[SSH]]====

====[[RSSH]]====

====VNC====

====[[TeamViewer]]====

===Googleapplikationen===

====[[GoogleEarth]]====

===Hardware===

====[[Luefter]]====

===LDAP===
* [[LDAP]]-Grundlagen, Server- und Clientkonfiguration

====[[PAM-LDAP]]====
* LDAP als Authentication-Backend für PAM (login, ssh, ftp usw.)

====[[NSS-LDAP]]====
* LDAP als Informationsquelle für NSS

====SASL====
* SASL (Postfix, Cyrus)

====direkte LDAP-Authentifizierung====
* direktes LDAP_Auth bei Apache, Samba, FTP

====Webapplikationen====
* PHP-LDAP

====LDAP als Datenquelle für weitere Dienste====
* Adressbücher
* DNS

====Konfiguration====
[[ OLC ]]

====LDAP replizieren ====
[[ LDAP Replikation ]]

===Linux===

====Server-Installation====
[[Debian Lenny]] | [[Hetzner installimage]] | [[RAID+LVM]]

====Paketquellen====
* [[zusätzliche Quellen für Debian]]
* [[zusätzliche Quellen für Ubuntu]]
* [[GPG-Fehler]]

====Rettungssysteme====
* [[Arbeiten im Rescuesystem]]

====Netzwerkkonfiguration====
* [[Interfacekonfiguration im laufenden Betrieb]]
* [[zusätzliche IP-Adressen]]
* [[Bridging]]

====Firewallkonfiguration====
* [[ferm]]

====Backup====
* tar, dd (+netcat), [http://www.partimage.org/Main_Page partimage]
* rsync
* rsyncbackup [http://www.howtoforge.de/howto/regelmasige-backups-mit-rsyncbackup-auf-debian-etch/ HowtoForge]
* [[rsnapshot]]
* rdiff-backup
* [[backupninja]]
* [[automysqlbackup]]
* BackupPC: [http://www.pro-linux.de/artikel/2/1183/backuppc-als-backupserver-im-heimnetzwerk.html pro-linux-Beitrag] | [http://www.howtoforge.de/howto/sichern-von-linux-und-windows-systemen-mit-backuppc/ Howto deutsch]
* [http://www.amanda.org/ Amanda]
* [http://de.wikipedia.org/wiki/Bacula Bacula]
* [http://www.sysresccd.org/Hauptseite SystemRescueCD]
* [[Backup einer Linux-VM unter Windows]]

====Syslog-Tuning====
[http://www.heise.de/netze/artikel/Erweiterte-Systemueberwachung-mit-rsyslog-846750.html Erweiterte-Systemueberwachung-mit-rsyslog]

====Socks====
* [[SOCKS4-Server]]
* [[tsocks]]
* [[socksifizierte Clients]]

====Systemwartung====
* [[Festplattenaustausch (RAID)]]

====Grafische Oberfläche====
* [[Klassische Adressleiste im Gnome-Nautilus]]
* [[remote-X]]

===Mailserver===

====Postfix====

====Cyrus====

====[[MS Exchange]]====

====Sieve====

====Webmailer====

===[[:Category:Programmierung]]===
====[[:Category:BASH]]====

====IDEs====
* [[Eclipse]]

====[[Perl]]====

====[[PHP]]====

====[[XUL]]====

===Router===
* Ports: [http://www.iana.org/assignments/port-numbers offizielle IANA Port Nummern]

====[[FritzBox]]====

====LinkSys====

=====[[DD-WRT als Firmware]]=====

=====[[VPN-Firmware für Linksys WRT54GL]]=====

====[[ipCop]]====

====pfSense====

=====[[pfSense als load balancer (Multi-WAN Version 1.2.x)]]=====
=====[[pfSense mit DMZ und ADSL Modem an red ]]=====
=====[[diverse Probleme und Lösungen]]=====

====[http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html Einrichten Radius-Server für WLAN bei heise.de]====

====SmoothWall====

====DSL-Konfiguration====
* [[Vodafone]]

===Samba===
* PDC
* [[SMB-LDAP]]
* [[Windows7-Domain-Logons]]
* WebAdminInterface

===Security Systeme===

====Panda-Security====
* [[Panda-Security Partnerkonsole]]

====[[Sophos]]====

===Synchronisation===
* Framework für Kontakte, Aufgaben, Kalendereinträge:
** Serverbackends
** Protokolle (SyncML, *DAV, ...)
** Clients (Thunderbird, Webclient, verschiedene Handys)
** Gruppenfähigkeit?

* Akonadi
* OpenSync
* [http://packages.debian.org/lenny/multisync-tools multisync-tools]

===Thunderbird===
*[[Profile verwalten]]

===Verschlüsselung===

* SSH
* SSL
* HTTPS-Proxy
* [[OpenVPN]]
* GPG
* [[s-Protokolle]] [http|pop|imap]s
* [[X.509 Zertifikate]]

===Virtualisierung===

* [[Allgemeines]]
* [[KVM]]
* [[VirtualBox]]
* [[VMware]]
* [[VServer]]
* [[Xen]]
* [http://www.linux-kvm.org/page/Management_Tools Management-Tools]

===Webapplikationen===

====CMS====
* [[TYPO3]]
* [[Joomla]]
* WordPress
* Drupal
* Django
* [http://www.pragmamx.org/ PragmaMX] (mal anschauen)

====Groupware====
* eGroupware

====Webshops====
* osCommerce
* xtCommerce
* JTL
* ITIS
* Magento

====Wikis====
* [[MediaWiki]]

===Webserver===
* [[apache]]
* Zugriffsstatistiken mit dem [[webalizer]]

===Windows===
* [[SBS2003 Recovery von NT-Backup]]
* [[SBS2008]]
* [[SBS2011]]
* [[Server 2008R2]]
* [[Windows 7/8]]
* [[Systemeinstellungen]]
* [[WebDAV]]
* [[Batch-Dateien]]
* [[DPMAdirekt]]
* [[Laufwerke ausblenden unter Windows 7]]
* [http://www.asconix.com/blog/restart-exchange-2003-server MS ExchangeServer 2003 neu starten]
* [[MS Office 2007]]
* [[MS Visio 2002]]
* [[MS Outlook Allgemein]]
* [[Office Ressource Kit]]
* [[Servergespeicherte Profile]]
* [[Windows-Tools]]
* [[Netzwerkverbindungsprobleme unter win7]]
* [[ipconfig /release und ipconfig /renew und/oder einstellen einer festen IP schlagen fehl]]
* [[0x80070035 Netzlaufwerk / Freigabe]]
* [[ScanSnap Manager S500 / S510 / fi-510E0X2 / fi-510E0X2]]
* [[Symantec Backup Exec]]
* [[TK-Anlagen-Software]]
* [[Profil Umzug/Kopie/Vorlage für Win7]]
* [[Epoline / Umzug Server & Client in neues IP Netz]]
* [[DNS-Probleme beim SBS]]

===Zertifikate===
* [[Certificate Authority]] (CA)
* [[Erstellung einer eigenen hierachischen CA]] (selbst signiert)
* [[XCA]]

----

SSH

2026-04-10T16:55:03Z

Netbreaker: /* Sichere passwortlose Logins mit SSH */

===Sichere passwortlose Logins mit SSH===

Für ein passwortloses Login wird ein SSH-Key benötigt. Der Public-Key muß dazu auf das Zielsystem in die Datei ~/.ssh/authorized_keys kopiert werden. Der Privat-Key verbleibt beim SSH-Client und sollte mit einer Passphrase gesichert sein.

Für automatisierte Vorgänge (z.B. Backupskripte) können auch passwortlose Schlüssel erzeugt werden.
(Passwortlose) Logins können auf dem Zielsystem in der authorized_keys entsprechend eingeschränkt werden.

no-pty,no-port-forwarding,command="./backup.sh",from="backupserver.meine-domain.de" ssh-dss AAAAB3...
Startet das Backupskript nur, wenn die Verbindung vom Backupserver kommt.

no-pty,no-port-forwarding,no-X11-forwarding,no-agent-forwarding,permitopen="192.168.8.2:80" ssh-dss AAAAB3...
In diesem Falle werden das Öffnen eines Terminals (no-pty), Tunnel (no-port-forwarding) allgemein verboten, jedoch mit permitopen einzelne Tunnel wieder erlaubt.
permitopen="192.168.8.2:80",permitopen="192.168.8.2:443"
... kann mehrfach wiederholt werden.

* [http://www.schlittermann.de/doc/ssh.html SSH ohne Passwort -- Kurze Anleitung zur Nutzung]
* [http://www.blisstonia.com/eolson/notes/smboverssh.php Samba/CIFS/SMB file systems over SSH]

===SSH-Key erzeugen===

Es ist empfehlenswert, den SSH-Key auf einem (lokalen) vertrauenswürdigen System zu erzeugen,
da man sich nur so sicher sein kann, daß der private Schlüssel samt Passphase nicht schon beim erzeugen in fremde Hände gelangt.

$ ssh-keygen -t rsa
Erzeugt einen RSA-Schlüssel für Protokollversion 2 mit 2048 Bit Schlüssellänge, welcher dann unter
'''~/.ssh/id_rsa''' bzw. '''~/.ssh/id_rsa.pub''' abgelegt wird.

Statt '''rsa''' kann auch '''dsa''' verwendet werden. Von einigen SSH-Tools wird RSA als Voreinstellung verwendet, bei DSA muß dies dann extra angegeben werden. Welches der beiden Verfahren sicherer ist, kann man nicht allgemeingültig beantworten.

===SSH-Key auf entfernten Host übertragen===

Üblicherweise überträgt man seinen SSH-Key mit
$ ssh-copy-id [-i [identity_file]] [user@]machine
auf einen entfernten Host. Als identity_file muß immer der public key (*.pub) angegeben werden.
Ohne Option -i wird dabei '''~/.ssh/id_rsa.pub''' als identity_file verwendet.

====Sonderfall: abweichender Port des SSH-Servers====

$ ssh-copy-id '[-i [identity_file]] [-p [port]] [user@]machine'
Damit kann der Port gewählt werden. Wichtig sind die Hochkommas.

Ohne diese erhält man folgende Fehlermeldung:
Bad port 'umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/authorized_keys'

Falls ssh-copy-id nicht vorhanden ist geht das auch so:
$ cat [identity_file] | ssh [-p [port]] [user@]machine 'umask 077; test -d .ssh || mkdir .ssh ; cat >>.ssh/authorized_keys'

===SSH-Client konfigurieren===

Um sich Tipparbeit bei der täglichen Verwendung von ssh zu sparen, kann man die Konfiguration der verschiedenen Hosts, verschiedene Logins zu dem selben Host oder auch allgemeine Optionen für eine Gruppe von Hosts bzw. von der serverweiten Konfiguration abweichende Einstellungen in der '''~/.ssh/config''' ablegen.

Beispiel:
Host ipcop123
HostName ipcop.irgendwo.de
Port 222
User hans
Compression yes
ServerAliveInterval 30
ServerAliveCountMax 120
# IPcop Webinterface
LocalForward 10445 localhost:445
# Terminalserver
LocalForward 13389 192.168.111.2:3389

Mit '''ssh ipcop123''' wird daraufhin eine SSH-Verbindung zu ipcop.irgendwo.de auf den vom Standard abweichenden Port 222 als Benutzer hans aufgebaut. Die Verbindung wird dabei transparent komprimiert. Damit die Verbindung bei Inaktivität nicht abbricht werden aller 30s Keepalive-Pakete 1 Stunde lang (120 * 30s) versandt. Für das Webinterface des IPcops wird ein Tunnel vom lokalen Port 10445 zum Port 445 des IPcops (localhost aus Sicht des Tunnelendes) sowie ein weiterer Tunnel für eine RDP-Verbindung zum Terminalserver im entfernten Netz aufgebaut.

===Agent Forwarding===

Mit eingeschaltetem 'Agent Forwarding' kann der private Schlüssel ausschließlich auf dem eigenen Client liegen bleiben und man sich trotzdem mit dem lokalen Schlüssel vom Server aus zum Nächsten verbinden.

~/.ssh/config:
Host MyServer
...
ForwardAgent yes
...

Dies verschafft gelegentlich auch eine trügerische Sicherheit. Beim Testen von 'restricted keys', etwa einem passwortlosen Backupschlüssel, wird stattdessen der 'forwarded key' verwendet, der wahrscheinlich keine Restriktionen aufweist. Somit funktioniert der manuelle Test des Backups, aber das Cron-gesteuerte Backup scheitert danach. In dem Falle sollte eine SSH-Verbindung ohne 'Agent Forwarding' verwendet werden.

===X11Forwarding===

Sollen X11-Sessions per SSH weitergeleitet werden, muß dies auf der Serverseite sowohl in der sshd_config erlaubt sein als auch auf der Clientseite in der Config mit '''ForwardX11 yes''' bzw. mit dem Kommandozeilenparameter '''-X''' aktiviert werden. Weiterhin muß auf dem Server '''xauth''' installiert sein, damit die '''.Xauthority''' im Homeverzeichnis angelegt und die DISPLAY-Variable gesetzt wird.

Erstellung einer eigenen hierachischen CA

2013-10-05T19:28:22Z

Netbreaker: /* Vorüberlegung */

== Vorüberlegung ==
Mit hierachischen CA's kann man Berechtigungsstufen verwalten, ohne für jede Stufe ein extra Root-CA erzeugen zu müssen. 
Im Grunde geht es darum die Struktur von Benutzerrechten und und abzusichernden Diensten abstrakt nachzubilden.
 
[[Bild:Openssl.png]]
 
In Unserem Fall sollen
* ein Root-CA
* eine von der Root-CA signirte OpenVPN-CA
* ein von der OpenVPN-CA signiertes Server_A-CERT
* eine Kunde_1 Anfrage mit Key
* eine Kunde_1-OpenVPN-CA
* ein Kunde_1-OpenVPN-User_1-CERT
erstellt werden.
 
[[Bild:Folder openssl.png]]

== System ==
* debian || ubuntu z.B. (Debian 2.6.26-26lenny1)
* openssl ist installiert
'''angegebene System-Pfade beziehen sich auf Debian / Debian-Derivate'''
== Los gehts ==
=== Ordnerstruktur anlegen ===
cd /etc/ssl
mkdir my_ca
cd my_ca
mkdir -p services/openvpn/openvpnserver_1
mkdir -p customers/custom_1/user_1

=== OpenSSL Konfiguration anpassen ===
Das anpassen der "openssl.cnf" spart später '''viel''' Schreibarbeit.

* in Section "CA_default" den Pfad "dir" anpassen
* Standardwerte für "match" Einträge anpassen

/usr/lib/ssl/openssl.cnf (bzw. /etc/ssl/openssl.cnf):
[ CA_default ]
dir = /etc/ssl/my_ca
...

policy = policy_match

[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
...

[ req_distinguished_name ]
countryName_default = DE
...
stateOrProvinceName_default = Sachsen
...
0.organizationName_default = OSSI - Otto's Super Service International

Den Abschnitt [ server ] an das Ende der openssl.conf einfügen. 
Ergänzungen in openssl.conf:
[ server ]

# Make a cert with nsCertType set to "server"
basicConstraints=CA:FALSE
nsCertType = server
nsComment = "Server Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
extendedKeyUsage=serverAuth
keyUsage = digitalSignature, keyEncipherment

Damit kann ein Zertifikat erzeugt werden, welches vom OpenVPN-Client mit der Option '''ns-cert-type server''' validiert werden kann.

=== notwendige Ergänzungen in der Ordnerstruktur ===
* falls wir nicht schon dort sind:
cd /etc/ssl/my_ca
* Sammelordner für die Zertifikate (.pem files)
mkdir newcerts
* Index vorhandener Zertifikate
touch index.txt
* Zähler für den nächsten Zertifikatsnamen
echo 01 > serial

=== Root-CA erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca
*diese CA gilt 10 Jahre
openssl req -new -x509 -newkey rsa:1024 -days 3650 -keyout myroot.key -out myroot.crt -days 3650
*Diffie-Hellmann Parameter erzeugen (Dient zur sicheren Übertragung von Schlüsselinformationen über unsichere Netzwerkabschnitte hinweg)
openssl dhparam -out dh1024.pem 1024

=== CA für OpenVPN Dienst erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca
*die Extension v3_ca bewirkt, das erstellen einer "unter-CA"
openssl req -new -newkey rsa:1024 -keyout services/openvpn/openvpn.key -out services/openvpn/openvpn.csr
openssl ca -cert myroot.crt -keyfile myroot.key -in services/openvpn/openvpn.csr -out services/openvpn/openvpn.crt -extensions v3_ca
* ein komplettes Zertifikat (Suchtiefe) für den Dienst erstellen
cat myroot.crt services/openvpn/openvpn.crt > services/openvpn/openvpn_complete.crt
* ein Test ... sollte in etwa "openvpn_complete.crt: OK" ergeben. '''Testen ist wichtig !'''
openssl verify -CAfile myroot.crt services/openvpn/openvpn_complete.crt

=== Zertifikat für OpenVPN Server erstellen ===
* falls wir nicht schon dort sind:
cd /etc/ssl/my_ca

* Key und Zertifikatsanfrage:
openssl req -new -newkey rsa:1024 -keyout services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.csr

* als '''Server'''-Zertifikat unterschreiben mit Zertifikat und Key von der OpenVPN-CA, (nicht RootCA):
openssl ca -cert services/openvpn/openvpn.crt -keyfile services/openvpn/openvpn.key \
-in services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.csr \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt -extensions server

* und wieder testen:
openssl verify -CAfile services/openvpn/openvpn_complete.crt services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt

* Falls der Server kein passwortgeschütztes Zertifikat unterstützt, kann man dieses beim Erzeugen des Keys (Schritt 1 in diesem Abschnitt) mit der Option '''-nodes''' unterdrücken oder nachträglich entfernen:
openssl rsa -in services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn-without-passphrase.key

=== CA für ersten Kunden erstellen ===

openssl req -new -newkey rsa:1024 -keyout customers/custom_1/custom_1.key -out customers/custom_1/custom_1.csr
openssl ca -cert services/openvpn/openvpn.crt -keyfile services/openvpn/openvpn.key \
-in customers/custom_1/custom_1.csr -out customers/custom_1/custom_1_openvpn.crt -extensions v3_ca

* Test ...
openssl verify -CAfile services/openvpn/openvpn_complete.crt customers/custom_1/custom_1_openvpn.crt

* Vereinigte CA für Kunden erstellen (Suchtiefe)
cat myroot.crt services/openvpn/openvpn.crt customers/custom_1/custom_1_openvpn.crt > customers/custom_1/custom_1_openvpn_complete.crt

=== Zertifikat für den ersten User des Kunden "custom_1" erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca

openssl req -new -newkey rsa:1024 -keyout customers/custom_1/user_1/user_1.key -out customers/custom_1/user_1/user_1.csr
openssl ca -cert customers/custom_1/custom_1_openvpn.crt -keyfile customers/custom_1/custom_1.key \
-in customers/custom_1/user_1/user_1.csr -out customers/custom_1/user_1/user_1.crt

* Test ...
openssl verify -CAfile customers/custom_1/custom_1_openvpn_complete.crt customers/custom_1/user_1/user_1.crt

== Hinweise ==
=== Vereinigte Zertifikate (Suchtiefe) ===
Damit Dienste (Programme) die entsprechenden Zertifikate prüfen können, müssen sie in der Lage sein den Pfad (Baum) der Signierung nach oben zu folgen. 
Diesem Zweck dienen die vereinigten Zertifikate. 
Bei der Verwendung von OpenVPN würden die Zertifikate wie folgt verwendet:
* server.conf
...
ca /etc/ssl/my_ca/services/openvpn/openvpn_complete.crt
cert /etc/ssl/my_ca/services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt
key /etc/ssl/my_ca/services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key
dh /etc/ssl/my_ca/dh1024.pem 1024
...
* client.conf
...
ca /PATH/custom_1_openvpn_complete.crt
cert /PATH/user_1.crt
key /PATH/user_1.key
...

===Schlüssel ohne Kennwort===
Zuweilen kann es nötig sein (wenn gleich aus Sicherheitsgründen davon abzuraten ist),
passwortlose Schlüssel zu erstellen.
Die Flag ''-nodes'' hilft.
-nodes
if this option is specified then if a private key is created it will not be encrypted.

Verwendung:
openssl req -new -newkey rsa:1024 -nodes -keyout customers/custom_1/user_1/user_1_without_pass.key -out customers/custom_1/user_1/user_1.csr

oder nachträglich entfernen:

openssl rsa -in customers/custom_1/user_1/user_1.key -out customers/custom_1/user_1/user_1_without_pass.key

===Kennwort des privaten Schlüssels ändern oder nachträglich setzen===
Wenn die Zertifikate und Schlüssel mit Tools erzeugt werden, die dabei kein Passwort setzen (z.B. easyRSA, pfsense-Certificate-Manager), ist es ratsam, den Key nachträglich durch ein Passwort zu schützen.
Wie auch in anderen Systemen das Passwort regelmäßig geändert werden muß, kann man dies auch bei einem SSL-PrivateKey ändern, ohne dabei gleich ein neues Zertifikat zu erstellen und das Alte auszutauschen.

openssl rsa -in user_without_pass.key -out user.key -des3

Bei einem vorhandenen Passwort wird zuerst das alte Passwort abgefragt und danach das Neue.

===Zertifikate erneuern===

Es kann auch mit einem vorhandenen Key ein neuer CSR erstellt werden. Damit können dann abgelaufene Zertifikate erneuert werden oder auch der Key von einer anderen CA signiert werden.

openssl req -new -key user_1.key -out user_1.csr

Das Zertifikat wird wie oben beschrieben signiert.

===gut erklärende Webseite===

[http://thomassteinbach.blogspot.com/2009/02/vpn-teil-ii-openvpn-konfigurieren_1720.html http://thomassteinbach.blogspot.com/2009/02/vpn-teil-ii-openvpn-konfigurieren_1720.html]

Ext4-dio-unwrit

2013-06-29T09:02:51Z

Netbreaker: Die Seite wurde neu angelegt: „Warum tauchen im System viele Prozesse von '''ext4-dio-unwrit''' auf? Dieser Prozess wird auf jedem Blockdevice mit einem gemounteten ext4-Dateisystem für jeden…“

Warum tauchen im System viele Prozesse von '''ext4-dio-unwrit''' auf?

Dieser Prozess wird auf jedem Blockdevice mit einem gemounteten ext4-Dateisystem für jeden CPU-Kern/Thread gestartet.

srv1:~# cat /proc/cpuinfo | grep processor | wc -l
4

srv1:~# ps ax | grep -E 'jb[d]|[e]xt4-dio-unwrit'| cut -d: -f2- | cut -d' ' -f2 | uniq -c
1 [jbd2/dm-0-8]
4 [ext4-dio-unwrit]
1 [jbd2/dm-17-8]
4 [ext4-dio-unwrit]
1 [jbd2/dm-16-8]
...

srv2:~# cat /proc/cpuinfo | grep processor | wc -l
8

srv2:~# ps ax | grep -E 'jb[d]|[e]xt4-dio-unwrit'| cut -d: -f2- | cut -d' ' -f2 | uniq -c
1 [jbd2/dm-7-8]
8 [ext4-dio-unwrit]

srv3 ~ # cat /proc/cpuinfo | grep processor | wc -l
12

srv3 ~ # ps ax | grep -E 'jb[d]|[e]xt4-dio-unwrit'| cut -d: -f2- | cut -d' ' -f2 | uniq -c
1 [jbd2/sda1-8]
12 [ext4-dio-unwrit]
1 [jbd2/dm-0-8]
12 [ext4-dio-unwrit]
...

Diese Prozesse tauchen nur bei ext4 auf, bei einem ext3-Filesystem/Blockdevice (bei srv1/2 vorhanden) ist nichts derartiges erkennbar. Das Verhalten ist unabhängig davon ob es sich im LVM befindet (sda* vs. dm-*) und ob ein Hardware-RAID (srv3), Software-RAID (srv2) oder kein RAID (srv1) genutzt wird.

Dieses Verhalten wurde auf einem Debian Squeeze 6.0.7 mit Kernel '''2.6.32-5-amd64 #1 SMP Fri May 10 08:43:19 UTC 2013 x86_64 GNU/Linux''' beobachtet.

Unter Debian Wheezy 7.1 mit Kernel '''3.2.0-4-amd64 #1 SMP Debian 3.2.41-2 x86_64 GNU/Linux''' (HWR + LVM + ext4) sieht das schon wieder anders aus:

srv4 ~ # cat /proc/cpuinfo | grep processor | wc -l
8
srv4 ~ # ps ax | grep -E 'jb[d]|[e]xt4-dio-unwrit'| cut -d: -f2- | cut -d' ' -f2 | uniq -c
1 [jbd2/sda1-8]
1 [ext4-dio-unwrit]
1 [jbd2/dm-0-8]
1 [ext4-dio-unwrit]
...

Bash Bashing

2013-06-29T08:25:02Z

Netbreaker:

[[Category:BASH]]
Unlesbare Bash-Skripte, unnötige externe Programmaufrufe und überlange Befehlsketten sind vermeidbar.
Interessante Beiträge aus der gleichnamigen Beitragsserie des Linux-Magazins und weitere Anregungen folgen hier in Kurzform.

===cut, sed, grep & Co. vermeiden===

Quelle: Folge 5, Linux-Magazin 02/10

====Parameter-Expansion====

Nach dem Schema ${<Variable><Zeichen><Suchmuster>} erledigt die Bash viele Aufgaben selbst, die sonst mit cut, sed, grep oder awk gelöst werden.
Als Zeichen # % / ^ , zulässig, die doppelte Angabe schaltet jeweils in den gierigen Modus und ersetzt alles bis zum letzten Vorkommen des Suchmusters.

{|border="1"
! Zeichen
! Bedeutung
! Beispiel
|-
| #
| Löschen von links
| X="aabcabcc"; ${X#a}; löscht das erste a
|-
| ##
| Löschen von links
| X="aabcabcc"; ${X##a}; löscht alle führenden a (funktioniert in Bash 3.2 nicht, wo ist der Fehler?)
|-
| %
| Löschen von rechts
| X="aabcabcc"; ${X%c}; löscht das letzte c
|-
| %%
| Löschen von rechts
| X="aabcabcc"; ${X%%c}; löscht alle c am Ende (funktioniert in Bash 3.2 nicht, wo ist der Fehler?)
|-
| /
| Ersetzen (substitude)
| X="aabcabcc"; ${X/b/d}; ersetzt 1. b durch d
|-
| /
| Ersetzen (substitude)
| X="aabcabcc"; ${X/b}; löscht 1. b
|-
| //
| Ersetzen (substitude)
| X="aabcabcc"; ${X//b/d}; ersetzt alle b durch d
|-
| //
| Ersetzen (substitude)
| X="aabcabcc"; ${X//b}; löscht alle b
|-
!
! funktioniert erst ab Bash 4
!
|-
| ^
| Umwandeln in Großbuchstaben (uppercase)
| X="aabcabcc"; ${X^a}; wandelt erstes a in A
|-
| ^^
| Umwandeln in Großbuchstaben (uppercase)
| X="aabcabcc"; ${X^^bc}; wandelt alle bc in BC
|-
| ^^
| Umwandeln in Großbuchstaben (uppercase)
| X="aabcabcc"; ${X^^}; wandelt alles in Grossbuchstaben
|-
| ,
| Umwandeln in Kleinbuchstaben (lowercase)
| X="AABCABCC"; ${X,A}; wandelt erstes A in a
|-
| ,,
| Umwandeln in Kleinbuchstaben (lowercase)
| X="AABCABCC"; ${X,,BC}; wandelt alle BC in bc
|-
| ,,
| Umwandeln in Kleinbuchstaben (lowercase)
| X="AABCABCC"; ${X,,}; wandelt alles in Kleinbuchstaben
|}

=====praktische Beispiele=====

löscht alles bis zum ersten '/' von rechts:
<source lang="bash">
VERZEICHNIS="${0%/*}"
</source>
ersetzt externen Aufruf:
<source lang="bash">
VERZEICHNIS=$(dirname "$0")
</source>

löscht alles bis zum letzten '/' von links:
<source lang="bash">
SKRIPTNAME="${0##*/}"
</source>
ersetzt externen Aufruf:
<source lang="bash">
SKRIPTNAME=$(basename "$0")
</source>

==IP-Validierung==
<source lang="bash">
function valid_ip()
{
local ip=$1
local stat=1

# bash 2:
# if ( echo $ip | egrep '^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$' > /dev/null ) ; then
# bash 3:
if [[ $ip =~ ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$ ]]; then
OIFS=$IFS
IFS='.'
ip=($ip)
IFS=$OIFS
[[ ${ip[0]} -le 255 && ${ip[1]} -le 255 && ${ip[2]} -le 255 && ${ip[3]} -le 255 ]]
stat=$?
fi
return $stat
}

if valid_ip $IP; then
echo "IP ist eine IPv4-Adresse"
fi
</source>

Linux

2013-06-29T08:10:33Z

Netbreaker:

[[Category:Plattformen]][[Category:Administration]][[Category:Linux]]
* [[Backup]]

* [[ext4-dio-unwrit]]

* [[Firewallkonfiguration]]

* [[Grafische Oberfläche]]

* [[Netzwerkkonfiguration]]

* [[Paketquellen]]

* [[Rettungssysteme]]

* [[Serverinstallation]]

* [[Serverwartung]]

* [[Socks]]

* [[Syslog-Tuning]]

LDAP - allgemeine Infos zum LDAP-Protokoll

2012-08-07T10:09:34Z

Netbreaker: /* olcConfig unter Debian Squeeze */

[[Category:LDAP]]
==LDAP-Server==
OpenLDAP unter Linux besteht aus dem Server slapd und den Client-Utilities (unter Debian im Paket ldap-utils).
Der LDAP-Server benötigt für die Verwaltung der Einträge verschiedene Attribute die in Objektklassen zusammengefaßt werden. Diese werden in Schema-Dateien definiert, die global für alle Datenbanken gelten. Da Attribute in verschiedenen Klassen verwendet, aber nur einmal definiert werden können, ist auf die Reihenfolge zu achten, in der die Dateien eingebunden werden. Gelegentlich verursachen gleichnamige Attribute in verschiedenen Dateien für Konflikte, sodaß diese nicht ohne Anpassung gemeinsam verwendet werden können.

Zur einfachen Verwaltung der LDAP-Datenbanken ist der phpldapadmin zu empfehlen.

Für die Integration der Linux-Benutzerverwaltung in LDAP wird nss-ldap für die Informations-Beschaffung und pam-ldap für die Authentifikation benötigt. Weiterhin sind die Pakete ldapscripts für die Benutzerverwaltung und die migrationtools für die Übertragung der vorhandenen Informationen ins LDAP-Verzeichnis notwendig.

===Konfiguration slapd===

====olcConfig unter Debian Squeeze====

Bei einem Update von Lenny auf Squeeze wird eine statische Konfiguration auf olc umgestellt. Ebenso wie bei einer Neuinstallation unter Squeeze wird dabei aber kein RootPW vergeben.

Am schnellsten läßt sich das wie folgt ändern:
~# echo "olcRootPW: `slappasswd -s PASSWORT`" >> /etc/ldap/slapd.d/cn=config/{0}config.ldif

Danach muß der slapd neu gestartet werden (nslcd ggf. vorher beenden):
~# invoke-rc.d nslcd stop && invoke-rc.d slapd restart && invoke-rc.d nslcd start

Alternativ ist es als root (uid=0,gid=0) auf der Konsole möglich, sich am LDAP-Server anzumelden:

~# ldapvi -Y EXTERNAL -h ldapi:/// -b cn=config

Auf diesem Weg ist es auch möglich, die Konfiguration mit

~# ldapmodify -Y EXTERNAL -H ldapi:/// -f $FILE

dn: olcOverlay=syncprov,olcDatabase={0}config,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov

dn: olcOverlay=syncprov,olcDatabase={1}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov

===Schema-Dateien===

Schemadateien liegen in den meisten Fällen leider nur in der statischen Variante vor. Für den Import müssen sie daher noch konvertiert werden. In '''schema-convert.conf''' werden die zu konvertierenden Dateien wie in einer statischen slapd.conf als include angegeben. '''ldapconvert.sh''' wandelt diese entsprechend um, damit sie zum Schluß mit '''ldapadd''' hinzugefügt werden können.

schema-convert.conf:
include /etc/ldap/schema/dhcp.schema
include /etc/ldap/schema/samba.schema

ldapconvert.sh:
#!/bin/bash
ldifschema=/etc/ldap/schema.convert
ldif=ldif
ldifpath=/etc/ldap/ldif
etc=/etc/ldap/schema
cn=cn\=config/cn\=schema

mkdir -p $schema
mkdir -p $ldifpath

/usr/sbin/slapcat -f schema_convert.conf -F $ldifpath -n0 || exit
cd $ldifpath/$cn
mkdir $ldif
mkdir 1
for file in *.ldif; do
sed -n -e :a -e '1,7!{P;N;D;};N;ba' $file | sed -e '1s/{.*}//;1s/$/,cn=schema,cn=config/;3s/{.*}/cn=/' > $ldif/$file
neu=`echo $file | sed -e 's/^.*}//g'`
mv $ldif/$file $ldifschema/$neu
done

zum laufenden LDAP-Server hinzufügen:
~# ldapadd -xWD cn=admin,cn=config -f dhcp.ldif

GPG-Fehler

2012-06-21T18:44:39Z

Netbreaker:

Beim Einbinden zusätzlicher Repositories gibt es häufig Fehlermeldungen bzgl. nicht vertrauenswürdiger Quellen. Das liegt meistens daran, daß die Signaturen der Pakete mangels zugehörigen Public Key nicht verifiziert werden können. Zu manchen Paketquellen gibt es ein eigenes Paket mit den Schlüsseln. In allen anderen Fällen muß der GPG-Key mit apt-key hinzugefügt werden. Ob man diesem Key vertrauen will, oder im Einzelfall die Installation aus einer unsicheren Quelle akzeptiert und jeweils bestätigt, ist fallweise zu prüfen.

Beispiel: Die Repositories des Mozilla-Teams wurden hinzugefügt.
~# cat /etc/apt/sources.list.d/mozillateam.list
deb http://ppa.launchpad.net/mozillateam/firefox-stable/ubuntu lucid main
deb http://ppa.launchpad.net/mozillateam/thunderbird-stable/ubuntu lucid main

Beim Update erscheinen folgende Fehlermeldungen:
~# aptitude update
...
Paketlisten werden gelesen... Fertig
W: GPG-Fehler: http://ppa.launchpad.net lucid Release: Die folgenden Signaturen konnten nicht überprüft werden,
weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 9BDB3D89CE49EC21
W: GPG-Fehler: http://ppa.launchpad.net lucid Release: Die folgenden Signaturen konnten nicht überprüft werden,
weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 9BDB3D89CE49EC21

Schlüssel hinzufügen:
~# sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9BDB3D89CE49EC21
Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg
--trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt /trusted.gpg --primary-keyring /etc/apt/trusted.gpg
--keyserver keyserver.ubuntu.com --recv-keys 9BDB3D89CE49EC21
gpg: Schlüssel CE49EC21 von hkp Server keyserver.ubuntu.com anfordern
gpg: Schlüssel CE49EC21: Öffentlicher Schlüssel "Launchpad PPA for Mozilla Team" importiert
gpg: kein uneingeschränkt vertrauenswürdiger Schlüssel 01865850 gefunden
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1 (RSA: 1)

Nun wird auch den damit signierten Paketen vertraut.

Der Debian-Keyserver lautet: keyring.debian.org

RAID+LVM

2012-05-21T18:12:08Z

Netbreaker: /* mdadm */

==RAID==

===mdadm===

mdadm wird zum verwalten von RAID-Arrays verwendet. Es beinhaltet u.a. auch einen Cronjob, der standardmäßig 1x monatlich durchgeführt wird.
Für Server ist der Abstand meist etwas zu groß gewählt. Daher sollte der Zeitraum entsprechend geändert werden:

/etc/cron.d/mdadm:
# im Original hier um 1:17 Uhr am 17. jeden Monats
17 1 17 * * root [ -x /usr/share/mdadm/checkarray ] && /usr/share/mdadm/checkarray --cron --all --quiet
# ändern in wöchentlich (jeden Montag):
17 1 * * 1 root [ -x /usr/share/mdadm/checkarray ] && /usr/share/mdadm/checkarray --cron --all --quiet
# oder täglich:
17 1 * * * root [ -x /usr/share/mdadm/checkarray ] && /usr/share/mdadm/checkarray --cron --all --quiet

Der vorgegeben Zeitpunkt kann je nach ursprünglich installierter Version abweichen.

Im Fehlerfall wird daraufhin eine Mail an root bzw. die im System definierte Weiterleitung versandt. Danach sollte ein [[Festplattenaustausch (RAID)]] durchgeführt werden.

Fehlende Informationen in /etc/mdadm/mdadm.conf kann man mit

mdadm --detail --scan >> /etc/mdadm/mdadm.conf

hinzufügen.

==Einrichtung von LVM auf RAID-Devices==

;Problem: Im Rescuesystem von ''Server4you'' läßt sich LVM nicht auf ein RAID-Device konfigurieren.

1. Fehlermeldung:
~# pvcreate /dev/md1
Device /dev/md1 not found (or ignored by filtering).

/etc/lvm/lvm.conf:
dir = "/dev"
scan = [ "/dev" ]
filter = [ "a/.*/" ]
besagt, daß alle Blockdevices akzeptiert werden.

~#vgscan -vvvv 2>&1 | grep filter | grep md
#filters/filter-sysfs.c:255 /dev/md0: Skipping (sysfs)
#filters/filter-sysfs.c:255 /dev/md1: Skipping (sysfs)

Hier scheint '''sysfs''' das Problem zu sein.

/etc/lvm/lvm.conf:
# If sysfs is mounted (2.6 kernels) restrict device scanning to
# the block devices it believes are valid.
# 1 enables; 0 disables.
sysfs_scan = 1

Muß demzufolge hier auf 0 gesetzt und danach '''vgscan''' ausgeführt werden,

damit '''pvcreate''' funktioniert:

~# pvcreate /dev/md1
Physical volume "/dev/md1" successfully created
~# vgcreate bkup01_vg0 /dev/md1
Volume group "bkup01_vg0" successfully created
~# lvcreate -n bkup01_root -L 1G bkup01_vg0
Logical volume "bkup01_root" created
~# lvcreate -n bkup01_usr -L 2G bkup01_vg0
Logical volume "bkup01_usr" created
~# lvcreate -n bkup01_tmp -L 2G bkup01_vg0
Logical volume "bkup01_tmp" created
~# lvcreate -n bkup01_var -L 2G bkup01_vg0
Logical volume "bkup01_var" created
~# lvcreate -n bkup01_home -L 1G bkup01_vg0
Logical volume "bkup01_home" created
~# lvcreate -n bkup01_swap -L 12G bkup01_vg0
Logical volume "bkup01_swap" created
~# lvcreate -n bkup01_srv -L 1300G bkup01_vg0
Logical volume "bkup01_srv" created

Soweit lief erstmal alles glatt. Das Ergebnis kann man mit '''vgdisplay''' und '''lvdisplay''' begutachten.

Die Formatierung:
~# mkswap -L bkup01_swap /dev/mapper/bkup01_vg0-bkup01_swap
~# mke2fs -j -T ext4 -L bkup01_root /dev/mapper/bkup01_vg0-bkup01_root
usw. mit allen oben angelegten Partitionen

Mit '''-L''' wird ein Label für die Partition vergeben, welches später zum mounten statt des Devices oder der UUID verwendet wird.

Wichtig ist '''-T''', da '''-t''' zu folgender Fehlermeldung führt:
mke2fs: invalid blocks count - /dev/mapper/bkup01_vg0-bkup01_root

Interfacekonfiguration im laufenden Betrieb

2012-04-24T17:19:55Z

Netbreaker: /* Der sichere Weg */

[[Category:Linux]]
===Altlasten===
Bei Hetzner-Servern im Auslieferungszustand oder nach der Installation mit installimage ist die Netzwerkkonfiguration nicht optimal.

iface eth0 inet static
address xx.yy.zz.76
broadcast xx.yy.zz.127
netmask 255.255.255.192
gateway xx.yy.zz.65
up route add -net xx.yy.zz.64/26 gw xx.yy.zz.65 dev eth0

Dabei wird ein Subnetz zugewiesen, in dem sich 62 Hosts befinden können. (manchmal auch /27 und netmask *.224)
Will man jetzt einen anderen Server ansprechen, der in diesem Subnetz liegt, ist das nicht möglich.
Ein einfaches Ändern mit anschließenden
~# ifdown eth0; ifup eth0
funktioniert nicht, da für ifdown noch die alten Einstellungen benötigt werden.
Sofern dem Server keine weitere IP-Adresse zugewiesen ist und die Korrektur im laufenden Betrieb erfolgen muß, besteht die Gefahr, sich bei einer Fehlkonfiguration auszusperren. Daher sind einige Vorsichtsmaßnahmen zu treffen.

===Vorbereitung===
Als erstes natürlich ein Backup und eine Arbeitskopie der aktuellen Konfiguration erstellen:
~# cd /etc/network
~# cp interfaces interfaces.bak
~# cp interfaces interfaces.new

In '''interfaces.new''' bereiten wir die neue Konfiguration vor und ändern die Einstellungen für '''eth0''':
iface eth0 inet static
address xx.yy.zz.76
netmask 255.255.255.255
pointopoint xx.yy.zz.65
gateway xx.yy.zz.65

Zu ändern ist '''netmask''', mit '''pointopoint''' wird eine zusätzliche Hostroute angelegt, damit das Gateway überhaupt noch erreichbar ist. Durch die /32-Netmask ist dies sonst mehr möglich. Dafür entfällt hier '''broadcast''' und die /26-Route. Achtung, '''pointopoint''', nicht poin'''tt'''opoint!

Auf diesem Server laufende Virtuelle Maschinen sollten angehalten werden, da sie sonst bei einem Reboot im Fehlerfalle nicht korrekt heruntergefahren werden.
Zur Sicherheit aktivieren wir das Rescue-system für den Server bei Hetzner und setzen danach einen verzögerten Reboot ab.
~# shutdown -r +10

Falls das System nicht mehr erreichbar ist, wird es nach 10 Minuten im Rescue-System starten.

===Die Abkürzung===
Am schnellsten geht es jetzt, indem '''eth0''' mit den alten Einstellungen angehalten, die Neuen kopiert und anschließend das Interface neu gestartet wird.
Dies muß zwingend als ein Aufruf geschehen, da man nach dem '''ifdown''' offline ist.
~# ifdown eth0; cp interfaces.new interfaces; ifup eth0

Wenn soweit alles funktioniert hat, brechen wir jetzt den shutdown ab:
~# shutdown -c

===Der sichere Weg===
Hierbei sollte das für den Neustart eingestellte Zeitlimit nicht aus den Augen gelassen werden.

Den aktuellen Zustand sehen wir mit:
~# ip addr show
~# ip route show

Zuerst die neue Adresse hinzufügen:
~# ip addr add xx.yy.zz.76 peer xx.yy.zz.65 dev eth0

Kontrolle, ob alles Benötigte vorhanden ist:
~# ip addr show
...
inet xx.yy.zz.76/26 brd xx.yy.zz.127 scope global eth0
inet xx.yy.zz.76 peer xx.yy.zz.65/32 scope global eth0
...
~# ip route show
xx.yy.zz.65 dev eth0 proto kernel scope link src xx.yy.zz.76
xx.yy.zz.64/26 via xx.yy.zz.65 dev eth0
default via xx.yy.zz.65 dev eth0

Wenn die hinzugekommenen Einträge korrekt sind, können die Überflüssigen (mit /26) entfernt werden:
~# ip addr del xx.yy.zz.76/26 brd xx.yy.zz.127 dev eth0
~# ip route del xx.yy.zz.64/26 via xx.yy.zz.65 dev eth0

Nochmal abschließend kontrollieren:
~# ip addr show
...
inet xx.yy.zz.76 peer xx.yy.zz.65/32 scope global eth0
...
~# ip route show
xx.yy.zz.65 dev eth0 proto kernel scope link src xx.yy.zz.76
default via xx.yy.zz.65 dev eth0

Da soweit alles funktioniert hat, brechen wir jetzt den shutdown ab:
~# shutdown -c

Zum Abschluß machen wir die Konfiguration dauerhaft, damit es auch nach dem nächsten Neustart noch so ist:
~# cp interfaces.new interfaces

===Der Notfall===
Im Rescue-System mounten wir die Root-Partition und kopieren die vorbereitete Konfiguration:
~# mount -t auto /dev/md0 /mnt
~# cd /mnt/etc/network
~# cp interfaces.new interfaces
~# shutdown -r now

Erstellung einer eigenen hierachischen CA

2012-04-22T19:40:29Z

Netbreaker: /* gut erklärende Webseite */

== Vorüberlegung ==
Mit hierachischen CA's kann man Berechtigungsstufen verwalten, ohne für jede Stufe ein extra Root-CA erzeugen zu müssen. 
Im Grunde geht es darum die Struktur von Benutzerrechten und und abzusichernden Diensten abstrakt nachzubilden.
 
[[Bild:Openssl.png]]
 
In Unserem Fall sollen
* ein Root-CA
* eine von der Root-CA signirte OpenVPN-CA
* ein von der OpenVPN-CA signiertes Server_A-CERT
* eine Kunde_1 Anfrage mit Key
* eine Kunde_1-OpenVPN-CA
* ein Kunde_1-OpenVPN-User_1-CERT
erstellt werden.
 
[[Bild:Folder openssl.png]]
== System ==
* debian || ubuntu z.B. (Debian 2.6.26-26lenny1)
* openssl ist installiert
'''angegebene System-Pfade beziehen sich auf Debian / Debian-Derivate'''
== Los gehts ==
=== Ordnerstruktur anlegen ===
cd /etc/ssl
mkdir my_ca
cd my_ca
mkdir -p services/openvpn/openvpnserver_1
mkdir -p customers/custom_1/user_1

=== OpenSSL Konfiguration anpassen ===
Das anpassen der "openssl.cnf" spart später '''viel''' Schreibarbeit.

* in Section "CA_default" den Pfad "dir" anpassen
* Standardwerte für "match" Einträge anpassen

/usr/lib/ssl/openssl.cnf (bzw. /etc/ssl/openssl.cnf):
[ CA_default ]
dir = /etc/ssl/my_ca
...

policy = policy_match

[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
...

[ req_distinguished_name ]
countryName_default = DE
...
stateOrProvinceName_default = Sachsen
...
0.organizationName_default = OSSI - Otto's Super Service International

Den Abschnitt [ server ] an das Ende der openssl.conf einfügen. 
Ergänzungen in openssl.conf:
[ server ]

# Make a cert with nsCertType set to "server"
basicConstraints=CA:FALSE
nsCertType = server
nsComment = "Server Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
extendedKeyUsage=serverAuth
keyUsage = digitalSignature, keyEncipherment

Damit kann ein Zertifikat erzeugt werden, welches vom OpenVPN-Client mit der Option '''ns-cert-type server''' validiert werden kann.

=== notwendige Ergänzungen in der Ordnerstruktur ===
* falls wir nicht schon dort sind:
cd /etc/ssl/my_ca
* Sammelordner für die Zertifikate (.pem files)
mkdir newcerts
* Index vorhandener Zertifikate
touch index.txt
* Zähler für den nächsten Zertifikatsnamen
echo 01 > serial

=== Root-CA erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca
*diese CA gilt 10 Jahre
openssl req -new -x509 -newkey rsa:1024 -days 3650 -keyout myroot.key -out myroot.crt -days 3650
*Diffie-Hellmann Parameter erzeugen (Dient zur sicheren Übertragung von Schlüsselinformationen über unsichere Netzwerkabschnitte hinweg)
openssl dhparam -out dh1024.pem 1024

=== CA für OpenVPN Dienst erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca
*die Extension v3_ca bewirkt, das erstellen einer "unter-CA"
openssl req -new -newkey rsa:1024 -keyout services/openvpn/openvpn.key -out services/openvpn/openvpn.csr
openssl ca -cert myroot.crt -keyfile myroot.key -in services/openvpn/openvpn.csr -out services/openvpn/openvpn.crt -extensions v3_ca
* ein komplettes Zertifikat (Suchtiefe) für den Dienst erstellen
cat myroot.crt services/openvpn/openvpn.crt > services/openvpn/openvpn_complete.crt
* ein Test ... sollte in etwa "openvpn_complete.crt: OK" ergeben. '''Testen ist wichtig !'''
openssl verify -CAfile myroot.crt services/openvpn/openvpn_complete.crt

=== Zertifikat für OpenVPN Server erstellen ===
* falls wir nicht schon dort sind:
cd /etc/ssl/my_ca

* Key und Zertifikatsanfrage:
openssl req -new -newkey rsa:1024 -keyout services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.csr

* als '''Server'''-Zertifikat unterschreiben mit Zertifikat und Key von der OpenVPN-CA, (nicht RootCA):
openssl ca -cert services/openvpn/openvpn.crt -keyfile services/openvpn/openvpn.key \
-in services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.csr \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt -extensions server

* und wieder testen:
openssl verify -CAfile services/openvpn/openvpn_complete.crt services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt

* Falls der Server kein passwortgeschütztes Zertifikat unterstützt, kann man dieses beim Erzeugen des Keys (Schritt 1 in diesem Abschnitt) mit der Option '''-nodes''' unterdrücken oder nachträglich entfernen:
openssl rsa -in services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn-without-passphrase.key

=== CA für ersten Kunden erstellen ===

openssl req -new -newkey rsa:1024 -keyout customers/custom_1/custom_1.key -out customers/custom_1/custom_1.csr
openssl ca -cert services/openvpn/openvpn.crt -keyfile services/openvpn/openvpn.key \
-in customers/custom_1/custom_1.csr -out customers/custom_1/custom_1_openvpn.crt -extensions v3_ca

* Test ...
openssl verify -CAfile services/openvpn/openvpn_complete.crt customers/custom_1/custom_1_openvpn.crt

* Vereinigte CA für Kunden erstellen (Suchtiefe)
cat myroot.crt services/openvpn/openvpn.crt customers/custom_1/custom_1_openvpn.crt > customers/custom_1/custom_1_openvpn_complete.crt

=== Zertifikat für den ersten User des Kunden "custom_1" erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca

openssl req -new -newkey rsa:1024 -keyout customers/custom_1/user_1/user_1.key -out customers/custom_1/user_1/user_1.csr
openssl ca -cert customers/custom_1/custom_1_openvpn.crt -keyfile customers/custom_1/custom_1.key \
-in customers/custom_1/user_1/user_1.csr -out customers/custom_1/user_1/user_1.crt

* Test ...
openssl verify -CAfile customers/custom_1/custom_1_openvpn_complete.crt customers/custom_1/user_1/user_1.crt

== Hinweise ==
=== Vereinigte Zertifikate (Suchtiefe) ===
Damit Dienste (Programme) die entsprechenden Zertifikate prüfen können, müssen sie in der Lage sein den Pfad (Baum) der Signierung nach oben zu folgen. 
Diesem Zweck dienen die vereinigten Zertifikate. 
Bei der Verwendung von OpenVPN würden die Zertifikate wie folgt verwendet:
* server.conf
...
ca /etc/ssl/my_ca/services/openvpn/openvpn_complete.crt
cert /etc/ssl/my_ca/services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt
key /etc/ssl/my_ca/services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key
dh /etc/ssl/my_ca/dh1024.pem 1024
...
* client.conf
...
ca /PATH/custom_1_openvpn_complete.crt
cert /PATH/user_1.crt
key /PATH/user_1.key
...

===Schlüssel ohne Kennwort===
Zuweilen kann es nötig sein (wenn gleich aus Sicherheitsgründen davon abzuraten ist),
passwortlose Schlüssel zu erstellen.
Die Flag ''-nodes'' hilft.
-nodes
if this option is specified then if a private key is created it will not be encrypted.

Verwendung:
openssl req -new -newkey rsa:1024 -nodes -keyout customers/custom_1/user_1/user_1_without_pass.key -out customers/custom_1/user_1/user_1.csr

oder nachträglich entfernen:

openssl rsa -in customers/custom_1/user_1/user_1.key -out customers/custom_1/user_1/user_1_without_pass.key

===Kennwort des privaten Schlüssels ändern oder nachträglich setzen===
Wenn die Zertifikate und Schlüssel mit Tools erzeugt werden, die dabei kein Passwort setzen (z.B. easyRSA, pfsense-Certificate-Manager), ist es ratsam, den Key nachträglich durch ein Passwort zu schützen.
Wie auch in anderen Systemen das Passwort regelmäßig geändert werden muß, kann man dies auch bei einem SSL-PrivateKey ändern, ohne dabei gleich ein neues Zertifikat zu erstellen und das Alte auszutauschen.

openssl rsa -in user_without_pass.key -out user.key -des3

Bei einem vorhandenen Passwort wird zuerst das alte Passwort abgefragt und danach das Neue.

===Zertifikate erneuern===

Es kann auch mit einem vorhandenen Key ein neuer CSR erstellt werden. Damit können dann abgelaufene Zertifikate erneuert werden oder auch der Key von einer anderen CA signiert werden.

openssl req -new -key user_1.key -out user_1.csr

Das Zertifikat wird wie oben beschrieben signiert.

===gut erklärende Webseite===

[http://thomassteinbach.blogspot.com/2009/02/vpn-teil-ii-openvpn-konfigurieren_1720.html http://thomassteinbach.blogspot.com/2009/02/vpn-teil-ii-openvpn-konfigurieren_1720.html]

XCA

2012-04-22T18:53:36Z

Netbreaker:

XCA ist eine grafische Oberfläche zum verwalten von Zertifikaten. CA, Zertifikate, Keys und die CRL können hier bequem angelegt oder auch importiert werden. XCA ist für Windows, Linux und Mac verfügbar. Templates erleichtern das erstellen neuer CSR und Zertifikate. Keys werden zentral in der Datenbank gelagert und mit dem Datenbank-Kennwort gesichert. Damit kann der Key erneut exportiert werden, wenn das Kennwort vergessen wurde. XCA kann auch mehrere solcher Datenbanken verwalten.

Unter Debian (ab Squeeze) und ubuntu ist einfach das gleichnamige Paket zu installieren. Der Download ist von http://xca.sourceforge.net möglich.

Um die Zertifikate zu verwenden exportiert man diese aus der Sektion Zertifikate im Format '''"PKCS #12 with Certificate chain"'''. PKCS #12 ohne Chain funktioniert nicht mit OpenVPN, sobald die Zertifikaten von einer Sub-CA signiert wurden, da der Client dann nicht die gesamte Kette bis zum Server-Zertifikat überprüfen kann. Die Keys selbst (aus der Sektion Private Schlüssel) lassen sich leider in keinem brauchbaren Format für OpenVPN exportieren. (XCA Ver. 0.9.0 unter Windows, 0.8.1 Squeeze & Lucid getestet)

Die exportierte p12-Datei kann in der OpenVPN-Konfiguration direkt verwendet werden:
pkcs12 /path/to/myCert.p12
Damit werden die "ca", "cert" und "key"-Direktiven nicht mehr benötigt.

Sollten die einzelnen Bestandteile benötigt werden, so können diese mit openssl extrahiert werden:
#!/bin/bash

if [[ "${1##*.}" == "p12" && -f $1 ]]; then
CERT=${1%.p12}
else
echo "Usage $0 <p12-File> [nopass]"
exit 1
fi

if [[ "${2}" == "nopass" ]]; then
echo "extract private key without new passphrase !!!"
echo
KEYOPT="-nodes"
fi

echo "extract client cert:"
openssl pkcs12 -in $CERT.p12 -clcerts -nokeys -nodes -out $CERT-cert.pem

echo "extract private key:"
openssl pkcs12 -in $CERT.p12 -nocerts $KEYOPT -out $CERT-key.pem

echo "extract CA cert:"
openssl pkcs12 -in $CERT.p12 -cacerts -nodes -out $CERT-ca.pem

Dieses Script erzeugt in einen Durchgang die benötigten Einzelteile.

KVM

2012-04-18T16:54:23Z

Netbreaker: /* Klonen einer Linux-VM */

Beschrieben wird die Einrichtung unter Ubuntu 10.10. Andere Distributionen können ggf. abweichen.

===Unterstützung der Hardwarevirtualisierung prüfen===

Neben der CPU-Unterstützung ist die Hardwarevirtualisierung im BIOS zu aktivieren (siehe Allgemeines).
Kann man nicht im BIOS nachschauen, z.B. Server bei Providern, ist das einfach durch Hinzufügen der entsprechenden Kernelmodule zu überprüfen.

bei Intel-CPUs:
# modprobe kvm-intel
bei AMD-CPUs:
# modprobe kvm-amd

Danach sind die entsprechenden Module geladen und '''/dev/kvm''' vorhanden:
# lsmod|grep kvm
kvm_intel 39776 0
kvm 129640 1 kvm_intel
# ls -l /dev/kvm
crw-rw---- 1 root root 10, 232 2010-11-25 13:11 /dev/kvm

oder entsprechende Fehlermeldungen:
# modprobe kvm-amd
FATAL: Error inserting kvm_amd (/lib/modules/2.6.26-2-amd64/kernel/arch/x86/kvm/kvm-amd.ko): Operation not supported
# lsmod|grep kvm
kvm 129640 0
# ls -l /dev/kvm
ls: cannot access /dev/kvm: No such file or directory
# dmesg|grep kvm
[1992066.916307] kvm: disabled by bios

Im Fehlerfall wird lediglich das allgemeine Modul '''kvm''' geladen, das Prozessorspezifische kann nicht geladen werden.
Das Device ist nicht vorhanden und dmesg meldet die fehlende BIOS-Unterstützung.

===Virtuelles Netzwerk===

Damit die virtuellen Netzwerkinterfaces '''virbr*''' von libvirt gestartet werden können, wird das Paket '''dnsmasq-base''' benötigt.

===Erstellen einer neuen virtuellen Maschine===
#Installationsabbild wählen
#Pfad zum Installationsabbild wählen
#Betriebssystem auswählen
#Version auswählen
#RAM zuteilen
#Anzahl der CPUś festlegen
#virtuellen Festplattenspeicher zuweisen
#'''Wichtig!''' Virtualisierungstyp kvm wählen
#Architektur auswählen
#Starten

===Klonen einer Linux-VM===
Die zu klonende VM muß ausgeschaltet sein. Beim klonen mit dem ''virt-manager'' ist darauf zu achten, daß sowohl der VM-Name, als auch der Image-Name angepaßt werden muß. Bei Verwendung von LVM statt Image-Dateien muß auch hier nur der Name des neuen LVs angegeben werden, das LV darf vorher nicht angelegt sein.

Das Klonen verursacht, vor allem bei einem Software-RAID, eine sehr hohe IO-Last und sollte daher in lastarmen Zeiten durchgeführt werden. Bei großen Images (auch LVs) ist u.U. eine automatisierte Installation effektiver.

====Anpassungen nach dem Klonen====
Beim klonen werden keine Einstellungen in der VM angepaßt. Damit keine Konflikte auftreten müssen mindestens folgende Einstellungen, ausgehend von einer Minimalinstallation, angepaßt werden.

Änderung des aktuellen Hostnamens:
~# hostname <HOST>

/etc/exim4/update-exim4.conf.conf:
dc_other_hostnames='<HOST>.<DOMAIN>'

/etc/hostname:
<HOST>

/etc/hosts:
127.0.1.1 <HOST>.<DOMAIN> <HOST>

/etc/mailname:
<HOST>.<DOMAIN>

SSH-Hostkeys neu erzeugen:
~# rm /etc/ssh/ssh_host_*_key.*
~# dpkg-reconfigure openssh-server

Bei einer statischen Netzwerkkonfiguration:
~# ifdown eth0

/etc/network/interfaces:
address <IP-ADRESSE>

~# ifup eth0

Falls das Interface bei Squeeze nicht auftaucht, muß die Mac-Adresse der Netzwerkkarte in '''/etc/udev/rules.d/70-persistent-net.rules''' angepaßt werden.
Sollte
invoke-rc.d udev reload
oder
invoke-rc.d udev restart
nach der Änderung nicht reichen, damit die Netzwerkkarte danach beim ''ifup eth0'' erkannt wird, ist ggf. ein Neustart nötig.

Bei Wheezy ist die Anpassung der udev-Regeln nicht mehr nötig, da dort keine Regel bzgl. Netzwerkkarte existiert.

===Virtueller Festplattenspeicher===

Die klassische Form ist ein Festplattenimage, welches eine Datei als Container für die virtuelle Festplatte verwendet. Da die Datei durch das Filesystem des Hosts verwaltet wird, ist diese zusätzliche Schicht mit Performanceverlust verbunden.

Alternativ kann z.B. auch eine LVM Volume Group als Speicherpool hinzugefügt werden. Statt einer Image-Datei wird dann ein Logical Volume angelegt und dieses als virtuelle Festplatte genutzt. Als Geschwindigkeitstest wurde eine W2k3-VM auf beide Speichertypen geklont und anschließend parallel defragmentiert. LVM war dabei in der VM sichtbar ca. doppelt so schnell und auch iotop zeigte den selben Faktor zwischen den beiden kvm-Prozessen.

===Treiber für Windows-Gastsysteme===

Eine Anleitung zur Installation und ISO-Images zum Download:

http://www.linux-kvm.com/content/using-vmware-vga-kvm-windows-guests

KVM

2012-04-18T16:49:59Z

Netbreaker: /* Erstellen einer neuen virtuellen Maschine */

Beschrieben wird die Einrichtung unter Ubuntu 10.10. Andere Distributionen können ggf. abweichen.

===Unterstützung der Hardwarevirtualisierung prüfen===

Neben der CPU-Unterstützung ist die Hardwarevirtualisierung im BIOS zu aktivieren (siehe Allgemeines).
Kann man nicht im BIOS nachschauen, z.B. Server bei Providern, ist das einfach durch Hinzufügen der entsprechenden Kernelmodule zu überprüfen.

bei Intel-CPUs:
# modprobe kvm-intel
bei AMD-CPUs:
# modprobe kvm-amd

Danach sind die entsprechenden Module geladen und '''/dev/kvm''' vorhanden:
# lsmod|grep kvm
kvm_intel 39776 0
kvm 129640 1 kvm_intel
# ls -l /dev/kvm
crw-rw---- 1 root root 10, 232 2010-11-25 13:11 /dev/kvm

oder entsprechende Fehlermeldungen:
# modprobe kvm-amd
FATAL: Error inserting kvm_amd (/lib/modules/2.6.26-2-amd64/kernel/arch/x86/kvm/kvm-amd.ko): Operation not supported
# lsmod|grep kvm
kvm 129640 0
# ls -l /dev/kvm
ls: cannot access /dev/kvm: No such file or directory
# dmesg|grep kvm
[1992066.916307] kvm: disabled by bios

Im Fehlerfall wird lediglich das allgemeine Modul '''kvm''' geladen, das Prozessorspezifische kann nicht geladen werden.
Das Device ist nicht vorhanden und dmesg meldet die fehlende BIOS-Unterstützung.

===Virtuelles Netzwerk===

Damit die virtuellen Netzwerkinterfaces '''virbr*''' von libvirt gestartet werden können, wird das Paket '''dnsmasq-base''' benötigt.

===Erstellen einer neuen virtuellen Maschine===
#Installationsabbild wählen
#Pfad zum Installationsabbild wählen
#Betriebssystem auswählen
#Version auswählen
#RAM zuteilen
#Anzahl der CPUś festlegen
#virtuellen Festplattenspeicher zuweisen
#'''Wichtig!''' Virtualisierungstyp kvm wählen
#Architektur auswählen
#Starten

===Klonen einer Linux-VM===
Die zu klonende VM muß ausgeschaltet sein. Beim klonen mit dem ''virt-manager'' ist darauf zu achten, daß sowohl der VM-Name, als auch der Image-Name angepaßt werden muß. Bei Verwendung von LVM statt Image-Dateien muß auch hier nur der Name des neuen LVs angegeben werden, das LV darf vorher nicht angelegt sein.

====Anpassungen nach dem Klonen====
Beim klonen werden keine Einstellungen in der VM angepaßt. Damit keine Konflikte auftreten müssen mindestens folgende Einstellungen, ausgehend von einer Minimalinstallation, angepaßt werden.

Änderung des aktuellen Hostnamens:
~# hostname <HOST>

/etc/exim4/update-exim4.conf.conf:
dc_other_hostnames='<HOST>.<DOMAIN>'

/etc/hostname:
<HOST>

/etc/hosts:
127.0.1.1 <HOST>.<DOMAIN> <HOST>

/etc/mailname:
<HOST>.<DOMAIN>

SSH-Hostkeys neu erzeugen:
~# rm /etc/ssh/ssh_host_*_key.*
~# dpkg-reconfigure openssh-server

Bei einer statischen Netzwerkkonfiguration:
~# ifdown eth0

/etc/network/interfaces:
address <IP-ADRESSE>

~# ifup eth0

Falls das Interface bei Squeeze nicht auftaucht, muß die Mac-Adresse der Netzwerkkarte in '''/etc/udev/rules.d/70-persistent-net.rules''' angepaßt werden.
Sollte
invoke-rc.d udev reload
oder
invoke-rc.d udev restart
nach der Änderung nicht reichen, damit die Netzwerkkarte danach beim ''ifup eth0'' erkannt wird, ist ggf. ein Neustart nötig.

Bei Wheezy ist die Anpassung der udev-Regeln nicht mehr nötig, da dort keine Regel bzgl. Netzwerkkarte existiert.

===Virtueller Festplattenspeicher===

Die klassische Form ist ein Festplattenimage, welches eine Datei als Container für die virtuelle Festplatte verwendet. Da die Datei durch das Filesystem des Hosts verwaltet wird, ist diese zusätzliche Schicht mit Performanceverlust verbunden.

Alternativ kann z.B. auch eine LVM Volume Group als Speicherpool hinzugefügt werden. Statt einer Image-Datei wird dann ein Logical Volume angelegt und dieses als virtuelle Festplatte genutzt. Als Geschwindigkeitstest wurde eine W2k3-VM auf beide Speichertypen geklont und anschließend parallel defragmentiert. LVM war dabei in der VM sichtbar ca. doppelt so schnell und auch iotop zeigte den selben Faktor zwischen den beiden kvm-Prozessen.

===Treiber für Windows-Gastsysteme===

Eine Anleitung zur Installation und ISO-Images zum Download:

http://www.linux-kvm.com/content/using-vmware-vga-kvm-windows-guests

Erstellung einer eigenen hierachischen CA

2012-03-27T20:01:07Z

Netbreaker: /* Zertifikate erneuern */

== Vorüberlegung ==
Mit hierachischen CA's kann man Berechtigungsstufen verwalten, ohne für jede Stufe ein extra Root-CA erzeugen zu müssen. 
Im Grunde geht es darum die Struktur von Benutzerrechten und und abzusichernden Diensten abstrakt nachzubilden.
 
[[Bild:Openssl.png]]
 
In Unserem Fall sollen
* ein Root-CA
* eine von der Root-CA signirte OpenVPN-CA
* ein von der OpenVPN-CA signiertes Server_A-CERT
* eine Kunde_1 Anfrage mit Key
* eine Kunde_1-OpenVPN-CA
* ein Kunde_1-OpenVPN-User_1-CERT
erstellt werden.
 
[[Bild:Folder openssl.png]]
== System ==
* debian || ubuntu z.B. (Debian 2.6.26-26lenny1)
* openssl ist installiert
'''angegebene System-Pfade beziehen sich auf Debian / Debian-Derivate'''
== Los gehts ==
=== Ordnerstruktur anlegen ===
cd /etc/ssl
mkdir my_ca
cd my_ca
mkdir -p services/openvpn/openvpnserver_1
mkdir -p customers/custom_1/user_1

=== OpenSSL Konfiguration anpassen ===
Das anpassen der "openssl.cnf" spart später '''viel''' Schreibarbeit.

* in Section "CA_default" den Pfad "dir" anpassen
* Standardwerte für "match" Einträge anpassen

/usr/lib/ssl/openssl.cnf (bzw. /etc/ssl/openssl.cnf):
[ CA_default ]
dir = /etc/ssl/my_ca
...

policy = policy_match

[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
...

[ req_distinguished_name ]
countryName_default = DE
...
stateOrProvinceName_default = Sachsen
...
0.organizationName_default = OSSI - Otto's Super Service International

Den Abschnitt [ server ] an das Ende der openssl.conf einfügen. 
Ergänzungen in openssl.conf:
[ server ]

# Make a cert with nsCertType set to "server"
basicConstraints=CA:FALSE
nsCertType = server
nsComment = "Server Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
extendedKeyUsage=serverAuth
keyUsage = digitalSignature, keyEncipherment

Damit kann ein Zertifikat erzeugt werden, welches vom OpenVPN-Client mit der Option '''ns-cert-type server''' validiert werden kann.

=== notwendige Ergänzungen in der Ordnerstruktur ===
* falls wir nicht schon dort sind:
cd /etc/ssl/my_ca
* Sammelordner für die Zertifikate (.pem files)
mkdir newcerts
* Index vorhandener Zertifikate
touch index.txt
* Zähler für den nächsten Zertifikatsnamen
echo 01 > serial

=== Root-CA erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca
*diese CA gilt 10 Jahre
openssl req -new -x509 -newkey rsa:1024 -days 3650 -keyout myroot.key -out myroot.crt -days 3650
*Diffie-Hellmann Parameter erzeugen (Dient zur sicheren Übertragung von Schlüsselinformationen über unsichere Netzwerkabschnitte hinweg)
openssl dhparam -out dh1024.pem 1024

=== CA für OpenVPN Dienst erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca
*die Extension v3_ca bewirkt, das erstellen einer "unter-CA"
openssl req -new -newkey rsa:1024 -keyout services/openvpn/openvpn.key -out services/openvpn/openvpn.csr
openssl ca -cert myroot.crt -keyfile myroot.key -in services/openvpn/openvpn.csr -out services/openvpn/openvpn.crt -extensions v3_ca
* ein komplettes Zertifikat (Suchtiefe) für den Dienst erstellen
cat myroot.crt services/openvpn/openvpn.crt > services/openvpn/openvpn_complete.crt
* ein Test ... sollte in etwa "openvpn_complete.crt: OK" ergeben. '''Testen ist wichtig !'''
openssl verify -CAfile myroot.crt services/openvpn/openvpn_complete.crt

=== Zertifikat für OpenVPN Server erstellen ===
* falls wir nicht schon dort sind:
cd /etc/ssl/my_ca

* Key und Zertifikatsanfrage:
openssl req -new -newkey rsa:1024 -keyout services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.csr

* als '''Server'''-Zertifikat unterschreiben mit Zertifikat und Key von der OpenVPN-CA, (nicht RootCA):
openssl ca -cert services/openvpn/openvpn.crt -keyfile services/openvpn/openvpn.key \
-in services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.csr \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt -extensions server

* und wieder testen:
openssl verify -CAfile services/openvpn/openvpn_complete.crt services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt

* Falls der Server kein passwortgeschütztes Zertifikat unterstützt, kann man dieses beim Erzeugen des Keys (Schritt 1 in diesem Abschnitt) mit der Option '''-nodes''' unterdrücken oder nachträglich entfernen:
openssl rsa -in services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn-without-passphrase.key

=== CA für ersten Kunden erstellen ===

openssl req -new -newkey rsa:1024 -keyout customers/custom_1/custom_1.key -out customers/custom_1/custom_1.csr
openssl ca -cert services/openvpn/openvpn.crt -keyfile services/openvpn/openvpn.key \
-in customers/custom_1/custom_1.csr -out customers/custom_1/custom_1_openvpn.crt -extensions v3_ca

* Test ...
openssl verify -CAfile services/openvpn/openvpn_complete.crt customers/custom_1/custom_1_openvpn.crt

* Vereinigte CA für Kunden erstellen (Suchtiefe)
cat myroot.crt services/openvpn/openvpn.crt customers/custom_1/custom_1_openvpn.crt > customers/custom_1/custom_1_openvpn_complete.crt

=== Zertifikat für den ersten User des Kunden "custom_1" erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca

openssl req -new -newkey rsa:1024 -keyout customers/custom_1/user_1/user_1.key -out customers/custom_1/user_1/user_1.csr
openssl ca -cert customers/custom_1/custom_1_openvpn.crt -keyfile customers/custom_1/custom_1.key \
-in customers/custom_1/user_1/user_1.csr -out customers/custom_1/user_1/user_1.crt

* Test ...
openssl verify -CAfile customers/custom_1/custom_1_openvpn_complete.crt customers/custom_1/user_1/user_1.crt

== Hinweise ==
=== Vereinigte Zertifikate (Suchtiefe) ===
Damit Dienste (Programme) die entsprechenden Zertifikate prüfen können, müssen sie in der Lage sein den Pfad (Baum) der Signierung nach oben zu folgen. 
Diesem Zweck dienen die vereinigten Zertifikate. 
Bei der Verwendung von OpenVPN würden die Zertifikate wie folgt verwendet:
* server.conf
...
ca /etc/ssl/my_ca/services/openvpn/openvpn_complete.crt
cert /etc/ssl/my_ca/services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt
key /etc/ssl/my_ca/services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key
dh /etc/ssl/my_ca/dh1024.pem 1024
...
* client.conf
...
ca /PATH/custom_1_openvpn_complete.crt
cert /PATH/user_1.crt
key /PATH/user_1.key
...

===Schlüssel ohne Kennwort===
Zuweilen kann es nötig sein (wenn gleich aus Sicherheitsgründen davon abzuraten ist),
passwortlose Schlüssel zu erstellen.
Die Flag ''-nodes'' hilft.
-nodes
if this option is specified then if a private key is created it will not be encrypted.

Verwendung:
openssl req -new -newkey rsa:1024 -nodes -keyout customers/custom_1/user_1/user_1_without_pass.key -out customers/custom_1/user_1/user_1.csr

oder nachträglich entfernen:

openssl rsa -in customers/custom_1/user_1/user_1.key -out customers/custom_1/user_1/user_1_without_pass.key

===Kennwort des privaten Schlüssels ändern oder nachträglich setzen===
Wenn die Zertifikate und Schlüssel mit Tools erzeugt werden, die dabei kein Passwort setzen (z.B. easyRSA, pfsense-Certificate-Manager), ist es ratsam, den Key nachträglich durch ein Passwort zu schützen.
Wie auch in anderen Systemen das Passwort regelmäßig geändert werden muß, kann man dies auch bei einem SSL-PrivateKey ändern, ohne dabei gleich ein neues Zertifikat zu erstellen und das Alte auszutauschen.

openssl rsa -in user_without_pass.key -out user.key -des3

Bei einem vorhandenen Passwort wird zuerst das alte Passwort abgefragt und danach das Neue.

===Zertifikate erneuern===

Es kann auch mit einem vorhandenen Key ein neuer CSR erstellt werden. Damit können dann abgelaufene Zertifikate erneuert werden oder auch der Key von einer anderen CA signiert werden.

openssl req -new -key user_1.key -out user_1.csr

Das Zertifikat wird wie oben beschrieben signiert.

===gut erklärende Webseite===
[http://thomassteinbach.blogspot.com/2009/02/vpn-teil-i-zertifikate.html http://thomassteinbach.blogspot.com/2009/02/vpn-teil-i-zertifikate.html]

[http://thomassteinbach.blogspot.com/2009/02/vpn-teil-ii-openvpn-konfigurieren_1720.html http://thomassteinbach.blogspot.com/2009/02/vpn-teil-ii-openvpn-konfigurieren_1720.html]

Erstellung einer eigenen hierachischen CA

2012-03-27T19:59:43Z

Netbreaker: /* Schlüssel ohne Kennwort */

== Vorüberlegung ==
Mit hierachischen CA's kann man Berechtigungsstufen verwalten, ohne für jede Stufe ein extra Root-CA erzeugen zu müssen. 
Im Grunde geht es darum die Struktur von Benutzerrechten und und abzusichernden Diensten abstrakt nachzubilden.
 
[[Bild:Openssl.png]]
 
In Unserem Fall sollen
* ein Root-CA
* eine von der Root-CA signirte OpenVPN-CA
* ein von der OpenVPN-CA signiertes Server_A-CERT
* eine Kunde_1 Anfrage mit Key
* eine Kunde_1-OpenVPN-CA
* ein Kunde_1-OpenVPN-User_1-CERT
erstellt werden.
 
[[Bild:Folder openssl.png]]
== System ==
* debian || ubuntu z.B. (Debian 2.6.26-26lenny1)
* openssl ist installiert
'''angegebene System-Pfade beziehen sich auf Debian / Debian-Derivate'''
== Los gehts ==
=== Ordnerstruktur anlegen ===
cd /etc/ssl
mkdir my_ca
cd my_ca
mkdir -p services/openvpn/openvpnserver_1
mkdir -p customers/custom_1/user_1

=== OpenSSL Konfiguration anpassen ===
Das anpassen der "openssl.cnf" spart später '''viel''' Schreibarbeit.

* in Section "CA_default" den Pfad "dir" anpassen
* Standardwerte für "match" Einträge anpassen

/usr/lib/ssl/openssl.cnf (bzw. /etc/ssl/openssl.cnf):
[ CA_default ]
dir = /etc/ssl/my_ca
...

policy = policy_match

[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
...

[ req_distinguished_name ]
countryName_default = DE
...
stateOrProvinceName_default = Sachsen
...
0.organizationName_default = OSSI - Otto's Super Service International

Den Abschnitt [ server ] an das Ende der openssl.conf einfügen. 
Ergänzungen in openssl.conf:
[ server ]

# Make a cert with nsCertType set to "server"
basicConstraints=CA:FALSE
nsCertType = server
nsComment = "Server Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
extendedKeyUsage=serverAuth
keyUsage = digitalSignature, keyEncipherment

Damit kann ein Zertifikat erzeugt werden, welches vom OpenVPN-Client mit der Option '''ns-cert-type server''' validiert werden kann.

=== notwendige Ergänzungen in der Ordnerstruktur ===
* falls wir nicht schon dort sind:
cd /etc/ssl/my_ca
* Sammelordner für die Zertifikate (.pem files)
mkdir newcerts
* Index vorhandener Zertifikate
touch index.txt
* Zähler für den nächsten Zertifikatsnamen
echo 01 > serial

=== Root-CA erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca
*diese CA gilt 10 Jahre
openssl req -new -x509 -newkey rsa:1024 -days 3650 -keyout myroot.key -out myroot.crt -days 3650
*Diffie-Hellmann Parameter erzeugen (Dient zur sicheren Übertragung von Schlüsselinformationen über unsichere Netzwerkabschnitte hinweg)
openssl dhparam -out dh1024.pem 1024

=== CA für OpenVPN Dienst erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca
*die Extension v3_ca bewirkt, das erstellen einer "unter-CA"
openssl req -new -newkey rsa:1024 -keyout services/openvpn/openvpn.key -out services/openvpn/openvpn.csr
openssl ca -cert myroot.crt -keyfile myroot.key -in services/openvpn/openvpn.csr -out services/openvpn/openvpn.crt -extensions v3_ca
* ein komplettes Zertifikat (Suchtiefe) für den Dienst erstellen
cat myroot.crt services/openvpn/openvpn.crt > services/openvpn/openvpn_complete.crt
* ein Test ... sollte in etwa "openvpn_complete.crt: OK" ergeben. '''Testen ist wichtig !'''
openssl verify -CAfile myroot.crt services/openvpn/openvpn_complete.crt

=== Zertifikat für OpenVPN Server erstellen ===
* falls wir nicht schon dort sind:
cd /etc/ssl/my_ca

* Key und Zertifikatsanfrage:
openssl req -new -newkey rsa:1024 -keyout services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.csr

* als '''Server'''-Zertifikat unterschreiben mit Zertifikat und Key von der OpenVPN-CA, (nicht RootCA):
openssl ca -cert services/openvpn/openvpn.crt -keyfile services/openvpn/openvpn.key \
-in services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.csr \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt -extensions server

* und wieder testen:
openssl verify -CAfile services/openvpn/openvpn_complete.crt services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt

* Falls der Server kein passwortgeschütztes Zertifikat unterstützt, kann man dieses beim Erzeugen des Keys (Schritt 1 in diesem Abschnitt) mit der Option '''-nodes''' unterdrücken oder nachträglich entfernen:
openssl rsa -in services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key \
-out services/openvpn/openvpnserver_1/openvpnserver_1_openvpn-without-passphrase.key

=== CA für ersten Kunden erstellen ===

openssl req -new -newkey rsa:1024 -keyout customers/custom_1/custom_1.key -out customers/custom_1/custom_1.csr
openssl ca -cert services/openvpn/openvpn.crt -keyfile services/openvpn/openvpn.key \
-in customers/custom_1/custom_1.csr -out customers/custom_1/custom_1_openvpn.crt -extensions v3_ca

* Test ...
openssl verify -CAfile services/openvpn/openvpn_complete.crt customers/custom_1/custom_1_openvpn.crt

* Vereinigte CA für Kunden erstellen (Suchtiefe)
cat myroot.crt services/openvpn/openvpn.crt customers/custom_1/custom_1_openvpn.crt > customers/custom_1/custom_1_openvpn_complete.crt

=== Zertifikat für den ersten User des Kunden "custom_1" erstellen ===
*(nur zur Sicherheit)
cd /etc/ssl/my_ca

openssl req -new -newkey rsa:1024 -keyout customers/custom_1/user_1/user_1.key -out customers/custom_1/user_1/user_1.csr
openssl ca -cert customers/custom_1/custom_1_openvpn.crt -keyfile customers/custom_1/custom_1.key \
-in customers/custom_1/user_1/user_1.csr -out customers/custom_1/user_1/user_1.crt

* Test ...
openssl verify -CAfile customers/custom_1/custom_1_openvpn_complete.crt customers/custom_1/user_1/user_1.crt

== Hinweise ==
=== Vereinigte Zertifikate (Suchtiefe) ===
Damit Dienste (Programme) die entsprechenden Zertifikate prüfen können, müssen sie in der Lage sein den Pfad (Baum) der Signierung nach oben zu folgen. 
Diesem Zweck dienen die vereinigten Zertifikate. 
Bei der Verwendung von OpenVPN würden die Zertifikate wie folgt verwendet:
* server.conf
...
ca /etc/ssl/my_ca/services/openvpn/openvpn_complete.crt
cert /etc/ssl/my_ca/services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.crt
key /etc/ssl/my_ca/services/openvpn/openvpnserver_1/openvpnserver_1_openvpn.key
dh /etc/ssl/my_ca/dh1024.pem 1024
...
* client.conf
...
ca /PATH/custom_1_openvpn_complete.crt
cert /PATH/user_1.crt
key /PATH/user_1.key
...

===Schlüssel ohne Kennwort===
Zuweilen kann es nötig sein (wenn gleich aus Sicherheitsgründen davon abzuraten ist),
passwortlose Schlüssel zu erstellen.
Die Flag ''-nodes'' hilft.
-nodes
if this option is specified then if a private key is created it will not be encrypted.

Verwendung:
openssl req -new -newkey rsa:1024 -nodes -keyout customers/custom_1/user_1/user_1_without_pass.key -out customers/custom_1/user_1/user_1.csr

oder nachträglich entfernen:

openssl rsa -in customers/custom_1/user_1/user_1.key -out customers/custom_1/user_1/user_1_without_pass.key

===Kennwort des privaten Schlüssels ändern oder nachträglich setzen===
Wenn die Zertifikate und Schlüssel mit Tools erzeugt werden, die dabei kein Passwort setzen (z.B. easyRSA, pfsense-Certificate-Manager), ist es ratsam, den Key nachträglich durch ein Passwort zu schützen.
Wie auch in anderen Systemen das Passwort regelmäßig geändert werden muß, kann man dies auch bei einem SSL-PrivateKey ändern, ohne dabei gleich ein neues Zertifikat zu erstellen und das Alte auszutauschen.

openssl rsa -in user_without_pass.key -out user.key -des3

Bei einem vorhandenen Passwort wird zuerst das alte Passwort abgefragt und danach das Neue.

===Zertifikate erneuern===

Es kann auch mit einem vorhandenen Key ein neuer CSR erstellt werden. Damit können dann abgelaufene Zertifikate erneuert werden oder auch der CSR von einer anderen CA signiert werden.

openssl req -new -key user_1.key -out user_1.csr

Das Zertifikat wird wie oben beschrieben signiert.

===gut erklärende Webseite===
[http://thomassteinbach.blogspot.com/2009/02/vpn-teil-i-zertifikate.html http://thomassteinbach.blogspot.com/2009/02/vpn-teil-i-zertifikate.html]

[http://thomassteinbach.blogspot.com/2009/02/vpn-teil-ii-openvpn-konfigurieren_1720.html http://thomassteinbach.blogspot.com/2009/02/vpn-teil-ii-openvpn-konfigurieren_1720.html]

Bridging

2012-02-28T20:27:54Z

Netbreaker: /* DHCP-Erweiterung */

[[Category:Linux]]
==libvirt-Netzwerke==
libvirt kann Netzwerke selbst verwalten und verändert dazu die iptables-Regeln. Will man die Regeln anpassen, zerstört ein Neustart von libvirt diese Konfiguration wieder.
Aus diesem Grund (und weiteren) verwalten wir die Netze außerhalb von libvirt. Zu beachten ist, daß in dem Fall auch ein DHCP- und DNS-Server zu konfigurieren ist.

===Ausgangszustand===
In libvirt wurden 4 Netzwerke konfiguriert:
* virbr0: default, NAT
* virbr1: local, isoliert
* virbr2: routed, geroutet
* virbr3: nodhcp, gerouted

Damit geroutete Netze funktionieren, muß auch der die Gegenseite bzw. der Router entsprechend konfiguriert sein.

~# ip route|grep virbr
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1
192.168.100.0/24 dev virbr1 proto kernel scope link src 192.168.100.1
192.168.111.0/24 dev virbr2 proto kernel scope link src 192.168.111.1
192.168.199.0/24 dev virbr3 proto kernel scope link src 192.168.199.1

~# brctl show
bridge name bridge id STP enabled interfaces
virbr0 8000.000000000000 yes
virbr1 8000.000000000000 yes
virbr2 8000.000000000000 yes
virbr3 8000.000000000000 yes

die entsprechenden Firewallregeln in '''ferm''' importiert und zusammengefaßt:

/etc/ferm/ferm.conf
domain ip {
table nat {
chain POSTROUTING {
policy ACCEPT;
saddr 192.168.122.0/24 outerface eth0 {
protocol tcp MASQUERADE to-ports 1024-65535;
protocol udp MASQUERADE to-ports 1024-65535;
MASQUERADE;
}
}
...
}
table filter {
chain INPUT {
...
interface (virbr0 virbr1 virbr2 virbr3) protocol (udp tcp) dport (53 67) ACCEPT;
...
}
chain FORWARD {
policy DROP;

mod state state INVALID DROP;
mod state state (RELATED ESTABLISHED) ACCEPT;

...

# default (NAT)
daddr 192.168.122.0/24 outerface virbr0
saddr 192.168.122.0/24 interface virbr0 ACCEPT;

# local (isoliert)

# routed
daddr 192.168.111.0/24 outerface virbr2 ACCEPT;
saddr 192.168.111.0/24 interface virbr2 ACCEPT;

# sbsnet (geroutet, ohne DHCP)
daddr 192.168.199.0/24 outerface virbr3 ACCEPT;
saddr 192.168.199.0/24 interface virbr3 ACCEPT;

interface virbr0 outerface virbr0 ACCEPT;
interface virbr1 outerface virbr1 ACCEPT;
interface virbr2 outerface virbr2 ACCEPT;
interface virbr3 outerface virbr3 ACCEPT;

interface (virbr0 virbr1 virbr2 virbr3) REJECT reject-with icmp-port-unreachable;
outerface (virbr0 virbr1 virbr2 virbr3) REJECT reject-with icmp-port-unreachable;
...
}
chain OUTPUT policy ACCEPT;
}
}

DHCP und DNS wird über '''dnsmasq''' bedient, wobei die Parameter jedoch von libvirt auf der Kommandozeile übergeben werden.
Damit kann dnsmasq nur nach eigenständiger Konfiguration weiterverwendet werden. Wir werden es allerdings durch den '''dhcpd''' und '''bind''' ersetzen.

===eigenständige Interfaces===
Für jedes virbr-Interface wird ein br-Interface in /etc/network/interfaces angelegt:
auto br0
iface br0 inet static
address 192.168.122.1
netmask 255.255.255.0
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-down brctl delbr $IFACE

auto br1
iface br1 inet static
address 192.168.100.1
netmask 255.255.255.0
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-down brctl delbr $IFACE

auto br2
iface br2 inet static
address 192.168.111.1
netmask 255.255.255.0
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-down brctl delbr $IFACE

auto br3
iface br3 inet static
address 192.168.199.1
netmask 255.255.255.0
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-down brctl delbr $IFACE

Vor dem Starten der br-Interfaces sollten die alten virbr-Interfaces in libvirt gestoppt und deaktiviert werden.

Wie heißen die Netzwerke aus libvirt-Sicht?
~# virsh net-list
Name Status Automatischer Start
-----------------------------------------
default Aktiv yes
lokal Aktiv yes
routed Aktiv yes

~# virsh net-autostart default --disable
~# virsh net-autostart lokal --disable
~# virsh net-autostart routed --disable
~# virsh net-list
Name Status Automatischer Start
-----------------------------------------
default Aktiv no
lokal Aktiv no
routed Aktiv no

~# virsh net-destroy default
~# virsh net-destroy lokal
~# virsh net-destroy routed
~# virsh net-list
Name Status Automatischer Start
-----------------------------------------

~# brctl show
bridge name bridge id STP enabled interfaces

~# ip addr | grep virbr

nichts mehr da, jetzt kanns losgehen
~# ifup br0 br1 br2

In '''/etc/ferm/ferm.conf''' werden entsprechend alle virbr durch br ersetzt und danach neu geladen
~# ferm -i /etc/ferm/ferm.conf

===DHCP===
Für jedes Subnetz wird eine Sektion angelegt und Router/DNS-Server-Option gesetzt. Falls ein externer DNS verwendet wird, kann stattdessen die globale Option genutzt werden. Die globale Option domain-name ist dagegen eher im Falle eines lokalen DNS mit Namensauflösung für die virtuellen Maschinen sinnvoll.

/etc/dhcp/dhcpd.conf:
option domain-name "vm.my-domain.de";
option domain-name-servers $EXTERNER_DNS;

authoritative;

subnet 192.168.122.0 netmask 255.255.255.0 {
range 192.168.122.100 192.168.122.199 ;
option domain-name-servers 192.168.122.1;
option routers 192.168.122.1;
option broadcast-address 192.168.122.255;
}

subnet 192.168.100.0 netmask 255.255.255.0 {
range 192.168.100.100 192.168.100.199 ;
option domain-name-servers 192.168.100.1;
option routers 192.168.100.1;
option broadcast-address 192.168.100.255;
}

subnet 192.168.111.0 netmask 255.255.255.0 {
range 192.168.111.100 192.168.111.199 ;
option domain-name-servers 192.168.111.1;
option routers 192.168.111.1;
option broadcast-address 192.168.111.255;
}

/etc/default/isc-dhcp-server:
INTERFACES="br0 br1 br2"

Zum Schluß muß der DHCP-Server noch gestartet werden.
~# invoke-rc.d isc-dhcp-server start

Wahlweise kann für den DNS-Server ein entfernter Server angegeben werden, der dann aber nicht für lokale und nur bedingt für geroutete Netze funktioniert.

===DNS===
Mit einem lokalen DNS-Server können die virtuellen Maschinen ebenfalls mit Hostnamen verwaltet werden. In der Minimalkonfiguration sollte dieser als Forwarder bzw. "caching only" konfiguriert sein.

/etc/bind/named.conf.options
options {
...
forwarders {
8.8.8.8;
};
...
};

Konfiguration neu einlesen
~# rndc reload

===VM-Konfiguration===
Bereits vorhandene virtuelle Maschinen müssen noch bzgl. Netzwerkinterface angepaßt werden. Die entsprechenden Dateien sind in '''/etc/libvirt/qemu/*.xml''' zu finden.

alt:
<interface type='network'>
...
<source network='default'/>
...
</interface>

neu:
<interface type='bridge'>
...
<source bridge='br0'/>
...
</interface>

Nach den Änderungen muß libvirt neu gestartet werden:
~# invoke-rc.d libvirt-bin restart

==externe IP an VM==
Im Folgenden werden 2 virtuelle Maschinen so konfiguriert, daß sie direkt eine öffentliche IP bekommen. Um Probleme mit Setups zu vermeiden, die mit eine Hostroute nicht funktionieren, bekommen die Gäste jeweils noch ein privates Netz zugewiesen.

===Interfaces===
/etc/network/interfaces ergänzen:
auto br100
iface br100 inet static
address 192.168.200.1
netmask 255.255.255.252
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-up route add -host aa.bb.cc.100 $IFACE
post-down brctl delbr $IFACE

auto br101
iface br101 inet static
address 192.168.200.5
netmask 255.255.255.252
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-up route add -host aa.bb.cc.101 $IFACE
post-down brctl delbr $IFACE

und starten:
~# ifup br100 br101

===Firewall-Erweiterung===
/etc/ferm/ferm.conf:
...
chain POSTROUTING {
policy ACCEPT;
saddr (192.168.122.0/24 192.168.200.0/24) outerface eth0 {
protocol tcp MASQUERADE to-ports 1024-65535;
protocol udp MASQUERADE to-ports 1024-65535;
MASQUERADE;
}
}
...
chain INPUT {
...
interface (... br100 br101) protocol (udp tcp) dport (53 67) ACCEPT;
...
}
chain FORWARD {
...
saddr 192.168.200.0/30 interface br100 ACCEPT;
saddr 192.168.204.0/30 interface br101 ACCEPT;

interface br100 outerface br100 ACCEPT;
interface br101 outerface br101 ACCEPT;

interface (... br100 br101) REJECT reject-with icmp-port-unreachable;
outerface (... br100 br101) REJECT reject-with icmp-port-unreachable;
...
}
...

und wieder einlesen:
~# ferm -i /etc/ferm/ferm.conf

===DHCP-Erweiterung===
/etc/dhcp/dhcpd.conf:
subnet 192.168.200.0 netmask 255.255.255.252 {
range 192.168.200.2 192.168.200.2;
option domain-name-servers 192.168.200.1;
option routers 192.168.200.1;
option broadcast-address 192.168.200.3;
}

subnet 192.168.200.4 netmask 255.255.255.252 {
range 192.168.200.6 192.168.200.6;
option domain-name-servers 192.168.200.5;
option routers 192.168.200.5;
option broadcast-address 192.168.200.7;
}

/etc/default/isc-dhcp-server:
INTERFACES="... br100 br101"

DHCP-Server neustarten:
~# invoke-rc.d isc-dhcp-server start

Die öffentlichen IPs werden danach im Client als [[zusätzliche IP-Adressen]] zugewiesen.

Bridging

2012-02-28T20:12:03Z

Netbreaker: /* Firewall-Erweiterung */

[[Category:Linux]]
==libvirt-Netzwerke==
libvirt kann Netzwerke selbst verwalten und verändert dazu die iptables-Regeln. Will man die Regeln anpassen, zerstört ein Neustart von libvirt diese Konfiguration wieder.
Aus diesem Grund (und weiteren) verwalten wir die Netze außerhalb von libvirt. Zu beachten ist, daß in dem Fall auch ein DHCP- und DNS-Server zu konfigurieren ist.

===Ausgangszustand===
In libvirt wurden 4 Netzwerke konfiguriert:
* virbr0: default, NAT
* virbr1: local, isoliert
* virbr2: routed, geroutet
* virbr3: nodhcp, gerouted

Damit geroutete Netze funktionieren, muß auch der die Gegenseite bzw. der Router entsprechend konfiguriert sein.

~# ip route|grep virbr
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1
192.168.100.0/24 dev virbr1 proto kernel scope link src 192.168.100.1
192.168.111.0/24 dev virbr2 proto kernel scope link src 192.168.111.1
192.168.199.0/24 dev virbr3 proto kernel scope link src 192.168.199.1

~# brctl show
bridge name bridge id STP enabled interfaces
virbr0 8000.000000000000 yes
virbr1 8000.000000000000 yes
virbr2 8000.000000000000 yes
virbr3 8000.000000000000 yes

die entsprechenden Firewallregeln in '''ferm''' importiert und zusammengefaßt:

/etc/ferm/ferm.conf
domain ip {
table nat {
chain POSTROUTING {
policy ACCEPT;
saddr 192.168.122.0/24 outerface eth0 {
protocol tcp MASQUERADE to-ports 1024-65535;
protocol udp MASQUERADE to-ports 1024-65535;
MASQUERADE;
}
}
...
}
table filter {
chain INPUT {
...
interface (virbr0 virbr1 virbr2 virbr3) protocol (udp tcp) dport (53 67) ACCEPT;
...
}
chain FORWARD {
policy DROP;

mod state state INVALID DROP;
mod state state (RELATED ESTABLISHED) ACCEPT;

...

# default (NAT)
daddr 192.168.122.0/24 outerface virbr0
saddr 192.168.122.0/24 interface virbr0 ACCEPT;

# local (isoliert)

# routed
daddr 192.168.111.0/24 outerface virbr2 ACCEPT;
saddr 192.168.111.0/24 interface virbr2 ACCEPT;

# sbsnet (geroutet, ohne DHCP)
daddr 192.168.199.0/24 outerface virbr3 ACCEPT;
saddr 192.168.199.0/24 interface virbr3 ACCEPT;

interface virbr0 outerface virbr0 ACCEPT;
interface virbr1 outerface virbr1 ACCEPT;
interface virbr2 outerface virbr2 ACCEPT;
interface virbr3 outerface virbr3 ACCEPT;

interface (virbr0 virbr1 virbr2 virbr3) REJECT reject-with icmp-port-unreachable;
outerface (virbr0 virbr1 virbr2 virbr3) REJECT reject-with icmp-port-unreachable;
...
}
chain OUTPUT policy ACCEPT;
}
}

DHCP und DNS wird über '''dnsmasq''' bedient, wobei die Parameter jedoch von libvirt auf der Kommandozeile übergeben werden.
Damit kann dnsmasq nur nach eigenständiger Konfiguration weiterverwendet werden. Wir werden es allerdings durch den '''dhcpd''' und '''bind''' ersetzen.

===eigenständige Interfaces===
Für jedes virbr-Interface wird ein br-Interface in /etc/network/interfaces angelegt:
auto br0
iface br0 inet static
address 192.168.122.1
netmask 255.255.255.0
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-down brctl delbr $IFACE

auto br1
iface br1 inet static
address 192.168.100.1
netmask 255.255.255.0
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-down brctl delbr $IFACE

auto br2
iface br2 inet static
address 192.168.111.1
netmask 255.255.255.0
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-down brctl delbr $IFACE

auto br3
iface br3 inet static
address 192.168.199.1
netmask 255.255.255.0
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-down brctl delbr $IFACE

Vor dem Starten der br-Interfaces sollten die alten virbr-Interfaces in libvirt gestoppt und deaktiviert werden.

Wie heißen die Netzwerke aus libvirt-Sicht?
~# virsh net-list
Name Status Automatischer Start
-----------------------------------------
default Aktiv yes
lokal Aktiv yes
routed Aktiv yes

~# virsh net-autostart default --disable
~# virsh net-autostart lokal --disable
~# virsh net-autostart routed --disable
~# virsh net-list
Name Status Automatischer Start
-----------------------------------------
default Aktiv no
lokal Aktiv no
routed Aktiv no

~# virsh net-destroy default
~# virsh net-destroy lokal
~# virsh net-destroy routed
~# virsh net-list
Name Status Automatischer Start
-----------------------------------------

~# brctl show
bridge name bridge id STP enabled interfaces

~# ip addr | grep virbr

nichts mehr da, jetzt kanns losgehen
~# ifup br0 br1 br2

In '''/etc/ferm/ferm.conf''' werden entsprechend alle virbr durch br ersetzt und danach neu geladen
~# ferm -i /etc/ferm/ferm.conf

===DHCP===
Für jedes Subnetz wird eine Sektion angelegt und Router/DNS-Server-Option gesetzt. Falls ein externer DNS verwendet wird, kann stattdessen die globale Option genutzt werden. Die globale Option domain-name ist dagegen eher im Falle eines lokalen DNS mit Namensauflösung für die virtuellen Maschinen sinnvoll.

/etc/dhcp/dhcpd.conf:
option domain-name "vm.my-domain.de";
option domain-name-servers $EXTERNER_DNS;

authoritative;

subnet 192.168.122.0 netmask 255.255.255.0 {
range 192.168.122.100 192.168.122.199 ;
option domain-name-servers 192.168.122.1;
option routers 192.168.122.1;
option broadcast-address 192.168.122.255;
}

subnet 192.168.100.0 netmask 255.255.255.0 {
range 192.168.100.100 192.168.100.199 ;
option domain-name-servers 192.168.100.1;
option routers 192.168.100.1;
option broadcast-address 192.168.100.255;
}

subnet 192.168.111.0 netmask 255.255.255.0 {
range 192.168.111.100 192.168.111.199 ;
option domain-name-servers 192.168.111.1;
option routers 192.168.111.1;
option broadcast-address 192.168.111.255;
}

/etc/default/isc-dhcp-server:
INTERFACES="br0 br1 br2"

Zum Schluß muß der DHCP-Server noch gestartet werden.
~# invoke-rc.d isc-dhcp-server start

Wahlweise kann für den DNS-Server ein entfernter Server angegeben werden, der dann aber nicht für lokale und nur bedingt für geroutete Netze funktioniert.

===DNS===
Mit einem lokalen DNS-Server können die virtuellen Maschinen ebenfalls mit Hostnamen verwaltet werden. In der Minimalkonfiguration sollte dieser als Forwarder bzw. "caching only" konfiguriert sein.

/etc/bind/named.conf.options
options {
...
forwarders {
8.8.8.8;
};
...
};

Konfiguration neu einlesen
~# rndc reload

===VM-Konfiguration===
Bereits vorhandene virtuelle Maschinen müssen noch bzgl. Netzwerkinterface angepaßt werden. Die entsprechenden Dateien sind in '''/etc/libvirt/qemu/*.xml''' zu finden.

alt:
<interface type='network'>
...
<source network='default'/>
...
</interface>

neu:
<interface type='bridge'>
...
<source bridge='br0'/>
...
</interface>

Nach den Änderungen muß libvirt neu gestartet werden:
~# invoke-rc.d libvirt-bin restart

==externe IP an VM==
Im Folgenden werden 2 virtuelle Maschinen so konfiguriert, daß sie direkt eine öffentliche IP bekommen. Um Probleme mit Setups zu vermeiden, die mit eine Hostroute nicht funktionieren, bekommen die Gäste jeweils noch ein privates Netz zugewiesen.

===Interfaces===
/etc/network/interfaces ergänzen:
auto br100
iface br100 inet static
address 192.168.200.1
netmask 255.255.255.252
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-up route add -host aa.bb.cc.100 $IFACE
post-down brctl delbr $IFACE

auto br101
iface br101 inet static
address 192.168.200.5
netmask 255.255.255.252
bridge_stp off
bridge_fd 0
pre-up brctl addbr $IFACE
post-up route add -host aa.bb.cc.101 $IFACE
post-down brctl delbr $IFACE

und starten:
~# ifup br100 br101

===Firewall-Erweiterung===
/etc/ferm/ferm.conf:
...
chain POSTROUTING {
policy ACCEPT;
saddr (192.168.122.0/24 192.168.200.0/24) outerface eth0 {
protocol tcp MASQUERADE to-ports 1024-65535;
protocol udp MASQUERADE to-ports 1024-65535;
MASQUERADE;
}
}
...
chain INPUT {
...
interface (... br100 br101) protocol (udp tcp) dport (53 67) ACCEPT;
...
}
chain FORWARD {
...
saddr 192.168.200.0/30 interface br100 ACCEPT;
saddr 192.168.204.0/30 interface br101 ACCEPT;

interface br100 outerface br100 ACCEPT;
interface br101 outerface br101 ACCEPT;

interface (... br100 br101) REJECT reject-with icmp-port-unreachable;
outerface (... br100 br101) REJECT reject-with icmp-port-unreachable;
...
}
...

und wieder einlesen:
~# ferm -i /etc/ferm/ferm.conf

===DHCP-Erweiterung===
/etc/dhcp/dhcpd.conf:
subnet 192.168.200.0 netmask 255.255.255.252 {
range 192.168.200.2 192.168.200.2;
option domain-name-servers 192.168.200.1;
option routers 192.168.200.1;
option broadcast-address 192.168.200.3;
}

subnet 192.168.200.4 netmask 255.255.255.252 {
range 192.168.200.6 192.168.200.6;
option domain-name-servers 192.168.200.4;
option routers 192.168.200.4;
option broadcast-address 192.168.200.7;
}

/etc/default/isc-dhcp-server:
INTERFACES="... br100 br101"

DHCP-Server neustarten:
~# invoke-rc.d isc-dhcp-server start

Die öffentlichen IPs werden danach im Client als [[zusätzliche IP-Adressen]] zugewiesen.

Rsnapshot

2012-02-07T17:50:16Z

Netbreaker:

[[Category:Linux]]
Es erstellt versionierte Backups und kann mehrere lokale und entfernte Quellen via rsync + ssh sichern.

Die einzelnen Quellen werden sequenziell abgearbeitet, sodaß einerseits keine zu hohe Last auf dem System entsteht, andererseits langsame Verbindungen den Prozeß stark in die Länge ziehen können. Um dies zu verhindern, können mehrere Konfigurationen angelegt werden, die durch separate Cronjobs getrennt aufgerufen werden.

Wichtige Anpassungen in der Konfiguration
/etc/rsnapshot.conf:
snapshot_root /srv/backup/
rsync_short_args -av
rsync_long_args --delete --numeric-ids --relative --delete-excluded
ssh_args -C -i /etc/rsnapshot.d/id_rsa
exclude_file /etc/rsnapshot.d/exclude.list

logfile /var/log/rsnapshot.log
lockfile /var/run/rsnapshot.pid

###############################
### BACKUP POINTS / SCRIPTS ###
###############################

backup_script /bin/date "+ backup of LOCALHOST started at %c" unused0
backup /home/ localhost/
backup /etc/ localhost/
backup /root/ localhost/
backup /var/backups/ localhost/

backup_script /bin/date "+ backup of SRV01 started at %c" unused1
backup root@srv01:/home/ :/var/backups/ :/etc/ :/root/ srv01/ exclude_file=/etc/rsnapshot.d/exclude-srv01.list

backup_script /bin/date "+ backup ended at %c" unused9

Da die Basiskonfiguration von rsnapshot direkt in /etc liegt, legen wir für weitere Dateien das Verzeichnis '''/etc/rsnapshot.d''' an.
Darin werden der SSH-Key (id_rsa), die '''exclude.list''' für localhost, weitere '''exclude-*.list''' für externe Backupquellen, sowie später weitere '''*.conf''' für eigene Prozesse abgelegt.

exclude.list:
*/tmp/*
*/sess_*
*.tmp
*.bak
*.log
*.log.1

In weiteren Konfigurationen muß auf jeden Fall ein abweichendes '''snapshot_root''' verwendet werden!

Da jeder Backuplauf die darin enthaltenen Verzeichnisse rotiert, würde dies zu häufig geschehen und ältere Backups früher als geplant gelöscht. Es entstehen u.U. auch Lücken in den Backups, falls sich die Intervalle unterscheiden. Das hat wiederum zur Folge, daß unnötige Vollbackups gezogen werden. Dadurch steigt sowohl die übertragene Datenmenge als auch der benötigte Festplattenplatz enorm an.

Damit die Backupprozesse unabhängig voneinander laufen können, benötigt jeder ein eigenes '''lockfile'''.

Bei Bedarf kann auch ein eigenes '''logfile''' und ggf. auch ein eigener SSH-Key angegeben werden. Das '''exclude_file''' ist bei zusätzlichen Konfigurationen nicht nötig, da es hier in dem Backup-Aufruf als '''exclude_file=...''' angegeben wird.

Den SSH-Key erzeugen wir mit
~# ssh-keygen -C rsnapshot@backup-server -f /etc/rsnapshot.d/id_rsa
und geben kein Passwort an.

Danach kann dieser mit
~# ssh-copy-id -i /etc/rsnapshot.d/id_rsa root@srv01
übertragen werden. Dazu wird aber ein Login per Passwort bei '''root''' auf '''srv01''' oder besser ein dort hinterlegter Key benötigt, der per ForwardAgent in der aktuellen Sitzung aktiv ist. Sonst muß der Key per '''scp''' übertragen und lokal an die '''authorized_keys''' angefügt werden.

Falls der Key nicht per ssh vom Backupserver zum Backupclient übertragen wird, ist zumindest eine SSH-Testverbindung zu diesem aufzubauen, da sonst das Backup aufgrund fehlendem Hostkey abbricht.

Mehrere zu sichernde entfernte Verzeichnisse werden mit einem ":" beginnend angegeben (siehe auch '''man rsync'''). Diese Verzeichnisse tauchen auch in der Zeile des Backup-Keys in der authorized_keys des zu sichernden Servers auf:
from="backup-server",no-pty,no-port-forwarding,no-X11-forwarding,no-agent-forwarding,\
command="rsync --server --sender -vlogDtprRe.iLsf --numeric-ids . /home/ /var/backups/ /etc/ /root" \
ssh-rsa AAA...Bw1 rsnapshot@backup-server
(alles in einer Zeile, vor command darf kein Leerzeichen stehen, die \ stehen für das Zeilenende und sind inkl. Zeilenumbruch wieder zu entfernen)

Die Angabe des Servernamens im from="..." ermittelt man am Besten mit
~# host $BACKUPSERVER_IP
auf dem zu sichernden Server.

Falls jedoch beim SSH-Server des Clients die Option '''UseDNS no''' in der ''sshd_config'' gesetzt ist, so ist an dieser Stelle die IP-Adresse einzutragen, da die Verbindung sonst abgelehnt wird.

Die rsync-Optionen korrespondieren mit denen aus der rsnapshot-Konfiguration. Anpassungen müssen auf beiden Seiten erfolgen. Stimmt der Aufruf nicht überein, schlägt rsync fehl, wird ein Verzeichnis nur in der .conf am Ende ergänzt, wird dieses ignoriert. Zu beachten ist der fehlende "/" hinter der letzten Pfadangabe.

Die date-Aufrufe sind nur informativ, um den zeitlichen Ablauf in der Status-Mail zu sehen. Das dahinter angegebene '''unused*''' darf in einer Konfiguration nicht mehrfach verwendet werden, da es als Dummy für das Backup-Target steht. Ein mehrfach verwendetes Backup-Target verhindert die Ausführung des Backups.

Ein eigener Prozeß für das mit einer langsamen Leitung angeschlossene Büro würde etwa so aussehen:

/etc/rsnaphot.d/buero.conf
snapshot_root /srv/backup_buero/
rsync_short_args -av
rsync_long_args --delete --numeric-ids --relative --delete-excluded
ssh_args -C -i /etc/rsnapshot.d/id_rsa

logfile /var/log/rsnapshot-buero.log
lockfile /var/run/rsnapshot-buero.pid

#interval hourly

###############################
### BACKUP POINTS / SCRIPTS ###
###############################

backup_script /bin/date "+ backup of BUERO started at %c" unused1
backup root@srv01:/home/ :/var/backups/ :/etc/ :/root/ srv01/ exclude_file=/etc/rsnapshot.d/exclude-buero.list

backup_script /bin/date "+ backup ended at %c" unused9

Für den eigenen Cronjob wird /etc/cron.d/rsnapshot kopiert:
~# cp /etc/cron.d/rsnapshot /etc/cron.d/rsnapshot-buero

und angepaßt:
#10 1-23/4 * * * root /usr/bin/rsnapshot -c /etc/rsnapshot.d/buero.conf hourly
35 1 * * * root /usr/bin/rsnapshot -c /etc/rsnapshot.d/buero.conf daily
5 1 * * 1 root /usr/bin/rsnapshot -c /etc/rsnapshot.d/buero.conf weekly
35 0 1 * * root /usr/bin/rsnapshot -c /etc/rsnapshot.d/buero.conf monthly

Die stündliche Sicherung wird sowohl in der buero.conf, als auch im Cronjob deaktiviert, damit das Backup den Internetzugang tagsüber nicht lahmlegt.

Rsnapshot

2012-02-06T18:10:59Z

Netbreaker:

[[Category:Linux]]
Es erstellt versionierte Backups und kann mehrere lokale und entfernte Quellen via rsync + ssh sichern.

Die einzelnen Quellen werden sequenziell abgearbeitet, sodaß einerseits keine zu hohe Last auf dem System entsteht, andererseits langsame Verbindungen den Prozeß stark in die Länge ziehen können. Um dies zu verhindern, können mehrere Konfigurationen angelegt werden, die durch separate Cronjobs getrennt aufgerufen werden.

Wichtige Anpassungen in der Konfiguration
/etc/rsnapshot.conf:
snapshot_root /srv/backup/
rsync_short_args -av
rsync_long_args --delete --numeric-ids --relative --delete-excluded
ssh_args -C -i /etc/rsnapshot.d/id_rsa
exclude_file /etc/rsnapshot.d/exclude.list

logfile /var/log/rsnapshot.log
lockfile /var/run/rsnapshot.pid

###############################
### BACKUP POINTS / SCRIPTS ###
###############################

backup_script /bin/date "+ backup of LOCALHOST started at %c" unused0
backup /home/ localhost/
backup /etc/ localhost/
backup /root/ localhost/
backup /var/backups/ localhost/

backup_script /bin/date "+ backup of SRV01 started at %c" unused1
backup root@srv01:/home/ :/var/backups/ :/etc/ :/root/ srv01/ exclude_file=/etc/rsnapshot.d/exclude-srv01.list

backup_script /bin/date "+ backup ended at %c" unused9

Da die Basiskonfiguration von rsnapshot direkt in /etc liegt, legen wir für weitere Dateien das Verzeichnis '''/etc/rsnapshot.d''' an.
Darin werden der SSH-Key (id_rsa), die '''exclude.list''' für localhost, weitere '''exclude-*.list''' für externe Backupquellen, sowie später weitere '''*.conf''' für eigene Prozesse abgelegt.

exclude.list:
*/tmp/*
*/sess_*
*.tmp
*.bak
*.log
*.log.1

In weiteren Konfigurationen muß auf jeden Fall ein abweichendes '''snapshot_root''' verwendet werden!

Da jeder Backuplauf die darin enthaltenen Verzeichnisse rotiert, würde dies zu häufig geschehen und ältere Backups früher als geplant gelöscht. Es entstehen u.U. auch Lücken in den Backups, falls sich die Intervalle unterscheiden. Das hat wiederum zur Folge, daß unnötige Vollbackups gezogen werden. Dadurch steigt sowohl die übertragene Datenmenge als auch der benötigte Festplattenplatz enorm an.

Damit die Backupprozesse unabhängig voneinander laufen können, benötigt jeder ein eigenes '''lockfile'''.

Bei Bedarf kann auch ein eigenes '''logfile''' und ggf. auch ein eigener SSH-Key angegeben werden. Das '''exclude_file''' ist bei zusätzlichen Konfigurationen nicht nötig, da es hier in dem Backup-Aufruf als '''exclude_file=...''' angegeben wird.

Den SSH-Key erzeugen wir mit
~# ssh-keygen -C rsnapshot@backup-server -f /etc/rsnapshot.d/id_rsa
und geben kein Passwort an.

Danach kann dieser mit
~# ssh-copy-id -i /etc/rsnapshot.d/id_rsa root@srv01
übertragen werden. Dazu wird aber ein Login per Passwort bei '''root''' auf '''srv01''' oder besser ein dort hinterlegter Key benötigt, der per ForwardAgent in der aktuellen Sitzung aktiv ist. Sonst muß der Key per '''scp''' übertragen und lokal an die '''authorized_keys''' angefügt werden.

Falls der Key nicht per ssh vom Backupserver zum Backupclient übertragen wird, ist zumindest eine SSH-Testverbindung zu diesem aufzubauen, da sonst das Backup aufgrund fehlendem Hostkey abbricht.

Mehrere zu sichernde entfernte Verzeichnisse werden mit einem ":" beginnend angegeben (siehe auch '''man rsync'''). Diese Verzeichnisse tauchen auch in der Zeile des Backup-Keys in der authorized_keys des zu sichernden Servers auf:
from="backup-server",no-pty,no-port-forwarding,no-X11-forwarding,no-agent-forwarding,\
command="rsync --server --sender -vlogDtprRe.iLsf --numeric-ids . /home/ /var/backups/ /etc/ /root" \
ssh-rsa AAA...Bw1 rsnapshot@backup-server
(alles in einer Zeile, vor command darf kein Leerzeichen stehen, die \ stehen für das Zeilenende und sind inkl. Zeilenumbruch wieder zu entfernen)

Die Angabe des Servernamens im from="..." ermittelt man am Besten mit
~# host $BACKUPSERVER_IP
auf dem zu sichernden Server.

Die rsync-Optionen korrespondieren mit denen aus der rsnapshot-Konfiguration. Anpassungen müssen auf beiden Seiten erfolgen. Stimmt der Aufruf nicht überein, schlägt rsync fehl, wird ein Verzeichnis nur in der .conf am Ende ergänzt, wird dieses ignoriert. Zu beachten ist der fehlende "/" hinter der letzten Pfadangabe.

Die date-Aufrufe sind nur informativ, um den zeitlichen Ablauf in der Status-Mail zu sehen. Das dahinter angegebene '''unused*''' darf in einer Konfiguration nicht mehrfach verwendet werden, da es als Dummy für das Backup-Target steht. Ein mehrfach verwendetes Backup-Target verhindert die Ausführung des Backups.

Ein eigener Prozeß für das mit einer langsamen Leitung angeschlossene Büro würde etwa so aussehen:

/etc/rsnaphot.d/buero.conf
snapshot_root /srv/backup_buero/
rsync_short_args -av
rsync_long_args --delete --numeric-ids --relative --delete-excluded
ssh_args -C -i /etc/rsnapshot.d/id_rsa

logfile /var/log/rsnapshot-buero.log
lockfile /var/run/rsnapshot-buero.pid

#interval hourly

###############################
### BACKUP POINTS / SCRIPTS ###
###############################

backup_script /bin/date "+ backup of BUERO started at %c" unused1
backup root@srv01:/home/ :/var/backups/ :/etc/ :/root/ srv01/ exclude_file=/etc/rsnapshot.d/exclude-buero.list

backup_script /bin/date "+ backup ended at %c" unused9

Für den eigenen Cronjob wird /etc/cron.d/rsnapshot kopiert:
~# cp /etc/cron.d/rsnapshot /etc/cron.d/rsnapshot-buero

und angepaßt:
#10 1-23/4 * * * root /usr/bin/rsnapshot -c /etc/rsnapshot.d/buero.conf hourly
35 1 * * * root /usr/bin/rsnapshot -c /etc/rsnapshot.d/buero.conf daily
5 1 * * 1 root /usr/bin/rsnapshot -c /etc/rsnapshot.d/buero.conf weekly
35 0 1 * * root /usr/bin/rsnapshot -c /etc/rsnapshot.d/buero.conf monthly

Die stündliche Sicherung wird sowohl in der buero.conf, als auch im Cronjob deaktiviert, damit das Backup den Internetzugang tagsüber nicht lahmlegt.

Hauptseite

2012-01-03T09:12:49Z

Netbreaker: Änderung 1135 von Thomasm (Diskussion) wurde rückgängig gemacht.

'''[[:Category:Administration|Administration]]''' 

'''[[:Category:Anwendungen|Anwendungen]]''' 

'''[[:Hardware|Hardware]]''' 

'''[[:Category:Programmierung|Programmierung]]''' 

'''[[:Category:ERP/CRM-Systeme|ERP/CRM-Systeme]]''' 

'''[[:Category:LDAP|LDAP]]''' 

'''[[:Category:Plattformen|Plattformen]]''' 

'''[[:Category:Datenbanken|Datenbanken]]''' 

====[[Firefox]]====

===Domains/DNS===

* [[whois]]
* [[Domainregistrierung bei Dopoly]]
* [[DNS-Zonen einrichten]]
* [[Strato-DynDNS]]

===Drucksysteme===
* [[CUPS]]

===ERP/CRM-Systeme===

====Navision====

====ADempiere====

====Lexware====

===Fernwartung===

====[[SSH]]====

====[[RSSH]]====

====VNC====

====[[TeamViewer]]====

===Googleapplikationen===

====[[GoogleEarth]]====

===Hardware===

====[[Luefter]]====

===LDAP===
* [[LDAP]]-Grundlagen, Server- und Clientkonfiguration

====[[PAM-LDAP]]====
* LDAP als Authentication-Backend für PAM (login, ssh, ftp usw.)

====[[NSS-LDAP]]====
* LDAP als Informationsquelle für NSS

====SASL====
* SASL (Postfix, Cyrus)

====direkte LDAP-Authentifizierung====
* direktes LDAP_Auth bei Apache, Samba, FTP

====Webapplikationen====
* PHP-LDAP

====LDAP als Datenquelle für weitere Dienste====
* Adressbücher
* DNS

===Linux===

====Server-Installation====
[[Debian Lenny]] | [[Hetzner installimage]] | [[RAID+LVM]]

====Paketquellen====
* [[zusätzliche Quellen für Debian]]
* [[zusätzliche Quellen für Ubuntu]]
* [[GPG-Fehler]]

====Rettungssysteme====
* [[Arbeiten im Rescuesystem]]

====Netzwerkkonfiguration====
* [[Interfacekonfiguration im laufenden Betrieb]]
* [[zusätzliche IP-Adressen]]
* [[Bridging]]

====Firewallkonfiguration====
* [[ferm]]

====Backup====
* tar, dd (+netcat), [http://www.partimage.org/Main_Page partimage]
* rsync
* rsyncbackup [http://www.howtoforge.de/howto/regelmasige-backups-mit-rsyncbackup-auf-debian-etch/ HowtoForge]
* [[rsnapshot]]
* rdiff-backup
* [[backupninja]]
* [[automysqlbackup]]
* BackupPC: [http://www.pro-linux.de/artikel/2/1183/backuppc-als-backupserver-im-heimnetzwerk.html pro-linux-Beitrag] | [http://www.howtoforge.de/howto/sichern-von-linux-und-windows-systemen-mit-backuppc/ Howto deutsch]
* [http://www.arkeia.com/de Arkeia Backup] | [http://www.arkeia.com/de/freelinuxbackup Free Version]
* [http://www.amanda.org/ Amanda]
* [http://de.wikipedia.org/wiki/Bacula Bacula] | [http://www.bacula.org/manuals/en/concepts/concepts/New_Features.html#SECTION003200000000000000000 Bacula Exchange Server 2003/2007 Plugin] | [http://www.dass-it.de/produkte/baculaae-die-netzwerk-backup-loesung dass-IT zu Bacula]
* [http://www.searchstorage.de/index.cfm?pid=3642&pk=223200 Amanda, Bacula und BackupPC im Vergleich]
* [http://kefk.org/datensicherheit/backups.unter.debian.gnu.linux.mit.duplicity.und.ftplicity ftplicity (mit GPG)]
* [http://www.sysresccd.org/Hauptseite SystemRescueCD]
* [http://www.tim-bormann.de/debian-backup-von-paketlisten-und-einstellungsdateien/ Debian-Paketlisten-Backup]
* [[Backup einer Linux-VM unter Windows]]

====Syslog-Tuning====
[http://www.heise.de/netze/artikel/Erweiterte-Systemueberwachung-mit-rsyslog-846750.html Erweiterte-Systemueberwachung-mit-rsyslog]

====Socks====
* [[SOCKS4-Server]]
* [[tsocks]]
* [[socksifizierte Clients]]

====Systemwartung====
* [[Festplattenaustausch (RAID)]]

====Grafische Oberfläche====
* [[Klassische Adressleiste im Gnome-Nautilus]]

===Mailserver===

====Postfix====

====Cyrus====

====[[MS Exchange]]====

====Sieve====

====Webmailer====

===[[:Category:Programmierung]]===
====[[:Category:BASH]]====

====IDEs====
* [[Eclipse]]

====[[PHP]]====

====XUL====

===Router===
* Ports: [http://www.iana.org/assignments/port-numbers offizielle IANA Port Nummern]

====[[FritzBox]]====

====LinkSys====

=====[[DD-WRT als Firmware]]=====

=====[[VPN-Firmware für Linksys WRT54GL]]=====

====[[ipCop]]====

====pfSense====

=====[[pfSense als load balancer (Multi-WAN Version 1.2.x)]]=====
=====[[pfSense mit DMZ und ADSL Modem an red ]]=====
=====[[diverse Probleme und Lösungen]]=====

====[http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html Einrichten Radius-Server für WLAN bei heise.de]====

====SmoothWall====

====DSL-Konfiguration====
* [[Vodafone]]

===Samba===
* PDC
* [[SMB-LDAP]]
* [[Windows7-Domain-Logons]]
* WebAdminInterface

===Security Systeme===

====Panda-Security====
* [[Panda-Security Partnerkonsole]]

====[[Sophos]]====

===Synchronisation===
* Framework für Kontakte, Aufgaben, Kalendereinträge:
** Serverbackends
** Protokolle (SyncML, *DAV, ...)
** Clients (Thunderbird, Webclient, verschiedene Handys)
** Gruppenfähigkeit?

* Akonadi
* OpenSync
* [http://packages.debian.org/lenny/multisync-tools multisync-tools]

===Thunderbird===
*[[Profile verwalten]]

===Verschlüsselung===

* SSH
* SSL
* HTTPS-Proxy
* [[OpenVPN]]
* GPG
* [[s-Protokolle]] [http|pop|imap]s
* [[X.509 Zertifikate]]

===Virtualisierung===

* [[Allgemeines]]
* [[KVM]]
* [[VirtualBox]]
* [[VMware]]
* [[VServer]]
* [[Xen]]
* [http://www.linux-kvm.org/page/Management_Tools Management-Tools]

===Webapplikationen===

====CMS====
* [[TYPO3]]
* [[Joomla]]
* WordPress
* Drupal
* Django
* [http://www.pragmamx.org/ PragmaMX] (mal anschauen)

====Groupware====
* eGroupware

====Webshops====
* osCommerce
* xtCommerce
* JTL
* ITIS
* Magento

====Wikis====
* [[MediaWiki]]

===Webserver===
* [[apache]]
* Zugriffsstatistiken mit dem [[webalizer]]

===Windows===
* [[SBS2003 Recovery von NT-Backup]]
* [[SBS2008]]
* [[Systemeinstellungen]]
* [[WebDAV]]
* [[Batch-Dateien]]
* [[DPMAdirekt]]
* [[Laufwerke ausblenden unter Windows 7]]
* [http://www.asconix.com/blog/restart-exchange-2003-server MS ExchangeServer 2003 neu starten]
* [[MS Office 2007]]
* [[MS Visio 2002]]
* [[MS Outlook Allgemein]]
* [[Office Ressource Kit]]
* [[Servergespeicherte Profile]]
* [[Windows-Tools]]
* [[Netzwerkverbindungsprobleme unter win7]]
* [[ipconfig /release und ipconfig /renew und/oder einstellen einer festen IP schlagen fehl]]
* [[0x80070035 Netzlaufwerk / Freigabe]]
* [[ScanSnap Manager S500 / S510 / fi-510E0X2 / fi-510E0X2]]
* [[Symantec Backup Exec]]
* [[TK-Anlagen-Software]]
* [[Profil Umzug/Kopie/Vorlage für Win7]]
* [[Epoline / Umzug Server & Client in neues IP Netz]]

===Zertifikate===
* [[Certificate Authority]] (CA)
* [[Erstellung einer eigenen hierachischen CA]] (selbst signiert)
* [[XCA]]

----

Google Earth

2012-01-01T16:42:59Z

Netbreaker:

[[Category:Linux]] [[Category:Anwendungen]]
==GoogleEarth 5 – Ubuntu 8.10==

Nach der Installation von GoogleEarth 5 auf Ubuntu 8.10 bekommt man folgende Fehlermeldung:

googleearth-bin:
relocation error:
/usr/lib32/i686/cmov/libssl.so.0.9.8: symbol BIO_test_flags,
version OPENSSL_0.9.8 not defined in file libcrypto.so.0.9.8
with link time reference

Lösung:
Benennen Sie die “libcrypto.so.0.9.8″ in “orig-libcrypto.so.0.9.8″
im Installationsverzeichnis von GoogleEarth um:

<source lang="bash">
:~/$ mv google-earth/libcrypto.so.0.9.8
google-earth/orig-libcrypto.so.0.9.8
</source>

Firefox

2012-01-01T16:41:52Z

Netbreaker:

[[Category:Administration]] [[Category:Anwendungen]] [[Category:Plattformen]]
==langsamer Firefox – network.dns.disableIPv6==

Auf einigen Systemen ist das Browsen mit Firefox sehr langsam.
Dies kann mit der Netzwerkkonfiguration zusammenhängen:

*Im Betriebssystem ist IPv6 nicht oder nicht korrekt konfiguriert
* Der Router unterstützt kein IPv6
* Fehlerhafte Rückgabe auf IPv6 DNS-Lookups einiger DNS-Server (Antwort mit IPv4 Adresse)

In diesen Fällen können Sie IPv6 im Firefox deaktivieren.

# Geben Sie in der Adresszeile about:config ein und drücken Sie die Eingabetaste.
# Geben Sie im Feld Filter network.dns.disableIPv6 ein.
# Setzen Sie den Wert durch doppelklick auf true
# Starten Sie Firefox neu.

Hinweis:

Diese Vorgehensweise ist nur sinnvoll, wenn sie Probleme bei Seitenaufrufen haben. Sollte Ihr Firefox einwandfrei funktionieren, habe Sie keinerlei Vorteile von der Deaktivierung der IPv6 Unterstützung.

[http://kb.mozillazine.org/Network.dns.disableIPv6 MozillaZine Knowledge Base (englisch) zu network.dns.disableIPv6]

==Keine doppelte Virenprüfung==

Firefox überprüft heruntergeladene Dateien auf Viren. Ein aktueller Virenscanner auf dem Rechner ist ohnehin absolute Pflicht und überprüft Ihre Downloads ebenfalls auf Viren.

Diese doppelte Virenprüfung ist jedoch nicht notwendig, sodass Sie sie einfach abschalten sollten:

# Geben Sie dazu den Befehl „about:config“ in die Adresszeile von Firefox ein und drücken Sie die Eingabetaste.
# Im Feld „Filter“ tippen Sie anschließend „browser.download.manager.scanwhendone“ ein.
# Klicken Sie dann mit der linken Maustaste doppelt auf den gleichnamigen Eintrag. Dadurch ändert sich der Wert für diesen Eintrag von „true“ in „false“.
# Jetzt werden heruntergeladene Dateien nur noch einmal und nicht mehr zweimal von Ihrem Virenscanner auf Schad-Software überprüft.

==ungekürzte Adresszeile im Firefox 7==

Falls Sie die Zeichenfolge "http://" am Anfang Ihrer Adresszeile vermissen: Die blendet Firefox 7 standardmäßig aus. Wenn Sie sie wiederhaben wollen, müssen Sie an den Einstellungsdialogen vorbei direkt in die Konfigurationsdatei von Firefox eingreifen.

Geben Sie dazu in die Adresszeile "about:config" ein. Nach einer Sicherheitswarnung zeigt Firefox sämtliche Innereien seiner Konfiguration an. Seien Sie also wirklich vorsichtig!

Filtern Sie die Datei nach "trimurl", so bleibt als einzige Zeile die Einstellung "browser.urlbar.trimURLs" übrig. Diese können Sie per Doppelklick von true auf false stellen, und schon ist das http wieder da.

Quelle: [http://www.computerwissen.de/freeware-open-source/firefox/artikel/firefox-7.html?lid=MTMxNDIzODIxNA%3D%3D025799019 computerwissen.de Open-Souce-Newsletter]

Kategorie:MySQL

2012-01-01T16:21:26Z

Netbreaker:

[[Category:Datenbanken]]

Passwortübergabe in Shell-Skripten

2012-01-01T16:18:20Z

Netbreaker: Die Seite wurde neu angelegt: Category:MySQL Wenn der MySQL-Client '''nicht-interaktiv''' in Skripten aufgerufen werden soll und damit das Passwort nicht eingegeben werden kann, kann es als Par...

[[Category:MySQL]]

Wenn der MySQL-Client '''nicht-interaktiv''' in Skripten aufgerufen werden soll und damit das Passwort nicht eingegeben werden kann, kann es als Parameter übergeben werden:

<source lang="bash">
mysql -pGEHEIM DBNAME
</source>

Das führt aber dazu, daß das Passwort in der Prozessliste auftaucht und somit für andere Benutzer auf dem System z.B. mit '''ps''' sichtbar ist.

Alternativ kann das Passwort auch als Umgebungsvariable 'MYSQL_PWD' übergeben werden:

<source lang="bash">
EXPORT MYSQL_PWD=GEHEIM
mysql DBNAME
</source>

Auch diese Methode ist unsicher, da auch die Umgebungsvariablen u.U. ausgelesen werden können.

Die sicherste Methode ist das Hinterlegen des Passworts in der Konfigurationsdatei '''~/.my.cnf''':
<source lang="bash">
[client]
password=GEHEIM
</source>
mit restriktiven Zugriffsrechten:
<source lang="bash">
chmod 600 ~/.my.cnf
</source>

Der Aufruf erfolgt dann, wie schon bei der Variante mit der Umgebungsvariable, ohne Option '''-p'''.

Kategorie:MySQL

2012-01-01T16:17:15Z

Netbreaker:

[[Category:Datenbanken]]

[[Passwortübergabe in Shell-Skripten]]

Kategorie:MySQL

2012-01-01T16:12:14Z

Netbreaker: Die Seite wurde neu angelegt: Category:Datenbanken

[[Category:Datenbanken]]

Kategorie:Datenbanken

2012-01-01T14:36:24Z

Netbreaker:

[[MySQL]]

Kategorie:Datenbanken

2012-01-01T14:34:27Z

Netbreaker: Die Seite wurde neu angelegt: '''MySQL'''

'''[[:Category:MySQL|MySQL]]'''

Hauptseite

2012-01-01T14:33:13Z

Netbreaker:

Bash Bashing

2011-12-26T09:53:48Z

Netbreaker: /* Parameter-Expansion */

Ipconfig /release und ipconfig /renew und/oder einstellen einer festen IP schlagen fehl

2011-11-24T20:06:54Z

Netbreaker: /* mgl. Lösung */

=== Problem ===
* Beobachtet unter MS Vista.
* Der PC erhält keine neue IP via DHCP, u.U. steht diese im Bereich 169.254.x.x. ''ipconfig /release'' bricht mit Fehlermeldungen ab, ''ipconfig /renew'' benötigt sehr lange. Es kann u.U. geschehen, dass das Standardgateway etc. erneuert werden, nur eben die IP-Adresse nicht.
* Der Versuch eine Feste IP-Adresse einzustellen scheitert ggf. ebenfalls, dass heißt ''ipconfig /all'' zeigt was anderes als die GUI.
=== Ursache ===
??? ... falscher OS-Typ?
=== mgl. Lösung ===
* cmd als Administrator ausführen

net stop server
net start server

netsh --> int ip reset bla.txt
winsock --> reset

* Netzwerkkarte de- und wieder aktivieren
* "Hardware-Reset" durch Netzwerkkabel aus- und einstecken
* dann, na was wohl ... NEUSTART

SSH

2011-11-19T15:59:07Z

Netbreaker: /* Sichere passwortlose Logins mit SSH */

===Sichere passwortlose Logins mit SSH===

Für ein passwortloses Login wird ein SSH-Key benötigt. Der Public-Key muß dazu auf das Zielsystem in die Datei ~/.ssh/authorized_keys kopiert werden. Der Privat-Key verbleibt beim SSH-Client und sollte mit einer Passphrase gesichert sein.

Für automatisierte Vorgänge (z.B. Backupskripte) können auch passwortlose Schlüssel erzeugt werden.
(Passwortlose) Logins können auf dem Zielsystem in der authorized_keys entsprechend eingeschränkt werden.

no-pty,no-port-forwarding,command="./backup.sh",from="backupserver.meine-domain.de" ssh-dss AAAAB3...
Startet das Backupskript nur, wenn die Verbindung vom Backupserver kommt.

no-pty,no-port-forwarding,no-X11-forwarding,no-agent-forwarding,permitopen="192.168.8.2:80" ssh-dss AAAAB3...
In diesem Falle werden das Öffnen eines Terminals (no-pty), Tunnel (no-port-forwarding) allgemein verboten, jedoch mit permitopen einzelne Tunnel wieder erlaubt.
permitopen="192.168.8.2:80",permitopen="192.168.8.2:443"
... kann mehrfach wiederholt werden.

* [http://www.schlittermann.de/doc/ssh.html SSH ohne Passwort -- Kurze Anleitung zur Nutzung]
* [http://www.different-thinking.de/ssh2_howto.php SSH und Putty]
* [http://www.sshkeygen.com/ SSH-Key-Webgenerator]
* [http://www.blisstonia.com/eolson/notes/smboverssh.php Samba/CIFS/SMB file systems over SSH]
* [http://sites.google.com/site/caughron/ ssh-rekey] (mal näher anschauen)

===SSH-Key erzeugen===

Es ist empfehlenswert, den SSH-Key auf einem (lokalen) vertrauenswürdigen System zu erzeugen,
da man sich nur so sicher sein kann, daß der private Schlüssel samt Passphase nicht schon beim erzeugen in fremde Hände gelangt.

$ ssh-keygen -t rsa
Erzeugt einen RSA-Schlüssel für Protokollversion 2 mit 2048 Bit Schlüssellänge, welcher dann unter
'''~/.ssh/id_rsa''' bzw. '''~/.ssh/id_rsa.pub''' abgelegt wird.

Statt '''rsa''' kann auch '''dsa''' verwendet werden. Von einigen SSH-Tools wird RSA als Voreinstellung verwendet, bei DSA muß dies dann extra angegeben werden. Welches der beiden Verfahren sicherer ist, kann man nicht allgemeingültig beantworten.

===SSH-Key auf entfernten Host übertragen===

Üblicherweise überträgt man seinen SSH-Key mit
$ ssh-copy-id [-i [identity_file]] [user@]machine
auf einen entfernten Host. Als identity_file muß immer der public key (*.pub) angegeben werden.
Ohne Option -i wird dabei '''~/.ssh/id_rsa.pub''' als identity_file verwendet.

====Sonderfall: abweichender Port des SSH-Servers====

$ ssh-copy-id '[-i [identity_file]] [-p [port]] [user@]machine'
Damit kann der Port gewählt werden. Wichtig sind die Hochkommas.

Ohne diese erhält man folgende Fehlermeldung:
Bad port 'umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/authorized_keys'

Falls ssh-copy-id nicht vorhanden ist geht das auch so:
$ cat [identity_file] | ssh [-p [port]] [user@]machine 'umask 077; test -d .ssh || mkdir .ssh ; cat >>.ssh/authorized_keys'

===SSH-Client konfigurieren===

Um sich Tipparbeit bei der täglichen Verwendung von ssh zu sparen, kann man die Konfiguration der verschiedenen Hosts, verschiedene Logins zu dem selben Host oder auch allgemeine Optionen für eine Gruppe von Hosts bzw. von der serverweiten Konfiguration abweichende Einstellungen in der '''~/.ssh/config''' ablegen.

Beispiel:
Host ipcop123
HostName ipcop.irgendwo.de
Port 222
User hans
Compression yes
ServerAliveInterval 30
ServerAliveCountMax 120
# IPcop Webinterface
LocalForward 10445 localhost:445
# Terminalserver
LocalForward 13389 192.168.111.2:3389

Mit '''ssh ipcop123''' wird daraufhin eine SSH-Verbindung zu ipcop.irgendwo.de auf den vom Standard abweichenden Port 222 als Benutzer hans aufgebaut. Die Verbindung wird dabei transparent komprimiert. Damit die Verbindung bei Inaktivität nicht abbricht werden aller 30s Keepalive-Pakete 1 Stunde lang (120 * 30s) versandt. Für das Webinterface des IPcops wird ein Tunnel vom lokalen Port 10445 zum Port 445 des IPcops (localhost aus Sicht des Tunnelendes) sowie ein weiterer Tunnel für eine RDP-Verbindung zum Terminalserver im entfernten Netz aufgebaut.

===Agent Forwarding===

Mit eingeschaltetem 'Agent Forwarding' kann der private Schlüssel ausschließlich auf dem eigenen Client liegen bleiben und man sich trotzdem mit dem lokalen Schlüssel vom Server aus zum Nächsten verbinden.

~/.ssh/config:
Host MyServer
...
ForwardAgent yes
...

Dies verschafft gelegentlich auch eine trügerische Sicherheit. Beim Testen von 'restricted keys', etwa einem passwortlosen Backupschlüssel, wird stattdessen der 'forwarded key' verwendet, der wahrscheinlich keine Restriktionen aufweist. Somit funktioniert der manuelle Test des Backups, aber das Cron-gesteuerte Backup scheitert danach. In dem Falle sollte eine SSH-Verbindung ohne 'Agent Forwarding' verwendet werden.

===X11Forwarding===

Sollen X11-Sessions per SSH weitergeleitet werden, muß dies auf der Serverseite sowohl in der sshd_config erlaubt sein als auch auf der Clientseite in der Config mit '''ForwardX11 yes''' bzw. mit dem Kommandozeilenparameter '''-X''' aktiviert werden. Weiterhin muß auf dem Server '''xauth''' installiert sein, damit die '''.Xauthority''' im Homeverzeichnis angelegt und die DISPLAY-Variable gesetzt wird.

Apache

2011-11-07T14:07:50Z

Netbreaker: /* mod_ssl --- Zertifikate mit Kennwort */

=Apache 2=

* Unterschiede der verschiedenen Typen (event, prefork, worker, ITK)?

; mpm-prefork: Arbeitsweise ähnlich Apache 1.3, unterstützt keine Threads, arbeitet langsamer als worker, aber stabiler (?). Erzeugt beim Start eine definierte Anzahl von Prozesses, die einzelne Anfragen abarbeiten. Unter bestimmten Bedingungen wird die Anzahl der auf Vorrat gestarteten Prozesse dem Bedarf angepasst.
; mpm-worker: unterstützt Threads, nutzt aber auch das prefork-Modell. Jeder vorab gestartete Prozess enthält eine feste Anzahl von Threads für Clientanfragen. Die Anzahl der Prozesse wird wie beim mpm-prefork gesteuert. mod_php ist nicht threadsafe und kann daher hier nicht eingesetzt werden.
; mpm-event: eine worker-Variante, die besser mit keepalive-Verbindungen umgehen kann. Hier wird der Thread nicht von der Verbindung festgehalten/blockiert. Die persistenten Daten werden zwischengespeichert und bei Bedarf einem beliebigen Thread zugewiesen.
; mpm-itk: eine prefork-Variante ähnlich dem nicht mehr weiterentwickelten perchild-Modell. In diesem Fall können vHosts mit unterschiedlichen Benutzer/Gruppenrechten gestartet werden. Damit werden die vHosts besser voneinander abgeschottet. Damit können auch Apache-Module (z.B. PHP) unter den Rechten des Benutzers ausgeführt werden. (suexec für mod_php)

* Wozu ist apache2-suexec gut?
Ermöglicht die Ausführung von Programmcode (z.B. PHP, Perl) via CGI unter anderen Benutzerrechten. Kann als Alternative zum mpm-ITK in den Threaded-Apache-Modellen (worker, event) benutzt werden, um Programmcode mit Nicht-Apache-Benutzerrechten auszuführen.

* Unterschied zwischen libapache2-mod-php5 und -php5filter?
PHP-Filter-Module ???

==Steuerung==

apache2ctl start|stop|restart|graceful|graceful-stop|configtest|status|fullstatus

Ein-/Ausschalten von Modulen:
a2enmod <Modulname>
a2dismod <Modulname>

Ein-/Ausschalten von VirtHosts:
a2ensite <VirtHostConfigName>
a2dissite <VirtHostConfigName>

==Konfiguration==

===VirtualHosts===

Der Apache kann sowohl IP-basierte als auch namensbasierte virtuelle Hosts verwalten. Sobald mehrere VirtualHosts auf einer IP laufen sollen, muß '''NameVirtualHost''' (in der /etc/apache2/ports.conf) konfiguriert sein.

* pauschal für alle IP-Adressen des Servers:
NameVirtualHost *:80

* für einzelne IP-Adressen benannt:
NameVirtualHost xx.yy.zz.1:80
NameVirtualHost xx.yy.zz.2:80

Sollen später neben einer pauschalen auch benannte namensbasierte VirtualHost-Konfigurationen verwendet werden, so sind diese hier zusätzlich anzugeben.

Fehlt hier die Angabe, so wird von einem IP-basierten VirtualHost ausgegangen. Ein zweiter auf diese IP konfigurierter VirtualHost wird nicht funktionieren und mit einer der folgenden Warnungen quittiert:
VirtualHost xx.yy.zz.1:80 overlaps with VirtualHost xx.yy.zz.1:80, the first has precedence, perhaps you need a NameVirtualHost directive
VirtualHost www.domain-A.de:80 overlaps with VirtualHost www.domain-B.de:80, the first has precedence, perhaps you need a NameVirtualHost directive

Die Konfigurationen der virtuellen Hosts können wiederum pauschal, per IP oder DNS-Name erfolgen:
<VirtualHost *:80>
ServerName www.domain-A.de
...
</VirtualHost>

<VirtualHost xx.yy.zz.1:80>
ServerName www.domain-A.de
...
</VirtualHost>

<VirtualHost www.domain-A.de:80>
ServerName www.domain-A.de
...
</VirtualHost>

Beim Laden der Konfiguration wird der DNS-Name entsprechend aufgelöst. Die Namensauflösung kann bei langsamen oder nicht verfügbaren DNS-Servern zu deutlichen Verzögerungen führen. Die daraus resultierende IP muß mit einer oben benannten IP übereinstimmen, falls '''NameVirtualHost''' nicht pauschal konfiguriert wurde.

Sobald eine IP in einer benannten VirtualHost-Konfiguration verwendet wird, funktioniert diese IP nicht mehr in einer pauschalen VirtualHost-Konfiguration.

Beispiel:
# Namensauflösung:
# www.domain-A.de => xx.yy.zz.1
# www.domain-B.de => xx.yy.zz.1
# www.domain-C.de => xx.yy.zz.2

NameVirtualHost *:80
NameVirtualHost xx.yy.zz.1:80

<VirtualHost xx.yy.zz.1:80>
ServerName www.domain-A.de
...
</VirtualHost>

<VirtualHost *:80>
ServerName www.domain-B.de
...
</VirtualHost>

<VirtualHost *:80>
ServerName www.domain-C.de
...
</VirtualHost>

Domain-B funktioniert nicht, da die IP von Domain-A in einer benannten VirtualHost-Direktive verwendet wurde und führt zu folgender Warnung:
[warn] _default_ VirtualHost overlap on port 80, the first has precedence

Domain-C funktioniert jedoch, da diese IP nicht anderweitig verwendet wurde.

Unbenutzte NameVirtualHost-Direktiven werden beim Laden der Konfiguration ebenfalls mit einer Warnung quittiert:
[warn] NameVirtualHost xx.yy.zz.2:80 has no VirtualHosts

Fazit: Entweder werden alle zu einer IP gehörenden VirtualHosts mit *:80 konfiguriert oder keiner davon.

NameVirtualHosts funktionieren auch mit https, sofern der Client mitspielt:
[warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
Hauptsächlich von der Einschränkung betroffen sind ältere Internet Explorer.

===VirtualHosts mit eigener Benutzerkennung===

Mit dem Apache mpm-itk ist es möglich, einzelne VirtualHosts abweichend vom Standardbenutzer des Webservers (www-data) mit eigenen Benutzerrechten laufen zu lassen.

Ausgehend von einem Account '''a0001:a0001''' (User:Group) legen wir noch einen weiteren Account '''a0001-www:a0001''' an.

Danach ist in der VirtualHost-Konfiguration folgende Zeile zu ergänzen:
<VirtualHost ...>
AssignUserId a0001-www a0001
...
</VirtualHost>

Damit kann der Benutzer a0001 über die Gruppenberechtigung steuern in welches Verzeichnis der Webserver wie zugreifen kann. 'Others'-Rechte können somit entfallen, was die Sicherheit wieder verbessert. D.h. ein '''chmod 750''' auf Verzeichnisse und '''640''' auf Dateien macht den Inhalt für den Webserver lesbar, ein '''770''' bzw. '''660''' gibt dem Webserver das Schreibrecht darauf.

===mod_ssl --- Zertifikate mit Kennwort===
Hat man SSL Zertifikate, die Kennwort geschützt sind, kann man entweder das Kennwort aus dem Zertifikat entfernen, oder die
'''SSLPassPhraseDialog''' - Direktive von ''builtin'' auf ''exec:Pfad zu script'' setzten. (http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslpassphrasedialog)

SSLPassPhraseDialog exec:/etc/ssl/sslpw.sh

sslpw.sh:

#!/bin/bash
echo ''Kennwort''

Dem Skript werden dabei 2 Parameter übergeben, der 1. beinhaltet "Servername:Port" und der 2. "RSA" oder "DSA". Diese Parameter können ausgewertet werden, um verschiedenen Zertifikaten die richtige Passphrase zu übermitteln. Dabei könnte auch die Integrität des Systems überprüft werden, bevor die Passphrase freigegeben wird.

===Rewrites===

Die RewriteRules zeigen in <Location> und <Directory>-Containern unterschiedliches Verhalten.

<Location> bezieht sich auf DocumentRoot, <Directory> auf den physischen Pfad im System.

DocumentRoot /var/www
<Location />
...
</Location>
<Directory /var/www/>
...
</Directory>

Alias /doku/ /usr/share/doc/
<Directory /usr/share/doc/>
...
</Directory>
<Location /doc/>
...
</Location>

Die Anweisungen beziehen sich auf dasselbe Verzeichnis und sind anscheinend gleichbedeutend.

In einer RewriteRule sind aber ggf. unterschiedliche Auswertungen nötig bzw. werden unterschiedliche Ergebnisse geliefert.
<Location />
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Location>
<Directory /var/www/>
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Directory>

In <Location> wird der physische Pfad als $1 weitergegeben, in <Directory> dagegen der Pfad ab DocumentRoot (nochmal validieren!).

<Directory /var/www/api/>
...
RewriteBase /api/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Directory>

RewiteBase korrigiert dies bei Unterverzeichnissen entsprechend. Standardmäßig gesetzt ist:
RewriteBase /
was sich dementsprechend bei <Location> auf den physischen Pfad / und bei <Directory> auf DocumentRoot bezieht.

Alias /doku/ /usr/share/doc/
<Directory /usr/share/doc/>
...
RewriteBase /doku/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Directory>

Bei einem Alias muß sich RewriteBase wieder auf den Pfad ab DocumentRoot beziehen, was die obige Vermutung bestätigt..

Ausgehend von dem Ergebnis bei <Location>, muß hier als RewriteBase der physische Pfad angegeben werden (validieren!.
<Location />
...
RewriteBase /var/www/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Location>
<Location /doc/>
...
RewriteBase /usr/share/doc/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Location>

Firefox

2011-10-11T08:25:49Z

Netbreaker:

==langsamer Firefox – network.dns.disableIPv6==

Auf einigen Systemen ist das Browsen mit Firefox sehr langsam.
Dies kann mit der Netzwerkkonfiguration zusammenhängen:

*Im Betriebssystem ist IPv6 nicht oder nicht korrekt konfiguriert
* Der Router unterstützt kein IPv6
* Fehlerhafte Rückgabe auf IPv6 DNS-Lookups einiger DNS-Server (Antwort mit IPv4 Adresse)

In diesen Fällen können Sie IPv6 im Firefox deaktivieren.

# Geben Sie in der Adresszeile about:config ein und drücken Sie die Eingabetaste.
# Geben Sie im Feld Filter network.dns.disableIPv6 ein.
# Setzen Sie den Wert durch doppelklick auf true
# Starten Sie Firefox neu.

Hinweis:

Diese Vorgehensweise ist nur sinnvoll, wenn sie Probleme bei Seitenaufrufen haben. Sollte Ihr Firefox einwandfrei funktionieren, habe Sie keinerlei Vorteile von der Deaktivierung der IPv6 Unterstützung.

[http://kb.mozillazine.org/Network.dns.disableIPv6 MozillaZine Knowledge Base (englisch) zu network.dns.disableIPv6]

==Keine doppelte Virenprüfung==

Firefox überprüft heruntergeladene Dateien auf Viren. Ein aktueller Virenscanner auf dem Rechner ist ohnehin absolute Pflicht und überprüft Ihre Downloads ebenfalls auf Viren.

Diese doppelte Virenprüfung ist jedoch nicht notwendig, sodass Sie sie einfach abschalten sollten:

# Geben Sie dazu den Befehl „about:config“ in die Adresszeile von Firefox ein und drücken Sie die Eingabetaste.
# Im Feld „Filter“ tippen Sie anschließend „browser.download.manager.scanwhendone“ ein.
# Klicken Sie dann mit der linken Maustaste doppelt auf den gleichnamigen Eintrag. Dadurch ändert sich der Wert für diesen Eintrag von „true“ in „false“.
# Jetzt werden heruntergeladene Dateien nur noch einmal und nicht mehr zweimal von Ihrem Virenscanner auf Schad-Software überprüft.

==ungekürzte Adresszeile im Firefox 7==

Falls Sie die Zeichenfolge "http://" am Anfang Ihrer Adresszeile vermissen: Die blendet Firefox 7 standardmäßig aus. Wenn Sie sie wiederhaben wollen, müssen Sie an den Einstellungsdialogen vorbei direkt in die Konfigurationsdatei von Firefox eingreifen.

Geben Sie dazu in die Adresszeile "about:config" ein. Nach einer Sicherheitswarnung zeigt Firefox sämtliche Innereien seiner Konfiguration an. Seien Sie also wirklich vorsichtig!

Filtern Sie die Datei nach "trimurl", so bleibt als einzige Zeile die Einstellung "browser.urlbar.trimURLs" übrig. Diese können Sie per Doppelklick von true auf false stellen, und schon ist das http wieder da.

Quelle: [http://www.computerwissen.de/freeware-open-source/firefox/artikel/firefox-7.html?lid=MTMxNDIzODIxNA%3D%3D025799019 computerwissen.de Open-Souce-Newsletter]

VPN-Firmware für Linksys WRT54GL

2011-10-06T12:26:23Z

Netbreaker: /* LAN-LAN-Koppelung */

==Firmware flashen==

*Um den Linksys WRT54GL v1.1 (siehe Geräteunterseite) für VPN vorzubereiten, muss zuvor die Firmware ''dd-wrt.v24_mini_generic.bin'' von der Geräteseite [http://www.dd-wrt.com/site/support/other-downloads?path=v24-sp1%2FConsumer%2FLinksys%2FWRT54GL_1.1%2F] geladen werden. Dadurch ändert sich der Login auf ''root'' (Benutzername) und ''admin'' (Passwort).
*Anschließend kann dann die eigentliche Firmware ''dd-wrt.v24_vpn_generic.bin'' [http://www.dd-wrt.com/site/support/other-downloads?path=v24-sp1%2FConsumer%2FLinksys%2FWRT54GL_1.1%2F] aufgespielt werden.
*Im Menü kann optional noch ausgewählt werden, ob der Router nach erfolgreichem Flashen auf Werkseinstellung gesetzt werden soll.

==LAN-LAN-Kopplung==

DD-WRT benutzt NAT auch für die OpenVPN-Clientverbindungen. Im Netz hinter dem OpenVPN-Server erscheinen die Anfragen mit der VPN-IP des Clients, nicht mit der IP des LAN-Clients hinter dem OpenVPN-Client.

Um das zu korrigieren, in der Weboberfläche unter Administration -> Commands folgende Befehle einfügen:
iptables -N VPN
iptables -F VPN
iptables -A VPN -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j VPN
iptables -I FORWARD -i tun0 -j VPN
iptables -I POSTROUTING -t nat -o tun0 -j RETURN
und mit 'Save Firewall' als Firewallskript abspeichern

Durch den Client wird auch keine Route auf dem Server zum Client-LAN gesetzt.
Daher muß auf der Serverseite in der Serverconfig die Route entsprechend eingetragen werden:
route 192.168.10.0 255.255.255.0

sowie in der CCD entsprechend ''iroute'':
iroute 192.168.10.0 255.255.255.0

VPN-Firmware für Linksys WRT54GL

2011-10-06T12:17:25Z

Netbreaker: /* Firmware flashen */

==Firmware flashen==

*Um den Linksys WRT54GL v1.1 (siehe Geräteunterseite) für VPN vorzubereiten, muss zuvor die Firmware ''dd-wrt.v24_mini_generic.bin'' von der Geräteseite [http://www.dd-wrt.com/site/support/other-downloads?path=v24-sp1%2FConsumer%2FLinksys%2FWRT54GL_1.1%2F] geladen werden. Dadurch ändert sich der Login auf ''root'' (Benutzername) und ''admin'' (Passwort).
*Anschließend kann dann die eigentliche Firmware ''dd-wrt.v24_vpn_generic.bin'' [http://www.dd-wrt.com/site/support/other-downloads?path=v24-sp1%2FConsumer%2FLinksys%2FWRT54GL_1.1%2F] aufgespielt werden.
*Im Menü kann optional noch ausgewählt werden, ob der Router nach erfolgreichem Flashen auf Werkseinstellung gesetzt werden soll.

==LAN-LAN-Koppelung==

DD-WRT benutzt NAT auch für die OpenVPN-Clientverbindungen. Im Netz hinter dem OpenVPN-Server erscheinen die Anfragen mit der VPN-IP des Clients, nicht mit der IP des LAN-Clients hinter dem OpenVPN-Client.

Um das zu korrigieren, in der Weboberfläche unter Administration -> Commands folgende Befehle einfügen:
iptables -N VPN
iptables -F VPN
iptables -A VPN -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j VPN
iptables -I FORWARD -i tun0 -j VPN
iptables -I POSTROUTING -t nat -o tun0 -j RETURN
und mit 'Save Firewall' als Firewallskript abspeichern

Durch den Client wird auch keine Route auf dem Server zum Client-LAN gesetzt.
Daher muß auf der Serverseite in der Serverconfig die Route entsprechend eingetragen werden:
route 192.168.10.0 255.255.255.0

sowie in der CCD entsprechend ''iroute'':
iroute 192.168.10.0 255.255.255.0

Strato-DynDNS

2011-09-28T09:00:30Z

Netbreaker: Die Seite wurde neu angelegt: ==Einrichtung DD-WRT== http://www.dd-wrt.com/phpBB2/viewtopic.php?p=394774&sid=ed839874ac27eefbb8eeef07f51d9259#394774

==Einrichtung DD-WRT==

http://www.dd-wrt.com/phpBB2/viewtopic.php?p=394774&sid=ed839874ac27eefbb8eeef07f51d9259#394774

Hauptseite

2011-09-28T08:59:26Z

Netbreaker: /* Domains/DNS */

Das sind die ersten Gehversuche in einem Wiki. Daher ist die Struktur der Beiträge u.U. noch nicht so wie es sein sollte.

Dieses Wiki ist für die Dokumentation der Konfiguration und Administration verschiedener Projekte vorgesehen. Es sollen sowohl die erfolgreiche Umsetzung, als auch nicht umsetzbare Szenarien/Ausschlußkriterien erfaßt werden. Hintergrundinformation zum einzelnen Thema und Zusammenwirken verschiedener Komponenten sind entsprechend zu verlinken.

===Browser===

====[[Firefox]]====

===Domains/DNS===

* [[whois]]
* [[Domainregistrierung bei Dopoly]]
* [[DNS-Zonen einrichten]]
* [[Strato-DynDNS]]

===Drucksysteme===
* [[CUPS]]

===ERP/CRM-Systeme===

====Navision====

====ADempiere====

====Lexware====

===Fernwartung===

====[[SSH]]====

====[[RSSH]]====

====VNC====

====[[TeamViewer]]====

===Googleapplikationen===

====[[GoogleEarth]]====

===Hardware===

====[[Luefter]]====

===LDAP===
* [[LDAP]]-Grundlagen, Server- und Clientkonfiguration

====[[PAM-LDAP]]====
* LDAP als Authentication-Backend für PAM (login, ssh, ftp usw.)

====[[NSS-LDAP]]====
* LDAP als Informationsquelle für NSS

====SASL====
* SASL (Postfix, Cyrus)

====direkte LDAP-Authentifizierung====
* direktes LDAP_Auth bei Apache, Samba, FTP

====Webapplikationen====
* PHP-LDAP

====LDAP als Datenquelle für weitere Dienste====
* Adressbücher
* DNS

===Linux===

====Server-Installation====
* [[Debian Lenny]]
* [[Hetzner installimage]]
* [[RAID+LVM]]

====Paketquellen====
* [[zusätzliche Quellen für Debian]]
* [[zusätzliche Quellen für Ubuntu]]
* [[GPG-Fehler]]

====Rettungssysteme====
* [[Arbeiten im Rescuesystem]]

====Netzwerkkonfiguration====
* [[Interfacekonfiguration im laufenden Betrieb]]
* [[zusätzliche IP-Adressen]]
* [[Bridging]]

====Firewallkonfiguration====
* [[ferm]]

====Backup====
* tar, dd (+netcat), [http://www.partimage.org/Main_Page partimage]
* rsync
* rsyncbackup [http://www.howtoforge.de/howto/regelmasige-backups-mit-rsyncbackup-auf-debian-etch/ HowtoForge]
* [[rsnapshot]]
* rdiff-backup
* [[backupninja]]
* [[automysqlbackup]]
* BackupPC: [http://www.pro-linux.de/artikel/2/1183/backuppc-als-backupserver-im-heimnetzwerk.html pro-linux-Beitrag] | [http://www.howtoforge.de/howto/sichern-von-linux-und-windows-systemen-mit-backuppc/ Howto deutsch]
* [http://www.arkeia.com/de Arkeia Backup] | [http://www.arkeia.com/de/freelinuxbackup Free Version]
* [http://www.amanda.org/ Amanda]
* [http://de.wikipedia.org/wiki/Bacula Bacula] | [http://www.bacula.org/manuals/en/concepts/concepts/New_Features.html#SECTION003200000000000000000 Bacula Exchange Server 2003/2007 Plugin] | [http://www.dass-it.de/produkte/baculaae-die-netzwerk-backup-loesung dass-IT zu Bacula]
* [http://www.searchstorage.de/index.cfm?pid=3642&pk=223200 Amanda, Bacula und BackupPC im Vergleich]
* [http://kefk.org/datensicherheit/backups.unter.debian.gnu.linux.mit.duplicity.und.ftplicity ftplicity (mit GPG)]
* [http://www.sysresccd.org/Hauptseite SystemRescueCD]
* [http://www.tim-bormann.de/debian-backup-von-paketlisten-und-einstellungsdateien/ Debian-Paketlisten-Backup]
* [[Backup einer Linux-VM unter Windows]]

====Syslog-Tuning====
[http://www.heise.de/netze/artikel/Erweiterte-Systemueberwachung-mit-rsyslog-846750.html Erweiterte-Systemueberwachung-mit-rsyslog]

====Socks====
* [[SOCKS4-Server]]
* [[tsocks]]
* [[socksifizierte Clients]]

====Systemwartung====
* [[Festplattenaustausch (RAID)]]

====Grafische Oberfläche====
* [[Klassische Adressleiste im Gnome-Nautilus]]

===Mailserver===

====Postfix====

====Cyrus====

====[[MS Exchange]]====

====Sieve====

====Webmailer====

===Programmierung===

====[[awk]]====

====[[BASH]]====

====IDEs====
* [[Eclipse]]

====PHP====

====XUL====

===Router===
* Ports: [http://www.iana.org/assignments/port-numbers offizielle IANA Port Nummern]

====[[FritzBox]]====

====LinkSys====

=====[[DD-WRT als Firmware]]=====

=====[[VPN-Firmware für Linksys WRT54GL]]=====

====[[ipCop]]====

====pfSense====

=====[[pfSense als load balancer (Multi-WAN Version 1.2.x)]]=====
=====[[pfSense mit DMZ und ADSL Modem an red ]]=====
=====[[diverse Probleme und Lösungen]]=====

====[http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html Einrichten Radius-Server für WLAN bei heise.de]====

====SmoothWall====

====DSL-Konfiguration====
* [[Vodafone]]

===Samba===
* PDC
* [[SMB-LDAP]]
* [[Windows7-Domain-Logons]]
* WebAdminInterface

===Security Systeme===

====Panda-Security====
* [[Panda-Security Partnerkonsole]]

====[[Sophos]]====

===Synchronisation===
* Framework für Kontakte, Aufgaben, Kalendereinträge:
** Serverbackends
** Protokolle (SyncML, *DAV, ...)
** Clients (Thunderbird, Webclient, verschiedene Handys)
** Gruppenfähigkeit?

* Akonadi
* OpenSync
* [http://packages.debian.org/lenny/multisync-tools multisync-tools]

===Thunderbird===
*[[Profile verwalten]]

===Verschlüsselung===

* SSH
* SSL
* HTTPS-Proxy
* [[OpenVPN]]
* GPG
* [[s-Protokolle]] [http|pop|imap]s
* [[X.509 Zertifikate]]

===Virtualisierung===

* [[Allgemeines]]
* [[KVM]]
* [[VirtualBox]]
* [[VMware]]
* [[VServer]]
* [[Xen]]
* [http://www.linux-kvm.org/page/Management_Tools Management-Tools]

===Webapplikationen===

====CMS====
* [[TYPO3]]
* Joomla
* Drupal
* Django
* [http://www.pragmamx.org/ PragmaMX] (mal anschauen)

====Groupware====
* eGroupware

====Webshops====
* osCommerce
* xtCommerce
* JTL
* ITIS
* Magento

====Wikis====
* [[MediaWiki]]

===Webserver===
* [[apache]]
* Zugriffsstatistiken mit dem [[webalizer]]

===Windows===
* [[SBS2003 Recovery von NT-Backup]]
* [[SBS2008]]
* [[Systemeinstellungen]]
* [[WebDAV]]
* [[Batch-Dateien]]
* [[DPMAdirekt]]
* [http://www.asconix.com/blog/restart-exchange-2003-server MS ExchangeServer 2003 neu starten]
* [[MS Office 2007]]
* [[MS Visio 2002]]
* [[MS Outlook Allgemein]]
* [[Office Ressource Kit]]
* [[Servergespeicherte Profile]]
* [[Windows-Tools]]
* [[Netzwerkverbindungsprobleme unter win7]]
* [[0x80070035 Netzlaufwerk / Freigabe]]
* [[ScanSnap Manager S500 / S510 / fi-510E0X2 / fi-510E0X2]]
* [[Symantec Backup Exec]]
* [[TK-Anlagen-Software]]

===Zertifikate===
* [[Certificate Authority]] (CA)
* [[Erstellung einer eigenen hierachischen CA]] (selbst signiert)
* [[XCA]]

----

Vodafone

2011-08-19T15:17:54Z

Netbreaker: Die Seite wurde neu angelegt: Vodafone liefert nur einen Modem-Installationscode aus. Die DSL-Zugangsdaten sind aber problemlos bei der Hotline erhältlich. Die erhaltenen Daten sind ohne Suffix (@....

Vodafone liefert nur einen Modem-Installationscode aus. Die DSL-Zugangsdaten sind aber problemlos bei der Hotline erhältlich.
Die erhaltenen Daten sind ohne Suffix (@...) direkt verwendbar.

Weitere Anleitung (inkl. VoIP): [http://www.arcor-user-forum.de/vodafone-dsl-telefonie-mit-fritz-box-anleitung-2775/]

Hauptseite

2011-08-19T15:12:44Z

Netbreaker: /* Router */

Das sind die ersten Gehversuche in einem Wiki. Daher ist die Struktur der Beiträge u.U. noch nicht so wie es sein sollte.

Dieses Wiki ist für die Dokumentation der Konfiguration und Administration verschiedener Projekte vorgesehen. Es sollen sowohl die erfolgreiche Umsetzung, als auch nicht umsetzbare Szenarien/Ausschlußkriterien erfaßt werden. Hintergrundinformation zum einzelnen Thema und Zusammenwirken verschiedener Komponenten sind entsprechend zu verlinken.

===Browser===

====[[Firefox]]====

===Domains/DNS===

* [[whois]]
* [[Domainregistrierung bei Dopoly]]
* [[DNS-Zonen einrichten]]

===Drucksysteme===
* [[CUPS]]

===ERP/CRM-Systeme===

====Navision====

====ADempiere====

====Lexware====

===Fernwartung===

====[[SSH]]====

====[[RSSH]]====

====VNC====

====[[TeamViewer]]====

===Googleapplikationen===

====[[GoogleEarth]]====

===Hardware===

====[[Luefter]]====

===LDAP===
* [[LDAP]]-Grundlagen, Server- und Clientkonfiguration

====[[PAM-LDAP]]====
* LDAP als Authentication-Backend für PAM (login, ssh, ftp usw.)

====[[NSS-LDAP]]====
* LDAP als Informationsquelle für NSS

====SASL====
* SASL (Postfix, Cyrus)

====direkte LDAP-Authentifizierung====
* direktes LDAP_Auth bei Apache, Samba, FTP

====Webapplikationen====
* PHP-LDAP

====LDAP als Datenquelle für weitere Dienste====
* Adressbücher
* DNS

===Linux===

====Server-Installation====
* [[Debian Lenny]]
* [[Hetzner installimage]]
* [[RAID+LVM]]

====Paketquellen====
* [[zusätzliche Quellen für Debian]]
* [[zusätzliche Quellen für Ubuntu]]
* [[GPG-Fehler]]

====Rettungssysteme====
* [[Arbeiten im Rescuesystem]]

====Netzwerkkonfiguration====
* [[Interfacekonfiguration im laufenden Betrieb]]
* [[zusätzliche IP-Adressen]]
* [[Bridging]]

====Firewallkonfiguration====
* [[ferm]]

====Backup====
* tar, dd (+netcat), [http://www.partimage.org/Main_Page partimage]
* rsync
* rsyncbackup [http://www.howtoforge.de/howto/regelmasige-backups-mit-rsyncbackup-auf-debian-etch/ HowtoForge]
* [[rsnapshot]]
* rdiff-backup
* [[backupninja]]
* [[automysqlbackup]]
* BackupPC: [http://www.pro-linux.de/artikel/2/1183/backuppc-als-backupserver-im-heimnetzwerk.html pro-linux-Beitrag] | [http://www.howtoforge.de/howto/sichern-von-linux-und-windows-systemen-mit-backuppc/ Howto deutsch]
* [http://www.arkeia.com/de Arkeia Backup] | [http://www.arkeia.com/de/freelinuxbackup Free Version]
* [http://www.amanda.org/ Amanda]
* [http://de.wikipedia.org/wiki/Bacula Bacula] | [http://www.bacula.org/manuals/en/concepts/concepts/New_Features.html#SECTION003200000000000000000 Bacula Exchange Server 2003/2007 Plugin] | [http://www.dass-it.de/produkte/baculaae-die-netzwerk-backup-loesung dass-IT zu Bacula]
* [http://www.searchstorage.de/index.cfm?pid=3642&pk=223200 Amanda, Bacula und BackupPC im Vergleich]
* [http://kefk.org/datensicherheit/backups.unter.debian.gnu.linux.mit.duplicity.und.ftplicity ftplicity (mit GPG)]
* [http://www.sysresccd.org/Hauptseite SystemRescueCD]
* [http://www.tim-bormann.de/debian-backup-von-paketlisten-und-einstellungsdateien/ Debian-Paketlisten-Backup]
* [[Backup einer Linux-VM unter Windows]]

====Syslog-Tuning====
[http://www.heise.de/netze/artikel/Erweiterte-Systemueberwachung-mit-rsyslog-846750.html Erweiterte-Systemueberwachung-mit-rsyslog]

====Socks====
* [[SOCKS4-Server]]
* [[tsocks]]
* [[socksifizierte Clients]]

====Systemwartung====
* [[Festplattenaustausch (RAID)]]

====Grafische Oberfläche====
* [[Klassische Adressleiste im Gnome-Nautilus]]

===Mailserver===

====Postfix====

====Cyrus====

====[[MS Exchange]]====

====Sieve====

====Webmailer====

===Programmierung===

====[[awk]]====

====[[BASH]]====

====IDEs====
* [[Eclipse]]

====PHP====

====XUL====

===Router===
* Ports: [http://www.iana.org/assignments/port-numbers offizielle IANA Port Nummern]

====[[FritzBox]]====

====LinkSys====

=====[[DD-WRT als Firmware]]=====
====[[ipCop]]====

====pfSense====

=====[[pfSense als load balancer (Multi-WAN Version 1.2.x)]]=====
=====[[pfSense mit DMZ und ADSL Modem an red ]]=====
=====[[diverse Probleme und Lösungen]]=====

====[http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html Einrichten Radius-Server für WLAN bei heise.de]====

====SmoothWall====

====DSL-Konfiguration====
* [[Vodafone]]

===Samba===
* PDC
* [[SMB-LDAP]]
* [[Windows7-Domain-Logons]]
* WebAdminInterface

===Security Systeme===

====Panda-Security====
* [[Panda-Security Partnerkonsole]]

====[[Sophos]]====

===Synchronisation===
* Framework für Kontakte, Aufgaben, Kalendereinträge:
** Serverbackends
** Protokolle (SyncML, *DAV, ...)
** Clients (Thunderbird, Webclient, verschiedene Handys)
** Gruppenfähigkeit?

* Akonadi
* OpenSync
* [http://packages.debian.org/lenny/multisync-tools multisync-tools]

===Thunderbird===
*[[Profile verwalten]]

===Verschlüsselung===

* SSH
* SSL
* HTTPS-Proxy
* [[OpenVPN]]
* GPG
* [[s-Protokolle]] [http|pop|imap]s
* [[X.509 Zertifikate]]

===Virtualisierung===

* [[Allgemeines]]
* [[KVM]]
* [[VirtualBox]]
* [[VMware]]
* [[VServer]]
* [[Xen]]
* [http://www.linux-kvm.org/page/Management_Tools Management-Tools]

===Webapplikationen===

====CMS====
* [[TYPO3]]
* Joomla
* Drupal
* Django
* [http://www.pragmamx.org/ PragmaMX] (mal anschauen)

====Groupware====
* eGroupware

====Webshops====
* osCommerce
* xtCommerce
* JTL
* ITIS
* Magento

====Wikis====
* [[MediaWiki]]

===Webserver===
* [[apache]]
* Zugriffsstatistiken mit dem [[webalizer]]

===Windows===
* [[SBS2003 Recovery von NT-Backup]]
* [[SBS2008]]
* [[Systemeinstellungen]]
* [[WebDAV]]
* [[Batch-Dateien]]
* [[DPMAdirekt]]
* [http://www.asconix.com/blog/restart-exchange-2003-server MS ExchangeServer 2003 neu starten]
* [[MS Office 2007]]
* [[MS Visio 2002]]
* [[MS Outlook Allgemein]]
* [[Office Ressource Kit]]
* [[Servergespeicherte Profile]]
* [[Windows-Tools]]
* [[Netzwerkverbindungsprobleme unter win7]]
* [[0x80070035 Netzlaufwerk / Freigabe]]
* [[ScanSnap Manager S500 / S510 / fi-510E0X2 / fi-510E0X2]]
* [[Symantec Backup Exec]]
* [[TK-Anlagen-Software]]

===Zertifikate===
* [[Certificate Authority]] (CA)
* [[Erstellung einer eigenen hierachischen CA]] (selbst signiert)
* [[XCA]]

----

DD-WRT als Firmware

2011-08-18T16:02:38Z

Netbreaker: /* Authenticate/Decrypt packet error: cipher final failed */

== Ziel ==
*Funktionserweiterung des Linksys-Router WRT54GL

== Was ist DD-WRT?==
*ist Erweiterung der quellen offenen Linksysfirmware durch zahlreiche Funktionen [http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Komplette_Featureliste Featureliste]
*unterstützt Consumerrouter der Firmen Asus, ALLNET, Belkin, Buffalo, Linksys, Netgear, Motorola, Siemens, u.v.m. mit Atheros-, Broadcom- oder RalinkChipsatz
* seit 2006 werden professionelle WLAN-Router die bei WISPs, ISPs oder Campus WLANś unterstützt.
Plattformen sind i386, Intel IXP, Atheros Mips, Infineon ADM Mips und PowerPC
[http://www.dd-wrt.com/wiki/index.php/Supported_Devices#Supported_Devices Supported Devices]
*für professionellen Einsatz von DD-WRT ist eine Lizenz notwendig
*alternative Entwicklungen sind: '''OpenWrt, FreeWRT''' und '''Tomato'''
==Voraussetzungen==
Ein Rechner der im Netz 192.168.1.xxx ist, da der Router auf 192.168.1.1 hört.
==Anleitung zum Flashen (kurz)==
*Die zu installierende Software soll sich auf dem zugreifenden Rechner befinden! [http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Die_verschiedenen_Pakete Softwarepakete]
*einloggen auf WRT54gl (kein Benutzername, Passwort: admin)
*In Firmware den Reiter Administration/Backup aufrufen
*unter Restore Settings die entsprechende DD-WRT-Version auswählen und Restore aktivieren
'''Wichtig:'''
*'''Als Erstes System ein Minimalsystem installieren und anschließend die gewünschte Version!'''
*'''Während des Flashens darf nicht abgebrochen oder die Stromzufuhr unterbrochen werden!
*'''Vor und nach dem Flashen soll die Firmware auf Standardwerte zurück gesetzt werden.
Am besten mit einem 30/30/30 Reboot'''
(Rebootknopf auf der Rückseite 30 Sekunden bei eingeschalteten-, 30 Sek. bei stromlosen- und 30 Sek.bei wieder eingeschalteten Router betätigen,'''ohne dazwischen loszulassen'''.)
==Ausführliche Anleitung==
Eine ausführliche Anleitung in deutsch ist unter dem Link
[http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_(DE) www.dd-wrt.com] zu finden.
==Beschreibung der einzelnen Einstellungen==
[http://www.dd-wrt.com/wiki/index.php/Beschreibung_der_einzelnen_Einstellungen Einzelne Einstellungen]

==mögliche Probleme==

===Authenticate/Decrypt packet error: cipher final failed===

DD-WRT als OpenVPN-Client verträgt anscheinend keine AES-Verschlüsselung. Es ist aber nicht ersichtlich, welche benutzt wird/werden kann.
In dem Falle ist auf der Serverseite die Verschlüsselung von '''AES-CBC''' auf '''BF-CBC''' (Blowfish) umzustellen.

DD-WRT als Firmware

2011-08-18T16:00:18Z

Netbreaker: /* mögliche Probleme */

== Ziel ==
*Funktionserweiterung des Linksys-Router WRT54GL

== Was ist DD-WRT?==
*ist Erweiterung der quellen offenen Linksysfirmware durch zahlreiche Funktionen [http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Komplette_Featureliste Featureliste]
*unterstützt Consumerrouter der Firmen Asus, ALLNET, Belkin, Buffalo, Linksys, Netgear, Motorola, Siemens, u.v.m. mit Atheros-, Broadcom- oder RalinkChipsatz
* seit 2006 werden professionelle WLAN-Router die bei WISPs, ISPs oder Campus WLANś unterstützt.
Plattformen sind i386, Intel IXP, Atheros Mips, Infineon ADM Mips und PowerPC
[http://www.dd-wrt.com/wiki/index.php/Supported_Devices#Supported_Devices Supported Devices]
*für professionellen Einsatz von DD-WRT ist eine Lizenz notwendig
*alternative Entwicklungen sind: '''OpenWrt, FreeWRT''' und '''Tomato'''
==Voraussetzungen==
Ein Rechner der im Netz 192.168.1.xxx ist, da der Router auf 192.168.1.1 hört.
==Anleitung zum Flashen (kurz)==
*Die zu installierende Software soll sich auf dem zugreifenden Rechner befinden! [http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Die_verschiedenen_Pakete Softwarepakete]
*einloggen auf WRT54gl (kein Benutzername, Passwort: admin)
*In Firmware den Reiter Administration/Backup aufrufen
*unter Restore Settings die entsprechende DD-WRT-Version auswählen und Restore aktivieren
'''Wichtig:'''
*'''Als Erstes System ein Minimalsystem installieren und anschließend die gewünschte Version!'''
*'''Während des Flashens darf nicht abgebrochen oder die Stromzufuhr unterbrochen werden!
*'''Vor und nach dem Flashen soll die Firmware auf Standardwerte zurück gesetzt werden.
Am besten mit einem 30/30/30 Reboot'''
(Rebootknopf auf der Rückseite 30 Sekunden bei eingeschalteten-, 30 Sek. bei stromlosen- und 30 Sek.bei wieder eingeschalteten Router betätigen,'''ohne dazwischen loszulassen'''.)
==Ausführliche Anleitung==
Eine ausführliche Anleitung in deutsch ist unter dem Link
[http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_(DE) www.dd-wrt.com] zu finden.
==Beschreibung der einzelnen Einstellungen==
[http://www.dd-wrt.com/wiki/index.php/Beschreibung_der_einzelnen_Einstellungen Einzelne Einstellungen]

==mögliche Probleme==

===Authenticate/Decrypt packet error: cipher final failed===

DD-WRT verträgt anscheinend keine AES-Verschlüsselung. Es ist aber nicht ersichtlich, welche benutzt wird/werden kann.
Im Zusammenspiel mit pfSense hilft es, dort die Verschlüsselung von AES-CBC auf BF-CBC (Blowfish) umzustellen.

DD-WRT als Firmware

2011-08-18T15:57:38Z

Netbreaker: /* Beschreibung der einzelnen Einstellungen */

== Ziel ==
*Funktionserweiterung des Linksys-Router WRT54GL

== Was ist DD-WRT?==
*ist Erweiterung der quellen offenen Linksysfirmware durch zahlreiche Funktionen [http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Komplette_Featureliste Featureliste]
*unterstützt Consumerrouter der Firmen Asus, ALLNET, Belkin, Buffalo, Linksys, Netgear, Motorola, Siemens, u.v.m. mit Atheros-, Broadcom- oder RalinkChipsatz
* seit 2006 werden professionelle WLAN-Router die bei WISPs, ISPs oder Campus WLANś unterstützt.
Plattformen sind i386, Intel IXP, Atheros Mips, Infineon ADM Mips und PowerPC
[http://www.dd-wrt.com/wiki/index.php/Supported_Devices#Supported_Devices Supported Devices]
*für professionellen Einsatz von DD-WRT ist eine Lizenz notwendig
*alternative Entwicklungen sind: '''OpenWrt, FreeWRT''' und '''Tomato'''
==Voraussetzungen==
Ein Rechner der im Netz 192.168.1.xxx ist, da der Router auf 192.168.1.1 hört.
==Anleitung zum Flashen (kurz)==
*Die zu installierende Software soll sich auf dem zugreifenden Rechner befinden! [http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Die_verschiedenen_Pakete Softwarepakete]
*einloggen auf WRT54gl (kein Benutzername, Passwort: admin)
*In Firmware den Reiter Administration/Backup aufrufen
*unter Restore Settings die entsprechende DD-WRT-Version auswählen und Restore aktivieren
'''Wichtig:'''
*'''Als Erstes System ein Minimalsystem installieren und anschließend die gewünschte Version!'''
*'''Während des Flashens darf nicht abgebrochen oder die Stromzufuhr unterbrochen werden!
*'''Vor und nach dem Flashen soll die Firmware auf Standardwerte zurück gesetzt werden.
Am besten mit einem 30/30/30 Reboot'''
(Rebootknopf auf der Rückseite 30 Sekunden bei eingeschalteten-, 30 Sek. bei stromlosen- und 30 Sek.bei wieder eingeschalteten Router betätigen,'''ohne dazwischen loszulassen'''.)
==Ausführliche Anleitung==
Eine ausführliche Anleitung in deutsch ist unter dem Link
[http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_(DE) www.dd-wrt.com] zu finden.
==Beschreibung der einzelnen Einstellungen==
[http://www.dd-wrt.com/wiki/index.php/Beschreibung_der_einzelnen_Einstellungen Einzelne Einstellungen]

==mögliche Probleme==

DD-WRT verträgt anscheinend keine AES-Verschlüsselung. Es ist aber nicht ersichtlich, welche benutzt wird/werden kann.
Im Zusammenspiel mit pfSense hilft es, dort die Verschlüsselung von AES-CBC auf BF-CBC (Blowfish) umzustellen.

Ldapscripts

2011-08-04T17:14:04Z

Netbreaker: /* Templates */

Die '''ldapscripts''' sind Kommandozeilentools für die Verwaltung von Unix-Benutzern im LDAP.

==Konfiguration==

Unter Debian wird durch '''/usr/share/ldapscripts/runtime.debian''' eine systemspezifische Konfiguration geladen, bevor '''/etc/ldapscripts/ldapscripts.conf''' verarbeitet wird.
''Lenny'' versucht in '''runtime.debian''' aus '''/etc/pam_ldap.conf''' (aus libpam-ldap) LDAP-spezifische Informationen auszulesen und bezieht das Passwort aus '''/etc/ldap.secret'''.

/usr/share/ldapscripts/runtime.debian (''Lenny''):
getfield() {
field="$1"
pamfile='/etc/pam_ldap.conf'
value=`egrep "^[ \\t]*$field[ \\t]+" $pamfile | sed -e 's,$^\|[\t ]\+$,\t,g' | cut -f 3`
echo ${value:-$2}
}

getsuffix() {
field="$1"
value=`getfield "$1" | sed -e "s/,.*$//"`
echo ${value:-$2}
}

# LDAP Configuration
SERVER=`getfield host ''`
BINDDN=`getfield rootbinddn ''`
BINDPWD=`cat /etc/ldap.secret`

SUFFIX=`getfield base`
GSUFFIX=`getsuffix nss_base_group 'ou=Group'`
USUFFIX=`getsuffix nss_base_passwd 'ou=People'`
MSUFFIX=`getsuffix nss_base_hosts 'ou=Hosts'`

''Squeeze'' versucht diese Informationen aus '''/etc/libnss-ldap.conf''' (aus libnss-ldap) zu beziehen.

/usr/share/ldapscripts/runtime.debian (''Squeeze''):
getfield() {
local field="$1"
local nssconffile='/etc/libnss-ldap.conf'
if [ -f "$nssconffile" ];then
local value=$(awk "/^\s*$field/ {print \$2}" /etc/libnss-ldap.conf)
else
local value="$2"
fi
echo ${value:-$2}
}

getsuffix() {
field="$1"
value="$(getfield "$1" | sed -e "s/,.*$//")"
echo ${value:-$2}
}

# LDAP Configuration
SERVER=$(getfield uri "$(getfield host '')")
BINDDN=$(getfield rootbinddn '')
if [ -f /etc/libnss-ldap.secret ];then
BINDPWDFILE=/etc/libnss-ldap.secret
elif [ -f /etc/ldap.secret ];then
BINDPWDFILE=/etc/ldap.secret
fi

SUFFIX=`getfield base`
GSUFFIX=`getsuffix nss_base_group 'ou=Group'`
USUFFIX=`getsuffix nss_base_passwd 'ou=People'`
MSUFFIX=`getsuffix nss_base_hosts 'ou=Hosts'`

Wird '''libnss-ldapd''' eingesetzt, existiert die '''/etc/libnss-ldap.conf''' nicht mehr. Unter Lenny gehört zu diesem Paket der '''nslcd''' und ein Teil der Informationen wäre in '''/etc/nss-ldapd.conf''' wiederzufinden. Bei ''Squeeze'' ist der '''nslcd''' in ein eigenes Paket verlagert und '''/etc/nss-ldapd.conf''' heißt jetzt '''/etc/nslcd.conf'''.

Aufgrund dieser Veränderungen müssen die LDAP-spezifischen Parameter in '''/etc/ldapscripts/ldapscripts.conf''' angepaßt werden.
'''/etc/ldap.secret''' und '''/etc/pam_ldap.secret''', wie in ldapscripts.conf vorgeschlagen, existieren bei ''Squeeze'' nicht mehr, sodaß das Passwort nur noch für ldapscripts selbst hinterlegt werden muß. ''"DEBIAN: values from /etc/pam_ldap.conf are used."'' trifft ebenfalls nicht mehr zu (s.o.).

Weiterhin wird '''/etc/adduser.conf''' ausgewertet und folgende Variablen gesetzt:

/usr/share/ldapscripts/runtime.debian (''Squeeze''):
# User properties
[ -f /etc/adduser.conf ] && . /etc/adduser.conf
USHELL=${DSHELL:-"/bin/bash"}
UHOMES=${DHOME:-"/home"}"/%u"
HOMESKEL=${SKEL:-"/etc/skel"}
HOMEPERMS=${DIR_MODE:-"0755"}
(bei Lenny nur USHELL & UHOMES)

weitere Vorgabewerte bei ''Lenny'':
# Start with these IDs *if no entry found in LDAP*
UIDSTART=`getfield pam_min_uid 1000`
GIDSTART=`getfield pam_min_gid 1000`
MIDSTART="1000"

CREATEHOMES="no"
''Squeeze'' vergibt hier keine Vorgaben mehr.

Daraus resultiert bei ''Squeeze'' folgende Konfiguration.

/etc/ldapscripts/ldapscripts.conf:
SERVER="ldap://localhost"
BINDDN="cn=admin,dc=debian,dc=local"

BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd"
SUFFIX="dc=debian,dc=local"
GSUFFIX="ou=group"
USUFFIX="ou=people"
MSUFFIX="ou=hosts"

# Start with these IDs *if no entry found in LDAP*
GIDSTART="1000" # Group ID
UIDSTART="1000" # User ID
MIDSTART="10000" # Machine ID

CREATEHOMES="yes"

HOMEPERMS="751"

ASKGECOS="yes"

PASSWORDGEN=<ask>

LOGFILE="/var/log/ldapscripts.log"

TMPDIR="/tmp"

ICONVBIN="/usr/bin/iconv"
ICONVCHAR="ISO-8859-15"

UUDECODEBIN="/usr/bin/uudecode"

GETENTPWCMD="getent passwd"
GETENTGRCMD="getent group"

GTEMPLATE="/etc/ldapscripts/ldapaddgroup.template"
UTEMPLATE="/etc/ldapscripts/ldapadduser.template"
MTEMPLATE="/etc/ldapscripts/ldapaddmachine.template"

Es reicht, wenn "der Rest der Welt" das Homeverzeichnis (und damit auch blind Unterverzeichnisse, z.B. htdocs) betreten darf, Lesen ist nicht nötig. Die in der Config angegebenen Programme müssen natürlich auch installiert sein.

Bei ''Squeeze'' funktioniert das Erzeugen des Homeverzeichnis auch wieder.

===Templates===

Die Anpassung der Templates bei ''Lenny'' (s.u.) verursachte einen Fehler, der zumindest bei ''Squeeze'' lokalisiert werden konnte.
Beim Anlegen eines Users mit '''ldapadduser''' wurde kein Passwort eingetragen, aber auch kein Fehler gemeldet. Die Ursache dafür ist im geänderten DN zu suchen. Eingetragen wurde im LDAP '''cn'''=<USERNAME>,$SUFFIX. Das Passwort dabei nicht direkt gesetzt, sondern in einem 2. Schritt. Hier wurde versucht, '''uid=<USERNAME>,$SUFFIX''' zu modifizieren. Obwohl das Attribut '''uid''' ebenso wie '''cn''' gesetzt war,
'''ldappasswd''' benötigt aber den DN als Angabe. '''uid''' ist aber in '''ldapadduser''' hartverdrahtet.

TODO:
* Patch ausarbeiten! (Template nach dn: parsen bzw. besser _findentry() benutzen, siehe ldapsetpasswd)
* Patch für ASKGECOS (statt Fullname sn + givenName separat abfragen und für gecos und description zusammenfügen)

==bisherige Konfiguration unter Lenny==

/etc/ldapscripts (gekürzt):
## Server name
SERVER=localhost

## Bind DN
BINDDN='cn=admin,dc=debian,dc=local'

## Bind Password or file
BINDPWDFILE="/etc/ldap.secret"

## Default suffix
SUFFIX='dc=debian,dc=local'

## Group/User(aka People)/Machines (aka Hosts) Organizational Unit
GSUFFIX='ou=group'
USUFFIX='ou=people'
MSUFFIX='ou=hosts'

## log everything that is performed by those scripts
LOGFILE="/var/log/ldapscripts.log"

## Start with these IDs *if no entry found in LDAP*
GIDSTART=1000
UIDSTART=1000
MIDSTART=10000

## Ask for user's gecos (full name) ?
ASKGECOS="yes"

## Does the script should create homes ?
CREATEHOMES="yes"

## Default permissions for home directories
HOMEPERMS="751"

# You can specify custom LDIF templates here
# Leave empty to use default templates
# See *.template.sample for default templates
GTEMPLATE="/etc/ldapscripts/ldapaddgroup.template"
UTEMPLATE="/etc/ldapscripts/ldapadduser.template"
MTEMPLATE="/etc/ldapscripts/ldapaddmachine.template"

Da unter Debian von den ldapscripts direkt auf /etc/ldap.secrets zugegriffen wird, passen wir BINDPWDFILE entsprechend an und ersetzen /etc/ldap.secret durch einen Link auf /etc/pam_ldap.secret. Das vermeidet spätere Inkonsistenzen bei einer Änderung.

Die Templates werden entsprechend kopiert und im Usertemplate werden 'dn' und 'description' angepaßt:
/etc/ldapscripts# diff ldapadduser.template.sample ldapadduser.template
1c1
< dn: uid=<user>,<usuffix>,<suffix>
---
> dn: cn=<user>,<usuffix>,<suffix>
11c11
< description: User account
---
> description: <gecos>

Description kann später im LDAP-Verzeichnis mit einem sinnvollerem Wert belegt werden, mit den Kommandozeilentools ist das leider nicht möglich.
(Das Erzeugen des Homeverzeichnisses funktionierte später im Test leider trotzdem nicht, sodaß auf pam_mkhomedir ausgewichen werden mußte.)

ldapadduser erzeugt einen LDAP-Eintrag mit den Objektklassen 'account' und 'posixAccount'. Besser wäre jedoch 'inetOrgPerson' statt 'account', in Hinsicht auf die Nutzung der Daten für weitere Zwecke. Dies kann zwar im Usertemplate angepaßt werden, hat jedoch den Nachteil, daß ldapadduser Vor- und Nachnamen nicht getrennt abruft und somit keine passende Information für das Attribut 'sn' (surname = Familienname) hat.
Mit Änderung von /usr/bin/ldapadduser (siehe ASKGECOS) für die Abfrage der korrekten Daten und /usr/share/ldapscripts/runtime (bei _filterldif) für die Ersetzung der neuen Platzhalter im Template ist dieses Problem für die Kommandozeile lösbar.

Alternativ kann phpldapadmin zum Anlegen der Benutzer verwendet werden oder eigene Skripte erstellt werden.

==Benutzer/Gruppen anlegen, ändern oder löschen==

Dem Debian-Schema folgend, wird (zuerst) für jeden Benutzer eine gleichnamige Gruppe angelegt, wobei auf die Angabe der GID i.a. verzichtet werden kann:
ldapaddgroup <groupname> [gid]

Daraufhin kann der Benutzer hinzugefügt werden, wobei auch hier auf die UID verzichtet werden kann:
ldapadduser <username> <groupname> [uid]

Den Benutzer zu weiteren Gruppen hinzufügen:
ldapaddusertogroup <username | uid> <groupname | gid>

Die primäre Gruppe ändern:
ldapsetprimarygroup <username | uid> <groupname | gid>

Den Benutzer umbenennen (das Homeverzeichnis bleibt dabei unverändert!):
ldaprenameuser <old username | uid> <new username>

Und die entsprechenden Kommandos zum löschen:
ldapdeletegroup <groupname | gid>
ldapdeleteuser <username | uid>
ldapdeleteuserfromgroup <username> <groupname | gid>

Hauptseite

2011-08-04T09:56:48Z

Netbreaker: /* Virtualisierung */

Das sind die ersten Gehversuche in einem Wiki. Daher ist die Struktur der Beiträge u.U. noch nicht so wie es sein sollte.

Dieses Wiki ist für die Dokumentation der Konfiguration und Administration verschiedener Projekte vorgesehen. Es sollen sowohl die erfolgreiche Umsetzung, als auch nicht umsetzbare Szenarien/Ausschlußkriterien erfaßt werden. Hintergrundinformation zum einzelnen Thema und Zusammenwirken verschiedener Komponenten sind entsprechend zu verlinken.

===Browser===

====[[Firefox]]====

===Domains/DNS===

* [[whois]]
* [[Domainregistrierung bei Dopoly]]
* [[DNS-Zonen einrichten]]

===Drucksysteme===
* [[CUPS]]

===ERP/CRM-Systeme===

====Navision====

====ADempiere====

====Lexware====

===Fernwartung===

====[[SSH]]====

====[[RSSH]]====

====VNC====

====[[TeamViewer]]====

===Googleapplikationen===

====[[GoogleEarth]]====

===LDAP===
* [[LDAP]]-Grundlagen, Server- und Clientkonfiguration

====[[PAM-LDAP]]====
* LDAP als Authentication-Backend für PAM (login, ssh, ftp usw.)

====[[NSS-LDAP]]====
* LDAP als Informationsquelle für NSS

====SASL====
* SASL (Postfix, Cyrus)

====direkte LDAP-Authentifizierung====
* direktes LDAP_Auth bei Apache, Samba, FTP

====Webapplikationen====
* PHP-LDAP

====LDAP als Datenquelle für weitere Dienste====
* Adressbücher
* DNS

===Linux===

====Server-Installation====
* [[Debian Lenny]]
* [[Hetzner installimage]]
* [[RAID+LVM]]

====Paketquellen====
* [[zusätzliche Quellen für Debian]]
* [[zusätzliche Quellen für Ubuntu]]
* [[GPG-Fehler]]

====Rettungssysteme====
* [[Arbeiten im Rescuesystem]]

====Netzwerkkonfiguration====
* [[Interfacekonfiguration im laufenden Betrieb]]
* [[zusätzliche IP-Adressen]]
* [[Bridging]]

====Firewallkonfiguration====
* [[ferm]]

====Backup====
* tar, dd (+netcat), [http://www.partimage.org/Main_Page partimage]
* rsync
* rsyncbackup [http://www.howtoforge.de/howto/regelmasige-backups-mit-rsyncbackup-auf-debian-etch/ HowtoForge]
* [[rsnapshot]]
* rdiff-backup
* [[backupninja]]
* [[automysqlbackup]]
* BackupPC: [http://www.pro-linux.de/artikel/2/1183/backuppc-als-backupserver-im-heimnetzwerk.html pro-linux-Beitrag] | [http://www.howtoforge.de/howto/sichern-von-linux-und-windows-systemen-mit-backuppc/ Howto deutsch]
* [http://www.arkeia.com/de Arkeia Backup] | [http://www.arkeia.com/de/freelinuxbackup Free Version]
* [http://www.amanda.org/ Amanda]
* [http://de.wikipedia.org/wiki/Bacula Bacula] | [http://www.bacula.org/manuals/en/concepts/concepts/New_Features.html#SECTION003200000000000000000 Bacula Exchange Server 2003/2007 Plugin] | [http://www.dass-it.de/produkte/baculaae-die-netzwerk-backup-loesung dass-IT zu Bacula]
* [http://www.searchstorage.de/index.cfm?pid=3642&pk=223200 Amanda, Bacula und BackupPC im Vergleich]
* [http://kefk.org/datensicherheit/backups.unter.debian.gnu.linux.mit.duplicity.und.ftplicity ftplicity (mit GPG)]
* [http://www.sysresccd.org/Hauptseite SystemRescueCD]
* [http://www.tim-bormann.de/debian-backup-von-paketlisten-und-einstellungsdateien/ Debian-Paketlisten-Backup]
* [[Backup einer Linux-VM unter Windows]]

====Syslog-Tuning====
[http://www.heise.de/netze/artikel/Erweiterte-Systemueberwachung-mit-rsyslog-846750.html Erweiterte-Systemueberwachung-mit-rsyslog]

====Socks====
* [[SOCKS4-Server]]
* [[tsocks]]
* [[socksifizierte Clients]]

====Systemwartung====
* [[Festplattenaustausch (RAID)]]

====Grafische Oberfläche====
* [[Klassische Adressleiste im Gnome-Nautilus]]

===Mailserver===

====Postfix====

====Cyrus====

====[[MS Exchange]]====

====Sieve====

====Webmailer====

===Programmierung===

====[[awk]]====

====[[BASH]]====

====IDEs====
* [[Eclipse]]

====PHP====

====XUL====

===Router===
* Ports: [http://www.iana.org/assignments/port-numbers offizielle IANA Port Nummern]

====[[FritzBox]]====

====LinkSys====

=====[[DD-WRT als Firmware]]=====
====[[ipCop]]====

====pfSense====

=====[[pfSense als load balancer (Multi-WAN Version 1.2.x)]]=====
=====[[pfSense mit DMZ und ADSL Modem an red ]]=====
=====[[diverse Probleme und Lösungen]]=====

====[http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html Einrichten Radius-Server für WLAN bei heise.de]====

====SmoothWall====

===Samba===
* PDC
* [[SMB-LDAP]]
* [[Windows7-Domain-Logons]]
* WebAdminInterface

===Security Systeme===

====Panda-Security====
* [[Panda-Security Partnerkonsole]]

====[[Sophos]]====

===Synchronisation===
* Framework für Kontakte, Aufgaben, Kalendereinträge:
** Serverbackends
** Protokolle (SyncML, *DAV, ...)
** Clients (Thunderbird, Webclient, verschiedene Handys)
** Gruppenfähigkeit?

* Akonadi
* OpenSync
* [http://packages.debian.org/lenny/multisync-tools multisync-tools]

===Thunderbird===
*[[Profile verwalten]]

===Verschlüsselung===

* SSH
* SSL
* HTTPS-Proxy
* [[OpenVPN]]
* GPG
* [[s-Protokolle]] [http|pop|imap]s
* [[X.509 Zertifikate]]

===Virtualisierung===

* [[Allgemeines]]
* [[KVM]]
* [[VirtualBox]]
* [[VMware]]
* [[VServer]]
* [[Xen]]
* [http://www.linux-kvm.org/page/Management_Tools Management-Tools]

===Webapplikationen===

====CMS====
* [[TYPO3]]
* Joomla
* Drupal
* Django
* [http://www.pragmamx.org/ PragmaMX] (mal anschauen)

====Groupware====
* eGroupware

====Webshops====
* osCommerce
* xtCommerce
* JTL
* ITIS
* Magento

====Wikis====
* [[MediaWiki]]

===Webserver===
* [[apache]]
* Zugriffsstatistiken mit dem [[webalizer]]

===Windows===
* [[SBS2003 Recovery von NT-Backup]]
* [[SBS2008]]
* [[Systemeinstellungen]]
* [[WebDAV]]
* [[Batch-Dateien]]
* [[DPMAdirekt]]
* [http://www.asconix.com/blog/restart-exchange-2003-server MS ExchangeServer 2003 neu starten]
* [[MS Office 2007]]
* [[MS Visio 2002]]
* [[MS Outlook Allgemein]]
* [[Office Ressource Kit]]
* [[Servergespeicherte Profile]]
* [[Windows-Tools]]
* [[Netzwerkverbindungsprobleme unter win7]]
* [[0x80070035 Netzlaufwerk / Freigabe]]
* [[ScanSnap Manager S500 / S510 / fi-510E0X2 / fi-510E0X2]]
* [[Symantec Backup Exec]]
* [[TK-Anlagen-Software]]

===Zertifikate===
* [[Certificate Authority]] (CA)
* [[Erstellung einer eigenen hierachischen CA]] (selbst signiert)
* [[XCA]]

----

Hauptseite

2011-07-26T13:07:09Z

Netbreaker: /* Windows */

Das sind die ersten Gehversuche in einem Wiki. Daher ist die Struktur der Beiträge u.U. noch nicht so wie es sein sollte.

Dieses Wiki ist für die Dokumentation der Konfiguration und Administration verschiedener Projekte vorgesehen. Es sollen sowohl die erfolgreiche Umsetzung, als auch nicht umsetzbare Szenarien/Ausschlußkriterien erfaßt werden. Hintergrundinformation zum einzelnen Thema und Zusammenwirken verschiedener Komponenten sind entsprechend zu verlinken.

===Browser===

====[[Firefox]]====

===Domains/DNS===

* [[whois]]
* [[Domainregistrierung bei Dopoly]]
* [[DNS-Zonen einrichten]]

===Drucksysteme===
* [[CUPS]]

===ERP/CRM-Systeme===

====Navision====

====ADempiere====

====Lexware====

===Fernwartung===

====[[SSH]]====

====[[RSSH]]====

====VNC====

====[[TeamViewer]]====

===Googleapplikationen===

====[[GoogleEarth]]====

===LDAP===
* [[LDAP]]-Grundlagen, Server- und Clientkonfiguration

====[[PAM-LDAP]]====
* LDAP als Authentication-Backend für PAM (login, ssh, ftp usw.)

====[[NSS-LDAP]]====
* LDAP als Informationsquelle für NSS

====SASL====
* SASL (Postfix, Cyrus)

====direkte LDAP-Authentifizierung====
* direktes LDAP_Auth bei Apache, Samba, FTP

====Webapplikationen====
* PHP-LDAP

====LDAP als Datenquelle für weitere Dienste====
* Adressbücher
* DNS

===Linux===

====Server-Installation====
* [[Debian Lenny]]
* [[Hetzner installimage]]
* [[RAID+LVM]]

====Paketquellen====
* [[zusätzliche Quellen für Debian]]
* [[zusätzliche Quellen für Ubuntu]]
* [[GPG-Fehler]]

====Rettungssysteme====
* [[Arbeiten im Rescuesystem]]

====Netzwerkkonfiguration====
* [[Interfacekonfiguration im laufenden Betrieb]]
* [[zusätzliche IP-Adressen]]
* [[Bridging]]

====Firewallkonfiguration====
* [[ferm]]

====Backup====
* tar, dd (+netcat), [http://www.partimage.org/Main_Page partimage]
* rsync
* rsyncbackup [http://www.howtoforge.de/howto/regelmasige-backups-mit-rsyncbackup-auf-debian-etch/ HowtoForge]
* [[rsnapshot]]
* rdiff-backup
* [[backupninja]]
* [[automysqlbackup]]
* BackupPC: [http://www.pro-linux.de/artikel/2/1183/backuppc-als-backupserver-im-heimnetzwerk.html pro-linux-Beitrag] | [http://www.howtoforge.de/howto/sichern-von-linux-und-windows-systemen-mit-backuppc/ Howto deutsch]
* [http://www.arkeia.com/de Arkeia Backup] | [http://www.arkeia.com/de/freelinuxbackup Free Version]
* [http://www.amanda.org/ Amanda]
* [http://de.wikipedia.org/wiki/Bacula Bacula] | [http://www.bacula.org/manuals/en/concepts/concepts/New_Features.html#SECTION003200000000000000000 Bacula Exchange Server 2003/2007 Plugin] | [http://www.dass-it.de/produkte/baculaae-die-netzwerk-backup-loesung dass-IT zu Bacula]
* [http://www.searchstorage.de/index.cfm?pid=3642&pk=223200 Amanda, Bacula und BackupPC im Vergleich]
* [http://kefk.org/datensicherheit/backups.unter.debian.gnu.linux.mit.duplicity.und.ftplicity ftplicity (mit GPG)]
* [http://www.sysresccd.org/Hauptseite SystemRescueCD]
* [http://www.tim-bormann.de/debian-backup-von-paketlisten-und-einstellungsdateien/ Debian-Paketlisten-Backup]
* [[Backup einer Linux-VM unter Windows]]

====Syslog-Tuning====
[http://www.heise.de/netze/artikel/Erweiterte-Systemueberwachung-mit-rsyslog-846750.html Erweiterte-Systemueberwachung-mit-rsyslog]

====Socks====
* [[SOCKS4-Server]]
* [[tsocks]]
* [[socksifizierte Clients]]

====Systemwartung====
* [[Festplattenaustausch (RAID)]]

====Grafische Oberfläche====
* [[Klassische Adressleiste im Gnome-Nautilus]]

===Mailserver===

====Postfix====

====Cyrus====

====[[MS Exchange]]====

====Sieve====

====Webmailer====

===Programmierung===

====[[awk]]====

====[[BASH]]====

====IDEs====
* [[Eclipse]]

====PHP====

====XUL====

===Router===
* Ports: [http://www.iana.org/assignments/port-numbers offizielle IANA Port Nummern]

====[[FritzBox]]====

====LinkSys====

=====[[DD-WRT als Firmware]]=====
====[[ipCop]]====

====pfSense====

=====[[pfSense als load balancer (Multi-WAN Version 1.2.x)]]=====
=====[[pfSense mit DMZ und ADSL Modem an red ]]=====
=====[[diverse Probleme und Lösungen]]=====

====[http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html Einrichten Radius-Server für WLAN bei heise.de]====

====SmoothWall====

===Samba===
* PDC
* [[SMB-LDAP]]
* [[Windows7-Domain-Logons]]
* WebAdminInterface

===Security Systeme===

====Panda-Security====
* [[Panda-Security Partnerkonsole]]

====[[Sophos]]====

===Synchronisation===
* Framework für Kontakte, Aufgaben, Kalendereinträge:
** Serverbackends
** Protokolle (SyncML, *DAV, ...)
** Clients (Thunderbird, Webclient, verschiedene Handys)
** Gruppenfähigkeit?

* Akonadi
* OpenSync
* [http://packages.debian.org/lenny/multisync-tools multisync-tools]

===Thunderbird===
*[[Profile verwalten]]

===Verschlüsselung===

* SSH
* SSL
* HTTPS-Proxy
* [[OpenVPN]]
* GPG
* [[s-Protokolle]] [http|pop|imap]s
* [[X.509 Zertifikate]]

===Virtualisierung===

* [[Allgemeines]]
* [[KVM]]
* [[VirtualBox]]
* [[VMware]]
* [[VServer]]
* [[Xen]]

===Webapplikationen===

====CMS====
* [[TYPO3]]
* Joomla
* Drupal
* Django
* [http://www.pragmamx.org/ PragmaMX] (mal anschauen)

====Groupware====
* eGroupware

====Webshops====
* osCommerce
* xtCommerce
* JTL
* ITIS
* Magento

====Wikis====
* [[MediaWiki]]

===Webserver===
* [[apache]]
* Zugriffsstatistiken mit dem [[webalizer]]

===Windows===
* [[SBS2003 Recovery von NT-Backup]]
* [[SBS2008]]
* [[Systemeinstellungen]]
* [[WebDAV]]
* [[Batch-Dateien]]
* [[DPMAdirekt]]
* [http://www.asconix.com/blog/restart-exchange-2003-server MS ExchangeServer 2003 neu starten]
* [[MS Office 2007]]
* [[MS Visio 2002]]
* [[MS Outlook Allgemein]]
* [[Office Ressource Kit]]
* [[Servergespeicherte Profile]]
* [[Windows-Tools]]
* [[Netzwerkverbindungsprobleme unter win7]]
* [[0x80070035 Netzlaufwerk / Freigabe]]
* [[ScanSnap Manager S500 / S510 / fi-510E0X2 / fi-510E0X2]]
* [[Symantec Backup Exec]]
* [[TK-Anlagen-Software]]

===Zertifikate===
* [[Certificate Authority]] (CA)
* [[Erstellung einer eigenen hierachischen CA]] (selbst signiert)
* [[XCA]]

----

Systemeinstellungen

2011-07-23T10:56:25Z

Netbreaker:

==Umgebungsvariablen==

===non-present devices===
Im Gerätemanager können ausgeblendete Geräte (hidden devices)im Menü Ansicht eingeblendet werden.
Es gibt aber weitere "non-present devices" die über eine Umgebungsvariable unter
Systemeigenschaften -> Erweitert -> Umgebungsvariablen -> Systemvariablen -> Neu:
DEVMGR_SHOW_NONPRESENT_DEVICES = 1
gesetzt werden kann. Nach einem Neustart erscheinen weitere Geräte in der Liste.

==Sicherheitseinstellungen / Rechteverwaltung==

===Erweiterte Dateifreigabe unter XP Professional===
Im Windows-Explorer unter Extras -> Ordneroptionen -> Ansicht muß dazu die Option '''Einfache Dateifreigabe''' deaktiviert werden.

===Erweiterte Dateifreigabe unter XP Home===
Unter XP Home wird dazu ein Dateimanager mit entsprechender Funktion oder die Extension [http://www.pcwelt.de/downloads/XP-File-Security-Extension-XP-FSE-589047.html XP FSE] benötigt.

Apache

2011-07-20T19:25:10Z

Netbreaker: /* VirtualHosts */

=Apache 2=

* Unterschiede der verschiedenen Typen (event, prefork, worker, ITK)?

; mpm-prefork: Arbeitsweise ähnlich Apache 1.3, unterstützt keine Threads, arbeitet langsamer als worker, aber stabiler (?). Erzeugt beim Start eine definierte Anzahl von Prozesses, die einzelne Anfragen abarbeiten. Unter bestimmten Bedingungen wird die Anzahl der auf Vorrat gestarteten Prozesse dem Bedarf angepasst.
; mpm-worker: unterstützt Threads, nutzt aber auch das prefork-Modell. Jeder vorab gestartete Prozess enthält eine feste Anzahl von Threads für Clientanfragen. Die Anzahl der Prozesse wird wie beim mpm-prefork gesteuert. mod_php ist nicht threadsafe und kann daher hier nicht eingesetzt werden.
; mpm-event: eine worker-Variante, die besser mit keepalive-Verbindungen umgehen kann. Hier wird der Thread nicht von der Verbindung festgehalten/blockiert. Die persistenten Daten werden zwischengespeichert und bei Bedarf einem beliebigen Thread zugewiesen.
; mpm-itk: eine prefork-Variante ähnlich dem nicht mehr weiterentwickelten perchild-Modell. In diesem Fall können vHosts mit unterschiedlichen Benutzer/Gruppenrechten gestartet werden. Damit werden die vHosts besser voneinander abgeschottet. Damit können auch Apache-Module (z.B. PHP) unter den Rechten des Benutzers ausgeführt werden. (suexec für mod_php)

* Wozu ist apache2-suexec gut?
Ermöglicht die Ausführung von Programmcode (z.B. PHP, Perl) via CGI unter anderen Benutzerrechten. Kann als Alternative zum mpm-ITK in den Threaded-Apache-Modellen (worker, event) benutzt werden, um Programmcode mit Nicht-Apache-Benutzerrechten auszuführen.

* Unterschied zwischen libapache2-mod-php5 und -php5filter?
PHP-Filter-Module ???

==Steuerung==

apache2ctl start|stop|restart|graceful|graceful-stop|configtest|status|fullstatus

Ein-/Ausschalten von Modulen:
a2enmod <Modulname>
a2dismod <Modulname>

Ein-/Ausschalten von VirtHosts:
a2ensite <VirtHostConfigName>
a2dissite <VirtHostConfigName>

==Konfiguration==

===VirtualHosts===

Der Apache kann sowohl IP-basierte als auch namensbasierte virtuelle Hosts verwalten. Sobald mehrere VirtualHosts auf einer IP laufen sollen, muß '''NameVirtualHost''' (in der /etc/apache2/ports.conf) konfiguriert sein.

* pauschal für alle IP-Adressen des Servers:
NameVirtualHost *:80

* für einzelne IP-Adressen benannt:
NameVirtualHost xx.yy.zz.1:80
NameVirtualHost xx.yy.zz.2:80

Sollen später neben einer pauschalen auch benannte namensbasierte VirtualHost-Konfigurationen verwendet werden, so sind diese hier zusätzlich anzugeben.

Fehlt hier die Angabe, so wird von einem IP-basierten VirtualHost ausgegangen. Ein zweiter auf diese IP konfigurierter VirtualHost wird nicht funktionieren und mit einer der folgenden Warnungen quittiert:
VirtualHost xx.yy.zz.1:80 overlaps with VirtualHost xx.yy.zz.1:80, the first has precedence, perhaps you need a NameVirtualHost directive
VirtualHost www.domain-A.de:80 overlaps with VirtualHost www.domain-B.de:80, the first has precedence, perhaps you need a NameVirtualHost directive

Die Konfigurationen der virtuellen Hosts können wiederum pauschal, per IP oder DNS-Name erfolgen:
<VirtualHost *:80>
ServerName www.domain-A.de
...
</VirtualHost>

<VirtualHost xx.yy.zz.1:80>
ServerName www.domain-A.de
...
</VirtualHost>

<VirtualHost www.domain-A.de:80>
ServerName www.domain-A.de
...
</VirtualHost>

Beim Laden der Konfiguration wird der DNS-Name entsprechend aufgelöst. Die Namensauflösung kann bei langsamen oder nicht verfügbaren DNS-Servern zu deutlichen Verzögerungen führen. Die daraus resultierende IP muß mit einer oben benannten IP übereinstimmen, falls '''NameVirtualHost''' nicht pauschal konfiguriert wurde.

Sobald eine IP in einer benannten VirtualHost-Konfiguration verwendet wird, funktioniert diese IP nicht mehr in einer pauschalen VirtualHost-Konfiguration.

Beispiel:
# Namensauflösung:
# www.domain-A.de => xx.yy.zz.1
# www.domain-B.de => xx.yy.zz.1
# www.domain-C.de => xx.yy.zz.2

NameVirtualHost *:80
NameVirtualHost xx.yy.zz.1:80

<VirtualHost xx.yy.zz.1:80>
ServerName www.domain-A.de
...
</VirtualHost>

<VirtualHost *:80>
ServerName www.domain-B.de
...
</VirtualHost>

<VirtualHost *:80>
ServerName www.domain-C.de
...
</VirtualHost>

Domain-B funktioniert nicht, da die IP von Domain-A in einer benannten VirtualHost-Direktive verwendet wurde und führt zu folgender Warnung:
[warn] _default_ VirtualHost overlap on port 80, the first has precedence

Domain-C funktioniert jedoch, da diese IP nicht anderweitig verwendet wurde.

Unbenutzte NameVirtualHost-Direktiven werden beim Laden der Konfiguration ebenfalls mit einer Warnung quittiert:
[warn] NameVirtualHost xx.yy.zz.2:80 has no VirtualHosts

Fazit: Entweder werden alle zu einer IP gehörenden VirtualHosts mit *:80 konfiguriert oder keiner davon.

NameVirtualHosts funktionieren auch mit https, sofern der Client mitspielt:
[warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
Hauptsächlich von der Einschränkung betroffen sind ältere Internet Explorer.

===VirtualHosts mit eigener Benutzerkennung===

Mit dem Apache mpm-itk ist es möglich, einzelne VirtualHosts abweichend vom Standardbenutzer des Webservers (www-data) mit eigenen Benutzerrechten laufen zu lassen.

Ausgehend von einem Account '''a0001:a0001''' (User:Group) legen wir noch einen weiteren Account '''a0001-www:a0001''' an.

Danach ist in der VirtualHost-Konfiguration folgende Zeile zu ergänzen:
<VirtualHost ...>
AssignUserId a0001-www a0001
...
</VirtualHost>

Damit kann der Benutzer a0001 über die Gruppenberechtigung steuern in welches Verzeichnis der Webserver wie zugreifen kann. 'Others'-Rechte können somit entfallen, was die Sicherheit wieder verbessert. D.h. ein '''chmod 750''' auf Verzeichnisse und '''640''' auf Dateien macht den Inhalt für den Webserver lesbar, ein '''770''' bzw. '''660''' gibt dem Webserver das Schreibrecht darauf.

===Rewrites===

Die RewriteRules zeigen in <Location> und <Directory>-Containern unterschiedliches Verhalten.

<Location> bezieht sich auf DocumentRoot, <Directory> auf den physischen Pfad im System.

DocumentRoot /var/www
<Location />
...
</Location>
<Directory /var/www/>
...
</Directory>

Alias /doku/ /usr/share/doc/
<Directory /usr/share/doc/>
...
</Directory>
<Location /doc/>
...
</Location>

Die Anweisungen beziehen sich auf dasselbe Verzeichnis und sind anscheinend gleichbedeutend.

In einer RewriteRule sind aber ggf. unterschiedliche Auswertungen nötig bzw. werden unterschiedliche Ergebnisse geliefert.
<Location />
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Location>
<Directory /var/www/>
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Directory>

In <Location> wird der physische Pfad als $1 weitergegeben, in <Directory> dagegen der Pfad ab DocumentRoot (nochmal validieren!).

<Directory /var/www/api/>
...
RewriteBase /api/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Directory>

RewiteBase korrigiert dies bei Unterverzeichnissen entsprechend. Standardmäßig gesetzt ist:
RewriteBase /
was sich dementsprechend bei <Location> auf den physischen Pfad / und bei <Directory> auf DocumentRoot bezieht.

Alias /doku/ /usr/share/doc/
<Directory /usr/share/doc/>
...
RewriteBase /doku/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Directory>

Bei einem Alias muß sich RewriteBase wieder auf den Pfad ab DocumentRoot beziehen, was die obige Vermutung bestätigt..

Ausgehend von dem Ergebnis bei <Location>, muß hier als RewriteBase der physische Pfad angegeben werden (validieren!.
<Location />
...
RewriteBase /var/www/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Location>
<Location /doc/>
...
RewriteBase /usr/share/doc/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Location>

Apache

2011-07-20T19:23:18Z

Netbreaker: /* VirtualHosts */

=Apache 2=

* Unterschiede der verschiedenen Typen (event, prefork, worker, ITK)?

; mpm-prefork: Arbeitsweise ähnlich Apache 1.3, unterstützt keine Threads, arbeitet langsamer als worker, aber stabiler (?). Erzeugt beim Start eine definierte Anzahl von Prozesses, die einzelne Anfragen abarbeiten. Unter bestimmten Bedingungen wird die Anzahl der auf Vorrat gestarteten Prozesse dem Bedarf angepasst.
; mpm-worker: unterstützt Threads, nutzt aber auch das prefork-Modell. Jeder vorab gestartete Prozess enthält eine feste Anzahl von Threads für Clientanfragen. Die Anzahl der Prozesse wird wie beim mpm-prefork gesteuert. mod_php ist nicht threadsafe und kann daher hier nicht eingesetzt werden.
; mpm-event: eine worker-Variante, die besser mit keepalive-Verbindungen umgehen kann. Hier wird der Thread nicht von der Verbindung festgehalten/blockiert. Die persistenten Daten werden zwischengespeichert und bei Bedarf einem beliebigen Thread zugewiesen.
; mpm-itk: eine prefork-Variante ähnlich dem nicht mehr weiterentwickelten perchild-Modell. In diesem Fall können vHosts mit unterschiedlichen Benutzer/Gruppenrechten gestartet werden. Damit werden die vHosts besser voneinander abgeschottet. Damit können auch Apache-Module (z.B. PHP) unter den Rechten des Benutzers ausgeführt werden. (suexec für mod_php)

* Wozu ist apache2-suexec gut?
Ermöglicht die Ausführung von Programmcode (z.B. PHP, Perl) via CGI unter anderen Benutzerrechten. Kann als Alternative zum mpm-ITK in den Threaded-Apache-Modellen (worker, event) benutzt werden, um Programmcode mit Nicht-Apache-Benutzerrechten auszuführen.

* Unterschied zwischen libapache2-mod-php5 und -php5filter?
PHP-Filter-Module ???

==Steuerung==

apache2ctl start|stop|restart|graceful|graceful-stop|configtest|status|fullstatus

Ein-/Ausschalten von Modulen:
a2enmod <Modulname>
a2dismod <Modulname>

Ein-/Ausschalten von VirtHosts:
a2ensite <VirtHostConfigName>
a2dissite <VirtHostConfigName>

==Konfiguration==

===VirtualHosts===

Der Apache kann sowohl IP-basierte als auch namensbasierte virtuelle Hosts verwalten. Sobald mehrere VirtualHosts auf einer IP laufen sollen, muß '''NameVirtualHost''' (in der /etc/apache2/ports.conf) konfiguriert sein.

* pauschal für alle IP-Adressen des Servers:
NameVirtualHost *:80

* für einzelne IP-Adressen benannt:
NameVirtualHost xx.yy.zz.1:80
NameVirtualHost xx.yy.zz.2:80

Sollen später neben einer pauschalen auch benannte namensbasierte VirtualHost-Konfigurationen verwendet werden, so sind diese hier zusätzlich anzugeben.

Fehlt hier die Angabe, so wird von einem IP-basierten VirtualHost ausgegangen. Ein zweiter auf diese IP konfigurierter VirtualHost wird nicht funktionieren und mit einer der folgenden Warnungen quittiert:
VirtualHost xx.yy.zz.1:80 overlaps with VirtualHost xx.yy.zz.1:80, the first has precedence, perhaps you need a NameVirtualHost directive
VirtualHost www.domain-A.de:80 overlaps with VirtualHost www.domain-B.de:80, the first has precedence, perhaps you need a NameVirtualHost directive

Die Konfigurationen der virtuellen Hosts können wiederum pauschal, per IP oder DNS-Name erfolgen:
<VirtualHost *:80>
ServerName www.domain-A.de
...
</VirtualHost>

<VirtualHost xx.yy.zz.1:80>
ServerName www.domain-A.de
...
</VirtualHost>

<VirtualHost www.domain-A.de:80>
ServerName www.domain-A.de
...
</VirtualHost>

Beim Laden der Konfiguration wird der DNS-Name entsprechend aufgelöst. Die Namensauflösung kann bei langsamen oder nicht verfügbaren DNS-Servern zu deutlichen Verzögerungen führen. Ist die daraus resultierende IP muß mit einer oben benannten IP übereinstimmen, falls '''NameVirtualHost''' nicht pauschal konfiguriert wurde.

Sobald eine IP in einer benannten VirtualHost-Konfiguration verwendet wird, funktioniert diese IP nicht mehr in einer pauschalen VirtualHost-Konfiguration.

Beispiel:
# Namensauflösung:
# www.domain-A.de => xx.yy.zz.1
# www.domain-B.de => xx.yy.zz.1
# www.domain-C.de => xx.yy.zz.2

NameVirtualHost *:80
NameVirtualHost xx.yy.zz.1:80

<VirtualHost xx.yy.zz.1:80>
ServerName www.domain-A.de
...
</VirtualHost>

<VirtualHost *:80>
ServerName www.domain-B.de
...
</VirtualHost>

<VirtualHost *:80>
ServerName www.domain-C.de
...
</VirtualHost>

Domain-B funktioniert nicht, da die IP von Domain-A in einer benannten VirtualHost-Direktive verwendet wurde und führt zu folgender Warnung:
[warn] _default_ VirtualHost overlap on port 80, the first has precedence

Domain-C funktioniert jedoch, da diese IP nicht anderweitig verwendet wurde.

Unbenutzte NameVirtualHost-Direktiven werden beim Laden der Konfiguration ebenfalls mit einer Warnung quittiert:
[warn] NameVirtualHost xx.yy.zz.2:80 has no VirtualHosts

Fazit: Entweder werden alle zu einer IP gehörenden VirtualHosts mit *:80 konfiguriert oder keiner davon.

NameVirtualHosts funktionieren auch mit https, sofern der Client mitspielt:
[warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
Hauptsächlich von der Einschränkung betroffen sind ältere Internet Explorer.

===VirtualHosts mit eigener Benutzerkennung===

Mit dem Apache mpm-itk ist es möglich, einzelne VirtualHosts abweichend vom Standardbenutzer des Webservers (www-data) mit eigenen Benutzerrechten laufen zu lassen.

Ausgehend von einem Account '''a0001:a0001''' (User:Group) legen wir noch einen weiteren Account '''a0001-www:a0001''' an.

Danach ist in der VirtualHost-Konfiguration folgende Zeile zu ergänzen:
<VirtualHost ...>
AssignUserId a0001-www a0001
...
</VirtualHost>

Damit kann der Benutzer a0001 über die Gruppenberechtigung steuern in welches Verzeichnis der Webserver wie zugreifen kann. 'Others'-Rechte können somit entfallen, was die Sicherheit wieder verbessert. D.h. ein '''chmod 750''' auf Verzeichnisse und '''640''' auf Dateien macht den Inhalt für den Webserver lesbar, ein '''770''' bzw. '''660''' gibt dem Webserver das Schreibrecht darauf.

===Rewrites===

Die RewriteRules zeigen in <Location> und <Directory>-Containern unterschiedliches Verhalten.

<Location> bezieht sich auf DocumentRoot, <Directory> auf den physischen Pfad im System.

DocumentRoot /var/www
<Location />
...
</Location>
<Directory /var/www/>
...
</Directory>

Alias /doku/ /usr/share/doc/
<Directory /usr/share/doc/>
...
</Directory>
<Location /doc/>
...
</Location>

Die Anweisungen beziehen sich auf dasselbe Verzeichnis und sind anscheinend gleichbedeutend.

In einer RewriteRule sind aber ggf. unterschiedliche Auswertungen nötig bzw. werden unterschiedliche Ergebnisse geliefert.
<Location />
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Location>
<Directory /var/www/>
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Directory>

In <Location> wird der physische Pfad als $1 weitergegeben, in <Directory> dagegen der Pfad ab DocumentRoot (nochmal validieren!).

<Directory /var/www/api/>
...
RewriteBase /api/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Directory>

RewiteBase korrigiert dies bei Unterverzeichnissen entsprechend. Standardmäßig gesetzt ist:
RewriteBase /
was sich dementsprechend bei <Location> auf den physischen Pfad / und bei <Directory> auf DocumentRoot bezieht.

Alias /doku/ /usr/share/doc/
<Directory /usr/share/doc/>
...
RewriteBase /doku/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Directory>

Bei einem Alias muß sich RewriteBase wieder auf den Pfad ab DocumentRoot beziehen, was die obige Vermutung bestätigt..

Ausgehend von dem Ergebnis bei <Location>, muß hier als RewriteBase der physische Pfad angegeben werden (validieren!.
<Location />
...
RewriteBase /var/www/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Location>
<Location /doc/>
...
RewriteBase /usr/share/doc/
...
RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
</Location>